PDF《附件 1》

――会话应设置超时时间,当空闲时间超过设定时间应自动终止会话;

――会话结束后,应及时清除会话信息;

――应采取加密等措施防止会话令牌在传输、存储过程中被窃取;

――应用审计日志宜记录暴力破解会话令牌的事件. 4.4.3 常见攻击防范 应对常见的攻击(如跨站脚本攻击、注入攻击、拒绝服务攻击等)进行有效防范,包括但不限于以 下手段: ――应在服务器端对提交的数据进行有效性检查 (如对提交的表单、 参数等进行合法性判断和非法 字符过滤等);

――应对条码中包含的网址等信息进行校验,对非法地址和恶意请求进行拦截;

――应具有防范暴力破解的保护措施;

――应进行代码审查,防范应用程序中不可信数据被解析为命令或查询语句;

――应使用安全的接口,防范接口被攻击和非授权调用;

―

9 ― ――应采取有效措施防范针对服务器端的拒绝服务攻击;

――应对文件的上传和下载进行访问控制,避免执行恶意文件或未授权访问;

――数据库宜使用存储过程或参数化查询,并严格定义数据库用户的角色和权限;

――宜通过自动化工具(如弱点扫描工具等)对应用程序进行检查. 4.5 数据安全及备份恢复 数据安全及备份恢复应符合GB/T 22239―2008中7.1.5的相关要求.

5 移动终端安全 5.1 人机交互安全 5.1.1 身份验证信息管理 身份验证信息管理应满足以下要求: ――原始身份验证信息不应明文保存在移动终端本地;

――客户输入交易密码时,应提供即时加密功能;

――验证操作结束后应及时清除缓存,防止信息泄漏;

――应严格限制使用初始交易密码, 对交易密码复杂度进行校验, 避免采用简单交易密码或与客户 个人信息相似度过高的交易密码;

――应采取有效措施提醒客户避免设置与常用软件(如社交软件)、网站(如社交平台、论坛)相 同或相似的用户名和密码组合;

――应采取有效措施引导客户设置独立的支付密码. 5.1.2 交易异常处理 当交易出现异常时,客户端应向客户提示出错等信息. 5.2 客户端软件安全 5.2.1 数据有效性校验 客户端软件应提供数据有效性校验功能, 保证通过人机接口或通信接口输入的数据格式或长度等信 息符合系统设定要求,如输入的交易金额等信息应不含特殊字符、负数等非法参数. 5.2.2 页面回退清除敏感信息机制 客户端软件应支持页面回退清除密钥、密码等敏感信息的机制. 5.2.3 反编译 客户端软件应采用防逆向工程保护措施,如客户端软件采取代码花指令、反调试、代码混淆等技术 手段,防范攻击者对客户端软件的反编译分析. 5.2.4 客户端软件完整性 客户端软件完整性应满足以下要求: ――应对客户端软件进行签名, 标识客户端软件的来源和发布者, 保证客户所下载的客户端软件来 源于所信任的机构;

――客户端软件启动和更新时,应进行真实性和完整性校验,防范客户端软件被篡改. 5.2.5 运行时安全 客户端软件运行时安全应满足以下要求: ――客户端软件应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力;

――客户端软件应能监测并向后台系统反馈手机支付环境安全状况,作为风控策略的依据. ―

10 ― 5.3 通信安全 5.3.1 网络通讯协议 网络通讯协议应满足以下要求: ――应在客户端与服务器之间建立安全的信息传输通道, 通过公开网络进行数据传输时应进行双向 认证,例如使用安全套接字层或传输层安全(SSL/TLS)、互联网协议安全(IPSec)等协议;