易宝互联网支付系统测试案例分析.doc-资料库

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第1页.png

第1页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第2页.png

第2页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第3页.png

第3页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第4页.png

第4页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第5页.png

第5页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第6页.png

第6页 / 共7页

3fa2b637-cf5f-468a-9944-689b5ccdbb99.doc.pdf-第7页.png

第7页 / 共7页

易宝互联网支付系统测试案例分析 2011-10-08 16:29 宋铮中国软件评测中心我要评论(0) 字号：T | T 近年来，随着互联网应用服务的发展、尤其是电子商务的勃兴，我国的非金融机构支付服务产业进入了爆炸式增长时期。目前，非金融机构支付服务企业的年交易总额已突破万亿元，在人民银行备案的非金融机构支付服务企业数量已达 260 多家。非金融机构支付服务以其方便、快捷、无相关费用的特点，越来越受到人们的青睐，越来越多的网上交易采用非金融机构支付服务企业来完成支付结算。非金融机构支付服务方式已经融入到了人们的日常生活和工作中，正在改变着人们的消费习惯。 AD：一、检测背景近年来，随着互联网应用服务的发展、尤其是电子商务的勃兴，我国的非金融机构支付服务产业进入了爆炸式增长时期。目前，非金融机构支付服务企业的年交易总额已突破万亿元，在人民银行备案的非金融机构支付服务企业数量已达 260 多家。非金融机构支付服务以其方便、快捷、无相关费用的特点，越来越受到人们的青睐，越来越多的网上交易采用非金融机构支付服务企业来完成支付结算。非金融机构支付服务方式已经融入到了人们的日常生活和工作中，正在改变着人们的消费习惯。然而，非金融机构支付服务企业虽然从事金融货币支付业务，但一直游离于金融监管体系之外，各企业间的信用、技术、资金实力等参差不齐，行业发展整体面临不确定性，尤其是大量沉淀资金带来的金融风险，以及欺诈、洗钱、套现、钓鱼、信息泄露、业务连续性差等带来的技术与安全风险，不仅严重影响了整个产业的形象和进一步发展，也影响了国家的金融稳定和人民财产安全。为了规范非金融机构支付服务，降低技术安全风险，维护资金财产安全，中国人民银行积极出台相关政策陆续发布了《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》，正式将非金融机构支付服务纳入国家统一监管，并实施准入制度，要求从事支付服务的非金融机构必须取得《支付业务许可证》，成为支付机构，才能开展支付业务。随后，人民银行又颁布了《非金融机构支付服务业务系统检测认证管理规定》进一步明确了支付业务系统检测要求。中国软件评测中心作为国家级的权威的第三方检测机构，积极参与了非金融机构支付服务业务系统检测规范的制订，并成为央行指定的具有全业务检测资格的检测机构。本项目涉及的易宝支付是国内知名的非金融机构支付服务企业，其向我中心申请的检测业务类型为互联网支付系统检测。该系统为该企业自主开发，根据《非金融机构支付服务业务系统检测规范（互联网支付部分）》的要求，该系统的检测内容包括功能、性能、风险监控、安全性、文档五部分。

二、易宝互联网支付业务系统特点该支付服务业务系统主要包括网站、交易系统、后台管理系统、商户管理系统、风险监控系统等，实现了客户管理、账户管理、交易处理、资金结算、对账处理、操作处理、统计报表、运行管理、风险控制等功能。其系统结构如图 1 所示。图 1 易宝互联网支付业务系统该支付服务业务系统具有以下特点：（1）业务流程复杂该企业为客户提供的服务形式丰富、方式多样，除常规的一般支付流程外，还提供很多衍生的支付流程，以及细化的账户管理内容。此外，流程中还融入交易分析和风险监控的控制措施，因此流程环节较多。（2）性能测试点需求全面，数据量大该系统实际交易数据量大，在测试时要求的数据量也较大，系统性能需求较高。（3）具有独立的风控系统

该系统具有独立的风控系统，风控处理相对负责，对风控系统的测试需要单独进行。（4）安全性要求较高非金融机构支付服务业务系统涉及资金交易，对安全性要求较高，央行在相关管理规定中要求非金融机构支付服务企业信息系统安全等级要达到信息安全等级保护三级的基本要求。（5）系统庞大，设备较多该系统为全国性支付服务系统，系统部署较庞大，涉及的服务器、网络设备、安全设备较多。三、测试分析与准备针对以上特点，在测试项目实施前，我们重点做好了以下几项工作，确保项目实施顺利进行：（1）尽早熟悉系统，通过文档、系统介绍、实际操作等方式，使测试人员在进场前熟悉系统，理清复杂流程，明确检测内容，设计详细的测试用例，并适当增加测试人员，保障测试全面、细致。（2）提前准备测试环境和测试数据，设计性能测试场景，沟通测试方法，并要求被检测机构事先完成自测，保障系统质量。（3）提前熟悉风控系统实现流程，分析与功能之间的交叉关系，在测试时与功能配合。（4）就检测内容与被检测机构进行沟通，了解当前系统安全设计和部署情

况，对于一些可能影响整个实施进度的情况，例如设备缺失等提前确认，尽早准备。（5）提前了解系统的部署情况，要求被检测机构提交详细的网络拓扑图，并确定好被测方熟悉系统部署的管理员。（7）由于本项目测试为标准符合性测试，测试依据以《非金融机构支付服务业务系统检测规范（互联网支付部分）》为主，因此，需要就检测内容与被检测机构进行沟通，使被检测机构对检测内容的理解没有偏差。四、检测技术及方法在本项目中，我们重点采用了场景法、边界值法进行系统功能测试，采用负载压力测试工具实现性能测试。下面结合具体关键点测试案例，来分析本系统的测试方法。 1.转账流程测试常规情况下，支付系统为客户提供正常转账流程，但本系统对客户进行了细分，包括个人会员、电子协议商户、纸质协议商户，对不同类型的客户间转账设置了不同的处理规则，如表 1 所示。此外，还存在转出账户处于异常状态、转出账户余额不足、转入账户处于异常状态、转账金额超过交易限额、转账支付撤销等异常情况，如图 2 所示。

表 1 转账对应关系表图 2 该系统转账流程

2. 退款流程测试退款业务属于异常交易处理范畴，本系统提供的退款方式较多包括单笔退款、批量退款、多次退款、人工退款等，此外由于退款还涉及手续费返还，分成结算、查询统计等业务，退款流程较复杂，对于边界值处理的准确性得要求较高，如表 2 所示。因此，对于测试来讲，设计好的测试用例对于退款业务测试尤为重要。本次测试采用等价类法、边界值法相结合的方法，按照退款计算设计方案将其分类，分为自动退款和人工退款，然后再细分为单笔退款和批量退款，同时考虑单次退款金额略小于原交易额、单次退款金额等于原交易额、单次退款金额略超过原交易额、多次退款金额略小于原交易额、多次退款金额等于原交易额、多次退款金额略超过原交易额，分别设计测试用例，执行时还需重点查看手续费返还、分成结算、状态查询统计等的正确性。综合以上情况，整个转账过程包含很多事件，将登录作为起始事件，登录后的不同操作会进一步触发不同的事件，这些事件在被触发时形成了不同的场景，因此我们可以采用场景法，将正常的转账过程

作为基本流，将特殊情况和异常情况的处理过程作为备份流，根据确定的基本流和备份流形成不同场景并设计相应的测试用例，最后通过执行测试用例完成测试。 3. 风险监控测试风险监控测试重点验证系统对账户及交易风险防范的能力及相关管理制度。鉴于本项目具有独立的风控系统，在测试时主要采用系统验证、文档审核与访谈相结合，考核相关管理制度是否完善，并模拟钓鱼、套现、欺诈、大额交易、洗钱、盗用等不同类型的账户管理风险和风险交易，考核系统的风险防范及预警能力。 4. 性能测试本项目性能测试包括并发测试、大数据量测试及系统自恢复能力测试。测试点较多，数据量大，需求指标要求较高，因此在测试前被检测机构尽量构建与真实环境相同配置、数据规模满足检测规范要求的压力测试环境。测试时采用了自动化性能测试工具，创建压力测试程序、构建压力测试模型，对被测试系统实施自动化压力测试，并对测试过程中系统各关注点进行监控，最后形成压力测试结果分析报告。 4. 安全测评系统安全性检测针对系统安全不同层面的不同内容，主要采用访谈、现场检查、自动化工具测试、文档审核相结合的方法进行考查，考察内容包括网络安全性、主机安全性、应用安全性、数据安全性、运维安全性和业务连续性。针对本项目服务器等相关设备较多的特点，测试前充分了解系统部署情况，熟悉网络设备、网络架构以及网络安全产品策略、服务器策略、审计及日志管理方式、应用安全保护设施、数据加密及存储方式等，要求被测方准备好相关制度和文档，并针对不同考查点，制定相应详细的访谈表、检查表及测试表。五、结束语测试过程中发现了系统功能缺失、实现错误、风险管理制度不完善、安全设备不到位、文档与系统存在部分不一致等问题，经过整改和回归测试，系统已满足检测规范要求，目前该企业已取得央行《支付业务许可证》。

资料库

易宝互联网支付系统测试案例分析.doc

相关推荐

行业

热门标签

最新资料