【IT168评论】一、背景

　　近年来，随着互联网应用服务的发展、尤其是电子商务的勃兴，我国的第三方支付产业进入了爆炸式增长时期。目前，第三方支付企业的年交易总额已突破万亿元，在人民银行备案的第三方支付企业数量已达260多家。第三方支付以其方便、快捷、无相关费用的特点，越来越受到人们的青睐，越来越多的网上交易采用第三方支付企业来完成支付结算。第三方支付方式已经融入到了人们的日常生活和工作中，正在改变着人们的消费习惯。

　　然而，第三方支付企业虽然从事金融货币支付业务，但一直游离于金融监管体系之外，各企业间的信用、技术、资金实力等参差不齐，行业发展整体面临不确定性，尤其是大量沉淀资金带来的金融风险，以及欺诈、洗钱、套现、钓鱼、信息泄露、业务连续性差等带来的技术与安全风险，不仅严重影响了整个产业的形象和进一步发展，也影响了国家的金融稳定和人民财产安全。

　　为了规范第三方支付服务，降低技术安全风险，维护资金财产安全，中国人民银行积极出台相关政策陆续发布了《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》，正式将第三方支付纳入国家统一监管，并实施准入制度，要求从事支付服务的非金融机构必须取得《支付业务许可证》，成为支付机构，才能开展支付业务。随后，人民银行又颁布了《非金融机构支付服务业务系统检测认证管理规定》进一步明确了支付业务系统检测要求。第三方权威检测机构中国软件评测中心积极参与非金融机构支付服务业务系统检测规范的制订，并成为央行指定的具有全业务检测资格的检测机构。

　　本文涉及的支付系统是典型第三方支付系统，涉及测试业务类型为互联网支付系统检测。该系统为自主开发，根据《非金融机构支付服务业务系统检测规范(互联网支付部分)》的要求，该系统的检测内容包括功能、性能、风险监控、安全性、文档五部分。

　　二、互联网支付业务系统特点

　　该支付服务业务系统主要包括网站、交易系统、后台管理系统、商户管理系统、风险监控系统等，实现了客户管理、账户管理、交易处理、资金结算、对账处理、操作处理、统计报表、运行管理、风险控制等功能。其系统结构如图1所示。

▲图1典型互联网支付业务系统

　　该支付服务业务系统具有以下特点：

　　(1) 业务流程复杂

　　该系统为客户提供的服务形式丰富、方式多样，除常规的一般支付流程外，还提供很多衍生的支付流程，以及细化的账户管理内容。此外，流程中还融入交易分析和风险监控的控制措施，因此流程环节较多。

　　(2) 性能测试点需求全面，数据量大

　　该系统实际交易数据量大，在测试时要求的数据量也较大，系统性能需求较高。

　　(3) 具有独立的风控系统

　　该系统具有独立的风控系统，风控系统的测试需要单独进行。

　　(4) 安全性要求较高

　　非金融机构支付服务业务系统涉及资金交易，对安全性要求较高，央行在相关管理规定中要求第三方支付企业信息系统安全等级要达到信息安全等级保护三级的基本要求。

　　(5) 系统庞大，设备较多

　　该系统为全国性支付服务系统，系统部署较庞大，涉及的服务器、网络设备、安全设备较多。

　　三、测试分析与准备

　　针对以上特点，在测试项目实施前，我们重点做好了以下几项工作，确保项目实施顺利进行：

　　(1)尽早熟悉系统，通过文档、系统介绍、实际操作等方式，使测试人员在进场前熟悉系统，理清复杂流程，明确检测内容，设计详细的测试用例，并适当增加测试人员，保障测试全面、细致。

　　(2)提前准备测试环境和测试数据，设计性能测试场景，沟通测试方法，并要求被检测机构事先完成自测，保障系统质量。

　　(3)提前熟悉风控系统实现流程，分析与功能之间的交叉关系，在测试时与功能配合。

　　(4)就检测内容与被检测机构进行沟通，了解当前系统安全设计和部署情况，对于一些可能影响整个实施进度的情况，例如设备缺失等提前确认，尽早准备。

　　(5)提前了解系统的部署情况，要求被检测机构提交详细的网络拓扑图，并确定好被测方熟悉系统部署的管理员。

　　(7)由于本系统测试为标准符合性测试，测试依据以《非金融机构支付服务业务系统检测规范(互联网支付部分)》为主，因此，需要就检测内容与被检测机构进行沟通，使被检测机构对检测内容的理解没有偏差。