需求場景:
老板讓我檢測我公司的網站是否符合PCI?Compliance,完全不知道PCI?Compliance是什么東西啊。
怎么檢測才能知道網站是否符合PCI?Compliance?
通過對收集的各種設備日志和安全事件進行深入挖掘,結合安全合規管理,達到幫助建設企業信息安全合規管理體系的目標。OSSIM系統能夠生成不同的安全合規報表,給出了標準的評價依據,通過檢查信息系統中的各種安全合規項信息,生成安全合規測試報告,以達到對安全合規的管理的要求,通過將PCI DSS 2.0 、PCI DSS 3.0和ISO 27001融合為一體,可以很好的幫助企業規避合規風險.
下面主要談談2.0部分的內容。首先看一張整體效果圖。
PCI DSS 2.0
需求
子需求
子需求內容
R.1
安裝并維護防火墻配置以保護持卡人數據R.1.1建立并實施包含以下內容的防火墻和路由器配置標準
R.1.1.1批準和測試所有網絡連接以及防火墻和路由器配置變更的正式流程
R.1.1.2標識持卡人數據環境和其它網絡(含任何無線網絡)間所有連接的當前網絡圖表
R.1.1.3顯示整個系統和網絡中所有持卡人數據流的當前圖表。
R.1.1.4各互聯網連接以及任何非軍事區(DMZ) 和內部網絡區域間的防火墻要求
R.1.1.5網絡組件管理群組、角色與責任的說明
R.1.1.6使用所有獲準服務、協議和端口的文檔記錄和業務理由,包括對非安全協議實施安全功能的文檔記錄。
非安全服務、協議或端口包括但不限于 FTP、Telnet、POP3、IMAP 以及SNMP 1 版和2 版。
R.1.1.7審核防火墻和路由器規則集(至少每半年一次)的要求
R.1.2構建防火墻和路由器配置,以限制不可信網絡與持卡人數據環境中任意系統組件之間連接。
R1.2.1將輸入和輸出流量限制到持卡人數據環境所需的范圍,并明確拒絕所有其它流量。
R1.2.2保護并同步路由器配置文件。
R1.2.3在所有無線網絡和持卡人數據環境間安裝外圍防火墻,并配置這些防火墻以拒絕流量或(如果業務需要流量)僅允許無線環境和持卡人數據環境間的授權流量。
R.1.3禁止互聯網與持卡人數據環境中任何系統組件之間的直接公共訪問。
R.1.3.1實施 DMZ,僅向提供授權服務、協議和端口(支持公共訪問)的系統組件輸入流量。
R.1.3.2僅向 DMZ 內的IP 地址輸入互聯網流量。
R.1.3.3禁止任何直接的入站和出站連接在互聯網和持卡人數據環境之間產生流量。
R.1.3.4執行反欺騙措施以檢測并阻止偽造的源IP 地址進入網絡。
R.1.3.5禁止從持卡人數據環境到互聯網的非授權輸出流量。
R.1.3.6實施狀態檢查,也稱動態數據包過濾。
R.1.3.7將存儲持卡人數據的系統組件(例如:數據庫)放置在與DMZ 以及其它不可信網絡隔離的內部網絡區域中。
R.1.3.8不要將私人 IP 地址和路由信息泄露給非授權方。
R.1.4在位于外網時仍連接到互聯網且可用以訪問網絡的任意移動設備和/或員工自有設備(例如,員工使用的筆記本電腦)上安裝個人防火墻軟件。防火墻配置包括:
個人防火墻軟件設有特定的配置設置
個人防火墻軟件正在積極運行
移動設備用戶和/或員工自有設備用戶無法更改個人防火墻軟件。
R.2
不要使用供應商提供的默認系統密碼和其它安全參數R.2.1 始終更改供應商提供的默認值并于在網絡中安裝系統之前刪除或禁用不必要的默認帳戶。
該要求適用于所有默認密碼,包括但不限于操作系統、提供安全服務的軟件、應用程序和系統帳戶、銷售點(POS) 終端、簡單網絡管理協議 (SNMP) 社區字符串等使用的默認密碼。R.2.1.1對于連接到持卡人數據環境或傳輸持卡人數據的無線環境,在安裝時更改所有無線供應商的默認值,包括但不限于默認的無線密鑰、密碼和SNMP 社區字符串。
R.2.2制定適合所有系統組件的配置標準。確保這些標準能解決所有已知的安全漏洞并與行業認可的系統強化標準一致。
R.2.2.1每臺服務器僅執行一項主要功能,以防需要不同安全級別的功能并存于同一臺服務器上。(例如web 服務器、數據庫服務器和DNS 均應在單獨的服務器上執行。)
注:如果使用虛擬化技術,每個虛擬系統組件僅執行一項主要功能。
R.2.2.2僅啟用系統功能所需的必要服務、協議、守護進程等。
R.2.2.2.a選擇系統組件樣本,并檢查已啟用的系統服務、守護進程和協議,確認僅啟用了必要的服務或協議。
R.2.2.2.b找出任何已啟用的不安全服務、守護進程或協議,并與工作人員面談,確認已根據書面配置標準判斷其實屬合理。
R.2.2.3對于任何被視為不安全的服務、協議或守護進程,均執行附加安全功能 — 例如,采用SSH、S-FTP、SSL 或IPSec VPN 等安全技術保護NetBIOS、文件共享、Telnet、FTP 等不安全的服務。
R.2.2.3.a檢查配置設置,確認已針對所有不安全的服務、守護進程或協議記錄并執行安全功能。
R.2.2.4配置系統安全參數,以防濫用。
R.2.3使用強效加密法對所有非控制臺管理訪問進行加密。對于基于web 的管理和其它非控制臺管理訪問,可采用SSH、VPN 或SSL/TLS 等技術。
R.3
保護存儲的持卡人數據R.3.1通過實施數據保留和處理政策、程序和流程最大限度地減少持卡人數據存儲,對所有持卡人數據(CHD) 存儲而言,這些政策、程序和流程至少應包含以下方面:
將數據存儲量和保留時間限制在法律、法規和業務要求的范圍內
不再需要時安全刪除數據的流程,持卡人數據的具體保留要求
按季度查找并安全刪除所存儲的超過規定保留期限的持卡人數據的流程。
R.3.2授權之后,不要存儲敏感驗證數據(即使已加密)。如果收到敏感驗證數據,在完成驗證流程后使所有數據不可恢復。
在下列情況下,允許發卡機構和支持發卡服務的公司存儲敏感驗證數據:
有正當的業務理由且
數據存儲安全。R.3.2.1切勿存儲卡片背面磁條上任何磁道的完整內容、芯片或其它地方上的等效數據。此類數據也可稱為全磁道、磁道、磁道1、磁道2 和磁條數據。
R.3.2.2切勿存儲用于確認無實卡交易的卡驗證代碼或值(印在支付卡正面或背面的三或四位數值)
R.3.2.3切勿存儲個人識別碼(PIN) 或已加密的PIN 數據塊。
R.3.3顯示PAN 時予以掩蓋(最多顯示前六位和后四位數字),這樣僅具有正當業務需要者方可看到完整的PAN。
R.3.4通過采取下列任一方法使所有位置(包括便攜式數字媒介上、備份媒介上和日志中)存儲的PAN 均不可讀:
基于強效加密法的單向散列函數(散列必須要有完整的PAN)
截詞(不能用散列代替 PAN 被截詞的部分)
索引記號與索引簿(索引簿必須安全地存儲)
具有相關密鑰管理流程和程序的強效加密法R.3.4.a檢查關于 PAN 保護系統的文件記錄,包括供應商、系統/流程類型以及加密算法(若適用),確認已通過使用下列任一方法令PAN 不可讀取:
基于強效加密法的單向散列函數
索引記號與索引簿(索引簿存儲安全)
具有相關密鑰管理流程和程序的強效加密法
R.3.4.b檢查數據儲存庫樣本中的幾個表格或文件,確認PAN 不可讀
R.3.4.c檢查可移動媒介(例如備份磁帶)樣本,確認PAN 不可讀。
R.3.4.d審查檢查日志樣本,確認PAN 不可讀或已從日志中刪除。
R.3.4.1如使用磁盤加密(而不是文件級或列級數據庫加密),則邏輯訪問必須得到單獨管理并獨立于本地操作系統的驗證和訪問控制機制(例如,不使用本地用戶帳戶數據庫或通用網絡登錄憑證)。解密密匙決不能與用戶帳戶關聯。
R.3.5記錄并實施保護程序,以保護用于防止存儲的持卡人數據被泄露和濫用的密鑰:
R.3.5.1僅極少數必需的保管人有密鑰訪問權限。
R.3.5.2始終以下面的一種(或多種)形式存儲用于加密/解密持卡人數據的機密密鑰和私人密鑰:
使用至少與數據加密密鑰一樣強效且與數據加密密鑰分開存儲的密鑰加密密鑰進行加密
在安全加密設備(例如,主機安全模塊(HSM) 或PTS 批準的交互點設備)內
根據行業認可的方法,采用至少兩個全長密鑰組分或密鑰共享
R.3.6充分記錄并實施用于持卡人數據加密的所有密鑰管理流程和程序,包括:
R.3.6.a針對服務提供商的附加程序:如果服務提供商與客戶共享傳輸或存儲持卡人數據的密鑰,則需要檢查服務提供商向客戶提供的文檔記錄,以確認已根據下文要求3.6.1 至3.6.8 在文檔記錄中提供了安全傳輸、存儲并更新客戶密鑰的指南。
R.3.6.b檢查用于持卡人數據加密的密鑰管理程序和流程并執行以下操作:
R.3.6.1.a確認密鑰管理程序詳細列明強效密鑰的生成方式。
R.3.6.1.b查看密鑰生成方法,確認已生成強效密鑰。
R.3.6.2安全的密鑰分配
3.6.3安全的密鑰存儲
3.6.4根據相關應用程序供應商或密鑰所有人的規定并基于行業最優方法和指南(例如,《NIST 特別出版物800-57》),在密鑰周期結束時(例如,指定期限過后和/或給定密鑰產生一定量的密文后)對密鑰進行的變更。
3.6.5密鑰的完整性變弱(例如,知道明文密鑰部分的員工離職)或懷疑密碼遭受威脅時,認為有必要注銷或替換(例如,存檔、銷毀和/或撤銷)密鑰。
3.6.6若使用手動明文密鑰管理操作,則必須使用分割知識和雙重控制來管理這些操作。
3.6.7防止密鑰的非授權替換。
3.6.8有關密鑰保管人正式確認理解并接受密鑰保管責任的要求。
R.4
加密持卡人數據在開放式公共網絡中的傳輸R.4.1使用強效加密法和安全協議(例如,SSL/TLS、IPSEC、SSH 等) 來保護在開放式公共網絡中傳輸的敏感持卡人數據,包括:
只接受可信的密鑰和證書
使用的協議只支持安全的版本或配置
加密強度適合所使用的加密方法4.1.a審查書面政策和程序,確認已詳細列明以下方面的流程:
只接受可信密鑰和/或證書。
所使用的協議僅支持安全的版本和配置(不支持非安全版本和配置)。
根據所使用的加密方法實施適當的加密強度
4.1.b在出現入站和出站傳輸時選擇并查看其樣本部分,以確認所有持卡人數據均在傳輸時使用強效加密法加密。
4.1.c檢查密鑰和證書,確認僅接受可信密鑰和/或證書。
4.1.d檢查系統配置,確認實施的協議僅使用安全的配置且不支持非安全版本或配置。
4.1.e檢查系統配置,確認已針對所使用的加密方法采用合適的加密強度。
4.1.1確保傳輸持卡人數據或連接到持卡人數據環境的無線網絡使用行業最優方法(例如,IEEE 802.11i),以對驗證和傳輸實施強效加密。
R.4.2不要使用終端用戶通訊技術(例如,電子郵件、即時通訊、聊天等)來傳送不受保護的PAN。
4.2.a如果使用終端用戶通訊技術來發送持卡人數據,則應查看發送PAN 的流程,并在出現出站傳輸時抽樣查看,確認只要通過終端用戶通訊技術傳送,PAN 便不可讀或受強效加密保護。
4.2.b審查書面政策,確認已有不會通過終端用戶通訊技術傳送不受保護的PAN 方面的政策規定。
R.5
為所有系統提供惡意軟件防護并定期更新殺毒軟件或程序R.5.1在經常受惡意軟件影響的所有系統(特別是個人電腦和服務器)中部署殺毒軟件。
5.1.1確保殺毒程序能檢測、刪除并阻止所有已知類型的惡意軟件。
R.5.2確保所有殺毒機制按如下方式維護:
保持為最新,
執行定期掃描
生成檢查日志(PCI DSS 要求10.7 規定保留)5.2.a檢查政策和程序,確認已規定殺毒軟件和相關定義需要保持為最新。
5.2.b檢查殺毒配置(包括軟件的主體安裝),確認殺毒機制:
配置為執行自動更新
配置為執行定期掃描
5.2.c檢查系統組件樣本(包括經常受惡意軟件影響的所有操作系統類型),確認:
殺毒軟件和相關定義為最新
已執行定期掃描
5.2.d檢查殺毒配置(包括軟件的主體安裝和系統組件的樣本部分),確認:
已啟用殺毒軟件日志生成功能,且日志根據 PCI DSS 要求10.7 進行保留。
R.6
開發并維護安全的系統和應用程序R.6.1制定相關流程,通過使用外部信源獲取安全漏洞信息來識別安全漏洞,并為新發現的安全漏洞指定風險等級(例如“高”、“中”或“低”)。
6.1.a檢查政策和程序,確認已規定以下流程:
識別新的安全漏洞。
為漏洞指定風險等級,包括識別所有“高”風險和“重要”漏洞。
使用外部信源獲取安全漏洞信息。
6.1.a檢查政策和程序,確認已規定以下流程:
識別新的安全漏洞。
為漏洞指定風險等級,包括識別所有“高”風險和“重要”漏洞。
使用外部信源獲取安全漏洞信息。
R.6.2通過安裝供應商提供的適用安全補丁,確保所有系統組件和軟件均杜絕已知漏洞。在發布后一個月內安裝關鍵的安全補丁。
R.6.3遵照如下要求安全地開發內部和外部軟件應用程序(包括基于web 的應用程序管理訪問):
按照 PCI DSS(例如安全驗證和記錄)
基于行業標準和/或最優方法。
將信息安全納入軟件開發的整個生命周期。6.3.a檢查書面軟件開發流程,確認這些流程以行業標準和/或最優方法為基礎。
6.3.b檢查書面軟件開發流程,確認信息安全已納入軟件開發的整個生命周期。
6.3.c檢查書面軟件開發流程,確認軟件應用程序的開發符合PCI DSS。
6.3.d與軟件開發人員面談,確認已實施書面軟件開發流程。
6.3.1在應用程序啟動前或向客戶發布應用程序前,刪除開發、測試和/或自定義應用程序帳戶、用戶ID 和密碼
6.3.2為識別任何潛在的編碼漏洞(采用人工或自動流程),在發布到產品前或向客戶發布前檢查自定義代碼時至少應包括以下方面:
由代碼原作者以外人員以及熟悉代碼審核方法和安全編碼實踐的人員審核代碼變更。
代碼審核可確保代碼的開發符合安全編碼指南
發布前已進行適當修正。
R.6.4系統組件的所有變更均須遵守變更控制流程和程序。該流程必須包括如下內容:
6.4.1開發/測試環境獨立于生產環境,并設置訪問控制,確保兩者分離
6.4.2開發/測試環境與生產環境中的職責分離
6.4.3在測試或開發過程中不使用生產數據(真實的PAN)
6.4.4在生產系統啟動前,刪除測試數據與帳戶
6.4.5應用安全補丁和軟件修改的變更控制程序必須包括以下方面:
6.4.5.a檢查有關應用安全補丁和軟件修改的書面變更控制程序,確認已規定以下方面的程序:
影響記錄
被授權方的變更審批記錄
功能測試,以確認該變更未對系統安全造成不利影響
取消程序
6.4.5.b對于系統組件樣本,與負責人員面談以確定最新的變更/安全補丁,并根據這些變更追溯到相關的變更控制記錄。每次檢查變更時,執行下列步驟:
6.4.5.1確認每次抽取的變更樣本的變更控制文檔記錄已包含影響記錄。
6.4.5.2確認每次抽取的變更樣本都有被授權方的審批記錄。
R.6.5按照以下操作解決軟件開發流程中常見的編碼漏洞:
為開發人員提供關于安全編碼技術的培訓,包括如何避免常見的編碼漏洞,并理解敏感數據在內存中的處理方式。
根據安全編碼指南開發應用程序6.5.a檢查軟件開發政策與程序,確認已要求開發人員必須參加安全編碼技術培訓,且培訓以行業最優方法和指南為基礎。
6.5.b抽取部分開發人員進行面談,確認他們熟悉安全編碼技術。
6.5.c檢查培訓記錄,確認軟件開發人員已接受關于安全編碼技術的培訓,包括如何避免常見的編碼漏洞,并理解敏感數據在內存中的處理方式。
6.5.1注入攻擊,特別是 SQL 注入。同時還須考慮OS 命令注入、LDAP等其它注入攻擊。
6.5.2緩沖區溢出
6.5.3非安全加密存儲
6.5.4非安全通信
6.5.5不正確的錯誤處理
6.5.6漏洞識別流程中確認的所有“高風險”漏洞
6.5.7跨站點腳本 (XSS)
6.5.8不正確的訪問控制(例如不安全的直接對象引用、未能限制URL 訪問、目錄遍歷和未能限制用戶的功能訪問)
6.5.9跨站點請求偽造 (CSRF)
6.5.10失效的驗證與會話管理
R.6.6對于面向公眾的 web 應用程序,應不斷解決新的威脅和漏洞,并通過以下任一方法確保這些應用程序不會受到已知攻擊:
利用手動或自動應用程序漏洞安全評估工具或方法審核面向公眾的web 應用程序,至少每年一次或在有任何變更后進行注:該評估與要求11.2中執行的漏洞掃描不同
在面向公眾的 web 應用程序前安裝可檢查和防范網頁式攻擊的自動化技術解決方案(例如web 應用程序防火墻),用以不斷檢查所有流量。
R.7
按業務知情需要限制對持卡人數據的訪問R.7.1僅有工作需要的個人才能訪問系統組件和持卡人數據。
7.1.1為每個角色定義訪問需要,包括:
每個角色依據工作職能需要訪問的系統組件和數據資源
訪問資源所需的權限級別(例如,用戶、管理員等)
7.1.2將特權用戶 ID 的訪問權限限制為執行工作所需的最小權限。
7.1.3基于個人的工作分類和職能分配訪問權限。
7.1.4要求由指定所需權限的被授權方作出書面批準。
R.7.2為系統組件建立訪問控制系統,以根據用戶的知情需要限制訪問,并且將系統設為“全部拒絕”,特別允許訪問時除外。
該訪問控制系統必須包含以下內容:7.2.1所有系統組件范圍
7.2.2基于工作分類和職能為個人分配權限
7.2.3默認的“全部拒絕”設置
R.8
識別并驗證對系統組件的訪問R.8.1規定并實施政策和程序,確保對所有系統組件中的非消費者用戶和管理員執行以下適當的用戶識別管理:
R.8.2除了分配唯一 ID 以外,至少采用以下一種方法來驗證所有用戶,確保對所有系統組件中的非消費者用戶和管理員執行恰當的用戶驗證管理:
所知,如密碼或口令等
所有,如令牌設備或智能卡等
個人特征,如生物特征等
R.8.3對來自網絡外部人員(包括用戶和管理員)以及所有第三方的遠程網絡訪問(包括基于支持或維護目的的供應商訪問)使用雙因素驗證。
8.4記錄并向所有用戶傳達驗證程序和政策,包括:
選擇強效驗證憑證的指南
關于用戶應如何保護其驗證憑證的指南
關于不重用之前用過密碼的說明
用戶如懷疑密碼可能暴露則應修改密碼
R.8.5不要使用群組、共享或常規ID、密碼或其它驗證方法,具體如下:
常規用戶 ID 已禁用或刪除
用于系統管理和其它重要功能的共享用戶ID 不存在
不使用共享和常規用戶 ID 管理任何系統組件8.5.1針對服務提供商的額外要求:有權遠程進入客戶經營場所的服務提供商(例如POS 系統或服務器的維修商)必須使用每個客戶經營場所獨有的驗證憑證(例如密碼/口令)。
R.9
限制對持卡人數據的物理訪問R.9.1采用適當的場所入口控制,對持卡人數據環境中系統的物理訪問進行限制和監控。
9.1.1利用攝像頭和/或訪問控制機制監控個人對敏感區域的物理訪問情況。核查采集的數據并與其它條目關聯。除非法律另有規定,否則至少存儲三個月。
9.1.1.a確認已使用攝像頭和/或訪問控制機制監控敏感區域的出入口。
9.1.1.b確認攝像頭和/或訪問控制機制受到安全保護,免遭破壞或禁用。
9.1.1.c確認已對攝像頭和/或訪問控制機制實施監控,并且來自攝像頭或其它機制的數據至少保存三個月。
R.9.1.2實施物理和/或邏輯控制,限制對公共網絡插座交換機的訪問。
R.9.1.3限制對無線訪問點、網關、手持式設備、網絡/通信硬件和電信線路的物理訪問。
R.9.2制定相關程序,輕松識別現場工作人員和訪客,包括:
識別新的現場工作人員或訪客(例如發放工卡)
修改訪問要求
廢除或取消現場工作人員和過期訪客的***件(例如工卡)9.2.a檢查流程文檔記錄,確認已制定用于識別和區分現場工作人員與訪客的程序。
9.2.b查看關于識別和區分現場工作人員與訪客的流程,確認:
訪客的身份已清楚識別,并且
能輕松區分現場工作人員和訪客
9.2.c確認驗證流程(如工卡系統)的查看權僅限于授權人員。
R.9.3控制現場工作人員對敏感區域的物理訪問,具體如下:
必須根據個人的工作職能獲取使用權
一旦離職,立即撤消使用權,所有物理訪問機制(例如鑰匙、訪問卡等)均退回或禁用。
R.9.4實施相關程序,識別并批準訪客。
程序應包括以下方面:9.4確認現已實施訪客授權和訪問控制流程,具體如下:
9.4.1.a查看程序并與工作人員面談,確認訪客必須在獲準后方可進入,并且在進入處理或維護持卡人數據的區域時始終有人陪同。
9.4.1.b查看訪客工卡或其它***件的使用情況,確認實體令牌工卡不允許在無人陪同的情況下進入處理或維護持卡人數據的現場區域
9.4.2.a查看經營場所內的人員,確認已使用訪客工卡或其它***件,并能從現場工作人員中輕松分辨出訪客。
9.4.2.b確認訪客工卡或其它***件的有效期。
R.9.5保護所有媒介的實體安全。
9.5.1.a查看存儲場所的實體安全性,確認備份媒介存儲安全。
9.5.1.b確認至少每年檢查一次存儲場所的安全性。
R.9.6嚴格控制任何媒介的內部或外部分發,包括:
R.9.7嚴格控制對媒介的存儲和獲取。
9.7.1檢查媒介盤存記錄,確認已保留記錄,并且至少每年盤點一次媒介。
R.9.8當媒介因業務或法律原因不再需要時應予銷毀,具體如下:
檢查媒介定期銷毀政策,確認該政策涵蓋所有媒介,并具備以下要求:
硬拷貝材料必須粉碎、焚燒或打漿,以合理保證這些硬拷貝材料無法重建。
用于存放待銷毀材料的容器必須安全。
電子媒介上的持卡人數據必須通過安全擦除程序(符合行業認可的安全刪除標準)或通過銷毀媒介實體令其不可恢復。
R.9.9保護通過直接接觸卡本身便可捕獲支付卡數據的設備,以避免設備被篡改和替換。
9.9.1保留一份最新的設備列表。該列表應包含如下信息:
設備的外形、型號
設備的位置(例如設備所安放的現場或設施的地址)
設備的序列號或其它獨特驗證方法
R.9.10確保已記錄、正在使用且所有相關方了解用于限制持卡人數據物理訪問權的安全政策和操作程序。
R.10
跟蹤并監控對網絡資源和持卡人數據的所有訪問R.10.1實施檢查記錄,將對系統組件的所有訪問鏈接到個人用戶。
R.10.2對所有系統組件實施自動檢查記錄以重建以下事件:
10.2.1對持卡人數據的所有個人用戶訪問
10.2.2任何具有 root 或管理員權限的個人執行的所有操作
10.2.3對所有檢查記錄的訪問
10.2.4無效的邏輯訪問嘗試
10.2 5識別和驗證機制的使用和變更(包括但不限于新建帳戶和提升權限)以及具有root 或管理員權限帳戶的所有變更、添加或刪除
10.2.6檢查日志的初始化、關閉或暫停
10.2.7系統級對象的創建和刪除
R.10.3對于每次事件,至少記錄所有系統組件的以下檢查記錄條目:
10.3.1用戶識別
10.3.2事件類型
10.3.3日期和時間
10.3.4成功或失敗指示
10.3.5事件的起因
10.3.6受影響的數據、系統組件或資源的特性或名稱。
R.10.4使用時間同步技術來同步所有關鍵系統的時鐘和時間,并確保實施以下各項以獲取、分配并存儲時間。
10.4.1.a檢查獲取、分配和存儲組織內部正確時間的流程,確認:
只有指定的中央時間服務器能接收外來的時間信號,且外來的時間信號以國際原子時或UTC 為基礎。
當存在多個指定時間服務器時,這些時間服務器會相互同步以保持準確的時間。
系統只接收來自指定中央時間服務器的時間信息。
10.4.1.b對于系統組件樣本,查看與時間相關的系統參數設置,確認:
只有指定的中央時間服務器能接收外來的時間信號,且外來的時間信號以國際原子時或UTC 為基礎。
當存在多個指定時間服務器時,這些指定的中央時間服務器會相互同步以保持準確的時間。
系統只接收來自指定中央時間服務器的時間。
R.10.4.2時間數據受保護。
10.4.2.a檢查系統配置和時間同步設置,確認僅有業務需要的人員才能訪問時間數據。
10.4.2.b檢查系統配置、時間同步設置和日志以及流程,確認已記錄、監控并審核關鍵系統中時間設置的任何變更。
R.10.4.3時間設置來自行業認可的時間來源。
R.10.5保護檢查記錄,禁止進行更改。
10.5.1只允許有工作需要的人查看檢查記錄。
10.5.2防止檢查記錄文件受到非授權修改。
10.5.3即時將檢查記錄文件備份到難以更改的中央日志服務器或媒介中。
10.5.4將向外技術的日志寫入安全的內部中央日志服務器或媒介設備。
10.5.5對日志使用文件完整性監控或變更檢測軟件可確保未生成警報時無法變更現有日志數據
R.10.6審核所有系統組件的日志和安全事件以識別異常情況或可疑活動。
10.6.1.a檢查安全政策和程序,確認已規定程序,以手動或采用日志工具至少每天審核一次以下內容:
所有安全事件
可存儲、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統組件的日志
所有關鍵系統組件的日志
執行安全功能的所有服務器和系統組件(例如,防火墻、入侵檢測系統/入侵防御系統(IDS/IPS)、驗證服務器、電子商務重定向服務器等)的日志
10.6.1.b查看流程并與工作人員面談,確認至少每天審核一次以下內容:
所有安全事件
可存儲、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統組件的日志
所有關鍵系統組件的日志
執行安全功能的所有服務器和系統組件(例如,防火墻、入侵檢測系統/入侵防御系統(IDS/IPS)、驗證服務器、電子商務重定向服務器等)的日志
R.10.7保留檢查記錄歷史至少一年,其中最少3 個月的記錄可立即訪問以供分析(例如,在線、存檔或可從備份恢復)。
10.7.a檢查安全政策和程序,確認規定以下內容:
檢查日志保留政策
關于保留檢查日志至少一年的程序,其中最少 3 個月的日志可立即在線訪問。
10.7.b與工作人員面談并查看檢查日志,確認檢查日志至少一年可用。
R11
定期測試安全系統和流程。R.11.1實施流程以測試是否存在無線接入點(802.11),并按季度檢測和識別所有授權和非授權的無線接入點
11.1.a檢查政策和程序,確認已規定相應的流程,以按季度檢測并識別授權和非授權的無線接入點。
11.1.b確認所用方法足以檢測并識別任何非授權無線接入點,其中至少包括:
在系統組件中插入 WLAN 卡
將系統組件連接到便攜或移動設備以創建無線接入點(例如通過 USB 等)
將無線設備連接到網絡端口或網絡設備
11.1.c檢查最近的無線掃描結果,確認:
已識別出授權和非授權無線接入點,且
至少每季度掃描一次所有系統組件和設施。
11.1.d如果采用自動監控(例如無線IDS/IPS、NAC 等),確認配置會發出警報以通知工作人員。
R.11.2至少每個季度運行一次內部和外部網絡漏洞掃描,并且在網絡有任何重大變化(例如安裝新的系統組件,更改網絡拓樸,修改防火墻規則,產品升級)時也運行漏洞掃描。
11.2.1執行每季度一次的內部漏洞掃描,并視需要重復掃描,直至所有“高風險”漏洞(具體規定請參閱要求6.1)均得以解決。必須由合格人員執行掃描。
11.2.2通過由支付卡行業安全標準委員會(PCI SSC) 認證的授權掃描服務商(ASV) 執行每季度一次的外部漏洞掃描。視需要執行重復掃描,直至獲得掃描通過結果。
11.2.3在發生任何重要變更后,視需要執行內部和外部掃描和重復掃描。必須由合格人員執行掃描。
R.11.3實施一種包含以下內容的穿透測試法:
以行業認可的穿透測試法為基礎(例如 NIST SP800-115)
包括覆蓋整個CDE 環境和關鍵系統
來自網絡內部和外部的測試
包括用于驗證任何網段和范圍縮小控制的測試
定義應用層穿透測試,至少包括要求 6.5 中列出的漏洞
定義網絡層穿透測試,包括支持網絡功能和操作系統的組件
包括審核并考慮過去12 個月內遇到的威脅和漏洞
指定保留穿透測試結果和修復活動結果。11.3.1每年至少執行一次外部穿透測試,并且在基礎架構或應用程序有任何重要升級或修改時(例如操作系統升級、環境新增子網絡或環境新增web 服務器)也執行該測試。
11.3.2至少每年執行一次內部穿透測試,并在基礎架構或應用程序有任何重要升級或修改(例如操作系統升級、環境新增子網絡或環境新增web 服務器)后也執行該測試。
R.11.4利用入侵檢測和/或入侵防御技術來檢測和/或防御網絡入侵。監控持卡人數據環境周圍以及持卡人數據環境中關鍵點的所有流量,并警示工作人員注意可疑威脅。
11.4.a檢查系統配置和網絡圖,確認目前已采用相關技術(例如入侵檢測系統和/或入侵防御系統)監控以下位置的所有流量
持卡人數據環境周圍
持卡人數據環境中的關鍵點
11.4.b檢查系統配置并與負責人員面談,確認入侵檢測和/或入侵防御技術會在發現可疑威脅時向工作人員發出警報。
11.4.c檢查IDS/IPS 配置和供應商文檔記錄,確認已按照供應商的說明對入侵檢測和/或入侵防御技術進行配置、維護和升級,以確保提供最佳保護。
R11.5部署變更檢測機制(例如文件完整性監控工具),在發現重要的系統文件、配置文件或內容文件出現非授權修改時警示工作人員;同時配置該軟件至少每周執行一次重要文件比對。
11.5.a查看系統設置和受監控文件,并審核監控活動結果,確認已在持卡人數據環境中使用變更檢測機制。
應予以監控的文件有:
系統可執行文件
應用程序可執行文件
配置和參數文件
集中存儲文件、歷史或歸檔文件、日志和檢查文件
由實體(通過風險評估或其它方法)確定的其它重要文件
11.5.b確認已配置該機制,可在重要文件出現非授權修改時警示工作人員,并至少每周執行一次重要文件比對。
R.12
維護針對所有工作人員的信息安全政策12.1制定、公布、維護和宣傳安全政策
12.1.1至少每年審核一次安全政策,并在環境發生變更時予以更新。
12. 2.a確認每年一次的風險評估過程有文檔記錄,確定資產、威脅和漏洞,并形成正式的風險評估。
12. 2.b審核風險評估文檔記錄,確認至少每年執行一次風險評估過程,并在環境有重大變更時也執行。
R.12.2實施符合以下條件的風險評估流程:
至少每年執行一次評估,并在環境發生重大變更時(例如收購、合并、遷址等)也執行評估;
確定重要資產、威脅和漏洞;以及
形成正式的風險評估。
R.12.3制定關鍵技術的使用政策,并規定這些技術的正確用法。
12.3.1被授權方的明確許可
12.3.2技術使用驗證
12.3.3一份列出所有此類設備和具有訪問權的工作人員的列表
12.3.4一種確定負責人、聯系信息和用途
12.3.5可接受的技術使用方式
12.3.6技術可接受的網絡位置
12.3.7公司批準的產品列表
12.3.8非活躍狀態持續一定時間后自動中斷遠程訪問技術的會話
12.3.9僅在供應商和業務合作伙伴需要時為其激活遠程訪問技術,并在使用后立即停用
12.3.10對于通過遠程訪問技術訪問持卡人數據的工作人員,除非因規定的業務需要獲得明確許可,否則禁止將持卡人數據復制、移動和存儲到本地硬盤及可移動電子媒介上。如果有經批準的業務需要,使用政策必須規定應按照所有適用的PCI DSS 要求保護數據。
R.12.4確保安全政策和程序明確規定所有工作人員的信息安全責任。
R.12.5將下列信息安全管理職責分配給個人或團隊:
12.5.1確認已正式分配制定、記錄和分發安全政策與程序的職責。
12.5.2確認已正式分配安全警報的監控和分析職責,以及向適當的信息安全與業務部門管理人員分發信息的職責。
12.5.3確認已正式分配建立、記錄并分發安全事故響應和逐級上報程序的職責。
12.5.4確認已正式分配用戶帳戶管理(添加、刪除和修改)和驗證管理的職責。
12.5.5確認已正式分配監控并控制所有數據訪問的職責。
R.12.6實施正式的安全意識計劃,使所有工作人員意識到持卡人數據安全的重要性。
12.6.a審核安全意識計劃,確認該計劃使所有工作人員意識到持卡人數據安全的重要性。
12.6.b檢查安全意識計劃程序和文檔記錄并執行以下操作:
12.6.1人員一經錄用即進行培訓,此后每年至少培訓一次。
12.6.2要求工作人員每年至少確認一次自己已閱讀并了解安全政策和程序。
R.12.7在錄用人員前篩選應征者,以最大程度地降低內部攻擊的風險。(背景調查包括以往的工作經歷、犯罪記錄、信用記錄以及證明人調查。)
R.12.8維護并實施政策和程序,以管理共享持卡人數據或可影響持卡人數據安全的服務提供商,具體方式如下:
12.8.1確認已保留一份服務提供商名單。
12.8.2查看書面協議并確定服務提供商確認其負責維護所持有的持卡人數據,或以其它方式代表客戶存儲、處理或傳輸的持卡人數據的安全,或在可能影響持卡人數據環境安全性的程度內維護數據安全。
12.8.3確認已記錄并實施此政策和程序(包括雇用任何服務提供商之前相應的盡職調查)。
12.8.4確認組織通過維護一項計劃來監控(至少每年一次)服務提供商的PCI DSS 遵從性狀態。
R.12.9針對服務提供商的額外要求:服務提供商以書面形式向客戶確認其負責維護所持有的持卡人數據,或以其它方式代表客戶存儲、處理或傳輸的持卡人數據的安全,或在可能影響持卡人數據環境安全性的程度內維護數據安全。
12.9.1.a確認事故響應計劃包括:
出現威脅時的角色、責任以及溝通策略,至少包括支付品牌通知
詳細的事故響應程序
業務恢復和繼續程序
數據備份流程
報告威脅的法律要求分析(例如,“加州參議院第1386 號法案”要求,數據庫中有加州居民資料的任何公司在發現實際威脅或懷疑出現威脅時都應通知受影響的消費者)
所有關鍵系統組件的范圍和響應
支付品牌對事故響應程序的參考或應用
12.9.1.b從之前報告的事故或警報中選取樣本,與工作人員面談并查看文檔記錄,確認已遵循書面事故響應計劃和程序。
12.9.2至少每年測試一次計劃。
12.9.3指定可全天候響應警報的特定人員。
12.9.4為具有安全漏洞響應責任的員工提供恰當的培訓。
12.9.5包含來自安全監控系統(包括但不限于入侵檢測系統、入侵防御系統、防火墻和文件完整性監控系統)的警報。
12.9.6根據以往的經驗教訓并結合行業發展情況,制定修改并改進事故響應計劃的流程。
以上這些需求包括了對服從性的周期性報告(ROC),漏洞掃描,滲透測試和Web應用測試等規范要求,如果你的企業需要進行IT審計那么這是必備內容。
根據PCI生成的報告:
以上僅僅是OSSIM平臺在有關PCI報表方面小眾內容展示,更多內容請大家參閱《Unix/Linux網絡日志分析與流量監控》一書中有關OSSIM的章節。
