综述
PCI DSS是支付卡产业的重要安全标准,随着国内支付卡行业的发展,逐步引起相关部门的高度重视。
此案例即为某银行信用卡中心为了贯彻实施此标准,首先委托祥麒咨询基于标准要求对其上游的供应商,进行基于PCI标准的评估。
实施步骤
对于PCI这样的专业领域安全标准,除了遵守常用的信息安全管理要求(如ISMS中的要求),同时也必须针对PCI的技术规范和特定要求,进行针对性的扫描和评估。这对于PCI实施团队无疑提出了更高的要求。
因此,祥麒咨询制定了如下实施计划:启动安全计划(预先分析、评估银行支付卡业务中存在的安全问题);初始化风险评估;应用风险评估工具,实施脆弱性扫描;现场检查;追踪控制策略;符合性判断;提出解决对策(建立安全运营保障流程机制,提升技术人员安全意识等);形成总体符合性报告;最终建立长期的跟踪验证机制。
主要步骤示意图
主要风险点
此次PCI评估通过人员访谈、安全策略追踪、安全扫描、和技术工具评估等多种风险评估手段的发现,此银行卡业务相关的供应商数据环境呈现出以下三个特点:
a). 具有基本的信息安全需求及观念,制度建设(文件化)相对薄弱
b). 信息基础设施的内部安全威胁大于来自外部的安全威胁
c). 高要求的客户和迅速发展的业务对信息系统安全提出了考验
本次安全评估,发现供应商的相关信息系统在以下方面具有安全风险:
| PCI DSS 条款 |
风险级别 |
| 条款 1:安装并且维护防火墙以保护持卡人数据 |
高 |
| 条款 2:避免使用供应商提供的默认系统口令和其他安全参数 |
中 |
| 条款 3:保护存储的持卡人数据 |
低 |
| 条款 4:加密开放公共网络上的持卡人数据传输 |
低 |
| 条款 5:使用定期升级的防病毒软件或计算机程序 |
高 |
| 条款 6:开发并维护安全的系统和应用 |
中 |
| 条款 7:根据业务需要限制对持卡人数据的访问 |
高 |
| 条款 8:为每一个具有计算机访问权限的用户分配唯一的ID |
中 |
| 条款 9:限制对于持卡人数据的物理访问 |
中 |
| 条款 10:追踪并监控对网络资源和持卡人数据的所有访问 |
低 |
| 条款 11:定期测试安全系统和流程 |
中 |
| 条款 12:维护一个策略用以向员工和合同商传达信息安全 |
低 |
a). 安装并且维护防火墙以保护持卡人数据 (条款 1)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
| 建立防火墙配置标准,包括: |
|
|
一个正式的流程,用以对所有的外部网络连接和防
火墙配置变更进行批准和测试 |
不符合 |
略 |
当前的网络图中必须标明所有连接到持卡人数据的
所有连接(包括所有无线网络连接) |
不符合 |
略 |
b). 避免使用供应商提供的默认系统口令和其他安全参数 (条款 2)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
为所有的系统组件开发配置标准。
保证这些标准考虑了所有已知的安全弱点,并与行
业认可的系统加固标准相一致,例如,由SANS、
NIST和CIS定义的相关标准。 |
不符合 |
略 |
主机服务商必须保护各实体的主机环境和数据。
这些服务商必须满足一些特定的要求(详见
附录A :“PCI DSS对于主机服务商的适用性”) |
不符合 |
略 |
c). 使用定期升级的防病毒软件或计算机程序 (条款 5)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
确保所有的防病毒措施及时更新和正常运行,并能
生成审计日志。 |
不符合 |
略 |
d). 开发并维护安全的系统和应用 (条款 6)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
对所有系统和软件配置的修改,都必须按照变更控
制过程进行。变更控制过程包括: |
不符合 |
略 |
| 记录所受到的影响 |
不符合 |
略 |
| 测试操作功能 |
不符合 |
略 |
| 恢复程序 |
不符合 |
略 |
e). 根据业务需要限制对持卡人数据的访问 (条款 7)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
为多用户系统建立一套机制:按照“因需知晓”的
原则进行访问控制,除非获得特别许可,“拒绝所
有”访问。 |
不符合 |
略 |
f). 为每一个具有计算机访问权限的用户分配唯一的ID (条款 8)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
使用唯一的用户名来鉴别用户,此后才允许他们访
问系统组件或持卡人数据 |
不符合 |
略 |
除了分配唯一的ID,至少采用下列方式的其中一种
方法以鉴别所有用户:
• 口令
• 令牌设备(例如,SecureID,证书或公开密钥)
• 生物特征 |
不符合 |
略 |
g). 限制对于持卡人数据的物理访问 (条款 9)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
使用摄像机监视敏感区域。审计收集到的数据,并
与其他入口(的数据)相关联。(数据)至少保存
三个月,除非法律另作限制 |
不符合 |
略 |
k). 定期测试安全系统和流程 (条款 11)
| PCI DSS 要求 |
符合性 |
推荐控制措施 |
每年对安全控制措施、网络连接和限制措
施进行测试,以确保具备充分的识别和阻止非授权
访问的能力。
至少每季度使用无线分析工具识别所有使用中的
无线设备。 |
不符合 |
略 |
内部和外部网络弱点扫描至少每季度一次,在网络
发生重大变更(例如,安装了新的系统组件,网络
拓扑发生变化,防火墙配置变更,产品升级)后亦
需执行。
注:每季度的外部弱点扫描必须交由经过支付卡行
业资格认定的扫描服务商执行。网络变更后的扫描
可由组织内部人员执行。 |
不符合 |
略 |
实施感想
此次PCI评估结束之后,笔者不禁想起了庄子的名句“吾生也有涯,而知也无涯”——针对于特殊行业如金融系统的信息安全涉及广泛,涵盖了标准、技术、管理、审核等若干领域,内容确实庞杂繁多,无论怎样学习,似乎知识总是难以穷尽。
但祥麒咨询团队为了在业内落实先进的技术标准,帮助客户实施信息安全保障,将“知其不可为而为之”,一往直前地探索下去!
作者:上海祥麒信息技术有限公司 刘峰
