涉及产品:
- 防火墙
- 杀毒软件
- VPN(ipsec+SSL)
- SOC日志审计
- 漏洞扫描
- 网站监测(其实应该算作服务)
- web应用防火墙
- 堡垒机(跳板机)
- APT沙盒(建议)
- 数据库审计(建议)
涉及服务
- 每季度一次的漏洞扫描或风险评估
- 每年一次黑盒、白盒渗透测试
- SDL开发
- 安全加固
- 安全事件应急响应
- 安全培训
要求1:安装并维护防火墙配置,以保护持卡人资料(防火墙)
要求2:系统密码和其他安全参数不使用供应商提供的默认配置(基线核查)
要求3:保护存储的持卡人资料
- 限制资料存储的大小和保留时间
- 不得存储敏感的验证资料(验证后必须删除敏感资料)
- 保护和加密持卡人的资料
要求4:在公网传输持卡人资料需要加密(VPN)
禁止使用无线的wep认证
要求5:使用并定期更新杀毒软件版本和病毒库(EDR+APT沙盒)
- 5.1 在所有经常受恶意程序影响的系统上部署杀毒软件(特别是个人电脑和服务器上)
- 5.2 确保所有杀毒机制都是最新并且在执行,而且能够产生杀毒日志
要求6:开发、维护安全系统和安全应用
- 6.1 要求有安全加固措施和管理
- 6.2 建立一个程序来识别新发现的安全漏洞,以解决新漏洞问题(网站监测+安全事件邮箱报告)
- 6.3 SDL开发
- 6.4 跟踪对系统组件进行所有变更的变更控制程序(堡垒机可辅助)
- 6.5 基于安全编码指南开发所有的web应用(至少不能出现OWASP中的漏洞)
- 6.6 对于面向公众的web应用,常见解决新的威胁和漏洞,并确保保护这些应用不受到一下任一方法的攻击:
- 透过手动或自动应用漏洞安全评估工具或方法检查面向公众的web应用,至少每年一次并在所有变更后进行检查
- 在面向公众的web应用前端安装web应用防火墙
要求7:数据访问控制:限制为只有业务需要知道的人才能存取持卡人资料
- 权限分配要最小权限分配
- 管理层要指定权限分配标准并标明原由
要求8:为每位拥有电脑存取权的使用者分配唯一的ID
- 要使用双因子认证(比如usb-key、otp令牌)
- 要求遵守标准的密码管理
- 远端操作时需要使用vpn
- 使用适当的加密技术使密码不可明文存取
要求9:限制对持卡人资料的实体存取(打印持卡人资料后需要物理销毁)
要求10:跟着和监控存取网络资源和持卡人资料的所有操作(应用写日志+日志审计+DB审计)
- 10.6保护日志完整性,防止被篡改
- 10.7日志保存至少要一年,至少能立即查看三个月的日志。
要求11:定期测试安全系统和安全应用(IDP入侵检测和防御+渗透测试+SOC)
- 11.1 要求有无线IPS/IDS,并每季度使用无线分析仪器测试无线存储点是否存活
- 11.2 至少每季度或进行重大变更时都要进行漏洞扫描(供应商要有ASV资质)
- 11.3 外部和内部渗透测试每年至少进行一次,基础架构和应用有任何重大升级或修改后也要进行渗透测试(例如作业系统升级、环境中新增加子网络和环境中新增加服务器),渗透测试必须包括网络渗透测试、应用渗透测试。
- 11.4 使用入侵检测和入侵防御系统,以监测持卡人资料环境中的所有流量并在发现可以威胁时提醒管理员。随时更新所有入侵检测引擎和入侵防御引擎。
- 11.5 要求监控:
- 操作系统可用性
- 应用可用性
- 性能和访问参数记录
- 几种存储的、历史的或封存的日志记录和稽核记录
要求12:维护处理适用于所有工作人员的信息安全政策
要有安全管理准则并定期维护
每年至少进行一次风险评估
每天都要对使用者日志进行安全审查
对重要技术和数据制定使用政策
对安全组工作人员明确划分职责
定期培训员工提高安全意识和警告安全违规行为
录用员工时要进行背胶调查
网友评论