四、实施强效的访问控制

PCI DSS的第四个区域就是实施强效的访问控制，这里的访问控制不仅仅是前面提到的针对某个系统的访问控制，而是针对持卡人数据环境的所有访问来说的；不仅仅是某些具体的业务，应用程序，还有系统组件以及物理的访问等等统统要在我们的访问控制的措施保护之内。

要求7 ：按业务知情需要限制持卡人数据的访问

按业务的知情需要，知情需要，我的理解就是能保证工作人员正常执行工作职责的最小权限。也正好就是我们上面提到的最小权限原则，只授予用户必要的权限，不要过度授权，这样也减少系统、网络、应用、数据库出错的机会。

7.1 仅有工作人员需要的个人才能访问系统组件和持卡人数据

7.1

首先我们要减少对持卡人数据的访问，只有那些有工作需要并且有明确授权的用户才能访问持卡人数据所在的环境的系统组件或者持卡人数据。
对于我们怎么才能控制因为工作需要且有明确授权的用户访问呢，我们需要有一定的访问控制流程来实现，至少满足下面的这些要求（7.1.1+7.1.4）

7.1.1 为每个角色定义访问需要

7.1.1

包括：
1、每个角色依据工作职能需要访问的系统组件和数据资源
2、访问资源所需的全线级别（例如，用户、管理员等）
我们之前已经用到了用户和用户组的管理方法来进行网络组建的管理，罪域每个用户，每个角色我们根据每个角色的需求来确定他是否对一个系统组件或者数据有访问权限。
比如我们一个测试人员，他应该只对测试环境的数据和组件有访问权限，对线上的数据没有访问需求，也就不分配访问权限。
我们要根据每一个角色工作和业务需要授予他必要的权限，在确保最先权限的原则的同时我们要保证授予的权限足够角色进行正常的工作。

7.1.2 将特权用户ID的访问权限限制为指定工作职责所需的最小权限

7.1.2-1
7.1.2-2

特权用户ID就是指的某些应用程序或者服务的特权用户，比如数据库的管理员，备份管理员。在默认情况下这些应用程序或者服务的特权用户可能会拥有超出他所需要执行工作之外的权限；所有我们要对这些特权用户进行授权管理，确保分配给他们的权限也符合最小权限原则。

7.1.3 基于个人的工作分类和职能分配访问权限

7.1.3

就是对于个人的工作和职能累分配权限。在我们以及定义了觉得的访问需求之后，我们需要将这个需求转化为对应的权限，我们就可以根据之前定义和角色来赋予个人访问权限。

7.1.4 需要制定所需权限的被授权方作出书面批准

7.1.4

对于对个人进行赋予对用的角色的操作我们需要有一定的记录，以供检查，确保我们授予的权限和分配给个人的角色匹配。

7.2 为系统组件监理访问控制系统，以根据用户的知情需要限制访问，并将系统设为“全部拒绝”，特别允许访问时除外

7.2

这就是白名单的思想，我们为系统组件建立访问控制的系统，默认是所有的人都不能访问，然后建立白名单，只有特别允许访问的才能访问。
该访问控制系统必须包含以下内容：

7.2.1 所有系统组件范围

7.2.2 基于工作分类和职能为个人分配权限

7.2.3 将“拒绝全部”设为默认配置

7.2.1-7.2.3

对于这个系统组件的访问控制系统我们必须要保证至少达到上面三个要求。
首先确保所有的系统组件在我们的访问控制系统的保护内，然后我们确定我们这个访问控制系统已经根据PCI DSS的要求为个人分配了权限，最后我们要保证默认设置是默认是“DENY ALL”，拒绝所有，使用白名单会比黑名单安全很多。

7.3 确保已记录、正在使用且所有相关方了解用于持卡人数据访问的安全政策和操作程序

7.3

每一个要求的最后都有一个这样的小要求。我们要确保我们制定的限制对持卡人数据访问的方案有详细的记录，并且相关的工作人员都已经学习，并严格遵守。

总结

总的来说要求7主要提到三个思想，第一个是最小权限的原则，第二个是对个人使用已创建的角色来赋予权限的思想，第三个就是白名单的思想了。
最小权限就不说了前面提了很多次。说说第二个，这个就是我们首先定义每个角色，比如，测试员，操作员，监控员这样不同的角色，同时对每个角色定义所需的访问需求，明确角色和相对应的访问需求后（比如监控员只查看所有的配置的权限，没有更改的权限），这样我们就可以根据个人的工作职能来授予访问权限了。白名单呢，在很多方面是比黑名单更加安全的，我们默认拒绝所有的，只接受我们认为安全的。