支付卡行业数据安全标准（PCI DSS）学习笔记

       PCI DSS 支付卡行业数据安全标准共有6个部分，分别是建立并维护安全的网络和系统（为数据构建安全的数据环境），保护持卡人数据（通过数据加密提高数据存储和传输安全性），维护漏洞管理计划（开发安全的软件并监管软件和系统的漏洞），实施强效访问控制措施（对数据访问进行监管），定期监控并测试网络（跟踪对数据的访问，对所有安全措施进行定期测试）和维护信息安全政策（工作人员保护数据的责任）。

         第一部分，建立并维护安全的网络和系统。首先根据网络图和数据流图，对服务、协议、端口进行记录，参考防火墙配置要求构建防火墙和路由器，限制数据环境与网络的连接，禁止互联网与系统组件之间的直接公共访问，即使是在外网中使用的个人设备也应该有统一安装个人防火墙软件。其次，始终更改供应商提供的默认值并禁用/删除默认账户，对所有系统组件制定配置标准，同时利用SSH,VPN或SSL/TLS等技术对所有非控制台访问进行加密。

         第二部分，保护持卡人数据。分别在数据存储和数据传输两方面实现数据保密。首先实施数据保留和处理政策，尽量减少数据的存储量同时使敏感数据加密不可读，同时进行密钥管理。在数据传输过程中，使用强效加密法和安全协议来保护数据。

         第三部分，维护漏洞管理计划。部署杀毒软件并维护杀毒机制。不断更新安全漏洞信息，不断更新安全补丁，并在软件编写过程中注意不出现软件漏洞，开发、测试和生产环境相互分离。

         第四部分，实施强效访问控制措施。分为限制对数据的访问，对数据访问过程中操作追踪到用户个人，监控物理访问。首先只授权访问执行工作所需的最低限度的数据量和权限，为有访问权限的每个人分配唯一标示符并有合理的用户验证管理。利用摄像头和访问控制机制监控对敏感区域的物理访问，保护所有媒介的物理安全。

         第五部分，定期监控并测试网络。系统组件实施自动检查记录，定期审核日志和安全事件。定期进行漏洞扫描，定期实施穿透测试，实施入侵检测/入侵防御。

         第六部分，维护信息安全政策。工作人员应了解数据敏感性以及保护这些数据的责任。

要求1：安装并维护防火墙配置以保护持卡人数据。（控制数据流流入流出）

1.1   建立实施配置标准

1.1.1         检查书面程序，包括网络连接和变更记录。

1.1.2         检查网络图表和网络配置。

1.1.3         检查数据流程图表。（存储、处理或传输数据的位置）

1.1.4         检查防火墙配置标准。

1.1.5         网络组件负责人安排。

1.1.6         所有服务、协议和端口的文档记录。

1.1.7         定期审核防火墙路由器规则集。

1.2   构建防火墙和路由器配置

1.2.1         将输入和输出限制到需要的范围。

1.2.2         保护和同步路由器配置文件。（重启时保证路由器规则）

1.2.3         安装外围防火墙。

1.3   禁止互联网直接访问

1.3.1实施DMZ。（DMZ(DemilitarizedZone)即俗称的非军事区，作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。）

1.3.2 检查防火墙和路由器，仅向DMZ内的IP地址输入互联网流量。

1.3.3 禁止直接连接互联网的流量进出。

1.3.4 执行反欺骗措施以阻止伪造的IP输入流量。（反欺骗措施，常用的是加密技术，IPsec和SSL???具体不太清楚如何做，使用加密和认证就能够防止输入端改变IP地址吗，伪造的IP地址不会影响IPsec加密过程吗，是因为存在第三方识别真实IP地址吗？）

1.3.5 禁止到互联网的非授权流量输出。

1.3.6 状态检查（只有已经建立的连接才能进入网络。）

1.3.7 将敏感数据放置到隔离的内部网络中。

1.3.8 不要讲私人IP地址和路由信息泄露给非授权方。（防止黑客使用内部IP地址访问）掩盖IP地址的方法包括但不限于：网络地址转换（NAT），使用代理服务器，删除或过滤针对采用注册地址的专用网络的路由器广告（？？？），在内部使用RFC1918地址（私有地址空间：10.0.0.0- 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255）（根据特定网络技术采用不同方法，例如IPV4和IPV6使用不同的控制措施？为什么不同？有何不同？）

         1.4连接互联网的员工设备上安装个人防火墙。（保护设备免受网络攻击，在工作时连接内网的设备，在内网之外也要做好保护措施，有特定的配置设置，设备用户无法更改）

         1.5确保相关方了解防火墙管理的安全政策和操作程序。

 

从前期的细节准备到后期的管理，几乎所有需要注意的细节都已经写出来，只需要再与安全负责人根据指南实施细节，例如防火墙配置标准是什么，数据的输入和输出应该限制到多大的范围合适，路由器配置文件都有哪些需要更改，IP反欺骗措施应该采取哪种方法合适，员工设备上个人防火墙设置到什么程度等等。这些细节单独拿出来也都是问题。

 

要求2：不要使用供应商提供的默认系统密码和其他安全参数

2.1 始终更改供应商默认值并删除或禁用不必要的默认账户。（即使不打算使用默认账户也应该将默认密码修改为强效密码并禁用，防止恶意个人重启账户使用默认密码进行访问）

         2.1.1对可以连接到持卡人数据环境的无线环境，在安装时更改无线供应商的默认值。2.2 制定适合所有系统组件的配置标准。（确保标准能够解决所有已知的安全漏洞并与养也认可的系统强化标准一致）

         2.2.1每台服务器仅执行一项主要功能，以防一台服务器上有需要不同安全级别的功能。（有虚拟化技术时，检查系统配置，确认每个虚拟系统组件仅执行一项主要功能）

         2.2.2仅启动必要服务、协议、守护进程等。