超级会员免费看
强化PCI合规性:访问控制与认证策略深度解析
1. 强大的访问控制
- 供应商账户管控 :对供应商用于支持系统的账户需进行严格控制。若正确实施此要求,本可避免或至少延缓2013年Target数据泄露事件。供应商账户在系统上的授权级别各异,但在不使用时应予以禁用,并在使用期间进行监控。支持账户形式多样,可能由原始设备制造商(如IBM或Cisco)提供,也可能来自第三方(如SunGard或四大会计师事务所的部门)。无论如何,所有通用供应商账户在不使用时都必须禁用。为监控会话情况,可让供应商登录Citrix门户访问机器并记录整个会话。基于命令的机器可利用常见应用(如sudo)内置的日志记录工具,或使用UNIX shell的历史功能,并将日志存储在供应商无写入权限的位置。对于Unix系统,可查看用Rust编写的新Secure Shell (SSH)堡垒主机包(https://github.com/warp-tech/warpgate)。
- 用户锁定机制
- 空闲会话超时(要求8.2.8) :空闲会话在15分钟无活动后应超时。但此要求存在多种解读,有些解读甚至会破坏业务功能。例如,Matt在大型机上手动运行一个需一小时多才能完成的进程,输入命令后,任务运行时会话基本冻结,任务完成后恢复交互。一些合格安全评估员(QSAs)认为任务开始15分钟后会话应超时,这会导致进程异常终止。此要求不应适用于所有可能的会话启动方式,而应灵活应用于整个环境。若所有大型机会话都从基于Windows的工作站启动,需确保工作站满足会话超时要求,因为大型机会话在Windows会话内运行
订阅专栏 解锁全文
扫一扫
71
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
