NCR
安全的软件配置
1.
保护
BIOS
BIOS
是一组程序,通常位于固件(
PROM
、
EEPROM
或闪存)之中,用于让计算机的
CPU
与外围设备进行通
信。保护
BIOS
对于保证
ATM
机的安全至关重要。
NCR
推荐采用
“NCR
安全远程
BIOS
更新
”
。
•
通过软件分发,为
Pocono
、
Riverside
、
Talladega
及
Kingsway
内核远程提供
BIOS
保护;
•
把
BIOS
配置为只能从主硬盘引导;
•
设置客户指定的
BIOS
密码;
•
设置
UUID
。
BIOS
防护未做
2.
密码设置策略
NCR
建议,密码长度至少为
14
个字符,而且不要包含超过两个来自用户名的连续字符。
•
密码也应该足够复杂,而且应当包含以下
4
个类别中的至少三个。
○
英文大写字母字符
(A
–
Z)
○
英文小写字母字符
(a
–
z)
○ 10
个基本数字
(0
–
9)
○
非字母数字字符(例如:
!@#$%
)
•
用户和管理员帐户密码必须每
90
天更改一次。
安全策略
3.
实施通信加密
PCI DSS
规定,通过公共网络发送的持卡人数据必须进行加密。
NCR
进一步建议不要采取以下做法:
○
在
ATM
上进行最终用户消息传递
○
通过公共网络发送持卡人数据
NCR
建议采用
NCR
安全
TLS
加密通信。
已有
4.
建立防火墙
通常情况下,防火墙能够阻止所有外来的通信连接,但必须对它们进行明确的配置。所有的外向通信是默认允许
的。关于这方面的更多信息,请参阅您的防火墙产品文档。
第三方防火墙产品
5.
删除系统未使用的服务和应用程序
下表列出了一些应用程序的例子,如果您在
ATM
机中不使用这些应用程序,则建议您从
ATM
软件栈中删除它们:
应用程序
文件名
说明
/
用途
地址解析协议
arp.exe
显示
/
编辑网络地址
文件属性
attrib.exe
显示
/
编辑文件属性
文件传输协议
ftp.exe
在两个主机之间传递文件
NetBiosover
TCP/IP
nbtstat.exe
显示网络信息
网络统计
netstat.exe
显示网络信息
名称服务器查找
nslookup.exe
显示网络信息