信用卡安全規范要求
國際信用卡安全規范要求主要組織為6個主要分類,要實現完全符合,企業必須滿足12項要求:
• 建立一個安全的網絡 要求1及2
• 安裝及維護一個防火牆設置,保護信用卡用戶信息
• 不允許使用供應商缺省的系統密碼或其他缺省安全參數
• 保護信用卡持卡人的數據:要求3及4
• 保護存儲的信用卡用戶數據
• 在公共網絡上以加密的方式傳輸信用卡用戶數據
• 建立及維護一個威脅防范系統:要求5及6
• 采用定期升級的殺病毒軟件
• 開發及維護安全的系統及應用
• 實施高度安全的登陸控制:要求7、8及9
• 對需要獲取信用卡用戶數據的業務做接觸限制
• 每一個登陸的計算機用戶賦予唯一ID
• 不允許物理上接觸信用卡數據
• 經常性地監控及測試網絡: 要求10及11
• 查詢及監控所有網絡資源及信用卡用戶數據
• 經常測試安全系統及流程
.
梭子魚如何符合信用卡安全規范
梭子魚應用防火牆,包括WEB應用防火牆及應用安全網關,設計目標是簡單及成本效率高的解決方案,達到PCI
DSS規范要求。
.
要求 梭子魚應用防火牆 .
1–安裝防火牆 達到網絡防火牆及應用防火牆要求
.
3–保護數據 代理WEB流量,隔離Web服務器而不允許黑客直接接觸 .
4–加密 如果應用或者服務不提供SSL加密,應用防火牆提供SSL加密 .
6–保護應用威脅 阻斷已知的或者零時攻擊,同時阻斷客戶開發的、已有的、第三方的應用的前10個WEB應用攻擊 .
7–限制接觸 提供基於角色的安全政策管理 .
8–賦予獨特的IDs 集成外部認證系統,如LDAP等,賦予單一ID .
10–跟蹤及監控登陸 提供應用層登陸,並與AAA系統整合
.
.
PCI
DSS規范最重要方面是保護應用威脅攻擊,包括代碼安全准則如開放WEB安全項目(OWASP).應用防火牆能完全防護以下安全威脅:
.
要求 梭子魚應用防火牆 .
6.5.1 未經授權的輸入(如隱藏字段造假) 與合法應用行為及使用方式驗證接收及外發的進程內容 .
6.5.2 破壞登陸控制 (如惡意使用用戶ID) 認證用戶通過集成的LDAP、Radius,Cas SiteMinder及RSA Access Manager登陸界面登陸 .
6.5.3 破壞認證及進程管理 (如cookie欺騙,進程劫持) 自動加密進程cookie及賦予單獨進程ID給用戶進程
.
6.5.4 跨站腳本攻擊 (XSS) 檢查及確認對任何惡意代碼的用戶輸入及進站請求進行檢查,檢查後提交給後端服務器 .
6.5.5 內存溢出攻擊 檢查及防護通過頭信息及錄入字段超過內存容量的攻擊行為 .
6.5.6 注入攻擊(如SQL注入) 驗證所有的WEB請求及程序請求的合法性
.
6.5.7 不當錯誤處理 隱藏網站應用,使黑客無法通過錯誤測試了解系統漏洞
.
6.5.8 不安全存儲 過濾及截取外發流量,保護敏感信息傳輸如密碼,信用卡號碼,賬戶信息等專有信息 .
6.5.9 應用層拒絕服務攻擊 (DoS) 監控及控制從單一用戶對同一URL的請求數量 .
6.5.10 不安全的設置管理 代理所有接收及外發WEB流量,隔離任何的設置漏洞
.
.
.
,