信用卡安全规范要求

国际信用卡安全规范要求主要组织为6个主要分类，要实现完全符合，企业必须满足12项要求：
• 建立一个安全的网络 要求1及2
  • 安装及维护一个防火墙设置，保护信用卡用户信息
  • 不允许使用供应商缺省的系统密码或其他缺省安全参数
• 保护信用卡持卡人的数据：要求3及4
  • 保护存储的信用卡用户数据
  • 在公共网络上以加密的方式传输信用卡用户数据
• 建立及维护一个威胁防范系统：要求5及6
  • 采用定期升级的杀病毒软件
  • 开发及维护安全的系统及应用
• 实施高度安全的登陆控制：要求7、8及9
  • 对需要获取信用卡用户数据的业务做接触限制
  • 每一个登陆的计算机用户赋予唯一ID
  • 不允许物理上接触信用卡数据
• 经常性地监控及测试网络: 要求10及11
  • 查询及监控所有网络资源及信用卡用户数据
  • 经常测试安全系统及流程

.

• 建立及维护信息安全政策：要求12
  • 建立公司内部的信息安全政策
Source: PCI Security Standards version 1.1 - .

梭子鱼如何符合信用卡安全规范

梭子鱼应用防火墙，包括WEB应用防火墙及应用安全网关，设计目标是简单及成本效率高的解决方案，达到PCI DSS规范要求。
　 .

要求 梭子鱼应用防火墙 .

1–安装防火墙 达到网络防火墙及应用防火墙要求

.

3–保护数据 代理WEB流量，隔离Web服务器而不允许黑客直接接触 .

4–加密 如果应用或者服务不提供SSL加密，应用防火墙提供SSL加密 .

6–保护应用威胁 阻断已知的或者零时攻击，同时阻断客户开发的、已有的、第三方的应用的前10个WEB应用攻击 .

7–限制接触 提供基于角色的安全政策管理 .

8–赋予独特的IDs 集成外部认证系统，如LDAP等，赋予单一ID .

10–跟踪及监控登陆 提供应用层登陆，并与AAA系统整合

.

.

PCI DSS规范最重要方面是保护应用威胁攻击，包括代码安全准则如开放WEB安全项目(OWASP).应用防火墙能完全防护以下安全威胁：
　 .

要求 梭子鱼应用防火墙 .

6.5.1 未经授权的输入(如隐藏字段造假) 与合法应用行为及使用方式验证接收及外发的进程内容 .

6.5.2 破坏登陆控制 (如恶意使用用户ID) 认证用户通过集成的LDAP、Radius,Cas SiteMinder及RSA Access Manager登陆界面登陆 .

6.5.3 破坏认证及进程管理 (如cookie欺骗，进程劫持) 自动加密进程cookie及赋予单独进程ID给用户进程

.

6.5.4 跨站脚本攻击 (XSS) 检查及确认对任何恶意代码的用户输入及进站请求进行检查，检查后提交给后端服务器 .

6.5.5 内存溢出攻击 检查及防护通过头信息及录入字段超过内存容量的攻击行为 .

6.5.6 注入攻击(如SQL注入) 验证所有的WEB请求及程序请求的合法性

.

6.5.7 不当错误处理 隐藏网站应用，使黑客无法通过错误测试了解系统漏洞

.

6.5.8 不安全存储 过滤及截取外发流量，保护敏感信息传输如密码，信用卡号码，账户信息等专有信息 .

6.5.9 应用层拒绝服务攻击 (DoS) 监控及控制从单一用户对同一URL的请求数量 .

6.5.10 不安全的设置管理 代理所有接收及外发WEB流量，隔离任何的设置漏洞

.

.

.

，