最近查一些Nessus、Nexpose漏洞扫描工具相关资料,工具介绍都会提到一些审计功能,其中最常见的就是PCI DSS合规性审计。从网上找到一篇介绍较详尽的文章,与大家分享。

原文摘自:http://sec.chinabyte.com/313/12214313.shtml  

  PCI(Payment Card Industry)中文全称为:支付卡产业。在这个产业里存在一个标准组织,称为--支付卡行业安全标准委员会,英文简写为PCI SSC(Payment Card Industry Security Standards Council)。PCI安全标准委员会是由国际知名的五家支付品牌共同建立而成,他们是美国运通(American Express)、美国发现金融服务公司(Discover Financial Services)、JCB、全球万事达卡组织(MasterCard)及Visa国际组织。PCI SSC一共维护了三个安全标准:PCI DSS(Payment Card Industry Data Security Standard 支付卡行业数据安全标准)、PCI PA-DSS(Payment Card Industry Payments Application Data Security Standard支付卡行业支付应用数据安全标准)以及PTS(PIN Transaction Security PIN传输安全标准)。从下图可以很清楚的反应这三个标准之间的关系。

  无论是PTS还是PCI PA DSS,其最根本的目的是为了使最终的客户能够满足PCI DSS的要求。(关于PTS和PA DSS更多的介绍可参见PCI官方网站www.pcisecuritystandards.org和atsec官方网站www.atsec-information-security.cn)。

  在PCI DSS第11.2.2中有这样的要求“Perform quarterly external vulnerability scans via an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).”其转译中文意思是:每季度由PCI SSC认可的授权扫描服务商(Approved Scanning Vendor)——ASV执行外部的脆弱性扫描。

  什么是ASVs

  授权扫描服务商是经过PCI SSC认可的,为商户和服务提供商的对外提供服务的互联网环境执行脆弱性扫描的组织,它的目的是为了验证商户和服务提供商遵守一定的PCI DSS要求(PCI DSS 11.2要求)。

  PCI DSS对于ASVs的要求

  对于ASVs而言,PCI SSC维护了一套认证的流程,详细的认证流程可参见PCI SSC的指引文件。根据要求ASVs每年都需要进行资质的重新认证,认证的结果可以从PCI官方网站上查询到,详细地址参见:

  https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

  对于ASVs的认证,PCI SSC除了对公司的资质要求以外,扫描工具也需要经过PCI SSC的认可。除此以外执行ASV扫描的人员则需要通过PCI SSC的ASV在线考试。

  ASV扫描的流程

  根据PCI SSC的规定,所有ASV的执行过程和流程都应该要满足“asv_program_guide_v1.0”的要求。该指导文件描述了ASV扫描流程中的不同角色,扫描范围的确定,脆弱性分类,扫描报告内容描述,误报处理,报告的交付和完整性保护,质量保证等内容。

  ASV范围的确定

  在执行ASV扫描之前,执行扫描的人员需要与客户一起去确定ASV扫描的范围。通常客户需要提供其对外提供服务的所有IP地址列表,网络拓扑图以及相关的资料以便扫描人员能够根据PCI DSS要求判断那些系统组件应该要在扫描的范围之内。按照PCI DSS的要求:所有对外提供服务的涉及持卡人信息传输,处理或者存储的系统组件都需要每季度执行ASV扫描。这里的系统组件包括但不限于服务器,网络设备,安全设备。

  在初步确定ASV扫描范围之后,扫描人员需要使用ASV扫描工具的“探测”功能去探测目标系统以及与其相关联系统组件的状态。在这个环节当中, ASV扫描工具会自动化的去识别与预设目标相关联的系统组件的活动状态,所以“探测”扫描发现的IP地址数量通常会比预设目标的IP数量会更多。这时候扫描人员就需要根据发现的结果与客户进行讨论以最终确认ASV的扫描范围。

  如何判断是否通过ASV的扫描

  对于ASV扫描的结果,很多客户都会关心什么样的条件能够通过ASV扫描,是否有统一的标准?

  根据PCI SSC“asv_program_guide_v1.0”的描述,所有包含高危严重级别的脆弱性和任何违反PCI DSS的功能或配置的脆弱性都将不能通过ASV的扫描。

  以下是CVSS评分和NVD严重级别与ASV扫描结果的对应关系:除了少数特定情况,任何CVSS分值大于或者等于4.0的脆弱性都不能够通过ASV扫描

  CVSS 分值严重级别ASV扫描结果指导

  7.0 -- 10.0高危失败为能够通过ASV扫描,这些脆弱性被修复并且在脆弱性修复之后需要再次执行扫描。组织应采取以风险级别为基础的方法来纠正这些漏洞,按照风险的危害程度最关键的(CVSS分值为10.0)脆弱性应当最先修复,然后修复CVSS分值为9的脆弱性,直到CVSS分值从4.0至10.0的所有漏洞都被纠正。

  4.0 -- 6.9中危失败

  0.0 -- 3.9低危通过CVSS分值从0.0至3.9的脆弱性是能够通过ASV扫描的,但是从安全角度建议(非强制)对这些脆弱性进行修复。

  对于NVD严重级别与ASV扫描结果的对应关系而言会存在一些特殊的情况,以下是需要ASV特殊考虑的情况:

    • 该脆弱性并没有被NVD收录
    • ASV不认同在NVD中给出的CVSS分值
    • 纯粹的拒绝服务(DoS)脆弱性
    • 该脆弱性违反PCI DSS的要求或者风险级别高于NVD的描述

  ASV扫描报告

  PCI SSC对于ASV扫描报告格式有严格的要求,每个ASV在报告中都需要包含以下的内容:

  • 扫描认证的合规性

  这部分的内容是整体的总结,主要显示客户的基础架构是否满足PCI DSS审核要求并且通过ASV的扫描。

  • ASV扫描报告执行摘要

  这一章节的内容需要列举组件(通过IP地址的形式)的脆弱性以显示每个被扫描的IP地址是否满足PCI DSS审核要求并且通过ASV的扫描。这个章节当中,所有的脆弱性都会对应到特定的IP地址,每个脆弱性都会与IP地址一一对应。

  • ASV扫描报告漏洞详细资料

  这个章节包含对应脆弱性合规的状态(通过 / 失败)的总结以及被发现的脆弱性的详细描述。

  除上述描述以外,作为一份被认可的ASV扫描报告,它需要包含两个非常重要的元素:被扫描客户对ASV扫描的认可声明(包括扫描的范围,客户的信息等内容)另外一个则是具有PCI SSC ASV资质认定的人员对于报告的认可。其中最后一个元素被视为ASV扫描报告有效性的证明。任何没有经由具有PCI SSC ASV资质认定的人员声明的ASV报告将不被视为一份合规的ASV扫描报告。

PCI DSS合规建设ASV扫描介绍的更多相关文章

  1. 有容云:上车 | 听老司机谈Docker安全合规建设

    编者注: 本文根据7月19日DockOne社群分享内容整理而成,分享嘉宾蒋运龙,有容云高级咨询顾问,一个IT的老兵,十年来混迹于存储.三网融合.多屏互动.智能穿戴.第三方支付.Docker等行业:经历 ...

  2. 浅谈 Docker 安全合规建设

    通过阅读网上帖子及浏览相关信息,大家可能会产生一种错觉:Docker 安全性不足,对 Docker 导入生产环境持保守态度.不过实际情况是,虽然我们需要对容器的安全性高度关注,但只要使用得当,完全可以 ...

  3. 宣布 Windows Azure 通过 PCI DSS 合规性验证并且 ISO 认证范围扩大,同时正式发布 Windows Azure Hyper-V 恢复管理器和其他更新功能

    今天,我们高兴地宣布两个重大里程碑事件,客户将能借此提高基于 Windows Azure 构建安全且合规的应用程序的能力.此外,我们还宣布正式发布 Windows Azure Hyper-V 恢复管理 ...

  4. 合规P2P平台成PE/VC新宠

    013年是互联网金融元年,余额宝.百发等掀起了大众理财的新一轮高潮.P2P平台作为互联网金融模式之一,也受到市场的重点关注-在部分平台不断爆出风险事件的同时,业内较为成熟的平台也正成为PE/VC的新宠 ...

  5. K2 BPM_采购端到端解决方案,激活合规采购新动能_十年专注业务流程管理系统

    「方案背景」企业管理标准化演进之路 企业的成长离不开标准化,企业的可持续发展更离不开标准化.随着市场竞争的日趋激烈,标准化已经成为企业参与市场竞争的战略性手段,也成为企业可持续发展的重要手段.聚焦到采 ...

  6. K2 BPM_当BPM遇上RPA | 企业合规和风险管理从此更高效_全球领先的工作流引擎

    强化企业合规与风险管理已成为全球企业发展的共识,尤其是对于药企.银行.地产这类对于合规性要求高的企业而言,识别预测潜在的管理风险和遵循不断升级的合规义务,是保证企业平稳运行的关键. 如何从流程层面降低 ...

  7. APP营销软件项目常见(合规)风险评估

    一个软件项目开始前,往往需要先进行风险评估以及可行性评估,尤其涉及到营销拉新类项目,需要大量依靠用户二次分享传播,为了避免项目做了无用功,分享一些常见的App项目风险: 微信分享功能 风险: 1.蒙层 ...

  8. GRC: 个人信息保护法, 个人隐私, 企业风险合规治理

    声明 个人原创, 转载需注明来源 https://www.cnblogs.com/milton/p/15885344.html 个人信息保护的历史和现状 个人信息保护的立法可追溯至德国黑森州1970年 ...

  9. ios 缺少合规证明

    现在app上传到appStore的时候,项目中如果出现加密,状态栏是:缺少合规证明. 解决的方法是在Info.plist文件中添加:ITSAppUsesNonExemptEncryption 设置为N ...

随机推荐

  1. 分布式git

    分布式 Git 你现在拥有了一个远程 Git 版本库,能为所有开发者共享代码提供服务,在一个本地工作流程下,你也已经熟悉 了基本 Git 命令.你现在可以学习如何利用 Git 提供的一些分布式工作流程 ...

  2. mac搭建lamp环境

    转载:https://www.cnblogs.com/beautiful-code/p/7465320.html

  3. java基础49 IO流技术(对象输入流/对象输出流)

    1.对象输入输出流 对象注意作用是用于写对象信息与读取对象信息 1.对象输出流:ObjectOutputStream    2.对象输入流:ObjectInputStream 2.对象输入输出流的步骤 ...

  4. 练习题 --- 写出5种css定位语法

    写出至少5种css语法(每种语法不一样)

  5. 配置sql server 2000以允许远程访问

    配置sql server 2000以允许远程访问适合故障:1. 用sql企业管理器能访问sql server 2000(因为它是采用命名管道(named pipes)方式进行方式),但用ado.net ...

  6. MySQL学习笔记:exists和in的区别

    一.exists函数 表示存在,常常与子查询配合使用. 用于检查子查询是否至少会返回一行数据,该子查询实际上并不返回任何数据,而是返回值True或False. 当子查询返回为真时,则外层查询语句将进行 ...

  7. Python练手之爬虫

    很久没更新博客了,最近自学Python,写个在百度上爬算法题题解的爬虫,第一次写爬虫..纯当练手 慢慢来.. #coding:utf-8 ''' Created on 2016年11月22日 @aut ...

  8. javascript重要类方法笔记

    三.数据结构和map    1.大括号数据结构:{}        1.1 键值对形式,类似Map           1.2 var treeNode={};            treeNode ...

  9. ASP.NET Web API 2 external logins with Facebook and Google in AngularJS app

    转载:http://bitoftech.net/2014/08/11/asp-net-web-api-2-external-logins-social-logins-facebook-google-a ...

  10. Signalr信息推送

    前序 距离上次写文章,差不多已经大半年了.感觉自己越来越懒了,即使有时候空闲下来了,也不想动.前面买了一系列的Python的书,基础的看了大概有四分之一,剩下的基本上还未动,晚上回去也只是吃饭看电影. ...