支付卡行业如何影响思科网络配置

ZDNet网络频道原创文章 转载请注明出处

如果你的商业模式支持信用卡付帐，而使用的网络的安全性却又不是那么可靠时，将会发生什么样的情况？本文将针对支付卡行业数据安全标准是怎样对思科路由器和交换机的安全配置提出要求的进行说明。

为什么我要在意支付卡行业数据安全标准（DSS）?

如果你的商业模式支持信用卡付款的话，就应该知道的支付卡行业（PCI）数据安全标准（DSS） 。这些标准的建立是为了保护所有消费者的信用卡信息。即使你不是使用支付卡行业数据安全标准的网络管理员，作为一个消费者，仍然应该关心信用卡的安全。坦率地说，接受了金额在数百万美元以上的信用卡付款的巨型企业应该早已满足了所有的支付卡行业安全标准。然而，很多企业都不是位于这个水平线上的，它们需要专业的审核。此外，支付卡行业数据安全标准也需要不断的修订，以确保满足网络安全的具体需要。

我已经填写过支付卡行业数据安全标准的自我评估问卷，所以可以告诉你，只有在分析研究后才有可能真正地了解问题的所在。一旦开始对支付卡行业数据安全进行深入的研究，你就会发现需要对自己的网络进行重大的改变。

对于一个网络管理员来说，支付卡行业数据安全标准1.1版本意味着什么？

支付卡行业数据安全标准1.1版本是一个十七页的文件，可以在支付卡行业数据安全标准的官方网站上找到。这个文件阐述了为了保护客户的信用卡资料你需要做什么。

建立和维护网络的安全
保护持卡人数据
使用一个安全漏洞管理程序进行安全检查
对存取进行全面有效的控制
定期监控和测试网络
保证信息安全策略的正常运行

除了“保护持卡人的数据”之外，其它所有的事情都是我们应该已经做过的，目的也是为了保护网络的安全。因此，我们是否需要遵循支付卡行业数据安全标准呢？

抛开文件中提供的信息，为了保护网络的安全，你认为应该怎么做？做什么？

为每一个网络连接建立防火墙；对网络运行情况进行全面监控；对端口的使用进行控制；对防火墙的设置进行测试。防火墙对来自隔离区的数据需要进行限制。

为路由器创建标准的配置；启动和运行的路由器配置应该是一样的。

为所有使用公司网络的移动计算机安装个人防火墙软件。

禁止任何来自互联网的计算机直接访问保存的信用卡资料。

严禁使用无线设备的默认密码，使用无线网络的时间，必须打开无线保护接入或者无线保护接入模式（如果可以选择的话，我认为无线保护接入2模式更有效）。如果不使用无线保护接入或者无线保护接入2模式，可以选择IP安全协议或者安全套接层和传输层安全协议。如果使用有线等效保密模式的话，数据安全标准提出了非常具体必须得到满足的要求。

禁用所有不必要的服务和删除不必要的功能服务器。

每台服务器只提供单一的功能。

对所有控制台访问进行加密。

利用公共网络传送信用卡数据的时间必须进行加密。

严禁使用电子邮件发送信用卡数据信息。

使用并定期更新防病毒软件并保存所有的操作情况以便进行审核。

在安装所有在一个月内发布的安全补丁。

订阅一项安全漏洞提醒服务。

为每台可以访问网络的计算机分配一个用户身份标识。

对远程访问采取双因素认证模式。
 
对所有通过网络进行传输的密码进行加密。

被终止的用户权限必须即时撤消；每隔九十天更改用户的密码；根据用户的实际情况进行调整。

限制对信用卡资料的物理接触——采用使用智能卡密钥系统的数据中心。

将备份磁带保存在一个安全的位置。

跟踪和监控网络里的所有访问情况（包括审核信息）。

所有重要的系统时钟必须同步。

每天更新AAA和IDS日志。

选择合格的供应商每季度对网络安全状况进行测试。

部署文件完整性监测方案。

保证信息安全策略的正常运行（在数据安全标准中包含了更多更详细的资料。）

哈哈，这是一个相当长的列表啊，不是吗？即使你属于支付卡行业或者在一个大公司，我想你也不能作到表上列出的所有项目，在最低限度上，每天你都早为满足支付卡行业的要求而努力。

在我浏览这份列表的时间，想到的是这么多的思科路由器、交换机、防火墙、无线接入点你需要操作。你也许已经在做这些，也许还没有。

这些基本的信息，应该会对你达到满足支付卡行业数据安全标准的目标有帮助。

利用具有基于上下文的访问控制（CBAC）功能的思科路由器或者思科PIX/ASA防火墙对每一个互联网接入点进行控制。请注意，必须使用状态防火墙而不仅仅是打开访问控制列表功能。对通过网络进行传输路由器密码，可以采取启用SSH和禁用远程登录的方式以保证安全。确认你了解思科路由器的安全情况。利用安全漏洞扫描工具对网络进行审核。在这方面，有大量的免费工具可以提供帮助。

除了应该启用的“功能”，在策略和程序上有更多的变化需要被认可。很多时间，程序上的变化比打开设备上的安全功能实现起来更复杂和困难。

结论

如果你的商业模式支持信用卡付款的话，了解如何满足支付卡行业数据安全标准的要求是非常重要的。即使你的业务并不接受信用卡也不受到支付卡行业数据安全标准的影响，它也会帮助你提高网络的安全性。