最近美国国会听证会正在积极讨论PCI DSS如何帮助行业发展的议题,众多业内专家都对PCI表示不满,并认为这种没实际作用的标准应该取消。
笔者认为这些业内专家们应该没有看PCI 安全标准委员会的“Lifecycle Process for Changes to PCI DSS(PCI DSS生命周期计划)”,如果他们仔细看了的话,他们可能不会这样认为了。在该计划中,委员会为PCI标准制订了长期详尽的战略规划。
通常大家都不愿意投资于长期安全计划,他们希望能够获得立竿见影的效果,尽管事实上他们从没有在其设计和程序中加入安全概念。很多企业常常忽视安全问题,而只想通过部署安全设备就能够通过SOX审计员的审核。
在生命周期计划中,PCI委员会制订了详细的24个月的周期,主要包括五个步骤,来确保企业对PCI数据安全标准逐步的、分阶段的部署和使用。这五个阶段主要包括:部署、反馈、反馈修改、新版本和新版本修订。委员会还指出,他们也将为PA-DSS(支付应用数据安全标准)和PED(PIN输入设备)安全要求发布类似的改进周期。
PCI生命周期计划模仿了Ross Anderson的理念,Anderson认为,虽然大多数基本安全技术(加密技术、软件可靠性、防篡改、安全打印和审计等)都能够比较好的理解,但是对于如何有效运用这些技术方面的问题大家的知识和经验都非常有限。Anderson建议采用以工程为基础的方法来解决这个问题,而不是简单的用安全设备来解决这些问题。
2006年9月份发布的PCI 1.1版本受到了广泛的支持,版本1.2发布于2008年10月,中间为期两年的时间都在进行安全更新,从这里来看,PCI仍然正在完成市场部署阶段。
总体的问题在于,安全和良好的安全总是需要时间的,需要进行分析、反馈评估和理解。并且,完成这些步骤后,企业需要再次重复一遍,因为威胁和漏洞都是动态的,总是随着时间的推移不断发生变化。
PCI DSS的妙处在于它拥有很聪明的概念,包括公开正式反馈过程、趋势分析、影响评价、知道和很多嵌入的结构标准。PCI花费了很长的整体的方法来试图解决问题。
事实上,在没有界定“有效运行”概念之前,我们无法回答关于PCI是否有效的问题。最重要的是要记住,PCI是一个长期的战略解决方案,而不是短期的安全修复项目。
良好的安全性能需要花费时间,PCI安全标准委员会认同这一点,安全专家们也同意这个观点,难道大家还有异议?
