企业围绕阻止数据泄漏和数据失窃的需要而大做文章,但费劲力气的企业怎样才能确保所有的数据得到了保护呢?数据完整性是支付卡行业数据安全标准(Payment Card Industry Data Security Standard ,PCI DSS)法案的一个关键组成部分(更不用说公司的运作能力),所以安全和法案团队应优先确保数据完整性和准确性。
但是,了解哪些数据需要保护可能会非常棘手。
一般来说,法案规则相当清楚地规定了公司需要保护哪些数据(持卡人的数据、个人识别信息(PII)、个人健康信息(PHI)等),这些都属于比较容易的部分。真正棘手的是怎样在组织内部找出与法案相关的数据,对其进行合理的跟踪和保护。
所以,即使你还没有开始担心的PCI,也有必要了解公司内部的重要数据是如何以及在何处流传的。虽然DLP厂商会说,这不是严格意义上的技术问题,而是一个处理和人员的问题。你需要和每个业务部门的人都展开谈话,因为你会发现他们使用数据的方式是你不可能想到的,甚至是有些业务需要可能是你没有考虑到的。这些谈话无疑会激起更多的谈话,最终你将清晰地认识到:哪里有你必须保护的数据,你是否保护了这些应该保护的数据。
对于PCI DSS,在某种意义上这个项目都是关于数据完整性的,但更深的挖掘你会发现12个PCI要求中没有一个严格地属于数据完整性的范畴。也就是说,12个要求都是重要的,当我们具体地看待数据的完整性问题,有一些具体要求可以帮助实现数据完整性。
最值得注意的是,看看关于保护持卡人数据的要求(其中包括要求3:保护存储的持卡人数据,和要求4:加密在开放的、公共的网络上传输的持卡人数据)和强大的访问控制措施的实施情况(包括要求7:限制对基础信息的访问,要求8:用户必须具有唯一的用户ID,要求9:限制对持卡人数据进行物理访问)。要求8直接导致需求10:要求对所有持卡人数据和网络资源进行定期访问监测。最后,还有要求6:要求安全系统和应用程序的开发和维护。所以,总而言之,有一半以上的要求直接而明显地强调了数据的完整性问题。
什么是保持企业数据完整性的最佳(或至少是共同的)做法?首先,无论是未使用的数据还是在整个网络上传输的数据,都要对其进行加密。虽然这不是PCI DSS的要求,但我强烈建议通过SSL来传输数据,甚至把数据传输限制在企业自己的私有网络中。这样做确保了数据不会被盗窃和篡改,而且不会增加太多(如果有的话)的复杂性,又能真正有利于维护数据的完整性。.
下一步(同时,甚至更好的)的措施是给应用和网络建立记录和审计,这样当数据改变时,企业能够知道谁在访问它的数据。而且,可能更重要的是,获悉数据的去向。这应该包括一些网络分析的能力。虽然记录和审计不是PCI DSS标准的一部分,但如果所有的数据都加了密,那它们就变得必要了。此外,记录和审计还能提供额外的好处,那就是能很快确发现敏感数据是否被传输到网络上陌生的或不同的路径——这很可能是潜藏着的破坏正在进行中。最近出现的Heartland 支付系统公司被入侵的事件警示我们,如果有这种记录和审计技术,很可能将更早的发现问题,从而避免公司出现更严重的后果。
类似地,通过建立安全系统和应用程序并对其进行维护,你可以有一个更高的舒适度:这些系统中的数据在你的控制下,只有那些具有授权的、合法的访问操作才能够改变它。
通过遵循这些步骤(加密、日志、审计、安全的应用程序等),你不但符合PCI DSS法案,而且还符合了其他规则,如萨班斯法案(SOX),这将是一个额外的好处。
至于其他的建议,可以参考网上很多更详细的PCI DSS描述,包括PCI DSS的一般资料的例子、建立一个优先遵循PCI DSS方法、适用于无线网络的PCI DSS法案的指导方针、理解PCI DSS要求的意图等。这会让你清楚的知道从哪里开始处理数据的完整性,以及怎样进一步的对数据完整性进行处理。
【编辑推荐】