支付卡行业数据安全标准遵守规划指南

安全 网站安全
《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准 (PCI DSS) 的要求。

简介

《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准 (PCI DSS) 的要求。具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商 - 即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的 IT 解决方案必须满足所有 PCI DSS 要求。本指南是为了进一步强化法规遵守规划指南- 它介绍了一种基于框架的方法来创建 IT 控制,帮助您遵守各种法规和标准。该指南还介绍了您可以用来实施一系列 IT 控制的 Microsoft 产品和技术解决方案,这些 IT 控制有助于满足 PCI DSS 要求以及履行您的组织可能担负的其他法规义务。

注意   如果您的组织提供的服务包括自动取款机 (ATM) 服务,Microsoft 将提供支持 ATM 的软件、系统和网络适用的体系结构和安全指南。有关详细信息,请参阅 MSDN 网站上的 Microsoft 银行行业中心下载页。

本指南不包含有关每个组织如何遵守 PCI DSS 的全面信息。有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。

本指南的简介包括以下部分:

  • 摘要。此部分提供有关 PCI DSS 要求以及该规划指南主要目标的广泛概述。在这一部分还会讨论 IT 管理人员在开始解决 PCI DSS 遵守要求时需要掌握的知识。

  • 本指南的目标读者。此部分介绍本指南的目标读者、指南的目的和适用范围,以及与指南限制有关的注意事项和免责声明。

  • 什么是支付卡行业数据安全标准? 此部分提供 PCI DSS 及其要求的概述。

  • 规划 PCI DSS 遵守。此部分介绍使用框架满足 PCI DSS 要求。此方法包括:创建各种类型的 IT 控制、如何配合使用这些控制,以及它们为何是您的组织可以用来帮助满足 PCI DSS 要求和履行其他法规遵守义务的重要组件。

  • PCI DSS 审核流程。此部分概述审核人员用来评估组织是否符合 PCI DSS 要求的 PCI DSS 审核流程。

由于本白皮书是对《法规遵守规划指南》的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。

摘要

如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准 (PCI DSS)。这些标准中定义的要求是由 PCI 安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。

有三个问题使此情况变得复杂。第一个问题是遵守 PCI DSS 要求可能对整个组织产生影响。因此,在部门间协调遵守工作,并且有一个组织范围内的 PCI DSS 遵守策略非常重要。第二个复杂问题是您的组织可能需要遵守多套法规,每套法规都规定了不同的一组要求。因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。第三个复杂问题是与其他许多法规一样,PCI DSS 只是顺带提及 IT 控制,而对于 IT 管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。

《支付卡行业数据安全标准遵守规划指南》针对的是在公司担负满足 PCI DSS 要求职责的 IT 管理人员。本指南旨在帮助 IT 管理人员了解如何着手解决其组织适用的许多 IT 控制要求,包括 PCI DSS 遵守要求。为实现这一目的,本指南提供了有关在此过程中您可以使用的解决方案的信息。

有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南

重要   本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题,请向您的律师或审核人员咨询。

本文的目标读者

《PCI DSS 遵守规划指南》主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的 IT 管理人员:

  • 首席信息官 (CIO),负责系统和 IT 相关流程的部署和运行。

  • 首席信息安全官 (CISO),负责整个信息安全计划以及对信息安全策略的遵守。

  • 首席财务官 (CFO),负责其组织的整个控制环境。

  • 首席保密官 (CPO),负责实施与个人信息管理相关的策略,包括支持遵守保密性和数据保护法的策略。

  • 技术决策者,负责确定适当的技术解决方案来解决特定的业务问题。

  • IT 运营经理,运行执行 PCI DSS 遵守计划的系统和流程。

  • IT 安全架构师,设计 IT 控制和安全系统以提供满足其组织业务需求的相应安全级别。

  • IT 基础结构架构师,设计支持 IT 安全架构师设计的 IT 安全和控制的基础结构。

  • 咨询人员和合作伙伴,推荐或实施保密性和安全最佳做法,帮助客户实现 PCI DSS 遵守目标。

此外,本指南对于以下人员可能也非常有价值:

  • 风险/合规事务主管,负责其组织符合 PCI DSS 要求的总体风险管理。

  • IT 审核经理,负责审核 IT 系统,减少内外 IT 审核人员的工作量。 #p#

什么是支付卡行业数据安全标准?

支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。PCI DSS 由 PCI 安全标准委员会的创始成员(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International)制定,旨在鼓励国际上采用一致的数据安全措施。

PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言,PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。

PCI DSS V1.1 是 2006 年 9 月发布的最新版本标准。该标准由一组共 6 个原则以及 12 个附属要求构成。每项要求下面包含子要求,您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。PCI DSS 策略和要求包括:

  • 建立和维护安全网络

    • 要求 1:安装和维护一个防火墙配置来保护持卡人数据。

    • 要求 2:不要对系统密码和其他安全参数使用供应商提供的默认值。

  • 保护持卡人数据

    • 要求 3:保护存储的持卡人数据。

    • 要求 4:对通过开放的公共网络传输的持卡人数据进行加密。

  • 维护漏洞管理计划

    • 要求 5:使用并定期更新防病毒软件。

    • 要求 6:开发并维护安全系统和应用程序。

  • 实施强访问控制措施

    • 要求 7:将对持卡人数据的访问限制为业务需要时。

    • 要求 8:为具有计算机访问权限的每个人分配唯一的 ID。

    • 要求 9:限制对持卡人数据的物理访问。

  • 定期监视和测试网络

    • 要求 10:跟踪和监视对网络资源和持卡人数据的所有访问。

    • 要求 11:定期测试安全系统和流程。

  • 维护信息安全策略

    • 要求 12:维护解决信息安全的策略。

要求 9 和 12 不需要您实施技术解决方案。要求 9 指示您解决存储和处理持卡人数据的位置的物理安全。这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。要求 12 指示您创建信息安全策略,将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。

规划 PCI DSS 遵守

孤立起来创建 PCI DSS 遵守解决方案既不高效也不经济。在规划遵守 PCI DSS 要求的方法时,您还必须考虑其他许多法规。这些法规的例子包括:

  • 萨班斯-奥克斯利法案 (SOX)

  • 格雷姆-里奇-比雷利法案 (Gramm-Leach Bliley Act)

  • 健康保险流通与责任法案 (HIPAA)

  • 欧洲数据保护指令 (EUDPD)

  • ISO 17799:2005 信息安全管理实施细则 (ISO 17799)

注意   如果您的组织是一个跨国企业,则需要确保遵守所有业务开展地的政府法规。Microsoft 建议您向熟悉组织业务开展地的所有法规的律师咨询。

有关对这些法规的遵守工作进行规划的详细信息,请参阅法规遵守规划指南

您的组织创建的 PCI DSS 遵守解决方案应该在完全了解以下两个问题的情况下制定:

  • 满足其他法规要求的现有解决方案

  • 创建符合所有法规要求的新解决方案的最佳方法

为高效且有效地实现您的遵守目标,Microsoft 建议您利用控制框架来帮助实现您组织的法规遵守目标。利用控制框架,您的组织能够将适用法规和标准映射到框架中。然后,您的组织就可以更高效地将 IT 控制工作的重点放在解决框架(而不是各个法规)中定义的要求上。#p#

此外,在出现新的法规和标准影响组织时,您也可以将它们映射到框架,然后集中精力解决框架中要求已更改的部分。而且,您可以将与 IT 控制相关的各种要求映射到框架中,其中包括支付卡行业安全要求、内部策略等行业特定的要求。

框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法,组织能够:

  • 组合 IT 控制以满足多种法规标准,例如,PCI DSS 和 EUDPD 所规定的标准,从而避免单独审核。

  • 在新法规推出时能够迅速做出调整。

  • 通过选择影响最大的 IT 控制,确定支出的优先次序。

  • 避免公司内部的业务部门之间为实现遵守目标所开展的工作出现重复。

  • 通过渐增的更改,更高效地将当前法规更新到所在组织现有的 IT 控制。

  • 在 IT 部门和审计人员之间建立一个公共的平台。

当然,在开始规划您的遵守工作时,您应该对 PCI DSS 本身进行检查。您可以从以下位置下载 PCI DSS:https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf。此外,PCI 安全标准委员会创建了一个自我评估调查表,帮助您的组织确定是否遵守 PCI DSS。您还可以利用它帮助您规划组织的 PCI DSS 遵守工作。您可以从以下位置下载 PCI DSS 自我评估调查表:https://www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf

有关在控制框架中使用 IT 控制解决法规要求的详细信息,请参阅《法规遵守规划指南》。

PCI DSS 审核流程

PCI DSS 遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。但是,有一些特定于 PCI DSS 审核的细节您应该知道。

PCI DSS 审核评估由两种第三方组织执行,即合格安全性评估商 (QSA) 和认可的扫描服务供应商 (ASV)。QSA 执行审核的现场部分,而 ASV 则对组织面向 Internet 的环境执行漏洞扫描。对于成为 QSA 和 ASV 的企业,每年都必须由 PCI 数据安全委员会 (PCI DSC) 进行一次审核和批准。

QSA 在审核组织之后必须编制一份报告,该报告必须遵照 PCI DSC 定义的特定准则。这些准则包含在 PCI 审核过程文档中,该文档可以从以下位置下载:https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf。这些准则规定了 QSA 在审核之后必须编制的报告应该如何组织。此报告包括组织的联系信息、审核日期、摘要、工作范围以及 QSA 在审核组织时所采用方法的描述、季度扫描结果以及 QSA 的发现和观察。最后一部分包含大量有关组织对 PCI DSS 遵守情况的信息。在此部分,QSA 会使用一个模板来报告组织对每项 PCI DSS 要求以及子要求的遵守情况。

在为组织安排 PCI DSS 审核之前,或者最好是在规划 PCI DSS 遵守时,应该由组织的关键成员对 PCI DSS 审核过程进行审查。这可能有助于您充分了解 QSA 会在审核过程中进行哪些检查。

ASV 在对组织面向 Internet 的环境执行漏洞扫描之后,也必须就扫描结果编制一份报告。此报告的准则包含在 PCI 扫描过程文档中,该文档可以从以下位置下载:https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf。该文档规定了 ASV 必须扫描组织环境中的哪些元素,并且包含关键字来帮助您阅读和理解 ASV 的报告。

作为贸易商或服务提供商,您的组织必须遵守各个支付卡公司的符合性报告要求,确保每个支付卡公司承认您组织的合规状态。换句话说,如果您的组织是处理与 Visa 和 American Express 有关的持卡人数据的服务提供商,您必须向 Visa 和 American Express 提交您的符合性报告。

每个支付卡公司的相容规则和过程略有不同。有关特定 PCI DSS 遵守要求以及每个公司为实现贸易商和服务提供商相容而推出的支持计划的详细信息,请与您的公司处理、传输或存储其持卡人数据的支付卡公司联系。 

满足 PCI DSS 要求

此部分详细说明您的组织规划 PCI DSS 遵守时可以考虑的 Microsoft 技术解决方案。您应该将选择的解决方案融合到您的组织的日常工作中。如“规划 PCI DSS 遵守”部分所述,您的组织策略、过程和技术解决方案应当考虑整个组织的法规遵守情况,还应该考虑 PCI DSS 遵守会对公司的各个组成部分产生怎样的影响。

有关将 IT 控制映射到技术解决方案所涉及的考虑事项的详细讨论,请参阅法规遵守规划指南

文档管理

文档管理解决方案结合软件和流程来帮助您管理组织内非结构化的信息。此信息可能以许多数字化的形式存在,包括文档、图像、音频和视频文件以及 XML 文件。

满足的 PCI DSS 要求

实施文档管理解决方案从两个方面帮助实现 PCI DSS 遵守。一方面,使用此类解决方案来管理包含持卡人数据的文档可帮助满足与数据访问、管理和保护相关的 PCI DSS 要求。具体而言,您可以使用文档管理解决方案满足要求 7 以及子要求 10.2.1。另一方面,您可以使用文档管理系统维护和发布策略,比如满足小节 3.6、6.4、9.2 和 12 中的要求所需要的那些策略。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。#p#

可用技术

Microsoft 提供了许多用于创建文档管理 IT 控制的技术,这些技术可以结合起来使用,也可以单独使用。您应该设计这些控制,以满足 PCI DSS 要求以及您的组织适用的其他法规要求。

  • Microsoft® Windows® Rights Management Services。Windows Rights Management Services (RMS) 是一种帮助应用程序保护数字信息免遭未经授权使用(包括联机、脱机以及在防火墙内外的使用)的软件平台。RMS 是 Microsoft Office 和 Windows SharePoint® Services 的信息权限管理 (IRM) 功能的基础技术。无论是在公司内部部署还是通过托管服务部署,RMS 服务器都需要使用这些功能。

    RMS 不管信息传送到什么位置,都会保持对信息应用持续的使用策略来保护信息,从而能够增强组织的安全策略。启用了 RMS 的应用程序可用来管理、控制和审核对包含持卡人信息的文档的访问。RMS 客户端已经集成到 Windows Vista™ 操作系统中。对于其他版本的 Windows,可以免费下载 RMS 客户端。
    有关详细信息,请参阅 Windows Rights Management Services (http://www.microsoft.com/rms)。

  • Microsoft Office SharePoint Server。SharePoint Server 是一种协作和内容管理服务器,允许您使用一个集成平台支持组织的门户和文档管理需求。它允许您在企业范围内支持内部网、外部网和 Web 应用程序,为 IT 专业人员和开发人员提供他们进行服务器管理、实现应用程序可扩展性和互操作性所需的平台和工具。SharePoint Server 可用作包含持卡人数据的文档以及描述策略和流程的文档的中央存储库。SharePoint Server 2007 与 RMS 相集成,能够对从 SharePoint Server 2007 下载的内容的所有副本实施访问控制策略。此功能使站点管理员能够使用 IRM 对文档库中的文件下载进行保护。当用户尝试从存储库下载文件时,Microsoft Windows SharePoint Services 会验证该用户是否对指定文件具有相应的权限,然后向用户发放许可,使该用户能够在相应的权限级别访问该文件。然后,Windows SharePoint Services 会采用加密的、有管理权限的文件格式将文件下载到用户的计算机。
    有关详细信息,请参阅 Microsoft SharePoint 产品和技术网站 (http://go.microsoft.com/fwlink/?linkid=12632)。

  • Microsoft Exchange Server。如今对于大多数企业而言,电子邮件已经成为至关重要的通讯工具,员工必须使用电子邮件进行沟通才能获得最好的工作效果。随着对电子邮件越来越依赖,发送和接收的消息数量、通过电子邮件执行的工作量和种类以及业务本身的速度都已经增加。Exchange Server 提供一种功能丰富的消息传递平台,用来管理组织中的信息交换,帮助满足 PCI DSS 遵守目标。Exchange Server 2007 包括统一消息服务,将发送到一个用户的电子邮件、语音邮件和传真合并到一个收件箱中。此外,它还提供一些功能,使您的组织能够应用保留规则、对传输过程中的消息进行扫描和操作、灵活记录日志以及对所有配置的邮箱执行丰富文本搜索。
    有关详细信息,请参阅 Microsoft Exchange Server 网站 (http://www.microsoft.com/exchange/default.mspx)。

  • Microsoft Office。Office 是最主要的企业生产力应用程序套件。Microsoft Office 的 IRM 功能有助于组织控制对持卡人数据等敏感信息的访问。

    具体而言,Office IRM 功能将帮助您的组织:

    • 防止受保护信息的授权接收人转发、复制、修改、打印、传真或剪切和粘贴信息来进行未经授权的使用。

    • 防止使用 Windows Print Screen 功能复制受保护的信息。

    • 不管信息传送到什么位置,始终为信息提供相同级别的保护。这称为“持续保护”。

    • 为电子邮件附件提供相同级别的保护,只要附件是使用 Microsoft Excel® 或 Microsoft Word 等其他 Office 程序创建的文件。

    • 保护已经设置为即将过期的电子邮件或文档,使信息在指定的一段时间后不能再查看。

    • 执行公司的策略,控制公司内外对信息的使用和分发。

    有关详细信息,请参阅 Microsoft Office 网站 (http://office.microsoft.com/en-us/default.aspx)。

风险评估

风险评估是您的组织用来确定对业务的风险以及划分风险优先级的流程。通常,使用系统的方法来确定信息处理系统的资产,对这些资产的威胁以及系统暴露给这些威胁的漏洞。在法规遵守情况下,风险评估是评估组织内的遵守水平和遵守不充分之处的流程。在规划 PCI DSS 遵守时,您主要是确定持卡人数据面临的风险,确定这些威胁的优先级。

满足的 PCI DSS 要求

风险评估能够从许多方面帮助您满足 PCI DSS 要求。它使您能够确定在网络中需要升级哪些方面才能符合要求。即使已经基本符合要求,风险评估也很重要,它帮助您确定组织是否能在一段时间内保持符合要求。由于您可以借助风险评估确定许多潜在问题,因此它能够帮助您符合许多 PCI DSS 要求,其中包括要求 1、3、4、5、6、7、8 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了许多用于创建风险管理 IT 控制的技术,这些技术可以结合起来使用,也可以单独使用。您应该设计这些控制,以满足 PCI DSS 要求以及您的组织适用的其他法规要求。

  • Microsoft 基准安全分析器 (MBSA)。MBSA 是您可以用来在组织中评估持卡人数据风险的主要工具之一。MBSA 工具易于使用,可以确定许多 Microsoft 产品的常见安全误配置,这些产品包括 Microsoft Windows 操作系统、Internet Information Services (IIS)、SQL Server™、Microsoft Internet Explorer® 和 Microsoft Office。MBSA 还会扫描已经发布到 Microsoft Update 但尚未在系统上安装的安全更新、更新汇总以及 Service Pack。您可以在命令提示符或其 GUI 下运行 MBSA,还可将其与 Microsoft Update 和 Microsoft Windows Server® Update Services 配合使用。由于保持系统最新是使持卡人数据尽可能安全的一种非常重要的方法,因此在组织中评估数据风险时,MBSA 可能是一种非常重要的工具。

    有关 MBSA 的详细信息,请参阅 Microsoft 基准安全分析器(http://www.microsoft.com/technet/security/tools/mbsahome.mspx)。

  • Microsoft Systems Management Server。如果您的组织使用 Microsoft Systems Management Server (SMS) 管理客户端计算机和服务器,您可能已经拥有了执行持卡人数据风险评估所需的一些工具。使用 SMS,您的组织可以远程管理分布式网络上运行 Windows 操作系统的计算机上的安全设置。您可以盘点网络上的计算机是否安装了必需的软件更新,跟踪更新部署到这些计算机的进度。您还可以使用 SMS 生成报告,列出详细的硬件和软件清单、网络上计算机的配置详细信息和状态,以及软件部署和部署错误的状态。在组织内评估持卡人数据的风险时,这些 SMS 功能可能非常重要。#p#

    有关 SMS 的详细信息,请参阅 Microsoft Systems Management Server 主页 (http://www.microsoft.com/smserver/default.mspx)。

  • Microsoft System Center Operations Manager 审核收集。Operations Manager 2007 可以从 Windows 操作系统安全、高效地提取和收集安全日志,并且存储这些日志供以后分析和报告使用。提取的日志存储在单独的“审核收集”数据库中。Operations Manager 将附带有可用于“审核收集”数据的报表。可以使用审核收集来生成各种符合性报告,例如支持萨班斯-奥克斯利法案审核。还可以使用审核收集进行安全分析,例如入侵检测和未经授权的访问尝试。

    有关详细信息,请参阅“审核收集服务”(http://technet.microsoft.com/en-us/library/bb381258.aspx)。

  • Windows Server Update Services。带有 Service Pack 1 的 Windows Server Update Services 使您的组织能够部署许多发布到 Microsoft Update 站点的最新 Microsoft 产品更新。Windows Server Update Services 是 Windows Server 的一个更新组件,提供了一种保持系统最新的快速有效的方法。WSUS 提供的风险评估基础结构包括:

    • Microsoft Update。WSUS 连接到该 Microsoft 网站获得 Microsoft 产品的更新。

    • Windows Server Update Services 服务器。在防火墙内部运行 Microsoft Windows 2000 Server Service Pack 4 (SP4) 或 Windows Server 2003 操作系统的计算机上安装的服务器组件。Windows Server Update Services 服务器提供管理员通过基于 Web 的工具管理和分发更新需要的功能,基于 Web 的工具可以在公司网络中的 Windows 计算机上使用 Internet Explorer 进行访问。此外,一个 Windows Server Update Services 服务器可能是其他 Windows Server Update Services 服务器的更新来源。

    • 自动更新。该客户端计算机组件已内置到 Microsoft Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 Service Pack 3 操作系统中。使用自动更新,服务器和客户端计算机都能够从 Microsoft Update 或运行 Windows Server Update Services 的服务器接收更新。

    利用这些服务,您能够为网络上的所有主机环境提供 Microsoft 为指定主机上安装的产品发布的最新安全修补程序。

    有关详细信息,请参阅“Windows Server Update Services”主页 (http://www.microsoft.com/windowsserversystem/updateservices/default.mspx)。

  • 组策略。组策略是一种使您的 IT 专业人员能够为用户和计算机实施特定配置的基础结构。组策略设置包含在组策略对象 (GPO) 中,组策略对象将链接到以下 Microsoft Active Directory® 目录服务容器:站点、域或组织单元 (OU)。可以使用组策略集中管理分布式网络上的计算机。由于您的管理员可以使用组策略在站点、域或组织单元系列中间分发软件,因此组策略可能是用来确定对组织的 IT 环境造成的风险的重要工具。

    您可以使用 Microsoft 组策略管理控制台 (GPMC) 管理组策略设置。GPMC 提供单独的一个位置来管理组策略的核心方面,从而简化组策略的管理。按照客户的请求,GPMC 解决最顶层的组策略部署要求,它提供:

    • 使组策略更易于使用的用户界面 (UI)。

    • 备份和还原 GPO 的能力。

    • 导入和导出、复制和粘贴 GPO 和 Windows 管理规范 (WMI) 筛选器的能力。

    • 简化的组策略相关安全的管理方法。

    • 为 GPO 设置和策略结果集数据生成 HTML 报告的能力。

    • 对 GPMC 公开的 GPO 操作编写脚本的能力,但不能对 GPO 中的设置编写脚本。

    有关详细信息,请参阅“Windows Server 2003 组策略”(http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx) 和“组策略管理控制台”(http://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx)。

更改管理

更改管理是一种结构化的流程,您的组织可用它来评估对项目计划、IT 基础结构、软件部署或组织中的其他流程或过程的更改。更改管理系统可以帮助您定义更改,评估更改的影响,确定需要哪些操作来实施更改,以及在组织内分发有关更改的信息。此外,它还能帮助您在组织范围内跟踪您所做的更改。这样,您在对 IT 环境进行更改时,就能够保持 IT 环境受到控制。

例如,组织可以在系统中包含一个数据库,帮助员工根据历史数据对将来的更改做出更好的决策,这些历史数据会指出过去所尝试的类似更改是成功还是失败。此外,更改管理也是向所有受到影响的各方传达更改是否存在及其状态的结构化流程。该流程可能产生一个清单系统,指明已经采取了什么操作以及操作影响关键资源状态的时间,帮助预测和消除问题,简化资源管理。

满足的 PCI DSS 要求

更改管理对于 PCI DSS 遵守工作至关重要,这与其他任何法规遵守工作一样。如果组织不知道对其 IT 环境进行了哪些更改,则很难确定环境是否安全。对您的网络、系统、策略和过程中的更改进行跟踪,有助于您满足 PCI DSS 要求 6 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 为您提供了多种技术,供您在设计更改管理解决方案时考虑。

  • Microsoft Office SharePoint Server。除了是您的文档管理解决方案的一种技术选择之外,Microsoft Office SharePoint Server 还可能是组织的更改管理系统中的一个关键因素。您可以使用它的版本跟踪功能监视策略和流程文档中的更改、更新、对应用程序的其他更改以及一段时间内批准软件的更改。

    有关详细信息,请参阅“文档管理”部分和 Microsoft SharePoint 产品和技术网站 (http://go.microsoft.com/fwlink/?linkid=12632)。

  • Microsoft Systems Management Server。您不仅可以使用 SMS 管理组织的风险评估,还可以使用其管理功能跟踪组织中计算机系统的更改。它将跟踪安全设置更改,以及在网络上的服务器和客户端计算机上安装的应用程序。此外,您还可以使用 SMS 中内置的强大报告功能,检查已经对组织中的计算机所做的更改以及这些更改是否符合所建立的安全要求。

    有关 SMS 的详细信息,请访问 Microsoft Systems Management Server 主页 (http://www.microsoft.com/smserver/default.mspx)。

  • Microsoft SMS 2003 所需配置监视 2.0。您可以利用 SMS 2003 所需配置监视 (DCM) 功能来加强您的 SMS 操作。可以使用 DCM 在所需或定义的配置设置与实际的配置设置之间自动完成配置管理审核。DCM 通过允许用户在多个配置数据源中定义所需的硬件、操作系统和应用程序配置设置,来实现这一目的。然后,DCM 利用提供的审核引擎,将所需设置与实际设置作比较,报告配置的合规情况。#p#

    DCM 可帮助您减少计划外停机、关联配置数据以及减少支持成本。它提供一种易于使用的 XML 编辑工具,以及有关定义硬件和软件配置项目的指导。DCM 还提供详细的符合性报告,帮助检测和修复配置错误。

  • 用于软件保证的 Microsoft 桌面优化包。用于软件保证的 Microsoft 桌面优化包是一种订阅服务,可减少应用程序部署成本,支持以服务形式提供应用程序,并且能够更好地管理和控制企业桌面环境。使用该桌面优化包,您可以在以下方面增强更改管理流程和回滚功能:

    • 改进组策略管理。

    • 减少停机时间。

    • 允许获批准的用户按需访问应用程序。

    Microsoft 桌面优化包仅向软件保证覆盖范围包括桌面的客户提供。有关详细信息,请参阅“优化 Windows 桌面”(http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx)。

网络安全

网络安全解决方案构成了一个广泛的解决方案类别,旨在解决组织在所有网络方面的安全,包括防火墙、服务器、客户端、路由器、交换机和访问点。对组织的网络安全进行规划和监视是实现 PCI DSS 遵守目标的关键因素。有各种各样的解决方案可用来解决网络安全问题,您的组织自然也已经部署了安全网络的许多要素。在已经实施的网络安全解决方案的基础上进行构建可能要比重新开始更高效、更经济。

但是,您可能会考虑对组织使用的某些技术进行更改,或者可能希望实施在网络安全策略中尚未包括的新解决方案。Microsoft 提供多种技术解决方案以及相应的指导材料,帮助实施满足组织需要的网络安全解决方案。

满足的 PCI DSS 要求

支付卡行业数据安全标准非常明确地指出,需要在整个组织内建立安全网络才能符合要求。策略 1 规定若要符合要求,组织必须建立和维护一个安全网络。要求 1 规定组织必须安装和维护一个防火墙配置来保护持卡人数据。要求 2 规定组织必须更改供应商为系统密码和其他参数提供的默认设置。网络安全解决方案还帮助您的组织满足要求 4 和 10,这两条分别要求您对通过网络传输的持卡人数据进行加密以及跟踪和监视网络访问。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

您可以从 Microsoft 提供的多项技术中选择相应的技术,来满足前两条 PCI DSS 要求。

  • Microsoft Windows 防火墙。Windows XP Service Pack 2 (SP2) 包括 Windows 防火墙,用它取代 Internet 连接防火墙 (ICF)。Windows 防火墙是基于主机状态的防火墙,如果未经请求的传入通信与响应计算机请求所发送的通信(请求的通信)或已经指定为允许的未经请求通信(例外通信)不对应,则会被防火墙丢弃。Windows 防火墙提供的保护级别能够阻止恶意用户和程序依靠未经请求的传入通信来攻击网络上的计算机。在 Windows Vista 和 Windows Server“Longhorn”上的“高级安全 Windows 防火墙”中已经增强了这些功能。

    高级安全 Windows 防火墙允许您根据自己通过 Microsoft 管理控制 (MMC) 管理单元配置的设置阻止传入连接和传出连接。利用此管理单元提供的界面,不仅可以本地配置 Windows 防火墙,还可以使用组策略在远程计算机上配置 Windows 防火墙。防火墙功能现在已经与 Internet 协议安全 (IPsec) 保护设置集成在一起,从而降低了在两种保护机制之间产生冲突的可能。高级安全 Windows 防火墙支持在计算机连接到域或连接到专用或公用网络时使用不同的配置文件。此外,它还支持创建服务器和域隔离策略的实施规则。高级安全 Windows 防火墙支持更为细化的规则,包括 Microsoft Active Directory 用户和组、源 IT 地址和目标 IT 地址、IP 端口号、ICMP 设置、IPsec 设置、特定类型的接口、服务等等。

    有关详细信息,请参阅“Windows 防火墙”(http://www.microsoft.com/technet/network/wf/default.mspx)。

  • Microsoft Internet Security and Acceleration Server。Microsoft Internet Security and Acceleration (ISA) Server 可以从多个方面帮助保护您的网络。首先,您可以使用它允许用户通过 Internet 远程访问公司的应用程序。为此,您可以配置 ISA Server 预先验证传入的用户请求,检查应用程序层的所有通信(包括加密的通信),然后提供自动化的发布工具。其次,如果您的组织包括办事处,ISA Server 将允许您利用 HTTP 压缩、内容缓存、虚拟专用网络 (VPN) 功能,使您能够安全方便地扩展网络。另外,使用 ISA Server,可以防止您的网络受到内部和外部基于 Internet 的威胁。它是通过代理防火墙体系结构、内容检查功能、更为细化的策略设置以及综合的警报和监视功能来实现这一目的。

    有关详细信息,请参阅 Microsoft Internet Security and Acceleration Server (http://www.microsoft.com/isaserver/default.mspx)。

  • 使用 Internet 协议安全 (IPsec) 和 Active Directory 组策略的服务器和域隔离。服务器和域隔离将创建一层端对端保护,从而大大降低高代价的恶意攻击以及未经授权访问网络资源的风险。根据 Windows IPsec 和 Active Directory 组策略,您可以利用此解决方案将 Windows 环境动态划分成更安全、隔离的逻辑网络。创建隔离的网络有许多不同的方法,这使您能够灵活地逻辑隔离整个受管理域,或者创建特定服务器、敏感数据和客户端的更安全虚拟网络,从而限制只有通过身份验证并得到授权的用户才能访问或者要求特定服务器或网络用加密方法保护所有数据。通过要求对特定网络主机或网络子网之间交换的通信进行数据加密,您可以满足业务合作伙伴和法规对网络中传输的数据进行加密的要求。

    有关详细信息,请参阅 Microsoft TechNet 站点上的“服务器和域隔离”主页 (http://www.microsoft.com/technet/network/sdiso/default.mspx)。

  • Windows Server 2003 安全配置向导。安全配置向导通过减少在运行 Windows Server 2003 Service Pack 1 的服务器上的攻击面,帮助您保护网络。安全配置向导确定服务器角色所需的最少功能,禁用不必要的功能。具体而言,安全配置向导将:

    • 禁用不需要的服务。

    • 封堵未使用的端口。

    • 允许对打开的端口实施更进一步的地址或安全限制。

    • 禁止不必要的 IIS Web 扩展(如果适用)。

    • 降低服务器消息块 (SMB)、LanMan 和轻量目录访问协议 (LDAP) 中的协议暴露程度

    • 定义高信噪比的审核策略。#p#

    安全配置向导可以指导您的 IT 专业人员根据所选的服务器角色完成创建、编辑、应用或回滚安全策略的过程。使用 SCW 创建的安全策略是在应用时配置服务、网络安全、特定注册表值、审核策略和 IIS(如果适用)的 XML 文件。

    有关详细信息,请参阅“Windows Server 2003 的安全配置向导”(http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/defaul.mspx)。

  • 使用服务器身份验证的远程桌面连接。远程桌面连接是用户可用来访问共享客户端计算机和服务器的强大方法。此技术是一种可用来创建共享部署和测试计算机的经济有效的方法。此外,您还可以对许多类型的项目使用这些计算机作为中心访问点,还可以允许用户从网络外部访问这些计算机,从而隔离他们可能对网络安全造成的风险。此外,远程桌面连接 6.0 客户端更新使您的 IT 专业人员能够配置服务器身份验证。使用服务器身份验证,您可以防止用户连接到目标计算机或服务器以外的计算机或服务器,从而避免可能因此暴露机密信息。Microsoft 在 Windows Vista 和 Windows Server“Longhorn”中引入了此功能。远程桌面连接 6.0 客户端可供运行 Windows Server 2003 Service Pack 1 或 Windows XP Service Pack 2 (SP2) 的计算机使用。跟以前一样,该客户端可用来连接到旧终端服务或远程桌面,但是仅当远程计算机运行 Windows Vista 或 Windows Server“Longhorn”时才会发生服务器身份验证。

    有关详细信息,请参阅“远程桌面连接 6.0 客户端更新”,可以从 Microsoft 下载中心 (http://support.microsoft.com/kb/925876) 下载。

  • Wi-Fi 保护访问 2。如果您的组织使用无线网络,您应该考虑升级到无线路由器、访问点以及其他支持 Wi-Fi 保护访问 2 (WPA2) 产品认证的设备。WPA2 是通过 Wi-Fi Alliance 推出的产品认证,旨在证明无线设备与 IEEE 802.11i 标准兼容。WPA2 认证的目标在于支持 IEEE 802.11i 标准中其他一些必需的安全功能,这些功能尚未包括在支持 WPA 的产品中。例如,WPA2 要求支持 TKIP 和 AES 加密。WPA2 提供了两种不同的模式:

    • WPA2-企业使用 802.1X 身份验证,适合大中型基础结构模式网络。

    • WPA2-个人使用 PSK 进行身份验证,适合 SOHO 基础结构模式网络。

    在 Windows XP Service Pack 2、Windows Vista 和 Windows Server“Longhorn”上支持 WPA2。有关详细信息,请参阅“无线 LAN 技术和 Microsoft Windows” (http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/wrlsxp.mspx) 和“Wi-Fi 保护访问 2 (WPA2) 概述”(http://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx)。

  • 网络访问保护。网络访问保护 (NAP) 是一个适合 Windows Server“Longhorn”和 Windows Vista 的平台。它提供策略实施组件,帮助确保连接到网络或在网络上通信的计算机满足管理员定义的系统健康要求。您的组织可以使用策略验证和网络访问限制组件的组合来控制网络访问或通信。您还可以选择临时限制不符合要求的计算机对受限制网络的访问。根据您选择的配置,受限制网络可能包含一些资源,计算机需要用这些资源进行更新,才能满足无限制网络访问和正常通信的健康要求。NAP 包括一个应用程序编程接口 (API) 集,供开发人员和供应商为健康策略验证、网络访问限制和持续健康符合创建完整的解决方案。NAP 为 IPsec、IEEE 802.1X 身份验证网络连接、VPN 和动态主机配置协议 (DHCP) 提供限制访问实施组件。您可以将这些技术结合起来使用,也可以单独使用。凭借这些功能,NAP 可能是帮助您确保网络健康和安全的强大工具。

    有关详细信息,请参阅“网络访问保护”(http://www.microsoft.com/technet/network/nap/default.mspx)。

  • Microsoft Virtual Server。Microsoft Virtual Server 2005 R2 提供一个虚拟化平台,它能够在来宾环境下运行大多数主要的 x86 操作系统。Microsoft 支持将它用作 Windows Server 操作系统和 Windows Server System 应用程序的主机。该平台与各种现有的 Microsoft 和第三方管理工具相集成,这使管理员能够使用现有的物理服务器管理工具无缝管理 Virtual Server 2005 R2 环境。由于 Microsoft Virtual Server 允许您的组织在一台计算机上运行多个操作系统,它可以帮助您满足 PCI DSS 要求 2.2.1,该要求规定您的组织在每台服务器上只能运行一个主要功能。例如,您可以使用 Virtual Server 在相同计算机上部署一个虚拟 Web 服务器、一个虚拟数据库服务器和一个虚拟文件服务器。

    Microsoft Virtual Server 可以从 Microsoft 免费下载。有关详细信息,请参阅 Microsoft Virtual Server (http://www.microsoft.com/windowsserversystem/virtualserver/default.mspx)。

主机控制

主机控制解决方案控制服务器和工作站中的操作系统。主机控制解决方案还包括在每个主机中操作系统的所有级别实施安全最佳做法,维护最新的更新和修补程序,以及使用安全的方法进行日常操作。

满足的 PCI DSS 要求

主机控制解决方案通过保持操作系统最新并且得到安全地配置,帮助您满足 PCI DSS 要求。具体而言,主机控制可以帮助您符合 PCI DSS 要求 6 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了许多用于创建主机解决方案的技术,这些技术可以结合起来使用,也可以单独使用。与其他技术解决方案一样,您应该对这些解决方案进行设计,以符合 PCI DSS 要求以及您的组织适用的其他法规要求。

  • Microsoft 基准安全分析器 (MBSA)。MBSA 是您可以用来在组织中评估持卡人数据风险的主要工具之一。MBSA 工具易于使用,可以确定许多 Microsoft 产品的常见安全误配置,这些产品包括 Microsoft Windows 操作系统、Internet Information Services、SQL Server™、Internet Explorer® 和 Microsoft Office。MBSA 还会扫描已经发布到 Microsoft Update 但尚未在系统上安装的安全更新、更新汇总以及 Service Pack。您可以从命令提示符或 GUI 运行 MBSA,还可以将其与 Microsoft Update 和 Windows Server Update Services 结合使用。由于保持系统最新是使持卡人数据尽可能安全的一种非常重要的方法,因此在组织中评估数据风险时,MBSA 可能是一种非常重要的工具。

    有关详细信息,请参阅“Microsoft 基线安全分析器”(http://www.microsoft.com/technet/security/tools/mbsahome.mspx)。#p#

  • Microsoft Windows Server Update Services。带有 Service Pack 1 的 Windows Server Update Services (WSUS) 使您的组织能够部署许多发布到 Microsoft Update 站点的最新 Microsoft 产品更新。WSUS 是 Windows Server 的一个更新组件,提供一种保持系统最新的快速有效的方法。WSUS 提供的管理基础结构包括:

    • Microsoft Update。WSUS 连接到该 Microsoft 网站获得 Microsoft 产品的更新。

    • Windows Server Update Services 服务器。在防火墙内部运行 Microsoft Windows 2000 Server Service Pack 4 (SP4) 或 Windows Server 2003 操作系统的计算机上安装的服务器组件。WSUS 服务器提供管理员通过基于 Web 的工具管理和分发更新需要的功能,基于 Web 的工具可以在公司网络中的 Windows 计算机上使用 Internet Explorer 进行访问。此外,一个 WSUS 服务器还可能是其他 WSUS 服务器的更新来源。

    • 自动更新。该客户端计算机组件已内置到 Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 SP 3 操作系统中。使用自动更新,服务器和客户端计算机都可以从 Microsoft Update 或运行 WSUS 的服务器接收更新。

    这些服务帮助您使用 Microsoft 为指定主机上安装的产品提供的最新安全修补程序更新网络上的所有主机环境,保持所有主机环境最新。

    有关详细信息,请参阅“Windows Server Update Services”主页 (http://www.microsoft.com/windowsserversystem/updateservices/default.mspx)。

  • Microsoft Systems Management Server。如果您的组织使用 SMS 管理客户端计算机和服务器,您可能已经拥有了执行持卡人数据风险评估所需的一些工具。使用 SMS,您的组织可以远程管理分布式网络上运行 Windows 操作系统的计算机上的安全设置。您可以盘点网络上的计算机是否安装了必需的软件更新,跟踪更新部署到这些计算机的进度。您还可以使用 SMS 生成报告,列出详细的硬件和软件清单、网络上计算机的配置详细信息和状态,以及软件部署和部署错误的状态。在组织内评估持卡人数据的风险时,这些 SMS 功能可能非常重要。

    有关 SMS 的详细信息,请参阅 Microsoft Systems Management Server 主页 (http://www.microsoft.com/smserver/default.mspx)。

  • 用于软件保证的 Microsoft 桌面优化包。用于软件保证的 Microsoft 桌面优化包是一种订阅服务,可减少应用程序部署成本,支持以服务形式提供应用程序,并且能够更好地管理和控制企业桌面环境。该桌面优化包是一种有效的主机控制解决方案,它使您能够:

    • 优化和加速从规划和试验部署到使用、维护和迁移软件的应用程序管理生命周期。

    • 增强组织软件资产的管理。

    • 加速和简化桌面部署和迁移。

    Microsoft 桌面优化包仅向软件保证覆盖范围包括桌面的客户提供。有关详细信息,请参阅“优化 Windows 桌面”(http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx)。

有关许多 Microsoft 产品的特定主机安全指南和过程,请参阅法规遵守规划指南的“主机控制”部分。

恶意软件预防

恶意软件解决方案是保持网络中持卡人数据安全的关键因素。通过防止垃圾邮件,保持网络上的系统没有病毒和间谍软件,这些解决方案可以确保网络上的系统以最高效率工作,不会无意中将敏感数据传输到未授权方。

满足的 PCI DSS 要求

您选择的恶意软件预防解决方案可以帮助您满足 PCI DSS 要求 5 和 6。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了许多用于预防恶意软件的技术,这些技术可以结合起来使用,也可以单独使用。在针对 PCI DSS 以及组织适用的更广泛法规要求的遵守工作中,您应该考虑这些技术。

  • Microsoft Forefront™。Forefront 是一个业务安全产品套件,可用来为客户端操作系统、应用程序服务器和网络边缘提供保护。您可以将 Forefront 与现有的 IT 基础结构结合在一起来保护服务器和客户端计算机,以免受到恶意软件和组织外部发起的其他恶意攻击的影响。

    特别是,Forefront Client Security 能够保护组织中的客户端免受恶意软件攻击。Forefront Client Security 解决方案包括两个部分。第一个部分是安装在企业桌面计算机、膝上型计算机和服务器操作系统上的安全代理程序,可以提供针对间谍软件、病毒和 rootkit 的实时保护和预定扫描。第二个部分是集中管理服务器,它使管理员能够轻松管理和更新预配置或自定义的恶意软件保护代理程序,以及生成与环境的安全状态有关的报告和警报。

    有关详细信息,请参阅 Microsoft Forefront (http://www.microsoft.com/forefront/default.mspx)。

  • 恶意软件删除工具。Microsoft Windows 恶意软件删除工具可以检查运行 Windows XP、Windows 2000 和 Windows Server 2003 的计算机是否受到特定、流行的恶意软件的影响并帮助您删除所有找到的感染病毒。当检测和删除过程完成时,此工具将显示一个报告,说明检测到并删除了哪些恶意软件(如果有)等检查结果。Microsoft 在每月的第二个星期二和需要响应安全事件时发布此工具的更新版本。

    有关详细信息,请参阅“恶意软件删除工具”(http://www.microsoft.com/security/malwareremove/default.mspx)。

    注意   Windows Defender 和恶意软件删除工具还可以帮助您发现恶意程序是否使用 Rootkit。Rootkit 是恶意软件创建者用来躲避间谍软件阻止程序以及防病毒和系统管理实用程序检测的机制。有关 Rootkit 以及如何检测它们的详细信息,请参阅http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx。#p#

  • Microsoft ISA Server 适用的第三方筛选器。除了提供网络安全解决方案之外,ISA Server 还可以帮助保护您的组织免受恶意软件攻击。您可以使用自定义或第三方筛选器在恶意软件到达公司网络之前将其删除,从而实现上述目的。

    有关详细信息,请参阅 Microsoft Internet Security and Acceleration Server (http://www.microsoft.com/isaserver/default.mspx)。

应用程序安全

要满足 PCI DSS 要求,您应该在两方面考虑您的应用程序安全解决方案。首先,您应该要求组织内部开发人员创建的新应用程序遵守安全开发做法。其次,您应该确保使用从 Microsoft 或任何第三方供应商购得的软件应用程序附带的安全指南。

满足的 PCI DSS 要求

在您的 PCI DSS 遵守工作中,开发和维护安全的应用程序是非常重要的一个步骤,不管这些应用程序是基于 Web 还是基于 Windows。特别是,您可以利用这些技术解决方案满足要求 6。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1

可用技术

Microsoft 为开发安全应用程序提供了特定的工具和指南。此外,还提供了安全使用其主要服务器产品的特定指南。

  • Microsoft Visual Studio® 2005。Visual Studio 2005 提供了许多工具,您的开发人员可以在开发阶段使用它们检查代码是否存在安全违规情况。

    • FxCop 检查托管代码中的缺陷,其中包括安全缺陷。

    • PREfast 是一种适合 C 和 C++ 代码的静态分析工具。它可以帮助您的开发人员发现许多种安全问题。

    • 标准注释语言可以帮助开发人员发现 C 或 C++ 代码编译器漏掉的安全错误。

    • 在编译用 C 或 C++ 编写的非托管代码时,您的开发人员应该始终使用 /GS 堆栈溢出检测功能进行编译,并且使用 /SafeESH 选项链接代码。

    • RPC 开发人员在编译代码时应该指定 MIDL /robust 标志。

    安全开发生命周期建议您将 FxCop、PREfast 等工具与 GS C++ 编译器选项配合使用,确保代码在运行时不会出现已知的安全问题。

    有关详细信息,请参阅 Visual Studio 主页 (http://msdn2,microsoft.com/en-us/vstudio/default.aspx)。

  • Microsoft Intelligent Application Gateway (IAG) 2007。IAG 是 Microsoft Forefront Network Edge Security 的组成部分,它提供一个安全套接字层 (SSL) VPN、一个 Web 应用程序防火墙以及终结点安全管理,从而支持对许多种业务应用程序进行访问控制、授权和内容检测。在将这些技术结合使用时,移动和远程工作人员可以简单、灵活、安全地从包括展台、桌面计算机和移动设备在内的许多设备和地点接入。IAG 还使 IT 管理员能够根据设备、用户、应用程序或其他业务标准,通过自定义远程访问策略来强制遵守应用程序和信息使用准则。主要优点包括:

    • 基于 SSL VPN 的访问、集成应用程序保护和终结点安全管理的唯一组合。

    • 功能强大的 Web 应用程序防火墙,有助于阻截恶意通信、保护敏感信息。

    • 降低管理安全访问以及使用综合、易用平台保护企业资产的复杂性。

    • 与核心 Microsoft 应用程序基础结构、第三方企业系统和公司内部自定义工具的互操作性。

    有关详细信息,请参阅“Intelligent Application Gateway 2007 产品概述”(http://www.microsoft.com/forefront/edgesecurity/iag/overview.mspx)。

准则
  • 安全开发生命周期。如果您的组织决定开发自己的一些解决方案来处理持卡人数据,您应该考虑要求您的开发人员使用 Microsoft 开发的安全开发生命周期。这是一种综合方法,用于开发组织用来处理和存储敏感信息(如持卡人数据)的安全 Web 和桌面应用程序。安全开发生命周期从规划安全应用程序开始,确保您使用安全的编码技术,包括在开发完成后安全地测试和部署应用程序。

    有关详细信息,请参阅“Microsoft 安全开发生命周期透视”(http://msdn.microsoft.com/msdnmag/issues/05/11/SDL/)。

  • 遵守产品安全准则。Microsoft 为它的许多软件产品提供了安全准则。与大中型企业特别相关的是 Exchange Server、Systems Management Server 和 SQL Server 的安全准则。有关这些产品安全准则的信息,请参阅法规遵守规划指南的“应用程序安全”部分。#p#

消息和协作

要满足 PCI DSS 要求,您必须确保安全地配置和设置了组织使用的消息和协作软件。由于消息和协作应用程序已经成为支付卡行业的基本工具,因此尽可能确保可能含有持卡人数据的文档或电子邮件的安全非常重要。

满足的 PCI DSS 要求

帮助防止违反消息安全的常见方法包括消息网关、安全消息服务器和消息内容过滤。消息网关和消息内容过滤都会将消息发送到专门的软件应用程序。该应用程序可以使用各种方法隔离特定的字串、数字串、字样或其他项目,具体取决于解决方案的设计情况。然后,会将包含这些关键字的消息隔离起来,直到消息中的可疑信息通过检查,解决方案也可能只是简单地删除和清除消息。在协作环境中通过电子邮件或文档发送持卡人数据时,这些方法可帮助您保护这些持卡人数据。所有这些技术和解决方案将帮助您满足 PCI DSS 要求 4。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了许多帮助您保护消息和协作软件安全的解决方案。在这些解决方案中,每个解决方案都将为企业的不同方面提供相应的解决方案。您应该有序部署这些解决方案,以便在部署完成之后剩下的安全漏洞尽可能少。

  • Microsoft Exchange Server。与文档管理一样,Exchange 可以帮助您定义符合组织的消息传递需要同时能保持邮件所含持卡人数据安全的功能强大的解决方案。Exchange Server 2007 包括统一消息服务,将发送到一个用户的电子邮件、语音邮件和传真合并到一个收件箱中。此外,它还提供一些功能,使您的组织能够应用保留规则、对传输过程中的消息进行扫描和操作、灵活记录日志以及对所有配置的邮箱执行丰富文本搜索。
    有关详细信息,请参阅 Microsoft Exchange Server 网站 (http://www.microsoft.com/exchange/default.mspx)。

  • Microsoft Forefront Security for Exchange Server。Microsoft Forefront Security for Exchange Server 通过一种注重分层防御、优化 Exchange Server 性能和可用性以及简化管理控制的方法,来帮助防止电子邮件基础结构受感染和停机。

    • 全面保护。Microsoft Forefront Security for Exchange Server 包含多个来自业界领先安全企业并集成至单个解决方案的扫描引擎,从而帮助企业保护 Exchange 消息服务环境免受病毒、蠕虫和垃圾邮件的危害。

    • 优化性能。通过与 Exchange 服务器、扫描创新和性能控制深度集成,Forefront Security for Exchange Server 在帮助保护消息服务环境的同时,维持正常运行时间并优化服务器性能。

    • 简化管理。Forefront Security for Exchange Server 还使管理员能够在服务器级和企业级轻松管理配置和运行,以及自动化扫描引擎签名更新和报告。

    有关详细信息,请参阅 Microsoft Forefront (http://www.microsoft.com/forefront/default.mspx)。

  • Microsoft Exchange 托管服务。Microsoft Exchange 托管服务由四种各具特色的服务组成,这些服务能帮助组织抵御以电子邮件为载体的恶意软件的侵袭、满足合规性的保留保留要求、加密数据以维护机密性及在出现紧急情况期间和以后维持对电子邮件的访问。该服务采用“将软件作为服务”模式在 Internet 上部署,帮助最大限度地减少额外的资本投资,释放 IT 资源以将重点放在其他创造价值的计划,在消息到达公司防火墙之前迁移消息传递风险。

    有关详细信息,请参阅“Microsoft Exchange 托管服务”(http://www.microsoft.com/exchange/services/default.mspx)。

  • Microsoft Office 信息权限管理 (IRM)。Office 是最主要的企业生产力应用程序套件。Microsoft Office 的 IRM 功能可帮助您的组织控制对持卡人数据等敏感信息的访问。

    具体而言,Office IRM 功能将帮助您的组织:

    • 防止受保护信息的授权接收人转发、复制、修改、打印、传真或剪切和粘贴信息来进行未经授权的使用。

    • 防止使用 Microsoft Windows Print Screen 功能复制受保护的信息。

    • 不管信息传送到什么位置,始终为信息提供相同级别的保护。这称为“持续保护”。

    • 为电子邮件附件提供相同级别的保护,只要附件是使用 Excel 或 Word 等其他 Office 程序创建的文件。

    • 保护已经设置为即将过期的电子邮件或文档,使信息在指定的时间段后不能再查看。

    • 执行公司的策略,控制公司内外对信息的使用和分发。

    Office IRM 建立在 Microsoft Windows Rights Management Services 平台之上。要在 Office 中启用此功能,您必须购买 RMS 服务器许可证。

    有关详细信息,请参阅 Microsoft Office 网站 (http://office.microsoft.com/en-us/default.aspx)。

  • Microsoft Windows SharePoint Services 信息权限管理 (IRM)。与文档管理解决方案一样,SharePoint Services IRM 可能帮助创建满足 PCI DSS 要求的协作解决方案。此技术允许您创建持续的一组访问控制,将其附加到内容而不是特定的网络位置,这样即使文件不在您的直接控制之内,也可以借助该技术间接控制对文件的访问。IRM 适用于存放在文件库中并且作为列表项的附件储存的文件。站点管理员可以选择使用 IRM 对文档库中的文件下载进行保护。当用户尝试从存储库下载文件时,Windows SharePoint Services 会验证该用户是否对该文件具有相应的权限,然后向用户发放许可,使该用户能够在相应的权限级别访问该文件。然后,Windows SharePoint Services 会采用加密的、有管理权限的文件格式将文件下载到用户的计算机。#p#

    Office IRM 建立在 Microsoft Windows Rights Management Services 平台之上。要在 Office 中启用此功能,您必须购买 RMS 服务器许可证。

    有关详细信息,请参阅 Microsoft SharePoint 产品和技术网站 (http://go.microsoft.com/fwlink/?linkid=12632)。

数据分类和保护

数据分类和保护解决方案是成功符合 PCI DSS 要求并保持持卡人数据安全的中心因素。这些解决方案处理如何向系统或传输中的持卡人数据应用安全分类级别。此解决方案类别提供的数据保护还涉及为存储或传输的数据提供加密性和完整性。加密解决方案是组件用来提供数据保护的最常见方法。

满足的 PCI DSS 要求

数据分类和保护解决方案会对数据库中存储的持卡人数据、服务器之间传输的持卡人数据或者在持卡人购物时传输到您的网络的持卡人数据进行保护,从而帮助您满足 PCI DSS 要求。使用以下解决方案使您能够满足 PCI DSS 要求 3 和 7。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了许多可以帮助您对持卡人数据进行分类和保护的技术,不管这些数据是通过网络传输、存储在员工计算机的文档中,还是存储到数据库中。这些方法包括:

  • BitLocker™ 驱动器加密。BitLocker 驱动器加密通过提供驱动器加密以及对最早启动组件进行完整性检查,帮助您保护持卡人数据安全。驱动器加密通过阻止未经授权的用户在遗失或被盗的计算机上破解 Windows 文件和系统保护来保护数据。此保护通过对整个 Windows 卷加密来实现。使用 BitLocker,包括交换文件和休眠文件在内的所有用户文件和系统文件都会经过加密。对最早启动的组件执行完整性检查,将帮助确保仅在这些组件没有什么问题并且加密的驱动器位于原来的计算机时才执行解密。BitLocker 在 Windows Vista Enterprise 和 Windows Vista Ultimate 和 Windows Server“Longhorn”上可用。

    有关详细信息,请参阅“BitLocker 驱动器加密:摘要”(http://technet.microsoft.com/en-us/windowsvista/aa906018.aspx)。

  • Windows 加密文件系统 (EFS)。EFS 提供用来在 NTFS 文件系统卷上储存加密文件的核心文件加密技术。在文件或文件夹加密之后,使用起来与加密前没有两样。

    加密对于加密文件的用户来说是透明的。这意味着,您在使用加密的文件之前不必要手动解密。您可以跟正常情况下一样打开和更改文件。

    使用 EFS 与在文件和文件夹上使用权限类似。两种方法都可以用来限制对数据的访问。但是,对于未经授权获得对加密文件或文件夹物理访问的入侵者,将阻止其读取这些文件或文件夹。入侵者在尝试打开或复制加密的文件或文件夹时,会收到拒绝访问消息。在文件或文件夹上使用权限则不能抵御未经授权的物理攻击。

    有关详细信息,请参阅“加密文件系统概述”(http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/encrypt_overview.mspx?mfr=true) 或“加密文件系统”(http://www.microsoft.com/windows/products/windowsvista/features/details/encryptingfilesystem.mspx)。

  • Microsoft Windows Rights Management Services。Microsoft Windows Rights Management Services (RMS) 是一种帮助应用程序保护持卡人数据免遭未经授权使用(包括联机、脱机以及在防火墙内外的使用)的软件平台。

    RMS 不管信息传送到什么位置,都会保持对信息应用持续的使用策略来保护信息,从而能够增强您组织的安全策略。启用了 RMS 的应用程序可用来管理、控制和审核对包含持卡人信息的文档的访问。RMS 客户端已经集成到 Windows Vista 操作系统中。对于其他版本的 Windows,可以免费下载 RMS 客户端。
    有关详细信息,请参阅 Windows Rights Management Services (http://www.microsoft.com/rms)。

  • Microsoft SQL Server 加密。当您在 SQL Server 中存储持卡人数据时,它会使用层次加密方法以及密钥管理基础结构对数据加密。每层将使用证书、非对称密钥和对称密钥的组合对其下面的层加密。对于 SQL Server 本身有一个主密钥,对于该 SQL Server 实例内的每个数据库有一个单独的密钥。这为组织的持卡人数据存储提供安全保障。

    有关详细信息,请参阅 Microsoft SQL Server (http://www.microsoft.com/sql/default.mspx)。

身份管理

身份管理是实现 PCI DSS 遵守的另一个重要因素。身份管理解决方案允许您限制哪些人可以访问、处理和传输持卡人数据。您的组织可以利用这些身份管理解决方案,帮助管理员工、客户和合作伙伴的数字身份和权限。

满足的 PCI DSS 要求

身份管理解决方案帮助创建并指定唯一 ID 给组织中有权访问计算机的每个人,从而使您能够满足 PCI DSS 要求 8。这些解决方案还帮助您根据该唯一 ID 限制对持卡人数据的访问,这也是 PCI DSS 要求 7 的原则。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了大量技术来帮助您满足组织的身份管理要求。

  • Microsoft Active Directory。Active Directory 支持许多技术,帮助您控制哪些人可以访问网络上或网络外部的持卡人数据。第一,Active Directory 支持 Kerberos 身份验证,它是默认的 Windows 身份验证技术之一。Kerberos 提供安全的用户身份验证,支持允许互操作性的行业标准。Active Directory 域控制器维护用户帐户和登录信息以支持 Kerberos 服务。第二,Active Directory 支持智能卡身份验证。您可以要求包含持卡人数据的系统的远程用户或管理员使用智能卡和 PIN 访问您的网络。第三,Active Directory 支持凭据漫游服务,使拥有多台计算机的用户能够在每个计算机上使用相同的凭据。第四,Active Directory 允许您的组织自定义用来验证用户身份的凭据提供程序。这些功能可以帮助您精细控制如何允许 Active Directory 帐户访问持卡人数据,以及为哪些帐户提供访问该数据的权限。

    有关详细信息,请参阅 Windows Server 2003 Active Directory 技术中心 (http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx)。#p#

  • Microsoft Active Directory 联合服务。使用 Active Directory 联合服务 (ADFS),您可以创建扩展到 Active Directory 林传统边界以外的身份管理解决方案。通过使用 ADFS,您的组织可以扩展其现有的 Active Directory 基础结构,以提供对可信合作伙伴通过 Internet 提供的资源的访问。这些可信合作伙伴可能包括第三方或相同组织的其他部门或子公司。

    ADFS 已经与 Active Directory 紧密集成。ADFS 从 Active Directory 检索用户属性,然后使用 Active Directory 验证用户身份。ADFS 还使用 Windows 集成身份验证。ADFS 在 Windows Server 2003 R2 和 Windows Server“Longhorn”操作系统中可用。

    有关详细信息,请参阅“Windows Server 2003 R2 中 Active Directory 联合服务 (ADFS) 的概述”(http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx)。

  • Microsoft 身份生命周期管理器。Microsoft 身份生命周期管理器 (ILM) 简化匹配和管理不同数据库中身份记录的过程,防止出现异常,例如存在离职员工的活动记录。ILM 为您的组织提供一种策略框架来控制和跟踪身份和访问数据,帮助管理合规性。它还包括供最终用户使用的自助工具,使您的 IT 部门能够将许多任务安全地委派给最终用户,从而提高部门的工作效率。ILM 的另一个重要特征是它包括一个基于 Windows 的证书管理解决方案,该解决方案与 Windows Server 2003 操作系统和 Active Directory 相集成,为 Windows Server 2003 证书颁发机构提供一种“交钥匙”解决方案来管理智能卡和数字证书的端对端生命周期。

    ILM 使您的组织能够:

    • 同步各种异构目录和非目录身份存储区之间的身份信息。这使您能够自动完成更新不同平台中间的身份信息并且在企业范围内维护该数据的完整性和所有权的过程。

    • 在系统和平台之间提供和取消提供分发、电子邮件帐户和安全组等用户帐户和身份信息。可以根据人力资源系统等权威性存储区中的事件或更改,快速创建新员工的新帐户。此外,当员工离开公司时,可以从同一系统中直接取消提供这些用户的信息。

    • 管理证书和智能卡。ILM 包括一个工作流和基于策略的解决方案,使组织能够轻松管理数字证书和智能卡的生命周期。ILM 利用 Active Directory 服务和 Active Directory 证书服务提供数字证书和智能卡,采用自动化的工作流来管理基于证书的凭据的整个生命周期。ILM 使组织能够更有效地部署、管理和维护基于证书的基础结构,从而降低与数字证书和智能卡相关的成本。此外,它还将优化数字证书和智能卡的提供、配置和管理,通过强大的多重身份验证技术来提高安全性。

    有关详细信息,请访问“Microsoft 身份生命周期管理器”主页 (http://www.microsoft.com/windowsserver/ilm2007/default.mspx)。

  • Microsoft SQL Server。您可以将 SQL Server 与其他技术结合使用,创建身份管理解决方案。使用 SQL Server 数据库存储用户名和密码信息,将证书映射到用户帐户和其他解决方案。可以将 SQL Server 与 Microsoft ILM、Active Directory、组策略和 ACL 结合使用,限制用户对其他数据库、文档或目录中存储的持卡人数据的访问。

    有关详细信息,请参阅 Microsoft SQL Server (http://www.microsoft.com/sql/default.mspx)。

操作系统支持功能
  • 公钥基础结构。公钥基础结构 (PKI) 是一个包含数字证书、证书颁发机构 (CA) 以及其他使用公钥加密方法来确认和验证电子交易相关各方有效性的机构的系统。使用此基础结构,您可以保护持卡人数据,在通过 Internet、外部网、内部网和应用程序交换持卡人数据时有强大的安全保障。

    在 Windows Server 2000、Windows XP Professional、Windows Server 2003、Windows Vista 和 Windows Server“Longhorn”提供有 PKI 支持。

    有关详细信息,请参阅“Windows Server 2003 的公钥基础结构”(http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx)。

身份验证、授权和访问控制

身份验证是确定用户身份的过程。在 IT 环境中,身份验证通常涉及一个用户名和密码,但是还可以采用其他方法来证明身份,例如智能卡、视网膜扫描、声音识别或指纹。授权侧重于确定经过验证的身份是否能访问请求的资源。您可以选择根据许多标准来授权或拒绝访问,例如,客户端的网址、时间或用户使用的浏览器。

在对您的身份验证、授权和访问控制策略进行规划时,您还应该制定一个授予用户帐户网络上所有资源权限的策略。有关详细信息,请参阅将最小特权原则应用于 Windows XP 上的用户帐户

满足的 PCI DSS 要求

身份验证、授权和访问控制是您的持卡人数据安全策略的关键部分,特别是在与数据分类和保护以及身份管理解决方案结使用时。在此情况下,身份验证、授权和访问控制解决方案可以帮助您的组织符合 PCI DSS 要求 6、7 和 8。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了多种技术来帮助您创建身份验证、授权和访问控制策略,并将这些策略集成到完整的 PDI DSS 遵守解决方案中。

  • Microsoft Active Directory。Microsoft Windows 2000 Server、Windows Server 2003 和 Windows Server“Longhorn”中的 Active Directory 服务大部分集中在身份验证、授权和访问控制上。例如,Active Directory 支持 Kerberos 身份验证,它是默认的 Windows 身份验证技术之一。Kerberos 提供安全的用户身份验证,支持允许互操作性的行业标准。Active Directory 域控制器维护用户帐户和登录信息以支持 Kerberos 服务。此外,Active Directory 还支持智能卡身份验证。您可以要求包含持卡人数据的系统的远程用户或管理员使用智能卡和 PIN 访问您的网络。Active Directory 支持凭据漫游服务,使拥有多台计算机的用户能够在每个计算机上使用相同的凭据。使用 Active Directory,您的组织还可以自定义用来验证用户身份的凭据提供程序。此外,Active Directory 还允许您在组织中委派任务。这些功能可以帮助您精细控制如何允许 Active Directory 帐户访问持卡人数据,以及为哪些帐户提供访问该数据的权限。

    有关详细信息,请参阅 Windows Server 2003 Active Directory 技术中心 (http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx)。#p#

  • Microsoft Internet 验证服务。Internet 验证服务 (IAS) 是 Microsoft 实施的远程身份验证拨号用户服务 (RADIUS) 服务器和代理。用作 RADIUS 服务器时,IAS 为许多类型的网络访问执行集中的连接身份验证、授权和计账,其中包括无线连接和 VPN 连接。用作 RADIUS 代理时,IAS 将身份验证和计账消息转发给其他 RADIUS 服务器。这样,在远程连接到组织的网络之前,IAS 会对远程连接执行身份验证步骤。在用户提供了用于远程连接的凭据之后,您可以授权他们只能访问其完成工作所需的那些资源。

    有关详细信息,请参阅“Internet 验证服务”(http://www.microsoft.com/technet/network/ias/default.mspx)。

操作系统支持功能
  • 使用访问控制列表授予资源权限。访问控制列表 (ACL) 是自 Microsoft Windows NT 以后的操作系统用来保护文件和文件夹等资源的机制。ACL 包括多个访问控制项 (ACE),它们将主体(通常是用户帐户或帐户组)与控制资源使用的规则相关联。ACL 和 ACE 让您的组织能够根据您可以与用户帐户关联的权限允许或拒绝对资源的访问权限。例如,您可以创建 ACE,并将其应用到文件的 ACL,禁止管理员以外的任何人读取该文件。您应当在较大的身份管理解决方案中使用这种技术,它确实是限制只有那些有业务需要的个人能访问持卡人数据的好方法。

    有关详细信息,请参阅“ACL 技术概述”(http://msdn2.microsoft.com/en-us/library/ms229742.aspx)。

  • Microsoft Windows Vista 和 Windows Server“Longhorn”中的 Windows 防火墙。如前所述,Windows Vista 和 Windows Server“Longhorn”上的 Windows 防火墙可以帮助防止您的系统和网络受到恶意攻击。此外,它还可以帮助您控制哪些用户、计算机和组可以访问计算机或域上的资源。在使用“高级安全 Windows 防火墙”时,您可以创建按 Active Directory 用户、计算机或组筛选连接的规则。要创建这些类型的规则,您必须使用带有 Active Directory 帐户信息的凭证保护 IPsec 连接,例如 Kerberos V5。

    有关详细信息,请参阅“Windows 防火墙”(http://www.microsoft.com/technet/network/wf/default.mspx)。

有关身份验证、授权和访问控制的概念性信息和规划指南,请参阅法规遵守规划指南的“身份验证、授权和访问控制”部分。

漏洞识别

漏洞识别解决方案提供您的组织可用来帮助测试其信息系统漏洞的工具。您的 IT 人员必须先了解 IT 环境中的漏洞,然后才能有效地解决这些漏洞。漏洞识别还包括能够还原因用户出错而意外丢失的数据。

满足的 PCI DSS 要求

漏洞解决方案使您的组织能够符合 PCI DSS 要求 11,定期对安全系统和过程进行测试。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1

可用技术

Microsoft 提供了相应的解决方案来帮助您设计符合 PCI DSS 要求的漏洞识别解决方案。

  • Microsoft 基准安全分析器 (MBSA)。与在设计许多持卡人数据保护控制时的评估风险一样,MBSA 允许您定期检查可能危及持卡人数据安全的漏洞。您可以使用 MBSA 工具找到许多 Microsoft 产品中常见的安全误配置,这些产品包括 Microsoft Windows 操作系统、Internet Information Services、SQL Server™、Internet Explorer® 和 Microsoft Office。MBSA 还会扫描已经发布到 Microsoft Update 但尚未在系统上安装的安全更新、更新汇总以及 Service Pack。您可以从命令提示符或 GUI 运行 MBSA,还可以将其与 Microsoft Update 和 Windows Server Update Services 结合使用。由于保持系统最新是使持卡人数据尽可能安全的一种非常重要的方法,因此在确定您的产品安装在一段时间内是否产生了持卡人数据漏洞时,MBSA 可能是一种非常重要的工具。

    有关详细信息,请参阅“Microsoft 基线安全分析器”(http://www.microsoft.com/technet/security/tools/mbsahome.mspx)。

监视、审核和报告

监视和报告解决方案将收集和审核身份验证和访问系统所产生的日志。您可以设计这些解决方案,根据 PCI DSS 收集特定信息,或者使用内置到操作系统或软件包的现有日志。

监视和报告的子类别是对组织中所有已记录数据的收集、分析和关联。有时这可以通过一个仪表盘类型的解决方案来实现,您可以在上面更好地分析在整个组织中搜集的各种信息。使用这种解决方案,IT 管理人员能够更好地确定事件之间是否有关联。

满足的 PCI DSS 要求

监视、审核和报告解决方案可以帮助满足 PCI DSS 要求 10,以跟踪和监视所有对网络资源和持卡人数据的访问。

可用技术

Microsoft 提供许多允许您对网络访问以及对持卡人数据的访问进行监视的技术。

  • Microsoft System Center Operations Manager 审核收集。Operations Manager 2007 可以从 Windows 操作系统安全、高效地提取和收集安全日志,并且存储这些日志供以后分析和报告使用。提取的日志存储在单独的“审核收集”数据库中。Operations Manager 将附带有可用于“审核收集”数据的报表。可以使用审核收集来生成各种符合性报告,例如支持萨班斯-奥克斯利法案审核。还可以使用审核收集进行安全分析,例如入侵检测和未经授权的访问尝试。

    有关详细信息,请参阅“审核收集服务”(http://technet.microsoft.com/en-us/library/bb381258.aspx)。

  • Microsoft Windows Vista 事件日志基础结构。对 Windows 事件日志基础结构的改进使 Windows Vista 桌面更易于管理和监视,提供更好的信息用于疑难解答。严格的标准确保事件有意义、可执行并且记录完备。许多在以前版本的 Windows 中用文本文件存储日志信息的组件现在会将事件添加到该事件日志。利用事件转发,管理员可以集中管理计算机中位于网络任意位置的事件,使得更容易主动确定问题,关联影响多台计算机的问题。最后,事件查看器已完全改写,允许用户创建自定义视图,轻松将事件与任务相关联,以及远程查看其他计算机中的日志。这种改变使得日志变得更实用,方便管理员使用事件日志诊断用户的问题。

    有关详细信息,请参阅 Windows Vista 管理功能 (http://technet.microsoft.com/en-us/windowsvista/aa905069.aspx)。

  • Microsoft SQL Server。SQL Server Reporting Services 是一个全面的基于服务器的解决方案,旨在帮助您创建、管理、发布传统的基于纸张的报表和交互的、基于 Web 的报表。作为 Microsoft 商业智能框架的一个完整部分,Reporting Services 将 SQL Server 和 Microsoft Windows Server 的数据管理功能与广为熟知、功能强大的 Microsoft Office 系统应用程序相结合,从而提供实时信息以支持日常运作并推动决策。您可以利用这些服务生成报告,分析持卡人数据,跟踪对数据的更改。您还可以使用报告服务,更轻松地监视网络使用模式和信息流。#p#

    有关详细信息,请参阅 Microsoft SQL Server (http://www.microsoft.com/sql/default.mspx)。

操作系统支持功能
  • NTFS 系统访问控制列表。您的组织可以在文件和目录上使用 NTFS 系统访问控制列表 (SACL) 来帮助您跟踪对系统上文件或文件夹的更改。在文件或文件夹上设置 SACL 时,只要用户对该文件或文件夹执行操作,SACL 都会让 Windows 操作系统记录该操作以及操作的执行者。您不能在格式化为 FAT 文件系统的系统上设置 SACL,因此您的组织必须在用来存储用户数据和持卡人数据的所有卷上使用 NTFS 文件格式。

    有关详细信息,请参阅“用户数据和设置管理”(http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpusrdat.mspx)。

管理 PCI DSS 技术解决方案

虽然使用管理产品不能帮助您的组织满足任何特定的 PCI DSS 要求,但是它们可以帮助您跟踪为合规目的已实施的 IT 控制。在创建 IT 控制的框架时,要能够从尽可能少的管理员控制台管理这些控制,这一直很重要。

可用技术

Microsoft 提供两种主要工具,用来管理您为了符合 PCI DSS 和其他法规要求而实施的 IT 控制的框架。

  • Microsoft Forefront。Microsoft Forefront 是一个业务安全产品套件,可用来为客户端操作系统、应用程序服务器和网络边缘提供保护。您可以将 Forefront 与现有的 IT 基础结构结合在一起来保护服务器和客户端计算机,以免受到恶意软件和其他恶意攻击的影响 - 都是通过与 Exchange、SharePoint 和即时消息等应用程序服务器的简单集成。Forefront 还提供与 Active Directory 的内置集成,使用 ISA Server 处理 Active Directory,从而实现对 RADIUS、DHCP 和智能卡的支持。此外,Forefront 还为一个中心报告位置提供一个集中管理工具,并且提供一个集中位置来设置策略控制措施。

    有关详细信息,请参阅 Microsoft Forefront (http://www.microsoft.com/forefront/default.mspx)。

  • Microsoft System Center。Microsoft System Center 是一个管理产品系列,旨在提供在组织中自动执行系统管理所需的工具。System Center 包括相应的技术来帮助自动完成最常见的管理任务,它还提供工具帮助 IT 专业人员检测、诊断和更正其计算环境中的问题。具体而言,System Center 提供执行下列功能的产品:

    • 监视分布式环境中的硬件和软件以检测问题,然后提供修复这些问题的工具。

    • 自动完成安装、更新和修补软件的过程。

    • 提供标准系统管理流程的实施。

    • 处理 Windows 文件服务器数据的备份和还原。

    • 解决较小组织的监视和配置要求。

    • 管理虚拟机。由于速度越快的硬件允许在一台机器上运行的应用程序越多,组织越来越多地使用虚拟化隔离这些应用程序。

    • 通过提供估计所需资源的工具,适当调整安装的规模。

    有关详细信息,请参阅 Microsoft System Center (http://www.microsoft.com/systemcenter/default.aspx)。

小结

此部分描述您的组织可用来帮助实现和维护 PCI DSS 遵守的技术解决方案。该部分将讨论这些解决方案重要的原因,提供可以帮助您的组织实现法规遵守的 Microsoft 指导和技术的链接。

实施这些解决方案后,不仅有助于为您的 IT 环境提供安全和符合性标准,还会对组织的业务流程产生积极的影响。在实施任何确定的解决方案之前,一定要向您的法律顾问和审核人员咨询,获得与您自己的独特 PCI DSS 遵守需求有关的法律意见,并且仔细考虑这些解决方案对整个组织而不只是合规性方面的影响。Microsoft 承诺将为 PCI DSS 和法规遵守提供更深入的研究和解决方案。然而,您也可以公开搜集寻找更多与此复杂而重要的主题有关的信息。 

附录

此部分包含客户经常问到的一些问题,这些问题与 Microsoft 的技术解决方案以及这些解决方案如何适合用来遵守 PCI DSS 要求有关。它还包含一个说明哪些技术解决方案可以帮助您的组织满足相应要求的映射图。

常见问题

问:我的组织为什么要遵守支付卡行业数据安全标准? 此标准是否又是一个没什么用、却需要很高的处理成本的标准?

答:您的组织之所以应该遵守 PCI DSS 标准,有三个原因。原因之一是 Visa 等支付卡品牌承诺为遵守 PCI 的组织提供经济奖励,对于不合规的组织则予以处罚。原因之二是遵守该标准可以帮助减轻数据丢失情况发生时的法律责任。原因之三是通过周到的分析以及适当的系统设计,这一过程可实际帮助您更好地跟踪客户数据,从而帮助您改进客户服务,提升客户满意度。

问:Microsoft 是否夸大了它为 PCI DSS 遵守提供的技术?

答:每个组织的情况是不同的,本指南旨在尽可能的全面。Microsoft 可以为行业垂直市场的客户提供特定指南。您还可以与您的 Microsoft 销售代表联系,以获取指南。如上所述,如果您不是简单地将这看作一个合规性项目,而是着眼于改进客户信息的跟踪和管理,则可以获得更好的商业效果。

问:本白皮书介绍了许多帮助遵守 PCI DSS 的技术,但是遵守解决方案则极少。为什么?

答:每种情况都具有独特性,因此,不可能提出一个适合所有情况的解决方案。如小结中所述,Microsoft 承诺为您的组织提供更详细的信息。

问:Microsoft 可以做哪些工作来帮助我的组织获得 PCI DSS 认证?

答:Microsoft 可以为您提供有助于符合 PCI DSS 要求的软件和服务,但是,它不能确保您的组织最终能符合要求。作为一个供应商,我们非常乐意帮助您的组织符合这些要求,然而,是否遵守要求取决于您的组织、审计人员以及要处理的支付卡品牌。#p#

答:小节 3.4.1 是否意味着不能使用 Microsoft 数据保护技术?

答:不是。该小节的原文是:

“如果使用磁盘加密(而不是文件或卷级别的数据加密),则必须独立于本机操作系统访问控制机制之外管理逻辑访问(例如,不使用本地系统或 Active Directory 帐户)。不能将解密密钥与用户帐户关联。”

Microsoft 数据保护技术不会将解密密钥与用户帐户关联。例如,BitLocker 驱动器加密从来不会将解密密钥(PIN 或恢复密码)与 Active Directory 中的用户帐户关联。加密文件系统 (EFS) 也不会将解密密钥与用户帐户关联。您的组织可以撤消个人解密文档的能力,而不用更改系统访问权限。在某些配置中,EFS 会尝试通过自动将某些解密密钥放置在特定用户的用户配置文件中来优化用户体验。但是,此行为可通过相应的配置加以更改。

PCI DSS 要求和相关技术解决方案 

要求

技术解决方案部分

要求 1

风险评估网络安全

要求 2

网络安全性

要求 3

文档管理风险管理数据分类和保护

要求 4

风险评估消息和协作数据分类和保护网络安全

要求 5

风险评估恶意软件预防

要求 6

文档管理风险管理更改管理主机控制恶意软件预防应用程序安全

身份验证、授权和访问控制

要求 7

文档管理风险评估身份管理身份验证、授权和访问控制数据分类和保护

要求 8

风险评估身份验证、授权和访问控制

要求 9

文档管理

要求 10

文档管理更改管理监视、审核和报告网络安全

要求 11

风险评估主机控制漏洞识别

要求 12

文档管理

 

原文地址查看更多相关文章

 

责任编辑:佚名 来源: 微软TechNet中文站
相关推荐

2009-08-18 17:16:59

2010-09-10 16:06:16

支付卡信用卡

2017-04-28 14:25:06

支付卡合规方案

2015-01-21 09:08:13

数据安全合规性数据泄露

2021-06-02 08:37:33

HTTPSPCI DSS合安全检测

2010-06-02 19:47:41

2012-09-28 16:18:47

IT云安全云服务

2010-04-27 12:05:47

2014-10-16 09:44:39

RFIDEPCIS

2020-10-27 11:48:18

网络支付安全为先

2023-07-12 13:29:16

2023-04-26 15:30:19

2021-03-04 10:34:51

存储

2019-11-12 08:38:01

网络安全网络攻击安全威胁

2014-09-22 10:25:56

应用安全PCI DSSPA-DSS

2016-08-31 21:52:46

移动云安全行业标准

2024-01-10 08:03:50

数据安全网络安全

2010-12-16 11:03:07

2010-12-13 13:43:16

PCI DSS数据泄漏

2018-02-23 16:11:40

数据中心运营规划IT
点赞
收藏

51CTO技术栈公众号