来自 防护 2021-10-13 20:07 的文章

网站防护_重庆盾云科技要倒闭_新用户优惠

网站防护_重庆盾云科技要倒闭_新用户优惠

支付卡行业安全标准委员会(PCI SSC)于2015年2月13日发布了一份特别公告,宣布即将对支付卡行业数据安全标准(PCI DSS)进行修订(3.1版于4月15日发布),以及《支付应用数据安全标准》(PA-DSS)(3.1版于2015年5月发布)。本公告的目的是通知支付卡行业,PCI SSC已确定安全套接字层(SSL)协议不再是基于PCI SSC"强加密"定义的数据保护可接受的解决方案除了2015年4月15日发布的PCI DSS版本3.1的公开行动外,还向批准的扫描供应商(ASV)发布了官方指南,彻底防御cc攻击,该指南指出,使用SSL和/或TLS早期版本的现有实施必须有正式的风险缓解和迁移记录。实体应提交其ASV文件,以纳入"例外情况、误报或补偿控制"。该文件有效期至2018年6月30日,在此日期之后,"尚未完全从SSL/early TLS迁移的实体将需要遵循通过补偿控制解决漏洞的过程。"PCI DSS和PA-DSS术语、缩写和首字母缩略词词汇表v3.0为强加密提供了以下定义:基于行业测试和认可算法的加密技术,以及强密钥长度(至少112位有效密钥强度)和适当的密钥管理实践。PCI SSC基本上遵循美国国家标准与技术研究所(NIST)在一系列专门出版物中提出的密码算法、密钥强度和密钥管理指南。特别是,NIST SP 800-52:传输层安全(TLS)实现的选择、配置和使用指南(修订版1),该指南禁止使用TLS 1.0、SSL 2.0和SSL 3.0来保护联邦信息,因为它依赖未经批准的加密算法。这对PCI DSS有何影响?PCI DSS有一个长期的实践,即在需要使用强加密技术的需求中列出可接受或首选的安全协议的示例,而SSL一直都在列表中。以下当前引用SSL和/或强加密的要求最有可能受到影响:1.1.6使用所有允许的服务、协议和端口的文档和业务理由,包括为被认为不安全的协议实现的安全功能的文档。1.1.6.a验证防火墙和路由器配置标准是否包括所有服务、协议和端口的记录列表,包括每个服务、协议和端口的业务理由,网站防御cc,例如,超文本传输协议(HTTP)和安全套接字层(SSL)、安全外壳(SSH)和虚拟专用网络(VPN)协议。影响:与SSL相关的服务、端口或协议的使用将受到审查。组织可能需要证明或证明在已知端口上没有为这些服务或协议启用SSL。2.2.3为任何被认为不安全的所需服务、协议或守护程序实施附加安全功能例如,使用安全技术(如SSH、S-FTP、SSL或IPSec VPN)来保护不安全的服务,如NetBIOS、文件共享、Telnet、FTP等。影响:在此要求中删除了对SSL的引用。组织必须证明或证明,SSLv2、SSLv3和"早期TLS"(实际上是TLSv1.0)不可用于持卡人数据环境中、内部或外部使用的任何服务、协议或守护程序。PCI DSS v3.1使其立即生效,但允许在2018年6月30日之前有一个宽限期来修正现有的实现。新实现可能没有启用SSLv2、SSLv3或早期TLS(TLSv1.0)。2.3使用强加密加密加密所有非控制台管理访问。使用SSH、VPN或SSL/TLS等技术进行基于web的管理和其他非控制台管理访问。影响:这里最有可能的影响是使用基于web的接口对服务器、数据库或网络设备进行管理访问。正如预期的那样,PCI DSSV3.1从该要求中删除了SSL引用。4.1使用强大的加密和安全协议(例如,SSL/TLS、IPSEC、SSH等)在开放的公共网络上传输期间保护敏感的持卡人数据,包括:只接受受信任的密钥和证书。正在使用的协议仅支持安全版本或配置。加密强度适合所使用的加密方法。[指南注意,cc防御最好的服务器,某些协议实现(如SSL v2.0、SSH v1.0和TLS 1.0)具有已知的漏洞,攻击者可以利用这些漏洞来控制受影响的系统。无论使用哪种安全协议,请确保将其配置为仅使用安全版本和配置,以防止使用不安全的连接。例如,可以考虑TLS v1.1或更高版本,从公认的公共证书颁发机构获得的、仅支持强加密的证书。]4.1.c选择并观察发生的入站和出站传输样本,以验证所有持卡人数据在传输过程中均使用强加密技术进行加密。4.1.g对于SSL/TLS实施,检查系统配置,以验证无论何时发送或接收持卡人数据,SSL/TLS是否启用。影响:所有持卡人数据的传输,如网络服务器流量或安全文件传输,将不再能够使用SSLv2、SSLv3或早期TLS,目前有效的TLSv1.0。此外,任何内部解决方案,如从销售点(POS)系统到支付交换机的安全通信,都不应再允许使用SSLv2、SSLv3或早期TLS(TLSv1.0)。但是,PCI DSS v3.1承认,只要能够证明某些POS和POI实现不易受到攻击和攻击,就可以允许这些实现。这一特殊例外甚至将超过2018年6月30日的宽限期。4.1.1识别所有传输持卡人数据或连接到持卡人数据环境的无线网络。检查记录的标准,并与系统配置设置进行比较,以验证所有识别的无线网络是否符合以下要求:行业最佳实践(例如,ieee802.11i)用于实现身份验证和传输的强加密。弱加密(例如,WEP、SSL 2.0或更高版本)不用作身份验证或传输的安全控制。TL.0或LV3的无线传输将不再影响LV3的所有网络传输。此外,任何内部解决方案,防御cc攻击asp代码,如通过无线网络从销售点(POS)系统到支付交换机的安全通信,将不再允许使用SSLv2、SSLv3或早期TLS(TLSv1.0)。4.2.a如果使用最终用户消息传递技术发送持卡人数据,ddos攻击防御系统,则观察发送PAN的过程,并在发生时检查出站传输的样本,以验证PAN在通过最终用户消息传递技术发送时不可读或具有强加密保护。影响:将禁止将SSLv2、SSLv3或早期TLS(TLSv1.0)用于最终用户消息传递技术。6.5.4检查软件开发政策和程序,并与负责人员面谈,以验证不安全的通信是否通过正确认证和加密所有敏感通信的编码技术得到解决。影响:软件开发人员将被期望阻止在他们的代码中使用SSLv2、SSLv3或早期TLS。这必须在软件开发政策和程序文档中指出。8.2.1使用强加密技术,在传输和存储所有系统组件期间,使所有身份验证凭证(如密码/短语)不可读。8.2.1.a检查供应商文件和系统配置设置,以验证密码在传输和存储过程中是否受到强加密保护。影响:持卡人数据环境中的任何系统的任何远程登录或身份验证机制都不允许使用SSLv2、SSLv3或早期TLS。这将如何影响漏洞扫描?关于定期漏洞扫描,PCI DSS 11.2中没有明确提及强加密的使用,但对于检测SSLv2、SSLv3和早期TLS(TLSv1.0)的存在或使用情况的扫描,其影响是"自动失败"。请注意,宽限期被延长到扫描结果,特别是对于由ASV执行的外部漏洞扫描。虽然这些协议的检测必须立即标记为失败,但扫描客户可以作为例外提交补救或迁移计划,直到2018年6月30日宽限期结束。11.2.1季度进行内部漏洞扫描,并根据需要重新扫描,直到所有"高风险"漏洞(如要求6.1中所述)得到解决。必须由合格人员进行扫描。影响:这里的结果是,检测到SSLv2、SSLv3或早期TLS(TLSv1.0)的存在或使用的内部漏洞扫描将报告一个需要以与其他"高风险"漏洞(PCI DSS 6.1)一致的方式进行补救或缓解的发现。2018年6月30日之前的宽限期适用于此,因此补救计划是可接受的例外情况。11.2.2通过支付卡行业安全标准委员会(PCI SSC)批准的扫描供应商(ASV)执行季度外部漏洞扫描。根据需要执行重新扫描,直到扫描通过为止。影响:根据PCI DSS批准的扫描供应商程序指南,使用SSLv2、SSLv3或早期TLS(TLSv1.0)将被宣布为"自动故障"