如何理解PCI DSS的无线安全指南

发布:admin | 发布时间: 2011年9月5日

涉及到信用卡数据的销售商和其它单位必须遵循付款卡行业的数据安全标准（PCI DSS）的指南和要求。这些规则受到主要的信用卡公司的支持，而且实施这些规则可以在传输、处理、存储持卡人数据时保障其安全性。这些PCI DSS标准涉及到信息安全的方方面面。不过，在本文中，我们仅关注与无线网络有关的规则。那些不使用无线网络但却从主要的信用卡公司传输、处理持卡人数据的单位也必须满足某些特定的无线网络要求。

持卡人数据环境
我们要讨论两套指南或要求。为了更好地理解何时、如何将这些指南或要求应用于某个单位，我们首先必须清楚持卡人数据被传输、处理或存储的网段，或称为数据环境（CDE）。
处理持卡人数据的任何网段所包含或连接的任何网络组件都是持卡人数据环境的一部分。有可能处于持卡人数据环境中的网络组件包括交换机、无线接入点、计算机、手持式扫描器、寄存器、边界防火墙等。必须使用防火墙将持卡人数据环境与其它网络组件分离开。

对所有网络的要求
第一组要求适用于必须遵循一般的付款卡行业数据安全标准（PCI DSS）的任何单位。这包括那些不使用无线网络传输持卡人数据的单位，甚至包括并不拥有无线网络或并不使用Wi-Fi的单位。
实施这些要求是为了防止欺诈性的无线接入点。虽然某个单位有可能并不使用无线网络，但是雇员或外部的人员有可能插入欺诈性的接入点，黑客也有可能利用有关位置的其它无线设备。如果某单位拥有用于其它业务的无线网络，这些要求将有助于增加持卡人数据的安全性。
下面即是适用于所有单位的两大要求：
1.监测无线信号以发现和分析存在的任何Wi - Fi接入点:您可以经常（至少一个季度一次）手持无线分析仪绕着相关位置走走，并记录、评述相关结果。作为一种选择，可以安装无线入侵检测和防御系统（IDS / IPS）以持续地监视无线信号，并在发现非授权的接入点（AP）时向有关人员发出警告。不管怎样，在检测到非授权的无线设备时，单位都必须在其事件响应计划中指明需要做什么。现有市面上有许多无线分析仪以及IDS/IPS方案。您可以选择开源或免费的方案，如Kismet、Snort、NetStumbler等都是不错的选择。
2.如果有任何无线接入点并不用于传输或接收持卡人数据，就要将其从持卡人数据环境中分离开。如果单位确实拥有接入点，但却不将其用于传输或接收持卡人数据，就应当将其从持卡人数据环境中分隔开。必须正确配置防火墙以防止这些设备的无线通信进入持卡人数据环境，并且还要执行连接状态检测，按照第十条要求（Requirement 10）监视并记录防火墙所准许和禁止的通信。
必须每天检查防火墙的日志，并且每半年就至少审核和检查一次防火墙的规则。
注意，仅使用虚拟局域网（VLAN）并不足以满足这些PCI DSS的要求。

对Wi-Fi的要求
第二组要求适用于在持卡人数据环境中提供无线接入的任何单位，或者是位于可处理信用卡数据的相同网段上。（如上所述，在持卡人的数据环境中，如果某接入点并不用于传输或接收持卡人数据，它就不应当存在。）
下面这些要求适用于在持卡人数据环境中使用无线网络的单位。
1.保障无线设备在物理上的安全性：为防止接入点、网关、客户端等设备的非法接入或失窃，单位必须在其工作场所中采取措施防止公众或其它人的不安全接触。例如，接入点必须安装在不易够得着的地方，也不要存在无人看管的客户端。须知，接入点可以轻易地被重置为默认值，也可以轻易地从客户端取得登录凭证，从而打开进入持卡人数据环境的大门。
2.改变无线设备的口令和设置：无线接入点中有许多默认设置，这些设置使得设备易于被窃听或被“黑”。因此，必须仔细地检查所有的设置，至少要改变SSID、加密、SNMP、时钟设置等。需要考虑的其它措施包括禁用SSID广播、关闭所有不必要的应用程序、端口、协议等。
3、使用无线IDS/IPS监视无线信号：在无线网络处于持卡人数据环境之外时，虽然使用无线IDS/IPS仅是可选项，但是如果在持卡人数据环境中存在着Wi-Fi，那么IDS/IPS就成为必需的了。IDS/IPS应当执行三大功能：欺诈性接入点检测、不安全配置检查、恶意活动检测。
必须认真配置IDS/IPS并检查其日志。至少必须配置日志文件前缀、日志记录级别、自动滚动设置。如果在日志中发现了不正常的东西，就必须进行调查。
4、使用强健的无线认证和加密：这要求所有的单位不能将WEP加密施行于持卡人数据环境中新的无线应用。在2010年7月1日之前，持卡人数据环境中的所有无线网络必须升级到WPA/TKIP或WPA2/AES。
虽然在使用很长的密钥并经常改变密钥时，预共享密钥模式是可接受的，但是我们还是强烈推荐使用企业模式。这是因为企业模式使用802.1X/EAP提供认证，并提供更强健的加密密钥机制。
如果某个单位并没有安装其自己的RADIUS服务器去实现认证，也可以使用外购服务。
5.使用强健的加密和安全协议：在持卡人数据通过任何公共或开放网络（如互联网和无线技术）传输时，必须使用SSLv3/TLS或IPSEC对所有的持卡人数据进行加密。建议将无线网络看作是开放的网络，即使在使用WPA或WPA2时，最好也要在无线连接上实施加密或安全协议。
6.实施无线使用策略：这要求单位将一些可接受的使用策略和过程放在一起。其中的一些建议包括：要求对持卡人数据环境中的无线访问有明确的管理认可、列示所有的无线设备和被授权使用这些设备的人员、为所有的无线设备加上标签、定义公司能够许可的产品等。
这种要求还建议实施一种从无线设备访问持卡人数据的策略，例如，禁止将数据传输或缓存到本地硬盘或可移动电子媒体等。