PCI DSS第八条规则:为访问计算机的每个用户指定独立ID。 对PCI法规比较关注的一点是对谁做了什么,以及时间的可追溯性和说明。企业认识到用于满足这条规则的主要技术是用户名和密码管理,而且这些技术的使用也不是很困难。为了满足规则,合并可以自动完成任务的工具,或者分派技术员工来解决问题。
大型网络中存在很多进入点的各种环境,包括防火墙和VPN访问。如果没有合适的架构,这些不同的选择使跟踪用户帐户的信息系统上的行为变得很困难。这些相同的企业可能不能监控所有变化的鱼面密码策略。 如何满足PCI第八条规则 企业必须有能力识别、记录所有用户并管理对包含信用卡信息的信息系统和应用的访问。
企业……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
PCI DSS第八条规则:为访问计算机的每个用户指定独立ID。
对PCI法规比较关注的一点是对谁做了什么,以及时间的可追溯性和说明。企业认识到用于满足这条规则的主要技术是用户名和密码管理,而且这些技术的使用也不是很困难。为了满足规则,合并可以自动完成任务的工具,或者分派技术员工来解决问题。大型网络中存在很多进入点的各种环境,包括防火墙和VPN访问。如果没有合适的架构,这些不同的选择使跟踪用户帐户的信息系统上的行为变得很困难。这些相同的企业可能不能监控所有变化的鱼面密码策略。
如何满足PCI第八条规则
企业必须有能力识别、记录所有用户并管理对包含信用卡信息的信息系统和应用的访问。企业必须为访问计算机的每个人创建独立ID。公司还必须拥有(全体员工签署的)书面政策,指出所有的ID和信任状(credential)都只能被指定的人员使用。企业需要有能力核实谁想要访问资产。他们还必须控制哪些员工有权限察看、修正,并且这些行为是居于企业任务的。
管理方面要确保老化的密码上执行的策略。例如,如果公司策略说明所有的密码都必须每45天更改一次,他们必须有能力证明密码确实更改了。另外,企业还应该能够证明他们想新雇用的员工提供密码的程序是可以重复的,还应该可以在员工不再为企业工作的时候移除密码。
PCI DSS还要求使用双因素认证来识别需要访问资源的远程用户,不管他们是员工、管理员还是第三方。虽然帐户名和密码是最简单最经济得网络登录认证方法,但是企业现在开始认识到这种方法的缺点。密码可以通过使用字典攻击被猜测或者破解,或者用户也会被欺骗向其他人透漏他们的密码。阻止社会工程攻击并减少和密码相关风险的方法之一是采用双因素认证。如果用户需要输入密码并提供附加信息,例如智能卡或者令牌上的PIN,那么黑客就不能只使用密码进入网络了。双因素认证可以通过合并用户所知道的(例如,密码)、用户所拥有的(ATM卡)或者用户的身份(指纹)来建立。
最后,至关重要的是企业使用企业范围内的认证构架,而这个构架可以对用户安全连接到网络地方式进行控制。这个构架可以构建,也可以购买。它不应该只能被用于认证访问资源的用户,而且应该可以根据业务的要求帮助限制对资源的访问。这样的做法要求开发一套可以重复的程序,还有保护用户身份和数据的技术和策略。把用户限制在“需要知道”的基础上可以帮助降低风险。
翻译
相关推荐
-
数据泄露后:是否应强制执行密码重置?
据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?
-
交友网站泄露事件过后:关于密码安全的大讨论
在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……
-
信息安全风险管理要素
保护信息是一个业务问题,解决方案并不只是部署技术(防火墙和防病毒网关等),然后不管不顾,并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产,包括信息、信息技术和关键业务流程……
-
CISO的真正挑战:密码管理、IoT安全&合规性
在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作,另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟……那么,CISO面临的共同挑战是什么?