软件和安全-您是否遵循特定的指导原则?

考虑让您的qsa或asv为您的开发人员提供一些培训。

破坏安全的方法有很多种。您可以预料到无限的攻击者。你必须阻止所有的攻击,甚至是还没有发明的攻击。这很难。一些想法:

1. 开发人员需要了解众所周知的安全软件开发指南。霍华德& LeBalc“编写安全代码”是一个好的开始。

2. 但是,成为好的规则追随者仅仅是问题的一半。能够像攻击者一样思考同样重要。在任何情况下(不仅与软件相关),都要考虑漏洞是什么。您需要了解人们攻击系统的一些奇怪方式-监控功耗、计算速度、随机数弱点、协议弱点、人类系统弱点等。给开发人员自由和创造性的机会来探索这些是很重要的。

3. 使用检查表方法,如OWASP( http://www.owasp.org/index.php/Main_Page )

4. 使用独立评估(例如 http://www.commoncriteriaportal.org/thecc.html )。即使这种评估过于昂贵,也要像使用它一样设计和记录。

5. 确保你的安全论点表达清楚。通用标准安全目标是一种良好的格式。对于严重的系统,正式的描述也很有用。清楚你所依赖的任何假设或秘密。监控安全趋势,并经常重新检查威胁和对策,以确保它们是最新的。

6. 检查软件开发人员和流程周围的激励因素。确保奖励位置正确。不要让开发人员隐藏问题。

安全性基本上分为三个域中的一个或多个:

1)内部用户

2)网络基础设施

3)客户端脚本

该列表是按严重性的顺序编写的,与违反概率的顺序相反。以下是从非常广泛的角度来看的适当的管理解决方案:

防止内部用户违规的唯一解决方案是教育用户、加强公司政策意识、限制用户自由和监控用户活动。这一点非常重要,因为无论是恶意的还是无意的,最严重的安全违规总是发生在这里。

网络基础设施是信息安全的传统领域。两年前,安全专家不会考虑在其他地方寻找安全管理。一些基本策略是对所有内部IP地址使用NAT,在网络交换机中启用端口安全,在单独的硬件上物理地分离服务,并在防火墙后面隐藏所有内容之后小心地保护对这些服务的访问。保护数据库不受代码注入的影响。使用ipsec访问防火墙后面的所有自动化服务,并将访问点限制在ID或ips后面的已知点。基本上,限制对所有内容的访问,加密该访问,并固有地信任每个访问请求可能是恶意的。

据报告,超过95%的安全漏洞与来自Web的客户端脚本有关,其中70%的目标内存损坏,如缓冲区溢出。禁用ActiveX并需要管理员权限才能激活ActiveX。修补所有在测试实验室中执行任何类型客户端脚本的软件,不迟于修补程序从供应商发布后48小时。如果测试没有显示对公司授权软件配置的干扰,则立即部署补丁。内存损坏漏洞的唯一解决方案是修补软件。该软件可以包括:Java客户端软件、Flash、AcROBAT、所有Web浏览器、所有电子邮件客户端等。

只要确保您的开发人员符合PCI认证,确保他们 以及他们的管理 接受教育,了解安全的重要性。大多数Web服务器,甚至是面向Web服务器的大型企业客户机,都从未进行过修补。那些被修补的人可能需要几个月才能被修补,因为他们被发现是脆弱的。这是一个技术问题,但更重要的是,这是一个严重的管理失败。必须让Web开发人员了解客户端脚本本身是开放的,甚至是JavaScript。随着Ajax的发展,这个问题很容易实现,因为信息可以动态地注入到匿名的第三方,违反相同的源策略,完全绕过由SSL提供的加密。 归根结底,Web2.0技术本质上是不安全的,如果不破坏技术的好处,就无法解决这些基本问题。

如果其他方面都失败了,请雇佣一些具有管理经验的CISSP认证安全经理直接与公司高管交谈。如果您的领导层不愿意认真对待安全问题,那么您的公司将永远无法满足PCI合规性要求。