支付卡產業資料安全標準遵循規劃指南
On This Page
.gif){kind=icon}
簡介
本《支付卡產業資料安全標準遵循規劃指南》是專為幫助組織符合支付卡產業資料安全標準 (PCI DSS) 規定而設計的。 具體而言,本指南設定的對象是接受支付卡的商家、處理支付卡交易的金融機構,以及服務供應商 - 提供支付卡處理或資料儲存服務的協力廠商。 以上這些團體的 IT 解決方案必須符合所有 PCI DSS 規定。 本指南之目的在擴充法規遵循規劃指南,該指南導入建立 IT 控制之架構式策略,幫助您遵循多項法規與標準。 本指南也會說明 Microsoft 產品和技術解決方案,這些產品和解決方案可用以實作一系列協助符合 PCI DSS 規定的 IT 控制措施,也能幫助符合您組織可能應負的法規責任。
**注意:**如果您組織提供的服務包括自動櫃員機 (ATM) 相關服務,Microsoft 亦提供支援 ATM 之軟體、系統和網路等項目的架構和安全性指導。 如需更多資訊,請參閱 MSDN 網站上的 Microsoft 銀行業中心下載網頁 (英文)。
本指南不包含關於每個組織如何遵循 PCI DSS 的完整資訊。 若要取得您組織相關特定法規遵循問題的答案,請諮詢您的法律顧問或稽核人員。
本指南的簡介包括下列章節:
提要 本節提供 PCI DSS 規定的廣泛概觀以及規劃指南的主要目標。 本節討論 IT 管理人員著手處理 PCI DSS 遵循要求應具備的知識。
應該閱讀本指南的對象 本節將說明本指南的目標讀者、指南的目的與範圍,以及關於本指南限制之警告和免責聲明。
什麼是支付卡產業資料安全標準? 本節提供 PCI DSS 及其規定的概觀。
規劃 PCI DSS 遵循 本節介紹如何使用架構來符合 PCI DSS 規定。 此策略包括建立多種 IT 控制措施、讓這些控制措施共同運作的方法,以及它們為何成為您組織用來符合 PCI DSS 規定和其他法規遵循責任的重要元素。
PCI DSS 稽核程序 本節提供稽核人員用以評估組織是否遵循 PCI DSS 規定之 PCI DSS 稽核程序概觀。
因為本白皮書是用來補充*《*法規遵循規劃指南》之內容,所以當您規劃完整的解決方案來符合所有適用您組織的法規要求時,也應參考該指南。
提要
如果您的組織處理、儲存或傳輸支付卡持卡人資訊,您的業務規定必須遵循支付卡產業資料安全標準 (PCI DSS)。 在這些標準中所定義的規定係由 PCI 安全標準協會所開發,其設計目的在於針對使用您組織服務的持卡人,建立可接受之最低安全性等級。
有三個問題使得此情況較為複雜。 第一,遵循 PCI DSS 規定可能對整個組織產生影響。 協調所有部門間的法規遵循作業,以及具備整個組織均適用的 PCI DSS 遵循策略是非常重要的。 第二個問題是,您的組織可能必須遵守多套法規,而每套法規規定均獨立且不盡相同。 因此,許多公司都認為瞭解如何適當因應這些不同法規要求,同時使用具成本效益的程序維持其法規遵循,是相當不容易的,這一點並不足以為奇。 第三個複雜的問題是 PCI DSS 以及許多其他法規僅附帶提及 IT 控制措施,因此使得 IT 管理人員必須僅靠著那微乎其微的指示,自行決定必須採取什麼行動才能達到並維持法規遵循。
《支付卡產業資料安全標準遵循規劃指南》適用於負責讓公司符合 PCI DSS 義務的 IT 管理人員。 本指南旨在幫助 IT 管理人員瞭解如何著手因應多項適用於其組織的 IT 控制要求,包括 PCI DSS 遵循要求。 為達到這一點,本指南提供了可以用於此程序之解決方案相關資訊。
如需瞭解在遵循多項法規標準方面更廣泛的討論,請參閱法規遵循規劃指南。
**重要:**本規劃指南並未提供法律性建議。 本指南僅提供法規遵循相關之事實與技術資訊。 請勿完全依賴本指南所述及之法規要求處理相關建議。 若有特定問題,請諮詢您的法律顧問或稽核人者。
應該閱讀此文件的對象
《PCI DSS 遵循規劃指南》主要適用於負責確保組織能以安全而可靠的方式,收集、處理、傳送和儲存持卡人資料,同時維護持卡人隱私權的人員。 本指南的目標讀者包括組織中具備下列身份的 IT 管理人員:
**資訊長 (CIO):**參與系統與 IT 相關程序之部署與操作。
**資訊安全主管 (CISO):**參與整體資訊安全計畫和資訊安全性原則遵循。
**財務長 (CFO):**參與組織整體控制環境事項。
**隱私權主管 (CPO):**負責執行個人資訊管理相關原則 (包括支援遵循隱私權及資料保護法規的原則)。
**技術決策者:**決定解決特定業務問題之適當技術解決方案。
**IT 營運主管:**管理執行 PCI DSS 遵循計畫之系統和程序。
**IT 安全性架構設計師:**設計 IT 控制和安全性系統,以提供適當安全性層級,達到組織企業需求。
**IT 基礎結構設計師:**設計能支援 IT 安全性架構設計師所設計之 IT 安全性與控制措施的基礎結構。
**顧問與合作夥伴:**建議或實作隱私權和安全性最佳實務,以為其客戶達成 PCI DSS 遵循目標。
除了上述對象外,下列人士可能也適合使用本指南:
**風險/法規遵循主管:**負責管理組織符合 PCI DSS 規定時的整體風險。
**IT 稽核主管:**參與稽核 IT 系統和減輕內部與外部 IT 稽核人員之工作負擔。
什麼是支付卡產業資料安全標準?
支付卡產業 (PCI) 資料安全標準 (DSS) 是一套周延的規定,其設計旨在確保無論在什麼時間、位置收集、處理、傳送與儲存持卡人信用卡與簽帳卡資訊時,這些資訊皆能安全無虞。 PCI 安全標準協會創始會員 (包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 以及 Visa International) 所開發的 PCI DSS 立意在於促進國際採用一致的資料安全性措施。
PCI DSS 規定是針對日常業務中需處理持卡人資料的公司與組織提出。 PCI DSS 特別為日常需要處理持卡人資料的金融機構、商家和服務供應商設定相關規定。 PCI DSS 是由一系列適用於安全性管理、原則、程序、網路架構、軟體設計和其他保護持卡人資料的措施之規定所組成。
2006 年 9 月發行的 PCI DSS 1.1 版是最新版的標準。 它已編排為一組六項原則和十二條附加規定。 每項規定包含細項規定,您必須實作程序、原則或技術解決方案以符合其規定。 PCI DSS 原則與規定包括:
建置與維護安全的網路
規定 1:安裝並維護防火牆設定以保護持卡人資料。
規定 2:勿使用廠商提供的預設系統密碼和其他安全參數。
保護持卡人資料
規定 3:保護儲存的持卡人資料。
規定 4:加密於開放式公用網路上進行的持卡人資料傳輸。
維護弱點管理計畫
規定 5:使用並定期更新防毒軟體。
規定 6:開發並維護安全的系統和應用程式。
實作增強式存取控制措施
規定 7:將持卡人資料存取限制為業務須知。
規定 8:為每個具有電腦存取權限的人員指派唯一的 ID。
規定 9:限制持卡人資料的實體存取。
定期監視和測試網路
規定 10:追蹤和監視所有網路資源和持卡人資料的存取。
規定 11:定期測試安全性系統和程序。
維護資訊安全性原則
- 規定 12:維護處理資訊安全性的原則。
規定 9 和 12 不會要求您實作技術解決方案。 規定 9 會指示您處理儲存和處理持卡人資料位置的實體安全性。 這可能包括建置辦公大樓出入安全、安裝和維護監視設備,以及要求針對工作場所所有工作人員或訪客進行身份檢查等。 規定 12 會指示您建立資訊安全性原則,並將其散佈給員工、廠商以及組織中任何使用持卡人資料的其他人士。
規劃 PCI DSS 遵循
分別建立 PCI DSS 遵循解決方案既缺乏效率也不具成本效益。 當您規劃遵循 PCI DSS 規定的策略時,必須考慮某些其他法規。 這些法規的範例包括:
Sarbanes-Oxley Act (SOX,美國沙賓法案)
Gramm-Leach Bliley Act (GLBA,金融服務法案)
Health Insurance Portability and Accountability Act (HIPAA,健康保險可攜性與責任法案)
European Union Data Protection Directive (EUDPD,歐盟資料保護規範)
ISO 17799:2005 Code of Practice for Information Security Management (資訊安全管理作業規範) (ISO 17799)
**注意:**如果您的組織為跨國企業,則必須確保組織遵守執行業務之各個據點的政府法規。 Microsoft 建議您諮詢法律顧問,研究有關您組織執行業務據點的所有法規相關知識。
如需更多關於為上述各項法規遵循作業進行規劃的資訊,請參閱法規遵循規劃指南。
您應在充分瞭解以下兩個問題後,再針對組織所要建立的 PCI DSS 遵循解決方案進行開發:
滿足其他法規要求的現有解決方案
建立符合所有法規要求的新解決方案之最佳方式
為有效達成您的法規遵循目標,Microsoft 建議使用控制架構來協助達成您組織的法規遵循目標。 使用控制架構能讓您的組織將適用的法規和標準對應到架構。 這樣一來,您的組織就能更有效地將其 IT 控制工作集中於處理架構中定義之規定,而非個別法規。
另外,由於新的法規和標準會影響組織,您可以將它們對應到架構,然後將工作集中於架構中這些規定已變更的部分。 此外,您可以將各種 IT 控制相關規定對應到架構,包括支付卡產業安全性規定、內部原則等業界特定規定。
架構可為嘗試達成其法規遵循目標的組織提供許多重要的好處。 架構式法規遵循策略能讓組織:
結合 IT 控制以符合多項法規標準 (例如 PCI DSS 和 EUDPD 的法規標準),以避免分別稽核。
在新法規引入時快速達成遵循目標。
選擇能達到最大影響的 IT 控制,針對支出排定優先順序。
避免為達成公司內不同業務單位之法規遵循目標而耗費重複人力。
透過對於組織現有 IT 控制漸增的變更,更有效率地更新目前法規。
在 IT 部門和稽核人員之間建立共識。
當然,當您開始規劃法規遵循作業時,應該針對 PCI DSS 本身進行審閱。 您可以在 https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf 下載 PCI DSS。 此外,PCI 安全標準協會已建立了一套自我評估問卷,能協助您的組織判斷其是否遵循 PCI DSS。 您也可以將其用於協助規劃組織的 PCI DSS 遵循作業。 您可以從 https://www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf 下載 PCI DSS 自我評估問卷。
如需更多關於在控制架構中使用 IT 控制處理法規要求的相關資訊,請參閱《法規遵循規劃指南》。
PCI DSS 稽核程序
適用於 PCI DSS 遵循的稽核程序通常很類似法規遵循規劃指南中概述的程序。 不過,PCI DSS 稽核有一些您必須瞭解的特定細節。
PCI DSS 稽核審閱是由兩種第三方組織進行,分別是合格安全性評估商 (QSA) 和核准審查廠商 (ASV)。 QSA 會執行現場稽核的部分,而 ASV 則會針對組織中連接網際網路的環境進行弱點審查。 擔任 QSA 和 ASV 的企業每年都必須接受 PCI 資料安全協會 (PCI DSC) 的審查並經核准。
在 QSA 為組織進行稽核後,需要製作報告,且該報告必須遵循 PCI DSC 定義之特定準則加以製作。 這些準則可以在 PCI 稽核程序文件中找到,您可以從此處下載該文件:https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf。 這些準則指出 QSA 必須於稽核後提出的報告應以什麼方式來編排。 此報告包括您組織的連絡資訊、稽核日期、提要、工作範圍說明和 QSA 稽核您組織時採用的策略,每季審查結果以及 QSA 的調查結果和觀察意見。 最後一節包含大量關於您組織在 PCI DSS 遵循方面的資訊。 在這個部分,QSA 會使用範本來報告您組織在每項 PCI DSS 規定和細項規定上的遵循狀況。
在為組織排定 PCI DSS 稽核之前,或正在規劃 PCI DSS 遵循相關計畫時,組織中的重要成員應審閱 PCI DSS 稽核程序。 如此可以協助您完全瞭解 QSA 在稽核期間會審查的項目。
ASV 也必須將其對於組織中連接網際網路的環境之弱點審查結果整理成報告。 此報告的準則可以在 PCI 審查程序文件中找到,您可以於此處下載該文件:https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf。 此文件會指出 ASV 必須審查組織環境中的哪些元素,並包含有助於解讀 ASV 報告的關鍵資訊。
身為商家或服務供應商,您的組織必須遵循每家支付卡公司個別的法規遵循報告規定,以確保每家支付卡公司均認可您組織的法規遵循狀態。 換言之,如果您組織是處理與 Visa 和 American Express 相關之持卡人資料的服務供應商,您必須向 Visa 和 American Express 提出法規遵循報告。
每家支付卡公司的法規遵循規則和程序均稍有不同。 如需更多關於特定 PCI DSS 遵循要求,以及每家公司為讓商家和服務供應商達成法規遵循目的所提供的支援計畫資訊,請連絡將持卡人資料交付您組織處理、傳輸或儲存的支付卡公司。
.gif){kind=icon}
符合 PCI DSS 規定
本節將詳細說明組織在進行 PCI DSS 遵循規劃時可列入考量的 Microsoft 技術解決方案。 您應將所選的解決方案整合到組織的日常工作中。 如<規劃 PCI DSS 遵循>一節中所提及,組織原則、程序和技術解決方案應將整個組織內的法規遵循狀況列入考量,並考量 PCI DSS 遵循會對您公司的各單位有什麼影響。
如需有關將 IT 控制對應到技術解決方案相關考量的詳細討論,請參閱法規遵循規劃指南。
文件管理
文件管理解決方案結合了軟體和程序,協助您管理組織中結構鬆散的資訊。 這些資訊可能以多種數位形式呈現,包括文件、影像、音訊和視訊檔案,以及 XML 檔案。
符合的 PCI DSS 規定
實作文件管理解決方案在兩個方面有助於 PCI DSS 遵循。 第一,使用這類解決方案來管理含有持卡人資料的文件有助於符合資料存取、管理和保護相關 PCI DSS 規定。 特別是您可以透過文件管理解決方案來達到符合規定 7 和細項規定 10.2.1 的目的。 第二,您可以使用文件管理系統來維護與發佈原則 (例如要達成第 3.6、6.4、9.2 和 12 節規定的必要原則)。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供多種可搭配或單獨使用的技術,可建立適用於文件管理的 IT 控制措施。 您應將這些控制措施設計為符合 PCI DSS 規定,同時符合其他任何您組織適用的法規要求。
Microsoft® Windows® Rights Management Services: Windows Rights Management Services (RMS) 為一軟體平台,能協助應用程式保護數位資訊免於未經授權的使用行為 (包括線上與離線以及防火牆內與防火牆外的使用)。 RMS 為支援 Microsoft Office 和 Windows SharePoint® Services 的 Information Rights Management (IRM) 功能之基礎技術。 若要使用這些功能,則必須具備 RMS 伺服器 (不論部署於內部或透過主控服務存取)。
RMS 能透過持續使用原則保護資訊,以加強組織的安全性策略,不論資訊位於何處,原則會持續保護資訊。 啟用 RMS 的應用程式可用以管理、控制和稽核包含持卡人資訊的文件存取。 Windows Vista™ 作業系統中已整合了 RMS 用戶端。 其他版本的 Windows 也能以免費下載的方式使用 RMS 用戶端。 如需更多資訊,請參閱 Windows Rights Management Services (英文),網址是:https://www.microsoft.com/rms。
Microsoft Office SharePoint Server: SharePoint Server 為一共同作業和內容管理伺服器,能提供支援組織入口網站和文件管理需求的整合式平台。 它能讓您支援整個企業的內部網路、外部網路和 Web 應用程式,並為 IT 專業人員和開發人員提供伺服器管理、應用程式擴充性和互通性所需的平台和工具。 SharePoint Server 可以用來作為含持卡人資料的文件集中存放庫,也可以存放說明原則和程序的文件。 SharePoint Server 2007 已與 RMS 整合,因此存取控制原則可在所有從 SharePoint Server 2007 下載的內容上強制執行。 此功能可以讓網站管理員以 IRM 保護從文件庫下載的內容。 當使用者嘗試從文件庫下載檔案時,Microsoft Windows SharePoint Services 會驗證使用者是否具有指定檔案的權限,並發出授權給已啟用適當等級檔案存取權限的使用者。 Windows SharePoint Services 接著會使用經過加密且版權受到管理的檔案格式,將檔案下載到使用者的電腦。
如需更多資訊,請參閱 Microsoft SharePoint 產品與技術網站,網址是:https://go.microsoft.com/fwlink/?linkid=12632。Microsoft Exchange Server: 對於現今大部分的企業,電子郵件是員工必須用來產生最佳工作成果的關鍵任務通訊工具。 對電子郵件的依賴逐日增加的情況,造成傳送和收到的郵件數目變多、以電子郵件進行的工作數量和種類增加,甚至業務本身的速度都加快。 Exchange Server 提供豐富的傳訊平台,可管理組織中的資訊交換,同時協助達成 PCI DSS 遵循目標。 Exchange Server 2007 包括統一傳訊功能,此功能將傳送給使用者的電子郵件、語音郵件和傳真整合至單一收件匣中。 它也提供一些功能,讓組織套用保留規則、在郵件傳輸時進行掃描與執行動作、進行靈活的記錄,並在所有部署的信箱中執行 RTF 搜尋。 如需更多資訊,請參閱 Microsoft Exchange Server 網站 (英文),網址是:https://www.microsoft.com/exchange/default.mspx。
Microsoft Office: Office 是企業適用的優異生產力應用程式套件。 Microsoft Office 的 IRM 功能可協助組織控制機密資訊 (例如持卡人資料) 的存取。
具體來說,Office IRM 功能透過下列方式協助您的組織:
防止受保護資訊的授權收件者轉寄、複製、修改、列印、傳真或剪貼資訊,用於未經授權的用途。
防止使用 Windows 列印螢幕功能複製受保護資訊。
不論資訊存放於何處均為其提供相同等級的保護。 這稱為「持續保護」。
為電子郵件附件提供相同等級的保護,只要附件是以其他 Office 程式 (例如 Microsoft Excel® 或 Microsoft Word) 建立的檔案。
保護已設為過期的電子郵件或文件中的資訊,讓這些資訊於一段特定時間後不能再檢視。
強制執行管理公司內外資訊使用與散播的企業原則。
如需更多資訊,請參閱 Microsoft Office 網站 (英文),網址是:https://office.microsoft.com/en-us/default.aspx。
風險評估
風險評估是組織用來識別企業風險和排定其優先順序的程序。 通常您會使用有系統的方法來識別資訊處理系統資產、這些資產所面臨的威脅,以及系統在這些威脅方面所呈現出的弱點。 在法規遵循的情況中,風險評估是評估組織內法規遵循等級和法規遵循不足之處的程序。 規劃 PCI DSS 遵循時,您的主要著眼點應該是識別持卡人資料所面臨的風險,並排定這些威脅的優先順序。
符合的 PCI DSS 規定
風險評估能以數種方式協助您符合 PCI DSS 規定。 它可以讓您識別網路中各個需要升級的部分,以達到法規遵循目標。 即使在初步達成法規遵循之後,在判斷組織是否隨著時間保持法規遵循時,風險評估仍扮演著重要角色。 因為您可以使用風險評估來因應一些潛在的問題,它能協助您遵循多項 PCI DSS 規定,包括規定 1、3、4、5、6、7、8 和 11。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供多種可搭配或單獨使用的技術,可建立適用於風險評估的 IT 控制措施。 您應將這些控制措施設計為符合 PCI DSS 規定,同時符合其他任何您組織適用的法規要求。
Microsoft Baseline Security Analyzer (MBSA): 您可以用以評估組織中持卡人資料風險的主要工具之一就是 MBSA。 MBSA 是方便易用的工具,可以識別許多 Microsoft 產品 (包括 Microsoft Windows 作業系統、Internet Information Services (IIS)、SQL Server™、Microsoft Internet Explorer® 和 Microsoft Office) 中一些常見的安全性錯誤設定。 MBSA 也會掃描任何發佈到 Microsoft Update,遺漏的安全性更新、更新彙總套件,以及 Service Pack。 您可以透過命令提示字元或其 GUI 執行 MBSA,且您可以配合 Microsoft Update 和 Microsoft Windows Server® Update Services 加以使用。 由於將系統保持在最新狀態,是盡可能維護持卡人資料安全的重要方式,所以 MBSA 在評估組織資料風險方面堪稱非常重要的工具。
如需更多關於 MBSA 的資訊,請參閱<Microsoft Baseline Security Analyzer>(英文),網址是:https://www.microsoft.com/technet/security/tools/mbsahome.mspx。
Microsoft Systems Management Server: 如果您的組織使用 Microsoft Systems Management Server (SMS) 來管理用戶端電腦和伺服器,那麼您可能已具有部分執行持卡人資料風險評估所需的工具。 有了 SMS,您的組織可以透過分散式網路,遠端管理執行 Windows 作業系統電腦上的安全性設定。 您可以清查網路中的電腦是否安裝了必要軟體更新,並追蹤更新部署到這些電腦的進度。 SMS 也能讓您製作報告,來識別完整硬體和軟體盤存、網路中電腦的設定詳細資料和狀態,以及軟體部署狀態和部署錯誤。 這些 SMS 功能對組織中持卡人資料的風險評估方面可能非常重要。
如需更多有關 SMS 的資訊,請參閱 Microsoft Systems Management Server 首頁 (英文),網址是:https://www.microsoft.com/smserver/default.mspx。
Microsoft System Center Operations Manager 稽核收集: Operations Manager 2007 能安全有效地從 Windows 作業系統擷取與收集安全性記錄,並儲存下來以供日後分析和報告之用。 擷取的記錄會儲存在獨立的稽核收集資料庫中。 Operations Manager 會隨附可用於稽核收集資料的報告。 稽核收集可用於製作多種法規遵循報告,例如支援 Sarbanes-Oxley (美國沙賓法案) 稽核。 稽核收集也可用於安全性分析,例如入侵偵測和未經授權的存取嘗試。
如需更多資訊,請參閱 <稽核收集服務>(英文),網址是:https://technet.microsoft.com/en-us/library/bb381258.aspx。
Windows Server Update Services: Windows Server Update Services Service Pack 1 能讓您的組織部署多個發佈到 Microsoft Update 網站的最新 Microsoft 產品更新。 Windows Server Update Services 是 Windows Server 的更新元件,能提供有效迅速的方式,協助將系統保持在最新狀態。 WSUS 提供由下列項目組成的風險評估基礎結構:
Microsoft Update: WSUS 元件連接的 Microsoft 網站,提供 Microsoft 產品更新。
Windows Server Update Services 伺服器: 安裝在執行 Microsoft Windows 2000 Server Service Pack 4 (SP4) 的電腦或位於公司防火牆內的 Windows Server 2003 作業系統上的伺服器元件。 Windows Server Update Services 伺服器提供系統管理員透過 Web 式工具管理和散佈更新所需的功能,此 Web 式工具可以從企業網路中的任何 Windows 電腦上的 Internet Explorer 加以存取。 此外,Windows Server Update Services 伺服器可以做為其他 Windows Server Update Services 伺服器的更新來源。
自動更新: Microsoft Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 Service Pack 3 作業系統中內建的用戶端電腦元件。 自動更新可以讓伺服器和用戶端電腦從 Microsoft Update 或執行 Windows Server Update Services 的伺服器接收更新。
這些服務能讓您為網路上所有主機環境中特定主機上安裝的產品提供最新的 Microsoft 安全性修正程式。
如需更多資訊,請參閱 Windows Server Update Services 首頁 (英文),網址是:https://www.microsoft.com/windowsserversystem/updateservices/default.mspx。
群組原則: 群組原則是能讓您的 IT 專業人士針對使用者和電腦實作特定設定的基礎結構。 群組原則設定包含於群組原則物件 (GPO) 中,群組原則物件會連結到下列 Microsoft Active Directory® 目錄服務容器:網站、網域或組織單位 (OU)。您可以跨分散式網路使用群組原則來集中管理電腦。 由於您的系統管理員可能會使用群組原則在整個網站、網域或組織單位範圍散佈軟體,因此它可能是可用來判斷組織的 IT 環境風險的重要工具。
您可以使用 Microsoft 群組原則管理主控台 (GPMC) 來管理群組原則設定。 GPMC 是為管理群組原則各核心層面提供單一位置,以簡化群組原則管理而設計。 GPMC 會依照客戶要求處理最重要的群組原則部署要求,方法是提供:
讓群組原則更容易使用的使用者介面 (UI)。
備份和還原 GPO 的能力。
匯入和匯出及複製和貼上 GPO 和 Windows Management Instrumentation (WMI) 篩選的能力。
管理群組原則相關安全性的簡化方式。
為 GPO 設定和原則結果組 (RSoP) 資料產生 HTML 報告的能力。
為 GPMC 所公開的 GPO 作業編寫指令碼的能力,但無法為 GPO 中的設定編寫指令碼。
如需更多資訊,請參閱<Windows Server 2003 群組原則>(英文),網址是:https://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx 和<群組原則管理主控簡介>(英文),網址是:https://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx。
變更管理
變更管理是組織用以評估組織中專案計畫、IT 基礎結構、軟體部署或其他程序變更的結構式程序。 變更管理系統能協助您定義變更、評估變更影響、判斷實行變更所需的動作,以及在整個組織內散佈變更相關資訊。 它也可以追蹤您在整個組織內所進行的變更。 如此可讓您在 IT 環境中進行變更的同時,充分控制 IT 環境。
例如,組織的系統可能包括資料庫,這個資料庫可以讓人員根據其中的歷史資料 (指出過去曾嘗試過的類似變更是成功或失敗) 為日後的變更作出更佳決定。 變更管理也是將變更之存在或狀態資訊傳遞給所有受影響對象的結構式程序。 該程序可以產生清查系統,指出採取了哪些動作以及那些動作何時影響到主要資源狀態,如此有助於預測和消除問題以及簡化資源管理。
符合的 PCI DSS 規定
變更管理對於 PCI DSS 遵循和任何其他法規遵循作業同樣重要。 如果組織不清楚其對 IT 環境作了哪些變更,就很難保證環境處於安全狀態。 追蹤網路、系統、原則和程序中的變更有助於符合 PCI DSS 規定 6 和 11。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供您多項技術,供您於設計變更管理解決方案時參考。
Microsoft Office SharePoint Server: 除了當作文件管理解決方案的技術選項之外,Microsoft Office SharePoint Server 也能做為組織變更管理系統的關鍵要素。 您可以使用其版本追蹤功能來監視原則和程序文件中的變更、應用程式的更新與其他變更,以及核准軟體中歷來的變更。
如需更多資訊,請參閱<文件管理>一章和 Microsoft SharePoint 產品與技術網站,網址是:https://go.microsoft.com/fwlink/?linkid=12632。
Microsoft Systems Management Server: 您不僅能使用 SMS 為組織管理風險評估,還可以使用其管理功能在整個組織的電腦系統中追蹤變更。 它會追蹤安全性設定變更以及整個網路中安裝在伺服器和用戶端電腦上的應用程式。 此外,您可使用 SMS 內建的強大報告功能來檢閱對組織電腦所進行的變更,以及這些變更是否符合您所建立的安全性要求。
如需更多有關 SMS 的資訊,請參閱 Microsoft Systems Management Server 首頁 (英文),網址是:https://www.microsoft.com/smserver/default.mspx。
Microsoft SMS 2003 Desired Configuration Monitoring 2.0: 您可以使用 SMS 2003 Desired Configuration Monitoring (DCM) 功能加強 SMS 作業。 您可以使用 DCM,將所要或定義的設定值與實際設定值之間的設定管理稽核自動化。 DCM 會讓使用者在多個設定資料來源定義所要的硬體、作業系統和應用程式設定值,以達到此目標。 然後,DCM 會使用所提供的稽核引擎,來比較所要的設定和實際設定,並報告設定的遵循情形。
DCM 能協助您減少意外的服務中斷時間、建立設定資料的關聯,以及降低支援成本。 它提供您方便易用的 XML 編輯工具和指引,可用以定義硬體和軟體設定項目。 DCM 也會提供詳細的符合報告,以協助偵測和修正設定錯誤等作業。
Microsoft Desktop Optimization Pack for Software Assurance: Microsoft Desktop Optimization Pack for Software Assurance 是一項訂閱服務,可以降低應用程式部署成本、讓應用程式以服務的方式提供,並提供更佳的企業桌面環境管理和控制。 桌面最佳化套件會透過以下方式,讓您改善變更管理程序和復原:
改善群組原則管理。
縮短停機時間。
核准之使用者的應用程式隨選存取。
Microsoft Desktop Optimization Pack 僅提供給電腦上有軟體保證的客戶使用。 如需更多資訊,請參閱<最佳化 Windows 桌面>(英文),網址是:https://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx。
網路安全性
網路安全性解決方案構成一個廣泛的解決方案類別,它是為解決組織網路各個層面 (包括防火牆、伺服器、用戶端、路由器、切換器和存取點) 的安全性問題而設計。 規劃和監視組織網路的安全性,是達到 PCI DSS 遵循的關鍵要素。 雖然您有多種處理網路安全性的解決方案可以選擇,但組織程序上應已具備多項設置安全網路的要素。 從已實作的網路安全性解決方案開始建置,會比重新建置更有效率且符合成本效益。
不過,您可以考慮在您組織使用的技術上稍作變化,或是您可能會希望實作尚未包含在網路安全性策略中的新解決方案。 Microsoft 提供數種技術解決方案和指引資料,以供實作符合組織需求的網路安全性解決方案之用。
符合的 PCI DSS 規定
支付卡產業資料安全標準非常清楚指出您必須在整個組織中建立安全的網路才能達到法規遵循目標。 原則 1 說明若要遵循法規,組織必須建置與維護安全的網路。 規定 1 說明組織必須安裝並維護防火牆設定以保護持卡人資料。 規定 2 說明組織必須變更廠商提供的預設系統密碼和其他安全參數。 網路安全性解決方案也能協助您的組織符合規定 4 和 10,其分別規定您必須分別針對網路上進行的持卡人資料傳輸進行加密,並追蹤與監視網路存取。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供多項技術供您選擇,以符合前兩個 PCI DSS 規定。
Microsoft Windows 防火牆: Windows XP Service Pack 2 (SP2) 包括取代網際網路連線防火牆 (ICF) 的 Windows 防火牆。 Windows 防火牆是狀態主機型防火牆,會中斷非對應到回應電腦要求所傳送的流量 (請求的流量) 之來路不明的輸入流量,或指定為允許 (例外流量) 的來路不明流量。 Windows 防火牆提供一定等級的保護,防止惡意使用者和程式仰賴來路不明的輸入流量對網路上的電腦進行攻擊。 在 Windows Vista 和 Windows Server ”Longhorn” 上具備進階安全性的 Windows 防火牆中,這些功能已經過改良。
具備進階安全性的 Windows 防火牆能讓您根據透過 Microsoft Management Control (MMC) 嵌入式管理單元所進行的設定,封鎖連入與連出的連線。 嵌入式管理單元不僅提供本機設定 Windows 防火牆的介面,更提供在遠端電腦以及使用群組原則設定 Windows 防火牆的介面。 防火牆功能現在已與網際網路通訊協定安全性 (IPsec) 保護設定整合,降低了兩種保護機制之間衝突的可能性。 具備進階安全性的 Windows 防火牆支援個別的設定檔,適用於當電腦加入網域或連線至私人或公用網路時。 它也支援強制執行伺服器和網域隔離原則的規則建立。 具備進階安全性的 Windows 防火牆支援更細微的規則,包括 Microsoft Active Directory 使用者和群組、來源及目的地網際網路通訊協定 (IP) 位址、IP 連接埠號碼、ICMP 設定、IPsec 設定、特定類型介面、服務等等。
如需更多資訊,請參閱<Windows 防火牆>(英文),網址是: https://www.microsoft.com/technet/network/wf/default.mspx。
Microsoft Internet Security and Acceleration Server: Microsoft Internet Security and Acceleration (ISA) Server 能以數種方式協助您保護網路。 首先,您可以利用它讓使用者透過網際網路遠端存取企業應用程式。 若要達到這一點,您可以設定 ISA Server 預先驗證輸入的使用者要求、檢查所有應用程式層流量 (包括加密流量),並提供自動化發佈工具。 第二,若組織含有分公司,ISA Server 能讓您使用 HTTP 壓縮、內容快取和虛擬私人網路 (VPN) 功能,簡單安全地擴大您的網路。 第三,利用 ISA Server,您便可保護網路免受內部和外部的網際網路威脅。 它會透過 Proxy 防火牆架構、內容檢查功能、細微原則設定和周全的警示與監視功能來達成此目標。
如需更多資訊,請參閱<Microsoft Internet Security and Acceleration Server>(英文),網址是: https://www.microsoft.com/isaserver/default.mspx。
使用網際網路通訊協定安全性 (IPsec) 和 Active Directory 群組原則執行伺服器和網域隔離: 伺服器和網域隔離會建立一個端對端保護層,可以大幅降低讓您耗費高成本的惡意攻擊,和他人未經授權存取您網路資源等風險。 此解決方案根據 Windows IPsec 和 Active Directory 群組原則,能讓您將 Windows 環境動態劃分為更安全和隔離的邏輯網路。 有許多不同的方式可以建立隔離的網路,提供您充分的靈活度,以符合邏輯的方式隔離整個受管理網域或建立更安全的特定伺服器、機密資料和用戶端虛擬網路,從而將存取權限限制為僅提供給經驗證和授權的使用者,或要求特定伺服器或網路使用加密保護所有資料。 您可以要求特定網路主機或子網路間交換的流量進行資料加密,以滿足業務合作夥伴以及法規在加密網路周遊資料方面的要求。
Windows Server 2003 資訊安全設定精靈: 資訊安全設定精靈能減少執行 Windows Server 2003 Service Pack 1 的伺服器上的受攻擊面,協助您保護網路。 資訊安全設定精靈會判斷伺服器角色所需的最低功能,並停用不需要的功能。 具體而言,資訊安全設定精靈能夠:
停用不需要的服務。
封鎖不使用的連接埠。
允許使用距離更遠的位址,或是對開啟的連接埠使用安全性限制。
禁止不必要的 IIS Web 延伸 (如果適用)。
減少通訊協定暴露於伺服器訊息區 (SMB)、LanMan 及輕量型目錄存取通訊協定 (LDAP) 的機率。
定義高訊號與雜訊比稽核原則。
資訊安全設定精靈可以引導 IT 專業人士根據選取的伺服器角色,逐步進行建立、編輯、套用或回復安全性原則。 以 SCW 建立的安全性原則為套用後可設定服務、網路安全性、特定登錄值、稽核原則和 IIS (如果適用) 的 XML 檔案。
如需更多資訊,請參閱<Windows Server 2003 資訊安全設定精靈>(英文),網址是:https://www.microsoft.com/windowsserver2003/technologies/security/configwiz/defaul.mspx。
使用伺服器驗證的遠端桌面連線: 遠端桌面連線是一項強大功能,可讓使用者存取共用的用戶端電腦和伺服器。 這項技術可用來建立共用開發和測試電腦,經濟而實惠。 此外,您可以使用這些電腦做為多種類型專案的集中存取點,且可以讓網路外的使用者存取這些電腦,從而隔離他們對網路安全性造成的風險。 同時,Remote Desktop Connection 6.0 用戶端更新能讓 IT 專業人士設定伺服器驗證。 有了伺服器驗證,您可以防止使用者連線到目標電腦或伺服器以外的其他目的地並避免造成機密資訊外洩的風險。 Microsoft 在 Windows Vista 與 Windows Server “Longhorn” 中引入了這項功能。 執行 Windows Server 2003 Service Pack 1 或 Windows XP Service Pack 2 (SP2) 的電腦可以使用 Remote Desktop Connection 6.0 用戶端。 用戶端可以照舊用於連線傳統終端機伺服器或遠端桌面,但伺服器驗證僅會在遠端電腦執行 Windows Vista 或 Windows Server "Longhorn” 的情況下進行。
如需更多資訊,請參閱 Microsoft 下載中心的<可供下載的 Remote Desktop Connection 6.0 用戶端更新>(英文),網址是:https://support.microsoft.com/kb/925876。
Wi-Fi 保護的存取 2: 如果您的組織使用無線網路,您應考慮升級為無線路由器、存取點和支援 Wi-Fi 保護的存取 2 (WPA2) 產品認證的其他裝置。 WPA2 是 Wi-Fi 聯盟 (該單位可核發無線設備合乎 802.11i 標準的證明) 所提供的產品認證。 WPA2 認證的目標是為了支援未包含在可支援 WPA 的產品中的 IEEE 802.11 標準之其他強制性安全功能。 例如,WPA2 會要求同時支援 TKIP 和 AES 加密。 WPA2 可在兩種不同模式下使用:
WPA2-Enterprise 會使用 802.1X 驗證,且是針對中型與大型基礎結構模式網路而設計。
WPA2-Personal 會使用 PSK 驗證,且是針對 SOHO 基礎結構模式網路而設計。
Windows XP Service Pack 2、Windows Vista 和 Windows Server “Longhorn” 均支援 WPA2。 如需更多資訊,請參閱<無線 LAN 技術和 Microsoft Windows>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/wrlsxp.mspx 以及 <Wi-Fi 保護的存取 2 (WPA2) 概觀>(英文),網址是:https://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx。
網路存取保護: 網路存取保護 (NAP) 是適用於 Windows Server “Longhorn” 和 Windows Vista 的平台。 它提供原則強制執行元件,有助於確保連線至網路或於網路上通訊的電腦符合系統管理員針對系統健康狀況定義之要求。 組織可以使用原則驗證和網路存取限制元件的組合,來控制網路存取或通訊。 您也可以選擇將不符合要求的電腦之存取暫時管制於限制的網路中。 根據您選擇的設定而定,限制的網路可能包含更新電腦所需的資源,以使其符合無限制網路存取和正常通訊之健康狀況要求。 NAP 包括針對開發人員和廠商設置的應用程式發展介面 (API),可用來針對健康原則驗證、網路存取限制,以及持續健康原則遵循,建立完整的解決方案。 NAP 為 IPsec、IEEE 802.1X 驗證網路連線、VPN 和動態主機設定通訊協定 (DHCP) 提供限制的存取強制執行元件。 您可以共同或個別使用這些技術。 這些功能讓 NAP 成為強而有力的工具,能協助您確保網路的健康狀況和安全性。
如需更多資訊,請參閱<網路存取保護>(英文),網址是:https://www.microsoft.com/technet/network/nap/default.mspx。
Microsoft Virtual Server: Microsoft Virtual Server 2005 R2 可在虛擬環境中提供執行大多數主要 x86 作業系統的虛擬化平台。 Microsoft 支援 Virtual Server 做為 Windows Server 作業系統和 Windows Server System 應用程式的主機。 它已和多種現有 Microsoft 及協力廠商管理工具進行整合,能讓系統管理員以現有實體伺服器管理工具密切管理 Virtual Server 2005 R2 環境。 由於 Microsoft Virtual Server 能讓組織在一部電腦上執行多個作業系統,因此有助於符合 PCI DSS 規定 2.2.1,這項規定要求組織在每部伺服器上僅執行一項主要功能。 例如,您可以使用 Virtual Server,在同一部電腦上部署虛擬 Web 伺服器、虛擬資料庫伺服器和虛擬檔案伺服器。
Microsoft Virtual Server 可以從 Microsoft 免費下載。 如需更多資訊,請參閱<Microsoft Virtual Server>(英文),網址是:https://www.microsoft.com/windowsserversystem/virtualserver/default.mspx。
主機控制
主機控制解決方案可控制伺服器和工作站的作業系統。 主機控制解決方案也包含在每部主機作業系統上的所有層級實作安全性最佳實務、維護最新的更新和 Hotfix,以及針對日常作業使用安全方法。
符合的 PCI DSS 規定
主機控制解決方案可透過將作業系統保持在最新狀態並以安全的方式進行設定,來協助您符合 PCI DSS 規定。 主機控制尤其可以協助您符合 PCI DSS 規定 6 和 11。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供了多項可共同或單獨使用來建立主機控制解決方案的技術。 如同其他技術解決方案,您應將這些解決方案設計為符合 PCI DSS 規定,同時符合任何您組織適用的法規要求。
Microsoft Baseline Security Analyzer (MBSA): 您可以用以評估組織中持卡人資料風險的主要工具之一就是 MBSA。 MBSA 是方便易用的工具,可以識別許多 Microsoft 產品 (包括 Windows 作業系統、Internet Information Services、SQL Server、Internet Explorer 和 Microsoft Office) 中常見的安全性錯誤設定。 MBSA 也會掃描任何發佈到 Microsoft Update,遺漏的安全性更新、更新彙總套件,以及 Service Pack。 您可以透過命令提示字元或 GUI 執行 MBSA,且您可以配合 Microsoft Update 和 Windows Server Update Services 加以使用。 由於將系統保持在最新狀態,是盡可能維護持卡人資料安全的重要方式,所以 MBSA 在評估組織資料風險方面堪稱非常重要的工具。
如需更多資訊,請參閱<Microsoft Baseline Security Analyzer>(英文),網址是:https://www.microsoft.com/technet/security/tools/mbsahome.mspx。
Microsoft Windows Server Update Services: Microsoft Windows Server Update Services (WSUS) Service Pack 1 能讓您的組織部署多個發佈到 Microsoft Update 網站的最新 Microsoft 產品更新。 WSUS 是 Windows Server 的更新元件,能提供有效而迅速的方式將系統維持在最新狀態。 WSUS 提供由下列項目組成的管理基礎結構:
Microsoft Update: WSUS 元件連接的 Microsoft 網站,提供 Microsoft 產品更新。
Windows Server Update Services 伺服器: 安裝在執行 Microsoft Windows 2000 Server Service Pack 4 (SP4) 的電腦或位於公司防火牆內的 Windows Server 2003 作業系統上的伺服器元件。 WSUS 伺服器提供系統管理員透過 Web 式工具管理和散佈更新所需的功能,此 Web 式工具可以從企業網路中的任何 Windows 電腦上的 Internet Explorer 加以存取。 此外,WSUS 伺服器可以做為其他 WSUS 伺服器的更新來源。
自動更新: Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 SP3 作業系統中內建的用戶端電腦元件。 自動更新可以讓伺服器和用戶端電腦透過 Microsoft Update 或執行 WSUS 的伺服器接收更新。
這些服務能協助您以最新的 Microsoft 安全性修正程式,將網路上所有主機環境中持定主機上安裝的產品維持在最新狀態。
如需更多資訊,請參閱 Windows Server Update Services 首頁 (英文),網址是:https://www.microsoft.com/windowsserversystem/updateservices/default.mspx。
Microsoft Systems Management Server: 如果您的組織使用 SMS 來管理用戶端電腦和伺服器,那麼您可能已具有部分執行持卡人資料風險評估所需的工具。 有了 SMS,您的組織可以透過分散式網路,遠端管理執行 Windows 作業系統電腦上的安全性設定。 您可以清查網路中的電腦是否安裝了必要軟體更新,並追蹤更新部署到這些電腦的進度。 SMS 也能讓您製作報告,來識別完整硬體和軟體盤存、網路中電腦的設定詳細資料和狀態,以及軟體部署狀態和部署錯誤。 這些 SMS 功能對組織中持卡人資料的風險評估方面可能非常重要。
如需更多有關 SMS 的資訊,請參閱 Microsoft Systems Management Server 首頁 (英文),網址是:https://www.microsoft.com/smserver/default.mspx。
Microsoft Desktop Optimization Pack for Software Assurance: Microsoft Desktop Optimization Pack for Software Assurance 是一項訂閱服務,可以降低應用程式部署成本、讓應用程式以服務的方式提供,並提供更佳的企業桌面環境管理和控制。 桌面最佳化套件是一項有效的主機控制解決方案,能讓您:
簡化並加速應用程式管理週期,涵蓋範圍從規劃與可預期的部署,到使用、維護和移轉軟體。
改善組織軟體資產的管理。
加速並簡化桌面部署和移轉。
Microsoft Desktop Optimization Pack 僅提供給電腦上有軟體保證的客戶使用。 如需更多資訊,請參閱<最佳化 Windows 桌面>(英文),網址是:https://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx。
如需多項 Microsoft 產品的特定主機安全性準則和程序連結,請參閱法規遵循規劃指南中的<主機控制>一節。
惡意軟體防範
惡意軟體防範解決方案是維持整個網路中持卡人資料安全的關鍵要素。 這些解決方案會杜絕垃圾郵件並維持網路上的系統免受病毒和間諜軟體的危害,以確保整個網路中的系統均以最佳狀態執行,且機密資料不會意外傳送給未經授權的對象。
符合的 PCI DSS 規定
您選擇的惡意軟體防範解決方案能協助您符合 PCI DSS 規定 5 和 6。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 針對惡意軟體的防範,提供了多項可以共同或單獨使用的技術。 在較大規模的 PCI DSS 遵循作業,以及面對任何更廣泛的組織適用法規要求時,您應考慮使用這些技術。
Microsoft Forefront™: Forefront 是一套特定業務安全性產品,可為用戶端作業系統、應用程式伺服器和網路邊界提供保護。 您可以將 Forefront 與現有的 IT 基礎結構搭配使用,來保護伺服器和用戶端電腦免受惡意程式碼和源自組織內外其他惡意攻擊的侵擾。
Forefront Client Security 尤其能為整個組織的用戶端提供保護,防範惡意軟體的入侵。Forefront Client Security 解決方案分為兩個部分。 第一個部分是在企業桌上型電腦、膝上型電腦和伺服器作業系統上安裝的安全性代理程式,可針對間諜軟體、病毒和 Rootkit 等威脅提供即時保護與排程掃描。 第二個部分是集中管理伺服器,可讓系統管理員輕鬆管理和更新預先設定或自訂的惡意程式碼防護代理程式,並產生環境安全性狀態的相關報告和警示。
如需更多資訊,請參閱<Microsoft Forefront>(英文),網址是:https://www.microsoft.com/forefront/default.mspx。
惡意軟體移除工具: Microsoft Windows 惡意軟體移除工具會檢查執行 Windows XP、Windows 2000 和 Windows Server 2003 的電腦是否有特定、常見的惡意軟體,並協助移除找到的惡意軟體。 當偵測與移除程序完成時,這項工具會顯示成果報告,告知 (如果有的話) 偵測到且移除了哪些惡意軟體。 Microsoft 於每個月第二個星期二或必要時發表本工具更新版本,以回應安全性意外。
如需更多資訊,請參閱<惡意軟體移除工具>(英文),網址是:https://www.microsoft.com/security/malwareremove/default.mspx。
**注意:**Windows Defender 和惡意軟體移除工具也能協助您發現惡意程式是否使用 Rootkit。 Rootkit 是惡意軟體建立者用來自我隱藏,避免間諜軟體封鎖程式以及防毒軟體和系統管理公用程式發現其存在的機制。 如需更多有關 Rootkit 以及偵測 Rootkit 方式的資訊,請參閱 https://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx。
協力廠商篩選器搭配 Microsoft ISA Server: 除了提供網路安全性解決方案外,ISA Server 有助於保護您的組織免受惡意程式碼攻擊。 若要達成此目的,您可以使用能移除惡意程式碼的自訂或協力廠商篩選器,在其進入企業網路前加以移除。
如需更多資訊,請參閱<Microsoft Internet Security and Acceleration Server>(英文),網址是:https://www.microsoft.com/isaserver/default.mspx。
應用程式安全性
為符合 PCI DSS 規定,您應針對兩方面考量應用程式安全性解決方案。 第一,您應要求組織內開發人員建立的任何新應用程式都必須遵循安全開發實務作法。 第二,務必使用軟體應用程式 (向 Microsoft 或任何協力廠商供應商所購買) 所提供的安全性準則。
符合的 PCI DSS 規定
開發和維護安全的應用程式 (無論是 Web 或 Windows 應用程式) 在 PCI DSS 遵循作業中是一項重要步驟。 這些技術解決方案尤其能讓您符合規定 6。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供開發安全應用程式的特定指引和工具, 也提供安全使用其主要伺服器產品的特定準則。
Microsoft Visual Studio® 2005: Visual Studio 2005 提供多項工具,能讓開發人員在開發階段中檢查程式碼,找出違反安全性的情形:
FxCop 會檢查受管理程式碼中的瑕疵,包括安全性瑕疵。
PREfast 是適用於 C 和 C++ 程式碼的靜態分析工具。 它能協助開發人員找出各種安全性問題。
Standard Annotation Language 能協助開發人員找出 C 或 C++ 程式碼編譯器可能無法找出的安全性錯誤。
編譯以 C 或 C++ 撰寫之未受管理的程式碼時,開發人員應一律以 /GS 堆疊溢位偵測功能進行編譯,並將程式碼與 /SafeESH 選項連結。
RPC 開發人員應以指定的 MIDL /robust 旗標編譯其程式碼。
安全性開發生命週期建議您使用 FxCop、PREfast 和 GS C++ 編譯器選項之類的工具,以確定程式碼的執行不受已知安全性問題的影響。
如需更多資訊,請參閱Visual Studio 首頁 (英文),網址是:https://msdn2.microsoft.com/en-us/vstudio/default.aspx。
Microsoft Intelligent Application Gateway (IAG) 2007: 隨附於 Microsoft Forefront Network Edge Security 的 IAG 可為多種特定業務應用程式,提供安全通訊端層 (SSL) VPN、Web 應用程式防火牆,以及能進行存取控制、授權與內容檢查的端點安全性管理。 這些技術在搭配使用時,能讓行動和遠端工作者以簡單、具彈性且安全的方式存取各種裝置和位置,包括 Kiosk、桌上型電腦和行動裝置。 IAG 也能讓 IT 系統管理員透過依據裝置、使用者、應用程式或其他業務準則自訂的遠端存取原則,強制遵循應用程式和資訊使用準則。 主要的好處包括:
SSL VPN 存取、整合式應用程式保護,以及端點安全性管理的獨特組合。
有助於隔絕惡意流量並讓機密資訊通過的強力 Web 應用程式防火牆。
透過周全易用的平台,降低管理安全存取和保護企業資產的複雜度。
與核心 Microsoft 應用程式基礎結構、協力廠商企業系統和自訂內部工具之間的互通。
如需更多資訊,請參閱<Intelligent Application Gateway 2007 產品概觀>(英文),網址是:https://www.microsoft.com/forefront/edgesecurity/iag/overview.mspx。
準則
安全性開發生命週期: 如果您的組織決定自行開發一些解決方案來處理持卡人資料,那麼您應考慮要求開發人員使用 Microsoft 開發的安全性開發生命週期。 開發安全的 Web 和桌面應用程式,以應用於處理並儲存機密資訊 (例如持卡人資料) 的組織,是相當周全的策略。 安全性開發生命週期的第一步是規劃安全的應用程式、確保您使用安全的程式設計技術,且包括在開發完成後以安全的方式測試和部署應用程式。
如需更多資訊,請參閱<深入探討 Microsoft 安全性開發生命週期>(英文),網址是:https://msdn.microsoft.com/msdnmag/issues/05/11/SDL/。
遵循產品安全性準則: Microsoft 針多其多項軟體產品提供安全性準則。 對於中型與大型組織而言,特別值得參考的是適用於 Exchange Server、Systems Management Server 和 SQL Server 的安全性準則。 如需更多適用於這些產品的安全性準則資訊,請參閱法規遵循規劃指南的<應用程式安全性>一節。
傳訊與協同作業
為符合 PCI DSS 規定,您必須確定組織使用的任何傳訊與協同作業軟體均以安全的方式加以設定。 因為傳訊與協同作業應用程式已成為支付卡產業的基本工具,因此盡一切努力確保任何可能包含持卡人資料文件或電子郵件的安全,是十分重要的。
符合的 PCI DSS 規定
有助於防止傳訊安全性漏洞的常見方法包括傳訊閘道、安全的傳訊伺服器,以及傳訊內容篩選。 傳訊閘道和傳訊內容篩選都會將訊息路由至專問的軟體應用程式。 此應用程式能夠使用各種方法來隔離特定文字字串、數字字串、文字模式或其他項目,視解決方案的設計方式而定。 包含這些關鍵字或字串的訊息可以置於隔離中,直到系統能夠檢查訊息中可疑的資訊,或解決方案直接刪除並清除訊息為止。 這些方法可協助您在協同作業環境中透過電子郵件或文件傳送持卡人資料時保護其安全。 這些技術和解決方案均能協助您符合 PCI DSS 規定 4。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供多項解決方案,可協助您保護傳訊與協同作業軟體。 每個解決方案均會針對企業各不同層面提供解決方案。 您應以有系統的方式部署這些解決方案,盡可能減少在完成部署後存在的安全性弱點。
Microsoft Exchange Server: 在文件管理方面,Exchange 能協助您為組織的傳訊需求定義強而有力的解決方案,同時維護電子郵件中任何持卡人資料的安全。 Exchange Server 2007 包括統一傳訊功能,此功能將傳送給使用者的電子郵件、語音郵件和傳真整合至單一收件匣中。 它也提供一些功能,讓組織套用保留規則、在郵件傳輸時進行掃描與執行動作、進行靈活的記錄,並在所有部署的信箱中執行 RTF 搜尋。 如需更多資訊,請參閱 Microsoft Exchange Server 網站 (英文),網址是: https://www.microsoft.com/exchange/default.mspx。
Microsoft Forefront Security for Exchange Server: Microsoft Forefront Security for Exchange Server 能透過著重分層防禦的策略、最佳化 Exchange Server 效能與可用性,以及簡化的管理控制,協助保護您的電子郵件基礎結構免於感染和停機。
周全的保護: Microsoft Forefront Security for Exchange Server 結合由業界頂尖安全性產品業者所開發的數個掃描引擎,整合為單一解決方案,協助企業保護他們的 Exchange 郵件通訊環境,防止病毒、蠕蟲與垃圾郵件的侵擾。
最佳化的效能: 透過與 Exchange Server 的深層整合、創新掃描技術以及效能控制,Forefront Security for Exchange Server 能保護郵件通訊環境,同時維持正常運作,並讓伺服器發揮最高效能。
簡化的管理: Forefront Security for Exchange Server 還能讓系統管理員將伺服器或企業層級的掃描引擎簽章更新與報告功能自動化,協助他們輕鬆管理設定與運作。
如需更多資訊,請參閱<Microsoft Forefront>(英文),網址是:https://www.microsoft.com/forefront/default.mspx。
Microsoft Exchange Hosted Services: 適用於傳訊安全性與管理的 Microsoft Exchange Hosted Services 是由四項不同的服務組成,這些服務可協助組織自我保護,免受電子郵件所夾帶的惡意程式碼侵害、滿足規定的記錄保持要求、將資料加密以維持機密,以及在緊急情況期間及事後始終能存取電子郵件。 這些服務是使用「服務式軟體」模型透過網際網路來加以部署,可協助將額外資本投資支出降至最低,並能釋出 IT 資源以用於其他能創造價值的方案,還能在訊息到達公司防火牆之前有效減輕傳訊風險。
Microsoft Office Information Right Management (IRM): Office 是企業適用的優異生產力應用程式套件。 Microsoft Office 的 IRM 功能可協助組織控制機密資訊 (例如持卡人資料) 的存取。
具體而言,Office IRM 功能可透過讓您進行以下作業,來協助組織:
防止受保護資訊的授權收件者轉寄、複製、修改、列印、傳真或剪貼資訊,用於未經授權的用途。
防止使用 Microsoft Windows 列印螢幕功能複製受保護資訊。
不論資訊存放於何處均為其提供相同等級的保護。 這稱為「持續保護」。
為電子郵件附件提供相同等級的保護,只要附件是以其他 Office 程式 (例如 Excel 或 Word) 建立的檔案。
保護已設為過期的電子郵件或文件中的資訊,讓這些資訊於一段特定時間後不能再檢視。
強制執行管理公司內外資訊使用與散播的企業原則。
Office IRM 建置在 Microsoft Windows Rights Management Services 平台上。 若要在 Office 中啟用此功能,您必須購買 RMS 伺服器授權。
如需更多資訊,請參閱 Microsoft Office 網站 (英文),網址是:https://office.microsoft.com/en-us/default.aspx。
Microsoft Windows SharePoint Services Information Rights Management (IRM): 如同您的文件管理解決方案,SharePoint Services IRM 能協助您讓協同作業解決方案符合 PCI DSS 規定。 此技術可讓您建立一組附加於內容中 (而非位於特定網路位置) 的持續性存取控制,於檔案不在您的直接管制後仍能控制檔案存取。 位於文件庫並以附件形式儲存在清單項目中的檔案可以使用 IRM。 網站管理員可以選擇以 IRM 保護下載自文件庫的內容。 當使用者嘗試從文件庫下載檔案時,Windows SharePoint Services 會驗證使用者是否具有檔案的權限,並發出授權給已啟用適當等級檔案存取權限的使用者。 Windows SharePoint Services 接著會使用經過加密且版權受到管理的檔案格式,將檔案下載到使用者的電腦。
Office IRM 建置在 Microsoft Windows Rights Management Services 平台上。 若要在 Office 中啟用此功能,您必須購買 RMS 伺服器授權。
如需更多資訊,請參閱 Microsoft SharePoint 產品與技術網站,網址是:https://go.microsoft.com/fwlink/?linkid=12632。
資料分類與保護
資料分類與保護解決方案是順利符合 PCI DSS 規定與維護持卡人資料安全的關鍵要素。 這些解決方案會處理在系統上或傳輸中為持卡人資料套用安全性分類層級的方式。 此解決方案類別也會處理在為儲存或傳輸的資料提供機密性和完整性等方面的資料保護作業。 密碼編譯解決方案是企業組織用來提供資料保護最常見的方法。
符合的 PCI DSS 規定
資料分類與保護解決方案能在持卡人資料儲存於資料庫中、從某個伺服器傳送到其他伺服器,或於持卡人進行交易時傳送到您的網路時,維護資料安全,從而協助您符合 PCI DSS 規定。 使用這些解決方案能讓您符合 PCI DSS 規定 3 和 7。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供了多項可協助您分類和保護持卡人資料 (不論資料是在網路中傳送、儲存於員工電腦上的文件中或儲存於資料庫) 的技術。 其中包括:
BitLocker™ 磁碟機加密: BitLocker 磁碟機加密會提供磁碟機加密和舊版開機元件完整性檢查,來協助您保護持卡人資料。 磁碟機加密能防止未經授權的使用者破壞遺失或遭竊電腦上之 Windows 檔案與系統保護功能,以達到保護資料的目的。 此保護功能是透過為整個 Windows 磁碟區加密達成。 使用 BitLocker,所有使用者和系統檔案都會加密,包括交換檔與休眠檔案。 舊版開機元件完整性檢查有助於確保僅在這些元件不受干擾時才進行資料解密,並確保加密的磁碟機位於原始電腦上。 BitLocker 在 Windows Vista Enterprise 和 Ultimate 以及 Windows Server “Longhorn” 中均可供使用。
如需更多資訊,請參閱<BitLocker 磁碟機加密:執行概觀>(英文),網址是:https://technet.microsoft.com/en-us/windowsvista/aa906018.aspx。
Windows 加密檔案系統 (EFS): EFS 提供用於將加密的檔案儲存在 NTFS 檔案系統磁碟區中的核心檔案加密技術。 在您加密檔案或資料夾後,使用加密檔案或資料夾的方式和使用任何其他檔案和資料夾的方式相同。
加密並不會影響加密檔案的使用者。 意即使用前您不需手動解密已加密的檔案。 您可以使用平常的方式開啟與變更檔案。
使用 EFS 的方式和使用檔案與資料夾的權限相同。 兩種方法都可用來限制資料存取。 不過,入侵者即使能夠未經授權實體存取加密檔案或資料夾,仍然無法加以讀取。 如果入侵者嘗試開啟或複製加密檔案或資料夾,其便會收到拒絕存取的訊息。 檔案與資料夾的權限不會保護未經授權的實體攻擊。
如需更多資訊,請參閱<加密檔案系統概觀>(英文),網址是:https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/encrypt_overview.mspx?mfr=true 或<加密檔案系統>(英文),網址是:https://www.microsoft.com/windows/products/windowsvista/features/details/encryptingfilesystem.mspx 。
Microsoft Windows Rights Management Services: Microsoft Windows Rights Management Services (RMS) 為一軟體平台,能協助應用程式保護持卡人資料免於未經授權的使用行為 (包括線上與離線、防火牆內外的使用)。
RMS 能透過持續使用原則保護資訊,以加強組織的安全性策略,不論資訊位於何處,原則會持續保護資訊。 啟用 RMS 的應用程式可用以管理、控制和稽核包含持卡人資訊的文件存取。 Windows Vista 作業系統中已整合了 RMS 用戶端。 其他 Windows 版本也能以免費下載的方式取得 RMS 用戶端。 如需更多資訊,請參閱<Windows Rights Management Services>(英文),網址是: https://www.microsoft.com/rms。
Microsoft SQL Server 加密: 當您將持卡人資料儲存在 SQL Server 中,它會使用階層式加密和金鑰管理基礎結構來加密資料。 每一層都會使用憑證、非對稱金鑰和對稱金鑰的組合將下層加密。 SQL Server 本身有一個主要金鑰,且 SQL Server 中該例項內的每個資料庫都有各自的金鑰。 如此可為您組織中儲存的持卡人資料提供安全性。
如需更多資訊,請參閱<Microsoft SQL Server>(英文),網址是:https://www.microsoft.com/sql/default.mspx。
身分管理
身分管理是達成 PCI DSS 遵循的另一個重要元素。 身分管理解決方案可讓您限制能夠存取、處理和傳送持卡人資料的人員。 組織可以使用這些身分管理解決方案,來協助管理員工、客戶和合作夥伴的數位身份與權限。
符合的 PCI DSS 規定
使用身分管理解決方案能協助您建立並指派唯一的 ID 給組織中每個能存取電腦的人員,讓您符合 PCI DSS 規定 8。 這些解決方案也能協助您根據該唯一 ID 限制持卡人資料存取,這也是 PCI DSS 規定 7 的宗旨。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供多項能協助您符合組織身分管理要求的技術。
Microsoft Active Directory: Active Directory 支援多項技術,可以協助您控制在網路上和網路外能夠存取持卡人資料的人員。 第一,Active Directory 支援 Kerberos 驗證,這是預設 Windows 驗證技術之一。 Kerberos 以允許互通性的業界標準來提供安全的使用者驗證。 Active Directory 網域控制站會維護使用者帳戶與登入資訊,以為 Kerberos 服務提供支援。 第二,Active Directory 支援智慧卡驗證。 您可以要求包含持卡人資料之系統的遠端使用者或系統管理員使用智慧卡和 PIN 來存取網路。 第三,Active Directory 支援認證漫遊,這是一項讓必須使用多部電腦的使用者能在每部電腦上使用相同認證的服務。 第四,Active Directory 能讓組織自訂用來驗證使用者的認證提供者。 這些功能可協助您精密地控制讓 Active Directory 帳戶存取持卡人資料的方式,以及您提供哪些帳戶該資料的存取權。
如需更多資訊,請參閱<Windows Server 2003 Active Directory 技術中心>(英文),網址是:https://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx。
Microsoft Active Directory Federation Services: 使用 Active Directory Federation Services (ADFS),您便可建立延伸超越 Active Directory 樹系傳統界限的身分管理解決方案。 使用 ADFS,組織可以延伸現有的 Active Directory 基礎結構,來提供網際網路上由信任的合作夥伴所提供的資源存取。 這些信任的合作夥伴可包括外部協力廠商,或同一組織中的其他部門或子公司。
ADFS 已與 Active Directory 緊密整合。 ADFS 會從 Active Directory 擷取使用者屬性,且會使用 Active Directory 驗證使用者。 ADFS 也會使用 Windows 整合式驗證。 Windows Server 2003 R2 和 Windows Server “Longhorn” 作業系統也可以使用 ADFS。
如需更多資訊,請參閱<Windows Server 2003 R2 之 Active Directory Federation Services (ADFS) 概觀>(英文),網址是:https://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx。
Microsoft Identity Lifecycle Manager: Microsoft Identity Lifecycle Manager (ILM) 可簡化從不同資料儲存庫比對與管理身份記錄的程序,且可防止異常現象發生,例如已離職員工的記錄仍在使用中。 ILM 可為組織提供原則架構,以控制與追蹤身分,以及存取有助於管理法規遵循的資料。 它也包括使用者自助工具,能安全地委派多項工作給使用者,讓 IT 部門效率獲得提升。 ILM 的另一個主要功能是它包含了與 Windows Server 2003 作業系統和 Active Directory 整合的 Windows 憑證管理解決方案,能提供立即可用的解決方案,為 Windows Server 2003 憑證授權管理智慧卡和數位憑證的端對端生命週期。
ILM 能讓您的組織:
跨多種異質目錄和非目錄身分存放庫同步處理身分資訊。 這可以讓您將跨不同平台更新身份資訊的程序自動化,同時在整個企業中維護該資料的完整性和擁有權。
提供與取消提供使用者帳戶和身分資訊,例如整個系統和平台的發佈、電子郵件帳戶和安全性群組。 可以根據系統授權存放庫 (像是人力資源系統) 中的事件或變更,為員工快速建立新帳戶。 此外,當員工離開公司時,可以立即從同一系統取消提供帳戶。
管理憑證和智慧卡。 ILM 包括能讓組織輕鬆管理數位憑證和智慧卡生命週期的工作流程和以原則為基礎的解決方案。 ILM 採用 Active Directory 服務和 Active Directory 憑證服務來提供數位憑證和智慧卡,並使用自動化工作流程來管理以憑證為基礎的認證的整個生命週期。 ILM 能讓組織以更有效率的方式部署、管理和維護以憑證為基礎的基礎結構,大幅降低數位憑證和智慧卡的相關成本。 ILM 也能簡化數位憑證和智慧卡的提供、設定和管理,同時透過強式多重要素驗證技術來提升安全性。
如需更多資訊,請參閱 Microsoft Identity Lifecycle Manager 首頁 (英文),網址是:https://www.microsoft.com/windowsserver/ilm2007/default.mspx。
Microsoft SQL Server: 您可以使用 SQL Server 搭配其他技術,來建立身分管理解決方案。 使用 SQL Server 資料庫來儲存使用者名稱與密碼資訊,並將憑證對應到使用者帳戶和其他解決方案。 您可以將 SQL Server 搭配 Microsoft ILM、Active Directory、群組原則和 ACL 使用,以限制使用者存取儲存在其他資料庫、文件或目錄中的持卡人資料。
如需更多資訊,請參閱<Microsoft SQL Server>(英文),網址是: https://www.microsoft.com/sql/default.mspx。
作業系統支援功能
公開金鑰基礎結構: 公開金鑰基礎結構 (PKI) 為一數位憑證、憑證授權單位 (CA) 和其他註冊授權單位系統,它透過公開金鑰密碼編譯,來確認並驗證電子交易中相關之每一方的有效性。 此基礎結構能讓您以嚴密的安全性,於網際網路、外部網路、內部網路和應用程式中保護與交換持卡人資料。
Windows Server 2000、Windows XP Professional、Windows Server 2003、Windows Vista 和 Windows Server “Longhorn” 均支援 PKI。
如需更多資訊,請參閱<Windows Server 2003 的公開金鑰基礎結構>,網址是:https://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx。
驗證、授權與存取控制
驗證是識別使用者的程序。 在 IT 環境中,驗證通常需要使用者名稱與密碼,但可以包括其他證實身份的方法,例如智慧卡、視網膜掃描、聲音辨識或指紋。 授權著重在決定是否允許驗證的身分存取要求的資源。 您可以根據各種標準,例如用戶端網路位址、日期或該人員使用的瀏覽器等,來選擇授予或拒絕存取。
規劃驗證、授權與存取控制策略時,也應開發授予使用者帳戶權限給整個網路中所有資源的策略。 如需更多資訊,請參閱在 Windows XP 上套用最低權限的原則到使用者帳戶 (英文)。
符合的 PCI DSS 規定
驗證、授權與存取控制是持卡人資料安全性策略的重要部分,尤其是在將資料分類與保護以及身分管理解決方案共同使用這方面。 在此情況中,驗證、授權與存取控制解決方案能協助您的組織符合 PCI DSS 規定 6、7 和 8。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供數項技術,可協助您建立驗證、授權與存取控制策略並整合到完整的 PDI DSS 遵循解決方案中。
Microsoft Active Directory: Microsoft Windows 2000 Server、Windows Server 2003 和 Windows Server “Longhorn” 的 Active Directory 服務絕大部分著重在驗證、授權與存取控制。 例如,Active Directory 支援 Kerberos 驗證,這是預設 Windows 驗證技術之一。 Kerberos 以允許互通性的業界標準來提供安全的使用者驗證。 Active Directory 網域控制站會維護使用者帳戶與登入資訊,以為 Kerberos 服務提供支援。 此外,Active Directory 支援智慧卡驗證。 您可以要求包含持卡人資料之系統的遠端使用者或系統管理員使用智慧卡和 PIN 來存取網路。 Active Directory 支援認證漫遊,這是一項讓必須使用多部電腦的使用者能在每部電腦上使用相同認證的服務。 Active Directory 也能讓組織自訂用來驗證使用者的認證提供者。 此外,Active Directory 能讓您在整個組織中委派系統管理工作。 這些功能可協助您精密地控制讓 Active Directory 帳戶存取持卡人資料的方式,以及您提供哪些帳戶該資料的存取權。
如需更多資訊,請參閱<Windows Server 2003 Active Directory 技術中心>(英文),網址是: https://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx。
Microsoft 網際網路驗證服務: 網際網路驗證服務 (IAS) 是 Microsoft 實作的遠端驗證撥入使用者服務 (RADIUS) 伺服器和 Proxy。 做為 RADIUS 伺服器,IAS 會針對多種類型的網路存取 (包括無線和 VPN 連線) 執行集中連線驗證、授權與帳戶處理。 做為 RADIUS Proxy,IAS 會轉送驗證和帳戶處理訊息到其他 RADIUS 伺服器。 IAS 會透過這項作業,在遠端連線到達組織網路之前執行驗證步驟。 有了使用者提供來進行遠端連線的認證,您可以授權使用者在您的網路上僅存取完成其工作所需的資源。
如需更多資訊,請參閱<網際網路驗證服務>(英文),網址是:https://www.microsoft.com/technet/network/ias/default.mspx。
作業系統支援功能
使用存取控制清單授予資源權限: 存取控制清單 (ACL) 是自 Microsoft Windows NT 之後的作業系統用以保護檔案和資料夾等資源的機制。 ACL 包含多個存取控制項目 (ACE),這些項目會將主體 (通常是使用者帳戶或帳戶群組) 與管理資源使用的規則建立關聯。 ACL 和 ACE 能讓組織根據可以和使用者帳戶建立關聯的權限,允許或拒絕資源使用權限。 例如,您可以建立 ACE 並將其套用至檔案的 ACL,禁止系統管理員以外的任何人讀取檔案。 您必須規模較大的身分管理解決方案中使用此技術,但如果要限制持卡人資料僅供有業務需求的對象存取,這仍是一個好方法。
如需更多資訊,請參閱<ACL 技術概觀> (英文),網址是:https://msdn2.microsoft.com/en-us/library/ms229742.aspx。
Microsoft Windows Vista 和 Windows Server “Longhorn” 中的 Windows 防火牆: 正如先前所述,Windows Vista 和 Windows Server “Longhorn” 上的 Windows 防火牆可以協助保護系統和網路免於惡意攻擊。 它也可以協您控制哪些使用者、電腦和群組可以存取電腦或網域上的資源。 當您使用具備進階安全性的 Windows 防火牆時,您可以建立規則,依 Active Directory 使用者、電腦或群組來篩選連線。 若要建立這些類型的規則,您必須使用含 Active Directory 帳戶資訊之認證的 IPsec (例如 Kerberos 第 5 版) 來維護連線安全。
如需更多資訊,請參閱<Windows 防火牆>(英文),網址是: https://www.microsoft.com/technet/network/wf/default.mspx。
如需有關驗證、授權與存取控制之概念資訊和規劃指南連結,請參閱法規遵循規劃指南的<驗證、授權與存取控制>一節。
弱點識別
弱點識別解決方案提供組織可用來協助測試資訊系統弱點的工具。 您的 IT 人員必須瞭解 IT 環境中的弱點,才能有效加以解決。 弱點識別也需要因發生使用者錯誤而不慎遺失的資料之還原能力。
符合的 PCI DSS 規定
弱點解決方案會定期測試安全性系統和程序,讓您的組織符合 PCI DSS 規定 11。
如需各項規定的全文,請參閱支付卡產業資料安全標準 1.1 版 (英文)。
可用的技術
Microsoft 提供解決方案,可協助您設計弱點識別解決方案,以符合您的 PCI DSS 規定。
Microsoft Baseline Security Analyzer (MBSA): 在設計多項持卡人資料保護控制時的風險評估方面,MBSA 能讓您定期檢閱任何可能危及持卡人資料安全性的弱點。 您可以使用 MBSA 找出多項 Microsoft 產品 (包括 Windows 作業系統、Internet Information Services、SQL Server、Internet Explorer 和 Microsoft Office) 中的常見安全性錯誤設定。 MBSA 也會掃描任何發佈到 Microsoft Update,遺漏的安全性更新、更新彙總套件,以及 Service Pack。 您可以透過命令提示字元或 GUI 執行 MBSA,且您可以配合 Microsoft Update 和 Windows Server Update Services 加以使用。 由於將系統保持在最新狀態,是盡可能維護持卡人資料安全的重要方式,因此 MBSA 在判斷產品安裝是否隨著時間造成持卡人資料弱點方面,是很有價值的工具。
如需更多資訊,請參閱<Microsoft Baseline Security Analyzer>(英文),網址是:
https://www.microsoft.com/technet/security/tools/mbsahome.mspx。
監視、稽核與報告
監視和報告解決方案會收集並稽核驗證和系統存取所產生的記錄。 您可以設計這些解決方案來根據 PCI DSS 收集特定資訊,或使用作業系統或軟體套件內建的現有記錄。
監視和報告的子類別是整個組織中所有記錄的資料之集合、分析和關聯性。 這有時是透過儀表板式解決方案完成,在這類解決方案中您可以進一步分析於整個組織中收集到的各種資訊。 此類解決方案能讓 IT 管理更清楚判斷事件之間是否存在關聯性。
符合的 PCI DSS 規定
監視、稽核與報告解決方案能協助您符合 PCI DSS 規定 10,追蹤並監視所有對網路資源和持卡人資料的存取。
可用的技術
Microsoft 提供多項技術,可讓您監視網路存取和持卡人資料存取。
Microsoft System Center Operations Manager 稽核收集: Operations Manager 2007 能安全有效地從 Windows 作業系統擷取與收集安全性記錄,並儲存下來以供日後分析和報告之用。 擷取的記錄會儲存在獨立的稽核收集資料庫中。 Operations Manager 會隨附可用於稽核收集資料的報告。 稽核收集可用於製作多種法規遵循報告,例如支援 Sarbanes-Oxley (美國沙賓法案) 稽核。 稽核收集也可用於安全性分析,例如入侵偵測和未經授權的存取嘗試。
如需更多資訊,請參閱<稽核收集服務>(英文),網址是: https://technet.microsoft.com/en-us/library/bb381258.aspx。
Microsoft Windows Vista 事件記錄基礎結構: Windows 事件記錄基礎結構的改良讓 Windows Vista 桌面能更輕易進行管理和監視,以及提供更佳的疑難排解資訊。 嚴格的標準能確保事件有意義、可進行處理且詳實記錄。 許多在舊版 Windows 中以文字檔儲存記錄資訊的元件現在會將事件新增到事件記錄中。 有了事件轉送功能,系統管理員可以集中管理來自網路上任何位置的電腦事件,讓主動識別問題及為影響多部電腦的問題建立關聯之作業更加容易。 最後,事件檢視器會完整重寫,讓使用者建立自訂檢視、輕鬆地將事件與工作建立關聯,並從遠端檢視來自其他電腦的記錄。 對系統管理員而言,這項輸入讓使用事件記錄為使用者的問題進行疑難排解顯得更為實際。
如需更多資訊,請參閱<Windows Vista 管理功能>(英文),網址是:https://technet.microsoft.com/en-us/windowsvista/aa905069,aspx。
Microsoft SQL Server: SQL Server Reporting Services 是一個全面性、以伺服器為基礎的解決方案,可同時對傳統式書面報告及互動式網路報告進行建立、管理和傳遞工作。 整合在 Microsoft 商務智慧架構之下的 Reporting Services,結合了 SQL Server 和 Microsoft Windows Server 的資料管理能力與熟悉且功能強大的 Microsoft Office 系統應用程式,可傳送即時資訊以支援日常作業並推動決策。 您可以使用這些服務產生分析持卡人資料並追蹤其變更的報告。 您也可以使用報告服務,以更簡單的方式監視網路使用形態和資訊流通。
如需更多資訊,請參閱<Microsoft SQL Server>(英文),網址是:https://www.microsoft.com/sql/default.mspx。
作業系統支援功能
NTFS 系統存取控制清單: 組織可以在檔案和目錄上使用 NTFS 系統存取控制清單 (SACL),來協助追蹤系統上檔案或資料夾的變更。 在檔案或資料夾上設定 SACL 時,每當使用者在檔案或資料夾上執行動作時,SACL 會使 Windows 作業系統記錄該動作以及執行該動作的人員。 您無法在格式化為 FAT 檔案系統的系統上設定 SACL,因此組織應在所有儲存使用者資料和持卡人資料的磁碟區上使用 NTFS 檔案系統格式。
如需更多資訊,請參閱<使用者資料和設定管理>(英文),網址是:https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpusrdat.mspx。
管理 PCI DSS 技術解決方案
若使用管理產品無法協助組織符合特定 PCI DSS 規定時,它們能協助您追蹤為達到法規遵循目的而實作的 IT 控制。 在建立 IT 控制架構時,盡可能從最少量的系統管理員桌面集中管理這些控制是很重要的。
可用的技術
Microsoft 提供兩種主要工具,可管理為符合 PCI DSS 和其他法規要求而實作的 IT 控制架構。
Microsoft Forefront: Microsoft Forefront 是一套特定業務安全性產品,可為用戶端作業系統、應用程式伺服器和網路邊界提供保護。 您可以將 Forefront 搭配現有的 IT 基礎結構使用,以保護伺服器和用戶端電腦免受惡意程式碼和其他惡意攻擊,只需透過與 Exchange、SharePoint 和立即訊息等應用程式伺服器的簡易整合即可達成。 Forefront 也內建與 Active Directory 的整合,且會運用 ISA Server 來搭配 Active Directory 進行 RADIUS、DHCP 和智慧卡支援。 Forefront 也提供適用集中報告位置的集中式管理工具,以及設定原則控制措施的集中位置。
如需更多資訊,請參閱<Microsoft Forefront>(英文),網址是:https://www.microsoft.com/forefront/default.mspx。
Microsoft System Center: Microsoft System Center 是一系列專為提供組織達成全組織系統管理自動化所需工具的管理產品。 System Center 包含有助於將最常見管理工作自動化的技術,也提供協助 IT 專業人員偵測、診斷和修正其電腦環境問題的工具。 System Center 特別提供執行下列功能的產品:
監視分散式環境中的硬體和軟體以偵測問題,然後提供工具來修正這些問題。
將安裝、更新和修補軟體的程序自動化。
提供系統管理標準程序實作。
處理 Windows 檔案伺服器資料備份與還原。
滿足較小型組織的監視與設定需求。
管理虛擬機器。 隨著速度更快的硬體能讓每部電腦上執行更多應用程式,組織漸漸傾向採用虛擬化來隔離這些應用程式。
提供評估必要資源的工具以適當調整安裝。
如需更多資訊,請參閱<Microsoft System Center>(英文),網址是:https://www.microsoft.com/systemcenter/default.aspx。
總結
本節提供組織可用以協助達成並維持 PCI DSS 遵循之技術解決方案說明。 本節會探討為何這些解決方案十分重要,並提供 Microsoft 指引與技術連結,協助您的組織朝達成法規遵循的目標前進。
實作這些解決方案造成的影響不光是為您的 IT 環境提供安全性和法規遵循標準,也對您組織的業務程序有正面的影響。 在實作任何已知解決方案前,請務必與您的法律顧問和稽核人員詳談,以取得您獨特的 PCI DSS 遵循需求之相關法律性建議,並仔細考量這些解決方案對整個組織的影響,而非只考量法規遵循方面的影響。 Microsoft 致力於針對 PCI DSS 及其他法規遵循,進行更深入的研究並提供解決方案。 不過,您也可以公開搜尋,針對這個複雜且重要的主題取得更多相關資訊。
附錄
本節包含客戶針對 Microsoft 技術解決方案以及如何達成 PCI DSS 規定遵循,所提出的常見問題。 也包含了有助於組織符合這些規定的技術解決方案計劃。
常見問題集
問:為何我的組織必須費心處理支付卡產業資料安全標準的遵循事宜? 難道這不是另一個沒用又浪費錢的標準?
答:您的組織應致力遵循 PCI DSS 的理由有三個。 第一,Visa 之類的支付卡品牌承諾將針對達成 PCI 遵循者提供財務報償,且會對於不符合法規者加以處罰。 第二,遵循標準有助減少資料遺失時之相關責任。 第三,此程序透過審慎分析並適當設計您的系統,能確實協助您進一步追蹤客戶資料,進而改善客戶服務和滿意度。
問:Microsoft 是否過度銷售其 PCI DSS 遵循相關技術?
答:每個組織的狀況不同,本指南旨在盡可能提供周全的資訊。 Microsoft 可能會針對產業各種狀況開發特定指引。 您也可以連絡您的 Microsoft 業務代表,取得相關指引。 如上所述,如果不僅將此視為單純的法規遵循專案,還針對客戶資訊追蹤和管理進行改善的話,您便可獲得更優異的業務成果。
問:此白皮書說明了許多有助符合 PCI DSS 的技術,但所提供的法規遵循解決方案卻只有少數。 這是為什麼呢?
答:每種情況都是獨特的,因此不可能提出適用於所有狀況的單一解決方案。 正如<總結>中所述,Microsoft 致力為您的組織提供更詳細的資訊。
問:Microsoft 如何能協助我的組織取得 PCI DSS 認證?
答:Microsoft 能夠提供可協助您符合 PCI DSS 規定的軟體和服務,但無法保證您的組織一定能符合規定。 身為廠商,我們非常樂意協助您的組織符合這些規定,但遵循成果取決於您的組織、稽核人員以及您使用的支付卡品牌之間互動。
問:3.4.1 節是否表示不能使用 Microsoft 資料保護技術?
答:否。 該節完整內容如下:
「如果使用硬碟加密 (而非檔案或資料行層級資料庫加密),邏輯存取必須獨立於原生作業系統存取控制機制加以管理 (例如,不使用本機系統或 Active Directory 帳戶)。 不應將解密金鑰繫結於使用者帳戶。」
Microsoft 資料保護技術不會將解密金鑰繫結於使用者帳戶。 例如,BitLocker 磁碟機加密絕對不會將解密金鑰 (PIN 或復原密碼) 繫結於 Active Directory 中的使用者帳戶。 加密檔案系統 (EFS) 也不會將解密金鑰繫結於使用者帳戶。 您的組織可以撤銷某個人員解密文件的能力,而不需變更系統存取權限。 在某些設定中,EFS 會嘗試自動將部分解密金鑰放置於特定使用者的使用者設定檔中,讓使用者體驗達到最佳程度。 不過,此行為可以透過適當設定加以變更。
PCI DSS 規定與相關技術解決方案
| 規定 | 技術解決方案章節 |
|---|---|
| 規定 1 | 風險評估;網路安全性 |
| 規定 2 | 網路安全性 |
| 規定 3 | 文件管理;風險評估;資料分類與保護 |
| 規定 4 | 風險評估;傳訊與協同作業;資料分類與保護;網路安全性 |
| 規定 5 | 風險評估;惡意軟體防範 |
| 規定 6 | 文件管理;風險評估;變更管理;主機控制;惡意軟體防範;應用程式安全性; 驗證、授權與存取控制 |
| 規定 7 | 文件管理;風險評估;身分管理;驗證、授權與存取控制;資料分類與保護 |
| 規定 8 | 風險評估;驗證、授權與存取控制 |
| 規定 9 | 文件管理 |
| 規定 10 | 文件管理;變更管理;監視、稽核與報告;網路安全性 |
| 規定 11 | 風險評估;主機控制;弱點識別 |
| 規定 12 | 文件管理 |