1

作为PCI-DSS审计的一部分,我们正在考虑改进我们在安全领域的编码标准,以确保所有开发人员都了解该领域的重要性。

您如何在您的组织内处理这个话题?

顺便说一句,我们正在 .NET 3.5 中编写面向公众的 Web 应用程序,接受信用卡/借记卡付款。

4

3 回答 3

6

有很多不同的方法可以破坏安全性。您可以期待无限的攻击者。你必须阻止它们——即使是尚未发明的攻击。这个很难(硬。一些想法:

  1. 开发人员需要了解众所周知的安全软件开发指南。Howard & Le Blanc “编写安全代码”是一个好的开始。

  2. 但成为良好的规则追随者只是成功的一半。能够像攻击者一样思考同样重要。在任何情况下(不仅与软件相关),都要考虑漏洞是什么。您需要了解人们可以攻击系统的一些奇怪方式——监控功耗、计算速度、随机数弱点、协议弱点、人类系统弱点等。给予开发人员自由和创造性的机会来探索这些是很重要的。

  3. 使用清单方法,例如 OWASP ( http://www.owasp.org/index.php/Main_Page )。

  4. 使用独立评估(例如http://www.commoncriteriaportal.org/thecc.html)。即使这样的评估太昂贵,设计和记录就像你打算使用它一样。

  5. 确保清楚地表达您的安全论点。通用标准 Security Target 是一种很好的格式。对于严肃的系统,正式的描述也是有用的。清楚你所依赖的任何假设或秘密。监控安全趋势,并经常重新检查威胁和对策以确保它们是最新的。

  6. 检查围绕您的软件开发人员和流程的激励措施。确保奖励在正确的位置。不要让开发人员试图隐藏问题。

于 2010-01-19T11:01:49.607 回答
1

考虑要求您的 QSA 或 ASV 为您的开发人员提供一些培训。

于 2010-01-19T12:33:59.567 回答
0

安全基本上属于以下三个领域中的一个或多个:

1)内部用户

2) 网络基础设施

3)客户端脚本

该列表按严重程度顺序编写,与违规概率的顺序相反。以下是适当的管理解决方案,形成了一个非常广泛的视角:

防止内部用户违规的唯一解决方案是教育用户、加强对公司政策的认识、限制用户自由和监控用户活动。这一点非常重要,因为这是最严重的安全违规行为,无论是恶意的还是无意的。

网络基础设施是信息安全的传统领域。两年前,安全专家不会考虑在其他地方寻找安全管理。一些基本策略是对所有内部 IP 地址使用 NAT,在网络交换机中启用端口安全性,将服务物理分离到单独的硬件上,并在一切都隐藏在防火墙后面之后仔细保护对这些服务的访问。保护您的数据库免受代码注入。使用 IPSEC 访问防火墙后面的所有自动化服务,并将访问点限制为 IDS 或 IPS 后面的已知点。基本上,限制对所有内容的访问,加密该访问,并固有地信任每个访问请求都可能是恶意的。

超过 95% 的报告安全漏洞与来自 Web 的客户端脚本和大约 70% 的目标内存损坏有关,例如缓冲区溢出。禁用 ActiveX 并需要管理员权限才能激活 ActiveX。在供应商发布补丁后的 48 小时内,为测试实验室中执行任何类型客户端脚本的所有软件打补丁。如果测试未显示对公司授权软件配置的干扰,则立即部署补丁。内存损坏漏洞的唯一解决方案是修补您的软件。该软件可能包括:Java 客户端软件、Flash、Acrobat、所有 Web 浏览器、所有电子邮件客户端等。

只要确保您的开发人员符合 PCI 认证,请确保他们和他们的管理层接受过教育,了解安全性的重要性。大多数 Web 服务器,甚至是面向大型企业客户的 Web 服务器,都从未打过补丁。那些被打补丁的人在被发现易受攻击后可能需要几个月的时间才能打补丁。这是一个技术问题,但更重要的是这是一个严重的管理失败。必须让 Web 开发人员了解客户端脚本天生就容易被利用,甚至是 JavaScript。随着AJAX的进步,这个问题很容易实现,因为信息可以通过违反同源策略的方式动态注入到匿名第三方,并完全绕过SSL提供的加密。 The bottom line is that Web 2.0 technologies are inherently insecure and those fundamental problems cannot be solved without defeating the benefits of the technology.

When all else fails hire some CISSP certified security managers who have the management experience to have the balls to speak directly to your company executives. If your leadership is not willing to take security seriously then your company will never meet PCI compliance.

于 2010-01-19T17:53:09.727 回答