PCI DSS合規建設ASV掃描介紹

　　最近查一些Nessus、Nexpose漏洞掃描工具相關資料，工具介紹都會提到一些審計功能，其中最多見的就是PCI DSS合規性審計。從網上找到一篇介紹較詳盡的文章，與你們分享。

原文摘自：http://sec.chinabyte.com/313/12214313.shtml　　

　　PCI(Payment Card Industry)中文全稱爲：支付卡產業。在這個產業裏存在一個標準組織，稱爲--支付卡行業安全標準委員會，英文簡寫爲PCI SSC(Payment Card Industry Security Standards Council)。PCI安全標準委員會是由國際知名的五家支付品牌共同創建而成，他們是美國運通(American Express)、美國發現金融服務公司(Discover Financial Services)、JCB、全球萬事達卡組織(MasterCard)及Visa國際組織。PCI SSC一共維護了三個安全標準：PCI DSS(Payment Card Industry Data Security Standard 支付卡行業數據安全標準)、PCI PA-DSS(Payment Card Industry Payments Application Data Security Standard支付卡行業支付應用數據安全標準)以及PTS(PIN Transaction Security PIN傳輸安全標準)。從下圖能夠很清楚的反應這三個標準之間的關係。

　　不管是PTS仍是PCI PA DSS，其最根本的目的是爲了使最終的客戶可以知足PCI DSS的要求。(關於PTS和PA DSS更多的介紹可參見PCI官方網站www.pcisecuritystandards.org和atsec官方網站www.atsec-information-security.cn)。

　　在PCI DSS第11.2.2中有這樣的要求「Perform quarterly external vulnerability scans via an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).」其轉譯中文意思是：每季度由PCI SSC承認的受權掃描服務商(Approved Scanning Vendor)——ASV執行外部的脆弱性掃描。

　　什麼是ASVs

　　受權掃描服務商是通過PCI SSC承認的，爲商戶和服務提供商的對外提供服務的互聯網環境執行脆弱性掃描的組織，它的目的是爲了驗證商戶和服務提供商遵照必定的PCI DSS要求(PCI DSS 11.2要求)。

　　PCI DSS對於ASVs的要求

　　對於ASVs而言，PCI SSC維護了一套認證的流程，詳細的認證流程可參見PCI SSC的指引文件。根據要求ASVs每一年都須要進行資質的從新認證，認證的結果能夠從PCI官方網站上查詢到，詳細地址參見：

　　https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

　　對於ASVs的認證，PCI SSC除了對公司的資質要求之外，掃描工具也須要通過PCI SSC的承認。除此之外執行ASV掃描的人員則須要經過PCI SSC的ASV在線考試。

　　ASV掃描的流程

　　根據PCI SSC的規定，全部ASV的執行過程和流程都應該要知足「asv_program_guide_v1.0」的要求。該指導文件描述了ASV掃描流程中的不一樣角色，掃描範圍的肯定，脆弱性分類，掃描報告內容描述，誤報處理，報告的交付和完整性保護，質量保證等內容。

　　ASV範圍的肯定

　　在執行ASV掃描以前，執行掃描的人員須要與客戶一塊兒去肯定ASV掃描的範圍。一般客戶須要提供其對外提供服務的全部IP地址列表，網絡拓撲圖以及相關的資料以便掃描人員可以根據PCI DSS要求判斷那些系統組件應該要在掃描的範圍以內。按照PCI DSS的要求：全部對外提供服務的涉及持卡人信息傳輸，處理或者存儲的系統組件都須要每季度執行ASV掃描。這裏的系統組件包括但不限於服務器，網絡設備，安全設備。

　　在初步肯定ASV掃描範圍以後，掃描人員須要使用ASV掃描工具的「探測」功能去探測目標系統以及與其相關聯繫統組件的狀態。在這個環節當中， ASV掃描工具會自動化的去識別與預設目標相關聯的系統組件的活動狀態，因此「探測」掃描發現的IP地址數量一般會比預設目標的IP數量會更多。這時候掃描人員就須要根據發現的結果與客戶進行討論以最終確認ASV的掃描範圍。

　　如何判斷是否經過ASV的掃描

　　對於ASV掃描的結果，不少客戶都會關心什麼樣的條件可以經過ASV掃描，是否有統一的標準？

　　根據PCI SSC「asv_program_guide_v1.0」的描述，全部包含高危嚴重級別的脆弱性和任何違反PCI DSS的功能或配置的脆弱性都將不能經過ASV的掃描。

　　如下是CVSS評分和NVD嚴重級別與ASV掃描結果的對應關係：除了少數特定狀況，任何CVSS分值大於或者等於4.0的脆弱性都不可以經過ASV掃描

　　CVSS 分值嚴重級別ASV掃描結果指導

　　7.0 -- 10.0高危失敗爲可以經過ASV掃描，這些脆弱性被修復而且在脆弱性修復以後須要再次執行掃描。組織應採起以風險級別爲基礎的方法來糾正這些漏洞，按照風險的危害程度最關鍵的(CVSS分值爲10.0)脆弱性應當最早修復，而後修復CVSS分值爲9的脆弱性，直到CVSS分值從4.0至10.0的全部漏洞都被糾正。

　　4.0 -- 6.9中危失敗

　　0.0 -- 3.9低危經過CVSS分值從0.0至3.9的脆弱性是可以經過ASV掃描的，可是從安全角度建議(非強制)對這些脆弱性進行修復。

　　對於NVD嚴重級別與ASV掃描結果的對應關係而言會存在一些特殊的狀況，如下是須要ASV特殊考慮的狀況：

• • 該脆弱性並無被NVD收錄
  • ASV不認同在NVD中給出的CVSS分值
  • 純粹的拒絕服務(DoS)脆弱性
  • 該脆弱性違反PCI DSS的要求或者風險級別高於NVD的描述

　　ASV掃描報告

　　PCI SSC對於ASV掃描報告格式有嚴格的要求，每一個ASV在報告中都須要包含如下的內容：

• 掃描認證的合規性

　　這部分的內容是總體的總結，主要顯示客戶的基礎架構是否知足PCI DSS審覈要求而且經過ASV的掃描。

• ASV掃描報告執行摘要

　　這一章節的內容須要列舉組件(經過IP地址的形式)的脆弱性以顯示每一個被掃描的IP地址是否知足PCI DSS審覈要求而且經過ASV的掃描。這個章節當中，全部的脆弱性都會對應到特定的IP地址，每一個脆弱性都會與IP地址一一對應。

•  ASV掃描報告漏洞詳細資料

　　這個章節包含對應脆弱性合規的狀態(經過 / 失敗)的總結以及被發現的脆弱性的詳細描述。

　　除上述描述之外，做爲一份被承認的ASV掃描報告，它須要包含兩個很是重要的元素：被掃描客戶對ASV掃描的承認聲明(包括掃描的範圍，客戶的信息等內容)另一個則是具備PCI SSC ASV資質認定的人員對於報告的承認。其中最後一個元素被視爲ASV掃描報告有效性的證實。任何沒有經由具備PCI SSC ASV資質認定的人員聲明的ASV報告將不被視爲一份合規的ASV掃描報告。