PDF《PCI DSS V3.2 再回首 ——谈谈在 2018 年强制执行的要求》

6 /

10 3.3 PCI DSS 要求 8.3.1 8.3.1 将针对所有非控制台访问的多因素验证融入针对具有管理访问权限的工作人员的持卡人数据环境. 要求 8.3.1 是一项技术类的要求,因为要实现多因素验证,往往需要一些技术手段的配合. 所谓多因素验证,PCI DSS 的术语表中给出的说明是: 通过认证至少两个因素验证用户身份的方法. 这些因素包括用户所有(例如智能卡),用户所知(例如密码、口令或 PIN)或者用户特征或用户所为(例 如指纹或其他类型的生物特征). 这个要求是从 V3.1 中的双因素要求演化而来,与V3.1 的要求类似,认证两种或两种以上因素,可被认 为是多因素认证.因此在具体实施时,机构原有的双因素验证机制是可以沿用的,所不同的是 V3.2 在验证 场景上发生了扩展. ? 首先,V3.1 的验证场景在 V3.2 中依然沿用,被放到了要求 8.3.2 中,即 针对来自该实体网络外部 的所有远程网络访问(针对用户和管理员,并包括出于支持和维护目的的第三方访问)加入多因素 验证. ? 其次,V3.2 在要求 8.3.1 中新增了一个场景,即所有个人基于管理访问需要而通过非控制台进入持 卡人数据环境(CDE :Cardholder Data Environment)的情况.该场景下的要求比 8.3.2 的要求更 进一步,要求所有 非控制台 的管理访问均需要多因素验证. 何谓 非控制台 ,其术语说明是: 对系统组件的逻辑访问,通过网络接口(而不是通过直接的物理 连接)连接到系统组件上.非控制台访问包括通过本地/内部网络进行的访问,也包括通过外部或远程网络进 行的访问. 即除了直接把键盘鼠标连接到服务器上,或直接通过 console 线连接到网络设备上之外的所有 网络访问,无论是内网还是外网,都称之为非控制台访问. 要满足 8.3.1 和8.3.2 的要求,等于是所有对于 CDE 中系统组件的管理访问都需要多因素验证,无论是 内网还是外网.基于 atsec 以往项目的实施经验,通常有两种做法,一是为 CDE 中的每个系统组件实施多 因素控制,这对于合规范围小的环境勉强可行,大型机构的环境范围则基本不可取.二是在 CDE 的边界实 施一个多因素控制设备作为跳板机,再通过跳板机连接到 CDE 内的系统组件,这是比较常见的做法,因为 这与大型机构的登录管理要求(如统一登录和认证、操作审计等)不谋而合.目前比较常见的堡垒机部署方 案可以支持多因素验证的要求. 由于要求 8.3.1 是技术类要求,虽然大部分机构都有较好的基础来实现非控制台多因素控制,但也有机 构现有的设备无法支持,这就意味着一些新设备的引入或现有设备的改造,可能会带来资金和时间方面的挑 战.因此对于要求 8.3.1 的落实,相关合规建设机构还应该未雨绸缪,尽快开展评估和落实整改工作. 3.4 PCI DSS 要求 10.8 和10.8.1 10.8 仅针对服务提供商的额外........