PCI DSS合规建设ASV扫描介绍

　　最近查一些Nessus、Nexpose漏洞扫描工具相关资料，工具介绍都会提到一些审计功能，其中最多见的就是PCI DSS合规性审计。从网上找到一篇介绍较详尽的文章，与你们分享。

原文摘自：http://sec.chinabyte.com/313/12214313.shtml　　

　　PCI(Payment Card Industry)中文全称为：支付卡产业。在这个产业里存在一个标准组织，称为--支付卡行业安全标准委员会，英文简写为PCI SSC(Payment Card Industry Security Standards Council)。PCI安全标准委员会是由国际知名的五家支付品牌共同创建而成，他们是美国运通(American Express)、美国发现金融服务公司(Discover Financial Services)、JCB、全球万事达卡组织(MasterCard)及Visa国际组织。PCI SSC一共维护了三个安全标准：PCI DSS(Payment Card Industry Data Security Standard 支付卡行业数据安全标准)、PCI PA-DSS(Payment Card Industry Payments Application Data Security Standard支付卡行业支付应用数据安全标准)以及PTS(PIN Transaction Security PIN传输安全标准)。从下图能够很清楚的反应这三个标准之间的关系。

　　不管是PTS仍是PCI PA DSS，其最根本的目的是为了使最终的客户可以知足PCI DSS的要求。(关于PTS和PA DSS更多的介绍可参见PCI官方网站www.pcisecuritystandards.org和atsec官方网站www.atsec-information-security.cn)。

　　在PCI DSS第11.2.2中有这样的要求“Perform quarterly external vulnerability scans via an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).”其转译中文意思是：每季度由PCI SSC承认的受权扫描服务商(Approved Scanning Vendor)——ASV执行外部的脆弱性扫描。

　　什么是ASVs

　　受权扫描服务商是通过PCI SSC承认的，为商户和服务提供商的对外提供服务的互联网环境执行脆弱性扫描的组织，它的目的是为了验证商户和服务提供商遵照必定的PCI DSS要求(PCI DSS 11.2要求)。

　　PCI DSS对于ASVs的要求

　　对于ASVs而言，PCI SSC维护了一套认证的流程，详细的认证流程可参见PCI SSC的指引文件。根据要求ASVs每一年都须要进行资质的从新认证，认证的结果能够从PCI官方网站上查询到，详细地址参见：

　　https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

　　对于ASVs的认证，PCI SSC除了对公司的资质要求之外，扫描工具也须要通过PCI SSC的承认。除此之外执行ASV扫描的人员则须要经过PCI SSC的ASV在线考试。

　　ASV扫描的流程

　　根据PCI SSC的规定，全部ASV的执行过程和流程都应该要知足“asv_program_guide_v1.0”的要求。该指导文件描述了ASV扫描流程中的不一样角色，扫描范围的肯定，脆弱性分类，扫描报告内容描述，误报处理，报告的交付和完整性保护，质量保证等内容。

　　ASV范围的肯定

　　在执行ASV扫描以前，执行扫描的人员须要与客户一块儿去肯定ASV扫描的范围。一般客户须要提供其对外提供服务的全部IP地址列表，网络拓扑图以及相关的资料以便扫描人员可以根据PCI DSS要求判断那些系统组件应该要在扫描的范围以内。按照PCI DSS的要求：全部对外提供服务的涉及持卡人信息传输，处理或者存储的系统组件都须要每季度执行ASV扫描。这里的系统组件包括但不限于服务器，网络设备，安全设备。

　　在初步肯定ASV扫描范围以后，扫描人员须要使用ASV扫描工具的“探测”功能去探测目标系统以及与其相关联系统组件的状态。在这个环节当中， ASV扫描工具会自动化的去识别与预设目标相关联的系统组件的活动状态，因此“探测”扫描发现的IP地址数量一般会比预设目标的IP数量会更多。这时候扫描人员就须要根据发现的结果与客户进行讨论以最终确认ASV的扫描范围。

　　如何判断是否经过ASV的扫描

　　对于ASV扫描的结果，不少客户都会关心什么样的条件可以经过ASV扫描，是否有统一的标准？

　　根据PCI SSC“asv_program_guide_v1.0”的描述，全部包含高危严重级别的脆弱性和任何违反PCI DSS的功能或配置的脆弱性都将不能经过ASV的扫描。

　　如下是CVSS评分和NVD严重级别与ASV扫描结果的对应关系：除了少数特定状况，任何CVSS分值大于或者等于4.0的脆弱性都不可以经过ASV扫描

　　CVSS 分值严重级别ASV扫描结果指导

　　7.0 -- 10.0高危失败为可以经过ASV扫描，这些脆弱性被修复而且在脆弱性修复以后须要再次执行扫描。组织应采起以风险级别为基础的方法来纠正这些漏洞，按照风险的危害程度最关键的(CVSS分值为10.0)脆弱性应当最早修复，而后修复CVSS分值为9的脆弱性，直到CVSS分值从4.0至10.0的全部漏洞都被纠正。

　　4.0 -- 6.9中危失败

　　0.0 -- 3.9低危经过CVSS分值从0.0至3.9的脆弱性是可以经过ASV扫描的，可是从安全角度建议(非强制)对这些脆弱性进行修复。

　　对于NVD严重级别与ASV扫描结果的对应关系而言会存在一些特殊的状况，如下是须要ASV特殊考虑的状况：

• • 该脆弱性并无被NVD收录
  • ASV不认同在NVD中给出的CVSS分值
  • 纯粹的拒绝服务(DoS)脆弱性
  • 该脆弱性违反PCI DSS的要求或者风险级别高于NVD的描述

　　ASV扫描报告

　　PCI SSC对于ASV扫描报告格式有严格的要求，每一个ASV在报告中都须要包含如下的内容：

• 扫描认证的合规性

　　这部分的内容是总体的总结，主要显示客户的基础架构是否知足PCI DSS审核要求而且经过ASV的扫描。

• ASV扫描报告执行摘要

　　这一章节的内容须要列举组件(经过IP地址的形式)的脆弱性以显示每一个被扫描的IP地址是否知足PCI DSS审核要求而且经过ASV的扫描。这个章节当中，全部的脆弱性都会对应到特定的IP地址，每一个脆弱性都会与IP地址一一对应。

•  ASV扫描报告漏洞详细资料

　　这个章节包含对应脆弱性合规的状态(经过 / 失败)的总结以及被发现的脆弱性的详细描述。

　　除上述描述之外，做为一份被承认的ASV扫描报告，它须要包含两个很是重要的元素：被扫描客户对ASV扫描的承认声明(包括扫描的范围，客户的信息等内容)另一个则是具备PCI SSC ASV资质认定的人员对于报告的承认。其中最后一个元素被视为ASV扫描报告有效性的证实。任何没有经由具备PCI SSC ASV资质认定的人员声明的ASV报告将不被视为一份合规的ASV扫描报告。