清华大学魏克:PCI DSS合规和网络信息安全体系建设
移动支付网 2018/11/23 11:06:21

11月15日,由北京移动金融产业联盟、移动支付网联合主办的2018第三届中国移动金融安全大会在深圳顺利召开,清华大学网络与信息安全研究室高级安全顾问魏克以《PCI DSS合规和网络信息安全体系建设》为主题发表演讲。

魏克首先谈到了企业网络信息安全工作的目标。他认为,企业网络信息安全工作的目标是保护企业的数据(信息)安全,包括机密、敏感数据和个人隐私数据的安全。我们日常所说的保护主机、保护网络、保护应用、保护数据库等等实质上是在要求企业在数据传输、数据处理、数据储存的各个环节,全面保护数据安全,此外,他还表示合规是企业达成保护数据安全目标的基本途径。

做为国内支付卡行业数据安全标准(PCI DSS)的最早研究者和推动者,魏克在大会上简明扼要地介绍了支付卡行业数据安全标准(PCI DSS)。PCI DSS是典型的保护敏感个人支付信息的行业标准,其核心思想是在持卡人数据的传输、处理和存储的各个关键环节保护持卡人数据,构建完善的、保护持卡人数据的信息安全管理体系架构,从而保证持卡人数据的安全。

在网络信息安全领域,现在的企业面临着非对称威胁,防守方处在明处,木桶效应突出,难以做到万无一失的安全防护;攻击方则在暗处,为生存而战,利益驱动,动机明确,因此导致防守方始终处于弱势方。那么,如何构建满足PCI DSS标准要求的网络信息安全体系架构呢?

魏克认为需要从5个方面入手:

1、培养高层的安全意识:企业的高层一定要意识到企业可能面临各种各样的安全危险。

2、建立基本的网络信息安全管理理念:成立企业网络信息安全管理委员会,明确职责;制定企业的网络信息安全政策、策略和流程;建立应急响应处理机制和流程。

3、数据分类很重要:数据分为可公开数据、私有数据、敏感数据、机密数据,不同的数据种类要使用不同的传输、处理和存储措施,保护有价值的数据,并最小化存储敏感认证数据。

4、网络架构的安全很重要:构建分级的安全域、明确不同安全域的服务对象和安全需求,包括基本数据分类、网络基础架构的安全以及安全设备。

5、网络信息安全的“技术体系”和“管理体系”都很重要:没有技术的支撑,管理无法到位;没有管理的安全技术应用,难以形成完整的防护体系。因此两者都需要重视。

魏克表示,现在的网络信息安全工作面临着许多挑战:网络信息安全是一个专业领域问题,普通的IT运维人员难以从安全的专业角度处理问题。同时,网络信息安全又很复杂,涉及到网络安全、系统安全、数据库安全、应用安全等各个方面,需要各个领域的专业人员互相配合等等。而这些问题的指出都说明了网络信息安全领域目前缺少大量的专业人员。

在最后,魏克表示企业需要正确理解网络信息安全托管服务。企业需要利用外部专家和内部小组来构建企业的安全体系架构,通过P-D-C-A的渐进式循环,不断改进并完善企业的网络信息安全体系架构。


展开全文
相关阅读
资讯查询取消