渗透测试与PCI DSS的关系

PCI(Payment Card Industry)中文全称为：支付卡产业。在这个产业里存在一个标准组织，称为--支付卡行业安全标准委员会，英文简写为PCI SSC(Payment Card Industry Security Standards Council)。PCI安全标准委员会是由国际知名的五家支付品牌共同建立而成，他们是美国运通(American Express)、美国发现金融服务公司(Discover Financial Services)、JCB、全球万事达卡组织(MasterCard)及Visa国际组织。PCI SSC一共维护了三个安全标准：PCI DSS(Payment Card Industry Data Security Standard 支付卡行业数据安全标准)、PCI PA-DSS(Payment Card Industry Payments Application Data Security Standard支付卡行业支付应用数据安全标准)以及PTS(PIN Transaction Security PIN传输安全标准)。从下图可以很清楚的反应这三个标准之间的关系。

无论是PTS还是PCI PA DSS，其最根本的目的是为了使最终的客户能够满足PCI DSS的要求。(关于PTS和PA DSS更多的介绍可参见PCI官方网站www.pcisecuritystandards.org和atsec官方网站www.atsec-information-security.cn)。

在PCI DSS第 11.3中有这样的要求“ Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following： Network-layer penetration tests and Application-layer penetration tests”其转译中文意思是：至少每年或者在基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)都需要执行内部和外部基于应用层和网络层的渗透测试。

什么是渗透测试

渗透测试是通过模拟来自恶意的黑客或者骇客攻击，以评估计算机系统或者网络环境安全性的活动。从渗透测试的定义我们能够清楚的了解到渗透测试它是一项模拟的活动，主要的目的是进行安全性的评估，而不是摧毁或者破坏目标系统。

从下图我们可以看到，渗透测试与网络扫描，脆弱性扫描，安全扫描和安全审计其实并不相同。渗透测试是介于安全扫描和安全审计之间，它并不是纯粹的扫描工作，但是它执行的深度又没有安全审计那么深入。渗透测试是从攻击者的角度，试图通过各种技术手段或者社交手段去发现和挖掘系统的漏洞，最终达到获取系统最高权限的目的。无论是从测试的覆盖面和测试的深度来看，渗透测试都要比网络扫描，脆弱性扫描和安全扫描更为深入。

渗透测试的目的

对于渗透测试而言，除了满足某些特定标准(如PCI DSS)的要求之外，渗透测试还会有如下的好处：

识别和发现机构可能被攻击的薄弱环节通过外部独立的第三方评估机构的安全评估提高客户自身的安全级别和降低安全风险提高人员对于信息安全的意识。

(责任编辑：安博涛)