企業(yè)圍繞阻止數(shù)據(jù)泄漏和數(shù)據(jù)失竊的需要而大做文章，但費(fèi)勁力氣的企業(yè)怎樣才能確保所有的數(shù)據(jù)得到了保護(hù)呢？數(shù)據(jù)完整性是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard ，PCI DSS）法案的一個(gè)關(guān)鍵組成部分（更不用說(shuō)公司的運(yùn)作能力），所以安全和法案團(tuán)隊(duì)?wèi)?yīng)優(yōu)先確保數(shù)據(jù)完整性和準(zhǔn)確性。

但是，了解哪些數(shù)據(jù)需要保護(hù)可能會(huì)非常棘手。

一般來(lái)說(shuō)，法案規(guī)則相當(dāng)清楚地規(guī)定了公司需要保護(hù)哪些數(shù)據(jù)（持卡人的數(shù)據(jù)、個(gè)人識(shí)別信息（PII）、個(gè)人健康信息（PHI）等），這些都屬于比較容易的部分。真正棘手的是怎樣在組織內(nèi)部找出與法案相關(guān)的數(shù)據(jù)，對(duì)其進(jìn)行合理的跟蹤和保護(hù)。

所以，即使你還沒(méi)有開(kāi)始擔(dān)心的PCI，也有必要了解公司內(nèi)部的重要數(shù)據(jù)是如何以及在何處流傳的。雖然DLP廠商會(huì)說(shuō)，這不是嚴(yán)格意義上的技術(shù)問(wèn)題，而是一個(gè)處理和人員的問(wèn)題。你需要和每個(gè)業(yè)務(wù)部門(mén)的人都展開(kāi)談話，因?yàn)槟銜?huì)發(fā)現(xiàn)他們使用數(shù)據(jù)的方式是你不可能想到的，甚至是有些業(yè)務(wù)需要可能是你沒(méi)有考慮到的。這些談話無(wú)疑會(huì)激起更多的談話，最終你將清晰地認(rèn)識(shí)到：哪里有你必須保護(hù)的數(shù)據(jù)，你是否保護(hù)了這些應(yīng)該保護(hù)的數(shù)據(jù)。

對(duì)于PCI DSS，在某種意義上這個(gè)項(xiàng)目都是關(guān)于數(shù)據(jù)完整性的，但更深的挖掘你會(huì)發(fā)現(xiàn)12個(gè)PCI要求中沒(méi)有一個(gè)嚴(yán)格地屬于數(shù)據(jù)完整性的范疇。也就是說(shuō)，12個(gè)要求都是重要的，當(dāng)我們具體地看待數(shù)據(jù)的完整性問(wèn)題，有一些具體要求可以幫助實(shí)現(xiàn)數(shù)據(jù)完整性。

最值得注意的是，看看關(guān)于保護(hù)持卡人數(shù)據(jù)的要求（其中包括要求3：保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)，和要求4：加密在開(kāi)放的、公共的網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)）和強(qiáng)大的訪問(wèn)控制措施的實(shí)施情況（包括要求7：限制對(duì)基礎(chǔ)信息的訪問(wèn)，要求8：用戶必須具有唯一的用戶ID，要求9：限制對(duì)持卡人數(shù)據(jù)進(jìn)行物理訪問(wèn)）。要求8直接導(dǎo)致需求10：要求對(duì)所有持卡人數(shù)據(jù)和網(wǎng)絡(luò)資源進(jìn)行定期訪問(wèn)監(jiān)測(cè)。最后，還有要求6：要求安全系統(tǒng)和應(yīng)用程序的開(kāi)發(fā)和維護(hù)。所以，總而言之，有一半以上的要求直接而明顯地強(qiáng)調(diào)了數(shù)據(jù)的完整性問(wèn)題。

什么是保持企業(yè)數(shù)據(jù)完整性的最佳（或至少是共同的）做法？首先，無(wú)論是未使用的數(shù)據(jù)還是在整個(gè)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，都要對(duì)其進(jìn)行加密。雖然這不是PCI DSS的要求，但我強(qiáng)烈建議通過(guò)SSL來(lái)傳輸數(shù)據(jù)，甚至把數(shù)據(jù)傳輸限制在企業(yè)自己的私有網(wǎng)絡(luò)中。這樣做確保了數(shù)據(jù)不會(huì)被盜竊和篡改，而且不會(huì)增加太多（如果有的話）的復(fù)雜性，又能真正有利于維護(hù)數(shù)據(jù)的完整性。.

下一步（同時(shí)，甚至更好的）的措施是給應(yīng)用和網(wǎng)絡(luò)建立記錄和審計(jì)，這樣當(dāng)數(shù)據(jù)改變時(shí)，企業(yè)能夠知道誰(shuí)在訪問(wèn)它的數(shù)據(jù)。而且，可能更重要的是，獲悉數(shù)據(jù)的去向。這應(yīng)該包括一些網(wǎng)絡(luò)分析的能力。雖然記錄和審計(jì)不是PCI DSS標(biāo)準(zhǔn)的一部分，但如果所有的數(shù)據(jù)都加了密，那它們就變得必要了。此外，記錄和審計(jì)還能提供額外的好處，那就是能很快確發(fā)現(xiàn)敏感數(shù)據(jù)是否被傳輸?shù)骄W(wǎng)絡(luò)上陌生的或不同的路徑——這很可能是潛藏著的破壞正在進(jìn)行中。最近出現(xiàn)的Heartland 支付系統(tǒng)公司被入侵的事件警示我們，如果有這種記錄和審計(jì)技術(shù)，很可能將更早的發(fā)現(xiàn)問(wèn)題，從而避免公司出現(xiàn)更嚴(yán)重的后果。

類似地，通過(guò)建立安全系統(tǒng)和應(yīng)用程序并對(duì)其進(jìn)行維護(hù)，你可以有一個(gè)更高的舒適度：這些系統(tǒng)中的數(shù)據(jù)在你的控制下，只有那些具有授權(quán)的、合法的訪問(wèn)操作才能夠改變它。

通過(guò)遵循這些步驟（加密、日志、審計(jì)、安全的應(yīng)用程序等），你不但符合PCI DSS法案，而且還符合了其他規(guī)則，如薩班斯法案（SOX），這將是一個(gè)額外的好處。

至于其他的建議，可以參考網(wǎng)上很多更詳細(xì)的PCI DSS描述，包括PCI DSS的一般資料的例子、建立一個(gè)優(yōu)先遵循PCI DSS方法、適用于無(wú)線網(wǎng)絡(luò)的PCI DSS法案的指導(dǎo)方針、理解PCI DSS要求的意圖等。這會(huì)讓你清楚的知道從哪里開(kāi)始處理數(shù)據(jù)的完整性，以及怎樣進(jìn)一步的對(duì)數(shù)據(jù)完整性進(jìn)行處理。

【編輯推薦】

1. 快錢(qián)完成atsec針對(duì)PCI DSS合規(guī)性評(píng)估
2. 卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)完整性保護(hù)技術(shù)獲得美國(guó)專利
3. 虛擬環(huán)境的安全威脅已由理論變?yōu)楝F(xiàn)實(shí)