企業(yè)圍繞阻止數(shù)據(jù)泄漏和數(shù)據(jù)失竊的需要而大做文章，但費(fèi)勁力氣的企業(yè)怎樣才能確保所有的數(shù)據(jù)得到了保護(hù)呢？數(shù)據(jù)完整性是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard ，PCI DSS）法案的一個關(guān)鍵組成部分（更不用說公司的運(yùn)作能力），所以安全和法案團(tuán)隊?wèi)?yīng)優(yōu)先確保數(shù)據(jù)完整性和準(zhǔn)確性。

但是，了解哪些數(shù)據(jù)需要保護(hù)可能會非常棘手。

一般來說，法案規(guī)則相當(dāng)清楚地規(guī)定了公司需要保護(hù)哪些數(shù)據(jù)（持卡人的數(shù)據(jù)、個人識別信息（PII）、個人健康信息（PHI）等），這些都屬于比較容易的部分。真正棘手的是怎樣在組織內(nèi)部找出與法案相關(guān)的數(shù)據(jù)，對其進(jìn)行合理的跟蹤和保護(hù)。

所以，即使你還沒有開始擔(dān)心的PCI，也有必要了解公司內(nèi)部的重要數(shù)據(jù)是如何以及在何處流傳的。雖然DLP廠商會說，這不是嚴(yán)格意義上的技術(shù)問題，而是一個處理和人員的問題。你需要和每個業(yè)務(wù)部門的人都展開談話，因為你會發(fā)現(xiàn)他們使用數(shù)據(jù)的方式是你不可能想到的，甚至是有些業(yè)務(wù)需要可能是你沒有考慮到的。這些談話無疑會激起更多的談話，最終你將清晰地認(rèn)識到：哪里有你必須保護(hù)的數(shù)據(jù)，你是否保護(hù)了這些應(yīng)該保護(hù)的數(shù)據(jù)。

對于PCI DSS，在某種意義上這個項目都是關(guān)于數(shù)據(jù)完整性的，但更深的挖掘你會發(fā)現(xiàn)12個PCI要求中沒有一個嚴(yán)格地屬于數(shù)據(jù)完整性的范疇。也就是說，12個要求都是重要的，當(dāng)我們具體地看待數(shù)據(jù)的完整性問題，有一些具體要求可以幫助實(shí)現(xiàn)數(shù)據(jù)完整性。

最值得注意的是，看看關(guān)于保護(hù)持卡人數(shù)據(jù)的要求（其中包括要求3：保護(hù)存儲的持卡人數(shù)據(jù)，和要求4：加密在開放的、公共的網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)）和強(qiáng)大的訪問控制措施的實(shí)施情況（包括要求7：限制對基礎(chǔ)信息的訪問，要求8：用戶必須具有唯一的用戶ID，要求9：限制對持卡人數(shù)據(jù)進(jìn)行物理訪問）。要求8直接導(dǎo)致需求10：要求對所有持卡人數(shù)據(jù)和網(wǎng)絡(luò)資源進(jìn)行定期訪問監(jiān)測。最后，還有要求6：要求安全系統(tǒng)和應(yīng)用程序的開發(fā)和維護(hù)。所以，總而言之，有一半以上的要求直接而明顯地強(qiáng)調(diào)了數(shù)據(jù)的完整性問題。

什么是保持企業(yè)數(shù)據(jù)完整性的最佳（或至少是共同的）做法？首先，無論是未使用的數(shù)據(jù)還是在整個網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，都要對其進(jìn)行加密。雖然這不是PCI DSS的要求，但我強(qiáng)烈建議通過SSL來傳輸數(shù)據(jù)，甚至把數(shù)據(jù)傳輸限制在企業(yè)自己的私有網(wǎng)絡(luò)中。這樣做確保了數(shù)據(jù)不會被盜竊和篡改，而且不會增加太多（如果有的話）的復(fù)雜性，又能真正有利于維護(hù)數(shù)據(jù)的完整性。.

下一步（同時，甚至更好的）的措施是給應(yīng)用和網(wǎng)絡(luò)建立記錄和審計，這樣當(dāng)數(shù)據(jù)改變時，企業(yè)能夠知道誰在訪問它的數(shù)據(jù)。而且，可能更重要的是，獲悉數(shù)據(jù)的去向。這應(yīng)該包括一些網(wǎng)絡(luò)分析的能力。雖然記錄和審計不是PCI DSS標(biāo)準(zhǔn)的一部分，但如果所有的數(shù)據(jù)都加了密，那它們就變得必要了。此外，記錄和審計還能提供額外的好處，那就是能很快確發(fā)現(xiàn)敏感數(shù)據(jù)是否被傳輸?shù)骄W(wǎng)絡(luò)上陌生的或不同的路徑——這很可能是潛藏著的破壞正在進(jìn)行中。最近出現(xiàn)的Heartland 支付系統(tǒng)公司被入侵的事件警示我們，如果有這種記錄和審計技術(shù)，很可能將更早的發(fā)現(xiàn)問題，從而避免公司出現(xiàn)更嚴(yán)重的后果。

類似地，通過建立安全系統(tǒng)和應(yīng)用程序并對其進(jìn)行維護(hù)，你可以有一個更高的舒適度：這些系統(tǒng)中的數(shù)據(jù)在你的控制下，只有那些具有授權(quán)的、合法的訪問操作才能夠改變它。

通過遵循這些步驟（加密、日志、審計、安全的應(yīng)用程序等），你不但符合PCI DSS法案，而且還符合了其他規(guī)則，如薩班斯法案（SOX），這將是一個額外的好處。

至于其他的建議，可以參考網(wǎng)上很多更詳細(xì)的PCI DSS描述，包括PCI DSS的一般資料的例子、建立一個優(yōu)先遵循PCI DSS方法、適用于無線網(wǎng)絡(luò)的PCI DSS法案的指導(dǎo)方針、理解PCI DSS要求的意圖等。這會讓你清楚的知道從哪里開始處理數(shù)據(jù)的完整性，以及怎樣進(jìn)一步的對數(shù)據(jù)完整性進(jìn)行處理。

【編輯推薦】

1. 快錢完成atsec針對PCI DSS合規(guī)性評估
2. 卡巴斯基實(shí)驗室的數(shù)據(jù)完整性保護(hù)技術(shù)獲得美國專利
3. 虛擬環(huán)境的安全威脅已由理論變?yōu)楝F(xiàn)實(shí)