三、维护漏洞管理计划

维护漏洞管理计划，我们前面说了安全的网络和系统的基本建设的要求，以及保护我们的持卡人数据不被攻击者窃取等，现在要说的是如果我们做的都很好了，但是任会攻击者通过某种方法攻击我们，比如新型的病毒或者漏洞，之前看过一部电影《我是谁，没有绝对安全的系统》的确，所有系统都是人搭建的，没有绝对完美的人，也没有绝对安全的系统，我们不能做好了所有的保护措施，认为攻击者不可能窃取我们的信息了。我们搭建好了符合PCI DSS要求的保护措施，也要有应对攻击可能发生的计划，也就是说漏洞的管理计划。

要求5：为所有系统提供恶意软件防护并定期更新杀毒软件或程序

说道恶意软件我想绝对所有人都被不同程度的骚扰过。我很少使用这么偏激的程度副词，绝对，那是因为网络上的恶意软件已经铺天盖地，无孔不入。有一些只是一些骗取流量的广告，还有的甚至是通过恶意软件利用你的设备进行挖矿等，编程“肉鸡”。
有些针对特东漏洞的恶意软件进入我们网络后会利用系统漏洞，进行破坏，带来很大的威胁，所以对恶意软件的定期防护和杀毒软件的更新还是很有必要的！

5.1 在经常受到恶意软件影响的所有系统（特别是个人电脑和服务器）中部署杀毒软件。

5.1

对于可能会被恶意软件入侵的系统，特别是个人电脑，服务器。我们要部署特定的杀毒软件，当然这个杀毒软件的实时更新是很有必要的，因为很多都是利用0day漏洞进行攻击，杀毒软件的实时更新极为重要，必要时需要手工测试，分析。

5.1.1 确保杀毒程序能检测、删除并阻止所有已知类型的恶意软件

5.1.1

这就是确保我们选取的杀毒软件的强大性，选择一款好的杀毒软件很重要，虽然这听着像是广告，但是功能上有盲点的杀毒软件就和有短板的水桶一样，其他东西在高，有一个短板，攻击者便可以轻松实施攻击手段。
所有我们要确保我们使用的杀毒软件能够阻止所有类型和形式的恶意软件。

5.1.2 对于通常不收恶意软件影响的系统，需要执行定西评估已确定并评估不断进化的恶意软件的威胁，从而确认这些系统是否仍不需要使用杀毒软件。

5.1.2

我们前面对那些可能遭到恶意软件入侵的系统都安全了功能强大的杀毒软件，但是那些被我们规定为不可能遭到恶意软件的系统是否会一直是安全的呢。
在我们业务变动的时候可能系统的配置会发生改变，可能会由安全变得不安全，或者恶意软件的入侵能力因为某些条件便强，使得原本不受威胁的系统现在受威胁。
上面这两个条件的发生是极为可能的，所以我们要定期对这些不受威胁的系统进行评估，确保他们仍然不受威胁。这个定期可能是一个周期，但是当业务变动导致系统配置发生变化，和恶意软件的重要进化发生时也必须进行重新评估。

5.2 确保所有杀毒软件按如下方式维护

5.2

1、保持为最新
2、执行定期扫描
3、生成检查日志（PCI DSS要求10.7规定保留）
三个维护要求，通过配置自动更新保持为最新，就是为了保证不会出现新的短板，导致服务器被恶意软件入侵；配置执行定期扫描，这个就不用说了，杀毒软件就得定期的扫描。生成检查日志呢，这个也很重要。我们可以通过日志查看到我们监控病毒或恶意软件的活动以及反恶意软件的效果。

5.3 确保杀毒机制积极运行且无法被用户禁用或更改，除非管理人员根据具体情况作出有时间限制的明确授权

5.3

我们在要求1中的最后也曾看到过类似的要求：对于一些便携式计算设备要加防火墙并使用户自己无法更改。这里也是类似的，但也有不同。
我们是针对所有可能被恶意软件入侵的系统，我们在安装了杀毒软件之后，要确保这些软件一直是处于运行，且非管理人员无法更改的状态。而且只有有合理的技术或业务需要时才能在获得管理人员的批准，并且进行了其他的安全保护措施之后才能可以暂时的一定时间的禁用杀毒软件。

5.4 确保已记录、正在使用且所有相关方了解为系统提供恶意软件防护的安全政策和操作程序

5.4

确保我们的提供恶意软件保护的这个机制有详细的文件记录，且相关人员已经进行了学习，并严格按照这个记录文件的标准进行执行。

总结

对于提供杀毒软件保护的策略我们也进行学习了，这个可能博主经历的也比较少，主要都是个人PC端的杀毒软件保护，没有正真体验过公司内部的情况，所以自己的看法也有些粗鄙。但是0day还是看过很多的。记得前不久有一个GhostScript沙箱绕过的漏洞，影响了最新版本的imagemaick，可以远程命令执行，当时很多大公司都出现了问题，包括新浪，百度贴吧，博主身边的朋友用这个POC也混了不少src的奖金。另外，就今天看到一个分享CVE-2018-3191的WebLogic的远程代码指定漏洞被灰产做成了批量攻击工具，又被捕获了一大批肉鸡。所以杀毒软件的更新是很重要的，因为我们无法避免0day的产生，所以要保证我们的响应速度最快，也得保证我们使用的杀毒软件的工具为最新的。