最近美國國會聽證會正在積極討論pci dss如何幫助行業發展的議題,眾多業內專家都對pci表示不滿,並認為這種沒實際作用的標準應該取消。
筆者認為這些業內專家們應該沒有看pci 安全標準委員會的「lifecycle process for changes to pci dss(pci dss生命週期計畫)」,如果他們仔細看了的話,他們可能不會這樣認為了。在該計畫中,委員會為pci標準制訂了長期詳盡的戰略規劃。
通常大家都不願意投資於長期安全計畫,他們希望能夠獲得立竿見影的效果,儘管事實上他們從沒有在其設計和程式中加入安全概念。很多企業常常忽視安全問題,而只想通過部署安全裝置就能夠通過sox審計員的審核。
在生命週期計畫中,pci委員會制訂了詳細的24個月的週期,主要包括五個步驟,來確保企業對pci資料安全標準逐步的、分階段的部署和使用。這五個階段主要包括:部署、反饋、反饋修改、新版本和新版本修訂。委員會還指出,他們也將為pa-dss(支付應用資料安全標準)和ped(pin輸入裝置)安全要求發布類似的改進週期。
pci生命週期計畫模仿了ross anderson的理念,anderson認為,雖然大多數基本安全技術(加密技術、軟體可靠性、防篡改、安全列印和審計等)都能夠比較好的理解,但是對於如何有效運用這些技術方面的問題大家的知識和經驗都非常有限。anderson建議採用以工程為基礎的方法來解決這個問題,而不是簡單的用安全裝置來解決這些問題。
2023年9月份發布的pci 1.1版本受到了廣泛的支援,版本1.2發布於2023年10月,中間為期兩年的時間都在進行安全更新,從這裡來看,pci仍然正在完成市場部署階段。
總體的問題在於,安全和良好的安全總是需要時間的,需要進行分析、反饋評估和理解。並且,完成這些步驟後,企業需要再次重複一遍,因為威脅和漏洞都是動態的,總是隨著時間的推移不斷發生變化。
pci dss的妙處在於它擁有很聰明的概念,包括公開正式反饋過程、趨勢分析、影響評價、知道和很多嵌入的結構標準。pci花費了很長的整體的方法來試**決問題。
事實上,在沒有界定「有效執行」概念之前,我們無法回答關於pci是否有效的問題。最重要的是要記住,pci是乙個長期的戰略解決方案,而不是短期的安全修復專案。
良好的安全效能需要花費時間,pci安全標準委員會認同這一點,安全專家們也同意這個觀點,難道大家還有異議?
React 生命週期 生命週期方法
生命週期 掛載 更新 解除安裝 元件被建立 執行初始化 並被掛載到dom中,完成元件的第一次渲染 constructor props getderivedstatefromprops props,state render componentdidmount 元件被建立時會首先呼叫元件的構造方法,接受...
actived生命週期 Vuejs 生命週期
每個 vue 例項在被建立時都要經過一系列的初始化過程。如需要設定資料監聽 編譯模板 將例項掛載到 dom 並在資料變化時更新 dom 等。同時在這個過程中也會執行一些叫做生命週期鉤子的函式,這給了使用者在不同階段新增自己的 的機會。乙個 vue 例項 我們建立乙個 vue 例項,並在每個階段驗證 ...
生命週期篇 一 Activity生命週期理解
乙個activity 通俗點就叫乙個介面吧 在實際使用中會有幾種狀態 1.正在顯示 處於當前螢幕最頂層 2.尚且可見,但不可用 在其他介面下面,但未被完全覆蓋 3.完全不可見 被其他介面完全覆蓋,最常見的就是切換到桌面 以上是實際使用android手機的時候最直觀的介面狀態,那麼接下來我們來 一下,...