【TechTarget中国原创】PCI DSS第十一条规则：定期测试安全系统和程序。
 
　　很多企业很少或者没有对管理他们的网络和面向互联网的Web网站应用的安全控件进行定期测试。没有定期运行内部和外部网络扫描来确认漏洞在后门向黑客和恶意代码开放大门的时候就会付出很大的代价。企业可能会在某些时间受到保护，但是新的漏洞每天都会出现，这也是为什么网络应该不断地打补丁并加固。根据美国国土安全（Homeland Security）的 国家网络安全部门（National Cyber Security Division）提供的国家漏洞数据库（National Vulnerability Database）资料，互联网上每天平均会出现19个漏洞。

　　需要定期测试系统和程序的一个很好的例子是TJX Companies Inc的数据安全泄漏事件。TJX泄露事件最终归结于不安全的无线网络。根据华尔街日报的报道，调查人员认为黑客可以使用笔记本电脑和压缩天线（telescope-shaped antenna）绕过老旧的安全技术并渗透到WLAN网络。这家拥有174亿资产的零售商的无线网络的安全措施甚至低于很多家庭网络用户。在18个月中，TJX都不知道它已经受到攻击了，这种攻击可以允许恶意黑客下载至少4570万的信用卡和借记卡号码。

　　如何满足PCI第十一条规则

　　当提到扫描信息系统的漏洞的时候，确定要使用可以发现有线和无线网络上设备漏洞的工具和技术。和无线协议、弱加密方法和员工安全意识却犯相关的安全风险的数量很大。破解方法已经变得非常先进了，使用网络上的免费开源工具就可以进行。

　　对没有使用最新安全更新的系统地成功攻击的数量一直很大。除了系统补丁程序，对网络和应用安全威胁最大的保护是坚持使用可以观察网络上所有应用和设备、确认漏洞并提供修复信息的漏洞扫描器。但是，扫面企业网络的漏洞还不能表现所有问题，只能发现已经遇到的问题或者至少发现。扫描，虽然很有希望，但是可能没有必要提供真实的类似攻击的渗透测试项目所提供的功能。

　　为了了解它是否准备好了，（PCI DSS 要求并）命令企业必须每年执行信息系统的渗透测试，测量系统可承受工具的程度。这种类型的测试实际利用漏洞，更好的量化某种特殊发现的真实风险。根据零售数据安全2005基准研究（The Retail Data Security 2005 Benchmark Study）的报告，只有51%的零售商执行了网络渗透测试。令人吃惊的是，调查回应者的14%的指出他们遭受过客户数据安全泄漏。漏洞扫描可以查看已知的漏洞，但是没有解决成功入侵的因素。测试应该包括深度调查，可以显示对企业资产的真实威胁。

　　此外，当提到测试程序的时候，所有可能影响到进入和流出过滤规则的变化都应该在对防火墙、路由器、VPN和WLAN设备进行调试前，通过正式的测试程序。这些变化因为恰当的原因都应该被认真检查，而且应该管理新发现的安全风险。信息系统环境应该总是变化以帮业务达到目标；因此，所有的变化都必须不断地检查并存档。