控制措施
參與單位應該定期,或是在有重大改變時,進行弱點掃描與滲透測試。一般說來,按照不同的區域會有不同的需求:
- 有關私有區塊鏈的核心區域或讀取元件區域主要會需要針對網路與設備進行測試
- 應用服務區域除了網路與設備外,更會針對所提供的服務進行測試
- 應用服務的開發或維護單位,則是在系統的測試環境進行測試後,才進行上線或發佈的動作。
一但發現有弱點,應該要進行修補。如果無法修補,則需要暫停有弱點的元件,或是對送到該元件的要求與該元件的回應進行過濾 (例如通過網頁應用程式防火牆)。
除對弱點進行修補外,參與單位應該要比較歷次滲透測試與弱點掃描的結果,並作為減少未來弱點發生的改善依據。
聯合決策組織應確認參與單位都有透過合格的執行者,按規定的時程執行滲透測試與弱點掃描,並且有對弱點進行修正或控制。
適用範圍:
- 私有鏈核心元件區域 (Zone 1)
- 私有鏈讀取元件區域 (Zone 2)
- 應用服務區域 (Zone 3)
- 應用服務的開發與維護單位
- 聯合決策組織
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 6.1、6.6、11.2、11.3.1、11.3.2、11.3.3、11.3.4 |
| CIS 控制 v7.1 | 3.1、3.2、3.6、15.2、20 |
| ISO/IEC 27002:2013 | 18.2.3 |