OPSWAT 如何通过文件安全功能助力实现 PCI DSS 合规性

要求 5、6 和 11 是文件安全对合规性影响最直接的方面。这些方面也是金融服务环境中出现覆盖缺口最多的地方。

要求 5 规定，各组织必须部署并维护全面的反恶意软件解决方案，以在 CDE 内的所有系统中预防、检测和处理恶意软件。这包括建立有效且及时更新的防御机制、进行实时或定期扫描，以及实施反网络钓鱼机制。其范围涵盖 Web 和电子邮件网关、云存储、终端设备以及可移动存储介质。

OPSWAT 如何OPSWAT 保护系统和网络免受恶意Software侵害

OPSWAT Metascan™Multiscanning技术利用 30 多个商用反恶意软件引擎，以极高的准确率检测已知恶意软件；而Deep CDR™ 技术则通过将文件重建为安全且可用的格式，主动消除零日威胁和嵌入式威胁。

• MetaDefender 可在所有主要文件接收渠道上提供多层深度内容检查。

• MetaDefender 高级沙箱技术能够发现基于签名检测无法察觉的隐蔽型或无文件恶意软件。

• MetaDefender 和MetaDefender 能在USB 设备插入的瞬间确保USB 。

• MetaDefender Security™能在邮件送达前拦截钓鱼附件和可疑内容。

• MetaDefender ICAP 会扫描 HTTP/S 流量，在恶意文件到达内部系统之前，对其进行检测并予以拦截

• My Central Management可对整个部署范围内的日志记录、引擎更新和合规性可见性进行集中管理。

要求 6 确保 CDE 内的所有系统和软件在其整个生命周期内均得到安全开发、维护和保护。 PCI DSS 4.0.1 侧重于两个目标：防止安全漏洞被利用，以及降低由自定义或第三方软件引入的风险。要求 6.3.2 特别要求维护这些组件的清单，以进行漏洞管理。这意味着要及时应用补丁、采用安全的Software 生命周期（SDLC）实践，并维护安全的代码仓库。

OPSWAT 如何OPSWAT Secure 和Software 开发与维护

MetaDefender 通过对软件组件和文件包在投入生产前进行深度可视化分析，MetaDefender 要求 6。

• 多引擎文件漏洞评估功能可检测二进制文件、安装程序及依赖项中已知的 CVE（通用漏洞与暴露）条目，从而确保只有经过安全评估的组件才能进入运行环境。

• MetaDefender Core MetaDefender ICAP Server Web 应用程序文件的安全，并对来自外部或不可信来源的内容进行流量检查。

• MetaDefender Software 通过分析第三方库、扫描代码工件以查找恶意或存在漏洞的元素，并生成 SBOM（Software 物料Software ）输出，从而增强开发工作流，提高依赖项的透明度。

文件安全是要求5、6和11的核心内容，MetaDefender覆盖范围还延伸到了该标准的其他几个领域。以下是它的具体贡献。

要求 1 规定必须建立并维护网络安全控制措施，包括防火墙、路由器和边界防护设备，以保障 CDE 的安全。这包括实施网络分段、配置策略以及记录数据流。

物理访问控制在网络层保障了边界安全，但文件在内容层上不断穿越该边界，MetaDefender控制措施正是在这一层发挥作用。

OPSWAT 如何OPSWAT 维护网络安全控制措施

OPSWAT 通过在网络各关键控制点添加基于内容的威胁防护功能，对要求 1OPSWAT 。

• MetaDefender 对通过电子邮件、网络、存储、可移动介质和终端渠道传输的文件进行检查、清理和验证，即使在网络控制允许该流量通过的情况下，也能在内容层降低风险。

• MetascanMultiscanning、Deep CDR™ 技术以及Proactive DLP 协同工作，防止恶意内容进入或在分段环境中传播。

要求 2 确保所有系统组件（包括服务器、应用程序和网络设备）均经过安全配置并得到一致维护。这包括删除不必要的服务、执行加固标准，以及验证系统在长期运行中始终符合这些配置要求。

OPSWAT 如何OPSWAT 系统组件Secure

MetaDefender 通过在文件、软件包和安装程序进入生产系统之前对其进行扫描，以检测恶意软件和已知漏洞，MetaDefender 这一要求。它确保只有安全且经过验证的组件才能在不同信任级别的环境之间流转。

• MetaDefender Endpoint 补丁管理和安全状态验证，而

• MetaDefender Software Supply Chain 第三方和开源组件中的漏洞。要求 8：识别用户并验证对系统组件的访问权限

要求 8 规定，必须采用唯一的用户标识和强认证控制措施（包括多因素认证（MFA）），以确保对 CDE 内系统的访问安全。该要求规范了密码标准、账户管理、身份验证以及防范凭证盗窃的措施。

OPSWAT 如何OPSWAT 用户身份识别和访问认证

MetaDefender 通过将MetaDefender 外部 IAM（身份和访问管理）提供商（如 Active Directory 和 SSO（单点登录）平台）集成MetaDefender 要求 8，从而实现强身份验证和安全的行政访问。

• 控制台登录受 HTTPS 保护，而My OPSWAT Central Management 本地管理员账户的身份验证策略。

• Proactive DLP 还能在扫描的文件中检测到暴露的凭据。

要求 9 侧重于对存储或处理持卡人数据的系统、设备和介质实施严格的物理安全保护。其中包括限制物理访问、管理访客、追踪敏感介质，以及确保以物理形式存在的持卡人数据得到安全处理和销毁等控制措施。

可移动存储介质是少数几种能够同时绕过网络分段和传统边界控制的物理攻击途径之一。这正是“要求 9”与MetaDefender 的具体交汇点。

OPSWAT 如何 OPSWAT 保障持卡人数据的Secure

对网络的物理访问并不需要网络连接。可移动存储介质是支付环境中（包括物理隔离系统）最直接的物理攻击途径之一。

• MetaDefender Kiosk MetaDefender Endpoint 文件进入或离开安全网络之前对USB Endpoint 和清理，从而防止恶意软件通过物理介质传播。

• My OPSWAT Central Management ”中的集中式策略控制Central Management 的一致执行。物理访问控制本身仍由组织负责，但MetaDefender 物理边界处MetaDefender 文件层的安全。

要求 10 规定，必须实施全面的日志记录和监控，以追踪所有对系统、持卡人数据以及与安全相关的事件的访问。完整的审计日志有助于进行取证分析、明确用户责任，并快速检测可疑活动。

OPSWAT 如何OPSWAT 持卡人数据环境中的日志记录和监控

MetaDefender 通过在其各模块中生成关于恶意软件扫描活动、管理操作、威胁检测以及引擎更新的详细日志，MetaDefender 要求 10。

• My OPSWAT Central Management 这些信息Central Management ，并与 SIEM（安全信息和事件管理）平台集成，以实现更广泛的相关性分析及长期数据保留。

• MetaDefender 取代操作系统级或网络级的日志记录系统，但它能够为整个部署环境中的基于文件的威胁以及MetaDefender 提供可靠的可视化监控。