可是在通过又拍云的 HTTPS 安全检测的时候竟然出现了红色的“不合规”提示(如下图所示),很明显这不科学呀!PCI DSS 是个什么东东?为啥就不合规了呢? ? 也知道为啥不合规了,下面就给大家讲解一番: PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定 PCI DSS 的合规与否直接影响了用户的数据安全,随着早前的 SSL/TLS 的安全性降低,PCI DSS 合规标准也随之调整。 看到这里大家应该就明白了,所谓的 PCI DSS(第三方支付行业数据安全标准)“不合规”的提示,应该算是 HTTPS 安全检测 (其实就是MySSL.com)工具提前调整了 PCI DSS 合规判定标准 完成上述操作后再次检测就不会再有 PCI DSS 不合规的提示了,明月实测的时候也不知道是因为 CDN 缓存的原因还是啥原因,依然会显示 PCI DSS 不合规,不管了,反正只要是禁用了 TLSv1.0
SSL状态检测平台: https://myssl.com/ssl.html PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准 ,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。 image.png 如下为检测不合规 image.png 解决办法(此处使用的是centos7,nginx/1.16.1): vim /etc/nginx/nginx.conf 删除TLSv1 关于关闭TLSv1.0兼容性可参考: https://blog.myssl.com/pci-dss/
一键领取预热专享618元代金券,2核2G云服务器爆品秒杀低至18元!云产品首单低0.8折起,企业用户购买域名1元起…
在刚刚结束的第五届互联网安全领袖峰会(CSS 2019)云安全专场上,腾讯安全重点针对云环境下每个数据安全标准点的责任细分,围绕公有云范畴,联合艾特赛克发布《基于PCI DSS 的云用户数据安全合规白皮书 为弥补这一空白,此次腾讯安全发布的《基于PCI DSS 的云用户数据安全合规白皮书》,基于国际范围内得到最广泛认可和运用的数据安全标准PCI DSS,提出了数据安全合规建设的方法论,同时也尽可能详细地将合规要求落到实处 ,特别是“云服务提供商与云用户的PCI DSS 合规要求责任分析”,详细诠释了云服务提供商和云用户在基于PCI DSS 实施数据安全合规时,逐条阐述了各自责任和具体工作。 而《基于PCI DSS 的云用户数据安全合规白皮书》中也指出,通过云服务提供商和云用户在PCI DSS 合规过程中的详细责任分析,云用户将会清晰了解如何更好地利用云服务提供商所提供的合规产品,帮助云用户高效 此外,该白皮书内也清晰的罗列了腾讯云复合PCI DSS 标准要求的产品,云用户可通过选择合适的产品缩短PCI DSS 合规时间周期同时可降低运维复杂度和成本。
谷歌宣布,其云平台已通过支付卡行业( PCI)数据安全标准( DSS)认证。这意味着开发者们可以在谷歌的云计算平台上保存、处理和交换品牌信用卡的信用卡信息,而无需担心与现有规定冲突。 需要注意的是,现在谷歌云服务合规并不代表开发者可以一下子将所有信用卡信息存储到谷歌的服务器上。不过开发者现在确实可以用谷歌的平台来搭建自己的合规解决方案。 WePay 开发运营负责人大卫·奈伊(David Nye)在今天发布的一份声明中表示:“谷歌云平台为 WePay 处理合作伙伴交易提供了完全可扩展、高度覆盖的环境,同时配备健壮的安全功能。 谷歌云平台获得 PCI DSS 认证可以让 WePay 尽可能快地根据自身及合作伙伴业务的需求来动态扩展自己的基础设施。” 值得一提的是,微软的 Azure 云平台和亚马逊网络服务也通过了 PCI DSS 认证。
一个简单实用且免费的网优规划工具,能实现如下功能: 1、站点PCI规划; 2、站点ZC根序列规划; 3、站点TAC规划; 4、区域站点数据重规划。 工具用的巧也可做为区域性的PCI重规划,对于零星的新开站点与PCI优化还是挺实用,工具界面如下: ? PCI规划遵循模3原则,未做PCI保留功能,为避免PCI冲突与混淆,使用时“ZC/PCI复用距离”不宜给定太小,建议4-6Km(视站点覆盖场景而定)。 ZC/PCI复用距离与邻区规划距离超过10Km则以10Km进行计算。 TAC是根据PCI复用范围内站点使用的TAC占比最高那个,所以在区县交界的站点TAC规划结果可能会跨县,特别是多TAC边界。 素材需求 ?
PCI Express也有多种规格,从PCI Express x1到PCI Express x32,能满足将来一定时间内出现的低速设备和高速设备的需求。 PCIe闪存卡的供应商包括:INTEL、IBM、LSI、OCZ、三星(计划中)、SanDisk、STEC、SuperTalent和东芝(计划中)等,而针对海量的数据增长使得用户对规模更大、可扩展性更强的系统所应用 PCI Express 2.0规范的主要在数据传输速度上做出了重大升级,即从以前的2.5GT/s总线频率翻倍至5GT/s,这也就是说以前PCI Express 2.0 x16接口能够翻番达到惊人的8GB 4、PCI-E线缆子规范可让PCI设备通过标准化铜缆线接入计算机,而且每条线路的速度都能达到2.5Gbps,适用于为高端服务器加入多块网卡作为输入输出扩展模块等场合。 5、最后是代号“Geneseo”的长期规划。该技术与Intel、IBM等业界巨头合作开发,可让图形处理单元、加密处理单元等协处理器更好地与中央处理器紧密相连。
PCI总线规定使用负向译码的PCI桥,其Base Class Code寄存器为0x06,Sub Class Code寄存器为0x04,而Interface寄存器为0x01;使用正向译码方式的PCI桥的Interface 值得注意的是,PCI总线并没有规定HOST主桥使用正向还是负向译码方式接收这个存储器读写总线事务,但是绝大多数HOST主桥使用正向译码方式接收来自下游的存储器读写总线事务。 PCI规范并没有要求这些对Byte、Word进行的存储器写在一个DW的边界之内,但是建议PCI桥仅处理这种情况。本节也仅介绍在这种情况下,PCI桥的处理过程。 PCI规范允许PCI桥进行Merge操作的存储器区域必须是可预读的,而可预读的存储器区域必须支持这种Merge操作。 PCI规范仅是提出了Collapsing方式的概念,几乎没有PCI桥支持这种数据合并方式。
1995年6月1日,PCI V2.1总线规范发布,这个规范具有里程碑意义。正是这个规范使得PCI总线大规模普及,至此PCI总线完成了对(E)ISA和MCA总线的替换。 PC Card规范基于32位,33MHz的PCI总线;而ExpressCard规范基于PCI Express和USB 2.0。这两个规范都在Laptop领域中获得了成功。 除了以上规范之外,PCISIG还推出了一系列和PCI总线直接相关的规范。如PCI-to-PCI桥规范、PCI电源管理规范、PCI热插拔规范和CompactPCI总线规范。 PCISIG在PCI总线规范的基础上,进一步提出PCI-X规范。与PCI总线相比,PCI-X总线规范可以支持133MHz、266MHz和533MHz的总线频率,并在传送规则上做了一些改动。 PCI总线使用这种方式合理地解决了设备间的地址冲突,从而实现了“即插即用”功能。从而PCI总线不需要使用ISA或者EISA接口卡为解决地址冲突而使用的硬件跳线。
其次PCIe总线支持虚通路VC(Virtual Channel)技术,优先级不同的数据报文可以使用不同的虚通路,而每一路虚通路可以独立设置缓冲,从而相对合理地解决了数据传送过程中存在的服务质量问题。 在不同处理器系统中,RC的实现方式不同,因此仅仅用PCIe总线控制器称呼RC是不够的,实际上PCIe总线规范对RC并没有一个合适的解释。RC本身也是随处理器系统的不同而不同,是一个很模糊的概念。 因此使用PCIe总线控制器统称RC,在x86处理器体系结构中,并不合适。 在PCIe总线中,还有一些特性与PCIe总线协议的实现相关。 目前PCIe总线规范,依然在迅猛发展,但并不是所有PCIe设备都支持这些在PCIe总线的最新规范中提及的概念。 一般说来,PCIe总线规范提出的新的概念,最先在x86处理器系统的Chipset和Intel设计的EP中出现。 ?
1995年6月1日, PCI V2.1总线规范发布,这个规范具有里程碑意义。正是这个规范使得PCI总线大规模普及,至此PCI总线完成了对(E)ISA和MCA总线的替换。 PC Card规范基于32位,33MHz的PCI总线;而ExpressCard规范基于PCI Express和USB 2.0。这两个规范都在Laptop领域中获得了成功。 除了以上规范之外,PCISIG还推出了一系列和PCI总线直接相关的规范。如PCI-to-PCI桥规范、PCI电源管理规范、PCI热插拔规范和CompactPCI总线规范。 其中PCI-to-PCI桥规范最为重要,理解PCI-to-PCI桥是理解PCI体系结构的基础;而CompactPCI总线规范多用于具有背板结构的大型系统,并支持热拔插。 PCISIG在PCI总线规范的基础上,进一步提出PCI-X规范。与PCI总线相比,PCI-X总线规范可以支持133MHz、266MHz和533MHz的总线频率,并在传送规则上做了一些改动。
(3) 动态配置机制 PCI设备使用的地址可以根据需要由系统软件动态分配。PCI总线使用这种方式合理地解决了设备间的地址冲突,从而实现了“即插即用”功能。 PCI规范也没有规定如何设计HOST主桥。 在PCI总线中,还有一类特殊的设备,即桥设备。桥设备包括PCI桥、PCI-to-(E)ISA桥和PCI-to-Cardbus桥。 但是在目前已经实现的大规模处理器系统中,并没有使用PCI总线进行处理器系统与处理器系统之间的大规模互连。 该信号可以和IRDY#信号联合使用,在PCI总线事务上插入等待周期,对PCI总线的数据传送进行控制。 (4) STOP#信号 该信号有效时表示目标设备请求主设备停止当前PCI总线事务。 而处理器系统需要预先知道这个规则,以便正确处理来自不同PCI设备的中断请求,这个规则也被称为中断路由表,有关中断路由表的详细描述见后续介绍。
例如,公共云提供商可以使其平台认证合规,以用于需要满足支付卡行业数据安全标准(PCI DSS)的组织。 目前有多种工具和服务可以帮助企业满足并保持合规性。 •在合规性方面,Lacework可以监控云工作负载,以实现互联网安全中心(CIS)云计算基准定义的安全配置,以及监控包括PCI-DSS和HIPAA在内的框架的合规性。 •GDPR、PCI-DSS、HIPAA和CIS基准测试的法规遵从性监控和审核检查是该平台的一部分,具有250多项自动审核检查。 •能够通过合规性摘要随时查看趋势,直观地显示不同合规性要求的合规性。 关键价值/差异化因素: •PCI-DSS合规性模块是一个特别强大的关键差异化因素,是一个非常专注和全面的解决方案。该模块可以首先扫描所有设备,以查看PCI-DSS的范围,然后确定合规性状态。 •虽然生成报告在所有合规性解决方案中都很常见,但PCI-DSS模块更进一步,PCI执行报告可以自动发送到金融机构以记录PCI合规性。
非透明PCI桥 PCI桥规范定义了透明桥的实现规则,本篇在前篇中详细介绍了这种桥片。 通过透明桥,处理器系统可以以HOST主桥为根节点,建立一颗PCI总线树,在这个树上的PCI设备共享同一个PCI总线域上的地址空间。 但是在某些场合下PCI透明桥并不适用。 Translated Base寄存器将完成这个地址翻译过程,下节将结合实例说明这个直接地址翻译过程。 其中HOST主桥并不在PCI总线规范的约束范围内,不同的处理器可以根据需要设计出不同的HOST主桥。 本篇更加侧重介绍PowerPC处理器使用的HOST主桥,在该主桥的设计中,提出了许多新的概念,并极大促进了PCI总线的发展,在这个桥片中出现的许多新的思想被PCI V3.0总线规范采纳。
在PCI体系结构中,这些中断信号属于边带信号(Sideband Signals),PCI总线规范并没有明确规定在一个处理器系统中如何使用这些信号,因为这些信号对于PCI总线是可选信号。 但是PCI总线规范没有规定PCI设备的INTx信号如何与中断控制器的IRQ_PINx#信号相连,这为系统软件的设计带来了一定的困难,为此系统软件使用中断路由表存放PCI设备的INTx信号与中断控制器的连接关系 x86处理器系统还经常使用PCI桥进行PCI总线扩展,扩展出来的PCI总线还可能挂接一些PCI插槽,这些插槽上INTx#信号仍然需要处理。PCI桥规范并没有要求桥片传递其下PCI设备的中断请求。 但是PCI桥规范推荐使用表1-3建立下游PCI设备的INTx信号与上游PCI总线INTx信号之间的映射关系。 表1-3 PCI设备INTx#信号与PCI总线INTx#信号的映射关系 ? 但是如果系统程序员不这样做,这个驱动程序依然有Bug存在,尽管这个Bug因为各种机缘巧合,始终不能够暴露出来,而一旦这些Bug被暴露出来将难以定位。
读者的这种担心是多余的,因为PCI设备在配置寄存器没有初始化完毕之前,即E2PROM中的内容没有导入PCI设备的配置空间之前,可以使用PCI总线规定的“Retry”周期使HOST主桥在合适的时机重新发起配置读写请求 这两个寄存器存放所有这些PCI设备使用的,存储器地址空间集合的基地址和大小,PCI桥规定这个空间的大小至少为1MB。 当PCI总线接收到Type 01配置请求时,将寻找合适的PCI桥[4]接收这个配置信息。 ,并采用以下规则进行递归处理。 非透明PCI桥 PCI桥规范定义了透明桥的实现规则,本篇在第2.3.1节中详细介绍了这种桥片。
biosdevname biosdevname 命名规范 设备 旧名称 新名称 示例 内嵌网络接口(LOM) eth[0123…] em[1234…][a] em1 PCI 卡网络接口 eth[0123 第3号PCI扩展卡的0号端口 系统默认命名规则 默认情况下,systemd 会使用以下策略,采用支持的命名方案为接口命名: 方案 1:如果固件或 BIOS 信息适用且可用,则使用整合了为板载设备提供索引号的固件或 方案 2:如果固件或 BIOS 信息适用且可用,则使用整合了为 PCI 快速热插拔插槽提供索引号的固件或 BIOS 名称(例如 ens1),否则请使用方案 3。 方案 3:如果硬件连接器物理位置信息可用,则使用整合了该信息的名称(例如:enp2s0),否则请使用方案 5。 如果用户已添加 udev 规则,该规则会更改内核设备名称,则会优先使用这些规则。
其中Byte 4~Byte 15的格式与TLP相关,下文将结合具体的TLP介绍这些字段。 PCIe总线规范还定义了MRdLk报文,该报文的主要作用是与PCI总线的锁操作相兼容,但是PCIe总线规范并不建议用户使用这种功能,因为使用这种功能将极大影响PCIe总线的数据传送效率。 Relaxed Ordering最早在PCI-X总线规范中提出,用来提高PCI-X总线的数据传送效率;而ID-based Ordering由PCIe V2.1总线规范提出。 TLP的发送端可以使用TPH信息,通知接收端即将访问数据的特性,以便接收端合理地预读和管理数据,TPH的详细介绍见后续几篇。 对这个字段有兴趣的读者可以参考Address Translation Sevices规范,这个规范是PCI的IO Virtualization规范的重要组成部分。
一、背景 SR-IOV(Single Root I/O Virtualization)是由PCI-SIG组织定义的PCIe规范的扩展规范《Single Root I/O Virtualization and Sharing Specification》,目的是通过提供一种标准规范,为VM(虚拟机)提供独立的内存空间、中断、DMA数据流,当前最新版本为1.1。 图2.1.1 PF用于支持 SR-IOV 功能的 PCI 功能,如 SR-IOV 规范中定义,PF 包含 SR-IOV 功能配置结构体,用于管理 SR-IOV 功能。 驱动需要实现相应的PCIe Device的业务功能(例如NIC或GPU),VFIO中的vfio-pic是一个简易符合VFIO框架PCIe驱动。 ) 为虚拟机创建虚拟PCIe设备 为虚拟机创建虚拟PCIe设备,虚拟PCIe设备的寄存器规划和DMA信息是物理PCIe设备在虚拟机中的映射。
PCI总线的信号定义 PCI总线是一条共享总线,在一条PCI总线上可以挂接多个PCI设备。 该信号可以和IRDY#信号联合使用,在PCI总线事务上插入等待周期,对PCI总线的数据传送进行控制。 (4) STOP#信号 该信号有效时表示目标设备请求主设备停止当前PCI总线事务。 PCI总线规范根据设备进行译码速度的快慢,将PCI设备分为快速、中速和慢速三种设备。 PCI总线规定单功能设备只能使用INTA#信号,而多功能设备才能使用INTB#/C#/D#信号。PCI设备的这些中断请求信号可以通过某种规则进行线与,之后与中断控制器的中断请求信号线相连。 而处理器系统需要预先知道这个规则,以便正确处理来自不同PCI设备的中断请求,这个规则也被称为中断路由表,有关中断路由表的详细描述见第1.4.2节。
腾讯云等保合规服务联合各地等保测评中心,为您提供本地化、系统化、专业的等保测评服务;另外,腾讯云完备的安全合作生态,为您提供一站式的等保合规建设和测评服务,帮助您快速满足国家实行的网络安全等级保护制度。
扫码关注云+社区
领取腾讯云代金券