Mike Chapple, CISSP，University of Notre Dame的IT安全專家。他曾擔任國家安全局和美國空軍的信息安全研究員。Mike經常為SearchSecurity.com撰稿，是《信息安全》雜志的技術編輯。

據安全供應商Sourcefire稱，91%的攻擊者都是通過Java進入網絡，并且Java可能牽連主要服務，例如Microsoft Office、Adobe Reader等。特別是Adobe的軟件，在過去幾年被黑客大量濫用，針對它的攻擊數量遙遙領先。從合規的角度來看，如果企業不從其環境移除Java或者至少鎖定它，企業是否面臨違反HIPAA和PCI DSS等問題?

Mike Chapple：對于試圖破壞企業系統和網絡安全性的攻擊者來說，Java的確是第一選擇。一直以來，該平臺都有需要修補的安全漏洞，世界各地的信息安全企業都知道安裝Java補丁是一個噩夢。通常情況下，企業需要安裝Java安全更新來避免威脅，但如果企業選擇更新的話，關鍵應用程序將停止運行。

從合規的角度來看，并沒有具體規定要從環境移除Java。然而，我們面臨的挑戰是，大多數法規要求企業在合理時間內部署供應商提供的安全補丁。這也給安全管理員帶來進退兩難的局面：運行有漏洞不合規版本的Java，還是升級和中斷應用程序。這并不是一個容易的決策。

如果你能夠從環境移除Java，這一定會為你節省的一些麻煩。如果這不可能實現的話，另一種辦法是補償控制。例如，PCI DSS允許你記錄不能遵守該標準的情況，并部署采用額外的安全機制的補償控制來填補這個空白。你將需要證明這種補償控制是足夠的，但這是可以實現的。

如果Java更新是不可能的，你可以嘗試隔離它。而虛擬化Java應用程序或在鎖定的機器(不太可能暴露Java)運行它也許可以作為另一種選擇。另外，可能有辦法從需要Java的業務流程移除持卡人數據，并將該應用程序拖出持卡人環境的范圍。在這種情況下，筆者建議在投資于技術和設計工作之前，與QSA坐下來好好談談一些場景。