隨著多起數(shù)據(jù)違規(guī)案例的發(fā)生，在零售業(yè)網(wǎng)絡(luò)出臺(tái)了支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS：Payment Card Industry Data Security Standard )這樣的法案，規(guī)范并提高網(wǎng)絡(luò)的整體安全性。由于零售行業(yè)所收集數(shù)據(jù)的敏感性，如今仍然被當(dāng)作網(wǎng)絡(luò)威脅的首選目標(biāo)。

保障PCI DSS的合規(guī)性已經(jīng)成為零售行業(yè)的CIO與CISO規(guī)劃網(wǎng)絡(luò)與安全中的重中之重，因其也直接影響著業(yè)務(wù)運(yùn)行、支付與交易、以及公司網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)。此外，無線技術(shù)的推動(dòng)下移動(dòng)設(shè)備用戶端應(yīng)用交互性，對PCI DSS的合規(guī)帶來的更多的挑戰(zhàn)。

無線網(wǎng)絡(luò)對零售業(yè)環(huán)境的影響

網(wǎng)絡(luò)無線化最近幾年已經(jīng)成為零售行業(yè)網(wǎng)絡(luò)發(fā)展中不可或缺的一部分;與此同時(shí)，隨著智能手機(jī)和平板電腦采用，零售商希望通過在店鋪或周圍地區(qū)部署無線網(wǎng)絡(luò)，創(chuàng)建友好的網(wǎng)絡(luò)環(huán)境，增加消費(fèi)者的參與度，提升店鋪的品牌。為了使店鋪在無線網(wǎng)絡(luò)的提供更有競爭力，零售商必須滿足以下的業(yè)務(wù)需求：

用戶與員工無線訪問的安全性

幾年之前，零售商已開始尋求增加用戶訪問其店鋪應(yīng)用程序以及店內(nèi)員工內(nèi)部訪問的方法。此外，許多零售商也鼓勵(lì)員工與消費(fèi)者之間通過平板或智能終端來加強(qiáng)互動(dòng)，例如瀏覽產(chǎn)品、約見咨詢、甚至作為銷售點(diǎn)(POS)終端。零售行業(yè)利用這樣新的互聯(lián)網(wǎng)接入方式的例子比比皆是。其中一家是服裝生產(chǎn)商Guess Inc公司，該公司允許客戶在店內(nèi)訪問到無線網(wǎng)絡(luò)，并鼓勵(lì)顧客與店內(nèi)的社交媒體的互動(dòng)，提升消費(fèi)者參與度與體驗(yàn)感。

這種環(huán)境下，最顯要的安全關(guān)注在于確保支付信息與其他終端用戶數(shù)據(jù)與一般的互聯(lián)網(wǎng)流量不同，保持其傳輸?shù)莫?dú)立與安全性。這需要各種技術(shù)，包括加密，基于用戶使用設(shè)備與用戶的顆粒度策略的執(zhí)行、無線流量管理/流量整形，保證支付網(wǎng)絡(luò)只有特定用戶和設(shè)備可訪問，支付數(shù)據(jù)始終是重中之重。

強(qiáng)化的無線數(shù)據(jù)分析能力

許多零售商還擴(kuò)展使用所收集的消費(fèi)者與購買信息數(shù)據(jù)分析的能力。這個(gè)數(shù)據(jù)信息是多種多樣的，且是高度個(gè)人化，包括購物時(shí)間、所購商品、所瀏覽過的商品以及最終購買的商品信息，這些信息都可以從無線網(wǎng)絡(luò)收集并在不同的零售店中共享。

零售商所收集的消費(fèi)者和及其購買習(xí)慣的信息分析均被大多數(shù)消費(fèi)者視為保密信息。雖然大多數(shù)法規(guī)還沒有對這樣的數(shù)據(jù)分析做出約束，但一些國家圍繞隱私與信息收集是有具體的法律法規(guī)的。任何零售收據(jù)與數(shù)據(jù)分析的泄漏都會(huì)帶來對零售商品牌信任的坍塌。

社交媒體與移動(dòng)應(yīng)用接入的穩(wěn)定性

零售商利用社交媒體與應(yīng)用程序增加并鼓勵(lì)消費(fèi)者與商家的互動(dòng)的同時(shí)也增加了第三方惡意軟件傳播機(jī)會(huì)的風(fēng)險(xiǎn)。保護(hù)店內(nèi)網(wǎng)絡(luò)免受惡意軟件和其他應(yīng)用程序的威脅，成為商店的責(zé)任，通過店內(nèi)的無線連接，導(dǎo)致數(shù)據(jù)被竊取，這對任何零售商來講都是一個(gè)公共關(guān)系的噩夢。

所有這些新的要求，都在增加網(wǎng)絡(luò)的復(fù)雜性，符合PCI DSS比以往任何時(shí)候都更加困難。保證無線網(wǎng)絡(luò)性能穩(wěn)定的同時(shí)對安全的考量也必不可少，這樣才能既保持優(yōu)良的競爭力同時(shí)對法律法規(guī)的合規(guī)性。#p#

保持無線網(wǎng)絡(luò)的PCI DSS的合規(guī)性

PCI DSS對于零售網(wǎng)絡(luò)已成為為核心的監(jiān)管要求，法規(guī)的理解以及PCI DSS如何定義敏感信息非常重要。 PCI DSS是一個(gè)全球性的安全標(biāo)準(zhǔn)，由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)提供，要求任何接受Visa、MasterCard或美國運(yùn)通這樣的借記卡與信用卡發(fā)放的機(jī)構(gòu)均要進(jìn)行合規(guī)認(rèn)證支持。PCI DSS對安全管理、策略與流程、網(wǎng)絡(luò)架構(gòu)與軟件設(shè)計(jì)以及其他針對數(shù)據(jù)的保護(hù)措施進(jìn)行了約束。

PCI因持卡人數(shù)據(jù)泄露事件的影響而不斷的修改的要求，從而應(yīng)對不斷變化的威脅形式。PCI DSS 對有線和無線網(wǎng)絡(luò)都有約束，但是無線網(wǎng)絡(luò)在應(yīng)對其合規(guī)性上呈現(xiàn)了許多挑戰(zhàn)。PCI DSS的主要好處之一是已經(jīng)迫使許多零售商考慮對所有包含數(shù)據(jù)的各種系統(tǒng)進(jìn)行保護(hù)。無論是信用卡信息庫，詳細(xì)的客戶信息，或公司擁有自主知識(shí)產(chǎn)權(quán)，PCI DSS要求一個(gè)升級(jí)系統(tǒng)與流程來判定數(shù)據(jù)是在良好的被保護(hù)狀態(tài)。

表1所示為關(guān)鍵的PCI DSS控制目標(biāo)與對應(yīng)的安全要求

無線環(huán)境中PCI合規(guī)的關(guān)鍵挑戰(zhàn)

無線網(wǎng)絡(luò)在滿足諸如PCI DSS要求時(shí)呈現(xiàn)了特有的挑戰(zhàn)。零售商必須認(rèn)識(shí)到有線與無線網(wǎng)絡(luò)的差異化并對承載持卡人數(shù)據(jù)的網(wǎng)絡(luò)進(jìn)行網(wǎng)段的分隔與安全性進(jìn)行特殊處理。

圖1所示為顯得零售網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備部署的復(fù)雜性

#p#

記錄有線與無線網(wǎng)絡(luò)全部的流量日志以應(yīng)對潛在的攻擊

PCI DSS規(guī)定需要定期監(jiān)測未授權(quán)或非法接入設(shè)備，以保持優(yōu)良的持卡人數(shù)據(jù)環(huán)境(CDE：Cardholder Data Environment)的安全性。這意味所有存在CDE環(huán)境的網(wǎng)絡(luò)必須對非法接入進(jìn)行檢測并采取相應(yīng)的措施。由于分離的信任和非信任網(wǎng)絡(luò)運(yùn)行安全的零售業(yè)務(wù)是至關(guān)重要的， WLAN安全技術(shù)可以檢測并禁止未經(jīng)授權(quán)的無線設(shè)備連接到CDE成為必需。

非法接入點(diǎn)進(jìn)入CDE環(huán)境的方式包括以下幾種：

◆使用訪問點(diǎn)在物理建筑之外抓取未受保護(hù)的量

◆在一個(gè)文件、應(yīng)用服務(wù)器、筆記本、打印機(jī)或其他設(shè)備中器中插入WLAN卡

◆在網(wǎng)絡(luò)中放置未知的WLAN路由器

零售商需要一個(gè)成熟穩(wěn)定的安全平臺(tái)，以檢測任何網(wǎng)絡(luò)覆蓋點(diǎn)的惡意接入點(diǎn)以及功能能夠分析跨越有線和無線網(wǎng)絡(luò)的攻擊。這樣的配置實(shí)現(xiàn)起來有兩種方法：配置獨(dú)立的有線和無線系統(tǒng)具有相同的策略，或者使用集成的LAN / WLAN安全系統(tǒng)。

保證無線授權(quán)與加密的并用

PCI DSS規(guī)定使用嚴(yán)格的無線授權(quán)與加密，確保支付卡數(shù)據(jù)以加密格式傳輸。同時(shí)要求組織機(jī)構(gòu)要避免使用WEP這樣較弱的加密標(biāo)準(zhǔn)。 在無線與有線網(wǎng)絡(luò)架構(gòu)中采用適當(dāng)?shù)氖跈?quán)與加密標(biāo)準(zhǔn)也成為公司機(jī)構(gòu)需要考慮的因素，那么在網(wǎng)絡(luò)中部署的設(shè)備不僅要支持廣泛的授權(quán)選項(xiàng)，且對一些應(yīng)用采用恰當(dāng)?shù)募用軜?biāo)準(zhǔn)。

在整體網(wǎng)絡(luò)執(zhí)行無線使用策略

PCI DSS規(guī)定需要配置可接受的使用率策略，包括記錄無線設(shè)備使用率的情況。對于零售行業(yè)需要清楚了解網(wǎng)絡(luò)環(huán)境中無線網(wǎng)絡(luò)的使用情況，以及如何部署安全的無線網(wǎng)絡(luò)。關(guān)于PCI DSS的此項(xiàng)規(guī)定的另一方面是對員工如何以及應(yīng)用使用授權(quán)的無線設(shè)備。只是遵守此項(xiàng)規(guī)定并不夠，重要的是需要采取技術(shù)手段執(zhí)行相應(yīng)的無線使用率策略來防止敏感數(shù)據(jù)的丟失。

無線網(wǎng)絡(luò)的流量細(xì)分

只要無線網(wǎng)絡(luò)作為整理網(wǎng)絡(luò)的一部分且處理持卡人數(shù)據(jù)信息，根據(jù)PCI DSS法案規(guī)定，防火墻就應(yīng)對有線與無線流量進(jìn)行分流;當(dāng)前零售行業(yè)網(wǎng)絡(luò)發(fā)展趨勢的是用戶訪問的激增，那么網(wǎng)絡(luò)分流就面臨著挑戰(zhàn)，應(yīng)對這樣的挑戰(zhàn)，首先網(wǎng)絡(luò)部署必需具備識(shí)別數(shù)據(jù)、應(yīng)用與流量的能力。

Fortinet 零售行業(yè)PCI DSS合規(guī)解決方案

乍看之下需要滿足的安全目標(biāo)與規(guī)定是如此之多，如果零售公司針對每項(xiàng)安全目標(biāo)采取單獨(dú)的解決方案，如此部署，不僅網(wǎng)絡(luò)性能可能成為瓶頸，整體的安全防御也不一定能夠保證，且費(fèi)用不菲。

Fortinet所提供的整體網(wǎng)絡(luò)解決方案，不僅可以保障有線與無線網(wǎng)絡(luò)的安全，同時(shí)符合PCI DSS的合規(guī)性，且具有較低的部署成本。

圖2：Fortinet綜合無線接入與安全解決方案

全方位的防御體系

Fortinet的統(tǒng)一威脅管理安全平臺(tái)FortiGate設(shè)備集網(wǎng)絡(luò)安全最先進(jìn)的技術(shù)可對任何分布式的網(wǎng)絡(luò)提供安全保護(hù)。同時(shí)FortiGate設(shè)備的部署也使網(wǎng)絡(luò)管理員根據(jù)其動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境自由部署與配置安全功能實(shí)現(xiàn)安全防御的能力。 Fortinet的解決方案不僅將網(wǎng)絡(luò)的復(fù)雜性減少到最小，且對無線網(wǎng)絡(luò)具有例如下一代防火墻功能、IPS以及數(shù)據(jù)防泄漏(DLP)功能;所述這些功能之前只有線網(wǎng)絡(luò)架構(gòu)才可以具有的。

設(shè)備與流量的可見性與可控性

如果無線網(wǎng)絡(luò)要求處于網(wǎng)絡(luò)中的連接設(shè)備配置相應(yīng)的訪問策略。零售企業(yè)無法預(yù)估訪問網(wǎng)絡(luò)的所有設(shè)備，以及區(qū)分員工與消費(fèi)者攜帶設(shè)備的訪問。

Fortinet的解決方識(shí)別訪問網(wǎng)絡(luò)的設(shè)備類型例如iPhone，iPad，Android設(shè)備，筆記本電腦等配置執(zhí)行顆粒度的策略。且無線接入檢測技術(shù)可準(zhǔn)確檢測所有的網(wǎng)絡(luò)接入設(shè)備，并掃描和抑制惡意接入點(diǎn)，嚴(yán)格的執(zhí)行PCI DSS法規(guī)。

端到端安全策略與控制

Fortinet的解決方案允許零售企業(yè)對所有訪問點(diǎn)、安全設(shè)備與交換設(shè)備提供單一的策略，簡化了安全管理流程的同時(shí)保證了整個(gè)網(wǎng)絡(luò)中不存在安全控制的空隙。

持續(xù)的威脅防御

在網(wǎng)絡(luò)中攻擊無孔不入、且還在不斷進(jìn)化，如何使部署網(wǎng)絡(luò)安全能夠不斷防御進(jìn)化的威脅，也是必須考慮的因素。FortiGuard網(wǎng)絡(luò)有分布在全球范圍的數(shù)據(jù)中心組成，能夠?qū)崟r(shí)檢測最新的網(wǎng)絡(luò)威脅并推送在Fortinet安全設(shè)備平臺(tái)，從而保護(hù)用戶的資產(chǎn)與信息。

FortiGuard安全團(tuán)隊(duì)由200多名安全專家組成，檢測最新威脅、收集攻擊特征的同時(shí)開發(fā)新的攻擊過濾技術(shù)。創(chuàng)建特征不僅是針對一些具體的漏洞，且防御潛在的攻擊置換組合，保護(hù)用戶免于零日攻擊。 Fortinet的安全過濾技術(shù)多種多樣，包括流量異常檢測、基于漏洞的過濾與簽名等等。特征更新是定時(shí)提供到用戶的，一天兩次IPS特征更新、四次病毒更新、以及垃圾郵件與網(wǎng)頁過濾的實(shí)時(shí)更新。

Fortinet的安全部署是全面與整合的，從無線AP到無線控制器、POE交換機(jī)，從端到端，從無線到有線網(wǎng)絡(luò)架構(gòu)均可共享同一套安全策略，對于整個(gè)網(wǎng)絡(luò)而言，保證了統(tǒng)一且持續(xù)的防御。

集成集中式認(rèn)證體系

具有單點(diǎn)登錄功能與策略執(zhí)行的集成化，集中化的認(rèn)證對于保證在零售網(wǎng)絡(luò)系統(tǒng)中到特定系統(tǒng)訪問的安全性至關(guān)重要。零售網(wǎng)絡(luò)管理員負(fù)責(zé)的系統(tǒng)管理可能是從核心的網(wǎng)絡(luò)延伸到數(shù)千個(gè)支系統(tǒng)的工作，分支系統(tǒng)中員工與設(shè)備需要對總部網(wǎng)絡(luò)以及后臺(tái)系統(tǒng)進(jìn)行訪問，F(xiàn)ortiAuthenticator 是將現(xiàn)有的目錄系統(tǒng)有效的集成后，提供無縫的訪問身份確認(rèn)與訪問控制。

管理員可能是負(fù)責(zé)系統(tǒng)延伸出從核心網(wǎng)絡(luò)的千分支行，需要一致的，安全的訪問這些系統(tǒng)。即使在分支機(jī)構(gòu)，員工和設(shè)備將需要訪問到各種各樣的企業(yè)，后端系統(tǒng)。 FortiAuthenticator提供一個(gè)安全的系統(tǒng)，與現(xiàn)有的目錄系統(tǒng)緊密集成，允許無縫身份和訪問控制的快速部署。

集成的無線控制器降低了部署復(fù)雜性以及費(fèi)用

Fortinet在無線接入與安全方面提供了完整產(chǎn)品選擇與解決方案，其中最重要的方面是集成的無線控制器。每一款FortiGate設(shè)備均可作為無線控制器管理多個(gè)瘦AP，而FortiGate設(shè)備本身是一個(gè)網(wǎng)絡(luò)安全的平臺(tái)，可提供覆蓋7層網(wǎng)絡(luò)安全的綜合網(wǎng)關(guān)設(shè)備;這樣作為無線控制器的同時(shí)，對無線網(wǎng)絡(luò)一并提供了與有線網(wǎng)絡(luò)同等的安全防護(hù)，這是Fortinet無線解決方案獨(dú)樹一幟的地方，也是區(qū)別于競爭對手最大的優(yōu)勢。另外，非法AP檢測與抑制也可以在FortiGate設(shè)備配置。

圖3：FortiGate設(shè)備與FortiAP聯(lián)動(dòng)進(jìn)行非法AP檢測與抑制

隨著互聯(lián)網(wǎng)的不斷發(fā)展，如今零售行業(yè)的網(wǎng)絡(luò)面臨著新的機(jī)遇與挑戰(zhàn)，建立高效的網(wǎng)絡(luò)與應(yīng)用吸引更多的消費(fèi)者，保持同行業(yè)的競爭力，同時(shí)保證用戶信息這些敏感數(shù)據(jù)的安全。PCI DSS的核心在于設(shè)置了保護(hù)諸如持卡人數(shù)據(jù)這樣敏感數(shù)據(jù)的機(jī)制與要求，防止這些數(shù)據(jù)的故意或意外的損失。 Fortinet的無限解決方案涵蓋了從接入層到訪問應(yīng)用層的范疇，將有線與無線網(wǎng)絡(luò)集成統(tǒng)一管理，滿足PCI DSS合規(guī)性，讓零售行業(yè)可以專注于的業(yè)務(wù)處理。