全球范圍內，零售行業(yè)是屬于排名頭三個容易被網絡攻擊者定位為攻擊目標的行業(yè)之一，原因是幾乎全部的商戶均接受支付卡支付、相對較低的安全防御、存在不少可用的攻擊載體。移動設備與近場通信(NFC：Near Field Communication)無線技術的集合以及應用的激增，例如增強實現(xiàn)技術(augmented reality)等等這些更加劇了問題。

一些來自美國被高度曝光的發(fā)生在零售行業(yè)的網絡竊取案例包括THX、賽百味與巴諾書店。店內無線網絡、POS機系統(tǒng)與信用卡讀卡器被攻擊導致除了給這些商家?guī)淼慕洕鷵p失外，還有持信用卡支付用戶數(shù)千萬美元竊取、以及個人信息丟失。這些大規(guī)模的網絡竊取事件的發(fā)生無一昭示著零售行業(yè)需要在安全方面投入更多的注意力來保障業(yè)務的順暢。

當代零售行業(yè)安全

按照傳統(tǒng)方式來講，零售店使用基于店內的具有基礎安全功能路由器或在店內網絡的基礎上覆蓋端點保護的解決方案或一個私有的WAN使所有的流量都回到數(shù)據中心進行檢測。這些方法都存在各自的缺陷，無論在功能性方面，還是可擴展性或是成本方面。

零售行業(yè)在打造安全的分布式環(huán)境上應聚焦在以下四個主要的方面，并采取相應的措施解決其面臨的問題。

1. 訪問層。隨著移動設備的普及化，零售店將網絡訪問擴展到雇員與消費者，訪問安全是至關重要的。 通過非法訪問點檢測、認證、賓客WiFi服務以及速率限制與負載均衡來保證安全的訪問控制是非常重要的。

2.店鋪層。單店層面的安全與連接性需求包括WiFi、語音與傳統(tǒng)的網絡連接。隨著消費者接入網絡的需求越來越明顯，每個店面必須能夠提供安全的功能，例如反灰色軟件與應用控制。

3.數(shù)據的聚合之所。 所有數(shù)據的歸屬地，通常情況下這也就是零售店的總部，這里應具有核心的安全功能例如防火墻、應用控制與VPN終端。

4.管理。如果當代零售行業(yè)的特點是分布式店面不斷的擴張，那么集中管理與快速的調整各種安全設備以應變不斷的安全威脅是必需的，企業(yè)級的安全平臺既可以滿足各個店鋪的擴展需求又具有統(tǒng)一管理的安全需求是高效的部署選擇。

基于以上四個方面，零售行業(yè)的網絡安全解決方案的選擇便具有了更強的針對性，那么以下便是堅實的IT安全解決方案應包括以下幾個方面的內容：

1. 高性能網絡以滿足消費者的體驗

隨著終端與應用的不斷增長，每個店內的網絡需要具有較高的性能以滿足連續(xù)的信用卡處理與POS機的連接性將消費者的體驗與店內交互做到最大化。 高性能、低延遲的網絡性能尤其在交易數(shù)據高峰期尤為重要。

2. 店內無線LAN的深度防護

店內與消費者的交互現(xiàn)在逐漸由無線平板來充當媒介而進行，同時一些零售商正在尋求差異化服務包括無線查詢、無線電子招牌與消費者從店鋪的網站下載優(yōu)惠券或網上商品瀏覽。有線與無線網絡的安全水準必須維持在一個水平才不失為完整的安全防御。

3.到低成本的公共網絡的遷移

超便宜且速度快的帶寬連接和/或基于公網的安全的VPN的使用提供了低成本可操作的到私有WAN網絡的連接選擇。但是， 對公網的依賴會將零售店的網絡暴露在其他的安全威脅之下，這些連接的安全性非常重要，且加密的流量通過網絡安全設備時不會導致網絡性能的下降同樣也是至關重要的。

4.店內創(chuàng)新服務的采用

諸多新興技術的應用使零售店的網絡環(huán)境面臨著更多的安全防御方面。先進的消費端應用例如增強現(xiàn)實技術使消費者能夠下載應用在客戶端或者通過店鋪內的無線多平臺的瀏覽物品以及參與消費者體驗的活動，這項技術將在未來五年內普及。安全系統(tǒng)需要擴展到無數(shù)個終端，否則招致的損失的也是不可估量的。

5.PCI-DSS法案合規(guī)支持

零售行業(yè)店內的網絡必須承載的數(shù)據是信用卡的交易數(shù)據，所以PCI法案的合規(guī)性是必須需要滿足的。 安全監(jiān)控與非法接入檢測在PCI法案中是明確的要求，因此零售店的網絡與安全解決方案中必須能夠具有分析用戶與設備行為的功能。事件的日志記錄、分析與報告功能也是確保PCI法案與其他規(guī)則合規(guī)的重要功能。

零售行業(yè)在互聯(lián)網時代的競爭變得愈發(fā)的激烈，安全架構與策略的部署與定義不僅要滿足分布式店鋪與網絡環(huán)境的需要、而且需要穩(wěn)定可靠，可擴展易管理，成本可控。這樣，零售網絡既可支持多渠道操作，也可以滿足不斷創(chuàng)新性服務的使用，例如增強用戶體驗的服務等。

案例分析與Fortinet解決方案

Fortinet公司的安全解決方案可覆蓋不同的行業(yè)，滿足用戶所面臨的不同網絡與安全需求。有線到無線網絡的一體化，包括集中管理與日志與報告分析，到用戶身份驗證以及安全的訪問與交換。參加下圖：

對于當代零售行業(yè)解決方案，以國際著名化妝品企業(yè)為例，其在國內30多個城市設有200多個銷售柜臺。隨著中國國內業(yè)務的不斷發(fā)展在全國門店數(shù)量也隨之增加，原來門店交易系統(tǒng)與總部互聯(lián)采用專線的方式在店面數(shù)量的增加的情況下，相應的線路成本和管理和維護成本也隨之增加，數(shù)據的安全性、完整性、可用性也成為新的挑戰(zhàn)。

Fortinet建議采取在每個門店采用一臺適合于分布式以及分支機構的FortiWiFi設備，在總部部署一臺集中管理設備FortiManager，統(tǒng)一管理各個店面的設備?？蔁o線控制器的FortiWiFi設備，同時也是網關設備，提供堅實的網絡與安全技術，包括在總部與各零售店之間建立安全的IPsec VPN通道，代替了原來專線方式，降低了線路的成本，該功能允許所有的POS交易與語音會話通過安全通道進行。FortiWiFi設備同樣具有自己發(fā)射Wifi信號的功能，支持標準的802.11a/b/g/n協(xié)議，F(xiàn)ortiWiFi 設備的基于web的管理接口，易于部署與管理，同時該設備也可以由FortiManager遠程進行管理。

無線環(huán)境下行業(yè)合規(guī)。FortiWiFi設備具有無線網絡非法AP檢測與抑制功能，有效的避免了非法AP對信用卡交易系統(tǒng)造成的威脅。舉例說明，F(xiàn)ortiWiFi-60C平臺與FortiAP設備可提供雙頻段支持，也就是可以同時在2.4GHz與5GHz頻段搜索其他AP。通過對MAC地址與制造商信息的識別， FortiWiFi設備可使用“在線”關聯(lián)技術檢測連接到零售商網絡的無線設備，并將其記錄在“在線”syslog信息以較高的安危級別，同時將其傳送到上游的日志聚合設備和/或FortiAnalyzer集中日志分析與報告信息。一旦這樣的無線設備被告警出現(xiàn)在零售店后，IT管理員可以從網絡中物理刪除非法AP。