无线网络安全的PCI合规要求

随着多起数据违规案例的发生，在零售业网络出台了支付卡行业数据安全标准(PCI DSS：Payment Card Industry Data Security Standard )这样的法案，规范并提高网络的整体安全性。由于零售行业所收集数据的敏感性，如今仍然被当作网络威胁的首选目标。

保障PCI DSS的合规性已经成为零售行业的CIO与CISO规划网络与安全中的重中之重，因其也直接影响着业务运行、支付与交易、以及公司网络安全与数据保护。此外，无线技术的推动下移动设备用户端应用交互性，对PCI DSS的合规带来的更多的挑战。

无线网络对零售业环境的影响

网络无线化最近几年已经成为零售行业网络发展中不可或缺的一部分;与此同时，随着智能手机和平板电脑采用，零售商希望通过在店铺或周围地区部署无线网络，创建友好的网络环境，增加消费者的参与度，提升店铺的品牌。为了使店铺在无线网络的提供更有竞争力，零售商必须满足以下的业务需求：

用户与员工无线访问的安全性

几年之前，零售商已开始寻求增加用户访问其店铺应用程序以及店内员工内部访问的方法。此外，许多零售商也鼓励员工与消费者之间通过平板或智能终端来加强互动，例如浏览产品、约见咨询、甚至作为销售点(POS)终端。零售行业利用这样新的互联网接入方式的例子比比皆是。其中一家是服装生产商Guess Inc公司，该公司允许客户在店内访问到无线网络，并鼓励顾客与店内的社交媒体的互动，提升消费者参与度与体验感。

这种环境下，最显要的安全关注在于确保支付信息与其他终端用户数据与一般的互联网流量不同，保持其传输的独立与安全性。这需要各种技术，包括加密，基于用户使用设备与用户的颗粒度策略的执行、无线流量管理/流量整形，保证支付网络只有特定用户和设备可访问，支付数据始终是重中之重。

强化的无线数据分析能力

许多零售商还扩展使用所收集的消费者与购买信息数据分析的能力。这个数据信息是多种多样的，且是高度个人化，包括购物时间、所购商品、所浏览过的商品以及最终购买的商品信息，这些信息都可以从无线网络收集并在不同的零售店中共享。

零售商所收集的消费者和及其购买习惯的信息分析均被大多数消费者视为保密信息。虽然大多数法规还没有对这样的数据分析做出约束，但一些国家围绕隐私与信息收集是有具体的法律法规的。任何零售收据与数据分析的泄漏都会带来对零售商品牌信任的坍塌。

社交媒体与移动应用接入的稳定性

零售商利用社交媒体与应用程序增加并鼓励消费者与商家的互动的同时也增加了第三方恶意软件传播机会的风险。保护店内网络免受恶意软件和其他应用程序的威胁，成为商店的责任，通过店内的无线连接，导致数据被窃取，这对任何零售商来讲都是一个公共关系的噩梦。

所有这些新的要求，都在增加网络的复杂性，符合PCI DSS比以往任何时候都更加困难。保证无线网络性能稳定的同时对安全的考量也必不可少，这样才能既保持优良的竞争力同时对法律法规的合规性。 

保持无线网络的PCI DSS的合规性

PCI DSS对于零售网络已成为为核心的监管要求，法规的理解以及PCI DSS如何定义敏感信息非常重要。 PCI DSS是一个全球性的安全标准，由支付卡行业安全标准委员会(PCI SSC)提供，要求任何接受Visa、MasterCard或美国运通这样的借记卡与信用卡发放的机构均要进行合规认证支持。PCI DSS对安全管理、策略与流程、网络架构与软件设计以及其他针对数据的保护措施进行了约束。

PCI因持卡人数据泄露事件的影响而不断的修改的要求，从而应对不断变化的威胁形式。PCI DSS 对有线和无线网络都有约束，但是无线网络在应对其合规性上呈现了许多挑战。PCI DSS的主要好处之一是已经迫使许多零售商考虑对所有包含数据的各种系统进行保护。无论是信用卡信息库，详细的客户信息，或公司拥有自主知识产权，PCI DSS要求一个升级系统与流程来判定数据是在良好的被保护状态。

表1所示为关键的PCI DSS控制目标与对应的安全要求

无线环境中PCI合规的关键挑战

无线网络在满足诸如PCI DSS要求时呈现了特有的挑战。零售商必须认识到有线与无线网络的差异化并对承载持卡人数据的网络进行网段的分隔与安全性进行特殊处理。

图1所示为显得零售网络中网络设备部署的复杂性

记录有线与无线网络全部的流量日志以应对潜在的攻击

PCI DSS规定需要定期监测未授权或非法接入设备，以保持优良的持卡人数据环境(CDE：Cardholder Data Environment)的安全性。这意味所有存在CDE环境的网络必须对非法接入进行检测并采取相应的措施。由于分离的信任和非信任网络运行安全的零售业务是至关重要的， WLAN安全技术可以检测并禁止未经授权的无线设备连接到CDE成为必需。

非法接入点进入CDE环境的方式包括以下几种：

◆使用访问点在物理建筑之外抓取未受保护的量

◆在一个文件、应用服务器、笔记本、打印机或其他设备中器中插入WLAN卡

◆在网络中放置未知的WLAN路由器

零售商需要一个成熟稳定的安全平台，以检测任何网络覆盖点的恶意接入点以及功能能够分析跨越有线和无线网络的攻击。这样的配置实现起来有两种方法：配置独立的有线和无线系统具有相同的策略，或者使用集成的LAN / WLAN安全系统。

保证无线授权与加密的并用

PCI DSS规定使用严格的无线授权与加密，确保支付卡数据以加密格式传输。同时要求组织机构要避免使用WEP这样较弱的加密标准。 在无线与有线网络架构中采用适当的授权与加密标准也成为公司机构需要考虑的因素，那么在网络中部署的设备不仅要支持广泛的授权选项，且对一些应用采用恰当的加密标准。

在整体网络执行无线使用策略

PCI DSS规定需要配置可接受的使用率策略，包括记录无线设备使用率的情况。对于零售行业需要清楚了解网络环境中无线网络的使用情况，以及如何部署安全的无线网络。关于PCI DSS的此项规定的另一方面是对员工如何以及应用使用授权的无线设备。只是遵守此项规定并不够，重要的是需要采取技术手段执行相应的无线使用率策略来防止敏感数据的丢失。

无线网络的流量细分

只要无线网络作为整理网络的一部分且处理持卡人数据信息，根据PCI DSS法案规定，防火墙就应对有线与无线流量进行分流;当前零售行业网络发展趋势的是用户访问的激增，那么网络分流就面临着挑战，应对这样的挑战，首先网络部署必需具备识别数据、应用与流量的能力。

Fortinet 零售行业PCI DSS合规解决方案

乍看之下需要满足的安全目标与规定是如此之多，如果零售公司针对每项安全目标采取单独的解决方案，如此部署，不仅网络性能可能成为瓶颈，整体的安全防御也不一定能够保证，且费用不菲。

Fortinet所提供的整体网络解决方案，不仅可以保障有线与无线网络的安全，同时符合PCI DSS的合规性，且具有较低的部署成本。

图2：Fortinet综合无线接入与安全解决方案

全方位的防御体系

Fortinet的统一威胁管理安全平台FortiGate设备集网络安全最先进的技术可对任何分布式的网络提供安全保护。同时FortiGate设备的部署也使网络管理员根据其动态的网络环境自由部署与配置安全功能实现安全防御的能力。 Fortinet的解决方案不仅将网络的复杂性减少到最小，且对无线网络具有例如下一代防火墙功能、IPS以及数据防泄漏(DLP)功能;所述这些功能之前只有线网络架构才可以具有的。

设备与流量的可见性与可控性

如果无线网络要求处于网络中的连接设备配置相应的访问策略。零售企业无法预估访问网络的所有设备，以及区分员工与消费者携带设备的访问。

Fortinet的解决方识别访问网络的设备类型例如iPhone，iPad，Android设备，笔记本电脑等配置执行颗粒度的策略。且无线接入检测技术可准确检测所有的网络接入设备，并扫描和抑制恶意接入点，严格的执行PCI DSS法规。

端到端安全策略与控制

Fortinet的解决方案允许零售企业对所有访问点、安全设备与交换设备提供单一的策略，简化了安全管理流程的同时保证了整个网络中不存在安全控制的空隙。

持续的威胁防御

在网络中攻击无孔不入、且还在不断进化，如何使部署网络安全能够不断防御进化的威胁，也是必须考虑的因素。FortiGuard网络有分布在全球范围的数据中心组成，能够实时检测最新的网络威胁并推送在Fortinet安全设备平台，从而保护用户的资产与信息。

FortiGuard安全团队由200多名安全专家组成，检测最新威胁、收集攻击特征的同时开发新的攻击过滤技术。创建特征不仅是针对一些具体的漏洞，且防御潜在的攻击置换组合，保护用户免于零日攻击。 Fortinet的安全过滤技术多种多样，包括流量异常检测、基于漏洞的过滤与签名等等。特征更新是定时提供到用户的，一天两次IPS特征更新、四次病毒更新、以及垃圾邮件与网页过滤的实时更新。

Fortinet的安全部署是全面与整合的，从无线AP到无线控制器、POE交换机，从端到端，从无线到有线网络架构均可共享同一套安全策略，对于整个网络而言，保证了统一且持续的防御。

集成集中式认证体系

具有单点登录功能与策略执行的集成化，集中化的认证对于保证在零售网络系统中到特定系统访问的安全性至关重要。零售网络管理员负责的系统管理可能是从核心的网络延伸到数千个支系统的工作，分支系统中员工与设备需要对总部网络以及后台系统进行访问，FortiAuthenticator 是将现有的目录系统有效的集成后，提供无缝的访问身份确认与访问控制。

管理员可能是负责系统延伸出从核心网络的千分支行，需要一致的，安全的访问这些系统。即使在分支机构，员工和设备将需要访问到各种各样的企业，后端系统。 FortiAuthenticator提供一个安全的系统，与现有的目录系统紧密集成，允许无缝身份和访问控制的快速部署。

集成的无线控制器降低了部署复杂性以及费用

Fortinet在无线接入与安全方面提供了完整产品选择与解决方案，其中最重要的方面是集成的无线控制器。每一款FortiGate设备均可作为无线控制器管理多个瘦AP，而FortiGate设备本身是一个网络安全的平台，可提供覆盖7层网络安全的综合网关设备;这样作为无线控制器的同时，对无线网络一并提供了与有线网络同等的安全防护，这是Fortinet无线解决方案独树一帜的地方，也是区别于竞争对手最大的优势。另外，非法AP检测与抑制也可以在FortiGate设备配置。

图3：FortiGate设备与FortiAP联动进行非法AP检测与抑制

随着互联网的不断发展，如今零售行业的网络面临着新的机遇与挑战，建立高效的网络与应用吸引更多的消费者，保持同行业的竞争力，同时保证用户信息这些敏感数据的安全。PCI DSS的核心在于设置了保护诸如持卡人数据这样敏感数据的机制与要求，防止这些数据的故意或意外的损失。 Fortinet的无限解决方案涵盖了从接入层到访问应用层的范畴，将有线与无线网络集成统一管理，满足PCI DSS合规性，让零售行业可以专注于的业务处理。