隨著多起數據違規案例的發生，在零售業網絡出臺了支付卡行業數據安全標準(PCI DSS：Payment Card Industry Data Security Standard )這樣的法案，規范并提高網絡的整體安全性。由于零售行業所收集數據的敏感性，如今仍然被當作網絡威脅的首選目標。

保障PCI DSS的合規性已經成為零售行業的CIO與CISO規劃網絡與安全中的重中之重，因其也直接影響著業務運行、支付與交易、以及公司網絡安全與數據保護。此外，無線技術的推動下移動設備用戶端應用交互性，對PCI DSS的合規帶來的更多的挑戰。

無線網絡對零售業環境的影響

網絡無線化最近幾年已經成為零售行業網絡發展中不可或缺的一部分;與此同時，隨著智能手機和平板電腦采用，零售商希望通過在店鋪或周圍地區部署無線網絡，創建友好的網絡環境，增加消費者的參與度，提升店鋪的品牌。為了使店鋪在無線網絡的提供更有競爭力，零售商必須滿足以下的業務需求：

用戶與員工無線訪問的安全性

幾年之前，零售商已開始尋求增加用戶訪問其店鋪應用程序以及店內員工內部訪問的方法。此外，許多零售商也鼓勵員工與消費者之間通過平板或智能終端來加強互動，例如瀏覽產品、約見咨詢、甚至作為銷售點(POS)終端。零售行業利用這樣新的互聯網接入方式的例子比比皆是。其中一家是服裝生產商Guess Inc公司，該公司允許客戶在店內訪問到無線網絡，并鼓勵顧客與店內的社交媒體的互動，提升消費者參與度與體驗感。

這種環境下，最顯要的安全關注在于確保支付信息與其他終端用戶數據與一般的互聯網流量不同，保持其傳輸的獨立與安全性。這需要各種技術，包括加密，基于用戶使用設備與用戶的顆粒度策略的執行、無線流量管理/流量整形，保證支付網絡只有特定用戶和設備可訪問，支付數據始終是重中之重。

強化的無線數據分析能力

許多零售商還擴展使用所收集的消費者與購買信息數據分析的能力。這個數據信息是多種多樣的，且是高度個人化，包括購物時間、所購商品、所瀏覽過的商品以及最終購買的商品信息，這些信息都可以從無線網絡收集并在不同的零售店中共享。

零售商所收集的消費者和及其購買習慣的信息分析均被大多數消費者視為保密信息。雖然大多數法規還沒有對這樣的數據分析做出約束，但一些國家圍繞隱私與信息收集是有具體的法律法規的。任何零售收據與數據分析的泄漏都會帶來對零售商品牌信任的坍塌。

社交媒體與移動應用接入的穩定性

零售商利用社交媒體與應用程序增加并鼓勵消費者與商家的互動的同時也增加了第三方惡意軟件傳播機會的風險。保護店內網絡免受惡意軟件和其他應用程序的威脅，成為商店的責任，通過店內的無線連接，導致數據被竊取，這對任何零售商來講都是一個公共關系的噩夢。

所有這些新的要求，都在增加網絡的復雜性，符合PCI DSS比以往任何時候都更加困難。保證無線網絡性能穩定的同時對安全的考量也必不可少，這樣才能既保持優良的競爭力同時對法律法規的合規性。#p#

保持無線網絡的PCI DSS的合規性

PCI DSS對于零售網絡已成為為核心的監管要求，法規的理解以及PCI DSS如何定義敏感信息非常重要。 PCI DSS是一個全球性的安全標準，由支付卡行業安全標準委員會(PCI SSC)提供，要求任何接受Visa、MasterCard或美國運通這樣的借記卡與信用卡發放的機構均要進行合規認證支持。PCI DSS對安全管理、策略與流程、網絡架構與軟件設計以及其他針對數據的保護措施進行了約束。

PCI因持卡人數據泄露事件的影響而不斷的修改的要求，從而應對不斷變化的威脅形式。PCI DSS 對有線和無線網絡都有約束，但是無線網絡在應對其合規性上呈現了許多挑戰。PCI DSS的主要好處之一是已經迫使許多零售商考慮對所有包含數據的各種系統進行保護。無論是信用卡信息庫，詳細的客戶信息，或公司擁有自主知識產權，PCI DSS要求一個升級系統與流程來判定數據是在良好的被保護狀態。

表1所示為關鍵的PCI DSS控制目標與對應的安全要求

無線環境中PCI合規的關鍵挑戰

無線網絡在滿足諸如PCI DSS要求時呈現了特有的挑戰。零售商必須認識到有線與無線網絡的差異化并對承載持卡人數據的網絡進行網段的分隔與安全性進行特殊處理。

圖1所示為顯得零售網絡中網絡設備部署的復雜性

#p#

記錄有線與無線網絡全部的流量日志以應對潛在的攻擊

PCI DSS規定需要定期監測未授權或非法接入設備，以保持優良的持卡人數據環境(CDE：Cardholder Data Environment)的安全性。這意味所有存在CDE環境的網絡必須對非法接入進行檢測并采取相應的措施。由于分離的信任和非信任網絡運行安全的零售業務是至關重要的， WLAN安全技術可以檢測并禁止未經授權的無線設備連接到CDE成為必需。

非法接入點進入CDE環境的方式包括以下幾種：

◆使用訪問點在物理建筑之外抓取未受保護的量

◆在一個文件、應用服務器、筆記本、打印機或其他設備中器中插入WLAN卡

◆在網絡中放置未知的WLAN路由器

零售商需要一個成熟穩定的安全平臺，以檢測任何網絡覆蓋點的惡意接入點以及功能能夠分析跨越有線和無線網絡的攻擊。這樣的配置實現起來有兩種方法：配置獨立的有線和無線系統具有相同的策略，或者使用集成的LAN / WLAN安全系統。

保證無線授權與加密的并用

PCI DSS規定使用嚴格的無線授權與加密，確保支付卡數據以加密格式傳輸。同時要求組織機構要避免使用WEP這樣較弱的加密標準。 在無線與有線網絡架構中采用適當的授權與加密標準也成為公司機構需要考慮的因素，那么在網絡中部署的設備不僅要支持廣泛的授權選項，且對一些應用采用恰當的加密標準。

在整體網絡執行無線使用策略

PCI DSS規定需要配置可接受的使用率策略，包括記錄無線設備使用率的情況。對于零售行業需要清楚了解網絡環境中無線網絡的使用情況，以及如何部署安全的無線網絡。關于PCI DSS的此項規定的另一方面是對員工如何以及應用使用授權的無線設備。只是遵守此項規定并不夠，重要的是需要采取技術手段執行相應的無線使用率策略來防止敏感數據的丟失。

無線網絡的流量細分

只要無線網絡作為整理網絡的一部分且處理持卡人數據信息，根據PCI DSS法案規定，防火墻就應對有線與無線流量進行分流;當前零售行業網絡發展趨勢的是用戶訪問的激增，那么網絡分流就面臨著挑戰，應對這樣的挑戰，首先網絡部署必需具備識別數據、應用與流量的能力。

Fortinet 零售行業PCI DSS合規解決方案

乍看之下需要滿足的安全目標與規定是如此之多，如果零售公司針對每項安全目標采取單獨的解決方案，如此部署，不僅網絡性能可能成為瓶頸，整體的安全防御也不一定能夠保證，且費用不菲。

Fortinet所提供的整體網絡解決方案，不僅可以保障有線與無線網絡的安全，同時符合PCI DSS的合規性，且具有較低的部署成本。

圖2：Fortinet綜合無線接入與安全解決方案

全方位的防御體系

Fortinet的統一威脅管理安全平臺FortiGate設備集網絡安全最先進的技術可對任何分布式的網絡提供安全保護。同時FortiGate設備的部署也使網絡管理員根據其動態的網絡環境自由部署與配置安全功能實現安全防御的能力。 Fortinet的解決方案不僅將網絡的復雜性減少到最小，且對無線網絡具有例如下一代防火墻功能、IPS以及數據防泄漏(DLP)功能;所述這些功能之前只有線網絡架構才可以具有的。

設備與流量的可見性與可控性

如果無線網絡要求處于網絡中的連接設備配置相應的訪問策略。零售企業無法預估訪問網絡的所有設備，以及區分員工與消費者攜帶設備的訪問。

Fortinet的解決方識別訪問網絡的設備類型例如iPhone，iPad，Android設備，筆記本電腦等配置執行顆粒度的策略。且無線接入檢測技術可準確檢測所有的網絡接入設備，并掃描和抑制惡意接入點，嚴格的執行PCI DSS法規。

端到端安全策略與控制

Fortinet的解決方案允許零售企業對所有訪問點、安全設備與交換設備提供單一的策略，簡化了安全管理流程的同時保證了整個網絡中不存在安全控制的空隙。

持續的威脅防御

在網絡中攻擊無孔不入、且還在不斷進化，如何使部署網絡安全能夠不斷防御進化的威脅，也是必須考慮的因素。FortiGuard網絡有分布在全球范圍的數據中心組成，能夠實時檢測最新的網絡威脅并推送在Fortinet安全設備平臺，從而保護用戶的資產與信息。

FortiGuard安全團隊由200多名安全專家組成，檢測最新威脅、收集攻擊特征的同時開發新的攻擊過濾技術。創建特征不僅是針對一些具體的漏洞，且防御潛在的攻擊置換組合，保護用戶免于零日攻擊。 Fortinet的安全過濾技術多種多樣，包括流量異常檢測、基于漏洞的過濾與簽名等等。特征更新是定時提供到用戶的，一天兩次IPS特征更新、四次病毒更新、以及垃圾郵件與網頁過濾的實時更新。

Fortinet的安全部署是全面與整合的，從無線AP到無線控制器、POE交換機，從端到端，從無線到有線網絡架構均可共享同一套安全策略，對于整個網絡而言，保證了統一且持續的防御。

集成集中式認證體系

具有單點登錄功能與策略執行的集成化，集中化的認證對于保證在零售網絡系統中到特定系統訪問的安全性至關重要。零售網絡管理員負責的系統管理可能是從核心的網絡延伸到數千個支系統的工作，分支系統中員工與設備需要對總部網絡以及后臺系統進行訪問，FortiAuthenticator 是將現有的目錄系統有效的集成后，提供無縫的訪問身份確認與訪問控制。

管理員可能是負責系統延伸出從核心網絡的千分支行，需要一致的，安全的訪問這些系統。即使在分支機構，員工和設備將需要訪問到各種各樣的企業，后端系統。 FortiAuthenticator提供一個安全的系統，與現有的目錄系統緊密集成，允許無縫身份和訪問控制的快速部署。

集成的無線控制器降低了部署復雜性以及費用

Fortinet在無線接入與安全方面提供了完整產品選擇與解決方案，其中最重要的方面是集成的無線控制器。每一款FortiGate設備均可作為無線控制器管理多個瘦AP，而FortiGate設備本身是一個網絡安全的平臺，可提供覆蓋7層網絡安全的綜合網關設備;這樣作為無線控制器的同時，對無線網絡一并提供了與有線網絡同等的安全防護，這是Fortinet無線解決方案獨樹一幟的地方，也是區別于競爭對手最大的優勢。另外，非法AP檢測與抑制也可以在FortiGate設備配置。

圖3：FortiGate設備與FortiAP聯動進行非法AP檢測與抑制

隨著互聯網的不斷發展，如今零售行業的網絡面臨著新的機遇與挑戰，建立高效的網絡與應用吸引更多的消費者，保持同行業的競爭力，同時保證用戶信息這些敏感數據的安全。PCI DSS的核心在于設置了保護諸如持卡人數據這樣敏感數據的機制與要求，防止這些數據的故意或意外的損失。 Fortinet的無限解決方案涵蓋了從接入層到訪問應用層的范疇，將有線與無線網絡集成統一管理，滿足PCI DSS合規性，讓零售行業可以專注于的業務處理。