全球范围内,零售行业是属于排名头三个容易被网络攻击者定位为攻击目标的行业之一,原因是几乎全部的商户均接受支付卡支付、相对较低的安全防御、存在不少可用的攻击载体。移动设备与近场通信(NFC:Near Field Communication)无线技术的集合以及应用的激增,例如增强实现技术(augmented reality)等等这些更加剧了问题。
一些来自美国被高度曝光的发生在零售行业的网络窃取案例包括THX、赛百味与巴诺书店。店内无线网络、POS机系统与信用卡读卡器被攻击导致除了给这些商家带来的经济损失外,还有持信用卡支付用户数千万美元窃取、以及个人信息丢失。这些大规模的网络窃取事件的发生无一昭示着零售行业需要在安全方面投入更多的注意力来保障业务的顺畅。
当代零售行业安全
按照传统方式来讲,零售店使用基于店内的具有基础安全功能路由器或在店内网络的基础上覆盖端点保护的解决方案或一个私有的WAN使所有的流量都回到数据中心进行检测。这些方法都存在各自的缺陷,无论在功能性方面,还是可扩展性或是成本方面。
零售行业在打造安全的分布式环境上应聚焦在以下四个主要的方面,并采取相应的措施解决其面临的问题。
1. 访问层。随着移动设备的普及化,零售店将网络访问扩展到雇员与消费者,访问安全是至关重要的。 通过非法访问点检测、认证、宾客WiFi服务以及速率限制与负载均衡来保证安全的访问控制是非常重要的。
2.店铺层。单店层面的安全与连接性需求包括WiFi、语音与传统的网络连接。随着消费者接入网络的需求越来越明显,每个店面必须能够提供安全的功能,例如反灰色软件与应用控制。
3.数据的聚合之所。 所有数据的归属地,通常情况下这也就是零售店的总部,这里应具有核心的安全功能例如防火墙、应用控制与VPN终端。
4.管理。如果当代零售行业的特点是分布式店面不断的扩张,那么集中管理与快速的调整各种安全设备以应变不断的安全威胁是必需的,企业级的安全平台既可以满足各个店铺的扩展需求又具有统一管理的安全需求是高效的部署选择。
基于以上四个方面,零售行业的网络安全解决方案的选择便具有了更强的针对性,那么以下便是坚实的IT安全解决方案应包括以下几个方面的内容:
1. 高性能网络以满足消费者的体验
随着终端与应用的不断增长,每个店内的网络需要具有较高的性能以满足连续的信用卡处理与POS机的连接性将消费者的体验与店内交互做到最大化。 高性能、低延迟的网络性能尤其在交易数据高峰期尤为重要。
2. 店内无线LAN的深度防护
店内与消费者的交互现在逐渐由无线平板来充当媒介而进行,同时一些零售商正在寻求差异化服务包括无线查询、无线电子招牌与消费者从店铺的网站下载优惠券或网上商品浏览。有线与无线网络的安全水准必须维持在一个水平才不失为完整的安全防御。
3.到低成本的公共网络的迁移
超便宜且速度快的带宽连接和/或基于公网的安全的VPN的使用提供了低成本可操作的到私有WAN网络的连接选择。但是, 对公网的依赖会将零售店的网络暴露在其他的安全威胁之下,这些连接的安全性非常重要,且加密的流量通过网络安全设备时不会导致网络性能的下降同样也是至关重要的。
4.店内创新服务的采用
诸多新兴技术的应用使零售店的网络环境面临着更多的安全防御方面。先进的消费端应用例如增强现实技术使消费者能够下载应用在客户端或者通过店铺内的无线多平台的浏览物品以及参与消费者体验的活动,这项技术将在未来五年内普及。安全系统需要扩展到无数个终端,否则招致的损失的也是不可估量的。
5.PCI-DSS法案合规支持
零售行业店内的网络必须承载的数据是信用卡的交易数据,所以PCI法案的合规性是必须需要满足的。 安全监控与非法接入检测在PCI法案中是明确的要求,因此零售店的网络与安全解决方案中必须能够具有分析用户与设备行为的功能。事件的日志记录、分析与报告功能也是确保PCI法案与其他规则合规的重要功能。
零售行业在互联网时代的竞争变得愈发的激烈,安全架构与策略的部署与定义不仅要满足分布式店铺与网络环境的需要、而且需要稳定可靠,可扩展易管理,成本可控。这样,零售网络既可支持多渠道操作,也可以满足不断创新性服务的使用,例如增强用户体验的服务等。
案例分析与Fortinet解决方案
Fortinet公司的安全解决方案可覆盖不同的行业,满足用户所面临的不同网络与安全需求。有线到无线网络的一体化,包括集中管理与日志与报告分析,到用户身份验证以及安全的访问与交换。参加下图:
对于当代零售行业解决方案,以国际著名化妆品企业为例,其在国内30多个城市设有200多个销售柜台。随着中国国内业务的不断发展在全国门店数量也随之增加,原来门店交易系统与总部互联采用专线的方式在店面数量的增加的情况下,相应的线路成本和管理和维护成本也随之增加,数据的安全性、完整性、可用性也成为新的挑战。
Fortinet建议采取在每个门店采用一台适合于分布式以及分支机构的FortiWiFi设备,在总部部署一台集中管理设备FortiManager,统一管理各个店面的设备。可无线控制器的FortiWiFi设备,同时也是网关设备,提供坚实的网络与安全技术,包括在总部与各零售店之间建立安全的IPsec VPN通道,代替了原来专线方式,降低了线路的成本,该功能允许所有的POS交易与语音会话通过安全通道进行。FortiWiFi设备同样具有自己发射Wifi信号的功能,支持标准的802.11a/b/g/n协议,FortiWiFi 设备的基于web的管理接口,易于部署与管理,同时该设备也可以由FortiManager远程进行管理。
无线环境下行业合规。FortiWiFi设备具有无线网络非法AP检测与抑制功能,有效的避免了非法AP对信用卡交易系统造成的威胁。举例说明,FortiWiFi-60C平台与FortiAP设备可提供双频段支持,也就是可以同时在2.4GHz与5GHz频段搜索其他AP。通过对MAC地址与制造商信息的识别, FortiWiFi设备可使用“在线”关联技术检测连接到零售商网络的无线设备,并将其记录在“在线”syslog信息以较高的安危级别,同时将其传送到上游的日志聚合设备和/或FortiAnalyzer集中日志分析与报告信息。一旦这样的无线设备被告警出现在零售店后,IT管理员可以从网络中物理删除非法AP。