全球范圍內(nèi)，零售行業(yè)是屬于排名頭三個(gè)容易被網(wǎng)絡(luò)攻擊者定位為攻擊目標(biāo)的行業(yè)之一，原因是幾乎全部的商戶均接受支付卡支付、相對(duì)較低的安全防御、存在不少可用的攻擊載體。移動(dòng)設(shè)備與近場(chǎng)通信(NFC：Near Field Communication)無(wú)線技術(shù)的集合以及應(yīng)用的激增，例如增強(qiáng)實(shí)現(xiàn)技術(shù)(augmented reality)等等這些更加劇了問(wèn)題。

一些來(lái)自美國(guó)被高度曝光的發(fā)生在零售行業(yè)的網(wǎng)絡(luò)竊取案例包括THX、賽百味與巴諾書(shū)店。店內(nèi)無(wú)線網(wǎng)絡(luò)、POS機(jī)系統(tǒng)與信用卡讀卡器被攻擊導(dǎo)致除了給這些商家?guī)?lái)的經(jīng)濟(jì)損失外，還有持信用卡支付用戶數(shù)千萬(wàn)美元竊取、以及個(gè)人信息丟失。這些大規(guī)模的網(wǎng)絡(luò)竊取事件的發(fā)生無(wú)一昭示著零售行業(yè)需要在安全方面投入更多的注意力來(lái)保障業(yè)務(wù)的順暢。

當(dāng)代零售行業(yè)安全

按照傳統(tǒng)方式來(lái)講，零售店使用基于店內(nèi)的具有基礎(chǔ)安全功能路由器或在店內(nèi)網(wǎng)絡(luò)的基礎(chǔ)上覆蓋端點(diǎn)保護(hù)的解決方案或一個(gè)私有的WAN使所有的流量都回到數(shù)據(jù)中心進(jìn)行檢測(cè)。這些方法都存在各自的缺陷，無(wú)論在功能性方面，還是可擴(kuò)展性或是成本方面。

零售行業(yè)在打造安全的分布式環(huán)境上應(yīng)聚焦在以下四個(gè)主要的方面，并采取相應(yīng)的措施解決其面臨的問(wèn)題。

1. 訪問(wèn)層。隨著移動(dòng)設(shè)備的普及化，零售店將網(wǎng)絡(luò)訪問(wèn)擴(kuò)展到雇員與消費(fèi)者，訪問(wèn)安全是至關(guān)重要的。 通過(guò)非法訪問(wèn)點(diǎn)檢測(cè)、認(rèn)證、賓客WiFi服務(wù)以及速率限制與負(fù)載均衡來(lái)保證安全的訪問(wèn)控制是非常重要的。

2.店鋪層。單店層面的安全與連接性需求包括WiFi、語(yǔ)音與傳統(tǒng)的網(wǎng)絡(luò)連接。隨著消費(fèi)者接入網(wǎng)絡(luò)的需求越來(lái)越明顯，每個(gè)店面必須能夠提供安全的功能，例如反灰色軟件與應(yīng)用控制。

3.數(shù)據(jù)的聚合之所。 所有數(shù)據(jù)的歸屬地，通常情況下這也就是零售店的總部，這里應(yīng)具有核心的安全功能例如防火墻、應(yīng)用控制與VPN終端。

4.管理。如果當(dāng)代零售行業(yè)的特點(diǎn)是分布式店面不斷的擴(kuò)張，那么集中管理與快速的調(diào)整各種安全設(shè)備以應(yīng)變不斷的安全威脅是必需的，企業(yè)級(jí)的安全平臺(tái)既可以滿足各個(gè)店鋪的擴(kuò)展需求又具有統(tǒng)一管理的安全需求是高效的部署選擇。

基于以上四個(gè)方面，零售行業(yè)的網(wǎng)絡(luò)安全解決方案的選擇便具有了更強(qiáng)的針對(duì)性，那么以下便是堅(jiān)實(shí)的IT安全解決方案應(yīng)包括以下幾個(gè)方面的內(nèi)容：

1. 高性能網(wǎng)絡(luò)以滿足消費(fèi)者的體驗(yàn)

隨著終端與應(yīng)用的不斷增長(zhǎng)，每個(gè)店內(nèi)的網(wǎng)絡(luò)需要具有較高的性能以滿足連續(xù)的信用卡處理與POS機(jī)的連接性將消費(fèi)者的體驗(yàn)與店內(nèi)交互做到最大化。 高性能、低延遲的網(wǎng)絡(luò)性能尤其在交易數(shù)據(jù)高峰期尤為重要。

2. 店內(nèi)無(wú)線LAN的深度防護(hù)

店內(nèi)與消費(fèi)者的交互現(xiàn)在逐漸由無(wú)線平板來(lái)充當(dāng)媒介而進(jìn)行，同時(shí)一些零售商正在尋求差異化服務(wù)包括無(wú)線查詢、無(wú)線電子招牌與消費(fèi)者從店鋪的網(wǎng)站下載優(yōu)惠券或網(wǎng)上商品瀏覽。有線與無(wú)線網(wǎng)絡(luò)的安全水準(zhǔn)必須維持在一個(gè)水平才不失為完整的安全防御。

3.到低成本的公共網(wǎng)絡(luò)的遷移

超便宜且速度快的帶寬連接和/或基于公網(wǎng)的安全的VPN的使用提供了低成本可操作的到私有WAN網(wǎng)絡(luò)的連接選擇。但是， 對(duì)公網(wǎng)的依賴(lài)會(huì)將零售店的網(wǎng)絡(luò)暴露在其他的安全威脅之下，這些連接的安全性非常重要，且加密的流量通過(guò)網(wǎng)絡(luò)安全設(shè)備時(shí)不會(huì)導(dǎo)致網(wǎng)絡(luò)性能的下降同樣也是至關(guān)重要的。

4.店內(nèi)創(chuàng)新服務(wù)的采用

諸多新興技術(shù)的應(yīng)用使零售店的網(wǎng)絡(luò)環(huán)境面臨著更多的安全防御方面。先進(jìn)的消費(fèi)端應(yīng)用例如增強(qiáng)現(xiàn)實(shí)技術(shù)使消費(fèi)者能夠下載應(yīng)用在客戶端或者通過(guò)店鋪內(nèi)的無(wú)線多平臺(tái)的瀏覽物品以及參與消費(fèi)者體驗(yàn)的活動(dòng)，這項(xiàng)技術(shù)將在未來(lái)五年內(nèi)普及。安全系統(tǒng)需要擴(kuò)展到無(wú)數(shù)個(gè)終端，否則招致的損失的也是不可估量的。

5.PCI-DSS法案合規(guī)支持

零售行業(yè)店內(nèi)的網(wǎng)絡(luò)必須承載的數(shù)據(jù)是信用卡的交易數(shù)據(jù)，所以PCI法案的合規(guī)性是必須需要滿足的。 安全監(jiān)控與非法接入檢測(cè)在PCI法案中是明確的要求，因此零售店的網(wǎng)絡(luò)與安全解決方案中必須能夠具有分析用戶與設(shè)備行為的功能。事件的日志記錄、分析與報(bào)告功能也是確保PCI法案與其他規(guī)則合規(guī)的重要功能。

零售行業(yè)在互聯(lián)網(wǎng)時(shí)代的競(jìng)爭(zhēng)變得愈發(fā)的激烈，安全架構(gòu)與策略的部署與定義不僅要滿足分布式店鋪與網(wǎng)絡(luò)環(huán)境的需要、而且需要穩(wěn)定可靠，可擴(kuò)展易管理，成本可控。這樣，零售網(wǎng)絡(luò)既可支持多渠道操作，也可以滿足不斷創(chuàng)新性服務(wù)的使用，例如增強(qiáng)用戶體驗(yàn)的服務(wù)等。

案例分析與Fortinet解決方案

Fortinet公司的安全解決方案可覆蓋不同的行業(yè)，滿足用戶所面臨的不同網(wǎng)絡(luò)與安全需求。有線到無(wú)線網(wǎng)絡(luò)的一體化，包括集中管理與日志與報(bào)告分析，到用戶身份驗(yàn)證以及安全的訪問(wèn)與交換。參加下圖：

對(duì)于當(dāng)代零售行業(yè)解決方案，以國(guó)際著名化妝品企業(yè)為例，其在國(guó)內(nèi)30多個(gè)城市設(shè)有200多個(gè)銷(xiāo)售柜臺(tái)。隨著中國(guó)國(guó)內(nèi)業(yè)務(wù)的不斷發(fā)展在全國(guó)門(mén)店數(shù)量也隨之增加，原來(lái)門(mén)店交易系統(tǒng)與總部互聯(lián)采用專(zhuān)線的方式在店面數(shù)量的增加的情況下，相應(yīng)的線路成本和管理和維護(hù)成本也隨之增加，數(shù)據(jù)的安全性、完整性、可用性也成為新的挑戰(zhàn)。

Fortinet建議采取在每個(gè)門(mén)店采用一臺(tái)適合于分布式以及分支機(jī)構(gòu)的FortiWiFi設(shè)備，在總部部署一臺(tái)集中管理設(shè)備FortiManager，統(tǒng)一管理各個(gè)店面的設(shè)備。可無(wú)線控制器的FortiWiFi設(shè)備，同時(shí)也是網(wǎng)關(guān)設(shè)備，提供堅(jiān)實(shí)的網(wǎng)絡(luò)與安全技術(shù)，包括在總部與各零售店之間建立安全的IPsec VPN通道，代替了原來(lái)專(zhuān)線方式，降低了線路的成本，該功能允許所有的POS交易與語(yǔ)音會(huì)話通過(guò)安全通道進(jìn)行。FortiWiFi設(shè)備同樣具有自己發(fā)射Wifi信號(hào)的功能，支持標(biāo)準(zhǔn)的802.11a/b/g/n協(xié)議，F(xiàn)ortiWiFi 設(shè)備的基于web的管理接口，易于部署與管理，同時(shí)該設(shè)備也可以由FortiManager遠(yuǎn)程進(jìn)行管理。

無(wú)線環(huán)境下行業(yè)合規(guī)。FortiWiFi設(shè)備具有無(wú)線網(wǎng)絡(luò)非法AP檢測(cè)與抑制功能，有效的避免了非法AP對(duì)信用卡交易系統(tǒng)造成的威脅。舉例說(shuō)明，F(xiàn)ortiWiFi-60C平臺(tái)與FortiAP設(shè)備可提供雙頻段支持，也就是可以同時(shí)在2.4GHz與5GHz頻段搜索其他AP。通過(guò)對(duì)MAC地址與制造商信息的識(shí)別， FortiWiFi設(shè)備可使用“在線”關(guān)聯(lián)技術(shù)檢測(cè)連接到零售商網(wǎng)絡(luò)的無(wú)線設(shè)備，并將其記錄在“在線”syslog信息以較高的安危級(jí)別，同時(shí)將其傳送到上游的日志聚合設(shè)備和/或FortiAnalyzer集中日志分析與報(bào)告信息。一旦這樣的無(wú)線設(shè)備被告警出現(xiàn)在零售店后，IT管理員可以從網(wǎng)絡(luò)中物理刪除非法AP。