PCI无线解决方案选择指南

从9月30日起，Visa将要求金融机构客户和特约商户进行无线安全扫描以确认符合1.2版本支付卡行业数据安全标准(PCI DSS)的安全认证要求。PCI DSS被用于保护持卡人免受无线安全威胁。

自从2009年7月份PCI DSS无线指南被公布以来，厂商已经推出了许多PCI无线扫描工具。金融机构客户和特约商户应当对这些PCI无线解决方案进行评估以找到最适合自己的工具。

· 明确需要遵守哪些要求。某些PCI无线要求与是否部署WLAN，以及WLAN在持卡人数据环境(CDE)内部还是外部没有什么关系。但是一些额外的PCI无线要求则需要将WLAN部署在CDE内部，如无线POS机终端的使用、清单管理等。在选择特定的PCI无线解决方案的过程中，金融机构客户和特约商户应当谨慎确定解决方案是否能够满足营业环境的所有无线要求。

· 自动或是手动。PCI无线解决方案能够被自动或是手动操作。自动解决方案通常指无线入侵阻止系统(WIPS)，其包括部署在营业环境中的无线传感器。这些传感器可嗅探周边环境中的无线信息，然后通过网络将这些信息发送给中央服务器。这些中央服务器安装有可分析这些信息的引擎，它们将筛选出PCI所需要的相关数据。

手动解决方案包括使用手持式分析仪在营业环境中收集数据，然后人工解读或是将这些数据输入到分析引擎中筛选出相关数据。与自动解决方案相比，符合PCI无线规范的手动解决方案的缺点是速度慢，单调乏味，并且容易出错。此外，手动解决方案不具备全天24小时探测无线威胁的能力，这也是自动解决方案的一个最大的优势。PCI无线指南也推荐拥有大量分支营业场所的机构使用WIPS/WIDS系统。因为在这种情况下，手动解决方案无法形成规模化，并且成本很高。

· 成本和SaaS解决方案。工具的成本很重要。一些厂商为PCI无线解决方案提供了SaaS解决方案。与独立的解决方案相比，SaaS解决方案成本低廉，对于那些追求高性价比，或是没有专职IT支持的金融机构客户和特约商户来说非常具有吸引力。

· 报告功能。证明所有营业环境符合规范很困难。无法为营业环境提供详细PCI遵守报告的PCI无线解决方案是无法证明是否符合CDE无线要求的。由于所需要的信息均被列在报告中，因此全面的报告将有助于加快审核进程。

· 配置与管理。许多连锁零售商的偏远零售网点缺乏专业的IT支持。因此PCI无线解决方案应当便于配置和维持，即使没有专业的IT人员也应当如此。从管理方面考虑，虚假报警会产生重大问题，因此解决方案应当能够精确探测到无线安全威胁。由于金融机构客户和特约商户必须要隔离并查明原因，因此虚假报警还会导审核程序失败。实际上，虚假报警还会导致营业环境不符合PCI规范。理想状态下，解决方案应当能够即插即用，在日常运行中尽可能减少人工介入。

· 可扩展性。拥有多个分散营业场所的商户还应当考虑到PCI无线解决方案的可扩展性。可扩展性工具应当便于在多个营业场所中部署，并且应当很容易扩展到新营业场所中。准备今后为CDE操作部署WiFi的商户应当考虑到，作为CDE的一部分，他们的解决方案应当能够便捷的扩展至无线环境中，并符合规范要求。

· 涵盖常见的漏洞和威胁。目前已经发现了大量的漏洞和威胁。因此解决方案应当涵盖这些威胁，至少也要涵盖最为重要的威胁，如流氓AP、蜜罐AP、配置不当的AP、错误关联、未经授权的关联等。当解决方案探测到一个特定威胁时，商户需要确认为这一威胁的方方面面。比如说，所有形式的流氓接入点应当被涵盖，包括软件中的流氓配置或是可用AP中的流氓配置。此外，解决方案还应当便于升级，以及时涵盖所发现的新漏洞和威胁。

· 健全的设备分类。拥有强大分类引擎的PCI解决方案几乎不需要商户输入清单。引擎中的分类规则会自动将设备进行分类，并根据类别进行扫描，如流氓设备、外接设备等。这样一来，商户营业环境中的无线设备就会彻底现身。PCI无线指南中也对自动设备分类功能进行了推荐。

· 自动阻止。商户还应当考虑对已知威胁的阻止功能。对无线安全事件的事件反应是PCI DSS规范中的一部分，其可以自动阻止，并发出声音提示商户迅速采取措施，防止蒙受重大损失。

· 位置跟踪。位置跟踪功能可识别无线设备的位置，帮助搬迁。此外，该功能还可帮助追踪无线设备。

目前有大量PCI无线解决方案可供选择，金融机构客户和特约商户应当避免受到那些价格低廉但没有效果的解决方案的诱惑。这些不符合规范的解决方案最终可能会让商户蒙受惨重损失。