日前支付卡行業安全標準委員會(PCI Security Standards Council)發佈了一份針對使用802.11無線網路的資安參考指南,指導收受信用卡的商店如何實作部署安全的無線網路環境。雖然在台灣多數企業並未要求強制遵循PCI規範,不過由於無線網路在企業組織中愈來愈普及,保障資訊安全的需求日益升高,這份指南還是相當值得參考。
 |
| ▲無線網路的應用持續普及,日前PCI安全標準委員會發佈了一份參考指南,提供部署無線網路時的安全建議。 |
這份參考指南的內容大致包含了實體保護、無線網路與有線網路隔離、防範惡意AP、設定、驗證與加密、無線網路使用政策、入侵偵測與存取記錄等。格式上則與PCI DSS文件類似,除了針對各主題的詳細說明,並以條列式整理出重點建議做法,讓需要建置及管理無線網路的企業能有方便的依循準據。
為了保護信用卡持卡人的個人資料安全,數年前各大發卡機構聯合由PCI安全標準委員會制定了PCI DSS標準,詳列6組12類資訊安全規定,要求所有銀行與接受信用卡付款的商店必須遵循,目前對全球零售流通業者而言,仍是最重要的資安法規之一。
不過,此次PCI安全標準委員會所發佈的無線網路資安參考指南(Guideline),雖然實質上延伸補足了原有PCI DSS標準欠缺的範圍,但仍只是屬於建議參考,並未強制要求所有收受信用卡並擁有無線網路的商店均須遵守。
這份文件所謂的wireless network似乎只聚焦於各種WLAN,並未包含諸如藍牙等其他無線技術。PCI安全標準委員會表示,這是為了建立統一的詞彙使用避免混淆,同時未來可望陸續針對其他無線技術發行指導規範。
即使對並未設置無線網路基地台的收卡商店,還是應該定期檢查週邊是否有惡意基地台(rogue WLAN access points),以避免內部任何節點遭到未經授權的存取,因此該文件也建議採用無線IDS/IPS等無線網路入侵偵測防禦或訊號分析機制,大型零售場所更應該採取自動化集中管理的無線掃描措施,以便持續監控並立即針對惡意裝置採取反應。
該指南也提醒,對於並未涉及顧客信用卡資料的無線網路,必須以防火牆進行隔離並過濾基於802.11協定的封包,實施狀態檢測,並且依據PCI DSS規範留下防火牆所有放行或阻擋的記錄,此外防火牆記錄檔必須每日檢視,且每半年應檢驗規則是否仍正確有效。