近來透過新聞報導,我們已然查覺網路竊賊的攻擊異常活躍,持續不斷地鎖定特定的網路進行破壞,並藉由竊取各種寶貴的資料來牟利。這樣的現象在電子商務領域更是顯而易見,完整的信用卡使用者資料,在網際網路黑市中,銷售的價格可是不斐。
幸運的是,目前支付卡產業的主要廠商,早已制定一套標準能有效地保護資料,避免遭到有心人士入侵竊取(儘管並非絕對萬無一失)。過去5年來,支付卡產業資料安全(Payment Card Industry Data Security Standard,PCI-DSS)標準,已逐漸從沒有強制要求的安全指南,演變成企業在處理、儲存或傳輸持卡人資料時,一定要有的安全認證。
雖然PCI-DSS著重之處在於信用卡持卡人的資料保護,但它亦擴及各種IT的規範與技術,意即含括網路、資料庫、Web應用程式、檔案系統、加密與核心安全相關的程序,例如弱點與組態的管理。由於標準導入的成本相當高,因此在風險與成本的考量下,此標準的適用性也就一直備受爭議。
那麼,可採用那些策略來降低成本和複雜性?要導入PCI-DSS標準,又有那些重要的考量因素呢?
既然PCI-DSS包含各種不同的規範,要符合其標準,最重要的是採行整合式的方法,來達到所有12項必備的要求,而非僅著重於解決個別的議題。核心規範必須考量的,包括固定網路、無線網路、資料與資料庫、IT資產與端點設備,及Web應用程式。很明顯的,企業組織別無選擇,勢必得部署各種安全設備,才能完全涵蓋這些核心規範的要求。然而,對企業組織最重要的,應是採行整合式的方式,才能有效提升效能與安全性,並且降低成本。
為什麼呢?舉例來說,以固定網路的規範而言,PCI核心要求包含網路隔離管理、進出流量控管,以及DMZ隔離區的建置等等,這些功能都是傳統防火牆無法提供的,唯一的方法是採用整合式的UTM設備,一次提供所有的功能,有效降低成本與安全架構的複雜性。
使用來自各個不同廠商的產品,雖然同樣可行,但不同的產品與服務,其結果便是複雜度增加,例如支援、維護和教育訓練等等,同時整體擁有成本也會增加。最理想的方式,自然是儘量減少合作廠商的數量,由單一廠商提供的單一安全平台,將能協助企業組織強化安全防護,減少PCI專案導入失敗的風險。
(本文作者現任Fortinet台灣區總經理)