方案概述
新零售中的核心是資金流�、信息流和物流的數字化轉型��。在數字化轉型的過程中���,數據的采集�、存儲�、交換和使用是核心���,不僅體現在傳統的數據中心�,數字化轉型的觸角已經深入到了門店和倉儲物流中心�。數據在整個經營過程中體現出了越來越重要的價值����。這使得網絡安全����、信息安全和數據安全變得越來越重要���。
人臉識別�、智能支付��、NFC近場通信�、虛擬現實����、增強現實等技術的大規模使用都依賴于良好的基礎架構和整體安全設計���?s小攻擊平面與****化利用云計算��,大數據��,4G/5G�、WiFi���、藍牙等技術為新零售服務成為CIO們關注的方向����。本方案從零售業在新零售的轉型過程中的業務與發展特點闡述了如何依托Fortinet的Security Fabric的安全架構保護企業的基礎架構和應用安全�。其中內容包括:
1.利用Fortinet SAA(安全接入架構)解決方案輕松實現門店的有線�、無線�、智能終端的組網與用戶接入認證���、監控����,并利用SD-WAN技術實現分支�、區域中心和數據中心的高速穩定的互聯
2.借助Fortinet豐富的產品線���,對數據中心(物理�����,私有云����,公有云)進行全面防護�����,保護其免受DDoS攻擊����、基于漏洞的攻擊�、Web應用攻擊等各種攻擊方式�。
3.采用零接觸部署的方式��,快速簡便的部署安全解決方案����,能夠節省大量的部署成本����,實現門店規模和地點的快速擴張���。
4.實現集中管理�����,集中監控���,集中運營的安全體系�。
5.滿足《網絡安全法》�����,等級保護等法律法規監管和行業規范要求
1. 新零售信息化發展及趨勢
新零售��,即企業以互聯網為依托�,通過運用大數據����、人工智能等先進技術手段并運用心理學知識�����,對商品的生產�����、流通與銷售過程進行升級改造�����,進而重塑業態結構與生態圈��,并對線上服務���、線下體驗以及現代物流進行深度融合的零售新模式���。如果公司能夠時刻以消費者為中心��,那么新技術將有助于這些企業保持商業競爭力��。Gartner零售業務團隊的研究主管Robert Hetu說:“在很多情況下���,將更多的物理體驗數字化�,可以更有效地與客戶建立聯系������!
在今天的互聯網+時代�����,應用新技術���、發展新模式���、培育新業態�����、拓展新領域成為了零售業轉型創新的主要路徑����。智慧流通的智能商業成為零售業發展方向��,在這一時期��,大數據成為零售業發展重要手段����。在互聯網時代�,掌握大量的客戶信息并有效開發利用�,是智慧商業的核心所在��。目前���,一些零售企業已經將自己定位為基于大數據服務提供生活解決方案的服務商����。
隨著以信息技術為代表的科學技術以前所未有的速度在發展��,科學技術主要是信息技術的運用將進一步深入����,滲透到零售業經營管理的每一環節和每一職能中�,零售業的科技信息化將呈現如下發展趨勢:
商務智能技術與ERP�����、SCM��、CRM等信息化產品融合
BI(商務智能)的聯機分析功能與傳統的ERP(企業資源計劃)系統�����、SCM(供應鏈管理)系統和CRM(客戶關系管理)系統融于一體��,形成分析型ERP系統���、分析型SCM 系統和分析型的CRM 系統�����。體現由數據搜集到數據挖掘��,由數據處理到人機協同的技術趨勢�����。分析型ERP系統將ERP與BI融合���,改變傳統ERP只擅長處理事務型數據的局限���,為零售業提供ERP數據的接入�����、分享�、分析和報告的新能力�。
零售業利用BI工具整合SCM系統��,從SCM系統中提取大量數據并加以分析���,幫助零售企業識別運營趨勢��,做出科學決策����,尋找原材料企業����,評估供應商和評估經營效率�。
CRM分為運作和分析兩個層面����,傳統CRM主要運用于運作層面�����。CRM植入BI���,成為分析型的CRM���,分析層面的CRM可以接入和分析更廣泛�����、更深入的客戶數據����,獲取和利用客戶滿意度信息�����。
信息技術運用的集成化���、網絡化
先進技術越來越廣泛運用于零售業����,縱觀零售業技術運用的脈絡�,以計算機網絡技術為依托�,加快信息傳遞速度與效率�,提高信息精確度是其發展方向�����。
從分散化到集成化��。零售業信息技術運用不再是分散進行�����,而是向集成化建設���、互聯互通轉變���,消除信息孤島和數字鴻溝����。通過跨區域����、跨業態的產品集成�����、應用集成和網絡集成���,零售企業可有效實現系統之間�����、上下游企業之間�����,以及商流����、信息流�����、物流����、資金流之間的無縫對接�����。
實體服務向虛擬體驗轉變
零售業科學技術的運用與進步����,將導致消費者購物習慣發生實質性的改變���。全球寬帶和3D互聯網技術���、第二人生和虛擬試衣間的虛擬世界體驗����、智能手機和無線設備等新一代信息技術在零售業中的運用�����,將給消費者帶來無縫式的虛擬+體驗型購物的樂趣����,自助服務�����、自動結賬系統�����、個人購物助理將成為零售業的新面貌����。
視頻觸摸技術支撐下的專賣店���。專賣店門口設置電子顯示屏��,顧客進店, 門口的感應器自動啟動客戶服務系統�����,通過店員接待����,顧客的選貨����、購買�、付賬等過程全部記錄在線����,為商店的后續服務提供信息資料�。專賣店里設置電子顧問系統����,系統互動終端會為顧客自動啟動產品介紹�����、試聽�����、試衣��、配裝等服務��,為顧客提供全新的購物體驗���。
無線個人導購��。隨著4G移動通訊技術和WIFI技術的推廣和運用��,零售店將實時出現無線個人導購系統�����,每一部購物車上都會配備無線個人導購終端和條形碼掃描儀�����,導購系統終端具備顯示顧客位置��、實點貨架產品介紹���、自動掃描貨車中物品的種類和價格�����、測量貨車中物品的重量和體積等功能�,收銀臺前根據導購終端顯示���,顧客即可刷卡付賬����,方便快捷��。
高端新興信息技術的運用
IT 技術成為零售業提升自身實力��,實現競爭取勝的最有力武器����。從科技運用的發展趨勢看���,未來的新興信息技術將在零售業中得到更加廣泛的運用��。這些新興技術主要有:呼叫中心(call center)�����、客流量統計��、全球定位系統(GPS)����、二維條碼��、無線射頻(RFID)��、顧客智能(CI)���、多渠道營銷(Multichannel)�、在線顧客服務(Live Service)�、顧客自動服務(Self Assistant Service)��、消費社區(Consumer Service)等�。個人購物幫手��、信息查詢機��、智能磅秤�、電子貨架卷標����、智能型貨架�����、電子廣告牌��、無線射頻等高科技的廣泛應用�����,讓顧客享有差異化購物體驗�����,同步協助商店監控貨品流向和存貨數量��。
2. 零售業信息安全需求分析
零售行業的經營模式正在發生著巨大的變化��,傳統的百貨零售業向規�����;�����、連鎖化發展����。面對激烈競爭��,零售行業不僅需要調整業務模式����,還更需要借助信息化手段擴展經營手段��。對零售業而言�����,IT不只是單純的管理工具�����,而是企業的核心競爭力�����。
在信息流�����,物流和資金流全面數字化轉型的時代�����,下圖所展示內容有了更加豐富的內涵和外延:
在數字化轉型的過程中���,面向客戶的網站���、APP��、廣告和付款通道�����,面向企業內部管理的數據分析�����、物流和資金運轉�����、客戶體驗提升等都成為在現今新零售行業競爭中的最重要的能力當中的幾個���。
根據國際權威的咨詢機構的數據�����,在2018年���,有50%的零售商遭遇了入侵和數據竊取�����,85%的零售商增加了信息系統安全的投資�����。
既然數字化轉型關乎企業的生存和發展���,那么對其過程和成果的保護就日益重要�。在保護數字化轉型的過程中���,有兩個方面尤其重要:
法律法規的遵從:這其中包括但不限于《網絡安全法》���,等級保護���,PCI DSS等國家和行業法律規范�。
對來自于各個攻擊平面的風險進行監視和控制:對來自不同位置(門店�����、數據中心���、企業辦公網)��,不同應用(網站�����、APP��、遠程支付系統)�����,不同形式(有線��,無線��,物理��,虛擬化���,公有云)��,不同級別(嚴重��,普通�,已知威脅�,未知威脅)的不同的安全威脅提供安全可視化和防御手段���。
本文接下來將以網絡位置為主線��,描述Fortinet在各個位置中的不同應用的安全和威脅防護的解決方案����。
2.1 零售業的網絡組成
零售業的網絡一般可分為三個部分:
門店和倉儲
數據中心����,包括物理數據中心��、私有云和公有云
企業總部
拓撲如下圖所示:
零售店面和倉庫網絡:零售店面的網絡規模通常有大有小����,既有幾臺 PC 的小型店面��,也可以有上百個信息終端 的超市����。門店的Internet接入具有承載銷售數據����、貨物信息查詢等實時的需求�,因此對穩定性要求比較高的旗艦型門店等通常也需要多ISP接入或4G連接備份來提供可靠性���。門店與總部/數據中心之間采用了SD-WAN實現數據的快速和安全的互通��。過去零售業常規收銀機只能處理簡單收銀����、發票�、找零等操作���,管理層得到的情報僅止于銷售總金額���,對諸如營業毛利分析�、單品銷售資料���、暢滯銷商品�����、商品庫存���、回轉率等等信息卻無法獲得�。在全新的物聯網時代�����,無線終端的“無限”應用將零售業務的各個環節都串聯成網����,每一筆交易操作�、每一件貨物信息都可以隨時獲取���,不但讓日常管理迎韌有余����,同時讓消費者收益頗多�����。WiFi的引入極大了提升了顧客的購物體驗的同時也給門店的網絡組建����、維護帶來更大的挑戰�����。連鎖門店因快速擴張�����,IT建設資金有限�����,IT人員維護人員能力也不足����,對連鎖門店的信息化提出了如下需求:
信息化系統快速部署����;
網絡簡單���,集成度高����,投資少���;
總部與分店充分利用不同的線路進行高速的��、冗余的和安全的連接訪問����。
數據中心網絡:隨著大數據的應用和發展�,海量數據的存儲和挖掘��,已經成為未來大數據重要組成部分�。在用戶需求轉型和變化的情況下�����,構建一個高效����、可靠的數據中心��,更好挖掘數據���,為企業獲取更多數據潛在的價值����,成為未來零售企業IT架構創新和建設的重點���。當前����,越來越多的零售企業深入洞察數據信息的深層次需求�����,積極應對大數據��、虛擬化��、云計算等全新技術發展趨勢����,開啟了下一代數據中心建設浪潮����。
企業總部:零售企業的核心所在���,對多個門店��、庫房進行網絡的匯聚���,為零售業務提供實時的信息交互����,為總部日常工作的網絡平臺�������?偛康Internet連接通常包括多ISP接入以提供可靠性��。
2.2安全需求分析
零售店面和倉庫網絡
安全與效率的平衡永遠是一個需要考慮的問題�,管理者在門店和倉庫中快速的部署有線和無線網絡��,同時通過最有效率的方式����,連接到數據中心和公司總部���,當然現在還有許多Internet和基于公有云的服務(如企業自建在公有云上的應用�,以及諸如office365和Sales Force等應用)����。
在高速���、穩定�����、經濟的網絡基礎架構建設的同時�����,對于身份認證和網絡使用的安全不可忽視�。從2017年開始流行的勒索病毒���,采用了蠕蟲式的方式在內網傳播�����,必須在零售店面和倉庫與企業總部和數據中心連接的時候�����,進行安全的過濾�,避免出現不可控制的病毒大面積爆發����。讓合適的人和設備擁有合適的IT資源訪問權限�,也是必須要考慮的問題����,否則會出現越權訪問�����,甚至是數據泄露的嚴重問題����,不僅影響企業的聲譽和經營行為�����,同時也有違反《網絡安全法》和等級保護的危險�。
新零售的特點之一就是要快速響應客戶的需求��,因此快速開店�、轉移和關店成為常態����。IT系統以及安全系統也需要能夠具備相應的靈活性���,實現零接觸部署���、統一監控和管理����。
數據中心網絡:
零售業的數據中心通常承載著客戶數據�、商品信息��、訂單信息�、促銷活動信息等重要而敏感的數據����,是網絡攻擊和數據竊取的重要目標����。它通常面臨著諸如DDoS攻擊����、基于Web應用的攻擊���、基于系統漏洞的網絡滲透�、惡意軟件的傳播和高級持續性威脅�����。
同時���,數據中心的形式也在不斷的發展�,從物理數據中心到基于虛擬化的私有云�,目前向公有云遷移數據中心的部分功能也是IT發展的一個重要方向��������?陀^上數據中心變得靈活而便宜����,但是隨之帶來的安全問題�、攻擊平面擴大的問題顯得更加突出����。
所以安全防護體系必須能夠在不同形式的數據中心內提供上述的攻擊和威脅的檢測和防護方法����。并且能夠根據客戶業務的發展���,在規模和性能上具備高度的可擴展性和彈性�。
企業總部
主要體現為辦公網的企業總部���,在面臨新的安全形勢的時候���,必須能夠做到良好的身份認證和管理�、對高級可持續性威脅的感知和防護�、安全域的劃分和Internet邊界防護�。
目前在全球興起的零信任網絡安全機制下����,持續的認證和基于身份的IT資源訪問成為被廣泛認可的信息安全設計模式��。這要求在辦公網中首先確認安全域的不同安全級別�����,然后在內部用內網隔離防火墻進行訪問控制����,配合全網身份認證系統��,確保合適的人和設備可以訪問相應的IT資源�����。這樣能夠****程度的保障數據和網絡的安全使用����。
許多著名的數據泄漏事件都是從辦公網被黑客攻陷��,然后滲透到更有價值的服務器和數據中心的�����。所以對于高級可持續性威脅�����、僵尸網絡��、勒索病毒等嚴重網絡威脅����,也需要能夠感知并提供防護手段��。
基于對零售業網絡組成及其業務特點的分析�,零售行業在打造安全的分布式環境上應聚焦在以下四個主要的方面�����,并采取相應的措施解決其面臨的問題:
店面層:隨著移動設備的普及化�,零售門店將網絡訪問擴展到雇員與消費者�,訪問安全是至關重要的����。單店層面的安全與連接性需求包括WiFi��、語音與傳統的網絡連接�����。隨著消費者接入網絡的需求越來越明顯���,每個店面必須能夠提供安全的功能��,例如反灰色軟件與應用控制�����。
數據中心: 針對DDoS攻擊�、基于Web應用的攻擊���、基于系統漏洞的網絡滲透�、惡意軟件的傳播和高級持續性威脅��,數據中心必須部署防DDoS���、數據中心防火墻和IPS�,WAF以及微分段防火墻��。
企業辦公網:針對辦公網中面臨的挑戰�����,在Internet邊界處部署NGFW是整個業界的標準配置��。同時���,針對不同安全等級的部門和網絡�,需要用內網隔離防火墻進行安全域的劃分��。設備的接入管理系統��,用戶的身份認證系統都是必要的管理網絡使用者的方式�。沙盒作為上述所有系統的補充��,提供了未知威脅的檢測和防御能力��。
集中管理:如果當代零售行業的特點是分布式店面不斷的擴張�,那么集中管理與快速的調整各種安全設備以應變不斷的安全威脅是必需的����,企業級的安全平臺既可以滿足各個店鋪的擴展需求又具有統一管理的安全需求是高效的部署選擇�����。將數據中心�,辦公網連接在一起后����,集中的安全管理成為越來越重要的環節���。
3. 零售業信息安全解決方案整體設計
Fortinet作為全球領先的網絡安全解決方案提供商服務于企業�����、運營商���、數據中心以及互聯網等多種部署場景�����。
Security Fabric是Fortinet公司提出的一個具有覆蓋主要攻擊平面的���,安全可視化的�,多種安全技術和產品智能協同工作的��,自動響應安全事件的一個完整的網絡安全體系�����。
在Security Fabric中��,包含了以下幾個部分:
網絡安全:下一代防火墻�,數據中心防火墻����,虛擬化防火墻���,內網隔離防火墻和SD-WAN網關
云安全:私有云���,公有云和混合云的安全�。支持所有主流云平臺��。
接入安全�����,終端安全���,應用安全:由FortiGate + FortiSwitch + FortiAP組成的SAA(安全接入架構)��,終端安全����,沙盒����,WAF�����,郵件安全���。
IoT與OT安全:廣泛的物聯網設備識別和接入控制能力�����,支持主流工業控制協議的入侵檢測����。
這些技術和產品通過Security Fabric體系進行聯動和共享威脅情報���,能夠最快速的響應來自任何攻擊平面的威脅����,及時呈現個管理者�,并能夠自動進行安全響應����,消除和降低威脅對企業的影響���。
Fortinet Security Fabric引領著第三代安全的潮流����,將各個子系統的安全方案有機的整合在了一起��,保障企業的整體安全�。
針對新零售轉型下的零售業的安全風險和需求�����,Fortinet提出以下的解決方案:
零售門店和倉儲:
數據中心
FortiDDoS專門應對針對應用的DDoS攻擊����,如HTTP���,FTP����,DNS等
FortiGate作為SD-WAN的中心端���,連接來自零售店面和倉儲的網絡�����。
FortiGate作為數據中心防火墻和IPS��,提供業界最高性能的��,以及得到NSS Lab認可的最高的安全效能的解決方案����。
FortiGate還可以作為內網隔離防火墻�����,在數據中心內部��,將前置服務器�����,應用中間件和數據庫進行有效的隔離����。
FortiWeb作為Gartner和NSS Labs雙重認可的WAF產品����,提供業界最高性價比的WAF解決方案�����。
總部辦公網
FortiGate作為Internet邊界的NGFW����,提供豐富的安全功能�����,流量可視化����,基于應用和身份的訪問控制等功能�����,以及IPSec和SSL VPN功能�����。能夠應對網絡攻擊����、僵尸網絡���、網絡病毒等各種安全風險����。
FortiAuthenticator和FortiToken提供靈活的認證方案���,與FortiGate配合���,實現強身份認證和基于用戶及用戶組的訪問控制策略�����。
FortiMail作為Gartner和IDC推薦的郵件安全網關���,保護企業的郵件服務器免受垃圾郵件����、釣魚郵件和郵件病毒的侵害���。
FortiSandbox是業績最高性能的沙盒解決方案�����,其****的特點是通過Security Fabric與FortiGate��,FortiWeb, FortiMail����,FortiClient進行聯動�,發現并解決高級可持續性威脅和勒索軟件等高級攻擊�。
Security Fabric部署完成后��,對整體的網絡風險就具備業界一流的防護能力
