公共Wi-Fi安全隐患再探：合规视角下的风险警示

作者：Jordan Drysdale
警告： 本文提及的技术和工具可能已过时，但仍可作为学习现代安全技术的基础参考。

（阅读Jordan本系列第一部分请点击此处）
去年底，PCI-DSS带着最新合规要求席卷而来。企业主如今需要梳理、理解并制定处理"信用卡数据流"的政策和流程。但对大多数企业而言，专职IT人员和安全知识几乎不存在。那么——您应该要问——PCI合规和公共Wi-Fi不安全有何关联？在中小型企业中，若IT资源匮乏或仅有一人运维，同时提供公共无线网络，几乎可以断定这些系统是互连的。直白地说：如果您的IT预算仅数千甚至为零，就不应提供公共Wi-Fi。

首要原因： 您的公司刷信用卡，某支付处理商要求您符合PCI标准。企业部署无线网络的瞬间就亮起红灯。当然，通过复杂的RADIUS配置、证书部署和数小时测试可以实现安全，但猜猜看？如果您完全不懂我在说什么，您的Wi-Fi很可能不安全。再次审视IT预算：谁将这台崭新的无线设备接入网络？是否连接到了企业内网？“信用卡数据流"是否经过同一网络？如果无人知晓，网络拓扑未反映新设备，且变更管理文档缺失，猜猜结果？您不符合PCI要求。

第二个避免无线网络的理由： 作为信用卡商户，您需对网络上因盗窃导致的损失负责。如果企业缺乏网络管理基础——如网络拓扑、合理使用政策、变更管理和网页过滤——信用卡公司将聘请审计员彻查您的组织。几乎在所有此类案例中，中小企业都被认定负有责任。

另一个不应提供公共Wi-Fi的理由：责任。 如果企业提供了违法行为发生的媒介，企业需承担责任。回到预算问题：如果预算未包含网页过滤、白名单、数据防泄露和主动管理，就不应提供公共无线。无论您是否理解这些，它们都是IT和网络安全的基础。当有人利用您的公共Wi-Fi造成伤害，而您未实施内容限制（色情、暗网等），您需负责。

若网络发生安全事故并提交网络保险索赔，预计会有审计员介入。保险公司将审核您的政策流程并访谈员工。如果没有信用卡处理政策或员工未受培训，您需负责。如果信用卡网络与企业数据网络共用，您很可能需负责。审计员会要求查看信用卡数据流图。另外，您要求客户"插芯片"还是刷卡？如果未使用芯片密码技术（截至本文撰写时），您需负责。

为缩小合规范围，应要求将信用卡扫描器安装在传统电话线路上。这些设备应支持芯片密码技术。定期提醒员工在IT系统和安全中的职责。参考SANS学院的敏感数据处理样本政策，为您的组织制定规范！审核IT供应商；向社交圈咨询本地可信服务商。部署新方案后，要求供应商提供更新后的网络拓扑图。最后，淘汰公共Wi-Fi——它带来的损失可能远超"宾客Wi-Fi"的价值。

参考链接：

• SANS: https://www.sans.org
• SANS政策样本: https://www.sans.org/security-resources/policies
• PCI实施方法: https://www.pcisecuritystandards.org/documents/Prioritized_Approach_for_PCI_DSS_v3-1.pdf