当所有数据都必须通过单根电缆传输时,我们如何在多栋建筑物之间建立安全、分段的网络?
背景:我为一家非营利组织工作,该组织在一个园区内有 5 栋建筑。我们没有 IT 部门。由于我发现当前安排存在各种安全问题,因此我正在尝试设计一种使网络更高效、更安全的方法。我是一名软件工程师,而不是网络工程师或网络安全专家。
当前参数:
所有东西都共享一个互联网连接。
LAN 没有分段。
所有设备均具有平等的访问权限,并且每个设备都可以看到所有其他设备。
每个房间都有一个或多个有线网络端口。
存在多个无线路由器/接入点。
一栋建筑包含地下电缆的主要服务入口。其他建筑通过光纤与其连接(每栋建筑 1 条电缆)
两栋建筑中各有一台 PC 处理信用卡交易,因此属于 PCI 合规要求的范围。
一台 Windows 服务器为大多数用户处理 DHCP 和文件存储。
我的理解是,信用卡电脑需要与网络的其余部分隔离,以避免所有办公室电脑根据 PCI-DSS 被归类为“连接设备”。
至少,我希望网络为受 PCI-DSS 影响的设备提供一个安全段,为会计和人员等内部敏感数据提供一个子网,并将访问者的连接限制为仅限互联网访问。
答案1
答案的第一部分(简单)是 VLAN 和 ACL。就是这样;这是您的一般指导。
其余部分取决于您具体符合哪些 PCI 要求。您可能需要实施 IDS/IPS - 也可能不需要。您可能需要实施 Tripwire 之类的东西 - 也可能不需要。
因此,您应该将工作外包给具有 PCI 经验的合格 IT 服务机构。对于这种审计,您需要知道该做什么,并解释为什么这样做符合审计标准。
/编辑 - 用读卡器替换处理信用卡交易的 PC 可能比尝试将您的 LAN 升级到 PCI 规格更便宜。当然,该规格中有许多东西无论如何都是很好的做法。所以,是的 - 聘请可以为您的“我必须”和“我想要”列表提供建议并实施的人。