当所有数据都需要通过一根电缆时,我们如何能够在多个build筑物之间创build一个安全的分段networking?
背景:我在一个校园内有5栋build筑的非营利组织工作。 我们没有IT部门。 由于我在目前的安排中看到的各种安全问题,我正试图设法让networking更加高效和安全。 我是一名软件工程师,而不是networking工程师或networking安全专家。
当前参数:
一切都与互联网共享一个连接。
局域网不分段。
所有设备都有相同的访问权限,每个设备可以看到所有其他设备
每个房间都有一个或多个有线networking端口。
存在多个无线路由器/接入点。
一个build筑物包含地下电缆的主要服务入口。 其他build筑物通过光纤连接(每栋build筑物1根电缆)
两栋大楼各有一台PC处理信用卡交易,因此属于PCI合规要求范围。
一个Windows服务器为大多数用户处理DHCP和文件存储。
我的理解是,信用卡电脑需要与其他networking隔离,以避免所有办公室PC在PCI-DSS下被分类为“连接设备”。
至less,我希望看到networking为受PCI-DSS影响的设备提供了一个安全部分,这是一个内部敏感数据(如会计和人员)的子网,并且仅限访问者与互联网访问的连接。
答案中的第一个(简单)部分是VLAN和ACL。 你走了; 这是你的一般指导。
其余部分取决于您所属的PCI要求。 您可能需要实施IDS / IPS – 您可能不需要。 你可能需要实现像Tripwire这样的东西 – 你可能不会。
所以,你应该委托一个合格的IT服务机构,有PCI的经验。 对于这种审计,你需要知道该怎么做,并解释为什么这样做符合审计标准。
/编辑 – 使用读卡器replace处理信用卡交易的个人电脑可能会更便宜,而不是试图将您的局域网带入PCI规范。 当然,在这个规范中有很多东西都是很好的做法。 所以,是的 – 聘请一个谁可以build议和实施你的“我得到”和“我想要”的名单。