方案概述

新零售中的核心是资金流、信息流和物流的数字化转型。在数字化转型的过程中，数据的采集、存储、交换和使用是核心，不仅体现在传统的数据中心，数字化转型的触角已经深入到了门店和仓储物流中心。数据在整个经营过程中体现出了越来越重要的价值。这使得网络安全、信息安全和数据安全变得越来越重要。

人脸识别、智能支付、NFC近场通信、虚拟现实、增强现实等技术的大规模使用都依赖于良好的基础架构和整体安全设计。缩小攻击平面与****化利用云计算，大数据，4G/5G、WiFi、蓝牙等技术为新零售服务成为CIO们关注的方向。本方案从零售业在新零售的转型过程中的业务与发展特点阐述了如何依托Fortinet的Security Fabric的安全架构保护企业的基础架构和应用安全。其中内容包括：

1.利用Fortinet SAA（安全接入架构）解决方案轻松实现门店的有线、无线、智能终端的组网与用户接入认证、监控，并利用SD-WAN技术实现分支、区域中心和数据中心的高速稳定的互联

2.借助Fortinet丰富的产品线，对数据中心（物理，私有云，公有云）进行全面防护，保护其免受DDoS攻击、基于漏洞的攻击、Web应用攻击等各种攻击方式。

3.采用零接触部署的方式，快速简便的部署安全解决方案，能够节省大量的部署成本，实现门店规模和地点的快速扩张。

4.实现集中管理，集中监控，集中运营的安全体系。

5.满足《网络安全法》，等级保护等法律法规监管和行业规范要求

1. 新零售信息化发展及趋势

新零售，即企业以互联网为依托，通过运用大数据、人工智能等先进技术手段并运用心理学知识，对商品的生产、流通与销售过程进行升级改造，进而重塑业态结构与生态圈，并对线上服务、线下体验以及现代物流进行深度融合的零售新模式。如果公司能够时刻以消费者为中心，那么新技术将有助于这些企业保持商业竞争力。Gartner零售业务团队的研究主管Robert Hetu说：“在很多情况下，将更多的物理体验数字化，可以更有效地与客户建立联系。”

在今天的互联网+时代，应用新技术、发展新模式、培育新业态、拓展新领域成为了零售业转型创新的主要路径。智慧流通的智能商业成为零售业发展方向，在这一时期，大数据成为零售业发展重要手段。在互联网时代，掌握大量的客户信息并有效开发利用，是智慧商业的核心所在。目前，一些零售企业已经将自己定位为基于大数据服务提供生活解决方案的服务商。

随着以信息技术为代表的科学技术以前所未有的速度在发展，科学技术主要是信息技术的运用将进一步深入，渗透到零售业经营管理的每一环节和每一职能中，零售业的科技信息化将呈现如下发展趋势：

1. 商务智能技术与ERP、SCM、CRM等信息化产品融合

BI（商务智能）的联机分析功能与传统的ERP（企业资源计划）系统、SCM（供应链管理）系统和CRM（客户关系管理）系统融于一体，形成分析型ERP系统、分析型SCM 系统和分析型的CRM 系统。体现由数据搜集到数据挖掘，由数据处理到人机协同的技术趋势。分析型ERP系统将ERP与BI融合，改变传统ERP只擅长处理事务型数据的局限，为零售业提供ERP数据的接入、分享、分析和报告的新能力。

零售业利用BI工具整合SCM系统，从SCM系统中提取大量数据并加以分析，帮助零售企业识别运营趋势，做出科学决策，寻找原材料企业，评估供应商和评估经营效率。

CRM分为运作和分析两个层面，传统CRM主要运用于运作层面。CRM植入BI，成为分析型的CRM，分析层面的CRM可以接入和分析更广泛、更深入的客户数据，获取和利用客户满意度信息。

1. 信息技术运用的集成化、网络化

先进技术越来越广泛运用于零售业，纵观零售业技术运用的脉络，以计算机网络技术为依托，加快信息传递速度与效率，提高信息精确度是其发展方向。

从分散化到集成化。零售业信息技术运用不再是分散进行，而是向集成化建设、互联互通转变，消除信息孤岛和数字鸿沟。通过跨区域、跨业态的产品集成、应用集成和网络集成，零售企业可有效实现系统之间、上下游企业之间，以及商流、信息流、物流、资金流之间的无缝对接。

1. 实体服务向虚拟体验转变

零售业科学技术的运用与进步，将导致消费者购物习惯发生实质性的改变。全球宽带和3D互联网技术、第二人生和虚拟试衣间的虚拟世界体验、智能手机和无线设备等新一代信息技术在零售业中的运用，将给消费者带来无缝式的虚拟+体验型购物的乐趣，自助服务、自动结账系统、个人购物助理将成为零售业的新面貌。

视频触摸技术支撑下的专卖店。专卖店门口设置电子显示屏，顾客进店, 门口的感应器自动启动客户服务系统，通过店员接待，顾客的选货、购买、付账等过程全部记录在线，为商店的后续服务提供信息资料。专卖店里设置电子顾问系统，系统互动终端会为顾客自动启动产品介绍、试听、试衣、配装等服务，为顾客提供全新的购物体验。

无线个人导购。随着4G移动通讯技术和WIFI技术的推广和运用，零售店将实时出现无线个人导购系统，每一部购物车上都会配备无线个人导购终端和条形码扫描仪，导购系统终端具备显示顾客位置、实点货架产品介绍、自动扫描货车中物品的种类和价格、测量货车中物品的重量和体积等功能，收银台前根据导购终端显示，顾客即可刷卡付账，方便快捷。

1. 高端新兴信息技术的运用

IT 技术成为零售业提升自身实力，实现竞争取胜的最有力武器。从科技运用的发展趋势看，未来的新兴信息技术将在零售业中得到更加广泛的运用。这些新兴技术主要有：呼叫中心（call center）、客流量统计、全球定位系统（GPS）、二维条码、无线射频（RFID）、顾客智能（CI）、多渠道营销（Multichannel）、在线顾客服务（Live Service）、顾客自动服务（Self Assistant Service）、消费社区（Consumer Service）等。个人购物帮手、信息查询机、智能磅秤、电子货架卷标、智能型货架、电子广告牌、无线射频等高科技的广泛应用，让顾客享有差异化购物体验，同步协助商店监控货品流向和存货数量。

2. 零售业信息安全需求分析

零售行业的经营模式正在发生着巨大的变化，传统的百货零售业向规模化、连锁化发展。面对激烈竞争，零售行业不仅需要调整业务模式，还更需要借助信息化手段扩展经营手段。对零售业而言，IT不只是单纯的管理工具，而是企业的核心竞争力。

在信息流，物流和资金流全面数字化转型的时代，下图所展示内容有了更加丰富的内涵和外延：

在数字化转型的过程中，面向客户的网站、APP、广告和付款通道，面向企业内部管理的数据分析、物流和资金运转、客户体验提升等都成为在现今新零售行业竞争中的最重要的能力当中的几个。

根据国际权威的咨询机构的数据，在2018年，有50%的零售商遭遇了入侵和数据窃取，85%的零售商增加了信息系统安全的投资。

既然数字化转型关乎企业的生存和发展，那么对其过程和成果的保护就日益重要。在保护数字化转型的过程中，有两个方面尤其重要：

• 法律法规的遵从：这其中包括但不限于《网络安全法》，等级保护，PCI DSS等国家和行业法律规范。

• 对来自于各个攻击平面的风险进行监视和控制：对来自不同位置（门店、数据中心、企业办公网），不同应用（网站、APP、远程支付系统），不同形式（有线，无线，物理，虚拟化，公有云），不同级别（严重，普通，已知威胁，未知威胁）的不同的安全威胁提供安全可视化和防御手段。

本文接下来将以网络位置为主线，描述Fortinet在各个位置中的不同应用的安全和威胁防护的解决方案。

2.1 零售业的网络组成

零售业的网络一般可分为三个部分：

1. 门店和仓储

2. 数据中心，包括物理数据中心、私有云和公有云

3. 企业总部

拓扑如下图所示：

1. 零售店面和仓库网络：零售店面的网络规模通常有大有小，既有几台 PC 的小型店面，也可以有上百个信息终端 的超市。门店的Internet接入具有承载销售数据、货物信息查询等实时的需求，因此对稳定性要求比较高的旗舰型门店等通常也需要多ISP接入或4G连接备份来提供可靠性。门店与总部/数据中心之间采用了SD-WAN实现数据的快速和安全的互通。过去零售业常规收银机只能处理简单收银、发票、找零等操作，管理层得到的情报仅止于销售总金额，对诸如营业毛利分析、单品销售资料、畅滞销商品、商品库存、回转率等等信息却无法获得。在全新的物联网时代，无线终端的“无限”应用将零售业务的各个环节都串联成网，每一笔交易操作、每一件货物信息都可以随时获取，不但让日常管理迎韧有余，同时让消费者收益颇多。WiFi的引入极大了提升了顾客的购物体验的同时也给门店的网络组建、维护带来更大的挑战。连锁门店因快速扩张，IT建设资金有限，IT人员维护人员能力也不足，对连锁门店的信息化提出了如下需求：

2. 信息化系统快速部署；

3. 网络简单，集成度高，投资少；

4. 总部与分店充分利用不同的线路进行高速的、冗余的和安全的连接访问。

5. 数据中心网络：随着大数据的应用和发展，海量数据的存储和挖掘，已经成为未来大数据重要组成部分。在用户需求转型和变化的情况下，构建一个高效、可靠的数据中心，更好挖掘数据，为企业获取更多数据潜在的价值，成为未来零售企业IT架构创新和建设的重点。当前，越来越多的零售企业深入洞察数据信息的深层次需求，积极应对大数据、虚拟化、云计算等全新技术发展趋势，开启了下一代数据中心建设浪潮。

6. 企业总部：零售企业的核心所在，对多个门店、库房进行网络的汇聚，为零售业务提供实时的信息交互，为总部日常工作的网络平台。总部的Internet连接通常包括多ISP接入以提供可靠性。

2.2安全需求分析

1. 零售店面和仓库网络

安全与效率的平衡永远是一个需要考虑的问题，管理者在门店和仓库中快速的部署有线和无线网络，同时通过最有效率的方式，连接到数据中心和公司总部，当然现在还有许多Internet和基于公有云的服务（如企业自建在公有云上的应用，以及诸如office365和Sales Force等应用）。

在高速、稳定、经济的网络基础架构建设的同时，对于身份认证和网络使用的安全不可忽视。从2017年开始流行的勒索病毒，采用了蠕虫式的方式在内网传播，必须在零售店面和仓库与企业总部和数据中心连接的时候，进行安全的过滤，避免出现不可控制的病毒大面积爆发。让合适的人和设备拥有合适的IT资源访问权限，也是必须要考虑的问题，否则会出现越权访问，甚至是数据泄露的严重问题，不仅影响企业的声誉和经营行为，同时也有违反《网络安全法》和等级保护的危险。

新零售的特点之一就是要快速响应客户的需求，因此快速开店、转移和关店成为常态。IT系统以及安全系统也需要能够具备相应的灵活性，实现零接触部署、统一监控和管理。

1. 数据中心网络：

零售业的数据中心通常承载着客户数据、商品信息、订单信息、促销活动信息等重要而敏感的数据，是网络攻击和数据窃取的重要目标。它通常面临着诸如DDoS攻击、基于Web应用的攻击、基于系统漏洞的网络渗透、恶意软件的传播和高级持续性威胁。

同时，数据中心的形式也在不断的发展，从物理数据中心到基于虚拟化的私有云，目前向公有云迁移数据中心的部分功能也是IT发展的一个重要方向。客观上数据中心变得灵活而便宜，但是随之带来的安全问题、攻击平面扩大的问题显得更加突出。

所以安全防护体系必须能够在不同形式的数据中心内提供上述的攻击和威胁的检测和防护方法。并且能够根据客户业务的发展，在规模和性能上具备高度的可扩展性和弹性。

1. 企业总部

主要体现为办公网的企业总部，在面临新的安全形势的时候，必须能够做到良好的身份认证和管理、对高级可持续性威胁的感知和防护、安全域的划分和Internet边界防护。

目前在全球兴起的零信任网络安全机制下，持续的认证和基于身份的IT资源访问成为被广泛认可的信息安全设计模式。这要求在办公网中首先确认安全域的不同安全级别，然后在内部用内网隔离防火墙进行访问控制，配合全网身份认证系统，确保合适的人和设备可以访问相应的IT资源。这样能够****程度的保障数据和网络的安全使用。

许多著名的数据泄漏事件都是从办公网被黑客攻陷，然后渗透到更有价值的服务器和数据中心的。所以对于高级可持续性威胁、僵尸网络、勒索病毒等严重网络威胁，也需要能够感知并提供防护手段。

基于对零售业网络组成及其业务特点的分析，零售行业在打造安全的分布式环境上应聚焦在以下四个主要的方面，并采取相应的措施解决其面临的问题：

1. 店面层：随着移动设备的普及化，零售门店将网络访问扩展到雇员与消费者，访问安全是至关重要的。单店层面的安全与连接性需求包括WiFi、语音与传统的网络连接。随着消费者接入网络的需求越来越明显，每个店面必须能够提供安全的功能，例如反灰色软件与应用控制。

2. 数据中心： 针对DDoS攻击、基于Web应用的攻击、基于系统漏洞的网络渗透、恶意软件的传播和高级持续性威胁，数据中心必须部署防DDoS、数据中心防火墙和IPS，WAF以及微分段防火墙。

3. 企业办公网：针对办公网中面临的挑战，在Internet边界处部署NGFW是整个业界的标准配置。同时，针对不同安全等级的部门和网络，需要用内网隔离防火墙进行安全域的划分。设备的接入管理系统，用户的身份认证系统都是必要的管理网络使用者的方式。沙盒作为上述所有系统的补充，提供了未知威胁的检测和防御能力。

4. 集中管理：如果当代零售行业的特点是分布式店面不断的扩张，那么集中管理与快速的调整各种安全设备以应变不断的安全威胁是必需的，企业级的安全平台既可以满足各个店铺的扩展需求又具有统一管理的安全需求是高效的部署选择。将数据中心，办公网连接在一起后，集中的安全管理成为越来越重要的环节。
   

3. 零售业信息安全解决方案整体设计

Fortinet作为全球领先的网络安全解决方案提供商服务于企业、运营商、数据中心以及互联网等多种部署场景。

Security Fabric是Fortinet公司提出的一个具有覆盖主要攻击平面的，安全可视化的，多种安全技术和产品智能协同工作的，自动响应安全事件的一个完整的网络安全体系。

 在Security Fabric中，包含了以下几个部分：

1. 网络安全：下一代防火墙，数据中心防火墙，虚拟化防火墙，内网隔离防火墙和SD-WAN网关

   
   

    

2. 

3. 云安全：私有云，公有云和混合云的安全。支持所有主流云平台。

   
   

    

4. 

5. 接入安全，终端安全，应用安全：由FortiGate + FortiSwitch  + FortiAP组成的SAA（安全接入架构），终端安全，沙盒，WAF，邮件安全。

   
   

    

6. 

7. IoT与OT安全：广泛的物联网设备识别和接入控制能力，支持主流工业控制协议的入侵检测。

   
   

8. 

这些技术和产品通过Security Fabric体系进行联动和共享威胁情报，能够最快速的响应来自任何攻击平面的威胁，及时呈现个管理者，并能够自动进行安全响应，消除和降低威胁对企业的影响。

Fortinet Security Fabric引领着第三代安全的潮流，将各个子系统的安全方案有机的整合在了一起，保障企业的整体安全。

针对新零售转型下的零售业的安全风险和需求，Fortinet提出以下的解决方案：

1. 零售门店和仓储：

• 由FortiGate + FortiSwitch  + FortiAP组成的SAA（安全接入架构）解决快速部署Internet及专线接入、有线和无线网络的搭建、

• 通过FortiGate集成的SD-WAN快速稳定的连接整个企业网。Fortinet的SD-WAN解决方案，获得了Gartner和NSS Labs的推荐和认可。

1. 数据中心

• FortiDDoS专门应对针对应用的DDoS攻击，如HTTP，FTP，DNS等

• FortiGate作为SD-WAN的中心端，连接来自零售店面和仓储的网络。

• FortiGate作为数据中心防火墙和IPS，提供业界最高性能的，以及得到NSS Lab认可的最高的安全效能的解决方案。

• FortiGate还可以作为内网隔离防火墙，在数据中心内部，将前置服务器，应用中间件和数据库进行有效的隔离。

• FortiWeb作为Gartner和NSS Labs双重认可的WAF产品，提供业界最高性价比的WAF解决方案。

1. 总部办公网

• FortiGate作为Internet边界的NGFW，提供丰富的安全功能，流量可视化，基于应用和身份的访问控制等功能，以及IPSec和SSL VPN功能。能够应对网络攻击、僵尸网络、网络病毒等各种安全风险。

• FortiAuthenticator和FortiToken提供灵活的认证方案，与FortiGate配合，实现强身份认证和基于用户及用户组的访问控制策略。

• FortiMail作为Gartner和IDC推荐的邮件安全网关，保护企业的邮件服务器免受垃圾邮件、钓鱼邮件和邮件病毒的侵害。

• FortiSandbox是业绩最高性能的沙盒解决方案，其****的特点是通过Security Fabric与FortiGate，FortiWeb, FortiMail，FortiClient进行联动，发现并解决高级可持续性威胁和勒索软件等高级攻击。

Security Fabric部署完成后，对整体的网络风险就具备业界一流的防护能力