現(xiàn)代企業(yè)組織在開(kāi)展網(wǎng)絡(luò)安全建設(shè)時(shí)，往往會(huì)側(cè)重于防范網(wǎng)絡(luò)攻擊引發(fā)的風(fēng)險(xiǎn)，卻容易忽視物理環(huán)境的安全性，甚至有些網(wǎng)絡(luò)安全專業(yè)人員會(huì)認(rèn)為物理環(huán)境安全與網(wǎng)絡(luò)信息安全并不相關(guān)。但是事實(shí)上，網(wǎng)絡(luò)安全是一個(gè)整體，只要有一個(gè)地方出現(xiàn)了漏洞，攻擊者就有可能入侵成功，而保障物理環(huán)境安全是組織計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行的前提和基礎(chǔ)。

物理環(huán)境安全主要是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。在實(shí)際應(yīng)用時(shí)，企業(yè)的物理環(huán)境安全可能面臨的威脅主要包括：

?自然環(huán)境威脅：主要指洪水、地震、暴風(fēng)雨、火災(zāi)、極端的氣候條件等。

?供應(yīng)保障系統(tǒng)威脅：主要指停電、空調(diào)系統(tǒng)、通信中斷以及其他自然資源(如水、蒸汽、汽油)短缺等。

?人為威脅：未授權(quán)訪問(wèn)(內(nèi)部的和外部的)、爆炸、惡意員工造成的錯(cuò)誤和事故、故意破壞、欺詐、盜竊以及其他威脅。

?政治動(dòng)機(jī)引發(fā)的威脅：包括罷工、暴亂、恐怖襲擊等。

隨著網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升，攻擊者開(kāi)始選擇更獨(dú)特的攻擊路徑，物理環(huán)境安全成為新的突破點(diǎn)，其重要性也進(jìn)一步凸顯，企業(yè)需要更加重視物理環(huán)境安全的防護(hù)與建設(shè)。日前，“CSO在線”網(wǎng)站梳理了10個(gè)加強(qiáng)物理環(huán)境安全性的關(guān)鍵措施，可以為企業(yè)加強(qiáng)物理環(huán)境安全建設(shè)提供參考：

1、加固IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心

數(shù)據(jù)中心和敏感的IT基礎(chǔ)設(shè)施是企業(yè)需要重點(diǎn)保護(hù)的物理環(huán)境因素。所采取的安全措施應(yīng)因設(shè)施類型而異，可根據(jù)風(fēng)險(xiǎn)高低來(lái)擴(kuò)縮規(guī)模。對(duì)于存放關(guān)鍵信息數(shù)據(jù)的物理環(huán)境(比如放置敏感服務(wù)器的辦公室)，應(yīng)該實(shí)行最高等級(jí)的安全控制。因此，企業(yè)的安全管理者(CISO)必須了解數(shù)據(jù)資源的物理存儲(chǔ)情況，評(píng)估相應(yīng)的環(huán)境設(shè)施遭到破壞后帶來(lái)的風(fēng)險(xiǎn)，并以此針對(duì)性地加強(qiáng)物理環(huán)境保護(hù)。

2、日常辦公環(huán)境安全

在現(xiàn)代網(wǎng)絡(luò)攻擊中，即便是最平常的辦公環(huán)境，也可能成為惡意攻擊者的潛入目標(biāo)，甚至辦公環(huán)境中的任何網(wǎng)絡(luò)插孔都可能成為非法進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的通道。因此，安全運(yùn)營(yíng)人員應(yīng)深入?yún)⑴c所有辦公環(huán)境設(shè)施的物理安全架構(gòu)和標(biāo)準(zhǔn)制定，無(wú)論其敏感度如何，以確保落實(shí)合適的縱深防御措施，防止對(duì)IT環(huán)境進(jìn)行非法的物理訪問(wèn)。

盡管遠(yuǎn)程和混合工作在一定程度上改變了傳統(tǒng)對(duì)辦公室的定義，但CISO還是應(yīng)該嚴(yán)格監(jiān)管一些基本的物理安全工作。企業(yè)仍需要確保在辦公室落實(shí)足夠的物理安全控制措施，部署端口安全措施、無(wú)線接入點(diǎn)安全、門(mén)禁系統(tǒng)和攝像頭在今天仍然很重要，不容忽視。

3、阻止物理環(huán)境中的橫向運(yùn)動(dòng)

當(dāng)企業(yè)審查物理環(huán)境安全的風(fēng)險(xiǎn)時(shí)，應(yīng)該重點(diǎn)關(guān)注攻擊者在企業(yè)物理空間中的橫向移動(dòng)和非法闖入的容易程度。一旦攻擊者設(shè)法潛入了公司辦公大樓、數(shù)據(jù)倉(cāng)庫(kù)或經(jīng)營(yíng)場(chǎng)地，就可以更容易地開(kāi)展攻擊活動(dòng)，除非組織采取了有效的管控措施。

就像組織使用分段和零信任身份驗(yàn)證來(lái)保護(hù)網(wǎng)絡(luò)中的數(shù)字資產(chǎn)一樣，當(dāng)有人在企業(yè)的辦公環(huán)境中隨意走動(dòng)和訪問(wèn)時(shí)，組織應(yīng)及時(shí)查證其訪問(wèn)權(quán)和目的，如果有人靠近最敏感的區(qū)域或房間時(shí)，需要能夠及時(shí)發(fā)現(xiàn)確保已落實(shí)了嚴(yán)格的措施。

4、保護(hù)托管和云端的資產(chǎn)

企業(yè)對(duì)物理環(huán)境安全的監(jiān)管不應(yīng)該局限于組織自身的辦公環(huán)境中，還需要考慮如何保護(hù)位于托管數(shù)據(jù)中心或云上的資產(chǎn)。企業(yè)需要對(duì)每臺(tái)和自身數(shù)據(jù)相關(guān)的機(jī)架設(shè)施進(jìn)行保護(hù)，并能夠通過(guò)遠(yuǎn)程技術(shù)手段加以控制和審計(jì)。此外，即使組織完全無(wú)法參與系統(tǒng)的物理安全維護(hù)工作，比如在使用公共云和SaaS資源時(shí)，CISO仍需要清楚的評(píng)估這些系統(tǒng)是如何加以物理控制的。此時(shí)，企業(yè)九需要了解合同和服務(wù)級(jí)別協(xié)議的重要性以及第三方審計(jì)認(rèn)證的價(jià)值。

5、保護(hù)OT環(huán)境中的物理連接

除了要思考物理中的操作會(huì)如何影響網(wǎng)絡(luò)環(huán)境外，企業(yè)還需要考慮網(wǎng)絡(luò)活動(dòng)對(duì)物理環(huán)境(無(wú)論是生產(chǎn)裝配線、發(fā)電廠還是采礦作業(yè))可能造成怎樣的風(fēng)險(xiǎn)影響。如今IT環(huán)境和OT環(huán)境高度融合，企業(yè)必須高度關(guān)注其設(shè)施中的物理到網(wǎng)絡(luò)連接，即使它們不在封閉的工業(yè)環(huán)境下運(yùn)營(yíng)。只要物理環(huán)境中的工業(yè)控制設(shè)備可以遠(yuǎn)程控制或管理，企業(yè)就需要做好安全防護(hù)工作。未經(jīng)授權(quán)使用鍋爐或高爐等工業(yè)機(jī)械設(shè)備，可能導(dǎo)致嚴(yán)重的故障，甚至危及操作人員的生命安全。

6、對(duì)廣泛部署的物聯(lián)網(wǎng)設(shè)備需要重點(diǎn)管控

說(shuō)到物理/網(wǎng)絡(luò)連接，現(xiàn)代企業(yè)需要考慮的一個(gè)重點(diǎn)物理環(huán)境安全考量因素就是如何保護(hù)分布廣泛的物聯(lián)網(wǎng)設(shè)備。與OT系統(tǒng)一樣，物聯(lián)網(wǎng)系統(tǒng)可以控制汽車、輪船、飛機(jī)、工廠和電梯等多種設(shè)備。這些設(shè)備必須有內(nèi)部監(jiān)測(cè)功能，以檢測(cè)和防止惡意操作，比如未經(jīng)授權(quán)的軟件更改或病毒感染。萬(wàn)一有人破壞了物聯(lián)網(wǎng)設(shè)備，就必須有災(zāi)難響應(yīng)和恢復(fù)的預(yù)案。

7、保護(hù)遠(yuǎn)程辦公設(shè)備的物理安全性

網(wǎng)絡(luò)的傳統(tǒng)邊緣已發(fā)生了變化，因此企業(yè)必須考慮適用于組織業(yè)務(wù)、特定環(huán)境以及可接受風(fēng)險(xiǎn)水平的威脅模型和控制措施。所有利益相關(guān)者都需要與供應(yīng)鏈合作伙伴密切合作，以確保物理環(huán)境的完整性，因?yàn)槊總€(gè)人都對(duì)企業(yè)的網(wǎng)絡(luò)安全產(chǎn)生影響，反之亦然。

考慮到現(xiàn)代企業(yè)高度分散的辦公環(huán)境。這意味著企業(yè)必須擴(kuò)大對(duì)遠(yuǎn)程設(shè)備的物理安全監(jiān)管范圍，建議將經(jīng)過(guò)加固的設(shè)備發(fā)放給公司高管和系統(tǒng)管理員等擁有特權(quán)的重要人員。

8、采用集成式訪問(wèn)控制

不管是由哪個(gè)部門(mén)負(fù)責(zé)物理訪問(wèn)控制和樓宇保護(hù)的日常管理，企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)都應(yīng)該全面參與設(shè)計(jì)，起碼了解每個(gè)設(shè)施入口點(diǎn)的防護(hù)狀況。特別是對(duì)CISO而言，應(yīng)該充分了解企業(yè)物理環(huán)境中的訪問(wèn)控制風(fēng)險(xiǎn)狀況，包括外部人員進(jìn)入組織是否有監(jiān)控或門(mén)禁，辦公場(chǎng)地入口點(diǎn)是否使用閉路電視進(jìn)行攝錄，是否記錄并審查門(mén)禁和閉路電視查找可疑活動(dòng)，以及數(shù)據(jù)中心區(qū)域的計(jì)算機(jī)網(wǎng)絡(luò)柜是否有額外的門(mén)禁要求。

企業(yè)應(yīng)該將這些訪問(wèn)控制方法整合到統(tǒng)一的邏輯訪問(wèn)控制中。這種整合可以將物理訪問(wèn)控制和邏輯訪問(wèn)控制統(tǒng)一協(xié)同起來(lái)，尤其是在訪問(wèn)憑據(jù)丟失或員工被解雇的情況下。

9、保護(hù)監(jiān)控系統(tǒng)及其數(shù)據(jù)

與物理環(huán)境的訪問(wèn)控制一樣，安防監(jiān)控系統(tǒng)的日常管理可能不屬于安全團(tuán)隊(duì)的職責(zé)范圍，但他們應(yīng)該幫助設(shè)計(jì)和加固這類系統(tǒng)。CISO通常是組織中隱私問(wèn)題和監(jiān)管方面的專家，因此他們會(huì)幫助建議哪些可以監(jiān)控、哪些不可以監(jiān)控以及如何存儲(chǔ)數(shù)據(jù)。

考慮到視頻監(jiān)控系統(tǒng)會(huì)帶來(lái)的各種隱私問(wèn)題、監(jiān)管責(zé)任及其他敏感問(wèn)題，CISO應(yīng)該在管理方面起到了重要作用。他們必須與其他相關(guān)部門(mén)(比如法務(wù)團(tuán)隊(duì))密切合作，以確保組織了解并遵守視頻監(jiān)控方面的法律法規(guī)。

此外，現(xiàn)代視頻監(jiān)控也是IT環(huán)境的一部分，這意味著此類系統(tǒng)是安全運(yùn)營(yíng)團(tuán)隊(duì)需要擔(dān)心的另一個(gè)網(wǎng)絡(luò)攻擊面。經(jīng)常會(huì)發(fā)現(xiàn)辦公室的閉路電視攝像頭連接到主要的公司網(wǎng)絡(luò)，這使得它們很容易被網(wǎng)絡(luò)上的其他用戶監(jiān)視，也很容易被威脅分子監(jiān)視。

10、整合所有的監(jiān)控?cái)?shù)據(jù)以便調(diào)查

最后，如何整合所有的物理環(huán)境安全管控?cái)?shù)據(jù)也是企業(yè)需要重要考慮因素。由于一些嚴(yán)重的破壞可能歸因于對(duì)物理設(shè)施的初始入侵，因此響應(yīng)人員需要能夠輕松地將物理空間中的活動(dòng)與邏輯系統(tǒng)上的活動(dòng)聯(lián)系起來(lái)，而全面的數(shù)據(jù)整合有助于彌合這個(gè)差距。

參考鏈接：

https://www.csoonline.com/article/566635/what-is-physical-security-how-to-

keep-your-facilities-and-devices-safe-from-on-site-attackers.html

原文來(lái)源：安全牛