現(xiàn)代企業(yè)組織在開展網(wǎng)絡(luò)安全建設(shè)時，往往會側(cè)重于防范網(wǎng)絡(luò)攻擊引發(fā)的風(fēng)險，卻容易忽視物理環(huán)境的安全性，甚至有些網(wǎng)絡(luò)安全專業(yè)人員會認(rèn)為物理環(huán)境安全與網(wǎng)絡(luò)信息安全并不相關(guān)。但是事實上，網(wǎng)絡(luò)安全是一個整體，只要有一個地方出現(xiàn)了漏洞，攻擊者就有可能入侵成功，而保障物理環(huán)境安全是組織計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運行的前提和基礎(chǔ)。

物理環(huán)境安全主要是指保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。在實際應(yīng)用時，企業(yè)的物理環(huán)境安全可能面臨的威脅主要包括：

隨著網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升，攻擊者開始選擇更獨特的攻擊路徑，物理環(huán)境安全成為新的突破點，其重要性也進(jìn)一步凸顯，企業(yè)需要更加重視物理環(huán)境安全的防護(hù)與建設(shè)。日前，“CSO在線”網(wǎng)站梳理了10個加強(qiáng)物理環(huán)境安全性的關(guān)鍵措施，可以為企業(yè)加強(qiáng)物理環(huán)境安全建設(shè)提供參考：

1.加固IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心
數(shù)據(jù)中心和敏感的IT基礎(chǔ)設(shè)施是企業(yè)需要重點保護(hù)的物理環(huán)境因素。所采取的安全措施應(yīng)因設(shè)施類型而異，可根據(jù)風(fēng)險高低來擴(kuò)縮規(guī)模。對于存放關(guān)鍵信息數(shù)據(jù)的物理環(huán)境（比如放置敏感服務(wù)器的辦公室），應(yīng)該實行最高等級的安全控制。因此，企業(yè)的安全管理者（CISO）必須了解數(shù)據(jù)資源的物理存儲情況，評估相應(yīng)的環(huán)境設(shè)施遭到破壞后帶來的風(fēng)險，并以此針對性地加強(qiáng)物理環(huán)境保護(hù)。

2.日常辦公環(huán)境安全
在現(xiàn)代網(wǎng)絡(luò)攻擊中，即便是最平常的辦公環(huán)境，也可能成為惡意攻擊者的潛入目標(biāo)，甚至辦公環(huán)境中的任何網(wǎng)絡(luò)插孔都可能成為非法進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的通道。因此，安全運營人員應(yīng)深入?yún)⑴c所有辦公環(huán)境設(shè)施的物理安全架構(gòu)和標(biāo)準(zhǔn)制定，無論其敏感度如何，以確保落實合適的縱深防御措施，防止對IT環(huán)境進(jìn)行非法的物理訪問。盡管遠(yuǎn)程和混合工作在一定程度上改變了傳統(tǒng)對辦公室的定義，但CISO還是應(yīng)該嚴(yán)格監(jiān)管一些基本的物理安全工作。企業(yè)仍需要確保在辦公室落實足夠的物理安全控制措施，部署端口安全措施、無線接入點安全、門禁系統(tǒng)和攝像頭在今天仍然很重要，不容忽視。
  3.阻止物理環(huán)境中的橫向運動
當(dāng)企業(yè)審查物理環(huán)境安全的風(fēng)險時，應(yīng)該重點關(guān)注攻擊者在企業(yè)物理空間中的橫向移動和非法闖入的容易程度。一旦攻擊者設(shè)法潛入了公司辦公大樓、數(shù)據(jù)倉庫或經(jīng)營場地，就可以更容易地開展攻擊活動，除非組織采取了有效的管控措施。就像組織使用分段和零信任身份驗證來保護(hù)網(wǎng)絡(luò)中的數(shù)字資產(chǎn)一樣，當(dāng)有人在企業(yè)的辦公環(huán)境中隨意走動和訪問時，組織應(yīng)及時查證其訪問權(quán)和目的，如果有人靠近最敏感的區(qū)域或房間時，需要能夠及時發(fā)現(xiàn)確保已落實了嚴(yán)格的措施。

4.保護(hù)托管和云端的資產(chǎn)
企業(yè)對物理環(huán)境安全的監(jiān)管不應(yīng)該局限于組織自身的辦公環(huán)境中，還需要考慮如何保護(hù)位于托管數(shù)據(jù)中心或云上的資產(chǎn)。企業(yè)需要對每臺和自身數(shù)據(jù)相關(guān)的機(jī)架設(shè)施進(jìn)行保護(hù)，并能夠通過遠(yuǎn)程技術(shù)手段加以控制和審計。此外，即使組織完全無法參與系統(tǒng)的物理安全維護(hù)工作，比如在使用公共云和SaaS資源時，CISO仍需要清楚的評估這些系統(tǒng)是如何加以物理控制的。此時，企業(yè)九需要了解合同和服務(wù)級別協(xié)議的重要性以及第三方審計認(rèn)證的價值。

5.保護(hù)OT環(huán)境中的物理連接
除了要思考物理中的操作會如何影響網(wǎng)絡(luò)環(huán)境外，企業(yè)還需要考慮網(wǎng)絡(luò)活動對物理環(huán)境（無論是生產(chǎn)裝配線、發(fā)電廠還是采礦作業(yè)）可能造成怎樣的風(fēng)險影響。如今IT環(huán)境和OT環(huán)境高度融合，企業(yè)必須高度關(guān)注其設(shè)施中的物理到網(wǎng)絡(luò)連接，即使它們不在封閉的工業(yè)環(huán)境下運營。只要物理環(huán)境中的工業(yè)控制設(shè)備可以遠(yuǎn)程控制或管理，企業(yè)就需要做好安全防護(hù)工作。未經(jīng)授權(quán)使用鍋爐或高爐等工業(yè)機(jī)械設(shè)備，可能導(dǎo)致嚴(yán)重的故障，甚至危及操作人員的生命安全。

6.對廣泛部署的物聯(lián)網(wǎng)設(shè)備需要重點管控
說到物理/網(wǎng)絡(luò)連接，現(xiàn)代企業(yè)需要考慮的一個重點物理環(huán)境安全考量因素就是如何保護(hù)分布廣泛的物聯(lián)網(wǎng)設(shè)備。與OT系統(tǒng)一樣，物聯(lián)網(wǎng)系統(tǒng)可以控制汽車、輪船、飛機(jī)、工廠和電梯等多種設(shè)備。這些設(shè)備必須有內(nèi)部監(jiān)測功能，以檢測和防止惡意操作，比如未經(jīng)授權(quán)的軟件更改或病毒感染。萬一有人破壞了物聯(lián)網(wǎng)設(shè)備，就必須有災(zāi)難響應(yīng)和恢復(fù)的預(yù)案。

7.保護(hù)遠(yuǎn)程辦公設(shè)備的物理安全性
網(wǎng)絡(luò)的傳統(tǒng)邊緣已發(fā)生了變化，因此企業(yè)必須考慮適用于組織業(yè)務(wù)、特定環(huán)境以及可接受風(fēng)險水平的威脅模型和控制措施。所有利益相關(guān)者都需要與供應(yīng)鏈合作伙伴密切合作，以確保物理環(huán)境的完整性，因為每個人都對企業(yè)的網(wǎng)絡(luò)安全產(chǎn)生影響，反之亦然。

考慮到現(xiàn)代企業(yè)高度分散的辦公環(huán)境。這意味著企業(yè)必須擴(kuò)大對遠(yuǎn)程設(shè)備的物理安全監(jiān)管范圍，建議將經(jīng)過加固的設(shè)備發(fā)放給公司高管和系統(tǒng)管理員等擁有特權(quán)的重要人員。

8.采用集成式訪問控制
不管是由哪個部門負(fù)責(zé)物理訪問控制和樓宇保護(hù)的日常管理，企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊都應(yīng)該全面參與設(shè)計，起碼了解每個設(shè)施入口點的防護(hù)狀況。特別是對CISO而言，應(yīng)該充分了解企業(yè)物理環(huán)境中的訪問控制風(fēng)險狀況，包括外部人員進(jìn)入組織是否有監(jiān)控或門禁，辦公場地入口點是否使用閉路電視進(jìn)行攝錄，是否記錄并審查門禁和閉路電視查找可疑活動，以及數(shù)據(jù)中心區(qū)域的計算機(jī)網(wǎng)絡(luò)柜是否有額外的門禁要求。

企業(yè)應(yīng)該將這些訪問控制方法整合到統(tǒng)一的邏輯訪問控制中。這種整合可以將物理訪問控制和邏輯訪問控制統(tǒng)一協(xié)同起來，尤其是在訪問憑據(jù)丟失或員工被解雇的情況下。

9.保護(hù)監(jiān)控系統(tǒng)及其數(shù)據(jù)
與物理環(huán)境的訪問控制一樣，安防監(jiān)控系統(tǒng)的日常管理可能不屬于安全團(tuán)隊的職責(zé)范圍，但他們應(yīng)該幫助設(shè)計和加固這類系統(tǒng)。CISO通常是組織中隱私問題和監(jiān)管方面的專家，因此他們會幫助建議哪些可以監(jiān)控、哪些不可以監(jiān)控以及如何存儲數(shù)據(jù)。

考慮到視頻監(jiān)控系統(tǒng)會帶來的各種隱私問題、監(jiān)管責(zé)任及其他敏感問題，CISO應(yīng)該在管理方面起到了重要作用。他們必須與其他相關(guān)部門（比如法務(wù)團(tuán)隊）密切合作，以確保組織了解并遵守視頻監(jiān)控方面的法律法規(guī)。

此外，現(xiàn)代視頻監(jiān)控也是IT環(huán)境的一部分，這意味著此類系統(tǒng)是安全運營團(tuán)隊需要擔(dān)心的另一個網(wǎng)絡(luò)攻擊面。經(jīng)常會發(fā)現(xiàn)辦公室的閉路電視攝像頭連接到主要的公司網(wǎng)絡(luò)，這使得它們很容易被網(wǎng)絡(luò)上的其他用戶監(jiān)視，也很容易被威脅分子監(jiān)視。

10.整合所有的監(jiān)控數(shù)據(jù)以便調(diào)查
最后，如何整合所有的物理環(huán)境安全管控數(shù)據(jù)也是企業(yè)需要重要考慮因素。由于一些嚴(yán)重的破壞可能歸因于對物理設(shè)施的初始入侵，因此響應(yīng)人員需要能夠輕松地將物理空間中的活動與邏輯系統(tǒng)上的活動聯(lián)系起來，而全面的數(shù)據(jù)整合有助于彌合這個差距。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。


更多相關(guān)內(nèi)容推薦：
首個“雙節(jié)點”城市中衛(wèi)如何為算力構(gòu)建起網(wǎng)絡(luò)支撐？
寧夏中衛(wèi)：以產(chǎn)業(yè)為引領(lǐng) 打造西部數(shù)字經(jīng)濟(jì)高地
超算互聯(lián)的“盡頭”是“電商”
守護(hù)網(wǎng)絡(luò)安全：突發(fā)攻擊檢測和響應(yīng)的計算方法和技巧
2024年十大網(wǎng)絡(luò)安全趨勢和創(chuàng)新
安全風(fēng)險攻擊面管理如何提升企業(yè)網(wǎng)絡(luò)彈性？