盡管你有防火墻、入侵防御和加密技術(shù)，但是我們的Fast Packet博主Ethan Banks想知道離應(yīng)對(duì)物理安全破壞還差多少。

我收到了一封文字簡(jiǎn)單、語氣恐慌的電子郵件。發(fā)件人想要知道我是否看到過交換機(jī)混亂的警報(bào)，因?yàn)樗呀?jīng)和大部分虛擬化環(huán)境失去連接。我并沒有遇到過這種情況，但我答應(yīng)進(jìn)一步查清這個(gè)問題，他也在其辦公室中努力尋找原因。通過分析交換機(jī)日志和檢查接口狀態(tài)，我注意到4個(gè)上行鏈路中的3個(gè)已經(jīng)失效，它們前一天晚上就已經(jīng)掉線了。許多其他接口也改變了狀態(tài)。一些交換機(jī)端口可以工作，而其他一些端口停止工作。

當(dāng)我?guī)е蓡杹淼綑C(jī)架旁時(shí)，我發(fā)現(xiàn)了一個(gè)讓人不安的事實(shí)：機(jī)柜門被打開了，同時(shí)有人重新安排了線纜的物理連接。大多數(shù)原本插在某一臺(tái)交換機(jī)上的以太網(wǎng)線纜被隨意的插到機(jī)柜中另外一臺(tái)交換機(jī)上。我們一直都是物理安全的受害者！

這次發(fā)生事故的設(shè)備擁有很好的安全策略，并且已經(jīng)普遍采用相應(yīng)的安全制度：進(jìn)入樓內(nèi)受限區(qū)域需要加密的鑰匙卡，同時(shí)進(jìn)出所有的門都會(huì)有記錄。已有的安全策略要求機(jī)柜物理上鎖，并且只允許少數(shù)幾個(gè)人有鑰匙。隔墻需要延展到天花板靜壓空間以上。大部分設(shè)備至少都設(shè)置了這種基礎(chǔ)保護(hù)措施。那是什么造成了破壞呢？

被破壞的是對(duì)現(xiàn)存策略的執(zhí)行實(shí)施。你的物理安全策略可能已經(jīng)足以保護(hù)設(shè)備，但是你的工作人員遵守這些策略了么？你有一個(gè)檢查和強(qiáng)制遵從的環(huán)節(jié)么？讓我們探討以下內(nèi)容，幫助你保護(hù)站點(diǎn)免受物理安全破壞。

定期就安全策略、操作步驟和其相關(guān)原理進(jìn)行員工培訓(xùn)。相對(duì)于安全性，雇員（特別是非IT雇員）更加看中便捷性。安全團(tuán)隊(duì)定期提醒物理安全策略和其背后的相關(guān)原理將會(huì)有助于在基層雇員中營(yíng)造一種關(guān)心安全的氛圍，他們將更有可能支持安全策略。讓新雇員簽署公司安全策略協(xié)議是安全教育培訓(xùn)的第一步，但不要讓這成為最后一步。

使用視頻監(jiān)控來監(jiān)視安全區(qū)域，特別是入口和出口：如果一個(gè)精心設(shè)計(jì)的視頻監(jiān)視系統(tǒng)由于成本或復(fù)雜性而缺乏吸引力，那么可以考慮采用簡(jiǎn)單的IP攝像頭和存儲(chǔ)設(shè)備，它們易于部署并相對(duì)便宜。視頻監(jiān)控常見的缺點(diǎn)是侵犯?jìng)€(gè)人隱私或是顯得缺乏信任。攝像頭捕捉的圖像中幾乎只有雇員和承建商。難道我們非得打擾他們，讓他們?cè)跀z像頭的監(jiān)視下工作嗎？請(qǐng)?jiān)试S我悄悄告訴你：相信你的雇員有時(shí)是一種不恰當(dāng)?shù)淖龇?。誰會(huì)進(jìn)入你的物理區(qū)域？誰會(huì)知道你的安全策略實(shí)際上如何管理，以及如何應(yīng)付這些策略？換句話說，你的雇員是你最大資產(chǎn)，同時(shí)也是你最大的潛在風(fēng)險(xiǎn)。一個(gè)視頻系統(tǒng)可以讓所有人都保持誠(chéng)實(shí)。

在事情發(fā)生前對(duì)現(xiàn)有系統(tǒng)開展前瞻性審查  而不是在破壞發(fā)生后再做反應(yīng)。如果你使用一個(gè)打卡系統(tǒng)和加密標(biāo)記，讓雇員進(jìn)入大樓和安全區(qū)域。那么，登錄系統(tǒng)工作正常么？你上一次檢查它是什么時(shí)候？如果登錄系統(tǒng)工作正常，那么時(shí)間設(shè)定正確么？如果時(shí)間設(shè)定看上去是對(duì)的，那么你是否已經(jīng)確認(rèn)它們做過夏至?xí)r的調(diào)整？系統(tǒng)生成一份報(bào)告有多困難？所有的準(zhǔn)入鑰匙卡是否可靠？一段時(shí)間未使用的加密標(biāo)記是否已經(jīng)過期？你是否已經(jīng)回收那些結(jié)束合作的承建商或離職雇員的工作卡？

檢查你的清理桌面策略。雇員必須在工作日結(jié)束時(shí)鎖住公司機(jī)密信息，并安全銷毀涉及機(jī)密數(shù)據(jù)的廢紙。為遵從該策略，你最后一次檢查辦公室是在什么時(shí)候？檢查桌面、垃圾桶和可上鎖區(qū)域中的任何一項(xiàng)都會(huì)培養(yǎng)部分雇員對(duì)于工作區(qū)域的安全意識(shí)。如果你從不檢查，只有最遵守紀(jì)律的雇員才會(huì)保持一個(gè)符合規(guī)定的、干凈的桌面。

檢查數(shù)據(jù)中心上鎖情況。周期性開展數(shù)據(jù)中心排查工作，并且確認(rèn)該制度是否得到遵守。如果你發(fā)現(xiàn)一扇沒有上鎖的門，嘗試一下戲劇性的做法，比如將門從鉸鏈上摘下取走并拿著它走出數(shù)據(jù)中心。如果你知道是誰不遵守制度，把門放在他的辦公桌上——沒有什么比在一個(gè)人的桌子上放一張大機(jī)柜門鎖更能使違規(guī)者和他的工作伙伴印象深刻了。通常，這種視覺沖擊比通過電子郵件或閉門會(huì)議警告威脅更有效果。

有太多的例子可以列舉，但是關(guān)鍵在于你要通過預(yù)先檢查預(yù)防破壞，而不是在破壞發(fā)生后取證分析。盡管防火墻、狀態(tài)檢查、訪問列表、入侵?jǐn)r截、加密和事件關(guān)聯(lián)可以幫助攔截那些能成為新聞事件的網(wǎng)絡(luò)攻擊，但它們不能阻止有人在你沒有注意的情況下進(jìn)入門內(nèi)。

【編輯推薦】

1. 解決物理安全對(duì)Linux系統(tǒng)的威脅
2. 網(wǎng)站主機(jī)安全之服務(wù)器的物理安全
3. 用好這5招 輕松提高網(wǎng)絡(luò)連接物理安全性
4. 網(wǎng)絡(luò)站點(diǎn)主機(jī)安全之物理安全