現(xiàn)代企業(yè)組織在開展網(wǎng)絡(luò)安全建設(shè)時，往往會側(cè)重于防范網(wǎng)絡(luò)攻擊引發(fā)的風險，卻容易忽視物理環(huán)境的安全性，甚至有些網(wǎng)絡(luò)安全專業(yè)人員會認為物理環(huán)境安全與網(wǎng)絡(luò)信息安全并不相關(guān)。但是事實上，網(wǎng)絡(luò)安全是一個整體，只要有一個地方出現(xiàn)了漏洞，攻擊者就有可能入侵成功，而保障物理環(huán)境安全是組織計算機網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運行的前提和基礎(chǔ)。

物理環(huán)境安全主要是指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞過程。在實際應(yīng)用時，企業(yè)的物理環(huán)境安全可能面臨的威脅主要包括：

• 自然環(huán)境威脅：主要指洪水、地震、暴風雨、火災(zāi)、極端的氣候條件等。
• 供應(yīng)保障系統(tǒng)威脅：主要指停電、空調(diào)系統(tǒng)、通信中斷以及其他自然資源（如水、蒸汽、汽油）短缺等。
• 人為威脅：未授權(quán)訪問（內(nèi)部的和外部的）、爆炸、惡意員工造成的錯誤和事故、故意破壞、欺詐、盜竊以及其他威脅。
• 政治動機引發(fā)的威脅：包括罷工、暴亂、恐怖襲擊等。

隨著網(wǎng)絡(luò)攻擊的復雜性不斷上升，攻擊者開始選擇更獨特的攻擊路徑，物理環(huán)境安全成為新的突破點，其重要性也進一步凸顯，企業(yè)需要更加重視物理環(huán)境安全的防護與建設(shè)。日前，“CSO在線”網(wǎng)站梳理了10個加強物理環(huán)境安全性的關(guān)鍵措施，可以為企業(yè)加強物理環(huán)境安全建設(shè)提供參考：

1.加固IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心

數(shù)據(jù)中心和敏感的IT基礎(chǔ)設(shè)施是企業(yè)需要重點保護的物理環(huán)境因素。所采取的安全措施應(yīng)因設(shè)施類型而異，可根據(jù)風險高低來擴縮規(guī)模。對于存放關(guān)鍵信息數(shù)據(jù)的物理環(huán)境（比如放置敏感服務(wù)器的辦公室），應(yīng)該實行最高等級的安全控制。因此，企業(yè)的安全管理者（CISO）必須了解數(shù)據(jù)資源的物理存儲情況，評估相應(yīng)的環(huán)境設(shè)施遭到破壞后帶來的風險，并以此針對性地加強物理環(huán)境保護。

2.日常辦公環(huán)境安全

在現(xiàn)代網(wǎng)絡(luò)攻擊中，即便是最平常的辦公環(huán)境，也可能成為惡意攻擊者的潛入目標，甚至辦公環(huán)境中的任何網(wǎng)絡(luò)插孔都可能成為非法進入企業(yè)網(wǎng)絡(luò)系統(tǒng)的通道。因此，安全運營人員應(yīng)深入?yún)⑴c所有辦公環(huán)境設(shè)施的物理安全架構(gòu)和標準制定，無論其敏感度如何，以確保落實合適的縱深防御措施，防止對IT環(huán)境進行非法的物理訪問。

盡管遠程和混合工作在一定程度上改變了傳統(tǒng)對辦公室的定義，但CISO還是應(yīng)該嚴格監(jiān)管一些基本的物理安全工作。企業(yè)仍需要確保在辦公室落實足夠的物理安全控制措施，部署端口安全措施、無線接入點安全、門禁系統(tǒng)和攝像頭在今天仍然很重要，不容忽視。

3.阻止物理環(huán)境中的橫向運動

當企業(yè)審查物理環(huán)境安全的風險時，應(yīng)該重點關(guān)注攻擊者在企業(yè)物理空間中的橫向移動和非法闖入的容易程度。一旦攻擊者設(shè)法潛入了公司辦公大樓、數(shù)據(jù)倉庫或經(jīng)營場地，就可以更容易地開展攻擊活動，除非組織采取了有效的管控措施。

就像組織使用分段和零信任身份驗證來保護網(wǎng)絡(luò)中的數(shù)字資產(chǎn)一樣，當有人在企業(yè)的辦公環(huán)境中隨意走動和訪問時，組織應(yīng)及時查證其訪問權(quán)和目的，如果有人靠近最敏感的區(qū)域或房間時，需要能夠及時發(fā)現(xiàn)確保已落實了嚴格的措施。

4.保護托管和云端的資產(chǎn)

企業(yè)對物理環(huán)境安全的監(jiān)管不應(yīng)該局限于組織自身的辦公環(huán)境中，還需要考慮如何保護位于托管數(shù)據(jù)中心或云上的資產(chǎn)。企業(yè)需要對每臺和自身數(shù)據(jù)相關(guān)的機架設(shè)施進行保護，并能夠通過遠程技術(shù)手段加以控制和審計。此外，即使組織完全無法參與系統(tǒng)的物理安全維護工作，比如在使用公共云和SaaS資源時，CISO仍需要清楚的評估這些系統(tǒng)是如何加以物理控制的。此時，企業(yè)九需要了解合同和服務(wù)級別協(xié)議的重要性以及第三方審計認證的價值。

5.保護OT環(huán)境中的物理連接

除了要思考物理中的操作會如何影響網(wǎng)絡(luò)環(huán)境外，企業(yè)還需要考慮網(wǎng)絡(luò)活動對物理環(huán)境（無論是生產(chǎn)裝配線、發(fā)電廠還是采礦作業(yè)）可能造成怎樣的風險影響。如今IT環(huán)境和OT環(huán)境高度融合，企業(yè)必須高度關(guān)注其設(shè)施中的物理到網(wǎng)絡(luò)連接，即使它們不在封閉的工業(yè)環(huán)境下運營。只要物理環(huán)境中的工業(yè)控制設(shè)備可以遠程控制或管理，企業(yè)就需要做好安全防護工作。未經(jīng)授權(quán)使用鍋爐或高爐等工業(yè)機械設(shè)備，可能導致嚴重的故障，甚至危及操作人員的生命安全。

6.對廣泛部署的物聯(lián)網(wǎng)設(shè)備需要重點管控

說到物理/網(wǎng)絡(luò)連接，現(xiàn)代企業(yè)需要考慮的一個重點物理環(huán)境安全考量因素就是如何保護分布廣泛的物聯(lián)網(wǎng)設(shè)備。與OT系統(tǒng)一樣，物聯(lián)網(wǎng)系統(tǒng)可以控制汽車、輪船、飛機、工廠和電梯等多種設(shè)備。這些設(shè)備必須有內(nèi)部監(jiān)測功能，以檢測和防止惡意操作，比如未經(jīng)授權(quán)的軟件更改或病毒感染。萬一有人破壞了物聯(lián)網(wǎng)設(shè)備，就必須有災(zāi)難響應(yīng)和恢復的預(yù)案。

7.保護遠程辦公設(shè)備的物理安全性

網(wǎng)絡(luò)的傳統(tǒng)邊緣已發(fā)生了變化，因此企業(yè)必須考慮適用于組織業(yè)務(wù)、特定環(huán)境以及可接受風險水平的威脅模型和控制措施。所有利益相關(guān)者都需要與供應(yīng)鏈合作伙伴密切合作，以確保物理環(huán)境的完整性，因為每個人都對企業(yè)的網(wǎng)絡(luò)安全產(chǎn)生影響，反之亦然。

考慮到現(xiàn)代企業(yè)高度分散的辦公環(huán)境。這意味著企業(yè)必須擴大對遠程設(shè)備的物理安全監(jiān)管范圍，建議將經(jīng)過加固的設(shè)備發(fā)放給公司高管和系統(tǒng)管理員等擁有特權(quán)的重要人員。

8.采用集成式訪問控制

不管是由哪個部門負責物理訪問控制和樓宇保護的日常管理，企業(yè)的網(wǎng)絡(luò)安全團隊都應(yīng)該全面參與設(shè)計，起碼了解每個設(shè)施入口點的防護狀況。特別是對CISO而言，應(yīng)該充分了解企業(yè)物理環(huán)境中的訪問控制風險狀況，包括外部人員進入組織是否有監(jiān)控或門禁，辦公場地入口點是否使用閉路電視進行攝錄，是否記錄并審查門禁和閉路電視查找可疑活動，以及數(shù)據(jù)中心區(qū)域的計算機網(wǎng)絡(luò)柜是否有額外的門禁要求。

企業(yè)應(yīng)該將這些訪問控制方法整合到統(tǒng)一的邏輯訪問控制中。這種整合可以將物理訪問控制和邏輯訪問控制統(tǒng)一協(xié)同起來，尤其是在訪問憑據(jù)丟失或員工被解雇的情況下。

9.保護監(jiān)控系統(tǒng)及其數(shù)據(jù)

與物理環(huán)境的訪問控制一樣，安防監(jiān)控系統(tǒng)的日常管理可能不屬于安全團隊的職責范圍，但他們應(yīng)該幫助設(shè)計和加固這類系統(tǒng)。CISO通常是組織中隱私問題和監(jiān)管方面的專家，因此他們會幫助建議哪些可以監(jiān)控、哪些不可以監(jiān)控以及如何存儲數(shù)據(jù)。

考慮到視頻監(jiān)控系統(tǒng)會帶來的各種隱私問題、監(jiān)管責任及其他敏感問題，CISO應(yīng)該在管理方面起到了重要作用。他們必須與其他相關(guān)部門（比如法務(wù)團隊）密切合作，以確保組織了解并遵守視頻監(jiān)控方面的法律法規(guī)。

此外，現(xiàn)代視頻監(jiān)控也是IT環(huán)境的一部分，這意味著此類系統(tǒng)是安全運營團隊需要擔心的另一個網(wǎng)絡(luò)攻擊面。經(jīng)常會發(fā)現(xiàn)辦公室的閉路電視攝像頭連接到主要的公司網(wǎng)絡(luò)，這使得它們很容易被網(wǎng)絡(luò)上的其他用戶監(jiān)視，也很容易被威脅分子監(jiān)視。

10.整合所有的監(jiān)控數(shù)據(jù)以便調(diào)查

最后，如何整合所有的物理環(huán)境安全管控數(shù)據(jù)也是企業(yè)需要重要考慮因素。由于一些嚴重的破壞可能歸因于對物理設(shè)施的初始入侵，因此響應(yīng)人員需要能夠輕松地將物理空間中的活動與邏輯系統(tǒng)上的活動聯(lián)系起來，而全面的數(shù)據(jù)整合有助于彌合這個差距。

參考鏈接：https://www.csoonline.com/article/566635/what-is-physical-security-how-to-keep-your-facilities-and-devices-safe-from-on-site-attackers.html