物理安全和網(wǎng)絡(luò)安全的交點(diǎn)在哪？

當(dāng)前，住宅、商業(yè)和公共建筑變得越來(lái)越智能，這些設(shè)備連接到網(wǎng)絡(luò)系統(tǒng)后，使得建筑物能夠調(diào)節(jié)環(huán)境，節(jié)省能源并且更加安全。

組成物聯(lián)網(wǎng)(IoT)的互聯(lián)、嵌入式傳感器和設(shè)備包含為這些系統(tǒng)提供“智能”的軟件，所有軟件都包含數(shù)百萬(wàn)行代碼，這些代碼不可避免地存在一些錯(cuò)誤或缺陷，為軟件安全帶來(lái)不可預(yù)知的風(fēng)險(xiǎn)。

然而矛盾的一點(diǎn)是，數(shù)百個(gè)物聯(lián)網(wǎng)設(shè)備用于協(xié)助提高建筑物的安全性，但同時(shí)也可以為黑客創(chuàng)建一個(gè)開(kāi)放的網(wǎng)關(guān)，不僅可以用來(lái)訪(fǎng)問(wèn)存在漏洞的設(shè)備，還可以訪(fǎng)問(wèn)該設(shè)備所連接的整個(gè)IT網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全涉及防止未經(jīng)授權(quán)訪(fǎng)問(wèn)建筑物或公司的網(wǎng)絡(luò)和數(shù)據(jù)。許多物理安全系統(tǒng)現(xiàn)在包括大量連接設(shè)備，可從云端進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)，非常類(lèi)似于IT體系架構(gòu)。

網(wǎng)絡(luò)安全被認(rèn)為是連接互聯(lián)網(wǎng)技術(shù)的關(guān)鍵。然而，如果你考慮到智能建筑中的許多功能仍然存在嚴(yán)重缺陷并忽視了最佳實(shí)踐的事實(shí)，那么從安全的角度來(lái)看，許多智能系統(tǒng)還遠(yuǎn)遠(yuǎn)不夠智能。

物聯(lián)網(wǎng)的基本網(wǎng)絡(luò)安全

物聯(lián)網(wǎng)對(duì)黑客來(lái)說(shuō)是一個(gè)非常有吸引力的目標(biāo)，尤其是因?yàn)榇罅康奈锫?lián)網(wǎng)設(shè)備使得攻擊者很容易竊取有價(jià)值的數(shù)據(jù)、控制或破壞系統(tǒng)，或在網(wǎng)絡(luò)中獲取更多收獲。

攻擊物理通常是更大規(guī)模攻擊的一部分，在這種攻擊中，物理攻擊的作用是充當(dāng)通往另一個(gè)系統(tǒng)的更簡(jiǎn)單的網(wǎng)關(guān)。

物聯(lián)網(wǎng)系統(tǒng)的安全性在某種程度上落后于大多數(shù)商用計(jì)算機(jī)的安全水平，一些安全專(zhuān)家估計(jì)，物聯(lián)網(wǎng)系統(tǒng)正處于15年前的信息安全階段。消費(fèi)者物聯(lián)網(wǎng)設(shè)備和許多智能建筑中使用的設(shè)備往往連基礎(chǔ)設(shè)施都沒(méi)有，這使得這些設(shè)備和網(wǎng)絡(luò)很容易受到網(wǎng)絡(luò)攻擊。

物理安全保護(hù)IT

就像需要網(wǎng)絡(luò)安全來(lái)保護(hù)物理安全技術(shù)一樣，物理安全實(shí)踐在幫助保護(hù)信息技術(shù)方面也是必不可少的。

訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全的關(guān)鍵原則之一，涵蓋了控制誰(shuí)可以訪(fǎng)問(wèn)你的設(shè)備、帳戶(hù)和數(shù)據(jù)的基本預(yù)防措施。技術(shù)控制包括為日常使用創(chuàng)建用戶(hù)帳戶(hù)，并將管理帳戶(hù)的訪(fǎng)問(wèn)權(quán)限限制給那些需要它們的角色的人。

訪(fǎng)問(wèn)控制還包括對(duì)設(shè)備和場(chǎng)所的物理訪(fǎng)問(wèn)。例如，防止未經(jīng)授權(quán)的人未經(jīng)檢查進(jìn)入辦公室或服務(wù)器機(jī)房，甚至從外偷窺。

“最少特權(quán)”規(guī)則是一種安全的工作方式。這僅僅意味著給員工提供執(zhí)行其角色所需的所有資源和數(shù)據(jù)。同樣的規(guī)則可以應(yīng)用于訪(fǎng)問(wèn)業(yè)務(wù)場(chǎng)所的不同部分。物理訪(fǎng)問(wèn)控制措施可以包括使用鑰匙卡或生物識(shí)別掃描進(jìn)入建設(shè)和進(jìn)一步為不同的辦公室訪(fǎng)問(wèn)控制,確保電腦屏幕從窗口不可見(jiàn),設(shè)備在使用訪(fǎng)問(wèn)組織數(shù)據(jù)自動(dòng)鎖經(jīng)過(guò)一段時(shí)間的不活動(dòng)。

長(zhǎng)期以來(lái)，物理安全和網(wǎng)絡(luò)安全一直被視為獨(dú)立的部門(mén)，但隨著智能建筑的興起以及物理系統(tǒng)與基于Web或基于云的網(wǎng)絡(luò)的相互依賴(lài)，兩者之間的界限變得越來(lái)越不明顯。

當(dāng)這些風(fēng)險(xiǎn)的表面積更大且還在不斷擴(kuò)大時(shí)，組織、設(shè)施管理人員和安全行業(yè)的人員需要找到方法來(lái)更好地識(shí)別、減輕和響應(yīng)多個(gè)安全操作中的風(fēng)險(xiǎn)。

安全融合

安全融合是在項(xiàng)目和組織中集成物理安全和信息安全的實(shí)踐。其理念是通過(guò)共享的實(shí)踐和目標(biāo)，在整體安全戰(zhàn)略中管理資產(chǎn)、財(cái)產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)的總風(fēng)險(xiǎn)。

有效的安全融合需要一種文化轉(zhuǎn)變，從資金來(lái)源和戰(zhàn)略各不相同的部門(mén)，轉(zhuǎn)向包容和協(xié)作的文化。安全部門(mén)需要提高對(duì)物聯(lián)網(wǎng)入侵的認(rèn)識(shí)，提供教育，分享最佳實(shí)踐，并加快網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的開(kāi)發(fā)和采用。

良好的安全策略側(cè)重于人員、流程和技術(shù)，鼓勵(lì)對(duì)其團(tuán)隊(duì)進(jìn)行培訓(xùn)和教育，并優(yōu)先與使用有保障的產(chǎn)品和技術(shù)來(lái)連接其建筑資產(chǎn)的可信賴(lài)供應(yīng)商合作。

文章來(lái)源：

https://www.darkreading.com/physical-security/exploring-the-intersection-of-physical-security-and-cybersecurity