改善實體環境安全性的十個關鍵措施

現代企業組織在開展網絡安全建設時，往往會側重于防範網絡攻擊引發的風險，卻容易忽視實體環境的安全性，甚至有些網絡安全專業人員會認為實體環境安全與網絡資訊安全并不相關。但是事實上，網絡安全是一個整體，隻要有一個地方出現了漏洞，攻擊者就有可能入侵成功，而保障實體環境安全是組織計算機網絡系統安全穩定運作的前提和基礎。

實體環境安全主要是指保護計算機網絡裝置、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導緻的破壞過程。在實際應用時，企業的實體環境安全可能面臨的威脅主要包括：

• 自然環境威脅：主要指洪水、地震、暴風雨、火災、極端的氣候條件等。
• 供應保障系統威脅：主要指停電、空調系統、通信中斷以及其他自然資源（如水、蒸汽、汽油）短缺等。
• 人為威脅：未授權通路（内部的和外部的）、爆炸、惡意員工造成的錯誤和事故、故意破壞、欺詐、盜竊以及其他威脅。
• 政治動機引發的威脅：包括罷工、暴亂、恐怖襲擊等。

随着網絡攻擊的複雜性不斷上升，攻擊者開始選擇更獨特的攻擊路徑，實體環境安全成為新的突破點，其重要性也進一步凸顯，企業需要更加重視實體環境安全的防護與建設。日前，“CSO線上”網站梳理了10個加強實體環境安全性的關鍵措施，可以為企業加強實體環境安全建設提供參考：

1.加強IT基礎設施和資料中心

資料中心和敏感的IT基礎設施是企業需要重點保護的實體環境因素。所采取的安全措施應因設施類型而異，可根據風險高低來擴縮規模。對于存放關鍵資訊資料的實體環境（比如放置敏感伺服器的辦公室），應該實行最高等級的安全控制。是以，企業的安全管理者（CISO）必須了解資料資源的實體存儲情況，評估相應的環境設施遭到破壞後帶來的風險，并以此針對性地加強實體環境保護。

2.日常辦公環境安全

在現代網絡攻擊中，即便是最平常的辦公環境，也可能成為惡意攻擊者的潛入目标，甚至辦公環境中的任何網絡插孔都可能成為非法進入企業網絡系統的通道。是以，安全營運人員應深入參與所有辦公環境設施的實體安全架構和标準制定，無論其敏感度如何，以確定落實合适的縱深防禦措施，防止對IT環境進行非法的實體通路。

盡管遠端和混合工作在一定程度上改變了傳統對辦公室的定義，但CISO還是應該嚴格監管一些基本的實體安全工作。企業仍需要確定在辦公室落實足夠的實體安全控制措施，部署端口安全措施、無線接入點安全、門禁系統和攝像頭在今天仍然很重要，不容忽視。

3.阻止實體環境中的橫向運動

當企業審查實體環境安全的風險時，應該重點關注攻擊者在企業實體空間中的橫向移動和非法闖入的容易程度。一旦攻擊者設法潛入了公司辦公大樓、資料倉庫或經營場地，就可以更容易地開展攻擊活動，除非組織采取了有效的管控措施。

就像組織使用分段和零信任身份驗證來保護網絡中的數字資産一樣，當有人在企業的辦公環境中随意走動和通路時，組織應及時查證其通路權和目的，如果有人靠近最敏感的區域或房間時，需要能夠及時發現確定已落實了嚴格的措施。

4.保護托管和雲端的資産

企業對實體環境安全的監管不應該局限于組織自身的辦公環境中，還需要考慮如何保護位于托管資料中心或雲上的資産。企業需要對每台和自身資料相關的機架設施進行保護，并能夠通過遠端技術手段加以控制和審計。此外，即使組織完全無法參與系統的實體安全維護工作，比如在使用公共雲和SaaS資源時，CISO仍需要清楚的評估這些系統是如何加以實體控制的。此時，企業九需要了解合同和服務級别協定的重要性以及第三方審計認證的價值。

5.保護OT環境中的實體連接配接

除了要思考實體中的操作會如何影響網絡環境外，企業還需要考慮網絡活動對實體環境（無論是生産裝配線、發電廠還是采礦作業）可能造成怎樣的風險影響。如今IT環境和OT環境高度融合，企業必須高度關注其設施中的實體到網絡連接配接，即使它們不在封閉的工業環境下營運。隻要實體環境中的工業控制裝置可以遠端控制或管理，企業就需要做好安全防護工作。未經授權使用鍋爐或高爐等工業機械裝置，可能導緻嚴重的故障，甚至危及操作人員的生命安全。

6.對廣泛部署的物聯網裝置需要重點管控

說到實體/網絡連接配接，現代企業需要考慮的一個重點實體環境安全考量因素就是如何保護分布廣泛的物聯網裝置。與OT系統一樣，物聯網系統可以控制汽車、輪船、飛機、工廠和電梯等多種裝置。這些裝置必須有内部監測功能，以檢測和防止惡意操作，比如未經授權的軟體更改或病毒感染。萬一有人破壞了物聯網裝置，就必須有災難響應和恢複的預案。

7.保護遠端辦公裝置的實體安全性

網絡的傳統邊緣已發生了變化，是以企業必須考慮适用于組織業務、特定環境以及可接受風險水準的威脅模型和控制措施。所有利益相關者都需要與供應鍊合作夥伴密切合作，以確定實體環境的完整性，因為每個人都對企業的網絡安全産生影響，反之亦然。

考慮到現代企業高度分散的辦公環境。這意味着企業必須擴大對遠端裝置的實體安全監管範圍，建議将經過加強的裝置發放給公司高管和系統管理者等擁有特權的重要人員。

8.采用內建式通路控制

不管是由哪個部門負責實體通路控制和樓宇保護的日常管理，企業的網絡安全團隊都應該全面參與設計，起碼了解每個設施入口點的防護狀況。特别是對CISO而言，應該充分了解企業實體環境中的通路控制風險狀況，包括外部人員進入組織是否有監控或門禁，辦公場地入口點是否使用閉路電視進行攝錄，是否記錄并審查門禁和閉路電視查找可疑活動，以及資料中心區域的計算機網絡櫃是否有額外的門禁要求。

企業應該将這些通路控制方法整合到統一的邏輯通路控制中。這種整合可以将實體通路控制和邏輯通路控制統一協同起來，尤其是在通路憑據丢失或員工被解雇的情況下。

9.保護監控系統及其資料

與實體環境的通路控制一樣，安防監控系統的日常管理可能不屬于安全團隊的職責範圍，但他們應該幫助設計和加強這類系統。CISO通常是組織中隐私問題和監管方面的專家，是以他們會幫助建議哪些可以監控、哪些不可以監控以及如何存儲資料。

考慮到視訊監控系統會帶來的各種隐私問題、監管責任及其他敏感問題，CISO應該在管理方面起到了重要作用。他們必須與其他相關部門（比如法務團隊）密切合作，以確定組織了解并遵守視訊監控方面的法律法規。

此外，現代視訊監控也是IT環境的一部分，這意味着此類系統是安全營運團隊需要擔心的另一個網絡攻擊面。經常會發現辦公室的閉路電視攝像頭連接配接到主要的公司網絡，這使得它們很容易被網絡上的其他使用者監視，也很容易被威脅分子監視。

10.整合所有的監控資料以便調查

最後，如何整合所有的實體環境安全管控資料也是企業需要重要考慮因素。由于一些嚴重的破壞可能歸因于對實體設施的初始入侵，是以響應人員需要能夠輕松地将實體空間中的活動與邏輯系統上的活動聯系起來，而全面的資料整合有助于彌合這個差距。

更多資訊，點選全場景直播解決方案-航天雲網解決方案