距離911事件已經(jīng)過去了整整20年,，回顧2001年9月11日,，在近一小時(shí)的時(shí)間里,，共有兩架飛機(jī)撞向世貿(mào)中心,，一架飛機(jī)撞向五角大樓,，另一架飛機(jī)墜毀在賓夕法尼亞州香克斯維爾的一片空地上,。

　　當(dāng)時(shí),，這起事件不僅導(dǎo)致了航空業(yè)的持續(xù)低迷,，“物理安全”這個話題也逐漸被世界關(guān)注到。試想一下,，如果911事件前,，世貿(mào)大廈里所有的物理安全設(shè)備都經(jīng)過縝密的檢查，并且在事件發(fā)生時(shí)能夠及時(shí)啟動有效的安全防范措施,，無論是保證逃生路線的暢通,，還是消防設(shè)施的正常使用，或者是防火門的正常啟用,，更及時(shí)的通知救災(zāi)人員等等……那么遇難者的人數(shù)將遠(yuǎn)遠(yuǎn)低于2996這個數(shù)字,，經(jīng)濟(jì)損失也不會高達(dá)當(dāng)年國家GDP的2%（約2000億美元）。

　　災(zāi)難帶來的后遺癥久未消散，唯一慶幸的一點(diǎn)是,，物理安全系統(tǒng)引起了重視,，并在人們的不懈努力下發(fā)展至今，已經(jīng)形成了一套非常完備的理論和標(biāo)準(zhǔn)的工作流程——覆蓋日常安防工作和安全事件發(fā)生時(shí)——可以有效地提高安防效果,，最大化地避免或降低損失,。

　　物理安全定義

　　維基百科上對“物理安全”的定義為：

　　物理安全描述了旨在拒絕未經(jīng)授權(quán)訪問設(shè)施，設(shè)備和資源并保護(hù)人員和財(cái)產(chǎn)免受損害或傷害（如間諜活動,，盜竊或恐怖襲擊）的安全措施,。物理安全涉及使用多層互相依賴的系統(tǒng)，其中包括閉路電視監(jiān)控,、安全警衛(wèi),、防護(hù)屏障、鎖,、訪問控制協(xié)議以及許多其他技術(shù),。

　　簡而言之，就是利用集成了各種安防設(shè)備和技術(shù)的系統(tǒng),，來保護(hù)人員和財(cái)產(chǎn)的安全,。

　　雖然不如網(wǎng)絡(luò)安全般受到重視，但物理安全實(shí)際上同樣重要,。事實(shí)上,，它已經(jīng)發(fā)展成為一個價(jià)值300億美元的產(chǎn)業(yè)。如果攻擊者從存儲室中移除您的存儲介質(zhì),，世界上所有的防火墻都幫不了你,。

　　通過人工智能（AI）和物聯(lián)網(wǎng)（IoT）等技術(shù)，物理安全性正變得日益復(fù)雜,，這意味著 IT 和物理安全的聯(lián)系越來越緊密，因此安全團(tuán)隊(duì)必須協(xié)同合作以保護(hù)物理和數(shù)字資產(chǎn),。

　　為什么物理安全非常重要,？

　　從本質(zhì)上講，物理安全是讓您的設(shè)施,、人員和資產(chǎn)免受現(xiàn)實(shí)世界的威脅,。它包括物理威懾、入侵者檢測以及對這些威脅的響應(yīng),。

　　雖然環(huán)境事件（即因?yàn)樽匀灰蛩鼗蛉祟愡`反環(huán)境法規(guī)而導(dǎo)致的災(zāi)難事件）也會威脅物理安全,，但這里說的“物理安全”通常指阻止人們（無論是外部行為者還是潛在的內(nèi)部威脅）訪問他們不應(yīng)該涉足的區(qū)域或資產(chǎn)。它可以是讓公眾遠(yuǎn)離您的總部,，讓現(xiàn)場第三方遠(yuǎn)離敏感工作區(qū)域,，或是讓你的員工遠(yuǎn)離任務(wù)關(guān)鍵區(qū)域（例如服務(wù)器機(jī)房）。

　　物理攻擊可能是闖入安全數(shù)據(jù)中心,、潛入建筑物的限制區(qū)域或使用他們無權(quán)訪問的終端,。攻擊者可能會竊取或損壞重要的 IT 資產(chǎn)（例如服務(wù)器或存儲介質(zhì)）,，訪問關(guān)鍵任務(wù)應(yīng)用程序的重要終端，通過 USB 竊取信息或?qū)阂廛浖蟼鞯侥南到y(tǒng)上等等,。

　　最外圍的嚴(yán)格控制應(yīng)該能夠抵御外部威脅,，而圍繞訪問的內(nèi)部措施應(yīng)該能夠減少內(nèi)部攻擊者的可能性（或至少能夠標(biāo)記異常行為）。

　　滲透測試公司TrustedSec的首席執(zhí)行官David Kenned曾表示,，公司在接近物理安全時(shí)最常犯的錯誤之一就是專注于前門,。他們會把所有的安全措施都放在前門；監(jiān)控?cái)z像頭,、保安人員,、徽章訪問，但他們沒有關(guān)注到整個建筑的整體,。吸煙區(qū),、現(xiàn)場健身房入口，甚至裝載區(qū)都可能無人看守,、無人監(jiān)控和不安全,。通過將手伸到另一側(cè)并四處揮動，也可以輕松打開出口處帶有運(yùn)動傳感器的旋轉(zhuǎn)門或類似障礙,。

　　雖然成功的數(shù)字攻擊成本不斷增加,，但針對您資產(chǎn)的物理損壞可能同樣不容小覷。一個臭名昭著的物理安全失敗例子是芝加哥的一個托管站點(diǎn)在兩年內(nèi)被搶劫了四次,，劫匪在第四次闖入時(shí)搶走了 20 臺服務(wù)器,。

　　物理安全風(fēng)險(xiǎn)范圍

　　根據(jù)Ontic 保護(hù)情報(bào)中心發(fā)布的《2021 年年中展望保護(hù)情報(bào)報(bào)告》指出，疫情大流行,、與 1月 6 日起義（指2021年1月6日,，時(shí)任美國總統(tǒng)唐納德·特朗普的支持者暴力闖入美國國會大廈的騷亂事件）有關(guān)的內(nèi)亂，以及槍支暴力事件的增加使 CISO 和其他高管更加關(guān)注物理安全,，包括他們自己和員工的福祉,。

　　該報(bào)告基于對 300 名物理安全決策者、首席信息安全官,、首席信息官,、首席技術(shù)官和其他 IT 領(lǐng)導(dǎo)者的調(diào)查，強(qiáng)調(diào)了對物理威脅的四個關(guān)注領(lǐng)域：

　　業(yè)務(wù)連續(xù)性：不受管理且不斷增加的物理威脅會增加企業(yè)風(fēng)險(xiǎn),，并可能影響業(yè)務(wù)連續(xù)性,。該報(bào)告建議公司投資于物理安全以減輕暴力威脅；

　　更大的威脅場景：情報(bào)失敗使高管和員工面臨內(nèi)部人員帶來的物理傷害或供應(yīng)鏈損壞或財(cái)產(chǎn)盜竊的風(fēng)險(xiǎn),。71% 的受訪者表示,，2021 年物理威脅格局發(fā)生了“巨大”變化；

　　物理安全和網(wǎng)絡(luò)安全之間缺乏統(tǒng)一：大多數(shù)受訪者（69%）表示，統(tǒng)一網(wǎng)絡(luò)安全和物理安全可以幫助避免導(dǎo)致其組織陷入困境或滅亡的事件,。這包括擁有一個單一平臺來識別和傳達(dá)威脅,；

　　意料之外的挑戰(zhàn)：與之前的研究相比，IT 和安全領(lǐng)導(dǎo)者在 2021 年面臨的一些關(guān)鍵挑戰(zhàn)并不是他們在 2020 年預(yù)期會遇到的挑戰(zhàn),。這些挑戰(zhàn)包括監(jiān)管合規(guī)報(bào)告和展示物理安全投資的回報(bào),。

　　總體而言，64% 的受訪者表示,，2021 年到目前為止,，物理威脅活動有所增加，而 58% 的受訪者表示,，他們覺得自己在為組織處理物理安全方面的準(zhǔn)備不足,。

　　物理安全原則和措施

　　物理安全主要?dú)w結(jié)為幾個核心組件：訪問控制和監(jiān)視。

　　訪問控制

　　訪問控制涵蓋了一個很大的領(lǐng)域,，其中包括對更復(fù)雜的東西（例如鍵盤,、ID 卡或生物識別限制門）的基礎(chǔ)屏障。

　　第一道防線是建筑物本身——大門,、柵欄,、窗戶、墻壁和門,。鎖定這些,，增加威懾物，如帶刺鐵絲網(wǎng),、警告標(biāo)志和隨處可見的警衛(wèi),，將減少對您所在位置的大多數(shù)隨意嘗試。

　　門禁系統(tǒng)多種多樣,，各有優(yōu)缺點(diǎn),。簡單的身份證掃描儀可能很便宜，但很容易被盜或偽造,。近場通信（NFC）或射頻識別（RFID）卡增加了仿造困難度,，但也并非完全不可能。將 NFC 植入員工體內(nèi)——據(jù)報(bào)道這在瑞典已經(jīng)成為一種趨勢并引起了英國工會的憤怒——也是減少卡丟失機(jī)會的一種方式,。

　　生物識別安全也是保護(hù)設(shè)施和設(shè)備的常用選項(xiàng)。從理論上講,，我們獨(dú)特的身體標(biāo)識符——無論是指紋,、虹膜、面部甚至你的脈搏——都比任何卡片都更難竊取或偽造,。ABI Research 的一份報(bào)告預(yù)測,，未來生物識別技術(shù)的使用只會增加。指紋仍然是最常用的方法，但 ABI 建議它會隨著面部,、虹膜和脈搏的應(yīng)用增長而不斷增強(qiáng),。

　　即便如此，生物識別驗(yàn)證也并非牢不可破,。據(jù)悉,，假手指可以克服指紋識別器，照片或面具足以欺騙面部識別,，德國黑客組織 Chaos Computer Club甚至找到了一種僅使用照片和隱形眼鏡就可以擊敗虹膜識別的方法,。

　　監(jiān)視

　　監(jiān)視包括從巡邏警衛(wèi)、防盜警報(bào)器和閉路電視到聲音和運(yùn)動傳感器以及記錄誰去了哪里的所有內(nèi)容,。

　　在風(fēng)險(xiǎn)更高的地點(diǎn),，公司可以部署更復(fù)雜的探測器，例如接近度,、紅外,、圖像、光學(xué),、溫度,、煙霧和壓力傳感器，以保持對其設(shè)施的整體可視性,。

　　物聯(lián)網(wǎng)和人工智能將物理安全帶入數(shù)字世界

　　在過去,，物理安全和數(shù)字安全通常是完全獨(dú)立的領(lǐng)域，但如今它們正慢慢變得越來越緊密,。監(jiān)控系統(tǒng)越來越多地連接到互聯(lián)網(wǎng),，訪問控制系統(tǒng)和監(jiān)控系統(tǒng)正在保存數(shù)字日志，而人工智能在物理安全中的用例也變得越來越流行,。

　　例如,，基于閉路電視的圖像識別可以提醒您有人或車輛接近。在更復(fù)雜的系統(tǒng)中,，可以在整個設(shè)施中進(jìn)行面部甚至步行識別,，并讓您知道是否有未知人員在現(xiàn)場或員工是否涉足他們不應(yīng)該訪問的地方。與訪問控制相關(guān)的行為分析可以提醒您注意異常行為,。公司也開始使用無人機(jī)進(jìn)行設(shè)施監(jiān)控,，越來越多的無人機(jī)制造商正在尋求增加自動化的無人能力。根據(jù)Memoori 的研究,，基于 AI 的視頻分析可能會在未來五年內(nèi)“主導(dǎo)”物理安全投資,。

　　TrustedSec公司的Kennedy表示，

　　在過去兩年里,，重點(diǎn)確實(shí)已經(jīng)從健康和安全轉(zhuǎn)移到了信息安全以及試圖真正保護(hù)所有信息以及物理位置本身,。我們看到了物理和邏輯安全的融合：如果你在紐約進(jìn)行徽章訪問刷卡,，但你在中國通過 VPN 登錄，這是一種檢測潛在惡意活動并使用物理數(shù)據(jù)幫助在您的環(huán)境中提供入侵分析的方法,。

　　物理和 IT 安全團(tuán)隊(duì)協(xié)同工作

　　然而,，物理安全技術(shù)的這種增長意味著 IT 和物理安全需要更緊密地運(yùn)作。數(shù)字日志需要被處理,、存儲并呈現(xiàn)給合適的人,。可能需要創(chuàng)建 AI 模型并訓(xùn)練系統(tǒng),。重要的是,，所有連接互聯(lián)網(wǎng)的設(shè)備都需要得到適當(dāng)?shù)谋Ｗo(hù)。

　　物理安全系統(tǒng)不再只是一個向用戶報(bào)告是否檢測到運(yùn)動的傳感器,。這些都是技術(shù)含量很高的系統(tǒng),，它們的復(fù)雜程度每年都在增加。然而,，安全提供商通常首先是設(shè)備制造商,，而且現(xiàn)在他們想要進(jìn)入整個物聯(lián)網(wǎng)業(yè)務(wù)，所以它們的第二身份實(shí)際上是開發(fā)商店,。我們在這些設(shè)備上發(fā)現(xiàn)的實(shí)際上比我們過去看到的那些封閉系統(tǒng)引入了更多的曝光,。

　　這些設(shè)備通常可以被遠(yuǎn)程黑客入侵,。例如,，閉路電視攝像機(jī)構(gòu)成了Mirai 僵尸網(wǎng)絡(luò)的很大一部分，用于在 2016 年的一起重大 DDoS 攻擊中擊垮Dyn,。如果您的傳感器網(wǎng)絡(luò)沒有得到充分的分段和保護(hù),，一個設(shè)備中的漏洞可能會允許攻擊者禁用您的一系列安全流程。

　　這些公司開始實(shí)施的技術(shù)非常有前景,，并且確實(shí)具有試圖阻止惡意行為者闖入建筑物的心態(tài),，但它們在開發(fā)周期中仍然不成熟，需要很長時(shí)間才能修復(fù),。

　　由于物理和數(shù)字世界的日益融合,，物理和 IT 安全越來越多地融合到跨職能團(tuán)隊(duì)中，一些公司為此創(chuàng)建了安全運(yùn)營中心（SOC）來處理這兩種類型的安全,。

　　不過,，真正融合了兩個運(yùn)營中心的企業(yè)數(shù)量有限，目前大部分企業(yè)焦點(diǎn)都集中在控制中心的融合上,；與其在全國各地設(shè)置幾個閉路電視控制中心,，不如只用一個大的控制中心來提高運(yùn)營效率。

　　即使兩個團(tuán)隊(duì)沒有合并為一個大的職能,，兩個團(tuán)隊(duì)一起工作并分擔(dān)責(zé)任仍然很重要,。網(wǎng)絡(luò)罪犯并不關(guān)心個人的角色和責(zé)任是什么，不同的部門可以說完全不同的語言,。讓 CSO 負(fù)責(zé)物理和 IT 安全,，可以將不同的團(tuán)隊(duì)聚集在一起，幫助提高整個組織的安全性,。鑒于歐盟的 GDPR 要求包括物理安全,，確保所有團(tuán)隊(duì)保持一致并朝著同一目標(biāo)努力至關(guān)重要。

　　社會工程學(xué)和物理安全

　　有這么一句古老的格言,，“穿著顯眼的夾克拿著梯子在任何地方都能暢通無阻”,，因?yàn)槿藗兊男湃胃性谧鞴帧Ｔ谌肭帜M期間,，滲透測試人員經(jīng)常試圖通過冒充建筑商,、清潔工甚至IT 支持人員來獲得現(xiàn)場訪問權(quán)限。

　　在一家金融組織的分支機(jī)構(gòu),，測試人員只是謊稱自己是為 IT 部門更新服務(wù)器的就成功獲得了訪問權(quán)限,。而在另一個案例中，一個“修復(fù)崩潰服務(wù)器”的小謊言就足以讓電力公司辦公室的一名警衛(wèi)相信,，兩名凌晨 3 點(diǎn)穿著黑色衣服偷偷摸摸的人是合法員工,。

　　鑒于此類攻擊中涉及的主要是人為因素，它們可能難以防御,。如果您的員工允許友好但未經(jīng)驗(yàn)證的人員進(jìn)入他們不應(yīng)該訪問的地方,，那么最好的安全技術(shù)也起不了作用。員工教育和意識是減少社會工程潛在威脅的關(guān)鍵所在,。

　　物理安全策略

　　雖然您的控制和監(jiān)控的規(guī)模及復(fù)雜程度會因位置和需求而異,，但有一些最佳實(shí)踐可以全面應(yīng)用，以確保穩(wěn)健的物理安全態(tài)勢,。

　　采取基于風(fēng)險(xiǎn)的方法并進(jìn)行研究

　　映射您的風(fēng)險(xiǎn)狀況并進(jìn)行適當(dāng)?shù)目刂?。一個帶閉路電視的簡單卡鎖就能做到的事情，就不要再去雇傭一隊(duì)武裝警衛(wèi)了,。供應(yīng)商需要保護(hù)自己才能更好地保護(hù)他們的客戶,，因此必須進(jìn)行供應(yīng)鏈盡職調(diào)查。我們與誰合作,，他們遵循什么樣的內(nèi)部流程和政策,，他們在強(qiáng)化系統(tǒng)方面遵循哪些框架？必須確保您購買技術(shù)的賣家了解風(fēng)險(xiǎn),，并且具備漏洞管理流程,，出現(xiàn)問題時(shí)的安全咨詢通知等。

　　確保訪問控制與人員相關(guān)聯(lián)并自定義訪問權(quán)限

　　每個 ID 卡或密鑰代碼都應(yīng)該有一個唯一的人與之綁定,?！耙粩堊印痹L問卡或代碼使數(shù)據(jù)泄漏的可能性更大且更難跟蹤,。如果您的設(shè)施有嚴(yán)格的時(shí)間表，請確保訪問與時(shí)間相關(guān) - 例如,，餐飲供應(yīng)商不得通宵訪問,。

　　進(jìn)行審計(jì)跟蹤并保持庫存

　　不僅要記錄誰訪問了什么，還要記錄嘗試訪問行為,。多次失敗的訪問嘗試可能預(yù)示著不良行為者的存在,。知道誰在負(fù)責(zé)所有卡片、鑰匙和其他訪問物品,。如果卡丟失或該員工職位發(fā)生變化（如離職,、轉(zhuǎn)崗等），則需要及時(shí)撤銷其訪問權(quán)限,。如果有人離職,，請盡快收回鑰匙。

　　教育員工遵守對待訪客的流程

　　人性通常很美好,，卻愿意相信好人比壞人多,。教導(dǎo)員工——包括警衛(wèi)——保持一定的懷疑態(tài)度，遵循正確的程序,，不要向外人提供太多公司信息,，可以減少員工被利用的機(jī)會。確保檢查 ID 并公布預(yù)先計(jì)劃的訪問,，并制定處理非預(yù)約訪客的流程,。確保訪客不會被單獨(dú)留在敏感區(qū)域。對員工進(jìn)行教育絕對是一個投資小回報(bào)大的好主意,，如此可以打消他們因害怕得罪人而不敢阻止不帶徽章的人,。此外，還需要告訴員工,，在離開辦公大樓時(shí)要將他們的徽章取下放在口袋里,，以防止被克隆或復(fù)制。

　　測試您的能力和流程

　　運(yùn)行模擬,；嘗試訪問您自己的設(shè)施,。同樣地，公司通常會發(fā)送虛假的網(wǎng)絡(luò)釣魚電子郵件來測試員工對細(xì)節(jié)的關(guān)注,，看看你的員工是否會通過電話提供信息或讓未經(jīng)驗(yàn)證的客人進(jìn)入,。