距離911事件已經過去了整整20年,，回顧2001年9月11日,，在近一小時的時間里，共有兩架飛機撞向世貿中心，一架飛機撞向五角大樓,，另一架飛機墜毀在賓夕法尼亞州香克斯維爾的一片空地上,。

　　當時，這起事件不僅導致了航空業(yè)的持續(xù)低迷,，“物理安全”這個話題也逐漸被世界關注到,。試想一下，如果911事件前,，世貿大廈里所有的物理安全設備都經過縝密的檢查，并且在事件發(fā)生時能夠及時啟動有效的安全防范措施,，無論是保證逃生路線的暢通,，還是消防設施的正常使用，或者是防火門的正常啟用,，更及時的通知救災人員等等……那么遇難者的人數將遠遠低于2996這個數字,，經濟損失也不會高達當年國家GDP的2%（約2000億美元）。

　　災難帶來的后遺癥久未消散,，唯一慶幸的一點是,，物理安全系統(tǒng)引起了重視，并在人們的不懈努力下發(fā)展至今,，已經形成了一套非常完備的理論和標準的工作流程——覆蓋日常安防工作和安全事件發(fā)生時——可以有效地提高安防效果,，最大化地避免或降低損失。

　　物理安全定義

　　維基百科上對“物理安全”的定義為：

　　物理安全描述了旨在拒絕未經授權訪問設施,，設備和資源并保護人員和財產免受損害或傷害（如間諜活動,，盜竊或恐怖襲擊）的安全措施。物理安全涉及使用多層互相依賴的系統(tǒng),，其中包括閉路電視監(jiān)控,、安全警衛(wèi)、防護屏障,、鎖,、訪問控制協議以及許多其他技術。

　　簡而言之,，就是利用集成了各種安防設備和技術的系統(tǒng),，來保護人員和財產的安全。

　　雖然不如網絡安全般受到重視,，但物理安全實際上同樣重要,。事實上，它已經發(fā)展成為一個價值300億美元的產業(yè),。如果攻擊者從存儲室中移除您的存儲介質,，世界上所有的防火墻都幫不了你。

　　通過人工智能（AI）和物聯網（IoT）等技術，物理安全性正變得日益復雜,，這意味著 IT 和物理安全的聯系越來越緊密,，因此安全團隊必須協同合作以保護物理和數字資產。

　　為什么物理安全非常重要,？

　　從本質上講,，物理安全是讓您的設施、人員和資產免受現實世界的威脅,。它包括物理威懾,、入侵者檢測以及對這些威脅的響應。

　　雖然環(huán)境事件（即因為自然因素或人類違反環(huán)境法規(guī)而導致的災難事件）也會威脅物理安全,，但這里說的“物理安全”通常指阻止人們（無論是外部行為者還是潛在的內部威脅）訪問他們不應該涉足的區(qū)域或資產,。它可以是讓公眾遠離您的總部，讓現場第三方遠離敏感工作區(qū)域,，或是讓你的員工遠離任務關鍵區(qū)域（例如服務器機房）,。

　　物理攻擊可能是闖入安全數據中心、潛入建筑物的限制區(qū)域或使用他們無權訪問的終端,。攻擊者可能會竊取或損壞重要的 IT 資產（例如服務器或存儲介質）,，訪問關鍵任務應用程序的重要終端，通過 USB 竊取信息或將惡意軟件上傳到您的系統(tǒng)上等等,。

　　最外圍的嚴格控制應該能夠抵御外部威脅,，而圍繞訪問的內部措施應該能夠減少內部攻擊者的可能性（或至少能夠標記異常行為）。

　　滲透測試公司TrustedSec的首席執(zhí)行官David Kenned曾表示,，公司在接近物理安全時最常犯的錯誤之一就是專注于前門,。他們會把所有的安全措施都放在前門；監(jiān)控攝像頭,、保安人員,、徽章訪問，但他們沒有關注到整個建筑的整體,。吸煙區(qū),、現場健身房入口，甚至裝載區(qū)都可能無人看守,、無人監(jiān)控和不安全,。通過將手伸到另一側并四處揮動，也可以輕松打開出口處帶有運動傳感器的旋轉門或類似障礙,。

　　雖然成功的數字攻擊成本不斷增加,，但針對您資產的物理損壞可能同樣不容小覷。一個臭名昭著的物理安全失敗例子是芝加哥的一個托管站點在兩年內被搶劫了四次,，劫匪在第四次闖入時搶走了 20 臺服務器,。

　　物理安全風險范圍

　　根據Ontic 保護情報中心發(fā)布的《2021 年年中展望保護情報報告》指出,，疫情大流行、與 1月 6 日起義（指2021年1月6日,，時任美國總統(tǒng)唐納德·特朗普的支持者暴力闖入美國國會大廈的騷亂事件）有關的內亂,，以及槍支暴力事件的增加使 CISO 和其他高管更加關注物理安全，包括他們自己和員工的福祉,。

　　該報告基于對 300 名物理安全決策者,、首席信息安全官、首席信息官,、首席技術官和其他 IT 領導者的調查,，強調了對物理威脅的四個關注領域：

　　業(yè)務連續(xù)性：不受管理且不斷增加的物理威脅會增加企業(yè)風險，并可能影響業(yè)務連續(xù)性,。該報告建議公司投資于物理安全以減輕暴力威脅,；

　　更大的威脅場景：情報失敗使高管和員工面臨內部人員帶來的物理傷害或供應鏈損壞或財產盜竊的風險。71% 的受訪者表示,，2021 年物理威脅格局發(fā)生了“巨大”變化；

　　物理安全和網絡安全之間缺乏統(tǒng)一：大多數受訪者（69%）表示,，統(tǒng)一網絡安全和物理安全可以幫助避免導致其組織陷入困境或滅亡的事件,。這包括擁有一個單一平臺來識別和傳達威脅；

　　意料之外的挑戰(zhàn)：與之前的研究相比,，IT 和安全領導者在 2021 年面臨的一些關鍵挑戰(zhàn)并不是他們在 2020 年預期會遇到的挑戰(zhàn),。這些挑戰(zhàn)包括監(jiān)管合規(guī)報告和展示物理安全投資的回報。

　　總體而言,，64% 的受訪者表示,，2021 年到目前為止，物理威脅活動有所增加,，而 58% 的受訪者表示,，他們覺得自己在為組織處理物理安全方面的準備不足。

　　物理安全原則和措施

　　物理安全主要歸結為幾個核心組件：訪問控制和監(jiān)視,。

　　訪問控制

　　訪問控制涵蓋了一個很大的領域,，其中包括對更復雜的東西（例如鍵盤、ID 卡或生物識別限制門）的基礎屏障,。

　　第一道防線是建筑物本身——大門,、柵欄、窗戶,、墻壁和門,。鎖定這些，增加威懾物,，如帶刺鐵絲網,、警告標志和隨處可見的警衛(wèi)，將減少對您所在位置的大多數隨意嘗試。

　　門禁系統(tǒng)多種多樣,，各有優(yōu)缺點,。簡單的身份證掃描儀可能很便宜，但很容易被盜或偽造,。近場通信（NFC）或射頻識別（RFID）卡增加了仿造困難度,，但也并非完全不可能。將 NFC 植入員工體內——據報道這在瑞典已經成為一種趨勢并引起了英國工會的憤怒——也是減少卡丟失機會的一種方式,。

　　生物識別安全也是保護設施和設備的常用選項,。從理論上講，我們獨特的身體標識符——無論是指紋,、虹膜,、面部甚至你的脈搏——都比任何卡片都更難竊取或偽造。ABI Research 的一份報告預測,，未來生物識別技術的使用只會增加,。指紋仍然是最常用的方法，但 ABI 建議它會隨著面部,、虹膜和脈搏的應用增長而不斷增強,。

　　即便如此，生物識別驗證也并非牢不可破,。據悉,，假手指可以克服指紋識別器，照片或面具足以欺騙面部識別,，德國黑客組織 Chaos Computer Club甚至找到了一種僅使用照片和隱形眼鏡就可以擊敗虹膜識別的方法,。

　　監(jiān)視

　　監(jiān)視包括從巡邏警衛(wèi)、防盜警報器和閉路電視到聲音和運動傳感器以及記錄誰去了哪里的所有內容,。

　　在風險更高的地點,，公司可以部署更復雜的探測器，例如接近度,、紅外,、圖像、光學,、溫度,、煙霧和壓力傳感器，以保持對其設施的整體可視性,。

　　物聯網和人工智能將物理安全帶入數字世界

　　在過去,，物理安全和數字安全通常是完全獨立的領域，但如今它們正慢慢變得越來越緊密,。監(jiān)控系統(tǒng)越來越多地連接到互聯網,，訪問控制系統(tǒng)和監(jiān)控系統(tǒng)正在保存數字日志,，而人工智能在物理安全中的用例也變得越來越流行。

　　例如,，基于閉路電視的圖像識別可以提醒您有人或車輛接近,。在更復雜的系統(tǒng)中，可以在整個設施中進行面部甚至步行識別,，并讓您知道是否有未知人員在現場或員工是否涉足他們不應該訪問的地方,。與訪問控制相關的行為分析可以提醒您注意異常行為。公司也開始使用無人機進行設施監(jiān)控,，越來越多的無人機制造商正在尋求增加自動化的無人能力,。根據Memoori 的研究，基于 AI 的視頻分析可能會在未來五年內“主導”物理安全投資,。

　　TrustedSec公司的Kennedy表示,，

　　在過去兩年里，重點確實已經從健康和安全轉移到了信息安全以及試圖真正保護所有信息以及物理位置本身,。我們看到了物理和邏輯安全的融合：如果你在紐約進行徽章訪問刷卡,，但你在中國通過 VPN 登錄，這是一種檢測潛在惡意活動并使用物理數據幫助在您的環(huán)境中提供入侵分析的方法,。

　　物理和 IT 安全團隊協同工作

　　然而,，物理安全技術的這種增長意味著 IT 和物理安全需要更緊密地運作。數字日志需要被處理,、存儲并呈現給合適的人?？赡苄枰獎?chuàng)建 AI 模型并訓練系統(tǒng),。重要的是，所有連接互聯網的設備都需要得到適當的保護,。

　　物理安全系統(tǒng)不再只是一個向用戶報告是否檢測到運動的傳感器,。這些都是技術含量很高的系統(tǒng)，它們的復雜程度每年都在增加,。然而,，安全提供商通常首先是設備制造商，而且現在他們想要進入整個物聯網業(yè)務,，所以它們的第二身份實際上是開發(fā)商店,。我們在這些設備上發(fā)現的實際上比我們過去看到的那些封閉系統(tǒng)引入了更多的曝光。

　　這些設備通?？梢员贿h程黑客入侵,。例如，閉路電視攝像機構成了Mirai 僵尸網絡的很大一部分,，用于在 2016 年的一起重大 DDoS 攻擊中擊垮Dyn,。如果您的傳感器網絡沒有得到充分的分段和保護,，一個設備中的漏洞可能會允許攻擊者禁用您的一系列安全流程。

　　這些公司開始實施的技術非常有前景,，并且確實具有試圖阻止惡意行為者闖入建筑物的心態(tài),，但它們在開發(fā)周期中仍然不成熟，需要很長時間才能修復,。

　　由于物理和數字世界的日益融合,，物理和 IT 安全越來越多地融合到跨職能團隊中，一些公司為此創(chuàng)建了安全運營中心（SOC）來處理這兩種類型的安全,。

　　不過,，真正融合了兩個運營中心的企業(yè)數量有限，目前大部分企業(yè)焦點都集中在控制中心的融合上,；與其在全國各地設置幾個閉路電視控制中心,，不如只用一個大的控制中心來提高運營效率。

　　即使兩個團隊沒有合并為一個大的職能,，兩個團隊一起工作并分擔責任仍然很重要,。網絡罪犯并不關心個人的角色和責任是什么，不同的部門可以說完全不同的語言,。讓 CSO 負責物理和 IT 安全,，可以將不同的團隊聚集在一起，幫助提高整個組織的安全性,。鑒于歐盟的 GDPR 要求包括物理安全,，確保所有團隊保持一致并朝著同一目標努力至關重要。

　　社會工程學和物理安全

　　有這么一句古老的格言,，“穿著顯眼的夾克拿著梯子在任何地方都能暢通無阻”,，因為人們的信任感在作怪。在入侵模擬期間,，滲透測試人員經常試圖通過冒充建筑商,、清潔工甚至IT 支持人員來獲得現場訪問權限。

　　在一家金融組織的分支機構,，測試人員只是謊稱自己是為 IT 部門更新服務器的就成功獲得了訪問權限,。而在另一個案例中，一個“修復崩潰服務器”的小謊言就足以讓電力公司辦公室的一名警衛(wèi)相信,，兩名凌晨 3 點穿著黑色衣服偷偷摸摸的人是合法員工,。

　　鑒于此類攻擊中涉及的主要是人為因素，它們可能難以防御,。如果您的員工允許友好但未經驗證的人員進入他們不應該訪問的地方,，那么最好的安全技術也起不了作用。員工教育和意識是減少社會工程潛在威脅的關鍵所在,。

　　物理安全策略

　　雖然您的控制和監(jiān)控的規(guī)模及復雜程度會因位置和需求而異,，但有一些最佳實踐可以全面應用,，以確保穩(wěn)健的物理安全態(tài)勢。

　　采取基于風險的方法并進行研究

　　映射您的風險狀況并進行適當的控制,。一個帶閉路電視的簡單卡鎖就能做到的事情,，就不要再去雇傭一隊武裝警衛(wèi)了。供應商需要保護自己才能更好地保護他們的客戶,，因此必須進行供應鏈盡職調查,。我們與誰合作，他們遵循什么樣的內部流程和政策,，他們在強化系統(tǒng)方面遵循哪些框架,？必須確保您購買技術的賣家了解風險，并且具備漏洞管理流程,，出現問題時的安全咨詢通知等,。

　　確保訪問控制與人員相關聯并自定義訪問權限

　　每個 ID 卡或密鑰代碼都應該有一個唯一的人與之綁定?！耙粩堊印痹L問卡或代碼使數據泄漏的可能性更大且更難跟蹤,。如果您的設施有嚴格的時間表，請確保訪問與時間相關 - 例如,，餐飲供應商不得通宵訪問,。

　　進行審計跟蹤并保持庫存

　　不僅要記錄誰訪問了什么，還要記錄嘗試訪問行為,。多次失敗的訪問嘗試可能預示著不良行為者的存在,。知道誰在負責所有卡片、鑰匙和其他訪問物品,。如果卡丟失或該員工職位發(fā)生變化（如離職,、轉崗等），則需要及時撤銷其訪問權限,。如果有人離職，請盡快收回鑰匙,。

　　教育員工遵守對待訪客的流程

　　人性通常很美好,，卻愿意相信好人比壞人多。教導員工——包括警衛(wèi)——保持一定的懷疑態(tài)度,，遵循正確的程序,，不要向外人提供太多公司信息，可以減少員工被利用的機會,。確保檢查 ID 并公布預先計劃的訪問,，并制定處理非預約訪客的流程。確保訪客不會被單獨留在敏感區(qū)域,。對員工進行教育絕對是一個投資小回報大的好主意,，如此可以打消他們因害怕得罪人而不敢阻止不帶徽章的人,。此外，還需要告訴員工,，在離開辦公大樓時要將他們的徽章取下放在口袋里,，以防止被克隆或復制。

　　測試您的能力和流程

　　運行模擬,；嘗試訪問您自己的設施,。同樣地，公司通常會發(fā)送虛假的網絡釣魚電子郵件來測試員工對細節(jié)的關注,，看看你的員工是否會通過電話提供信息或讓未經驗證的客人進入,。