企业如何更好的管理物理安全问题
在谈论信息安全的时间,我们往往都会把重点放在技术和系统管理方面。在现实情况中,对于大部分公司的信息技术安全团队来说,物理安全都不属于他们的管辖范围。直到发生了利用物理安全控制措施中的漏洞和弱点导致的风险,这种情况才会发生改变。
对于信息安全管理人员来说,了解怎样进行物理安全差距属于必备技能的一部分,即使在已经设置对围栏和锁具进行完全控制的专门职位时也不应该例外。
为什么物理安全非常重要
“正式”的物理安全系统包括了消防灭火系统、备用电源和备份系统。不过,在本文中的重点不是它们,而是围栏、锁具以及可以延缓攻击者进入目标的控制措施。在这里,进行物理安全差距的目的是确认控制措施是否有效到位:
1、延迟入侵者的活动
2、监测入侵者的位置
3、导致入侵者被逮捕
如果没有这些控制措施的话,一名犯罪分子就可以在不破解防火墙或入侵防御系统的情况下获得你的数据。他或她只需步行到桌面或服务器旁边,亲自完成操作就可以了。没有技术或管理人员可以阻止一名熟练的攻击者通过物理方式对系统的访问。(参见《门开了?那一切就结束了》一文)。
物理安全控制措施
在这里要再次强调,物理安全措施的目的是发现入侵者,延缓其进入的速度,让保安人员和执法机关有时间进行干预。你需要采用什么样的控制措施取决于:
· 目标的敏感度
· 网站附近是否有安全人员
· 执法机关的距离和响应时间
图A显示的就是一个高度敏感目标的物理安全模型。尽管对于我们当中的大多数人来说,并不需要这个级别的物理保护,但图形下面的讨论可以帮助你了解采取这些步骤的原因。
图A
为了保证讨论内容容易被大家理解,让我们先假设一名叫亨利的黑客将会进行攻击。由于亨利对路线进行过研究,所以,他看到了一面2.4米高的围墙和铁丝网。对于偶然攻击者来说,这样的防御措施是足够的,但亨利知道,在获得了目标建筑物中的数据后,他可以得到几千美元。因此,他将利用工具箱里的金属线切割器来对付锁链。
不过,对于亨利来说,越过围栏不等于可以开始入侵系统。遍布系统周围的照明设备为外部安全摄像机提供了足够的亮度来发现围栏附近发生的不寻常事件。只有在亨利关闭它们的情况下,才不会成为一个问题。
不过,在建筑物和围栏之间,部署了更精密的监测措施,这让亨利有些头痛。目标公司已经安装了运动传感器来对成功地翻越围栏的人进行检测。亨利可以绕过这些监测,但这会让他的入侵时间增加几分钟。因此,为了到达前门,他必须处理掉照明设备、围栏和运动传感器带来的威胁。
亨利现在做好进入目标建筑物的准备了。在这一阶段,他需要了解建筑物中安装了哪些安全设备。到目前为止,他认为自己可以到达前门,但还需要了解目标内的事件响应和内部控制措施。
亨利决定在第二天早晨拜访安全经理并参观目标。他伪装成为一名安全主管,假装希望获得一些设施安全保护方面的建议。他采用的社会化工程策略获得了成功,目标公司的安全经理特德提供了相关信息。
特德自豪地对目标系统的安全措施进行了介绍。建筑物中的所有窗口都被锁定。此外,唯一的入口就是大门,而且总是处于关闭状态。一名安全人员从建筑物内进行控制,所有没有访问卡的人员都将被禁止进入。在进入目标房间时,必须向安全人员出示被包含在访问清单中的证书。如果他或她属于访问清单中的人员,安全人员才会打开安全门的电子锁。
建筑物中的所有活动都会被视频监控摄像机记录下来,并发送到位于其它地方的基地。此外,在监测到入侵者的时间,事件响应进程将被激活。事前制定好的应变预案将会被启动,这包括采取将设施进行锁定、通知警方并在关键位置部署内部安全人员等措施。特德解释说,他的团队经常和本地执法机关进行演习。因此,响应时间是非常非常短的。
回家之后,亨利对目标公司的控制措施进行了深入的重新分析。根据分析结果,亨利认为,自己不能绕过各种阻碍,在被逮捕之前出来。他的唯一选择就是尝试利用社会化工程手段,并希望在安全人员内部出现漏洞。
保护公司安全
亨利遇到的保护措施并不属于典型的例子。大部分公司并不需要,也不一定买得到这种级别的物理安全措施为信息资产提供保护。但是,不论使用什么方法,下面的原则都是适用的:
1、利用障碍(即围栏、墙壁、锁具等设施)来阻止或延缓入侵者的攻击。确保延迟的时间超过响应的时间。
2、部署可以迅速确定入侵者具体情况的监测控制措施。
3、对响应处理进程进行规划、总结和测试。测试是其中的关键。在决策上浪费越多的时间,就等于降低延迟措施争取来的时间,给入侵者带来更大的优势。
作为一名物理安全分析师,你必须考虑到风险的具体情况以及公司对风险的承受能力。因此,对于所有比“大众”具有更多商业机密信息的公司来说,应该更关注安全,因此,定期进行评估,防止对关键系统和网络组件的物理访问也更重要。
下一篇: Nmap扫描教程之DNS服务类