物理安全和网络安全的交点在哪?
共 1500字,需浏览 3分钟
·
2022-04-11 10:55
当前,住宅、商业和公共建筑变得越来越智能,这些设备连接到网络系统后,使得建筑物能够调节环境,节省能源并且更加安全。
组成物联网(IoT)的互联、嵌入式传感器和设备包含为这些系统提供“智能”的软件,所有软件都包含数百万行代码,这些代码不可避免地存在一些错误或缺陷,为软件安全带来不可预知的风险。
然而矛盾的一点是,数百个物联网设备用于协助提高建筑物的安全性,但同时也可以为黑客创建一个开放的网关,不仅可以用来访问存在漏洞的设备,还可以访问该设备所连接的整个IT网络。
网络安全涉及防止未经授权访问建筑物或公司的网络和数据。许多物理安全系统现在包括大量连接设备,可从云端进行远程访问,非常类似于IT体系架构。
网络安全被认为是连接互联网技术的关键。然而,如果你考虑到智能建筑中的许多功能仍然存在严重缺陷并忽视了最佳实践的事实,那么从安全的角度来看,许多智能系统还远远不够智能。
物联网的基本网络安全
物联网对黑客来说是一个非常有吸引力的目标,尤其是因为大量的物联网设备使得攻击者很容易窃取有价值的数据、控制或破坏系统,或在网络中获取更多收获。
攻击物理通常是更大规模攻击的一部分,在这种攻击中,物理攻击的作用是充当通往另一个系统的更简单的网关。
物联网系统的安全性在某种程度上落后于大多数商用计算机的安全水平,一些安全专家估计,物联网系统正处于15年前的信息安全阶段。消费者物联网设备和许多智能建筑中使用的设备往往连基础设施都没有,这使得这些设备和网络很容易受到网络攻击。
物理安全保护IT
就像需要网络安全来保护物理安全技术一样,物理安全实践在帮助保护信息技术方面也是必不可少的。
访问控制是网络安全的关键原则之一,涵盖了控制谁可以访问你的设备、帐户和数据的基本预防措施。技术控制包括为日常使用创建用户帐户,并将管理帐户的访问权限限制给那些需要它们的角色的人。
访问控制还包括对设备和场所的物理访问。例如,防止未经授权的人未经检查进入办公室或服务器机房,甚至从外偷窥。
“最少特权”规则是一种安全的工作方式。这仅仅意味着给员工提供执行其角色所需的所有资源和数据。同样的规则可以应用于访问业务场所的不同部分。物理访问控制措施可以包括使用钥匙卡或生物识别扫描进入建设和进一步为不同的办公室访问控制,确保电脑屏幕从窗口不可见,设备在使用访问组织数据自动锁经过一段时间的不活动。
长期以来,物理安全和网络安全一直被视为独立的部门,但随着智能建筑的兴起以及物理系统与基于Web或基于云的网络的相互依赖,两者之间的界限变得越来越不明显。
当这些风险的表面积更大且还在不断扩大时,组织、设施管理人员和安全行业的人员需要找到方法来更好地识别、减轻和响应多个安全操作中的风险。
安全融合
安全融合是在项目和组织中集成物理安全和信息安全的实践。其理念是通过共享的实践和目标,在整体安全战略中管理资产、财产、系统和网络的总风险。
有效的安全融合需要一种文化转变,从资金来源和战略各不相同的部门,转向包容和协作的文化。安全部门需要提高对物联网入侵的认识,提供教育,分享最佳实践,并加快网络安全标准的开发和采用。
良好的安全策略侧重于人员、流程和技术,鼓励对其团队进行培训和教育,并优先与使用有保障的产品和技术来连接其建筑资产的可信赖供应商合作。
文章来源:
https://www.darkreading.com/physical-security/exploring-the-intersection-of-physical-security-and-cybersecurity