本来想着这个系列要收尾了,突然发现似乎少了一个篇章,赶紧补上。人员安全之意识教育在我很久之前就写过了,而作为信息安全最基础的一环—-物理安全也必不可少。
以前跟着学保密理论和知识的时候,都说“人防+技防”,其中“人防”大体指的就是物理安全,一般指依靠安保人员的控制和检查,实现边界出入口、内部重要通道的人员、物品进出。但随着时代发展、技术进步,现在的物理安全也大量采用了技术设备,因此这样的描述也不尽准确。
一、CSO与物理安全主管部门的关系
传统意义上的物理安全主管部门,通常是企业的行政、总务部门,因为要管理保安嘛;同时往往还要兼顾消防安全、职业健康等这些看上去没那么重要、却又必不可少的领域。
因此,建议CSO与物理安全主管部门达成密切合作关系,比如共同制订物理安全标准和规范、就重要区域的物理安全管控方案沟通并达成一致;但同时CSO对物理安全主管部门也负有审计职责,比如检查保安在出入口控制工作是否达标、有记录,检查物理安全设备和运营是否符合规范和标准。心大一点儿的CSO也可以把物理安全管理的职责接过来,因为确实和信息安全的关联度很大,不过确实不建议这么做。
二、物理安全的目标和内容
传统意义上的物理安全主要是通过控制边界和重要区域的人员、物品,达到控制非授权访问的效果。从以上定义来看,传统物理安全主要关注边界。从可理解的目标来看,物理安全的目标首先是不出事(不发生非授权访问),其次才是可追溯。
基于以上内容定义和目标,物理安全工作执行过程中就必须采用识别、鉴权和审计措施,正如大家所知道的,物理安全三件套,保安门禁和监控。当然了,还有配套的比如识别卡和吊带(用于识别不同人员的身份)、道闸(用于控制数量、防止尾随)、位置和路径跟踪(用于对重点人员的位置和路径进行监控记录,一般用于机场、银行的高度重要场所)等等。随着科技进步,指纹、虹膜、掌纹、人脸识别等生物特征识别措施都已经非常成熟、进入大规模商用阶段。我一直很想亲身体验一下步态识别这个黑科技,只可惜现实生活中尚无缘可见。
个别情况下,我也曾遇到过在物理安全控制手段上想采取创新手段的老板和CSO,比如他们提出是否员工可以不佩戴工卡,通过技术手段识别员工身份和发出安全警报,认为这样有较好的员工体验。技术上来说,目前这些都是可以做到的,但是成本确实比较高,而且不佩戴工卡之后,员工在心理和行为上缺少了对于信息安全的参与感和责任感,对最终效果未必是好事。因此,在这些物理安全措施的采用上,我的建议是尽量采用成熟稳定的技术手段和管理方法,一是经过检验、投资收益比最优,二是边界安全不能出事。
物理安全控制措施中,最坑爹的其实是视频监控。你说没用吧,出事了确实可以回溯,你说有用吧,在海量视频里面发现违规行为无异于大海捞针。幸运的是,现在的视频分析技术已经有了显著进步,我预计2-3年之内就能出现视频数据的特征提取和智能分析产品,通过对视频数据的处理和分析,将来也可以用SIEM分析啦。
在实际信息安全对抗过程中,物理安全边界不只是企业经营场所的边界,还包括分支机构的边界、外部会议场所,以及极度重要人员(如老板)的酒店、住所、车辆,这些物理场所都是聚集、流通重要信息的场所,因此也需要采取物理安全控制和检查措施。
对于企业内部重要区域(比如重要实验室、密码机安全屋、审计人员办公室、公司老板办公室),首先需要识别、分级并定期刷新,其次采取恰当的安全控制措施。如果需要采取开包检查、金属检测仪等容易引起员工反感的举措,一要做好宣贯和沟通,二要获得老板的坚定支持,后一点往往更加重要。在这类举措上,我所知做的最严格应该是富士康和三星,有兴趣的可以去学习。
传统物理安全的控制措施在执行过程中有2类注意点,1要防止灯下黑,比如清洁工可以进入机房,比如保安、电工可以随意出入重要场所,比如公司领导不戴工卡;2对这些控制措施要有checklist,比如保安执行动作是否到位、会否被骗过,设备时钟是否同步,比如虽然有门禁、可能会被人为敞开大门,比如视频存储数据时长是否合规和满足企业实际需求。物理安全控制措施虽然成本低、效果好,但这些小处执行不到位就会造成物理安全措施的有效性被大大降低,老板也会质问你:“这么点小事都做不好?!”
三、非传统物理安全的物理安全
在现实的商业环境中,还存在一类信息安全对抗需要关注,我把这一类行为也归属在“物理安全”领域;有关部门将之归于“技保”。
需要对抗的行为主要是非网络形式的远程接触、信息获取和干扰破坏,比如(1)通过远程激光进行窃听(2)通过伪基站进行窃听和定位(3)通过安置在企业内部的窃听器/录音设备进行窃听窃照(4)利用电视或显示器发射的电磁信号进行窃密(5)接在键盘鼠标上的记录器(6)在员工班车上安放窃听器(7)安放无线干扰器干扰对手投标答辩(8)用无人机偷窥内部园区敏感位置(9)从企业垃圾箱中获取信息。还有斯诺登提到的NSA利用带发射功能的U盘来突破物理隔离的网络防御、进行窃密。当然,如果你的对手采取了这类措施,这也说明商业竞争进入了白热化阶段,你不应对都不行啊。
对抗这类行为的措施看上去仍然是:(1)识别高风险人员和高价值人员,以及信息高价值场所(2)主动防御,扩大安全检查边界,针对可能的风险点增补工具,进行检查、控制和监控。看上去似乎并没有新鲜的地方,然而,最重要的是(0)学习斯诺登泄漏的材料、参加每年一度的保密展、开拓视野。这些对抗措施其实并不神秘,只要你知道了,视野自然就会打开。