物理安全和網路安全的交點在哪？

當前，住宅、商業和公共建築變得越來越智慧，這些裝置連線到網路系統後，使得建築物能夠調節環境，節省能源並且更加安全。

組成物聯網(IoT)的互聯、嵌入式感測器和裝置包含為這些系統提供“智慧”的軟體，所有軟體都包含數百萬行程式碼，這些程式碼不可避免地存在一些錯誤或缺陷，為軟體安全帶來不可預知的風險。

然而矛盾的一點是，數百個物聯網裝置用於協助提高建築物的安全性，但同時也可以為駭客建立一個開放的閘道器，不僅可以用來訪問存在漏洞的裝置，還可以訪問該裝置所連線的整個IT網路。

網路安全涉及防止未經授權訪問建築物或公司的網路和資料。許多物理安全系統現在包括大量連線裝置，可從雲端進行遠端訪問，非常類似於IT體系架構。

網路安全被認為是連線網際網路技術的關鍵。然而，如果你考慮到智慧建築中的許多功能仍然存在嚴重缺陷並忽視了最佳實踐的事實，那麼從安全的角度來看，許多智慧系統還遠遠不夠智慧。

物聯網的基本網路安全

物聯網對駭客來說是一個非常有吸引力的目標，尤其是因為大量的物聯網裝置使得攻擊者很容易竊取有價值的資料、控制或破壞系統，或在網路中獲取更多收穫。

攻擊物理通常是更大規模攻擊的一部分，在這種攻擊中，物理攻擊的作用是充當通往另一個系統的更簡單的閘道器。

物聯網系統的安全性在某種程度上落後於大多數商用計算機的安全水平，一些安全專家估計，物聯網系統正處於15年前的資訊保安階段。消費者物聯網裝置和許多智慧建築中使用的裝置往往連基礎設施都沒有，這使得這些裝置和網路很容易受到網路攻擊。

物理安全保護IT

就像需要網路安全來保護物理安全技術一樣，物理安全實踐在幫助保護資訊科技方面也是必不可少的。

訪問控制是網路安全的關鍵原則之一，涵蓋了控制誰可以訪問你的裝置、帳戶和資料的基本預防措施。技術控制包括為日常使用建立使用者帳戶，並將管理帳戶的訪問許可權限制給那些需要它們的角色的人。

訪問控制還包括對裝置和場所的物理訪問。例如，防止未經授權的人未經檢查進入辦公室或伺服器機房，甚至從外偷窺。

“最少特權”規則是一種安全的工作方式。這僅僅意味著給員工提供執行其角色所需的所有資源和資料。同樣的規則可以應用於訪問業務場所的不同部分。物理訪問控制措施可以包括使用鑰匙卡或生物識別掃描進入建設和進一步為不同的辦公室訪問控制,確保電腦螢幕從視窗不可見,裝置在使用訪問組織資料自動鎖經過一段時間的不活動。

長期以來，物理安全和網路安全一直被視為獨立的部門，但隨著智慧建築的興起以及物理系統與基於Web或基於雲的網路的相互依賴，兩者之間的界限變得越來越不明顯。

當這些風險的表面積更大且還在不斷擴大時，組織、設施管理人員和安全行業的人員需要找到方法來更好地識別、減輕和響應多個安全操作中的風險。

安全融合

安全融合是在專案和組織中整合物理安全和資訊保安的實踐。其理念是透過共享的實踐和目標，在整體安全戰略中管理資產、財產、系統和網路的總風險。

有效的安全融合需要一種文化轉變，從資金來源和戰略各不相同的部門，轉向包容和協作的文化。安全部門需要提高對物聯網入侵的認識，提供教育，分享最佳實踐，並加快網路安全標準的開發和採用。

良好的安全策略側重於人員、流程和技術，鼓勵對其團隊進行培訓和教育，並優先與使用有保障的產品和技術來連線其建築資產的可信賴供應商合作。

文章來源：

https://www.darkreading.com/physical-security/exploring-the-intersection-of-physical-security-and-cybersecurity