物理安全和网络安全——区别有那么大吗?

Fred Juhlin

大型企业通常会有一个物理安全团队,以及一个专注于网络安全的独立IT团队。两个团队都是保护企业的资产和资源。因此,人们自然认为他们应该成为好朋友。

问题在于,他们保护的资产和资源有所不同。保护是指设置障碍以降低特定的威胁风险。当你不了解风险时,实施保护就是一件很麻烦的事情。这个额外的流程会让你的日常工作变得更加困难,而且还会增加成本。于是,OT(运营技术)和IT(信息技术)两个部门之间经常因此而产生矛盾。他们之间的区别在于,OT部门一般优先考虑可用性而非保密性和完整性,而IT部门一般优先考虑保密性。

网络安全可以向物理安全学习什么

对于大多数人来说,理解物理安全风险比较容易。没有上锁的门会增加未经授权的人员进入的风险;显眼的贵重物品容易被人拿走;错误和事故有可能对人身、财产和物品造成损害。

我是一名高级网络安全分析师,我们公司主要开发与IP网络连接的物理安全产品。所以,从我的角度来看,应对物理安全和网络安全的方式大体相同。无论你负责的是企业的物理安全还是网络安全,你都必须采用相同的原则:

  • 确定你的资产和资源,并予以分类(保护什么)
  • 确定相关威胁(免受谁的威胁)
  • 确定威胁可能利用的相关漏洞(可能性)
  • 确定不良事件发生的预期成本(后果)

风险一般等于威胁概率乘以有害结果。在算出答案之后,你必须问问自己愿意做些什么来预防其负面影响。下面我们更加仔细地分析一下每一条原则。

了解你的资产和资源

就视频系统而言,显而易见的资源是来自于摄像机的视频材料。资产则是指视频管理系统中的视频录像。视频录像的访问一般通过用户权限进行控制。除视频之外,需要考虑的其他资产还包括:用户帐号/密码、配置、操作系统、固件/软件和联网设备。它们根据重要程度和风险等级进行分类。

了解常见的威胁

具有合法访问权限的人故意或意外滥用,是任何系统面临的最大威胁。系统保护不力有可能导致员工访问他们无权查看的视频,或者试图“搞事情”,从而导致系统性能下降。

硬件故障也是一种常见的网络安全威胁。不喜欢被监控的人有可能会破坏监控系统。暴露在互联网上的服务有可能成为恶作剧者操纵计算机系统自娱的牺牲品。恐怖分子和民族国家有可能会尝试将特定组织网络内的设备武器化。这些威胁与物理威胁没有什么区别,因为它们产生的影响是相同的。所以,系统既需要物理保护,也需要网络保护。

了解常见的漏洞

在物理安全方面,门窗就是漏洞,因为通过门窗可以进入建筑物。防御设施、围墙和护栏也是漏洞,因为人们仍然可以强行穿过或越过它们。

软件也是这种情况。其风险取决于利用特定漏洞的难易程度和可能产生的负面影响。那么,其保护方案要么是增加障碍以降低风险(例如:加密),要么是采取措施降低恢复的成本(例如:数据备份)。

谈到网络安全,大多数人会想到他们在媒体上看过的各种复杂攻击。我遇到的大多数问题都与设备界面的缺陷有关,这主要是因为我们是一家设备制造商。但是,最大的漏洞还是企业缺乏内部认识、政策、流程和程序。这些东西必须到位,并且在评估供应商的产品或服务之前,你还应该审查一下他们的网络成熟度。

了解负面影响

视频系统既不处理金融交易,也不保存客户数据。这意味着视频系统难以让人获利,因此对于有组织的网络犯罪分子来说价值有限。

看看其他有关威胁也许可以体会其中的潜在成本。员工有可能未获授权而访问视频,从而导致系统性能下降。心怀不满的内部人士和外部活跃分子实施破坏,有可能造成运营中断。企业视频外泄有可能导致失去信任。受损的系统有可能成为其他系统的威胁。估算这个成本十分困难。不幸的是,很多时候企业必须学好这一课。安全保护就像提高质量,有付出才会有收获。如果图省钱,那么从长远来看你只会付出更多。

 

请进一步了解安讯士如何提升网络安全。

了解更多信息