如果我们未能利用逻辑安全与物理安全的结合力量,就无法期待能够全面保护任何组织。
图片来源:Thinkstock
狂飙梯子下载在过去几个月中,我参观了多家医疗机构,既以风险管理专业人士的身份,也以病人的身份。尽管我对这些机构采取的各种数据安全措施充满信心,但在几乎所有的案例中,根据轻微的观察,它们的物理安全却面临明显的挑战。例如,缺乏监控摄像头、医疗记录无保护及敏感区域的门锁未上等问题随处可见。
在一种意义上,这并不令人惊讶。由于涉及恶意软件、勒索病毒和网络入侵的重大事件每周都上国际新闻,组织自然会将焦点放在数据安全上。不幸的是,一些组织却未能跟上物理安全的发展,甚至在某些情况下出现倒退。
物理安全漏洞的后果可能与数据安全的失误同样具毁灭性,甚至更糟。最近的例子是国家安全局NSA内部敏感资料的被盗,这一事件的影响深远。虽然该事件的具体细节仍然不明,但NSA的消息来源表示,盗窃是由一名有敏感访问权限的内部人士所致,他只带著一个储存了数据的USB随身碟走了出去。被盗的资料曾参与多起知名的网络安全事件,包括WannaCry、NetPetya和最近的Bad Rabbit。
尽管普遍认为物理安全和逻辑安全是不同的学科,但越来越清楚地表明,将两者整合起来将带来诸多好处。在CIO的文章中,如何整合物理与信息安全以降低风险,金纳什对整合的理由表达得相当清晰:“在许多组织中,物理安全和信息安全出于机遇及历史原因而保持相对独立。然而,通过整合这两者,企业能更好地保护推动业务运营的资产、员工和有价值数据。”
以下是物理安全与逻辑安全事件如何密切相关的一些例子:
许多组织的网络由于其物理范围而受到限制,但几乎所有企业今天所用的无线网络信号都超出了这些墙壁。在公司的停车场内,坏人可以利用各种漏洞渗透进入网络。最近的Krack WPA2漏洞发现令这一点更加令人担忧。另外,一名承包商、维修技术员或获
