盡管你有防火墻、入侵防御和加密技術，但是我們的Fast Packet博主Ethan Banks想知道離應對物理安全破壞還差多少。

我收到了一封文字簡單、語氣恐慌的電子郵件。發件人想要知道我是否看到過交換機混亂的警報，因為他已經和大部分虛擬化環境失去連接。我并沒有遇到過這種情況，但我答應進一步查清這個問題，他也在其辦公室中努力尋找原因。通過分析交換機日志和檢查接口狀態，我注意到4個上行鏈路中的3個已經失效，它們前一天晚上就已經掉線了。許多其他接口也改變了狀態。一些交換機端口可以工作，而其他一些端口停止工作。

當我帶著疑問來到機架旁時，我發現了一個讓人不安的事實：機柜門被打開了，同時有人重新安排了線纜的物理連接。大多數原本插在某一臺交換機上的以太網線纜被隨意的插到機柜中另外一臺交換機上。我們一直都是物理安全的受害者！

這次發生事故的設備擁有很好的安全策略，并且已經普遍采用相應的安全制度：進入樓內受限區域需要加密的鑰匙卡，同時進出所有的門都會有記錄。已有的安全策略要求機柜物理上鎖，并且只允許少數幾個人有鑰匙。隔墻需要延展到天花板靜壓空間以上。大部分設備至少都設置了這種基礎保護措施。那是什么造成了破壞呢？

被破壞的是對現存策略的執行實施。你的物理安全策略可能已經足以保護設備，但是你的工作人員遵守這些策略了么？你有一個檢查和強制遵從的環節么？讓我們探討以下內容，幫助你保護站點免受物理安全破壞。

定期就安全策略、操作步驟和其相關原理進行員工培訓。相對于安全性，雇員（特別是非IT雇員）更加看中便捷性。安全團隊定期提醒物理安全策略和其背后的相關原理將會有助于在基層雇員中營造一種關心安全的氛圍，他們將更有可能支持安全策略。讓新雇員簽署公司安全策略協議是安全教育培訓的第一步，但不要讓這成為最后一步。

使用視頻監控來監視安全區域，特別是入口和出口：如果一個精心設計的視頻監視系統由于成本或復雜性而缺乏吸引力，那么可以考慮采用簡單的IP攝像頭和存儲設備，它們易于部署并相對便宜。視頻監控常見的缺點是侵犯個人隱私或是顯得缺乏信任。攝像頭捕捉的圖像中幾乎只有雇員和承建商。難道我們非得打擾他們，讓他們在攝像頭的監視下工作嗎？請允許我悄悄告訴你：相信你的雇員有時是一種不恰當的做法。誰會進入你的物理區域？誰會知道你的安全策略實際上如何管理，以及如何應付這些策略？換句話說，你的雇員是你最大資產，同時也是你最大的潛在風險。一個視頻系統可以讓所有人都保持誠實。

在事情發生前對現有系統開展前瞻性審查  而不是在破壞發生后再做反應。如果你使用一個打卡系統和加密標記，讓雇員進入大樓和安全區域。那么，登錄系統工作正常么？你上一次檢查它是什么時候？如果登錄系統工作正常，那么時間設定正確么？如果時間設定看上去是對的，那么你是否已經確認它們做過夏至時的調整？系統生成一份報告有多困難？所有的準入鑰匙卡是否可靠？一段時間未使用的加密標記是否已經過期？你是否已經回收那些結束合作的承建商或離職雇員的工作卡？

檢查你的清理桌面策略。雇員必須在工作日結束時鎖住公司機密信息，并安全銷毀涉及機密數據的廢紙。為遵從該策略，你最后一次檢查辦公室是在什么時候？檢查桌面、垃圾桶和可上鎖區域中的任何一項都會培養部分雇員對于工作區域的安全意識。如果你從不檢查，只有最遵守紀律的雇員才會保持一個符合規定的、干凈的桌面。

檢查數據中心上鎖情況。周期性開展數據中心排查工作，并且確認該制度是否得到遵守。如果你發現一扇沒有上鎖的門，嘗試一下戲劇性的做法，比如將門從鉸鏈上摘下取走并拿著它走出數據中心。如果你知道是誰不遵守制度，把門放在他的辦公桌上——沒有什么比在一個人的桌子上放一張大機柜門鎖更能使違規者和他的工作伙伴印象深刻了。通常，這種視覺沖擊比通過電子郵件或閉門會議警告威脅更有效果。

有太多的例子可以列舉，但是關鍵在于你要通過預先檢查預防破壞，而不是在破壞發生后取證分析。盡管防火墻、狀態檢查、訪問列表、入侵攔截、加密和事件關聯可以幫助攔截那些能成為新聞事件的網絡攻擊，但它們不能阻止有人在你沒有注意的情況下進入門內。

【編輯推薦】

1. 解決物理安全對Linux系統的威脅
2. 網站主機安全之服務器的物理安全
3. 用好這5招 輕松提高網絡連接物理安全性
4. 網絡站點主機安全之物理安全