最早在2019年时我写了篇《闲扯物理环境安全的那些坑》,对十几年中了解的物理安全风险与事故进行了一个总结。今年在信息安全与IT风险管理系列文章中,也物理安全控制要点与策略、机房安全管理进行了介绍。今天这篇文章介绍下在物理安全方面,我所了解的一些最佳实践案例,来作为物理安全这一小节的收官。
一、区域进出控制
在园区访问控制方面,我见过最为夸张的当属某制卡厂,大门使用的类似于监狱那种的铁栅栏,感觉明显与门楼装修风格不符,问了下相关人员得知是VISA进行安全评估时,真的进行破坏性测试大门的质量,后来便整改成为铁栅栏门。
除了这么变态的铁栅栏大门外,该单位在车间进出控制也是非常特别的,进出旋转大门竟然自动测量体重,如果体重波动超过正负五公斤就会报警,我想这大概是为了不携带无关设备进出吧。当时我问如果有怀孕的女同志怎么办,对方答曰每周申请更新体重。
在广州某股份制银行的数据中心机房,第一次见到了进出双门禁系统,两道门禁同时只能有一道是打开的,如果两个门同时打开就会发出非常刺耳的报警声。这样做可以很好的解决人员进出忘记关门的问题,同时也可以防止不明人员尾随进入。
二、来访人员控制
来访人员方面一般机构控制的都还算不错,进大门要登记、检查证件、内部人员电话确认来访或亲自迎接等。整套手续相对比较繁琐,效率相对比较低下,有时候来访人员比较多需要等很久。进入大门之后的控制相对就比较松一些,在不同的楼或不同的楼层很少看到还有配备安保人员的。
第一次看到楼层间配备安保人员的是在深圳某家股份制银行数据中心大楼,除了进入园区大门处的物理安全控制措施之外,每个楼层都配备了安保人员,并且外来人员到每层后都需要刷卡,这样的细粒度的区域安全控制,更能降低进去园区后随意访问的风险。
在来访人员管理方面,一些互联网公司普遍做的很好,通过短信或微信预约,输入预约码就可以打印访客标识牌,里面印有访客需要访问的区域,进去大楼后每层安保人员检查访客标识牌,这样做很好的兼顾了安全控制与办事效率的平衡。
在来访人员访问网络方面,一些来访人员管理做的比较好的机构,在标识牌上还有临时WIFI访问账号密码,这样既方便了来访人员访问互联网,也可以将来访人员与内部网络进行隔离,降低一些来访人员进行恶意操作或传播病毒的风险。
三、办公设备安全
经过这么多年ISO 27001信息安全管理体系的推广,大部分单位与个人的信息安全意识都提高了很多,离开办公电脑锁屏这方面大部分都做的非常好,当然有些单位通过域控进行策略下发来进行控制屏保与锁屏,这样对人员安全意识疏忽是个很好的补充。
打印机、复印机等办公设备的使用方面,大部分单位还是通过安全意识宣传来规范人员行为,有些单位在打印机附近配备了碎纸机,可以防止作废敏感资料信息泄露,做的比较好一点的单位打印前需要刷卡授权,这样做可以防止打印完忘记拿走。