一张废弃门禁卡暴露的企业安全漏洞 - 保密网

为什么写

去年秋天，广州一家生物科技公司的研发中心发生了一起离奇的泄密事件。公司正在研发的一款新药实验数据被竞争对手提前掌握，导致对方抢先申请了相关专利。经过内部排查发现，泄密的源头竟然是一张废弃的门禁卡。

原来，公司半年前有一位研发人员离职，离职时交还了门禁卡。但行政人员在系统里只是简单地做了停用处理，并没有从物理上销毁这张卡。离职员工在收拾办公室时偶然发现这张卡被遗忘在抽屉里，于是随手带走了。几个月后，他把这张卡交给了一个朋友，而这位朋友恰好在一家竞争企业工作。对方利用这张卡在非工作时间潜入了公司办公区，用手机拍摄了大量实验室白板上的实验参数和办公室桌面上的实验记录。

带来哪些隐患

物理安防的疏漏是很多企业安全防护体系中最容易被忽视的一环。很多人把精力都放在了网络安全防护上，却忘了最朴素的一个道理——如果坏人能够轻松进入你的办公场所，那再好的网络防火墙也无济于事。

门禁系统管理松懈是普遍问题。很多企业的门禁卡在发放后就没有了后续管理。谁持有哪张卡、卡的有效期到什么时候、挂失后卡是否真正失效、离职员工的卡有没有及时回收和销毁，这些问题在很多企业里都没有明确的答案。更严重的是，一些外包人员或者实习生持有的门禁卡，在项目结束后根本没有被追回。

纸质文件和办公区域的管理同样漏洞百出。即便在数字化程度很高的企业里，依然有大量的纸质文件存在——合同原件、会议记录、设计图纸草稿、实验记录本等。这些纸质文件如果存放在不上锁的办公桌抽屉里，只要有人能够进入办公区域，这些文件就等于在向所有人公开。案例中的研发人员正是因为把实验记录随意放在桌面上，让入侵者轻松拍到了关键信息。

访客管理也是一个常见的盲区。很多企业的访客登记就是在本子上签个名，甚至连身份证都不核对。访客在办公区域内可以自由活动，没有人陪同引导。有些人在接待访客时，直接把客人带到办公区域，客人在走过员工的工位时，可以看到大量屏幕上显示的信息，以及桌面上堆放的文件。

安防设备老化也是一个隐患。有些企业的监控摄像头已经安装多年，画质模糊，存储空间不足，很多关键区域的监控成了摆设。当真的发生安全事件时，回放监控录像什么都看不清。

给我们什么提醒

物理安全作为企业安全防护的基础，值得每一家给予足够重视。

门禁系统要纳入统一的资产管理系统。门禁卡的发放和回收必须有记录可查，离职人员的门禁卡要立即从系统中删除，并且物理销毁卡片。使用了较久的门禁系统应当定期更换读卡器和卡片，或者升级到带有安全芯片的智能卡。

敏感区域的进出要有多重验证。实验室、机房、财务室、档案室等敏感区域，仅有门禁卡是不够的，应当增加密码验证或者生物识别等第二道验证手段。人员进出记录要保留至少半年以上，便于事后追溯。

办公室的整洁度其实跟安全有关。养成下班前清理桌面的习惯，把重要文件锁进柜子，关掉电脑屏幕。看起来很简单的习惯，实际上是挡在泄密面前的第一道防线。很多办公室在员工下班后保洁人员进入打扫，如果桌面上的文件散落一地，保洁人员可以随意翻阅。

访客管理不能走过场。访客进入办公区域应当登记证件信息，全程有内部人员陪同，不得独自在办公区内走动。建议在办公区域设置专门的访客接待区，非必要不邀请访客进入核心办公区域。涉密会议的参会人员名单要反复核对，防止无关人员混入。

企业启示

安全是一个系统工程，天上的网络安全和地上的物理安全同样重要。北京企密安信息安全技术有限公司在为企业做安全咨询时始终强调一个观点：木桶效应——安全防护的水平取决于最短的那块板。网络防火墙做得再好，如果办公室大门随进随出，那所有的网络安全投入可能都是白费。企业需要从全局角度审视安全管理体系，把物理安防和网络安全放在同等重要的位置来规划建设。