干了这么多年的安全咨询,我越来越觉得一个有意思的现象。很多企业做安全管理的时候,物理安全是一拨人管,信息安全是另一拨人管,两拨人之间基本不交流。做物理安全的不知道网络安全那边出了什么新威胁,做信息安全的也不关心门禁围墙这些事。可实际上,安全是一个整体,物理安全和信息安全就像一个人的两条腿,一条腿迈出去了另一条跟不上,人就会摔倒。这个道理听起来简单,但在实际操作中把两条腿协调好的企业还真不多。
我先讲一个协同失败的典型例子。前年有一家做生物医药研发的公司来找我,说他们的研发数据被窃取了。具体情况是这样的,他们的防火墙和入侵检测系统配置得相当高端,网络攻击想进来几乎不可能。可黑客没有走网络这条路,他们派了一个人假扮成空调维修工,骗过了保安进了大楼,到了机房所在的楼层。那个楼层的门禁用的是老式刷卡系统,黑客用技术手段复制了一张卡,直接进了机房。然后他把一个跟U盘差不多大的设备插在了服务器的一个USB接口上,把研发数据拷贝走了。整个过程中物理防线毫无察觉,信息安全团队也完全不知道有人在现场动过服务器。这就是典型的物理和信息各行其是打不通信息的结果。
物理安全跟信息安全为什么需要协同,原因很简单,威胁是综合的。攻击者不会给自己贴标签说我只用网络攻击或者我只做物理入侵,他们会选择最薄弱的环节下手。如果网络安全做得铜墙铁壁,他们就找物理安全的漏洞,或者反过来。所以企业的防御体系必须是立体的,物理安全措施和信息安全措施要相互支撑相互补充。
具体到协同管理的落地上,我觉得可以从几个层面入手。第一个层面是组织和人员的协同。不要把物理安全团队和信息安全团队放在不同的部门下面各管各的,较好有一个统一的安全管理部门来统筹。即使机构设置上分开了,也要建立定期的沟通机制,比如每月一次的安全联席会议,两个团队坐在一起聊聊最近发现了什么威胁、补了什么漏洞。我见过一些做得不错的单位,他们在安全部门内部设了物理安全专岗和网络安全专岗,但岗位之间定期轮岗,让做物理的人了解信息安全的逻辑,做信息的人知道物理安全的要点。这种互相了解带来的好处在遇到突发事件的时候特别明显。
第二个层面是技术系统的协同。物理安全系统比如门禁、监控、报警系统,信息安全系统比如防火墙、入侵检测、日志审计系统,这些系统之间的数据要打通。比如说门禁系统检测到有人在非工作时间进入了涉密区域,这个信息能不能自动推送到信息安全团队那里,让他们同时启动对该区域网络设备的监控。再比如监控系统识别出某个员工行为异常的时候,能不能自动触发账号的临时锁定。这些场景在传统模式下需要人工判断,但系统打通之后可以实现自动联动。不过要注意的是,系统之间的数据交换要有安全措施,不能把门禁数据通过不加密的通道传出去。
第三个层面是应急响应的协同。平时分工明确,出了事要能迅速形成合力。我参与过多起安全事件的应急处理,发现协同机制好的单位,事发后半小时内就能完成物理封控、网络断联、证据保全等一系列动作。而协同机制差的单位,光协调两个团队之间谁说了算就得争论好半天。所以应急响应预案要把物理和信息两个维度都写进去,明确每种场景下谁来负责什么、什么时候启动什么、信息怎么传递。而且预案不能写完就放着,要定期演练,让两个团队在演练中磨合出配合的默契。
事件调查阶段同样需要协同。网络入侵事件的调查过程中,调查人员不仅要看服务器日志和网络流量,还要调取门禁记录和监控录像。如果在那个时间段里有人物理接触了受害服务器,光查网络日志是不够的。反过来,如果有人在物理上闯入了机房,也要查一下那个时间段的网络流量有没有异常。两个调查方向的数据互相印证,往往能发现单独追查看不出来的线索。
我还想说说资产管理的协同问题。信息安全强调要对信息资产做分类分级管理,物理安全类似地也要对物理资产做同样的管理。一个服务器既是物理资产也是信息资产,两个团队对它的管理要求要统一。比如信息团队说这台服务器上的数据是核心机密,物理团队就要确保存放这台服务器的机柜有可靠的物理防护。两个团队如果在资产登记上用的是不同的台账,就可能出现信息团队认为已经加密保护的服务器,实际上放在了一个任何人都能进入的开放区域这种荒唐情况。
人员管理的协同也不能忽视。一个员工入职的时候,信息团队给他开通了系统账号和网络权限,物理团队给他发放了门禁卡。离职的时候,信息团队注销了账号,物理团队却没有回收门禁卡或者没有及时同步离职信息,这就出现了前面提到的安全缺口。所以人力资源系统和门禁系统之间较好有接口,员工办理离职手续的时候自动触发门禁权限的注销。如果没有技术接口,人工流程也要做到闭环,确保不留下离职人员仍有物理访问权限的隐患。
总的来说,物理安全和信息安全的协同不是锦上添花,而是雪中送炭。面对越来越复杂的威胁环境,两个团队各自为战的日子该结束了。打通物理和信息之间的壁垒,让安全防护从一个一个的点连成一张完整的网,这才是现代企业安全管理该有的样子。
