HW在即，那些被遗忘的物理安全还好吗？

近段时间，一个网络攻击的段子在互联网上火了起来。

“某公司被黑客勒索，每20分钟断一次网，给公司带来了极其严重的影响，但通过技术手段怎么也找不到问题。最后公司发现是黑客买通了保安，每20分钟拔一次网线。”

看完后，网友不禁感叹，“最有效的攻击往往只需要使用最朴素的方式。”

诚然这个段子有点夸大的成分，却也点出了物理安全（这里指“物理设备安全”）对于企业网络安全体系的重要性：在绝大部分时间它都很不起眼，经常被大家遗忘在角落里，以至于出现问题后竟一时无法发现，更别提进行应急响应。

其原因在于，企业在建设安全体系时会更侧重于防范网络性攻击风险。而且安全投入的资源和人力有限，自然无法面面俱到，自然也就会遗忘一些不起眼的角落。但在这些角落里，同样隐藏着致命的风险。

随着物联网技术的快速发展并广泛应用于生活之中，物理安全的重要性进一步凸显。此时，企业也需要开始重视物理安全。毕竟安全是一个整体，只要有一个地方出现了漏洞，攻击者就有可能顺着这个漏洞进行入侵。

随着一年一度的HW即将开始，那些被遗忘在角落里的物理安全还好吗？

** 物理安全是网络安全的基础**

所谓物理安全，是指拒绝未经授权访问设施，设备和资源并保护人员和财产免受损害或伤害(如间谍活动，盗窃或恐怖袭击)的安全措施。
物理安全涉及使用多层互相依赖的系统，其中包括闭路电视监控、安全警卫、防护屏障、锁、访问控制协议以及许多其他技术。

物理安全主要涉及机房环境要求、设备安全和传输介质安全三个方面，每个方面都有不同的要求。其中，设备安全主要包括设备的防盗、防毁坏、防设备故障、防电磁信息辐射泄漏、防止线路截获、抵抗电磁干扰及电源保护等方面的内容。其目标是防止组织遇到资产损坏、资产流失、敏感信息泄露或商业活动中断的风险。

针对物理安全，此前颁布的等保2.0也有类似的明确要求。

例如，在机房的物理位置选择上，等保2.0就明确规定：1、机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；2、机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

毕竟数据机房关乎企业的生命线，倘若出现断电、漏水等问题，导致数据机房无法工作，那么将会给企业业务连续性造成毁灭性打击，甚至导致企业无法运转。

而在物理访问控制上，等保2.0也指出：

1、机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

2、需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

3、应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

4、重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员等。

事实上，物理安全就在我们身边。例如我们常见的门禁系统就是一道物理安全措施，可以避免外部人员进出公司，但要注意其他进出渠道，如楼梯间；类似还有严格