整合逻辑与物理安全的重要性

关键要点

• 整合物理安全与数据安全是保护组织的关键。
• 物理安全漏洞可能带来与数据违规同样或更大的后果。
• 实行综合管理、联合评估、跨功能实习和绩效导向的方式可助于提高安全性。

如果我们未能利用逻辑安全与物理安全的结合力量，就无法期待能够全面保护任何组织。


图片来源：Thinkstock

在过去几个月中，我参观了多家医疗机构，既以风险管理专业人士的身份，也以病人的身份。尽管我对这些机构采取的各种数据安全措施充满信心，但在几乎所有的案例中，根据轻微的观察，它们的物理安全却面临明显的挑战。例如，缺乏监控摄像头、医疗记录无保护及敏感区域的门锁未上等问题随处可见。

在一种意义上，这并不令人惊讶。由于涉及恶意软件、勒索病毒和网络入侵的重大事件每周都上国际新闻，组织自然会将焦点放在数据安全上。不幸的是，一些组织却未能跟上物理安全的发展，甚至在某些情况下出现倒退。

物理安全漏洞的后果可能与数据安全的失误同样具毁灭性，甚至更糟。最近的例子是国家安全局（NSA）内部敏感资料的被盗，这一事件的影响深远。虽然该事件的具体细节仍然不明，但表示，盗窃是由一名有敏感访问权限的内部人士所致，他只带著一个储存了数据的USB随身碟走了出去。被盗的资料曾参与多起知名的网络安全事件，包括、和最近的。

尽管普遍认为物理安全和逻辑安全是不同的学科，但越来越清楚地表明，将两者整合起来将带来诸多好处。在CIO的文章中，，金·纳什对整合的理由表达得相当清晰：“在许多组织中，物理安全和信息安全出于机遇及历史原因而保持相对独立。然而，通过整合这两者，企业能更好地保护推动业务运营的资产、员工和有价值数据。”

以下是物理安全与逻辑安全事件如何密切相关的一些例子：

• 许多组织的网络由于其物理范围而受到限制，但几乎所有企业今天所用的无线网络信号都超出了这些墙壁。在公司的停车场内，坏人可以利用各种漏洞渗透进入网络。最近的发现令这一点更加令人担忧。另外，一名承包商、维修技术员或获