實體安全中,最重要的是做好存取控制,而在各方面的制度面做的最落實的,就屬軍方,
即使軍方隨著現在時代的進步,還是以禦防做主要政策,尤其是人力部份,什麼都沒有就是人最多,
五分鐘巡一次也還人力過剩都有呀!
而實體安全中,我們最常見的方法就是以分層(Layers)做控制,就有如管理的密度…
實體安全中,最重要的是做好存取控制,而在各方面的制度面做的最落實的,就屬軍方
即使軍方隨著現在時代的進步,還是以禦防做主要政策,尤其是人力部份,什麼都沒有就是人最多
五分鐘巡一次也還人力過剩都有呀!
而實體安全中,我們最常見的方法就是以分層(Layers)做控制,就有如管理的密度,
一層控制不了,加一層; 兩層控制不了,再加一層,建構在這種多層次的架層之中來做好機密分級、分等
而這種多層的實體控制,是來自於美國的國土安全局所制定,在美國的規範中,愈有機密性的資料
則會以愈強、愈多層的防禦來保護,而這種防禦的方法就稱為“縱深防禦“(Layered Defense)
對面威脅與需求的不同,縱深防禦的強度也有所增減,就有如風險管理的方法,以適當的保護措施來保設適當的資訊
但是,何地開始起算縱深防禦呢?這個就是個學問了,做的過深可能就造成資源的浪費,做的不夠,又變成太過於脆弱
在台灣最常見的,都是進入到了辦公室,或是進入到機房樓層才開始有防護,甚至,所謂的防護只是指紋機所構成的門禁系統
在老美的觀念則是從進入安全邊界時,就開始做存取控制,不斷的在做偵測、及反應。
我們來看一下英國倫敦的白金漢宮的風景
出處:http://www.panoramio.com/photo/15850202
那麼,我們不難看出來,這兩個都中外有名的政治權力中心,由裡到外,雖然白金漢宮沒有紫禁城來的宏偉
但是都是以同一個概念而出發Layered Deffense,因此可看的出來,做縱深防禦是實體安全中,最根本也是最基本的做法
針對理論來說,縱深以下面的圖來做個說明:
縱深防禦中最重要的幾個概念和上面的行政中心一樣,什麼是最重要的東西,不管從那個方向入侵,都是一樣的層數
甚至是一樣的路離,或是難度,因此從最外圍的安全邊界(Perimeter)開始,翻入圍牆後,還必須穿越安全周邊(Building Grounds)
才能抵達到建築物的進入點(Building Entrance),接下來就是人力最密集的辦公空間(Building Floors/ office sutites),
最終才會進入到資料中心、機房…等等存放較敏感、機密的存放地(office/ datacenters/ equipment),當然這個只是實體縱深的一個概念
而入侵的方法也有很多種防禦機制,例如最外圍可以用高於2.5M的圍牆加上鐵絲網增加入侵的難度,但是有心要翻越還是可以順利入侵
此時的Delay機制就失效了,為了避免這個狀況發生,我們可以在圍牆上加上紅外線或壓力感應器,並且於建築物邊加強CCTV偵測圍牆的入侵。
由外往內的來說,必須掌握幾個重點,我們由外部往內部做個說明:
●Perimeter:是第一道的防禦線,主要是以嚇阻為主,置放區域宣告或是警告標語以警告入侵者違犯的後果。
●Building grounds:進入到主要的偵查區時,會以路徑規劃的角度來做管理,例如護城河、挖池溏、種九重葛(有刺的植物)等等。
當然,較嚴僅的做法,還可以再以第二道圍牆減少入侵的入口點。以反應入侵行為及爭取處理時間為主
●Building Entrance:最後在進入點的周圍會以防撞立柱、鐵門、旋轉門以降低衝擊、減低入侵速度為主要考量。
當然若入侵到進入點前後了,就會有更多的配套措施出現,例如有CCTV、入侵偵測器(光電、超音波、微波、熱能、壓力感知…等)
提到了CCTV就不能不強調一下,是目前所有實體入侵偵測的主要工具,而它的組成共分為攝影機、傳輸媒介、監視器
在MI電影中,阿湯哥Show了一堆這些入侵偵測器的反制方法,但是,各有各的盲點,就看大家怎麼解讀了,
是電影看特技還是真的去思考入侵的行為…就各自解讀囉!
當然現在的入侵偵測工具這麼多,但是…在犯罪心理學中有提到的,光線與犯罪率是成反比的,
也就是說,有任何的非法行為於晚上發生的件數是比白天多了數倍,因此光源也是一種入侵偵測的考量,有時也可以當作是一種嚇阻行為
而入侵的進入點中,有門就有鎖,有鎖就是安全的保護了嗎?這個我是持保留態度的,因為鎖可能只能是一種delay的裝置,而非保護裝罝
因為君子會用鎖來防小人,而小人則不管你的鎖多貴,反正,我鎖開不了,我就拆門而以嘛!
不知道大家是否還會記得,在早期的門都有門片夾(又稱為蝴蝶夾),而門片夾都有一根夾心,當然現在還是有,但是安裝的方法就有了改善了
以前常常有闖空門的人家看到的就是門被拆下來了,而原因就在於那個門片夾的柱心,小偷根本就沒有開鎖,直接把柱心給拆了
自然門就拆下來了,你裝的鎖再貴,有用嗎???所以鎖只能說是一種delay裝置,非保護裝置。
即然有門、有鎖,那麼,就有安全上的考量,我們就會討論到是fail-soft(又稱為fail-open)或是fail-secure(又稱為fail-close)
這個是一種概念,例如:發生火災了,那麼在機房的門應該要能夠由內往外開,保護人命的安全(fail-soft),而若門被非正常程序打開後
應該要立即的自動關上,並且上鎖(fail-secure)
最後常用的實體入侵防護/偵測措施就是警衛(Guards),也是最貴的一種措施,也必須有適當的教育訓練,尤其針對社交工程(social engineering)的部份
加上多數的警衛是有一種特別的情愫考量,例如:受限於體型、甚至長相,尤其在台灣還有另一種奇怪的現象,就是會出現很多的杯杯警衛
這個部份是在實體安全的一種控制,但是也有可能成為一種嚴重的威脅,因為人才是最大的資安威脅,當然,若是請專業的保安人員,具有安全的教育
對於實體安全上應該要注意的程序、作業內容是有經過專業訓練的話,當然就另當別論了。
ok!好久沒有寫文了,在對於實體安全的部份,經過上的說明後,不知道大家是不是想想自已住家的實體安全是不是夠強度呢?例如:有無兩道門機制、安全邊界在那裡?
上面白金漢宮及紫禁城的規模又有何差距呢?希望以上可以帶給大家更多的想法。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security