物理安全保護人員、硬件、軟件、網絡、設施和數據免受可能對企業、機構或機關造成嚴重損失或損害的物理行為和事件的影響。這包括對火災、洪水、自然災害、盜竊、盜竊、破壞和恐怖主義的保護。雖然這些事件中的大多數都在保險范圍內，但物理安全部門對損害預防的優先考慮避免了因這些事件而造成的時間、金錢和資源損失。

物理安全是組織的基礎'的成功。它通過限制設施訪問和監控活動來保護有價值的資產和敏感信息。它確保了機密性、完整性和可用性所有類型的數據和信息，并確保雇員和在現場工作的其他人的安全和保護。有了正確的安全措施，組織可以確保工作場所的安全。

什么是物理安全框架？

物理安全框架概述了用于保護一個區域免受未經授權的訪問、入侵或破壞的策略、程序和技術。物理安全框架的核心要素通常包括以下內容:

1.威懾

威懾意味著創造一種可見的安全存在，讓入侵者在試圖破壞物理安全時三思而行。公司通過在企業園區和遠程建筑周圍安裝有形的物理安全系統(如高大的圍墻、大門和安全標志)來阻止犯罪分子試圖破壞物理安全和進行未經授權的訪問。

2.偵查

監控是預防和事故后恢復的最重要的物理安全組件之一。在這種情況下，它指的是組織用來檢測入侵和監控不同現實世界位置和設施的活動的技術、人員和資源。例子包括巡邏警衛，熱傳感器，運動探測器，攝像機和其他通知系統。

閉路電視(中央電視臺；閉路電視)攝像機是記錄特定區域活動的常見物理安全控制類型。這些視頻監控攝像頭在捕捉犯罪行為方面的價值不亞于為犯罪行為辯護?？吹介]路電視攝像頭的威脅行動者不太傾向于闖入或破壞建筑物，因為他們害怕自己的身份被記錄下來。同樣，如果某項資產或設備被盜，監控攝像頭可以提供視覺證據來識別罪犯及其策略。

3.耽擱

通過在戰術上設置障礙，組織可以使攻擊者更難獲得有價值的資產和信息。同樣，這些障礙增加了威脅行為者成功實施盜竊、破壞或恐怖活動。障礙越多，組織就有越多的時間來應對和控制對物理安全的威脅和潛在威脅。

保險箱、金庫、墻壁和柵欄可以幫助減緩物理入侵者。墻壁和柵欄也可以加固建筑物，抵御地震、泥石流和洪水等環境災害。將資源轉移到此類強化措施的組織應該在投資之前平衡其實施的成本和收益。

4.保護

保護物理資產始于限制和控制人們可以訪問的內容，無論是站點、數據中心還是其他設施。訪問控制包括只允許授權人員訪問某些有形資產的措施。這些公司壁壘通常包括ID徽章、鍵盤和保安。然而，這些障礙可能因方法、途徑和成本的不同而有很大差異。

更復雜的訪問控制涉及技術支持的方法。安全團隊可以使用物理身份驗證方法，如安全ID卡掃描儀和近場通信身份證，以核實進出各種設施的個人的身份。

為什么物理安全很重要？

隨著企業越來越依賴物聯網(物聯網)和邊緣計算，對數字和物理安全的需求也在增長。隨著物聯網和邊緣計算在制造工廠、遠程辦公室和現場提供工業自動化，公司的物理安全責任已經擴大。

物聯網傳感器和設備，以及無人機等新技術，它們收集的數據和存儲這些數據的服務器，以及這些技術的部署位置，都必須得到保護。對于將系統和應用程序外包到云的公司，必須與所有云供應商達成協議。他們應該要求云供應商為他們的數據中心以及他們使用的網絡、物理存儲和服務器維護最佳的物理安全性。第三方云提供商數據中心需要物理安全性，以避免數據丟失和正常運行時間故障。客戶公司應定期要求云數據中心物理安全審計報告。

物理安全威脅的類型

物理安全威脅和風險點可能以多種不同的形式出現，包括以下幾種:

人為監督

員工可能會忘記鎖門或簽署系統，使這些資產對入侵者敞開大門。在制造工廠等偏遠地點，員工在下班后忘記將機器人或服務器等關鍵設備放回鎖好的籠子里的情況并不少見。

設備故障

現場的安全傳感器可能會失靈。例如，傳感器可能在零度以下失效，或者視覺傳感器在雪地里無法工作。此外，門鎖和保險庫鎖或高安全性圍欄也可能失效。當這些類型的監控機制出現故障時，它們會在物理安全方面造成漏洞，犯罪者可能會滲透進來。

天災人禍

洪水、地震、颶風、化學品泄漏和火災等災難都可能影響設備和設施的運行并危及人身安全。在這種情況下，公司需要立即采取措施保護員工，盡量減少對設備和基礎設施的進一步損害。

制定物理安全計劃

在制定物理安全計劃之前，必須評估所有公司物理資產的風險級別，并通過解決以下問題來完善計劃的范圍:

• 是否在整個企業及其衛星設施的每個關鍵任務點都安裝了監控？
• 遠程區域的數據中心和IT設備是否受到保護，以防未經授權的訪問？
• 徽章掃描、場內傳感器、攝像頭和保險庫鎖等所有物理安全監控和登記技術是否都處于良好的工作狀態？
• 員工是否在其工作區域接受了適當的物理安全實踐培訓？對于可能導致人身安全損失的風暴或火災等情有可原的情況，是否有書面程序？
• 公司災難恢復和業務連續性計劃中是否記錄了物理安全指南和程序，員工是否定期了解該計劃及其運作方式？是否定期測試物理安全系統？
• 組織的有形資產是否投保了損失險？

物理安全最佳實踐

以下最佳實踐可以幫助組織解決其物理安全需求:

使用日志和跟蹤維護安全性。記錄被訪問的內容和被訪問的人是阻止未授權用戶和創建有利于取證的數據環境的可靠方法。組織可以監控和記錄多次失敗的登錄嘗試和嘗試訪問，以收集關鍵證據來查明安全漏洞。

采用基于風險管理的方法。這種數據分析技術根據一個人的風險狀況來評估各種情況。如果一家企業特別厭惡風險，比如信用合作社或餐館，它可能會選擇投資一個更昂貴的物理安全系統，該系統能夠更好地降低風險。因此，公司使用基于風險的方法在物理安全上投入的資源量應該與其對風險緩解的重視程度相當。

領帶對個人的訪問控制。組織可以通過將訪問控制綁定到個人來提高其對人員活動的可見性。想象一下，一個特定的房間只能用一把鑰匙進入，而這把鑰匙只給了兩個人。如果那個房間里的資產丟失了，只有那兩個人對它的丟失負責。

執行定期安全測試。定期的安全測試越來越重要。消防演習對學校和建筑來說是必要的，因為它們有助于協調大型團體和他們的應對方法。這些測試應該定期進行，以便參與者確切地知道在身體緊急情況下應該做什么。還應定期測試物理安全威懾設備，如傳感器、門鎖、安全攝像頭、徽章和掃描系統。

培訓員工。員工應定期接受培訓，了解他們在工作區域應采取的物理安全措施。這降低了人為錯誤或遺漏的可能性。

維護更新的計劃。每年，公司都會收購新的實物資產，淘汰舊的。一家公司可能會新開一個倉庫或為遠程位置購買一臺服務器。不管情況如何，公司的實物資產總是在變化，因此保護它們的計劃也必須改變。

確定誰負責物理安全。在許多公司中，物理安全，即使是在數據中心，也是由單獨的維護或設施部門來維護的。在其他情況下，IT可能負責數據中心，而設施組可能處理其他物理資產。在早期，知道誰負責什么是很重要的。

不要忘記云。大多數公司會在服務評估和簽約期間與云供應商討論物理安全性。然而，在那之后，通常傾向于認為供應商維護了組織資產的適當的物理安全。更好的做法是每年審查供應商的安全審計，以便組織知道物理和其他安全已經得到解決和維護。

用物理安全來使用AI。物理安全的能力正在發生變化。這種轉變在很大程度上是由人工智能(人工智能)到物理安全技術。示例包括高級視頻監控系統、智能門禁系統和生物識別閱讀器。人工智能運動傳感器和攝像機不僅僅是監控和報告運動。他們還觀察員工的活動，并確定是否有任何異常。