2024年5月29日 星期三

★ 工作場所人身安全的重要性

實體安全的基礎知識:專業人員的角色與責任 


Klacci 凱樂奇 iF-R 讀頭門禁系統可以這麼小。 iF-R 讀卡器越來越多地擴展了 iF 系列智能非接觸式鎖的適用性。


來源:INFOSEC


實體安全細節

保護重要資料、機密資訊、網路、軟體、裝置、設施、公司資產,和人員是實體安全的意義。安全可能受到兩個因素的影響。大自然的第一次攻擊,如洪水、火災、電力波動等。雖然資訊不會被濫用,但很難檢索,並可能導致資料永久丟失。其次是惡意一方的攻擊,包括恐怖主義、破壞和盜竊。所有組織都面臨著不同類型的實體安全威脅。

實體安全非常重要,但大多數組織通常忽視它。如果你不希望任何人,搶走你的資訊或銷燬它,這是必要的,以防自然災害。原因可能是任何事情,攻擊者這樣做是為了個人利益,經濟利益,為了復仇,或者你是脆弱的目標。如果這種安全性沒有得到適當的維護,一旦攻擊者透過實體連線訪問,所有安全措施都將毫無用處。儘管實體安全比前幾十年更具挑戰性,因為有更敏感的裝置(如 USB 驅動器、膝上型電腦、智慧手機、平板電腦等)可以輕鬆順利地竊取資料。

如前所述,用於實體安全的措施較少,沒有人關注它,因為注意力主要在於以技術為導向的安全。這種失誤讓攻擊者,有機會利用資料或開啟埠。他們計劃透過未經授權的手段滲透網路。例如,儘管內部威脅也存在,但可以進入公司所有領域的員工,可以輕鬆竊取資產。


PCI 鼓勵在工作場所實施實體安全

PCI(支付卡行業)是一項安全標準,目的在確保處理任何持卡人資料的所有組織和公司,都有安全的環境。PCI 對實體安全的要求非常簡單,但仍然需要大量的努力。PCI 有 12 項合規要求。

  • 安裝和維護防火牆配置,為持卡人資料的資產提供安全性。保護和保護儲存的資料。
  • 不要使用預設的供應商密碼和其他安全參數。
  • 加密透過開放網路傳輸持卡人資料。
  • 使用防病毒軟體並經常更新他們的程式,以刪除任何可能威脅持卡人資料環境安全的惡意軟體。
  • 應該開發和維護安全的系統和應用。
  • 對持卡人資料或持卡人實體資料的訪問受到限制。
  • 那些有訪問許可權的人應該分配唯一的使用者 ID。
  • 追蹤和監督網路連線訪問。
  • 應該對安全系統和流程進行定期測試。
  • 必須維持一項針對所有人員資訊保全的政策。
  • 使用攝影機來監控脆弱區域。為了保護敏感資料,需要對媒體進行分類。
  • 敏感的身份驗證資料必須得到保護。


ISO 鼓勵在工作場所實施實體安全

ISO(標準化資訊組織)是資訊保全實踐的準則。它由幾個部分組成,涵蓋了廣泛的安全問題。

風險處理和評估與安全風險分析的基本原理相一致。維護一個有組織的基礎設施,以控制公司如何實施資訊保全。資產管理包括適當保護組織資產,和確保資訊得到正確保護。人事安全管理 - 它正在確保員工、承包商、第三方的合適工作,並防止他們濫用資訊處理設施。該組織應使用周邊和屏障,來保護安全區域。入境控制應僅允許授權人員進入重要地區。安全區域的設計應該能夠承受自然災害。監督交付和裝載區域的使用,並確保在貨區仔細執行。保護裝置並保護其免受危險;電源和電纜應該固定,確保安全獲取資訊和財產。


實體安全的優勢

然而,有許多設施用於實體安全,並具有很多優勢。首先是周邊安全,包括陷阱、圍欄、電圍欄、大門和旋轉門。帶有難以複製的鑰匙的安全鎖。徽章是驗證任何員工身份所必需的。設定監控,在不會暴露或讓攻擊者篡改的地方。保護任何脆弱的裝置並保護行動式裝置。在無法輕鬆獲得訪問的安全位置保護備份。在發生爆炸、火災或電氣併發症時,應使用正確的控制方法,這可能有助於節省工作場所的一些重要物品。強大的設定可能會保持堅定,並降低大多數資產、資料和裝置的損失。

巨大的優勢是,罪犯或攻擊者必須繞過許多安全層才能獲得目標。因此,他們更難完成任務。入侵者很難使用許多方法和裝置來設定,預算低,並減少安全威脅。

有助於保持良好和強大的人身安全的清單

  • 入侵探測器
  • 閉路電視,智慧卡
  • 滅火器
  • 警衛
  • 抑制系統
  • 入侵警報
  • 運動探測器
  • 實體門禁訪問
  • 鏈條柵欄
  • RFID 標籤
  • 鐵絲網等等。


門禁控制(AC)可供多個營運商訪問;它包括授權、訪問批准、多個身份驗證、身份驗證和審核。


缺點

雖然有一些漏洞。 其中一些方法可能會傷害或傷害動物和入侵者。防護柵欄可能會被攻擊者跳過。有效性可能會在身份驗證或門禁控制(CA)中受到損害。智慧卡或金鑰可能會被盜,讓駭客更容易找到你放錯位置的 USB,並使用你的電腦當今的安全系統和安裝非常複雜,讓使用者自行決定如何操作它。

每年都有新的安全技術更新和發展計劃,因此改變和跟上新技術可能會很累。問題是,有很多可用的設施,但員工很少知道如何使用它,例如,在組織的每個角落都有滅火器,但沒有多少工人知道如何處理它。 工作場所的每個員工通常都有門禁卡,但當卡被封鎖時,問題就會出現。有時,閉路電視 攝影機。的安裝在捕捉浴室或私人區域,並妨礙任何員工隱私的地方。

最後的想法

公司需要行政、技術和實體控制,才能順利執行其組織。行政控制包括施工、現場位置、應急響應和技術控制,包括閉路電視、用於門禁的智慧卡、警衛,而實體控制包括入侵警報、周邊安全

實體安全的主要目標是保護組織的資產和設施。因此,人身安全的首要責任是保護員工,因為他們是公司的重要資產。他們的安全是首要任務,其次是確保設施的安全。

在安全方面,實體安全通常被忽視。大多數公司傾向於關注安全的技術和行政方面。如果有人能夠入侵並竊取資產或重要資料,那麼所有的防火牆、入侵檢測系統、加密和其他安全措施都將毫無用處。



沒有留言:

張貼留言