在大多数企业中,保护企业物理安全和保护计算机网络的人员仍然在不同的部门工作。但在世界上最大的物理安全专业人员协会和世界上最大的网络安全专业人员协会的共同年度会议中,这两个团队之间进行了前所未有的互动。
在2012年(ISC)2 World Congress协会和美国工业安全世界协会的共同年度会议中,将会有将近2万名物理和逻辑安全专业人员参加会议以及展览。他们的着重点并不总是相同的,但移动安全和基础设施安全等问题正在推动他们的合作。
“保护关键基础设施是推动物理和逻辑安全方面合并的主要驱动力,”拥有超过8万名IT安全专业人士的(ISC)2协会执行董事Hord Tipton表示,“多年来,关键基础设施主要围绕保护物理设备,但随着Stuxnet和其他攻击的出现,网络安全方面也越来越重要。”
美国工业安全世界协会总裁Eduard Emde表示同意,“针对核设施、智能电网和智能电表的Stuxnet攻击意味着物理和逻辑防御必须携手起来,其中事件响应是关键。”
早在多年前,就有人预测了物理和逻辑安全团队的合并(有时候也被称为“融合”)。但根据InformationWeek的研究,只有大约一半的企业计划合并这两个部门。
Emde表示,“我认为,对于很多企业来说,融合更应该是理念上的转变,而不是组织结构转变,不是将两个职能合并到一个部门,而是拥有共同战略以保护基础设施和数据的两个部门。”
Tipton对此表示同意,“他们可能不是位于同一个企业,但现在物理和逻辑方面的沟通比以往任何时候都要多。”
专家称,移动设备的广泛使用让这种融合变得更具容易。企业现在可以使用移动设备作为身份验证的物理手段,或者对用户进行地理定位(当用户进出公司设施时)。与此同时,随着BYOD(携带自己设备到工作场所)趋势的发展,也影响着物理安全和网络安全,BYOD允许用户携带自己的物理存储设备(也可以作为摄像机或者录像机)到企业内部。
Tipton表示,“我不知道人们是否了解这些BYOD设备的强大之处,同时,这些设备也给物理安全和网络安全带来全新的风险。”
这个共同会议也将处理一些涉及物理和逻辑安全的其他问题。物理视频监控系统正越来越多地受到基于IP网络安全系统的驱动。物理生物识别系统(例如指纹或者按键识别)正越来越多地应用于IT系统。物理安全和逻辑安全部门正被要求提供对企业整体安全状态的共同视图。
Emde表示:“如果你是一名安全专业人士,或者即使你位于管理层,你就必要了解物理和逻辑威胁以及问题。”
根据InformationWeek的报告显示,在过去五年中,18%的企业整合了物理和逻辑职能部门,而26%的企业已经整合超过六年,但50%的企业仍然没有整合这两个部门,甚至没有计划这样做。Tipton表示:“最重要的是,双方之间将有更多的沟通。”