CMMC物理安全控制的6个最佳实践

CMMC中的第一个C代表网络安全，因此绝大多数相关内容都聚焦于网络方面。数字安全构成了认证的主要部分，也是现代商业空间中最大的威胁向量。

然而，有一个细节迟早会变得重要：所有数字内容都必须在物理空间中存在。正如那句老话提醒我们的，“云"只是别人的计算机。

因此，无论您的业务应用程序是存储在总部专用房间的服务器上，还是在俄亥俄州某个办公园区亚马逊数据中心中运行，物理安全都很重要。

如何满足CMMC的物理安全控制要求？我们整理了六个最佳实践和一些技巧来帮助您完成这一过程。

1: 理解物理安全控制

首先需要理解物理安全控制、它们存在的原因以及预期目标。很容易将CMMC视为需要勾选的大型独立项目清单，但事实上，所有内容都是相互关联的，并且在框架中建立是有原因的。了解这些原理可以帮助您全面看待安全，并掌握保护安全所需的措施，即使在非标准情况下也是如此。

CMMC将安全模型分解为许多不同的控制域，包括配置管理、事件响应和媒体保护等内容。其中一个域是物理保护，即"实体空间"安全所在。

目前，物理保护部分有六个安全控制。CMMC 1级需要其中四个，2级再增加两个，3级目前尚未增加任何额外要求。

3.10.1: 限制对CUI数据的物理访问

对于此控制，组织必须限制对CUI物理存储区域的访问。这包括数字存储（如公司服务器）和物理存储（如文件柜）。

请记住，任何可以访问CUI的区域都需要受到控制。如果处理CUI的员工可以从普通楼层访问它，意味着您的整个设施都需要得到保护。

3.10.2: 监控设施以检测未经授权的访问

对于此控制，组织需要监控物理设施并检测（和防止）未经授权的进入。这不能只是被动监控，因为控制的部分要求是如果发现违规必须实时采取行动。

对此有许多可能的技术解决方案，从摄像头和警报到门禁系统和运动传感器。您使用的任何系统都需要经过验证和定期检查，以确保其有效性。

3.10.3: 护送访问CUI数据的访客

企业有时可能需要引入外部人员。如果发生这种情况，必须始终护送访客，对其访问进行授权、记录和跟踪，以防止未经授权查看、复制、窃取或篡改CUI。

访客是否在自己的环境中被授权访问CUI并不重要。只有那些明确获得授权访问您CUI的人员才能在监督下被允许访问。

3.10.4: 维护CUI数据的物理访问日志

这是一个相当简单的要求：所有内容都必须记录。如果使用电子门禁系统，记录门禁卡的使用时间和地点。如果运行安全摄像头，记录其激活时间。如果使用警报系统，记录其激活和停用时间。

日志必须保存最短时间，这取决于您行业和合同的特定合规规则。

3.10.5: 管理对安全区域的物理访问

这是两个2级+控制中的第一个，要求任何标记为存放CUI的安全位置必须直接管理对其的访问。

只有具有业务正当需求的人员才应被允许访问，且应尽可能限制访问。访问应被记录并定期审查。

3.10.6: 替代工作站点：在主设施外维护安全

如果您的组织允许需要访问CUI完成工作的员工远程工作，他们的替代工作站点同样必须得到适当保护。如果他们使用物理文档，需要安全存储空间。如果他们使用存有CUI的数字设备，这些设备必须得到适当保护。访问公司内网和CUI系统需要VPN。仅使用批准设备，且不得使用公共网络。这里有很多要求。

您可以看到所有这六个要求都围绕物理安全概念展开，同时概述了需要正确实施的物理安全特定方面。所有这些都服务于您在其他地方实施的相同安全目标：保护CUI免受未经授权的访问或篡改。

2: 尽力限制范围

我们之前多次讨论过CMMC的范围界定，因为它非常重要。

范围界定是关于识别处理CUI业务部分所需的最小必要系统，并在其周围划定牢固边界。

举个简单例子，如果您的业务以物理打印形式处理CUI，哪种更容易：保护存放所有CUI的"文档室”，还是保护整个建筑以允许员工根据需要携带？

需要保护的内容越少，无论是数字还是物理方面，涉及的工作、资金和风险就越少。

为顺利实施物理安全要求，您能做的最好的事情是花时间彻底分析业务环境。进行物理安全风险评估，识别系统范围，并找出可以加强控制和划定边界以减少威胁表面的地方。

您可能已经出于其他原因拥有一些物理安全系统。如果是这种情况，您可能可以将这些纳入CMMC合规性，但需要确保它们满足所有必要要求才能被视为符合CMMC。在许多情况下，最大的障碍之一是日志记录和审查。

3: 严格执行访问控制

CMMC物理安全部分最重要的元素之一是物理访问控制。

CUI需要有效地置于锁门之后，无论是物理还是数字形式。这些门必须对所有不需要访问的人员关闭，访问名单应尽可能短，并定期审查以移除不再需要访问权限的人员。

任何需要访问的人员都需要被记录和跟踪。最常见的访问控制系统是物理门禁卡，但也可以使用安全警卫、生物识别授权和其他系统。

所有这些系统都需要维护和定期审查，以确保它们仍然有效工作。

同样，所有内容都必须记录。每次使用门禁卡都应记录。每次人员进出安全区域或访问安全系统都应记录。如果可能，将门禁卡使用日志与视频记录关联可以是验证谁在何时使用访问的另一种方式。

监控也是所有这一切的必要部分。无论是被动监控区域的外部摄像头，还是靠近安全区域、通过运动传感器或在门禁卡使用时触发的更主动摄像头，拥有视频记录都有很大帮助。

4: 限制远程工作或准备承担巨大工作量

CMMC物理保护控制中的第六个围绕远程工作。这是一个非常复杂的情况。

一方面，一些企业完全在办公室工作，因此很容易禁止涉及CUI的员工、角色或任务进行远程工作。

另一方面，一些企业几乎完全远程，因此远程工作构成了大部分工作，包括涉及CUI的工作。

这里存在推拉关系；您是限制远程工作还是完全禁止它以限制范围并减少安全的技术、培训和财务负担？还是允许远程工作为员工提供福利，这可以提高士气和生产力，但成本更高且管理更复杂？

实际上，您有三个选择：

投资于涉及CUI的远程工作的安全和培训，并允许所有人远程工作
允许不接触CUI的人员远程工作，但要求处理受控系统的任务或个人在办公室工作
完全禁止远程工作以简化一切

这里没有单一正确答案；不同企业会有不同观点。有些会更重视远程工作选项，而其他企业希望保持精简团队，没有细分员工的奢侈。

如果您打算允许工作涉及CUI和受控系统的个人远程工作，请准备好承担保护其环境的额外负担。

5: 不要忽视员工培训

对于技术和数字安全，许多需要完成的工作可以通过技术解决方案处理，员工培训不一定处于前沿。显然这仍然重要，但举个基本例子，当您可以强制执行密码过期时，不会使用员工培训来强制更改密码。

对于物理安全，员工培训更为重要。这是因为物理入侵更多时候涉及社会工程和信心骗局，而人们天生习惯于礼貌和包容。

一个非常常见的例子称为尾随。如果两名员工同时进入建筑物，其中一人刷卡解锁门，自然倾向是为另一人扶门。在正常情况下这可能没问题，但在涉及CUI的情况下，第二个人的未刷卡进入成为未记录的责任。在并非每个人都必然认识其他人的组织中，这更成问题；为陌生人扶门可能很礼貌，但也是巨大的安全风险。

员工培训应至少包括：

如何识别CUI，CUI存储和处理的位置，以及如何确保其受到保护
如何识别潜在安全威胁、可疑活动或外部人员，以及如何报告
如何正确使用访问控制系统，无论是门禁卡、生物识别还是代码
如何处理访客并确保他们始终有人陪同
如果允许，远程工作的规则和程序

所有这些都需要基于已声明和发布的物理安全政策。

6: 建立持续审计和监控

如果未经验证，任何安全都不安全。

在物理安全方面，访问日志和使用日志是必须的。安全摄像头拍摄的视频也必须成为这些日志的一部分。是的，这可能占用大量存储空间。如果这些摄像头有可能查看CUI，它们也被视为CUI，同样需要保护。所有这些都需要维护、监控、评估和审计。

建立流程，以适当间隔检查所有物理安全系统并验证其安全性。进行突击测试以确保人们遵守规则。考虑红队和渗透测试。将所有这一切视为持续监控的一部分，您就走上了正确轨道。

在Ignyte，我们深谙CMMC，包括物理安全规则。虽然Ignyte Assurance Platform并非设计为物理安全管理中心，但可用于存储审计日志和报告等内容，以及证明您的物理安全得到遵守的证据。我们也可以在其他方面帮助您，因此如果您有兴趣了解我们能为您做什么，请联系我们。