信息化觀(guān)察網(wǎng)

日前據(jù)悉，澳大利亞電信提供商Vocus公司在新西蘭的一個(gè)數(shù)據(jù)中心啟動(dòng)了對(duì)物理安全的審計(jì)，此前一位心懷不滿(mǎn)的客戶(hù)強(qiáng)調(diào)說(shuō)，該數(shù)據(jù)中心設(shè)施的大門(mén)已經(jīng)敞開(kāi)了好幾個(gè)月。

由經(jīng)驗(yàn)豐富的數(shù)據(jù)中心工程師兼MaxumData公司首席執(zhí)行官LiamFarr發(fā)布的視頻顯示，該數(shù)據(jù)中心設(shè)施的外門(mén)（據(jù)稱(chēng)受數(shù)字鎖保護(hù)）只需一次打開(kāi)即可打開(kāi)。建筑物入口也是如此。

根據(jù)Farr的說(shuō)法，這些門(mén)在大約六個(gè)月前就被破壞，這是多次報(bào)道的。

這個(gè)消息在推特上發(fā)布之后，Vocus公司表示它將進(jìn)行調(diào)查。與此同時(shí)，該公司在推特上淡化了這個(gè)問(wèn)題：“請(qǐng)放心，數(shù)據(jù)中心并非不安全。該數(shù)據(jù)中心設(shè)施擁有2FA卡和生物識(shí)別安全設(shè)施，安全隱蔽區(qū)、全天候監(jiān)控，任何未經(jīng)授權(quán)的人員都不能進(jìn)入。”

如何闖入數(shù)據(jù)中心

數(shù)據(jù)中心運(yùn)營(yíng)商經(jīng)常竭盡全力突出其設(shè)施的物理安全功能-如閉路電視攝像機(jī)、圍欄、生物識(shí)別鎖和人工陷阱。一些運(yùn)營(yíng)商則更進(jìn)一步，在核掩體中安裝服務(wù)器，雇用武裝警衛(wèi)，并為IT設(shè)備安裝法拉第籠，使其抵抗電磁脈沖（EMP）效應(yīng)。

行業(yè)專(zhuān)家建議運(yùn)營(yíng)商采用這些措施，不是因?yàn)樗鼈兒苤匾?，而是因?yàn)樗鼈兣c網(wǎng)絡(luò)安全特性不同，易于演示。

Vocus公司的數(shù)據(jù)中心安全性失誤似乎證實(shí)了這一觀(guān)點(diǎn)：物理安全性并不是托管服務(wù)提供商的嚴(yán)重問(wèn)題。大約六個(gè)月，游客可以在沒(méi)有任何鑰匙或面對(duì)任何保安人員的情況下進(jìn)入奧克蘭附近的7A設(shè)施。

雖然潛在的攻擊者本身無(wú)法訪(fǎng)問(wèn)服務(wù)器底層，但是監(jiān)督會(huì)產(chǎn)生常見(jiàn)的滲透策略，例如尾隨——跟隨合法員工進(jìn)入禁區(qū)，這更加容易。

Farr的投訴導(dǎo)致Vocus公司在18個(gè)月內(nèi)首次使用其以新西蘭為重點(diǎn)的推特賬戶(hù)。

原文作者：Max Smolaks