3.4　物理访问控制

到目前为止，你已经看到了本章中介绍访问控制概念的逻辑示例，其中许多方法也适用于物理安全。我们现在来看一下这类示例。

物理访问控制通常涉及控制人员和车辆的移动。针对个人的访问，通常使用大门的徽章（如第2章所述）来控制其进出大楼或设施的行为。使用徽章的门控系统，通常在运行的软件中使用访问控制列表，用于允许或拒绝访问特定的门，并控制每天访问的时间。

管理大楼进出中一个更常见的安全问题是尾随，当你在验证物理访问控制措施时（如徽章），另一个人直接跟着你进出而没有进行身份验证，就会发生这种情况。尾随可能会导致各种问题，包括在紧急情况下无法准确地显示出大楼内的人员。

我们可以尝试通过许多方法来解决尾随的问题，包括实施禁止尾随的政策，在该地区派驻警卫，或者简单地（但价格可能昂贵）安装一个物理门禁，一次只允许一个人通过，如旋转门。所有这些都是合理的解决方案，但根据环境，可能有效，也可能无效。你经常会发现，将多种解决方案组合起来比任何单一的解决方案都更加有效。

物理访问控制的一个更为复杂的例子，是许多机场使用的安检系统。2001年9月11日，美国发生恐怖袭击后，机场的安全等级被提高了。一旦进入机场安检系统，就要求你出示登机牌和身份证明（两倍于你所拥有东西的数量）。你通常需要经过几个步骤，确保你没有携带任何危险设备，这就是一种基于属性的访问控制。随后你走到登机口，再一次在登机前出示登机牌。根据国家和地区的不同，这些流程可能会略有区别，但从访问控制的角度来看，通常并无不同。

对车辆的物理访问控制，通常使用各种简单的围栏，包括新泽西护栏（Jersey barrier）（见图3-9）、护柱、单向道钉路障和栅栏，来阻止车辆在未经授权的区域通行[6]。你可能还会看到更复杂的装置，包括有人或无人值守的上升栅栏、自动门或大门，以及其他类似的控制装置。

图3-9　新泽西护栏

当然，还有很多物理访问控制方法。此外，在涉及物理访问控制设备或一般的访问控制时，身份验证设备和访问控制设备之间的界限通常相当模糊，或者完全重叠。例如，物理锁的钥匙可以被认为是身份识别、身份验证和授权，始终是物理访问控制的组成部分。这些术语经常被不准确或不恰当地使用，甚至在安全领域也是如此，这无益于解决问题。