PHY-09 · ประสบการณ์

ความปลอดภัยทางกายภาพและการเฝ้าระวังด้วยกล้อง จุดที่การควบคุมการเข้าออกมาบรรจบกับงานไซเบอร์

ผมดูแลระบบควบคุมการเข้าออก Software House C-CURE 9000 และติดตั้งกล้อง IP ของ Axis จากนั้นดูแลให้ทั้งสองระบบทำงานต่อเนื่องในฐานะส่วนหนึ่งของโปรแกรมความปลอดภัยของคุณ ไม่ใช่ระบบพ่วงที่ไม่มีใครรับผิดชอบ ตัวควบคุมประตู เครื่องอ่านบัตร และกล้อง ล้วนเป็นเอนด์พอยต์บนเครือข่ายของคุณ ผมจึงปฏิบัติต่ออุปกรณ์เหล่านี้เหมือนเป็นเอนด์พอยต์ คือ แบ่งเซกเมนต์ เสริมความแข็งแกร่งให้ปลอดภัย อัปเดตแพตช์ และเก็บบันทึกล็อก สิ่งที่คุณได้คือคนเพียงคนเดียวที่พูดได้ทั้งภาษาของการเข้าออกทางกายภาพและภาษาของงานไซเบอร์ แทนที่จะเป็นผู้ขายสองรายที่คอยโยนความรับผิดชอบให้กัน

เปิดสายติดต่อ ดูประสบการณ์ทั้งหมด

01 · สิ่งที่ผมทำ

เนื้องานจริง

ดูแลระบบ C-CURE 9000: สิทธิ์การเข้าถึง ตารางเวลา ผู้ถือบัตร การตั้งค่าประตูและเครื่องอ่าน และระดับการเข้าออกที่ผูกกับบทบาทงานจริง
ติดตั้งและเริ่มใช้งานกล้อง IP ของ Axis ตั้งแต่การยึดติดตั้งและกำหนดที่อยู่ IP ไปจนถึงเฟิร์มแวร์ การบันทึกภาพ และการจัดวางมุมมอง
แยกแผงควบคุมการเข้าออก ตัวควบคุม และกล้องออกไปไว้บน VLAN ของตัวเอง เพื่อไม่ให้การถูกเจาะที่กล้องตัวหนึ่งกลายเป็นการถูกเจาะทั้งเครือข่าย
เสริมความแข็งแกร่งให้อุปกรณ์และเซิร์ฟเวอร์: เปลี่ยนค่าเริ่มต้น ปิดบริการที่ไม่ได้ใช้ บังคับใช้การยืนยันตัวตนที่แข็งแรง และอัปเดตเฟิร์มแวร์ตามรอบเวลา
ปรับแต่งระยะเวลาเก็บข้อมูล พื้นที่จัดเก็บ และการบันทึกภาพ เพื่อให้มีภาพอยู่เมื่อการสอบสวนต้องการ โดยไม่กลายเป็นค่าใช้จ่ายพื้นที่จัดเก็บที่บานปลายเกินคาด
จัดทำรายงานการเข้าออกและเหตุการณ์ที่ประตู พร้อมการจัดการสัญญาณเตือน เพื่อให้คนที่ควรเห็นได้เห็นกรณีประตูถูกงัด ประตูที่ถูกค้างเปิด และเครื่องอ่านที่ออฟไลน์
จัดทำเอกสารวงจรชีวิตของบัตร: ออกบัตร แก้ไข เพิกถอน และตรวจสอบ เพื่อให้การยุติการจ้างงานถอดสิทธิ์การเข้าออกได้จริงในวันเดียวกัน

02 · สิ่งที่คุณได้รับ

ผลลัพธ์ที่คงอยู่กับคุณ

ระบบ C-CURE 9000 ที่ใช้งานได้จริง พร้อมระดับการเข้าออกที่ตรงกับบทบาทงานจริง ไม่ใช่ข้อยกเว้นเฉพาะกิจที่พันกันยุ่งเหยิง
กล้อง Axis ที่กำหนดที่อยู่ไว้แล้ว เสริมความแข็งแกร่งแล้ว บันทึกภาพได้อย่างน่าเชื่อถือ และมีเอกสารกำกับ เพื่อให้คนถัดไปดูแลต่อได้
อุปกรณ์การเข้าออกและกล้องถูกแยกไว้บนเซกเมนต์เครือข่ายของตัวเอง เพื่อไม่ให้กล้องที่อ่อนแอเข้าถึงส่วนที่เหลือของระบบของคุณได้
วงจรชีวิตของบัตรและการเข้าออกที่มีเอกสารกำกับ รวมถึงการเพิกถอนสิทธิ์ในวันเดียวกันเมื่อมีคนลาออก
ความรับผิดชอบที่ชัดเจน: การตั้งค่าที่เขียนเป็นเอกสาร การตั้งค่าระยะเวลาเก็บข้อมูล และรายงาน ส่งมอบให้ครบ เพื่อให้ระบบไม่ต้องพึ่งพาผมในการทำงานต่อ

03 · เครื่องมือและความรู้

สิ่งที่ผมใช้ทำงานในด้านนี้

Software House C-CURE 9000 (การดูแลระบบควบคุมการเข้าออก)
กล้อง IP ของ Axis และระบบวิดีโอ IP (ติดตั้ง เฟิร์มแวร์ วงจรชีวิต)
ตัวควบคุมประตู เครื่องอ่านบัตร และแผงควบคุมการเข้าออก
การแบ่งเซกเมนต์ VLAN และการตั้งค่าสวิตช์สำหรับอุปกรณ์ความปลอดภัย
การเสริมความแข็งแกร่งตาม DoD STIG และ NIST 800-53 สำหรับเซิร์ฟเวอร์และเครือข่ายที่รองรับ
การสแกนด้วย SCAP เพื่อตรวจสอบการตั้งค่าและแพตช์

04 · แนวทางการทำงานของผม

วางแผน กำหนดขอบเขต และรับผิดชอบจนจบ

ผมเริ่มด้วยการพูดคุยกำหนดขอบเขตราว 30 นาที แล้วส่งบทประเมินความเหมาะสมเป็นลายลักษณ์อักษรให้ภายในวันเดียวกัน เพื่อให้เราทั้งสองฝ่ายเข้าใจตรงกันว่ากำลังรับมือกับอะไรก่อนเริ่มงานจริง เนื่องจากกล้องและแผงควบคุมการเข้าออกเกี่ยวพันกับประตูและเครือข่ายที่ใช้งานจริงอยู่ การเปลี่ยนแปลงบนระบบโปรดักชันทุกครั้งจึงมีแผนการเปลี่ยนแปลงที่เขียนเป็นเอกสาร พร้อมแผนย้อนกลับที่กำหนดไว้ชัดเจนก่อนผมจะลงมือแตะอะไรก็ตาม ผมทำการเปลี่ยนระบบภายในช่วงเวลาที่ตกลงกันไว้ ตรวจสอบกับเกณฑ์ที่เราตั้งไว้ (ประตูล็อกและปลดล็อกถูกต้อง เครื่องอ่านรายงานผล กล้องบันทึกภาพ และการแบ่งเซกเมนต์ยังคงอยู่) และผมรับผิดชอบการย้อนกลับเองหากเกณฑ์ใดไม่ผ่าน ไม่มีอะไรขึ้นสู่ระบบโปรดักชันด้วยการเดา

ใบรับรองและมาตรฐานการอบรม Software House C-CURE 9000 ของผมคือรากฐานโดยตรงในงานด้านนี้ และ CompTIA Security+ กับ Cisco CCNA ครอบคลุมการเสริมความแข็งแกร่งและการแบ่งเซกเมนต์เครือข่ายที่ระบบเหล่านี้ตั้งอยู่บนนั้น ผมนำ DoD STIG และ NIST 800-53 มาใช้กับเซิร์ฟเวอร์และสวิตช์ที่รองรับ และตรวจสอบสถานะการตั้งค่าและแพตช์ด้วย SCAP เพื่อให้สแตกความปลอดภัยทางกายภาพถูกควบคุมด้วยมาตรฐานเดียวกับส่วนที่เหลือของระบบของคุณ

05 · คำถาม

คำถามที่ดี คำตอบที่ตรงไปตรงมา

คุณรับช่วงดูแลระบบ C-CURE 9000 ที่มีอยู่เดิมได้ไหม หรือทำได้แค่ติดตั้งใหม่เท่านั้น?

ได้ทั้งสองอย่าง ผมเข้าไปดูแลระบบที่ใช้งานอยู่เดิมได้ โดยจัดทำเอกสารระดับการเข้าออกและการตั้งค่าประตูในปัจจุบัน เก็บกวาดสิทธิ์เก่าที่ไม่ใช้แล้ว และเสริมความแข็งแกร่งให้ และผมยังตั้งระบบประตู เครื่องอ่าน และผู้ถือบัตรขึ้นใหม่ตั้งแต่ต้นได้ด้วย

คุณดูแลฝั่งเครือข่ายของกล้องและแผงควบคุมการเข้าออกด้วยไหม?

ครับ นั่นคือเหตุผลของการมีคนเพียงคนเดียวรับผิดชอบ ผมวางกล้อง ตัวควบคุม และแผงควบคุมไว้บน VLAN ที่แยกเซกเมนต์ ล็อกพอร์ตสวิตช์ให้แน่นหนา และดูแลให้อุปกรณ์ได้รับแพตช์และผ่านการยืนยันตัวตน เพื่อให้ฝั่งกายภาพและไซเบอร์ถูกจัดการไปด้วยกัน

ถ้าการเปลี่ยนระบบผิดพลาดบนประตูที่ใช้งานจริงอยู่ จะเกิดอะไรขึ้น?

มันไปไม่ถึงจุดนั้นถ้าไม่มีแผน การเปลี่ยนแปลงบนระบบโปรดักชันทุกครั้งมีแผนการเปลี่ยนแปลงที่เขียนไว้เป็นลายลักษณ์อักษรและเรียงลำดับขั้นตอน พร้อมแผนย้อนกลับที่กำหนดไว้ชัดเจนก่อนผมเริ่ม ผมตรวจสอบกับเกณฑ์ที่ตกลงกันไว้ภายในช่วงเวลาที่กำหนด และผมรับผิดชอบการย้อนกลับเองหากเกณฑ์ใดไม่ผ่าน ประตูยังคงอยู่ในสถานะที่ยืนยันได้ว่าปกติดี

06 · ประสบการณ์ที่เกี่ยวข้อง

งานในสาขาใกล้เคียงที่ผมทำ

ต้องการคนมาดูแลเรื่องนี้ไหม?

บอกผมว่าคุณกำลังพยายามย้ายอะไร และติดอยู่ตรงไหน แค่ไม่กี่ประโยคก็เพียงพอสำหรับการเริ่มต้น และข้อความจะส่งตรงถึงกล่องจดหมายของผม

เปิดสายติดต่อ