5.1 การจัดการความมั่นคง ปลอดภัยห้องแม่ข่าย Data Center

ข้อกำหนดในการเข้าใช้งานห้องเซิร์ฟเวอร์ (Server Room)

เพื่อให้การใช้งานห้องเซิร์ฟเวอร์ (Server) มีความปลอดภัยต่ออุปกรณ์และข้อมูลที่อยู่ภายในห้องServerจึงกำหนดแนวทางในการปฏิบัติในการเข้าใช้งานห้องServerแม่ข่าย ดังนี้

1. บุคคลผู้มีสิทธิเข้าใช้งานห้อง Server

1.1 บุคลากรของโรงพยาบาลพิบูลมังสาหาร ประกอบด้วย

1) เจ้าหน้าที่ของศูนย์เทคโนโลยีสารสนเทศ ที่มีหน้าที่รับผิดชอบดูแลเครื่องแม่ข่าย (Server) และอุปกรณ์เครือข่าย

2) เจ้าหน้าที่หน่วยงานอื่น ที่มีหน้าที่ดูแลเครื่องแม่ข่าย (Server) หรืออุปกรณ์อื่นๆ ที่ติดตั้งอยู่ภายในห้องเซิร์ฟเวอร์

1.2 บุคคลภายนอก ซึ่งมีหน้าที่ติดตั้ง (Implement) บำรุงรักษา (Maintenance) หรือให้คำปรึกษางานที่เกี่ยวข้องกับเครื่องแม่ข่าย (Server) และอุปกรณ์เครือข่าย หรืออื่นๆ ที่ติดตั้งอยู่ภายในห้องเซิร์ฟเวอร์

2. การขอเข้าใช้งานห้องเซิร์ฟเวอร์ มีขั้นตอนดังนี้

2.1 บุคลากรของโรงพยาบาล แจ้งเจ้าหน้าที่ผู้ดูแลห้อง Server ก่อนเข้าใช้งาน อย่างน้อย 1 ชั่วโมง

2.2 บุคคลภายนอกให้แจ้งเจ้าหน้าที่ผู้ดูแลห้อง Server ก่อนเข้าใช้งาน อย่างน้อย 6 ชั่วโมง

2.3 บุคลากรภายนอกต้องทำการบันทึกรายละเอียดการปฏิบัติงานและลงลายมือชื่อในบันทึกการเข้าใช้งานห้องเซิร์ฟเวอร์ หลังจากเข้าใช้งานห้องเซิร์ฟเวอร์เสร็จเรียบร้อยแล้ว

3. ระยะเวลาการเข้าใช้งานห้องเซิร์ฟเวอร์มีรายละเอียด ดังนี้

3.1วันและเวลาราชการที่มีการทำงานปกติ คือ 08.00 น. – 16.00 น.

3.2ในกรณีที่มีความจำเป็นในการใช้งานห้องเซิร์ฟเวอร์ในวันหยุดหรือนอกเวลาราชการให้มีหนังสือแจ้งรายละเอียดและแผนการปฏิบัติงานและแจ้งให้เจ้าหน้าที่ทราบล่วงหน้า อย่างน้อย 1 วัน ทำการ

4. กรณีมีเหตุฉุกเฉินที่จะต้องใช้งานทันที ให้ดำเนินการดังนี้

4.1 แจ้งให้เจ้าหน้าที่ผู้ดูแลห้องเซิร์ฟเวอร์ให้ทราบถึงเหตุผลและความจำเป็นในการเข้าใช้งานเพื่อพิจารณาอนุญาตให้เข้าใช้งานฉุกเฉินได้

4.2 ในกรณีที่เป็นเจ้าหน้าที่หรือบุคคลภายนอกให้แจ้งเจ้าหน้าที่ผู้รับผิดชอบดูแลห้องเซิร์ฟเวอร์ทราบ เพื่อพิจารณาอนุญาตและจะต้องมีเจ้าหน้าที่ของศูนย์เทคโนโลยีสารสนเทศท้องถิ่นอยู่ด้วยทุกครั้ง

4.3 เมื่อปฏิบัติงานเสร็จต้องทำการบันทึกรายละเอียดการปฏิบัติงานและลงลายมือชื่อในบันทึกการเข้าใช้งานห้องเซิร์ฟเวอร์ทุกครั้ง

5.ตรวจสอบประตูทางเข้า-ออก และหน้าต่างของห้องเครื่องคอมพิวเตอร์แม่ข่าย RoomServer ให้ ปิดล็อกอยู่เสมอ

6.ตรวจสอบสภาพการทํางานของห้องคอมพิวเตอร์แม่ข่าย server อุปกรณ์สนับสนุนการทํางานของระบบคอมพิวเตอร์ ได้แก่

6.1ระบบเครื่องสํารองไฟฟ้า UPS

6.2ระบบการปรับอุณหภูมิ

6.3ระบบแจ้งเตือนไฟไหม้

ให้อยู่ในสภาพพร้อมใช้งานอยู่เสมอ อย่างน้อยวันละ 1 ครั้ง

7.ติดตั้งระบบความปลอดภัยกล้องโทรทัศน์วงจรปิด (CCTV) เพิ่มเติมตามความจําเป็น เช่น ในกรณีที่เป็นมุมอับรวมทั้ง ตรวจสอบการทํางานของกล้องให้มีการทํางานอย่างถูกต้อง ต่อเนื่องและให้สามารถเก็บภาพได้ในมุม กว้าง และไม่มีสิ่งกีดขวาง โดยบันทึกภาพล่าสุดไว้อย่างน้อย 7 วัน

8.ตรวจสอบการทํางานของอุปกรณ์ดับเพลิงอย่างน้อยเดือนละ 1 ครั้ง ว่ายังใช้งานได้เป็นปกติหรือไม่

9.ให้ดูแลความสะอาดและความเป็นระเบียบเรียบร้อย ของห้องเครื่องคอมพิวเตอร์แม่ข่าย อย่าง

สม่ำเสมอ ต้องไม่เก็บกล่องกระดาษหรือสิ่งที่จะเป็นเชื้อเพลิงไว้ในห้อง

10.ตรวจสอบและจัดเก็บสายไฟฟ้า สายสัญญาณสื่อสารให้อยู่ในสภาพที่เป็นระเบียบเรียบร้อย

11.จัดให้ระบบงานสําคัญ เครื่องคอมพิวเตอร์แม่ข่าย เซิร์ฟเวอร์ และอุปกรณ์ที่มีความสําคัญต้องมี อุปกรณ์สํารองไฟ UPS และระบบกระแสไฟฟ้าสํารองเครื่องปั่นไฟฟ้า (electricity power generator) เพื่อสนับสนุนการทํางานอย่างครบถ้วน

มาตรฐานห้องแม่ข่าย SERVER ROOM สำหรับตรวจประเมิน ISO-27001

การสร้างห้องเซิฟเวอร์ให้ได้มาตรฐาน ISO27001 หรือ ISMS นั้น ต้องมีดังนี้

ภายนอกของห้องเซิฟเวอร์

1) ห้อง Server ห้ามมีป้ายบอกว่าเป็นห้อง “Server Room” เพื่อให้ทรัพย์สินและข้อมูลสารสนเทศเกิดความมั่นคงปลอดภัย ทั้งการถูกขโมยทรัพย์สิน หรือเป็นเป้าหมายในการเข้ามาทำลายจากเหตุจราจลต่างๆ
2) ประตูห้องจะต้องถูกล็อคไว้ตลอดเวลา การใช้ Key Card ,Key Pad จะต้องมีเครื่องสำรองไฟ ในกรณีไฟดับห้องจะยังคงล็อคอยู่เสมอ การล๊อคด้วยกุญแจ จะต้องกำหนดเจ้าหน้าที่ในการเก็บรักษา
3) ห้อง Server ควรทำอย่างมิดชิด เมื่อมองจากด้านนอกเข้าไปข้างในจะต้องไม่ให้รู้ว่าเป็นห้อง Server หรือหากห้องติดกระจกใส ต้องทำการติดฟิล์มทึบทับไว้
4) ประตูทางเข้า จะต้องมีกล้องวงจรปิดบันทึกภาพบริเวณประตูเข้าออกห้อง

ภายในห้องเซิฟเวอร์

1) ขนาดของห้อง ควรมีขนาดความกว้างและความสูง พอเหมาะสำหรับวางอุปกรณ์ต่างๆ และมีโต๊ะเก้าอี้สำหรับนั่งทำงานเป็นครั้งคราวได้ ห้องไม่ควรกว้างหรือแคบจนเกินไป
2) พื้นห้อง จะต้องยกสูงจากพื้นปกติ อย่างน้อย 15 ซม. ผู้ตรวจประเมินจะเปิดดูพื้นว่ามีสิ่งของใดๆ มาเก็บไว้ใต้พื้นหรือไม่ ถ้ามีสายสัญญาณต่างๆ ให้จัดเก็บให้เป็นระเบียบเรียบร้อย
3) ห้อง server ควรแยกออกจากห้องอื่นที่มีเพดานติดกัน หากห้องอยู่ติดกัน จะต้องติดเหล็กกั้น ป้องกันผู้ไม่หวังดีเล็ดลอดเข้าทางเพดาน
4) สายไฟ สายสัญญาณต่างๆ จะต้องจัดเก็บให้เป้นระเบียบเรียบร้อย เก็บไว้ในราง หรือ มัดรวมกันและมี label ระบุไว้ว่าเป็นสายอะไร ถ้ามีการเดินสายไฟต่างๆ บนพื้น หรือผนัง จะต้องมี Cover ครอบไว้

เครื่องปรับอากาศ (Air condition) ภายในห้องเซิฟเวอร์

1) โดยปกติห้อง Server จะต้องมีการควบคุมอุณหภูมิภายในห้องอยู่ที่ 20 – 22 องศา

2) การปรับอากาศ ให้ทำการปล่อยความเย็นมาทางด้านล่างไปยังตู้ Rack เพื่อไล่ความร้อนขึ้นสู่ด้านบน

3) เครื่องปรับอากาศ ควรแยกจากระบบปรับอากาศอื่นๆ เพื่อควบคุมอุณหภูมิของห้อง Server โดยเฉพาะ

4) จะต้องปรับมุมหรือหันตู้ Rack ให้ตรงช่องแอร์ที่ความเย็นส่งถึง ห้ามวางตู้ Rack ไว้ใต้แอร์ (กันน้ำแอร์หยดใส่)

5) ถ้าไม่มีการติดตั้งระบบปรับอากาศตามมาตรฐาน ควรติดตั้งแอร์ 2 ตัว ตั้งเวลา เปิด-ปิด สลับเวลาทำงาน กรณีแอร์ตัวใดตัวหนึ่งเสีย ก็ยังมีอีกตัวเปิดสำรองได้

6) การควบคุมอุณหภูมิภายในห้อง ให้ติดตั้งเทอร์โมมิเตอร์ ที่สามารถวัดความชื้นสัมพัทธ์ได้ และแสดงค่าอุณหภูมิ min-max ได้ และจัดควรมีการจดบันทึกอุณหภูมิประจำวันไว้อ้างอิง หมั่นตรวจสอบแบตเตอรี่ว่าหมดหรือยัง และเครื่องเทอร์โมมิเตอร์ต้องผ่านการรับรอง (Calibration) ก่อนนำมาใช้งาน

7) ควรมีแผนทำความสะอาดแอร์เดือนละครั้ง หรือ 3 เดือนครั้งแล้วแต่ อาจจะใช้บริการ MA กับบริษัทผู้รับเหมาก็ได้ และควรมีการบันทึกเก็บไว้เป็นหลักฐานทุกครั้งที่ทำความสะอาด

อุปกรณ์อื่นๆ ที่อยู่ภายในห้องเซิฟเวอร์

1) Wiring – สายไฟ สายสัญญาณ หรือสายแลน จะต้องมีการจัดเก็บให้เป็นระเบียบเรียบร้อย ใส่ในราง หรือ มี cover ครอบไว้

2) Manual – ทำไดอะแกรมของสายสัญญาณหรือสายแลน มีระบุหมายเลขกำกับ เพื่อให้รู้ว่าสายแต่ละเส้นต่อไปที่ใหน ทำเป็นเอกสารเก็บไว้เพื่อตรวจ หากมีการแก้ไขในอนาคต

3) Asset – อุปกรณ์ทุกชิ้นในห้อง จะต้องมีการลงทะเบียนบัญชีทรัพย์สินทางด้านสารสนเทศ และติดป้ายไว้ในแต่ละอุปกรณ์ รวมถึงต้องมีการกำหนด Data Classification (ลำดับชั้นความลับของข้อมูล) ให้กับ server ทุกตัว

4) Fire protect – ถังดับเพลิงอัตโนมัติ เดิมที่ติดตั้งบนฝ้าเพดาน ต้องตรวจสอบดูว่าเป็นชนิดสารเคมีที่ไม่มีผลเสียหายแก่อุปกรณ์อิเลคทรอนิคส์ หรือใช้สารดับเพลิง class A,B,C แต่ถ้าไม่ได้ติดตั้งระบบออโต้ ก็ให้มีถังมาวางไว้หน้าห้อง หรือบริเวณที่ใกล้เคียงและสะดวกใช้งาน

5) Power Supply – กรณีไม่มีเครื่องกำเนิดไฟฟ้า (เครื่องปั่นไฟ) ให้ใช้เครื่องสำรองไฟ (UPS) ที่มีกำลังสำรองไฟฟ้าตามความเหมาะสม เช่น สำรองไฟได้ 2 ชม. เป็นต้น และควรแยกออกจากตู้ Rack ที่มี Server หรือแยกไว้คนละตู้นั่นเอง

– ทำตารางบันทึกการบำรุงรักษา UPS และ ระยะเวลาในการเปลี่ยนแบตเตอรี่

– ควรประเมินความเสี่ยง กรณีไฟฟ้าดับ เกินกี่ชั่วโมงที่มีผลต่อระบบคอมพิวเตอร์ เกินกี่ ชั่วโมงที่ผลกระทบต่อการให้บริการและผลกระทบต่อองค์กร

6) อุปกรณ์อื่น ของเล็กๆน้อยๆ ที่จำเป็น เช่น เอกสาร, เทป backup, แผ่น CD/DVD ฯลฯ ควรมีตู้จัดเก็บอย่างมิดชิดและล็อคกุญแจไว้

สิ่งที่ผู้ดูแลห้องเซิฟเวอร์ต้องทำ

1) มีสมุดบันทึกการเข้าออกห้อง Server ทุกครั้งลงในแบบฟอร์ม (วันหนึ่งจะเข้าออกกี่รอบก็ต้องจด) โดยระบุรายละเอียด ดังนี้
ชื่อ-นามสกุล (ลงชื่อทุกคนที่เข้ามาในห้อง)
เวลาเข้า – เวลาออก เหตุผลที่เข้ามาในห้อง
2) ระบบไฟฟ้าที่จ่ายไปยังห้อง Server จะต้องแยกอุปกรณ์ตัดไฟ (Breaker) ไว้ต่างหาก ห้ามรวมกับระบบไฟฟ้าอื่นๆ และผู้ดูแลและผู้เกี่ยวข้อง ต้องรับทราบด้วยว่า Breaker (ตู้คอนโทรล) ติดตั้งไว้ที่ใหน

5.2 ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก

กุญแจล็อคห้องแม่ข่าย

ห้องแม่ข่าย DATA CENTER ตั้งอยู่อาคารผู้ป่วยนอกชั้น 3

5.3มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ ห้องแม่ข่าย DATA CENTER ตั้งอยู่อาคารผู้ป่วยนอกชั้น 3

ถังดับเพลิง

ถังดับเพลิงสีเขียว

ติดตั้งบริเวณหน้าทางเข้าและบนห้อง

กุญแจล็อคห้องแม่ข่าย

ddddd

ระบบความปลอดภัยcctv

ห้องแม่ข่าย

ตู้เก็บแม่ข่าย

ตู้เก็บแม่ข่าย
Server
Redundant Power supply

ถังดับเพลิงอัตโนมัติ ในห้องแม่ข่าย

Timer ช่วยเปิดปิดแอร์อัตโนมัติโดยทำงานสลับกันทุก 7 ชั่วโมง

ระบบแจ้งเตือนตรวจจับควันผ่านLine

กรณีไฟฟ้าดับเครื่อง UPS จะแจ้งเตือนไปที่ Line กลุ่ม Admin

แจ้งเตือนอุณหภูมิผ่านLineเมื่ออุณหภูมิผิดปกติ

5.4 มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server

เครื่องสำรองไฟฟ้า 10K Data center

แม่ข่าย QNAP สำรองข้อมูล รพ.

แม่ข่าย ระบบRaid5

การจัดการความมั่นคง ปลอดภัย ห้องแม่ข่ายสำรอง DR-SITE อาคารแฟลตแพทย์

ห้องแม่ข่ายสำรอง DR-SITE ก่อสร้างเมื่อวันที่ 11 กุมภาพันธ์2562

เครื่องสำรองไฟฟ้า 10K Dr-Site

ถังดับเพลิงอัตโนมัติ

ระบบตรวจจับควัน

ระบบตรวจจับควัน

5.5 มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center

คณะกรรมการ IM รพ. ได้พิจารณาในการเลือกใช้อุปกรณ์มาตรฐานระดับโลก CisCO ทั้งระบบ


Cisco ผ่านการรับรองมาตรฐาน IEC 62443

February 5, 2020 Cisco, Networking, Products, Switch and Router

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำของโลก ได้รับการรับรองตามมาตรฐาน IEC 62443 จำนวน 2 รายการสำหรับอุปกรณ์ Industrial Switch ที่ใช้ในโรงงาน นับเป็นหนึ่งในผู้ให้บริการผลิตภัณฑ์เครือข่ายรายแรกที่ผ่านการรับรองตามมาตรฐานดังกล่าว

Cisco Catalyst IE3x00 Rugged Switches / Credit: Cisco.com

ISA99/IEC 62443 เป็นมาตรฐานที่ทุกอุตสาหกรรม โดยเฉพาะอย่างยิ่ง อุตสาหกรรมการผลิต การขนส่ง และสาธารณูปโภค ต่างยึดมั่นเพื่อให้มั่นใจว่าโครงสร้างพื้นฐานที่สำคัญขององค์กรของตนมีความมั่นคงปลอดภัย ซึ่ง Cisco นอกจากจะเข้าไปมีส่วนร่วมในการนิยามมาตรฐานดังกล่าวนี้แล้ว ยังเป็นหนึ่งในผู้ให้บริการโซลูชันเครือข่ายรายแรกที่ได้รับการรับรอง IEC 62443 ถึง 2 รายการ

ผลิตภัณฑ์ที่ได้รับการรับรอง คือ Cisco Catalyst IE3x00 Rugged Series Switches ซึ่งเป็น Switch สำหรับใช้งานในโรงงานที่มีทั้งความทันสมัย ความยืดหยุ่น และความมั่นคงปลอดภัย โดย Switch ดังกล่าวผ่านมาตรฐาน IEC 62443-4-2 และ IEC 62443-4-1 ซึ่งครอบคลุมทั้งด้านความมั่นคงปลอดภัยของตัวผลิตภัณฑ์เอง และความต้องการในส่วนของ Secure Development Life-cycle ทำให้มั่นใจว่าการใช้ผลิตภัณฑ์ดังกล่าวจะสอดคล้องกับกฎระเบียบและข้อบังคับของโรงงาน รวมไปถึงไม่มี Backdoor ให้แฮ็กเกอร์ใช้โจมตีอีกด้วย

รายละเอียดเพิ่มเติม: https://www.cisco.com/c/en/us/products/switches/industrial-ethernet-switches/catalyst-IE3000-rugged-switches.html

ที่มา: https://blogs.cisco.com/internet-of-things/cisco-one-of-first-networking-companies-to-receive-two-iec-62443-certifications-for-industrial-switches


การบำรุงรักษา เครื่องสำรองไฟฟ้าแม่ข่าย เปลี่ยนแบตเตอรี่ ทุก 2 ปี





ติดตั้งและปรับปรุ่งระบบ cluster + haproxy+keealived วันที่ 22 มิถุนายน 2016

ปรับปรุงติดตั้ง ห้องแม่ข่าย DR-Site คลังยา 5 กุมภาพันธ์ 2561

ติดตั้งระบบเครื่องสำรองไฟฟ้า APC 3เฟส 10KVA สำหรับ Server DATA CENTER 24 มกราคม 2561

ติดตั้งปรับปรุงระบบแม่ข่าย JHCIS 23 มกราคม 2562 เนื่องจากเครื่องลูกข่าย connect แม่ข่ายช้า 15 วินาที

-ปรับปรุง Mysql 5

-ปรับปรุง mysql-connector-odbc-5.3.10-winx64

-ปรับปรุง Java jre-7u80-windows-x64

ย้ายตู้แม่ข่ายฝ่ายยุทธศาสตร์ และเครื่องแม่ข่ายไป ห้องDATA CENTER อาคารผู้ป่วยนอกชั้น3 วันที่ 18 ธันวาคม 2012