S1_P1_Technická specifikace díla 189

Rozměr: px
Začít zobrazení ze stránky:

Download "S1_P1_Technická specifikace díla 189"

Transkript

1 S1_P1_Technická specifikace díla 189 Strana 1

2 1. PREAMBULE Požadovaný přístup k návrhu komponent Lokality systému SYSTÉMOVÉ SLUŽBY Databázové služby Webové služby Terminálové služby Služby vzdáleného přístupu Zálohovací služby Clusterové služby Antivirové a antispamové služby Virtualizační služby Poštovní služby SÍŤOVÉ A BEZPEČNOSTNÍ SLUŽBY Síťové služby Firewall služby - bezpečnost DOHLED A MANAGEMENT SLUŽBY Virtual machine manager (SCVMM) Operations Manager Configuration manager Group Policy Specifikace prvků a rozsah implementace OS A JEHO SLUŽBY Platforma OS Adresářové služby Souborové služby Časové služby DNS služby HW INFRASTRUKTURA Jednotný datový prostor (SAN) S1_P1_Technická specifikace díla Strana 2

3 6.2. Serverové stanice HSM Služby PROJEKTOVÁ DOKUMENTACE SCHÉMATA A KOMPONENTY Systémové prostředí Přehled závislostí komponent Fyzická architektura Fyzická architektura logicky ohraničená Přehled zařízení v majetku Zadavatele DEFINICE POJMŮ A IKON S1_P1_Technická specifikace díla Strana 3

4 1. Obsahem tohoto dokumentu je popis systémové infrastruktury nezbytné pro provoz jednotlivých aplikačních komponent aplikace MS Popis je proveden na globální a detailní úrovni. Cílem globální úrovně je specifikovat robustnost a mohutnost celého řešení. Cílem detailní úrovně je specifikovat konkrétní prvky a vazby dané konkrétní služby systémové infrastruktury. Systémová infrastruktura je tvořena HW prostředky a systémovým SW, které jsou v souladu s bestpractices zakomponovány do 3 technologických vrstev: systémové služby vč. síťových a management služeb, OS a jeho služby a HW zdroje. Dále popsaný rozsah představuje cílové systémové prostředí pro plnohodnotný provoz IS MS2014+ zahrnující produkční prostředí v plném výkonu v primární lokalitě a v záložní lokalitě pouze prostředky pro fail-over zálohování produkčního prostředí a celé testovací, školící prostředí Objednatel pro každou oblast služeb v tomto dokumentu stanovil požadovaný rozsah dodávek a implementačních prací a to vždy v kap. "Požadovaný rozsah dodávek a implementace" (viz jednotlivé kapitoly tohoto názvu v dále dokumentu). Obsah těchto kapitol stanovuje minimální požadovaný rozsah nově dodávaných prvků a prací, které musí být pro danou oblast služeb dodány a provedeny. Objednatel v předmětných kapitolách specifikoval požadované HW komponenty, které jsou předmětem dodávky, a to dvěma způsoby: i) uvedením konkrétní komponenty dle obchodního označení výrobce včetně minimální požadované konfigurace a nebo ii) uvedením minimální konfigurace, přičemž návrh konkrétního produktu/komponenty je předmětem nabídky Dodavatele. U prvního jmenovaného způsobu si je Objednatel vědom skutečnosti, že vzhledem ke lhůtám a době související s přípravou a provedením zadávacího řízení lze předpokládat změny v dostupnosti konkrétních poptávaných HW komponent u jejich výrobců nebo dodavatelů a to např. z důvodu ukončení výroby, distribuce nového modelu/verze, ukončení podpory a podobně. Z těchto objektivních důvodů je Dodavatel oprávněn nabídnout novější nebo nejbližší vyšší verzi/model poptávané HW komponenty stejného výrobce. Vždy však musí být zajištěno splnění všech požadavků zadávacích podmínek (zejména funkčních, kapacitních, výkonových, atd.) vztahujících se k předmětné HW komponentě a musí být zajištěna kompatibilita s HW prostředky, které již má Zadavatel v majetku (viz kap. 8.5 tohoto dokumentu). Dodavatel je v rámci popisu realizace dodávek (Příloha č. 6 Smlouvy o dílo) povinen na provedenou výměnu/náhradu HW komponent výslovně upozornit a uvést důvody, které Dodavatele k této skutečnosti vedly Systém bude provozován celkem ve dvou lokalitách u Zadavatele a jedné u Dodavatele aplikace MS S možností následného rozšíření na třetí dohledovou lokalitu. Varianta tří lokalit byla 192 S1_P1_Technická specifikace díla Strana 4

5 stanovena na základě Best practice v oblasti dostupnosti systému a je nejvhodnější pro provoz Aplikace MS Varianta tří lokalit byla zvolena z následujících důvodů. PRIMÁRNÍ LOKALITA Provozní instance Provozní data Záložní data ZÁLOHOVACÍ LOKALITA Provozní data - test DODAVATEL DOHLEDOVÁ -TESTOVACÍ LOKALITA Vývojová instance u dodavatele Dohled Monitoring Záložní data - test Výrazně omezená funkčnost Nebude nerealizována Provozní data budou uložena v primární lokalitě. Do této lokality budou primárně přistupovat uživatelé. Tato lokalita bude mít nejvyšší výkon a bude plně pod správou Dodavatele Prostředí. Do zálohovací lokality budou replikována veškerá provozní data. Tímto bude zajištěna dostupnost dat v různých lokalitách. Veškeré prvky v zálohovací lokalitě, které pracují s produkčními daty, budou plně pod kontrolou Dodavatele. Očekává se, že zálohovací lokalita bude v budoucnosti (nikoliv v rámci plnění dle této Přílohy č. 1 Smlouvy o dílo) rozšířena a povýšena na lokalitu "záložní", která bude schopna plnohodnotně převzít funkce primárního provozního pracoviště. V současné době se předpokládá vybudování pouze zálohovací lokality, která bude schopna pouze zálohovat data z primární lokality a tímto vytvořit Fail-over zálohu systému. V souladu s požadavky na MS2014+ bude testovací prostředí zcela odděleno od produkčního prostředí a toto prostředí bude umístěno v zálohovací lokalitě. Testovací prostředí bude ve správě Dodavatele a bude umístěno v sídle Zadavatele. Vývojová instance u Dodavatele bude vybudována na prostředcích Provozovatele aplikace MS2014+ v rámci jeho interních prostředků a nebude dostupná pro Objednatele. Z výše uvedených důvodů není v následující části detailně popsána. 193 S1_P1_Technická specifikace díla Strana 5

6 Technická architektura databázových služeb byla navržena tak, aby především byla minimální ztráta dat, vysoká dostupnost, oddělené testovací prostředí a možnost následného vytvoření záložního prostředí Primární Serverové služby Zálohovací a testovací Serverové Služby - TEST Replika Serverové služby Serverové služby LAN LAN LAN VLAN - TEST LAN VLAN -Zálohovací HSM ORACLE DATA GUARD Produkční data Produkční data Reporting STAND-BY Produkční data Internal Storage1 Záloha Internal Internal Storage 1 Storage 2 Internal Storage1 Datový sklad Datový sklad HSM Testovací data 1 Primární lokalita S1_P1_Technická specifikace díla Dohledové a řídící pracoviště MGMT11 Testovací data 2 Zálohovací a testovací lokalita 194 Strana 6

7 Celý systém bude provozován ve dvou samostatných lokalitách Zadavatele. Primární lokalita bude sloužit pro zpracovávání produkčních dat. Do zálohovací lokality budou synchronizovány data z produkčního prostředí a bude zde umístěno testovacího/školícího prostředí. Produkční a testovací prostředí bude striktně odděleno jak z pohledu logického tak i HW V produkčním databázovém prostředí budou provozovány datové instance s transakčními daty a transakčními daty - reportovací. Základem tohoto systému bude interní datové uložiště datový sklad. Procesy SŘBD budou provozovány na ORACLE Exadata, který je interně vybudován na identických serverech, navzájem redundantně propojených a připojených k diskovému uložišti. Pro cílové řešení bude implementován do primárního pracoviště model Oracle Exadata X3-2 Half Rack, v zálohovací lokalitě zůstane model Eight-Rack. Oracle Exadata je speciální zařízení od společnosti Oracle, které v sobě umožňuje konsolidovat a provozovat různé typy databází jak z pohledu typu provozu OLTP, Datawarehouse, tak i z pohledu požadavku výkonu, kdy je možné jednotlivé DB striktně omezovat ve výkonu. Tímto umožní jednoznačně oddělit testovací a produkční prostředí v zálohovací lokalitě. Systém se skládá v primární lokalitě ze čtyř interních databázových serverů, které jsou propojeny v cluster a mají vlastní interní sdílené uložiště. Interní clusterová komunikace (Interconnect) mezi jednotlivými servery je vybudována prostřednictvím vysokorychlostního připojení (InfiniBand). Procesy SŘBD spolu vzájemně spolupracují a v případě výpadku některého ze serverů nedojde k výpadku SŘBD služeb. Datový sklad bude realizován prostřednictvím Oracle Automatic Storage Management (Oracle ASM) a jednotlivé SŘBD budou realizovány v Oracle 12c Enterprise edice doplněné o Oracle Real Application Cluster (Oracle RAC), Oracle Advanced Security a Database Vault. Rozšiřující moduly pro správu Oracle Diagnostics Pack, Tuning Pack. Pro bezpečné uložiště budou implementovány moduly Oracle Secure Content Database Extension a Oracle Secure archive Database Extension. Tato realizace umožní nejen provoz primárního pracoviště i v případě výpadku dílčí části, ale také dynamickou reorganizaci diskových oblastí dle aktuálních požadavků bez nutnosti odstavení SŘBD služeb. Zároveň bude optimálně využit dostupný HW ve formě rozložení zátěže pomocí striping a rebalancing metod. Každý server, kde bude provozována ORACLE databáze, bude mít přistup k síťovému HSM, které bude obhospodařovat bezpečné uložiště šifrovacích klíčů. Otisk zašifrovaných šifrovacích klíčů HSM budou uloženy na sdíleném disku, který bude provozován v rámci souborových služeb v režimu vysoké dostupnosti. Šifrovací klíče budou využity pro transparentní šifrování TDE a pro plnohodnotnou funkčnost budou využity DB Oracle Advanced Security a Database Vault options. V rámci provozu primárního pracoviště bude vytvořena samostatná datová oblast v databázi, kde budou prostřednictvím nativních nástrojů databázového prostředí, pravidelně ukládány vybrané obrazy aplikačních dat (snapshoty). Tyto obrazy budou generovány a ukládány 1x denně a budou 195 S1_P1_Technická specifikace díla Strana 7

8 plně pod kontrolou databázového administrátora. Přesný rozsah dat bude upřesněn v rámci implementace. Způsob a frekvence zálohování je uveden v kapitole Zálohovací služby. V primární datové lokalitě ve virtuálně odděleném prostředí bude provozována databáze určená pro demonstrační účely jednotlivých ŘO. Tato databáze nebude podléhat pravidelnému zálohování, ale zároveň nebudou data zde uložená promazávána. Pouze na vyžádání bude provedena její záloha Tento systém bude primárně sloužit pro otestování databázových částí jednotlivých aplikací, jejich aktualizací a změn samotného systému před jejich vlastním nasazením na produkční prostředí. Zároveň bude poskytovat prostor pro realizaci školení nových pracovníků nebo školení nových vlastností systému. Architektura SŘBD tohoto systému bude shodná se systémem produkčním. Požadavky na výkon tohoto systému nejsou tak náročné, jako na produkčním pracovišti a proto budou použity méně výkonné prvky o menším počtu, avšak stejné architektuře jako na systému produkčním tak, aby bylo možné řádně otestovat i HW náročnost jednotlivých operací. Procesy SŘBD budou provozovány na Oracle Exadata ve verzi X3-2 Eight-rack, který byl Zadavatelem již pořízen (viz kap. 8.5 tohoto dokumentu) a je provozován v rámci testovací lokality. Interní datové uložiště bude realizováno prostřednictvím Oracle Automatic Storage Management (Oracle ASM) a jednotlivé SŘBD budou realizovány v Oracle 12c Enterprise edice doplněné o Oracle Real Application Cluster (Oracle RAC), Oracle Advanced Security, Database Vault. Rozšiřující moduly pro správu Oracle Diagnostics Pack, Tuning Pack. Pro bezpečné uložiště budou implementovány moduly Oracle Secure Content Database Extension a Oracle Secure archive Database Extension. V testovací lokalitě bude provozováno několik DB instancí. Testovací instance bude respektovat dohodnutý instalační cyklus. Školící instance bude logickou kopií ostrého prostředí. Tuto školící instanci bude možné využívat ke školení. DB bude nakonfigurována v takzvaném Flashback režimu. Tzn. databáze umožňuje zpětný pohled na data a jejich historii (Flashback). To umožňuje rychlou a selektivní obnovu pouze těch dat, která byla vytvořena v rámci školení. Požadavky na zpětný pohled nebo zahození dat budou zadávány formou požadavků do Service Desku V záložním databázovém prostředí budou provozovány datové instance s produkčními daty. Tato instance bude výhradně sloužit pro zálohování a není určena pro běžnou práci uživatelů. Cílem je minimalizovat výpadky dat a eliminovat zátěž v průběhu zálohování. Záložní DB systém bude provozován v izolovaném prostředí Oracle Exadata v rámci zálohovací a testovací lokality. Záložnímu prostředí budou přiděleny minimální HW zdroje a to pouze v takovém režimu, aby nedošlo ke ztrátě dat a mohlo být bezproblémově ve velmi omezeném výkonu spuštěno testovací prostředí. Synchronizace databáze testovací a záložní testovací bude zajištěna pomocí Oracle Data Guard. SŘBD budou realizovány v Oracle 12c Enterprise edici, doplněné o nezbytné rozšiřující balíčky, které jsou implementovány v testovacím prostředí. 196 S1_P1_Technická specifikace díla Strana 8

9 Každý server, kde bude provozována ORACLE DB, bude mít přístup k síťovému HSM Dohledové pracoviště bude vybaveno serverem pro dohled a řízení jednotlivých lokalit. Správa bude prováděna prostřednictvím Oracle Enterprise Manager (OEM) GridControl. Tento nástroj umožní centrální správu všech instancí a zároveň poskytne celkový přehled o databázových službách v lokalitách Pro potřeby MS System Center a Integrační sběrnice bude v systému implementován SŘBD MS SQL Standard ve verzi Databázový SW bude provozován v clusteru v režimu Fail-Over na serveru MSDBA11 a MSDBA12. Pro System Center bude vytvořena samostatná instance. Pro potřeby Integrační sběrnice budou vytvořeny 2 nezávislé instance Dodavatel v rámci databázového prostředí Oracle Exadata vytvoří samostatné, oddělené DB schéma, ve kterém budou strukturovaně ukládány veškeré auditní záznamy z Prostředí a Aplikace MS Tato DB instance bude sloužit pro potřeby Bezpečnostního dohledu a musí být koncipována tak, aby k ní Bezpečnostní dohled mohl připojit HW/SW řešení pro vyhodnocování, korelace a sledování bezpečnostně relevantních událostí Spolupráce s Provozovatelem Aplikace MS2014+ Provozovatel aplikace MS2014+ bude mít plná práva k jednotlivým databázovým schématům aplikace. Instalační a konfigurační práce databázové části Aplikace MS2014+ bude provádět Provozovatel aplikace MS2014+ do prostředí připraveného Dodavatelem. Za připravené prostředí bude považováno vytvoření příslušných instancí a v nich jednotlivých čistých schémat pro jednotlivé aplikační bloky. V každé instanci bude vytvořeno cca 10 schémat. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy obnovy a exporty vybraných databázových oblastí. Provozovatel aplikace bude mít pasivní práva k možnosti náhledu na systémové oblasti jednotlivých databázových instancí a plnohodnotný přístup k monitoringu a diagnostice systému. Dodavatel bude následně plně zodpovídat za korektní běh a zálohování DB prostředí. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Pořízení 1ks Oracle Exadata X3-2 Half Rack včetně roční podpory. Disková kapacita je uvedena v kapitole S1_P1_Technická specifikace díla Strana 9

10 Pořízení 84ks licencí na Disc Exadata Storage Software včetně roční podpory Pořízení 32ks licencí na CPU Oracle DB EE včetně roční podpory Pořízení 32ks licencí na CPU Oracle Real Application Clusters (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Advanced Compression (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Partitioning (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Database Vault (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Diagnostics Pack (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Tuning Pack (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Advanced Security (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Secure Content Database Extension včetně roční podpory Pořízení 32ks licencí na CPU Oracle Secure Archive Database Extension včetně roční podpory Pořízení 4 ks licencí MS SQL Server Standard LIC/SA 2core Technický projekt instalace a konfigurace Oracle Exadata Návrh integrace do prostředí zákazníka v návaznosti na Oracle ACS instalation and configuration services Navržení Exadata role separation and security Stanovení požadavků na Exadata resource management Návrh strategie šifrování dat s ASO/TDE Návrh práce s Oracle wallet pro uložení šifrovacích klíčů v prostředí Oracle Exadata a DataGuard Návrh oddělení rolí s Oracle Data base Vault a zabezpečení databází z pohledu oddělení odpovědnosti při administraci systému Návrh technologické bezpečnosti a auditní politiky pro Oracle Data base Vault Database hardening - návrh obecné technologické bezpečnosti pro Oracle Exadata Návrh uložení dat s pomocí Oracle Partitioning a Oracle Advanced compresion v návaznosti na stávající testovací prostředí Upřesnění technických a konfiguračních parametrů pro fázi Instalace a konfigurace (viz následující kapitola) ve spolupráci s Provozovatelem Aplikace MS Očekáváný rozsah prací je cca 20 MD Instalace a konfigurace HW Instalace a konfigurace Oracle Exadata SW Instalace a konfigurace Oracle Exadata a příslušných produktů Databázových Oracle Instalace a konfigurace produkčního a testovacího databázového prostředí v režimu vysoké dostupnosti - RAC clusteru v prostředí Oracle Exadata Vytvoření a konfigurace dvou databázových instancí pro běh aplikace MS2014+ S1_P1_Technická specifikace díla Strana

11 Vytvoření a konfigurace dvou databázových instancí pro běh demonstrační aplikace MS2014+ Migrace dvou produkčních databází ze stávajícího prostředí do nového prostředí V rámci přípravy konfigurace disaster recovery s Oracle DataGuard bude proveden nezbytný technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Instalace systému EXAData do prostředí zákazníka Instalace a konfigurace transparentního šifrování TDE za využití síťového moulu HSM a DB Oracle Advanced Security + Database Vault Konfigurace Oracle ASO/TDE Otestování a dokumentace práce se šifrovacími klíči Oracle ASO/TDE Instalace a konfigurace Oracle Database Vault dle návrhu technického projektu Nastavení technologické bezpečnosti Oracle DB a EXAData dle návrhu technického projektu Nastavení politik Oracle Database Vault dle návrhu technického projektu Nastavení auditních politik Oracle Database a Oracle Database Vault dle návrhu technického projektu Spolupráce s dodavatelem aplikace při implementaci Oracle Partitioning a Oracle advanced compression Konfigurace Oracle Dataguard mezi EXAData systémy a provedení DR testů Nastavení zálohování databází a otestování jejich obnovy Nastavení monitoringu Oracle EXAData s OEM Cloud control 12c, konfigurace Oracle Automatic Services Request Vytvoření a konfigurace repliky (stand-by) databází prostřednictvím Oracle Data Guard Konfigurace DB prostředí pro možnost využívání Oracle Flashback Database Konfigurace Advanced Compression and Partitioning Konfigurace Database Vault včetně nastavení základních bezpečnostních pravidel. Jedná se o vytvoření databázových účtů s jasně definovanými právy a rolemi. Minimálně v následujícím rozsahu: Účty a práva pro běžné uživatele (běžná administrace, tedy vytváření, zneaktivnění, rušení uživatelských účtů aplikace bude ve správě Provozovatele aplikace MS2014, Dodavatel ve spolupráci s Provozovatelem vytvoří 50 uživatelských účtů) Účty a práva pro systémové aplikační uživatele (20 uživatelů) Účty a práva pro Dodavatele Účty a práva pro bezpečnostní dohled (10 uživatelů) Účty a práva pro první stupeň podpory (L1) (20 uživatelů) Účty a práva pro vyšší stupně podpory (L2, L3) (10 uživatelů) Účty a práva pro Provozovatele aplikace MS2014+ (40 uživatelů) Účty a práva pro Zadavatele Následnou administraci účtů bude provádět Dodavatel Prostředí. Konfigurace a test Real Time zálohování Konfigurace a test Fail-Over zálohování Konfigurace resource managementu pro striktní oddělení jednotlivých prostředí Instalace a konfigurace SŘBD MS SQL Vytvoření DB MS SQL pro jednotlivé systémy S1_P1_Technická specifikace díla Strana

12 Zaškolení Zpracování dokumentace skutečného provedení Minimální očekávaný rozsah instalačních a konfiguračních prací je 160 MD. 1/2 denní školení/workshop na téma Zabezpečení systému pro bezpečnostní administrátory 1/2 denní školení/workshop na téma Disaster recovery řešení a postupy 1/2 denní školení/workshop na téma Zálohování systému a vhodné postupy Školení a workshop bude probíhat v prostorách Zadavatele. Školení bude provádět certifikovaný pracovník v oblasti ORACLE technologií se znalostmi a zkušenostmi v předmětné oblasti školení. Očekávaný rozsah účastníků bude 6-8. S1_P1_Technická specifikace díla Strana

13 Pod pojmem webové služby rozumíme vytvoření systémového prostředí, které bude schopné prezentovat různé webové stránky, případně zde bude možné provozovat webové aplikace či služby. Webové služby představují základní stavební kámen pro vybudování a provoz třívrstvých aplikací. Web postavený na webových standardech a používaných webových serverech by měl být (v ideálním případě) jednoduchý, bezchybný, bezpečný, přístupný, použitelný a přívětivý k vyhledávačům a uživatelům. Správné navržení implementace webových služeb má zásadní a klíčový vliv na fungování Aplikace MS Navržené systémové prostředí obsahuje všechny klíčové prvky Internet EDMZ EDMZ Portál IS Portál SD Portál IS KP Portál IS CSSF+ Portál SD Portál IS KP LAN SD SF CryptoID CSSF+ LAN BI DMS Primární prostředí SD Testovací prostředí SF CryptoID BI DMS Samotná implementace webových služeb pro produkční prostředí bude realizována pouze v primární lokalitě. Velmi podobnou architekturu webových služeb bude mít i testovací prostředí, které bude mít nižší výkon. S ohledem na požadavek na zajištění redundance webových služeb budou webové služby provozovány ve skupinách, tzv. farmách. Každý server ve farmě bude obsahovat identické programové (souborové) vybavení a bude tedy schopen fungovat samostatně. Webové služby z pohledu architektury lze rozdělit do několika logických celků a to do prezentačního, aplikačního a celku podpůrných částí. Do prezentační části jsou zahrnuty portálové části aplikace MS2014+, které zahrnuje portál SD, Portál KP a portál IS CSSF+. Prezentační vrstva bude dostupná z Internetu pouze prostřednictvím SSL akcelerátoru/aplikačního FW. Do aplikační části jsou zahnuty webové servery, na kterých je vykonáván běh samotných jednotlivých komponent aplikace MS Jedná se o samotné jádro aplikace SF2014+, které se skládá z aplikačních serverů pro jednotlivé portály a servery s webovými službami na zpracování úloh na S1_P1_Technická specifikace díla 201 Strana 13

14 pozadí. Samostatnou oblastí je skupina pro bezpečné uložiště archiv, které má své rozhraní vystaveno prostřednictvím webových služeb. Mnoho administračních nástrojů je v současné době dostupné prostřednictvím webového rozhraní. Tyto weby se zahrnují pod pojem podpůrné, jedná se například o webové rozhraní pro produkty System Center, webové rozhraní pro vzdálený přistup. Podpůrné weby bude plně spravovat Dodavatel Prostředí. Z důvodu přehlednosti nejsou v následující části uvedeny Internet eweb16 eweb15 eweb14 eweb13 eweb12 eweb11 EDMZ Portál Portál KP ŘO Portál SD SD CryptoID FAMA+ ITSM owcc12 owcc11 EsbWeb12 EsbWeb11 cryproid12 cryptoid11 SD12 SD11 obi12 obi11 web18 BI DMS app14 app13 app12 SF2014+ app11 SF2014+ web17 web16 web15 web14 web13 web12 web11 LAN TIMER V demilitarizované zóně budou provozovány jednotlivé portály přístupné z Internetu. Z pohledu architektury se jedná externí DMZ, jelikož bude jako první přístupná z externích zdrojů. S1_P1_Technická specifikace díla 202 Strana 14

15 O rovnoměrné rozložení zátěže na vstupu mezi prezentačními webovými servery a zajištění kontinuity se bude starat technologie NetScaler. Rozhraní portálu KP bude vybudován na technologii ASP,.NET a bude provozována na serveru EWEB13 a EWEB14. Rozhraní portálu ŘO bude publikováno prostřednictvím reverzní proxy umístěné na serveru EWEB11 a EWEB12 obdobné platí i pro Service Desk, který bude umístěn na serveru EWEB15 a EWEB16. Reverzní proxy bude založena na technologii Apache. Pro zajištění dostatečného výkonu a rychlé odezvy webových aplikací budou aplikační komponenty provozovány na samostatných serverech WEB01-WEB04 pro část CSSF+ (IS ŘO) a na serverech WEB05-WEB08 pro část konečného příjemce. Počet čtyř serverů byl zvolen, tak aby výpadek jednoho serveru neměl výrazný dopad na výkon systému a zároveň celkový výkon infrastruktury nebyl předimenzovaný na výpadek. Na tyto části se očekávají nejvyšší nároky na výkon a stabilitu z pohledu webových služeb. Tyto komponenty mají běhové prostředí ASP,.NET, WCF. Stejná technologie bude použita pro podpůrné farmy FAMA+ ITSM, CryptoID a SD. Jako běhový operační systém bude využit OS Windows server Samostatnou oblastí je návrh služeb, které budou obhospodařovat procesy zpracovávané na pozadí nebo v naplánovaných úlohách. Tyto servery budou vykonávat operace, které budou náročné na čas zpracování nebo výkon. Tyto úlohy budou obhospodařovat servery APP11 až APP14. Výše uvedené servery s běhovým prostředím ASP,.NET, WCF budou mít webový server IIS 8.0, který je nativní součástí operačního systému MS Windows Server Na technologii JAVA, Weblogic od společnosti ORACLE budou vybudovány dvě farmy pro webové služby. V první farmě, vybudovávané ze dvou serverů OBI11 a OBI12, bude provozován produkt Oracle Business Inteligence včetně portálové části, které budou vytvářet a generovat složité uživatelské sestavy. Druhá farma, sestavená ze serverů OWCC11 a OWCC12, bude obhospodařovat bezpečné úložiště. Všechny servery s Oracle Weblogic budou provozovány ve virtuálním prostředí. Jelikož jsou licence přiřazovány na CPU (core), nebude pro virtualizaci použita agregace CPU a zároveň bude použit hypervizor od společnosti Oracle. Tímto je možné omezit využití jader CPU a nelicencovat celý osazený procesor. V produkčním prostředí budou virtuální servery osazeny 4 core. Celkem bude potřeba licenčně pokrýt 16 core, vzhledem k navržené serverové platformě bude potřeba 8 procesorových licencí Oracle Weblogic server Enterprise. V testovacím prostředí budou pouze dva servery, každý se dvěma core, celkem tedy dvě procesorové licence. Přenos dat k webovým službám bude šifrován pomocí zabezpečeného protokolu HTTPS. Každá aplikační nebo systémová služba ve webové architektuře bude provozována v samostatné instanci web serveru s vlastním aplikačním poolem, pokud je vyžadován. Autentičnost webových serverů, které jsou dostupné pouze z interní sítě, bude ověřována pomocí certifikátů vydaných interní certifikační autoritou. Webové servery, které budou dostupné koncovým uživatelům, budou zabezpečeny pomocí certifikátu vydaného důvěryhodnou certifikační autoritou. Tyto certifikáty zajistí a poskytne Zadavatel. Zabezpečení webových služeb bude realizováno na několika vrstvách. Mezi nejzákladnější úroveň zabezpečení patří povolení komunikace pouze na vybraných portech, kde jsou provozovány webové služby. Toto zabezpečení bude realizováno prostřednictvím firewallu. Vzhledem k faktu, že veškeré webové služby budou opatřeny bezpečnostním certifikátem, bude k nim tedy primárně umožněn přístup pouze přes SSL komunikaci na portu 443. S1_P1_Technická specifikace díla Strana

16 Na samotném webovém serveru bude dále uplatněno několik zabezpečovacích prvků. Je to především použití samostatných aplikačních poolů s nakonfigurovanou uživatelskou identitou, pod kterou se budou jednotlivé aplikace spouštět. Tato identita (uživatelský účet) bude mít nakonfigurovány pouze nejnutnější přístupová oprávnění, nutná ke spuštění aplikace. Zabezpečení konfigurace webových serverů bude zajištěno nastavením administrátorských oprávnění pouze členům skupiny doménových administrátorů. Součástí primárního pracoviště budou také isolované prostředí pro běh demonstračního prostředí (sandbox). Primárním účelem tohoto demonstračního prostředí je vytvoření funkčního otisku produkčního prostředí pro potřeby testování implementační struktury (ŘO, NOK apod.). Toto prostředí bude vytvořeno v rámci virtualizačního prostředí, jedná se o instanci virtuálních webů a virtuálních adresářů na úrovni webových služeb bez nutnosti dalších licencí. Na toto demonstrační prostředí se nebudou vztahovat reakční lhůty Primární lokalita: Položka Verze Počet OS Licence Prvek Webové služby IIS 8 OS Windows Server obsažena v rámci licence OS Oracle Weblogic 12c 8 Oracle Linux Serverová licence vázaná na procesor OBI11; OBI12; OWCC11; OWCC12 Testovací lokalita: Položka Verze Počet OS Licence Prvek Webové služby IIS 8 Oracle Weblogic 12c 2 Oracle Linux obsažena v rámci licence OS Serverová licence vázaná na procesor OWCC11-tst OWCC12-tst Provozovatel aplikace MS2014+ bude mít plná práva ke konfiguraci jednotlivých webových serverů a aplikačních pool. Instalační a konfigurační práce Aplikace MS2014+ bude provádět Provozovatel aplikace MS2014+ do připraveného prostředí Dodavatelem. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy obnovy a exporty vybraných serverů. Provozovatel aplikace bude mít pasivní práva k možnosti náhledu na systémové nastavení jednotlivých prvků, kde je daný webový server provozován, a plnohodnotný přístup k monitoringu a diagnostice systému. Dodavatel bude plně zodpovídat za korektní běh systémového prostředí. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace S1_P1_Technická specifikace díla Strana

17 V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadován. Prvky budou provozovány ve virtuálním prostředí Pořízení 8ks Oracle Weblogic server Enterprise Edition včetně roční podpory 4x Instalace a konfigurace Oracle Weblogic Enterprise v režimu vysoké dostupnosti v návaznosti na Oracle database v režimu RAC 36x Instalace a konfigurace IIS (Internet Information Services) na jednotlivé servery 84x Vytvoření a konfigurace jednotlivých webových serverů a aplikačních pool Vygenerování a instalace interních certifikátů pro jednotlivé webové servery Instalace důvěryhodných certifikátů na rozhraní dostupná z internetu 4x Instalace a konfigurace reverzní proxy S1_P1_Technická specifikace díla Strana

18 Terminálové služby umožňují vzdálený a bezpečný přístup k aplikačnímu vybavení a souvisejícím datům. V současné době se tato problematika velmi často nazývá virtualizace aplikací a virtualizace sdílených ploch (vzdálené plochy). Jedná se o technologii, kdy vlastní proces příslušné aplikace běží na straně serveru a nijak nezatěžuje systémové zdroje klientské stanice. Na klientu běží pouze terminálový agent, který se vyznačuje velmi nízkými nároky na systémové zdroje příslušného klientského pracoviště. Ve webové terminologii se jedná o velmi tenkého klienta. Terminálová služba přenáší klientovi pouze uživatelské rozhraní, všechny akce jsou prováděny na serveru, žádné data neopouští informační systém. Pro zvýšení bezpečnosti v rámci externích sítí jsou terminálové služby kombinovány se službami vzdáleného přístupu. Terminálová služba v podání MS Windows může běžet ve dvou režimech, aplikační režim a režim vzdálená plocha pro správu. V případě Aplikace MS2014+ budou implementovány obě varianty V informačním systému MS2014+ budou terminálové služby implementovány z důvodu možnosti provádění zabezpečených servisních zásahů a detailního monitoringu celého informačního systému. Žádná z částí aplikace MS2014+ nebude provozována v terminálovém prostředí. Při správě systému bude primárně přistupováno do testovacího pracoviště na terminálový server. V případě výpadku nebo nedostupnosti testovacího pracoviště bude přistupováno na dva terminálové servery v primární lokalitě. Tyto servery budou instalovány v aplikačním režimu. Na těchto serverech budou nainstalovány veškeré administrační nástroje a zároveň bude odtud povolen přístup do management VLAN. Terminálové servery v aplikačním režimu budou rozšířené o technologie CITRIX XenDesktop v edici App. Jelikož testovací prostředí je umístěné na sdílené infrastruktuře se stávajícím prostředí MS7+, budou licence pro CITRIX XenDesktop využity z těchto zdrojů. Terminálový server bude provozován na OS Windows Server Datacenter Edition. Na ostatních serverech s OS Windows bude povolen servisní režim terminálových služeb. Komunikace bude probíhat pomoci klienta připojení ke vzdálené ploše, dále jen RDP klient, ve verzi 8.0. Na kritické prvky (servery TS11 a TS12, zároveň všechny servery DMZ) bude komunikace šifrována dle standardu FIPS Level2. Protokol RDP bude na Firewallech povolen pouze z terminálových serverů s aplikačním režimem Primární lokalita: Režim Terminálové služby Prvek Verze RDP klienta Poznámka Terminálová služba v aplikačním režimu TS11, TS12 S1_P1_Technická specifikace díla Strana

19 Testovací lokalita: Režim Terminálové služby Prvek Verze RDP klienta Poznámka Terminálová služba v aplikačním režimu ts11-tst Primární lokalita: Položka Verze Počet Licence Prvek OS Microsoft Windows Server Datacenter Edition Remote Desktop Services Client Access Licenses CITRIX XenDesktop App Součást serverové licence Microsoft Windows Server USER CAL 7 30 Concurrent User TS11,TS12,TS11- TST TS11,TS12,TS11- TST V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Pořízení 20 ks MS Remote Desktop Services User Lic/SA Instalace a konfigurace terminálové farmy Instalace a konfigurace licenčního serveru souvisejícího s terminálovými službami Instalace a aktivace role RDS na Windows Instalace a konfigurace CITRIX Farmy Konfigurace serverů s OS Windows Instalace a konfigurace terminálových serverů. S1_P1_Technická specifikace díla Strana

20 Mezi vlastnosti každého moderního IS patří schopnost umožnit vybraným uživatelům vzdálený, ale bezpečný a řízený přístup k interním informačním zdrojům (datům i aplikacím) organizace či subjektu. Vzdáleným přístupem se myslí jakýkoliv externí přístup, který je iniciován vně IS. Způsob zajištění tohoto přístupu je předmětem této kapitoly Služby vzdáleného přístupu můžeme v rámci Aplikace MS2014+ rozdělit do dvou hlavních oblastí: Aplikační režim (Prostřednictvím běžného prohlížeče přes protokol HTTPS) Servisní režim (VPN tunely Aplikace MS2014+) Je určen především operátorům, vybraným uživatelům a správcům pro přístup k vybraným službám. Tento režim zajišťuje bezpečné připojení k terminálovým serverům prostřednictvím běžného internetového prohlížeče přes komunikační protokol HTTPS. Tento vzdálený přístup bude realizován na technologiích společnosti CITRIX, které přináší vysokou míru zabezpečení a řízení přístupu uživatelů. Veškerá komunikace v nezabezpečené části probíhá prostřednictvím zabezpečeného protokolu HTTPS/SSL na portu 443. Tato část popisu vzdáleného přístupu se týká především přístupu z veřejných sítí do testovacího pracoviště IS MS Vzdálený přístup do IS MS2014+ z testovacího/dohledového do primárního pracoviště je dále realizován již standardním, avšak zabezpečeným MS RDP protokolem na terminálové servery provozované v jednotlivých lokalitách. Komunikace mezi jednotlivými lokalitami je navíc zabezpečena VPN s využitím silného šifrování Pro servisní účely budou zřízeny VPN tunely site-site mezi lokalitami primární lokality a zálohovací lokality. VPN tunel bude realizován prostřednictvím služeb firewallu. V této konfiguraci se jedná o bezpečný způsob přístupu mezi oddělenými lokalitami z důvodu servisních zásahů a dohledu nad informačním systémem. Přístup k serverům na platformě Microsoft Windows bude realizován prostřednictvím protokolu RDP 7.1 a vyšší. Přístup k serverům na platformě Linux bude realizován prostřednictvím protokolu SSH-2. VPN přístup do infrastruktury bude mít také dodavatel aplikace MS Samotné řešení VPN tunelů a problematiky FW je uvedeno v samostatné kapitole V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: S1_P1_Technická specifikace díla Strana

21 Není požadováno Není požadováno Instalace a konfigurace Citrix WebInterface Konfigurace NetScaleru v návaznosti na služby vzdáleného přístupu Instalace a konfigurace CITRIX Security gateway Konfigurace komponent pro služby vzdáleného přístupu na serverech s OS Windows Instalace a konfigurace SSH S1_P1_Technická specifikace díla Strana

22 Pojmem zálohování rozumíme Vytváření bezpečnostní kopie dat nebo celého informačního systému tak, abychom mohli v případě havárie některé části systému obnovit stav, který existoval těsně před vznikem poruchy. V následující části je navržen způsob implementace zálohování. Pro vysokou kvalitu výsledné implementace bude vhodná především kooperace s nativními nástroji pro zálohování centrálního datového uložiště Proces zálohování bude rozvržen do několika oblastí a to dle způsobu zálohování, řízení zálohování a místa zálohování. Zároveň jsou respektovány požadavky zadávací dokumentace. Zálohování je rozděleno do dvou základních oblastí na Real-time zálohování a Fail-Over zálohování. Z hlediska provádění se zálohy dělí následovně: Zálohy prováděné nativními prostředky dané služby Zálohy prováděné pomocí zálohovacího SW Zálohy prováděné centrálně pomocí zálohovacího SW Z hlediska řízení se zálohy dělí následovně: Zálohy řízené centrálně Zálohy řízené požadavky Aplikace MS2014+ a jeho služeb. Centrální zálohovací zařízení bude postaveno na zálohovacím systému IBM Tivoli Storage Manager s příslušnými zálohovacími agenty pro zálohované prvky (databázové prostředí Oracle, souborový systém Windows). V každé lokalitě bude umístěn jeden server. V primární lokalitě bude pro zálohování využíváno diskové pole a v zálohovací lokalitě se budou data zálohovat na pásku. Oba servery budou vzájemně zastupitelné a v případě problému převezmou role. Tento systém nám umožní především provoz v režimu vysoké dostupnosti a značnou flexibilitu ve způsobech provádění záloh dle aktuálních potřeb Aplikace MS V rámci zajištění maximální bezpečnosti a přístupu k uloženým archivům bude mít do aplikace IBM Tivoli Storage Manager na centrálním záložním clusteru přístup pouze Backup Administrator. U databázových služeb je bezpečnost dat, proudících na páskové médium, zajištěna hardwarovým šifrováním, prvkem HSM. Exportní logy a dump soubory databází budou uloženy na centrální souborové oblasti Backup a zabezpečena šifrováním přes HSM. Data souborových, webových, adresářových, DB a Hyper-V služeb budou při exportu na páskové médium šifrována nástroji softwaru IBM Tivoli Storage Manager (používá se algoritmus AES-128 nebo 256). Navíc bude každé zálohovací médium opatřeno silným heslem a i samotný přístup k uloženým páskovým médiím knihovny bude taktéž zabezpečen silným heslem na úrovni zálohovací knihovny. Veškerá komunikace IBM Tivoli Storage Manager se svými agenty je provozována na šifrované lince SSL. Data na centrální souborové oblasti Backup budou zabezpečena NFS managementem. S1_P1_Technická specifikace díla Strana

23 Bezpečnost uložených dat je dána také možností jejich obnovy. V rámci zálohovacího plánu bude vypracován plán ověření dostupnosti a správnosti provedených záloh. Minimálně jedenkrát měsíčně bude prováděn test obnovy vybraných dat a jednou ročně musí být obnovena celá infrastruktura z provedených záloh, tak aby na ní bylo možné ve spolupráci s dodavatelem aplikace obnovit celou aplikaci MS Jelikož veškerá aplikační data jsou uložena v centrálním datovém úložišti Aplikace MS2014+, je zálohování databázových služeb klíčové Architektura Zálohovací služby Primární lokalita Zálohovací lokalita Oracle Exadata Oracle Exadata FCoE Zálohovací server DP Služby Pásková knihovna Zálohovací server Popis V následující části je popsán režim real-time zálohování centrálního datového uložiště. Základem primárního systému je datové uložiště Oracle Automatic Storage Management rozprostřené přes dvě diskové oblasti. V tomto datovém uložišti jsou data primární databáze uložena redundantně přes dvě nezávislé diskové oblasti v rámci Exadata a v případě výpadku jedné oblasti nedojde k výpadku uložiště. V rámci primární lokality je také odděleně udržována záloha ostrých dat. Tato kopie dat je udržována formou plné zálohy. Tato kopie dat bude minimálně 1x denně refreshována v době od 0:00 do 4:00. Do záložního místa v primární lokalitě se také průběžně ukládají změny databáze v podobě archivních logů. V případě ztráty dat primární databáze je možné data z tohoto záložního místa velmi rychle obnovit, synchronizovat změny z archivačních logů a dále pokračovat v provozu. Tyto archivní logy jsou ukládány na záložní místo, které je mimo Exadata. Záloha těchto dat bude probíhat minimálně každých 15 minut, čímž bude zajištěna maximální ztráta dat 15 minut v případě totálního selhání Oracle Exadata v primární lokalitě. Tyto archivní logy budou uchovávány minimálně po dobu 30 dnů. S1_P1_Technická specifikace díla Strana

24 Na záložní místo bude prováděna nejméně každé 4 dny plná záloha. Tato záloha bude prováděna v zálohovacím okně v době od 0:00 do 4:00. Jelikož se bude jednat o zálohu na diskový prostor, bude se jednat o velmi rychlou zálohu. Záložní místo bude tvořeno zálohovacím serverem vybaveným zálohovacím SW a diskovým prostorem na diskovém poli určeném pro zálohování. Vlastní zpracování záloh dat je prováděno paralelním zpracováním, což vede k podstatnému zkrácení zálohy většího objemu dat. Databáze samotná bude nakonfigurována v takzvaném Flashback režimu. I drobná logická chyba v datech tedy nevede automaticky k nutnosti obnovy veškerých dat ve skupině, kde byla data porušena. Zvolená databáze umožňuje zpětný pohled na data a jejich historii (Flashback). To umožňuje rychlou a selektivní obnovu pouze těch dat, která byla porušena a doba obnovy tedy nezáleží na velikosti dat, ve kterých se chyba vyskytla, ale pouze na velikosti dat, ve kterých vznikla chyba. Tento zpětný pohled na data lze využít i v případě smazání dat, ke kterému došlo nedopatřením a to jak na úrovni dat, tak na úrovni objektů (za využití techniky Recycle Bin). V zálohovací lokalitě bude udržována kopie databáze primární. Vlastní synchronizace primární a záložní databáze bude realizována pomocí Oracle Data Guard, která efektivně využije šířky pásma mezi lokalitami. Celý systém v primární lokalitě musí být nakonfigurován tak, aby v případě nedostupnosti zálohovací lokality déle jak 15 minut, musí dojít k plnohodnotné aktivaci zálohování v primární lokalitě do takového stavu, aby celý systém mohl být automaticky korektně zálohován. Pod pojmem korektní zálohovaní se rozumí zálohování prostřednictvím zálohovacího serveru na diskové pole. Zálohování bude zahájeno rozdílovou zálohou databáze k poslední plné záloze v primární lokalitě a následně budou každých 15 minut zálohovány archivní logy, které budou vygenerovány produkčními systémy. Toto zálohování musí být spuštěno a funkční do 120 minut od nedostupnosti zálohovací lokality V následující části je popsána Fail-Over záloha. V zálohovací lokalitě bude synchronní kopie primární DB. Tato synchronní kopie bude pravidelně zálohována na pásku. Toto zálohování bude nezávislé na primární lokalitě, proto nebude mít negativní vliv na běžný provoz systému a je možné ji provádět mimo vyčleněné okno. Lokalita bude vybavena zálohovacím serverem a zálohovací knihovnou. Dlouhodobá záloha dat pro uchování historie databáze a jednotlivých změn bude uchovávána na páskové zařízení. Pravidelně se na toto páskové zařízení provádí plné zálohy databáze spolu s archivačními logy, aby bylo možné v případě totální destrukce kompletně obnovit data z páskového zařízení k přesně definovanému času dle aktuálního zálohovacího plánu. Ostatní služby a prvky budou zálohovány na určenou datovou oblast, odkud budou v rámci pravidelné zálohy zálohovány na centrální zálohovací zařízení. Na datovou oblast budou prováděny zálohy: virtuálních serverů System state řadičů domény. S1_P1_Technická specifikace díla Strana

25 V případě virtuálních severů musí být dodávaný zálohovací systém řešen způsobem umožňujícím provádění plnohodnotného zálohování VM (virtual machines) bez nutnosti odstávky dané VM. Pro zajištění maximální výkonosti celého zálohovacího systému bude celý tento systém nasazen v primární lokalitě v režimu zálohování disk to disk to tape, kdy tape bude umístěn v zálohovací lokalitě. Systémem disk to disk lze dosáhnout maximálního výkonu v požadovaném okně (0:00 až 4:00) a eliminovat technologické limity zálohovaných a zálohovacích komponent. Zálohovací okno pro replikace dat do zálohovací lokality není stanoveno jedná se o zálohu disk to tape a je možné provádět replikaci dat bez časového omezení. Zadavatel požaduje nasazení sofistikovaných funkcí zálohovacího systému, jako jsou snapshots, deduplikace dat, version management. Pro zálohování virtuálních serverů bude využito také funkčnosti diskových polí, které umožňují vytvářet snapshots a clony, které budou následně zálohovány bez dopadu na výkon. Zálohovací zařízení bude umístěno v primární, testovací a školící lokalitě. Jednotlivé lokality budou na sobě nezávislé, ale vzájemně spolupracující tak, aby bylo možné dosáhnout maximálního výkonu celé infrastruktury. Vlastní zálohovací proces bude probíhat prostřednictvím upravených jobů automaticky v nočních hodinách tak, aby během dne nedošlo ke zbytečnému zatížení datové sítě či výkonu jednotlivých serverů. Na centrálním zálohovacím zařízení bude vytvořena politika, která bude garantovat udržování záloh minimálně po dobu 30 dnů a zároveň bude obsahovat 5 nezávislých záloh celého systému. Zálohy vybraných datových oblastí budou probíhat paralelně různými metodami tak, aby v případě obnovy bylo možné zvolit nejvhodnější variantu z pohledu času a objemu dat. Jako příklad uvádíme standardní zálohu prostřednictvím agentů určených pro zálohu diskového subsystému a pravidelně prováděné vytváření stínové kopie datových oblastí. Každý uvedený typ má své výhody i nevýhody, které mohou zkrátit čas a komfort obnovy dat. Vícenásobné jištění dat přinese vyšší stabilitu a bezpečnost systému, čímž bude zajištěná požadovaná záloha všech komponent minimálně 1x 24h. Zálohování všech komponent MS2014+ bude probíhat real time bez nutnosti odstávky jakékoliv části systému tzn. bez výpadku Přesný rozsah a licenční pokrytí stanoví Dodavatel v návaznosti na základě přesné konfigurace dodávaného HW a jím nabízeného řešení. Zadavatel požaduje, aby licenční model byl nezávislý na celkovém množství zálohovaných dat. Zadavatel požaduje, aby z licenčního pohledu byly pokryty následující prvky: Zálohovací server v primární lokalitě Zálohovací server v zálohovací lokalitě Oracle Exadata Half Rack osazeno 4 servery s CPU 2 x Eight-Core Intel Xeon E Processors (2.9 GHz) Oracle Exadata Eighth Rack osazeno 2 servery s CPU 2 x Eight-Core Intel Xeon E Processors (2.9 GHz) 2x služební server osazen 2x CPU 8 core. S1_P1_Technická specifikace díla Strana

26 všechna ostatní zálohovaná zařízení (včetně VM) v případě, že daný předmět zálohy musí být licenčně pokryt. Primární lokalita: Položka Verze Počet OS Licence Prvek Tivoli Storage manager Tivoli Storage manager DB Tivoli Storage manager Extended Edition PVU (Processor value unit) PVU (Processor value unit) PVU (Processor value unit) Dodavatel doplní případný další SW Zálohovací lokalita: Položka Verze Počet OS Licence Prvek Tivoli Storage manager Tivoli Storage manager DB Tivoli Storage manager Extended Edition PVU (Processor value unit) PVU (Processor value unit) PVU (Processor value unit) Dodavatel doplní případný další SW Spolupráce s Provozovatelem Aplikace MS2014+ Provozovatel aplikace MS2014+ bude mít plná pasivní práva k zálohovacímu systému, tak aby mohl provádět kontrolu prováděných záloh, ověřovat integritu prováděných záloh. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy a obnovy vybraných oblastí. Dodavatel bude plně zodpovídat za korektní běh a zálohování. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace. S1_P1_Technická specifikace díla Strana

27 V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Pořízení páskového zálohovacího zařízení, na které bude umožňovat zápis na 2 pásky najednou každá o nativní kapacitě 2,5 TB, každá mechanika bude vybavena SAS rozhraním. Zařízení musí obsloužit nejméně 48 slotů. Součástí zařízení je požadovaná čtečka čárových kódů, dále USB rozhraní pro upgrady firmware a možnost uložení/obnovy konfigurace. Knihovnu je možno volitelně rozdělit na více partitions. Pořízení všech nezbytných licencí pro zálohovací SW v návaznosti na dodávaný HW a SW Instalace a konfigurace zálohovacího agenta na Oracle Exadata Instalace a konfigurace SW na zálohovacím serveru v primární lokalitě Instalace a konfigurace SW na zálohovacím serveru v zálohovací lokalitě Instalace a konfigurace zálohovacího agenta na serveru ISS01, ISS02 Konfigurace záloh virtuálních serverů Konfigurace snapshot a clone v rámci diskových polí Nastavení reportů o průběhu zálohování Jednorázová kompletní záloha a obnova systémové infrastruktury při ukončení implementačních prací dle této přílohy Smlouvy o dílo za účelem ověření funkcionality systému zálohování a obnovy. S1_P1_Technická specifikace díla Strana

28 Z důvodu zabezpečení vysoké dostupnosti a výkonu klíčových služeb informačního systému, je nutné provozovat clusterové služby. Díky této službě bude informační systém připraven na neočekávané havárie IS i plánované odstávky za účelem údržby systému. Clusterová služba bude provozovaná v několika režimech Princip funkčnosti je založen na síťové vrstvě protokolu TCP/IP, kdy skupina nodů vystupuje pod jednou virtuální IP adresou. Samotné směrování na určitý nod clusteru zajišťuje NLB služba, dle definovaných parametrů. Tím dochází k rozložení zátěže na všechny nody clusteru. Při havárii nodu nedochází k přerušení služby, protože NLB služba bude zasílat komunikaci na zbylé nody. Toto řešení je ideální pro nasazení služeb, které jsou primárně založeny na principu protokolu TCP/IP, a to webových služeb, firewall služeb, které budou využity v rámci Aplikace MS Z důvodu zabezpečení vysoké dostupnosti Virtualizačních, Souborových, Zálohovacích, Databázových služeb bude implementován Windows Cluster na technologii Microsoft Windows Server. Zmíněné služby budou v každé lokalitě provozovány v samostatných Clusterech vždy o dvou nodech. V případě havárie hardwaru nodu dojde k automatizovanému přepnutí na druhý nod a tím i okamžitému zprovoznění služby do běžného provozu. V obou nodech musí být stejné hardwarové i softwarové konfigurace. Mezi jednotlivými servery je nutné mít datové úložiště (diskové pole), kde je uloženo nastavení clusteru (tzv. kvórum) a samotná data služby (souborové, databázové, virtualizační). Cluster může být provozován ve dvou modech (Active-Passive, Active-Active). Režim Active-Passive není primárně určen pro zvýšení výkonu, ale jako zabezpečení vysoké dostupnosti služby. Clusterovaná služba běží pouze na jednom nodu. V případě výpadku aktivního nodu dojde k automatizovanému přesunu služby na druhý nod clusteru. Toto řešení je ideální pro provoz služeb, které ke své funkci potřebují datové úložiště např. Souborové služby. Režim Active-Active poskytuje výhody režimu Active-Passive, ale zároveň je schopen při provozu částečně využít výkonu ostatních prvků. Nárůst výkonu není dvojnásobný, ale je dán limity jednotlivých komponent a služeb. Dílčí služba je vždy provozována pouze na jednom prvku, ale dokáže se transparentně přepnout na druhý nod bez výpadku. Toto řešení se v současné době používá především u virtualizačních služeb Pro zajištění vysoké dostupnosti vybraných virtuálních serverů bude využita technologie Windows Geoclusteru, založená na replikace VM ve Windows serveru Jedná se o rozšíření Windows Cluster o možnost provozovat jednotlivé nody na geograficky odlišných lokalitách. Výhodou S1_P1_Technická specifikace díla Strana

29 uvedeného řešení je v nezávislosti na lokalitě a eliminaci rizika (např. výpadky internetové konektivity, energetické krize (výpadek proudu), živelné pohromy), které nelze jednoduše v dané lokalitě eliminovat. Pro funkci Geoclusteru je nutné zajistit neustálou replikaci datových úložišť ve všech lokalitách. V rámci Windows server 2012 je již možné replikovat do záložní lokality jednotlivé virtuální servery nativními nástroji OS. Uvedené řešení se velmi často využívá u prvku, který může být právě jeden v celém systému a nelze zajistit vysokou dostupnost jinými prostředky. Funkcionalita Windows Geocluster bude nasazena až pro potřeby záložní lokality (viz vymezení pojmu dle kap. 1.2 tohoto dokumentu) a Dodavatel tuto funkcionalitu nebude implementovat v rámci této Smlouvy o dílo Je technologie společnosti Oracle, která umožňuje provozovat v aktivním režimu databázi přes celou skupinu nodů. Tím dochází k výraznému navýšení výkonu, který je pro provoz databázového serveru žádoucí. V případě výpadku nodu bude funkčnost databáze zachována pomoci zbylých nodů v clusteru. Bližší informace jsou uvedeny v kapitole databázové služby Produkt Netscaler od společnosti Citrix nabízí technologii pro dosažení 100% dostupnosti aplikací. Tato technologie se nazývá Load Balancing, respektive Global Server Load Balancing (Load Balancing v geografickém měřítku). Load Balancing umožňuje na základě mnoha nastavitelných faktorů rozdělovat zátěž webových aplikací tak, aby byly systémové prostředky využity na všech serverech rovnoměrně a aby byly požadavky směřovány na funkční prvky skupiny. Pro správnou funkci této technologie je nutné udržovat tzv. stand-alone webové aplikace v replikovaném režimu (identické kopie) a ke každé z těchto aplikací musí být umožněn přímý přístup z Citrix Nestcaler serveru. NetScaler server je pro fungování LoadBalancingu klíčovou komponentou, která je v síťové topologii umístěna za bezpečnostní infrastrukturou IS MS Provádí přijímání HTTP požadavků od klientů a dle nastavitelných parametrů pro monitoring webových aplikací určuje, na který konkrétní stand-alone webový server přepošle daný HTTP požadavek. V konfiguraci, kdy je zapojen pouze jediný NetScaler server, nelze dosáhnout režimu vysoké dostupnosti. Proto bude nutné využít geograficky oddělené lokality pro instalaci a konfiguraci záložního NetScaler serveru. Samostatné NetScaler servery budou nakonfigurovány v režimu Global Server Load Balancing, kdy spolu budou prostřednictvím interního zabezpečeného tunelu komunikovat pomocí Metric Exchange protokolu a předávat si vzájemně informace o vytížení a dostupnosti lokality. Každý ze serverů bude nakonfigurován jako DNS server pro klienty z Internetu a na základě monitorování klíčových prvků lokalit bude klientům vracet IP adresu primární nebo záložní lokality V režimu Global server Load Balancing budou provozovány následující služby: Webové služby S1_P1_Technická specifikace díla Strana

30 V režimu Windows Cluster budou v režimu Active-Passive, pokud není uvedeno jinak, provozovány následující služby: Souborové služby Zálohovací služby Databázové služby MSSQL (pro MS System Center, BizTalk) Virtualizační služby (režim Active-Acitve) Aplikační služby V režimu Oracle Real Application Server budou provozovány služby: Databázové služby Oracle Veškerá interní komunikace mezi jednotlivými nody clusteru bude šifrována z důvodu zvýšení bezpečnosti informačního systému. Vzhledem k tomu, že clusterová služba zprostředkovává pouze provoz jiné služby v režimu vysoké dostupnosti, je bezpečnost informačního systému závislá na zabezpečení jednotlivých služeb provozovaných v clusterovém režimu. Proto Zadavatel požaduje, aby Dodavatel v rámci řešení navrhl a implementoval i způsob zabezpečení jednotlivých služeb Primární lokalita: Položka Počet nodů Režim dostupnosti Název Clusteru GSLB (NetScaler) 2 Load Balancing Webové služby Databázové služby produkční Detailní specifikace uvedena v kapitole Webové služby Detailní specifikace uvedena v kapitole Databázové služby Databázové služby podpůrné 2 FailOver CLS-DBA Poštovní služby 2 DAG DAG Souborové služby 2 FailOver CLS FS Virtualizační služby Detailní specifikace uvedena v kapitole Virtualizační služby Testovací prostředí: Položka Počet nodů Režim dostupnosti Název Clusteru GSLB (NetScaler) 2 Load Balancing Webové služby Databázové služby produkční Detailní specifikace uvedena v kapitole Webové služby Detailní specifikace uvedena v kapitole Databázové služby S1_P1_Technická specifikace díla Strana

31 Položka Počet nodů Režim dostupnosti Název Clusteru Databázové služby podpůrné 2 FailOver CLS-DBA-tst Souborové služby 2 FailOver CLS FS-tst Virtualizační služby Detailní specifikace uvedena v kapitole Virtualizační služby V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno Instalace a konfigurace GSLB v produkčním prostředí Instalace a konfigurace GSLB v testovacím prostředí Instalace a konfigurace Windows Fail-over cluster Instalace a konfigurace NLB S1_P1_Technická specifikace díla Strana

32 Pro zajištění bezpečnosti a stability informačního systému budou implementovány antivirové služby (AV) a antispamové služby, které zabezpečí infrastrukturu před nežádoucím či škodlivým SW. Vstupní prvky do vnitřní části informačního systému budou z důvodu aktivní činnosti uživatelů náchylné na možnost virové infiltrace, proto zde budou AV služby implementovány v přísnějším režimu Antivirové služby budou v systému implementovány ve dvou úrovních a to pro antivirovou ochranu vkládaných příloh do systému a dále pro antivirovou ochranu jednotlivých serverů. Antivirové servery AV11 a AV12 budou sloužit pro antivirovou kontrolu vkládaných souborů. Antivirová ochrana bude realizována prostřednictvím Protection Engine for Cloud Services od společnosti Symantec. Na tyto servery bude prostřednictvím API rozhraní přistupovat aplikační server. Přesné nastavení AV produktu ve vazbě na aplikaci MS2014+ provede dodavatel aplikace MS V rámci instalace a konfigurace bude nastavena pravidelná aktualizace virové báze produktu. Antivirové služby v režimu ochrany OS budou instalovány na všechny prvky s operačním systémem MS Windows. Jako antivirový program bude nasazen produkt z rodiny Microsoft System Center 2012 Endpoint Protection. Tento produkt společně s Microsoft System Center 2012 Configuration Manager umožňuje efektivně řídit celkovou bezpečnost informačního systému. Jedná se o vysoce efektivní metodu, kdy lze v rámci jedné centrální konzole získat detailní přehled o celé infrastruktuře. Aby antivirové služby pracovaly korektně, je nutné provádět pravidelnou aktualizaci virové definice. Aktualizaci bude zajišťovat interní Update Services v rámci SCCM. Ochrana serveru bude zajištěna online antivirovým štítem a bude doplněna pravidelnou kontrolou systémového disku, která bude prováděna v nočních hodinách nebo v době, kdy je na daném prvku minimální provoz. Pro antispamové funkce budou vyžity nativní funkce MS Exchange. MS Exchange je dodáván v rámci poštovních služeb Bezpečnost antivirových služeb bude spočívat v uzamčení nastavení antivirového programu heslem tak, aby nikdo mimo správce nemohl antivirový štít vypnout či změnit nastavení programu. V rámci bezpečnost bude zajištěna také pravidelná aktualizace virové báze. S1_P1_Technická specifikace díla Strana

33 Primární lokalita: Položka Verze Počet OS Licence Prvek Microsoft System Center - Endpoint Protection Licence pro System Center Všechny servery s OS Windows. Symantec Protection Engine for Cloud Services 2 Windows server 2012 Licence na server AV11; AV12 Testovací lokalita: Položka Verze Počet OS Licence Prvek Microsoft System Center - Endpoint Protection Licence pro System Center Symantec Protection Engine for Cloud Services 1 Windows server 2012 Licence na server AV11-TST V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Pořízení 2x Symantec Protection Engine for Cloud Services per Server Instalace a základní konfigurace Symantec Protection Engine for Cloud Services Instalace a konfigurace SCCM EP na jednotlivé servery s OS Windows. S1_P1_Technická specifikace díla Strana

34 Virtualizační služby či virtuální služby umožňují současně provozovat více různorodých systémů založených na různých platformách OS na jednom HW. Virtualizační služby vytvářejí unifikované HW rozhraní pro jednotlivé systémy. Existují aplikace a systémy, které vyžadují specializované nastavení, které je v rozporu s konfigurací jiné aplikace nebo systému a nelze je provozovat vzájemně na jednom prvku. Bez využití virtualizačních služeb by bylo nutné pořídit a instalovat nové HW vybavení nebo případně hledat alternativní řešení, které by často vedlo k nestabilitě celého systému. Virtualizací lze dosáhnout efektivnějšího využívání HW zdrojů a zároveň zajistit jednotnost prostředí pro provozované systémy. Jelikož virtualizace vytváří unifikované prostředí, lze bez problému přenášet jednotlivé systémy na ostatní virtuální systémy bez nutnosti složité obnovy. Tímto se výrazně snižuje délka případné obnovy systému. Vlastnost univerzálního prostředí lze využít i v případě enormního zatížení primárního HW, kdy lze jednotlivé virtuální servery přesunout na HW, který je dlouhodobě méně zatěžován. Virtualizace je běžně nedílnou součástí všech moderních systémů. Další nedílnou výhodou moderních systému je vysoká podpora Cloud technologií, kdy lze provozovaný prvek přesunout do Cloudu to ať už privátního nebo veřejného VM1 VM2 live migrace VM3 VM4 Hyper-V Node1 Hyper-V Node2 Hyper-V cluster SAN Disk1 Disk2 Cluster Shared Volume (CSV) Diskové pole S1_P1_Technická specifikace díla Strana

35 Ve virtualizačním prostředí poběží téměř veškeré služby pro aplikaci MS Cílem je maximálně zvýšit dostupnost, eliminovat závislost na fyzických prostředcích a systém zároveň navrhnout a provozovat tak, aby byly v maximální míře využity veškeré výhody virtualizace. Tento cíl vychází z požadavku na zvýšení stability prostředí a odstranění SPOF (Single Point of Failure). Virtualizační služby pro IS MS2014+ budou realizovány pomocí dvou základních technologií. Jedná se o MS Hyper- V provozované na Windows Serveru 2012 ve verzi Datacentrum Edition a Oracle VM. Virtualizační platforma Oracle VM bude využívána pro virtualizaci serverů s OS Linux. Uvedená virtualizační platforma byla vybrána z důvodu ekonomické výhodnosti licencování běhového prostředí WebLogic. Virtualizační prostředí bude nastaveno tak, aby byla licencována pouze přidělená CPU jádra virtuálního serveru, kde je nainstalován Oracle Weblogic, a nikoliv veškerá jádra daného virtualizačního serveru. Virtualizační služby Hyper-V budou v systému provozovány ve dvou režimech a to v režimu fail-over a nebo stand-alone. Režim stand-alone bude využíván pro virtuální servery, které budou řešit vysokou dostupnost na úrovni své služby a nechtějí k tomu využít vlastnosti vysoké dostupnosti virtualizační služby. Jedná se například o management služby, souborové a poštovní služby. Tento režim bude na serverech ISS01 a ISS02. Vybrané virtuální servery budou provozovány ve fail-over clusteru, datové soubory virtuálních počítačů budou umístěny na sdíleném uložišti. Pro každý virtuální server bude vytvořen samostatný logický disk. Prostředí bude nastaveno následovně, v případě výpadku jednoho z hostujících nodů (serverů), zajistí fail-over cluster automatické přesunutí clusterovaných virtuálních počítačů (VM) na dostupný nebo volný nod clusteru. O vhodnosti volby bude rozhodovat System Center Virtual Machine Manager ve spolupráci System Center Operations Manager. V tomto režimu bude provozována většina virtualizačních serverů. V systému budou následující clustery s rolí Hyper-V: CLS-APL jedná se o 4 nodový cluster určený především pro samotný výkonný běh aplikační části aplikace MS2014+ CLS-IDMZ jedná se o 2 nodový cluster určený především pro běh prezentační části aplikace MS2014+ CLS-TEST - jedná se o 2 nodový cluster pro testovací prostředí. Všem serverům bude přiřazena stejná výchozí výkonnostní váha, tzn., že žádný virtuální server nebude mít přednost vůči ostatním virtuálním serverům při využívání základních HW prostředků. Technologie Live Migration zajistí přesun běžících virtuálních serverů mezi jednotlivými nody Hyper-V clusteru bez výpadku služeb či připojení klienta. V produkční primární lokalitě bude implementovaná technologie pro možnost snadného vytváření clonu či snapshotu virtuálního serveru na úrovni diskového pole. Tato funkčnost bude především využívána při instalacích nových verzí do produkčního prostředí. V případě budoucího budování záložní lokality očekáváme využití replikačních funkcí Windows serveru 2012, které umožňují vytvářet repliku virtuálního serveru prostřednictvím nativních nástrojů operačního systému. S1_P1_Technická specifikace díla Strana

36 Virtualizační prostředí společně s nástroji pro management budou tvořit v jednotlivých lokalitách privátní cloud. Virtualizační služby budou také v maximální možné míře využívány pro testovací prostředí. V tomto prostředí budou provozovány všechny prvky, které nevyžaduji specifickou HW konfiguraci např. databázové služby Oracle Přístup k virtuálním počítačům přes Hyper-V konzoli může být povolen pouze definované skupině uživatelů, nicméně pro aktivní správu VM bude primárně používán System Center Virtual Machine Manager 2012 (dále jen SCVMM), jehož primární služby budou provozovány v informačním systému dohledového pracoviště. Přístup k virtuálním počítačům bude na úrovni SCVMM řízen na základě nastavených přístupových práv a rolí Primární lokalita: Položka Verze Počet OS Licence Prvek Hyper-V Windows Server 2012 serverová licence Windows Server 2012 DE HV01-HV04; EHV01; EHV02;ISS01; ISS02 Oracle VM 2 Oracle VM Serverová licence OVM01 a OVM02 Zálohovací a testovací lokalita: Položka Verze Počet OS Licence Prvek Hyper-V Windows Server 2012 serverová licence Windows Server 2012 DE HV01-TST; HV02- TST Pro výkon a odezvy jednotlivých virtuálních serverů je zásadní rychlost přístupu k diskům. Proto budou umístěny jednotlivé virtuální servery na jednotný diskový prostor, který bude dostupný pro jednotlivé prvky. Zároveň je nutné pro jednotlivé prvky zajistit dostatečný výkon pro jednotlivé virtuální servery. Přesné požadavky na virtuální servery byly stanoveny v rámci sizingu prostředí. V následující tabulce je celkový přehled všech VM v rámci primární lokality. S1_P1_Technická specifikace díla Strana

37 Název serveru Počet core (CPU) Paměť RAM v GB LAN Local Storage HDD v GB OS Služby Prvek - cluster EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ EWEB x 10Gbit/s 100 Windows 2012 Externí web DMZ ESS x 10Gbit/s 100 Windows 2012 DNS, AD DMZ ESS x 10Gbit/s 100 Windows 2012 DNS, AD DMZ CSG x 10Gbit/s 100 Windows 2012 Vzdáleného přístupu DMZ APPGW 11 APPGW 12 CryptoI D11 CryptoI D x 10Gbit/s 100 Windows 2012 Management DMZ 4 8 2x 10Gbit/s 100 Windows 2012 Management DMZ x 10Gbit/s 100 Windows 2012 Aplikační služby Aplikační x 10Gbit/s 100 Windows 2012 Aplikační služby Aplikační SD x 10Gbit/s 100 Windows 2012 SD x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační S1_P1_Technická specifikace díla Strana

38 Název serveru Počet core (CPU) Paměť RAM v GB LAN Local Storage HDD v GB OS Služby Prvek - cluster WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 WEB x 10Gbit/s 100 Windows 2012 Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační ESB x 10Gbit/s 100 Windows 2012 Aplikační služby Aplikační ESB x 10Gbit/s 100 Windows 2012 Aplikační služby Aplikační SC x 10Gbit/s 100 Windows 2012 Management ISS01 SC x 10Gbit/s 100 Windows 2012 Management ISS02 SC x 10Gbit/s 100 Windows 2012 Management ISS01 SC x 10Gbit/s 100 Windows 2012 Management ISS02 SC x 10Gbit/s 100 Windows 2012 Management ISS01 SC x 10Gbit/s 100 Windows 2012 Management ISS02 MSDBA 11 MSDBA x 10Gbit/s 100 Windows 2012 Databáze Aplikační x 10Gbit/s 100 Windows 2012 Databáze Aplikační ESBWEB 11 ESBWEB x 10Gbit/s 100 Windows x 10Gbit/s 100 Windows 2012 Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační APP x 10Gbit/s 100 Windows 2012 APP x 10Gbit/s 100 Windows 2012 APP x 10Gbit/s 100 Windows 2012 APP x 10Gbit/s 100 Windows 2012 Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační Interní web + Aplikační služby Aplikační TS x 10Gbit/s 100 Windows 2012 Terminálové ISS01 S1_P1_Technická specifikace díla Strana

39 Název serveru Počet core (CPU) Paměť RAM v GB LAN Local Storage HDD v GB OS Služby Prvek - cluster TS x 10Gbit/s 100 Windows 2012 Terminálové ISS02 EXCH x 10Gbit/s 100 Windows 2012 Poštovní ISS01 EXCH x 10Gbit/s 100 Windows 2012 Poštovní ISS02 CA 2 8 2x 10Gbit/s 100 Windows 2012 Certifikační ISS01 ISS x 10Gbit/s 100 Windows 2012 DNS, AD Aplikační OWCC1 1 OWCC x 10Gbit/s 100 Oracle Linux Web Interní Linux x 10Gbit/s 100 Oracle Linux Web Interní Linux OBI x 10Gbit/s 100 Oracle Linux Web Interní Linux OBI x 10Gbit/s 100 Oracle Linux Web Interní Linux AV x 10Gbit/s 100 Windows 2012 Antivir Aplikační AV x 10Gbit/s 100 Windows 2012 Antivir Aplikační FS x 10Gbit/s 100 Windows 2012 Souborové ISS01 FS x 10Gbit/s 100 Windows 2012 Souborové ISS V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno x Inicializace a konfigurace role Hyper-V v clusterovém prostředí 2x Inicializace a konfigurace role Oracle-VM v clusterovém prostředí 2x Inicializace a konfigurace role Hyper-V v stand-alone prostředí Vytvoření cluster shared volume na diskových polích Konfigurace a ověření clusteru pro možnost Live migrace Konfigurace virtuálních sítí v rámci hypervisoru 40x Vytvoření a konfigurace virtuálních serverů s OS Windows v režimu vysoké dostupnosti S1_P1_Technická specifikace díla Strana

40 10x Vytvoření a konfigurace virtuálních serverů s OS Windows Vytvoření virtuálních serverů s OS Linux v režimu vysoké dostupnosti S1_P1_Technická specifikace díla Strana

41 V systému budou implementovány poštovní služby pouze pro úzkou skupinu služeb a prvků. Poštovní služby budou především využívány pro zasílání zpráv uživatelů. Pro odesílání zpráv bude využit standardní SMTP server, který nevyžaduje klientskou přístupovou licenci. Pro doručování zpráv bude vyhrazeno pouze několik schránek, které budou automaticky zpracovávány úlohami na pozadí. Tyto úlohy budou výhradně pro potřeby systému. Celý systém bude vybudován na produktu MS Exchange 2013 v edici standard s Windows server Systém bude provozován na dvou mailbox serverech EXCH11 a EXCH12, které budou propojeny v Database Availability Groups (DAG), a jedním serverem Client Access server CASHUB V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Pořízení 3x MS Exchange Server Std. Lic/SA Pořízení 20x MS Exchange CAL device standard Lic/SA Pořízení 20x MS Exchange CAL device Enterprise Lic/SA Instalace a konfigurace SMTP serveru. Instalace a konfigurace MS Exchange Vytvoření systémových mailových schránek S1_P1_Technická specifikace díla Strana

42 Kapitola síťové služby se věnuje návrhu způsobu komunikace mezi jednotlivými prvky IS na druhé a třetí síťové vrstvě modelu ISO/OSI. S ohledem na HW infrastrukturu IS MS2014+ budou jednotlivé prvky IS komunikovat primárně pomocí TCP/IP protokolu, který je vhodný pro budování počítačových sítí podobného rozsahu a zaměření. Internet protokol je v současné době provozován ve dvou možných verzích a to původní 32 bitová IPv4, kde adresy již byly vyčerpány a jsou nyní vlastněny jednotlivými poskytovateli připojení do internetu. IPv4 je tedy postupně nahrazováno IPv6, která je již 128 bitová a umožňuje v rámci sítě adresovat velké množství zařízení. Výše uvedené platí pouze pro zařízení provozovaných přímo v síti INTERNET a pro veškerá zařízení a služby, které budou dostupné veřejně nebo externě dostupné. V rámci interní sítě MS2014+ není požadovaná implementace IPv6. Nicméně je nutné s technologii IPv6 počítat a veškeré zařízení a služby provozované v IS MS2014+ musí být plně kompatibilní s IPv4 i IPv6 protokolem Implementaci síťových služeb lze rozdělit do několika částí či vrstev: Fyzická topologie má charakter hvězdy. Centrální prvek bude reprezentován dvojicí páteřních přepínačů, které budou spojeny ve stohu. Core/Access prvek je zdvojený z důvodu redundance, v případě výpadku jednoho přepínače je možné využít druhý jako zálohu. Do centrálního prvku bude připojený stoh přepínačů, který bude využit pro připojení management rozhraní serverů a jiných management prvků. Stoh bude z důvodu redundance zdvojený. Do Centrálních prvků budou dále připojeny Firewally, které budou sloužit k filtraci komunikace z demilitarizované zóny do interní části sítě, a dále zde bude probíhat inspekce provozu některých virtuálních sítí. Pro propojení Core/Access přepínačů se zbytkem síťových prvků bude využito 10 Gbit/s rozhraní. Je tedy nezbytně nutné, aby Core/Access přepínač měl dostatečné množství 10 Gbit/s portů. Pro potřeby připojení zařízení v demilitarizované zóně bude z Firewallu vytažený stoh dvou switchů, které budou připojeny přes 1Gbit/s rozhraní S1_P1_Technická specifikace díla Strana

43 Z důvodu zajištění vysoké dostupnosti a maximální redundance budou využity prvky umožňující virtualizaci síťových prvků. Ta umožní ze dvou samostatných přepínačů vytvořit jeden logický celek vystupující pod jednou IP adresou a konfigurací. K zajištění komunikace a garance kvality síťových služeb je vhodné zvolit přepínač s minimálně 48x 10 Gbit/s porty. Z důvodu zjednodušení designu datové sítě bude Core prvek sloužit i jako access switch pro serverové stanice Přístupové přepínače budou dvojího typu a to pro Serverové/Core a Management. Serverový/Core přepínač bude tvořen dvěma switchi s 48x 10Gbit/s rozhraním. Přepínače budou provozovány ve stohu. Z důvodu využití FCoE technologie je nutné, aby přepínače plně podporovaly standart Fibre Channel over Ethernet. Přepínače budou obsluhovat síťové adaptéry jednotlivých serverů a jiných síťových zařízení, které budou pro svou činnost využívat datovou síť. Pro potřeby demilitarizované zóny bude vytvořen přístupový switch tvořen dvěma 24x 1 Gbit/s rozhraním v režimu stohu. Pro propojení s Core vrstvou bude využito čtyř uplink portů s 10 Gbit/s rozhraním. Management přepínač budou tvořeny dvěma switchi s 48x 1 Gbit/s rozhraním, které budou také provozovány ve stohu. Pro propojení s core vrstvou bude využito čtyř uplink portů s 10 Gbit/s rozhraním. Management switche budou obsluhovat zařízení typu remote management rozhraní serveru, management diskových polí, atd Primární lokalita Zálohovací lokalita Testovací lokalita Switch DMZ Switch DMZ Core/Access Switch + router Core/Access Switch + router Core/Access Switch + router Switch Management Switch Management Switch Management Switch Management S1_P1_Technická specifikace díla Strana

44 Z pohledu topologie je spojová vrstva řešena jednoduše. Vychází z fyzické topologie hvězda s centrálními přepínači, které se díky virtualizaci tváří jako jedno zařízení. Logická topologie zobrazuje infrastrukturu mnohem přehledněji. Všechna propojení a zařízení jsou zobrazeny dle spojové vrstvy Primární lokalita Zálohovací lokalita Testovací lokalita Switch DMZ 4 x 1Gbit/s FW + router FW + router 4 x 10Gbit/s 2 x 1Gbit/s Core/ Acces Switch + router 2 x 10Gbit/s Core/ Acces Switch + router 4 x 10Gbit/s 4 x 10Gbit/s Switch Management Switch Management Celý adresní prostor bude rozdělen do několika samostatných podsítí (subnetů). Ke každé podsíti bude přidělena příslušná virtuální síť tzv. VLAN. Jednotlivé VLANy budou zavedeny z důvodu zjednodušení fyzické infrastruktury datové sítě a základnímu bezpečnostnímu oddělení logických celků datové sítě Adresní prostor IS MS2014+ bude rozdělen na několik logických části, a to na: Adresní prostor primární lokality: Interní Databázové služby /24 Aplikační služby /24 Terminálové služby /24 S1_P1_Technická specifikace díla Strana

45 Zálohovací služby - Oracle /24 Zálohovací služby /24 Ostatní komunikace /24 Out-of-band management /24 Ostatní management /24 DMZ Internet Webové služby /24 Aplikační služby /24 Ostatní komunikace /24 Out-of-band Management /24 Test Interní Databázové služby /24 Aplikační služby /24 Terminálové služby /24 Ostatní komunikace /24 Test DMZ Internet Webové služby /24 Aplikační služby /24 Ostatní komunikace /24 Adresní prostor záložní lokality: Interní Databázové služby /24 Aplikační služby /24 Terminálové služby /24 Zálohovací služby - Oracle /24 Zálohovací služby /24 Ostatní komunikace /24 Out-of-band management /24 Ostatní management /24 DMZ Internet Webové služby /24 Aplikační služby /24 Ostatní komunikace /24 Out-of-band Management /24 Test Interní Databázové služby /24 Aplikační služby /24 Terminálové služby /24 Ostatní komunikace /24 Test DMZ Internet Webové služby /24 Aplikační služby /24 Ostatní komunikace /24 S1_P1_Technická specifikace díla Strana

46 V současné době bude druhá lokalita sloužit pouze jako zálohovací. Nicméně adresní prostor je připraven k eventuální možnosti vybudovat druhou lokalitu rovnocennou k primární (produkční). Rozsah využití virtuálních sítí bude plně závislý na použitých technologiích a zařízeních jednotlivých vendorů. Adresní rozsah je vybudován na privátním rozsahu /8, který je dostatečně dimenzován a připraven na implementaci v IS MS Adresní bloky jsou rozděleny dle jednotlivých služeb, provozovaných v IS. Routování jednotlivých sítí bude prováděno na Core/Access přepínačích, kde budou definovány jednotlivé VLANy. Výjimku budou tvořit virtuální sítě, kde je nutné klást enormní důraz na bezpečnost komunikace. Tyto jednotlivé segmenty budou ukončeny na bezpečnostních zařízeních, interních firewallech, kde bude probíhat kontrola komunikace a aplikační inspekce. Jednotlivé VLANy budou distribuovány pouze na konkrétní přepínače, např. management VLAN bude propagována pouze na skupině switchů sloužící k managementu jednotlivých zařízení. Tímto dochází ke zvýšení bezpečnostní a integrity síťových služeb Bezpečnost síťových služeb je zajištěna pomoci dílčích řešení, které společně zásadně snižují míru rizika napadení IS MS IS je budován jako cloudové řešení pro jednotlivé konzumenty služby. K interním zdrojům IS budou mít tedy přístup pouze vybraní a prověření pracovníci z důvodu údržby a upgradu systému. Zbytek uživatelů bude pomoci sítě INTERNET či jiné veřejné sítě přistupovat k jednotlivým službám pomoci webových portálů. Velký důraz je tedy kladen na zajištění bezpečnosti z veřejné sítě INTERNET, odtud hrozí největší nebezpečí průniku do IS. Je tedy nutné zajisti filtraci komunikace na vnějším rozhraní, o kterou se stará IDS/IPS sonda, která se tváří zcela transparentně vůči svému okolí. IPS sleduje nekalou komunikaci v síti a případné útoky zcela odblokuje. Útoky typu Denial of Service, které způsobí přetížení infrastruktury a tím i nedostupnost samotné služby jejím konzumentům je IPS sonda schopna zcela zamezit. Po kontrole IPS sondou následuje inspekce komunikace aplikačním Firewallem, který je umístěn v demilitarizované zóně a veškerá komunikace ze strany konzumentů končí přímo zde. Samotný firewall kontaktuje již příslušné služby v interní části informačního systému. Tato komunikace je také podrobena kontrole na firewallu, který je umístěn na rozhraní demilitarizované zóny a interní části sítě. Tyto firewally budou dále použity pro zajištění komunikace mezi lokalitami. Komunikace mezi jednotlivými lokalitami bude zajištěna pomocí Site-to-Site VPN. Komunikace mezi lokalitami bude přenášena privátním šifrovaným kanálem. VPN připojení bude využívat protokolu L2TP/IPsec, aby bylo možno zaručit integritu a původ paketů. Pro utajení dat během jejich přenosu sdílenou nebo veřejnou tranzitní sítí jsou data na straně odesílatele zašifrována a na straně příjemce dešifrována. Šifrování a dešifrování je založeno na tom, že odesílatel i příjemce používají společný šifrovací klíč. Zachycené pakety odeslané přes připojení VPN v tranzitní síti jsou nesrozumitelné každému, kdo nemá k dispozici tento společný šifrovací klíč. Vzhledem k tomu, že do zálohovací lokality bude prováděna replikace dat, je nutné zajistit dostatečnou propustnost Firewallu, která by měla být min. 8 Gbit/s v šifrovaném režimu. S1_P1_Technická specifikace díla Strana

47 Zabezpečení jednotlivých vybraných segmentů datové sítě bude zajištěno pomoci firewallů, které budou provádět filtraci komunikace a aplikační inspekci tzv. zone-based policy firewall. Minimálně se jedná o VLANy pro databázové služby, aplikační služby, management služby, webové služby. Přístup ke konfiguraci zařízení, která souvisí se síťovými službami, bude omezen pouze pro vybranou dvojici serveru, ze kterých bude prováděna údržba systému Přehled prvků použitých v primární lokalitě. Pro zajištění vysoké dostupnosti a kvality služby budou veškeré prvky redundantně. Typ přepínače Počet Porty Rychlost Typ rozhraní Počet Uplink Porty Rychlost Typ rozhraní Role přepínače na vazbu s ISO/OSI Virtualizace - stohování Počet prvků Podp ora FCoE Core/Access Gbit/s SFP Gbit/s QSFP + Switching/ Routing L2/L3 Ano 2 Ano Access IDMZ 24 1 Gbit/s RJ Gbit/s SFP+ Switching L2 Ano 2 Ne Access - MGMT 48 1 Gbit/s RJ Gbit/s SFP+ Switching L2 Ano 2 Ne U Core/Access switche bude nutné zajistit podporu transceiveru typu 10GBASE-ER, který je nutný pro připojení zálohovací lokality z důvodu geografického umístění lokality. Tento typ převodníku je vhodný k přenosu informace na vzdálenost km. V každém Core/Access přepínači budou umístěny minimálně dva 10GBASE-ER transceivery případně 10GBASE-LR u vzdáleností do 10 km mezi lokalitami. Přesný typ bude závislý na vzdálenosti od zálohovací lokality, která bude umístěna v lokalitě Staroměstská Požadované minimální vlastnosti prvků: Prvek Core/Access Porty Napájecí zdroj Paměť Požadavek 48x 1000/10000 SFP+ 4x QSFP+ 40 GbE 2x napájecí zdroj 512 MB flash, 2 GB SDRAM S1_P1_Technická specifikace díla Strana

48 Prvek Požadavek 10 Gbps latence Maximálně 1.5 μs Podpora FCoE Propustnost Propustnost Routing/Switching Velikost routovací tabulky Management Podpora virtualizace Podpor transceiveru Podpora standardů Ano Minimálně900 milionu paketu za sekundu Minimálně1200 Gbps záznamů Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano 1G SFP LC LH nm Transceiver 1G SFP LC LH nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 1G SFP LC SX Transceiver 1G SFP LC LX Transceiver 1G SFP RJ45 T Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 10G SFP+ LC ER 40km Transceiver RFC 2918 Route Refresh Capability IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet RFC 768 UDP RFC 791 IP S1_P1_Technická specifikace díla Strana

49 Prvek Požadavek RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 856 TELNET RFC 896 Congestion Control in IP/TCP Internetworks RFC 950 Internet Standard Subnetting Procedure RFC 1027 Proxy ARP RFC 1058 RIPv1 RFC 1091 Telnet Terminal-Type Option RFC 1141 Incremental updating of the Internet checksum RFC 1191 Path MTU discovery RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1350 TFTP Protocol (revision 2) RFC 1624 Incremental Internet Checksum RFC 1812 IPv4 Routing RFC 2131 DHCP RFC 2453 RIPv2 RFC 2581 TCP Congestion Control RFC 2644 Directed Broadcast Control RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4419 Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol RFC 4594 Configuration Guidelines for DiffServ Service Classes RFC 4941 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 RFC 2460 IPv6 Specification RFC 2711 IPv6 Router Alert Option S1_P1_Technická specifikace díla Strana

50 Prvek Access/DMZ Požadavek RFC 3315 DHCPv6 (client and relay) RFC 4291 IP Version 6 Addressing Architecture RFC 4862 IPv6 Stateless Address Auto-configuration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 1213 MIB II RFC 1907 SNMPv2 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Notification MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2737 Entity MIB (Version 2) RFC 3414 SNMP-User based-sm MIB RFC 3415 SNMP-View based-acm MIB LLDP-EXT-DOT1-MIB RFC 1587 OSPF NSSA RFC 2328 OSPFv2 RFC 3101 OSPF NSSA RFC 3137 OSPF Stub Router Advertisement RFC 3623 Graceful OSPF Restart RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4811 OSPF Out-of-Band LSDB Resynchronization RFC 4812 OSPF Restart Signaling RFC 4813 OSPF Link-Local Signaling IEEE 802.1P (CoS) RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 3247 Supplemental Information for the New Definition of the EF PHB (Expedited Forwarding Per-Hop Behavior) RFC 3260 New Terminology and Clarifications for DiffServ Access Control Lists (ACLs) SSHv2 Secure Shell Porty 24x RJ-45 10/100/1000 S1_P1_Technická specifikace díla Strana

51 Prvek Napájecí zdroj Paměť Požadavek 4x Gigabit SFP 2x SFP+ 10 GbE 2x napájecí zdroj 512 MB flash, 1 GB SDRAM 10 Gbps latence Maximálně 3 μs 1 Gbps latence Maximálně 5 μs Propustnost Propustnost Routing/Switching Velikost routovací tabulky Management Podpora virtualizace Podpor transceiveru 130,9 milionu paketu za sekundu 176 Gbps záznamů Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano 1G SFP LC LH nm Transceiver 1G SFP LC LH nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver S1_P1_Technická specifikace díla Strana

52 Prvek Podporované standarty Požadavek 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP S1_P1_Technická specifikace díla Strana

53 Prvek Požadavek RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 S1_P1_Technická specifikace díla Strana

54 Prvek Požadavek RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers S1_P1_Technická specifikace díla Strana

55 Prvek Požadavek RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Address Selection for IPv6 RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB S1_P1_Technická specifikace díla Strana

56 Prvek Požadavek RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based-sm MIB RFC 3415 SNMP-View based-acm MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sflow RFC 3410 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) S1_P1_Technická specifikace díla Strana

57 Prvek Access/Management Požadavek SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication Porty 48x RJ-45 10/100/1000 Napájecí zdroj Paměť 10 Gbps latence 3 μs 1 Gbps latence 5 μs Propustnost Propustnost Routing/Switching Velikost routovací tabulky Management Podpora virtualizace Podpor transceiveru 4x Gigabit SFP 2x SFP+ 10 GbE 2x napájecí zdroj 512 MB flash, 1 GB SDRAM 166,6 milionu paketu za sekundu 224 Gbps záznamů Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Ano 1G SFP LC LH nm Transceiver 1G SFP LC LH nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver S1_P1_Technická specifikace díla Strana

58 Prvek Podporované standarty Požadavek 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver RFC 1657 Definitions of Managed Objects for BGPv4 RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges S1_P1_Technická specifikace díla Strana

59 Prvek Požadavek IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP S1_P1_Technická specifikace díla Strana

60 Prvek Požadavek RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2858 Multiprotocol Extensions for BGP-4 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) S1_P1_Technická specifikace díla Strana

61 Prvek Požadavek RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Address Selection for IPv6 RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II S1_P1_Technická specifikace díla Strana

62 Prvek Požadavek RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based-sm MIB RFC 3415 SNMP-View based-acm MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management S1_P1_Technická specifikace díla Strana

63 Prvek Požadavek Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sflow RFC 3410 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model (VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication Veškeré síťové přepínače budou spravovány přes jednotné rozhraní. U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání. S1_P1_Technická specifikace díla Strana

64 V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Hardware Software Pořízení 2x switch Core/Access dle uvedené specifikace Pořízení 2x switch Access/Management dle uvedené specifikace Pořízení 2x switch Access/IDMZ dle uvedené specifikace Pořízení příslušenství nezbytné pro zprovoznění systému (kabeláž, SFP moduly) včetně modulů pro propojení se zálohovací lokalitou Případné licence na požadované funkcionality, jsou-li vyžadovány Implementační služby Hardware Software Instalace do Racku zapojení dodávaných zařízení Základní nastavení oživení dodávaných zařízení Konfigurace dodávaných prvků do režimu vysoké dostupnosti Konfigurace VLAN dle specifikace uvedených v kapitole a Konfigurace Routing mezi všemi lokalitami a VLAN Instalace softwarového monitoringu - včetně modulů Konfigurace softwarového monitoringu - včetně modulů Pořízení 1x switch Core/Access dle uvedené specifikace Pořízení příslušenství nezbytné pro zprovoznění systému (kabeláž, SFP moduly), včetně modulů pro propojení se primární lokalitou Případné licence na požadované funkcionality, jsou-li vyžadovány Implementační služby Instalace do Racku zapojení Základní nastavení oživení Konfigurace - VLAN Konfigurace - Routing Instalace softwarového monitoringu - včetně modulů Konfigurace softwarového monitoringu - včetně modulů S1_P1_Technická specifikace díla Strana

65 Každá organizace a systém se musí chránit proti útokům vedeným prostřednictvím různých sítí a současně musí umožnit všem uživatelům bezpečný a spolehlivý přístup ke všem službám, které tento přístup vyžadují. O tuto oblast se starají Firewall služby. Moderní Firewallové služby prochází změnou ze statického blokování portů nevyžádané komunikace k aplikační inspekci, která povoluje pouze komunikaci business aplikací, které jsou v IS provozované. Firewallové služby jsou velmi často doplňovány o implementaci inspekčních detekčních a protekčních mechanismů (IDS/IPS), které zvyšují komplexní bezpečnost celého řešení Primární lokalita Internet Zálohovací lokalita Testovací lokalita Internet 4 x 1Gbit/s 1 x 1Gbit/s Aplikační FW Aplikační FW 4 x 1Gbit/s Switch 1GBit/s 1 x 1Gbit/s 4 x 1Gbit/s Interní FW + IPS Interní FW +IPS 4 x 10Gbit/s 2 x 10Gbit/s Core/Access Switch + router 2 x 10Gbit/s Core/Access Switch + router 4 x 10Gbit/s 2 x 10Gbit/s Switch Management Switch Management S1_P1_Technická specifikace díla Strana

66 Primární lokalita Internet Zálohovací lokalita Testovací lokalita Internet 4 x 1Gbit/s 1 x 1Gbit/s Aplikační FW Aplikační FW 4 x 1Gbit/s Switch 1GBit/s 1 x 1Gbit/s 4 x 1Gbit/s Interní FW + IPS Interní FW +IPS 4 x 10Gbit/s 2 x 10Gbit/s Core/Access Switch + router 2 x 10Gbit/s Core/Access Switch + router 4 x 10Gbit/s 2 x 10Gbit/s Switch Management Switch Management Řízený externí přístup veškerých uživatelů do IS MS2014+ bude k dispozici pouze v primární lokalitě. Přístup do zálohovací lokality bude k dispozici pouze pomoci privátního kanálu z primární lokality, který bude šifrován prostřednictvím IPSEC VPN. Firewallové služby budou implementovány ve dvou režimech a to Externí a Interní Bude tvořen skupinou síťových zařízení typu balancer, konkrétně produktem Citrix Netscaller, který je vybaven aplikačním FW. Aplikační FW chrání webové služby, které budou publikovány do veřejné sítě INTERNET. Jako ochrana perimetru sítě bude mezi ISP a Netscallerem vložena IPS sonda, která chrání Netscaller před útoky z veřejné sítě. Veškerá nežádoucí komunikace bude díky sondě odstraněna z datového toku a tím na samotný Netscaller dojde pouze legitimní komunikace. Tímto bude zajištěna vysoká kvalita a dostupnost publikované služby svým konzumentům. S1_P1_Technická specifikace díla Strana

67 Bude plnit roli hlavního bezpečnostního řešení interní části sítě. Komunikace mezi demilitarizovanou zónou a vnitřní části bude kompletně blokována. Jednotlivé typy komunikace budou povolovány na konkrétní servery a na konkrétní porty. U protokolů, které je možné zneužít, např. port 80, bude nasazen aplikační firewall, který bude blokovat zbytek nežádoucí komunikace, která prošla externím FW a IPS sondou. Firewall bude dále využíván jako zone based FW pro některé VLANy. Jedná se především o řízené povolení komunikace pouze mezi vybranými skupinami služeb či serverů. Navíc je komunikace v zóně omezena pouze na konkrétní TCP port či aplikaci. Útočník, který by pronikl do části sítě vyhrazené pro vzdálený management systému, nemá žádnou možnost proniknout do jiného segmentu sítě než do části managementu. Není tedy možné zneužít informace uložené např. v databázovém enginu či aplikační logice z management sítě. Toto dílčí řešení zvyšuje celkovou míru zabezpečení celého IS MS Zone VLAN Databázové Aplikační Webové Management Terminálové služby servisní Povolený typ komunikace Aplikace Port 1 x x 2 x X ASP.NET x x SSH, WEB 22, Příklad komunikační matice Další role, která bude na interní FW kladena, je zabezpečení komunikace mezi primární a zálohovací lokalitou. Mezi FW v jedné a druhé lokalitě bude vytvořen site to site VPN tunel zabezpečený IPSECem. Nutnost vytvoření zabezpečeného SSL tunelu klade vysoké nároky na HW konfiguraci firewallu. Pro zajištění replikace dat do záložní lokality v minimálním čase je požadována propustnost SSL linky min. 8 Gbit/s. Vzhledem k tomu, že firewall služby jsou velmi důležité pro funkčnost systému, budou provozovány v režimu vysoké dostupnosti. Tím je myšleno, že firewally budou tvořit cluster typu active passive s možností přepnutí do active active režimu. Oba firewally budou mít stejnou konfiguraci a budou vystupovat jako jeden logický celek. Pro zajištěné konektivity do všech části sítě je nutné, aby každý FW měl k dispozici min. 8x 10Gbit/s rozhraní typu SFP+. S1_P1_Technická specifikace díla Strana

68 Dodávané FW musí provozovat i virtuální firewally, které jsou zcela izolovány od konfigurace a pravidel fyzického boxu. Jednotlivým virtuálním FW je možné přiřadit externí porty fyzického boxu a tak bude možné provést kompletní izolaci FW řešení testovacího a produkčního prostředí. Navíc každý server je vybaven v základní instalaci vlastním firewallem, který bude nakonfigurován tak, aby zvyšoval bezpečnost operačního systému na úrovni portů a přístupu k nim. K zajištění maximální možné bezpečnosti bude firewall doplněn o IPS modul, který bude nezávislý na použité IPS/IDS sondě. K dispozici tedy budou dvě nezávislá sofistikovaná řešení IPS Firewallové služby jsou ve své podstatě nedílnou součástí zabezpečovací infrastruktury všech informačních systémů. Pro jejich správné fungování je potřeba instalace nových aktualizací operačního systému firewallu a databázi zranitelností využívajících IPS modulem. Pro zajištění správné funkčnosti IPS sond, je nutná pravidelná aktualizace operačního systému sondy včetně databáze známých zranitelností. Většina výrobců IPS/IDS analyzuje provoz ve veřejných sítích a pružně vydává balíčky s popisem nekalé komunikace. Tyto balíčky jsou automatizovaně nahrávány do sondy, která je připravena na případný útok. Zachycená infiltrace je logována IDS částí sondy a uložena pro další případné zpracování. IPS bude provádět kompletní inspekci paketů až po 7. (aplikační) vrstvu a bude čistit internetový nebo intranetový provoz od virů, červů, trojských koní, chránit vnitřní síť a zdroje demilitarizované zóny před útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), před útoky využívajícími otevřených zadních vrátek, škodlivými aplikacemi kradoucími pásmo i před různými smíšenými útoky. Bude nasazena jako univerzální síťová brána, schopná rozpoznat útok na vybraný port s charakteristickou signaturou (v rozsahu databáze IPS sondy) a přijmout stanovené protiopatření jako ochranu při nalezení takového útoku. IPS bude chránit síťovou infrastrukturu blokováním útoků proti routerům, přepínačům, DNS serverům a dalším. Technologie bude využívat paralelní zpracování filtrů, a bude proto disponovat výkonovými parametry s minimálním zpožděním, které umožňuje in-line nasazení.. Rychlé zpracování a nízké zpoždění umožňuje nasazení i v prostředích, kde se provozují real time aplikace, které jsou velmi náchylné na zpoždění dat. Nezávislé testy potvrzují průměrné zpoždění menší než 80 mikrosekund. Odstranění škodlivých toků tak má minimální vliv na tok dat aplikací Přesná specifikace bude upřesněna v návaznosti na dodávaná řešení. Typ prvku Porty Počet Rychlost Typ rozhraní Role prvku HA režim Počet prvků IPS 6 1 Gbit/s RJ-45 Security datové komunikace Ano bypass 1 S1_P1_Technická specifikace díla Strana

69 Typ prvku Porty Počet Rychlost Typ rozhraní Role prvku HA režim Počet prvků Balancer 6 1 Gbit/s - Balancer SSL akcelerátor Aplikační Firewall Ano 4 Firewall Gbit/s 1 Gbit/s RJ-45 SFP Firewall Zone Based Firewall IPSEC VPN 8 10 Gbit/s SFP+ IPS Ano 3 Požadované minimální vlastnosti prvků: Prvek IPS Porty Velikost Provedení Požadavek Podpora: RJ-45 10/100/1000Base-T Gigabit SFP (1000Base-T; 1000Base-SX; 1000Base-LX) 10 GbE SFP+ (10GBase-SR; 10GBase-LR; 10GBase-DAC (Direct Attach)) 40 GbE QSFP+ Max 2U v 19" rozvaděči Modulární, s Hot swap výměnou modulů Napájecí zdroj 2x AC 230V napájecí zdroj s volitelnou možností použití DC - 48V zdroje Latence Propustnost Inspekce Propustnost - pro provoz obcházející inspekci Počet současně navázaných sessions Méně než 40 μs 3 Gb/s 40 Gb/s 30 milionů Počet nových sessions za sekundu Počet kontextu zabezpečení Vysoká dostupnost páru zařízení Podpora L2 Fallback Integrovaná podpora Zero Power Schopnost páru IPS zařízení pracovat v Active-Active módu v případě interní chyby software, nebo zahlcení systému, systém musí v případě problému být transparentní a neblokovat provoz Systém musí v případě problému být transparentní a S1_P1_Technická specifikace díla Strana

70 Prvek High Availability (ZPHA) pro optické i metalické porty Management Komunikační protokoly Požadovaná inspekce transportních systémů Bezpečnost Podpora asymetrických linek Podporované transceivery Management IPS Požadavek neblokovat provoz Management Server Command line interface Syslog, Syslog NG, podpora CEF protokolu pro Syslog/Syslog NG Webový prohlížeč Management information base (MIB) Identicka podpora IPv4 i IPv6 s výhradním použitím zabezpečených protokolů pro management VLAN 802.1Q, VLAN QinQ 802.1ad, GRE, MPLS, VPLS, IPv4, IPv6 Hloubková aplikační inspekce s aplikační a obsahovou kontrolou Automatická ochrana k omezení tzv. zero day vulnerabilities Automatická aktualizace filtrů minimálně jednou týdně Geolokace, integrace a Active Directory, Metadata, Reputační databáze Možnost vytváření vlastních filtrů Možnost importu signatur komunity SNORT Zázemí vlastního bezpečnostního výzkumného týmu Schopnost provádět inspekci na distribuovaných linkách, které nepracují v symetrickém módu ( EtherChannel, LACP, ECMP a podobně) 1G SFP LC LX Transceiver 1G SFP LC SX Transceiver 1G SFP RJ45 T Copper 10G SFP+ LC SR 10G SFP+ LC LR Počet spravovavaných IPS Min. 20 Velikost Firewall 40G QSFP+ SR4 850nm Max. 1U v 19 rozvaděči Porty 2x RJ-45 10/100/ x Gigabit SFP S1_P1_Technická specifikace díla Strana

71 Prvek Napájecí zdroj Paměť Latence Propustnost (1518/512/64 byte UDP pakety) Počet současně navázaných sessions Požadavek 8x SFP+ 10 GbE 2x napájecí redundantní zdroj 64 GB 5 μs 40 Gbps 9 milionů Počet nových sessions za sekundu Podpora virtualizace Ano Počet Firewall politik IPSEC VPN propustnost Gateway Gateway IPSEC VPN tunelů 16 Gbps 9000 Client Gateway IPSEC VPN tunelů SSL VPN propustnost IPS propustnost 500 Mbps 6 Gbps Podpora virtuálních FW Ano min. 10 Vysoká dostupnost Velikost Aktiv Aktiv Max. 2U v 19 razvaděči U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Hardware Software Pořízení 1x IPS dle uvedené specifikace Pořízení 2x FW dle uvedené specifikace Pořízení 2x NetScaler MPX 5550 Platinum Edition včetně roční Silver Maintenance NetScaler MPX 5550 Případné licence na požadované funkcionality, jsou-li vyžadovány S1_P1_Technická specifikace díla Strana

72 Implementační služby Instalace a konfigurace NetScaler MPX 5550 Instalace do Racku - zapojení Základní nastavení - oživení Konfigurace IPS - vytvoření pravidel Konfigurace IPS - monitoring Konfigurace balancer, SSL akcelerátor, aplikační FW Konfigurace balancer, SSL akcelerátor, aplikační FW - HA Konfigurace balancer, SSL akcelerátor, aplikační FW L7 Konfigurace balancer, SSL akcelerátor, aplikační FW - monitoring Konfigurace interní FW Konfigurace interní FW - HA Konfigurace interní FW - routing Konfigurace interní FW - zone based access Konfigurace interní FW - vytvoření pravidel DMZ Konfigurace interní FW - IPSEC VPN Konfigurace interní FW monitoring Hardware Software Pořízení 1x FW dle uvedené specifikace Případné licence na požadované funkcionality, jsou-li vyžadovány Implementační služby Instalace do Racku - zapojení Základní nastavení - oživení Rekonfigurace stávajících 2x CITRIX NetScaler Konfigurace balancer, SSL akcelerátor, aplikační FW Konfigurace balancer, SSL akcelerátor, aplikační FW - monitoring Konfigurace interní FW Konfigurace interní FW - Routing Konfigurace interní FW - zone based access Konfigurace interní FW - vytvoření pravidel DMZ Konfigurace interní FW - IPSEC VPN Konfigurace interní FW monitoring Pro obě lokality bude Dodavatel vycházet z následujících skutečností: Konfigurace interního FW bude obsahovat cca 300 pravidel. Přesný rozsah bude dán na základě implementačního projektu ve spolupráci s bezpečnostním dohledem a Provozovatelem Aplikace MS2014. Předpokládaná náročnost konfigurace balancer, SSL akcelerátor, aplikační FW bude cca 20 MD. S1_P1_Technická specifikace díla Strana

73 4. Management služby budou primárně vybudovány na produktech System Center od společnosti Microsoft. V následující části je popsána implementace jednotlivých komponent System Center Jednou z nejrychleji se rozvíjejících oblastí je serverová virtualizace. Dostupnost, rychlost a snadné nasazení virtuálních počítačů vytváří prostředí, které má obrovskou dynamiku a bez dobrého managementu je jeho správa obtížná či téměř nemožná. Nasazením SCVMM dojde k výrazné zjednodušení vytvoření, nasazení a migrace nových virtuálních strojů System Center Virtual Machine Manager 2012 (SCVMM) bude sloužit ke komplexní správě virtuálních prostředí založených na MS technologiích Hyper-V. Díky tomu, že se na každý Hyper-V host nainstaluje SCVMM agent, pak veškerá správa a administrace virtuálních počítačů bude prováděna z jednoho místa pomocí SCVMM management konzole. Samotný produkt se skládá z těchto částí: SCVMM Server je samostatný program, skrze který všechny SCVMM komponenty komunikují. Samotný SCVMM Server poběží na aplikačním serveru SC13. Pro ukládání dat a nastavení používá Virtual Machine Manager SQL databázi. Pro tyto účely bude vytvořen databázový server v primárním pracovišti IS MS Předpřipravené virtuální stroje, virtuální harddisky, ISO image a další soubory budou uloženy v Library. Library je defaultně umístěna na serveru s SCVMM. Vzhledem k požadavkům na prostor však bude jako Library využita sdílená složka na souborovém serveru v dohledovém pracovišti IS MS Samotné virtuální počítače poběží na Hyper-V Hostech. Konzole SCVMM bude nainstalována na terminálovém serveru v dohledovém pracovišti, případně na stanicích pracovníků obsluhy Bezpečnost bude založena na uživatelských rolích. Každému uživateli nebo skupině uživatelů budou delegována práva pro vytváření a práci s virtuálními stroji. Přístup k virtuálním počítačům přes konzoli bude umožněn pomocí SCVMM konzole i konzole webové. Komunikace prohlížeče s webovým serverem bude probíhat pomocí zabezpečeného protokolu SSL. Komunikace mezi SCVMM serverem a Hosty bude probíhat šifrovaně. S1_P1_Technická specifikace díla Strana

74 Proaktivní správa a monitoring informačního systému je důležitá součást každého informačního systému. Dnešní moderní aplikace využívají ke svému chodu několik komponent jako např.: databáze, webové služby, síťové prvky, atd. Tudíž pro zajištění funkčnosti, je třeba aktivně monitorovat i ty komponenty, které tato aplikace využívá System Center Operations Manager 2012 (SCOM) poskytuje end-to-end dohled aplikací a IT služeb v rámci celého IT prostředí (sítě, hardware, OS, software ). Nasazením SCOM bude správa a monitoring celého prostředí zjednodušeny na jednu konzoli. Základním funkčním prvkem SCOM bude agent instalovaný na spravovaná zařízení (servery). Tento agent zajišťuje sběr dat z monitorovaných počítačů a jejich následné přeposlání na SCOM management servery. Pomocí agentů lze provádět i předpřipravené zásahy (reakce) na vzniklé události. Celý SCOM bude rozdělen na několik funkčních komponent: Management Servery (MS) Všechny management servery, zasílá a přijímá data od agentů, viz dále. Tato role bude implementována na servery SC11 a SC14. Operations Database Server Operační data SCOM jsou uložena v centrálním uložišti v Operační Databázi. Agent komponenta slouží k monitorování serverů a klientů. Jedná se o Windows službu, která běží na spravovaných serverech a klientech. Agenti komunikují s RMS i MS servery. Console SCOM konzole je jediná aplikace potřebná k interakci SCOM a administrátorů či operátorů. Všechny konzole se připojují přímo k RMS i v případě, že jsme do prostředí doinstalovali další MS. Pro některé úkony je možno použít i Web Console určena pouze pro monitoring. Web Console Server Jakýkoliv SCOM management server, na kterém běží i IIS web service může hostovat Web Console Server. Pro funkci Web-Console je tento server nepostradatelný. Gateway Server Komunikační uzel pro agenty, kteří jsou umístěni na počítačích v DMZ. Tito agenti komunikují pouze s GW serverem a tento potom skrze zabezpečenou komunikaci s management servery v interní síti. Tato role bude implementována na servery APPGW11 Reporting Data Warehouse Server Data Warehouse ukládá úhrnná historická data, která jsou starší než několik hodin či dní. Bez Data Warehouse by SCOM prezentoval pouze realtime nebo nedávná data dostupná v Operation Database. Reporting Server Tato komponenta bude generovat reporty. Musí běžet na serveru, kde jsou nainstalovány SQL Reporting Services. Reporty, generuje samotný Reporting server, a proto SCOM Console při požadavku na generování reportů kontaktuje přímo tento server. Tato role bude implementována na stejný server, na kterém bude implementována operační DB Audit Database Server Auditní databáze pro uchování bezpečnostních událostí. Security events ze spravovaných počítačů jsou uloženy v této databázi a mohou být použity pro reporty. S1_P1_Technická specifikace díla Strana

75 Audit Collector Tento server sbírá data od audit collection-enabled agentů. Audit Collector musí běžet na management serveru. Funkce celého SCOM závisí na dostupnosti management serverů a Operační Databáze. Z tohoto důvodu obě komponenty poběží v clusterovaném prostředí, databáze v režimu fail-over a management servery v režimu aplikačního load balancingu. Vybrané události generované SCOM budou přenášeny do ServiceDesku, kde budou na základě definovaných pravidel generovány incidenty Veškeré služba a prvky budou monitorovány. Jedná především o následující služby: Databázové služby MS SQL, Oracle Webové služby Terminálové služby Služby vzdáleného přístupu Clusterové služby Antivirové a antispamové služby Virtualizační služby Poštovní služby Platforma OS Adresářové služby Souborové služby Časové služby DNS služby Jednotný datový prostor (SAN) Serverové stanice HSM Služby Pro každou službu bude dohrán příslušný management pack včetně příslušných navazujících management pack. V rámci nasazení každého managementu packu bude provedena základní analýza nasazení, kde budou nadefinovány jednotlivé události, které mají být vyhodnocovány a následně eskalovány do service desku nebo jiným způsobem. Zároveň bude nastaveno, jaké výkonnostní parametry budou pravidelně sledovány a vyhodnocovány. Součástí implementace každého managementu packu bude i specifikace jaké hodnoty jsou změněny oproti defaultní hodnotě. Tyto odchylky budou následně zaznamenány do konfigurační databáze v rámci Service desku. V rámci nasazení management packů pro jednotlivé prvky bude stanovena tzv. base line, kterou budou stanoveny hranice, kdy je prvek provozován v standardním prostředí. V případě, že dodané HW prvky nemají vlastní management pack, budou monitorovány prostřednictvím SNMP rozhraní. Do prostředí SCOM bude nahrán universální management pack pro SNMP. Požadovaný rozsah je implementace přibližně 80 management packů a předpokládaným rozsahem implementace na jeden management pack přibližně 1 MD. Po dokončení implementace jednotlivých management packů budou v rámci SCOM vytvořeny distribuované systémy (aplikace), které budou zajišťovat komplexní vyhodnocování dostupnosti S1_P1_Technická specifikace díla Strana

76 vybraných aplikačních a systémových služeb. Požadovaný rozsah implementace je 40 distribuovaných systému s časovou náročností 1-2 MD. Upřesnění požadavků Objednatele na některé výše uvedené monitorované služby uvádí následující kapitoly: Monitoring zálohovacích služeb Monitoring zálohovacích služeb bude řešen centrálně prostřednictvím primární lokality, kde bude nainstalována centrální zálohovací konzole, která bude mít přehled o provedených zálohách v rámci centrálního zálohovacího SW ve všech lokalitách. Samotnou úspěšnou zálohu dat či archivu na páskovém médiu, provedenou zálohovacím softwarem IBM Tivoli Storage Manager, bude ověřována ze zálohovacího logu, který je odesílán em Backup Administrátorovi a zároveň je log ukládán v textové podobě, na předem definovaném místě k archivaci, pro potřeby dodržení např. norem ISO Navíc bude nastaven tzv. Advanced Reporting IBM Tivoli Storage Manager, pro generování statistických údajů. Například o úspěšnosti zálohování informačního systému či zjištění hodnoty nárůstu zálohovaných dat, v určitém časovém intervalu. Všechny ostatní logy (informativní, varování a chyby) aplikace IBM Tivoli Storage Manager bude zpracovávat a vyhodnocovat software System Center Operations Manager a jejich výsledky bude zasílat prostřednictvím u. Monitoring zálohování virtuálních počítačů provozovaných ve virtualizačním prostředí Microsoft Windows Server musí být schopen zasílat Backup Administrátorovi s výsledky zálohy VM. Zálohy budou kontrolovány denně Backup Administrátorem a záznam o provedení kontroly zálohy bude uložen v rámci Servisdesku, kde bude jasně viditelné, kdy a kdo prověřil provedení záloh. V případě nestandardní situace nebo chybně provedené zálohy bude uveden záznam s výsledkem a následným nápravným opatřením. Vše bude zaznamenáno v rámci incident managementu. Samozřejmě k nedílné součásti monitoringu zálohovacích služeb patří namátkové ověření funkčnosti archivu na páskovém médiu, prováděné formou zkušební obnovy dat Monitoring síťové a bezpečnostní infrastruktury Monitoring a konfigurace jednotlivých systémů budou primárně prováděny nativními nástroji jednotlivých výrobců implementovaného řešení síťové infrastruktury. Bezpečnostní služby přímo souvisí se síťovými službami, proto bude z důvodu centrálního monitoringu sledován stav jednotlivých zařízení v centrální konzoli, která bude využívána i pro síťové služby. Jednotlivé systémy budou umožňovat zasílání kritických chyb prostřednictvím ových či SMS zpráv správcům infrastruktury. Celá infrastruktura MS2014+ bude monitorována operátory pomoci aplikace System Center Operation Manager, součástí implementace monitoringu bude zajištění zasílání stavů i do této aplikace. Přesný rozsah implementovaných monitorovaných událostí bude upřesněn na základě vstupní analýzy. Předpokládaný rozsah implementace bude v rozsahu standardní implementace s možností konfigurace minimálně 50 specifických monitorovaných událostí Monitoring služeb vzdáleného přístupu S1_P1_Technická specifikace díla Strana

77 Přídavným modulem do Microsoft System Center Operations Manageru lze provádět monitorování dostupnosti webové služby Citrixu WebInterface. Dalšími monitorovacími algoritmy Operations manageru bude prováděno monitorování jednotlivých zásadních komponent, jako je např. dostupnost terminálového, databázového, licenčního a ověřovacího serveru pomocí vzdáleného přístupu Monitoring clusterových služeb Monitoring služeb provozovaných v clusterovém režimu bude proaktivně provádět i NetScaler, který na základě dostupnosti klíčových služeb provede přesměrování požadavků do primární nebo záložní lokality. U clusterových služeb je důležité, v jakém stavu se clusterová služba nachází. Bude monitorován stav služby, síťovou komunikaci nodu a další parametry související s clusterovou službou Monitoring antivirového řešení Antivirové služby budou vybaveny také systémem centrální správy a reportingu. U antivirových služeb je nutné monitorovat, zda dochází k pravidelnému upgradu virové definice. Dále je nutné, v případě nalezení virové infiltrace, zajistit informování systémového správce. Všechny tyto kroky bude zajišťovat produkt Microsoft SCOM Monitoring SCVMM Monitorování systému SCVMM bude realizováno propojením s monitorovacím systémem System Center Operations Manager. Veškeré události a stavy systému SCVMM budou zaznamenávány a v případě potřeby vyhodnocovány s následným provedením opravné nebo informativní akce Monitoring SCOM Monitorování systému SCOM bude realizováno v podstatě samo sebou, tedy monitorovacím systémem System Center Operations Manager. Pro případ selhání monitorovacího systému SCOM bude však toto monitorování doplněno samostatnými procesy pro sledování dostupnosti počítačů a služeb. Veškeré události a stavy systému SCVMM budou zaznamenávány a v případě potřeby vyhodnocovány s následným provedením opravné nebo informativní akce Monitoring souborových služeb Monitorováním stavu souborových služeb rozumíme sledování klíčových parametrů těchto služeb. Jedním z klíčových parametrů je například dostatečná kapacita pro ukládání nových souborů. V tomto případě lze definovat hranici, při které systém s docházející kapacitou na konkrétním diskovém prostoru dokáže o tomto stavu informovat HW administrátora. Dále bude monitorován stav konzistence souborů, na kterých je aplikována služba DFRS Distributed File Replication Service. Konzistence těchto souborů je důležitá pro zachování pořádku v souborových službách a tím pádem větší přehlednosti a funkčnosti jako celku. 1x denně bude generován report s aktuálním stavem replikovaných složek a případných problémů Monitoring jednotného datového prostoru Každé diskové pole bude vybaveno inteligentními testovacími proaktivními algoritmy, které dokáží odhalit chybu v diskovém subsystému ještě před tím, než prakticky nastane a patřičně na tento fakt S1_P1_Technická specifikace díla Strana

78 upozorní správce infrastruktury. Disková pole budou vybavena monitorovacím rozhraním, z něhož je možné získávat veškeré informace týkající se stavu diskového subsystému včetně historických výkonnostních údajů. Výstupy monitorovacího rozhraní budou integrovány do SCOM Monitoring serverových stanic Serverové stanice jsou vybaveny systémem umožňujícím vzdálené monitorování stavu hardwaru a schopností včasně upozornit na případné selhání jednotlivých komponent systému. Výstupy monitoringu budou integrovány do SCOM Monitoring HSM Pro monitoring síťových HSM zařízení bude využito standardní rozhraní SNMP. Monitorovány budou základní provozní parametry: např. stav napájení zdrojů, teplota, otáčky ventilátorů, apod. Fungování HSM klienta bude průběžně logován na klientských stanicích do textových souborů, které budou následně integrovány a konsolidovány do centrálního monitoringu SCOM Bezpečnost bude managementu služeb založena na uživatelských rolích a přístupových oprávněních. Každému uživateli nebo skupině uživatelů budou delegována práva pro management a monitoring zařízení, počítačů a služeb v prostředí IS MS2014+ a dohledového pracoviště. Přístup k těmto informacím je zprostředkován pomocí System Center konzolí a nativních nástrojů na správu skupinových politik Spolupráce s Provozovatelem Aplikace MS2014+ Provozovatel aplikace MS2014+ bude mít práva k monitorovacímu systému, tak aby mohl provádět vlastní monitorování jednotlivých částí aplikací. Dodavatel bude na vyžádání Provozovatele aplikace rekonfiguraci vybraných monitorovaných aplikačních částí především ve vazbě na generování incidentů do ServiceDesku. S1_P1_Technická specifikace díla Strana

79 Centrální konfigurace informačního systému a jednotné nasazování aktualizací je nezbytné pro zachování konzistence a spolehlivosti IS Centrální konfigurace a aktualizace serverů s OS Windows bude prováděna prostřednictvím MS System Center Configuration Manager. Na všechny prvky bude naistalován agent pro SCCM. Centrální management sever bude nainstalován na server SC12 a APPGW Skupinové politiky budou nedílnou součástí řízené správy infrastruktury informačního systému. Za pomocí skupinových politik bude nasazována celá řada pravidel a zásad. Group Policy (Zásady skupiny) jsou rozšířením prostředí Microsoft Windows a jeho adresářových služeb. Group Policy budou nastavovat uživatelského prostředí Windows až po různá nastavení vztahující se na samotné počítače, servery. Každá zásada (balíček nastavení) bude správně zaměřena na požadovaný cíl. Cíl může být skupina uživatelů u uživatelských nastavení nebo skupina počítačů u nastavení určených pro počítače. Cílení bude filtrováno pomoci WMI filtrů, kdy můžeme například vynutit cílení pouze na serverových operačních systémech, případně jen na konkrétní verzi operačního systému např. Windows Server S1_P1_Technická specifikace díla Strana

80 4.5. V této části je uvedena specifikace prvků pro dohled a management služby Položka Verze Počet OS Licence Prvek Agent SCOM Agent SCCM 2012 Windows Server Microsoft Systém Center 2012 Standard Všechny servery s OS Windows, které jsou provozovány na POSE a nemají roli Hyper-V Agent SCOM, SCCM, SCVMM 2012 Windows Server Microsoft Systém Center 2012 Datacenter Všechny servery s OS Windows a rolí Hyper-V Management server pro SCOM, SCVM Windows Server Součást licence SC GPO 2012 Windows Server Součást licence OS Všechny řadiče domény Položka Verze Počet OS Licence Prvek Agent SCOM Agent SCCM 2012 Windows Server Microsoft Systém Center 2012 Standard Všechny servery s OS Windows, které jsou provozovány na POSE a nemají roli Hyper-V Agent SCOM, SCCM, SCVMM 2012 Windows Server Microsoft Systém Center 2012 Datacenter Všechny servery s OS Windows a rolí Hyper-V Management server pro SCOM, SCVM Windows Server Součást licence SC GPO 2012 Windows Server Součást licence OS Všechny řadiče domény S1_P1_Technická specifikace díla Strana

81 V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Pořízení 16ks licencí na MS System Center v edici Datacenter včetně SA Implementace a konsolidace jednotlivých produktů System Center. Nastavení centrálních politik Vytvoření a nastavení šablon na generování dostupnosti systému SCVMM 1x instalace a konfigurace centrálního management serveru Instalace a konfigurace SCVMM na všechny dodávané fyzické servery s OS Windows server 1x Instalace a konfigurace DB pro SCVMM 1x Vytvoření a konfigurace SC Virtual Library Instalace a konfigurace agentů na jednotlivé servery SCOM 2x Instalace a konfigurace SCOM serveru 1x Instalace a konfigurace DB pro SCOM Instalace a konfigurace agentů na všechny dodávané a instalované servery Práce s implementací managementu packů viz. kap SCCM 2x Instalace a konfigurace SCCM 2x Instalace a konfigurace DB pro SCCM Instalace a konfigurace agentů na jednotlivé servery na všechny servery s OS Windows Nastavení politik na jednotlivé skupiny prvků S1_P1_Technická specifikace díla Strana

82 Vzhledem k současnému stavu a s ohledem na možnosti integrace nativních služeb OS (autorizační, adresářové apod.) do aplikace MS2014+ byly jako serverový OS stanoveny platformy Windows server a Oracle Linux, uvedené v části specifikace prvků S ohledem na doporučení výrobců aplikačních SW bude na vybraných webových serverech operačním systému Oracle Linux. Pro zálohovací servery bude použit OS RedHat Linux. Pro virtualizaci Linuxového prostředí bude požit OS Oracle VM. Ostatní servery pak na platformě Microsoft Windows Server Datacenter Edition, ve verzi Edice Datacenter Windows serveru bude použita na fyzických serverech, na kterých jsou provozovány virtualizační služby. Externí uživatelé, kteří nejsou v žádné afilaci (dle definice Microsoft) s MMR, budou licenčně pokryti External Connector. Pro pracovníky MMR bude využita CAL, kterou již mají přiřazenou v rámci Enterprise Agreement se společností Microsoft Pro zabezpečení platformy OS Windows Server 2012, která bude v infrastruktuře zastoupena v největším počtu, bude použita doménová politika pro vynucení silných hesel pro účty v doméně i pro lokální účty. Samozřejmostí pro zvýšení zabezpečení systému jako celku je implementace centrálního systému instalace aktualizací a systémových záplat, které oficiálně vydává společnost Microsoft viz kapitola věnovaná Configuration manager Primární lokalita: Platforma Verze Počet Výrobce Poznámka Open source - Linux Red Hat Enterprise Linux Server 1 RedHat Zálohování Open source - Linux Linux Basic Limited 4 ORACLE Weblogic Open source - Linux Oracle VM Premier Limited Support 2 ORACLE Virtualizace Linux Windows server 2012 Datacenter Edition 14 Microsoft External connector Microsoft S1_P1_Technická specifikace díla Strana

83 Testovací a zálohovací lokalita: Platforma Verze Počet Výrobce Poznámka Open source - Linux Red Hat Enterprise Linux Server 1 RedHat Zálohování Open source - Linux Linux Basic Limited 2 ORACLE Weblogic Windows server 2012 Datacenter Edition 2 Microsoft External connector Microsoft V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Pořízení 14 ks licencí na MS Windows server v edici Datacenter včetně SA Pořízení 8 ks licencí na MS External connector včetně SA Pořízení 4 ks licencí Oracle Linux Basic Limited Pořízení 2 ks licencí Oracle VM Premier Limited Support Pořízení 2 ks licencí Red Hat Enterprise Linux Server 14x Instalace a konfigurace OS na fyzické servery 60x Instalace a konfigurace OS na virtuální servery Nastavení centrálních politik Vytvoření a nastavení šablon na generování dostupnosti systému S1_P1_Technická specifikace díla Strana

84 Mezi nejdůležitější služby informačního systému patří adresářové služby. Tyto služby musí splňovat základní standardy. Obecně přijímané standardy jsou RFC dokumenty vydávané IETF. Jedná se o následující RFC dokumenty [RFC2252]; [RFC 3377] Lightweight Directory Access Protocol (v3): Technical Specification. Základním kamenem bezpečnosti každého IS je vynucená autorizace a autentizace při přístupu ke zdrojům IS. Cílem je, aby uživatel při přístupu k danému zdroji (službě, aplikaci, datům apod.) byl nucen se odpovídajícím způsobem autorizovat. Jedním z nejčastějších způsobů autorizace je zadání uživatelského jména a hesla. Tato uživatelská jména a hesla jsou v šifrované podobě ukládána do speciálních databází adresářů ms2014.cz FAMA+ ITSM Primární Zálohvací ISS01 ISS02 ISS11 mssf.cz testovaci / skolici ISS ISS Interní doména vyvoj Doména EDMZ edmz.mssf.cz edmz.ms2014.cz testovaci / skolici primarni ESS ESS ESS11 ESS12 S1_P1_Technická specifikace díla Strana

85 Informační systém bude rozdělen do čtyř domén z důvodu zvýšení zabezpečení. Doména edmz.ms2014.cz bude sloužit primárně pro potřeby správy prvků v externí demilitarizované zóně. Hlavní doménou bude ms2014.cz, ve které budou zařazeny všechny prvky informačního systému IS MS Především zde budou uloženy veškeré uživatelské účty. Samostatně bude doména pro testovací prostředí mssf.cz a edmz.mssf.cz, které budou mít obdobné funkční vlastnosti jako produkční prostředí. Funkčnost adresářových služeb má kritický vliv na funkčnost celého informačního systému. S ohledem na požadavek na zajištění redundance budou adresářové služby implementovány v primární lokalitě na dvou prvcích a zálohovací lokalitě na jednom prvku. Veškeré prvky budou úzce spolupracovat. V produkčním prostředí se předpokládá provoz tří řadičů domény, přičemž jeden bude provozován jako doplňkový řadič domény, který bude provozován ve virtuálním prostředí pomoci technologie Hyper-V s vysokou dostupností služby zajištěnou pomoci Windows Server FailOverCluster v zálohovací lokalitě. Adresářové služby budou provozovány v prostředí Microsoft Windows server, kde jsou označovány jako Microsoft Active Directory Domain Services. Adresářové služby jsou založeny na kombinaci modelu Single-Master a Multi-Master (např. zřízení uživatelského účtu, skupiny, počítače, přejmenování, smazání apod.) jsou replikovány na zbývající instance adresářových služeb prostřednictvím replikačních služeb Microsoft Active Directory Domain Services Vzhledem k tomu, že adresářové služby obsahují informace o všech uživatelských účtech a heslech používaných v informačním systému, je nutné tyto záznamy chránit před zneužitím. Samotná data jsou v adresářích uložena v šifrované podobě. Každý typ uživatelských účtů bude mít vlastní politiku na hesla, aby pravidla pro délku, platnost a složitost hesel mohla být rozdílná pro jednotlivé typy. Tento požadavek je v souladu se Zadávací dokumentací. U služeb, které běží pod systémovými účty, bude využita technologie Managed Service Account, která bude v pravidelných intervalech měnit heslo systémového účtu bez výpadku dané služby. Pro zajištění co nejvyšší bezpečnosti bude replikace dat mezi jednotlivými řadiči domény v doménách probíhat v šifrované podobě pomoci technologie IPSEC Primární lokalita: Adresářová služba Prvek Úroveň funkčnosti domény Poznámka Microsoft Windows Server Active Directory Domain Services ISS01 Windows Server ISS02 Windows Server ESS11 Windows Server 2012 DMZ S1_P1_Technická specifikace díla Strana

86 Adresářová služba Prvek Úroveň funkčnosti domény Poznámka ESS12 Windows Server 2012 DMZ Zálohovací lokalita: Adresářová služba Prvek Úroveň funkčnosti domény Poznámka Microsoft Windows Server Active Directory Domain Services ISS11 Windows Server Testovací pracoviště: Adresářová služba Prvek Úroveň funkčnosti domény Poznámka ISS11-TST Windows Server Microsoft Windows Server Active Directory Domain Services ISS12-TST Windows Server SF-ESS01-MMR Windows Server 2012 DMZ SF-ESS02-MMR Windows Server 2012 DMZ SF-ESS11-MMR Windows Server 2012 DMZ Prvky SF-ESS01-MMR; SF-ESS02-MMR; SF-ESS11-MMR jsou zařízení Objednatele, zajišťující adresářové služby v současnosti, a nejsou předmětem plnění Dodavatele dle této Přílohy č. 1 Smlouvy o dílo ani předmětem správy a provozu dle Přílohy č. 1 Servisní smlouvy V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno Vytvoření dvou domén (ms2014.cz ; edmz.ms2014.cz) 5x Instalace a konfigurace řadičů domény Vytvoření a příslušných organizační jednotek a nastavení delegování oprávnění Nastavení AD site Nastavení centrálních politik S1_P1_Technická specifikace díla Strana

87 Jednou ze základních potřeb informačního systému je bezpečné uložení dat a jejich sdílení mezi uživateli a servery navzájem. Návrh řešení, jak a jakým způsobem realizovat sdílení dat, která jsou ve formě souborů, přináší tento oddíl Souborové služby Pro umístění a opětovný přístup k souborům bude IS MS2014+ využívat standardní souborové služby OS Windows Server Souborové služby budou primárně uloženy na serverech FS11 a FS12 v dané síti a přistupovat se bude přes jmenný prostor (namespace) Distributed File System (DFS), které budou uloženy na všech řadičích domény. Přístup k souborovým službám požadujeme realizovat prostřednictvím centrálního bodu - \\ms2014.cz\shares, který bude řešen jako doménový jmenný DFS kořen (namespace root). Tento kořen zajistí přístup k jednotlivým datovým oblastem. Ty budou následně prostřednictvím DFS cesty mapovány jednotlivým administrátorům IS jako logické disky pod příslušné písmeno z abecedy. Mapování bude prováděno pomocí zásad systémové politiky. DFS jmenný prostor bude obsahovat jednak běžné DFS složky tak i DFS složky s odkazem. Přesné rozdělení složek bude upřesněno v rámci implementace. Většina dat bude replikována mezi jednotlivými servery. Pro replikace souborů bude využita služba DFS replikace souborů (Distributed File System Replication, DFSR) tak, aby byla zajištěna vysoká dostupnost dat. Využití se předpokládá především pro webové služby. Zdali složka bude fungovat způsobem PUSH nebo PUSH/PULL bude dáno konkrétním požadavkem aplikace či služby. Tím bude zajištěna konzistence dat mezi jednotlivými lokalitami. Bližší specifikace jednotného datového úložiště je popsána v samostatné kapitole Jednotné datové úložiště. DFS replikace tedy bude zajišťovat vzájemnou replikaci souborových dat mezi primární (prvky FS11, FS12) a zálohovací lokalitou (prvky FS11-TST, FS12-TST). Datový prostor určený pro souborové služby navrhujeme s ohledem na potřeby IS rozdělit na následující datové oblasti: APPLICATIONS jedná se o oblast určenou pro uložení souborových dat aplikačních služeb IS a to jak instalačních, tak i datových souborů, v případě, že se nachází v souborové formě INSTALL oblast určená pro uložení všech základních instalací tak, aby byly ve velmi krátké době k dispozici administrátorům. TEMP jedná se o oblast určenou pro dočasné uložení souborů a složek. Tato oblast bude podléhat pravidelnému čištění. Data starší jednoho týdne od jejich uložení budou odstraněna. BACKUP oblast určená pro uložení všech záloh prováděných na souborový systém. S1_P1_Technická specifikace díla Strana

88 K zabezpečení souborových služeb bude použita metoda ověřující nastavení oprávnění na systému souborů NTFS. Filozofie nastavení těchto oprávnění bude založena na potřebě zamezit neoprávněným přístupům k jakékoliv složce nebo souboru uložených na souborových oblastech. Oprávnění pro čtení a zápis tak bude definováno takovým způsobem, aby umožňovala přístup pouze autorizovaným a autentizovaným uživatelům a službám IS MS Pro zajištění možnosti obnovitelnosti dat v případě neplánované ztráty požadujeme na systému nasadit technologie stínových kopií. Tato technologie bude provádět automatické zálohování souborů na souborových oblastech tak, aby bylo možné se vrátit ke starším verzím souborů bez nutnosti složitějších operací, jako je například obnova souborů ze záloh uložených na jiných médiích, např. magnetické pásky Primární lokalita: Prvek Režim Poznámka FS11 Virtual server - FS12 Virtual server - Testovací prostředí: Prvek Režim Poznámka FS11-TST Virtual server - FS12-TST Virtual server Monitorováním stavu souborových služeb rozumíme sledování klíčových parametrů těchto služeb. Jedním z klíčových parametrů je například dostatečná kapacita pro ukládání nových souborů. V tomto případě lze definovat hranici, při které systém s docházející kapacitou na konkrétním diskovém prostoru dokáže o tomto stavu informovat HW administrátora. Dále bude monitorován stav konzistence souborů, na kterých je aplikována služba DFRS Distributed File Replication Service. Konzistence těchto souborů je důležitá pro zachování pořádku v souborových službách a tím pádem větší přehlednosti a funkčnosti jako celku. Všechny tyto parametry budou monitorovány pomocí nástrojů systémového managementu popsaného v kapitole Management služby. 1x denně bude generován report s aktuálním stavem replikovaných složek a případných problémů V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: S1_P1_Technická specifikace díla Strana

89 Není požadováno Není požadováno Instalace a konfigurace souborových služeb v režimu fail over clusteru Instalace a konfigurace DFSN Instalace a konfigurace DFSR Nastavení reportů vztahujících se k souborovým službám S1_P1_Technická specifikace díla Strana

90 Časové služby patří k podpůrným a klíčovým službám operačního systému. Jejich funkcí je udržovat správný aktuální čas na všech prvcích informačního systému. Pokud nebude systémový čas shodný na všech prvcích, budou nastávat problémy s ověřováním klientů a služeb vůči adresářové službě, zároveň budou nerelevantní časová razítka od interní certifikační autority. Interní časová razítka bude vydávat interní certifikační autorita, která bude ve správě dodavatele aplikace MS Nesprávné fungování časových služeb může mít za příčinu nefunkčnost části informačního systému nebo znehodnocení informací v něm uložených. Pro bezpečnost a správnost časových údajů je nutné časové služby synchronizovat proti spolehlivému zdroji časových údajů dohledové záložní Interní PDC primární PDC Testovací Interní-test záložní PRODUKČNÍ LOKALITA Bezpečnostní infrastruktura zadavatele NTP NTP TESTOVACÍ LOKALITA PDC EDMZ EDMZ-TEST PDC Zdroj času Internet NTP primární NTP záložní S1_P1_Technická specifikace díla Strana

91 Synchronizaci lze rozlišit na externí, zdroj v internetu nebo hardwarové hodiny, a interní. V našem případě bude interní synchronizace integrovaná v Active Directory. Jako zdroj pro externí synchronizaci bude zvolen zdroj času poskytnutý z CMS. Pro zajištění správných časových údajů v doméně ms2014.cz bude použit zdroj času z bezpečnostní infrastruktury. Tato bude synchronizována proti NTP serveru stanoveným Zadavatelem nebo přímo důvěryhodný zdroj v internetu. Z důvodu vyššího zabezpečení bude synchronizace probíhat ve dvou úrovních. V první fázi dojde k synchronizaci časové služby v bezpečnostní infrastruktuře. Ve druhé fázi bude probíhat synchronizace domén a ostatních zařízení z bezpečnostní infrastruktury. Časová služba bude provozována na řadičích domény. Vzhledem k tomu, že záložní řadiče domény v lokalitě budou provozovány ve virtuálním prostředí, bude nutné vypnout na těchto virtuálních serverech časovou synchronizaci se zdrojem integration services. Poté co obdrží primární řadič domény platné časové údaje, dojde k automatické synchronizaci s ostatními řadiči domény v dané doméně. Všechny servery, které jsou členy domén, budou automaticky dostávat platné časové údaje pomoci integrované synchronizace s AD. Ostatní servery a prvky, které nebudou členy ActiveDirectory domény, budou mít jako časový zdroj nakonfigurován primární řadič dané domény Produkční prostředí: Časová služba Prvek Typ Synchronizace Poznámka ISS01 NTP PDC Microsoft Windows Server 2012 Windows Time ISS02 NT5DS - ISS11 NT5DS - ESS11 NTP PDC ESS12 NT5DS - Testovací prostředí: Časová služba Prvek Typ Synchronizace Poznámka ISS11-TST NTP PDC Microsoft Windows Server Windows Time ISS12-TST NT5DS - ESS01-TZ NTP PDC ESS02-TZ NT5DS - ESS11-TZ NT5DS - S1_P1_Technická specifikace díla Strana

92 Prvky ESS01-TZ, ESS02-TZ, ESS11-TZ nejsou předmětem implementace a správy. Jedná se o externí zdroje přesného času, které Zadavatel uvedl pouze za účelem informace, vůči kterým zdrojům bude dodavatel konfigurovat časové služby V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno Instalace a konfigurace NTP serveru na FW Instalace a konfigurace NTP serverů v jednotlivých doménách Konfigurace PDC Vytvoření doménových politik na synchronizaci času Nastavení synchronizace času na všech prvcích mimo doménu S1_P1_Technická specifikace díla Strana

93 Další systémovou službou, která je nezbytná pro správné fungování aplikačních služeb, je služba DNS. Tato služba obhospodařuje jmenný prostor sítě a zajišťuje hierarchizovaný překlad logických názvů na tzv. IP adresy. V IPv4 adresa je 32 bitové číslo a v IPv6 128 bitové číslo, které zajišťuje jednoznačnou identifikaci každého počítače komunikujícího prostřednictvím TCP/IP protokolu v síti. S ohledem na síťové služby (adresaci sítě a struktura jmenného prostoru) budeme rozlišovat DNS služby na: Interní - zajišťují překlad privátních adres v doménách (ms2014.cz, test.ms2014.cz a DMZ) Externí zajišťuji překlad veřejně dostupných adres pro koncové uživatele systému. Aby nedošlo k podstrčení záznamů, musí být chráněny DNS SEC (Domain Name System Security Extensions). DNS SEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. Pro potřeby vnitřní sítě bude v souladu s architekturou adresářových služeb implementována domény ms2014.cz; edmz.ms2014.cz; mssf.cz; edmz.mssf.cz. Interní DNS služby budou vždy integrované v Active Directory. DNS služby budou provozovány jak ve virtuálním prostředí, tak i na fyzických nodech clusteru. Jako hlavní DNS server bude nastaven jeden DNS server v dané lokalitě provozovaný na fyzickém serveru. Jako záložní DNS server bude nastaven server z dané lokality provozovaný ve virtuálním prostředí. Jednotlivé interní DNS servery budou sloužit pouze pro potřeby interních systémů a vzájemného překladu. Aby interní jmenné servery mohly překládat názvy z internetu, budou mít vybrané servery přístup k externím jmenným serverům. Těmto externím NS budou předávány jednotlivé dotazy pro rekurzivní překlad. Tyto externí jmenné servery musí být dostatečně důvěryhodné a bezpečné. Přesný seznam serverů dodá Zadavatel v rámci implementační fáze Externí jmenný prostor je velmi malý, neboť obsahuje pouze ty systémy, které mají být přístupné z veřejné sítě Internet. Vzhledem k charakteristice systému bude externí adresní prostor uložen na názvových serverech pro veřejnou síť u poskytovatele Internetu a na názvových serverech pro mezirezortní sítě. Uvedené jmenné servery budou ve správě Zadavatele a budou zabezpečeny DNSSEC. V případě implementace záložní lokality budou uvedené DNS služby řízeny CITRIX NetScaler Správný překlad názvů na IP adresy má podstatný vliv na bezpečnost a funkčnost informačního systému. Pro zaručení bezpečnosti interních DNS serverů bude provedeno následující nastavení DNS Nastavení naslouchání DNS na specifických IP adresách S1_P1_Technická specifikace díla Strana

94 Povolené pouze zabezpečené dynamické aktualizace pro zóny DNS Pro všechny servery DNS budou zónové přenosy omezeny na specifické IP adresy Všechny servery DNS budou spuštěny v řadičích domény V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno Instalace a konfigurace interních DNS serverů Nastavení name services na všech prvcích Zavedení všech zařízení a služeb do interních jmenných služeb S1_P1_Technická specifikace díla Strana

95 Jednotný datový prostor realizovaný architekturou SAN řeší tři hlavní problematiky informačních systémů, potažmo jejich infrastruktur. Tou první je efektivní využití diskového prostoru, druhou je řešení problému s narůstajícím objemem ukládaných dat formou vysokorychlostního média a třetí je možnost sdílení stejného diskového prostoru více prvky infrastruktury příslušné služby. Tyto výhody potom jako celek umožňují budování spolehlivých a škálovatelných informačních systémů Pro potřeby vysokého výkonu, stability a dostupnosti požadujeme založit jednotný datový prostor na diskových polích. V každé lokalitě budou implementována dvě samostatná disková pole a to pro produkční data infrastruktury a zálohování. Třetí diskové pole bude součástí All in one řešení ORACLE Exadata. Zde budou ukládány veškerá data zpracovávána databázovým enginem Oracle. Všechna disková pole budou vybavena různě výkonnými oblastmi pro ukládání dat Bude zde oblast, na kterou budou požadovány vysoké nároky na výkon z pohledu zápisu a čtení, která bude využívána pro data, které jsou nejčastěji používána. Technologicky bude tato oblast tvořena z disků typu SSD. Z pohledu monitorovacího systému zde budou data, která budou nejčastěji využívána a mají dopad na rychlost Aplikace MS Jedná se např. o data pro vyhodnocování přístupových práv, indexy, číselníky, vybrané systémové oblasti ORACLE RAC. Druhá oblast bude sloužit pro data, kde je požadována garance krátké doby odezvy, ale nikoliv tak vysoká, jako u první oblasti. Zde budou uložena data vztahující se k projektu, aktuální auditní stopy, veškerá živá data. Technologicky bude tato oblast tvořena z disků typu SAS s 15 tis. RPM. Poslední oblast bude tvořena daty s velkými objemy. Jedná se o přílohy k projektům, archivní záznamy auditních stop, přenosové dávky, záložní kopie dat. Technologicky bude tato oblast tvořena z nízkonákladových vysokokapacitních disků s 7,2 tis. RPM SAN bude řešen dvojicí diskových polí, jedno z polí bude vybaveno vyšší kapacitou datového prostoru z důvodu ukládání záloh produkčního prostředí. Bude zde oblast, na kterou budou požadovány vysoké nároky na výkon z pohledu zápisů a čtení. Tato oblast bude využívána pro potřeby virtualizace serverové infrastruktury. Oblast bude tvořena disky typu SAS s 10 tis. RPM. Pro zajištění maximálního výkonu diskového subsystému budou disková pole vybaveny funkci Automated Tiering, která ukládá nejvíce používané bloky dat na ultra rychlou mini S1_P1_Technická specifikace díla Strana

96 oblast tvořenou SSD disky. Pro ukládání dat, kde není vyžadován rychlý přístup k informacím bude vytvořena oblast z nízkonákladových vysokokapacitních disků s 7,2 tis. RPM. Disková pole budou vybaveny funkcionalitou pro vytváření snapshotů diskových oblastí. Ve spolupráci s virtualizační infrastrukturou bude tato funkčnost využívána pro online otisk produkčního prostředí pro potřeby testování aplikací a nových funkcionalit v testovacím prostředí. Disková pole budou vybaveny funkcionalitou automatické replikace, která poskytne vlastnost transparentního failover a Point-in-Time kopie. Nezbytnou součástí SAN sítě je technická realizace přístupu serverů či služeb k datovým oblastem. V současné době jsou nejvíce využívány způsoby pomoci FC, FCoE, iscsi, Network share. Pro realizaci SAN v projektu MS2014+ požadujeme použít technologii FCoE a to z důvodu úspory finančních prostředků na pořízení FC infrastruktury. FCoE architektura je technologicky stejná jako starší FC s rozdílem, že fyzické přenosové médium je tvořeno Ethernetovou sítí a u FC je to síť optická včetně vyhrazeného FC Switche. FCoE protokol bude šířen nově vybudovanou 10-Gigabit Ethernetovou sítí běžnou TCP/IP komunikací. Požadujeme, aby všechny síťové access přepínače a disková pole byly FCoE kompatibilní. Při pořizování network přepínačů bude brán zřetel na dostatečné množství portů pro přístup k jednotnému datovému prostoru. Tyto access switche budou propojeny redundantními cestami k diskovým polím. K diskovému poli budou připojeny serverové stanice, na nichž budou provozovány služby vyžadující sdílený diskový prostor V rámci zabezpečení přístupu ke zdrojům diskových polí bude používáno několik bezpečnostních prvků a postupů. Prvním z těchto prvků je tzv. LUN MASKING tato technologie umožňuje vidět příslušná LUN (Logical Unit Number číslo logické jednotky) pouze určeným serverům, a pro ostatní bude tento LUN nedostupný. Tato technologie je implementována na úrovni Host Bus Adapteru. Další zabezpečovací metoda se nazývá SAN zoning seskupování zařízení umístěných v SAN síti. Je možné ho aplikovat na HW úrovni Hard zoning a Soft zoning (pomocí softwaru). Při aplikaci tohoto zabezpečení dochází k fyzickému zablokování přístupu ze zařízení, které není příslušníkem potřebné zóny Ultra rychlá oblast Rychlá oblast Pomalá oblast Funkce storage Počet disků Typ disku Celková hrubá kapacita Počet disků Typ disku Celková hrubá kapacita Počet disků Typ disku Celková hrubá kapacita Testovací Oracle Exadata 12 SSD 2,4 TB NS 7,2tis. RPM 54 TB S1_P1_Technická specifikace díla Strana

97 Ultra rychlá oblast Rychlá oblast Pomalá oblast Funkce storage Počet disků Typ disku Celková hrubá kapacita Počet disků Typ disku Celková hrubá kapacita Počet disků Typ disku Celková hrubá kapacita Produkční Oracle Exadata 28 SSD 11,2 TB 84 SAS 15tis. RPM 50,4 TB Produkce systémová infrastruktura 10 SSD (200 GB) 2 TB 12 SAS 10 tis. RPM (900 GB) 10,8 TB 12 NS 7,2tis. RPM (2 TB) 24 TB Produkce/Backup systémová infrastruktura 10 SSD (200 GB) 2 TB 12 SAS 10 tis. RPM (900 GB) 10,8 TB 14 NS 7,2tis. RPM (3 TB) 42 TB Požadované minimální vlastnosti prvků pro systémovou infrastrukturu - nevztahuje se k Oracle Exadata Prvek Diskové pole Typ zařízení Počet řadičů 2 Diskový subsystém Paměť cache Připojení hostů porty na jeden řadič Možných instalovaných SSD pevných disků Požadavek Podpora RAID 0, 1, 5, 6 Možnosti rozšíření kapacity Diskové pole typu SAN, plně odolné proti výpadku klíčových komponent (no single point of failure) včetně řadičů, cache paměti, ventilátorů, napájecích zdrojů. Modulární architektura Dle výše uvedené tabulky jednotlivý fyzický disk musí být schopen obsluhovat více logických disků s různým stupněm zabezpečení dat (RAID) Min. 24 GB DRAM/SRAM s možností dalšího rozšíření 10Gb/s iscsi/fcoe min. 2 Alespoň ½ z celkové osaditelného počtu disků Možnost rozšíření kapacity dodané konfigurace min. o 200% poměr typů a kapacit disků musí být identický s výše uvedenou tabulkou S1_P1_Technická specifikace díla Strana

98 Prvek Podporované osazení RAID řadiče Redundance, Hotplug komponenty Firmware Storage software Další vlastnosti Podporované operační systémy Požadavek přehled prvků storage Možnost rozšíření min. na 140 disků bez nutnosti výměny řadičů Možnost osazení HDD 2,5 a 3,5 současně Možnost osazení HDD SSD, SAS, NL-SAS současně Dva redundantní hot-plug řadiče typu active/active se symetrickým přístupem (ne asymmetric logical unit access) Každý logický disk je obsluhován oběma řadiči současně Dodávka musí obsahovat příslušné kabely a řadiče pro připojení k serveru do SAN Podpora on-line změny RAID zabezpečení logického disku a jeho online přesunutí na jinou vrstvu (tier) Hot-plug redundantní zdroje, hot-plug redundantní větráky, hot-plug disky Online firmware upgrade na řadičích i discích Konfigurace musí obsahovat: Licence pro tvorbu shapshotů a klonů (min. 100 snapshotů na LUN) Licence pro připojení min. 64 serverů Software pro monitoring pole s možností sledování výkonu Software pro thin provisioning na dodanou kapacitu s podporou okamžité reklamace diskového prostoru Software pro automatický sublun tiering mezi SSD, SAS a NL-SAS vrstvou na celou dodanou kapacitu Multipathing software pro dodávané servery Diskové pole musí umožnit vzdálenou replikaci dat na úrovni řadičů bez omezení velikosti a počtu replikovaných LUN Možnost bez výpadku zvětšit velikost LUN Možnost bez výpadku rozšířit velikost RAID skupiny Integrace ovládání diskového pole přímo do rozhraní Hyper-V Vytváření LUN a formátování VMFS datastore Vytváření snapshotů a snapklonů nad Hyper-V Microsoft Windows Server včetně Microsoft Hyper-V Oracle Linux Red Hat EnterpriseLinux Red Hat Enterprise Virtualization Suse Linux Enterprise VMware vsphere včetně VAAI a VASA S1_P1_Technická specifikace díla Strana

99 U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Pořízení diskového pole Produkce systémová infrastruktura dle výše uvedené specifikace Pořízení diskového pole Produkce/Backup systémová infrastruktura dle výše uvedené specifikace Pořízení případných licencí pro zajištění požadované funkcionality Produkční diskové pole - instalace do racku Produkční diskové pole - oživení Produkční diskové pole - vytvoření LUNů Produkční diskové pole - připojení klientů (zoning) Produkční diskové pole - monitoring Produkční diskové pole - instalace softwaru pro snapshots Hyper-V Produkční diskové pole - konfigurace softwaru pro snapshots Hyper-V Konfigurace snapshot a clone v rámci diskových polí Konkrétní rozsah prací bude upřesněn na základě implementačního projektu, který bude vypracován ve spolupráci s Provozovatelem Aplikace MS Očekávaná časová náročnost na vypracování projektu a následné provedení veškerých požadovaných prací bude 40 MD. S1_P1_Technická specifikace díla Strana

100 Jedním ze základních stavebních kamenů informačního systému jsou serverové stanice. Na serverové stanice probíhá instalace operačního systému včetně služeb operačního systémů a v poslední řadě instalace aplikačního softwaru, který vykonává požadovanou funkcionalitu. Na serverové stanice jsou kladeny nemalé nároky na požadovaný výkon a stabilitu. Je tedy nutné zvolit jednotlivé hardwarové komponenty s ohledem na jejich výkon. Jedná se především o operační paměť RAM, procesor, pevné disky atd. Stabilita serverových stanic zásadně ovlivňuje dostupnost či nedostupnost provozované služby koncovému uživateli. Ve výběru Je velmi důležité zohlednit oba tyto aspekty a zvolit správný produkt. V oblasti serverových stanic proběhla v nedávné době změna v designu provozování serverových stanic. Ty se nyní využívají zejména k provozu virtualizovaného rozhraní tzv. Hypervizoru. Rozhraní je využíváno k běhu virtuálních instancí serverových stanic. Tento vývoj byl podpořen výrobou výkonných procesorových čipů, které jsou pro potřeby jednoho serveru ve většině případů výkonově naddimenzovány S ohledem na výše zmiňované skutečnosti a požadavky navrhujeme zvolit servery v rackovém provedení. Pro potřeby virtualizace doporučujeme zvolit 2 až 4 soketové servery s procesory typu x86-64 a s operační pamětí GB. Jako úložiště dat operačního systému a jeho zavaděč doporučujeme zvolit dva pevné disky typu SAS s 15 tis. RPM provozovaných v redundantní konfiguraci RAID 1. Pro zajištění dostatečné rychlosti zpracování vstupně výstupních informací doporučujeme servery osadit min. 4-6x 10 Gbit/s rozhraním, které bude sloužit k připojení k datové síti a k externím diskovým svazkům, které budou publikovány jednotlivými diskovými poli. Při konkrétní volbě HW vybavení musí Dodavatel zohlednit certifikaci na požadovaný OS Požadované minimální vlastnosti prvků: Prvek Aplikační servery 4 Ks Procesor Provedení Požadavek Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips ( K montáži do racku, výška serveru 2U S1_P1_Technická specifikace díla Strana

101 Prvek Max. počet procesorů na server Počet osazených procesorů 4 Min velikost cache na procesor Velikost operační paměti RAM (GB) Max. velikost instalovatelné RAM HDD (interní disk) Typ HDD Požadavek 4 Min. 20MB Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) Alespoň 192GB na jedno osazené CPU při zachování rychlosti paměti min. 1333MHz, tj. celkem až 768GB (při 1333MHz) Min. 300GB RPM, s přenosovou rychlostí 6Gb/s SAS, za provozu vyměnitelné Počet HDD na server 2 s možností rozšíření min. na 4 Řadič disků Počet Ethernet připojení Rozšiřující porty Backup servery - 2 ks Provedení Max. počet procesorů na server Počet osazených procesorů 2 Počet Core procesoru 6 Velikost CACHE procesoru Max tepelný výkon procesoru Výkon obodován dle SPECfp_rate2006 Velikost operační paměti RAM (GB) Řadič disků Typ pevných disků Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích. Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3 K montáži do racku, výška serveru 2U 2 15 MB 130W Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) SAS, cache min. 1GB, 2x externí port (Mini SAS) x8 wide port connectors SAS 15 tis. RPM Velikost pevných disků 300 GB RAID 1 S1_P1_Technická specifikace díla Strana

102 Prvek Konektivita LAN Linux servery -2 ks Provedení Počet osazených soketů 2 Počet Core procesoru 8 Velikost CACHE procesoru Max tepelný výkon procesoru Výkon obodován dle SPECfp_rate2006 Velikost operační paměti RAM (GB) Typ pevných disků Požadavek Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku K montáži do racku, výška serveru 1U 20 MB 115W Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) SAS 15 tis. RPM Velikost pevných disků 300 GB RAID 1 Konektivita LAN DMZ servery 2 ks Procesor Provedení Max. počet procesorů na server Počet osazených procesorů 4 Min velikost cache na procesor RAM Max. velikost instalovatelné RAM HDD (interní disk) Typ HDD Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips ( ) K montáži do racku, výška serveru 2U 4 Min. 20MB Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) Alespoň 192GB na jedno osazené CPU při zachování rychlosti paměti min. 1333MHz, tj. celkem až 768GB (při 1333MHz) Min. 300GB RPM, s přenosovou rychlostí 6Gb/s SAS, za provozu vyměnitelné S1_P1_Technická specifikace díla Strana

103 Prvek Požadavek Počet HDD na server 2 s možností rozšíření min. na 4 Řadič disků Počet Ethernet připojení Rozšiřující porty Služební servery 2 ks Provedení Max. počet procesorů na server Počet osazených soketů 2 Počet Core procesoru 8 Velikost CACHE procesoru Max tepelný výkon procesoru Výkon obodován dle SPECfp_rate2006 Velikost operační paměti RAM (GB) Typ pevných disků Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích. Min. 4 portů 10 Gigabit, min. na dvou samostatných LAN kartách Min. 2 porty 1Gbit/s RJ-45 včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3 K montáži do racku, výška serveru 1U 2 20 MB 115W Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) SAS 15 tis. RPM Velikost pevných disků 300 GB RAID 1 Konektivita LAN Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Všechny servery musí splňovat následující vlastnosti: Vlastnost Napájení Kompatibilita Požadavek Min. 2x s účinností 92% a vyšší Nabízený server musí být kompatibilní s OS: MS Windows Server Linux (min. RHES, SLES, OEL) S1_P1_Technická specifikace díla Strana

104 Redundantní prvky Prediktivní analýza poruch Citrix XenServer Ventilátory a zdroje, oboje vyměnitelné za provozu Pevné disky, procesory, paměť vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení Dálková správa serveru remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní) možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsole u grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář) možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox) centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně pomocí protokolu SNMP) o chybových stavech SW pro vzdálenou správu řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) S1_P1_Technická specifikace díla Strana

105 výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů Záruční doba Možnost vzdáleného zjištění sériového čísla komponentů Prohlášení o shodě Veškerý dodávaný hardware je nový a nepoužitý Dokumentace k produktu měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db Minimálně 5 let NBD oprava na místě Ano Ano Ano Ano Bezpečnost serverových stanic bude zajištěna na úrovni fyzického přístupu k serverům. Servery budou umístěny v uzamykatelných skříních (RACK), které budou umístěny v uzamčené místnosti s jediným přístupovým bodem. Místnost bude chráněna mechanickým zámkem, který bude případně řízen elektronickým systémem dle potřeby. Detailní popis fyzického zabezpečení serverových stanic je popsán v kapitole Datové centrum Serverové stanice jsou vybaveny systémem umožňujícím vzdálené monitorování stavu hardwaru a schopností včasně upozornit na případné selhání jednotlivých komponent systému. V případě potřeby je například u harddisku možno provést výměnu za chodu systému tzv. hot-swap Součástí dodávky je i dodávka 2 rackový skříní pro umístění všech prvků mimo Oracle Exadata, které budou ve vlastním racku. V jedné rackové skříni bude umístěna KVM přepínač, který bude schopen ovládat veškeré serverové stanice. Každá racková skříň bude vybavena minimálně dvěma PDU, pro možnost redundantního napájení. Bližší požadavky na PDU jsou uvedeny v kapitole Datové centrum serverovna V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Pořízení serverových stanic dle výše uvedené konfigurace Pořízení 2 rackových skříní S1_P1_Technická specifikace díla Strana

106 Není požadováno Instalace dodávaných zařízení do racku - zapojení Kompletní oživení dodaných zařízení zahoření Konfigurace - remote management Konfigurace - oživení, instalace nově uvolněných firmwarů S1_P1_Technická specifikace díla Strana

107 HSM služby poskytují HW a SW infrastrukturu pro bezpečné zpracování kryptovacích algoritmů včetně jejich akcelerace. Kromě zpracovávání kryptografických algoritmů poskytují HSM služby bezpečné úložiště pro klíče a bezpečný prostor pro běh aplikací v zabezpečeném režimu Primární Zálohovací Testovací Serverové služby FS11 FS12 FS11 FS12 CLS FS CLS FS Replika HSM HSM Exadata Exadata - Test CryptoID11 AS CryptoID12 AS CA CryptoID11 AS CryptoID12 AS Síťové HSM zařízení typu nshield Connect, které budou poskytovat kryptovací služby pro jednotlivé HSM klienty, budou spolupracovat s více systémy a komponentami. Primárním účelem je uložení hlavního klíče pro šifrování dat Oracle DB. Z tohoto důvodu musí být v systému redundantně. Jako druhým důvodem je spolupráce s komponentou CryptoID pro generování náhodných jedinečných identifikátorů. Zároveň bude spolupracovat s interní certifikační autoritou a řídit šifrovací klíče. DB servery na platformě Oracle budou prostřednictvím funkcí Advanced Security využívat HSM pro uložení klíčů zajišťující šifrování obsahu DB. Pro testovací účely bude implementován nejnižší model HSM. Pro produkční prostředí bude zvolena varianta, která bude schopna generovat více jak klíčů o délce 1024-bit za sekundu. Pro možnost vzdálené administrace musí být ke každému zařízení pořízena licence pro remote operátora. Každý server potřebuje pro připojení klientskou licenci. V primární lokalitě bude nutné správně licenčně pokrýt 4x DB server, 2x server CryptoID, 1x CA. Pro uložení aplikačních klíčů budou HSM klienti využívat 2 souborové úložiště, které budou prostřednictvím replikačních procesů navzájem synchronizovány. Obě úložiště budou provozována S1_P1_Technická specifikace díla Strana

108 jako clusterové s vysokou dostupností na interním služebním clusteru. Jedno úložiště bude provozováno v primární lokalitě a bude využíváno klienty v této lokalitě. Druhé úložiště bude provozováno v lokalitě záložní a opět bude využíváno klienty v této lokalitě. Obsah síťových úložišť bude v pravidelných intervalech zálohováno na backup úložiště, odkud bude dále zálohováno na magnetické pásky Bezpečnost HSM služeb je dána již jejich primárním určením a to je provádění vysoce zabezpečených operací v kryptomodulu a šifrování výstupů z tohoto kryptomodulu. Dále je bezpečnost HSM služeb posílena o systém uzavřeného řešení, kdy samotný HW není možné nijak modifikovat a pro síťové HSM je zabezpečení řešeno implementací vysoce zabezpečeného operačního systému, ve kterém není umožněno provádět administrátorské zásahy. Všechna HSM zařízení splňují certifikaci FIPS Level 3 a Common Criteria EAL4+. Dále pro autentizaci přístupu k síťovému HSM budou využity tokeny, tyto tokeny splňují certifikaci FIPS Level Produkční a zálohovací prostředí: Položka Počet Licence OS Prvek nshield Connect Serverová licence hsm01 hsm02 soft client licence - [does not include ntoken] 14 Přístupová licence pro server Windows Server 2012 Oracle Linux CryptoID, CA ORACLE Exadata Remote Operator Activation 2 Licence pro vzdálený přístup - Hsm01 Hsm02 nshield Edge F3-1 unit 1 Vzdálená administrátorská stanice Testovací prostředí: Položka Počet Licence OS Prvek nshield Connect Serverová licence včetně Hsm01-tst soft client licence - [does 4 Přístupová licence Windows Server 2012 CryptoID S1_P1_Technická specifikace díla Strana

109 Položka Počet Licence OS Prvek not include pro server ntoken] Oracle Linux ORACLE Exadata Remote Operator Activation 1 Licence pro vzdálený přístup - Hsm01-tst nshield Edge F3-1 unit 1 Licence HSM klienta pro Vzdálená administrátorská stanice Remote Operator Activation 1 Licence pro vzdálený přístup V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Pořízení 2ks nshield Connect 1500 Pořízení 1ks nshield Connect 500 Pořízení 1ks nshield Edge F3-1 unit Pořízení 8ks soft client licence - [does not include ntoken] Pořízení 3ks Remote Operator Activation Instalace a konfigurace HSM zařízení Aktivace a nastavení HSM pro možnost vzdálené správy Implementace HSM v režimu HA Implementace HSM zařízení pro databázové prostředí Minimální očekávaný rozsah instalačních a konfiguračních prací je 30 MD. S1_P1_Technická specifikace díla Strana

110 7. Objednatel požaduje vytvoření projektové dokumentace Prostředí a to minimálně v následujícím rozsahu: a. Infrastruktura DC popis a konfigurace služeb datového centra, plány umístění infrastruktury MS2014+ do DC (floor-space plány, kabelová kniha, osazení racků) b. Síťová infrastruktura popis síťové konfigurace v úrovni LAN, WAN, SAN v úrovni fyzické a logické (VLAN, DMZ, atd.), schémata zapojení, adresní plány, HW a SW konfigurace síťové infrastruktury, schválené a povolené síťové služby a v návaznosti na ně bude vytvořena komunikační matice včetně popisu ACL na jednotlivých prvcích a FW pravidel. c. HW infrastruktura popis konfigurace a zapojení HW infrastruktury, fyzická a logická schémata (včetně popisu virtualizačních platforem a vytvářených virtuálních zařízení). Dokument bude obsahovat následující základní bloky: i. Síťová zařízení ii. Servery iii. HW pro datové úložiště, storage a zálohování iv. Ostatní HW d. SW infrastruktura vymezení použitých SW produktů a platforem, místa instalace (vazba na HW infrastrukturu), popis konfigurace v úrovni popisující rozsah instalace jednotlivých SW (základní instalace, přídavné balíčky, produkty třetích stran) a to včetně verzí jednotlivých produktů. Součástí bude popis a postup pro provádění aktualizací (schválené, zakázané servicepacky, patche a hotfixy, schválené aktualizační zdroje). Dokument SW infrastruktury musí být ve struktuře rozlišující následující základní skupiny SW: i. Operační systémy ii. Virtualizační platformy iii. Databázové platformy iv. SW pro infrastrukturní a systémové služby v. SW pro dohled a management vi. SW pro bezpečnost vii. Ostatní SW e. Zálohovací systém detailní popis systémů pro zálohování a obnovu prostředí MS Součástí bude popis detailní konfigurace celého řešení, popis všech agentů, zdrojů dat, umístění záloh, zálohovacích strategií, atd. f. Zálohovací plán a plán obnovy - v rozsahu úvodního návrhu dokumentů pro potřeby Poskytovatele dle Servisní smlouvy s důrazem na vymezení technických parametrů a procesů na základě údajů z dokumentu "Zálohovací systém". Finální verzi vypracuje Poskytovatel dle Služby "PS02_Záloha a obnova" (viz Příloha č. 1 Servisní smlouvy). g. Systém dohledu a monitoringu detailní popis prostředí pro dohled a monitoring s důrazem s uvedením detailní konfigurace, umístění a instalace agentů, sbíraných údajů, požadovaných úrovní logování na jednotlivých prvcích prostředí a mechanismů pro korelace a vyhodnocování získaných záznamů a popis způsobů reakce ve vazbě na zapojení dohledu a monitoringu do Service Desk prostředí dodavatele aplikace MS h. Dokumentace pro inventarizaci a technickou podporu detailní výčet všech HW a SW položek, které jsou předmětem dodávky. Součástí budou detailní konfigurace (včetně S1_P1_Technická specifikace díla Strana

111 výrobních a sériových čísel) a přehled SW licencí (včetně přesného názvu licence dle výrobce a verze SW). Ke každé položce (SW a HW) budou uvedeny detailní údaje o záruce a podpoře, která je součástí dodávky v rozsahu údajů o začátku a konci doby záruky, začátku a konci doby podpory, přesný název licence pro podporu (maintenance) výrobce, která byla zakoupena, SLA parametry z licence vyplývající (např. next-business-day on-site, apod.) a pořizovací cena licence podpory. i. Implementační projekt Dokument bude vycházet z implementačního projektu, který byl předmětem nabídky. Bude obsahovat detailní postup provedení implementace předmětu dodávky s uvedením detailního harmonogramu, milníků, rozsahu prací ke každé položce harmonogramu. Součástí bude návrh akceptačních testů ke každému milníku, který je předmětem dodávky. Implementační projekt bude po celou dobu trvání implementace aktualizován tak, aby ke dni ukončení implementace poskytoval jednoznačný přehled o průběhu projektu. j. Konfigurační databáze vytvoření detailních konfiguračních záznamů všech položek v rozsahu stanoveném CMDB modulem ServiceDesku. Projektová dokumentace je předmětem akceptace. Dodavatel je povinen projektovou dokumentaci předkládat Objednateli k akceptaci způsobem, který bude garantovat předání daného dokumentu nejpozději 14 kalendářních dní před termínem provedení akceptace tak, aby měl Objednatel dostatek času na detailní prostudování a posouzení materiálu. Dodavatel bude předkládat projektovou dokumentaci v elektronické podobě Objednateli a současně Provozovateli Aplikace MS2014+, který zajistí její uložení v rámci on-line projektové knihovny V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: Není požadováno Není požadováno Vytvoření projektové dokumentace v požadovaném rozsahu S1_P1_Technická specifikace díla Strana

112 Portály Portál SD Portál ŘO Portál KP Portál BI Online centrální knihovna Service Desk Základní komponenty Průřezové komponenty ServiceDesk DMS Aplikace MS2014+ Bepečnost APS ica SF Online centrální knihovna ETL Integrační sběrnice itsa BI Data HSM Centrální datové úložiště Systémové prostředí Systémové služby Služby operačního systému Poštovní služby Antivirové služby Performance služby Adresářové služby Databázové služby Antispamové služby Integrační služby Terminálové služby Zálohovací služby Clusterové služby Vzdálený přístup Management služby Certifikační služby Souborové služby Tiskové služby Jmenné služby Síťové služby DHCP služby Časové služby Platforma OS Prezentační služby Firewall služby Update služby Virtuální služby WINS služby HW zdroje Jednotný datový prostor Datová síť Serverové stanice HSM služby Záložní zdroje Datové centrum Komunikační infrastruktura Specializovaný hardware S1_P1_Technická specifikace díla Strana

113 8.2. V následující tabulce je uveden přehled technologických komponent a jejich závislost na jednotlivých oblastech ze systémového prostředí. Následující tabulka přináší závislost produktů a oblastí, kdy přímá závislost je znázorněna plným kruhem a nepřímá závislost je znázorněna půlkruhem. V tabulce jsou uvedeny základní komponenty, které jsou použity v celkovém řešení Aplikace MS2014. SF Servicedesk Portál KP Portál ŘO Portál SD Portál BI Centrální datové uložiště Oracle DB Poštovní služby Databázové služby Vzdálený přístup Prezentační služby Antivirové služby Antispamové služby Zálohovací služby Management služby Firewall služby Clusterové služby Certifikační služby Adresářové služby Souborové služby Tiskové služby Jmenné služby Virtuální služby Síťové služby Časové služby Platforma OS Jednotný datový prostor Serverové stanice Komunikační infrastruktura HSM služby Serverovna Specializovaný hardware DMS BI Integrační sběrnice HSM Bezpečnost (APS) ica itsa S1_P1_Technická specifikace díla Strana

114 Jednotlivé služby musí být provozovány v takovém režimu, aby byla zajištěna požadovaná dostupnost v souladu se Zadávací dokumentací. Mezi jeden z požadavků na Aplikace MS2014+ je možnost vytvoření záložního pracoviště mimo lokalitu primárního pracoviště. Dále eliminovat Single point of failure (SPOF) a využít moderní technologie (virtualizace, clusterové technologie). S1_P1_Technická specifikace díla Strana

115 Exadata HSM ISS FS12 SC16 SC14 SC12 DP EXCH12 TS12 DP SC15 HV04 CA HV03 SC13 APL EXCH11 SC11 HV02 SD11 SD12 AV11 ESBWEB11 ESBWEB12 APP11 AV12 OVM01 OVM02 Linux TSM01 web11-tst web12-tst fs11-tst sc11-tst app11-tst av11-tst ts11-tst sd11-tst esb11-tst msdba11-tst cryptoid12-tst AV esbweb11-tst fs12-tst iss12-tst csg11-tst eweb12-tst eweb11-tst cryptoid11-tst sd12-tst owcc11-tst owcc12-tst ISS11 app12-tst DMZ sc12-tst OWCC12 OBI12 iss11-tst CASHUB11 OWCC11 WEB18 ESB12 APP14 OBI11 WEB17 ESB11 WEB16 WEB15 WEB14 WEB13 WEB12 WEB11 APP13 AV TS11 HV01 AV FS11 CryptoID12 MSDBA12 EHV01 APP12 CryptoID11 MSDBA11 APPGW12 APPGW11 CSG11 ESS12 ESS11 EWEB16 EWEB15 EWEB14 EWEB13 EWEB12 EWEB Internet Zálohovací/ Primární lokalita testovací lokalita EHV02 HV01-TST HV02-TST HV-TST HSM TSM02 Pásková knihovna Exadata ISS02 Strana 115

116 Exadata HSM ISS01 FS12 SC16 SC14 DP EXCH12 DP SC12 Aplikační TS12 Datová SC15 HV04 CA HV03 SC13 APL EXCH11 SC11 HV02 SD11 SD12 AV11 ESBWEB11 ESBWEB12 APP11 AV12 web11-tst web12-tst fs11-tst TSM01 ISS sc11-tst OVM01 OVM02 Linux app11-tst av11-tst ts11-tst sd11-tst esb11-tst msdba11-tst cryptoid12-tst AV esbweb11-tst fs12-tst iss12-tst csg11-tst eweb12-tst eweb11-tst ISS11 app12-tst Prezentační cryptoid11-tst sd12-tst owcc11-tst owcc12-tst DMZ sc12-tst OWCC12 OBI12 iss11-tst CASHUB11 OWCC11 WEB18 ESB12 APP14 OBI11 WEB17 ESB11 WEB16 WEB15 WEB14 WEB13 WEB12 WEB11 APP13 AV TS11 HV01 AV FS11 CryptoID12 MSDBA12 EHV01 APP12 CryptoID11 MSDBA11 APPGW12 APPGW11 CSG11 ESS12 ESS11 EWEB16 EWEB15 EWEB14 EWEB13 EWEB12 EWEB Internet Zálohovací/ Primární lokalita testovací lokalita EHV02 HV01-TST HV02-TST HV-TST Systémová Bezpečnostní HSM TSM02 Pásková knihovna Exadata Testovací prostředí Strana 116

117 8.5. V této části dokumentu jsou specifikovány zařízení a prvky, které jsou již v majetku Zadavatele a které převezme Dodavatel pod správu v rámci tohoto zadávacího řízení. Dodavatel tato zařízení připraví pro funkcionalitu a služby zálohovací lokality a dále bude zajišťovat služby jejich správy a provozu v rozsahu stanoveném Servisní smlouvou. Dodavatel při práci na těchto zařízeních zohlední podmínky zálohovací lokality a skutečnost, že na uvedených zařízeních v době převzetí Dodavatelem již poběží ostré prostředí s prototypy Aplikace MS Dodavatel bude veškeré své kroky a zásahy na těchto zařízení provádět po dohodě s Provozovatelem Aplikace MS Jedná se o následující prvky umístěné v zálohovací lokalitě: HW: 1x Oracle Exadata X3-2 Eight rack HighCapacity disk 2x CITRIX NetScaler 5550 platinum edice Servery: Prvek Operační systém Implementované služby Typ serveru EWEB11-TST Windows 2012 Webové služby Virtuální server EWEB12-TST Windows 2012 Webové služby Virtuální server OWCC11-TST Oracle Linux Webové a aplikační služby Virtuální server OWCC12-TST Oracle Linux Webové a aplikační služby Virtuální server WEB11-TST Windows 2012 Webové a aplikační služby Virtuální server WEB12-TST Windows 2012 Webové a aplikační služby Virtuální server CryptoID11-TST Windows 2012 Webové a aplikační služby Virtuální server CryptoID12-TST Windows 2012 Webové a aplikační služby Virtuální server SD11-TST Windows 2012 Webové a aplikační služby Virtuální server SD12-TST Windows 2012 Webové a aplikační služby Virtuální server AV11-TST Windows 2012 Antivirové služby Virtuální server APP11-TST Windows 2012 Webové a aplikační služby Virtuální server APP12-TST Windows 2012 Webové a aplikační služby Virtuální server ISS11-TST Windows 2012 Adresářové, jmenné služby Virtuální server ISS12-TST Windows 2012 Adresářové, jmenné služby Virtuální server SC11-TST Windows 2012 Management služby Virtuální server 305 Strana 117

118 Prvek Operační systém Implementované služby Typ serveru SC12-TST Windows 2012 Management služby Virtuální server FS11-TST Windows 2012 Souborové služby Virtuální server MSDBA11-TST Windows 2012 Databázové služby Virtuální server ESB11-TST Windows 2012 Webové a aplikační služby Virtuální server ESBWEB11-TST Windows 2012 Webové a aplikační služby Virtuální server TS11-TST Windows 2012 Terminálové služby Virtuální server CSG11-TST Windows 2012 Služby vzdáleného přístupu Virtuální server HV01-TST Windows 2012 Virtualizační služby Fyzický server HV02-TST Windows 2012 Virtualizační služby Fyzický server SW: 8ks licencí na CPU Oracle DB EE s podporou na jeden rok 8ks licencí na CPU Oracle Real Application Clusters (option pack) 8ks licencí na CPU Oracle Advanced Compression (option pack) 8ks licencí na CPU Oracle Partitioning (option pack) 8ks licencí na CPU Oracle Database Vault (option pack) 8ks licencí na CPU Oracle Diagnostics Pack (option pack) 8ks licencí na CPU Oracle Tuning Pack (option pack) 8ks licencí na CPU Oracle Advanced Security (option pack) 8ks licencí na CPU Oracle Secure Content Database Extension 8ks licencí na CPU Oracle Secure Archive Database Extension 18ks licencí na Disc Exadata Storage Software 1x Symantec Protection Engine for Cloud Services per Server 2ks licencí na 2 CPU na MS System Center v edici Datacenter včetně SA 2ks licencí na 2 CPU Windows server v edici Datacenter včetně SA 2ks licencí External connector včetně SA 1ks Oracle Linux - Basic 2ks licencí na CPU Oracle WebLogic EE 306 Strana 118

119 9. Pojem, zkratka, ikona Definice Pojem, zkratka, ikona Definice Primární databázové služby Interní WWW služby Záložní databázové služby Externí WWW služby Testovací databázové služby Služby vzdáleného přístupu Centrální adresářové služby AD Služby monitoringu Certifikační služby Terminálové služby Virtualizační služby Interní DNS služby Aplikační služby Primární DNS služby veřejné (pro Internet) Poštovní služby Záložní DNS služby veřejné (pro Interet) Časové služby Archivační služby AV Antivirové služby Souborové a adresářové služby Zálohovací služby Zálohovací služby - Databázové Sonda HSM Hardware Security Module Oracle Exadata Klient - Notebook Virtuální server Klient PC Fyzický server LOAD BALANCING Cluster Diskové pole Firewall Síťový prvek Lokalita / Internet 307 Strana 119

S1_P1_Technická specifikace díla Strana 1

S1_P1_Technická specifikace díla Strana 1 S1_P1_Technická specifikace díla Strana 1 1. PREAMBULE... 4 1.1. Lokality systému... 4 2. SYSTÉMOVÉ SLUŽBY... 6 2.1. Databázové služby... 6 2.2. Webové služby... 13 2.3. Terminálové služby... 18 2.4. Služby

Více

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb Příloha č. 1 Servisní smlouvy Katalog služeb S2_P1_Katalog služeb 1 Obsah 1 OBSAH... 2 2 DEFINICE SLUŽEB... 3 3 SPECIFIKACE SLUŽEB... 6 3.1 SLUŽBA PS01_PROVOZ A SPRÁVA... 6 3.2 SLUŽBA PS02_ZÁLOHA A OBNOVA...

Více

Podrobná cenová specifikace Díla

Podrobná cenová specifikace Díla Příloha č. 3 Smlouvy o dílo Podrobná cenová specifikace Díla 1 Hardware Dodavatel bude pro jednotlivé HW produkty kalkulovat technickou podporu v následujících parametrech: doba podpory: 5 let dostupnost

Více

Podrobná cenová specifikace Díla

Podrobná cenová specifikace Díla Příloha č. 3 Smlouvy o dílo Podrobná cenová specifikace Díla S1_P3_Cenová specifikace Díla 1 Hardware Dodavatel bude pro jednotlivé HW produkty kalkulovat technickou podporu v následujících parametrech:

Více

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB Návrh realizace řešení Tento dokument obsahuje informace důvěrného charakteru a informace v něm obsažené jsou vlastnictvím České národní banky. Žádná část

Více

aniel Dvořák, Martin Mičan 9.10.2013 Liberec Windows Server 2012/R2 Migrační scénáře

aniel Dvořák, Martin Mičan 9.10.2013 Liberec Windows Server 2012/R2 Migrační scénáře aniel Dvořák, Martin Mičan 9.10.2013 Liberec Windows Server 2012/R2 Migrační scénáře Životní cyklus Windows Server 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020

Více

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

Příloha č.2 - Technická specifikace předmětu veřejné zakázky Příloha č.2 - Technická specifikace předmětu veřejné zakázky Popis stávajícího řešení u zadavatele Česká centra (dále jen ČC ) provozují 8 fyzických serverů, připojené k local storage. Servery jsou rozděleny

Více

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série NA PŘÍKOPĚ 28 115 03 PRAHA 1 Sekce správní odbor obchodní V Praze 10. července 2015 Č.j. 2015/076951/CNB/420 Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série Zadavatel níže

Více

Katalog služeb a podmínky poskytování provozu

Katalog služeb a podmínky poskytování provozu Příloha č. 1 Servisní smlouvy Katalog služeb a podmínky poskytování provozu Část P2_1 P2_1_Katalog služeb a podmínky poskytování provozu 1 Obsah 1 OBSAH... 2 2 DEFINICE POJMŮ... 3 3 DEFINICE SLUŽEB, KOMPONENT

Více

Vysvětlení zadávací dokumentace č. 3

Vysvětlení zadávací dokumentace č. 3 Vysvětlení zadávací dokumentace č. 3 na dotazy možných účastníků VoZP - ZD Zajištění HW a dlouhodobé podpory infrastruktury Intel pro VoZP ČR Dotaz -1 Zadavatel v rámci Zadávací dokumentace používá pojmy

Více

Zřízení technologického centra ORP Dobruška

Zřízení technologického centra ORP Dobruška Příloha č. Technická specifikace. části zakázky: Zřízení technologického centra ORP Dobruška položka číslo Popis blade chassis pro servery: provedení do racku kapacita minimálně 8x dvouprocesorový blade

Více

Jan Slezák, Zdeněk Dutý 9.11.2011 Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment

Jan Slezák, Zdeněk Dutý 9.11.2011 Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment Jan Slezák, Zdeněk Dutý 9.11.2011 Oracle Day Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment Informační systém základních registrů Registrační číslo: CZ.1.06/1.1.00/03.05891

Více

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ PŘÍLOHA Č. 4 POPIS STÁVAJÍCÍHO STAVU Následující kapitola přináší popis stávající informačně-technologické systémové infrastruktury

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

Tabulka splnění technických požadavků

Tabulka splnění technických požadavků Příloha č. 1 Tabulka splnění technických požadavků Technická specifikace diskového pole AOPK Požadavek na funkcionalitu Rozšíření stávající skupiny diskových polí Dell EqualLogic PS4110E a EqualLogic 4110X

Více

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY Dušan Kajzar Slezská univerzita v Opavě, Filozoficko-přírodovědecká fakulta, Bezručovo nám. 13, 746 00 Opava, e-mail: d.kajzar@c-box.cz Česká pošta, s.p.,

Více

1 Výchozí nastavení zařízení

1 Výchozí nastavení zařízení ČÁST 1. KONSOLIDACE HW A SW ÚŘADU 1 Výchozí nastavení zařízení 1.1 Diesel agregát KIPOR V serverovně v 4.NP přístavby na ulici Jesenická byl nainstalován nový dieselagregát KIPOR 6700. Přívod vzduchu,

Více

Migrace virtuálního prostředí VI3 na vsphere. Lukáš Radil, konzultant

Migrace virtuálního prostředí VI3 na vsphere. Lukáš Radil, konzultant Migrace virtuálního prostředí VI3 na vsphere Lukáš Radil, konzultant Agenda Agenda Výchozí stav Agenda Výchozí stav Důvody pro migraci Agenda Výchozí stav Důvody pro migraci Příprava projektu Agenda Výchozí

Více

Lepší efektivita IT & produktivita

Lepší efektivita IT & produktivita Ochraňte vaše podnikání Lepší efektivita IT & produktivita Buďte připraveni pro cloud Just in Time & Just Enough Administration Windows Defender for malware protection Trusted/Secure boot Shielded Virtual

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

Datasheet Fujitsu ETERNUS DX200 S3 Diskové systémy

Datasheet Fujitsu ETERNUS DX200 S3 Diskové systémy Datasheet Fujitsu ETERNUS DX200 S3 Diskové systémy Kompaktní úložiště pro malé a střední podniky a pobočky ETERNUS DX Úložiště dat pro podniky ETERNUS DX200 S3 Úložiště řady ETERNUS DX společnosti Fujitsu

Více

Trendy v budování datových center v roce 2016. Praha, 7.4.2016

Trendy v budování datových center v roce 2016. Praha, 7.4.2016 Trendy v budování datových center v roce 2016 Praha, 7.4.2016 Analytici a GAPP System Čtyři pohledy na datové centrum Infrastruktura Provoz Byznys Bezpečnost Datové centrum Čtyři pohledy na datové centrum

Více

Technická specifikace předmětu zakázky

Technická specifikace předmětu zakázky Technická specifikace předmětu zakázky (příloha č. 3 zadávací dokumentace) Technická specifikace Přesná charakteristika zakázky Předmětem zakázky je dodávka integrovaného ERP systému včetně dodávky licencí,

Více

Příloha č. 1 k čj.: 1/120/ Technická specifikace Zajištění HW a dlouhodobé podpory infrastruktury Intel pro VoZP ČR

Příloha č. 1 k čj.: 1/120/ Technická specifikace Zajištění HW a dlouhodobé podpory infrastruktury Intel pro VoZP ČR Příloha č. k čj.: /0/0-0 Technická specifikace Zajištění HW a dlouhodobé podpory infrastruktury Intel pro VoZP ČR. Obsah. Obsah.... Předmět veřejné zakázky.... Požadavky na nový HW..... Komoditní x Servery

Více

Windows Server 2012. Licencování a Ceny Všechny Edice. Petr Špetlík Cloud & Server PTA

Windows Server 2012. Licencování a Ceny Všechny Edice. Petr Špetlík Cloud & Server PTA 2012 Licencování a Ceny Všechny Edice Petr Špetlík Cloud & Server PTA 2012 Datacenter 2012 Essentials 2012 Foundation Vysoká úroveň Virtualizace Nízká úroveň nebo Bez Virtualizace První server s připojením

Více

Najde si Software Defined Storage své místo na trhu?

Najde si Software Defined Storage své místo na trhu? Moderní a spolehlivá řešení pro ukládání dat Najde si Software Defined Storage své místo na trhu? Jan Cipra GAPP System Software defined Storage Integrace výpočetního výkonu a diskového prostoru Jednoduchá

Více

VÝZVA K PODÁNÍ NABÍDKY NA VEŘEJNOU ZAKÁZKU MALÉHO ROZSAHU. JAMU Doplnění a rozšíření SW vybavení "

VÝZVA K PODÁNÍ NABÍDKY NA VEŘEJNOU ZAKÁZKU MALÉHO ROZSAHU. JAMU Doplnění a rozšíření SW vybavení Janáčkova akademie múzických umění v Brně Beethovenova 650/2, 662 15 Brno IČO: 62156462, DIČ: CZ 62156462, bankovní spojení KB Brno č. účtu 27-0493900217/0100 Veřejná vysoká škola podle zákona č. 111/1998

Více

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 4. série

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 4. série NA PŘÍKOPĚ 28 115 03 PRAHA 1 Sekce správní odbor obchodní V Praze 15. července 2015 Č.j. 2015/078794/CNB/420 Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 4. série Zadavatel níže

Více

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč. 2011 IBM Corporation

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč. 2011 IBM Corporation IBM Cloud computing Jak postavit enterprise cloud na klíč Petr Leština Client IT Architect Agenda Úvod Architektura privátního cloudu (IaaS a PaaS) Smart Cabinet pro provoz cloud infrastruktury Závěr Cloud

Více

Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum

Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum Příloha č. 2 Zadávací dokumentace Technické specifikace část I. Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum Jedná se o dodávku technického vybavení pro

Více

Brno. 30. května 2014

Brno. 30. května 2014 Brno 30. května 2014 1 IBM regionální zástupci - Morava Lubomír Korbel phone: +420 737 264 440 e-mail: lubomir_korbel@cz.ibm.com Dagmar Krejčíková phone: +420 737 264 334 e-mail: dagmar_krejcikova@cz.ibm.com

Více

Kupní smlouva Dynamický nákupní systém Pk Výpočetní technika Výzva 45 - Dodávka Diskových polí KUPNÍ SMLOUVA

Kupní smlouva Dynamický nákupní systém Pk Výpočetní technika Výzva 45 - Dodávka Diskových polí KUPNÍ SMLOUVA KUPNÍ SMLOUVA uzavřená níže uvedeného dne, měsíce a roku dle ustanovení 2079 a násl. a 2085 a násl. zákona č. 89/2012 Sb., Občanského zákoníku Čl. 1 Smluvní strany Kupující: Plzeňský kraj Sídlo: IČ: 70890366

Více

S M L O U V A O D O D Á V C E I T T E C H N O L O G I E

S M L O U V A O D O D Á V C E I T T E C H N O L O G I E Část II. zadávací dokumentace obchodní podmínky ČÁST 1 veřejné zakázky Tyto obchodní podmínky je uchazeč povinen zapracovat do návrhu smlouvy předkládaného jako součást nabídky na realizaci veřejné zakázky

Více

Instalujeme a zakládáme databázi Oracle Database 11g

Instalujeme a zakládáme databázi Oracle Database 11g KAPITOLA 2 Instalujeme a zakládáme databázi Oracle Database 11g Protože se instalace systému Oracle s každou novou verzí zjednodušuje, stojí uživatel před pokušením otevřít krabici s médii a ihned začít

Více

Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE

Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE VYBUDOVÁNÍ TECHNOLOGICKÉHO CENTRA ORP VARNSDORF část I Pořízení technické infrastruktury pro vybavení Technologického

Více

Projekt Rozvoj mapových služeb ČEZ. ČEZ ICT Services, a. s. ČEZ Distribuce, a. s.

Projekt Rozvoj mapových služeb ČEZ. ČEZ ICT Services, a. s. ČEZ Distribuce, a. s. Projekt Rozvoj mapových služeb ČEZ ČEZ ICT Services, a. s. ČEZ Distribuce, a. s. Obsah prezentace Skupina ČEZ - procesy Správy dat o síti ve společnosti ČEZ Distribuce Zadání zákazníka - základní požadavku

Více

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Příloha č. 1 CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Veřejná zakázka Poskytování služeb outsourcingu Zadavatel: Nemocnice Český Krumlov a.s., sídlem: Český Krumlov, Horní Brána 429, PSČ 381 27 IČ: 260 95 149 DIČ:

Více

2.1 Obecné parametry 2.1.1 Obecné parametry Rack serveru

2.1 Obecné parametry 2.1.1 Obecné parametry Rack serveru . Obecné parametry.. Obecné parametry Rack serveru Redundantní napájecí zdroje v počtu a výkonu odpovídajícímu specifikovanému řešení. Redundantní ventilátory v počtu odpovídajícímu specifikovanému řešení

Více

Dohledové systémy Microsoft vs. cesta k vyšší produktivitě IT

Dohledové systémy Microsoft vs. cesta k vyšší produktivitě IT Dohledové systémy Microsoft vs. cesta k vyšší produktivitě IT aneb mýty a pravda o centralizované správě IT prostředí Pavel ŘEPA Microsoft MVP IT senior konzultant DIGI TRADE, s.r.o. prepa@digi-trade.cz

Více

HW Diskové pole - 1KS

HW Diskové pole - 1KS HW Diskové pole - 1KS Architektura Výkonnost modulární, dvouřadičové diskové pole založené na 6Gbit SAS2.1, řešení musí být koncipováno jako HW, SW a FW od jednoho výrobce - škálování výkonnosti a kapacit

Více

IBM TRIRIGA Application Platform Verze 3 Vydání 4.2. Příručka instalace a implementace

IBM TRIRIGA Application Platform Verze 3 Vydání 4.2. Příručka instalace a implementace IBM TRIRIGA Application Platform Verze 3 Vydání 4.2 Příručka instalace a implementace Poznámka Před použitím těchto informací a produktu, který podporují, si přečtěte informace v části Upozornění na stránce

Více

Zálohování nefunguje... Ondřej Vlach Channel Manager CZ.SK.HU řešte dostupnost!

Zálohování nefunguje... Ondřej Vlach Channel Manager CZ.SK.HU řešte dostupnost! Zálohování nefunguje... Ondřej Vlach Channel Manager CZ.SK.HU ondrej,vlach@veeam.com... řešte dostupnost! Zálohování nefunguje! Stav zálohování se nezlepší. Co je potřeba a co je vyžadováno, je dostupnost.

Více

1. Aplikační architektura

1. Aplikační architektura 1. Aplikační architektura Kapitola popisuje s použitím typové architektury požadavky na architekturu aplikace. Cílem standardizace v této oblasti je optimalizace využití zdrojů, snížení nákladů na provoz

Více

IW3 MS SQL SERVER 2014

IW3 MS SQL SERVER 2014 Instalace a konfigurace IW3 MS SQL SERVER 2014 Ing. Peter Solár, MCITP EA solar@pocitacoveskoleni.cz 1 OSNOVA 1. příprava instalace SQL serveru 2. instalace SQL serveru 3. základní konfigurace SQL serveru

Více

Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR

Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR Policie České republiky provozuje roztříštěnou strukturu informačních technologií

Více

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota Technická specifikace Obnova školicího střediska OKRI PP ČR Virtualizace koncových stanic 20 ks Výrobce doplnit Název doplnit podpora stávající virtualizační platformy podpora technologie linkovaných klonů

Více

Technická specifikace předmětu zakázky

Technická specifikace předmětu zakázky Příloha č. 1 Technická specifikace předmětu zakázky zakázky: Zadavatel: Dodávka ICT vybavení Gymnázium a obchodní akademie Mariánské Lázně, Ruská 355, 353 69 Mariánské Lázně POLOŽKA č. 1 PC SESTAVA 34

Více

Tabulka splnění technických požadavků

Tabulka splnění technických požadavků Příloha č. 1 Tabulka splnění technických požadavků Technická specifikace diskového pole AOPK Požadavek na funkcionalitu Rozšíření stávající skupiny diskových polí Dell EqualLogic PS4110E a EqualLogic 4110X

Více

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Příloha č. 1 Výzvy k podání nabídky a k prokázání splnění kvalifikace na realizaci veřejné zakázky

Více

Bezpečný cloud šifrování a silná autentizace. Ing. Petr Slaba ASKON International s.r.o.

Bezpečný cloud šifrování a silná autentizace. Ing. Petr Slaba ASKON International s.r.o. Bezpečný cloud šifrování a silná autentizace Ing. Petr Slaba ASKON International s.r.o. Agenda 1. Možné pohledy na bezpečnost virtualizované infrastruktury a prostředí cloudu 2. Kryptografická ochrana

Více

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení Konference ISSS, Hradec Králové, 5. 4. 2011 Michal Osif, Senior Architect

Více

Bc. David Gešvindr MSP MCSA MCTS MCITP MCPD

Bc. David Gešvindr MSP MCSA MCTS MCITP MCPD Bc. David Gešvindr MSP MCSA MCTS MCITP MCPD 1. Příprava k instalaci SQL Serveru 2. Instalace SQL Serveru 3. Základní konfigurace SQL Serveru Vychází ze Sybase SQL Server Verze Rok Název Codename 7.0 1998

Více

zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka č bankovní spojení: xxxxxxxxxxxxxxxxxxxxxxx

zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka č bankovní spojení: xxxxxxxxxxxxxxxxxxxxxxx PROVÁDĚCÍ SMLOUVA Č. 1 evid. č. ČSÚ: 209-2017-S k Rámcové dohodě o poskytování služeb systémové podpory programového vybavení Oracle (evid. č. ČSÚ: 154-2017-R) Níže uvedeného dne, měsíce a roku uzavřely

Více

Microsoft System Center Configuration Manager 2012. Jan Lukele

Microsoft System Center Configuration Manager 2012. Jan Lukele Microsoft System Center Configuration Manager 2012 Jan Lukele Rodina System Center 2012 System Center Configuration Manager System Center Endpoint Protection System Center Operations Manager System Center

Více

Development and Test Cloud

Development and Test Cloud Development and Test Cloud Petr Leština, Igor Hegner 2.2.2011 Agenda Co je IBM Development and Test Cloud Proč uvažovat a Development and Test cloudu? Co v této oblasti IBM nabízí: IBM CloudBurst Smart

Více

Přehled systému Microsoft SQL Server. Komu je kniha určena Struktura knihy Nejvhodnější výchozí bod pro čtení knihy Konvence a struktura knihy

Přehled systému Microsoft SQL Server. Komu je kniha určena Struktura knihy Nejvhodnější výchozí bod pro čtení knihy Konvence a struktura knihy Komu je kniha určena Struktura knihy Nejvhodnější výchozí bod pro čtení knihy Konvence a struktura knihy Konvence Další prvky Požadavky na systém Ukázkové databáze Ukázky kódu Použití ukázek kódu Další

Více

Moderní technologie IBM pro management a zálohování virtualizované infrastruktury

Moderní technologie IBM pro management a zálohování virtualizované infrastruktury Moderní technologie IBM pro management a zálohování virtualizované infrastruktury Petr Klabeneš Business Unit Manager Avnet, Technology Services Business Unit Mobil: +420 602663351 E-mail: petr.klabenes@avnet.com

Více

Technická dokumentace

Technická dokumentace Příloha č. 1 k veřejné zakázce malého rozsahu Technická dokumentace Obsah 1 Předpoklady... 3 1.1 Účel... 3 1.2 Přínosy pro uživatele... 3 2 Popis předmětu plnění... 3 2.1 Funkční specifikace řešení...

Více

1x server pro distanční vzdělávání (výpočtový server)

1x server pro distanční vzdělávání (výpočtový server) Příloha č. 5 1x server pro distanční vzdělávání (výpočtový server) CPU 1 CPU mark >= 19970, podpora virtualizace ve virtualizaci RAM Volitelně Celkem >= 128 GB HDD 2 kapacita >= 2TB, SATA, min 7200 RPM,

Více

Služby datového centra

Služby datového centra Služby datového centra Společnost DataSpring je poskytovatelem služeb ICT infrastruktury a provozu IT řešení, veškeré služby provozuje ve vlastních datových centrech v Praze a v Lužicích u Hodonína. Lužické

Více

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního PŘEHLED SLUŽEB A PARAMETRŮ ELEKTRONICKÉHO BANKOVNICTVÍ A) PŘEHLED SLUŽEB A PARAMETRŮ - ELTRANS 2000 Přehled pasivních služeb Eltrans 2000 Informace o zůstatcích Zobrazení, tisk a export Informací o zůstatcích

Více

BrightStor ARCserve Backup r11.5. - Michal Opatřil - Consultant - michal.opatril@ca.com

BrightStor ARCserve Backup r11.5. - Michal Opatřil - Consultant - michal.opatril@ca.com BrightStor ARCserve Backup r11.5 - Michal Opatřil - Consultant - michal.opatril@ca.com Co je ARCserve Backup? -Spolehlivý a jednoduchý Backup a Restore -S podporou široké škály hardwaru -S managementem

Více

Praha, 31.3. 2011. Martin Beran

Praha, 31.3. 2011. Martin Beran Datová centra Design studie Praha, 31.3. 2011 Martin Beran martin.beran@simac.cz cz 1 Design studie 2 Implementace virtuálních pracovních stanic na platformě FlexPod + VMWare View 2 Výchozí stav Provozování

Více

Příloha č. 1 - položkový rozpočet

Příloha č. 1 - položkový rozpočet Příloha č. - položkový rozpočet Název projektu: Registrační číslo projektu Datové centrum pověřeného obecního úřadu Červený Kostelec CZ..06/2..00/22.09577 Uchazeč: Název/Obchodní firma uchazeče: Sídlo

Více

Tomáš Kantůrek. IT Evangelist, Microsoft

Tomáš Kantůrek. IT Evangelist, Microsoft Tomáš Kantůrek IT Evangelist, Microsoft Správa a zabezpečení PC kdekoliv Jednoduchá webová konzole pro správu Správa mobilních pracovníků To nejlepší z Windows Windows7 Enterprise a další nástroje Cena

Více

Licencování a přehled Cloud Suites

Licencování a přehled Cloud Suites Licencování a přehled Cloud Suites Office 365 Office 365 Enterprise Secure Productive Enterprise Secure Productive Enterprise Windows 10 Enterprise Enterprise Mobility + Security Operations Management

Více

Služby datového centra

Služby datového centra Služby datového centra Společnost DataSpring je poskytovatelem služeb ICT infrastruktury a provozu IT řešení, veškeré služby provozuje ve vlastních datových centrech v Praze (Lucerna) a v Lužicích u Hodonína.

Více

Příloha č. 0963-12-P11

Příloha č. 0963-12-P11 Popis potřeb, které mají být splněním veřejné zakázky naplněny Odůvodnění účelnosti veřejné zakázky Cílem veřejné zakázky, části 1 (Krajská digitální spisovna a Krajský digitální repozitář) je zajistit

Více

MYBIZ - Řešení pro zpřístupnění dat ze stávajících aplikací na mobilních zařízeních (Mobilize your business!) Požadavky zákazníka.

MYBIZ - Řešení pro zpřístupnění dat ze stávajících aplikací na mobilních zařízeních (Mobilize your business!) Požadavky zákazníka. MYBIZ - Řešení pro zpřístupnění dat ze stávajících aplikací na mobilních zařízeních (Mobilize your business!) IT SYSTEMS a.s. Mnoho společností má implementovány aplikace, které byly vyvíjeny (případně

Více

Č á s t 1 Příprava instalace

Č á s t 1 Příprava instalace Obsah Úvod 31 Seznámení se s rodinou produktů 31 Co je nového v systému Windows Server 2003 32 Práce s touto příručkou 32 Obsah této příručky 33 Obsah disku CD-ROM 34 Komunikujte s námi 35 Část 1 Příprava

Více

SharePoint 2010 produktové portfolio a licencování

SharePoint 2010 produktové portfolio a licencování SharePoint 2010 produktové portfolio a licencování Kamil Juřík SharePoint MVP Lead Consultant & Platform Architect Kamil.Jurik@ProSharePoint.cz Systémové požadavky software Aneb co potřebujeme? 64-bit

Více

Technická specifikace vymezené části 1 SERVER

Technická specifikace vymezené části 1 SERVER Technická specifikace vymezené části 1 SERVER 1 Předmět vymezené části 1.1 Předmětem veřejné zakázky je dodávka a moderního a spolehlivého serverového řešení pro potřeby Krajského ředitelství PČR Karlovarského

Více

Bezpečnostní projekt Případová studie

Bezpečnostní projekt Případová studie Bezpečnostní projekt Případová studie V Brně dne 24. a 31.10.2013 Metodika zabezpečení síťové infrastruktury Potenciální hrozbou pro síťovou infrastrukturu jsou lidé (nedbalost či neznalost uživatelů nebo

Více

NAS SYNOLOGY DS214SE. Osobní NAS server za příjemnou cenu.

NAS SYNOLOGY DS214SE. Osobní NAS server za příjemnou cenu. NAS SYNOLOGY DS214SE Kód: Výrobce: Záruční doba: DS214SE SYNOLOGY 24 měsíců Osobní NAS server za příjemnou cenu. - pozice pro 2 SATA disky (Basic/JBOD/RAID 0/1) - kapacita až 8TB - rychlost čtení až 102

Více

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation TSM for Virtual Environments Data Protection for VMware v6.3 Ondřej Bláha CEE+R Tivoli Storage Team Leader TSM architektura 2012 IBM Corporation Tradiční zálohování a obnova dat ze strany virtuálního stroje

Více

Diskové pole IBM Storwize V7000 Unified

Diskové pole IBM Storwize V7000 Unified Diskové pole IBM Storwize V7000 Unified 1. Rozpis komponent diskového pole A. Hardware: Produkt Popis Množství 2076-324 IBM Storwize V7000 Disk Control Enclosure 1 10 Storage Engine Preload 1 3514 400GB

Více

Michal Hroch Server Product Manager Microsoft Česká republika

Michal Hroch Server Product Manager Microsoft Česká republika Michal Hroch Server Product Manager Microsoft Česká republika Proč by vás Platforma měla vůbec zajímat? záruka spolehlivosti potenciál pro nové příležitosti Performance Point server 6 Point of Sale Retail

Více

Windows User Group Licencování Microsoft produktů pro IT správce. Radek Žalud, DAQUAS

Windows User Group Licencování Microsoft produktů pro IT správce. Radek Žalud, DAQUAS Windows User Group Licencování Microsoft produktů pro IT správce Radek Žalud, DAQUAS Licenční základy na praktických scénářích Základní terminologie, pravidla a scénáře Obsah Základní podmínky užívání

Více

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant Virtuální desktopová infrastruktura I. Virtuální desktopová infrastruktura II. využívání

Více

TECHNICKÁ SPECIFIKACE

TECHNICKÁ SPECIFIKACE TECHNICKÁ SPECIFIKACE Zabezpečení dat a komunikační infrastruktury opakované vyhlášení části B - Tabulka pro rozšíření nad rámec minimálních technických požadavků Typ Popis rozšířeného požadavku Splněno

Více

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě Název prezentace 1 Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě PoC Oracle Public Cloud Dušan Kučera SPCSS Jaroslav Novotný ORACLE Název prezentace str. 2 Vznik

Více

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Zadavatel požaduje dodávku 16 kusů serverů a 4kusů síťových datových úložišť. Servery se požadují bez dodání operačního systému. Specifikace minimálních

Více

CENÍK SLUŽEB FIREMNÍHO ŘEŠENÍ

CENÍK SLUŽEB FIREMNÍHO ŘEŠENÍ 1 CENÍK SLUŽEB FIREMNÍHO ŘEŠENÍ VIRTUÁLNÍ DATOVÉ CENTRUM CENÍK TARIFŮ A SLUŽEB PRO TARIFNÍ A TWIST ZÁKAZNÍKY T-MOBILE PLATNÝ K 1. 11. 2013 VIRTUÁLNÍ DATOVÉ CENTRUM Ceny jsou uvedeny v Kč bez DPH. Profesionální

Více

Integrace formou virtualizace

Integrace formou virtualizace Integrace formou virtualizace Jiří Jarema Radek Vojkůvka Úvod Integrace Virtualizace Cloud Virtualizace Serverová Desktopová Virtualizace aplikací Desktops Apps 2 Výchozí stav Uživatelé v různých lokalitách

Více

LINUX - INSTALACE & KONFIGURACE

LINUX - INSTALACE & KONFIGURACE LINUX - INSTALACE & KONFIGURACE LINUX - INSTALACE & KONFIGURACE Školení zaměřené na instalaci a správu systému. Účastník získá praktické znalosti vhodné pro instalaci a správu operačního systému na serveru.

Více

Praktické využití Windows Server 2012 Essentials ve firmě. Jan Pilař, MVP

Praktické využití Windows Server 2012 Essentials ve firmě. Jan Pilař, MVP Praktické využití Windows Server 2012 Essentials ve firmě Jan Pilař, MVP Obsah Nějak bylo Nějak bude 2 Jan Pilař, MVP NĚJAK BYLO 3 SBS 2011 Standard WSUS Další App Foundation Ochrana identit Zálohování

Více

Jak spustit provoz v DR lokalitě snadno a rychle

Jak spustit provoz v DR lokalitě snadno a rychle Moderní a spolehlivá řešení pro ukládání dat Jak spustit provoz v DR lokalitě snadno a rychle David Gottvald GAPP System Požadavky zákazníků Potřebujeme mít data ve druhé lokalitě pro případ katastrofy.

Více

Brno. 30. května 2014

Brno. 30. května 2014 Brno 30. května 2014 IBM regionální zástupci - Morava Lubomír Korbel Dagmar Krejčíková phone: +420 737 264 440 phone: +420 737 264 334 e-mail: lubomir_korbel@cz.ibm.com e-mail: dagmar_krejcikova@cz.ibm.com

Více

FORPSI Cloud Computing Virtuální datacentrum v cloudu

FORPSI Cloud Computing Virtuální datacentrum v cloudu FORPSI Cloud Computing Virtuální datacentrum v cloudu Milan Leszkow CTO INTERNET CZ, a. s. Květen 20, 2013 Cloud Computing Charakteristika Používání a správa výpočetních zdrojů (HW,SW) poskytovaných jako

Více

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění Název veřejné zakázky: Dodávka datového a výpočetního centra pro projekty NTIS a CTPVV Část 2 veřejné zakázky - Dodávka výpočetního clusteru a serverů pro virtualizaci vymezení technických podmínek veřejné

Více

Licencování: Serverové OS

Licencování: Serverové OS Licencování: Serverové OS Licencování Serverových OS a) serverová licence + CAL + možný External Connector b) procesorové licence + CAL + možný External Connector nutno zakoupit procesorovou licenci pro

Více

Trask solutions Jan Koudela Životopis

Trask solutions Jan Koudela Životopis Trask solutions Životopis Shrnutí Kandidát pro roli: Krátký popis: Zkušenosti a kompetence Zákazníci:, GE Money Bank, ING Bank, Komerční banka Telefónica Nejvyšší kontrolní úřad, RWE Kompetence:.NET vývoj

Více

Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina

Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina Petr Pavlinec, KrÚ kraje Vysočina Březen 2009 Důvody realizace projektu Proč regionální SAN? Rapidně rostoucí požadavky na požadavky

Více

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP Jakým otázkám dnes čelí CIO? Jaké jsou jejich řešení? Tlak na snižování nákladů Využití nových technologií a rostoucí

Více

SmartCloud Enterprise

SmartCloud Enterprise 16.2.2012 SmartCloud Enterprise Michal Votava Cloud Solution Representative Agenda: Historie stručně Proč bychom se měli zajímat? Představení služby SmartCloud Enterprise (SCE) Živá úkázka Q &A Vývoj IT

Více

Nové licencování databází Informix

Nové licencování databází Informix Univerzita pro obchodní partnery 10.03.2011 Nové licencování databází Informix Jan Musil jan_musil@cz.ibm.com Agenda Přehled původních a nových edicí Volitelné komponenty Vysvětlení licenční terminologie

Více

Komplexní řešení zálohování a obnovy dat v jakémkoliv prostředí

Komplexní řešení zálohování a obnovy dat v jakémkoliv prostředí Komplexní řešení zálohování a obnovy dat v jakémkoliv prostředí David Gottvald Zálohování dat Co zálohovat? Heterogenní prostředí Virtuální servery Fyzické servery (Windows, Linux, Unix, ) NAS Virtualizované

Více

Zadávací dokumentace na veřejnou zakázku malého rozsahu s názvem Obměna informačních technologií

Zadávací dokumentace na veřejnou zakázku malého rozsahu s názvem Obměna informačních technologií Zadávací dokumentace na veřejnou zakázku malého rozsahu s názvem Obměna informačních technologií Zadávací dokumentace je zpracována jako podklad pro podání nabídek. Podáním nabídky v zadávacím řízení přijímá

Více

Řízení ICT služeb na bázi katalogu služeb

Řízení ICT služeb na bázi katalogu služeb Řízení ICT služeb na bázi katalogu služeb Jiří Voř katedra IT, IT, VŠE vorisek@vse.cz nb.vse.cz/~vorisek 1 Služby fenomén současné etapy rozvoje společnosti 2 Vlastnosti služeb služby se od produktů liší

Více