Verze 1.00
Obsah 1 ÚVOD... 3 1.1 Připojovací infrastruktura... 4 1.2 Centrální místo služeb KIVS... 6 2 POPIS CMS... 8 2.1 Funkční bloky CMS... 8 2.2 Základní služby CMS... 9 2.2.1 Služby zajišťující konektivitu... 10 2.2.2 Služby externího propojení... 10 2.2.3 Služba elektronické pošty... 10 2.2.4 Služby síťové podpory... 11 2.3 Služby informační bezpečnosti CMS... 11 2.4 Popis realizace služeb CMS... 13 3 DEFINOVANÉ KOMUNIKAČNÍ TOKY V CMS... 15 3.1 Propojení lokalit VPN... 15 3.1.1 ISP komunikace... 15 3.1.2 Přímá komunikace... 16 3.1.3 Řízená komunikace... 16 3.2 Připojení do zákaznické VPN pomocí IPSec přes Internet... 17 3.2.1 Připojení do VPN... 17 3.2.2 Připojení do CMS... 17 3.3 Připojení hostingu DMZ2... 17 3.3.1 Přímé připojení... 17 3.3.2 Řízené připojení... 18 3.3.3 Realizace DMZ2... 19 3.3.4 Komunikační toky... 19 3.4 Připojení hostingu DMZ1... 20 3.5 Přístup k Internetu... 21 3.5.1 Přístup k bezpečnému sdílenému internetu... 21 3.5.2 Přístup k čistému internetu... 21 3.5.3 Přístup ke službě TESTA... 22 3.6 Služby CMS... 23 3.6.1 Přístup ke sdíleným službám CMS... 23 3.6.2 Přesný čas... 23 3.6.3 Jmenné služby... 23 3.6.4 SMTP služby... 23 3.6.5 HTTP služby pro bezpečný internet... 24 3.6.6 Proxy služby pro bezpečný internet... 24 3.6.7 Statistiky a Dohled... 24 3.6.8 Management... 24 4 ADRESACE CMS... 25 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 2 z 25
1 Úvod Komunikační infrastruktura Informačních systémů veřejné správy (dále jen KIVS ) je založena na Koncepci KIVS, která byla schválena usneseními vlády č. 1156, č. 1270, č. 1453. Koncepce KIVS byla připravená na přelomu let 2006 a 2007 a uvedená do života v roce 2007. Nová koncepce KIVS je zaměřena na významné posílení koordinovanosti jednotlivých složek veřejné správy v procesech využívání a rozvoje komunikační infrastruktury, což ve výsledku vede k efektivnějšímu vynakládání veřejných (státních) finančních prostředků v této oblasti. Nová koncepce je přijata na čtyřleté období do roku 2011 s důrazem na zavedení konkurence poskytovatelů služeb, koordinaci rozvoje a odstraňování komunikačních bariér mezi složkami veřejné správy a postupnou migraci na perspektivní a nákladově efektivnější koncepčně technologická řešení. KIVS primárně slouží ke garantované, bezpečné a auditovatelné výměně informací mezi jednotlivými orgány veřejné správy (dále jen VS ). KIVS poskytuje všechny potřebné služby ke komunikaci v celé VS a poskytuje služby pro komunikaci v rámci Evropské unie (dále jen EU ), a to jak s orgány veřejné správy jednotlivých členských států, tak s orgány EU. KIVS je navržena jako centralizovaná komunikační infrastruktura s Centrálním místem služeb (dále jen CMS ), které je jediným místem výměny dat mezi jednotlivými informačními systémy veřejné správy (dále jen ISVS ) a zároveň jediným místem propojení k veřejné síti internet a specifických neveřejných sítí, např. sítí Evropské unie (dále jen EU ). Koncept KIVS znázorněný na následujícím schématu je tvořeno dvěma základními částmi: Připojovací infrastrukturou k místu výkonu veřejné moci, která zajišťuje: o vlastní telekomunikační služby (datové a hlasové linky a specifické služby typu housing/hosting) jakožto komodity jak na komerční tak nekomerční bázi, o propojení jednotlivých telekomunikačních infrastruktur (zejména operátorů) poskytujících služby pro KIVS. Společná část KIVS Centrální místo služeb KIVS, které tvoří jeden ze základních stavebních prvků celé KIVS a realizuje služby pro výměnu dat a služeb mezi jednotlivými ISVS, resp. umožňuje, aby každý pracovník VS prostřednictvím služeb CMS získal efektivnější přístup k informacím, na které má dle platné legislativy nárok. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 3 z 25
1.1 Připojovací infrastruktura Klíčovou součástí Připojovací infrastruktury je propojovací sít poskytovatelů (též PSP nebo InterConnect). Tato propojovací síť (sestávající v principu z vysoce výkonných redundantně zapojených hraničních routerů) tvoří jediné logické místo propojení jednotlivých operátorů telekomunikačních infrastruktur poskytujících služby pro KIVS (zejména datové služby a služby telekomunikačních center typu housing/hosting - dále též HC). Vybudovaná propojovací síť poskytovatelů současně umožňuje realizaci projektů vedoucích k zapojení dalších telekomunikačních infrastruktur vlastněných nebo spolufinancovaných státem do infrastruktury KIVS a zpřístupnění kapacit a služeb těchto dalších telekomunikačních infrastruktur subjektům veřejné správy. Klíčovými v současnosti propojenými infrastrukturami tohoto typu jsou zejména telekomunikační infrastruktura MV ČR a síť MF ČR umožňující (díky tomuto propojení) vysokokapacitní propojení centrálních lokalit orgánů státní správy na služby CMS bez nutnosti využívat služeb komerčních operátorů. Průběžně jsou posuzovány také možnosti zapojení a využití dalších metropolitních a lokálních infrastruktur velkého i malého rozsahu, které po zapojení dále výrazně rozšíří možnosti KIVS pro koncové subjekty jak co přenosové kapacity, tak co do územního pokrytí, při současně výrazně výhodnějších nákladových podmínkách než je tomu při nákupu služeb u komerčních operátorů. Propojovací sít poskytovatelů vytváří mimo jiné pluralitní prostředí v rámci kterého je možné čerpat jednotlivé vlastní telekomunikační služby v tomto případě zejména datové linky a služby housing od různých komerčních operátorů i nekomerčně s využitím připojených nekomerčních infrastruktur 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 4 z 25
(např. připojení přes infrastruktury MV ČR, a MF ČR) a to i v rámci jednoho subjektu (subjekt využívá v jednotlivých lokalitách zejména nákladově nejvýhodnějších připojení aniž by byl vázán na jednoho poskytovatele - koncept univerzální koncové přípojky). Jednotlivé telekomunikační služby jsou nahlíženy jakožto komodity specifikované jednotlivými katalogovými listy, které zahrnují pro CMS klíčové datové služby: IP VPN (přípojka IP VPN, symetrickou rychlostí do 8 Mbps; Přípojka IP VPN, symetrickou rychlostí nad 10 Mbps včetně; přípojka IP VPN, nesymetrickou rychlostí - DSL) Housing a hosting Doplněné o služby lokální připojení k Internetu (služba lokálního Internetu, připojení symetrickou rychlostí do 8 Mbps; služba lokálního Internetu, připojení symetrickou rychlostí nad 10 Mbps včetně; Služba lokálního Internetu, připojení nesymetrickou rychlostí - DSL) Z technologických a historických důvodů je spektrum datových telekomunikačních služeb rozšířeno o další používané technologie: Dark Fibre lease Pronajaté okruhy (LL Net) Služba nestrukturovaných pronajatých analogových okruhů Virtuální kanály ATM Ethernet Permanentní virtuální kanály FR. Portfolio telekomunikačních služeb je doplněno o hlasové služby zahrnující Pevná telefonní analogová přípojka do JTS, ISDN2, ISDN30, PCM2MB, hlasové VPN a barevné linky (bílé, zelené modré, žluté). S ohledem na technologický rozvoj a s ohledem na zpětnou vazbu v podobě zkušeností a potřeb koncových uživatelů služeb je prováděna aktualizace výše uvedeného potfólia služeb jak z hlediska typů služeb, tak z hlediska parametriky již existujících služeb (např. nové dostupné rychlostní profily datových linek, nová potřebná SLA apod.). Komerční telekomunikační služby (služby poskytované komerčními poskytovateli telekomunikačních služeb) jsou zajišťovány na základě Rámcové smlouvy na poskytování datových služeb Komunikační infrastruktury Informačních systémů veřejné správy a Rámcové smlouvy na poskytování hlasových služeb Komunikační infrastruktury Informačních systémů veřejné správy uzavřených mezi Ministerstvem vnitra 1 (jakožto centrálním zadavatelem) na jedné straně a mezi společnostmi Telefónica O2 Czech Republic, a.s., GTS NOVERA a.s. a T-Systems Czech Republic a.s. společně se společností ČD Telematika a.s. jako poskytovateli na straně druhé. 1 Na základě zákona č. 110/2007 Sb., o některých opatřeních v soustavě ústředních orgánů státní správy, souvisejících se zrušením Ministerstva informatiky a o změně některých zákonů, přešla na Ministerstvo vnitra pravomoc Ministerstva informatiky České republiky ve věcech vztahujících se k Usnesením Vlády ČR; dnem 1. června 2007 přešly v souladu s článkem 3.6. písm. c) Rámcových smluv veškerá práva a povinnosti vyplývající z Rámcových smluv z Ministerstva informatiky na Ministerstvo vnitra. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 5 z 25
Rámcové smlouvy byly uzavřeny v souladu s Usneseními Vlády ČR ve smyslu 3 odst. 1 písm. b) zákona č. 137/2006 Sb., o veřejných zakázkách, v platném znění (dále jen ZVZ ) a dalšími relevantními právními předpisy za účelem zajištění poskytování služeb v rámci KIVS pro ústřední orgány státní správy, organizační složky státu a jejich příspěvkové organizace, příp. jiné subjekty veřejné správy pro Ministerstvo vnitra a zprostředkovaně také pro další subjekty veřejné správy, které o zajištění takové činnosti Ministerstvo vnitra požádají(-ly) a uzavřou(-ely) s Ministerstvem vnitra za tím účelem příslušnou smlouvu. Ministerstvo vnitra v souladu s Usneseními Vlády ČR ve smyslu 3 odst. 1 písm. a) ZVZ provádí jednotlivá zadávací řízení a zadává veřejné zakázky na poskytování služeb v rámci KIVS na účet jednotlivých ústředních orgánů státní správy, organizačních složek státu a jejich příspěvkových organizací a s jednotlivými ústředními orgány státní správy, organizačními složkami státu a jejich příspěvkovými organizacemi uzavřelo příslušné dohody o centrálním zadávání, jež Vláda České republiky svým usnesením č. 1453 ze dne 12.12.2006 uložila členům vlády a vedoucím ostatních ústředních orgánů státní správy uzavřít s Ministerstvem informatiky, jako právním předchůdcem Ministerstva vnitra. Ministerstvo vnitra v souladu s Usneseními Vlády ČR ve smyslu 3 odst. 1 písm. a) ZVZ provádí zadávací řízení a zadává veřejné zakázky na poskytování služeb v rámci KIVS také pro další subjekty veřejné správy, které o zajištění takové činnosti Ministerstvo vnitra požádají a uzavřou s ním za tím účelem příslušnou smlouvu. 1.2 Centrální místo služeb KIVS Centrální místo služeb slouží k propojení subjektů státní správy, vzájemnému propojení komunikace mezi sebou, řízeným přístupem k Internetu nebo jiných síti (např. poskytovatelé telekomunikačních služeb KIVS, síť MVČR, TESTA, ) CMS je navrženo jako geograficky redundantní komunikační infrastruktura, která slouží k řízenému bezpečnému propojování subjektů veřejné a státní správy mezi sebou a ke komunikaci těchto subjektů s jinými subjekty ve vnějších veřejných či neveřejných sítích, jako jsou Internet nebo komunikační infrastruktura EU (stesta, dále jen TESTA ). CMS umožňuje dělit provoz podle druhu a požadovaného stupně zabezpečení minimálně do dvou bezpečnostních zón s možností nastavení různých bezpečnostních politik. Komunikace z vnitřního IT prostředí Objednatele do vnějšího prostředí (např. Internet) prochází nejméně dvěma technologicky odlišnými firewally. Prostředí CMS splňuje následující požadavky: jediné místo garantovaného, bezpečného a auditovatelného propojení jednotlivých orgánů veřejné správy (dále jen VS ) v rámci KIVS. jediné místo umožňující připojení agend a aplikací uživatelů KIVS jediné místo propojení do sítí EU a Internetu 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 6 z 25
řízení adresního prostoru, řízení síťových služeb (QoS, DNS, NTP, mail, AAA, ) v rámci KIVS redundantní datová konektivita min. 1 Gb/s propojená do dvou nezávislých směrů zakončených na oddělené technologii v různých objektech, komunikační infrastruktura CMS, na které jsou poskytované datové služby, je technicky a v budoucnu geograficky redundantní, k systému správy prvků a služeb je řízený přístup (místní i vzdálený) v prostředí odděleném od uživatelského prostředí technologická dostupnost CMS je 99,99 %. Provoz CMS je zajištěn v souladu s ČSN ISO/IEC 17799:2005 Informační technologie Soubor postupů pro řízení informační bezpečnosti. Logický koncept CMS je uveden na následujícím schématu: 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 7 z 25
2 2.1 Funkční bloky CMS Prostředí CMS je rozděleno na několik následujících základních logických funkčních částí (dále nazývaných funkční infrastruktury - zkráceně infrastruktury), realizujících jeho celkovou funkcionalitu: Infrastruktura Interconnect-E Logická funkční část zajišťující základní konektivitu k externím prostředím Internet a S- TESTA. Zároveň zajišťuje prvotní ochranu prostředí CMS na úrovni firewallové ochrany. Připojení Interconnect-E do Internetu bude řešeno redundantně pomocí technologie AS (Autonomní Systém). Infrastruktura DMZ 1 Logická funkční část realizace demilitarizovaná zóna publikaci aplikací, které mají být publikovány do sítě Internet. Infrastruktura Sdílených služeb: Infrastruktura sdílených služeb vytváří hranici mezi vnitřní a vnější částí KIVS. Vytváří základní prostředí pro připojení Sdílených služeb. Centrální FW Slouží k ukončení VPN zákazníků a zajišťuje jejich bezpečné a řízené připojení k infrastruktuře CMS. Prvek vytváří jednotlivé zákaznické DMZ2. Infrastruktura DMZ 2 Slouží k publikaci služeb zákazníků KIVS jiným zákazníkům nebo do KIVS jako celku. Sdílené služby Slouží pro poskytování základních služeb CMS, např. DNS, LDAP, MTA, NTP. Zajišťuje ochranu proti škodlivému kódu. Infrastruktura Interconnet-I Logická funkční část, která slouží pro připojení jednotlivých providerů. Zde dochází jen k distribuci jednotlivé resortní VPN mezi všechny definované providery. Každý provider služby datová centra, musí datové centrum připojit pomocí této infrastruktury. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 8 z 25
Propojení základní funkční infrastruktury a základní funkční bloky CMS jsou zachyceny na následujícím schématu: V komunikačním prostředí sítě KIVS je možné využívat soubor služeb, realizovaných v CMS (Centrálním Místě Služeb). Služby CMS jsou dle svého zaměření rozčleněny následovně: Základní služby CMS (dále též základní služby), které realizují základní služby CMS poskytované zákazníkům a uživatelům, Služby informační bezpečnosti CMS, které poskytují ve prospěch KIVS a jeho zákazníků služby informační bezpečnosti, nezbytné pro realizaci a bezpečné užívání základních služeb. 2.2 Základní služby CMS Základní služby CMS zahrnují následující služby: Služby zajišťující konektivitu na bázi IP protokolu (dále též IP konektivita): o přímá IP konektivita, Služby externího propojení o bezpečné připojení k Internetu, o bezpečné připojení k síti S-TESTA, o přímé připojení k Internetu o konektivita mezi subjekty KIVS Služba elektronické pošty (dále též E-mail), Služby síťové podpory o jmenné služby (dále též DNS), o služba přesného času, 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 9 z 25
Jednotlivé služby jsou vymezeny v následujících podkapitolách této části dokumentu. 2.2.1 Služby zajišťující konektivitu Přímá IP konektivita zajišťuje standardní způsob připojení zákazníka do sítě KIVS prostřednictvím koncových zařízení stabilně umístěných v lokalitě zákazníka. Provider garantuje připojení do sítě KIVS od tohoto zařízení (koncové zařízení je vždy ve správě providera). 2.2.1.1 Konektivita do CMS Konektivita do CMS zajišťuje přístup z MPLS VPN (KIVS přípojky zákazníka) do prostředí CMS. VPN každého zákazníka je cestou Interconnect-I připojena k Centrálnímu FW CMS. Na tomto Centrálním FW je každému zákazníkovi vytvořen jeho vlastní firewall. Konektivita do CMS je jediným možným přístupem a propojením zákazníka KIVS na služby CMS. 2.2.2 Služby externího propojení Služby externího propojení slouží k realizaci propojení s externími a mezinárodními sítěmi a vzájemného propojení jednotlivých subjektů KIVS. Patří mezi ně: 2.2.2.1 Bezpečné připojení k Internetu Služba bezpečného připojení do Internetu poskytuje standardní internetové služby, jako jsou WWW (HTTP, HTTPS) a některé další informační služby. Datový tok (HTTP, FTP, SMTP) je kontrolován na přítomnost škodlivého kódu a virů. 2.2.2.2 Bezpečné připojení k síti S-TESTA Na základě uzavřené smlouvy mezi EU a jednotlivými resorty je zprostředkováno připojení k EU prostřednictvím sítě S-TESTA. 2.2.2.3 Přímé připojení k Internetu Služba přímého připojení do Internetu (nefiltrovaný nebo také čistý internet) poskytuje standardní internetové služby, jako jsou WWW (HTTP, HTTPS) a některé další informační služby. Datové toky nejsou nijak filtrovány nebo kontrolovány. 2.2.2.4 Konektivita mezi subjekty KIVS Služba zajišťuje realizaci vzájemné konektivity jednotlivých subjektů uvnitř KIVS a to řízeným způsobem (subjekty jsou propojovány na úrovni vlastních FW, s definovanými pravidly). Realizace vzájemného propojení podléhá písemným souhlasům propojovaných subjektů KIVS. 2.2.3 Služba elektronické pošty Služba elektronické pošty zajišťuje předávání zpráv elektronické pošty jak mezi jednotlivými subjekty KIVS, tak mezi subjekty KIVS a uživateli sítě Internet. Služba elektronické pošty poskytuje přenos elektronické pošty (e-mail relay) mezi systémy elektronické pošty jednotlivých subjektů KIVS (např. poštovními servery těchto subjektů). Prostředí CMS bude poskytovat jen službu MTA (Mail Transfer Agent). Veškeré zprávy elektronické pošty, předávané prostředky CMS, jsou prověřovány na přítomnost virů a škodlivého kódu. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 10 z 25
2.2.4 Služby síťové podpory 2.2.4.1 Jmenné služby (DNS) V prostředí CMS budou zajištěny 2 typy jmenných služeb: vnitřní jmenné služby sítě KIVS, externí jmenné služby do sítě Internet Jmenné servery sítě KIVS slouží pro doménu GOV.CZ, domény zákazníků KIVS a zároveň jsou v nich uloženy MX záznamy. MX záznam o poštovním serveru zákazníka obsahuje údaje o doméně zákazníka, IP adresu serveru a údaje o preferencích pro elektronickou poštu. 2.2.4.2 Služba přesného času V rámci CMS, resp. prostředí KIVS bude poskytována služba přesného času na bázi protokolu NTP. Pomocí této služby bude synchronizován čas mezi zařízeními KIVS (aktivní prvky, servery) tak, aby byla zajištěna časová integrita pro auditní záznamy do logů (SYSLOG). Služba přesného času bude poskytována zákazníkům KIVS. Využití služeb přesného času prostředí KIVS je podmínkou pro všechny zákazníky KIVS, kteří budou v prostředí KIVS publikovat nějakou službu ostatním zákazníkům nebo do prostředí internetu. 2.3 Služby informační bezpečnosti CMS Služby této kategorie zajišťují celkovou bezpečnost prostředí CMS a sítě KIVS. Zvolená kategorizace služeb informační bezpečnosti vychází z potřeby rozlišovat mezi službami, které jsou nabízeny zákazníkům a podpůrnými službami. Služby informační bezpečnosti CMS zahrnují: Firewallová ochrana Segmentace sítí - Demilitarizované zóny (DMZ) Ochrana proti škodlivým kódům Systém detekce průniku (IDS) Vysoká dostupnost a redundance Dohled a monitoring 2.3.1.1 Firewallová ochrana Firewally jsou zařízení určená k provádění kontrolovaného a auditovaného přístupu ke službám sítě a to z obou stran (zevnitř i z vnějšku) pomocí povolení, zákazu a/nebo přesměrování toku dat skrz firewall. Veškeré firewally v rámci služby KIVS jsou traffic-filter firewally, jejichž rozhodovací schopnost typicky závisí na zdrojové adrese, cílové adrese, transportním protokolu, zdrojovém a cílovém portu a jsou založeny na filtrování paketů na rozhraní. K prvotnímu odfiltrování útoků ze strany Internetu slouží firewall v části Interconnet-E. Ten je doplněn o funkcionalitu pro ochranu DDoS útoky. Sdílená infrastruktura CMS obsahuje další firewall, který bude realizovat DMZ pro sdílené služby. Tento firewall bude sloužit pro vytváření zákaznických DMZ1 a publikaci aplikací přístupných z internetu. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 11 z 25
Centrální Firewall je dalším firewallem, který zajišťuje ochranu sítě KIVS před útoky: z jednotlivých připojených zákaznických VPN (z vnitřního prostředí KIVS) a zároveň i před útoky z Internetu, které prošly prvním firewallem (Interconnect-E) kvůli možnému technickému selhání tohoto prvku. Na Centrálním FW jsou dále vytvářeny uživatelské DMZ2 pro publikaci aplikací a služeb do infrastruktury KIVS, nebo konkrétním zákazníkům KIVS. 2.3.1.2 Segmentace sítí - Demilitarizované zóny Veškeré servery, připojené do sítě KIVS, mohou být připojeny buď v koncovém bodě zákazníka, nebo do některé z DMZ. V rámci sítě KIVS jsou zřízeny následující DMZ: DMZ1 - slouží k publikaci služeb KIVS a nebo služeb zákazníků KIVS do Internetu, Interní sdílené DMZ - slouží výhradně k zajištění funkcí infrastruktury CMS. DMZ2 - slouží k publikaci služeb zákazníků KIVS jiným zákazníkům nebo do KIVS jako celku. 2.3.1.3 Ochrana proti škodlivým kódům Centrálně jsou v rámci služeb CMS poskytována následující možnosti ochrany proti škodlivým kódům: antivirová ochrana příchozí a odchozí elektronické pošty (služba je volitelná dle potřeb zákazníka), antispamová ochrana příchozí a odchozí elektronické pošty (služba je volitelná dle potřeb zákazníka), služba karantény pro infikovanou elektronickou poštu (služba je volitelná dle potřeb zákazníka), služba antivirové ochrany datového obsahu přenášeného pomocí HTTP protokolu (HTTP, ActiveX, Java, atd.). Služba je opět volitelná dle potřeb zákazníka. 2.3.1.4 Systém detekce průniku IDS je nedílnou součástí služeb CMS. Slouží k detekci možných průniků do prostředí CMS a k identifikaci potenciálně nebezpečných činností. IDS lze rozdělit podle jeho jednotlivých funkčních částí na: Senzory shromažďují údaje o všech událostech, které se vyskytují v prostředí CMS a tato shromážděná data jsou předávána do Analyzátoru. Detekování je na on-line bázi. Skenery shromažďují statické informace o konfiguraci prostředí CMS. Tyto statické informace mohou obsahovat detekované škodlivé kódy, známé zranitelnosti, konfiguraci přístupových práv, atd. Shromážděná data jsou předávána do Analyzátoru. Detekování je na bázi off-line. Analyzátory přijímají data od Sensorů a Skenerů. Přijatá data analyzují s cílem zjistit potenciální průniky a zranitelnosti. Zjištěné výsledky jsou předávány zvolenou formou (generování reportů, výstrahy, změny konfigurací, atd.). 2.3.1.5 Vysoká dostupnost (High Availability) Všechny klíčové prvky, které mohou ovlivnit dostupnost a spolehlivost infrastruktury CMS jsou zdvojeny nebo jinak chráněny proti výpadku. 2.3.1.6 Dohled a monitoring Prostředí CMS je neustále monitorované a to jak z bezpečnostního hlediska, tak z hlediska provozního. Monitorovací nástroje jsou vzájemně provázány s nástroji na správu systému. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 12 z 25
Pro bezpečnostní dohled jsou využívány standardní auditní mechanismy obsažené v použitých OS, kdy se veškeré vygenerované události předávají na centrální SYSLOG server. Vstupem do jednotné databáze SYSLOG serveru je i IDS systém. Provozní dohled je prováděn především na základě protokolu SNMP a umožňuje sledování celkového provozu systému i funkcionalitu jednotlivých prvků. 2.4 Popis realizace služeb CMS Infrastruktura CMC je dominantně realizována na technologiích společnosti CISCO. Následující schémata znázorňují zapojení jednotlivých prvků v CMS: 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 13 z 25
2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 14 z 25
3 Definované komunikační toky v CMS 3.1 Propojení lokalit VPN 3.1.1 ISP komunikace Existující technické řešení předpokládá, že různé lokality jednoho a téhož subjektu v rámci KIVS, připojené přes jednoho poskytovatele, spolu mohou komunikovat i napřímo přes VPN realizovanou pouze přes infrastrukturu daného poskytovatele, tedy nikoliv přes Interconect-I. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 15 z 25
3.1.2 Přímá komunikace V případě přímé komunikace se jedná o přímou komunikaci mezi dvěma lokalitami jednoho a téhož KIVS subjektu, které jsou připojeny přes různé SP. Tato komunikace je realizována prostřednictvím prvku Interconnect-I. 3.1.3 Řízená komunikace V případě řízené komunikace se jedná o řízenou komunikaci mezi dvěma lokalitami jednoho a téhož KIVS subjektu, které jsou připojeny přes různé SP, prostřednictvím centrálního FW vnitřní sítě CMS. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 16 z 25
3.2 Připojení do zákaznické VPN pomocí IPSec přes Internet 3.2.1 Připojení do VPN V tomto případě uživatelé disponují připojením k internetu jehož prostřednictvím přistupují do své VPN. Po připojení získávají mají stejný přístup do KIVS, jako standardní uživatelé z této VPN. 3.2.2 Připojení do CMS V tomto případě uživatelé nedisponují VPN a přistupují ke službám KIVS přímo. 3.3 Připojení hostingu DMZ2 Připojení do DMZ2 je možné realizovat dvěma způsoby: jako přímé připojení nebo jako nepřímé připojení. V rámci subjektu/resortu je možné kombinovat oba typy připojení ovšem s tím, že servery připojené prostřednictvím nepřímého připojení musí s ostatními servery připojenými pomocí přímého propojení komunikovat výhradně přes FW vytvořený na centrálním FW. Vytvoření DMZ2 pomocí nepřímého spojení je preferovanou bezpečnou variantou publikace aplikací ostatním subjektům či do KIVS. Přímé a nepřímé připojení se z pohledu KIVS řídí různými bezpečnostními politikami. V případě nepřímého připojení je Internet dostupný výhradně pomocí centrálního FW. Přímé propojení může mít vlastní přípojku do Internetu od poskytovatele HC. Ochrana je plně v kompetenci zákazníka a danou DMZ se pohlíží jako na nezabezpečenou. 3.3.1 Přímé připojení Přímým připojením je míněna možnost přímé komunikace mezi pobočkou KIVS subjektu a příslušnou sítí v hostingovém centru: 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 17 z 25
Jedná se o umístění serverů v HC, přičemž servery v HC jsou připojeny do prvků providera HC. Aplikace jsou publikovány do KIVS standardním způsobem. K dispozici je vyvažování zátěže prostřednictvím Load Balanceru a SSL terminace. Jedinou konektivitou je konektivita do VPN (lze hovořit o přípojce do VPN v HC). 3.3.2 Řízené připojení Řízeným připojením je míněna řízená komunikace mezi pobočkou KIVS subjektu a příslušnou sítí v technologickém (hostingovém) centru prostřednictvím centrálního firewallu vnitřní sítě CMS. Tento způsob je preferován pro publikování aplikací do subjektů ostatních resortů: V tomto případě je dále k dispozici je vyvažování zátěže prostřednictvím Load Balanceru a SSL terminace. Jedinou konektivitou je konektivita do VPN (lze hovořit o přípojce do VPN v HC). 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 18 z 25
3.3.3 Realizace DMZ2 Infrastruktura DMZ2 je tvořena na centrálním FW, pomoci virtuálního kontextu: Každá takto zřízená DMZ má vlastní definici pravidel, a může být v adresním rozsahu klienta. Pro každou takto vytvořenou DMZ je k dispozici Load Balancer (SLB). 3.3.4 Komunikační toky 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 19 z 25
3.4 Připojení hostingu DMZ1 DMZ1 jsou realizovány na prvcích sdílené infrastruktury. Propojení prvků v DMZ1 a prvku ve vybraném hostingu prochází přes infrastrukturu v podobě VLAN (L2) až do prvku Interconnect-I. Odtud je vedeno do hostingového centra jako samostatné MPLS VPN spojení. V DMZ1 je k dispozici následující funkcionalita: Firewall SSL terminace Load balancing Povinnou funkcionalitou je pouze Firewall, který je dedikovaný pro každého zákazníka. Ostatní funkcionalita je volitelná. Dále v rámci realizace DMZ1 platí následující zásady: Pro komunikaci s DMZ 2 je vždy dedikována adresa. Pro komunikaci klientů z KIVS je dedikována adresa. Pro komunikaci klientů z Internetu je použita veřejná adresa. Při použití veřejné adresy je možné umístění této veřejné adresy přímo na server. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 20 z 25
3.5 Přístup k Internetu 3.5.1 Přístup k bezpečnému sdílenému internetu V tomto případě se jedná o řízený/neřízený přístup k Internetu pro jednotlivé subjekty KIVS: 3.5.2 Přístup k čistému internetu V tomto případě se jedná o připojení internetu bez filtrace, kdy je Internet zákazníkovi veden jako samostatná VPN: 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 21 z 25
3.5.3 Přístup ke službě TESTA Realizace této služby je závislá na konkrétním projektu každého subjektu, který řeší zabezpečení a způsob realizace požadované služby. Pro přístup do sítě TESTA je nutné využívat jmenné služby v CMS, které ukazují na doménu testa.eu a eu-admin.net. Všem zákazníkům je automaticky nakonfigurován přístup na portál TESTA https://portal.testa.eu 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 22 z 25
3.6 Služby CMS 3.6.1 Přístup ke sdíleným službám CMS CMS poskytuje řízený přístup k aplikačním zdrojům a dalším službám CMS tak, jak zachycuje následující schéma: 3.6.2 Přesný čas CMS poskytuje přesný čas jakožto primární zdroj času. 3.6.3 Jmenné služby CMS poskytuje jmenně služby v následujícím rozsahu: Primární DNS server Sekundární DNS Relay DNS 3.6.4 SMTP služby CMS poskytuje služby následující SMTP a související služby: Antivir a antispam per uživatel a doména relay pošty přes KIVS Primární mail server Sekundární mail server 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 23 z 25
3.6.5 HTTP služby pro bezpečný internet CMS poskytuje filtrování obsahu http provozu na nežádoucí obsah. 3.6.6 Proxy služby pro bezpečný internet CMS poskytuje proxy služby IMAP, POP3. 3.6.7 Statistiky a Dohled V rámci služeb statistik a dohledů jsou v CMS dostupné: Statistiky přístupů do internetu Statistiky mailového provozu Statistiky přístupů do DMZ Statistiky datového provozu zákaznických FW Management zákaznických FW Management DNS záznamů. 3.6.8 Management CMS zajišťuje vytvoření management zón v jednotlivých DMZ s tím, že přístup do management zóny je možný z VPN nebo z Internetu. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 24 z 25
4 Adresace CMS Pro potřeby adresace CMS je zvolen privátní adresní prostor 10.240.x.x až 10.255.x.x. Tento adresní prostor nesmí být využit žádný ze subjektů. Pokud je u nějakého subjektu použit, je nutné na straně subjektu provézt konsolidaci adres subjektu do jiného adresního prostoru. V rámci výše uvedeného adresního prostru jsou publikovány také služby a to: služby vlastního CMS v adresním rozsahu 10.254.254.0/24 služby jednotlivých subjektů v adresním rozsahu 10.253.0.0-10.254.127.255. Pro přístup do veřejné sítě Internet je vytvořen autonomní systém č. AS48298 a použit adresní rozsah 94.199.40.0-94.199.48.0. Ministerstvo vnitra je poskytovatelem (providerem) a vlastníkem jak samotného autonomního systému, tak zmíněného adresního prostoru. 2009 BDO IT a.s. OBCHODNÍ TAJEMSTVÍ Strana 25 z 25