VYSOKÁ ŠKOLA: UNIVERZITA PARDUBICE Rozvojový projekt na rok 2007 Formulář pro závěrečnou zprávu Program: Podprogram: 8 Program na rozvoj přístrojového vybavení a moderních technologií 8b) Rozvoj informačních a komunikačních technologií Název projektu: Rozvoj celouniverzitních informačních a komunikačních technologií na Univerzitě Pardubice Období řešení projektu: Od: Leden 2007 Do: Prosinec 2007 (1.etapa) Prosinec 2008 (2.etapa) Březen 2009 (3. etapa) Dotace (v tis. Kč) Celkem: Z toho běžné finanční prostředky: Z toho kapitálové finanční prostředky: Požadavek 8 250 1 650 6 600 Čerpáno 8 250 1 650 6 600 ZÁKLADNÍ INFORMACE Hlavní řešitel Kontaktní osoba Jméno: Ing. Olga Klápšťová Ing. Olga Klápšťová Podpis: Fakulta/Součást Univerzita Pardubice (rektorát) Univerzita Pardubice (rektorát) Adresa/Web: Studentská 95, 532 10 Pardubice www.uni-pardubice.cz Telefon: 466 036 700 466 036 700 Studentská 95, 532 10 Pardubice www.uni-pardubice.cz E-mail: Olga.Klapstova@upce.cz Olga.Klapstova@upce.cz Jméno rektora: prof. Ing. Jiří Málek, DrSc. Podpis: Datum: Razítko školy:
ZPRÁVA O PRŮBĚHU ŘEŠENÍ PROJEKTU Cíle projektu Uveďte předem stanovené cíle a u každého z nich uveďte, do jaké míry byl splněn, případně důvod, proč splněn nebyl. Nasazení výkonného nástroje pro zaznamenávání a zpracování informací o událostech v univerzitní síti Rostoucí počet uživatelů, aplikací a komponent infrastruktury klade vysoké nároky na monitoring jednotlivých procesů a událostí. Na základě vstupních požadavků (především zachování dostupnosti kritických zařízení v sítích, zjištění míry využití šířky pásma, odstranění problémů se směrováním, odhalení bezpečnostních děr apod.) proběhl výběr technologií pro získání nástroje pro zaznamenávání a zpracování informací o událostech v univerzitní síti. Ukázalo se, že pořízení jednoho komplexního nástroje si vyžaduje nejprve výstupy z dílčích monitorovacích systémů, že takovýto nástroj je nákladný a v současnosti není v našich finančních možnostech ho pořídit a dále ho udržovat. Proto jsme zvolili distribuovaný monitoring postaven na několika vzájemně se doplňujících produktech, které jsou vhodné pro konkrétní systémy infrastruktury UPa. Produkt Nagios (open source) je nástrojem pro monitorování sítí. Je však určen zejména pro sledování síťových služeb (SMTP, POP3, HTTP, PING) a zdrojů (zatížení procesoru, využití prostoru na disku) jednotlivých hostitelů. Kromě toho má mnoho dalších funkcí. Například umožňuje definovat síťovou hierarchii, pomocí které je možné rozlišit mezi shozenými a nedostupnými hostiteli. U nás je nastaven tak, aby zasílal zprávy administrátorům (pomocí emailu a SMS zpráv) v případě výskytu problémů. Jako podpůrný nástroj pro monitorování IP toků je provozován open source postavený na metodě NetFlow vyvinuté firmou Cisco. V současné době se jedná o nejrozšířenější průmyslový standard pro měření a monitorování počítačových sítí. NetFlow statistiky vytvořené nad IP provozem poskytují informace o tom, kdo komunikoval s kým, kdy, jak dlouho, jak často, nad kterým protokolem a kolik bylo přeneseno dat. Z placených produktů byla nasazena Kiwi Syslog Daemon utilita, která přijímá, filtruje, zaznamenává, zobrazuje a přenáší Syslog zprávy a SNMP trap z routerů, hubů, switchů, UNIX serverů a z dalších syslog zařízení. V rámci projektu došlo také k rekonfiguraci produktu MS SMS (Microsoft Systems Management Server), který slouží k managementu a monitoringu serverů a klientských stanic s instalovanými produkty firmy Microsoft. Nejdůležitějším monitorovacím nástrojem pořízeným v rámci projektu pro potřeby univerzitní sítě založené především na přepínačích Cisco je produkt CiscoWorks Campus Edition. Jeho součástí je CiscoWorks LAN Management Solution (LMS), který umožňuje správu virtuálních sítí (VLAN), automaticky zjišťuje a zobrazuje topologii sítě a její změny, provádí distribuci, aktualizaci a archivaci řídicího softwaru jednotlivých zařízení a detekuje bez složité konfigurace obecné problémy, které v síti vznikají. Pomocí těchto nástrojů lze monitorovat události univerzitní sítě. Pro potřeby zaznamenávaní logů bylo ještě nutné pořídit diskové kapacity, proto byly zakoupeny disková pole NAS od firmy Dell. Analýza, vyhodnocení, dodávka a instalace prvků pro realizaci PKI infrastruktury zapojené do struktury CESNET PKI V rámci projektu budování PKI infrastruktury proběhla analýza potřeb v oblasti nasazení elektronického podpisu v prostředí UPa. V březnu 2007 byly na poradě vedení prezentovány možnosti řešení vybudování PKI infrastruktury a dále proběhla diskuse, jejímž cílem bylo určit, komu by se certifikáty vystavovaly, k jakým účelům by sloužily a jaký typ certifikátu by bylo potřeba použít. Základní okruhy analýzy, kterými jsme se zabývali, lze popsat v těchto bodech: Rozhodnutí o samotném řešení PKI (samostatná včetně TSA autorita pro vydávání časových razítek, RA Cesnetu, od komerční CA, ) Organizace PKI na UPa (organizační, finanční, personální, technické a prostorové nároky) Otázka uložení certifikátů - náklady versus bezpečnost Výběr aplikací (včetně případných vyjádření právních a ekonomických auditorů) Zpracování certifikační politiky a prováděcích směrnic na UPa Archivace - Důvěryhodná archivační autorita TAA Dále proběhlo několik jednání s pracovníky CESNETu, kteří provozují CESNET CA, která vydává osobní certifikáty pouze osobám zúčastněným na výzkumných projektech CESNETu, správcům systémů a služeb provozovaných členy sdružení a institucemi zúčastněnými na výzkumných projektech CESNETu a zaměstnancům CESNETu. Uvažovali jsme o certifikaci vlastního registračního úřadu pod CESNET CA, avšak toto řešení je ze strany CESNETu chápáno jako
dočasné a pro nás by bylo neúměrně drahé za stávajících licenčních podmínek. Z pohledu požadavků na zaměstnance potenciální řešitele projektů se dále ukazuje, že bude nutné, aby měli k dispozici také kvalifikované certifikáty vydávané akreditovaným poskytovatelem certifikačních služeb. S ohledem na velké množství nejasností v samotném zadání potřeb, nejasností v oblasti financování a organizačního pokrytí celého projektu jak na straně CESNETu, tak na straně UPa, byla tato část projektu odložena a finanční prostředky byly použity na nákup technologií podporujících virtualizaci a rozvoj počítačové sítě a na úpravy aplikací, které by v dalších letech měly využívat elektronický podpis. Doplnění a inovace hardwarových technologií (aktivní prky, servery) Tento cíl projektu byl splněn v plném rozsahu. V dubnu 2007 byly pořízeny aktivní prvky Cisco určené do Univerzitní knihovny a aktivní prvky pro dislokované pracoviště FCHT v Doubravicích. Pro rozšíření stávajícího řešení vizualizace serverů byly pořízeny dva výkonné servery Dell, na kterých je pod VMware provozována centralizovaně jedna instalace DB Oracle Enterprise Edition pro všechny aplikace, které pracují nad DB Oracle 10g. Dále byly pořízeny servery k diskovým polím, které slouží jako zálohovací a souborové servery. Zajištění bezpečnosti klientů licencovanými antivirovými nástroji V roce 2007 jsme opět investovali finanční prostředky do dalších licencí aplikace Symantec Antivirus Corporate Edition, která pomáhá proaktivně chránit univerzitu před kombinovanými hrozbami a před spywarem. V současné době máme zakoupeno 1 500 licencí, které pokrývají většinu zaměstnaneckých pracovních stanic a počítačů v počítačových učebnách. Možnosti centralizované konfigurace, správy zásad, upozorňování na překročení nastavených mezí a protokolování usnadňují práci správců a nabízejí celkový přehled o stavu zabezpečení klientů v organizaci. Jediná aktualizace pro antivirovou ochranu, bránu firewall a prevenci narušení od jednoho dodavatele umožňuje univerzitě rychleji reagovat na komplikovaná ohrožení zabezpečení. Další licence pro nové počítače a obnovu produktu Symantec Antivirus Corporate Edition, kterého nástupcem je SEP11 Symantec Endpoint Protection, plánujeme pořizovat také v roce 2008. Analýza a výběr systému pro správu obsahu (CMS ) Počátkem roku 2007 proběhlo poptávkové řízení na výběr dodavatele systému pro správu internetového a intranetového obsahu (CMS) Univerzity Pardubice podle 6 zákona o veřejných zakázkách č. 137/2006Sb., ve znění pozdějších předpisů. Požadovanými vlastnostmi bylo, aby systém byl postaven na J2EE technologii, aby proběhla analýza komunikační internetové strategie UPa, aby byl grafický návrh intranetového řešení v souladu s jednotným vizuálním stylem UPa a aby vybrané řešení bylo integrovatelné se stávajícími systémy UPa. Ze čtyř nabídek byl vybrán produkt Aladin od firmy Český Web, a.s. Po podpisu Smlouvy o dílo a Licenční smlouvy proběhla vstupní analýza informační politiky UPa, na základě které byl zpracován dokument Komunikační internetová strategie UPa jako základní zadání pro následnou přípravu intranetu zaměstnaneckého, studentského a univerzitního webu. V průběhu roku 2007 probíhaly vývojové práce na zakázkových úpravách a příprava integrace zaměstnaneckého intranetu s aplikačním prostředím UPa. Integrace a pilotní provoz ubytovací agendy Na základě výběru dodavatele ubytovacího systému pro SKM UPa proběhla implementace a nasazení do ostrého provozu. Vybrané řešení produkt ISKaM od firmy ApS Brno s.r.o. byl vybrán na základě ekonomické výhodnosti daného řešení a také na základě vhodnosti funkční a technického řešení. Ve spolupráci s pracovníky SKM byl systém integrován do prostředí UPa, zaveden a od dubna 2007 je již používán v ostrém provozu. Rozšíření informačního systému Univerzity Pardubice o moduly podporující řízení VVŠ, studium, vědu a výzkum V rámci projektu roku 2007 byly provedeny úpravy modulů související s přechodem na novou verzi DB Oracle a s virtualizací infrastruktury. Dále byla instalována centrální autorizační služby, která umožňuje ověření a jednotné přihlášení do IS podporujících řízení VVŠ. Jako nový modul byl implementován registr smluv, který zajišťuje centrální evidenci smluv a umožňuje sledovat workflow spojené se smlouvami. Byly zpracovány úpravy a rozšíření modulu k inventarizaci majetku, k modulům cestovních příkazů, objednávek a osobní bibliografické databáze (OBD).
Zajištění školení a vzdělávání pracovníků, poradenství a posudků ve vazbě na implementované systémy a legislativní změny Kontrolovatelné výstupy V souvislosti s řešením projektu proběhla školení pracovníků a konzultace se zaměřením na nové produkty a služby. Dále bylo zpracováno firmou Fubar a.s. konzultační doporučení Návrh rozvoje MAN sítě Univerzity Pardubice s dlouhodobým výhledem, které bude sloužit jako návod na další kroky v rozvoji komunikační infrastruktury a poskytovaných služeb. Uveďte stanovené kontrolovatelné výstupy projektu a do jaké míry byly splněny, případně důvod, proč splněny nebyly. Zprávy a výkazy o bezpečnostních incidentech. Dokumentace, hledání slabých míst a plánování rozvoje sítě. Instalace specializovaných nástrojů na zaznamenávání a zpracování informací o událostech v počítačové síti umožňuje odhalovat pachatele bezpečnostních incidentů a uživatele s rizikovým chováním, kteří jsou poučeni preventivně. V případě preventivního poučení je uživatel předvolán a je s ním sepsán Zápis o poučení uživatele datové sítě Univerzity Pardubice, ve kterém uživatel podepíše, že byl na základě statistiky používání svého internetového připojení preventivně poučen o možných síťových incidentech a byl poučen o možných způsobech jejich vzniku. V případě incidentu je jeho iniciátor rovněž poučen a zavazuje se k uposlechnutí nápravných opatření uvedených v protokolu. Nejčastější incidenty jsou řešeny v souvislosti s velkými objemy dat, které jsou uživatelem sdíleny, proto je poučen především o závažnosti porušování autorských práv, ochraně své identity a neanonymnosti svého chování. V roce 2007 bylo řešeno a zdokumentováno 13 prokazatelných incidentů a 20 poučení. Dále byla doplněna dokumentace sítě a vytvořen koncepční dokument rozvoje pro další roky. Vybrané řešení pro realizaci PKI infrastruktury ve zkušebním provozu Tento výstup nebyl splněn, protože v průběhu analýzy možných řešení a specifikace skutečných potřeb UPa se ukázalo, že v současnosti není k dispozici řešení, které by bylo možné nasadit a bylo přínosné pro chod UPa a finančně akceptovatelné. Certifikační autorita CESNETu je určena pouze pro zaměstnance a řešitele projektů CESNETu. Zřízení registrační autority na UPa by bylo finančně náročné s ohledem na licenční podmínky stávajícího řešení CA CESNETu. Proto jsme realizaci PKI infrastruktury odložili a finanční prostředky plánované pro tuto oblast účelně použili na rozvoj počítačové sítě a na úpravy aplikací. Zvýšení monitoringu, dostupnosti a bezpečnosti provozovaných IS, zajištění prostupnosti telefonní ústředny Doplnění a výměna síťový aktivních prvků zajišťujících vyšší rychlost, zajišťujících připojení nových přípojných míst, lepší správu, řízení a kvalitu připojení umožňuje také zvýšený monitoring, dostupnost a bezpečnost provozovaných IS. V rámci projektu jsme investovali do aktivních prvků na Univerzitní knihovně, která je hojně využívána také jako internetová studovna s přístupem do specializovaných elektronických informačních zdrojů. Dále byly pořízeny aktivní prvky pro katedry FCHT lokalizované v části Pardubic Doubravice, kde jsme také pořídili zařízení pro IP telefonii. Metodika pro správu obsahu (CMS) V rámci projektu byl vybrán produkt pro řízení obsahu a vznikla metodika komunikační internetové strategie. Byla zpracována technická analýza jako dokument popisující metodiku technické implementace řešení CMS Aladin do infrastruktury UPa. Dále byla zpracována metodika správy CMS pro správce a redaktory. Provoz integrované ubytovací agendy v akademickém roce 2007/8 Tento výstup byl splněn již v dubnu 2007, kdy se začala nejprve v ověřovacím provozu a následně v ostrém provozu používat ubytovací agenda ISKaM od firmy ApS Brno s.r.o. Výstupy k přípravě výročních zpráv, k operativnímu řízení a k podpoře studia, vědy a výzkumu Rozvoj manažerské nadstavby VERSO nám v roce 2007 umožnil automatizaci výstupů pro výroční zprávu v oblasti studia a ekonomické nadstavby. V rámci operativního řízení byly zpracovány procesy spojené s automatizací workflow cestovních příkazů a inventarizace majetku. V rámci podpory studia vznikly statistické výstupy dle požadavků vedení univerzity. Dále byly doplněny výstupy podporující vědu a výzkum z modulu Projekty a granty a OBD (osobní bibliografická databáze).
Odborné semináře a školení, analýzy a posudky Pracovníci UPa absolvovali cca 25 odborných seminářů a školení spojených s řešením projektu. Byl zpracován dokument Návrh rozvoje MAN sítě Univerzity Pardubice s dlouhodobým výhledem. Změny v řešení Přehled o pokračujícím projektu Pokud došlo v průběhu řešení ke změnám, uveďte je, vysvětlete příčinu, v případě, že jste žádali o jejich povolení MŠMT, uveďte čj.vyřízení této žádosti. č. 1 2 3 4 Jednotlivé změny (přidejte řádky podle potřeby) Nesplnění výstupu Vybrané řešení pro realizaci PKI infrastruktury ve zkušebním provozu Změna v poměru čerpání položky Mzdové náklady Přesun 500 Kč v rámci běžných finančních prostředků Zdůvodnění (případně čj. vyřízení žádosti na MŠMT) Tento výstup nebyl splněn, protože v průběhu analýzy možných řešení a specifikace skutečných potřeb UPa se ukázalo, že v současnosti není k dispozici řešení, které by bylo možné nasadit a bylo přínosné pro chod UPa a finančně akceptovatelné. Proto jsme realizaci PKI infrastruktury odložili a finanční prostředky plánované pro tuto oblast účelně použili na rozvoj počítačové sítě a na úpravy aplikací. V původním zadání projektu byla celková částka 500 tis. Kč na mzdové náklady nesprávně rozpočítána mezi mzdy a odvody. Po konzultaci s paní Mgr. Gondkovou z MŠMT při zachování celkové částky 500 tis. Kč proběhlo čerpání v souladu s platnými předpisy pro výpočet odvodů na sociální a zdravotní pojištění. V rámci mzdových nákladů nebylo dočerpáno 500 Kč, které byly přesunuty do položky Služby a náklady nevýrobní. Pokud se jedná o pokračující projekt, uveďte, od kdy se realizuje a kolik finančních prostředků již bylo vyčerpáno. V případě, že je plánováno pokračování projektu v dalších letech, uveďte výhled do budoucna. Rok realizace Čerpání fin. prostředků (souhrnný údaj) 2006 6 972 tis. Kč 2007 8 250 tis. Kč 2008 11 256 tis. Kč Poznámka (případně výhled do budoucna) 1.etapa virtualizačních řešení pro konsolidaci serverů, doplnění dalších modulů stávajících aplikací, jejich další rozvoj a integrace, vytvoření a rozšíření vzájemných vazeb aplikací, provázání dalších aplikací na centrální registr osob, informační bezpečnost provozovaných řešení. doplnění technologií a inovace hardwarových zajištění kvalitních centrálních zálohovacích a monitorovacích služeb datové sítě Upa vybudování počítačové infrastruktury, která umožní připojení studentů na počítačovou síť na všech pokojích bloku kolejí D doplnění a inovace hardwarových technologií (aktivní prky, servery) dle požadavků bezpečnostní politiky Upa zajištění audiovizuálního vybavení do dosud nevybavených poslucháren dle požadavků fakult zajištění bezpečnosti stávajících a nových klientů licencovanými antivirovými nástroji zavedení intranetu pro studenty a zaměstnance UPa a tvorba nové webové prezentace nové WWW stránky Upa analýza, výběr a ověření portálové technologie pro potřeby IS Upa plnění požadavků dalšího rozvoje stávajících klíčových provozních a vzdělávacích aplikací integrovaného IS
2009 8 500 tis. Kč 2010 10 000 tis. Kč integrace, propojení aktivních prvků v nových objektech UPa, další IPS sonda antivirové licence SLA poplatky napojení portál CMS zajištěné lepší informovanosti o studiu, vědě a výzkumu a činnosti UPa zasíťování pavilónu B kolejí rozšíření a upgrade VPN koncentrátoru zajištění VPN nejen pro zaměstnance, ale také v plné míře pro studenty firewall pro kolejní LAN bezpečnější služby kolejní sítě distribuční aktivní prvky např. pro knihovnu antivirové licence SLA poplatky další rozvoj univerzitního informačního systému a portálu zasíťování pavilónů kolejí E a G. 2011 8 000 tis. Kč rozvoj a inovace centrální aktivních prvků sítě a telefonní ústředny antivirové licence SLA poplatky zavedení nové technologie karty studenta a zaměstnance (bezkontaktní i kontaktní, nesoucí kvalifikované certifikáty pro elektronické podepisování dokumentů) Specifikace čerpání finanční dotace na řešení projektu Přidělená dotace na řešení projektu - ukazatel I (v tis. Kč) Čerpání dotace (v tis. Kč) 1. Kapitálové finanční prostředky celkem 6 600 6 600 1.1 Dlouhodobý nehmotný majetek (SW, licence) 1.2 Samostatné věci movité (stroje, zařízení) 2 350 2 350 4 250 4 250 2. Běžné finanční prostředky celkem 1 650 Mzdové náklady: 2.1 Mzdy (včetně pohyblivých složek) 2.2 Odměny dle dohod o pracích konaných mimo pracovní poměr 2.3 Odvody na sociální a zdravotní pojištění a na tvorbu soc. fondu Ostatní: 2.4 Materiální náklady (včetně drobného majetku) 2.5 Služby a náklady nevýrobní 2.6 Cestovní náhrady 2.7 Stipendia 325 370 0 0 175 129,5 0 0 1 120 1 120,5 30 30 0 0 3. Celkem běžné a kapitálové finanční prostředky 8 250 8 250
Bližší zdůvodnění čerpání v jednotlivých položkách Číslo položky (viz předchozí tab.) Název výdaje Částka ( v tis. Kč) 1.1 Licence aplikace Symantec Antivirus Corporate Edition 314 SW produkt CiscoWorks Campus Edition 314 Licence aplikace Symantec Enterprise Vault 103 Ubytovací SW - ISKaM 450 Licence a implementace produktu CMS Aladin 940 Moduly a upgrade modulů ekonomického IS 229 1.2 Aktivní prvky pro Univerzitní knihovnu a dislokované pracoviště FCHT Doubravice 684 2 ks provozních diskových polí NAS 777 Server Dell 1660 + notebook 259 2x Dell servery pro VMWare 2 071 Doplnění HW pro virtualizaci 459 2.1 Odměny řešitelům projektu 370 2.3 Odvody na sociální a zdravotní pojištění 129,5 2.5 Rozšíření a konzultace mzdové agendy 18,5 Konzultační doporučení Návrh rozvoje MAN sítě Univerzity Pardubice s dlouhodobým výhledem a školení k novým produktům sítě Tvorba grafických návrhů a šablon 10 Implementační služba open source centrální autorizační služby 84 Konzultační služby a školení produktů podporujících řízení VVŠ, studium, vědu a výzkum Školení administrátorů produktu CMS Aladin 50 Školení a podpora implementace DB Oracle Enterprise 10g 154 Školení a konzultace v rámci ekonomického IS 238 2.6 Cestovní náhrady spojené s řešením projektu 30 170 396