1 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce Konektivit Zákldní školy Mteřské školy Bohuslv Reynk, Líp, příspěvková orgnizce - uživtel Zstrlost nšich prostředků ICT nevyhovující bezdrátové spojení mezi budovmi zákldní školy, tělocvičny školní jídelny, ve kterých se ncházejí třídy ZŠ, nás vede k tomu, řešit tuto problemtiku komplexně. S ohledem n stáří nšeho počítčového vybvení (většin 6 více let) serveru jsou nová počítčová učebn s 30 místy pro uživtele nový server s moderní softwrovou výbvou nší velkou prioritou. Obrovským přínosem je pro nás tké relizce některých bezpečnostních prvků v oblsti ICT. Prvidelně orgnizujeme preventivní kce osvětu nšich žáků v souvislosti s ochrnou dt, duševního vlstnictví, osobních údjů fotek. Vedeme je k bezpečné komunikci po internetu obezřetnosti při komunikci s neznámými osobmi. Snžíme se tké nbízet žákům lterntivní využití volného čsu (viz nše nbídk zájmových ktivit v ŠD n www.zslip.cz) jko prevenci proti závislosti n počítčových hrách. Bohužel osvět prevence smy o sobě nestčí, proto i vybvení škol prostředky ICT musí držet krok s technickým rozvojem tk, by škol nemusel využití počítčů, tbletů, smrtphonů dlší techniky s ohledem n bezpečnost žáků zkzovt, le mohl jej dostupnými prostředky regulovt. 1 Konektivit školy k veřejnému internetu (WAN) Zjištění kvlitního připojení ke službám veřejného internetu splňující následující minimální prmetry v době ukončení relizce projektu bude relizováno následovně: 1.1. šíře pásm (bndwidth) odpovídjící 128kbps/student nebo 512kbps/počítč nebo tková šířk pásm, která neomezuje provoz zřízení uživtelů zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod již v součsné době pro přibližně 50 už. stnic odpovídá rychlosti připojení 25Mbps, i při nvýšení stnic o 30 PC bude rychlost postčující 1.2. vlstní nebo poskytovtelem přidělené veřejné IPv4 i IPv6 dresy 1.3. plná podpor připojení do veřejného internetu přes protokol IPv4 i IPv6 (dulstck) zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod, v součsné době přiděluje přes protokol IPv4, je připrven n protokol IPv6 1.4. podpor monitoringu logování NAT (RFC 2663) provozu z účelem dohledtelnosti veřejného provozu k vnitřnímu zřízení optření v rámci projektu - bude zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod n zákldě smlouvy
2 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce 1.5. logování přístupu uživtelů do sítě umožňující dohledání vzeb IP dres čs uživtel, to včetně ošetření v přípdě sdílených učeben (prcovních stnic pod.) optření v rámci projektu - bude zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod, přípdně vlstním IT specilistou zřízení (HW) NetFlow Mikrotik CCR-1009 (sond pro předávání informcí NetFlow k poskytovteli) cen HW cen z služby v přípdě, že obsluh zřízení bude n poskytovteli 10.400,- Kč bez DPH 2900,- Kč bez DPH/ měs. pozn. provozní nákld uživtele 1.6. síťové zřízení podporující rte limiting, ntispoofing, ACL/xACL, rozhrní musí obshovt všechny potřebné komponenty licence pro zjištění řádné funkcionlity poskytovtel Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod splňuje 1.7. možnost sndné/utomtické rekonfigurce ACL/FW n zákldě identifikovných útoků poskytovtel Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod splňuje 1.8. podpor DNSSEC IPv6 protokolů pro služby školy dostupné online poskytovtel Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod splňuje 1.9. u softwre firmwre je vyždován dostupnost ktulizcí, zejmén bezpečnostního chrkteru po celou dobu udržitelnosti projektu po dobu udržitelnosti projektu, přípdně i dlouhodobě s ohledem n poždvky tech. vývoje bezpečnosti) budou zjišťovány ktulizce u softwre firmwre 1.10. symetrické připojení bez gregce omezení (FUP) poskytovtel Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod splňuje 1.11. zpojení poskytovtele připojení v bezpečnostním projektu FENIX resp. veřejné dresy využívné školou jsou zpojeny do infrstruktury FENIX zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod 2 Vnitřní konektivit školy (LAN) Vnitřní síťové prostředí školy pořizovné v rámci projektu bude řešeno kombincí pevnou sítí bezdrátovou sítí, již nyní je tková struktur nstven. Pevnou sítí budou propojeny jednotlivé budovy díky centrálnímu spojovcímu objektu (pozn. nyní je spojení mezi budovmi zákldní školy, tělocvičny školní jídelny, ve kterých se ncházejí třídy ZŠ, řešeno bezdrátově je
3 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce nevyhovující). Chodby, vždy dvě ptr, jídeln (jko prostorově výhodný školící prostor) nespecilizovné učebny budou v zájmu zvyšování kvlity výuky k síti připojeny bezdrátově. 2.1. vlidující DNSSEC resolver n strně školy 2.2. zřízení umožňující kontrolu http https provozu, ktegorizci selekci obshu dostupného pro vybrné skupiny uživtel (učitel, žák), blokování nežádoucích ktegorií obshu, ntivirovou kontrolou sthovného obshu optření v rámci projektu - bude zjištěno poskytovtelem Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod, přípdně vlstním IT specilistou Zřízení (HW) Brrcud Web Security Gtewy 410 + 3 - letý EU updte včetně ATD Cen HW + licence n 3 roky 120 899,- Kč + 161 548, - Kč bez DPH Cen z služby v přípdě, že obsluh zřízení bude n poskytovteli 990,- Kč bez DPH/ měs. pozn. provozní nákld uživtele Instlce konfigurce zřízení -------------------- 8.900 Kč bez DPH Povinné minimální bezpečnostní prmetry projektu (bez ohledu typ síťového připojení): 2.3. Monitorování IP (IPv4 IPv6) dtových toků formou exportu provozních informcí o přenesených dtech v členění minimálně zdrojová/cílová IP dres, zdrojový/cílový TCP/UDP port (či ICMP typ) - RFC3954 nebo ekvivlent (npř. NetFlow) systém pro monitorování sběr provozně-lokčních údjů minimálně n úrovni rozhrní WAN, ideálně i LAN) to bez negtivních vlivů n zátěž propustnost zřízeni s kpcitou pro uchování dt po dobu minimálně 2 měsíců 2.4. logování přístupu uživtelů do sítě umožňující dohledání vzeb IP dres čs uživtel viz bod 1.5 2.5. Povinné řešení systému správy uživtelů (Identity Mngement), tj. centrální dtbáze identit (LDAP, AD, pod.) její využití pro utentizci uživtelů (žáci i učitelé) z účelem bezpečného uditovtelného přístupu k síti, resp. síťovým službám. optření v rámci projektu - bude zjištěno službou, přípdně vlstním IT specilistou zřízení (HW) server Fujitsu Primergy TX1310M1 + MS Windows Server Stndrd 2016 cen licence (SW) MS Windows server 2016 cen z služby v přípdě, že obsluh zřízení bude n poskytovteli 41.350,- Kč bez DPH 4.450,- Kč bez DPH z konfigurci
4 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce V oblsti pevné LAN bude projekt poždovné minimální prmetry splňovt následovně: 2.6. Minimální konektivit stnic dlších koncových zřízení 100Mbit/s fullduplex zjištěno již v součsnosti, s ohledem n zvýšení počtu PC ve škole v rámci projektu bude v rámci projektu zjištěno zpojení serveru u nové PC učebny kpcitně vhodným připojením typ zřízení (HW) cen cen z zpojení zřízení Není zpotřebí, řešeno v bodě 2.10 ----------- -------------------- 2.7. Strukturovná kbeláž pro připojení prcovních stnic dlších zřízení 2.8. Páteřní rozvody mezi budovmi v reálu relizovány prostřednictvím optických, metlických vláken popř. bezdrátovými spoji v licencovném pásmu (povolení ČTÚ) zjištěno již nyní ve stávjících budovách, ve spojovcím objektu bude řešeno součsně při výstvbě společně s elektrickými rozvody, pozn. propojení budov optickým kbelem 2.9. Minimální konektivit serverů, ktivních síťových prvků, bezpečnostních zřízení, NAS 1Gbit/s fullduplex optření v rámci projektu - bude zjištěno novým serverem- viz bod 2.5 2.10. Aktivní prvky (centrální směrovče centrální přepínče; L2 i L3) s neblokující rchitekturou přepíncího subsystému (wire speed), podpor 802.1Q VLAN, podpor 802.1X, rdius bsed MAC utentizce, optření v rámci projektu - bude zjištěno zpojením nových Switch zřízeních centrálního routeru typ zřízení (HW) cen cen z zpojení konfigurci zřízení Switch TL SG-5428, 6ks (kvlifikovný odhd) 6 x 6.490 = 38.940,- Kč bez DPH 6x 890,- = 5.340,- Kč bez DPH
5 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce U bezdrátové sítě (wifi) bude projekt nplňovt poždovné minimální prmetry následovně: 2.11. Podpor mechnismu izolce klientů 2.12. Návrh topologie wifi sítě nlýz pokrytí signálem počítjící s konzistentní Wi-Fi službou v příslušných prostorách školy s kpcitmi pro provoz mobilních zřízení pedgogického sboru i studentů optření v rámci projektu - bude zjištěno zpojením nových vysílčů repetrů Wifi pro pokrytí (pozn. s ohledem n délku chodeb, trkt jídelny, 2 ptr v jedné části i suterén s učebnou tech. výchovy bude třeb 8 výše uvedených zřízení) typ zřízení (HW) cen cen z zpojení zřízení UNIFI 2.4/5.4GHz, 20 ks (kvlifikovný odhd) Kontrolér pro UNIFI, instlce, konfigurce 20 x 2.490,- Kč = 49.800,- Kč bez DPH 20 x 690,- Kč = 13.800,- Kč bez DPH (jedná se o montáž konfigurci zřízení) ------------------ 20 x 290,- Kč = 5.800,- Kč bez DPH 2.13. Centrlizovná rchitektur správy wifi sítě (centrální řdič, centrální mngement, tzv. thin ccess pointy, popř. lespoň centrální řešení distribuce konfigurcí s podporou utomtického rozložení zátěže klientů, romingu mezi sprvovné ccess pointy utomtickým lděním knálů síly signálu včetně detekce rekce n non-wi-fi rušení) optření v rámci projektu - bude zjištěno vlstním IT specilistou centrálně 2.14. Podpor protokolu IEEE 802.1X resp. ověřování uživtelů oproti dtbázi účtů přes protokol rdius (npř. LDAP, MS AD ) 2.15. Podpor stndrdu IEEE 802.11n přípdně novějších (c, d), součsná funkce AP v pásmu 2,4 5 GHz 2.16. Podpor WPA2, PoE, multi SSID, ACL pro filtrování provozu optření v rámci projektu - bude řešeno novým serverem jeho softwre vybvením, úvodní konfigurce bude poveden v rámci služby při zpojení instlci nového serveru server cen z zpojení zřízení cen z službu spojenou s počáteční konfigurcí uživtelských účtů V rámci Windows serveru Rdius serveru -------------------------------
6 Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce 3 Dlší bezpečnostní prvky V rámci projektu zároveň zjistíme: 3.1. Identity mngement systémy (IDM) systém správy identit, řízení životního cyklu uživtelů, integrce do provozních bezpečnostních systémů optření v rámci projektu - bude zjištěno vlstním IT specilistou díky AD (Active Directory) ve WinServer 2016 3.2. Řešení dočsných přístupů (hosté, brigádníci, prktiknti, zákonní zástupci, externí subjekty, blokce Wifi v určitém čse) optření v rámci projektu - bude zjištěno zpojením nových vysílčů repetrů Wifi pro pokrytí viz bod 2.12 3.3. Nástroje pro centrální správu udit ICT prostředků zjištěno částečně již v součsnosti progrmem GLTI, postupně bude veškerá IT technik evidován tímto způsobem 3.4. Systémy zálohování obnovy dt serverové infrstruktury zjištěno již v součsnosti, plánujeme ještě zálohování v externím dtovém uložišti Systémy pro ntivirovou ochrnu zřízení, ntispmovou ochrnu poštovních serverů Zbezpečení přístupových protokolů (SSL/TLS) služeb (npř. emilové služby, webové servery, studijní ekonomické gendy) tp. 3.5. Podpor vzdáleného přístupu (VPN) částečně zjištěno již v součsnosti, připrvujeme dálkové připojení k serveru ztím pro vedoucí prcovníky, později i pro pedgogy Studie byl zprcován ředitelkou školy ve spolupráci s poskytovtelem internetových služeb Metropolitní s.r.o., Chotěbořská 2516, 580 01 Hvlíčkův Brod zstoupenou jedntelem Dvidem Peškem s ředitelem společnosti Aik spol. s r.o. Chotěbořská 2516 580 01 Hvlíčkův Brod pnem Šudomou Oldřichem. * tkto oznčené položky jsou nezpočítné do nákldů projektu, jedná se o nákldy související s provozem, uhrdí uživtel, tj. Zákldní škol Mteřská škol Bohuslv Reynk, Líp, příspěvková orgnizce V Lípě dne 8. 2. 2017... Mgr. Věr Vítková ředitelk školy