CMS 2.0 Koncepce řešení a služeb
Ministerstvo vnitra České republiky Odbor hlavního architekta eGovernment
[email protected]
Verze 1.0 14. 6. 2011
Strana: 1
Revize a změny Záznam o změně Datum
Autor
Verze
Změna
3. 6. 2011
OHA
1.0
Vytvoření první verze
Strana: 2
Obsah Obsah ............................................................................................................................... 3 Tabulka pojmů .................................................................................................................. 5 1 Důvody pro modernizaci Centrálního místa služeb ....................................................... 8 2 Historie přenosové infrastruktury státní správy ......................................................... 10 2.1
Historie do roku 2000 ................................................................................................................ 10
2.2
Historie po roce 2000 ................................................................................................................ 10
2.3
KIVS ............................................................................................................................................ 11
2.4
Integrovaná telekomunikační sítě Ministerstva vnitra a spolupráce s Českou poštou, s.p. ..... 11
3 CMS – současný stav ................................................................................................. 12 4 Nové požadavky na Centrální místo služeb ................................................................ 14 5 CMS 2.0 - koncept a služby ....................................................................................... 15 5.1
Základní definice CMS 2.0 ......................................................................................................... 15
5.2
Popis a definice jednotlivých komunikačních prostředí CMS 2.0 .............................................. 16 5.2.1
Prostředí Internetu .......................................................................................................................... 16
5.2.2
Prostředí KIVS .................................................................................................................................. 16
5.2.3
Prostředí Centrálních eGon služeb .................................................................................................. 16
5.2.4
Prostředí komunikační infrastruktury EU ........................................................................................ 17
5.3
Základní provozní požadavky CMS 2.0 ...................................................................................... 17
5.4 Popis a definice jednotlivých služeb poskytovaných CMS 2.0 pro komunikační prostředí eGovernmentu ...................................................................................................................................... 18 5.4.1
Přístupové služby CMS 2.0 .............................................................................................................. 19
(1) Vytvoření univerzální přípojky KIVS včetně vytvoření VPN OVM mezi různými poskytovateli (původní služba Základní služba CMS, resp.Univerzální přípojka KIVS) ........................................................................ 19 (2) 5.4.2 (1)
Extranet CMS 2.0 (původní služba není) .............................................................................................. 19 Propojovací služby CMS 2.0............................................................................................................. 20 Vytvoření konektoru firewall VPN OVM (původní služba Centrální firewall) ...................................... 20
(2) Realizace připojení lokality OVM do mateřské VPN přes Internet (původní služba Přístup subjektů KIVS do zákaznické VPN přes Internet) .......................................................................................................... 20 (3) Přístup koncových uživatelů OVM do mateřské VPN přes Internet (původní služba Přístup koncových uživatelů subjektů KIVS do zákaznické VPN přes Internet)............................................................................. 21 (4)
Realizace připojení VPN OVM do extranet CMS 2.0 (původní služba neexistuje) ............................... 21
Strana: 3
(5) Přístup koncových uživatelů subjektů OVM menší velikosti do Extranet CMS 2.0 přes Internet (původní služba neexistuje) ............................................................................................................................ 22 (6)
Vzájemné propojení různých VPN OVM (původní služba Propojení s jiným subjektem KIVS) ............. 22
(7)
Vzájemné propojení VPN OVM s VPN S-TESTA (původní služba Služby S-TESTA) ............................... 22
(8)
Bezpečné připojení VPN OVM k Internetu (původní služba Bezpečné připojení k Internetu) ............. 23
(9)
Přímé propojení VPN OVM s Internetem (původní služba Přímé připojení k Internetu) ..................... 23
(10)
DMZ1 (původní služba Služby DMZ1) .............................................................................................. 23
(11)
DMZ2 (původní služba Služby DMZ2) .............................................................................................. 24
(12)
MTA (původni služba Služba Mail Storage) ..................................................................................... 24
(13) Vzájemné propojení informačních systémů centrálních služeb prostředníctvím eGon Service Bus (původní služba neexistuje) ............................................................................................................................ 24
5.5
Orientační převodní tabulka služeb CMS a CMS 2.0 ................................................................. 25
6 CMS 2.0 – architektura řešení .................................................................................... 26
Strana: 4
Tabulka pojmů Název/zkratka
Popis
ADIS
Automatizovaný daňový informační systém
BGP
Border Gateway Protocol
BRZ
Bundesrechenzentrum
CMS
Centrální místo služeb
CMS 2.0
Modernizované Centrální místo služeb
DMZ
Demilitarizovaná zóna
DNS
Domain name server - zajišťuje překlad jmenných adres počítačů na číselnou IP adresu
DS
Datové schránky
DSČP
Datová síť České pošty, s. p.
DWDM
Dense Wavelength Division Multiplexing (Hustý vlnový multiplex)
EC
European community, European Comission
FC
Fibre channel
Firewall
Síťové zařízení k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení.
GE
Gigabit Ethernet
HTTP
HyperText Transfer Protocol - Protokol pro přenos hypertextových dokumentů – je protokol, který je základem WWW - nejznámější služby internetu
HTTPS
Secure HyperText Transfer Protocol – pro připojení k webovému serveru používá šifrovací protokol SSL (Secure Sockets Layer)
IOP
Integrovaný operační program
ISDS
Informační systém datových schránek
ISEO
Informační systém evidence obyvatelstva
Poznámka
Strana: 5
ISVS
Informační systém veřejné správy
ITS
Integrovaná telekomunikační síť Ministerstva vnitra
ITS MV
Integrovaná telekomunikační síť Ministerstva vnitra
IPv4
Internet protokol verze 4
IPv6
Internet protokol verze 6
KIVS
Komunikační infrastruktura veřejné správy
Klaudie
Privátní cloud veřejné správy
LAN
Local area network
MTA
Mail transfer agent
MF
Ministerstvo financí
MPLS
Multiprotocol Label Swapping
MPSV
Ministerstvo práce a sociálních věcí
MV
Ministerstvo vnitra
NIX
Neutral Internet Exchange
NTP
Network Time Protocol
OSPF
Open Shortest Path First
OVM
Orgán veřejné moci
PVS
Portál veřejné správy
QoS
Quality of Services
RPP
Registr práv a povinností
RS CTc
Rámcová smlouva mezi MV a Českým Telecomem
SLA
Service level agreement
S-TESTA
Nová verze TESTA
TCK
Technologické centrum kraje
TESTA
Univerzální komunikační síť EU
VLAN
Virtuální LAN
Strana: 6
VPN
Virtual private network
VPN OVM
VPN orgánu veřejné moci
VS
Veřejné správa
WAN
Wide Area Network
ZR
Základní registry
Strana: 7
1
Důvody pro modernizaci Centrálního místa služeb Jednou z nezbytných podmínek pro fungování eGovernmentu je vhodná komunikační infrastruktura resp. zajištění možnosti dostatečné, ale zároveň bezpečné datové komunikace mezi jeho jednotlivými součástmi a účastníky, tedy zejména komunikace mezi: o o o o o o
Občan – úředník Úředník – uživatel IS s příslušným IS VS nezávisle na lokalitě Úředník konkrétního OVM s úředníkem stejného OVM Úředník konkrétního OVM s úředníkem jiného OVM IS OVM s IS OVM Komunikace se službami v sítích EU
Proto se již od počátku vzniku jednotlivých IS veřejné správy (ISVS) a později i eGovernmentu objevují snahy takovou komunikační infrastrukturu pro veřejnou správu (KIVS) zajistit. Jak je popsáno v dalších kapitolách, tato snaha a realizace jednotlivých „fází“ budování KIVS byla vždy ovlivněna vnějším prostředím a to zejména: o o o o
Aktuálním stavem trhu poskytovatelů komunikačních služeb Aktuálním stavem dostupných technologií Dostupným rozpočtem Mírou spolupráce a koordinace mezi jednotlivými resorty VS
K datu vzniku tohoto dokumentu, je KIVS tvořena (definována): o o o
Rámcovou smlouvu KIVS mezi Ministerstvem vnitra a poskytovateli komunikačních služeb Prováděcími smlouvami mezi provozovatelem a jednotlivými OVM Centrálním místem služeb (CMS)
Tyto komponenty umožňují sdílení dat mezi informačními systémy veřejné správy (ISVS) a poskytují služby potřebné k elektronické komunikaci ve veřejné správě (VS) ČR. V součinnosti s komunikačními systémy EU a členských států EU zajišťují také komunikaci v rámci EU, a to jak s orgány VS členských států, tak s orgány EU. Současné řešení CMS odpovídá možnostem v době jeho plánování a výstavby a také tomu, že se nepodařilo některé chystané kroky dokončit (například geografická redundance). CMS si sebou určitým způsobem nese historii předchozích snah o vytvoření společné komunikační infrastruktury VS (GOVNET a GOVBONE). Pro další rozvoj eGovernmentu je současném CMS omezující zejména: o o o o o
Poskytuje služby zejména pro centrální orgány není definitivně dořešen hosting stávajících a budoucích IS VS není vybudována geografická redundance služby Help Desku a Service Desku nejsou dostatečně rozvinuté způsob zřizování služeb (service provisioning) je potřeba optimalizovat
Strana: 8
o o o o
potřeba zvýšit efektivitu zlepšit řízení informační bezpečnosti omezená interoperabilita mezi OVM nedefinované standardy a implementace SW prostředků pro integraci souvisejících IS
Z výše uvedených důvodů jednoznačně vyplývá nezbytnost modernizace CMS, aby umožnilo další rozvoj eGovernmentu v České republice. Toto nové CMS jsme nazvali CMS 2.0. Bude hlavním přípojným a propojovacím místem pro všechny základní služby eGovernmentu, ať už existující nebo nově budované (z IOP nebo státního rozpočtu).
Strana: 9
2
Historie přenosové infrastruktury státní správy 2.1
Historie do roku 2000
Požadavek na komunikaci mez lokalitami veřejné správě se začíná objevovat přibližně v polovině 90. let mj. díky aplikacím jako daňový systém ADIS na MF, systém evidence obyvatel na MV nebo systém státní sociální podpory na MPSV. Komunikace byly málo výkonné, velice drahé a v řadě lokalit dokonce nerealizovatelné. Využívala se pronajatá vedení s modemy, první pomalé digitální okruhy nebo i satelitní spojení. Sítě vznikaly speciálně pro jednotlivé aplikace. Před koncem tisíciletí proběhla digitalizaci telekomunikační sítě v ČR. Digitální okruhy se staly dostupnějšími a začal se výrazně objevovat vliv internetových technologií. Vzniklé podmínky umožnili sdílení sítí pro více aplikací. Tyto sítě využívaly IP protokol a virtuální privátní sítě. Ceny telekomunikačních služeb byly stále vysoké. Každé navýšení přenosové rychlosti bylo drahé a ceny závisely významně na vzdálenostech propojovaných lokalit. Topologie a konstrukce sítí se přizpůsobovaly cenovým parametrům pronajatých telekomunikačních služeb. V roce 1998 byl sepsán Zákon o veřejných informačních systémech. Vznikla také Rada pro státní informační politiku.
2.2
Historie po roce 2000
Stále více se diskutovalo o možnostech snížení cen přenosových služeb sdílením komunikační infrastruktury. Tato myšlenka měla své opodstatnění ve dvou faktech. o
o
Ve výrazně nižších jednotkových cenách přenosových služeb s vyšší kapacitou, kdy technické prostředky potřebné ke sloučení kapacit více sítí spolu s vyšší kapacitou přenosové služby byly levnější než přenosové služby nižších kapacit nakupované odděleně. Ve využití efektu velkého zákazníka a hromadného nákupu za nižší ceny.
Na základě těchto úvah byla uzavřena Rámcová smlouva (RS) se společností Český Telecom a.s. (ČT), RS snížila ceny komunikačních služeb pro všechny zúčastněné subjekty VS na úroveň, kterou do té doby měli jen největší odběratelé. Existence RS rozšířila používání komunikační infrastruktury ve státní správě a navíc na základě moderních technologií. Využívání IP infrastruktury založené na VPN MPLS se ve státní správě stalo de facto standardem. Požadavky na koordinaci v oblasti IT a eGovernmentu (nejenom pro komunikační infrastrukturu) vedly ke vzniku samostatného Ministerstva informatiky. To bylo za státní správu smluvní stranou RS s Českým Telecom.
Strana: 10
V ČR se postupně rozvinul telekomunikační trh - objevili se noví poskytovatelé telekomunikačních služeb. Se vstupem ČR do EU vznikly zákony a opatření k omezení vlivu dominantních operátorů. Došlo k privatizaci ČT. Vztah mezi státní správou a ČT byl zjednodušen na standardní vztah zákazníka a dodavatele. Ministerstvo informatiky zaniklo, jeho kompetence byly přesunuty do kompetence Ministerstva vnitra. V roce 2009 bylo postaveno CMS v jeho současné podobě. ITS Ministerstva vnitra byla převedena spolu s vybranými zaměstnanci MV pod správu České Pošty, s. p..
2.3
KIVS
Vybudování KIVS a CMS byl velký a pozitivní posun od předchozí praxe, kdy si jednotlivé rezorty budovaly a provozovaly vlastní sítě, mnohdy budované od nejnižších síťových vrstev. Je zřejmé, že taková praxe – budování vícero vlastních resortních sítí – znamenala vyšší nároky na státní rozpočet. A to jak investiční, tak provozní. V době, kdy koncepce KIVS vznikala, bylo převažující architektura aplikací provozovaných centrálními úřady typu klient-server, se servery distribuovanými po území a organizovanými v hierarchii příslušných OVM. Náklady a dostupnost síťového propojení neumožňovala realizovat logicky centralizované aplikace v jednotlivých OVM s lehkými klienty na pracovištích úředníků v celé veřejné správě. K dispozici rovněž nebyly dostatečně spolehlivé a bezpečné služby širokopásmového internetu na celém území státu. Koncept KIVS rovněž nepočítal s mobilními pracovišti, všechny služby byly zaměřeny na datová připojení z pevné lokace. Neexistovala komerční datová centra, pouze několik rezortů disponovalo výpočetními kapacitami soustředěnými do několika lokalit a poskytující služby celému rezortu. Koncept KIVS a CMS 2.0 po roce 2011 musí analogicky respektovat rozvoj poskytovaných datových a komunikačních služeb běžně dostupných na trhu a to zejména poskytování služeb v servisně orientované architektuře provozovateli poskytujícími služby v Cloudu.
2.4
Integrovaná telekomunikační sítě Ministerstva vnitra a spolupráce s Českou poštou, s. p.
Vedle KIVS existovala po celou dobu jeho provozu samostatná, celoplošná, vyhrazená ITS MV, jejíž správa byla převedena spolu se správou CMS KIVS na Českou poštu. Tato síť vytváří páteřní propojení mezi jednotlivými krajskými a většinou okresních měst.
Strana: 11
3
CMS – současný stav
CMS nahradilo jako nedílná součást řešení KIVS předcházející způsoby propojení sítí OVM GOVbone a GOVnet. Cílem bylo získat nástroj, který umožní propojit více poskytovatelů komunikačních služeb a tím snížit náklady a zkvalitnit služby pro: o o o
propojení centrálních orgánů veřejné moci mezi sebou navzájem propojení centrálních pracovišť těchto orgánů s vlastními regionálními pracovišti propojení centrálních pracovišť těchto orgánů s příslušnými pracovišti na krajích a v obcích případně v jiných typech správních oblastí.
Stávající CMS bylo vybudováno Ministerstvem vnitra v období říjen 2008 až květen 2009. Technologie CMS jsou převážně instalovány v budově Ministerstva vnitra Olšanská 4, část technologie Interconnect je umístěn v hostingovém centru Telefónica O2 Nagano. Od 1. 6. 2009 započaly vlastní práce s migrací subjektů veřejné správy z prostředí GOVnet do prostředí CMS. Do současné doby jsou obě větve CMS instalovány v jedné lokalitě bez geografické redundance. ServiceDesk pro subjekty KIVS nezajišťuje všechny požadované služby. Není garantován provoz portálu CMS pro subjekty KIVS. Zároveň není dostatečně definováno řízení bezpečnostních politik jednotlivých OVM. Víceméně manuální provisioning služeb je zajištěn pro stávající omezený počet uživatelů. Současné CMS slouží zároveň jako housingové centrum pro následující systémy MV: o o o o o
CzechPOINT GroupWise a Teaming Portál veřejné správy, ePUSA Web MVCR Portál CMS
Technologický sál CMS je tak částečně konsolidačním prvkem pro rezortní systémy, pro které v současnosti chybí vlastní housingová kapacita. CMS poskytuje 13 služeb, které mohou subjekty KIVS využívat. Náklady na tyto služby hradí Ministerstvo vnitra v rámci provozu CMS. Jedná se o: o o
o o
Základní služba CMS - IP VPN konektivita subjektu KIVS na Centrální FW CMS. Přímé připojení k Internetu - Připojení centrálního sdíleného Internetu do IP VPN přípojky subjektu KIVS. Připojený Internet není žádným způsobem filtrován a kontrolován. Bezpečné připojení k Internetu - Jedná se o službu připojení centrálního sdíleného Internetu do zákaznické VPN přípojky KIVS. Přístup subjektů KIVS do zákaznické VPN přes Internet - Služba slouží k zajištění připojení LAN sítí daného subjektu KIVS do jeho IP VPN přípojky KIVS přes Internet.
Strana: 12
o
o
o o o
o o
Služba je určena rozsáhlým subjektům KIVS zejména pro připojení jejich regionálních pracovišť/poboček/lokalit. Přístup koncových uživatelů subjektů KIVS do zákaznické VPN přes Internet - Služba slouží k zajištění přístupu koncových uživatelů daného subjektu KIVS do VPN prostředí jeho přípojky KIVS. Služby S-TESTA - Jedná se o zákaznickou službu přístupu do sítě EU. Služba je vždy zřizována na základě individuálního zákaznického projektu v souladu s požadavky EU pro provoz této sítě. Propojení s jiným subjektem KIVS - Služba je určená pro vzájemnou komunikaci jednotlivých subjektů mezi sebou. Služby DNS Internet - Jedná se o jmenné služby směrem do Internetu. Služby MTA - Služba elektronické pošty zajišťuje předávání zpráv elektronické pošty jak mezi jednotlivými subjekty KIVS, tak mezi subjekty KIVS a uživateli sítě Internet. Jedná se o službu Mail Transfer Agent (MTA) – služba bude zajišťovat pouze předávání zpráv, nikoliv mailové schránky. Služby DMZ1 - Služba DMZ1 je vytvoření prostředí pro publikaci služeb subjektů KIVS do Internetu. Služby DMZ2 - Služba DMZ2 je vytvoření prostředí pro publikaci služeb subjektů KIVS do CMS, nebo pro umístění back-end serverů pro publikaci aplikaci/služeb do internetu (front-end servery jsou v tomto případě v DMZ1). Službu DMZ2 je také dále možné využít pro umístění serverů subjektu bez jejich publikace do CMS (bezpečné oddělení aplikací a aplikačních serverů subjektu od jeho uživatelů).
Strana: 13
4
Nové požadavky na Centrální místo služeb
Jedná se zejména o tyto základní požadavky pro: o
o o o
Zavádění nových centrálních služeb e-Governmentu (Základní registry, Státní pokladna, atd.) zásadním způsobem zvýší počet OVM propojovaných prostřednictvím CMS Zvýšené nároky na bezpečnost a monitoring provozu z důvodu většího stupně propojení OVM a sdílení jejich dat Nárůst významu přístupových služeb z/do Internetu především v souvislosti s připojením pověřených obcí s rozšířenou působností Oddělení centrálních housingových služeb eGovernmentu od služeb CMS
Některé souvislosti, z nichž vyplývají další požadavky na CMS 2.0: o
o
Třívrstvá architektura ISVS – v současnosti, díky rozvoji dostupného fixního i mobilního širokopásmového internetu více navzájem si konkurujícími operátory, centrální orgány stále častěji přecházejí na logicky centralizovanou třívrstvou architekturu aplikací s lehkým klientem s dostupností přes internet nebo KIVS z celého území státu (Živnostenský rejstřík, Katastr nemovitostí, ISEO atd.). V posledních několika letech vznikly a v budoucnosti budou vznikat informační systémy, poskytující služby pro celou veřejnou správu (Datové schránky, CzechPOINT, PVS, ZR…). Rovněž v některých krajích se z ekonomických i provozních důvodů prosazuje stále více centralizace provozu informačních systémů podpořená postupnou výstavbou regionálních a metropolitních sítí. Iniciativy Evropské komise – ve snaze vyřešit vzájemnou komunikaci, EC (Evropská komise) financuje řadu projektů, které se otázkou interoperability speciálně v eGovernmentu zabývají (např. MODINIS, TERREGOV, ATHENA). V současné době dochází k inovaci sítě TESTA, zajišťované útvarem IDABC direktorátu Enterprise and Industry EC. TESTA má být inovována s cílem zvýšit bezpečnost komunikace zejména důvěrnost (s-TESTA).
Strana: 14
5 5.1
CMS 2.0 - koncept a služby Základní definice CMS 2.0
CMS 2.0 slouží jako hlavní propojovací místo eGovernmentu a zajišťuje služby pro jeho čtyři základní komunikační prostředí. Těmito prostředími jsou: o o o o
Prostředí Internetu Prostředí KIVS Prostředí Centrálních eGon služeb Prostředí komunikační infrastruktury EU (např. S-TESTA)
Definice a popis jednotlivých prostředí a definice a popis jednotlivých služeb je uveden v dalších kapitolách. CMS 2.0 pro jednotlivá komunikační prostředí definuje standardy a to jak komunikační a bezpečnostní, tak i standardy poskytovaných služeb a jejich rozhraní.
Internet
Centrální eGON služby
Připojení vzdálených sítí přes Internet
Registry
Zdroje Internetu
Czech Pointy
Datové schránky
N P V N P V
s
s
Klaudie
...
CMS ESB DMZ1
Připojení vzdálených uživatelů z Internetu
DMZ2
KIVS
S-Testa Propojovací služby
TCK
V P N
s
Regionální Regionální sítěRegionální sítěsítě
Připojovací služby
ITS TCK
SP1
SP2
SPn
Regionální Regionální sítěRegionální sítěsítě
S-Testa
Schematické znázornění CMS 2.0
Strana: 15
5.2
Popis a definice jednotlivých komunikačních prostředí CMS 2.0 5.2.1
Prostředí Internetu
„Prostředím Internetu“pro účely CMS 2.0 rozumíme veškeré veřejné komunikační prostředí, do a ze kterého přistupují OVM do CMS 2.0. „Prostředí Internetu“ tedy zahrnuje zejména: o o o
5.2.2
Přístupy jednotlivých pracovníků OVM přes veřejné pevné sítě Přístupy jednotlivých pracovníků OVM přes veřejné mobilní sítě Připojení LAN sítí OVM přes veřejné pevné sítě
Prostředí KIVS
„Prostředím KIVS“pro účely CMS 2.0 rozumíme veškeré komunikační prostředí, do a ze kterého přistupují OVM do CMS 2.0 MIMO prostředí Internetu a sítí EU. „Prostředí KIVS“ tedy zahrnuje zejména: o o o o o
5.2.3
Sítě komerčních poskytovatelů telekomunikačních služeb připojených na základě Rámcové smlouvy KIVS Ministerstva vnitra Integrovanou telekomunikační síť Ministerstva vnitra Technologická centra krajů Krajské regionální a metropolitní sítě (tj. typicky sítě ve vlastnictví místní samosprávy) Další telekomunikační sítě připojené na základě smlouvy s Ministerstvem vnitra
Prostředí Centrálních eGon služeb
„Prostředím Centrálních eGon služeb“ rozumíme komunikační prostředí ve kterém jsou provozovány centrální služby veřejné správy, jejichž správcem jsou centrální OVM. Jedná se typicky o celoplošné služby zaměstnancům orgánů veřejné moci případně přímo soukromoprávním uživatelům. Tyto centrální služby mohou pracovat s anonymními či registrovanými uživateli, poskytovat služby v rámci jedné agendy či sdílené služby pro několik agend či celou veřejnou správu. Typickými příklady Centrálních eGon služeb jsou: o o o
Centrální registry CzechPOINT Datové schránky
IS zabezpečující centrální eGon služby mohou být propojeny s jinými službami veřejné zprávy pouze prostřednictvím následujících služeb CMS 2.0 (Pozn.:popis těchto služeb viz v dalších kapitolách.): o o o o
Vzájemným propojením různých VPN OVM Publikací služeb v DMZ1 Publikací služeb v DMZ2 eGon Service Busu
Strana: 16
5.2.4
Prostředí komunikační infrastruktury EU
„Prostředím komunikační infrastruktury EU“ rozumíme pro účely CMS 2.0 veškeré existující i budoucí sítě EU určené pro komunikaci a rozvoj eGovernmentu mezi jednotlivými státy EU. Jedná se o sítě „sektorové“ i „univerzální“. Snahou je přejít od sektorových sítí k univerzálním, tj. zejména síti S-TESTA zajišťované útvarem IDABC direktorátu Enterprise and Industry EC. Sektorové sítě“ jsou zřizované pro speciální agendy jinými direktoráty EC. Přestože došlo k migraci některých komunikací a je snaha používat síť S-TESTA v nových agendách, staré sektorové sítě stále existují a pravděpodobně budou existovat i nadále.
5.3
Základní provozní požadavky CMS 2.0
Pro zajištění vysoké dostupnosti je nezbytné, aby bylo CMS 2.0 rozprostřeno do dvou geograficky oddělených lokalit. Každá lokalita musí být schopna spolehlivě poskytovat veškeré funkce nutné pro realizaci všech služeb CMS 2.0. Lokality budou mezi sebou propojeny redundantní DWDM infrastrukturou umožňující realizaci desítek transparentních propojek 10GE/GE a 8G FC. Každá z lokalit CMS 2.0 bude mít nezávislé připojení jednotlivých poskytovatelů v komunikačních prostředích KIVS a Internet. Také komunikační prostředí EU a Centrálních eGon služeb bude nezávisle připojeno do obou lokalit. Požadavky na management CMS 2.0: o o o
o o
Řešení umožňující dělbu kompetencí mezi jednotlivými organizacemi veřejné správy Flexibilní a škálovatelný provisioning pro zajištění snadné a přehledné konfigurace jednotlivých služeb CMS 2.0 a údržby systému. Řešení správy a dohledu: Řešení Help desku Řešení a nástroje pro Service Desk Řešení a nástroje pro Monitoring stanovených SLA Propojení správy a dohledu CMS 2.0 se správou a dohledem jednotlivých komunikačních prostředí CMS 2.0 Definice a implementace standardů včetně standardů pro režim krizového řízení Definice parametrů SLA pro jednotlivé služby CMS 2.0
Další provozní požadavky pro CMS 2.0 jsou: o o o
Definované procesy eskalace problémů Definované procesy a prostředky pro testování a zavádění nových služeb včetně vybudování testovacího prostředí Dostatečná rozšiřitelnost (škálovatelnost) ve velkém počtu instancí, CMS 2.0 nesmí obsahovat uzly či subsystémy, které by omezovaly růst řešení ve svém principu, rychlým růstem nákladů, růstem komplikovanosti správy či rozvoje či jiných na počtu instancí závislých činností.
Strana: 17
o o o o
5.4
Služby CMS 2.0 mohou subjekty OVM využívat jak pro komunikaci v rámci protokolu IPv4 tak i protokolu IPv6. Služby CMS 2:0 jsou provozovány v režimu activ-activ případně režimu activ-standby. Propojení s INTEGROVANOU TELEKOMUNIKAČNÍ SÍTÍ MINISTERSTVA VNITRA, jako samostatným SP Zabezpečení požadavků projektu„JEDNOTNÁ ÚROVEŇ INFORMAČNÍCH SYSTÉMŮ OPERAČNÍHO ŘÍZENÍ A MODERNIZACE TECHNOLOGIÍ PRO PŘÍJEM TÍSŇOVÉHO VOLÁNÍ ZÁKLADNÍCH SLOŽEK INTEGROVANÉHO ZÁCHRANNÉHO SYSTÉMU“.
Popis a definice jednotlivých služeb poskytovaných CMS 2.0 pro komunikační prostředí eGovernmentu
Pro jednotlivá prostředí poskytuje CMS 2.0 PŘÍSTUPOVÉ a PROPOJOVACÍ služby. Tyto služby jsou vyjmenovány níže a detailněji popsány v následujících kapitolách. Přístupové služby CMS 2.0 o o
Vytvoření univerzální přípojky KIVS včetně vytvoření VPN OVM mezi různými poskytovateli komunikačních služeb Extranet CMS 2.0
Propojovací služby CMS 2.0 o o o o o o o o o o o o o
Vytvoření konektoru firewall VPN OVM Realizace připojení lokality OVM do mateřské VPN přes Internet Přístup koncových uživatelů subjektů OVM do mateřské VPN přes Internet Realizace připojení VPN OVM do extranetu CMS 2.0 přes Internet Přístup koncových uživatelů subjektů OVM menšího rozsahu do extranetu CMS 2.0 přes Internet Vzájemné propojení různých VPN OVM Vzájemné propojení VPN OVM s VPN S-TESTA Bezpečné připojení VPN OVM k Internetu Přímé propojení VPN OVM s Internetem DMZ1 DMZ2 MTA Vzájemné propojení informačních systémů centrálních služeb prostřednictvím eGon Service Bus
Strana: 18
5.4.1
Přístupové služby CMS 2.0 (1) Vytvoření univerzální přípojky KIVS včetně vytvoření VPN OVM mezi různými poskytovateli (původní služba Základní služba CMS, resp. Univerzální přípojka KIVS)
Zajišťuje IP konektivitu mezi subjekty OVM a prostředím CMS 2.0. Dále umožňuje každému subjektu využívat služeb připojení od různých KIVS MPLS operátorů – pro každé svoje přípojné místo KIVS může subjekt využít služeb jiného operátora. Každý subjekt OVM má možnost si zřídit v rámci svého MPLS připojení do KIVS jednu nebo více MPLS VPN. Hraniční směrovače CMS 2.0 směrem ke KIVS operátorům jsou připojené do všech MPLS VPN všech subjektů OVM. Datový provoz jednotlivých subjektů je striktně oddělený, přímá IP komunikace mezi různými subjekty není v rámci této služby povolena. Využití této služby je v případě připojení k CMS 2.0 povinné. Služba slouží jako prerekvizita pro ostatní služby CMS 2.0. Základní parametry služby: o o o o o
Spolehlivost: 99,9% Očekávaný počet realizací: jednotky tisíc Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Vzájemná izolace jednotlivých VPN Možnost definice tříd QoS
(2) Extranet CMS 2.0 (původní služba není) Jedná se o univerzální propojovací VPN. Je určena pro subjekty OVM menšího rozsahu (např. samospráva, obce „2. a 3. typu“ atd.), které nespadají do žádné nadřazené resortní VPN, potřebují však zajistit přístup k „Prostředí Centrálních eGon služeb“. Zajišťuje IP konektivitu mezi těmito subjekty a prostředím CMS 2.0. Základní parametry služby: o o o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: jednotky tisíc Administraci provádí: správce CMS 2.0 dle definovaných standardů Datový provoz subjektů v Extranetu CMS 2.0 není striktně oddělen, přímá IP komunikace mezi těmito subjekty je povolena. Datový provoz se subjekty mimo Extranet CMS 2.0 je striktně oddělen, přímá IP komunikace s těmito subjekty není povolena. Třídy QoS nejsou definovány
Strana: 19
5.4.2
Propojovací služby CMS 2.0 (1) Vytvoření konektoru firewall VPN OVM (původní služba Centrální firewall)
Služba slouží jako konektor k připojení jednotlivých VPN OVM do vnitřního prostředí CMS 2.0. Služba představuje dedikovaný firewall kontext, na kterém má subjekt vyvedeny své přípojky KIVS. Kontext je připojen do konsolidovaného adresního prostoru CMS 2.0 a jsou z něj přímo dostupné služby CMS 2.0. Služba realizuje stavový firewall, který poskytuje základní síťovou ochranu prostředí CMS 2.0 od síťového prostředí subjektu a zároveň zabraňuje nežádoucímu provozu mezi VPN OVM jednotlivých subjektů. Tato služba v sobě automaticky zahrnuje i služby DNS a NTP, jejichž používání je pro připojený subjekt žádoucí. Základní parametry služby: o o o
Spolehlivost: 99,9% Očekávaný počet realizací: jednotky tisíc Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM
(2) Realizace připojení lokality OVM do mateřské VPN přes Internet (původní služba Přístup subjektů KIVS do zákaznické VPN přes Internet) Služba řeší přístup koncových lokalit subjektů OVM do mateřské VPN OVM přes Internet. Služba je určena zejména pro připojení regionálních pracovišť/poboček/lokalit. Přístup bude realizován na bázi IPSec tunelů přes prostředí Internet. Ověřování přípojných bodů je řešeno certifikátem a/nebo heslem. Uživatelé vzdálené sítě mají možnost odebírat stejné služby CMS 2.0 jako uživatelé mateřské VPN. Základní parametry služby: o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: jednotky tisíc Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Za dodržování provozních standardů odpovídá: správce OVM
Strana: 20
(3) Přístup koncových uživatelů OVM do mateřské VPN přes Internet (původní služba Přístup koncových uživatelů subjektů KIVS do zákaznické VPN přes Internet) Služba řeší přístup koncových uživatelů subjektů OVM do mateřské VPN přes Internet. Služba slouží k zajištění přístupu koncových uživatelů do VPN prostředí jeho přípojky KIVS. Takto připojený uživatel má stejná přístupová práva jako standardní uživatel VPN OVM daného subjektu. Přístup bude realizován na bázi IPSec a/nebo SSL tunelů přes prostředí Internet. Ověřování uživatelů je řešeno certifikátem a/nebo uživatelským jménem a heslem v databázi s centrální správou. Uživatelé IPSec nebo SSL VPN mají možnost odebírat stejné služby CMS 2.0 jako uživatelé mateřské VPN. Základní parametry služby: o o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: desítky tisíc Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Za dodržování provozních standardů odpovídá: správce OVM Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(4) Realizace připojení VPN OVM do extranetu CMS 2.0 (původní služba neexistuje) Služba řeší připojení LAN sítí lokalit subjektů OVM menší velikosti (např. samospráva, obce „2. a 3. typu“ atd.) do univerzální propojovací VPN – Extranet CMS 2.0. Přístup bude realizován na bázi IPSec tunelů přes prostředí Internet. Ověřování přípojných bodů je řešeno certifikátem a/nebo heslem. Uživatelé vzdálené sítě mají možnost odebírat všechny služby CMS 2.0 dostupné v rámci služby Extranet CMS 2.0. Základní parametry služby: o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: jednotky tisíc Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Za dodržování provozních standardů připojení do Extranetu CMS 2.0 odpovídá: správce OVM
Strana: 21
(5) Přístup koncových uživatelů subjektů OVM menší velikosti do Extranetu CMS 2.0 přes Internet (původní služba neexistuje) Služba řeší přístup koncových uživatelů subjektů OVM menší velikosti do Extranetu CMS 2.0 přes Internet. Služba slouží k zajištění přístupu koncových uživatelů do VPN prostředí Extranet CMS 2.0. Takto připojený uživatel má stejná přístupová práva jako standardní uživatel VPN Extranet CMS 2.0. Přístup bude realizován na bázi IPSec a/nebo SSL tunelů přes prostředí Internet. Ověřování uživatelů je řešeno certifikátem a/nebo uživatelským jménem a heslem v databázi s centrální správou. Uživatelé IPSec nebo SSL VPN mají možnost odebírat stejné služby CMS 2.0 jako uživatelé mateřské Základní parametry služby: o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: desítky tisíc Administraci provádí: správce CMS 2.0 dle definovaných standardů Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(6) Vzájemné propojení různých VPN OVM (původní služba Propojení s jiným subjektem KIVS) Služba je určená pro vzájemnou komunikaci jednotlivých subjektů OVM mezi sebou. Je komplementární ke službě DMZ2 (subjekt A pomocí „DMZ2“ publikuje své služby, ostatní subjekty je pomocí „Propojení s jiným subjektem“ mohou využívat). Základní parametry služby: o o o o
Spolehlivost: 99,9% Očekávaný počet realizací: desítky Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(7) Vzájemné propojení VPN OVM s VPN S-TESTA (původní služba Služby STESTA) Jedná se o zákaznickou službu propojení VPN OVM se sítí EU VPN S-TESTA. Služba je vždy zřizována na základě individuálního zákaznického projektu v souladu s požadavky EU pro provoz této sítě. Základní parametry služby: o o o o
Spolehlivost: 99,9% Očekávaný počet realizací: desítky Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM a správcem S-TESTA Za přiřazování uživatelských oprávnění odpovídá: správce OVM
Strana: 22
(8) Bezpečné připojení VPN OVM k Internetu (původní služba Bezpečné připojení k Internetu) Služba slouží k bezpečnému připojení zákaznické VPN OVM do Internetu, resp. k zpřístupnění internetových služeb. Samotnou službu realizují servery zajišťující bezpečnost filtrováním na přítomnost škodlivého kódu, detekcí na tunelování HTTP(S) protokolem a filtrováním URL. Pro urychlení služby a zvýšení efektivity je používána proxy cache. Služba zároveň umožňuje subjektu OVM využívat jmenné služby DNS směrem do Internetu. Subjekt může publikovat svoji veřejnou službu pomocí odpovídajícího DNS záznamu na dedikovaném CMS 2.0 DNS. Publikace těchto DNS záznamů se provádí pouze směrem do Internetu. Základní parametry služby: o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: stovky Administraci provádí: správce CMS 2.0 dle definovaných standardů Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(9) Přímé propojení VPN OVM s Internetem (původní služba Přímé připojení k Internetu) Slouží pro připojení centrálního sdíleného Internetu do VPN OVM přípojky subjektu veřejné správy. Připojený Internet není žádným způsobem filtrován ani kontrolován. Subjekt má k dispozici část veřejného rozsahu CMS 2.0 pro svoje potřeby. Základní parametry služby: o o o o
Spolehlivost: není definovaná Očekávaný počet realizací: desítky Administraci provádí: správce CMS 2.0 dle definovaných standardů Za dodržování provozních standardů odpovídá: správce OVM
(10) DMZ1 (původní služba Služby DMZ1) Funkcí služby DMZ1 (demilitarizovaná zóna) je publikace služeb a webová prezentace subjektů OVM směrem do Internetu. DMZ 1 je realizována v rámci specializovaných VPN mezi CMS 2.0 a datovými centry centrálních služeb, službami typu hosting housing. Specifické SLA požadavky služby: Základní parametry služby: o o o
Spolehlivost: 99,9% Očekávaný počet realizací: stovky Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM
Strana: 23
o
Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(11) DMZ2 (původní služba Služby DMZ2) Služba DMZ2 (demilitarizovaná zóna) poskytuje prostředí pro publikaci služeb jednoho subjektu OVM ostatním subjektům OVM. DMZ 2 je realizována v rámci specializovaných VPN mezi CMS 2.0 a datovými centry centrálních služeb, službami typu hosting housing. Základní parametry služby: o o o o
Spolehlivost: 99,9% Očekávaný počet realizací: stovky Administraci provádí: správce CMS 2.0 dle technické specifikace zadané OVM Za přiřazování uživatelských oprávnění odpovídá: správce OVM
(12) MTA (původní služba Služba Mail Storage) Služba elektronické pošty zajišťuje předávání zpráv elektronické pošty jak mezi jednotlivými subjekty KIVS, tak mezi subjekty KIVS a uživateli sítě Internet. Jedná se o službu Mail Transfer Agent (MTA) – služba bude zajišťovat pouze předávání zpráv, nikoliv mailové schránky. Služba kromě filtrování nevyžádané pošty provádí i kontrolu na přítomnost škodlivého kódu či odkazu na infikované URL. Základní parametry služby: o o o
Spolehlivost: 99,9% Očekávaný počet realizací: desítky Administraci provádí: správce CMS 2.0 dle definovaných standardů
(13) Vzájemné propojení informačních systémů centrálních služeb prostřednictvím eGon Service Bus (původní služba neexistuje) Specializované komunikační propojení umožňující univerzální přímé propojení mezi jednotlivými IS poskytujícími centrální eGon služby navzájem. Toto propojení umožní „back-end“ komunikaci mezi IS (například Základní registry publikující výpisy pro uživatele prostřednictvím ISDS). Dále služba zajistí funkcionalitu provozní podpory. Základní parametry služby: o o o
Spolehlivost: 99,9% Očekávaný počet realizací: desítky Administraci provádí: správce CMS 2.0 dle definovaných standardů
Strana: 24
5.5
Orientační převodní tabulka služeb CMS a CMS 2.0
Č. služby v CMS
Název služby v CMS
Název služby v CMS 2.0
CMS-1-1
Základní služba CMS - Centrální firewall
Vytvoření univerzální přípojky KIVS včetně vytvoření VPN OVM mezi různými poskytovateli
CMS-2-1
Přímé připojení k Internetu
Přímé propojení VPN OVM s Internetem
CMS-3-1
Bezpečné připojení k Internetu
Bezpečné připojení VPN OVM k Internetu
CMS-4-1
Přístup subjektů KIVS do zákaznické VPN přes Internet
Realizace připojení lokality OVM do mateřské VPN přes Internet
CMS-5-1
Přístup koncových uživatelů OVM do mateřské VPN přes Internet
CMS-6-1
Přístup koncových uživatelů subjektů KIVS do zákaznické VPN přes Internet Služby S-TESTA
CMS-7-1
Propojení s jiným subjektem KIVS
Vzájemné propojení různých VPN OVM
CMS-8-1
Služby DNS Internet
CMS-9-1
Služby MTA
Součást služby Vytvoření univerzální přípojky KIVS včetně vytvoření VPN OVM mezi různými poskytovateli MTA
CMS-10-1
Služba Mail Storage
Neexistuje
CMS-11-1
Služby DMZ1
DMZ1
CMS-12-1
Služby DMZ2
DMZ2
CMS-13-1
Provozní a servisní služby CMS
Neexistuje
Neexistuje
Neexistuje
Extranet CMS 2.0
Neexistuje
Neexistuje
Realizace připojení VPN OVM do extranetu CMS 2.0
Neexistuje
Neexistuje
Přístup koncových uživatelů subjektů OVM menší velikosti do Extranetu CMS 2.0 přes Internet
Neexistuje
Neexistuje
Vzájemné propojení informačních systémů centrálních služeb prostřednictvím eGon Service Bus
Vzájemné propojení VPN OVM s VPN S-TESTA
Strana: 25
6
CMS 2.0 – architektura řešení
Základem komunikace v CMS 2.0 budou i nadále jednotlivé VPN, které budou vstupovat a vystupovat z/do jednotlivých komunikačních prostředí (Připojovací služby). CMS 2.0 musí zajistit jejich řízené propojení (Propojovací služby). Oproti stávajícímu CMS očekáváme především následující změny, které budou mít vliv na technické řešení CMS 2.0 z hlediska architektury i škálovatelnosti celého řešení přístupových a propojovacích služeb: o
o
o o o o o
Nárůst počtu VPN – předpokládáme až jednotky tisíc VPN v rámci CMS 2.0 (dnes stovky). Do CMS 2.0 budou připojeny kromě již existujících subjektů veřejné správy i subjekty na úrovni samosprávy (krajské úřady/technologická centra krajů, pověřené obce s rozšířenou působností apod.) Nárůst počtu komerčních a nekomerčních poskytovatelů komunikačních služeb v komunikačním prostředí KIVS – předpokládáme až desítky (dnes tři komerční, jeden nekomerční). Jedním z nekomerčních poskytovatelů komunikačních služeb bude nadále ITS MV, která může navíc sloužit jako transportní síť pro připojení regionálních poskytovatelů komunikačních služeb. Vysokorychlostní napojení centrálních eGon služeb (Registry, Datové schránky, CzechPOINT, nové služby v rámci orchestrovaného cloudu veřejné správy – Klaudie) Postupné navyšování rychlosti na přípojných linkách KIVS, a tudíž i významnější nárůst agregované šířky pásma v celém CMS Nárůst významu přístupových služeb z/do Internetu především v souvislosti s připojením pověřených obcí s rozšířenou působností Implementace IPv6 Geografická redundance – celé prostředí CMS 2.0 musí být z důvodu zajištění vysoké dostupnosti rozprostřeno do geograficky oddělených lokalit
Strana: 26
Architektura technického řešení CMS 2.0
Ve stávajícím CMS se pro komunikaci s ostatními prostředími využívají bloky Interconnect-I a Interconnect-E. V CMS 2.0 bude mít každé ze čtyř základních komunikačních prostředí svůj připojovací blok: o o o o
Připojovací blok KIVS Připojovací blok Internet Připojovací blok pro centrální eGon služby Připojovací blok s-Testa
Každý z těchto bloků musí zajistit: o o
jednoznačné přiřazení vstupujících dat do příslušné VPN směrování VPN dat z/do daného komunikačního prostředí (KIVS, Internet apod.), jakož i směrem do páteřního bloku CMS 2.0 (tj. směrem k propojovacím službám). Za tímto účelem musí každý přístupový blok zajišťovat dynamickou výměnu směrovacích informací jak s příslušným komunikačním prostředím, tak s páteřním blokem (typicky dynamickými směrovacími protokoly – BGP, OSPF apod.). Toto vše samozřejmě per VPN.
Strana: 27
o
základní zabezpečení na perimetru daného komunikačního prostředí
Jednotlivé připojovací bloky budou propojeny páteřním blokem CMS 2.0, který musí primárně zajistit: o
šíření jednotlivých VPN tam, kde je to žádoucí z/do přístupových bloků z/do bloku propojovacích služeb
Propojovací služby budou realizovány propojovacím blokem, který bude primárně zajišťovat: o o
řízené bezpečné propojení VPN mezi sebou Implementaci funkcí, nutných pro realizaci propojovacích služeb, např. proxy, DNS, SMTP relay, služeb pro DMZ, služeb eGon Service Bus (ESB) apod.
Servery publikující aplikace OVM budou z důvodu zajištění maximální bezpečnosti umístěny v housingových případně hostovaných prostorách propojených prostřednictvím služeb DMZ1 a DMZ2. Jak bylo uvedeno v kapitole 4 “Nové požadavky na Centrální místo služeb“, řešení musí zohlednit zvýšené nároky na bezpečnost provozu na všech úrovních. Předpokládáme především následující opatření: o o
o o
Striktní oddělení VPN v rámci jednotlivých přístupových bloků / páteřního bloku, restriktivní pravidla propojení jednotlivých VPN a bezpečnost jednotlivých služeb v rámci propojovacího bloku (firewallové kontexty pro VPN, pravidla pro DMZ1, DMZ2 a ESB, zabezpečení OS, filtrace přístupů k jednotlivým službám apod.), oddělený Out-Of-Band management CMS 2.0 s velmi restriktivním přístupem pověřených správců Zajištění fyzické bezpečnosti všech lokalit s umístěnými technologiemi CMS 2.0 – uzamčené prostory, řízení přístupu, kamerový dohled apod.
Při realizaci musí být využity komponenty ze stávajícího CMS, které budou doplněny o další funkcionality a potřebné komponenty dle požadavků výše (včetně požadavků na větší škálovatelnost a geografickou redundanci). Především v souvislosti s připojením krajských regionálních sítí a technologických center je zapotřebí počítat s návazností na projekt ITS MV. Jako perspektivní se jeví především možnost využití L2 a DWDM lambda okruhů nad páteřní infrastrukturou ITS pro přímé spojení CMS 2.0 a krajských infrastruktur.
Strana: 28
