Technisch Beleidsplan ICT 2006 - 2008 Afdeling ICT, Sector Stafdiensten Gemeente Dordrecht
In opdracht van Status Versie Redactie Datum
Ferdi van Engelen Definitief 1.1 Afdeling ICT 06-04-2006
John van Eek/Paul Zweers John van Eek
1.0
28-03-2006
Eerste versie afdeling ICT
1.1
06-04-2006
Wijzigingen en aanpassingen MT ICT/John van Eek doorgevoerd
1.0
28-03-2006 06-04-2006
MT ICT (Ferdi van Engelen, Kennedy Latupeirissa en Math Verhoef) René van Kuilenburg, Ge van Strien en MT ICT
1.1
Inhoudsopgave 1
INLEIDING
1.1 1.2 1.3 1.4 1.5 1.6 2
AANLEIDING DOEL INFORMATIE BEPERKINGEN EIGENDOM LEESWIJZER EN AANPAK
HUIDIGE SITUATIE INFRASTRUCTUUR
2.1
FYSIEKE COMPONENTEN
2.7.7 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.1.8 2.1.9 2.7.70 2.7.77
2.2 2.3 3
FUNCTIONELE COMPONENTEN INTERFACE COMPONENTEN
BELEID EN PROJECTEN GEMEENTE DORDRECHT
3.1
ICT VISIE DORDRECHT 2006-2010
3.7.7 3.7.2 3.7.3 3.1.4
3.2
Kernpunten ICT Visie (H2) Hoe werkt Dordrecht in 2010 (H3) Huidige ICT(H4) Transformatie van E- loket naar E gemeente (H5)
PROJECTEN
3.2.7 3.2.2 3.2.3
4
8
8 8 8 9 9 9 9 W 77 77 77 72
12 12 13
13 73 73 14 15
16 16 16 16
INFRASTRUCTUUR COMPONENTEN
18
ALGEMENE EISEN
4.7.7 4.1.2 4.1.3
Flexibiliteit Betrouwbaarheid Beschikbaarheid
STORAGELAYER
5.1 5.7.7 5.7.2
STORAGE AREANETWORK (SAN) Huidige situatie Ontwikkelingen SAN omgevingen
18 75 19 20 21
21 22 23
5.2
SAN EN FILE SERVERS
23
5.3
DATAGROEI
24
5.3.7 Digitaliseringen archivering 5.3.2 Archivering 5.4 BACK-UP STRATEGIE 6
6 6 6 7 7 7
Project Perfekt Applicatie Consolidatie Aanzet Jaarplan AD 2006
4.1
5
Netwerk Switches : Glasvezel Telefonie Firewall Demilitarized Zone Servers en Operatingsystems Storage Backup en uitwijk Cliënt Computers Printers
6
SERVER HARDWARE / OS LAYER
24 24 25 26
Dordrecht 6.1
SERVERS
6.1. l 6.1.2
6.2
Consolidatie, centralisatie en virtualisatie Operating systemen
CLIENT COMPUTERS
6.2.7 6.2.2 6.2.3
6.3 6.4
Fat-cliënts Thin-cliënts Open source op de werkplek.
PRINTERS SERVER BASED COMPUTING
6.4.1
Virtualisatie en Server Based Computing
6.5 DIRECTORY SERVICES 7 NETWORK LAYER 7.1 LOCALAREA NETWORK (LAN) 7.2 WIDEAREA NETWORK (WAN) 7.3 NETWORK PROTOCOL EN ADRESS MANAGEMENT 7.4 POWER OVER ETHERNET (PoE) 7.5 FIREWALL 7.5.7 7.5.2 7.5.3
Functionaliteiten Redundancy DemïlitarizedZone (DMZ)
7.6
TELEFONIE
7.6.7 7.6.2 7.6.3 8
Dect telefonie VoiceoverIP(VoIP) Voip en thuiswerken
DATABASE LAYER
8.1
INFORMATIEARCHITECTUUR
5.7.7 8.1.2 5.7.3 8.1.4
8.2
DATABASES
5.2.7 8.2.2 8.2.3 8.2.4 5.2.5 9
Gegevensmagazijn Zaken / Intakes Beschikkingen Actoren Oplever /installatieprocedures Omvang databases Versie beheer Grid Computing. Database gateways
INÏEGRATION LAYER 9.1
INTEGRATIELAAG
P.7.7
9.2 9.3 10
Applicatiearchitectuur
SERVICE ORIENTED ARCHITECTURE ENTERPRISE SERVICE Bus APPLICATION SERVER LAYER
10.1
APPLICATIES EN APPLICATIEONTWIKKELING
70.7.7
10.2 10.3
APPLICATIE SERVERS MIXED ARCHITECTUUR
70.3.7 10.3.2 10.3.3
10.4
SOA enESB in relatie tot applicatieservices
Web-based computing Server-based computing Cliënt-based computing
APPLICATIESERVICES
70.4.7 10.4.2 10.4.3 10.4.4 10.4.5
Mail Web-based Server-based Database. Specifieke applicatieservices
26 26 27
28 28 29 29
30 30 31
31 32 32 33 33 33 34 34 35 35
35 35 35 36 37
37 38 35 38 38
39 39 39 39 40 40 41 41
43
43 44 46
46 47
48 48 48 48 48
48 49 49 49 49 49
11
PRESENTATION LAYER 11.1 11.2 11.3
12
SECURITY COLUMN
50 51 51 53
12.1 12.2 12.3 12.4
ALGEMEEN IDENTIFICATIE EN AUTHENTICATIE DIRECTORY EN AUTORISATIE SERVER DiGiD
53 54 54 56
12.5 12.6
VIRUS CONTENT SCANNING AUDITINGTOOL
56 57
MANAGEMENT COLUMN
59
13
13.1 13.2 13.3 13.4 13.5
CENTRALE MONITORING NETWERK MONITORING TOOLS SERVER MONITORING TOOLS OPERATING SYSTEM MANAGEMENT TOOLS STORAGE MONITORING TOOLS
59 60 60 60 61
13.6 13.7
DATABASE TOOLS .'. APPLICATION MANAGEMENT TOOLS
61 62
14
ACTIVITEITEN 14.1 14.2 14.3
15
BROWSER TECHNOLOGIE DIGITALE DIENSTVERLENING MOBIEL WERKEN
50
PROJECTEN 2006 PROJECTEN 2007 RELATIE PROJECTEN TECHNISCH BELEIDSPLAN ICT EN HET I-PLAN 2006 BIJLAGEN
15.1 BIJLAGE l TELEFOONTOESTELLEN Overzicht systeemgeschakelde toestellen Overzicht VOIP toestellen Mobiele toestellen 15.2 BDLAGE 2 OVERZICHT WINDOWS/VMWARE SERVERS 15.3 BIJLAGE 3 OVERZICHT NETWARE SERVERS 15.4 BIJLAGE 4 OVERZICHT UNIX SERVERS 15.5 BIJLAGE 5 OVERZICHT LINUX SERVERS De managementsamenvatting is opgenomen is een apart document.
63 63 69 71 74 74 74 74 74 75 76 76 77
1
Inleiding 1.1 Aanleiding De aanleiding om een technisch beleidsplan ICT op te stellen is de noodzaak om de strategische ICT visie van de gemeente Dordrecht uit te werken naar een integrale strategie betreffende de ICT infrastructuur op korte en middellange termijn. Daarnaast werden de investeringen (vooral in 2007 staan er veel vervangingsinvesteringen op de rol) en vernieuwingen van de ICT infrastructuur in het verleden vaak per deelcomponent uitgevoerd, in dit beleidsplan worden deze nu als onderdeel van een integrale strategie neergezet. De noodzaak om een integrale strategie te bepalen is de laatste jaren sterk toegenomen, dit gezien het grote aantal ontwikkelingen, zowel intern als extern, die zich in een steeds sneller tempo voordoen en die grote impact hebben op de ICT infrastructuur. Daarnaast worden de eisen (standaardisatie, verlaging kosten, hogere beschikbaarheid, beveiliging, enz.) die gesteld worden aan de ICT infrastructuur steeds hoger. Alleen door een integrale strategie op de ICT infrastructuur uit te werken voor de korteen middellange termijn en hier uitvoering aan te geven is het mogelijk om én de gewenste ontwikkelingen te kunnen volgen én aan de hogere eisen die gesteld worden aan de ICT infrastructuur te kunnen voldoen.
1.2 Doel De doelstelling van het technische beleidsplan ICT is om een integrale strategie op de ICT infrastructuur te ontwikkelen en de fundamentele keuzes neer te leggen voor de komende drie jaar, rekening houdend met organisatorische-, technologie-, markt- en ICT beheer ontwikkelingen, waarbij de ICT infrastructuur moet voldoen aan de eigenschappen flexibel (adaptieve), beschikbaar, veilig en gestandaardiseerd. Vooral het eigenschap flexibel is erop gericht om de ICT infrastructuur snel mee te kunnen laten bewegen met de ontwikkelingen van de organisatie en adequaat in te kunnen spelen op de behoeften van de organisatie. Tevens dient de ICT infrastructuur tegen aanvaardbare kosten te kunnen worden aangeboden.
1.3 Informatie De volgende documenten van de gemeente Dordrecht zijn voor dit beleidsplan gebruikt: 1.
ICT Visie Dordrecht 2006-2010
2.
Projectplan project PERFEKT
3.
Baseline Informatiebeveiliging
4.
Beleidsdocument Informatiebeveiliging
5.
Aanzet voor het jaarplan AD 2006
6.
PID verbetering bestuur en beheer informatie en ICT versie 0.3
7.
Project mandaat Applicatieconsolidatie, versie 0.3
8.
Projectplan Breedband Dordrecht, versie 0.4
9.
Telewerken, het stelsel en de implementatie ervan
3/ 1.4 Beperkingen Het bereik van dit beleidsplan omvat alle ICT-componenten, die deel uitmaken van de technische ICT infrastructuur van de gemeente Dordrecht. Het project strekt zich dus niet uit tot de ICT infrastructuur van derden, zoals die van opdrachtgevers en van partners, en de tussenliggende netwerken. Werkplek randapparatuur (met uitzondering van printers) en mobiele devices, zoals o.a. PDA's vallen buiten de scope van dit beleidsplan. In dé projecten die uitvoering geven aan dit beleidsplan zal daar nader aandacht voor zijn.
1.5 Eigendom © 2006 gemeente Dordrecht Geen enkel deel van dit document mag worden vermenigvuldigd in welke vorm of door welke middelen dan ook zonder schriftelijke toestemming van de gemeente Dordrecht. Dit document is vertrouwelijk en mag alleen worden gebruikt voor de doeleinden waarvoor het is vrijgegeven.
1 .6 Leeswijzer en aanpak Dit beleidplan is een vertaling van organisatie eisen- en wensen naar een strategie op de ICT infrastructuur. Hoofdstuk 2 beschrijft de huidige situatie van de ICT infrastructuur. Daarnaast geeft dit hoofdstuk een vertaling van organisatiebeleid en projecten naar de raakvlakken met ICT en de infrastructuur. In hoofdstuk 3 wordt uitleg gegeven over de methodische uitwerking voor dit beleidsplan en de eisen die aan de infrastructuur worden gesteld. In hoofdstuk 4 t/m 12 wordt per infrastructuurlaag een uitwerking gegeven. Hoofdstuk 13 geeft een uitwerking van de projecten die benodigd zijn om uitvoering te geven aan dit beleidsplan en de relatie tot de I-plan 2006 projecten. In het laatste hoofdstuk zijn de bijlagen opgenomen. Advisering ten aanzien van dit technisch beleidsplan ICT heeft plaatsgevonden door LogicaCMG. De door LogicaCMG gegeven adviezen zijn één op één overgenomen in dit beleidsplan en worden door het management van de afdeling ICT onderschreven.
2
Huidige situatie infrastructuur 2.1 Fysieke componenten 2.1.1 Netwerk Het netwerk van de gemeente is ingericht volgens het "collapsed backbone model"1. Een centrale MER (Main Equipment Room) is gekoppeld met meerdere SER's (Sattelite Equipment Rooms). De backbone (ruggengraat van het netwerk) is gebaseerd op 1Gb. glasvezel. Main equipement room (MER) waarin de massa opslag (SAN) en vrijwel alle servers een plaats hebben gevonden; Satellite equipement rooms (SER) waaraan de eindgebruikerapparatuur is aangesloten.
Figuur: Netwerk topologie gemeente Dordrecht 2.1.2 Switches In het LAN ( Local Area Network) worden vooral switches van het model 3500/3550 gebruikt. Deze zijn gekoppeld aan de Cisco 6500 core routers/switches. Het netwerk werkt volgens het Layer 3 routing model, dit betekent dat op IP niveau gerouteerd wordt.
1
Deze architectuur is een backbone topologie waarbij de patchkasten op de verschillende verdiepingen in een sterconfiguratie zijn verbonden met een centrale high performance switching patchkast.
Dordrecht
2.1.3 Glasvezel Nevenlocaties zijn via glasverbindingen gekoppeld aan het LAN. Deze glasvezelverbindingen zijn via speciale switches gekoppeld.
2.1.4 Telefonie De gemeente Dordrecht beschikt over drie telefooncentrales op verschillende locaties. Daarnaast wordt gebruik gemaakt van een GSM-voorziening van KPN voor het mobiele telefoonverkeer (aanbesteding mobiele telefonie 2005). In onderstaande tabel ziet u een overzicht van de locaties met de daarbijbehorende centrales.
Stadskantoor Spuiboulevard Noordendijk t.b.v. Stadswinkel Noordendijk t.b.v. Zuid Holland Zuid en ingenieursbureau Kerkeplaat t.b.v. Stadswerken
Siemens ISDX Large Siemens Micro Cisco Callmanager
PSTN PSTN VOIP
Siemens DXR
PSTN
De telefooncentrale van het stadskantoor is de belangrijkste centrale. De gemeente Dordrecht is geen eigenaar van de Cisco Callmanager, deze telefooncentrale is van de eigenaar van het pand aan de Noordendijk. Op verschillende buitenlocaties staan nog telefooncentrales, deze zijn niet bekend en in beheer bij de afdeling ICT. In het overzicht zijn deze locaties niet opgenomen. Er zijn drie verschillende toestellen, systeemgeschakelde, VOIP en mobiele toestellen, een overzicht van de toestellen wordt gegeven in bijlage 1.
2.1.5 Firewall De gemeente Dordrecht maakt gebruikt van een Tunix Firewall, deze vervult de volgende taken: •
IP-filtering;
•
NAT-vertaling;
•
Emailscanning;
•
VPN-functionaliteit;
•
DNS server;
•
Authenticatie server
•
Bandbreedte Management;
•
HTTP screening.
2.1.6 Demilitarized Zone De DMZ fungeert als een soort loopgracht tussen het interne - veilige - netwerk en de buitenwereld. In de praktijk staat de DMZ ook wel tussen twee firewalls. Al komt het ook vaak voor dat er aan de firewall drie segmenten gekoppeld zijn: een interne, een externe en een DMZ.
recht _,-/ Er zijn drie servicenets ingericht:
-v
DMZ-web In het servicenet DMZ-Web zijn de Netware/Groupwise mailservers (voor het externe inkomende en uitgaande mailverkeer). De Internet Apache webserver t.b.v. het E-loket en de Apache webserver t.b.v. LPAnet geplaatst. DMZ LAN
In het servicenet DMZ LAN bevinden zich koppelingen met netwerken van derden die een hoger 'trusted' niveau hebben dan het Internet (laagste trusted niveau). DMZ LAN2 In DMZ LAN2 bevinden zich de servers t.b.v. het Haven Informatie Systeem (HAIS). Naast de drie service nets is er ook nog een verbinding met GemNET via een netwerkkaart op de firewall.
2.1.7 Servers en Operating systems Microsoft Servers Microsoft Windows wordt voor drie doeleinden ingezet. Ten eerste voor applicaties die op serverniveau specifiek Windows als besturingssysteem nodig hebben. Ten tweede wordt Windows ingezet voor een server based computing (SBC) omgeving. Gemeente Dordrecht draait de terminal services onder Citrix. Tenslotte worden een aantal Windows servers ingezet voor beheertaken. Het huidige standaard platform is Windows 20032. Novell Servers Het Novell Netware platform wordt ingezet voor het aanbieden van netwerk services (DNS, DHCP, SLP TIME), directory services, file services, print services, mail services, applicatie hosting services CD-ROM services en software distributie. De huidige gebruikte standaard van Netware is Netware 63. HP Unix (HP-UX) Het HP-UX platform wordt grotendeels ingezet als Oracle database (gemeentelijke database standaard) platform en als Oracle application server middle tier platform. Daarnaast zijn er twee Unix beheerservers aanwezig. De huidige gebruikte standaard versie van Unix is HP-UX 11.114. Linux Linux wordt binnen de Gemeente Dordrecht vooral ingezet als webserver platform en op kleine schaal voor een aantal specifieke taken. Er is nog geen gemeentebrede standaard bepaald. Waarschijnlijk zal dit Linux Red Hat worden5.
2
Bijlage Bijlage 4 Bijlage 5 Bijlage 3
2 Overzicht Windows VMWare Servers 3 Overzicht Novell Servers 4 Ovezicht UX BSD Servers 5 Overzicht Overzicht Linux Servers
10
Dordrecht
t Free BSD Verder zijn er nog drie Free BSD servers aanwezig die ingezet worden voor beveiliging (o.a. Firewall). Free BSD is een Unix variant en behoort niet tot de standaard OS platformen van de gemeente Dordrecht, het wordt alleen bij specifieke toepassingen(Firewall) ingezet.
2.1.8 Storage De dataopslag, van de gemeente Dordrecht vindt plaats op SAN (storage area network) omgevingen. Dit geldt voor voor zowel data die is opgeslagen in Oracle databases, als data die 'plat' op filesystemen is opgeslagen. De gemeente Dordrecht beschikt momenteel over twee gescheiden SAN omgevingen, het Netware SAN ('platte' opslag op filesystemen) en het Unix SAN (opslag data in Oracle databases). Het Netware SAN bestaat uit een HP EVA 5000 (2 controllers) storage array met 8 enclosures van ieder 14 diskbays. Het storage network wordt gevormd door 2 HP Storage Works SAN switch 2/16 EL switches (16 ports) met 2Gbps FC fabric. Op het Netware SAN zijn 8 Netware servers aangesloten. Het Unix SAN (dataopslag Oracle databases) bestaat uit een HP VA7400 (2 controllers) storage array met 4 enclosures met ieder 15 diskbays. Het storage network wordt gevormd door 2 Brocade Silkworm 3800 switches (16 ports) met 1Gbps FC fabric. Op het Unix San zijn 8 Unix servers aangesloten.
2.1.9 Backup en uitwijk Backup De backupomgeving van het Netware SAN bestaat uit een dubbele HP MSL 5060 unit die door middel van SCSI gekoppeld is. Totaal zijn er 120 tape slots beschikbaar waarvan (effectief 116). Als bckupsoftware wordt momenteel nog gebruik gemaakt van Veritas netbackup 4.5. De backupomgeving van het Unix SAN bestaat uit een HP Ultrium SureStore 2/20 unit met twee tape drives en totaal tape 20 slots. Als backupsoftware wordt momenteel gebruik gemaakt van HP Omniback II. Uitwijk Voor de GBA applicatie PIV4all is momenteel een uitwijkcontract afgesloten met Getronics, dit om te voldoen aan de wettelijke verplichtingen vanuit de wetgeving t.a.v. de GBA.
2.1.10 Cliënt Computers Er worden voornamelijk Dell GX2 personal computers als werkstation gebruikt. Deze werkstations zijn voor het grootste deel geleased, een klein deel is in eigendom. Naast de Pc's worden er laptops gebruikt. Ook deze Laptops worden geleverd door Dell. De cliënt computers zijn standaard voorzien van Windos XP Professional Edition SP1.
11
Dordrecht
Personal Computer. Dell type GX/MT/WS Laptop, Dell, C-serie ƒ D-serie/ 4100XT-serie Zware Fat cliënts, tbv CAD Dell MT/WS en een GX270 Totaal:
1837 166 66
2069
2.1.11 Printers Er zijn 360 printers in gebruik. De printers zijn voor KA gebruik en specifieke functies. Er zijn meerdere leveranciers en een groot aantal verschillende typen printers in gebruik.
2.2 Functionele componenten De functionele componenten bestaand uit de volgende lagen: Databaselaag; deze laag beschrijft de relationele databases, middleware, gateways (ODBC) beschikbaarheid in relatie tot de fysieke laag; Integratielaag; behandelt de integratie tussen applicaties, web-servers, databaseservers en applicatie servers; Applicatielaag; In deze laag wordt de applicatiesoftware op servers behandeld. Een gedetailleerde analyse per laag wordt verder in dit document uitgewerkt.
2.3 Interface componenten De interfacelaag bestaat uit twee lagen: De presentatielaag; In deze laag worden alle onderdelen benoemd die informatie presenteren aan de eindgebruiker. Dit zijn web-browsers, Citrix ICA Cliënts, PDA's en mobiele computers; De API laag. Deze laag is niet relevant voor dit beleidsplan en wordt daarom niet verder uitgewerkt in dit beleidsplan.
12
3
Beleid en projecten gemeente Dordrecht 3.1 ICT Visie Dordrecht 2006-2010 De transformatie van E- loket naar E- gemeente De visie Dordrecht 2006-2010 gaat na de managementsamenvatting en inleiding, in op de kernpunten ICT (H 2), Hoe werkt Dordrecht in 2010 (H 3), De huidige ICT (H 4), en de Transformatie van E - loket naar E - gemeente (H 5). Per hoofdstuk wordt hieronder een samenvatting gegeven.
3.1.1 Kernpunten ICT Visie (H2) •
Aansluiten bij externe ontwikkelingen: de gemeente Dordrecht volgt deze ontwikkelingen b.v. de kabinetsnota "Een andere overheid"; Subconclusie 1: Het programma andere overheid biedt digitale diensten en vraagt om authenticatie van gebruikers.
•
Gemeentebreed voor sector specifiek: om de organisatie doelen te realiseren is het noodzakelijk zoveel mogelijk naar gemeentebrede systemen, architectuur en processen te streven. Subconclusie 2: De gemeente Dordrecht streeft naar een grote mate van standaardisatie
•
Enkelvoudige registratie meervoudig gebruik: dit houdt in dat informatie en gegevens automatisch worden gedeeld. Subconclusie 3: De gemeente Dordrecht gaat op termijn uit van een Single Sign On Authenticatie model
•
ICT kan niet alles: niet iedere burger kan en wil met ICT aan de slag. Ontwikkelingen in ICT kunnen hoge kosten met zich mee brengen. Kosten baten analyse is een eis.
•
ICT mogelijkheden optimaal benutten: door de snelheid van ICT ontwikkelingen, is het nodig dat er continue wordt getoetst of huidige en toekomstige ICT oplossingen onze doelstellingen ondersteunen. Subconclusie 4. Informatiebeleid heeft direct gevolgen voor de infrastructuur en het beheer van de infrastructuur.
3.1.2 Hoe werkt Dordrecht in 2010 (H3) •
Organisatie: in 2010 werkt Dordrecht ketengeoriënteerd, het is een kennisintensieve, wendbare projecten en programma organisatie.
•
Extern georiënteerd: hiervoor zijn ketenpartners nodig zoals burgers, instellingen en bedrijven. Subconclusie 5a: Extern georiënteerd betekent, dat voor de infrastructuur een web-based computing model voor externen (in ieder geval voor de burgers) is ingericht. Dordrecht past deze architectuur toe.
13
Dordrecht Subconclusie 5b: Extern georiënteerd betekent, dat de infrastructuur geschikt moet zijn om op een effectieve en veilige manier gegevens uit te wisselen en applicaties aan te bieden aan derden. Hiervoor moeten voorzieningen worden getroffen om netwerken effectief en veilig te koppelen, applicaties effectief en veilig aan derden aan te bieden en op een effectieve en veilige manier gegevensuitwisseling mogelijk te maken met de ketenpartners. •
De burger is betrokken: bij het maken van beleid is betrokkenheid van de externe omgeving nodig.
•
Optimale dienstverlening aan externe klanten: dienstverlening en meer service moeten het vertrouwen van de burger in de gemeente versterken. Subconclusie 6: Optimale dienstverlening vereist maximale beschikbaarheid van 7 x 24 uur van de architectuur en infrastructuur en het beheer daarvan.
•
Slagvaardige, transparante en optimale bedrijfsvoering: ICT helpt slagvaardig te zijn om onze bedrijfsprocessen effectief en efficiënt uit te voeren.
•
Optimale ondersteunende processen: voorwaarde voor een goed functionerende organisatie is de kwaliteitvan de ondersteunende processen. Ook deze processen functioneren beter met een goede invulling van ICT. Subconclusie 7: ICT geeft optimale ondersteuning aan processen, dit uitgangspunt vraagt van de infrastructuur flexibiliteit, schaalbaarheid en standaardisatie.
•
Optimale sturing: goed management is noodzakelijk om de organisatie efficiënt, met lage kosten en flexibel te laten opereren.
•
Optimale ondersteuning van ICT: Onze ICT organisatie en de bijbehorende beheerprocessen en systemen zijn zo goed mogelijk ingericht. Subconclusie 8: Voor het beheer van de infrastructuur zijn beheertools noodzakelijk
3.1.3 Huidige ICT (H4) •
I-Scan: De gemeente zit wat ICT betreft in fase 1, 2 van het INK model. Het Egovernment programma is in het denken vooruit op de gemeentelijke organisatie en vereist dat de gemeentelijke organisatie volwassener wordt (INK 3) en intensiever gebruik maakt van ICT. Deze kloof zou een interne digitale kloof genoemd kunnen worden.
•
E-Government: Dordrecht is koploper op het gebeid van E-government.
•
Gegevens en informatie: Er is behoefte aan het structureren, filteren, en kunnen vinden van de benodigde informatie. Subconclusie 9: Er is behoefte om steeds meer informatie gestructureerd te beheren via databases. Databases worden groter in de toekomst.
•
ICT Organisatie: Met de centralisatie van de ICT afdeling heeft de gemeente een enorme stap gemaakt naar een professionele beheerorganisatie; de ICT infrastructuur geldt gemeentebreed.
14
Subconclusie 10: De infrastructuur wordt vanuit een centrale locatie beheerd voor de gemeente Dordrecht. •
Relatie organisatie en ICT: Een sterke centrale sturing van de inhoudelijke ambities van de gemeente vraagt om meer adequate en centrale sturing.
3.1.4 Transformatie van E- loket naar E gemeente (H5) •
De pijlers:
1 . Naar optimale bedrijfsprocessen 2.
Naar maximaal digitaal
3. Van specifiek naar generiek 4. Naar optimale ondersteuning van ICT •
Professionaliseren van de ICT organisatie;
•
Opleidingen en kennisdeling ICT;
•
Implementeren en incorporeren van informatie en systemen;
•
ICT sturing en communicatie.
Subconclusie 11: Maximaal digitaal, betekent exponentiele dataqroei. Van specifiek naar generiek betekent standaardisatie. •
E- organisatie 1 . Kennisplein; het ontsluiten van informatie en kennis; 2. Gegevensmanagement; 3. Kennisnetwerk en klussenmarkt; 4.
ICT kennismanagement; er komt een ICT- competence centre;
5. Schaalvoordelen; 6. Koppelen digitale informatie aan systemen; 7. Invoer bij de bron. •
E- dienstverlening 1 . Laagdrempelige en transparant informatie; 2. Digitale dienstverlening.
•
E- democratie 1 . Burgercontracten systeem; 2. Interactieve en transparante dienstverlening Subconclusie 12: E- Government, heeft externe klanten middels web based computing (zie ook Subconclusie 5a).
•
E- Management 1 . Beleidscockpit; 2. Managerdashboard.
15
Subconclusie 13: E- Government, heeft ook interne klanten middels Web based computing.
3.2 Projecten 3.2.1 Project Perfekt Het project PERFEKT voorziet in een nieuwe manier van werken d.m.v. een flexibele werkplek voor de ambtenaren van de gemeente Dordrecht. Het geschatte aantal werkplekken ligt op 250. Deeltraject informatiebeheer en ICT Het deeltraject "informatie en beheer" houdt zich ook bezig met de benodigde ICT toepassingen die aanwezig dienen te zijn voor de nieuwe innovatieve kantooromgeving. Het gaat hierbij om telefonie, hardware en alles wat daarmee te maken heeft. Een goede afstemming met het bestaande ICT beleid en het zoeken naar kansen en mogelijkheden samen met de ICT afdelingen is hier onderdeel van. Subconclusie 14: Project PERFEKT stelt nieuwe eisen aan een werkplek voor de gemeente Dordrecht. Ambtenaren werken in de nieuwe situatie vanaf zgn. flexwerkplekplekken.
3.2.2 Applicatie Consolidatie Het projectdoel is het terugdringen van het aantal applicaties en kunnen consolideren waar mogelijk. Met consolideren wordt hier bedoeld het maken van een keuze uit applicaties met dezelfde functionaliteit en het integraal werken met de laatste versie van een applicatie. De volgorde voor het realiseren van de doelstelling is als volgt. 1. Volledige inventarisatie van de applicaties met de functionaliteit, (zie bijlage) 2. Het saneren van niet gebruikte applicaties 3. Het terugdringen van de diversiteit aan versies binnen 1 applicatie 4. Het terugdringen van hét aantal applicaties in totaal door het samenvoegen van gelijksoortige pakketten tot 1 (of enkele) applicaties. Subconclusie 15 Applicatieconsolidatie zorgt ervoor dat technologische keuzes beperkend werken voor applicatieservers en services.
3.2.3 Aanzet Jaarplan AD 2006 "Citaat uit de aanzet jaarplan algemene directie 2006" Coördineren Dordtse inzet in regionale verbanden Doelstelling: Begin 2006 helderheid creëren over de inzet van Dordrecht in regionale trajecten, welke inzet levert Dordrecht voor de regio (hofleverancierschap). Advisering aan bestuur en AD verbeteren over ontvlechting Regio Zuid Holland Zuid en Drechtsteden; over 'de Lappen deken'; over doorontwikkeling van de drechtstedenorganisatie;
16
Subconclusie 16: Dordrecht gaat samenwerken met omliggende gemeenten. Samenwerkingsverbanden stellen hoge eisen aan de infrastructuur en beveiliging. Standaarden voor alle infrastructuur lagen zijn noodzakelijk om kosteneffectief de infrastructuur te beheren. 3e kolom 'Versterking Sturing, control en beheer - b ICT beheer Doelstelling: 'De gehele I-kolom in INKfase 3' De gehele I-kolom en de ICT infrastructuur zijn klaar voor de toekomstige ontwikkelingen. De kwaliteit van de gegevens in de informatiesystemen is gewaarborgd; de juistheid, volledigheid, betrouwbaarheid kan worden gegarandeerd. Bij calamiteiten is er zekerheid over de hersteltijd. De ICT infrastructuur is 25% minder complex (wordt gespecificeerd als vervanging van één OS en uniformering van de gemeentebrede KA en applicatieconsölidatie). 25% verhoogde beschikbaarheid in de meest bedrijfskritische processen. Subconclusie 17: De AD stelt de volgende eisen aan de ICT infrastructuur: •
ICT infrastructuur is gereed voor toekomstige ontwikkelingen:
•
ICT infrastructuur is 25% minder complex:
•
Beschikbaarheid van de ICT infrastructuur wordt met 25% verhoogd.
17
4
Infrastructuur Componenten 4.1 Algemene eisen Voor de technische infrastructuur van de Gemeente Dordrecht wordt het volgende raamwerk gehanteerd: API
Presentation Application Server Integra tion Infrastructuur architectuur
Database Network Server Hardware / OS Storage
Figuur 1 Het raamwerk biedt voorzieningen of services voor alle mogelijke applicaties, gegevensverzamelingen, hardware, bedrijfsprocessen, etc. Het model is generiek en tegelijkertijd flexibel genoeg om als raamwerk te dienen voor de uitwerking van het technisch beleidsplan ICT. Het beleidsplan gaat vooral in op de onderste drie lagen (physical components), maar ook de overige lagen die relevant zijn voor dit beleidsplan zijn uitgewerkt.
4.1.1 Flexibiliteit Een flexibele infrastructuur is een infrastructuur die is voorbereid op nieuwe toepassingen. Dit vraagt om een 'adaptieve (of aanpasbare) infrastructuur' die op betrekkelijk eenvoudige wijze kan worden gewijzigd of worden uitgebreid om deze nieuwe toepassingen te ondersteunen. De volgende figuur geeft een aantal dimensies weer van waaruit het begrip flexibiliteit kan worden benaderd, namelijk: schaalbaarheid, presentatie onafhankelijkheid, partitionering, integratie, hergebruik en implementatie snelheid.
Snelheid
Integratie
Partitionering Presentatie
Hergebruik Schaalbaartield
Figuur 1 - Dimensies van aanpasbaarheid
18
De belangrijkste eigenschappen van een adaptieve infrastructuur zijn dus: Schaalbaarheid: hiermee wordt bedoeld dat in de infrastructuur enige ruimte is ingebouwd, zodat de infrastructuur niet telkens ingrijpend hoeft te worden gewijzigd zodra de gebruikersgroep van een applicatie groter wordt; Presentatie onafhankelijkheid: de manier waarop de toepassingsprogrammatuur zijn gegevens aan de gebruiker presenteert dient zoveel mogelijk los te staan van het daarbij gebruikte eindgebruikerplatform. Eenduidigheid over alle mogelijke eindgebruikerplatforms kan in de praktijk echter slechts gedeeltelijk worden bereikt, aangezien de hoeveelheid gelijktijdig te tonen informatie per randapparaat kan verschillen; Partitionering: in een adaptieve infrastructuur is een duidelijke opsplitsing in samenhangende onderdelen te onderkennen. Indien de infrastructuur niet op een dergelijke wijze is onder te verdelen, bestaat het risico dat de daaruit resulterende complexiteit op termijn onbeheersbaar wordt; Integratie: hiermee wordt bedoeld dat de losse onderdelen waaruit de infrastructuur is opgebouwd goed van elkaar zijn gescheiden en makkelijk op elkaar aansluiten. Om een adequate vorm van integratie te bereiken is het van belang dat de koppelingen tussen de componenten zodanig is dat wijzigingen daarin met minimale consequenties kunnen worden doorgevoerd ('loosely coupled1); Hergebruik: voor de door de infrastructuur te leveren (basis)diensten wordt altijd één standaard componenttype toegepast. In het ideale geval is het hergebruik daarbij zodanig dat vervanging van een component door een andere implementatie - of een component van een ander merk/type - geen verdere gevolgen heeft voor de rest van infrastructuur; Implementatie snelheid: als gevolg van wijzigende gebruikerswensen en nieuwe technische mogelijkheden zullen aanpassingenün'de infrastructuur onvermijdelijk zijn. Doelstelling van een adaptieve infrastructuur is echter om de tijd die nodig is om dit soort wijzigingen door te voeren ('time to markef) zo kort mogelijk te houden.
4.1.2 Betrouwbaarheid Het aspect betrouwbaarheid wordt algemeen geacht onderdeel te zijn van (informatie) beveiliging. Informatiebeveiliging tracht de beschikbaarheid, de betrouwbaarheid en de vertrouwelijkheid van informatie te garanderen: Beschikbaarheid houdt in dat de informatie en computerdiensten, op het moment dat zij nodig zijn, ook daadwerkelijk gebruikt kunnen worden; Betrouwbaarheid valt onder te verdelen in drie hoedanigheden: o
integriteit, ofwel de juistheid, tijdigheid en volledigheid van informatie,
o
authenticiteit, ofwel de echtheid van de informatie,
19
o
controleerbaarheid, dat de integriteit en de authenticiteit kunnen worden nagegaan;
Vertrouwelijkheid beschermt informatie tegen inzage of gebruik door derden. Niet alle maatregelen binnen de informatiebeveiliging vormen een onderdeel van de technische infrastructuur. Maatregelen aangaande bijvoorbeeld organisatie, classificatie en beheer van bedrijfsmiddelen, personeel en gebruikers, fysieke beveiliging, beheer van communicatie- en bedieningsprocessen, toegangsbeveiliging, ontwikkeling en onderhoud van systemen, en controle en naleving, vallen er buiten en zijn geen onderwerp van het voorliggende document.
4.1.3 Beschikbaarheid Binnen technische infrastructuren kunnen tal van maatregelen worden genomen die beschikbaarheidverhogend (kunnen) werken. Bedacht moet echter worden dat ongeveer de helft van alle uitval niet wordt veroorzaakt door hardware- of systeemstoringen maar door andere falen6. Hier tegen kunnen slechts op een niettechnisch niveau maatregelen worden genomen. Algemene beschikbaarheidverhogende maatregelen zijn: Uniforme voorzieningen: elke (infrastructurele) functie, bijvoorbeeld opslag, verwerking, en transport, wordt door slechts één voorziening aangeboden. Dus meer van hetzelfde en minder diversiteit. Dit vereenvoudigt beheer, vereist minder opleidingen en geeft menselijk falen minder kans. Server consolidatie: het terugbrengen van het aantal servers dat nodig is voor de complete ICT-omgeving. Het vervangen van meerdere kleine servers door één of enkele grotere server(s) resulteert een beter beheersbaar, krachtiger en flexibeler systeem. Centralisatie voorzieningen: het terugbrengen van het aantal locaties met serverruimtes. Hoewel veelal de afhankelijkheid van het netwerk toeneemt, is de winst door concentratie en homogenisering aanmerkelijk groter. Adequaat beheer: dat niet alleen detectief en correctief is, maar ook extrapolerend en preventief is. Gepland pro-actief beheer maakt het mogelijk aanstaande problemen tijdig te signaleren en ongeplande uitval en reactief beheer zoveel als mogelijk te voorkomen. Verder is een verschuiving van het beheer van individuele componenten ('schakels') naar service level management ('ketens') wenselijk. Specifieke beschikbaarheidverhogende maatregelen zijn (is): Interne uitwijkvoorzieningen die bij problemen of uitval de informatievoorziening snel kunnen overnemen. Bijvoorbeeld harde schijven in een RAID-configuratie of in een SAN, servers in een serverfarm of in een cluster, dubbel netwerk met alternatieve paden, dubbele serverruimtes (50/50% of standby).
6
ZDNet (ADIC) 2002, betreffen de oorzaken van gegevensverlies voor 44% hardware- of systeemstoringen, voor 32% menselijke fouten, voor 14% software/programma storingen, voor 7% computervirussen, en voor Volgens 3% rampen op locatie.
20
5
Storage Layer
3/
API
Presentation Application Server Integration Database
Q) Q> CQ CD CD
In deze laag vallen zaken als centrale / decentrale opslag, Storage Area Network (SAN), Network Attached Storage (NAS), Direct Attached Storage (DAS), Hierarchical Storage Management (HSM), de verbinding tussen de servers en de opslag, back-up, restore en archivering.
Network Server Hardware / OS
5.1 Storage Area Network (SAN) Een Storage Area Network (SAN) is een dedicated subnetwerk dat los staat van LANs en WANs. Een SAN is een high performance, schaalbaar en flexibel netwerk dat servers met opslag voorzieningen verbindt. De gegevens wordt over het netwerk getransporteerd met snelheden van één of meer gigabits per seconde. Een SAN kent vijf hoofdcomponenten:
21
Servers; SAN infrastructuur; Opslag op disks; Opslag op tapes of op (magneto) optische media; Programmatuur voor beheer: speciale software voor het managen, het monitoren en het configureren van het SAN.
A-E Multiple servers ^^« Ethernet LAN cobling "•o**1* Fibre Charme! cabling
SAN managemant software
Figuur 2 - Algemene opbouw van een SAN SAN's kennen veel voordelen. Een van de grootste voordelen is het centraliseren van decentrale datastorage en het gerelateerde management. Het beheren van de storage resources in snel groeiende en bedrijfskritische omgevingen kan zeer tijdrovend, duur en stressgevoelig zijn. SAN kan leiden tot het reduceren van dit dilemma door het leveren van significante en hoogstaande technieken. De primaire voordelen van SAN zijn de hoge performance, betrouwbaarheid en schaalbaarheid. De storage-perfomnance van SAN is vele male hoger dan bij traditionele direct attached storage (DAS). Dit wordt mogelijk gemaakt door de zeer hoge transfer-rate van de interfaces die de verschillende apparaten in het SAN met elkaar verbindt (zoals fiber channel). De verhogende performance wordt gerealiseerd door de flexibele architectuur en de mogelijkheid van load balancing en LAN-free back-up. Een hoge mate van betrouwbaarheid wordt bereikt door het toepassen van redundante paden, serverclustering en run-time data-replicatie (zowel lokaal als remote). De hoge betrouwbaarheid leidt direct tot gegarandeerde bereikbaarheid van data en applicaties.
5.1.1 Huidige situatie Novell SAN Het Netware SAN bestaat uit een HP EVA 5000 storage array met 8 enclosures van ieder 14 diskbays. Het Storage network bestaat uit 2 HP Storage Works SAN switches met 2Gbps GC Fabric. Op dit SAN zijn 8 Netware servers aangesloten. Dataopslag ongeveer 3 Terabyte.
22
'!*/ Un\x SAN
Het önlx SAN bestaat uit een HP7400 storage array met 5 enclosures met ieder 15 diskbays. Het storage network wordt gevormd door 2 Brocade Silkworm 3800 switches met 1 Gbps FC Fabric. Op dit SAN zijn 8 Unix servers aangesloten. Dataopslag ongeveer 500 Gb.
5.1.2 Ontwikkelingen SAN omgevingen Op dit moment zijn er diverse ontwikkelingen die direct en indirect invloed hebben op de twee SAN omgevingen van de gemeente Dordrecht. Dit beleidsplan benoemt de meest relevante ontwikkelingen vanuit organisatieontwikkeling en techniek. •
Op een natuurlijk moment dient er een integratie plaats te vinden van de 2 SAN omgevingen naar 1 SAN , dit betekent dat er niet automatisch sprake zal zijn van één storage array. Gezien storage ontwikkelingen kan er sprake zijn van verschillende storages mediums voor specficieke situaties, doorlooptijd na 2007;
•
Bij de integratie van de SAN omgevingen moet rekening gehouden worden met de mogelijkheid om de data van de SAN omgeving over twee locaties te verdelen, hiermee zou de beschikbaarheid verhoogd kunnen worden. Tevens biedt dit een functionaliteit t.a.v. disaster recovery.
•
Naar toekomst (maar dat kan samen met integratie SAN) integratie naar één backomgeving (zelfde tooi, zelfde tapes, zelfde back-upschema(s) voor gelijksoortige zaken).
•
Momenteel is de verwachting dat de huidige SAN oplossingen met de huidige datagroei schaalbaar zijn t.a.v. de storage voor de komende twee jaar (2006 en 2007), waarbij wel de kanttekening gemaakt moet worden dat er nog onvoldoende duidelijkheid is over de hoeveelheid datagroei die uit het gemeentebrede digitaliseringproject komt;
•
Er is sprake van progressieve datagroei, gedeeltelijk wordt geprobeerd dit in te perken door beleid en kaders hiervoor te ontwikkelen, anderzijds worden er binnen Mozaïek oplossingen bedacht om documenten nog maar eenmalig op te slaan, maar er wel meervoudig gebruik van te maken;
•
Er zijn nog geen duidelijke keuzes gemaakt t.a.v. waar documenten worden opgeslagen, dat is in een database of opslag op een filesysteem. Keuze voor opslag in een database heeft invloed op de schaalbaarheid van het Unix SAN in combinatie met de huidige back-upoplossing;
•
De Unix Oracle database servers worden op termijn vervangen door HP blade servers met Linux als besturingssysteem;
•
De Novell File servers worden op termijn vervangen door HP blade servers met Microsoft Windows2003 als besturingsysteem;
5.2 SAN en File servers Bij het vervangen van de Novell File servers en de Unix Oracle servers voor H P blade servers met Microsoft Windows 2003 en Linux moeten de volgende knelpunten worden uitgewerkt:
23
!*/ Huidige situatie: Novell file servers communiceren met een Novell service naar het SAN. Dit SAN bevat platte bestanden. Unix database servers communiceren met een Unix service naar het tweede SAN. Dit SAN bevat Oracle databases. Gewenste situatie: Er wordt een rnigratiepad gestart waarbij HP blade servers worden aangeschaft. Deze servers krijgen twee rollen. Windows2003 file server, als vervanging voor de huidige Novell servers. Linux Oracle database server voor de huidige Unix database servers. Er ontstaat nu een situatie waarbij tijdens het migratepad Novell en Microsoft services communiceren met de SAN omgeving Daarnaast ontstaat een gelijke situatie voor de Unix en Linux servers, deze communiceren ook met het huidige SAN. Advies is om specifiek onderzoek te doen naar het hierboven beschreven migratiemodel. Advies is om een migratieplan op te stellen voor het uitfaseren van Unix en Novell services in de tijd, en om de relatie met andere infrastructuur projecten te toetsen.
5.3 Datagroei 5.3.1 Digitalisering en archivering Datagroei neemt toe, dat is een feit! Diverse projecten binnen gemeente zijn bezig met het digitaliseren van documenten. Hierdoor zal de vraag naar beschikbaarheid van systemen en databases toenemen. Ook de vraag hoe gedigitaliseerde bestanden worden opgeslagen moet op termijn worden beantwoord. Uit de beleidsstukken blijkt dat bestanden nu op het platte File System worden geplaatst, en de Meta Data in databases is geplaatst. Advies is om een keuze te maken hoe en waar gedigitaliseerde informatie wordt opgeslagen.
5.3.2 Archivering Taskforce Digitale Duurzaamheid Archivering van digitale media is een 'hot topic'; wordt deze uitdaging namelijk binnenkort niet afdoende beantwoord, dan gaan er problemen ontstaan. Dit heeft al enige tijd de aandacht van overheidsinstanties als het Nationaal Archief en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. In opdracht van het ministerie BZK heeft de Taskforce Digitale Duurzaamheid eind 2002 als eindresultaat een digitale gereedschapskist opgeleverd met daarin praktijkbeschrijvingen van ministeries in een projectmatrix, plannen van aanpak, beleidsdocumenten, standaarden, wetgeving, onderzoek, documentatie en een productoverzicht DMS/RMA (Document Management Systemen / Record Management Applicaties). Verder wordt actieve kennisuitwisseling bevorderd door de maandelijkse Digiweet en een kennisnetwerk. Het programma Testbed Digitale Bewaring, waarmee
24
de Taskforce nauw heeft samengewerkt, gaat volgens eigen planning en fasering verder. (http://www.diaitaleduur2aamheid.nl). Voorlopig wordt naar deze en overige publicaties en activiteiten verwezen.
5.4 Back-up strategie Novell SAN De back-up van de file services (Netware servers en Windows servers) wordt momenteel via de tooi Netbackup verzorgt, hiervoor geldt een driewekelijks back-up schema. De back-up van de Unix (HP-UX) servers wordt momenteel verzorgt door Omniback, via een vierwekelijks schema. Advies voor het Novell SAN het ingezette project uitbreiding voor back-up en restore met AAC Cosmos verder uit te voeren. Unix SAN De back-up van het Unix SAN wordt verzorgd door Omniback, iedere dag wordt een full-backup op tape gemaakt van de databases. Voor de data inde database van PIV4all (afd. burgerzaken) zijn extra beveiligingsmaatregelen getroffen in het kader van de wet GBA. Advies is om de upgrade naar Omniback II (die nu in voorbereiding is) naar Dataprotector door te voeren.
25
6
Server hardware / OS layer API
Presentation Application Server en
CD
o
Integration Database Network
m 0)
co
i CD
In deze laag vallen bijvoorbeeld servers voor applicaties (bijvoorbeeld database-, applicatie-, en webservers), servers voor infrastructurele services (Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP), cache, proxy, print, bestand, E-mail, etc.), en de besturingssystemen voor deze servers (Windows, Linux, etc.).
Storage
6.1 Servers 6.1.1 Consolidatie, centralisatie en virtualisatie In het verleden leidde de cliënt-server technologie en PC's tot decentralisatie van systemen. Tegenwoordig is er een trend tot consolidatie en virtualisatie. Server based computing zorgt bijvoorbeeld voor het concentreren van servers. Rekenkracht is nu
26
weer centraal beschikbaar op de server. Virtualisatie en consolidatie wordt ingezet om meerdere operating systemen en applicaties hardware onafhankelijk naast elkaar te draaien in gescheiden omgevingen VMware is marktleider op het gebied van virtualisatie en staat het toe volledig virtuele server omgevingen "naast elkaar" toe te passen op dezelfde fysieke server hardware. De virtuele servers "delen" niet alleen de fysieke server hardware (cpu, memory) maar tevens resources zoals disk storage en netwerk interfaces. Advies is om verder te gaan met de server consolidatie en virtualisatie voor de korte en middenlange termijn.
6.1.2 Operating systemen Microsoft Traditioneel heeft Microsoft een groot marktaandeel, voornamelijk als platform voor kantoorautomatisering. Als platform voor andere applicaties groeit het belang van Windows, dit komt door de grote beschikbaarheid van pakketten voor dit platform. Het Windows2003 besturingssysteem gaat op de korte en middenlange termijn een grotere rol spelen. Om flex-werken via server based computing te implementeren is Microsoft Windows2003 met "terminal services" een eis. Dit is mede ingegeven door de visie dat de infrastructuur 25 % minder complex moet worden, en daardoor te streven naar zo weinig mogelijk operating systemen. Advies is om voor flex-werken en thuiswerken Windows 2003 met 'Terminal Services" in te zetten als besturingssysteem op server based computing servers. Novell Het Novell platform bevindt zich op een kruising van wegen. Het platform is in het verleden veel toegepast voor kantoorautomatisering, maar heeft daarin tegenwoordig nog maar een (relatief) klein aandeel. Ook de slag naar Internetplatform heeft maar beperkt marktaandeel opgeleverd. De beheerproducten van Novell worden wel bijzonder gewaardeerd in grote omgevingen. Op dit moment past de gemeente Dordrecht Novell toe voor netwerk services (DNS, DHCP, SLP TIME), directory services, file services, print services, mail services, applicatie hosting services CD-ROM services en software distributie. Ontwikkelingen op de korte en middenlange van de infrastructuur termijn geven de volgende vragen: 1. Blijft Novell het platform voor directory services (incl. file en print services)? 2. Blijft Novell het platform voor de mailomgeving? 3. Blijft Novell het platform voor applicatie hosting? 4. Wat zijn de ontwikkelingen rondom software distributie? Advies is om voor de korte en middenlange termijn Novell niet meer als strategische leverancier te positioneren en Microsoft als nieuwe standaard voor directory-, mail-, print en fileservices van de gemeente Dordrecht te postioneren.
27
!}/ Linux Linux en de hiermee samenhangende Open Source producten staan momenteel nadrukkelijk in de belangstelling. Dit is niet in de laatste plaats door de voortrekkersrol die sommige overheidsinstanties (nationaal en internationaal) hierin vervullen Het marktaandeel van Linux is groeiend. Vooral de investeringen van grote commerciële ICT-bedrijven als IBM, HP, Oracle, SAP, etc. vormen hiervoor de voedingsbodem. Het Open Source product Apache in combinatie met Linux is het platform voor 65% van de webservers wereldwijd. Linux wordt binnen de Gemeente Dordrecht vooral ingezet als webserver platform en op kleine schaal voor een aantal specifieke taken. Er is nog geen gemeentebrede standaard voor Linux bepaald. In de meeste gevallen wordt gebruik gemaakt van Red Hat Enterprise Linux, ook strategische leveranciers van de gemeente Dordrecht zoals Oracle en HP bieden volledige ondersteuning op Red Hat Enterprise Linux. Advies is om de inzet van Linux als webserver te continueren voor de korte en middenlange termijn en Red Hat Enterprise Linux (RHELVals gemeentebrede standaard van de gemeente Dordrecht voor Linux te postioneren. HP Unix (HP-UX) Het HP-UX platform wordt grotendeels ingezet als Oracle database (gemeentelijke database standaard) platform en als Oracle application server middle tier platform. Het hardware platform bestaat uit een combinatie van server hardware ( HP systemen) en een Unix variant. In toenemende mate migreren organisaties van het HP-UX platform naar het Linux platform. De gemeente Dordrecht wil HP Blade servers als standaard hardwareplatform in gaan zetten voor Oracle met Linux als besturingssysteem. Overwegingen hiervoor zijn standaardisatie van en kostenbesparingen voor de infrastructuur. Advies is een migratie van Unix naar Linux in te zetten als platform voor databaseservers.
6.2 Cliënt Computers 6.2.1 Fat-cliënts Met de term fat-cliënt wordt of werkstation of een traditionele personal computer bedoeld. Op dit moment maakt men binnen de gemeente Dordrecht gebruik gemaakt van Dell werkstations en clientbased applicaties voor de primaire applicaties en kantoorapplicaties. Deze applicaties zijn op het werkstation van de gebruiker geïnstalleerd. De applicatie- verwerking vindt voor een deel plaats op de server, voor een deel op de cliënt (cliënt-server concept). Doordat vrijwel ieder werkstation haar eigen configuratie kent, is het beheer van de werkstations arbeidsintensief. Een doorkijk naar de toekomst vanuit organisatie ontwikkeling op de middellange termijn geeft voor de huidige cliënt computers een volgend scenario;
28
Dordrecht./ •
Flex-werkplekken worden op grote schaal geïntroduceerd;
•
Applicatie consolidatie wordt doorgevoerd;
•
Specifieke functionele werkplekken hebben in de toekomst een fat-cliënt nodig;
•
De huidige PC's zijn volgend jaar afgeschreven en worden voor een symbolisch bedrag aangeschaft door de gemeente.
6.2.2 Thin-cliënts Een thin-cliënt is in principe een PC waarvan alleen de video en netwerk capaciteiten worden gebruikt. Het verzorgt de presentatie naar en invoermogelijkheden van de gebruiker. Omdat er geen harde schijf of interne uitbreidingsmogelijkheden nodig is hebben leveranciers thin-clients ter grootte van een broodrooster ontwikkeld. Thincliënts nemen weinig ruimte in, produceren nauwelijks warmte en bevatten geen lokale software. Een logische transitie is om deze PC's om te bouwen tot thin-clients voor de flexwerkplekken. Deze strategie heeft het voordeel dat er geen extra investeringen nodig zijn voor de huidige PC's. Advies is om de huidige PC's om te bouwen tot thin-clients: Advies is om de omgebouwde PC's in te zetten voor het project PERFEKT Advies is om thin-clients geleidelijk in te voeren zodra PC's technologisch verouderd raken, voor een zo groot mogelijk deel van de ICT infrastructuur. Advies is om nu en in de toekomst voor specifieke functionele werkplekken fat cliënts te handhaven.
6.2.3 Open source op de werkplek Ook Open Source op de werkplek staat in de belangstelling. Het betreft dan inzet van Open Source producten als operating systeem van de cliënt computer met bijvoorbeeld Linux en als vervanger van producten uit de KA suite, denk bijvoorbeeld aan OpenOffice als vervanger van Microsoft Word. In tegenstelling tot de grote acceptatie van bijvoorbeeld Linux als Open Source server operating systeem, wat voor de gemeente Dordrecht als strategische richting wordt gezien, verloopt de acceptatiegraad van Open Source op de werkplek minder snel. Daarnaast dienen overwegingen als 'proven technology', integratie van het werkplek operating systeem en KA suite met specifieke bedrijfsapplicaties (bijvoorbeeld koppelingen met Microsoft Word en Excel), integratie met de keuzen in de richting van thin cliënts en Server Based Computing (zie paragraaf 6.4), standaardisatie en een natuurlijk moment van overgang (investeringen en upgrades) meegenomen te worden in de afweging of Open Source op de werkplek waarde heeft voor de gemeente Dordrecht. Op basis van bovenstaande overwegingen wordt voor de periode van 2006 t/m 2008 Open Source op de werkplek niet als strategische richting gezien. Advies is om voor de nieuwe werkplek 2006-2008 de Microsoft producten (OS en KA suite) als strategisch product te kiezen en in 2008 het standpunt t.a.v. Open Source op de werkplek te heroverwegen.
29
Pordrecht-/
6.3 Printers Het aantal printers binnen de gemeente Dordrecht kent een zeer grote diversiteit. De lijn is ingezet om steeds meer gebruikt te gaan maken van zogenaamde 'multifunctionals', deze kunnen naast de taak als printer ingezet worden als kopieer-, scan en faxapparaat. Advies is om een printerconsolidatietraiect in te zetten en daarbij eenduidig beleid t.a.v. het printen, scannen, faxen en kopieeren te ontwikkelen in de lijn van het gebruik van de multifunctionals.
6.4 Server Based Computing Server Based Computing is een multi user netwerkoplossing waarbij alle applicaties via centrale servers beschikbaar zijn voor alle aangesloten werkplekken. De systeembeheerder heeft het voordeel van centraal beheer en administratie. Via een krachtig communicatie protocol kan men ongeacht type desktop - PC's, Windowsbased Terminals, UNIX werkstations gegevens ontsluiten. De kenmerken van Server-based Computing •
Vereenvoudigd beheer en onderhoud;
•
Snelle en eenvoudige installatie van software;
•
'Oude' PCs kunnen de nieuwste Windows software gebruiken;
•
Ook UNIX, Macintosh en OS/2 desktops kunnen Windows applicaties gebruiken;
•
Optimaal gebruik van de beschikbare server resources;
•
Remote beheer en remote werken;
•
Verlaging van Total Cost of Ownership;
Met het concept van Server Based Computing in combinatie met pc's of thin-clients maakt de fysieke locatie van de werkplek niet meer uit. In combinatie met een Acces Gateway is telewerken eenvoudig te realiseren. Het concept geeft ICT mogelijkheden om werkplekken te delen (maar is hier niet uniek in). Een flexibel werkplekken concept staat een vermindering van het aantal werkplekken toe in situaties waarbij een organisatie beschikt over een substantieel aantal medewerkers dat parttime of regelmatig buiten kantoor werkt (overleg, inspectie, handhaving, thuiswerk etc.). Project PERFEKT is het project dat verantwoordelijk is voor het ter beschikking stellen van flex-werkplekken binnen de gemeente Dordrecht. Flex-werkplekken stellen eisen aan de infrastructuur voor het ontsluiten van applicaties voor de medewerkers. Advies is om voor het project PERFEKT server based computing in te zetten. Advies is om het Server Based Computing concept in te zetten voor medewerkers die thuiswerken. Advies voor thuiswerken het Server Based Computing concept in combinatie met een Access Gateway op basis van SSL VPN in te zetten.
30
6.4.1 Virtualisatie en Server Based Computing Binnen het Server Based Computing concept wordt steeds meer gebruik gemaakt van virtualisatie technieken. Door virtualisatie wordt het mogelijk om applicaties en het onderliggende operating system volledig onafhankelijk en gescheiden van de fysieke hardware te laten functioneren. Specifiek voor SBC virtualisatie heeft de firma Softricity producten ontwikkeld. Met VMware is het mogelijk hardware onafhankelijk te virtualiseren binnen SBC omgevingen. Advies is om voor het server based computing concept virtualisatie toe te passen.
6.5 Directory Services Eén van de grootste uitdagingen binnen grote gedistribueerde infrastructuur omgevingen is het identificeren en lokaliseren van resources zoals gebruikers, computers, printers en andere objecten. Een Directory Service (DS) kan hierbij het onderdeel vormen dat helpt in een manier voor het identificeren en vinden van deze resources binnen die infrastructuur. Een Directory Service is als een telefoonboek, bij het opvragen van een naam kan de service de informatie geven hoe, waar en waarmee dit object te benaderen is. De gemeente Dordrecht heeft Netware v.6.0 SP2 als Directory Service geïmplementeerd voor het beheer van gebruikers computers en netwerkapparatuur. Daarbij is Groupwise v.6.5 als mailsysteem in gebruik bij de gemeente Dordrecht. Op de korte en de middellange termijn zijn er ambities om samenwerkingsverbanden aan te gaan met andere overheidsinstellingen of gemeenten. Denk hierbij aan een shared service center of een zelfstandig bestuurlijk orgaan (ZBO). Samenwerkingsverbanden stellen eisen aan de gemeentelijke architectuur en infrastructuur. Een doelstelling van samenwerking is kostenreductie en standaardisatie in architectuur en infrastructuur levert schaalvoordelen voor deelnemende partijen. Vanuit dit kader stelt een Directory Service de volgende eisen aan de infrastructuur. 1. Meerder juridische entiteiten kunnen met elkaar samenwerken; 2. Er vindt op een centraal punt administratie plaats; 3. ledere gebruiker logt eenmaal in (SSO) 4. ledere gebruiker kan op een willekeurige plaats inloggen. Advies is om bovenstaande eisen mee te nemen bij het inrichten van een toekomstige directory service met Microsoft Active Directory.
31
***f Network Layer API
Presentation Application Server en CD n
Q)
Integration
01
co CD
Database
CD
in deze laag worden onderwerpen behandeld als fysieke en logische Local Area Network (LAN) services, netwerk protocol en adres management, Wide Area Network (WAN) services, Internet toegang, Voice-over-IP (VolP), en firewalls.
Server Hardware / OS Storage Figuur - Network Layer
7.1 Local Area Network (LAN) Het LAN is een essentiële schakel in de ICT-infrastructuur. Het is de lokale verbinding tussen de eindgebruikers (clients) en servers. Het netwerkverkeer op het LAN is in de
loop der jaren toegenomen. Deze toename is het gevolg van een verdergaande automatisering en toename in de dataopslag en grafisch werk. Fast Ethernet (100 Mbit/s) en Gigabit Ethernet (1 Gbit/s oftewel 1000 Mbit/s) worden door de Gemeente Dordrecht-gebruikt. Er zijn ook mogelijkheden om op 2 Gbit te werken, daarvoor moeten speciale afmontages van de glasvezelcomponenten worden toegepast. Advies is om het gebruik van Ethernet te continueren.
7.2 Wide Area Network (WAN) Een WAN is een netwerk dat twee of meer lokale netwerken (LAN's) verbindt die geografisch verspreid zijn. De gemeente koppelt de LAN omgevingen van buitenlocaties via het WAN aan de hoofdlocatie via glasvel. De LAN's van externe (trusted) partijen worden gekoppeld via de Tunix Firewall (DMZ Lan). Andere koppelingen worden via routers aan de Firewall geplaatst.
7.3 Network Protocol en Adress Management Het gebruikte netwerkprotocol is TCP/IPv4. Voor het beheer is ondersteunende programmatuur vereist om de beheerder in staat te stellen effectieve subnet strategieën te bepalen en te implementeren, DHCP en DNS server architecturen te ontwerpen (bij voorbeeld, geclusterde vs. gedistribueerde redundante servers) en de uitgifte van IP adressen aan IP apparatuur. Openbare IP adres ranges moeten worden aangevraagd en DNS domein namen moeten worden aangevraagd en gepubliceerd. Het is belangrijk nu te inventariseren op welke punten de processen en IT infrastructuur in uw organisatie aangepast dienen te worden voor het inzetten van IPv6. Er zijn een aantal keuzes te maken, en de impact van de verkeerde keuze kan grote gevolgen hebben. Denk bijvoorbeeld aan het onderzoeken of de apparatuur al geschikt is voor IPv6 of dat er in de nabije toekomst ondersteuning voor IPv6 beschikbaar zal zijn. Advies is om bij toekomstige investeringen na te gaan of de apparatuur IPv.6 is gecertificeerd of hiervoor is voorbereid.
7.4 Power over Ethernet (PoE) Op dit moment worden alleen telefoontoestellen via het network (LAN) van stroom voorzien. Steeds meer apparaten, zoals bepaalde netwerkcomponenten, draadloze access point, camera's (o.a. webcams) en ook VOIP telefoontoestellen hebben de mogelijk om via het LAN van stroom voorzien te worden, dit heet Power over Ethernet (PoE). Dit biedt voor dit soort apparaten de mogelijkheid om het aantal stroomkabels te beperken, tot betrouwbaardere stroomvoorziening en betere noodstroomvoorzieningen, beter beheermanagement en tevens de mogelijkheid tot verdere standaardisatie. Advies is om bij toekomstige investeringen in apparatuur en netwerkbekabeling rekening te houden met de mogelijkheid tot PoE.
33
g/
7.5 Firewall
«*=„-
lp adressen ürewi
; lp
Xl0:ï858612ïi
issffiSSS?..
SVTOÓJ: 10.2H.1Ó0.3
«««g;.*,»»,,, "tëiïZ*"^" .
iSSSSSS";.
dcd: 192.1.1i;i?
iSïWnt195:B6.121.5
-:. .
:
lp a*essen reuters RT01D3:17.120.3.5 RTE 172.3.3 ATOS: 172^0.3.6 Gemhrt 192.1.11254 Wwihgmt roiitor17220.3.B
MwInCS
BS1
i
(www.donJrecht.nJ) i
! LX2
/
!
/
webmallservers
ABSFomsSeJvet
Figuur: Firewall gemeente Dordrecht
7.5.1 Functionaliteiten De basis van het concept van de Tunix Firewall is geïmplementeerd rond 1998. Nieuwe eisen en wensen zijn in de Firewall geïntegreerd. In de huidige situatie zijn vijf netwerkkaarten in de Firewall geplaatst die toegang verlenen tot- en aan diverse externe partijen. Daarbij heeft de Firewall meerdere taken gekregen die allemaal op deze machine zijn geconcentreerd. Hierbij een overzicht van de huidige taken van de firewall. •
IP-filtering;
•
NAT-vertaling;
•
Emailscanning;
•
VPN-functionaliteit;
•
DNS server;
•
Authenticatie server
•
Bandbreedte Management;
•
HTTP screening.
Advies is om bij een herijking van de strategie rondom de firewall de huidige taken op te splitsen en te decentraliseren.
34
Dordrecht/ 3?
7.5.2 Redundancy Voor redundancy is een tweede Firewall bijgeplaatst, deze wordt geactiveerd zodra de huidige Tunix Firewall uitvalt. Er wordt gebruik gemaakt van een ISP (Internet Service Provider) bij uitval is er geen verbinding met Internet. Doordat de gemeente steeds meer dienstverlening via het Internet gaat aanbieden is het niet wenselijk om afhankelijk te zijn van één ISP. Advies is om op de middenlange termijn gebruik te maken van meerdere ISP of Internet verbindingen. Dit om het niveau van digitale dienstverlening aan de burger te garanderen.
7.5.3 Demilitarized Zone (DMZ) DMZ LAN
Het DMZ LAN geeft: Trusted Parties" toegang tot het LAN van de gemeente Dordrecht. In de toekomst kunnen meerdere Trusted Parties" gekoppeld gaan worden via het regionale glasvezelnet. De gemeente voorziet een groei in gebruikers die toegang willen tot het LAN van de gemeente om applicaties te ontsluiten. Advies is om een verdeling te maken tussen statische en dynamische gebruikers. Statische gebruikers kunnen via het DMZ LAN toegang krijgen tot het LAN van de gemeente Dordrecht d.m.v. VLAN segmentering. Dynamische gebruikers kunnen via een "Access Gateway Infrastructuur" toegang krijgen tot het LAN van de gemeente Dordrecht.
7.6 Telefonie 7.6.1 Dect telefonie DECT staat voor Digital Enchanged Cordless Telecommunications. Het is de meest gebruikte draadloze telefoon standaard in Europa. DECT telefoons worden binnen de gemeente Dordrecht minimaal gebruikt. Dit is een bewuste keuze van de afdeling ICT. Overwegingen voor deze keuze zijn, de mate van beheer voor DECT telefonie, het plaatsen van diverse ontvangstmodules op diverse etages (beperkte bereikbaarheid) en de kosten die hiervoor gemaakt moeten worden. Advies is om geen investeringen in DECT telefonie te doen.
7.6.2 Voice over IP (VolP) Voice over IP (VOIP) is de techniek waarmee telefoneren over een IP-datanetwerk mogelijk is. VOIP maakt de integratie tussen dataverkeer en telefonie mogelijk. Voordelen hiervan zijn dat hetzelfde netwerk gebruikt kan worden, wat leidt tot besparingen in bekabeling (minder aansluitingen). Een ander voordeel is dat telefonie flexibeler wordt. Middels inloggen kan een telefoonnummer worden gekoppeld aan een telefoon, zodat een medewerker ongeacht waar hij of zij zit, gebruik kan maken van een persoonlijk nummer op een vast toestel. Een voorwaarde voor VOIP is een switched ethernet netwerk. Waarvan de actieve componenten geschikt zijn om VOIP te ondersteunen. De Siemens telefooncentrale van de gemeente Dordrecht is bijna afgeschreven en heeft systeemgeschakelde kaarten en Voip kaarten. Er kunnen nog Voip kaarten in de centrale worden bijgeplaatst, waardoor er een groei scenario naar volledig Voip
35
mogelijk is. De enige beperking is dan de afhankelijkheid van de huidige fabrikant (Siemens) in relatie tot toekomstige investeringen. De verhouding voor systeemgeschakelde telefoons en Voip telefoons is ongeveer 80/20 over het totale aantal telefoons. Systeemgeschakelde en Voip telefoons bieden beiden dezelfde functionaliteit. PERFEKT Voor het project PERFEKT is onderzocht wat de mogelijkheden zijn om flexwerkplekken te faciliteren zie hiervoor het document "Staand beleid telefonie gemeente Dordrecht".
7.6.3 Voip en thuiswerken Een thuiswerkplek kan met Voip technologie worden uitgerust. Dit kan enerzijds door een fysieke telefoon op locatie, anderzijds door een zgn. Softwarematige telefoon (Softphone) De fysieke telefoon is gebaseerd op beproefde technologie. De combinatie Server Based Computing (Citrix) en een IP Softphone is relatief nieuw. Leveranciers als Cisco, Nortell en Avaya hebben een samenwerkingsovereenkomst met Citrix afgesloten om dit verder te ontwikkelen. In deze fase is het te vroeg om hiermee aan de slag te gaan. De techniek is relatief nieuw. Advies is om op termijn over te gaan naar volledige Voip telefonie om data en telefonie te integreren. Het beheer van telefonie wordt geïntegreerd in het netwerkbeheer. Randvoorwaarde hierbij is dat huidige of nieuwe netwerkcomponenten Voip kunnen faciliteren. Advies is om voorlopig af te wachten met de investering voor een nieuwe telefooncentrale, in de telefooncentrale is noq ruimte voor uitbreiding. De huidige centrale biedt nog voor minimaal 2 iaar voldoende functionaliteit. Ontwikkelingen op het gebied van samenwerking zijn hierin een belangrijke factor. Advies is om voor het project PERFEKT voorlopig telefonie in te richten met de bestaande telefoontoestellen. Op deze toestellen wordt HOT DESKING geactiveerd.
36
8
Database Layer API
Presentation Application Server w
CD O
Integration
o> o>
CD CD CD
In deze laag worden onderwerpen behandeld die database services leveren, zoals het DBMS ( Relational Database Management System) Middeware en Gateways (ODBC), beschikbaarheid, replicatie en locaties in relatie tot de fysieke laag (Infrastructuur)
Network Server Hardware / OS Storaqe
8.1 Informatie architectuur Om een indruk te krijgen hoe de globale database architectuur eruit ziet binnen de gemeente moet een relatie worden gelegd met de informatie architectuur. Informatie en database architectuur hebben een directe relatie met elkaar. Dit hoofdstuk gaat in op de diverse databases die de afdeling beheerd. Technisch database beheer ligt binnen de verantwoordelijkheid van de afdeling ICT. Functioneelbeheer en applicatiebeheer zijn in de organisatie belegd.
37
piv
èixterril
gh pËta
toepassingen
gws
back-office-
p&o
medetoerkers
cad
(balie-) medewerkers burgers bedrijven leveranciers _
back-office-
rriet-
specialisten
toepassingen;
specialisten
Figuur: Samenhang informatiearchitectuur en mid- en backoffice
8.1.1 Gegevensmagazijn In de informatiearchitectuur van de gemeente Dordrecht is een gegevensmagazijn gepositioneerd in de Mid-Office omgeving. Doel van dit gegevensmagazijn is dat alle systemen/applicaties die basisgegevens (zoals adressen, natuurlijke personen, gebouwen, enz.) nodig hebben deze betrekken uit het gegevensmagazijn. Het gegevensmagazijn wordt geladen uit backoffice systemen. Per basisgegeven wordt binnen de gemeente Dordrecht bepaald wie zogenaamde bronhouder is en in welk backoffice systeem deze gegevens bijgehouden worden. Dit zijn de zogenaamde bronbestanden. Per basisgegeven wordt het gegevensmagazijn gevuld vanuit het aangewezen backoffice systeem.
8.1.2 Zaken / Intakes Los van de back-office-toepassing worden alle aanvragen centraal opgeslagen middels webformulieren via het web-intake-systeem (WIS). Op termijn dienen ook aanvragen die via andere kanalen binnenkomen (post, fax, e-mail, balie) via het web-intakesysteem (WIS) te worden geregistreerd.
8.1.3 Beschikkingen Het resultaat van een zaak kan een beschikking zijn. Deze dienen ook los van de backoffice-toepassing in de mid-office-database te worden opgeslagen. Het web-intakesysteem (WIS) zou hiertoe functioneel moeten worden uitgebreid.
8.1.4 Actoren Elke zaak wordt opgepakt door actoren. Dit kunnen (meerdere) medewerkers of organisatie onderdelen zijn. Ook bij het elektronisch paraferen worden actoren opgevoerd. Het integraal-personeels-registratie-systeem (IPS) is onderdeel van de midoffice.
38
8.2 Databases De gemeente Dordrecht gebruikt voor haar bedrijfsapplicaties Oracle als standaard database. Voor kleinere applicaties en specifieke applicaties is er een scala aan overige databases in gebruik. Soms is deze keuze gemaakt omdat voor de bedrijfsprocessen die de applicatie diende te ondersteunen geen alternatief met een Oracle database voorhanden was, in andere situaties is de keuze voor een afwijkende database om onduidelijke redenen tot stand gekomen. Daarnaast speelt dat Oracle voor kleinere toepassingen als te 'zwaar* en te duur wordt ervaren. Het kostenaspect heeft mede te maken met de huidige wijze van doorberekening van de applicaties met Oracle database t.o.v. applicaties zonder Oracle database. Bij de gemeente Dordrecht zijn er naast Oracle o.a. de volgende databases in gebruik, MS Access, SQL server, MySQL, Pervasive, Sybase, Btrieve, FoxPro, enz. De Oracle databases worden proactief beheerd, dit is niet het geval voor de overige databases. Advies is om te standaardiseren op één hoofdkeuze als database en twee alternatieven te bieden in beargumenteerde uitzonderingsgevallen. De hoofdkeuze voor de qemeentebrede standaard van de gemeente Dordrecht voor databases is vastgesteld op Oracle. Daarnaast is het advies om als de twee alternatieven Microsoft met SQL server en MvSQL te bieden. Het gebruik van de databases binnen de gemeente Dordrecht is voor meer dan 95% voor online transaction processing (OLTP) toepassingen. Alleen binnen het geografische domein is sprake van enige datawarehousing, hoewel de hoeveelheid data nog zeer beperkt is (<10GB). Binnen de E-government ontwikkelingen is sprake van een operationele datastore (gegevensmagazijn). Batchverwerkingen worden uitgevoerd voor enkele van de zwaardere bedrijfsapplicaties. Op beperkte schaal wordt er gebruik gemaakt van Business Intelligence.
8.2.1 Oplever / installatieprocedures Oracle biedt de mogelijkheid om installaties van databases en server operating systemen te integreren. Deze integratie biedt diverse voordelen om sneller database applicatieservers uit te rollen. Advies is om deze installatieprocedures te onderzoeken en op te nemen binnen het beheer model.
8.2.2 Omvang databases De groottes van de databases variëren van onder de gigabyte tot 25GB, waarbij meer dan 90% van de databases kleiner is dan 5GB. De inzet van databases voor applicaties die buiten het E-government domein liggen volgen nog steeds een grote mate van silo ontwikkeling (per applicatie één database). Een actievere rol naar applicatieleveranciers toe bij aanschaf trajecten kan een efficiency verbetering teweeg brengen.
8.2.3 Versie beheer Begin 2006 wordt de migratie van alle Oracle database van versie 8i afgerond naar versie 9i. In 2006 is versie 9i release 2 de standaard. De Oracle databases worden op
39
Iftmïrecïit een centrale infrastructuur van HP-UX servers gedraaid (PA-RISC processoren), die uitgerust zijn met 2 CPU's, waarbij er een groot aantal databases per server draaien. Medio 2006 vindt de eerste OraclelOg installatie plaats te vinden, waarna in 2007/2008 alle omgevingen gemigreerd kunnen worden naar OraclelOg. In dit project zal ook gekeken moeten worden naar het geautomatiseerd uitrollen van de Oracle database software en het databases.
8.2.4 Grid Computing Er is een trend naar grid computing, wat enerzijds de beschikbaarheid verhoogt en anderzijds het dynamische inzetten van resources mogelijk maakt en dus een tot meer efficiency leidt bij de inzet van resources. Echter leidt dit wel tot meer complexiteit en ingezet op kleine schaal in eerste instantie tot een verhoging van de kosten. Grid computing wordt momenteel binnen de gemeente Dordrecht alleen noodzakelijk geacht voor het verhogen van beschikbaarheid en dan wel in de gevallen indien voor bepaalde omgevingen t.a.v. de beschikbaarheidsuren een beschikbaarheidpercentage hoger dan 98% gewenst is.
8.2.5 Database gateways Data Access Middeware software biedt applicaties en middeltier applicatie servers de mogelijkheid om met databases op het netwerk te communiceren. Database gateways zijn software componenten die het mogelijk maken dat applicaties diverse databases kunnen benaderen.
40
9
Integration Layer API Presentation Application Server
Q> ffl (Q (D
Database Network
(D
In deze laag worden onderwerpen behandeld die de integratie verzorgen tussen applicaties, Web-servers, database servers, en applicatie servers. Integratiecomponenten zijn: applicatie adapters, integratie servers, (message brokers, enterprise service buses) en Message Oriented Middleware (MOM)
Server Hardware / OS Storaqe
9.1 Integratielaag De noodzaak tot integratie van applicaties binnen de overheid is de laatste jaren enorm toegenomen. Voornaamste invloed hierin is de ontwikkeling van E-dienstverlening
1 Waar hier over applicaties wordt gesproken worden applicaties bedoeld die direct bedrijfsprocessen van de gemeente Dordecht ondersteunen, deze worden ook wel met de term bedrijfsapplicaties aangeduid.
41
Dordrecht
.
(doelstelling die vanuit het rijk is opgelegd: 'in 2007 moet 65% van de dienstverlening van de gemeente op internet beschikbaar zijn', onderdeel kernpunt 'aansluiten bij externe ontwikkelingen' van ICT visie). Binnen de gemeente Dordrecht is de laatste jaren hard gewerkt aan de Frontoffice (aanbieden van dienstverlening op Internet) en de MidOffice (o.a. registeren van intakes van burgers) Intakes worden echter nog niet geautomatiseerd verwerkt in de BackOffice systemen, dit wordt zogenaamde verticale integratie genoemd.
Figuur - Overzicht Front- Mid en BackOffice Een andere ontwikkeling die integratie tussen applicaties noodzakelijk maakt is het aangegeven kernpunt 'enkelvoudige registratie meervoudig gebruik' uit de ICT visie. Dit houdt in dat gegevens en informatie wordt gedeeld tussen applicaties (bijvoorbeeld een burger hoeft op deze manier maar op één plek en eenmalig zijn adreswijziging door te geven aan de gemeente, vervolgens wordt in alle applicaties waarin de burger is geregistreerd dit adres geautomatiseerd gewijzigd). Tevens wil de gemeente Dordrecht een ketengeoriënteerde organisatie worden, waarbij gegevens met partners uitgewisseld worden en/of processen met partners op elkaar afgestemd worden. Ook dit vergt integratie tussen applicaties. Tenslotte is er de wens om 'proces' componenten te hergebruiken. Een voorbeeld is bijvoorbeeld dat het innen van de gelden van een parkeervergunning niet door de Parkeerafdeling wordt afgehandeld, maar door de afdeling Financiën (waarvoor het een kernproces is). Ook dit maakt integratie tussen applicaties noodzakelijk.De integratie van applicaties blijft een complexe aangelegenheid. Denk alleen aan de betekenis van een gegeven als subject in de verschillende applicaties (komt niet altijd overeen) of de schrijfwijze van een straatnaam in verschillende applicaties en dat naast de benodigde
42
Dordrecht inspanning om koppelingen daadwerkelijk te realiseren. De integratie wordt nog eens bemoeilijkt door de huidige stand van zaken van onze applicatiearchitectuur7.
9.1.1 Applicatiearchitectuur Een groot aantal bedrijfsprocessen van de gemeente Dordrecht wordt ondersteund door daarvoor aangeschafte applicaties, de applicatiearchitectuur. Gezien de diversiteit van de bedrijfsprocessen van de gemeente Dordrecht zijn deze applicaties (softwarepakketten) ook bij een groot aantal leveranciers gekocht. Dat heeft tot gevolg gehad dat de door de leveranciers gebruikte technologieën (ontwikkeltaal, ontwikkelplatform, database, protocollen, enz.) om deze applicaties te bouwen zeer divers zijn. Ook binnen de applicaties van onze grootste leverancier Centric is geen eenduidigheid in gebruikte technologie. Naast de grote diversiteit in gebruikte technologieën zijn de huidige applicaties ook niet gebouwd op uitwisseling met andere applicaties, dit gegeven wordt vaak omschreven als dat applicaties 'gesloten' zijn i.p.v. 'open'. Het gevolg is dat koppelingen tussen twee applicaties die momenteel gerealiseerd zijn in bijna alle gevallen als maatwerk aan beide applicaties gerealiseerd is (dit wordt 'tight coupling' genoemd). Dit heeft een aantal nadelen. Maatwerk vergt meestal grote inspanning, de gemaakte koppeling is alleen te gebruiken voor het doel waarvoor de koppeling is gemaakt (andere applicaties kunnen niet zomaar aansluiten). Daarnaast is bij vervanging van een applicatie het aangebrachte maatwerk t.b.v. de koppeling aan de applicatie wat niet wordt vervangen meestal niet meer bruikbaar.
9.2 Service Oriented Architecture Koppelingen worden veelal van de ene applicaties direct op de andere applicatie gebouwd. Naarmate het aantal koppelingen toeneemt, wordt het beheer en onderhoud hierop steeds lastiger. Deze wijze van koppelen wordt ook wel aangeduid met de term 'spaghetti'. Om deze problemen het hoofd te bieden is het concept van een op diensten (services) gebaseerde architectuur ontstaan, oftewel de 'service oriented architecture', afgekort SOA (dus niet de Nederlandse betekenis van deze afkorting). In het kort komt een SOA er op neer dat functionaliteiten als een service gebouwd worden, waarmee uitwisseling op basis van open standaarden (berichtenformaat in XML en uitwisseling bijvoorbeeld via SOAP of JMS) mogelijk is. Tevens worden services veelal in organisatietermen gedefinieerd (bijvoorbeeld 'afhandelen factuur', verificatie persoonsgegevens, enz.), een bijkomend voordeel hiervan is dat ICT weer dichter bij de organisatie komt te staan omdat het praten over diensten nauw aansluit bij de organisatie. Een op deze diensten gebaseerde architectuur heeft zowe| invloed op het te voeren beleid t.a.v. de applicatielaag als de integratielaag. In dit deel worden de aspecten t.a.v. de integratielaag nader belicht. Voor de specifieke aspecten t.a.v. de applicatielaag wordt naar deze laag verwezen.
De applicatiearchitectuur beschrijft de informatievoorziening van een organisatie in termen van informatiesystemen (applicaties) en onderdelen van informatiesystemen. Het beschrijft de opzet en verdeling van bedrijfsgegevens en 'geautomatiseerde' functies naar informatiesystemen of samenhangende delen van informatiesystemen (deelsystemen), databases, tabellen, functies en programma's. Hierin worden dus de 'fysieke' informatiesystemen of deelsystemen benoemd.
9.3 Enterprise Service Bus Het voordeel van een op diensten gebaseerde architectuur is dat de implementatie (de technologie) van de service gescheiden kan worden van de interface (het deel waarmee uitgewisseld wordt) van de service. Ondanks dat technologieën van services verschillend kunnen zijn is er nog steeds op een relatief makkelijke wijze uitwisseling mogelijk omdat de interface gebaseerd is op open standaarden. Hiermee wordt een veel grotere flexibiliteit en aanpasbaarheid bereikt dan in de huidige applicatiearchitectuur. Deze flexibiliteit komt ook nog eens tot uitdrukking in het feit dat services herbruikbaar zijn(ze kunnen door verschillende andere services aangesproken worden i.p.v. de vroegere 1 op 1 koppelingen). Ook bij de vervanging van een component (service) is het niet meer nodig om de applicatie die gebruikmaakten van deze service aan te passen. Er wordt alleen voor de te vervangen service een nieuwe geïmplementeerd. Naarmate het aantal koppelingen toenemen is het voorkomen van spaghetti noodzaak om beheersbaarheid te bewerkstelligen, daarvoor wordt binnen een diensten architectuur een zogenaamde 'enterprise service bus' (ESB) toegepast. Services worden aangesloten op de bus en via de bus wisselen zij hun berichten uit met andere services. Dit heeft als voordeel dat services nog onafhankelijker hun services aan kunnen bieden (locatie van de service waarmee uitgewisseld dient te worden is bekend bij de ESB en niet mee bij de service), het gewenste model is namelijk 'loose coupling'. Naarmate services losser gekoppeld zijn met elkaar zijn ze makkelijker herbruikbaar, makkelijker vervangbaar en de benodigde inspanning om ze te bouwen kleiner en het is makkelijker om uitwisseling met andere services mogelijk te maken. Daarnaast biedt een ESB een basis infrastructuur voor de koppeling tussen applicaties op basis van een diensten georiënteerde architectuur. Deze basis infrastructuur bevat o.a. de volgende componenten: •
Infrastructuur, voor het uitwisselingen van berichten (waardoor gegarandeerde aflevering van een bericht mogelijk wordt (ook als services tijdelijk down zijn)).
•
translatiemogelijkheden, om berichten om te vormen naar het gewenste formaat van de service waarmee uitgewisseld moeten worden);
•
centraal management, voor berichtenstromen, logging, tracing, enz;
•
routeringsfuncties, waar moet een bericht heen, een bericht kan naar meerdere andere services gestuurd worden, enz.
Naast dat koppelingen tussen applicaties (services in een op diensten gebaseerde architectuur) makkelijker realiseerbaar zijn heeft een op diensten gebaseerde architectuur nog twee zeer belangrijke voordelen: User interfaces gaan ook gebruik maken van de gedefinieerde services, dit heeft als voordeel dat de service herbruikbaar is voor uitwisseling met andere services zowel als voor user interfaces. Daarnaast wordt de presentatie logic geschieden van de 'business logic', dat heeft weer tot voordeel dat wijzigingen in de user interfaces enkel doorgevoerd hoeft te worden in de presentatie laag en niet meer in de business logic, zoals dat wel het geval is voor applicaties waarbij de presentatielaag nauw verbonden is
44
Dordrecht met de business logic. Tevens maakt dat het veel makkelijker om user interfaces te ontwikkelen voor andere devices dan alleen de PC en laptops, bijvoorbeeld PDA's en het gebruik in portalen. Ander belangrijk voordeel is dat indien de services juist gedefinieerd worden, ook de proceslaag losgemaakt kan worden van de services zelf. Momenteel is er nog veel procesflow (workflow) gedefinieerd in de backoffice-systemen. Door deze proceslaag niet meer te bouwen in de servicelaag wordt het mogelijk om via een zogenaamde 'proces engine' (bijvoorbeeld BPEL engines3)processen op een hoger niveau vorm te geven en veel sneller dan in de oude architectuur te kunnen veranderen. Dit verhoogd de flexibiliteit en aanpasbaarheid van processen enorm. Tevens zijn deze wijzigingen veel sneller te realiseren. De stappen van een proces worden gekoppeld via de ESB aan services die ieder een processtap voor hun rekening nemen, via de proces engine worden deze processen geïnitieerd en gemonitored. Het wijzigen van een proces gebeurd via de procesengine bijvoorbeeld door het aanspreken van een andere service of het aanspreken van de services in een andere volgorde. Ondanks de hoge potentie van een op diensten gebaseerde architectuur (SOA) met ESB mag een integratieprogramma niet onderschat worden, integreren blijft een complexe maar noodzakelijk aangelegenheid. Daarnaast staat of valt het implementeren van een architectuur bij een strakke en centrale regie. Dit geldt nog eens sterker voor een op diensten gebaseerde architectuur, aangezien bij de bouw van de services en de inzet van de ESB niet alleen naar de toepasbaarheid voor een specifiek bedrijfsproces wordt gekeken maar mede naar de toepasbaarheid en herbruikbaarheid voor andere bedrijfsprocessen van de gemeente Dordrecht en haar ketenpartners, ter voorkoming van wildgroei van services en afwijkingen op het open standaarden model. De diensten gebaseerde architectuur sluit daarom wel uitstekend aan bij het kernpunt 'Gemeentebreed voor sectorspecifiek' uit de ICT visie. Advies is om qemeentebrede afspraken te maken over standaarden en richtlijnen vast te leggen binnen de ICT architectuur en inteqraties 'onder architectuur1 uit te laten voeren. Hoewel de implementatie (technologie) van een service geen invloed heeft op de interface (de wijze waarop en wat wordt uitgewisseld met andere services) is het wel zaak om de implementatiewijzen (platforms waar gebruik van wordt gemaakt) zover als mogelijk te standaardiseren. Ook biedt een op diensten gebaseerde architectuur een uitstekende basis en flexibiliteit om medewerkers gepersonifieerde portalen op de werkplek aan te bieden, waarin de voor de betreffende medewerker relevantie informatie en services via een user interface (portlet) aangeboden wordt. Dit omdat de presentatielaag bovenop de functionele services gepositioneerd wordt en niet meer binnen de applicatie, zoals nu vaak het geval is
o
0
BPEL. staat voor Business Process Execution Language
45
10 Application Server Layer API Presentation
CA
Q)
Integration Database
Q) CQ CD
In deze laag wordt de applicatiesoftware op servers behandeld. Dit kunnen zijn in huis ontwikkelde applicaties, 3N / Tier applicaties, applicaties van derden of applicaties met een specifieke functionele toepassing.
CD
Netwerk Server Hardware / OS Storage
10.1 Applicaties en Applicatieontwikkeling Binnen de Gemeente Dordrecht wordt gebruik gemaakt van standaardpakketten (eventueel aangevuld met maatwerk) en in opdracht ontwikkeld maatwerk. Zoals beschreven bij de integratielaag zijn bij de aangeschafte applicaties de gebruikte technologieën zeer divers.
46
Pandrecht Ontwikkeling van applicaties vindt momenteel vooral plaatst binnen de sector sociale dienst en binnen het programma E-government. Daarnaast zijn er nog een aantal kleinere initiatieven. Ook de gebruikte technologieën binnen deze applicatieontwikkelteams is verschillend. De Sociale Dienst ontwikkelt in .Net, Egovernment ontwikkelt in Oracle PL/SQL en binnen de kleinere initiatieven is bijvoorbeeld Delphi een gebruikte ontwikkeltaal. Er is op dit moment onduidelijkheid over het beleid wat door de gemeente Dordrecht wordt gehanteerd ten aanzien van de keuze tussen standaardpakketten en maatwerk. Ook is er onduidelijkheid tussen zelfbouw en uitbesteding van bouw van maatwerk. Ten aanzien van de applicatiearchitectuur en exploitatiearchitectuur van nieuwe aan te schaffen applicaties of te bouwen applicaties is nog geen beleid ontwikkeld. Daarnaast zijn er ook geen standaarden bepaald. Verder dan de keuze voor Oracle als standaard DBMS is men nog niet gekomen. Ook wordt hier van regelmatig van afgeweken, waarbij de redenen hiervoor niet altijd duidelijk zijn vastgelegd. Advies is om beleid uit te werken voor de keuze tussen standaardapplicaties en maatwerk en tevens standaarden en richtlijnen hiervoor uit te werken. Dit geldt ook voor de applicatiearchitectuur en de exploitatiearchitectuur van applicaties.
10.1.1 SOA en ESB in relatie tot applicatieservices Bij de integratielaag is het concept en de hoge potentie van een op diensten gebaseerde architectuur (SOA) met ESB al geschetst. Bij de applicatieservices worden nog een aantal aspecten van SOA met ESB specifiek voor applicatieservices uitgediept. Het concept van services biedt de mogelijkheid om de gebruikelijke kloof tussen organisatie (praten vooral in processen) en bouwers van applicaties (praten vooral in techniek) te dichten. Services worden als onderdelen van een bedrijfsproces gedefinieerd. Services zijn ook kleinere functionele onderdelen dan de huidige grote standaardpakketten, zoals o.a. het bevolkingspakket (PIV4all) en het belastingenpakket (GHS4all), dit heeft mede als voordeel dat workflow en/of procesflow beter gescheiden kan worden van de service. Hierdoor wordt het mogelijk om bedrijfsprocessen 'over de services heen' te definiëren, wat het mogelijk maakt om processen gemakkelijker en sneller aan te passen dan nu het geval is (flexibiliteit). Aangezien services makkelijker 'ingeplugd' kunnen worden in de enterprise service bus en tevens dat een bepaalde service over het algemeen minder functionaliteit (kleinere investering) bevat dan de momenteel bij de gemeente Dordrecht in gebruik zijnde grote monoliet applicaties is ook de verwachting dat kleinere en/of nieuwe leveranciers tot de specifieke overheidsmarkt zullen toe treden, waarmee een einde komt aan de huidige monopolie positie van Centric en Pink Roccade op de overheidsmarkt. Indien de op diensten gebaseerde architectuur omarmd wordt dan heeft dat grote impact op de nieuw aan te schaffen en de in eigen beheer te ontwikkelen applicaties/software. Dit dient dan te gebeuren onder een centrale regie op basis van vastgestelde architectuur, standaarden en richtlijnen. Waarbij de nadruk licht op de ontwikkeling van services in plaats van grote monoliet applicaties. De uitwisseling tussen services gebeurd in een op open standaarden en 'loosely1 gekoppelde manier, gebruikmakend van een ESB. Verder dient er in een servicecatalogus bijgehouden te worden welke services geïmplementeerd zijn en dienen zoveel mogelijk bestaande
47
DordTeeht^X services herbruikt te worden. Dit sluit overigens aan bij de kernpunten 'gemeentebreed voor sector specifiek' en enkelvoudige registratie meervoudig gebruik' uit de ICT visie.
10.2 Applicatie servers Een applicatieserver is infrastructurele software die tot doel heeft applicatiecomponenten te herbergen en allerlei services aan die applicatiecomponenten aan te bieden. We scheiden in deze laag de applicatie software van het besturingssysteem en de hardware.
Figuur: indeling applicatieserver
10.3 Mixed architectuur Cliënt computers nemen een specifieke dienst af van applicatieservers. Binnen de gemeente zijn ongeveer 600 applicaties in gebruik, ledere applicatie gebruikt een specifieke methode om gegevens te presenteren of publiceren. Deze methodes worden hieronder toegelicht.
10.3.1 Web-based computing Web-based computing is een wereldwijde ontwikkeling waarbij applicaties centraal worden geïnstalleerd en kunnen worden opgestart vanaf een PC of Terminal waar enkel de systeemsoftware en een Internet browser op geïnstalleerd zijn. Web-based computing wordt gebruikt voor E-goverment en de Mid-Office applicaties.
10.3.2 Server-based computing Server-based Computing is een multi-user netwerkoplossing waarbij alle applicaties via centrale applicatieservers beschikbaar zijn voor alle aangesloten werkplekken. Citrix is marktleider op het server-based computing concept. De gemeente gaat meer gebruik maken van deze techniek, denk hierbij aan flexwerken en thuiswerken.
10.3.3 Cliënt-based computing Client-based computing is een concept waarbij cliënt software lokaal op een pc staat die contact maakt met applicatieservers. Binnen de gemeente wordt dit concept voor bijna alle applicaties gebruikt.Er zijn meerdere vormen van cliënt based computing. Een 2-tier model maakt direct contact met een database. Een 3/N tier model maakt contact met een applicatieserver, de applicatieserver maakt contact met de database.
10.4 Applicatieservices In dit hoofdstuk worden de meest relevante applicatie services benoemd die op de korte en middenlange termijn impact hebben op de infrastructuur.
48
Dordrecht 10.4.1 Mail Voor de Mail wordt Novell Groupwise gebruikt, deze applicatie is via client-based en web-based computing te benaderen. Het management van de ICT afdeling heeft besloten om Novell uit te faseren en Microsoft Windows2003 Active Directory wordt de opvolger van Novell. Microsoft Exchange 2003 is het mailsysteem van wat volledig integreert met de Windows2003 Active Directory. Advies is om op termijn te migreren naar Microsoft Exchange 2003 met Outlook Web-Access.
10.4.2 Web-based Steeds meer applicaties worden ontworpen op basis van Internet standaarden. Hierbij worden presentatie (web-browser) en verwerking (web-server) al bij de ontwikkeling van de applicaties gescheiden. De marktontwikkeling is dat steeds meer applicaties ontwikkelt worden volgens Internet standaarden en het 3/N tier meerlagen model. Hierbij worden de verschillende lagen gescheiden waarbij de interface tot de applicatie gebaseerd is op een webbrowser. Tevens zijn gebruikers interfaces gebaseerd op services (conform SOA architectuur) gebaseerd op het meerlagen model.
10.4.3 Server-based Server based computing wordt zeer beperkt ingezet. Ontwikkelingen die ervoor zorgen dat het SBC concept grootschalig worden ingezet zijn de projecten "PERFEKT" (flexwerken) en thuiswerken. De visie is dat het SBC concept de aankomende jaren een belangrijke infrastructuur service blijft. Op de korte en middenlange termijn worden steeds meer applicaties ontwikkeld conform de web-based. 3/N tier en SOA architectuur.
10.4.4 Database In paragraaf 7.2 kunt u lezen dat er verschillende databases worden gebruikt, ledere database heeft integratie met een applicatie en vaak ook een specifieke applicatieserver. Vanuit beheer en standaardisatie is deze situatie niet gewenst. Advies is om databases waar mogelijk te standaardiseren tot maximaal drie leveranciers.
10.4.5 Specifieke applicatieservices Er zijn ongeveer 600 applicaties in gebruik, iedere applicatie ondersteunt een specifiek proces. Voor een groot deel zijn deze applicaties ingericht via het cliënt-based computing model. De gemeente Dordrecht is gestart met het project "Applicatieconsolidatie", de doelstelling van dit project is om het aantal applicaties terug te brengen. Advies is om door te gaan met het project "Applicatieconsolidatie" en randvoorwaardelijk te stellen voor de inrichting van de flexwerkplekken van PERFEKT en de Server Based Computing omgeving.
49
11 Presentation Layer
Application Server co
Integration
o>
In deze laag worden alle onderdelen benoemd die informatie presenteren aan de eindgebruiker. Dit zijn webbrowsers, Citrix ICA clients, PDA's en mobiele computers.
Q)
ca CD
Database
CD
Network Server Hardware / OS Storage
11.1 Browser technologie Browser technologie is flink in opmars als presentatielaag, dit komt vooral omdat een browser ook werkplekonafhankelijk is. Toch is er ook t.a.v. browser technologie een aantal opmerkingen te maken.
50
Dordrecht •
Applicaties die hun presentatielaag aanbieden via browser technologie maken gebruik van een 2-tier of 3/N tier patroon (voor uitleg zie applicatielaag), daarmee wordt de businesslogica niet meer op de het 'end device' (bijvoorbeeld PC of laptop) gedraaid maar op een applicatie server binnen de centrale infrastructuur. Dit schept voordelen van centraal beheer van de web- en applicatieservers en werkplek onafhankelijkheid door gebruik van de browser. De gebruikte technologie (applicatie en - webserver, ontwikkelplatform, ontwikkeltaal, enz) voor het 2-tier of 3/tier patroon kan zeer divers zijn, dat betekent dat zonder standaardisatie het beheer wel centraal plaats kan vinden, maar dat dit kan leiden tot grote aantallen web- en applicatieservers die allemaal net een andere technologie of versie draaien t.b.v. verschillende applicaties.
•
Een ander voordeel van de browser technologie is de werkplekonafhankelijkheid . Wel dient t.a.v. dit punt rekening gehouden te worden dat voor veel applicaties het noodzakelijk is om bepaalde 'plugins1 te installeren ter ondersteuning van de presentatielaag in de browser. Deze plugins worden dan op het end device geïnstalleerd, welke dus ook weer comptabiliteitsproblemen met andere applicaties op kan leveren. Hoewel dit probleem minder groot is dan bij installatie van allerlei applicaties direct op een 'end device'.
11.2 Digitale dienstverlening De browser technologie is noodzakelijk als men aan burgers en bedrijven digitale diensten aan wil bieden. Dit gebeurt Internet. Voor deze constructies is het noodzakelijk om een webserver in een beveiligde zone van het netwerk achter de Firewall te plaatsen en verder maatregelen te treffen om deze webserver te beveiligen. Voor het aanbieden van applicaties buiten het eigen netwerk aan eigen medewerkers (bijvoorbeeld thuiswerken) is het een te dure oplossing om voor iedere applicatie zo'n beveiligingsinfrastructuur op te tuigen, een SBC omgeving is dan een veel logischere keuze. De noodzaak om voor deze wijze van toepassing van applicaties browsertechnologie als presentatielaag te eisen is dus van minder belang.
11.3 Mobiel werken Mobiel werken wordt binnen gemeentelijke organisaties steeds vaker toegepast. Medewerkers die tijd en plaats onafhankelijk informatie willen bewerken en opvragen hebben hiervoor middelen nodig. De gemeente heeft de eerste stap hierin gezet door een aantal mensen te voorzien van PDA's en zgn. Smartphones. In deze toestellen wordt de e-mail functionaliteit toegepast. Verder zijn er op dit moment geen applicaties van de gemeente die van deze techniek gebruik maken omdat de presentatielaag van de applicatie hier geen rekening mee houdt. Dordrecht voor mobiel werken specifiek geschikt. Voor het uitwisselen van e-mail en telefonie worden de volgende protocollen gebruikt: •
UMTS staat voor Universal Mobile Telecommunications. Het is een 3e generatie van mobiele netwerken (3G).
51
Dordrecht •
GPRS betekent General Packet Radio Service. Dit is een techniek in het GSMnetwerk die het mogelijk maakt om meer en sneller informatie te verzenden en ontvangen dan tot nu mogelijk was met Gsm-telefoons.
Beide protocollen worden al ingezet maar er zijn nu nog een aantal dingen af te wegen voor een bredere inzet. De kosten zijn voor GPRS nog relatief hoog, UMTS heeft nog geen volledige landelijke dekking en bandbreedtes die door leveranciers worden afgegeven kunnen verschillen, denk hierbij aan de dekkingsgraad.
52
Dordrecht
12 Security Column API
Presentation Application Server
o>
Integration
ca
Q>
(D
Database
In deze kolom kunnen onderwerpen aan bod komen als authenticatie, directory server, (web) single sign on, autorisatie, audit, virus en content scanning, Internet policy management, encryptie en intruder detection.
CD
Network Server Hardware / OS Storaae
12.1 Algemeen De gemeente Dordrecht biedt diensten aan burgers, ondernemingen en maatschappelijke organisaties. Met de komst van digitale dienstverlening worden er nieuwe eisen gesteld hoe om te gaan met de beveiliging van systemen die door de afdeling ICT worden beheerd en de dienstverlening naar burgers, ondernemingen en maatschappelijke organisaties.
53
recht-/
12.2 Identificatie en authenticatie Er wordt een lagenstructuur onderkend van personen die toegang krijgen tot geautomatiseerde systemen. '•
Gebruikers van de gemeente die toegang krijgen tot applicaties en databases; ( Fully trusted user)
•
Gebruikers die toegang krijgen tot een beperkte afgeschermde omgeving; ( Trusted user);
•
Gebruikers die toegang krijgen tot systemen voor digitale dienstverlening. (Not trusted user)
Voor ieder laag worden de volgende eisen aan beveiliging gesteld om toegang te krijgen tot systemen, applicaties en databases. Fully Trusted user Voor dit niveau zijn in principe gebruikersnaam + wachtwoord voldoende, mits hierbij aan een aantal voorwaarden wordt voldaan: voldoende lengte, voldoende complexiteit, voldoende frequente wijziging van het wachtwoord en een voldoende beveiligingsbewustzijn. Trusted User Op dit niveau is ook een gebruikersnaam + wachtwoord vereist. Daarbij komen ook weer de volgende voorwaarden: voldoende lengte, voldoende complexiteit, voldoende frequente wijziging van het wachtwoord en een voldoende beveiligingsbewustzijn. De Trusted gebruiker krijgt daarbij alleen toegang tot een geïsoleerde omgeving (VLAM) of een beveiligde applicatieset via een Citrix sessie. Untrusted User Dit is een laagste niveau van toegang, men krijgt geen fysieke toegang tot systemen, maar klanten identificeren zich onder DigiD condities en kunnen diensten aanvragen bij de gemeente via Internet. Indien deze niet-anonieme toegang door burgers is vereist, dan is DiglD een goede oplossing. Deze methode wordt (al) breed toegepast en zal zeker nog verder worden ontwikkeld. De gemeente doet er verstandig aan, voor wat betreft de interactie met de burgers, hierin mee te gaan.
12.3 Directory en autorisatie server Binnen dit domein worden verschillende categorieën directories onderkend, te weten: Applicatie directory. Een applicatie directory is een directory die informatie bevat die slechts door één applicatie gebruikt wordt. Voorbeelden van een applicatie directory zijn: de e-mail adreslijst, een persoonsgids of DNS.
54
Dordrecht Enterprise directory. Een enterprise directory is een directory die door meerdere applicaties gebruikt kan worden en die benaderd kan worden door middel van standaard protocollen. Meta-directory. Een meta-directory maakt het mogelijk om 'losse' directories met elkaar te koppelen. De meta-directory zorgt voor automatische [niet hiërarchische] synchronisatie van de gegevens in elk van de directories. Als in één van de onderliggende directories een wijziging wordt aangebracht zorgt de meta-directory ervoor dat deze wijziging in het juiste formaat doorgegeven wordt aan die directories voor wie de wijziging relevant is. De meta-directory zelf is niet raadpleegbaar voor applicaties. Het toepassen van [één of meerdere] applicatie directories binnen een technische infrastructuur is op zich niet nieuw. De technologische ontwikkelingen en standaardisatie op directory gebied richten zich dan ook niet op applicatie directories, maar op enterprise en meta-directories. Inzet van directories is noodzakelijk om de onderstaande toepassingen te realiseren: Single point of administration. Een meta-directory zorgt (technisch gezien) voor betrouwbare en consistente gegevens in de onderliggende directories. Het kan ook bijdragen aan de verlaging van de beheerlast, aangezien een wijziging maar op één plaats ingevoerd hoeft te worden en de meta-directory ervoor zorgt dat deze in de relevante onderliggende directories wordt doorgevoerd. Het aanbrengen van een wijziging kan nog steeds met dezelfde tools gebeuren, waarmee een bepaalde directory beheerd wordt. Het verandert ook niets aan de verantwoordelijkheid die afdelingen hebben voor bepaalde gegevens. Single Sign On. SSO betekent dat een medewerker van de gemeente maar één keer hoeft in te loggen of aan te melden en dat hij/zij vervolgens toegang heeft tot alle applicaties en gegevens waarvoor vanwege zijn functie (profiel) toestemming is gegeven. Een enterprise directory die alle relevante gebruikersgegevens bevat, is in deze situatie noodzakelijk. De enterprise directory fungeert in deze situatie als centrale spil in het krijgen van toegang tot applicaties, diensten in de technische infrastructuur en gegevens. Belangrijk bij het ontwerp en beheer van een enterprise directory is het aspect beschikbaarheid. Medewerkers binnen de gemeente hebben nu twee gebruikersnamen. Door het toepassen van Single Sign On wordt er naar één gebruikersnaam gemigreerd. Personalisatie. In het kader van plaats- en tijdonafhankelijk (PTO) werken moet een medewerker van de gemeente op een willekeurige plaats moet kunnen werken en toegang hebben tot de daartoe opengestelde applicaties en gegevens van de gemeente Dordrecht. Dit betekent dat alle persoonsgebonden informatie (onder andere: voorkeursinstellingen, recent gebruikte bestanden) die relevant is voor PTO niet lokaal wordt opgeslagen, maar op één centrale plaats beschikbaar moet zijn. Deze informatie kan in een specifieke PTO applicatie directory worden opgeslagen of onderdeel vormen van een enterprise directory. Ook hier geldt dat de beschikbaarheid van de directory een belangrijk aandachtspunt is. Dit kan worden gerealiseerd door stabiele platformen toe te passen in combinatie met replicatie-technieken.
55
3/ PKI.
Het gebruik van een directory is noodzakelijk voor de eventuele implementatie van PKI. De directory bevat tenminste de publieke sleutels als onderdeel van een certificaat. Op grond van bovenstaande uitgangspunten verdient een enterprise directory de voorkeur. In deze directory zijn tenminste alle relevante persoonsgebonden gegevens opgenomen. Dat wil eggen: de gebruikersprofielen, sleutels en certificaten. Advies is een enterprise directory in te richten. Hierin zijn minimaal alle relevante persoonsgebonden gegevens opgenomen. Dat wil zeggen: gebruikers, gebruikersprofielen, eventueel sleutels en certificaten. Advies is een meta directory in te richten zodra men vanuit een Shared Service Center ICT dienstverlening aan gaat bieden.
12.4DigiD DigiD is een gemeenschappelijk systeem voor de overheid, waarmee een overheidsinstantie de identiteit van een burger kan verifiëren op Internet. Op aanvraag ontvangt deze burger van DigiD hiervoor een gebruikersnaam met wachtwoord. De burger kan met één gebruikersnaam met wachtwoord terecht bij elektronische diensten van steeds meer overheidsinstellingen. Vanaf begin 2005 zijn een aantal gemeenten en het Centrum voor Werk en Inkomen (CWI) aangesloten op DigiD. Steeds meer overheidsorganisaties volgen hierin. Advies is om digitale dienstverlening onder DigiD condities aan te bieden voor burgers, bedrijven en maatschappelijke instellingen die deze diensten afnemen.
12.5 Virus Content Scanning De gemeente dient maatregelen te nemen om de introductie van kwaadaardige software te ontdekken en te voorkomen. Zodoende kan de integriteit van software en informatie worden beschermd. De combinatie van virus en contentscanning is noodzakelijk omdat het voorkomen dat een virus de technische infrastructuur binnendringt niet voor 100% mogelijk is. Virus- en content scanning is pas volledig effectief als deze toegepast wordt op alle plaatsen binnen de technische infrastructuur van de gemeente waar externe gegevens binnenkomen [of naar buiten gaan]. Dit betekent dat op de volgende componenten van de technische infrastructuur virus- en content scanning aanwezig dient te zijn: de firewalls op het scheidvlak tussen het Internet en het netwerk; de E-mail-servers voor extern verkeer; de KA-servers en de werkstations. Uiteraard is het van groot belang dat de virus- en content scanning zodanig is ingericht dat de database met bekende virussen altijd up-to-date is. Speciale aandacht is hierbij nodig voor de laptops, omdat deze gedurende geruime tijd niet aan de infrastructuur hoeven te zijn verbonden. Er bestaan twee opties om de virusdatabase actueel te houden:
56
Automatisch, waarbij zonder tussenkomst van de gebruiker een update van de virusdatabase wordt geïnstalleerd. Sommige virusscanners kunnen updates via Internet bij hun leverancier ophalen, in andere gevallen worden updates door een Software Control en Distributie hulpmiddel vanuit een centrale beheeromgeving gedistribueerd. Handmatig, wil zeggen dat de gebruiker zelf zijn virusdatabase actueel moet houden. Dus zelf de nieuwe versie moet downloaden en installeren. Een periodieke melding van de virusscan software dat de database out-of-date is, is echter niet voldoende. Nieuwe gevaarlijke virussen duiken met regelmaat op, zodat gebruikers via het Intranet of email gewaarschuwd moeten worden om een update te installeren. Vanuit het oogpunt van beveiliging en gebruikersgemak verdienen automatische updates de voorkeur boven handmatige, bij voorkeur gebeuren deze via de website van de leverancier. Dit voorkomt dat de beheerders er als schakel tussenin moeten zitten. Hierdoor vermindert de beheerlast en bestaat er een goede waarborg dat de virusdatabase altijd actueel is. De gemeente heeft op dit moment geen antivirus software op e-mail servers en applicatieservers geïnstalleerd, deze functionaliteit is op de firewall geactiveerd. Op Cliënt systemen is Kaspersky anti virus software geïnstalleerd. Advies is om bij ontwerpen van een nieuwe firewall strategie virus en content scanning te segmenteren naar specifieke firewalls. Advies is om virus scanning op e-mail en KA servers te implementeren, op het moment dat de nieuwe file en print services zijn geïmplementeerd naast virusscanninq op de cliënts.
12.6 Auditing tooi Om achteraf gebeurtenissen te kunnen controleren is het nodig om deze vast te leggen ('logging'). Uitzonderingen en andere gebeurtenissen die van belang zijn worden vastgelegd in een logfile. In ieder geval zouden door de gemeente moeten worden gelogd: het optreden van security events; het aanbrengen van configuratiewijzigingen; pogingen tot ongeautoriseerde toegang. Veelal zijn standaard voorzieningen op de componenten in de technische infrastructuur aanwezig om gebeurtenissen in logfiles vast te leggen of om deze te versturen naar een centraal adres. Logfiles bevatten alle grote hoeveelheden informatie die niet allemaal relevant zijn voor de bewaking van de beveiliging. Aan de logvoorziening wordt de eis gesteld dat deze instelbaar is. Wanneer de noodzaak zich voordoet, bijvoorbeeld bij een vermoeden van een beveiligingsincident, moet het niveau van logging op een meer gedetailleerd niveau ingesteld kunnen worden. Loggen enkel en alleen om het loggen levert niets op. Analyse en interpretatie van de loggegevens is nodig om achteraf de gebeurtenissen te kunnen controleren. Daarbij komt nog dat aggregatie en correlatie van loggegevens eveneens noodzakelijk is om de analyse efficiënt uit te kunnen voeren. Zo hoeven meerdere meldingen dat iemand niet heeft in kunnen te loggen niets te betekenen als blijkt dat het om verschillende gebruikers gaat. Als blijkt dat het steeds om dezelfde gebruiker gaat op hetzelfde
57
Da-rdmht systeem of op hetzelfde moment op meerdere systemen, kan dit betekenen dat iemand probeert in te breken. Voor het verzamelen en combineren van alle informatie uit logfiles is een centraal audittool voor de gemeente noodzakelijk. Gespecialiseerde tools zijn beschikbaar voor het ontdekken van indringers (intrusion detection systemen - zie aldaar), maar deze dekken slechts een deel van de gewenste functionaliteit af.
58
13 Management Column API
Presentation Application Server CO
CD
o -1
•<'
Integration Database Network
In deze kolom vallen decentrale beheeragents, (decentrale) beheer tools, centrale beheer tools, beheer van en in speciale omgevingen (Demilitarized Zone (DMZ), en Ontwikkeling, Test, Acceptatie en Productie omgevingen (OTAP)), en het beheer van Plaats en Tijd Onafhankelijk werken (PTO) componenten.
Server Hardware / OS Storaqe
Alle onderdelen van de gemeentelijke technische infrastructuur moeten worden beheerd. Dus de opslagfaciliteiten, de servers, de besturingsystemen, de netwerken, de databases, de applicaties, de werkstations en de beveiligingsmaatregelen; ze vereisen alle hun specifieke maatregelen. Er wordt gestreefd om het beheer zover mogelijk met één toolset uit te voeren. Doordat de integratie van beheertools voor verschillende infrastructuurcomponenten op dit moment in de markt nog niet ver genoeg is doorgevoerd is, is het beheer met één toolset nog niet haalbaar.
13.1 Centrale Monitoring De gemeente heeft keuzes gemaakt over de inzet van verschillende producten. In de onderstaande paragrafen wordt een opsomming gegeven van de producten per laag. De keuzes komen voor uit:
59
•
Nieuwe producten die op korte- en middenlange termijn worden geïmplementeerd;
•
Producten die nu en in de toekomst in gebruik zijn;
13.2 Netwerk Monitoring Tools Voor netwerkbeheer de volgende pakketten gebruikt: •
Cisco Works, t.b.v. onderhoud en beheer van switches/routers;
•
HP Open View, t.b.v. systeem management van het netwerk.
13.3 Server Monitoring Tools •
HP Rapid deployment, t.b.v. server inrichting;
•
HP System Insight Manager, t.b.v. server monitoring.
13.4 Operating System Management Tools De gemeente heeft gekozen voor Microsoft Windows 2003 als standaard operating system voor de servers van de KA omgeving en Microsoft Active Directory als de Directory Service. Microsoft heeft voor het beheer van Windows 2003 nieuwe producten ontwikkeld.
wsus Microsoft heeft Windows Server Update Services (WSUS) uitgebracht. Deze volgende generatie softwarepatch- en update-infrastructuur is bedoeld om in eigen beheer te draaien. Het vult dus het gat op tussen de Windows Update-website van Microsoft en diens dure en complexe System Management Services (SMS). Desktops en servers kunnen met WSUS in meerdere groepen worden ingedeeld, wat niet alleen het testen, maar ook een gefaseerde uitrol over afdelingen of vestigingen vergemakkelijkt. De toewijzing van een cliënt of server bij een groep kan worden opgelegd vanuit Group Policies of in WSUS zelf worden ingesteld. Het indelen in groepen is vooral handig indien cliëntcomputers vanwege een specifieke applicatie of locatie een ander update-patroon moeten volgen. Ook is er met groepen nu onderscheid te maken tussen een update-beleid voor cliënt en een voor servers. Opzet en toegang In het opzetten van een wat grotere Windows Update-infrastructuur is WSUS behoorlijk flexibel. Vestigingen of afdelingen kunnen een eigen patch-server krijgen, waarbij de goedkeuring centraal gebeurt maar het prestatieniveau hoog blijft dankzij de lokale server. De synchronisatie van bestanden kan op bloktijden worden ingesteld, zodat de belasting van het netwerk buiten de kantoortijden valt en ook voor of juist na back-ups plaatsvindt. Servers kunnen ook achter elkaar worden geplaatst, waarbij slechts een enkele server Windows Update van Microsoft in de gaten houdt. De anderen monitoren dan deze enkele server voor hun informatie. De installatie van een dergelijke structuur is vrij eenvoudig. Verder is het mogelijk WSUS-servers in te zetten op locaties waar een organisatie geen
60
internet- of wan-verbinding (wide area netwerk) heeft. In dat geval kunnen updatepacks, klaargemaakt op een centrale WSUS-server in het bedrijf, handmatig worden geïnstalleerd als bron van de updates. Uitgangspunt is dat OTAP principes leidend zijn bij het implementeren van updates en patches. Advies is om een Windows Server Update Services te implementeren voor softwarepatch- en updates.
13.5 Storage Monitoring Tools De twee SAN omgevingen worden in de toekomst geïntegreerd tot één SAN voor platte bestanden en Oracle databases.Voor het beheer van de SAN omgevingen wordt HP Storage Essentials ingezet.
13.6 Database Tools Oracle Grid Control Een Grid kan het beste worden voorgesteld als een netwerk (pool) van allerlei soorten computercomponenten die worden gecombineerd tot één virtuele server. Met behulp van Grid-computing kunnen ondernemingen op een snelle manier relatief goedkoop hardware clusteren. Een groot voordeel van een Grid is de mogelijkheid tot loadbalancing. Oracle heeft haar Enterprise Manager volledig herzien om Oracle Grids te kunnen beheren. Een Oracle Grid is uitermate schaalbaar. Door nieuwe componenten toe te voegen kan de capaciteit (zowel performance als opslag) desgewenst worden uitgebreid. In een compleet ingerichte Oracle Grid zijn drie belangrijke componenten te onderkennen: de Database-Grid, de Application Server-Grid en de Storage-Grid. Binnen een Database-grid draaien de geheugenstructuren van de database en wordt er gebruik gemaakt van de processorkracht voor de transacties. De Application ServerGrid wordt gebruikt voor het uitvoeren van applicaties zoals webforms, Portaltoepassingen, Java-programmatuur en het aanbieden van Web-Services. Waar Oracle 9ias nog een relatief zelfstandig product was, wordt IAS 10g als onmisbaar component in de Grid gezien. Binnen de Storage-Grid waar de gegevens fysiek worden opgeslagen kan gebruik worden gemaakt van ondermeer een NAS (Network Area Storage). De Oracle RDA ( Remote Diagnostics Advisory) wordt toegepast om database diagnostische informatie te verzamelen, die de oplostijd van incidenten bekort en de uitwisseling met Oracle support versoepeld. Oracle is tot het besef gekomen dat het administreren van een Oracle database ten opzichte van andere databases zoals Sybase en Microsoft SQL-Server tijdrovend is. In Oracle 10g wordt een (voorzichtig) begin gemaakt met self-tuningsmethodieken en alerts. Oracle 10g neemt een aantal werkzaamheden van de DBA over. Hierbij valt te denken aan automatische striping en mirroring (ASM: Automatic Storage Management), automatisch tunen van geheugenstructuren zoals de SGA en Redo log, automatisch toepassen van Patches en een aantal advisors op verschillende gebieden.
61
^/
13.7 Application Management Tools RES Powerfuse is een compleet desktop management product voor Windowsdesktops. RES Powerfuse is daarnaast een ideale oplossing voor Terminal Servers met published desktops of published applications. De belangrijkste kenmerken van het product zijn: •
Toegang- en licentiebeheer;
•
Configuratie en change-management;
•
Monitoring, rapporten en waarschuwingen;
•
Organisatie- en gebruikersondersteuning;
•
Prestatiebeheer;
•
Beveiliging;
•
Third-party integratie.
De RES Subscriber is een onderdeel van RES Powerfuse, die het mogelijk maakt om vanuit een sessie op een terminal server locale toepassingen te starten. Deze feature maakt de inzet van hybride werkplekken (server-based en cliënt/server) wel erg gemakkelijk. De eenvoudige beheerinterface maakt het de beheerder mogelijk om alle onderdelen van de gebruikersomgeving te configureren en controleren. Daarnaast voorziet de standaard prestatiebeheer en beveiliging in een uiterst stabiele server-based computing omgeving voor de eindgebruiker. Citrix integratie Vanuit de Real Enterprise Manager kan men eenvoudig individuele applicaties of een volledige desktop publiceren naar Citrix Presentation Server inclusief de hele gebruikers-omgeving, zoals deze is gedefinieerd in RES Powerfuse. Soft Grid integratie RES Powerfuse integreert met Softricity's SoftGrid Platform. Zo kunnen alle features van RES Powerfuse gekoppeld worden aan SoftGrid applicaties vanuit de Real Enterprise Manager.
62
Dordrecht .ƒ
-jf
14 Activiteiten In dit hoofdstuk worden de hoofdprojecten gedefinieerd die benodigd zijn om uitvoering te geven aan dit technische beleidsplan ICT. De projecten zijn per jaar gerangschikt. Per project wordt de volgende zaken beschreven: Projectnaam. Een korte omschrijving van de omvang van het project. De globaal nu al bekende hoofdrandvoorwaarden. Relaties met andere projecten (uit de organisatie of uit dit beleidsplan). Startjaar van het project. De benodigde investering en de dekking van de projecten uit het technisch beleidsplan ICT worden in een apart document uitgewerkt.
14.1 Projecten 2006
Omschrijving
Implementatie van een SBC omgeving voor 250 gebruikers om flex-werken en op beperkte schaal thuiswerken te faciliteren.
Randvoorwaarden
Committent organisatie; Applicatieset voor nieuwe functionele werkplek;
Relaties met andere projecten
Project PERFEKT; Applicatie Consolidatie; Thuiswerken;
Start Project
2006
Omschrijving
Vervangen van de Siemens DXL telefooncentrale met bijbehorende telefoons eerste fase (in te richten werkplekken t.b.v. project Perfekt)
Randvoorwaarden Relaties met andere projecten
Flexwerken;
Start Project
2006
Regionale samenwerkingen.
63
Omschrijving
Terugbrengen van totaal aantal applicaties binnen de gemeente Dordrecht en daardoor een besparing en efficiencyslag doorvoeren
Rand voorwaard en
Project verankeren bij de organisatieprojecten; Besluitvorming over het saneren van applicaties ligt in de organisatie.
Relaties met andere projecten
Server Based Computing
Start Project
2006/2007
Omschrijving
Ontsluiten thuiswerkers en nieuwe klanten middels een beveiligde infrastructuur. Aanpassen Internet strategie (Firewall) voor toekomstige diensterlening. Uitvoering beleid Baseline Informatiebeveiliging. SPAM Filtering Herontwerp DMZ omgevingen
Investering
Definitiestudie is een eis.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Regionale samenwerkingsverbanden; Thuiswerken Baseline Informatiebeveiliging
Start Project
2006
Omschrijving
Het migreren van Unix v11.0 naar Unix v11.11
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Vervanging integratie SAN
Start Project
2006
64
-^ Omschrijving
Dit project voorziet in afspraken over de standaarden die gebruikt gaan worden voor verticale integratie. Applicatieontwikkeling en beheer hebben impact op de ICT infrastructuur binnen de gemeente.
Investering
Onbekend, definitiestudie is een eis.
Randvoorwaarden
Committent diverse afdelingen. Vastlegging en beheer over de gemaakte afspraken.
Relaties met andere projecten
E-Goverment programma; Applicatie ontwikkeling diverse afdelingen.
Start Project
2006
Omschrijving
Dit project voorziet in de vervanging van de afgeschreven switches.
Randvoorwaarden
Uitvoering aanbestedingsprocedure
Relaties met andere projecten
Vervanging telefooncentrale voor VOIP t.z.t.
Start Project
2006
Omschrijving
De huidige inmiddels afgeschreven Linux servers consolideren en vervangen door nieuwe servers (blades)
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Access/Technische security infrastructuur
Start Project
2006
Omschrijving
Voor de ICT beheerders dient een netwerkinfrastructuur ontworpen te worden zodat veilig remote ICT infrastructuren beheerd kunnen worden.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Access/technische security infrastructuur
Start Project
2006 (initiatiefase)
65
Dotdr-echt
Omschrijving
Verhogen beschikbaarheid Oracle databases en verbetering backup en recovery Oracle databases.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Niet bekend
Start Project
2006
Omschrijving
Ontwerpen van een standaardinrichting voor Oracle databases versie 10g.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Niet bekend
Start Project
2006
Omschrijving
Vanuit beheer op orde traject en baseline informatiebeveiliging dienen maatregelen uitgewerkt te worden die vervolgens geïmplementeerd moeten worden.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Niet bekend
Start Project
2006
Omschrijving
Verder doorvoeren van het fysiek scheiden van de verschillende OTAP omgevingen van bedrijfsapplicaties.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Beheer op orde
Start Project
2006
66
Omschrijving
Uitbreiden, verbeteren en upgraden van de Novell backupcapaciteit en overzetten, verbeteren en upgrade Unix backup.
Investering
Budget is al gereserveerd
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Beheer op orde
Start Project
2006 (lopend)
Omschrijving
Het structureel inzetten, verbeteren en stroomlijnen van de inzet van beheer en monitoring tools
Randvoorwaarden
SBC omgeving ingericht
Relaties met andere projecten
Server based computing Implementatie microsoft File servers Implementatie Linux database servers San migratie Vervanging telefooncentrale
Start Project
2006/2007
Omschrijving
Het printerpark consolideren
Randvoorwaarden
Vervangingsinvestering Er dient beleid ontwikkeld te zijn.
Relaties met andere projecten
Perfekt
Start Project
2006
67
Dordrecht
Omschrijving
Beveiligde koppeling met het Breedband dat in 2006 aangelegd wordt tussen de Drechtstedengemeenten
Randvoorwaarden
Baseline Informatiebeveiliging
Relaties met andere projecten
Breedband Drechtsteden
Start Project
2006
Omschrijving
Aantal draadloze access points voor werkplekken binnen de het LAN van de gemeente Dordrecht
Randvoorwaarden
Baseline Informatiebeveiliging
Relaties met andere projecten
Server Based Computing fase l en
Start Project
2006
68
14.2 Projecten 2007
Omschrijving
Het migreren van Oracle v.9i naar v10
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Migratie vervanging SAN
Start Project
2007
Omschrijving
De eerste flex-werkplekken zijn ingericht d.m.v. SBC. Fase II behelst een gefaseerde uitrol naar de andere werkplekken binnen de gemeente en brede uitrol van thuiswerken.
Randvoorwaarden
Committent organisatie;
Migratie vervanging UX voor Linux
Applicatieset voor nieuwe functionele werkplek; Relaties met andere projecten
Project PERFEKT; Applicatie Consolidatie; Thuiswerken; MS Active Directory Services
Start Project
2007
Omschrijving
Het vervangen van de Novell servers en File services voor Microsoft Windows2003 File services
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Windows 2003 Active Directory;
Start Project
2007
SAN Integratie
69
Dordrecht
Omschrijving
Het vervangen van Unix database servers voor Linux database servers.
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Upgrade Oracle v.9i naar v. 10; SAN integratie
Start Project
2007
Omschrijving
Vervangen van de Novell Directory Services voor Microsoft Windows2003 Active Directory.
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Implementatie Microsoft File services; SAN migratie; Implementatie Microsoft Exchange 2003 Single Sign On
Start Project
2007
Omschrijving
Vervangen van Novell Groupwise voor Microsoft Exchange 2003
Randvoorwaarden
Vervangingsinvestering
Relaties met andere projecten
Implementatie Microsoft File services;
Start Project
Implementatie Windows 2003 Active Directory Implementatie WSUS 2007
Omschrijving
Implementeren van het Windows patch- en update service voor werkstations en servers.
Randvoorwaarden
Niet bekend
Relaties met andere projecten
Implementatie Microsoft File services; Implementatie Windows 2003 ActiveDirectory Implementatie Exchange 2003 Implementatie Outlook 2003
Start Project
2007
70
Omschrijving
De implementatie van een nieuwe SAN omgeving met back-up faciliteit in één backup omgeving, voor de twee huidige SAN omgevingen
Randvoorwaard en
Vervangingsinvestering
Relaties met andere projecten
Vervanging Novell File services voor Microsoft; Vervanging Unix voor Linux; Implementatie blade servers; Implementatie Windows2003 Active Directory.
Start Project
2007
Omschrijving
Vervanging van alle in PC's naar thin cliënt (met uitzondering van specifieke werkplekken
Randvoorwaarden
SBC omgeving ingericht
Relaties met andere projecten
Server based computing
Start Project
2007
Omschrijving
Vervangen van de Siemens DXL telefooncentrale met bijbehorende telefoons.
Randvoorwaarden
Aanbestedingsprocedure
Relaties met andere projecten
Flexwerken;
Start Project
Regionale samenwerkingen. 2007
14.3 Relatie projecten technisch beleidsplan ICT en het I-Plan 2006 Hier zijn de relevante projecten uit het l-plan 2006 (status conceptversie 0.3, datum 0702-2006) opgenomen om zodoende een totaalbeeld van alle ICT infrastructuur projecten weer te geven. Tevens geeft dit ook een eerste overzicht van de l-plan projecten met grotere impact op de ICT infrastructuur. Projecten uit het l-plan zijn relevant voor het technisch beleidsplan ICT om de volgende redenenen:
71
Indien de uitvoering van projecten die gedetineerd zijn in het technisch beleidsplan ICT randvoorwaardelijk zijn voor het kunnen uitvoeren van het I-plan project. Indien het l-plan project forse impact heeft op de ICT infrastructuur. Indien nieuw geschetste beleidsrichtingen in of nader te ontwikkelen beleidsrichtingen vanuit het technisch beleidsplan ICT randvoorwaardelijk zijn voor de uitvoering van het l-plan project. Indien l-plan projecten geheel of gedeeltelijk al als project zijn gedetineerd in het technisch beleidsplan ICT. In het l-plan 2006 zijn zowel al lopende projecten aangegeven als nieuwe projecten, hiervoor zijn ook twee overzichten opgenomen. Overzicht relevante lopende l-plan 2006 projecten (afkorting TB staat voor technisch beleidsplan ICT) Omschrijving l-ptan project
Uitvoering TB projecten randvoorwaardelijk
Grote impact op Nieuw beleid uit TB Project(en) ICT randvoorwaardelijk gedetineerd* infrastructuur gedeeltelijk ja ja
Invoering BSN
ja
3edrijvenloket
mogelijk
nee
ja
nee
CT Beheer
nvt
ja
ja
gedeeltelijk
3
nee
nee
ja
gedeeltelijk
Data Storage
nee
ja
nee
nee
Upgrade Oracle
nee
ja
nee
nee
Perfekt
ja
ja
ja
ja
ja
gedeeltelijk
roject Sturing
Vergunningverlening & tandhaving
ja
ja
Opmerking
TB is mede •esultaat van dit Droject
* dat de projecten geheel of gedeeltelijk gedefinieerd staan in het TB betekent niet automatisch dat de budget geregeld is en de planning afgestemd is op het l-plan project!
Overzicht relevante nieuwe l-plan 2006 projecten (afkorting TB staat voor technisch beleidsplan ICT) (afgevallen projecten zijn niet beoordeeld op relevantie). Nrlplan
Omschrijving l-plan project
1
Beheer Mozaiek
2 3
Uitvoering TB projecten randvoorwaardelijk
Grote impact op Nieuw beleid uit TB randvoorwaardelijk ICT infrastructuur
Project(en) gedetineerd*
Opmerking
nee
ja
ja
gedeeltelijk
Uniform koppelen
ja
ja
ja
ja
mogelijk
ja
ja
nee
5
Digitaliseren werkprocessen Baliesysteem BVG
mogelijk
nee
ja
mogelijk
7
1 ISD systeem
ja
ja
ja
gedeeltelijk
gezien dat frontoffice bij de gemeente
8
Cognos 8
mogelijk
beperkt
ja
gedeeltelijk
Er wordt gesproken over flexwerken
o.a. OTAP
Jlijft
72
9
Prisma fase 2
mogelijk
beperkt
ja
gedeeltelijk
13
Invoering VRI
mogelijk
mogelijk
mogelijk
nee
ja
beperkt
ja
gedeeltelijk
mogelijk
mogelijk
mogelijk
mogelijk
ja
ja
ja
gedeeltelijk
ja
ja
ja
gedeeltelijk
523114 Verhuurpakket sportaccommodaties 15 Basisregistraties
16
17
18 19 20
Basisregistraties en autorisatie nedewerkers regio nrichting informatievoorziening DBMR Dndersteuning frontoffices ISD <waliteit openbare uimte Smartdocuments
a
a
a
gedeeltelijk
nogelijk
mogelijk
mogelijk
mogelijk
nee
beperkt
mogelijk
lee
Integratie
22
1 ISD systeem toppelen met 6 afd. Burgerzaken
23
SSC
ja
ja
ja
ja
24
E-dossier
mogelijk
mogelijk
mogelijk
mogelijk
27
website musea
mogelijk
mogelijk
mogelijk
mogelijk
28
3
ja
ja
ja
gedeeltelijk
Integratie
ja
beperkt
ja
gedeeltelijk
ntegratie
29
arkeerproducten op Eoket Koppelen E-loketwijklijn
ja
ja
ja
gedeeltelijk
* dat de projecten geheel of gedeeltelijk gedefinieerd staan in het TB betekent niet automatisch dat het budget geregeld is en de planning afgestemd is op het I-plan project!
73
Dordrecht
15 Bijlagen Alle overzichten zijn naar de stand van 1 januari 2006.
15.1 Bijlage 1 Telefoontoestellen Overzicht systeemgeschakelde toestellen In onderstaande tabellen is een overzicht opgesteld van de verschillende typen telefoontoestellen in gebruik bij de Gemeente Dordrecht. DM24 DM25
100
CSS Telecom
DT40
25
CSS Telecom
DT60
210
CSS Telecom
Optipoint 500
33
CSS Telecom
Geschake ld Geschake ld Geschake ld Geschake ld Geschake ld
Stadskantoor, Hellingen, Crownpoint, Noordendijk Stadskantoor, Hellingen, Crownpoint, Stadskantoor, Hellingen, Crownpoint, Stadskantoor, Hellingen, Crownpoint, Kerkeplaat
VOIP VOIP VOIP VOIP VOIP VOIP VOIP VOIP VOIP VOIP VOIP VOIP
Sportstimulering Stadsdepot RBL + Leerpark Evenementen Bureau Archeologisch Centrum Museum van Gijn Hofkwartier Parkeergarage Veemarkt Parkeergarage Spuihaven Stadskantoor Spuiboulevard Besteld bij CSS Telecom zie factuur CSS 9 november
Overzicht VOIP toestellen
Optipoint 400 Optipoint 400 Optipoint 400 Optipoint 400 Optipoint 300 Optipoint 400 Optipoint 300 Optipoint 400 Optipoint 400 Optipoint 400 Optipoint 400 Optipoint 410
CSS Telecom CSS Telecom CSS Telecom CSS Telecom CSS Telecom
CSS Telecom
13
10 41
CSS Telecom CSS Telecom CSS Telecom CSS Telecom CSS Telecom CSS Telecom
Mobiele toestellen Er worden bij de Gemeente Dordrecht tussen de 450 en 500 mobiele telefoons gebruikt. Nut en noodzaak van deze technologie heeft zich bewezen, door de verbeterde bereikbaarheid en grotere mobiliteit voor ambtenaren.
74
*%/ 15.2 Bijlage 2 Overzicht Windows/VMware servers BLCXQt
Windows 2000
Citrix blade server
LAN Dordrecht
BLCX02
Windows 2000
Citrix blade server
LAN Dordrecht
BLCX03
Windows 2000
Citrix blade server
LAN Dordrecht
BLCX04
Windows 2000
Citrix blade server
LAN Dordrecht
BLCX05
Windows 2000
Citrix blade server
LAN Dordrecht
BLESX01
Vmware ESX virtual server Productie Vmware ESX virtual server Productie Vmware ESX virtual server testomgevingen Probis Server
LAN Dordrecht
BLWIN01
VMware 2.5 (W2000 en W2003) VMware 2.5 (W2000 en W2003) VMware 2.5 (W2000 en W2003) Windows 2000
BLWIN02
Windows 2003
HAIS server
BLWIN03
Windows 2003
HAIS server
BLWIN04
Windows 2003
Geo server
DMZ LAN2 Dordrecht DMZ-LAN2 Dordrecht LAN Dordrecht
BLWIN05
Windows 2003
BLWIN06
Windows 2003
SRO kunstmin blade server in credit card software etc SQL IIS server SRO, Itheatre
DMZ-LAN2 Dordrecht LAN Dordrecht
BS01
Windows 2000
Backupserver Netbackup
LAN Dordrecht
BS02
Windows 2003
Backupserver tbv HAIS
DMZ-LAN2
CiscoLMS
Windows 2003
CiscoLMS Management system
LAN Dordrecht
CX0002
Windows 2000
Citrix server
LAN Dordrecht
CX01
Windows 2000
LAN Dordrecht
CX03
Windows 2000
Citrix server met applicaties van de sociale dienst Algemene Citrix server
CX04
Windows 2000
Algemene Citrix server
LAN Dordrecht
CX0401
Windows 2000
Citrix server voor bureau parkeren
LAN Dordrecht
CXBEH01
Windows 2000
LAN Dordrecht
ESX01 ntOOOI
VMware 2.1 (W2000 en W2003) NT 4.0
nt0301
NT 4.0
ocescanserverp4
Windows 2000
Citrix server voor beheerders van ICT Vmware ESX virtual server Testserver NT4.0 Lijst en index server van DIS/ Wins server NT4.0 Intergraph Landmeten en vastgoed Tbv windows drivesnapshots
shrek
Windows 2000
win002
Windows 2000
winOOS
Windows 2000
winOOS
Windows 2000
win007
Windows 2003
BLESX02 BLESX03
Server tbv remote access laptops raadsleden Server tbv ALLEGRO SQL server (bureau schuld hulpverlening) en IW3 Welzijn Server (in pilotfase) tbv Ultimo pakket Webserver Flexiweb TESTSERVER Printserver cad printers Ruud Nijssen
LAN Dordrecht LAN Dordrecht LAN Dordrecht
LAN Dordrecht
LAN Dordrecht LAN Dordrecht LAN Dordrecht LAN Dordrecht LAN Dordrecht LAN Dordrecht
LAN Dordrecht LAN Dordrecht
75
recht ^/
-ir
15.3 Bijlage 3 Overzicht Netware servers CD server t.av. genealogie
LAN Dordrecht
FSCL01
Netware 4.11 Netware 6
Cluster Fileserver
LAN Dordrecht
FSCL02
Netware 6
Cluster Fileserver
LAN Dordrecht
FSCL03
Netware 6
Cluster Fileserver
LAN Dordrecht
FSCL04
Netware 6
Cluster Fileserver
LAN Dordrecht
GWCL01
Netware 6
Cluster Mailserver (Groupwise)
LAN Dordrecht
GWCL02
Netware 6
Cluster Mailserver (Groupwise)
LAN Dordrecht
GWCL03
Netware 6
Cluster Mailserver (Groupwise)
LAN Dordrecht
GWCL04
Netware 6
Cluster Mailserver (Groupwise)
LAN Dordrecht
GWDMZ01
Netware 6
LAN Dordrecht
GWDMZ02
Netware 6
Groupwise server inkomend WebAccess 1 Groupwise server uitgaand WebAccess 2
GWDM203
Netware 6
Groupwise server (DMZ domexS MTA en webaccess agent)
DMZ-Web Dordrecht
PR01
Netware 6
Print server oneven
DMZ-Web Dordrecht
PR02
Netware 6
Print server even
LAN Dordrecht
SE01
Netware 6
NDS. SLP TIME, gw PRIDOM
LAN Dordrecht
SE02
Netware 6
DNS. DHCP, NDS PO-BLD
LAN Dordrecht
nemo
Netware 6
Tijdelijke opslagruimte voor novell
LAN Dordrecht
ZE01
Netware 6
Zen server oa Imaging
LAN Dordrecht
ZE02
Netware 6
Zen server oa werkstation inventory
LAN Dordrecht
DMZ-Web Dordrecht
15.4 Bijlage 4 Overzicht Unix servers Dracle databaseserver voor ontwikkelomgevingen HP1
HP-UX 11.11
Oracle databaseserver voor productieomgevingen
HP2
HP-UX 11.11
Oracle Application Server (middle tier)
HP3
HP-UX 11.11
Oracle databaseserver voor testomgevingen
HP5
HP-UX 11.00
Oude intranetomgeving (wordt in 2006 uitgefaseerd)
HP6
HP-UX 11.00
Oracle databaseserver voor productieomgevingen
HP7
HP-UX 11.00
Oracle databaseserver voor productieomgevingen
HP8
HP-UX 11.00
Oracle databaseserver voor MidOffice omgeving
HP9
HP-UX 10.20
Opslag en wachtwoordserver (wordt uitgefaseerd)
3S2
HP-UX 11.11
Oracle beheer server (Oracle enterprise manager)
3S3
HP-UX 11.11
FW1
FreeBSD 4.8
Unix beheer server (backup - via tooi HP Dataprotector), documentatieserver, enz. 'rimary Firewall
FW2
FreeBSD 4.8
Secondary Firewall
BS1
BSD 4.0
verzorgt de rerouting van sublocaties van het www.dordrecht.nl domein, (webserverfunctionalit
76
15.5 Bijlage 5 Overzicht Linux servers Red Hat 7.0 Ix2a
RHELAS2.1
Ix3
RHEL AS 4.0
Ix5
Red Hat 7.0
mirror intemetwebserver Ejovemment nternet webserver Ejovemment opslag Oracle archive logs en Oracle export PIV4all Mailarchieven
DMZweb
Ix7
Mandrake 9.1
Ontwikkeling Sociale Dienst
LAN Dordrecht
!x8
RHEL AS 2.1
LPAnet
DMZweb
IxBtest
RHEL AS 2.1
LPAnet test
DMZweb
!x9
RHEL AS 2.1
Mail Mozaïek (test)
LAN Dordrecht
x10
Red Hat 9
blondo archiving Linux servers LAN Dordrecht backup Linux servers loopt dus ia een image).
DMZ web LAN Dordrecht (locatie Noordendijk) LAN Dordrecht
77