Software řešení IBM pro územní veřejnou správu ČR UNIVERZITA PRO OBCHODNÍ PARTNERY

Luděk Vyhnalík – Software Channel Manager 10.03.2011

Software řešení IBM pro územní veřejnou správu ČR UNIVERZITA PRO OBCHODNÍ PARTNERY

© 2009 IBM Corporation

Univerzita pro obchodní partnery

Územní veřejná správu ČR z pohledu IT projektů. „Historický“ pohled na problematiku – Velká různorodost projektů byla vždy dána zejména: Širokým spektrem potřeb možných zákazníka Mnohdy velmi limitovanými interními zdroji Obtížně udržovatelnou střednědobou/dlouhodobou koncepcí Různorodými způsoby získávání nezbytných investičních prostředků Silnými „lokálními vlivy“

Globálně „změněné ekonomické podmínky“ se projevují v této oblasti s minimálně ročním zpožděním Stále větší část projektů je vázána na centrální (EU) fondy – Výzvy 06,08,09, ...

2



Příklad aktuálně řešeného projektu: ... Elektronizace územní veřejné správy ... „Výzva 09“ Podporované aktivity budou vymezeny do následujících kategorií: – Sdílení dat s centrálními registry ve veřejné správě a vytváření dalších relevantních registrů pro potřeby územní veřejné správy – Budování komunikační infrastruktury územní veřejné správy – Vybudování přístupových míst pro komunikaci s informačními systémy veřejné správy – Elektronizace služeb veřejné správy, a to zejména formou elektronizace procesních postupů u jednotlivých agend vykonávaných orgány územní veřejné správy.

Rozpracovány jsou zejména následující problematiky: – – – – – – – – – 3

Komunikační infrastruktura regionů a měst a konektivita Portály subjektů územní veřejné správy Spisová služba Centrum ICT služeb CzechPoint@home (portál občana) Datový sklad – zpřístupnění relevantních dat na úrovni subjektu VS Manažerský informační systém Digitalizace archivů a problematika „document management“ Integrace agendových systémů © 2009 IBM Corporation


Vybraná IBM software řešení pro projekt „Výzva 09“ ... Část „Portály subjektů územní veřejné správy“ ... Portálové řešení IBM IBM WebSphere Portal Server – řešení pro „enterpise portal“ – Jak vymezovat pojem portál Technologický popis „Filosofický“ popis – dle způsobu použití

– 2 základní / mezní koncepce portálu Integrační a publikační Reálné implementace obsahují oba komponenty – odlišují se však jejich prioritizací

– Portál = místo kam se uživatelé obracejí pro informace Propojuje uživatele, informace, aplikace a procesy, ato napříč organizací Jedním z úkolů portálu je metodická a technologická podpora pro zajištění pořádku, bezpečnosti a efektivity práce v přístupu k informacím Agregace, informace, personalizace, SSO

4



Portálové řešení IBM ... Proč mít portál ?

5



Portálové řešení IBM ... Základní koncepce

Informace Integrace informací • Vytvoření univerzálního přístupu k informacím • Garantované zpřístupnění informací libovolnému systému v libovolném okamžiku.

Uživatelé Integrace směrem k uživateli • Doručení informace směrem k uživateli prostřednictvím jednotného rozhraní a různých komunikačních kanálů • Přístup k informacím prostřednictvím personalizovaného výběru informací 6

Aplikace Integrace aplikací • Vytváření kompozitních aplikací (oddělená aplikační a komunikační vrstva) • Maximální využití existující infrastruktury

Procesy Procesní integrace • Koordinace a řízení aktivit mezi aplikacemi a uživateli • Automatizace obchodních procesů



Portálové řešení IBM ... Správa obsahu, redakční systém IBM Lotus Web Content Management (LWCM)

7



8



9



10



Vybraná IBM software řešení pro projekt „Výzva 09“ ... Část „Portály subjektů územní veřejné správy“ ... Elektronické formuláře Elektronické formuláře – Jeden z preferovaných způsobů komunikace mezi orgány územní veřejné správy a občany. Uživatelé systému budou vedle individuálního připojení k internetu moci zptravidla využívat i speciálně zřizovaných „kontakních míst“. Předpřipravené postupy pro klíčové „životní situace“. např. jednotlivé žádosti a podání Přímá integrace s příslušnými agendami správního informačního systému.

IBM řešení pro Elektronické formuláře – K dispozici více technologií: IBM Forms Vhodné rozšíření platformy IBM WebSphere Portal Server. IBM Filenet eForms Vhodné rozšíření DMS/ECM na platformě IBM Filenet. Ukázka modelového řešení je dostupná na připojeném odkaze: http://www.youtube.com/watch?v=SCmvbrxDAg4 11



Vybraná IBM software řešení pro projekt „Výzva 09“ ... Části „ Digitalizace archivů a problematika „document management“ ... Garantované a negarantované datové úložiště Jak je definováno „garantované úložiště“ ? Obecná „nepřesná“ představa: „Garantované úložiště je hardwarová komponenta zabezpečující neměnnost a autentičnost obsahu.“

Garantované úložiště je (podle definice) řešení obsahující: 1. 2. 3. 4.

Zabezpečené úložiště Zabezpečení přístupu a přístupová práva uživatelů Aplikace/moduly pro organizaci a audit dat a přístupů Prezentační vrstva pro uživatele

Jinými slovy je třeba zabezpečit: Důvěryhodnost - elektronický podpis - časové razítko Neporušitelnost - Records Management - Audit Prezentační vrstva pro uživatele Čitelnost - schválené formáty PDF/A, mp3, wma, mpeg …

12



Negarantované / garantované úložiště ... Hlavní rozdíly Negarantované úložiště“

„Garantované úložiště“

musí splňovat požadavky zákona 499/2004 Tedy ve spolupráci se spisovou službou vyhovovat národnímu standardu zejména zajistit po celou dobu skartační lhůty, a to alespoň po dobu 5 let:

Musí splnit všechny podmínky kladené na negarantované úložiště Navíc musí splnit:

„

– – – –

13

Věrohodnost Neporušitelnost čitelnost Možnost organizace dokumentů uspořádání do spisů apod.

-

-

řešení pro archivaci dokumentů s delší skartační lhůtou (5+ let) Zaručit škálovatelnost úložiště (diskového prostoru) do budoucna



Garantované úložiště ... Uplatnění a přínosy Uplatnění – Dle „Výzvy 08“ Ministerstva vnitra ČR Rozvoj služeb eGovernmentu v krajích Součást oblasti digitalizace a ukládání

– Jednotný digitální archiv organizace Vyhovuje zákonu o archivnictví a spisové službě 499/2004 Sb. Propojení s aplikacemi generujícími dokumenty

Přínosy – Splnění zákonných norem – Možnost archivovat Dokumenty spisové služby Zprávy el. pošty Účetní dokumenty MS Office dokumenty ... jakékoliv další typy dokumentů

– Řízení životního cyklu dokumentů – Propojení s národním digitálním archivem 14



IBM řešení pro „Digitalizace archivů a problematika document management“ strukturované

IBM FileNet P8

částečně-strukturované nestrukturované

Records Management

Faktury

Smlouvy

...

IBM FileNet P8 Capture 15

IBM DR 550

Archivace

Integrace časová razítka a elektronický podpis © 2009 IBM Corporation


Garantované úložiště IBM ... Integrace s ostatními aplikacemi

IBM FileNet P8

Spisová služba A

Records Management

Spisová služba B

Úložiště/ IBM DR 550

Aplikace pracující s dokumenty

... Archivace Portály a uživatelská rozhraní

16

Digitalizace © 2009 IBM Corporation


Vybraná IBM software řešení pro projekt „Výzva 09“ ... Část „Manažerský informační systém“ ... Datový sklad a „rodina řešení“ IBM Corporate Performance Management Finance Sales

Operations

Jak si vedeme? Scorecards a Dashboards

Proč?

Marketing

Reporty & Analýzy

Co bychom měli udělat? Planning, Forecasting a Budgeting Customer Service

HR IT/Systems

17



Performance Management System v pojetí IBM Je to systém, zajišťující komplexní proces práce s daty pro koncového uživatele

1. „Plánuj“ Plán nákladů Plán výnosů Plán investic … 2. „Připrav data“ Konsolidace Účetní uzávěrka Předpřipravené reporty …. 3. „Analyzuj a optimalizuj“ What-if analýzy Tvorby scénářů Ad-hoc reporty …

18



Performance Managemnt System ... Jak přistupuje k datům ? Automatická data

Běžný reporting Včera

Pokročilé statistické modely What – if analýzy

Doplnění dat

Plánování

Zítra

Sběr dat Ale i INTEGRACE: – Mezi jednotlivými částmi PM – Mezi jinými komponenty (DWH, ETL,...) K dispozici jsou základní technologie i sofistikovaná koplexní řešení (IBM InfoSphere, IBM Netezza). 19



Vybraná IBM software řešení pro projekt „Výzva 09“ ... Část „Integrace agendovch systémů“ ... Central Identity and Access Management System (CIAMS) Central Identity Management – musí řeší například následující problémy: – – – – –

Pomalost vytváření požadovaných účtů. Enormní zátěž IT oddělení při vyřizování požadavků na vytváření účtů. Možnost zapomenutí smazání či blokaci účtu, který již nemá být vyžíván. Velmi složitý schvalovací proces vyhovění požadavku na vytváření účtu. Necentralizovaná adresní kniha uživatelů s pracnou synchronizací.

Central Access Management – řeší zejména například následující problémy: – – – – –

20

Psaní si hesel na nezabezpečené místa pro zapamatování (štítky, diář..). Zapomenutí hesla či blokace účtu po překročení limitu zadání špatných hesel. Vysoká zátěž HelpDesku či IT oddělení se žádostí o změnu hesla po blokaci. Nízký způsob ověření přes zneužitelné či prolomitelné heslo. Frustrace uživatelů a nízká efektivita práce.



IBM Tivoli Identity Management ... Klíčové komponenty řešení Server – přidělování zdrojů (např. účtů), workflow, samoobsluha (self-service) LDAP pro informace o uživatelích Auditní informace v DB Agenti vykonávají funkce na spravovaných systémech (AD, Oracle...)

ITIM Server

Agenti (Service)

Databáze 21

LDAP © 2009 IBM Corporation


Ensure Compliance

IBM Tivoli Identity Managemnt – koncepce eliminování nikomu nepatřících účtů

Více než 30% uživatelských účtů nemá správného Gartner Group vlastníka

11 Zdroj informací o identitách (Human Resources, Customer Master, etc.)

IM Spolehlivé úložžiště ě

22

Accounts/ Úč čty jcd0895 jdoe03 Sarah_s4 Aplikace

44

John C. Doe

Požadavek na recertifikaci

33 Sarah’s Manager

55

22

nbody

Sarah K. Smith Požadavek na přístup přezkoumán a zaznamenán

ackerh05

doej smiths17

Cisco Secure ACS



IBM Tivoli Access Management - architektura

Web Server

` Database Cluster Remote User without AccessAgent

Terminal Services

Citrix Server

Encentuate IMS Server Farm

Remote User with AccessAgent

Provisioning Server

` Desktops

23

Shared Workstations

Directory Server Applications © 2009 IBM Corporation


IBM Tivoli Access Management – přímo podporované aplikace ABS AccessLine

Centricity R IS S cheduling Centricity R IS S upply M anagem ent

Cpuserm onitor

FRx D esigner

Cranew are

FRx R eport

CRM

FusionServer

AccessM yC M C

Centricity-P AC S

CW EB

Fw policy

Activconsole

Centricity-P ortal

DBS .com

G eBIZ

ActiveX Test App

Centricity-R IS

DCH S Access

G EHA

Adm inPass

Centricity-W eb

Dchsnet

G lobal Reques t S ystem

AH INTR ANE T

CERM E

DDE

G M Supp ly P ow er

AIO N

Cerner M illenn ium

Designer

G m ail

Alert32

Certified M ail

DSG S upport

G oldM ine

AlertM onitor

Chargem aster

DSG -G UI

G otoCM C

Am _nt

Chart Review

Eaadm in32

G reat-W est

API Software

ChartM axx

e-C laim s

H b.sfcu.org

API-Report E xpress

CHB Netw ork Drives

Econolink2000

H BO W E M (S tar)

ASK IT

CHB W eb Application

ED Tracking Bo ard

H ealth Fusion

Aurora

Chem otherap y O rder Entry

(P CView )

H ealth Net

B cscons

CHM enu W eb

EDO C W riter

H ealthcareEduca tion

B lue Cross CA

Cigna

EDW eb

H ealthStream

B lue Shield

Cigna Subscriber

eGate

H ealthStream -Adm in

B lue Shield Subscriber

Cirius

B udgetAdvisor

Cirius_Reports

B usobj

Cisco VP N C lient

C aliber RM

Cisco VP N eT oken

C allLog

Citrix

C alllog32

Citrix IC A C lient

C apitalA dvisor

Citrix Nfuse

C aptura

Clinical W orkstation

C arem an

ClinicalBrow ser

C areM anager

CM S Supervisor

C BIS A-W ebEntry

CodeCorrect

C enticity R IS Tech nolo gist

Cognos

C entricity R IS Equ ipm ent M anager C entricity R IS Key W ord S earch C entricity R IS

Cognos Im prom ptu

Electronic P atient Folder EM DS Em pow er EM R EM R_IW S EncoderPro ePayslip Epic

H LV HMS H om ecare H orizon M eds M anager (HM M ) H RS-D H yperion Planning H yperion Rep orts Ibex

iTelecash

Novell Client

Reflection

JC RAccreditation

Novius

RE G

Jre

Ntracts

Rem edy

K eppel W ebm ail

Obix

Rem ote D esktop C lient

K inw in32

oexplore

ReportXpress

Kml

OneStaff

RiskM o nitor

United H ealthcare O nline

K ronos

Oracle Financials

RM Report

UP S

K ronosW eb

Outlook

RR 5

VE S

Lab M onitor

Outlook Express

Rum ba

VI_Client

LabTracker

Outlook W eb Access

RunAs

Visual DX

Lastw ord

PacifiCare

Santa Clara IP A

VN C

Launch32

PACS

SAP

VN C View er

Learn

Pacw in

SAP - Ver 6

VoiceW ave

Learn iT

Passport

SAP E nterprise Portal

VolunteerW orks

Legal Billing S ystem

Path ways Reports

Schw ab.com

W ebCon nect

Loginw 32

Pcsws

SecureC RT

W ebM D

Lotus Notes

PensionExpress

SE RS

Lotus Notes - Ver 6

PeopleSoft

Siebel CR M O nD em an d

W ebM edicityP ro A ccess

LRTS

PeopleSoft Fin ancials

Skype

M agicW eb

PeopleSoft HR

Sm arTerm

M ainfram e Application

PFM

SM S Invisio n

M aterialsM gm t

PGP

Soarian_Clinicals

M AX

PHS

Soarian_Schedu ling

M cKesso n C are M anager

Physician Portal

Socrates

M ckesson Star

PM M

M ckessonS upply

PM P A

Socrates P ro xy Authentication

M d2001

Pom

SoftLab

M diapp

Powerscribe

SoftM ed

TullyW ihr

W IING S W in dows Logon W in netuse W inS CP W in spool W in spool400 W S Com ets Yahoo M essenger Yahoo w eb

PrecyseEdit

SO S

PrecyseNet

Spacelabs - IC S

ESP +Desktop

icChart

M editech

PrivilegeInquir y

Sqam an32

ESS

IEC onnect

M editech W eb M edSeries4

Sr_gui PRO COM M PLU S W orkplace Ssadm in Putty

M IS P

QCI

Ssexp

M is ys

Quadram ed

Staffw are Process Client

Cplgv

FAS

iHR

M p2

Quality E dge

StaplesLink

M am m ograph y Tracking CPRS Cprtm C entricity R IS Order M anagem ent Cpsecurem otepw

Faxsrvr

IM aCS

M plus-P atient-Lookup

Quantim

STAR

FeedbackM onitor

Im ageCast

M RM S

Quantros

Stentor

FIS H

Intellis ync

M RS

Radiolog y M onitor

Stix

C entricity R IS Rad iology C entricity R IS Rep otr B row ser C entricity R IS S cheduling

CPSS Enquir y

FM R eport

iPharm

M S Access Database

RAS

T4_Sch eduling

CPSS Production

Form F ast

IRS S W eb

M S4 Data Transfer

RCA

TDW eb

Cpstat

Form sengine

iSerie s

M S4 Data Transfer E xcel

RedDot

Tim eP C

Cpuserm onitor

FRx Designer

iSite_radiolog y

M SN M essenger

ReDoc App lication

TraceM asterVue

iTelecash

M use CV

Reflection

Track-It

24

TTP LS

M edgician IBM _personal_com m unicati ons M edi-C al

Content M anager

Connect32

Trendstar

Esp

e-P rem is

Essbase Application IEI M anager IEX Essbase Excel A dd iheatclient in

Com putrition

Trendcare

Aplikace

A4 HealthM atics



Projekty typu „Elektronizace územní veřejné správy“ a možné jejich souvislosti ... Reálné využívání systému Teprve dostatečně dlouhá praxe ukáže, jaká bude skutečná šiře zapojení obyvatel a s tím spojená efektivnost vynaložených prostředků. – Podíl obyvatel s dostupným širokopásmovým připojením k internetu stále ještě není dostatečný. – Základní IT gramotnost zůstává mezigeneračně velmi nestejnoměrná. – Křivka „přirozené vůle“ využívat IT technologie u běžných agend vykazuje velmi rychlou saturaci. – Ani výrazné dodatečné investice do systému nepřinášejí podstatný nárůst počtu uživatelů. – Osobní kontakt „s úřadem“ začíná mít společenský a sociální rozměr. Tento efekt lze částečně kompenzovat sítí kontaktních center.

25



Projekty typu „Elektronizace územní veřejné správy“ a možné jejich souvislosti ... Správa koncových stanic. Rozsáhlé IT projekty (zejména na úrovni jednotlivých měst) znamenají pro oddělení IT na straně zákazníka enormní zatížení. (Mnohdy by se mělo jednat o s převahou největší IT investice za posledních 20 let.)

Postupné propojovéní IS magistrátu s IS přímo řízených organizací s sebou přináší velké nároky z pohledu správy pracovních stanic. K řešení tohoto problému je možno přistupovat dvěma způsoby – virtualizace pracovních stanic řešení IBM Virtual Desktop for Smart Business – centralizovaná správa distribuovaných stanic řešení IBM Tivoli Endpoint Manager

Obě zmiňovaná řešení je možno velmi efektivně propojovat s řešením pro správu IT majetku (IBM Tivoli Asset Management for IT).

26



Projekty typu „Elektronizace územní veřejné správy“ a možné jejich souvislosti ... Bezpečnostní hlediska.

Široká elektronizace územní veřejné správy a s ní související zpřístupňování klíčových agend pro externí uživatele přináší logicky i výrazně vyšší nároky na zabezpečení na nejrůznějších úrovních. Správa uživatelských přístupů a uživatelských práv může tvořit přímo součást projektu „Výzva 09“ (viz. výše). Za velmi účelné považujeme prověření zabezpečení konkrétních aplikácí – Security testing řešení IBM Rational AppScan (dostupné i jako služba)

Pro komplexní (end-to-end) ochranu IS podniků a organizací napříč všemi síťovými vrstvami nabízí společnost IBM rodiny produktů IBM ISS.

27



Základní typy součastných bezpečnostních hrozeb

Záměrné útoky zvenčí Malware Organizované útoky: DoS, DDoS Výpadek napájení

Záměrné útoky zevnitř Záměrně vytvořená bezpečnostní slabina v programu Zcizení informací Podvodné jednání

Nezáměrné vnější vlivy Ztráta informací Výpadek napájení

Nezáměrné vnitřní vlivy Systém neopatřen aktualizacemi Chyby v designu SW Problém zapříčiněný lidským faktorem

28

© 2009 IBMSoftware Corporation Dušan Mondek, Tivoli Group,, IBM Czech Republic


Rodina řešení IBM ISS

29



Některé rozšířené hrozby – detailnější popis DoS (Denial of Service) nebo DDoS (Distributed Denial of Servis) Skupina útoků, jejichž konečným důsledkem je odepření služby pro legitimního uživatele Důsledek pro napadené zařízení: a) Vyčerpání přidělených zdrojů (Paměť, CPU,...) b) Fyzické poškození Důsledek pro poskytovatele služby: a) krátkodobý - odepření přístupu legitimním uživatelům, b) dlouhodobý - ztráta důvěryhodnosti (zákazníků, apod.) Příklad úspěšného útoku: MasterCard, 8.12. 2010 Česká Pošta, 9.12. 2010 (systém elektronického podání)

SQL injection Tento typ útoku je možné směřovat téměř na každý systém, který využívá k ukládání dat databáze (webová aplikace, desktopová aplikace,...). Možný důsledek pro poskytovatele služby: Únik nebo ztráta citlivých informací Příklad úspěšného útoku: Globální plošné napadení, leden 2008 ... chyba v MS SQL Serveru umožnila průnik do systémů tisíců stanic.

30



DDoS attack - schéma

Někter které které typy DDoS útoků: tok : 1) „Smurf“ attack 2) Ping flood attack 3) SYN flood attack ...

31

Typické sledky útoku: Typické důsledky 1) Snížení propustnosti sítě 2) Zvýšení vytížení procesorů a pevných disků 3) Nedostupnost nebo přerušení toku konfiguračních informací – routing updates 4) Narušení provozu jiných komponent sítě 5) Zhoršení nebo úplné znemožnění datové komunikace s okolím



Modelová topologie IS - územní veřejná správa

32



Virtualizace IS s sebou přinášejí nová ohrožení Tradiční hrozby Nové hrozby VM prostředí

Traditional threats can attack VMs just like real systems

Virtual server sprawl —————————— Dynamic state —————————— Dynamic relocation

Management Vulnerabilities —————————— Secure storage of VMs and the management data —————————— Requires new skill sets —————————— Insider threat

Resource sharing —————————— Single point of failure —————————— Loss of visibility

Stealth rootkits

Komplexnější = Zranitelnější 33



Serverové a síťové prostředí se propojují

34



Bezpečnostní řešení se musí měnit / přizpůsobit Fyzické prostředí

Virtualizované prostředí Network IPS

Should protect against threats at perimeter and between VMs

Server Protection

Securing each VM as if it were a physical server adds time, cost and footprint

System Patching

Patches critical vulnerabilities on individual servers

System Patching

Needs to protect against vulnerabilities that result from VM state changes

Security Policies

Policies are specific to critical applications in each network segment and server

Security Policies

Policies must be able to move with the VMs

Network IPS

Blocks threats and attacks at the perimeter

Server Protection

Secures each physical server with protection and reporting for a single agent

SECURITY 35

Static

Dynamic © 2009 IBM Corporation


IBM Virtual Server Protection for VMware Integrovaný systém zabezpečení VMware vSphere 4 Pomáhá zákazníkům dosahovat požadované úrovně zabezpečení při nasazaní virtualizačních technologií v datových centrech.

36

VMsafe Integration

Firewall and Intrusion Prevention

Rootkit Detection/Prevention

Inter-VM Traffic Analysis

Automated Protection for Mobile VMs (VMotion)

Virtual Network Segment Protection

Virtual Network-Level Protection

Virtual Infrastructure Auditing (Privileged User)

Virtual Network Access Control



Možný scénář ... Varianta 1 – úspěšný útok Typ útoku: TCP SYN flood Cíl: Virtuální stroj se systémem Lunix SuSE Enterprise Server Dů ůsledek: Resources depletion

Situace 1.: Infrastruktura bez použití Virtual Server Protection for VMware

37



Možný scénář ... Varianta 2 – odražený útok IBM Virtual Server Protection for VMware Princip ochrany: Zařazení privilegovaného virtuálního stroje ke stávajicím VMs, který poskytuje komplexní ochranu včetně funkcí IPS a FW

Situace 2.: Infrastruktura je chráněna pomocí Virtual Server Protection for VMware

38



Otázky ?

39

39

© 2009 IBM Corporation © 2011 IBM Corporation

Software řešení IBM pro územní veřejnou správu ČR UNIVERZITA PRO OBCHODNÍ PARTNERY

Recommend Documents