Właściciel Dkumentu: BLStream Sp. z.. Data utwrzenia 2008-04-18 Data statnieg zapisu: 2008-06-23 Autrzy: PKW, LRO BLStream Sp. z.., Plac Hłdu Pruskieg 9, 70-550 Szczecin, Plska Tel. +48 (91) 432 56 80, fax +48 (91) 432 56 90, e-mail: inf@blstream.cm, www.blstream.cm
Spis Treści 1. Cel dkumentu...4 2. Infrmacje wstępne...4 3. Wymagania dt. prgramwania...5 3.1. Serwer HTTP...5 3.2. Serwer HTTPS...6 3.3. Serwer aplikacji...6 3.4. Serwer bazy danych...6 3.5. Serwer MTA...6 3.6. VPN...6 4. Wymagania dt. Infrastruktury...9 4.1. Serwis Beneficjenta...9 4.1.1. Knfiguracja zapry sieciwej dla SB...10 4.2. Baza Danych...11 4.2.1. Knfiguracja zapry sieciwej dla BD...12 4.3. Centra certyfikacyjne...13 4.3.1. BD CA...13 4.3.2. BD VPN CA...13 4.3.3. SB VPN CA...13 4.4. Kpie bezpieczeństwa...14 5. Spełnienie wymgów...14 Rysunki Rysunek 1 Kmpnenty systemu LSI...5 Rysunek 2 Architektura Serwisu Beneficjenta...7 Rysunek 3 Architektura Bazy Danych...8 Rysunek 4 Infrastruktura systemu LSI...9 Rysunek 5 Serwis Beneficjenta...10 Rysunek 6 Baza Danych...12 BLStream Sp. z.., Plac Hłdu Pruskieg 9, 70-550 Szczecin, Plska Tel. +48 (91) 432 56 80, fax +48 (91) 432 56 90, e-mail: inf@blstream.cm, www.blstream.cm
Akrnimy i skróty BD CA DMZ ICMP EJB ODBC MTA SB VLAN VPN Baza Danych Centrum Certyfikacji Strefa zdemilitaryzwana wydzielny na zaprze sieciwej bszar sieci kmputerwej nie należący ani d sieci wewnętrznej ani d sieci zewnętrznej Internetwy prtkół kmunikatów kntrlnych Standardwy zestaw interfejsów i mdeli przesyłania kmunikatów w języku prgramwania Java Standardwy zestaw interfejsów d kmunikacji z systemem zarządzającym bazami danych Agent przesyłania pczty elektrnicznej Serwis Beneficjenta Sieć kmputerwa wydzielna lgicznie w ramach innej, większej sieci fizycznej Wirtualna Sieć Prywatna BLStream Sp. z.., Plac Hłdu Pruskieg 9, 70-550 Szczecin, Plska Tel. +48 (91) 432 56 80, fax +48 (91) 432 56 90, e-mail: inf@blstream.cm, www.blstream.cm
1. Cel dkumentu Niniejszy dkument ma na celu sprecyzwać wymagania w stsunku d prgramwania raz elementów infrastruktury niezbędnych dla prawidłweg funkcjnwania aplikacji LSI. 2. Infrmacje wstępne Aplikacja LSI składa się z dwóch kmpnentów: 1. Serwis Beneficjenta, dalej nazywany SB, jest serwisem publicznym (dstępnym z sieci Internet), z któreg mgą krzystać beneficjenci w celu składania wnisków. 2. Baza Danych, dalej nazywana BD, jest serwisem wewnętrznym (dstępnym tylk z sieci urzędu), z któreg mgą krzystać pracwnicy urzędu w celu bsługi wnisków beneficjentów. Aplikacja jak całść jest hermetycznym systemem z bezpieczną infrastrukturą sieciwą. Pdstawwe części składwe infrastruktury t dwie pdsieci: DMZ raz Intranet. 1. DMZ jest tzw. strefą zdemilitaryzwaną, d której dstęp jest graniczny za pmcą firewalla d niezbędneg minimum. Zarządzanie i utrzymanie przez pracwników BLStream musi być zapewnine przez bezpieczną sieć prywatną VPN. 2. Intranet, czyli wewnętrzna sieć urzędu, jest śrdwiskiem dla aplikacji BD. Dstęp tak sam musi być graniczny d niezbędneg minimum. Z zewnątrz jedyny dstęp d BD jest realizwany pprzez sbny VPN, w celu zarządzania i utrzymywania usługi. Kmunikacja między dwma pdsieciami musi być graniczna d minimum. Jedynie kmunikaty d klejki EJB raz kmunikaty d zarządzania bazą danych (ODBC) mgą być przekazywane z Intranetu d DMZ. Pniższa ilustracja przedstawia pszczególne elementy systemu. Cel dkumentu 4/14
Rysunek 1 Kmpnenty systemu LSI 3. Wymagania dt. prgramwania Kmpnenty SB i BD mają następujące, częściw wspólne wymagania dt. prgramwania: 3.1. Serwer HTTP Zalecanym prgramwaniem jest Apache 2. Serwer HTTP jest wymagany jedynie d realizacji przekierwania całeg ruchu na serwer HTTPS, który świadczy knkretne usługi. Wymagania dt. prgramwania 5/14
3.2. Serwer HTTPS Zalecanym serwerem HTTPS jest Apache 2 z rzszerzeniem md_ssl. Serwer HTTPS pełni rlę pśrednika między użytkwnikami a serwerem aplikacji JBOSS, przy kazji zapewniając szyfrwanie transmisji. W przypadku SB, ze względu na wrażliwść przesyłanych danych przez beneficjentów, serwer musi identyfikwać się certyfikatem SSL wystawinym przez zaufany urząd certyfikacyjny (np. Thawte, Verisign, Certum). W przypadku BD, serwer mże się identyfikwać certyfikatem wystawinym przez własne centrum certyfikacyjne. 3.3. Serwer aplikacji Wymaganym serwerem aplikacji jest JBOSS w wersji 4.2.2 + EJB + ODBC. Serwer JBOSS nie mże bezpśredni świadczyć usług, więc ruch d aplikacji musi przechdzić przez prxy realizwane przez serwer HTTPS. EJB jest serwisem d przesyłania kmunikatów między aplikacjami i za jeg pmcą realizwana jest kmunikacja między BD i SB. Ddatkw płączenie ODBC zapewni mżliwść generwanie raprtów bezpśredni z bazy danych SB. 3.4. Serwer bazy danych Wymagana jest najnwsza wersja PstgreSQL 8.3.1. Serwer bazy danych służy d przechwywania danych wprwadzanych przez beneficjentów. 3.5. Serwer MTA Zalecanymi MTA są Exim lub Pstfix. MTA służy d wysyłania pczty e-mail bezpśredni z aplikacji SB lub BD d beneficjentów (wymagane przy rejestracji beneficjenta). 3.6. VPN Zalecane prgramwanie realizujące VPN t OpenVPN 2.0.9 lub inne wspierające prtkół IPSec raz Certificate Based Authenticatin. VPN realizuje bezpieczną, wirtualną sieć, która jest wymagana d utrzymywania aplikacji przez pracwników BLStream. Sieć VPN mże być zabezpieczna certyfikatami SSL wystawinymi przez własne centrum certyfikacyjne, nie są knieczne certyfikaty wystawine przez zaufany urząd certyfikacyjny. Wymagania dt. prgramwania 6/14
Rysunek 2 Architektura Serwisu Beneficjenta Wymagania dt. prgramwania 7/14
Rysunek 3 Architektura Bazy Danych Wymagania dt. prgramwania 8/14
4. Wymagania dt. Infrastruktury Ze względu na wrażliwść danych wprwadzanych i przetwarzanych w systemie LSI, wymagane są pewne śrdki bezpieczeństwa dnśnie infrastruktury. Śrdwisk dla systemu LSI musi być zamknięte na tyle na ile jest t mżliwe. Ruch sieciwy d aplikacji SB, BD a także pmiędzy nimi musi być graniczny d niezbędneg minimum przez zapry sieciwe raz samą budwę infrastruktury, którą przedstawia pniższa ilustracja. Rysunek 4 Infrastruktura systemu LSI 4.1. Serwis Beneficjenta SB musi być zamknięty w sbnej strefie DMZ, czyli hermetycznie zamkniętej sieci. Serwer świadczący usługę SB musi być fizycznie dcięty d innych usług świadcznych przez Urząd, np. pprzez implementację wirtualnej sieci za pmcą VLAN, bądź wydzielneg na te ptrzeby fizyczneg dedykwaneg kablwania strukturalneg wraz z dedykwanymi urządzeniami pasywnymi i aktywnymi. Dstęp d DMZ SB musi być graniczny za pmcą firewalla d niezbędneg minimum. Z jednej strny musi być zapewniny dstęp z sieci Internet, z drugiej zaś dstęp z serwera świadcząceg usługę BD. Nie mże przy tym być przepuszczany jakiklwiek ruch z sieci Internet d BD. Wymagania dt. prgramwania 9/14
Rysunek 5 Serwis Beneficjenta 4.1.1. Knfiguracja zapry sieciwej dla SB Zapra sieciwa firewall pwinna być tak sknfigurwana, aby umżliwić dstęp d SB tylk w następujący spsób: Z Internetu na prt TCP/80. Na prcie 80 jest uruchminy serwer HTTP, któreg jedynym zadaniem jest przekierwanie ruchu d serwera HTTPS. Z Internetu na prt TCP/443. Jest t ruch przeznaczny d serwera HTTPS, pśrednika d serwera JBOSS serwująceg knkretną aplikację SB. Z Internetu z adresu 212.14.0.241 na prt UDP/1194. Wymagania dt. prgramwania 10/14
Standardwy prt dla prgramwania OpenVPN, umżliwiająceg kntrlę nad serwerem przez pracwników BLStream. Ddatkw graniczamy ruch tylk dla adresu IP z sieci BLStream. Z Internetu ruch ICMP. ICMP t prtkół kntrlny, ptrzebny d zapewnienia pprawnej kmunikacji sieciwej. Z Internetu ruch pwiązany (ESTABLISHED, RELATED). Standardwa reguła przepuszczająca ruch pwiązany z ustanwinymi już płączeniami. Z BD ruch na prt TCP/2468 (EJB). Wpuszczamy także kmunikaty z serwera świadcząceg usługi BD ptrzebne d synchrnizacji. Z BD ruch na prt TCP/1433 (ODBC). Zezwalamy na płączenia d bazy danych za pmcą mechanizmu ODBC, w celu generwania raprtów. Reszta ruchu sieciweg będzie blkwana. 4.2. Baza Danych Serwer świadczący usługę BD musi być dstępny w sieci wewnętrznej Urzędu, lecz musi być dcięty d innych usług świadcznych przez Urząd. Musi być także dcięty d sieci Internet. Jedynie usługa VPN mże być dstępna z zewnątrz, ale musi być graniczna d adresu IP sieci BLStream. Ograniczenia dstępu będzie realizwać firewall. Wymagania dt. prgramwania 11/14
Rysunek 6 Baza Danych 4.2.1. Knfiguracja zapry sieciwej dla BD Zapra sieciwa firewall pwinna być tak sknfigurwana, aby umżliwić dstęp d BD tylk w następujący spsób: Z Internetu z adresu 212.14.0.241 na prt UDP/1194. Standardwy prt dla prgramwania OpenVPN, umżliwiająceg kntrlę nad serwerem przez pracwników BLStream. Ddatkw graniczamy ruch tylk dla adresu IP z sieci BLStream. Z Internetu ruch pwiązany (ESTABLISHED, RELATED). Standardwa reguła przepuszczająca ruch pwiązany z ustanwinymi już płączeniami. Z sieci Urzędu na prt TCP/80. Na prcie 80 jest uruchminy serwer HTTP, któreg jedynym zadaniem jest przekierwanie ruchu d serwera HTTPS. Z sieci Urzędu na prt TCP/443. Jest t ruch przeznaczny d serwera HTTPS, pśrednika d serwera JBOSS serwująceg Wymagania dt. prgramwania 12/14
knkretną aplikację BD. Z sieci Urzędu ruch ICMP. ICMP t prtkół kntrlny, ptrzebny d zapewnienia pprawnej kmunikacji sieciwej. Z sieci Urzędu ruch pwiązany (ESTABLISHED, RELATED). Standardwa reguła przepuszczająca ruch pwiązany z ustanwinymi już płączeniami. Reszta ruchu sieciweg będzie blkwana. 4.3. Centra certyfikacyjne Dla zapewnienia bezpiecznej transmisji danych wymagane są trzy własne centra certyfikacyjne (CA). 4.3.1. BD CA CA dla aplikacji BD, które wyda certyfikat SSL używany d transmisji danych wewnątrz Urzędu, między pracwnikami a serwerem świadczącym usługę BD. 4.3.2. BD VPN CA Centrum, które wyda certyfikaty SSL używane w sieci VPN kniecznej d utrzymywania aplikacji BD, przez pracwników BLStream. 4.3.3. SB VPN CA Centrum, które wyda certyfikaty SSL używane w sieci VPN kniecznej d utrzymywania aplikacji SB, przez pracwników BLStream. Bezpieczną transmisję danych między beneficjentami a aplikacją SB zapewniać będzie certyfikat SSL wydany przez zaufane centrum certyfikacyjne. Wymagania dt. prgramwania 13/14
4.4. Kpie bezpieczeństwa W sieci Intranet pwinna być zapewnina usługa backupów n-site. Kpie bezpieczeństwa są wymagane d dtwrzenia ryginalnych danych w przypadku ich utraty. Kpie bezpieczeństwa dzielimy na trzy grupy: 1. Pełna: całkwita kpia bezpieczeństwa wszystkich danych. 2. Różnicwa: Kpia bezpieczeństwa plików, które uległy zmianie d statniej pełnej kpii bezpieczeństwa. 3. Przyrstwa: Kpia bezpieczeństwa plików, które uległy zmianie d statniej pełnej kpii bezpieczeństwa, alb d statniej kpii różnicwej, alb d statniej kpii przyrstwej. By zwiększyć pzim bezpieczeństwa, kpie pwinny być wyknywane w dwóch niezależnych turach. Dzięki temu będą sbne dwie niezależne kpie bezpieczeństwa wszystkich danych. Serwer zapewniający usługę kpii bezpieczeństwa pwinien być dstępny zarówn z pdsieci BD jak i ze strefy DMZ SB. Zalecane prgramwanie d wyknywania autmatycznych backupów t Bacula. Oprócz usługi backupów n-site zalecana jest usługa kpii bezpieczeństwa ff-site zapewniająca tygdniwe backupy. 5. Spełnienie wymgów Na pdstawie wypełninych wymagań raz audytów ze strny dstawcy, nastąpi autryzacja śrdwiska klienta w celu wdrżenia prdukcyjneg raz zapewnienia usługi asysty technicznej ze strny dstawcy. W przypadku braku autryzacji, wdrżenie nastąpi wyłącznie na dpwiedzialnść klienta i uniemżliwi prwadzenia prac ze strny dstawcy w celu świadczenia asysty technicznej. Wymagania dt. prgramwania 14/14