Załącznik IX do SOPZ. Usługi i bloki architektoniczne wspierające budowę systemów biznesowych w CPD MF

Dane dokumentu Nazwa Projektu: Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Numer wersji Kontrakt Systemów Celnych i Podatkowych (SPKiCSCP) dokumentu: Umowa MF: C/123/09/DI/B/140 Data wersji dokumentu: 4.0 25.10.2012 Strona 1 z 93

SPIS TREŚCI: 1. Wstęp... 8 1.1 Cel dokumentu... 8 1.2 Odbiorcy dokumentu... 8 1.3 Dokumenty powiązane/referencyjne... 8 2. Architektura referencyjna systemów realizujących usługi biznesowe... 8 3. Opis usług... 13 3.1 Usługi dostępowe... 13 3.1.1 Dostęp HTTP/HTTPS... 13 3.1.1.1 Metryka usługi... 13 3.1.1.2 Historia zmian... 13 3.1.1.3 Opis usługi... 13 3.1.1.4 Atrybuty usługi... 13 3.1.1.5 Wsparcie dla klas bezpieczeństwa... 13 3.1.1.6 Realizacja usługi... 14 3.1.1.7 Model logiczny usługi... 16 3.1.2 Dostęp SMTP... 18 3.1.2.1 Metryka usługi... 18 3.1.2.2 Historia zmian... 18 3.1.2.3 Opis usługi... 18 3.1.2.4 Atrybuty usługi... 18 3.1.2.5 Wsparcie dla klas bezpieczeństwa... 18 3.1.2.6 Realizacja usługi... 18 3.1.2.7 Model logiczny usługi... 20 4. Opis bloków architektonicznych... 21 4.1 Bloki Proxy... 21 4.1.1 Proxy HTTP... 21 4.1.1.1 Metryka bloku... 21 4.1.1.2 Historia zmian... 21 4.1.1.3 Opis bloku... 21 4.1.1.4 Atrybuty bloku... 21 4.1.1.5 Wsparcie dla klas bezpieczeństwa... 21 4.1.1.6 Komponenty bloku architektonicznego... 22 4.1.1.7 Model logiczny bloku... 24 4.1.2 Proxy SMTP... 26 4.1.2.1 Metryka bloku... 26 4.1.2.2 Historia zmian... 26 4.1.2.3 Opis bloku... 26 4.1.2.4 Atrybuty bloku... 26 4.1.2.5 Wsparcie dla klas bezpieczeństwa... 26 4.1.2.6 Komponenty bloku architektonicznego... 27 4.1.2.7 Model logiczny bloku... 30 4.2 Bloki aplikacyjne... 31 4.2.1 Blok w technologii Java EE... 31 4.2.1.1 Metryka bloku... 31 4.2.1.2 Historia zmian... 31 4.2.1.3 Opis bloku... 31 4.2.1.4 Atrybuty bloku... 31 4.2.1.5 Ograniczenia na wartości atrybutów... 31 Strona 2 z 93

4.2.1.6 Wsparcie dla klas bezpieczeństwa... 32 4.2.1.7 Komponenty bloku architektonicznego... 33 4.2.1.8 Model logiczny bloku... 36 4.2.2 Blok w technologii Servlets/JSP... 37 4.2.2.1 Metryka bloku... 37 4.2.2.2 Historia zmian... 37 4.2.2.3 Opis bloku... 37 4.2.2.4 Atrybuty bloku... 37 4.2.2.5 Ograniczenia na wartości atrybutów... 37 4.2.2.6 Wsparcie dla klas bezpieczeństwa... 38 4.2.2.7 Komponenty bloku architektonicznego... 39 4.2.2.8 Model logiczny bloku... 42 4.2.3 Blok w technologii.net... 43 4.2.3.1 Metryka bloku... 43 4.2.3.2 Historia zmian... 43 4.2.3.3 Opis bloku... 43 4.2.3.4 Atrybuty bloku... 43 4.2.3.5 Ograniczenia na wartości atrybutów... 43 4.2.3.6 Wsparcie dla klas bezpieczeństwa... 44 4.2.3.7 Komponenty bloku architektonicznego... 45 4.2.3.8 Model logiczny bloku... 48 4.3 Bloki bazodanowe... 49 4.3.1 Blok w technologii ORACLE RDBMS... 49 4.3.1.1 Metryka bloku... 49 4.3.1.2 Historia zmian... 49 4.3.1.3 Opis bloku... 49 4.3.1.4 Atrybuty bloku... 49 4.3.1.5 Ograniczenia na wartości atrybutów... 50 4.3.1.6 Wsparcie dla klas bezpieczeństwa... 51 4.3.1.7 Komponenty bloku architektonicznego... 52 4.3.2 Blok w technologii Microsoft SQL Server... 58 4.3.2.1 Metryka bloku... 58 4.3.2.2 Historia zmian... 58 4.3.2.3 Opis bloku... 58 4.3.2.4 Atrybuty bloku... 58 4.3.2.5 Ograniczenia na wartości atrybutów... 58 4.3.2.6 Wsparcie dla klas bezpieczeństwa... 59 4.3.2.7 Komponenty bloku architektonicznego... 60 4.3.2.8 Model logiczny bloku... 62 4.3.3 Blok w technologii Sybase... 63 4.3.3.1 Metryka bloku... 63 4.3.3.2 Historia zmian... 64 4.3.3.3 Opis bloku... 64 4.3.3.4 Atrybuty bloku... 64 4.3.3.5 Ograniczenia na wartości atrybutów... 64 4.3.3.6 Wsparcie dla klas bezpieczeństwa... 65 4.3.3.7 Komponenty bloku architektonicznego... 66 4.3.3.8 Model logiczny bloku... 69 4.3.4 Blok w technologii MySQL... 69 4.3.4.1 Metryka bloku... 69 Strona 3 z 93

4.3.4.2 Historia zmian... 70 4.3.4.3 Opis bloku... 70 4.3.4.4 Atrybuty bloku... 70 4.3.4.5 Ograniczenia na wartości atrybutów... 70 4.3.4.6 Wsparcie dla klas bezpieczeństwa... 71 4.3.4.7 Komponenty bloku architektonicznego... 72 4.3.4.8 Model logiczny bloku... 74 4.3.5 Blok w technologii PostgreSQL... 75 4.3.5.1 Metryka bloku... 75 4.3.5.2 Historia zmian... 76 4.3.5.3 Opis bloku... 76 4.3.5.4 Atrybuty bloku... 76 4.3.5.5 Ograniczenia na wartości atrybutów... 76 4.3.5.6 Wsparcie dla klas bezpieczeństwa... 76 4.3.5.7 Komponenty bloku architektonicznego... 78 4.3.5.8 Model logiczny bloku... 80 4.4 Systemy operacyjne... 81 4.4.1 Linux... 81 4.4.1.1 Metryka bloku... 81 4.4.1.2 Historia zmian... 82 4.4.1.3 Opis bloku... 82 4.4.1.4 Atrybuty bloku... 82 4.4.1.5 Ograniczenia na wartości atrybutów... 82 4.4.1.6 Wsparcie dla klas bezpieczeństwa... 83 4.4.1.7 Komponenty bloku architektonicznego... 84 4.4.1.8 Model logiczny bloku... 85 4.4.2 Microsoft Windows Server... 86 4.4.2.1 Metryka bloku... 86 4.4.2.2 Historia zmian... 87 4.4.2.3 Opis bloku... 87 4.4.2.4 Atrybuty bloku... 87 4.4.2.5 Ograniczenia na wartości atrybutów... 87 4.4.2.6 Wsparcie dla klas bezpieczeństwa... 88 4.4.2.7 Komponenty bloku architektonicznego... 89 4.4.2.8 Model logiczny bloku... 91 4.5 Indeks odnośników... 92 Wykazy Tabele Tabela 1 Atrybuty usługi G013.PX.HTT... 13 Tabela 2 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, klasa bezpieczeństwa B1... 14 Tabela 3 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, pozostałe klasy bezpieczeństwa... 15 Tabela 4 Wartości atrybutów dla warstwy Intranet resortu finasów, środowiska produkcyjne, klasa bezpieczeństwa B1... 15 Tabela 5 Wartości atrybutów dla warstwy Intranet resortu finansów, środowiska produkcyjne, pozostałe klasy bezpieczeństwa... 15 Strona 4 z 93

Tabela 6 Wartości atrybutów dla warstwy Internet, środowiska pomocnicze... 15 Tabela 7 Wartości atrybutów dla warstwy Intranet resortu finansów, środowiska pomocnicze... 16 Tabela 8 Atrybuty usługi G013.PX.SMT... 18 Tabela 9 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, klasa bezpieczeństwa B1... 19 Tabela 10 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, pozostałe klasy bezpieczeństwa... 19 Tabela 11 Wartości atrybutów dla warstwy Internet, środowiska pomocnicze... 20 Tabela 12 Atrybuty bloku architektonicznego B.PX.HTT... 21 Tabela 13 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.PX.HTT... 22 Tabela 14 Komponenty bloku architektonicznego B.PX.HTT... 24 Tabela 15 Wartości atrybutów bloku B.VSR.PX realizującego infrastrukturę sprzętową bloku B.PX.HTT... 24 Tabela 16 Atrybuty bloku architektonicznego B.PX.SMT... 26 Tabela 17 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.PX.SMT... 27 Tabela 18 Komponenty bloku architektonicznego B.PX.SMT... 29 Tabela 19 Wartości atrybutów bloku B.VSR.PX realizującego infrastrukturę sprzętową bloku B.PX.SMT... 29 Tabela 20 Atrybuty bloku architektonicznego B.AP.JBO... 31 Tabela 21 Dopuszczalne kombinacje wartości atrybutów vcpu/ram bloku architektonicznego B.AP.JBO... 32 Tabela 22 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie bloku architektonicznego B.AP.JBO... 32 Tabela 23 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.AP.JBO... 33 Tabela 24 Komponenty bloku architektonicznego B.AP.JBO... 35 Tabela 25 Wartości atrybutów bloku B.VSR.AP realizującego infrastrukturę sprzętową bloku B.AP.JBO... 36 Tabela 26 Atrybuty bloku architektonicznego B.AP.JSP... 37 Tabela 27 Dopuszczalne kombinacje wartości atrybutów vcpu/ram bloku architektonicznego B.AP.JSP... 38 Tabela 28 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie bloku architektonicznego B.AP.JSP... 38 Tabela 29 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.AP.JSP... 39 Tabela 30 Komponenty bloku architektonicznego B.AP.JSP... 41 Tabela 31 Wartości atrybutów bloku B.VSR.AP realizującego architekturę sprzętową bloku B.AP.JSP... 42 Tabela 32 Atrybuty bloku architektonicznego B.AP.NET... 43 Tabela 33 Dopuszczalne kombinacje wartości atrybutów vcpu/ram bloku architektonicznego B.AP.NET... 44 Tabela 34 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie bloku architektonicznego B.AP.NET... 44 Tabela 35 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.AP.NET... 45 Tabela 36 Komponenty bloku architektonicznego B.AP.NET... 47 Tabela 37 Wartości atrybutów bloku B.VSR.AP realizujacego infrastrukturę sprzętową bloku B.AP.NET... 48 Tabela 38 Atrybuty bloku architektonicznego B.DB.ORA... 49 Tabela 39 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku architektonicznego B.DB.ORA... 50 Tabela 40 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie dla bloku architektonicznego B.DB.ORA... 50 Strona 5 z 93

Tabela 41 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.DB.ORA... 51 Tabela 42 Komponenty bloku architektonicznego B.DB.ORA... 55 Tabela 43 Wartości atrybutów dla bloku B.VSR.DB realizującego infrastrukturę sprzętową bloku B.DB.ORA... 56 Tabela 44 Atrybuty bloku architektonicznego B.DB.SQL... 58 Tabela 45 Dopuszczalne kombinacje wartości atrybutów vcpu/ram bloku architektonicznego B.DB.SQL... 59 Tabela 45 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.DB.SQL... 59 Tabela 47 Komponenty bloku architektonicznego B.DB.SQL... 62 Tabela 48 Wartości atrybutów dla bloku B.VSR.DB realizującego infrastrukturę sprzętową bloku B.DB.SQL... 62 Tabela 49 Atrybuty bloku architektonicznego B.DB.SYB... 64 Tabela 50 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku architektonicznego B.DB.SYB... 64 Tabela 50 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.DB.SYB... 65 Tabela 51 Komponenty bloku architektonicznego B.DB.SYB... 68 Tabela 52 Wartości atrybutów dla bloku B.VSR.DB realizujacego infrastrukturę sprzętową bloku B.DB.SYB... 68 Tabela 53 Atrybuty bloku architektonicznego B.DB.MYS... 70 Tabela 54 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku architektonicznego B.DB.MYS... 70 Tabela 55 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.DB.MYS... 71 Tabela 56 Komponenty bloku architektonicznego B.DB.MYS... 74 Tabela 57 Wartości atrybutów dla bloku B.VSR.DB realizujacego infrastrukturę sprzętową bloku B.DB.MYS... 74 Tabela 58 Atrybuty bloku architektonicznego B.DB.PGS... 76 Tabela 59 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku architektonicznego B.DB.PGS... 76 Tabela 60 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.DB.PGS... 77 Tabela 61 Komponenty bloku architektonicznego B.DB.PGS... 80 Tabela 62 Wartości atrybutów dla bloku B.VSR.DB realizujacego infrastrukturę sprzętową bloku B.DB.PGS... 80 Tabela 63 Atrybuty bloku architektonicznego B.OS.LNX... 82 Tabela 64 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku architektonicznego B.OS.LNX... 82 Tabela 65 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie dla bloku architektonicznego B.OS.LNX... 83 Tabela 66 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.OS.LNX... 83 Tabela 67 Komponenty bloku architektonicznego B.OS.LNX... 85 Tabela 68 Wartości atrybutów dla bloku B.VSR.AP realizującego infrastrukturę sprzętową bloku B.OS.LNX... 85 Tabela 69 Atrybuty bloku architektonicznego B.OS.WIN... 87 Tabela 70 Dopuszczalne kombinacje wartości atrybutów vcpu/ram bloku architektonicznego B.OS.WIN... 87 Tabela 71 Dopuszczalne kombinacje wartości atrybutów HA/Grupowanie bloku architektonicznego B.OS.WIN... 88 Tabela 72 Wsparcie dla klas bezpieczeństwa bloku architektonicznego B.OS.WIN... 88 Tabela 73 Komponenty bloku architektonicznego B.OS.WIN... 90 Tabela 74 Wartości atrybutów bloku B.VSR.AP realizującego infrastrukturę sprzętową bloku B.OS.WIN... 90 Strona 6 z 93

Rysunki Rysunek 1 Usługi Platformy Aplikacyjnej CPD MF... 9 Rysunek 2 Model logiczny systemu realizujacego funkcje biznesowe... 11 Rysunek 3 Model logiczny usługi G013.PX.HTT... 17 Rysunek 4 Model logiczny usługi G013.PX.SMT... 20 Rysunek 5 Model logiczny bloku architektonicznego B.PX.HTT... 25 Rysunek 6 Model logiczny bloku architektonicznego B.PX.SMT... 30 Rysunek 7 Model logiczny bloku architektonicznego B.AP.JBO... 36 Rysunek 8 Model logiczny bloku architektonicznego B.AP.JSP... 42 Rysunek 9 Model logiczny bloku architektonicznego B.AP.NET... 48 Rysunek 10 Model logiczny bloku architektonicznego B.DB.ORA... 57 Rysunek 11 Model logiczny bloku architektonicznego B.DB.SQL... 63 Rysunek 12 Model logiczny bloku architektonicznego B.DB.SYB... 69 Rysunek 13 Model logiczny bloku architektonicznego B.DB.MYS... 75 Rysunek 14 Model logiczny bloku architektonicznego B.DB.PGS... 81 Rysunek 15 Model logiczny bloku architektonicznego B.OS.LNX... 86 Rysunek 16 Model logiczny bloku architektonicznego B.OS.WIN... 91 Zastrzeżenie poufności Rozdział usunięty intencjonalnie. Strona 7 z 93

1. Wstęp 1.1 Cel dokumentu Niniejszy dokument opisuje usługi i bloki architektoniczne biznesowych. Zastosowano tu w szerokim zakresie standaryzację komponentów składowych architektury poprzez definicję bloków architektonicznych, zarówno infrastrukturalnych jak i aplikacyjnych dla realizacji systemów biznesowych. 1.2 Odbiorcy dokumentu Niniejszy dokument jest przeznaczony dla osób biorących udział w realizacji zadań związanych z dostarczeniem Platformy Aplikacyjnej dla systemów biznesowych konsolidowanych w CPD MF. Jest podstawą do realizacji zamówień produktowych, budowy Platformy Aplikacyjnej oraz migracji systemów biznesowych do środowiska IT CPD MF. Opisane bloki mogą być również wykorzystywane do budowy Platformy Aplikacyjnej systemów infrastrukturalnych zainstalowanych w CPD MF. 1.3 Dokumenty powiązane/referencyjne Rozdział usunięty intencjonalnie. 2. Architektura referencyjna systemów realizujących usługi biznesowe Architektura referencyjna systemów biznesowych resortu finansów, zlokalizowanych w CPD MF, przyjmuje, że ich Platforma Aplikacyjna budowana jest z wykorzystaniem dedykowanych dla konkretnego systemu informatycznego zestandaryzowanych elementów, nazywanych blokami architektonicznymi. Jedna instancja bloku architektonicznego może być wykorzystywana wyłącznie przez jedno środowisko jednego systemu informatycznego. Pozostałe usługi informatyczne, niezbędne do prawidłowego działania bloków architektonicznych oraz osadzonych w nich komponentów aplikacyjnych zapewniają współdzielone systemy infrastrukturalne. Zarówno bloki architektoniczne jak i współdzielone usługi teleinformatyczne świadczone przez systemy infrastrukturalne są dostarczane przez CPD MF zgodnie z modelem usługowym i Katalogiem Usług (Rysunek 1). Strona 8 z 93

arch Platforma Aplikacyjna CPD MF Usługa dostępu HTTP(S) Usługa dostępu SMTP Usługa serwera aplikacji Java EE Usługa kontenera serwletów Usługa serwera aplikacji.net Platforma Aplikacyjna CPD MF Usługa OS Linux Usługa OS Windows Usługa bazy danych Oracle Usługa bazy danych SQL Server Usługa bazy danych MySQL Usługa bazy danych Sybase Usługa bazy danych PostgreSQL Rysunek 1 Usługi Platformy Aplikacyjnej CPD MF W kolejnych sekcjach dokumentu opisano wymagania na funkcjonalność oraz architekturę tych bloków, uwzględniające obowiązujące w resorcie finansów standardy klasyfikacji systemów oraz klasyfikacji bezpieczeństwa systemów. Bloki architektoniczne, zgodnie z charakterem świadczonych przez nie usług zostały podzielone na następujące kategorie: Bloki proxy, służące do budowy usług dostępowych, Bloki aplikacyjne, stanowiące środowisko uruchomieniowe komponentów aplikacyjnych w technologiach JEE i.net, Bloki bazodanowe, zapewniające usługi zarządzania danymi z wykorzystaniem silników relacyjnych baz danych, Bloki świadczące usługi na poziomie systemu operacyjnego, umożliwiające stosowanie technologii niedostępnych w pozostałych blokach. Strona 9 z 93

Typy bloków oraz zakres świadczonych przez nie usług został ściśle dopasowany do wymagań systemów biznesowych objętych procesem KiCSCP. W przypadku zaistnienia takiej potrzeby, proces modyfikacji funkcjonalności lub architektury opisanych bloków oraz dodawania nowych bloków i wycofywania bloków z eksploatacji będzie realizowany przez CPD MF zgodnie z zasadami opisanymi w obowiązującym w nim procesie zarządzania architekturą CPD MF. Potrzeba wprowadzenia takich zmian może wynikać zarówno z konieczności uwzględnienia wymagań systemów biznesowych uruchamianych lub migrowanych do CPD MF jak i zmian standardów obowiązujących w resorcie finansów, czy też w wyniku działania Procesu Zarządzania Problemami. Każda instancja opisanych poniżej bloków architektonicznych powstaje na podstawie utrzymywanego przez CPD MF Projektu Technicznego LLD (ang. Low Level Design) opisującego sposób instalacji i konfiguracji komponentów wchodzących w skład danego bloku architektonicznego. Dla każdego bloku, CPD MF utrzymuje oprócz dokumentacji projektowej i testowej również dokumentację eksploatacyjną. Opisane powyżej dokumenty powstają zgodnie z obowiązującymi w CPD MF standardami dokumentacji i są utrzymywane zgodnie z obowiązującymi w nim procesami, zarówno procesami ITIL jak i procesem zarządzania architekturą CPD MF. Na diagramie poniżej przedstawiony został uproszczony model logiczny systemu udostępniającego swoje usługi w Internecie i Intranecie resortu finansów. Dostęp do tych usług mają zarówno użytkownicy końcowi jak i inne systemy zlokalizowane poza CPD MF. Usługi dostępowe CPD MF umożliwiają zarówno udostępnienie usług świadczonych przez komponenty aplikacyjne systemu jak i dostęp komponentów aplikacyjnych systemu do systemów zlokalizowanych poza CPD MF. Strona 10 z 93

cmp system DMZ Internet strefa komunikacyjna DB DMZ Intranet Załącznik IX do SOPZ PX1 AP1 AP2 PX2 Rysunek 2 Model logiczny systemu realizujacego funkcje biznesowe system1 system2 Opisywany system informatyczny składa się z bazy danych DB, dwóch komponentów Strona 11 z 93

aplikacyjnych AP1 i AP2, oraz dwóch komponentów pośredniczących, pozwalających na bezpieczne udostępnienie aplikacji w Internecie i Intranecie resortu finansów. Realizacja fizyczna systemu zgodnego z przedstawioną na diagramie architekturą logiczną w sposób zgodny z architekturą referencyjną, polegałaby na: osadzeniu bazy danych DB w bloku bazodanowym, zapewniającym wymagany motor bazy relacyjnej, osadzeniu komponentów aplikacyjnych AP1 i AP2, w blokach aplikacyjnych zapewniających wymagany serwer aplikacyjny np. w technologii JEE, udostępnieniu komponentów aplikacyjnych AP1 i AP2 w sieciach zewnętrznych z wykorzystaniem opisanych w dokumencie usług dostępowych. Dostarczenie wymaganych przez system bloków architektonicznych, zapewnienie pomiędzy nimi komunikacji oraz skonfigurowanie usług dostępowych zgodnie z wymaganiami wynikającymi z klasy bezpieczeństwa systemu wchodzi w zakres obowiązków CPD MF. Zapewnienie komunikacji pomiędzy blokiem aplikacyjnym i bazodanowym obejmuje skonfigurowanie w serwerze aplikacyjnym puli połączeń do bazy danych. Konfiguracja usług dostępowych obejmuje wymaganą konfigurację zapór ogniowych CPD MF i jeśli to wynika z wymagań klasy bezpieczeństwa systemu odpowiednie skonfigurowanie sond monitorujących komunikację. Sposób separacji, logiczny lub fizyczny, pomiędzy blokami architektonicznymi należącymi do różnych systemów wynika z klasyfikacji bezpieczeństwa systemów informatycznych, w których skład wchodzą. CPD MF administruje blokami architektonicznymi, od momentu dostarczenia zamówionych bloków użytkownikowi do momentu ich wycofania z eksploatacji. W czasie eksploatacji bloku świadczy użytkownikowi usługi zgodnie zakresem opisanym dla każdego z bloków w Katalogu Usług. Usługi utrzymaniowe zapewniane przez CPD MF obejmują również zabezpieczanie konfiguracji i/lub danych kopiami bezpieczeństwa oraz instalację wymaganych poprawek systemowych (ang. patches) dla wszystkich komponentów wchodzących w skład bloku. Wszelkie zmiany konfiguracyjne w komponentach wchodzących w skład bloku architektonicznego realizowane są wyłącznie przez CPD MF. Zmiany mogą być wprowadzane na wniosek użytkownika bloku lub samodzielnie w przypadku konieczności rozwiązania incydentu lub problemu. Zmiana wprowadzona przez CPD MF bez uzgodnienia z użytkownikiem bloku architektonicznego nie może pogorszyć parametrów usług świadczonych przez ten blok, poniżej wartości uzgodnionych na etapie jego zamawiania. Osadzenie w blokach architektonicznych i skonfigurowanie komponentów aplikacyjnych systemu informatycznego, osadzenie w bloku architektonicznym bazy danych oraz administrowanie informatycznym na poziomie aplikacyjnym pozostaje w zakresie obowiązków użytkownika usług CPD MF. Strona 12 z 93

3. Opis usług 3.1 Usługi dostępowe 3.1.1 Dostęp HTTP/HTTPS 3.1.1.1 Metryka usługi Identyfikator G013.PX.HTT Nazwa Zapewnienie zewnętrznego dostępu do komponentu aplikacyjnego z wykorzystaniem protokołu HTTP/HTTPS Rodzaj usługi PaaS Wsparcie dla I klas systemów II III IV Wsparcie dla B3 klas BX bezpieczeństwa 3.1.1.2 Historia zmian Data Wersja Autor Opis zmian Utworzenie opisu usługi. 3.1.1.3 Opis usługi Usługa oferuje dostęp do funkcjonalności systemu biznesowego poprzez protokół HTTP lub HTTPS. Występuje w wariantach: dostęp z Internetu, dostęp z Intranetu resortu finasów. Usługi dostępowe są realizowane przez odpowiednie warstwy dostępowe, składające się z farm bloków proxy HTTP. 3.1.1.4 Atrybuty usługi Atrybut Dostępne wartości Opis Klasa I, II, III, IV Określa klasę systemu informatycznego, do którego dostęp będzie zapewniany. Klasa bezpieczeństwa B1, B2, B3, BX Określa klasę bezpieczeństwa systemu informatycznego, do którego dostęp będzie zapewniany. Wejście bloku Internet/Intranet MF Określa sieć, z której ma być dostępna funkcjonalność systemu informatycznego. HTTPS Tak, Nie Określa, czy dostęp powinien być szyfrowany. Ilość połączeń N Określa maksymalną ilość równoległych połączeń HTTP do systemu równoległych Lista przekierowań Lista postaci Adres w warstwie dostępowej -> adres w warstwie aplikacyjnej Tabela 1 Atrybuty usługi G013.PX.HTT 3.1.1.5 Wsparcie dla klas bezpieczeństwa biznesowego. Określa, jakie adresy w warstwie dostępowej HTTP są przekierowywane na jakie adresy w warstwie aplikacyjnej. Wsparcie dla klas bezpieczeństwa usług dostępowych jest opisane w opisie bloków, z których budowane są usługi. Strona 13 z 93

Warstwy dostępowe dla środowisk produkcyjnych są odseparowane od warstw dostępowych środowisk pomocniczych zgodnie z mechanizmami klasy B1. Warstwa dostępowa, realizująca usługę dostępu z Internetu jest odseparowana od warstwy, realizującej dostęp z Intranetu resortu finasów. 3.1.1.6 Realizacja usługi Usługa zapewniająca dostęp do funkcjonalności systemu biznesowego poprzez protokół HTTP/HTTPS jest zrealizowana poprzez sześć warstw dostępowych: dla środowisk produkcyjnych: o dostęp z Internetu dla klasy bezpieczeństwa B1 dla pozostałych klas bezpieczeństwa o dostęp z Intranetu resortu finansów dla klasy bezpieczeństwa B1 dla pozostałych klas bezpieczeństwa dla środowisk pomocniczych: o dostęp z Internetu o dostęp z Intranetu resortu finansów Każda warstwa jest farmą bloków architektonicznych B.PX.HTT, zarządzanych przez CPD MF. Bloki proxy, należące do tej samej farmy, mają identyczną konfigurację. Bloki proxy dostępne są w jednej konfiguracji pojemnościowej, obsługującej określoną ilość równoległych połączeń. Ilość bloków w danej farmie determinowana jest sumaryczną ilością wymaganych równoległych połączeń, obsługiwanych przez daną warstwę dostępową. Każdy blok danej warstwy dostępowej przechowuje identyczną konfigurację przekierowań do warstwy aplikacyjnej poprzez zestaw wpisów ProxyPass w definicjach domen wirtualnych (vhost), obsługiwanych przez daną warstwę. Każdy system informatyczny, którego funkcjonalność jest udostępniana, jest definiowany jako oddzielna domena wirtualna. Warstwy dostępowe widoczne są pod wirtualnymi adresami IP (VIP), które obsługiwane są przez urządzenie równoważenia obciążenia. Wartość atrybutu HTTPS wpływa na konfigurację urządzenia równoważącego ruch, które terminuje SSL, jeśli wymagany jest HTTPS. Poniżej przedstawiono wartości atrybutów bloków architektonicznych B.PX.HTT dla poszczególnych warstw dostępowych. Dostęp z Internetu, środowiska produkcyjne, klasa bezpieczeństwa B1 Atrybut Klasa Klasa bezpieczeństwa Wartość I B1 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 2 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, klasa bezpieczeństwa B1 Strona 14 z 93

Dostęp z Internetu, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Atrybut Klasa Klasa bezpieczeństwa Wartość I B2 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 3 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Dostęp z Intranetu resortu finasów, środowiska produkcyjne, klasa bezpieczeństwa B1 Atrybut Klasa Klasa bezpieczeństwa Wartość I B1 Wejście bloku Intranet MF Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 4 Wartości atrybutów dla warstwy Intranet resortu finasów, środowiska produkcyjne, klasa bezpieczeństwa B1 Dostęp z Intranetu resortu finansów, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Atrybut Klasa Klasa bezpieczeństwa Wartość I B2 Wejście bloku Intranet MF Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 5 Wartości atrybutów dla warstwy Intranet resortu finansów, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Dostęp z Internetu, środowiska pomocnicze Atrybut Klasa Klasa bezpieczeństwa Wartość IV B2 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 6 Wartości atrybutów dla warstwy Internet, środowiska pomocnicze Dostęp z Intranetu resortu finansów, środowiska pomocnicze Atrybut Klasa Wartość IV Strona 15 z 93

Klasa bezpieczeństwa B2 Wejście bloku Intranet MF Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.HTT Tabela 7 Wartości atrybutów dla warstwy Intranet resortu finansów, środowiska pomocnicze 3.1.1.7 Model logiczny usługi Model logiczny usługi G013.PX.HTT przedstawiono poniżej. Strona 16 z 93

cmp Warstwa dostępowa HTTP Użytkownik biznesow y Warstwa dostępowa HTTP CPD MF::Load Balancer Proxy HTTP 1 Proxy HTTP 2 Proxy HTTP 3 Proxy HTTP n Warstwa aplikacyjna CPD MF::Load Balancer wewnętrzny System biznesow y 1 System biznesow y n Rysunek 3 Model logiczny usługi G013.PX.HTT Strona 17 z 93

3.1.2 Dostęp SMTP 3.1.2.1 Metryka usługi Identyfikator G013.PX.SMT Nazwa Zapewnienie zewnętrznego dostępu do komponentu aplikacyjnego z wykorzystaniem protokołu SMTP Rodzaj usługi PaaS Wsparcie dla I klas systemów II III IV Wsparcie dla B3 klas BX bezpieczeństwa 3.1.2.2 Historia zmian Data Wersja Autor Opis zmian Utworzenie opisu usługi. 3.1.2.3 Opis usługi Usługa oferuje dostęp z sieci do funkcjonalności systemu biznesowego poprzez protokół SMTP. Usługa dostępowa jest realizowana przez warstwę dostępową, składającą się z farmy bloków proxy SMTP. 3.1.2.4 Atrybuty usługi Atrybut Dostępne wartości Opis Klasa I, II, III, IV Określa klasę systemu informatycznego, do którego dostęp będzie zapewniany. Klasa bezpieczeństwa Ilość połączeń równoległych Liczba wiadomości na godzinę/sekundę Lista przekierowań B1, B2, B3, BX Określa klasę bezpieczeństwa systemu informatycznego, do którego dostęp będzie zapewniany. N Określa maksymalną ilość równoległych połączeń SMTP do warstwy dostępowej. n/h, m/s Określa maksymalną liczbę wiadomości email przesyłanych w ciągu godziny/sekundy do systemu informatycznego. Lista postaci Adres w warstwie dostępowej -> adres w warstwie aplikacyjnej Tabela 8 Atrybuty usługi G013.PX.SMT 3.1.2.5 Wsparcie dla klas bezpieczeństwa Określa, jakie adresy w warstwie dostępowej SMTP są przekierowywane na jakie adresy w warstwie aplikacyjnej. Wsparcie dla klas bezpieczeństwa usług dostępowych jest opisane w opisie bloków, z których budowane są usługi. Warstwy dostępowe dla środowisk produkcyjnych są odseparowane od warstwy dostępowej środowisk pomocniczych zgodnie z mechanizmami klasy B1. 3.1.2.6 Realizacja usługi Usługa zapewniająca dostęp do funkcjonalności systemu informatycznego poprzez protokół SMTP Strona 18 z 93

jest zrealizowana poprzez trzy warstwy dostępowe: dla środowisk produkcyjnych: o dla klasy bezpieczeństwa B1 o dla pozostałych klas bezpieczeństwa dla środowisk pomocniczych Każda warstwa jest farmą bloków architektonicznych B.PX.SMT, zarządzanych przez CPD MF. Bloki proxy, należące do tej samej farmy, mają identyczną konfigurację. Bloki proxy dostępne są w jednej konfiguracji pojemnościowej, obsługującej określoną ilość równoległych połączeń oraz wiadomości na godzinę/sekundę. Ilość bloków w danej farmie determinowana jest sumaryczną ilością wymaganych równoległych połączeń i/lub sumaryczną liczbą wiadomości przesyłanych w ciągu godziny/sekundy, obsługiwanych przez daną warstwę dostępową. Każdy blok danej warstwy dostępowej przechowuje identyczną konfigurację przekierowań do warstwy aplikacyjnej poprzez zestaw wpisów w konfiguracji serwera pocztowego, przekierowujących pocztę z danego adresu zewnętrznego na serwer pocztowy w warstwie aplikacyjnej. Każdy system biznesowy, którego funkcjonalność jest udostępniana, jest definiowany w systemie DNS jako poddomena domeny mf.gov.pl lub mofnet.gov.pl. Jako MX (Mail Exchange) w DNS jest podawany adres wirtualny (VIP) farmy bloków proxy w warstwie dostępowej. Warstwy dostępowe widoczne są pod wirtualnymi adresami IP (VIP), które obsługiwane są przez urządzenie równoważenia obciążenia. Poniżej przedstawiono wartości atrybutów bloków proxy dla poszczególnych warstw dostępowych. Dostęp z Internetu, środowiska produkcyjne, klasa bezpieczeństwa B1 Atrybut Wartość Klasa I Klasa bezpieczeństwa B1 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.SMT Tabela 9 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, klasa bezpieczeństwa B1 Dostęp z Internetu, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Atrybut Wartość Klasa I Klasa bezpieczeństwa B2 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.SMT Tabela 10 Wartości atrybutów dla warstwy Internet, środowiska produkcyjne, pozostałe klasy bezpieczeństwa Dostęp z Internetu, środowiska pomocnicze Atrybut Wartość Klasa IV Klasa bezpieczeństwa B2 Wejście bloku Internet Lista przekierowań Zgodnie z wartością atrybutu Lista przekierowań usługi G013.PX.SMT Strona 19 z 93

Tabela 11 Wartości atrybutów dla warstwy Internet, środowiska pomocnicze 3.1.2.7 Model logiczny usługi Model logiczny usługi G013.PX.SMT przedstawiono poniżej. cmp Warstwa dostępowa SMTP Użytkownik biznesow y Warstwa dostępowa SMTP CPD MF::Load Balancer Proxy SMTP 1 Proxy SMTP 2 Proxy SMTP 3 Proxy SMTP n Warstwa aplikacyjna CPD MF::Load Balancer wewnętrzny PI MCA Rysunek 4 Model logiczny usługi G013.PX.SMT Strona 20 z 93