e Plicja w służbie spłeczeństw u wjewództwa śląskieg Załącznik nr 2 d głszenia DZIAŁANIE 2. 2. ROZW ÓJ ELEKTRONICZN YCH USŁUG PUBLICZNYCH PRIORYTET II. SPOŁECZEŃSTW O INFORMACYJNE REGIONALNEGO PROGRAMU OPERACYJNEGO W OJEW ÓDZTWA ŚLĄSKIEGO NA LATA 2007-2013 Wstępny pis planwaneg zamówienia Wdrżenie systemu zarządzania zasbami IT wraz ze sprzętwą infrastrukturą serwerwą, systemem archiwizacji i backupu. BACK OFFICE System Back Office w Kmendzie Wjewódzkiej będzie bejmwał stwrzenie i wdrżenie zintegrwaneg systemu wspmagania zarządzania. W związku ze specyficzną działalnścią każdeg wydziału zstanie n pdzielny na dwie części: system zarządzania raz biegu dkumentów Labratrium Kryminalistyczneg (120 użytkwników) system zarządzania zasbami IT w Plicji w całym wjewództwie śląskim Prjektwane rzwiązanie będzie wykrzystywał wspólną infrastrukturę serwerwą. System zarządzania zasbami IT Plicja becnie eksplatuje 2 niezależne sieci kmputerwe Plicyjna Sieć Transmisji Danych (PSTD) i dseparwana d niej sieć z dstępem d internetu. Takie rzwiązanie zapewnia bezpieczeństw danych w PSTD jednak knieczne jest zarządzanie dwma drębnymi sieciami. Garnizn śląski składa się z 133 lkalizacji tj.: Kmenda Wjewódzka Plicji w Katwicach, 32 Kmendy Miejskie/Pwiatwe Plicji i 84 Kmisariaty Plicji. Osbw garnizn śląski liczy k. 13 tys. plicjantów i pracwników plicji. Wykrzystywanych jest aktualnie k 6900 kmputerów. System zarządzania zasbami IT bejmie wszystkich użytkwników becnie istniejących dwóch sieci, wszystkie stacje rbcze, system zarządzania wydrukiem raz knieczną infrastrukturę sprzętwą przechwywania danych i ich archiwizację. System zstanie stwrzny z wykrzystaniem usług katalgwych active directry i będzie bejmwał: Scentralizwane zarządzanie wszystkimi usługami i kmputerami zrealizwanie zaleceń w zakresie plityki bezpieczeństwa dtyczących użytkwników sieci kmputerwej, sprzętu i prgramwania kmputerweg. Prjekt współfinanswany przez Unię Eurpejską z Eurpejskieg Funduszu Rzwju Reginalneg w ramach Reginalneg Prgramu Operacyjneg Wjewództwa Śląskieg na lata 2007-2013 raz Strna 1/5
e Plicja w służbie spłeczeństw u wjewództwa śląskieg Kmplekswe zarządzanie infrastrukturą kmputerwą, a tym samym usprawnienie przeprwadzenia cyklicznych audytów bezpieczeństwa bejmujących zasby teleinfrmatyczne całeg garniznu śląskiej Plicji Zminimalizwanie strat wywłanych przez awarie sprzętu. Sprzętwą i prgramwą chrnę danych. Udstępnienie d pracy grupwej zasbów IT (pliki, urządzenia wielfunkcyjne, drukarki). Pełna kntrlę dstępu wraz z histrią działań. Ujednlicenie prcesu lgwania i związaną z tym redukcję czasw - ksztwą zarządzania kntami. Ograniczenie liczby interwencji serwisu. Spójną administrację zasbami. Autmatyzację prcesów instalacji nwych zasbów i użytkwników. Mżliwść zdalneg i autmatyczneg instalwania i aktualizwania prgramwania. Mżliwść instalwania centralnych systemów teleinfrmatycznych, które w płączeniu z nwczesną strukturą łącznści światłwdwej między jednstkami, pzwlą na szybką i pełna reakcję. Zbudwane śrdwisk usług katalgwych z uwagi na dwie dseparwane d siebie sieci kmputerwe stwrzne zstanie w pstaci dwóch sbnych dmen. Ze względu na ten pdział, w ramach prac knieczne jest wyknanie dwóch prjektów lgwania i prcedur migracji danych. Całść infrastruktury serwerwej i zasbów Active Directry użytkwana byłaby w jednej lkalizacji. Kpie zapaswe tych danych byłyby przesyłane d drugiej lkalizacji. Prjektwana infrastruktura serwerw sprzętwa pwinna zapewnić pełną separację sieci. Pierwszy etap prjektu bejmuje wyknanie struktury lgwania, które bejmie: Opracwanie knwencji nazewniczej dla całej rganizacji uwzględniającej dpuszczalne standardy nazw dla: Oddziałów, Jednstek rganizacyjnych, Zasad grup (GPO), Knt użytkwników, kmputerów (stacji rbczych, serwerów), Grup administracyjnych i zasbwych, Knt funkcyjnych i serwiswych, Zasbów, Drukarek i urządzeń peryferyjnych. Opracwanie zasad twrzenia i stswania grup d zarządzania systemem raz zasbami. Prjekt struktury lgicznej Active Directry Architektura i pzim funkcjnalnści dmen, Struktura kntenerów AD grupująca biekty tj. knta kmputerów,użytkwników, grupy, Określenie spsbu zarządzania kntami użytkwników, kmputerów, Knfiguracja uprawnień administracyjnych dla jednstek rganizacyjnych w dmenie. Prjekt tplgii (struktury fizycznej) Active Directry Prjekt współfinanswany przez Unię Eurpejską z Eurpejskieg Funduszu Rzwju Reginalneg w ramach Reginalneg Prgramu Operacyjneg Wjewództwa Śląskieg na lata 2007-2013 raz Strna 2/5
e Plicja w służbie spłeczeństw u wjewództwa śląskieg Tplgia siedzib Active Directry, Rzmieszczenie i funkcje kntrlerów dmenwych, Knfiguracja replikacji usługi Active Directry, Synchrnizacja czasu, Knfiguracja serwerów. Knfiguracja ustawień bezpieczeństwa. Ustawienia Zasady Grup (GPO) dla dmeny, Ochrna antywiruswa, Zarządzanie pprawkami, Audyt zmian w knfiguracji usług katalgwych. Prjekt usług sieciwych Knfiguracja usług DHCP i DNS. Zarządzanie śrdwiskiem pracy użytkwnika Zasady Grup Grup Plicy, Uprawnienia d zarządzania stacjami rbczymi. Kncepcja zarządzania zasbami plikwymi Organizacja zasbów sieciwych (flder dmwy, repzytria). Mdel administrwania dla Systemu Administrwanie dmeną, Administrwanie systemem, Rle administracyjne, Zadania i zakres uprawnień administratrów. Dla zapewnienia wymaganeg pzimu bezpieczeństwa użytkwnicy sieci plicyjnej zstaną bjęci systemem silneg uwierzytelniania parteg karty inteligentne, na których będą zapisane certyfikaty X509. Pczątkw system uwierzytelniania będzie bejmwał lgwanie d dmeny Active Directry, jednak dcelw będzie mżna rzszerzyć g inne systemy i aplikacje (np. sieci VPN, sieci WIFI). System silneg uwierzytelniania zstanie zaprjektwany w taki spsób, aby maksymalnie wykrzystać prdukty i rzwiązania infrmatyczne becnie eksplatwane w KWP w Katwicach i w KGP w Warszawie. W skład systemu uwierzytelniania wejdą wykrzystywane już: 1. Centrum Certyfikacji Kluczy Centaur CCK, który będzie dpwiedzialny za wystawianie, zawieszanie i unieważnianie certyfikatów X509 v3 dla użytkwników kart inteligentnych. System zarządzany przez KGP Warszawa. 2. Sprzętwy mduł kryptgraficzny CmpCrypt Delta-1 służący d bezpieczneg generwania i przechwywania materiału kryptgraficzneg. 3. Karty mikrprcesrwe CryptCard multisign. Prjekt współfinanswany przez Unię Eurpejską z Eurpejskieg Funduszu Rzwju Reginalneg w ramach Reginalneg Prgramu Operacyjneg Wjewództwa Śląskieg na lata 2007-2013 raz Strna 3/5
e Plicja w służbie spłeczeństw u wjewództwa śląskieg CryptCard multisign jest specjalizwaną kryptgraficzną kartą mikrprcesrwą przeznaczną d realizacji kwalifikwaneg i niekwalifikwaneg pdpisu elektrniczneg raz funkcji identyfikacji i silneg uwierzytelniania użytkwników. Obecnie KWP w Katwicach psiada k. 4000 kart (sieć plicyjna) 4. CryptCard Suite - prgramwanie middleware d bsługi i zarządzania kartami elektrnicznymi CryptCard multisign. 5. Czytniki kart wykrzystywane becnie czytniki kart mikrprcesrwych. Dalsze etapy prjektu bejmują wdrżenie usług pprzez instalację, knfigurację kmpletneg śrdwiska usług katalgwych zgdnie z pwyższymi załżeniami i funkcjnalnścią wraz z przygtwaniem planów migracji i integracji istniejąceg śrdwiska kmputerweg. Wprwadzenie systemu pzwli na: wprwadzenie centralneg kmpleksweg zarządzania infrastrukturą teleinfrmatyczną autmatyzację prcesów administracyjnych zapewnienie pełneg bezpieczeństwa zgdneg ze standardami graniczenie i przyspieszenie interwencji serwiswych Sprzętwa Infrastruktura serwerwa, system archiwizacji i backupu. Wszystkie rzwiązania prjektwane są jak wirtualne i zstaną ne zainstalwane w prjektwanym śrdwisku wirtualnym zapewniającym wymaganą niezawdnść i dprnść na awarie. D stwrzenia infrastruktury systemu zstanie zastswana technlgia serwerwa typu blade wraz z wirtualizacją. Kncepcja zakłada następujące elementy, które zstały pdzielne ze względu na fizyczną lkalizację: Pdstawwe centrum przetwarzania danych: - prgramwanie d wirtualizacji - macierz dyskwą w technlgii fiber Chanel - prgramwanie zarządzające - siem serwerów typu blade - dwa przełączniki SAN w technlgii Fibre Channel - system backupu Zapaswe centrum przetwarzania danych: - zapaswa macierz dyskwa - zapaswy system backupu Śrdwisk zstanie zbudwane przy użyciu fizycznych serwerów typu blade. Architektura parta technlgię blade charakteryzuje się wyskim stpniem zagęszczenia serwerów przy jednczesnej minimalizacji ksztów kablwania, zasilania i klimatyzacji. W ramach jednej budwy trzymujemy kmpletne śrdwisk sprzętwe wraz z infrastrukturą sieciwą Ethernet raz FibreChannel. Obudwę mżna później dpsażyć klejne serwery raz mduły kmunikacyjne. W ramach farmy, na każdym serwerze zstanie zainstalwany preinstalwany system peracyjny, tzw. hypervisr, który stanwi pdstawę pracy serwera w klastrze. Całe śrdwisk wirtualne będzie zarządzane przy pmcy knsli zarządzającej. Każdy z serwerów będzie miał dstęp d macierzy dyskwej, która udstępni (współdzielne między Prjekt współfinanswany przez Unię Eurpejską z Eurpejskieg Funduszu Rzwju Reginalneg w ramach Reginalneg Prgramu Operacyjneg Wjewództwa Śląskieg na lata 2007-2013 raz Strna 4/5
e Plicja w służbie spłeczeństw u wjewództwa śląskieg serwerami) zasby pd przyszłe maszyny wirtualne. Przy pmcy prgramwania d wirtualizacji, klaster zstanie zabezpieczny przed awariami fizycznymi serwerów raz zstaną ustawine prirytety umżliwiające relkację maszyn wirtualnych w przypadku nadmierneg bciążenia systemu. Technlgia prpnwanej macierzy pzwli na pełną współpracę ze śrdwiskiem wirtualizacji serwerów tak aby administratr dyspnwał pjedynczą knslą d śrdwiska wirtualneg i dyskweg (strage). Sama macierz wypsażna zstanie w funkcjnalnści umżliwiające dynamiczną zmianę parametrów pracy w zależnści d warunków bciążenia śrdwiska (thin prvisining, virtual prvisining, fast cache, tiering itp.). Cała architektura jest w pełni redundantna, czyli psiada pdwójne mduły kmunikacyjne, interfejsy d serwerów raz zdublwane zasby dyskwe na pzimie samych macierzy. W ramach prjektu wydzielna zstanie zapaswa fizyczna lkalizacja, która psłuży d replikacji danych w calu szybkieg przełączenia zasbów serwerwych. Dpełnieniem całej architektury jest również zastswanie wydajneg systemu kpii zapaswych i archiwizacji. Prpnujemy d teg celu system backupu dyskweg typu avamar. Pdstawą tej architektury jest backup z de-duplikacją. Backup dbywa się na medium dyskwe w pstaci wydzielnej przestrzeni dyskwej RAID. Najważniejszą zaletą systemu jest fakt, iż w systemie tym przechwywane będą tylk nwe fragmenty danych (plików, baz danych, maszyn wirtualnych). Dzięki de-duplikacji przenszenie pełnej kpii zapaswej wymaga transmisji 1-3% ryginalnych prdukcyjnych i jest wyknywana w bardz krótkim czasie (krótkie kn backupu). System ptrafi wyknywać backup plikwy, aplikacyjny (MS Active Directry, bazy danych itp.) raz całych maszyn wirtualnych. Jest t rzwiązanie kmpletne i zarządzane z jednej knsli administracyjnej. System ptrafi na granularne dtwarzanie danych na pzimie usług katalgwych MS ADDS (dtwarzania pjedynczych biektów AD) lub pjedynczych plików całych maszyn wirtualnych (nawet jeśli maszyna jest wyłączna). Prpnwane rzwiązanie charakteryzuje się bardz elastycznym mdelem licencjnwania (na pjemnść) przez c mżna na pczątku bjąć backupem śrdwisk maszyn wirtualnych raz aplikacji np. SQL a w późniejszym etapie dłączyć stacje rbcze użytkwników. W załżeniach prpnwanej architektury, system backupu znajdwać się będzie w pdstawwym centrum przetwarzania danych, natmiast w zapaswym centrum znajdwać się będzie jeg replika. Dane synchrnizwane są na bieżąc, a przez zastswane algrytmy deduplikacji system w spsób minimalny bciąży sieć. System zbudwany zstanie przy pmcy wydajnej architektury klastrwej RAIN. Zasby stwrznej infrastruktury zstaną wykrzystane we wszystkich wdrażanych w ramach prjektu systemach typu Back Office Prjekt współfinanswany przez Unię Eurpejską z Eurpejskieg Funduszu Rzwju Reginalneg w ramach Reginalneg Prgramu Operacyjneg Wjewództwa Śląskieg na lata 2007-2013 raz Strna 5/5