1.1 Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLnet

Relevanta dokument
1.1 Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLnet

Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET

Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET

Policy för Svenska kyrkans gemensamma IT-plattform

Vår fiber ger ett bättre läge. Vårt engagemang gör skillnad

Torsvi fiber ekonomisk förening, orgnummer November 1, 2015 BILAGA 1.A KOMMUNIKATIONSOPERATÖRENS ÅTAGANDE

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Infrastrukturen för Svensk e-legitimation

A. Allmänna villkor. Midpoint AB Drottninggatan Karlstad. Tel. +46 (0) Web. E-post.

Socialstyrelsens författningssamling

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.6.0

Informationssäkerhet

Normativ specifikation

Uppgradering till DentalEye 3.2

Checklistans användningsområde

Virtuell Server Tjänstebeskrivning

Anmälan om sjukhusens läkemedelsförsörjning

Teknisk standard, upphandlingar

Administratör Rollbeskrivning och stödjande instruktion. e-tjänst för ansökan om statsbidrag Senast uppdaterad:

Regel 1 - Ökad medvetenhet

Installationsanvisningar

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

REGION SKÅNE VDI KLIENTINSTALLATION

Nätverksteknik A - Introduktion till Routing

Bilaga 1 Handledning i informationssäkerhet

Systemkrav. Systemkrav för Hogia Approval Manager. Gäller från och med programversion

PRODUKTINFORMATION LOCKING SYSTEM MANAGEMENT 3.3 SERVICE PACK 1 BASIC BASIC ONLINE BUSINESS PROFESSIONAL SENAST UPPDATERAT: JUNI 2016

Stratsys för landsting och regioner

eklient Objekt 1 Livscykelplaner i Samverkan Livscykelplaner eklient 1.5

Systemkrav och tekniska förutsättningar

Uppdragsbeskrivning. Digital Skyltning. Version 1.0 Mats Persson. Distributionslista. Namn Åtgärd Info.

För installationer av SQL Server som inte görs från Hogias installation måste följande inställningar göras:

F2 Exchange EC Utbildning AB

LEDNINGSÄGARMODUL. Översikt 1(9)

Välkommen till ikanobank.se

Kommittédirektiv. Utvärdering av hanteringen av flyktingsituationen i Sverige år Dir. 2016:47. Beslut vid regeringssammanträde den 9 juni 2016

Uppdragsbeskrivning. Sportfiskewebben. Version 1.0 Mats Persson. Distributionslista. Namn Åtgärd Info.

Utarbetat av Område Informationsklass. Teknisk standard Ånge Kommun...1. Syfte med beskriven it-miljö...3. Hårdvara...

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Landstingsstyrelsens förslag till beslut

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

MANUAL TILL AVTALSMALL FÖR KIST- OCH URNTRANSPORTER

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Informationshantering och journalföring. ring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Vårdgivare av boende SoL/LSS inom Nämnden för vuxna med funktionshinders ansvarsområde

Datacentertjänster IaaS

Här kan du läsa om vilka funktioner som finns tillgängliga i Switch King samt vilka möjligheter som finns för att sätta upp systemet (skalbarhet).

Ledarskap , Såstaholm

ELMIA WLAN (INTERNET)

Missa inte halva affären!

Programvaruuppdateringar Användarhandbok

Förstklassig säkerhet för virtuella miljöer

4 p o r t s 1 0 / m b p s

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

AGENDA. Moras Öppna nät Direktansluten villa Vägen till en anslutning Tjänsteleverantörer Kontaktpersonernas roll Diskussion och frågor

Installationsanvisning Boss delad databas

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Bilaga 05. Beskrivning av befintlig IT-miljö

Reflect AB Barnhusgatan 16 S Stockholm ndinavia AB 1/24

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

Identiteter och behörigheter i molnet och BYOD

Koncept Katalog 2009

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Information sid 2 4. Beställning sid 5. Ändring/Nytt SIM sid 6. Avsluta abonnemang sid 7. Fakturafråga sid 8. Felanmälan/fråga sid 9.

Post- och telestyrelsens författningssamling

Region Skåne Fråga om utformning av fördelningsnyckel i ramavtal för radiologiprodukter

Informationshantering och journalföring. informationssäkerhet för god vård

DI a/11g Dualband 108Mbps trådlös router

TENTAMEN. Kurskod/Kurs: 5DV013, Datakommunikation och datornät 5DV065, Datakommunikation och Internet

METODBOK INNOVATIONSUPPHANDLING

MANUAL För externa leverantörer Projektportal Investera

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Överenskommelse avseende uppföljningssystemet SUS

Användarmanual PortWise

Statsbidrag för läxhjälp till huvudmän 2016

Detta kan du förvänta dig av kommunens service. Lokala värdighetsgarantier inom socialtjänstens omsorg om äldre

Detta dokument beskriver vilka regler som gäller för lagspecifika hemsidor använda av Ackers lag.

Rutin för hantering av privata medel inom vård och omsorg

Shortcut Center. Version 5.0. Administratörshandbok

Arbeta bäst där du är Dialect Unified Mi

Trust Gamer Kit PCI TRUST GAMER KIT PCI. Anvisningar för snabb installation. Version 1.0

Medieplan. för Högskolebiblioteket i Skövde Reviderad

Mötesnoteringar från PTS arbetsgruppmöte om 90-serien

Det började med ädelreformen 1992

Distribuerade Informationssystem VT-04

BESKRIVNING AV DATAMILJÖN I VADSTENA KOMMUN

Partnerskapsförord. giftorättsgods görs till enskild egendom 1, 2. Parter 3. Partnerskapsförordets innehåll: 4

HP StoreEasy 5000 Network Storage Solution Installation and Startup Service

Uppdrag att genomföra insatser för att förbättra vården för personer med kroniska sjukdomar

Säkerhetskopiering och återställning Användarhandbok

Hjo kommun. Rutin för hantering och utredning av händelser inom hälso- och sjukvården som kan leda till en anmälan enligt Lex Maria.

1(6) Riktlinjer för tjänsteresor. Styrdokument

Socialstyrelsens föreskrifter om bedömning av egenvård SOSFS 2009:6. Uppdaterad januari 2013

Patientdatalag för säkrare vård Hantering av personuppgifter

Teknisk kravspecifikation för nytt Omsorgs system

2 Hur förbereder jag mig inför krav på kortinlogg?

Transkript:

Länsteknik Sida 1 (9) 1.1 Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLnet 1.1.1 Syfte Många system som upphandlas av olika enheter inom Norrbottens läns landsting, t ex modaliteter inom röntgen, EKG-utrustning m.m. har behov av en fungerande kommunikation inom landstingets kommunikationsnät, NLLnet. Detta dokument anger vilka krav och standards som systemen ska uppfylla för att fungera i NLLnet.

Länsteknik Sida 2 (9) 1.1.2 Tekniska förutsättningar NLLnet Norrbottens läns landsting kommunikationsnät NLLnet, utgör en samlad infrastruktur för telefoni och data. Nätet består av följande delar: a) Länsnätet - Förbinder de lokala näten b) De lokala näten - Sammanknyter lokal utrustning på en geografisk plats. Länsnätet Landstingets kommunikationsnät, NLLnet, finns utbyggt till samtliga arbetsplatser och omfattar ca 8 500 användare. I Norrbottens 14 kommuner finns anslutning till Lumiora nätets kommunnoder binds av hyrda fiberförbindelser med en bandbredd mellan 400 Mbps och 1Gbps. All kommunikation mot Internet och Sjunet sker idag via en brandvägg. De lokala näten Inom respektive sjukhus finns stjärnformiga fibernät uppbyggda från en central kopplingspunkt ut till ett antal lokala kopplingspunkter inom sjukhusområdet. Vid den centrala kopplingspunkten finns anslutningen mot dagens WAN. I de lokala korskopplingspunkterna kopplas datorer och övrig utrustning till switchutrustning. Varje switch är ansluten till central kopplingspunkt över dedicerat fiberpar. Kommunikationsmiljön utgörs av Ethernet och kommunikationsprotokollet är TCP/IP. Internt används enbart privata IP-adresser, som normalt tilldelas via DHCP. Nätet i Sunderby sjukhus, Grans Naturbruksskola och Kalix Skogsbruksskola använder 802.1x för hårdvaruautentisering och tilldelning av dynamiskt Vlan. Landstinget har två datahallar och en backup hall vid Sunderby sjukhus. Datorhallarna är placerade i olika byggnader inom sjukhusområdet. Kärnan i nätverket är ett VSS-cluster. Clustret är sammankopplat med två st 10Gb fiberlänkar. Mellan hallarna finns även nät för Fiber Channel samt ett nät för heartbeat signalering mellan klusternoder. Wlan Trådlösa nät finns på samtliga sjukhus. Det används bland annat till Bedside, Trådlös Telefoni och Gäst Internet. Tekniken stödjer 802.11g och 802.11n. NLL Länsteknik tillhandahåller Accesspunkter. Inga andra AP:s får installeras i NLL:s Lokaler och fastigheter. SSid delas ut från NLL:s wlan controllers Övervakning NLLnet övervakas av Länsteknik med SCOM, HP OMW, HP NNM, HP SIM och Cisco works som övervakningsplattformar.

Länsteknik Sida 3 (9) Plattformar Norrbottens läns landsting har valt följande plattformar: BizTalk HP NNM, OMW HP SIM HP Unix11iv3 Redhat Enterprise Linux 6 Microsoft Active Directory Microsoft System Center CM 2012 SCOM 2012 Microsoft SQL-server 2008 R2/2012 Microsoft Windows 2008 Server Microsoft Windows 2008 Server R2 Microsoft Windows server 2012 Microsoft Terminal Server 2008 Microsoft Terminal Server 2008 R2 Microsoft Windows XP Professional Microsoft Windows7 Enterprise Progress DB och utvecklingsmiljö Microsoft Exchange 2010 Networker Legato Veema backup replication VMware vsphere 5.1 NLLnet tillhandahåller Ethernet 802.3 och 10BaseT/100BaseT. Nätverks-protokoll är TCP/IP-serie för nät, transport och applikationsskiktet. LAN-trafik hanteras av befintliga switchar i NLLnet. WAN-trafik och routing hanteras av befintliga routrar i NLLnet. Serverplattform Serverplattformen består både av fysiska och virtuella servrar. Landstinget första hands val är att virtualisera servrar. Om kravet är en fysisk server är bladserver att rekommendera. Om det finnas krav om speciella inferfacekort eller dylikt används en rackmonterad server. Verksamheter som kräver leverantörsspecifik hårdvara gäller följande krav: Alt. 1) Bladserver - Passande Hewlet Packard HP c7000 Enclosure

Länsteknik Sida 4 (9) Alt. 2) Rackmonterad i 19 - Dubbla power supply - Minst två FastEthernet TP nätverks portar Om fiberanslutning krävs för nätverk måste detta diskuteras med Länsteknik servergrupp - ILO, DRAC, eller annan remote console access över TCP/IP - Kabelarmar - Max djup mått 70 cm. - Monterings skenor passande standard 19 rack Klientplattform Landstingets nuvarande klientplattform är standardiserad med Windows XP men uppgradering till Windows7 pågår. De flesta applikationerna paketeras och anpassas till virtuella paket eller MSI-format. Utskick och installation görs med Configuration Manager. Användaren skall inte ha administrativa behörigheter på klienten, applikationerna anpassas i samband med paketeringen för att fungera i den miljön. Med hjälp av komponenter i Configuration Manager (Endpoint Protection och Software Update Management) uppdateras virusskydd och senaste säkerhetsuppdateringar kontinuerligt på klienterna! Specifikation för klientoperativ och applikationer: Windows XP Professional (Svensk) med senaste service pack och uppdateringar Windows7 Enterprise (svensk) med senaste service pack och uppdatering Internet Explorer 8 (Windows XP) Internet Explorer 9 (Windows 7) Microsoft Office 2010 Microsoft Outlook 2010 Vård Administrativt System VAS (Progress klient v10) Adobe Reader 11 Adobe Flashplayer 11 Oracle JAVA 7 up 15 1.1.3 Tekniska krav Övervakning Systemet skall uppträda normalt vid övervakning av System Center Operation Manager, HP Operations Manager snmp poll samt HP System Insight Manager. Leverantörsspecifika MIB:ar, som går att importera i System Center Operation Manager och HP Operations Manager bör levereras med systemet.

Länsteknik Sida 5 (9) Informationsutbyte mellan system Leverantören skall, i det fall system som upphandlas har krav på informationsutbyte med befintliga system inom Norrbottens Läns Landsting, beskriva på vilket sätt detta görs samt uppskatta hur stor datamängd som kommer att överföras per tidsenhet. Leverantören skall ange om realtidsdata överförs i nätverket samt vilka kvalitetskrav som ställs med avseende på detta. Kommunikation All nätverkskommunikation mellan delsystemen bör ske via NLLnet. I undantagsfall kan eget nätverk för kommunikation mellan system/delsystem byggas. Produkter och lösning i dessa fall skall godkännas av Länsteknik innan inköp samt delges Länsteknik i god tid innan implementering. All extern kommunikation från utrustning ansluten till NLLnet skall ske via NLL s säkerhetssystem. All kommunikation utanför NLLnet till system för exempelvis service från leverantören skall godkännas av chefen för ITU och sekretessavtal skall undertecknas. Ingen annan kommunikationsmedel än det NLL tillhandahåller får anslutas till utrustning, som är direkt eller indirekt kopplat till NLLnet. Utrustning som installeras bör klara av att hantera följande: Dynamiska IP-adresser DNS, BOOTP/DHCP och IP hostnamn NTP mot central time-server Variabel subnetmask, default gateway IPv4 inklusive IPsec IPv6 Lokal brandvägg trafikbegränsning in på utrustningen Länstekniks centrala IT-enhet skall besluta om och ge anvisningar för konfigurering av ovanstående. Inga routing-funktioner skall utföras av systemet. Trafikflöden skall vara dokumenterade. Fjärrservice Många system behöver möjlighet till remote access, t.ex. för service eller proaktiv övervakning. Inkoppling av system för fjärråtkomst ska alltid granskas och godkännas av landstingets ITsäkerhetsansvarige. Access till landstingets nätverk (NLLNET) innebär ett ansvar och ansvarsförbindelse skall undertecknas och godkännas innan inkoppling kan ske. Inga okrypterade uppkoppling tillåts. I första hand ska fjärråtkomst ske via PortWise och Microsoft Terminal Server. Direkt åtkomst till systemen och/eller tvåvägstrafik krävs så löses detta med VPNuppkoppling (Lan2Lan). VPN-kopplingar och Portwise-åtkomst erbjuds i första hand via Sjunet. För internationella aktörer som inte utan större olägenheter och kostnader kan erbjuda fullgod service över

Länsteknik Sida 6 (9) Sjunet kan VPN-kopplingar över Internet tillåtas i undantagsfall. Alla VPN-kopplingar mot NLLNET skall termineras i Landstingets utrustning. Klient- och applikationer System och applikationer skall kunna samexistera i miljö med Windows XP Professional och Windows 7 Professional med senaste service pack och bör fungera med svensk version. När det gäller övriga applikationer skall systemet kunna samexistera med applikationer som anges under rubriken Klientplattform. Systemet skall fungera utan att användaren har administratörsbehörigheter på klienten. Leverantören skall bifoga installationsbeskrivning på svenska och engelska för applikationen, gällande såväl klient som serverdel (där sådan krävs). Om applikationen behöver anpassas för att fungera i en nedlåst miljö, skall tydliga instruktioner för denna procedur bifogas i installationsbeskrivningen. Mjukvaror I de fall systemets komponenter avviker från plattformarna nämnda under förutsättningar skall leverantören redovisa detta och avvakta godkännande av landstinget innan installation. Leverantören skall bifoga installationsanvisningar för offererade servrar och klienter. Leverantören skall redovisa om och under vilka förutsättningar landstinget tillåts installera programvara för virusskydd, programdistribution, datorinventering, fjärrstyrning och tid synkronisering. Storage Area Network (SAN) Inom Sunderby Sjukhus finns två oberoende lagrings nät (SAN). Dessa är i form av två ringar och förbinder de två datahallarna samt datahallen för säkerhetskopiering. Möjlighet till ytterligare segmentering finns genom s.k. V-Fabric (jämför VLAN) men används i dagsläget inte. HP MAS används för arkivering av statisk data och är redundanta och i olika älvdalar. Lagringsnätet möjliggör också s.k. SAN-backup. I lagringsnätet finns anslutet, förutom klienter i form av servrar, även diskskåp och bandrobot. HP Brocade B-Series DCX-4S HP XP 24000 Diskskåp HP MAS arkiveringsplattform Dell PV160T Bandrobot Scalar i2000 Bandrobot Plattformar Anslutning Anslutningar av servers till NLL s lagrings nät (SAN) sker endast via FC (Fiber Channel) anslutning med port hastigheter 2, 4 eller 8 Mbit/sek. Servrarna skall vara anslutna med ett interface till respektive FCring samt att multipathning med Link-Failover alternativt Round-Robin funktionalitet skall finnas.

Länsteknik Sida 7 (9) Kompatibilitet I NLL:s SAN ingår ett flertal komponenter och dessa uppdateras kontinuerligt till nya versioner. Leverantören av SAN-ansluten utrustning skall kontakta Länsteknik för närmare diskussioner angående kompatibilitet med befintlig utrustning. Behörigheter Registrering av användare och konton i planerat system skall beställas via Teknikakuten enligt befintliga regler för att garantera att unika namn och adresser erhålls. Detta gäller även för medlemskap i domäner för servrar och arbetsstationer. Leverantören får inte skapa andra användarkonton än de som är beställda enligt ovan. Landstinget skall ha tillgång till högsta behörighet till systemets alla delar, d.v.s. rootlösen eller administrator behörighet. Landstinget ställer krav på säker inloggning enligt landstingets gällande säkerhetsnormer. Underhåll Leverantören skall redovisa vilket ansvar berörda parter inom landstinget samt leverantören kommer att ha avseende drift och underhåll av utrustningen.

Länsteknik Sida 8 (9) Bilaga 1 - Riktlinjer för hantering av DMZ 1.1.4 Varför? Detta regelverk baseras på regler som Patientdatalagen (PDL) och Socialstyrelsens föreskrift och handbok kring PDL (SOFs 2008:14). Utöver dessa så baseras dokumentet tillämpas god säkerhets- och IT-driftspraxis. 1.2 Vad? I DMZ placeras tjänster som måste vara tillgängliga från publika nätverk t ex Internet och Sjunet. Regelverket är baserat på de skyddsbehov som hälso- och sjukvården har men omfattar alla system som placeras på nätverk åtkomliga från publika nät, t ex Internet och Sjunet. 1.3 Hur? Endast testade och leveransgodkända system får placeras i DMZ. Inget utvecklingsarbete eller tester får utföras på publikt tillgängliga servrar. System placeras i olika DMZ-segment utifrån funktion. Placering för ett givet system beslutas i samråd mellan driftsansvariga för servern och brandväggen. All kommunikation till och från DMZ-system ska vara väl dokumenterad. Den lokala brandväggen ska vara påslagen och endast tillåta trafik enligt denna dokumentation inkl. administrativa gränssnitt. Alla system som placeras i DMZ skall kunna auto uppdateras. 1.3.1 Kryptering All trafik som kan bära icke-publik information skall vara krypterad med minst 128-bitars nyckel och beprövade algoritmer som AES eller 3DES. Trafik som endast innehåller publik information bör kunna erbjuda användaren att använda krypterad anslutning 1.3.2 Autentisering Läsning av publik informationen kräver inte autentisering. Autentisering skall i görligaste mån ske med befintliga lösningar. Hemmasnickrade lösningar är sällan säkra eller enkla att hantera vad gäller administration och uppdateringar. För redigering, uppläggning etc. samt läsning av icke-publik information skall be hanteras som följer: NLL-anställda Access till gränssnitt för personal på DMZ-placerade system skall och vara begränsade till att ske från NLLNET. All access till NLLNET skall ske genom befintliga lösningar: i första hand portal.nll.se - SSL/VPN portal om speciella behov finns VPN-anslutning till NLLNET

Länsteknik Sida 9 (9) Tillgång till aktuella gränssnitt kan möjliggöras direkt från portal.nll.se SITHS-kort används för autentisering mot tjänsten om praktiskt möjligt. Partners Gränssnitt för partner skall enligt samma principer som för NLL-anställd ovan. För partners som inte har och inte behöver tillgång till aktuella gränssnitt möjliggöras i portal.nll.se Allmänheten Alla personliga och interaktiva vårdtjänster skall vara integrerade med Mina vårdkontakter. MVK tillhandahåller både en portal för patienten och SSO-tjänst (single-sign-on) med stark autentisering. 1.4 Driftmiljö VMware ESX-miljö finns tillgänglig för DMZ-tjänster. I första hand bör denna användas om inte de aktuella systemen har krav på driftsmiljön som inte kan tillgodoses i VMware. Alla system på DMZ skall ha utsedd driftsansvarig. Alla system på DMZ skall vara säkrade genom: kontinuerlig uppdatering av OS och övrig mjukvara till högsta möjliga säkerhetsnivå Brandvägg och virusskydd skall vara aktiverade på alla DMZ-servrar. 1.4.1 Kopplingar utåt Om möjligt bör behovet av koppling ut mot publika nätverk specificeras och begränsas till dessa. 1.4.2 Kopplingar inåt Kopplingar mot interna resurser bör begränsas så långt som möjligt både gällande: portöppningar vad som finns tillgängligt vid en portöppning Som exempel: replikering kan användas i många fall istället för öppningar för filaccess en SQL-port mot fel server kan ge access till olika typer av data. Begränsningar bör göras med begränsade instanser på separat IP-adress eller hellre integration lösning på BizTalk eller web services som inte ger DMZ-servern direkt tillgång till databasen.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss