Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET



Relevanta dokument
1.1 Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLnet

Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET

1.1 Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLnet

Datacentertjänster IaaS

Utarbetat av Område Informationsklass. Teknisk standard Ånge Kommun...1. Syfte med beskriven it-miljö...3. Hårdvara...

Teknisk standard, upphandlingar

Systemkrav och tekniska förutsättningar

Bilaga 05. Beskrivning av befintlig IT-miljö

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Virtuell Server Tjänstebeskrivning

Microsoft Operations Manager 2005

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.6.0

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Rekommendationer teknisk lösning_samsa_ ver

Utvärdering Kravspecifikation

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Hogias Ekonomisystem. Systemkrav för enanvändarinstallation fr o m version av GENERELLA KRAV

Systemkrav 2014 för enanvändarinstallation fr o m version av

Din guide till en säkrare kommunikation

Installationsanvisningar

Sokigo AB Ecos Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Lathund Beställningsblankett AddSecure Control

eklient Objekt 1 Livscykelplaner i Samverkan Livscykelplaner eklient 1.5

Åtkomst till Vårdtjänst via RSVPN

BESKRIVNING AV DATAMILJÖN I VADSTENA KOMMUN

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Systemkrav. Systemkrav för Hogia Approval Manager. Gäller från och med programversion

Användarmanual Portwise

Administratör IT-system Kursplan

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna.

eklient Livscykelplaner i Samverkan Livscykelplaner eklient 1.0

Installationsanvisningar

Virtualisering - Nu är det dags för nästa steg! Sebastian Hellegren sebastian.hellegren@proact.se Henry Persson hpersson@vmware.

Anvä ndärmänuäl PortWise fo r leveränto ren

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Systemkrav för enanvändarinstallation fr o m version av

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Teknisk spec Flex Lön och Flex API

[VIRTUAL APPLICATION]

Christer Scheja TAC AB

Säker IP telefoni? Hakan Nohre, CISSP

Handbok Remote Access TBRA

För installationer av SQL Server som inte görs från Hogias installation måste följande inställningar göras:

Din guide till. Teknisk Specifikation Säljstöd

Systemkrav WinServ II Edition Release 2 (R2)

Säkra trådlösa nät - praktiska råd och erfarenheter

F2 Exchange EC Utbildning AB

Ändringar i samband med aktivering av. Microsoft Windows Vista

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q2

1 Systemkrav avantraupphandling

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Startanvisning för Bornets Internet

Checklista IT Artvise Kundtjänst

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Teknisk kravspecifikation för nytt Omsorgs system

Virtuell arbetsplats VDI Härryda Kommun. Alec Mägi Särnholm

Systemkrav Tekis-Bilflytt 1.3

Användarmanual PortWise

DIG IN TO Nätverksadministration

Produktspecifikation Bitstream FTTx

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

DI a/11g Dualband 108Mbps trådlös router

Systemkrav Bilflytt 1.3

Installationsanvisning Boss delad databas

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Till ditt skrivbord som tjänst via Internet

Capitex dataservertjänst

Data Sheet - Secure Remote Access

LTU IT-miljöbeskrivning December 2015

Basutbildning till nya chefer - IT IT-enheten

ELMIA WLAN (INTERNET)

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Systemkrav. Artvise Kundtjänst

Sten Nordell

Prislista Bredbandsbolaget

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

Presentation vid KommITS Göteborg 6 maj 2015

Brandväggs-lösningar

LEDNINGSÄGARMODUL. Systemkrav 1(6)

EKLIENT STANDARD KLASSIFICERING AV KLIENTER 1.0

Övningar - Datorkommunikation

Microsoft.NET Version Http Activation MapGuide Open source (installerad på en webbserver, tillgänglig utanför brandväggen) Web Deploy 3.

Öppen källkod i Karlstads kommun

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Fiktivmyndigheten. Nulägesbeskrivning. Fiktivmyndighetens IT-miljö. Version Sid 1 (12) Dnr

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

SKOLFS. beslutade den -- maj 2015.

Grundläggande datavetenskap, 4p

Rekommendationer och krav på IT-relaterad utrustning för Hälsoval Jämtlands län

Installationsanvisning. ADSLmodem: SpeedTouch 780WL. Bredband ADSL

Installationsanvisning Bredband

IP201 Svenska. Installationsanvisning

Kursplaner för Administartör IT-System Innehåll

Transkript:

1(11) Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET

2(11) Innehåll Kravbeskrivning för all utrustning eller system som ska kunna anslutas till NLLNET... 1 1. Syfte... 3 2. Tekniska förutsättningar... 4 NLLnet... 4 Länsnätet... 4 De lokala näten... 4 Övervakning... 5 Plattformar... 5 3. Tekniska krav... 6 Övervakning... 6 Informationsutbyte mellan system... 6 Kommunikation... 7 Fjärrservice... 7 Klient- och applikationer... 7 Storage Area Network (SAN)... 8 Behörigheter... 8 Underhåll... 9 Bilaga 1 - Riktlinjer för hantering av DMZ... 10 1. Varför?... 10 1.1 Vad?... 10 1.2 Hur?... 10 2. Kryptering... 10 3. Autentisering... 10 4. Driftmiljö... 11 5. Kopplingar utåt... 11 6. Kopplingar inåt... 11

3(11) 1. Syfte Många system som upphandlas av olika enheter inom Norrbottens läns landsting, t ex modaliteter inom röntgen, EKG-utrustning m.m. har behov av en fungerande kommunikation inom landstingets kommunikationsnät, NLLnet. Detta dokument anger vilka krav och standards som systemen ska uppfylla för att fungera i NLLnet. Notera att ändringar i detta dokument ej får göras utan godkännande av Chef IT Infrastruktur. Eventuella varianter på detta dokument skall namnges så att det tydligt framgår att det är en speciell version av dokumentet, samt syftet (exempelvis att användas vid upphandling X)

4(11) 2. Tekniska förutsättningar NLLnet Norrbottens läns landsting kommunikationsnät NLLnet, utgör en samlad infrastruktur för telefoni och data. Nätet består av följande delar: a) Länsnätet - Förbinder de lokala näten b) De lokala näten - Sammanknyter lokal utrustning på en geografisk plats. Länsnätet Landstingets kommunikationsnät, NLLnet, finns utbyggt till samtliga arbetsplatser och omfattar ca 8 500 användare. I Norrbottens 14 kommuner finns anslutning till Lumiora nätets kommunnoder binds av hyrda fiberförbindelser med en bandbredd mellan 400 Mbps och 1Gbps. All kommunikation mot Internet och Sjunet sker idag via en brandvägg. De lokala näten Inom respektive sjukhus finns stjärnformiga fibernät uppbyggda från en central kopplingspunkt ut till ett antal lokala kopplingspunkter inom sjukhusområdet. Vid den centrala kopplingspunkten finns anslutningen mot dagens WAN. I de lokala korskopplingspunkterna kopplas datorer och övrig utrustning till switchutrustning. Varje switch är ansluten till central kopplingspunkt över dedicerat fiberpar. Kommunikationsmiljön utgörs av Ethernet och kommunikationsprotokollet är TCP/IP. Internt används enbart privata IP-adresser, som normalt tilldelas via DHCP. Nätet i Sunderby sjukhus, Grans Naturbruksskola och Kalix Skogsbruksskola använder 802.1x för hårdvaruautentisering och tilldelning av dynamiskt Vlan. Landstinget har två datahallar och en backup hall vid Sunderby sjukhus. Datorhallarna är placerade i olika byggnader inom sjukhusområdet. Kärnan i nätverket är ett VSS-cluster. Clustret är sammankopplat med två st. 10Gb fiberlänkar. Mellan hallarna finns även nät för Fiber Channel samt ett nät för heartbeat signalering mellan klusternoder. Wlan Trådlösa nät finns på samtliga sjukhus. Det används bland annat till Bedside, Trådlös Telefoni och Gäst Internet. Tekniken stödjer 802.11g och 802.11n. NLL Länsteknik tillhandahåller Accesspunkter. Inga andra AP:s får installeras i NLL:s Lokaler och fastigheter. SSid delas ut från NLL:s wlan controllers

5(11) Övervakning NLLnet övervakas av Länsteknik med SCOM, HP NNM, HP SIM och Cisco Prime som övervakningsplattformar. Plattformar Norrbottens läns landsting har valt följande plattformar: BizTalk 2010 HP NNM HP SIM HP Unix11iv3 Redhat Enterprise Linux 6 Microsoft Active Directory 2012 R2 Microsoft System Center CM 2012 R2 SCOM 2012 Microsoft SQL-server 2008 R2/2012/2012 R2/2014 Microsoft Windows server 2008 R2/2012/2012 R2 Microsoft Terminal Server 2008 R2/2012/2012 R2 Microsoft Windows7 Enterprise SP1 Progress DB och utvecklingsmiljö Microsoft Exchange 2010 Networker Legato Veeam backup replication VMware vsphere 5.5 NLLnet tillhandahåller Ethernet 802.3 och 10BaseT/100BaseT. Nätverksprotokoll är TCP/IP-serie för nät, transport och applikationsskiktet. LANtrafik hanteras av befintliga switchar i NLLnet. WAN-trafik och routing hanteras av befintliga routrar i NLLnet. Serverplattform Serverplattformen består både av fysiska och virtuella servrar. Landstinget första hands val är att virtualisera servrar. Om kravet är en fysisk server är bladserver att rekommendera. Om det finnas krav om speciella inferfacekort eller dylikt används en rackmonterad server. Verksamheter som kräver leverantörsspecifik hårdvara gäller följande krav: Alt. 1) Bladserver - Passande Hewlett Packard HP c7000 Enclosure Alt. 2) Rackmonterad i 19 - Dubbla Power supply - Minst två Fast Ethernet TP nätverks portar Om fiberanslutning krävs för nätverk måste detta diskuteras med Länsteknik servergrupp - ILO, DRAC, eller annan remote console access över TCP/IP

6(11) - Kabelarmar - Max djup mått 70 cm. - Monterings skenor passande standard 19 rack Klientplattform Landstingets klientplattform är standardiserad på eklient med Windows 7 som operativ system, mer information om eklient finns på Inera hemsida. De flesta applikationerna paketeras och anpassas till virtuella paket eller MSI-format. Utskick och installation görs med Configuration Manager 2012 R2. Användaren skall inte ha administrativa behörigheter på klienten, applikationerna anpassas i samband med paketeringen för att fungera i den miljön. Med hjälp av komponenter i Configuration Manager (Endpoint Protection och Software Update Management) uppdateras virusskydd och senaste säkerhetsuppdateringar kontinuerligt på klienterna! Specifikation för klientoperativ och applikationer: Windows7 Enterprise (svensk) med senaste service pack och uppdatering Internet Explorer 11 Microsoft Office 2010 Microsoft Outlook 2010 Vård Administrativt System VAS (Progress klient v10) Adobe Reader 11 Adobe Flashplayer 13 Oracle JAVA 8 med senaste update NetID version 6.1.2.25 3. Tekniska krav Övervakning Systemet skall uppträda normalt vid övervakning av System Center Operation Manager och HP System Insight Manager. Leverantörsspecifika MIB:ar, som går att importera i System Center Operation Manager och HP Operations Manager bör levereras med systemet. Informationsutbyte mellan system Leverantören skall, i det fall system som upphandlas har krav på informationsutbyte med befintliga system inom Norrbottens Läns Landsting, beskriva på vilket sätt detta görs samt uppskatta hur stor datamängd som kommer att överföras per tidsenhet. Leverantören skall ange om realtidsdata och Multicast överförs i nätverket samt vilka kvalitetskrav som ställs med avseende på detta.

7(11) Kommunikation All nätverkskommunikation mellan delsystemen bör ske via NLLnet. I undantagsfall kan eget nätverk för kommunikation mellan system/delsystem byggas. Produkter och lösning i dessa fall skall godkännas av Länsteknik innan inköp samt delges Länsteknik i god tid innan implementering. All extern kommunikation från utrustning ansluten till NLLnet skall ske via NLL s säkerhetssystem. All kommunikation utanför NLLnet till system för exempelvis service från leverantören skall godkännas av chefen för ITU och sekretessavtal skall undertecknas. Inget annat kommunikationsmedel än det NLL tillhandahåller får anslutas till utrustning, som är direkt eller indirekt kopplat till NLLnet. Utrustning som installeras bör klara av att hantera följande: Dynamiska IP-adresser DNS, BOOTP/DHCP och IP hostnamn NTP mot central time-server Variabel subnetmask, default gateway IPv4 inklusive IP sec IPv6 Lokal brandvägg trafikbegränsning in på utrustningen Länstekniks centrala IT-enhet skall besluta om och ge anvisningar för konfigurering av ovanstående. Inga routing-funktioner skall utföras av systemet. Trafikflöden skall vara dokumenterade. Fjärrservice Många system behöver möjlighet till remote access, t.ex. för service eller proaktiv övervakning. Inkoppling av system för fjärråtkomst ska alltid granskas och godkännas av landstingets IT-säkerhetsansvarige. Access till landstingets nätverk (NLLNET) innebär ett ansvar och ansvarsförbindelse skall undertecknas och godkännas innan inkoppling kan ske. Inga okrypterade uppkopplingar tillåts. I första hand ska fjärråtkomst ske via PortWise och Microsoft Terminal Server. Om direkt åtkomst till systemen och/eller tvåvägstrafik krävs så löses detta med VPN-uppkoppling (Lan2Lan). VPN-kopplingar och Portwise-åtkomst erbjuds i första hand via Sjunet. För internationella aktörer som inte utan större olägenheter och kostnader kan erbjuda fullgod service över Sjunet kan VPN-kopplingar över Internet tillåtas i undantagsfall. Alla VPN-kopplingar mot NLLNET skall termineras i Landstingets utrustning. Klient- och applikationer System och applikationer skall kunna samexistera i miljö med Windows 7 Professionell med senaste service pack och bör fungera med svensk version.

8(11) När det gäller övriga applikationer skall systemet kunna samexistera med applikationer som anges under rubriken Klientplattform. Systemet skall fungera utan att användaren har administratörsbehörigheter på klienten. Leverantören skall bifoga installationsbeskrivning på svenska och engelska för applikationen, gällande såväl klient som serverdel (där sådan krävs). Om applikationen behöver anpassas för att fungera i en nedlåst miljö, skall tydliga instruktioner för denna procedur bifogas i installationsbeskrivningen. Mjukvaror I de fall systemets komponenter avviker från plattformarna nämnda under förutsättningar skall leverantören redovisa detta och avvakta godkännande av landstinget innan installation. Leverantören skall bifoga installationsanvisningar för offererade servrar och klienter. Leverantören skall redovisa om och under vilka förutsättningar landstinget tillåts installera programvara för virusskydd, programdistribution, datorinventering, fjärrstyrning och tid synkronisering. Storage Area Network (SAN) Inom Sunderby Sjukhus finns två oberoende lagrings nät (SAN). Dessa är i form av två ringar och förbinder de två datahallarna samt datahallen för säkerhetskopiering. HP MAS används för arkivering av statisk data och är redundanta och i olika älvdalar. Lagringsnätet möjliggör också s.k. SANbackup. I lagringsnätet finns anslutet, förutom klienter i form av servrar, även diskskåp och bandrobot. HP 3PAR InServ 7400 Plattformar HP Brocade B-Series DCX-4S HP MAS arkiveringsplattform Dell PV160T Bandrobot Scalar i2000 Bandrobot Anslutning Anslutningar av servers till NLL s lagrings nät (SAN) sker endast via FC (Fiber Channel) anslutning med port hastigheter 2, 4 eller 8 Gbit/sek. Servrarna skall vara anslutna med ett interface till respektive FC-ring samt att multipathning med Link-Failover alternativt Round-Robin funktionalitet skall finnas. Kompatibilitet I NLL:s SAN ingår ett flertal komponenter och dessa uppdateras kontinuerligt till nya versioner. Leverantören av SAN-ansluten utrustning skall kontakta Länsteknik för närmare diskussioner angående kompatibilitet med befintlig utrustning. Behörigheter Registrering av användare och konton i planerat system skall beställas via Teknikakuten enligt befintliga regler för att garantera att unika namn och

9(11) adresser erhålls. Detta gäller även för medlemskap i domäner för servrar och arbetsstationer. Leverantören får inte skapa andra användarkonton än de som är beställda enligt ovan. Landstinget skall ha tillgång till högsta behörighet till systemets alla delar, d.v.s. rootlösen eller administrator behörighet. Landstinget ställer krav på säker inloggning enligt landstingets gällande säkerhetsnormer. Underhåll Leverantören skall redovisa vilket ansvar berörda parter inom landstinget samt leverantören kommer att ha avseende drift och underhåll av utrustningen.

10(11) Bilaga 1 - Riktlinjer för hantering av DMZ 1. Varför? Detta regelverk baseras på regler som Patientdatalagen (PDL) och Socialstyrelsens föreskrift och handbok kring PDL (SOFs 2008:14). Utöver dessa så baseras dokumentet tillämpas god säkerhets- och IT-drifts-praxis. 1.1 Vad? I DMZ placeras tjänster som måste vara tillgängliga från publika nätverk t ex Internet och Sjunet. Regelverket är baserat på de skyddsbehov som hälsooch sjukvården har men omfattar alla system som placeras på nätverk åtkomliga från publika nät, t ex Internet och Sjunet. 1.2 Hur? Endast testade och leveransgodkända system får placeras i DMZ. Inget utvecklingsarbete eller tester får utföras på publikt tillgängliga servrar. System placeras i olika DMZ-segment utifrån funktion. Placering för ett givet system beslutas i samråd mellan driftsansvariga för servern och brandväggen. All kommunikation till och från DMZ-system ska vara väl dokumenterad. Den lokala brandväggen ska vara påslagen och endast tillåta trafik enligt denna dokumentation inkl. administrativa gränssnitt. Alla system som placeras i DMZ skall kunna uppdateras per automatik. 2. Kryptering All trafik som kan bära icke-publik information skall vara krypterad med minst 128-bitars nyckel och beprövade algoritmer som AES eller 3DES. Trafik som endast innehåller publik information bör kunna erbjuda användaren att använda krypterad anslutning 3. Autentisering Läsning av publik information kräver inte autentisering. Autentisering skall i görligaste mån ske med befintliga lösningar. Hemmasnickrade lösningar är sällan säkra eller enkla att hantera vad gäller administration och uppdateringar. För redigering, uppläggning etc. samt läsning av icke-publik information skall be hanteras som följer: NLL-anställda Access till gränssnitt för personal på DMZ-placerade system skall och vara begränsade till att ske från NLLNET. All access till NLLNET skall ske genom befintliga lösningar: i första hand portal.nll.se - SSL/VPN portal om speciella behov finns VPN-anslutning till NLLNET

11(11) Tillgång till aktuella gränssnitt kan möjliggöras direkt från portal.nll.se SITHS-kort används för autentisering mot tjänsten om praktiskt möjligt. Partners Gränssnitt för partners skall hanteras enligt samma principer som för NLLanställd ovan. För partners som inte har och behöver tillgång till aktuella gränssnitt så skall dessa möjliggöras i portal.nll.se Allmänheten Alla personliga och interaktiva vårdtjänster skall vara integrerade med Mina vårdkontakter. MVK tillhandahåller både en portal för patienten och SSOtjänst (single-sign-on) med stark autentisering. 4. Driftmiljö VMware ESX-miljö finns tillgänglig för DMZ-tjänster. I första hand bör denna användas om inte de aktuella systemen har krav på driftsmiljön som inte kan tillgodoses i VMware. Alla system på DMZ skall ha utsedd driftsansvarig. Alla system på DMZ skall vara säkrade genom: kontinuerlig uppdatering av OS och övrig mjukvara till högsta möjliga säkerhetsnivå Brandvägg och virusskydd skall vara aktiverade på alla DMZservrar. 5. Kopplingar utåt Om möjligt bör behovet av koppling ut mot publika nätverk specificeras och begränsas till dessa. 6. Kopplingar inåt Kopplingar mot interna resurser bör begränsas så långt som möjligt både gällande: portöppningar vad som finns tillgängligt vid en portöppning Som exempel: replikering kan användas i många fall istället för öppningar för filaccess en SQL-port mot fel server kan ge access till olika typer av data. Begränsningar bör göras med begränsade instanser på separat IP-adress eller hellre integration lösning på BizTalk eller web services som inte ger DMZ-servern direkt tillgång till databasen.