EKLIENT STANDARD KLASSIFICERING AV KLIENTER 1.0
eklient plattform standard klassificering av klienter 1 av 13
eklient plattform standard klassificering av klienter 2 av 13 Innehåll Historik... Fel! Bokmärket är inte definierat. Dokumentinformation... 4 Syfte... 4 Målgrupper... 4 Revision... 4 Styrande principer... 4 Referenser... 5 Summering... 5 Termer och begrepp... 5 Avgränsningar... 6 Information kring standarden... 6 Klassificering av klienter... 7 Hårdvaruplattform... 7 Klient/Klientdator... 7 Workstation/Arbetsstation... 7 Desktop... 7 Laptop... 8 Notebook... 8 Notepad/Surfplatta... 8 Smartphone... 9 Klient virtualisering... 9 Tunn Klient/Thin client device... 9 Fet klient... 9 Kategorier... 10 Kiosk-PC... 10 Fleranvändar-PC... 10 Funktions-PC... 10 MT-dator... 11 Utvecklar-PC... 11 Bärbar dator... 11 Mobil enhet... 11 Managerad enhet... 12 Semimanagerad enhet... 12
eklient plattform standard klassificering av klienter 3 av 13 Omanagerad enhet... 12 Självmanagerad enhet... 12 Funktionstabell... 13
eklient plattform standard klassificering av klienter 4 av 13 Dokumentinformation Syfte Detta dokument agerar referensdokument och tillhör dokumenttypen standards inom eklient. En standard definierar ett gemensamt språk mellan aktörer och underlättar det dagliga livet för intressenter. Dokumentet definierar egenskaper, krav och instruktioner som behövs i dialog mellan landsting/regioner, med driftspartners/driftsorganisation och med applikationsleverantörer. Man är ofta övertygad om att man i en samling pratar om samma sak - men så behöver det inte uppfattas av alla! En standard visar på vad man kan förvänta sig, både styrkor o svagheter och accepteras av inblandade. Syftet med detta dokument är att beskriva en gemensam standard för klassificering av klienter. Begreppet klient har i dagligt tal ett flertal betydelser beroende på i vilken kontext begreppet används. Klient används som ett begrepp inom IT världen och då oftast med tillägget dator, d.v.s. klientdator. Men klient används även i andra sammanhang, ex med betydelser beställare, mottagare, person eller ett företag. Att det dessutom inom IT branschen används ett flertal olika begrepp för att beskriva olika typer av klienter gör det motiverande med en standard för klassificering av klienter. En klassificering underlättar för att kunna erbjuda rätt tjänster till rätt dator eller att kunna ha olika säkerhetsinställningar beroende på kategori, förutom att det ge en samsyn på begrepp inom klienthantering. Dokumentets avsikt är att vara till stöd för den lokala/regionala förvaltningen av en centraliserad klientplattform för att åstadkomma en stabil och säker leverans till verksamheten. Målgrupper Lokal förvaltningsorganisation för klientplattform Intressenter och medlemsorganisationer i eklient Aktörer på marknaden med intresse att följa eklient Partners till medlemsorganisationer i eklient Revision Detta dokument revideras årligen. Senaste revidering 2014-12-03 Styrande principer Styrande principer för denna standard är: Använd vedertagna standardlösningar som är globalt använda Användarupplevelse i fokus en användarvänlig plattform Information ska skyddas från förvanskning och obehörig åtkomst Kontrollerad livscykelhantering av ingående komponenter
eklient plattform standard klassificering av klienter 5 av 13 Referenser Ex närliggande standarddokument i eklient referenser till direkta fakta eller ställningstaganden i standarden RefID Dokumentnamn Sökväg 1 eklient standard applikationspaketering http://www.eklient.it/ 2 eklient standard Distribution operativsystem och http://www.eklient.it/ applikationer 3 eklient Basplattform http://www.eklient.it/ 4 Livscykelplaner eklient http://www.eklient.it/ Summering Standarden definierar och beskriver klassificering av klienter i en klientplattform och ger en vägledning av de krav som ställs på en verksamhetsanpassad konfiguration, med hög användarvänlighet och IT-säkerhet. Termer och begrepp T nr begrepp/term* Beskrivning T1 Klient/Klientdator Avser en dator av någon typ som är uppkopplad mot ett klient-server baserat nätverk. T2 Workstation/Arbetsstation Avser en typ av stationär dator med hög prestanda. T3 Desktop Avser en stationär dator designad för att få plats ovanpå skrivbordet. T4 Laptop Avser en typ av bärbar dator med bildskärm integrerad i locket. T5 Notebook Avser en lätt, tunn, variant av bärbar dator med bildskärm integrerad i locket. T6 Notepad/Surfplatta Avser en typ av bärbar handdator med pekskärm. Har ett virtuellt tangentbord och styrs genom att peka på skärmen med fingrarna. T7 Smartphone Avser en typ av senare generationers mobiltelefon som kan användas som handdator. T8 Kiosk-PC Avser en nedlåst s.k. surfdator som använder förkonfigurerad automatisk inloggning. T9 Fleranvändar-PC Avser en dator som används av två eller fler användare. Inloggning med användar id krävs. T10 Funktions-PC Avser en nedlåst dator som är dedikerad för ett specifikt ändamål. T11 MT-dator Avser en dator som ingår i ett medicintekniskt system, eventuellt reglerat under Medicintekniska direktiv. T12 Utvecklar-PC Avser en dator som används för utvecklarändamål inom IT. T13 Bärbar dator Avser en dator av typen laptop/notebook T14 Mobil enhet Avser en handdator av typen notepad/smartphone. T15 Tunn klient /Thin client device Avser en typ av dator med minimala interna resurser och som istället nyttjar datorkraft från servrar på nätet för att exekvera applikationer eller processa/lagra data. En Tunn klient/thin client device är alltså en klient som är HW mässigt
eklient plattform standard klassificering av klienter 6 av 13 tunn. T16 Fet klient Avser en dator där applikationerna är installerade på en intern hårddisk. Exekverande av applikationer och processande av data sker lokalt. Notera att en Fet klient kan simulera tunn klient om all mjukvara avinstalleras från lokala hårddisken och klienten istället kör applikationer från nätet. T17 Klient virtualisering Avser en teknologi som separerar mjukvaran från hårdvaran och gör det möjligt att kunna accessa en virtuell dator/desktop från vilken klient som helst. T18 Managerad enhet Avser en dator/mobil enhet med en klient-server programvara installerad som möjliggör att manuellt eller automatiskt kunna ha full eller delvis kontroll över datorn. T19 Semimanagerad enhet Avser en dator/mobil enhet med en klient-server programvara installerad som möjliggör att manuellt eller automatiskt kunna ha delvis kontroll över datorn. T20 Omanagerad enhet Avser en dator/mobil enhet utan en klient-server programvara installerad som gör det möjligt att managera enheten. T21 Självmanagerad enhet Avser en dator/mobil enhet där användaren själv initierar och utför installationer, uppdateringar eller ändringar av enhetens konfiguration. * Vid sidan av de svenska begreppen har vi valt att använda även engelska begrepp där dessa är vedertagna i vardagligt språk och där det inte finns någon svensk motsvarighet. Avgränsningar Standarden beskriver på vilket sätt en klassificering av klienter ska hanteras, utan att vara låst till en specifik leverantör. Information kring standarden Denna standard beskriver en klassificering av klienter för operativsystem och mjukvara för att användas som en gemensam standard för en regional PC-arbetsplats med hög kvalité, tillförlitlighet och säkerhet. Styrande principer för en gemensam klassificering av klienter ställer krav på en uppsättning av regler för de komponenter som en klassificering av klienter utgörs av.
eklient plattform standard klassificering av klienter 7 av 13 Klassificering av klienter Hårdvaruplattform Klient/Klientdator Avser en dator av någon typ som är uppkopplad mot ett klient-server baserat nätverk. Workstation/Arbetsstation En stationär dator med hög prestanda. Snabb processor, stort RAM minne, stor intern hårddisk samt högpresterande grafikkort i kombination med extern bildskärm, tangentbord och mus. Används ofta för processor/grafikkrävande applikationer. Kopplas till nätet via nätverkskortet med nätverkskabel. Strömförsörjning via AC/DC strömkabel. Kan vara managerad, omanagerad eller självmanagerad. Kan ingå i en resursdomän som t.ex. Active Directory (AD) och få konfiguration och policys med automatik. Stationär klient finns alltid i verksamhetens lokaler och kan därmed betraktas enklare att managera jämfört med en bärbar dator och en mobil enhet. Stationär klient finns alltid i verksamhetens lokaler och kan därmed betraktas enklare att hantera säkerhetsmässigt jämfört med en bärbar dator och en mobil enhet. Vissa modeller är certifierade mot en viss typ av OS (Operativsystem) vilket borgar för att hårdvaran är kompatibel samt att certifierade drivrutiner är testade mot operativsystemet. TPM (Trusted Platform Module), UEFI (Unified Extensible Firmware Interface) Boot samt exempelvis Bitlocker hårddiskkryptering är ofta valbara hårdvarubaserade säkerhetskomponenter. Desktop En stationär dator designad för att få plats ovanpå skrivbordet. Har oftast lägre prestanda än en workstation. Används i kombination med extern bildskärm, tangentbord och mus. Kopplas till nätet via det interna nätverkskortet med nätverkskabel. Strömförsörjning via AC/DC strömkabel. Kan vara managerad, omanagerad eller självmanagerad. Kan ingå i en resursdomän som t.ex Active Directory (AD) och få konfiguration och policys med automatik. Stationär klient finns alltid i verksamhetens lokaler och kan därmed betraktas enklare att managera jämfört med en bärbar dator och en mobil enhet. Stationär klient finns alltid i verksamhetens lokaler och kan därmed betraktas enklare att hantera säkerhetsmässigt jämfört med en bärbar dator och en mobil enhet. Vissa modeller är certifierade mot en viss typ av OS (Operativsystem) vilket borgar för att hårdvaran är kompatibel samt att certifierade drivrutiner är testade mot operativsystemet. TPM (Trusted Platform Module), UEFI (Unified Extensible Firmware Interface) Boot samt exempelvis Bitlocker hårddiskkryptering är ofta valbara hårdvarubaserade säkerhetskomponenter.
eklient plattform standard klassificering av klienter 8 av 13 Laptop En bärbar dator där bildskärm, nätverkskort, mus samt tangentbord är interna komponenter. Kopplas till nätet via nätverkskortet med nätverkskabel alternativt via trådlöst WiFi om stöd för detta finns. Strömförsörjning via AC/DC strömkabel eller batteri. Kan vara managerad, omanagerad eller självmanagerad. Kan ingå i en resursdomän som t.ex Active Directory (AD) och få konfiguration och policys med automatik. Vissa modeller är certifierade mot en viss typ av OS (Operativsystem) vilket borgar för att hårdvaran är kompatibel samt att certifierade drivrutiner är testade mot operativsystemet. TPM (Trusted Platform Module), UEFI (Unified Extensible Firmware Interface) Boot samt exempelvis Bitlocker hårddiskkryptering är ofta valbara hårdvarubaserade säkerhetskomponenter. Notebook En lätt, tunn, bärbar dator där bildskärm, nätverkskort, mus samt tangentbord är interna komponenter. Saknar oftast DVD/CD media. Kopplas till nätet via nätverkskortet med nätverkskabel alternativt via trådlöst WiFi om stöd för detta finns. Strömförsörjning med AC/DC strömkabel eller batteri. Kan vara managerad, omanagerad eller självmanagerad. Kan ingå i en resursdomän som t.ex Active Directory (AD) och få konfiguration och policys med automatik. Vissa modeller är certifierade mot en viss typ av OS (Operativsystem) vilket borgar för att hårdvaran är kompatibel samt att certifierade drivrutiner är testade mot operativsystemet. TPM (Trusted Platform Module), UEFI (Unified Extensible Firmware Interface) Boot samt exempelvis Bitlocker hårddiskkryptering är ofta valbara hårdvarubaserade säkerhetskomponenter. Notepad/Surfplatta En bärbar handdator med pekskärm. Har ett virtuellt tangentbord och styrs genom att peka på skärmen med fingrarna. Kan oftast kopplas mot nätet via trådlöst WiFi. Användningsområdet är mer fokuserat till att konsumera än att skapa data. Strömförsörjning med AC/DC strömkabel eller batteri. Kan vara managerad, omanagerad eller självmanagerad. Manageras med hjälp av en klientserver programvara som installeras på enheten. Klientprogramvaran kontaktar automatiskt servern och kan därefter manageras på distans, antingen enskilt eller gruppvis, från en administrativ management konsol. Mobila enheter är oftast bestyckade med både kamera samt inspelningsmöjligheter och kan koppla upp sig mot olika typer av publika nät vilket innebär att de är extra utsatta för risker av olika slag. Särskild säkerhets och handhavande regler måste beaktas för att skydda kunder/patienters data samt integritet. Exempelvis får det inte finnas patientinfo lagrad som strider mot verksamhetens policys. Mobila enheter är stöldbegärligt gods.
eklient plattform standard klassificering av klienter 9 av 13 Smartphone Avser en typ av senare generationers mobiltelefon som kan användas som en handdator och har ett operativsystem som tillåter att ladda ned samt köra avancerade applikationer/tillämpningar som kräver höghastighets uppkoppling till internet. Kan vara managerad, omanagerad eller självmanagerad. Manageras med hjälp av en klientserver programvara som installeras på enheten. Klientprogramvaran kontaktar automatiskt servern och kan därefter manageras på distans, antingen enskilt eller gruppvis, från en administrativ management konsol. Mobila enheter oftast är bestyckade med både kamera samt inspelningsmöjligheter och kan koppla upp sig mot olika typer av publika nät vilket innebär att de är extra utsatta för risker av olika slag. Särskild säkerhets och handhavande regler måste beaktas för att skydda kunder/patienters data samt integritet. Exempelvis får det ej finnas patientinfo på mobila enheter. Mobila enheter är stöldbegärligt gods. Minneskortet i en telefon är oftast helt oskyddat och lätt att läsa i händerna på obehörig. Klient virtualisering Avser en teknologi som separerar mjukvaran från hårdvaran och gör det möjligt att kunna virtualisera klienter och applikationer. De virtualiserade klienterna körs på speciella hyper visor servrar. Man kan på ett säkert sätt accessa en virtuell dator/desktop över internet oavsett vilken access klient man använder. Virtualiserade klienter manageras och uppdateras centralt i datacenters. Klient enheter som accessar en virtuell klient kommunicerar med krypterad trafik mot en virtuell managerad säker miljö som körs på servrar i datacenters. Tunn Klient/Thin client device Avser en typ av dator med minimala interna resurser och där användaren istället använder datorkraft från servrar på nätet för att exekvera applikationer och processa/lagra data. En Tunn klient/thin client device är alltså en klient som är HW mässigt tunn. Tunna klienter kan enkelt manageras med hjälp av en management programvara som kan konfigurera, uppgradera, spåra och klona enheterna samt den installerade hårdvarubaserade mjukvaran. En tunn klient är säker. Enheten lagrar inga data och användaren kommunicerar med krypterad trafik mot en virtuell managerad säker miljö som körs på servrar i datacenters. Fet klient Avser en dator där de flesta applikationerna är installerade på den lokala hårddisken. Exekverande av applikationer och processande av data sker lokalt. Notera att en Fet klient kan simulera tunn klient om all mjukvara avinstalleras från lokala hårddisken och klienten istället kör applikationer från nätet.
eklient plattform standard klassificering av klienter 10 av 13 Kan vara managerad, omanagerad eller självmanagerad. Kan ingå i en resursdomän som t.ex Active Directory (AD) och få konfiguration och policys med automatik. Vissa modeller är certifierade mot en viss typ av OS (Operativsystem) vilket borgar för att hårdvaran är kompatibel samt att certifierade drivrutiner är testade mot operativsystemet. TPM (Trusted Platform Module), UEFI (Unified Extensible Firmware Interface) Boot samt exempelvis Bitlocker hårddiskkryptering är ofta valbara hårdvarubaserade säkerhetskomponenter. Kategorier Kiosk-PC En nedlåst s.k. surfdator som använder förkonfigurerad automatisk inloggning. Endast möjligt att köra vissa utvalda applikationer ex. en web läsare. Datorn är managerad och är medlem i active directory (AD). Datorn får policys från AD som låser ned den till önskad säkerhetsnivå. Flertalet management system har en klientprogramvara som söker efter tillgängliga uppdateringar varje gång en användare loggar på. Nedlåsta datorer (med automatisk inloggning som exempelvis gäst) bör då ha schemalagda omstarter för att säkerhetsuppdateringar skall kunna upptäckas, laddas ned samt installeras. Fleranvändar-PC Avser en dator som används av 2 eller fler användare. Datorn är managerad och medlem i active directory (AD). Inloggning med användarid krävs. Funktions-PC Termen Funktions-PC avser någon av de två typerna: 1. Vård-PC Avser en nedlåst, krypterad PC där vårdstöd körs. Datorn är managerad och är medlem i active directory (AD). Inloggning med användarid krävs. Datorn får policys från AD som låser ned den till önskad säkerhetsnivå. En Vård-PC skall ej vara tillgänglig på distans. 2. Administrativ-PC Används för administrativa ändamål.
eklient plattform standard klassificering av klienter 11 av 13 Datorn är managerad och är medlem i active directory (AD). Inloggning med användarid i administrativ roll antas. MT-dator En MT-dator avser en dator som ingår i ett medicintekniskt system, eventuellt reglerat under Medicintekniska direktiv. MT-datorer kan vara av fyra olika typer beroende på särskilda krav på prestanda, tillgänglighet, säkerhet och administrativ funktion. Typ 0 MT-dator som saknar koppling till nätverk. Typ 1 MT-dator som har koppling till nätverk (IP-adress) men inte är medlem i domänen. Typ 2 MT-dator som kopplas mot allmänt nätverk och loggar in i detta för åtkomst till gemensamma resurser. Är medlem i domänen. Typ 3 Persondator installerad enligt regionens standard men som innehåller en medicinteknisk tillämpning. Utvecklar-PC Avser en dator som används för utvecklarändamål inom IT området. Bärbar dator Avser en bärbar dator av typen laptop/notebook Kan vara managerad, omanagerad eller självmanagerad. Manageras med hjälp av en klientserver programvara som installeras på enheten. Klientprogramvaran kontaktar automatiskt servern och kan därefter manageras remote, antingen enskilt eller gruppvis, från en administrativ management konsol. Bärbar dator är oftast bestyckad med både kamera samt inspelningsmöjligheter och kan koppla upp sig mot olika typer av publika nät vilket innebär att de är extra utsatta för risker av olika slag. Särskild säkerhets och handhavande regler måste beaktas för att skydda kunder/patienters data samt integritet. Exempelvis får det ej finnas patientinfo på bärbara datorer. Bärbara datorer är stöldbegärligt gods. Mobil enhet Avser en handdator av typen notepad/smartphone. Kan vara managerad, omanagerad eller självmanagerad. Manageras med hjälp av en klientserver programvara som installeras på enheten. Klientprogramvaran kontaktar automatiskt servern och kan därefter manageras remote, antingen enskilt eller gruppvis, från en administrativ management konsol. Mobila enheter är oftast bestyckade med både kamera samt inspelningsmöjligheter och kan koppla upp sig mot olika typer av publika nät vilket innebär att de är extra utsatta för risker
eklient plattform standard klassificering av klienter 12 av 13 av olika slag. Särskild säkerhets och handhavande regler måste beaktas för att skydda kunder/patienters data samt integritet. Exempelvis får det ej finnas patientinfo på mobila enheter. Mobila enheter är stöldbegärligt gods. Minneskortet i en telefon är oftast helt oskyddat och lätt att läsa i händerna på obehörig. Managerad enhet Avser en dator/mobil enhet med en klient-server programvara installerad som möjliggör att manuellt eller automatiskt kunna ha full eller delvis kontroll över enheten. Semimanagerad enhet Avser en dator/mobil enhet med en klient-server programvara installerad som möjliggör att manuellt eller automatiskt kunna ha delvis kontroll över enheten. Omanagerad enhet Avser en dator/mobil enhet utan en klient-server programvara installerad som gör det möjligt att managera enheten. Självmanagerad enhet Avser en dator/mobil enhet där användaren själv initierar och utför installationer, uppdateringar eller ändringar av enhetens konfiguration.
BYOD / Självmanagerad Omanagerad Semimanagerad Managerad 1 Factor Authentication Multi Factor Authentication Klient virutalisering Bärbar dator Mobil enhet eklient i samverkan eklient plattform standard klassificering av klienter 13 av 13 Funktionstabell Syftet med funktionstabellen är att på ett, enkelt, övergripande och tydligt sätt visualisera möjliga kombinationer mellan klient typ och viss typ av funktionalitet som beskrivs i texten. Klienttyperna på Y axeln matchas mot funktionalitet på X axeln. Funktionstabellen ska inte på något sätt betraktas som komplett utan är bara ett exempel på de mest väsentliga funktionerna som beskrivs i texten och som differentierar de olika klienttyperna. Funktion Klienttyper Workstation / Arbetsstation J J J J J J J N N Desktop J J J J J J J N N Laptop J J J J J J J J N Notebook J J J J J J J J N Notepad / Surfplatta J J J J J Ev J N J Smartphone J J J J J Ev J N J Kiosk-PC N N N J J Ev Ev N N Fleranvändar-PC N N J J J J J N N Funktions-PC N N N J J J Ev N N MT-dator typ 0 Ev Ev Ev Ev J J N N N MT-dator typ 1 N J N N J J Ev N N MT-dator typ 2 N N J J J J Ev N N MT-dator typ 3 N N J J J J Ev N N Utvecklar PC J J J J J J J J N Tunn Klient / Thin Client device N J J J J J J N N Fet Klient J J J J J J J N N Ja = innebär att kombinationen är möjlig Nej = innebär att kombinationen inte är möjlig Eventuellt = innebär att hänsyn måste tas till klientens ändamål