Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach poig 2007-2013



Pobieranie 3,98 Mb.
Strona1/2
Data20.05.2018
Rozmiar3,98 Mb.
  1   2

Strona |

Projekt współfinansowany przez Unię Europejską ze środków

Europejskiego Funduszu Rozwoju Regionalnego w ramach POIG 2007-2013

Załącznik Nr 11

do Umowy nr …………………… z dn. … … …. r.

Standardy infrastruktury technicznej i oprogramowania dla klas bezpieczeństwa i klas systemów informatycznych resortu finansów


SPIS TREŚCI:





1. Cel i przeznaczenie dokumentu 2

2. Słownik pojęć 2

3. Dokumenty stowarzyszone 2

4. Wprowadzenie 2

5. Budowa standardów infrastrukturalnych na bazie wymagań systemów, dobrych praktyk i aktualnych rozwiązań technologicznych 2

5.1 Zestawienie obszarów standaryzacji 2

5.2 Zestawienie detalicznej listy standardów 4

5.3 7


5.3.1 Standardy komponentów 7

5.3.2 Standardy branżowe 218

261



  1. Cel i przeznaczenie dokumentu

Dokument definiuje standardy infrastruktury technicznej i oprogramowania w warstwach określonych w dokumencie „Architektura referencyjna środowiska IT CPD MF” dla klas bezpieczeństwa i klas systemów informatycznych resortu finansów zdefiniowanych w dokumentach „Standard określania klasy systemu informatycznego resortu finansów” i „Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów”.


  1. Słownik pojęć



Rozdział usunięty intencjonalnie.
  1. Dokumenty stowarzyszone



Rozdział usunięty intencjonalnie.
  1. Wprowadzenie

Standardy przedstawione w niniejszym dokumencie definiują i opisują właściwe komponenty infrastruktury technicznej oraz oprogramowania, które mapują się na wymagania poszczególnych klas systemów i klas bezpieczeństwa.

Przygotowane standardy są elastyczne, skalowalne oraz neutralne technologicznie i przez cały cykl ich życia powinny pozostawać dokumentami żywymi, aktualizowanymi cyklicznie, wraz z rozwojem technologii dostępnych na rynku i zmianami wymagań stawianych przez poszczególne jednostki organizacyjne resortu finansów.

Zbiór standardów architektonicznych w zakresie infrastruktury i oprogramowania serwerów został przygotowany w postaci opisów bloków architektonicznych, z których mogą być budowane systemy. Opisy bloków architektonicznych zostały zamieszczone w załączniku: „Architektura referencyjna środowiska IT CPD MF” (Załącznik nr 12 do Umowy).



  1. Budowa standardów infrastrukturalnych na bazie wymagań systemów, dobrych praktyk i aktualnych rozwiązań technologicznych

    1. Zestawienie obszarów standaryzacji


Standardy opracowano w dwóch obszarach:

  1. Infrastruktury

  2. Oprogramowania

W pierwszym z obszarów ulokowano standardy rozwiązań, które umiejscawiane są w obszarze infrastruktury, jednakże należy pamiętać, że niektóre spośród opisywanych funkcjonalności mogą być realizowane z użyciem oprogramowania pracującego poza urządzeniem infrastrukturalnym.


Drugi obszar dotyczy rozwiązań typowo programowych.
Istnieją standardy obejmujące zarówno obszar infrastruktury, jak i oprogramowania – dotyczy to przypadków, w których wyraźne rozdzielenie funkcjonalności infrastrukturalnych od funkcjonalności oprogramowania nie jest możliwe, a także przypadków standardów branżowych – technologicznych i bezpieczeństwa – znajdujących zastosowanie zarówno w obszarze infrastruktury, jak i oprogramowania.
Poza ulokowaniem w odpowiednim obszarze, odnosząc się do zapisów umowy, standardy opracowano w odniesieniu do:

  • Stref:

  1. Serwerów,

  2. Zasobów danych,

  3. LAN,

  4. SAN,

  5. WAN;

  • Warstw:

  1. Proxy,

  2. Aplikacyjnej,

  3. Baz danych,

  4. Zasobów danych;

  • Rodzajów i podrodzajów, dla których wyróżniono:

  1. Standardy architektoniczne/konstrukcyjne, w zakresie

    1. Klastrów,

    2. Farm,

    3. Struktur LAN,

    4. Serwerów,

    5. Struktur SAN;

  2. Standardy oprogramowania,

    1. Systemów operacyjnych,

    2. Wirtualizacji,

    3. Serwerów aplikacji,

    4. Baz danych,

    5. Middleware.

  3. Standardy bezpieczeństwa,

    1. W zakresie dostępu,

    2. W zakresie szyfrowania;

  4. Standardy technologiczne, w zakresie:

    1. Macierzy,

    2. Bibliotek taśmowych i wirtualnych,

    3. Serwerów,

    4. Aplikacji,

    5. LAN,

    6. SAN,

    7. WAN;

  5. Standardy sprzętowe/techniczne dla

    1. Serwerów,

    2. Przełączników LAN,

    3. Przełączników SAN,

    4. Macierzy,

    5. Bibliotek;

  6. Standardy proceduralne, w odniesieniu do procedur

    1. Operacyjnych,

    2. Administracyjnych,

    3. Awaryjnych;

  7. Standardy dokumentacyjne w zakresie dokumentacji

    1. Projektowej,

    2. Powykonawczej,

    3. Zbiorczej.

Każdemu ze standardów przydzielono unikalny identyfikator, zgodnie z informacją zawartą w poniższych tabelach.


    1. Zestawienie detalicznej listy standardów


przedstawia listę identyfikatorów oraz nazw standardów zawartych w kolejnych podsekcjach dokumentu.


Identyfikator

Nazwa

S.IA

Standardy infrastrukturalne

S.IA.PSR.B

Standard serwerów kasetowych.

S.IA.PSR.R

Standard serwerów stelażowych.

S.IA.STO.TLB

Standard bibliotek taśmowych.

S.IA.STO.VLB

Standard bibliotek wirtualnych.

S.IA.STO.UNI

Standard dyskowych pamięci masowych.

S.IA.SAN.SW

Standard przełączników SAN.

S.IA.LAN.SW

Standard przełączników LAN i WAN.

S.IA.LAN.FW

Standard zapór sieciowych.

S.IA.LAN.IPS

Standard urządzeń IPS.

S.IA.LAN.RTR

Standard ruterów.

S.IA.LAN.LB

Standard urządzeń równoważenia ruchu sieciowego.

S.SW

Standardy oprogramowania

S.SW.PX.HTT

Standard oprogramowania dla serwera pośredniczącego-typ 1 .

S.SW.PX.SMT

Standard oprogramowania dla serwera pośredniczącego-typ 2 .

S.SW.AP.JEE

Standard oprogramowania dla serwera aplikacyjnego-typ 1 .

S.SW.AP.NET

Standard oprogramowania dla serwera aplikacyjnego-typ 2 .

S.SW.AP.JSP

Standard oprogramowania dla serwera aplikacyjnego-typ 3 .

S.SW.DB

Standard oprogramowania dla serwerów baz danych.

S.SW.VRT.X86

Standard oprogramowania do wirtualizacji platformy x86/64.

S.SW.VRT.RE

Standard oprogramowania do wirtualizacji platformy RISC.

S.SW.OS.X86

Standard systemów operacyjnych dla platformy sprzętowej x86/64.

S.SW.OS.RE

Standard systemów operacyjnych dla platformy sprzętowej RISC.

S.AR

Standardy architektoniczne

S.AR.LAN

Standard architektoniczny infrastruktury dla sieci LAN i WAN.

S.AR.SAN

Standard architektoniczny infrastruktury sieci SAN.

S.AR.CL.X86

Standard architektury klastrów dla platformy sprzętowej x86/64.

S.AR.CL.RE

Standard architektury klastrów dla platformy sprzętowej RISC.

S.AR.FR.PX

Standard architektury farm dla warstwy proxy.

S.AR.FR.AP

Standard architektury farm dla warstwy aplikacyjnej.

S.AR.CL.DB

Standard architektury klastrów wydajnościowych dla warstwy baz danych.

S.SE

Standardy bezpieczeństwa

S.SE.EN.DK

Standard bezpieczeństwa w zakresie szyfrowania danych na dyskach.

S.SE.EN.DB

Standard bezpieczeństwa w zakresie szyfrowania danych w bazach danych.

S.SE.EN.TP

Standard bezpieczeństwa w zakresie szyfrowania danych na taśmach.

S.SE.AT

Standard bezpieczeństwa w zakresie dostępu i autoryzacji.

S.SE.EN.TR

Standard bezpieczeństwa w zakresie szyfrowania danych w transmisji.

S.TE

Standardy branżowe

S.TE.3DES

Standard branżowy - 3DES

S.TE.AES

Standard branżowy - AES

S.TE.PAM

Standard branżowy - PAM

S.TE.DH

Standard branżowy - Diffie-Helmann

S.TE.SSL

Standard branżowy - SSL

S.TE.TLS

Standard branżowy - TLS

S.TE.SSH

Standard branżowy - SSH

S.TE.IPSEC

Standard branżowy - IPSec

S.TE.HTTP

Standard branżowy - HTTP

S.TE.HTTPS

Standard branżowy - HTTPS

S.TE.ASP

Standard branżowy - ASP

S.TE.DNET

Standard branżowy - .NET

S.TE.JEE

Standard branżowy - J2EE

S.TE.JSP

Standard branżowy - JSP

S.TE.SMTP

Standard branżowy - SMTP

S.TE.DNS

Standard branżowy - DNS

S.TE.ISCSI

Standard branżowy - iSCSI

S.TE.IP

Standard branżowy - IP

S.TE.NAT

Standard branżowy - NAT

S.TE.DWDM

Standard branżowy - DWDM

S.TE.ETH

Standard branżowy - Ethernet

S.TE.FC

Standard branżowy - FC

S.TE.VLAN

Standard branżowy - VLAN

S.TE.LACP

Standard branżowy - LACP

S.TE.FIPS140.2

Standard branżowy - FIPS 140-2

S.TE.RDP

Standard branżowy - RDP

S.TE.EFS

Standard branżowy - EFS

S.TE.DMCR

Standard branżowy - DM-Crypt

S.TE.SMIME

Standard branżowy - S/MIME

S.TE.LDAP

Standard branżowy - LDAP

S.TE.RADIUS

Standard branżowy - RADIUS

S.TE.KERB

Standard branżowy - Kerberos

S.TE.X509

Standard branżowy - X.509

S.TE.FIPS180.2

Standard branżowy - FIPS 180-2

S.TE.FIPS197

Standard branżowy - FIPS 197

S.TE.PKCS.1

Standard branżowy - PKCS#1

S.TE.PKCS.7

Standard branżowy - PKCS#7

S.TE.PKCS.10

Standard branżowy - PKCS#10

S.TE.PKCS.11

Standard branżowy - PKCS#11

S.TE.PKCS.12

Standard branżowy - PKCS#12

S.TE.TSP

Standard branżowy - TSP

S.TE.OCSP

Standard branżowy - OCSP

S.TE.UTF8

Standard branżowy - UTF-8

S.TE.SAML

Standard branżowy - SAML

S.PR

Standardy proceduralne

S.PR.OP.SR

Standard procedur operacyjnych dla serwerów.

S.PR.AD.SR

Standard procedur administracyjnych dla serwerów.

S.PR.FL.SR

Standard procedur awaryjnych dla serwerów.

S.PR.OP.STO

Standard procedur operacyjnych dla pamięci masowych.

S.PR.AD.STO

Standard procedur administracyjnych dla pamięci masowych.

S.PR.FL.STO

Standard procedur awaryjnych dla pamięci masowych.

S.PR.OP.LAN

Standard procedur operacyjnych dla sieci LAN i WAN.

S.PR.AD.LAN

Standard procedur administracyjnych dla sieci LAN i WAN.

S.PR.FL.LAN

Standard procedur awaryjnych dla sieci LAN i WAN.

S.PR.OP.SAN

Standard procedur operacyjnych dla sieci SAN.

S.PR.AD.SAN

Standard procedur administracyjnych dla sieci SAN.

S.PR.FL.SAN

Standard procedur awaryjnych dla sieci SAN.

S.PR.OP.PX

Standard procedur operacyjnych dla oprogramowania w warstwie proxy.

S.PR.AD.PX

Standard procedur administracyjnych dla oprogramowania w warstwie proxy.

S.PR.FL.PX

Standard procedur awaryjnych dla oprogramowania w warstwie proxy.

S.PR.OP.AP

Standard procedur operacyjnych dla oprogramowania w warstwie aplikacyjnej.

S.PR.AD.AP

Standard procedur administracyjnych dla oprogramowania w warstwie aplikacyjnej.

S.PR.FL.AP

Standard procedur awaryjnych dla oprogramowania w warstwie aplikacyjnej.

S.PR.OP.DB

Standard procedur operacyjnych dla oprogramowania w warstwie baz danych.

S.PR.AD.DB

Standard procedur administracyjnych dla oprogramowania w warstwie baz danych.

S.PR.FL.DB

Standard procedur awaryjnych dla oprogramowania w warstwie baz danych.

S.PR.TPL

Szablon procedury

S.DO

Standardy dokumentacyjne

S.DO.PROJ.IA

Standard dokumentacji projektowej infrastruktury.

S.DO.PROJ.SW

Standard dokumentacji projektowej oprogramowania.

S.DO.ASB.IA

Standard dokumentacji powykonawczej infrastruktury.

S.DO.ASB.SW

Standard dokumentacji powykonawczej oprogramowania.

S.DO.BULK

Standard dokumentacji zbiorczej infrastruktury i oprogramowania.

Tabela 1 Lista identyfikatorów i nazw standardów



      1. Standardy komponentów


Identyfikator

S.AR.LAN

Nazwa

Standard architektoniczny infrastruktury dla sieci LAN i WAN.

Obszar

Standardy infrastrukturalne

Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Architektoniczny

Klasy systemów

I

II

III



IV

Klasy bezpieczeństwa

B3

B2

B1



BX

Streszczenie

Dokument opisuje standard architektury w zakresie budowy infrastruktury sprzętowej dla sieci LAN oraz WAN, obsługującej ruch we wszystkich warstwach komponentów.

Opis

Poniżej przedstawiono opis standardu w odniesieniu do poszczególnych węzłów i bloków sieci. Na końcu dokumentu zawarto rysunek obrazujący modelowe połączenie pomiędzy wszystkimi węzłami oraz urządzeniami w blokach.
W każdym ośrodku przetwarzania musi istnieć sieć LAN o jednakowej strukturze. Na trasach pomiędzy lokalizacją główną oraz lokalizacjami zapasowymi muszą istnieć trakty DWDM. W ten sposób wszystkie odrębne sieci LAN muszą być połączone w jedną sieć rozległą.
W każdym ośrodku przetwarzania sieć LAN musi składać się z trzech węzłów:

  • Węzła bramki internetowej i intranetowej

  • Węzła rdzeniowego

  • Węzła dystrybucyjnego.

Każdy węzeł musi zawierać odpowiednie bloki funkcjonalne, np. blok przełączników dostępowych, blok przełączników dystrybucyjnych, blok zapór sieciowych, itp.



Każdy blok funkcjonalny musi składać się z dwóch identycznych urządzeń zapewniających redundancję połączeń.


Rysunek 1 Schemat zakresu funkcjonowania bloków architektonicznych infrastruktury LAN/WAN.
Węzeł rdzeniowy

Węzeł rdzeniowy występuje w każdym Ośrodku Przetwarzania, pełniąc funkcję centralnego punktu sieci LAN i zapewniając szybkie przełączanie pomiędzy podsieciami węzła bramki internetowej i intranetowej oraz węzłami dystrybucyjnymi.


Funkcjonalność i technologie

Klasa I, II, III, IV:

  • Węzły rdzeniowe wszystkich ośrodków przetwarzania muszą być połączone poprzez trakty DWDM.

  • Węzeł rdzeniowy będzie zawierał blok przełączników rdzeniowych składający się z dwóch przełączników oraz dwa bloki urządzeń DWDM.

  • Infrastruktura bloku przełączników rdzeniowych musi być zbudowana z przełączników modułowych.

  • Całkowita przepustowość wewnętrzna każdego komponentu infrastruktury musi pozwalać na równoczesną obsługę pełnej przepustowości wszystkich jego portów.

  • Urządzenia infrastruktury muszą być wyposażone w interfejsy o przepustowości 10 Gb/s.

  • Urządzenia infrastruktury muszą mieć możliwość obsługi interfejsów światłowodowych.

  • Urządzenia infrastruktury muszą obsługiwać trasowanie ruchu pomiędzy lokalnymi podsieciami IP.

  • Każdy blok urządzeń DWDM będzie zbudowany z dwóch urządzeń DWDM.


Wirtualizacja

Klasa I, II, III, IV:

  • Infrastruktura musi umożliwiać tworzenie przełączników wirtualnych.

  • Infrastruktura musi umożliwiać obsługę wirtualnych sieci lokalnych (VLAN).

  • Infrastruktura musi umożliwiać znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.

  • Infrastruktura musi umożliwiać agregowanie ruchu w portach wirtualnych (ang. trunking).


Niezawodność i dostępność

Klasa I, II, III, IV:

  • Infrastruktura pojedynczego bloku przełączników rdzeniowych musi być zbudowana z dwóch przełączników modułowych.

  • Układ urządzeń DWDM łączących węzły rdzeniowe wszystkich ośrodków przetwarzania musi być redundantny.


Bezpieczeństwo

Wymagania dotyczące bezpieczeństwa urządzeń aktywnych zawarto w standardach opisujących właściwe komponenty.


Klasa B3, B2, B1:

  • Architektura rdzenia sieci LAN każdego ośrodka przetwarzania musi spełniać wymagania dla klasy B1, zapewniając tym samym możliwość pracy systemom w niższych klasach.


Klasa BX:

  • Wszelkie systemy klasy BX ulokowane w ośrodku przetwarzania muszą być odseparowane fizycznie od innych systemów resortu finansów.

  • Jeśli systemy klasy BX korzystają z innych zasobów infrastruktury resortu finansów, to muszą być stosowane odpowiednie mechanizmy:

    • kontroli dostępu,

    • monitorowania zdarzeń bezpieczeństwa,

    • filtrowania ruchu.


Zarządzanie

Wymagania w zakresie zarządzania urządzeniami aktywnymi zawarto w standardach opisujących właściwe komponenty.



Węzeł dystrybucyjny

Węzły dystrybucyjne będą występować w każdym Ośrodku Przetwarzania i będą podłączone redundantnie do węzła rdzeniowego.


Zadaniem węzła dystrybucyjnego jest:

  • podłączenie lokalnej grupy zasobów do Węzła rdzeniowego poprzez blok przełączników dystrybucyjnych

  • podłączenie serwerów bazodanowych poprzez blok przełączników dystrybucyjnych;

  • podłączenie bloków przełączników dostępowych oraz bloków przełączników dostępowych w kasetach obsługujących serwery aplikacyjne;

  • filtrowanie ruchu sieciowego poprzez blok zapór sieciowych;

  • rozdzielanie ruchu sieciowego do serwerów bazodanowych i aplikacyjnych poprzez blok urządzeń równoważących obciążenie (ang. loadbalancer).



Funkcjonalność i technologie

Klasa I, II, III, IV:

  • Infrastruktura pojedynczego węzła dystrybucyjnego musi zawierać następujące bloki funkcjonalne:

    • blok przełączników dystrybucyjnych;

    • blok przełączników dostępowych;

    • blok przełączników dostępowych w kasetach;

    • blok zapór sieciowych;

    • blok urządzeń równoważących obciążenie.

  • Blok przełączników dystrybucyjnych musi być zbudowany z przełączników modułowych podłączonych do węzła rdzeniowego.

  • Całkowita przepustowość wewnętrzna każdego urządzenia infrastrukturalnego w bloku przełączników dystrybucyjnych musi pozwalać na równoczesną obsługę pełnej przepustowości wszystkich jego portów.

  • Komponenty modułowe w bloku przełączników dystrybucyjnych muszą być wyposażone w interfejsy o przepustowości 10 Gb/s.

  • Każde urządzenie modułowe w bloku przełączników dystrybucyjnych musi mieć możliwość obsługi interfejsów o przepustowości 1 Gb/s.

  • Każdy przełącznik w bloku przełączników dystrybucyjnych musi obsługiwać trasowanie ruchu pomiędzy lokalnymi podsieciami IP.

  • Bloki przełączników dostępowych i bloki przełączników dostępowych w kasetach mają posiadać stałą ilość portów.

  • Przepustowość wewnętrzna przełączników dostępowych może być mniejsza od pełnej przepustowości wszystkich ich portów.

  • Komponenty infrastrukturalne muszą być wyposażone w interfejsy o przepustowości 1Gb/s i 10 Gb/s.

  • Komponenty infrastrukturalne muszą mieć możliwość obsługi interfejsów światłowodowych.

  • Komponenty infrastrukturalne muszą mieć możliwość obsługi interfejsów w standardzie 1000BaseT.


Wirtualizacja

Klasa I, II, III, IV:

  • Infrastruktura musi umożliwiać tworzenie przełączników wirtualnych.

  • Infrastruktura musi umożliwiać obsługę wirtualnych sieci lokalnych (VLAN).

  • Infrastruktura musi umożliwiać znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.

  • Infrastruktura musi umożliwiać agregowanie ruchu w portach wirtualnych (ang. trunking).



Niezawodność i dostępność

Klasa I, II, III, IV:

  • Infrastruktura pojedynczego bloku przełączników dystrybucyjnych musi być zbudowana z dwóch przełączników modułowych.

  • Infrastruktura pojedynczego bloku przełączników dostępowych oraz bloku przełączników dostępowych w kasetach musi być zbudowana z dwóch przełączników o stałej ilości portów.

  • Każdy blok zapór sieciowych będzie składał się z redundantnego układu dwóch urządzeń.

  • Każdy blok urządzeń rozdzielających ruch będzie zbudowany z redundantnego układu dwóch urządzeń.


Bezpieczeństwo

Wymagania dotyczące bezpieczeństwa urządzeń aktywnych zawarto w standardach opisujących właściwe komponenty.


Klasa B3, B2, B1:

  • Architektura rdzenia sieci LAN każdego ośrodka przetwarzania musi spełniać wymagania dla klasy B1, zapewniając tym samym możliwość pracy systemom w niższych klasach.


Klasa BX:

  • Wszelkie systemy klasy BX ulokowane w ośrodku przetwarzania muszą być odseparowane fizycznie od innych systemów resortu finansów.

  • Jeśli systemy klasy BX korzystają z innych zasobów infrastruktury resortu finansów, to muszą być stosowane odpowiednie mechanizmy:

    • kontroli dostępu,

    • monitorowania zdarzeń bezpieczeństwa,

    • filtrowania ruchu.


Zarządzanie

Wymagania w zakresie zarządzania urządzeniami aktywnymi zawarto w standardach opisujących właściwe komponenty.




Węzeł bramki internetowej i intranetowej

Węzeł bramki internetowej i intranetowej będzie występował w każdym ośrodku przetwarzania i będzie łączył ten ośrodek z siecią Internet oraz wewnętrzną siecią WAN Ministerstwa Finansów.


W każdym ośrodku przetwarzania musi istnieć jeden węzeł bramki internetowej i intranetowej.

Węzeł bramki internetowej i intranetowej musi być podłączony do węzła rdzeniowego poprzez blok przełączników dystrybucyjnych.


Zadaniem węzła bramki internetowej i intranetowej jest:

  • podłączenie sieci LAN w danej lokalizacji do Internetu poprzez blok ruterów;

  • podłączenie sieci LAN w danej lokalizacji do intranetu poprzez blok ruterów;

  • filtrowanie ruchu sieciowego przy pomocy bloku zapór sieciowych;

  • śledzenie ruchu danych przy pomocy sond sieciowych;

  • podłączenie lokalnych serwerów proxy poprzez blok przełączników dystrybucyjnych

  • rozdzielanie ruchu sieciowego do serwerów proxy poprzez blok urządzeń równoważących obciążenie (ang. loadbalancer);

  • obsługa wydzielonych stref DMZ zawierających serwery pocztowe, serwery nazw (DNS), itp.


Funkcjonalność i technologie

Klasa I, II, III, IV:

  • Infrastruktura pojedynczego węzła bramki internetowej i intranetowej będzie zawierać następujące bloki funkcjonalne:

    • blok ruterów łączący do Internetu;

    • blok ruterów łączący do intranetu;

    • blok przełączników dostępowych do podłączenia ruterów;

    • blok zapór sieciowych;

    • blok urządzeń równoważących obciążenie;

    • blok przełączników dostępowych dla serwerów w strefach DMZ;

    • blok przełączników dystrybucyjnych;

    • blok przełączników dostępowych dla serwerów proxy.

  • Blok Przełączników Dystrybucyjnych w Węźle Bramki musi być zbudowany z przełączników modułowych;

  • Całkowita przepustowość wewnętrzna każdego przełącznika modułowego w Bloku Przełączników Dystrybucyjnych musi pozwalać na równoczesną obsługę pełnej przepustowości wszystkich jego portów.

  • Każdy przełącznik modułowy w Bloku Przełączników Dystrybucyjnych musi być wyposażony w interfejsy o przepustowości 10 Gb/s.

  • Każde urządzenie modułowe w Bloku Przełączników Dystrybucyjnych musi mieć możliwość obsługi interfejsów o przepustowości 1 Gb/s.

  • Każdy przełącznik w Bloku Przełączników Dystrybucyjnych musi obsługiwać trasowanie ruchu pomiędzy lokalnymi podsieciami IP.

  • Bloki Przełączników Dostępowych w węźle mają posiadać stałą ilość portów.

  • Każdy przełącznik dostępowy musi być wyposażony w interfejsy o przepustowości 1Gb/s i 10 Gb/s.

  • Każdy przełącznik musi mieć możliwość obsługi interfejsów światłowodowych.

  • Każdy przełącznik musi mieć możliwość obsługi interfejsów w standardzie 1000BaseT.

  • Każdy blok zapór sieciowych będzie składał się z redundantnego układu dwóch urządzeń pozwalających na filtrowanie ruchu danych według opracowanej polityki bezpieczeństwa.

  • Każdy Blok Urządzeń Równoważących Obciążenie będzie zbudowany z redundantnego układu dwóch urządzeń pozwalających na rozdzielanie ruchu sieciowego do serwerów świadczących jednakowe usługi.


Wirtualizacja przełączników

Klasa I, II, III, IV:

  • Każdy przełącznik musi umożliwiać programowe połączenie przełączników fizycznych w przełącznik wirtualny.

  • Każdy przełącznik musi umożliwiać obsługę wirtualnych sieci lokalnych (VLAN).

  • Każdy przełącznik musi umożliwiać znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.

  • Każdy przełącznik musi umożliwiać agregowanie portów fizycznych w pojedynczy port wirtualny (ang. trunking) w sposób statyczny lub z użyciem protokołu LACP 802.3ad.


Niezawodność i dostępność

Klasa I, II, III, IV:

  • Infrastruktura pojedynczego Bloku Przełączników Dystrybucyjnych musi być zbudowana z dwóch przełączników modułowych.

  • Infrastruktura pojedynczego Bloku Przełączników Dostępowych oraz Bloku Przełączników Dostępowych w Kasetach musi być zbudowana z dwóch przełączników o stałej ilości portów.

  • Każdy Blok Zapór Sieciowych będzie składał się z redundantnego układu dwóch urządzeń.

  • Każdy Blok Urządzeń Rozdzielających Ruch będzie zbudowany z redundantnego układu dwóch urządzeń.


Bezpieczeństwo

Wymagania dotyczące bezpieczeństwa urządzeń aktywnych zawarto w standardach opisujących właściwe komponenty.


Klasa B3, B2, B1:

  • Architektura rdzenia sieci LAN każdego ośrodka przetwarzania musi spełniać wymagania dla klasy B1, zapewniając tym samym możliwość pracy systemom w niższych klasach.


Klasa BX:

  • Wszelkie systemy klasy BX ulokowane w ośrodku przetwarzania muszą być odseparowane fizycznie od innych systemów resortu finansów.

  • Jeśli systemy klasy BX korzystają z innych zasobów infrastruktury resortu finansów, to muszą być stosowane odpowiednie mechanizmy:

    • kontroli dostępu,

    • monitorowania zdarzeń bezpieczeństwa,

    • filtrowania ruchu.


Zarządzanie

Wymagania w zakresie zarządzania urządzeniami aktywnymi zawarto w standardach opisujących właściwe komponenty.



Przykład infrastruktury LAN/WAN

Poniżej przedstawiono przykładowy obraz bloków infrastrukturalnych sieci LAN/WAN.






  1   2


©operacji.org 2019
wyślij wiadomość

    Strona główna