View
28
Download
2
Category
Preview:
DESCRIPTION
Il Sistema Pubblico di Connettività. Maurizio Dècina Politecnico di Milano Gruppo di Lavoro SPC- MIT V Conferenza Nazionale CISIS Matera, 16 Ottobre 2003. Scenario attuale. - PowerPoint PPT Presentation
Citation preview
PolitecnicoPolitecnicodi Milanodi Milano
Ministero per l’InnovazioneMinistero per l’Innovazionee le Tecnologiee le TecnologieCentro Tecnico RUPACentro Tecnico RUPA
Il Sistema Pubblico di ConnettivitàIl Sistema Pubblico di Connettività
Maurizio DècinaMaurizio DècinaPolitecnico di MilanoPolitecnico di Milano
Gruppo di Lavoro SPC- MITGruppo di Lavoro SPC- MIT
V Conferenza Nazionale CISIS V Conferenza Nazionale CISIS Matera, 16 Ottobre 2003Matera, 16 Ottobre 2003
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--22--
Scenario attualeScenario attuale
Le PA centrali e alcune PA locali utilizzano oggi la Rete Unitaria come infrastruttura di comunicazione, con contratti in scadenza nel 2004Alcune Reti Regionali aggregano comuni e province della regione, configurandosi come ISP delle PAL aderentiLa tecnologia di Internet a garanzia della Qualità di Servizio e della Sicurezza delle Comunicazioni sta avviandosi verso la maturità di mercatoLa fornitura di servizi telematici in un mercato concorrenziale che valorizza le autonomie locali, permette ad una pluralità di attori di contribuire all’innovazione tecnologica e allo sviluppo del PaeseNasce quindi l’esigenza di realizzare un ‘sistema di fiducia’, con regole di interconnessione comuni, che:
permetta a tutte le PA di essere connesse tra di loro con gli adeguati standard di qualità e sicurezzagarantisca l’integrità dello sviluppo del sistema telematico a livello di Paese
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--33--
Il Sistema Pubblico di Connettività ed i Il Sistema Pubblico di Connettività ed i suoi obiettivi principalisuoi obiettivi principali
Il Sistema Pubblico di Connettività (SPC): è l’ombrello’ che inquadra la realizzazione delle infrastrutture di comunicazione della PA nel suo complessoObiettivi principali
Garantire l’interazione telematica della pubblica amministrazione centrale e locale con i cittadini e le impreseRealizzare un’architettura multi-fornitore che favorisca lo sviluppo del mercato e della concorrenzaFornire un’infrastruttura che permetta l’interoperabilità tra le pubbliche amministrazioni e la realizzazione di reti interne alle pubbliche amministrazioni Fornire un insieme di servizi standard condivisi dagli enti interconnessi ed erogati da una pluralità di fornitoriRealizzare i necessari standard di qualità e di sicurezza atti a garantire l’integrità del sistema telematico a livello PaeseStimolare lo sviluppo dell’Internet italiana e l’accessibilità via Internet dei cittadini verso la PA
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--44--
I principali obiettivi del SPCI principali obiettivi del SPC
Asp 1Asp 1 Asp 2Asp 2
Cittadini e impreseCittadini e imprese
MILANOMILANOTOTORIRINONO
GENOVAGENOVAANCONAANCONA
L’AQUILAL’AQUILACAMPOBASSOCAMPOBASSO
BARIBARI
CATANZAROCATANZARO
PALERMOPALERMO
CAGLIARICAGLIARI
NAPOLINAPOLI
TRIESTETRIESTE
InternetInternet
Provider 1Provider 1
Provider 2Provider 2
Provider 3Provider 3
……
Provider 1Provider 1IP BE 2Mbps x€IP BE 2Mbps x€IP BE 100 Mbps IP BE 100 Mbps y€y€……..Provider 2Provider 2IP HQ 2Mbps k€IP HQ 2Mbps k€IP HQ 100 Mbps IP HQ 100 Mbps z€z€
LISTINO LISTINO SERVIZISERVIZI
Asp Asp
33
PACPACRUPARRUPAR
PALPAL
PACPAC
RUPARRUPARPALPAL
PACPAC
RUPARRUPARPALPAL
Struttura di gestioneStruttura di gestionedella qualitàdella qualità
ISP NazionaleISP NazionaleISP RegionaleISP Regionale
ISP LocaleISP Locale
Internet qualificataInternet qualificata
TT
33
VENEZIAVENEZIABOLOGNABOLOGNA
PERUGIAPERUGIAFIRENZEFIRENZE
ROMAROMA
Struttura di gestioneStruttura di gestionedella sicurezzadella sicurezza
PROVIDER PROVIDER QUALIFICATIQUALIFICATI
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--55--
Servizi e enti qualificatiServizi e enti qualificati
I Servizi del SPCI Servizi del SPC
Servizi di trasportoServizi di sicurezzaServizi di interoperabilità di baseServizi di supportoServizi applicativi
Gli Enti Qualificati del SPCGli Enti Qualificati del SPC
Internet Service Provider, (Q-ISP)Community Network, (Q-CN)Security Service Provider, (Q-SSP)Application Service Provider, (Q-ASP)
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--66--
Schema funzionale SPCSchema funzionale SPC
CERTCERT PKIPKI
Centro di GestioneCentro di Gestione
Q-ISP Q-ISP Qualif.- Community NetworkQualif.- Community Network
InternetInternet
PAPA PAPA PAPA PAPA
NOC-QXNNOC-QXN
NOC-QISPNOC-QISPNOC-QCNNOC-QCN
Struttura di Struttura di coordinamentocoordinamento
Qualif. eXchange NetworkQualif. eXchange Network
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--77--
Il Modello SPCIl Modello SPC
La necessità di realizzare un Sistema nel quale la comunicazione tra le diverse PA avvenga con caratteristiche di qualità e sicurezza garantite “end to end”, in un contesto multi-fornitore, implica:
la realizzazione di una infrastruttura di interconnessione e di controllola definizione di opportune ‘regole’ che dovranno essere rispettate da tutti gli attori coinvolti
L’infrastruttura di interconnessione è denominata QXNIl controllo operativo dell’SPC è delegato al Centro di Gestione, connesso con il NOC del QXN e responsabile delle misure e delle procedure per garantire la qualità e la sicurezza delle comunicazioniLa regia del sistema SPC, in termini di politiche e direttive, è delegata alla Stuttura di CoordinamentoLe regole sono quelle della ‘qualificazione’ dei servizi e dei fornitori di servizi, la cui applicazione è delegata alla Struttura di Coordinamento e in termini operativi al Centro di Gestione
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--88--
Organizzazione della sicurezzaOrganizzazione della sicurezza(Il sistema di fiducia)(Il sistema di fiducia)
Comitato Comitato strategicostrategico sicurezza sicurezza
SPCSPC
Responsabile sicurezza SPC
Politiche e direttive
Struttura di Controllo Struttura di Controllo del SPC (SCSPC)del SPC (SCSPC)
Responsabile operativo
locale sicurezza SPC
Fornitore qualificatoFornitore qualificato
Responsabile operativo
sicurezza SPC
Misure eMisure eprocedureprocedure
Centro di gestione SPC Centro di gestione SPC (CGSPC)(CGSPC)
Responsabile Responsabile operativooperativo
PKIPKICertificati Certificati
digitalidigitali
Gestore tecnico Gestore tecnico PKIPKI
CERT CERT SPCSPC
Contingency Contingency PlanPlan
Incident Incident ResponseResponse
Rete Regionale Rete Regionale qualificataqualificata
Responsabile locale
sicurezza SPC
AmministrazioneAmministrazione
Responsabile operativo
locale sicurezza SPC
Responsabile operativo
localesicurezza SPC
Responsabile locale
sicurezza SPC
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--99--
Qualificazione degli enti e dei Qualificazione degli enti e dei serviziservizi
Requisiti industriali: struttura, personale, gestione Requisiti industriali: struttura, personale, gestione sub-fornitori, ...sub-fornitori, ...
Requisiti infrastrutturali: tecnologie, dependability, Requisiti infrastrutturali: tecnologie, dependability, siti,..siti,..
Qualità, prestazioni, modalità di erogazioneQualità, prestazioni, modalità di erogazione
La struttura di controllo valuta le richieste di La struttura di controllo valuta le richieste di qualificazione e iscrive nell’elenco i fornitori qualificazione e iscrive nell’elenco i fornitori qualificati specificando i servizi qualificati. La qualificati specificando i servizi qualificati. La valutazione puòvalutazione puòessere delegata a strutture perifericheessere delegata a strutture periferiche
Oggetto Oggetto della della qualificazionqualificazionee
Modello di Modello di qualificazionqualificazionee
FornitoreFornitore
ServiziServizi
Locale, centrale Locale, centrale
Inosservanza degli SLAInosservanza degli SLA IncidentiIncidenti Segnalazione utentiSegnalazione utenti
RichiamoRichiamo PenaliPenali Perdita della qualificazionePerdita della qualificazione DisconnessioneDisconnessione
Verifica della Verifica della qualificazionqualificazionee
Audit Audit periodicoperiodico
In caso di In caso di anomalieanomalie
SanzioniSanzioni
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1010--
La Qualified eXchange Network La Qualified eXchange Network (QXN)(QXN)
QQ--ISP 2ISP 2QQ--ISP 2ISP 2
QQ--CN1CN1QQ--CN1CN1
QQ--ISP 3ISP 3
QQ--ISPISP 44QQ--ISPISP 44QQ--ISP 1ISP 1QQ--ISP 1ISP 1
ISP 2ISP 2ISP 2ISP 2QualifiedQualifiedeXchangeeXchangeNetworkNetwork
Sede NAP ASede NAP ASede NAP ASede NAP A
Sede NAP BSede NAP BSede NAP BSede NAP B
Sede NAP CSede NAP CSede NAP CSede NAP C
PA PA PA PA
PA PA PA PA
PA PA PA PA
PA PA PA PA PA PA PA PA
PA PA PA PA
PA PA PA PA ISP 1ISP 1ISP 1ISP 1
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1111--
QXNQXN
Q-ISP 2Q-ISP 2
InternetInternet
ISP 1ISP 1
PA 2PA 2
Cittadino Cittadino 22
Q-ISP 1Q-ISP 1
PA 1PA 1 Cittadino 1Cittadino 1
Cittadino/Cittadino/PAPA
PA 3PA 3
55
33
Centro di gestione
SPC
44
1122
FlussiFlussi
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1212--
Classi IP tipiche per il supporto di Classi IP tipiche per il supporto di differenti servizi differenti servizi
Classi per servizi standardBest effort (IPStd-1)Sensitive but not critical data (IPStd-2)Critical high priority data (IPStd-3) (transazioni in ambito finanziario, bancario)
Classi per servizi real timePer applicazioni audio/video a bassa interattività ed alto buffering (IPAV-1)Per Voice over IP(IPAV-2)Per applicazioni di videoconferenza e cooperative processing o per audio/video streaming in alta qualità e basso buffering (IPAV-3)
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1313--
NANAPP
Q-ISP Q-ISP 11
Q-ISP 2Q-ISP 2
PA-1PA-1
PA-2PA-2
PA-4PA-4
PA-3PA-3
Q-ISP 3Q-ISP 3
DNSDNS
PASPAS
Punto
di
Punto
di
misu
ram
isura
Qualità del servizio di trasportoQualità del servizio di trasporto
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1414--
Soglie di qualità del servizioSoglie di qualità del servizio
Banda minima garantita (PAS-QXN)
Round trip delay (RTD)/One way Delay (OWD)
Jitter Packet loss
IPStd-1 (IP best effort)
-RTD
50% dei campioni <200ms95% dei campioni <300ms
100% dei campioni <1.000ms
- Numero dei campioni
scartati < 0.2%
IPStd-2 (sensitive not critical)
X RTD50% dei campioni <200ms95% dei campioni <300ms
100% dei campioni <1.000ms
- Numero dei campioni
scartati < 0.1%
IPStd-3 (critical) X RTD95% dei campioni <100ms
100% dei campioni <500ms
- Numero dei campioni
scartati < 0.1%
IPAV-1 (applicazioni audio video bassa interattività ed alto buffering)
X OWD95% dei campioni < 100ms
20ms Numero dei campioni
scartati < 0.1%
IPAV-2 (Voce su IP - VoIP)
X OWD95% dei campioni < 50ms
10ms Numero dei campioni
scartati < 0.1%
IPAV-3 (videoconferenza, audio/video streaming in alta qualità e basso buffering)
X OWD95% dei campioni < 50ms
10ms Numero dei campioni scartati <
0.05%
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1515--
Servizi di sicurezzaServizi di sicurezza
Intra-dominioIntra-dominioInter-dominioInter-dominioInternetInternet
(CONNESSIONE (CONNESSIONE CON RETE CON RETE UNTRUSTED)UNTRUSTED)
(CONNESSIONE (CONNESSIONE CON RETE CON RETE TRUSTED)TRUSTED)
OBBLIGATORIOBBLIGATORI(qualificati)(qualificati)
OPZIONALI OPZIONALI (Non qualificati)(Non qualificati)
VPN (gw-to-gw)VPN (gw-to-gw)• FirewallFirewall• N-IDSN-IDS• NATNAT
OPZIONALI OPZIONALI (qualificati)(qualificati)
AntivirusAntivirus H-IDSH-IDS PKI-CAPKI-CA Hardening sistemi Hardening sistemi
criticicritici Vulnerability Vulnerability
AssessmentAssessment
• N-IDSN-IDS• AntivirusAntivirus• H-IDSH-IDS• FirewallFirewall• VPN (gw-to-gw)VPN (gw-to-gw)• PKI-CAPKI-CA
Content FilteringContent Filtering Vulnerability/Vulnerability/
Patch Patch ManagementManagement
Security Advisor Security Advisor ConsulenzaConsulenza FormazioneFormazione
Content FilteringContent Filtering Vulnerability/Vulnerability/
Patch Patch ManagementManagement
Security Advisor Security Advisor ConsulenzaConsulenza FormazioneFormazione
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1616--
Profili dei servizi di sicurezzaProfili dei servizi di sicurezza
C1C1 C4C4C2C2 C3C3L1L1
L2L2L3L3
S1S1
S2S2
S3S3
CaratteristicCaratteristichehe
Livelli di Livelli di ServizioServizio
Servizio Servizio QOBQOB
S 1 S 2 S 3
Firewall
NATVPNIDS
Profilo Serv.QualifProfilo Serv.Qualif..Obblig. Obblig. (QOB) (QOB)
Profilo FirewallProfilo Firewall
Profilo IDSProfilo IDSSegmenti di Segmenti di
ReteReteNum Max Num Max SignatureSignature
2 di cui 1 dmz2 di cui 1 dmz
C
C
22
NONOSISI
1 int / ext1 int / ext
C
C
11
BaseBase NONOSISI
3 int/ext/dmz3 int/ext/dmz
C
C
33
NONOSISI
4 int/ext4 int/ext Avanz.Avanz.
C
C
44
NONOSISI
High AvailabilityHigh Availability
Profilo VPNProfilo VPN
Servizi di sicurezza Qualificati ObbligatoriServizi di sicurezza Qualificati Obbligatori
Num Max Num Max Tunnel Tunnel
contemporaneicontemporanei
Throughput Throughput Cifrato Cifrato [Mbps][Mbps]
5050
C
C
22
22 NONOSISI
55C
C
11
0,5120,512 NONO
100100
C
C
33
8 / 108 / 10 NONOSISI
1000 1000 3434
C
C
44
SISI
High AvailabilityHigh Availability
----
----
C
C
33
Segmenti di Segmenti di reterete
Num Num Nodi IPNodi IP
1/no dmz1/no dmz
C
C
22C
C
11
2525
C
C
44
0,5120,512
ThroughThroughputput
[Mbps][Mbps]
2 di cui 1 dmz2 di cui 1 dmz 5050 22
3 di cui 2 dmz3 di cui 2 dmz 100100 8/108/10
Oltre 2 dmzOltre 2 dmz unlimitedunlimited 3434
NONO
NONO
NONO
NONO
SISI
SISI
SISI
La funzionalità di NAT è comune a tutti i profili e deve La funzionalità di NAT è comune a tutti i profili e deve supportare NAT, PAT, GROUP. Il firewall dovrà essere supportare NAT, PAT, GROUP. Il firewall dovrà essere StatefullStatefull
High AvailabilityHigh Availability
----
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1717--
Servizi di Sicurezza: gli SLAServizi di Sicurezza: gli SLA
L1 L2 L3
Raccolta log H24x365gg H24x365gg H24x365gg
Reporting on-line Base Avanzato Avanzato
Disponibilità on-line dei log 1 mese 3 mesi 3 mesi
Monitoraggio proattivo Non disponibile Non disponibile H24x365gg
Help Desk (periodo supporto) Lu-Ve 7-19 Lu-Ve 7-19 H24x365ggSa-Do 9-17
Supporto tecnico telefonico Lu-Ve 9-18 Lu-Ve 9-18 Lu-Ve 9-18
Richiesta di change incluse Normali 24 annoUrgenti 0 anno
Normali 24 annoUrgenti 12 anno
Normali 96 annoUrgenti 24 anno
Garanzia di installazionee set-up
40gg lavorativi 40gg lavorativi 20gg lavorativi
Garanzia di aggiornamentoSW (legate a sicurezza)
10gg lavorativi da completamento test
5gg lavorativi da completamento test
3gg lavorativi da completamento test
Garanzia di implementazionerichiesta di change policy
Normali 24 oreUrgenti 12 ore
Normali 24 oreUrgenti 12 ore
Normali 24 oreUrgenti 12 ore
Garanzia di Incident Handling Da concordare Da concordare Da concordare
Garanzia di Ripristino HW/SW Entro 12 ore Entro 8 ore Entro 8 ore
Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--1818--
Stato avanzamento lavoriStato avanzamento lavori
Ad oggi sono stati attivati 2 gruppi di lavoro Qualità/prestazioni del SPCSicurezza del SPC
I due gruppi sono formati complessivamente da circa 120 persone tra rappresentanti degli enti locali, degli operatori, delle associazioni di categoria, del mondo accademico e del Centro Tecnico RUPASono in allestimento sperimentazioni della infrastruttura QXN tra tre NAP: MIX, TOPIX e TIXUn terzo gruppo di lavoro sarà attivato a breve
Servizi applicativi del SPCI primi due gruppi concluderanno i lavori entro l’anno con la definizione dell’architettura e delle caratteristiche tecniche delle infrastrutture da realizzareLe gare d’appalto del SPC sono previste nel 2004
Recommended