Vurdering av standarder fra NOSIP. Oktober 2010

Transkript

1 Vurdering av standarder fra NOSIP Oktober 2010

2 1

3 Innholdsfortegnelse 1 Sammendrag Bakgrunn og formål Om gjennomgang av standarder i NOSIP Grunnleggende kommunikasjon og interoperabilitet krav for grunnleggende kommunikasjon og interoperabiltet Vurdering av kravene Sikkerhet Sikkerhetskrav i NOSIP Vurdering av kravene Formater Krav i NOSIP til formater Vurdering av kravene Anvendelser Kravene som gis i Nosip for e post Vurdering av kravene Krav i NOSIP til nyhetsgrupper Vurdering av kravene Krav i Nosip til informasjonstjenester Vurdering av kravene...15 Krav i Nosip til kataloger Vurdering av kravene Krav i Nosip til filoverføring Vurdering av kravene Konklusjon

4 8.1 Konsekvenser Forslag til tekst til referansekatalogen Grunnleggende kommunikasjon og interoperabilitet Filoverføring

5 1 Sammendrag Difi har foretatt en gjennomgang av standarder i NOSIP 1, som gjennom kongelig resolusjon er obligatorisk for statlig sektor. NOSIP anses som noe utdatert, og bør derfor bortfalle som obligatorisk forvaltningsstandard. Imidlertid viser en gjennomgang av NOSIP at enkelte av standardene fremdeles er aktuelle, og bør således videreføres som obligatoriske gjennom forskrift om IT-standarder i forvaltningen/referansekatalogen. Standardene som anbefales videreført er: [RFC 791] IP v4 (Grunnleggende kommunikasjon) [RFC 793] TCP (Grunnleggende kommunikasjon) [RFC ] UDP (Grunnleggende kommunikasjon) [RFC 959] FTP (For filoverføring) [RFC 2616] http 1.1 (For filoverføring) 2 Bakgrunn og formål Forvaltningsstandarden Nosip (Norsk OSI profil) ble vedtatt i kongelig resolusjon i Siste oppdatering av forvaltningsstandarden var i Nosip er en forvaltningsstandard for datakommunikasjon, og formålet med denne var å gi et sett krav og anbefalinger som skulle forenkle kommunikasjon på tvers av ulike sektorer og forvaltningsnivåer. I tillegg skulle Nosip bidra til å gjøre det enklere å kommunisere, formidle og presentere informasjon til forvaltningens brukere. Siste versjon av Nosip ble altså til for ti år siden, og alle inkluderte standarder er ikke lenger like aktuelle. I etterkant har dessuten Referansekatalogen for IT-standarder i offentlig sektor 2 samt forskrift om IT-standarder i offentlig forvaltning 3 tilkommet, og enkelte av anvendelsesområdene i NOSIP har vært gjenstand for nye vurderinger gjennom disse. Formålet med forskrift om IT-standarder i offentlig forvaltning gis i forskriftens 1: ( ) å bidra til at ethvert organ for stat eller kommune ( ) tar i bruk IT-standarder som legger til rette for og fremmer elektronisk samhandling mellom offentlige virksomheter og mellom offentlig sektor og samfunnet for øvrig. For NOSIP anføres at kravet gjelder at ved anskaffelser av datakommunikasjonsutstyr skal kravspesifikasjonen bygge på og referere til NOSIP. Forskrift om IT-standarder omhandler bruk av standardene. Anvendelsesområdene html 4

6 må likevel kunne sies å tilsvare hverandre, hvilket fremkommer av formålene som i begge tilfeller er forenklet kommunikasjon og samhandling. Dermed er det en naturlig utvikling å trekke aktuelle standarder fra Nosip inn i forskrift om IT-standarder i offentlig forvaltning /referansekatalogen, og med det la Nosip utgå som obligatorisk standard for statlig sektor. Difi har gjennomgått kravene i Nosip og funnet et sett med standarder som vi anser kan tas inn i neste versjon av forskrift om IT-standarder i offentlig forvaltning/referansekatalogen for IT-standarder i offentlig sektor. Vår anbefaling er at ved inkludering av aktuelle standarder i forskrift om ITstandarder i offentlig forvaltning/referansekatalogen vil Nosip bortfalle som obligatorisk forvaltningsstandard for statlig sektor, mens de utvalgte standarder fremdeles vil være obligatoriske. Fordi Nosip kun har vært obligatorisk for statlig sektor, vil ikke kommunene omfattes av dette pålegget. For kommunal sektor kan det eventuelt vurderes om de utvalgte standarder skal få status anbefalt i referansekatalogen, eller om det bør utføres en konsekvensutredning med tanke på obligatorisk pålegg også for kommunene 3 Om gjennomgang av standarder i NOSIP NOSIP består av 5 kapitler: NOSIP bakgrunn, formål og virkeområde Grunnleggende kommunikasjon og interoperabilitet Sikkerhet Formater Anvendelser Av disse inneholder de fire siste kapitlene anvendelsesområder med standarder som vurderes videreført. Kravene i NOSIP har hatt ulike kategorier: O= Obligatorisk krav (skal /skal kunne ) B= Betinget krav (dersom skal ) L = Langsiktig krav (På sikt skal /skal være forberedt på..) I = Interimskrav (inntil L-krav er oppnådd skal...) - = Opsjonskrav (kan ) I kapitlene under vil anvendelsesområdene fra NOSIP fremstilles i tabeller. Tabellene vil bestå av standardene som inngår, hvilken kategori de tilhører og om det er naturlig å videreføre kravene uten nye utredninger i forskrift om ITstandarder/referansekatalogen. 5

7 Ja = Anbefales videreført uten videre utredninger = Ikke anbefalt videreført For at en standard kan anbefales videreført som obligatorisk uten videre utredninger krever dette at standarden i seg selv er identisk uten aktuelle nye versjoner, og at ikke endrede behov eller ny teknologi gjør standarden eller anvendelsesområdet uaktuelt. kategorien inkluderer: utdatert/uaktuell teknologi endringer gir behov for videre utredning dersom standarder skal videreføres allerede videreført gjennom referansekatalogen og/eller forskrift Under tabellene redegjøres dette nærmere. 4 Grunnleggende kommunikasjon og interoperabilitet Dette kapittelet fra NOSIP inneholder krav om interoperabilitet basert på IP og krav til støtte til OSI-tjenester over IP. 4.1 krav for grunnleggende kommunikasjon og interoperabiltet Krav Kategori Bør videreføres? All kommunikasjon mellom O Ja enheter skal skje ved bruk av IP (RFC 791) Kontroll med IP-trafikken O Ja skal skje ved bruk av TCP (RFC 793) Eksterne nettverk skal ha O Ja støtte for UDP (RFC 768) Alle enheter skal benytte en nettkonfigurasjonsprotokoll for konfigurasjon av noder iht. RFC 2131 Alle maskiner med IPadresse skal være registrert i en DNS-tjener iht. RFC og 2181 Alle DNS-tjenere skal støtte sikker DNS (RFC

8 2537) Alle nettverksnoder skal la seg overvåke ved bruk av SNMP Alle nettverksnoder skal kunne oppgraderes over nett. 4.2 Vurdering av kravene IP og TCP er protokoller for grunnleggende kommunikasjon, som er like aktuelle i dag. De har ikke endret seg, er i allmenn bruk, og det å videreføre disse vil være en bekreftelse på eksisterende praksis. UDP er i likhet med TCP en transportprotokoll, men UDP er en enklere protokoll. At den er enklere fører til manglende feilhåndtering og større risiko for pakketap, men forhøyet effektivitet. Protokollen brukes gjerne i forbindelse med lyd og video, og er enda mer aktuell nå enn tidligere, som et alternativ til TCP. Dette fordi broadcasting og en til mange kommunikasjon har blitt mer utbredt. Krav om UDP anbefales også videreført. For DNS har det skjedd endringer. Mens det tidligere var mer behov for eksplisitt å konfigurere dette, er det i dag større automatikk. Dette var et opplærende krav som det var behov for tidligere. I tillegg har det skjedd store endringer. Det har kommet internasjonale versjoner av DNS med støtte for internasjonale tegnsett, som norske offentlige virksomheter bør bruke. Det er ikke naturlig å videreføre dette kravet uten nærmere utredninger. SNMP er ikke like aktuelt som et krav lenger. Overvåkningsprotokollen er i dag en del av protokollene som følger med IP. Dette trenger dermed ikke lenger å settes som et eksplisitt krav. De andre kravene i tabellen er ikke konkrete standarder, og viderebringes ikke. Resten av kapittelet i NOSIP om grunnleggende kommunikasjon og interoperabilitet inneholder kun krav som settes under forutsetning av at X.400 eller X.500 skal benyttes. Dette er ikke lenger aktuell teknologi. Det er ikke lenger behov for støtte for X.400 og X.500. Dermed utgår disse kravene. Oppsummert er kravene som foreslås å viderebringes fra dette kapittelet IP, TCP og UDP. 7

9 5 Sikkerhet NOSIPs kapittel om sikkerhet inneholder krav til kryptoalgoritmer, meldingsformater, nettverkssikkerhet, representasjon av sikkerhetsinformasjon, brannvegger og virtuelle private nett. 5.1 Sikkerhetskrav i NOSIP Krav Kategori Bør videreføres? Kryptoalgoritmer RSA i overensstemmelse med PKCS#1 v2 O SHA-1 eller MD5 O DES, Triple DES eller RC5 O Meldingsformater O PKCS#7 O S/MIME v2 O S/MIME v3 L Nettverkssikkerhet SSL v3 O TLS L Representasjon av sikkerhetsinformasjon X 509 v3 O X.509 CRL v2 O SHA1 eller MD5 hash, og RSA, minimum nøkkellengde 2048 bits Brannvegger Filtrering på innkommende og O O 8

10 utgående IP-adresser og IP-adresseområder, på nettmaske og på annen informasjon i IP-hodet Filtrering på ICMP O meldinger Filtrering på informasjon B i protokollhoder over IPnivå Virtuelle private nett Gjensidig autentisering O av rutere System for utveksling av O symmetriske sesjonsnøkler for kryptering IPSec v2 L 5.2 Vurdering av kravene I ettertid av NOSIP har kravspesifikasjon for PKI 4 blitt utviklet, og denne er nå obligatorisk for hele offentlig sektor. Flere av sikkerhetsstandardene fra NOSIP inngår i denne. I tillegg er det et arbeid med sikkerhet på gang i forbindelse med IDporten. For forskrift om IT-standarder i offentlig sektor og referansekatalogen har det i 2010 vært utført to relevante forprosjekter. Det ene for anvendelsesområdet sikkerhet, det andre for fjernarbeid og distribuert samarbeid. For begge forprosjektene er det konkludert med behov for videre utredninger. I og med at sikkerhetsområdet ivaretas og utredes gjennom annet og nyere arbeid, regnes det ikke som hensiktsmessig uten videre å videreføre krav satt i NOSIP. Aktuelle krav fra NOSIP må sees i sammenheng med annet arbeid som gjøres, og utredes i forbindelse med dette noe som også er gjort ved at krav har inngått i kravspesifikasjon for PKI eller er inkludert i Difis pågående utredningsarbeid. 4 kravspek_pki_v102.pdf 9

11 Oppsummert ivaretas aktuelle krav fra dette kapittelet gjennom nyere vurderinger. 6 Formater Nosips kapittel om formater beskriver krav knyttet til dokumentformater, tegnsett og tegnkoding samt innholdstyper. 6.1 Krav i NOSIP til formater Krav Kategori Bør videreføres? Tegnsett og tegnkoding: ITU-T T.61 I ISO/IEC 646:1991 I ISO/IEC :1998 O ISO/IEC :1998 B ISO/IEC :1998 B ISO/IEC :1999 B ISO/IEC :1993 BMP/Unicode 2.0 ISO/IEC 10646: UCS-2 RFC 2279-UTF-8 a transformation format of ISO Dokumentformater: ISO 8879:1986 Inkludert amendment 1:1998 XML 1.0 W3C Recommendation Innholdstyper: RFC 2045 Multipurpose Internet Mail Extensions (MIME) Part One: L L L B L O 10

12 Format of Internet Message Bodies RFC 2046 Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types RFC 2047 Multipurpose Internet Mail Extensions (MIME) Part Three: Message Header Extensions for non-ascii Text Multipurpose Internet Mail Extensions (MIME) Part Four: Registration Procedures RFC Multipurpose Internet Mail Extensions (MIME) Part Five: Conformance Criteria and Examples O O O O 6.2 Vurdering av kravene Området tegnsett og tegnkoding har i ettertid blitt tatt inn i referansekatalogen. Det i NOSIP langsiktige kravet om ISO/IEC er gjennom denne obligatorisk for utveksling av informasjon internt og i fagsystemer, med ikrafttredelse fra 1. januar Standarden er dessuten anbefalt koding ved publisering av HTML/XHTML dokumenter. Gjeldende versjon er ISO/IEC 10646:2003. Med dette er tegnsett og tegnkoding i dag ivaretatt gjennom referansekatalogen, og kravene i NOSIP anses å kunne bortfalle. Også standarder for dokumentformater er inkludert i referansekatalogen, og standardene fra NOSIP er ikke lenger aktuelle. Dermed anbefales det at kravene fra NOSIP utgår. For innholdstyper pekes på MIME standarder som gjelder utvidelser for e-post. For disse standardene har det kommet nye versjoner. Dersom slike standarder skal kunne inngå i forskrift om IT-standarder/ referansekatalogen, må 11

13 anvendelsesområdet først bli gjenstand for ny utredning. Her må det eventuelt vurderes blant annet hvilke krav som skal stilles til e-post. Oppsummert er det ingen krav fra Nosips kapittel om formater som er naturlig å viderebringe uten nærmere vurderinger. 7 Anvendelser Nosips kapittel om anvendelser gir krav knyttet til Internett e-post, informasjonstjenester, kataloger, terminalstøtte, filoverføring og elektronisk datautveksling. 7.1 Kravene som gis i Nosip for e-post Krav Kategori Bør videreføres? RFC 821 Simple Mail O Transfer Protocol RFC 1123 Host O Requirements RFC 1869 SMTP O Service Extensions RFC 1891 SMTP O Service Extension for Delivery Status Notifications RFC 2060 Internet O Message Access Protocol version 4rev1 RFC 1939 Post Office O Protocol Version 3 RFC Message L Submission RFC SMTP Authentication RFC 822 Standard for O the format of ARPA Internet Text Messages RFC MIME O 12

14 part One-five RFC An Extensible O Message Format for Delivery Status Notifications RFC 2298 Message O Disposition RFC S/MIME B Version 2, Message Specification & Certificate Handling RFC 2315 PKCS #7: B Cryptographic Message Syntax Version 1.5 RFC S/MIME L Version Vurdering av kravene Kravene i NOSIP knyttet til e-post gjelder grunnleggende protokoller. Det har imidlertid tilkommet nye standarder og versjoner. Disse må sees i sammenheng med de som gjaldt i NOSIP, og det anses ikke tilrådelig å videreføre kravene om e-post uten nærmere og oppdaterte vurderinger. I tillegg til kravene listet i tabellen over, er det en rekke krav for e-post i NOSIP som gis under forutsetning av at X.400 skal benyttes. X.400 er ikke lenger aktuell teknologi, og disse kravene bør dermed bortfalle. 7.3 Krav i NOSIP til nyhetsgrupper Krav Kategori Bør videreføres? RFC 977 Network News O Transfer Protocol Sikre nyhetsgrupper B 13

15 7.4 Vurdering av kravene Her vurderes selve anvendelsesområdet å være utdatert. Nyhetsgrupper er i dag erstattet med diskusjonsfora på Internett. Det er dermed ikke lenger aktuelt å stille krav til standarder for nyhetsgrupper. 7.5 Krav i Nosip til informasjonstjenester Krav Kategori Bør videreføres? Generelle krav til WWW RFC 2616 Hypertext O Ja Transfer Protocol http/1.1 CGI/1.1 Common B,I Gateway Interface SSL v 3.0 Secure Sockets B Layer, version 3 TLS, Transport Layer L Security Krav til informasjonsleverandører HyperText Markup O Language, HTML 3.2 HyperText Markup L Language HTML 4.0 extensible Markup L Language XML 1.0 Cascading Style Sheets, I CSS 1 og CSS 2 extensible Style L Language, XSL Document Object Model, L DOM ECMA standard 262, L ECMAScript Krav til nettlesere 14

16 HyperText Markup O Language HTML 4.0 Standard General Markup B Language, SGML extensible Markup L Language XML 1.0 Cascading Style Sheets, L CSS 1 og CSS 2 extensible Style L Language, XSL Document Object Model, L DOM ECMA standard 262, L ECMAScript Krav til lenker RFC 1738, 1808 Uniform O Resource Locators, URL HTTP, FTP O RFC , B Lightweight Directory Access Protocol, LDAP v3 RFC 2396, Uniform O Resource Identifiers, URI 7.6 Vurdering av kravene Bruk av Weben har eksplodert siden siste versjon av NOSIP. Det har kommet flere oppdateringer av de standardene det pekes på i NOSIP. Interoperabiliteten mellom nettlesere og tjenere som publiserer innhold har generelt blitt mye bedre. Ved utarbeidelsen av NOSIP versjon 3 var dette et stort problem. I dag håndterer de fleste nettlesere mange flere standarder og formater enn for 10 år siden. Referansekatalogen har tatt inn krav om publisering av tekst på nett ved bruk av følgende standarder HTML 4.01 (W3C 1999) og XHTML 1 (W3C 2000). Standardene for publisering av informasjon på informasjonstjenere bør dermed ikke videreføres. 15

17 Det eneste kravet som fremdeles er relevant er overføring mellom nettleser og informasjonstjener. Slik overføring bør baseres på http 1.1. Dette kravet videreføres fra NOSIP. 7.7 Krav i Nosip til kataloger Krav Kategori Bør videreføres? LDAP v2 O LDAP v3 L 7.8 Vurdering av kravene LDAP er en enklere og mer anvendelig katalogstandard enn x.500. Siden siste versjon av NOSIP har det kommet flere tillegg til standarden. Skal støtte for LDAP gjøres obligatorisk bør området vurderes nærmere. 7.9 Krav i Nosip til filoverføring Krav Kategori Bør videreføres? RFC 959 File Transfer Protocol ISO (File Transfer, Access and Management) ISO/IEC ISP (FTAM standardprofiler) FTAM 1-4, NIST NBS 6 12, AOW INTAP-1 (FTAM dokumenttyper) ISO/IEC ISP (FD13) O B B B B Ja 7.10 Vurdering av kravene Det er et obligatorisk krav i NOSIP at FTP støttes for filoverføring. FTP er fremdeles en utbredt protokoll for filoverføring, og det anbefales derfor at obligatorisk krav om støtte videreføres. 16

18 De andre protokollene for filoverføring er betingede krav. Standardene gjelder alle kun ved bruk av FTAM, og viderebringes ikke. Nosips kapittel om anvendelser inneholder videre noen krav som er betinget i at EDIFACT meldingsyntaks er valgt. I ettertid har XML og ebxml overtatt for noe av dette, mens EDIFACT fremdeles kan være relevant for annet. Imidlertid er dette standarder som betinger bruk av EDIFACT meldingssyntaks, og dermed ikke aktuelle å videreføre i denne omgang. Til slutt inneholder kapittelet i NOSIP et avsnitt som beskriver diverse anvendelser, uten at noen konkrete standarder er gitt. Oppsummert er standarder fra dette kapittelet som anbefales videreført http og FTP. 8 Konklusjon NOSIP angir et sett av IT-standarder for statlig sektor. Siste versjon av NOSIP er fra 2000, og alle standarder derfra er ikke lenger aktuelle. Noen anvendelsesområder har dessuten vært gjenstand for ny vurdering, og standarder er inkludert i Referansekatalogen. NOSIP bør derfor bortfalle. Imidlertid har en gjennomgang av standardene vist at noen av dem er naturlig å videreføre som obligatoriske. Alle systemer i offentlig sektor skal ha støtte for og skal kunne utveksle data basert på følgende protokoller; IPv4, TCP. UDP, http 1.1, FTP. Støtte for disse protokollene er ikke til hinder for at andre protokoller benyttes. Standardene som er valgt er grunnleggende kommunikasjons- og filoverføringsstandarder som vi anser er i allmenn bruk blant alle offentlige virksomheter i dag. Dette er dermed standarder som er naturlig å viderebringe som obligatoriske standarder. De andre kravene fra NOSIP er ikke naturlig å videreføre nå, av ulike årsaker. Noen standarder baserer seg på utdatert/aktuell teknologi. Andre er allerede tatt inn i referansekatalogen, mens andre igjen krever nærmere utredning før dette eventuelt gjøres. Standardene som ønskes å inkluderes i neste versjon av referansekatalogen og forskrift om IT-standarder i offentlig forvaltning er: [RFC 791] IP v4 (Grunnleggende kommunikasjon) [RFC 793] TCP (Grunnleggende kommunikasjon) [RFC ] UDP (Grunnleggende kommunikasjon) [RFC 959] FTP (For filoverføring) [RFC 2616] http 1.1 (For filoverføring) 17

19 8.1 Konsekvenser Standardene er fra før obligatoriske gjennom NOSIP, og vi anser virkeområdene for NOSIP og referansekatalogen/forskrift om IT-standarder i offentlig forvaltning som tilnærmet identisk (for statlig sektor). I tillegg er alle de utvalgte standarder i allmenn bruk blant alle offentlige virksomheter. Konsekvenser og kostnader for statlige virksomheter ved å overføre dette pålegget fra NOSIP til forskrift/referansekatalog anses å bli minimale/ikke-eksisterende. 8.2 Forslag til tekst til referansekatalogen Grunnleggende kommunikasjon og interoperabilitet Avgrensning av anvendelsesområdet: Anvendelsesområdet omfatter grunnleggende protokoller for nettbasert kommunikasjon Bruk av standarder innen dette anvendelsesområdet: IPv4, TCP og UDP er obligatoriske standarder. IPv4 er en nettverksprotokoll, som håndterer adressering og oppdeling av kommunikasjon i pakker. IP (Internet Protocol) regnes som primærprotokollen for kommunikasjon på Internett. TCP (Transmission Control Protocol) er en transportprotokoll som ved transportering av pakker, passer på at alle pakker kommer frem til riktig mottaker, og sorterer pakkene i riktig rekkefølge hos mottaker. UDP (User Datagram Protocol) er i likhet med TCP en transportprotokoll, men UDP er en enklere protokoll. At den er enklere fører til manglende feilhåndtering og større risiko for pakketap, men forhøyet effektivitet. Protokollen brukes gjerne i forbindelse med lyd og video Frist for å tilpasse seg spesifiserte standarder på anvendelsesområdet: Dette kravet er allerede obligatorisk for statlig sektor gjennom NOSIP Filoverføring Avgrensning av anvendelsesområdet: Anvendelsesområdet omfatter protokoller for filoverføring av ulik type. Protokollene herfra tilhører det øverste laget i OSI-modellen (applikasjonslaget) Bruk av standarder innen dette anvendelsesområdet: Støtte for http 1.1 og FTP er obligatorisk. http (Hypertext Transfer Protocol) er en protokoll for overføring mellom nettleser og informasjonstjener. http sørger for at informasjon fra nettsider, som kan være for eksempel html filer, bildefiler eller lydfiler, sendes til nettleseren. 18

20 FTP (File Transfer Protocol) er en protokoll som brukes til overføring av filer i et TCP/IP-basert nettverk Frist for å tilpasse seg spesifiserte standarder på anvendelsesområdet: Støtte for disse standardene er allerede obligatorisk for statlig sektor gjennom NOSIP. 19