Avtale for kjøp av driftstjenester MASKINVARE, INFRASTRUKTUR OG PROGRAMVARE Kundens tekniske plattform Bilag 3 til Driftsavtalen Saksnr: 14/55
Innholdsfortegnelse 1 Innledning... 3 2 Nettverk... 3 2.1 Hias Teknisk Bro og forhold til Hias Administrativt Nett... 4 2.2 Hias Teknisk Nett... 4 2.2.1 Brannmur... 5 2.2.2 Tilgang til løsning for egne ansatte... 5 2.2.3 Eksterne lokasjoner... 5 2.2.4 Trådløst nettverk... 5 2.2.5 Switcher... 6 3 Oversikt servere og lagring... 6 4 Systemoversikt... 7 5 Sluttbrukerutstyr... 7 5.1 Klienter og brukertilgang... 7 5.2 Skrivere... 8 6 Backup... 8 7 Antivirus... 8 2 av 8
1 Innledning Kunden eier og drifter i dag all IT-maskinvare og programvare i Hias Teknisk Nett selv. Dataromskomponenter er plassert i sentralt datarom ved Kunden sitt avløpsrenseanlegg på Ottestad utenfor Hamar. De tekniske løsningene både maskinvare og programvare er blitt oppgradert de to siste årene, og fremstår i dag som moderne og oppdaterte. IT-driftsoppgaver utføres av ansatte i automasjonsavdelingen, til sammen 3 ansatte. Automasjonsavdelingen er også ansvarlig for forvaltning av fagapplikasjoner (systemansvarlig). Systemeierskap er plassert hos Driftsleder Vann og Avløp. Nøkkeltall Hias Teknisk Nett Antall brukere 60 Antall klienter 20 Antall servere 8 Antall applikasjoner/fagsystemer 3 2 Nettverk Kundens IT-nettverk er i dag to-delt: - Hias Administrativt nett, hvor tekniske løsning og drift allerede er outsourcet til Ikomm AS. - Hias Teknisk nett, som denne anskaffelsen omfatter. Hamar & Stange vba Internet Radionett / LMC Intranet HIAS LMC Beskyttet tjeneste soner PLS Application Crypto Server Crypto RSA Server Teknisk / Driftsnett Policy Brannmur tjenester Bruker Datamaskin LINK-nett (Bro kopling) Administrativt nett Printer Ruter tjenester Bruker Domain Server Tynn klienter Nettverks enheter WLAN Datamaskin Nettverks enheter WLAN Teknisk nett Felles Admin Sone Disse to nettverkene er strengt adskilte, men brukere som er hjemmehørende i Hias Teknisk nett har tilgang til og bruker en rekke av tjenestene i Hias Administrativt nett. For å levere denne 3 av 8
funksjonaliteten er det etablert en kontrollert bro /linknett mellom nettene. Denne broen (kalt Hias Teknisk Bro) er et grensesnitt som Leverandøren må forholde seg til. Som skissen over viser, er Hias Teknisk nett inndelt i sikkerhetssoner, avhengig av aksess- og sikkerhetsbehov for tjenester og brukere. 2.1 Hias Teknisk Bro og forhold til Hias Administrativt Nett Hias Teknisk Nett og Hias Administrativt nett er knyttet sammen med et linknett mellom de to brannmurene (gjennom VPN), her beskrevet som Hias Teknisk Bro. Hias Teknisk Nett er etablert i 2012 for Kundens tjenester for vann og avløp, mens alle administrative tjenester, inklusive Kundens tjenester for gjenvinning, er plassert i Hias Administrativt nett. Dette medfører at de fleste tjenester og klienter befinner seg i Hias Administrativt nett, og vil ha mer begrenset sikkerhetsbehov enn Hias Teknisk nett. Hias Teknisk Bro benyttes i begge retninger. Ettersom sikkerhetskravene er langt større i Hias Teknisk nett, vil brukere i Hias Teknisk nett direkte kunne aksessere tjenester i Hias Administrativt nett, men ikke omvendt. Brukere som aksesserer Hias Tekniske nett fra Hias Administrativt nett, vil bli håndtert som ekstern tilgang for Hias Teknisk nett, og vil måtte benytte to-faktor autentiseringen implementert i Hias Teknisk nett. Det er ikke felles autentisering eller synkronisering av hverken applikasjonsdata, klienter eller brukere over broen. Hias Teknisk Bro, eller linknettet, har spesifikke regler i brannmur for enkeltvise segmenter og porter. Tjenester som brukere i Hias Teknisk nett bruker i Hias Administrativt nett, er terminalserver Citrix ICA, Microsoft Outlook /WEB aksess (intranett) og utskrift. 2.2 Hias Teknisk Nett HIAS /Ottestad renseanlegg IKOMM HIAS teknisk Adm-nett Cat3560 Siemens X324-12 (danner egen fiber ring) HIAS driftsnett ASA5510 Teknisk brukernett (dmz) 4 av 8
2.2.1 Brannmur Sentral brannmur er to stk. Cisco ASA 5510 konfigurert i en failover-løsning. Brannmuren står sentralt i nettet og all trafikk mellom de mange nettverkssonene må innom brannmuren. For å kunne ivareta sikkerheten til driftsnettet brukes en hierarkisk modell med egne soner, indre og ytre, for å gradere ulike tjenester ut i fra sikkerhetsbehov. Sentralt i løsningen er teknisk driftsnett som er rangert med høyeste sikkerhet i løsningen. Tilgang til dette nettet er basert ut i fra behov og nødvendig sikkerhet for tilgang. Tilgang utenfra, fra andre soner på renseanlegget eller eksterne leverandører vil være basert på kryptert VPN med 2-veis sikker autentisering. 2.2.2 Tilgang til løsning for egne ansatte Automasjon og teknisk ansatte har tilgang fra en egen klientsone definert på brannmuren. Tilgang til administrative funksjoner skjer gjennom et eget linknett som er etablert mellom Cisco-brannmur og ruter/brannmur hos Ikomm AS. Denne gruppen brukere har også et eget sikret WLAN med lokal tilgang til klient sone og bruk av klient VPN aksess til høyere sikrede soner. Brukere i Hias Administrativt Nett, samt eksterne leverandører, må også bruke VPN aksess for tilgang til Teknisk Nett. 2.2.3 Eksterne lokasjoner Eksterne driftslokasjoner, HVBA (Hamar VannBehandlingAnlegg) og SVBA (Stange VannBehandlingsAnlegg), koples opp med xdsl-løsninger. Disse linkene sikres med lokale Cisco brannmurer og det etableres krypterte forbindelser inn mot sentral brannmur. Mindre lokasjoner med typisk behov for en bruker løses med ruter/gprs som sikres med kryptering via sentral brannmur. I den grad det er nødvendig tildeles leverandører egne definerte IP-nettverk knyttet til hoved brannmuren for å kunne supportere leverandørspesifikke løsninger. 2.2.4 Trådløst nettverk Det trådløse nettverket (ved Ottestad renseanlegg) styres av en kontroller (Cisco AIR-CT2504-K9), og har 9 aksesspunkter. Det er definert 4 forskjellige soner, som er nærmere beskrevet nedenfor. Kontroller opererer på lag 2, slik at det ikke er mulig med samtrafikk via kontroller. De trådløse sonene er: 1. HIAS teknisk: Knyttet til klientsonen i brannmuren for automasjon og teknisk ansatte. 2. HIAS: Knyttet til egen sone i brannmuren hvor trafikken styres via linknett til Ikomm sin brannmur. 3. HIAS-Gjest: Knyttet til gjestenett sone i brannmur med tilgang til Internet og print 4. HIAS Mobil: For bruk med mobiltelefoner og nettbrett. Har samme nettverkstilganger som «HIAS». 5 av 8
2.2.5 Switcher Navn Funksjon Type hias-tek-sw01 Sentral BB-switch (Datarom1) Cisco WS-C3560X-24P hias-tek-sw02 Tilleggs L2 switch for datarom Cisco WS-C3560X-24T-L hias-tek-sw03 Edge-switch /Driftssentral Cisco WS-C2960S-24PD-L hias-tek-sw04 Edge-switch /Cambi Cisco WS-C3560CG-8PC-S hias-tek-sw05 Edge-switch /Bio Cisco WS-C3560CG-8PC-S hias-tek-sw06 Edge-switch /Kjemdos Cisco WS-C3560CG-8PC-S hias-tek-sw07 Edge-switch /Avvanning Cisco WS-C3560CG-8PC-S hias-tek-sw08 Edge-switch /Sluttavvanning Cisco WS-C3560CG-8PC-S hias-tek-sw09 Sentral BB-switch (Datarom2) Cisco WS-C3560X-24P I tillegg til disse switchene har Kunden en del IT-utstyr for SCADA og PLS-styring av renseanlegget. Slikt utstyr omfattes ikke av denne anskaffelsen, og beskrives ikke i dette bilaget. 3 Oversikt servere og lagring Servernavn Rolle Operativsystem Maskinvare H-SQL01 SQL-server (indre) Windows 2008 R2 SQL Srv 2012 H-SQL01_131 FTP-server, Ekstern datautveksling Windows 2008 R2 H-NOTES01 IBM Notes-server (domino) + Filserver Windows 2008 R2 H-SYM01 Antivirus Windows 2008 R2 H-DC01 Active Directory, Filserver, Print, DNS, DHCP, Veeam, Vmware management Windows 2008 R2 H-TS01 Terminalserver for tilgang til driftsnett (Windows RDS) Windows 2008 R2 H-RSA01 To-faktor-løsning for VPN-tilgang RSA RSA appliance 130 H-ESX01 Vmware-server 1 ESXi 5.1 Dell R710 H-ESX02 Vmware-server 2 ESXi 5.1 Dell R720 6 av 8
Servernavn Rolle Operativsystem Maskinvare H-NAS01 NAS for backup til disk N/A <fabrikat mangler> I tillegg til disse serverne har Kunden en del IT-utstyr for SCADA og PLS-styring av renseanlegget. Slikt utstyr omfattes ikke av denne anskaffelsen, og beskrives ikke i dette bilaget. 4 Systemoversikt Fagsystemnavn Funksjon Brukere (ant, avd) IBM Notes Dokumentasjon 60 brukere. Alle avd. WinCC (suite med flere systemer) OPC Driftsstyring Kommunikasjonsdrivere for PLS 60 brukere. Alle avd. 5 brukere. I tillegg til fagsystemene i tabellen over, er det installert ulike felles IT-tjenester: - Brukerkatalog (Active Directory) - DNS (Windows DNS-service) - DHCP (Windows DHCP-service) - Fillagring (Windows filshare på server) - Utskrift (Windows printserver) - Antivirus (Symantec) - Backup (Veeam) - Løsning for fjerntilgang (VPN med to-faktor autentisering) 5 Sluttbrukerutstyr Sluttbrukerutstyr omfattes ikke av driftsavtalen, men beskrives likevel i dette bilaget for å gi leverandøren best mulig grunnlag for å besvare kravspesifikasjonen. 5.1 Klienter og brukertilgang Det finnes to typer klienter i Hias Teknisk Nett: 1. PC-er, en blanding av bærbare og stasjonære. Disse står i ordinært teknisk nett og brukes både «tykt» mot vanlige servertjenester og mot terminalservere i både Teknisk og Administrativt Nett. PC-er er i hovedsak fra Dell og kjører Windows 7. 2. Tynnklienter for drift. Disse står i egen DMZ og benyttes mot terminalserver i både Teknisk og Administrativt Nett. I tillegg til disse benyttes nettbrett (primært ipad) av alle brukere ved feltoppdrag. 7 av 8
5.2 Skrivere Skriverparken består av en blanding av - Nettverksskrivere (typisk HP Color LaserJet) - Multifunksjonsmaskiner (typisk Xerox Phaser) Kunden har til sammen 18 nettverksskrivere/multifunksjonsmaskiner, som står i Hias Administrativt Nett. Klienter i Hias Teknisk Nett skriver til disse skrivere via printserver H-DC01. I terminalserverløsningen hos Ikomm benyttes kun Citrix universaldriver, men på printserver brukes typespesifikke drivere. 6 Backup For sikkerhetskopiering benyttes Veeam, som er installert på domenekontrolleren H-DC01. Backup av servere lagres på NAS-disk (H-NAS01). Backupjobbene er en blanding av image-backup og fil-backup. Full image-backup kjøres hver helg. Filbackup kjøres hver natt på hverdager. 7 Antivirus Antivirusprogramvare er installert på egen server (H-SYM01). Symantec Protection Suite (Enterprise) 4.0 benyttes. Klientprogramvare er installert på alle Windows-servere og klienter. Klientprogramvare holdes oppdatert via server, som henter oppdateringer på nett jevnlig. 8 av 8