Helse Vest Innkjøps saksnummer: 2015/22 Helse Vest IKTs avtalenummer: 901502 Bilag til kjøpsavtalen for Antivirusløsning K Bilag 3 - Kundens tekniske plattform Sist oppdatert: 06.01.2016 Signert dato: Bergen, Sign: Signert dato: Sign: <Leverandørens navn> Navn: Erik M. Hansen, adm.dir. Navn:
Innhold 1. Innledning... 3 1.1 Avtalens punkt 1.1 Avtalens omfang... 3 1.2 Om dokumentet... 3 2. Beskrivelse av Helse Vests infrastruktur... 3 2.1 Klientene... 3 2.2 Antall brukere og PC-er... 3 2.3 Katalogtjeneste... 3 2.4 To-faktors autentisering... 4 3. Nettverk... 4 3.1 Kablet... 4 3.2 Fremtidig design av infrastruktur... 5 3.3 Trådløst nett... 5 3.4 Antall nettverksenheter... 5 3.5 802.1x... 6 3.6 IPv6... 6 4. Server... 6 4.1 Server OS og virtualisering... 6 4.2 Databaser... 6 5. Overvåking... 6 6. Oppsummering... 7 K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 2 av 9
1. Innledning Bilag 3 skal fylles ut av Kunden. Avtalens punkt 1.1 Avtalens omfang Dersom Kunden i bilag 1 har spesifisert at leveransen skal fungere sammen med Kundens eksisterende tekniske plattform, skal Kundens tekniske plattform beskrives her. Dersom det er relevant for leveransen, bør Kunden også beskrive arkitektur og systemlandskap som programvaren som anskaffes skal inngå i. Det bør videre fremgå hvilken versjon av programvaren som inngår i teknisk plattform. Kunden bør også beskrive oppgraderingstakt for programvaren, eventuelle planlagte større oppgraderinger og rutiner rundt periodisk vedlikehold. Om dokumentet Dette dokumentet gir en oversikt over Helse Vest sin tekniske plattform som forvaltes og driftes av Helse Vest IKT. Dokumentet gjenspeiler den operative plattformen slik den er i dag for systemer som driftes av Helse Vest IKT. Leverandører må være oppmerksom på at denne plattformen er i kontinuerlig utvikling og oppgradering av versjoner og utskifting av systemer i løpet av avtaleperioden vil skje. 2. Beskrivelse av Helse Vests infrastruktur Klientene Helse Vest kjører i dag på en Windows 7 plattform. Ingen brukere er lokal administrator, så brukermiljøet er låst ned, og løsninger gjøres tilgjengelig sentralt. Til dette benytter vi RES Workspace manager. Til administrasjon, distribusjon og patching av programvare benyttes Microsoft System Center Configuration Manager 2012 og Microsoft App-V 4.6. Programmene pakkes i MSI/App-V format ved hjelp av AdminStudio. Plattformen benytter lokal Windows brannmur og F-Secure antivirus løsning. Antall brukere og PC-er Helse Vest IKT har brukerstøtte for ca 27.000-30.000 brukere (innleie/studenter gjør at disse tallene varierer noe), og har ca 1.200 systemer som inkluderer fagsystemer og 3. parts programvare. Klientplattformen består hovedsakelig av ca 17.500 PC-er, hvorav 4.000 er bærbare PC-er. I tillegg inngår medisinskteknisk og teknisk utstyr som EKG, ultralyd, MR-maskiner, IP kamera, SD anlegg. PC-ene er fordelt over disse lokasjonene: Førde: ca. 11 % Haugesund: ca. 13 % Stavanger: ca. 25 % Bergen: ca. 51 % Katalogtjeneste Microsoft Active Directory (Function Level: Windows Server 2008 R2), benyttes som katalogtjeneste. Domenet består av ett tre og alle klienter og Windows servere er med i samme domene. Microsoft Active Directory Certificate Authority er satt opp som intern sertifikat løsning og benyttes per i dag for VPN, Direct Access, Brukerauthentisering (smartkort), interne SSL Web siter o.l. K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 3 av 9
To-faktors autentisering Helse Vest benytter RSA Secure ID som to-faktors autentisering til systemer som skal aksesseres eksternt fra. Her står brukeren fritt til å benytte Hard Token SMS App på smartphone 3. Nettverk Kablet Lokalnettet er stjerneformet, med to sentrale datahaller, Bergen og Stavanger. Kapasiteten i nettverket må betegnes som god, med 10 gigabit backbone, 1-2 gigabit mellom de store lokasjonene og minimum 100 Mbit til mindre lokasjoner og brukere. Deler av nettet går over leide samband fra ulike aktører og medfører at noen lokasjoner opplever litt mer latency enn en kunne forvente i et LAN. K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 4 av 9
Fremtidig design av infrastruktur Helse Vest IKT har som mål å sentralisere datarommene i Helse Vest IKT slik at infrastrukturen skal være fullt redundant mellom Bergen og Stavanger. Redundansen blir bygget slik at hoved-serverrommene kan ta fullstendig over for hverandre og lokasjonene kan ta over for hver andre. Trådløst nett Dekningen til trådløst nett i Helse Vest er ikke fullstendig. Det foregår nå et prosjekt i Helse Vest IKT regi som ser på utrulling av trådløst nett i Helse Vest, målet er å sørge for at vi får en helhetlig dekning i Helse Vest. Det trådløse nettet består i dag av fire «konfigurasjoner»: Gjestenett - Benyttes av pasienter og pårørende Ansattnett - Benyttes av ansatte, vikarer og innleide i Helse Vest. Teknisk nett - Benyttes av trådløst teknisk utstyr, som ikke er pasientrelatert. Medisinsk teknisk nett - Benyttes av trådløst medisinsk teknisk utstyr (pasientnært). Antall nettverksenheter Ved utløpet av 2015 er det forventet at nettverket vil supportere ca 80 000 forskjellige nettverksenheter. For å kunne klare dette benyttes automatiserte løsninger, både for DNS, DHCP m.m. K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 5 av 9
802.1x Helse Vest IKT holder på å innføre 802.1x for alle nettverkspunkter, det vil si at alle nettverksenheter må være kjent og godkjent før de slipper inn i nettet, det skjer på MAC-adresse eller sertifikatnivå. Dette høyner sikkerheten, samtidig som dette øker fleksibiliteten i nettet ved flytting av utstyr. IPv6 Helse Vest IKT har startet forberedelsene til overgang til IP versjon 6, og alt nytt utstyr som kobles til nettet, må ha støtte for IPv4 og IPv6. Fra DIFI: Det ble i 2012 vedtatt anbefalt krav om at alt IT-utstyr offentlige virksomheter kjøper skal ha støtte for IPv4 og IPv6 (dual stack), at alle eksternt publiserte tjenester skal ha støtte for IPv4 og IPv6 (dual stack) og at ITtjenester offentlige virksomheter kjøper skal ha støtte for IPv4 og IPv6 (dual stack). 4. Server Server OS og virtualisering På serversiden benyttes Microsoft som primær infrastruktur plattform. Vi forvalter også UNIX/Linux servere. På databasesiden benytter Helse Vest IKT dedikerte clustrete databaseløsninger som kjører på Microsoft SQL eller Oracle. Serverparken til Helse Vest er virtualisert, og kun spesielle krav til HW som ikke kan løses virtuelt er godkjent å etablere løsning for på egne fysiske servere. Helse Vest IKT benytter VMware ESX som primær virtualiseringsplattform. Nye servere settes i dag opp med minimum Microsoft Windows Server 2008 R2, Windows 2012 R2 er standard. Databaser Nye databaser skal benytte seg av allerede oppsatte databaseløsninger hhv. på Microsoft SQL Server 2008 R2 eller nyere og/eller Oracle 11.2.0.x eller nyere. For MS-SQL leverer vi opp til MS-SQL 2014 med Availability groups for høy oppetid. 5. Overvåking Helse Vest IKTs overvåkingssenter er basert rundt ITILs rammeverk, og er en kritisk komponent i driften av systemene i Helse Vest, for å sikre høy opptid, rask identifisering av feil og preventivt forhindre at feil oppstår i utgangspunktet. Overvåkingsprosessen består veldig kort av: Et sett med regler for hvordan ulike alarmer skal filtreres og håndteres. En arbeidsflyt som definerer hvordan de alarmene som plukkes ut av filteret skal håndteres, og overleveres til andre ITIL-prosesser K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 6 av 9
Overvåkningen i Helse Vest er delt inn i tre lag: Det er avhengighet mellom lagene, og kompleksiteten i overvåkingen øker etter hvert som man beveger seg høyere opp. D.v.s. at man kan ikke få overvåking av meldinger, uten at det er etablert overvåking av infrastruktur og tjenester som meldinger er avhengig av. 6. Oppsummering Tabellen under gir en oversikt over de viktigste plattformer og basis programvare som benyttes pr. i dag hos Helse Vest. Plattform Navn Versjon Kommentar Serveroperativsystem Windows Server 2008 R2 og høyere Nye servere blir i dag levert på versjon 2012 R2. Klientoperativsystem Oracle Enterprise Linux 6 og høyere Microsoft Windows 7 og høyere Det er fortsatt noen klienter på eldre Windows-plattform, i hovedsak XP. Databasesystem Oracle Database server 11.2.0.x og høyere Preferert plattform Oracle Enterprise Linux. Integrasjonsmotor WEB services Microsoft SQL Server Microsoft AppServer 2008 R2 og høyere, inkl. MS-SQL 2014 med «Availability Groups» 2008 R2 og høyere Nye løsninger må støtte x64- versjoner av SQL Server. K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 7 av 9
Plattform Navn Versjon Kommentar Nettleser Microsoft Internett Explorer 10.x og høyere Internet Explorer 10.x er standard leser, og alle nye systemer må støtte denne versjonen. High availability software - Network Loadbalancing (NLB) på Windows Plattformen. - Microsoft failovercluster på Windows plattform, - Veritas cluster på Oracle Enterprise Linux plattform, - Oracle RAC på Oracle Enterprise Linux plattform. - MS-SQL 2014 Availibility Groups. Web Servers IIS 7.5 Virtual Infrastructure Directory Service AD LDS Vmware vsphere 5.1 Microsoft Active Directory Active Directory Lightweight Directory Services Endeutstyr - PC - Avaya IP Telefoner - Medisinteknisk utstyr - Teknisk utstyr Function Level: 2008 R2 2012 Viktig at alt endeutstyr kan benytte DHCP/DNS/802.1x tjenester. Nettverk IPv4 IPv6 infrastruktur er under planlegging. Nettverk (LAN) Nettverk (WLAN) Brannmur Sikkerhetsoppdateringer og pakke distribusjon Klargjøring av applikasjon for automatisk distribusjon. Cisco switcher og router Cisco WISM2 Juniper Nettverk sikkerhet. 802.1x SCCM for klienter WSUS for servers SCCM 2012 WSUS 3.0 SP2 App-V 4.6 Oppgraderes til versjon 5.0 i løpet av Q2/Q3 2015 MSI (Admin Studio) Visning og kontroll av brukerflate på PC. RES Workspace Manager Sammen med pakking og distribusjon av programvare, K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 8 av 9
Plattform Navn Versjon Kommentar gjør dette at vanlige brukere ikke har lokal administrator på PC-ene. Er brukerne lokal administrator? 2 faktors autentisering Nei. Denne rettigheten er fjernet. RSA Secure-ID Tilbyr: - Hardtoken - SMS - App K Bilag 3 - Kundens tekniske plattform Avtalenr: 901502 Side 9 av 9