Cesta: Info / Tiskové centrum / Články / GOVBONE a univerzální přípojka – brána do intranetu veřejné správy
| Název: | GOVBONE® a univerzální přípojka - brána do intranetu veřejné správy |
| Autor: | Jan Brodský, manažer technologického rozvoje |
| Publikováno: | Konvergence 6/2003 |
GOVBONE je označení existující propojovací sítě a k ní potřebných služeb, které umožňují vzájemnou, neveřejnou, zabezpečenou a důvěrnou elektronickou komunikaci mnoha orgánů veřejné (státní) správy. Elektronickou komunikací se v tomto kontextu rozumí komunikace obou základních typů, tj. uživatel - aplikace a aplikace - aplikace.
Smyslem a cílem propojovací sítě bylo, je a bude efektivní návrh a provoz komunikační infrastruktury potřebné pro vzájemnou komunikaci informačních systémů veřejné správy a dosažení potřebné (evropské) úrovně efektivity a vlídnosti veřejné správy vůči občanům.
Špetka historie
Historie propojovací sítě GOVBONE jde poměrně hluboko do minulosti. Již v roce 1995 si MF bylo vědomo potřeby vzájemné komunikace mezi úřadem ministerstva a jednotlivými úřady daňové a celní správy i meziresortní komunikace. Návrh a následná realizace globální LAN/MAN tehdy využila dostupné technologie ATM pro vytvoření multifunkční metropolitní sítě, která kromě primárních datových přenosů umožnila i příčkové propojení telefonních ústředen resortu. Došlo k oddělení vnější a vnitřní komunikační páteře, přes vnější komunikační páteř bylo realizováno propojení s informačními systémy České národní banky, PVT, ČSÚ, Parlamentu České republiky a připojení do Internetu.
Na fyzické úrovni byla převážně použita "černá" optická vlákna, přenosový protokol ATM a jako hlavní síťový komunikační protokol byla zvolena sada TCP/IP protokolů. V roce 1998 již byly propojeny ATM sítě MF, MPSV a Parlamentu ČR a kromě přenosu dat a hlasu byl v provozu i přenos videosignálu z Parlamentu do několika ministerstev.
Ve stejném roce byla provedena rekognoskace potřeby sdílet datové fondy mezi více než 30 centrálními orgány státní správy. Z tohoto průzkumu vyplynula potřeba sdíleného, neveřejného prostředí/prostoru (tj. mimo Internet) pro data a aplikace, v němž by jednotlivé orgány mohly ukládat data u nich vzniklá a přitom potřebná k práci jiných orgánů. jež by sloužil pro komunikaci mezi jednotliovými úřady a pro výměnu dat mezi nimi. K bezpečnému přístupu k datům jedné organizace z organizace druhé.
Ministerstvo financí se ujalo nevděčné role koordinátora a investora pro FiNet-MAN, vybudované v následujících letech jako rozšíření původní ATM metropolitní sítě. Z důvodů čistoty technické architektury, ale zejména z důvodů shodnosti technologického a odpovědnostního rozhraní mezi informačními systémy jednotlivých orgánů veřejné správy došlo k faktickému vyčlenění propojovací sítě z FiNet-MAN a k zavedení pojmenování GOVBONE.
Motivace
Otázky, na které GOVBONE odpovídá, jsou ale širšího charakteru. První takovou otázkou je efektivita komunikační infrastruktury všech informačních systémů veřejné správy jako celku. Nejde přitom jen o finanční efektivitu (nákup de-facto izolovaných datových spojů typu frame-relay či LLNet v malém pro každý orgán veřejné správy zvlášť versus nákup ve velkém), ale zejména o vzájemnou konektivitu a možnost sdílení komunikační infrastruktury na co nejvyšší možné vrstvě komunikačního modelu ISO/OSI.
Druhou otázkou je zajištění bezpečnosti privátních dat a aplikací jednotlivých orgánů veřejné správy - ne všechna data jsou totiž určena pro sdílení s ostatními orgány - subjekty veřejné správy, komerčními subjekty a s veřejností (občany).
Komunikační infrastruktura musí zajistit sdílení (investiční a provozní efektivnost) a současně proti tomu jdoucí oddělení (bezpečnost, odpovědnost správců informačních systémů) v několika situacích:
- Sdílení dat a aplikací v rámci jednoho subjektu veřejné správy,
- Sdílení dat a aplikací mezi organizacemi veřejné správy,
- Sdílení dat aplikací mezi subjekty veřejné správy a subjekty komerčními (např. bankami, pojišťovnami apod.),
- Sdílení dat mezi subjekty veřejné správy a veřejností (kiosky, Internet).
Komunikační infrastruktura musí být dostatečně výkonná a dostupná plošně tam, kde jsou jednotlivé subjekty umístěny. Musí definovat rozhraní a jejich prostřednictvím nabízet potřebné služby (IP konektivita, bezpečnostní a další standardní služby, jako jsou jmenné, adresářové služby, přístup na Internet apod.).
Cíle komunikační infrastruktury a GOVBONE
Elektronickou komunikaci jsme zavedli jako komunikaci dvou typů: uživatel - aplikace a aplikace - aplikace. Cílem komunikační infrastruktury je tedy na svém rozhraní poskytovat potřebné služby od přenosové po aplikační vrstvu, zajistit mechanismy jejího řízení a respektovat přitom organizační uspořádání a hranice odpovědnosti správců jednotlivých informačních systémů za data.
Architektura komunikační infrastruktury
Komunikační infrastruktura využívá vrstvenou architekturu podle schématu na obrázku 1.
Obrázek 1
Nejnižší vrstvou je sdílená přenosová infrastruktura poskytovatele využívající nyní dostupnou technologii MPLS/VPN a dostupné přístupové technologie (např. pronajaté okruhy typu LLNET, širokopásmové okruhy xDSL, dial-up apod.). Střední vrstvou je síťová infrastruktura, kterou tvoří privátní IP sítě jednotlivých organizací veřejné správy (zde jako OVS A a OVS B) a rovněž propojovací IP síť GOVBONE. Konečně nejvyšší vrstvou je aplikační vrstva, v níž probíhá vzájemná řízená komunikace aplikací.
Důležité přitom je, že ve všech vrstvách se v maximální možné míře používají otevřená řešení, založená na standardech Internetu.
Síťová vrstva a realizace privátních IP sítí a jejich propojení
Za základní stavební kámen síťové vrstvy považujeme LAN jedné organizace veřejné správy a to v jedné lokalitě. Síťová infrastruktura je dále tvořena sadou IP VPN (obrázek 2), do kterých jsou jednotlivé LAN připojeny.
Obrázek 2
Toto uspořádání umožňuje připojit jednotlivé LAN k privátní IP síti jednotlivých organizací (např. LAN A1 a A2 do IP VPN A).
Technologie IP VPN zajistí vzájemnou viditelnost (IP konektivitu) jen LAN sítí, připojených do téže VPN. Pro vzájemné propojení IP sítí OVS se drží dalšího osvědčeného principu, tj. minimálního počtu kvalitně zabezpečených propojovacích bodů - jeden pro každou IP privátní síť OVS a jediná propojovací síť GOVBONE. Takové externí propojení si řídí každá OVS sama firewallem mezi svou privátní sítí a propojovací sítí GOVBONE (např. privátní síť OVS A je od GOVBONE bezpečně oddělena firewallem na hranici LAN A1). Přístup k Internetu může privátní síť OVS mít zajištěn prostřednictvím GOVBONE, která je od VPN poskytovatele ISP 1 rovněž oddělena firewallem, případně přímo prostřednictvím svého poskytovatele ISP2. Oddělení firewallem je pak odpovědností správce privátní sítě (OVS B). Jmenný systém a DNS přitom zajistí rezoluci interních jmen v privátní síti, neveřejných jmen v rámci veřejné správy do propojovací sítě GOVBONE a externích jmen do Internetu.
Obrázek 3
V současné době (duben 2003) GOVBONE využívá přenosové infrastruktury několika poskytovatelů na úrovni linkových spojů, páteřní sítě MPLS/VPN ve vlastnictví MPSV a na ní vytvořených IP VPN.
Univerzální přípojka
Univerzální přípojka (UP) je souhrn prostředků, kterými se LAN OVS připojí ke všem potřebným IP VPN, ať již privátním nebo k propojovací síti GOVBONE a tím i k datovým zdrojům vlastním nebo cizích OVS resp. jiných subjektů. Pochopitelně též ke službám informačních systémů veřejné správy a také veřejným zdrojům (internet...).
RUP - rozhraní univerzální přípojky je fyzické rozhraní mezi LAN OVS a komunikační infrastrukturou a současně rozhraním odpovědnosti mezi poskytovatelem komunikační infrastruktury a správcem informačního systému.
Obrázek 4
Univerzální přípojky jsou tří hlavních typů:
- jednoduchá přípojka je určena pro připojení jedné LAN (např. dislokovaného pracoviště) k IP VPN příslušné OVS,
- složená přípojka - připojení více LAN (pracoviště různých OVS) umístěných v jedné lokalitě/budově k příslušným IP VPN sítím,
- hlavní přípojka - připojení privátní sítě OVS k propojovací síti GOVBONE a jejím prostřednictvím k datovým zdrojům jiných OVS, k Internetu a případně do EuroDomain a jiných sítí (komerčních subjektů).
Lokální sítě připojené na jednoduchou a složenou UP jsou připojeny pouze do svých privátních IP VPN. Jejich zabezpečení je proto vnitřní záležitostí těchto IP VPN a v odpovědnosti jejich správců.
Lokální sítě připojené na hlavní UP jsou připojovány i k cizím IP sítím a musí být proto vybaveny připojovacím subsystémem. Typové řešení takového systému pro LAN připojenou ke GOVBONE je uvedeno na obrázku 5.
Jeho hlavní funkcí je bezpečné a řízené propojení sítí a síťových služeb, jako jsou jmenné služby, mail relay, adresářové služby včetně externí autorizační databáze, proxy a reverzní HTTP proxy server.
Nedílnou součástí je i administrativní nástroj, kterým správce privátní IP sítě jednoduše ovládá bezpečnostní parametry propojení - na obrázku 5 je vidět příklad takového dialogu pro nastavení firewallu PIX.
Obrázek 5
Komunikace uživatel - aplikace
Pro tento typ komunikace začíná převládat web technologie a protokol http a další standardní protokoly (např. LDAP). To je dobře použitelné i v komunikační infrastruktuře veřejné správy, jejímž základním prostředím jsou IP sítě (pokud existující aplikace nedisponují web rozhraním, lze je dodatečně tímto rozhraním vybavit).
Kromě základní komunikace je třeba vyřešit i autentizaci a autorizaci externích uživatelů, resp. ji sjednotit s autentizací a autorizací interních uživatelů. Interní uživatelé jsou přitom zaměstnanci nebo volení zastupitelé toho subjektu, který aplikace a data vlastní. Externí uživatelé jsou zaměstnanci resp. volení zastupitelé jiného subjektu veřejné správy (případně komerčního subjektu) a oprávnění užívat aplikace a data jiných subjektů na základě dvoustranných smluv mezi subjekty. Takové oprávnění může být rovněž dáno zákonnou normou.
Při autentizaci a autorizaci je třeba respektovat hranice odpovědnosti za uživatele (tu nese subjekt v němž jsou uživatelé zaměstnáni resp. zvoleni) a odpovědnost za aplikace a data (tu nese správce příslušného informačního systému).
Jedno možné řešení znázorňuje obrázek 6.
Obrázek 6
Externí klient z OVS A chce užívat aplikace z OVS B. OVS B odpovídá za ochranu svých aplikací a dat, proto si ověří identitu uživatele a jeho oprávnění (roli) v EAD v OVS A, která odpovídá za svoje uživatele. Využívá přitom standardní protokoly (http/S, LDAP). Po ověření identity aplikace podle dalších atributů uživatele ve stejné EAD provede autorizaci.
Analogicky se postupuje při komunikaci aplikace - aplikace, jako základní formát výměny dat se používá XML, jako základní komunikační protokol se používá http, na vyšší úrovni SOAP.
Výhledy
Současný stav privátních sítí subjektů veřejné správy je charakteristický tím, že jde o samostatné sítě na nezávisle pronajímané infrastruktuře poskytovatelů, což vedlo k exploze počtu mnohdy paralelních linkových spojů bod-bod do lokalit pro vzájemnou komunikaci nebo komunikace přes Internet.
Realizace privátních sítí technologií IP VPN ověřena v praxi.
Metodika pro migraci k přenosové infrastruktuře poskytovatele musí vycházet ze specifických potřeb existujících privátních sítí subjektů veřejné správy a nesmí narušit provoz jejich aplikací (agend) - základní body postupu jsou následující:
- Zřídit plošně dostupnou přenosovou a síťovou infrastruktura (sada IP VPN) poskytovanou jako služba (podle Rámcové smlouvy je poskytovatelem Český Telecom),
- Migrovat privátní sítě subjektů veřejné správy na tuto přenosovou a síťovou infrastrukturu, nově budované privátní sítě vytvářet již jako IP VPN v přenosové a síťové infrastruktuře poskytovatele,
- Zřídit GOVBONE/GovNet jako jednu IP VPN včetně komunikačních a postupně realizovaných aplikačních služeb sítě,
- Postupné přepojovat privátní sítě OVS připojené ke GOVBONE na hlavní UP ke GOVBONE/GovNet, nově budované privátní sítě připojovat hlavní UP ke GOVBONE/GovNet.
Toto řešení je efektivní v celém životním cyklu, ve vývoji resp. akvizici se snižují náklady použitím standardních protokolů a služeb, jsou použity společné služby (efektivita velkého zákazníka). V provozu a údržbě - sdílení síťové infrastruktury snižuje potřebné investiční náklady - páteřní síť provozuje efektivněji jeden poskytovatel, provozní náklady se sdílením šířky pásma snižují a provoz je efektivní z hlediska lidských zdrojů veřejné správy.
Architektura komunikační infrastruktury veřejné správy zajišťuje funkcionalitu potřebnou pro moderní veřejnou správu, respektuje zákonnou odpovědnost správců IS VS za datové zdroje, definuje přesné rozhraní administrativní odpovědnosti mezi uživatelem a poskytovatelem a respektuje specifické potřeby OVS.
Komunikační infrastruktura takto koncipovaná je přitom dobře škálovatelná pro extenzivní rozvoj sítí (rozsah, počet), je otevřená pro rozšiřování agend, využívajících služeb komunikační infrastruktury a zajišťuje ochranu dosavadních investic.
