il sistema pubblico di connettività

PolitecnicoPolitecnicodi Milanodi Milano

Ministero per l’InnovazioneMinistero per l’Innovazionee le Tecnologiee le TecnologieCentro Tecnico RUPACentro Tecnico RUPA

Il Sistema Pubblico di ConnettivitàIl Sistema Pubblico di Connettività

Maurizio DècinaMaurizio DècinaPolitecnico di MilanoPolitecnico di Milano

Gruppo di Lavoro SPC- MITGruppo di Lavoro SPC- MIT

V Conferenza Nazionale CISIS V Conferenza Nazionale CISIS Matera, 16 Ottobre 2003Matera, 16 Ottobre 2003

Maurizio DècinaMaurizio Dècina SPC, CISIS, Matera, 16 Ottobre 2003SPC, CISIS, Matera, 16 Ottobre 2003--22--

Scenario attualeScenario attuale

Le PA centrali e alcune PA locali utilizzano oggi la Rete Unitaria come infrastruttura di comunicazione, con contratti in scadenza nel 2004Alcune Reti Regionali aggregano comuni e province della regione, configurandosi come ISP delle PAL aderentiLa tecnologia di Internet a garanzia della Qualità di Servizio e della Sicurezza delle Comunicazioni sta avviandosi verso la maturità di mercatoLa fornitura di servizi telematici in un mercato concorrenziale che valorizza le autonomie locali, permette ad una pluralità di attori di contribuire all’innovazione tecnologica e allo sviluppo del PaeseNasce quindi l’esigenza di realizzare un ‘sistema di fiducia’, con regole di interconnessione comuni, che:

permetta a tutte le PA di essere connesse tra di loro con gli adeguati standard di qualità e sicurezzagarantisca l’integrità dello sviluppo del sistema telematico a livello di Paese


Il Sistema Pubblico di Connettività ed i Il Sistema Pubblico di Connettività ed i suoi obiettivi principalisuoi obiettivi principali

Il Sistema Pubblico di Connettività (SPC): è l’ombrello’ che inquadra la realizzazione delle infrastrutture di comunicazione della PA nel suo complessoObiettivi principali

Garantire l’interazione telematica della pubblica amministrazione centrale e locale con i cittadini e le impreseRealizzare un’architettura multi-fornitore che favorisca lo sviluppo del mercato e della concorrenzaFornire un’infrastruttura che permetta l’interoperabilità tra le pubbliche amministrazioni e la realizzazione di reti interne alle pubbliche amministrazioni Fornire un insieme di servizi standard condivisi dagli enti interconnessi ed erogati da una pluralità di fornitoriRealizzare i necessari standard di qualità e di sicurezza atti a garantire l’integrità del sistema telematico a livello PaeseStimolare lo sviluppo dell’Internet italiana e l’accessibilità via Internet dei cittadini verso la PA


I principali obiettivi del SPCI principali obiettivi del SPC

Asp 1Asp 1 Asp 2Asp 2

Cittadini e impreseCittadini e imprese

MILANOMILANOTOTORIRINONO

GENOVAGENOVAANCONAANCONA

L’AQUILAL’AQUILACAMPOBASSOCAMPOBASSO

BARIBARI

CATANZAROCATANZARO

PALERMOPALERMO

CAGLIARICAGLIARI

NAPOLINAPOLI

TRIESTETRIESTE

InternetInternet

Provider 1Provider 1



……

Provider 1Provider 1IP BE 2Mbps x€IP BE 2Mbps x€IP BE 100 Mbps IP BE 100 Mbps y€y€……..Provider 2Provider 2IP HQ 2Mbps k€IP HQ 2Mbps k€IP HQ 100 Mbps IP HQ 100 Mbps z€z€

LISTINO LISTINO SERVIZISERVIZI

Asp Asp

33

PACPACRUPARRUPAR

PALPAL

PACPAC

RUPARRUPARPALPAL

PACPAC

RUPARRUPARPALPAL

Struttura di gestioneStruttura di gestionedella qualitàdella qualità

ISP NazionaleISP NazionaleISP RegionaleISP Regionale

ISP LocaleISP Locale

Internet qualificataInternet qualificata

TT

33

VENEZIAVENEZIABOLOGNABOLOGNA

PERUGIAPERUGIAFIRENZEFIRENZE

ROMAROMA

Struttura di gestioneStruttura di gestionedella sicurezzadella sicurezza

PROVIDER PROVIDER QUALIFICATIQUALIFICATI


Servizi e enti qualificatiServizi e enti qualificati

I Servizi del SPCI Servizi del SPC

Servizi di trasportoServizi di sicurezzaServizi di interoperabilità di baseServizi di supportoServizi applicativi

Gli Enti Qualificati del SPCGli Enti Qualificati del SPC

Internet Service Provider, (Q-ISP)Community Network, (Q-CN)Security Service Provider, (Q-SSP)Application Service Provider, (Q-ASP)


Schema funzionale SPCSchema funzionale SPC

CERTCERT PKIPKI

Centro di GestioneCentro di Gestione

Q-ISP Q-ISP Qualif.- Community NetworkQualif.- Community Network

InternetInternet

PAPA PAPA PAPA PAPA

NOC-QXNNOC-QXN

NOC-QISPNOC-QISPNOC-QCNNOC-QCN

Struttura di Struttura di coordinamentocoordinamento

Qualif. eXchange NetworkQualif. eXchange Network


Il Modello SPCIl Modello SPC

La necessità di realizzare un Sistema nel quale la comunicazione tra le diverse PA avvenga con caratteristiche di qualità e sicurezza garantite “end to end”, in un contesto multi-fornitore, implica:

la realizzazione di una infrastruttura di interconnessione e di controllola definizione di opportune ‘regole’ che dovranno essere rispettate da tutti gli attori coinvolti

L’infrastruttura di interconnessione è denominata QXNIl controllo operativo dell’SPC è delegato al Centro di Gestione, connesso con il NOC del QXN e responsabile delle misure e delle procedure per garantire la qualità e la sicurezza delle comunicazioniLa regia del sistema SPC, in termini di politiche e direttive, è delegata alla Stuttura di CoordinamentoLe regole sono quelle della ‘qualificazione’ dei servizi e dei fornitori di servizi, la cui applicazione è delegata alla Struttura di Coordinamento e in termini operativi al Centro di Gestione


Organizzazione della sicurezzaOrganizzazione della sicurezza(Il sistema di fiducia)(Il sistema di fiducia)

Comitato Comitato strategicostrategico sicurezza sicurezza

SPCSPC

Responsabile sicurezza SPC

Politiche e direttive

Struttura di Controllo Struttura di Controllo del SPC (SCSPC)del SPC (SCSPC)

Responsabile operativo

locale sicurezza SPC

Fornitore qualificatoFornitore qualificato


sicurezza SPC

Misure eMisure eprocedureprocedure

Centro di gestione SPC Centro di gestione SPC (CGSPC)(CGSPC)

Responsabile Responsabile operativooperativo

PKIPKICertificati Certificati

digitalidigitali

Gestore tecnico Gestore tecnico PKIPKI

CERT CERT SPCSPC

Contingency Contingency PlanPlan

Incident Incident ResponseResponse

Rete Regionale Rete Regionale qualificataqualificata

Responsabile locale

sicurezza SPC

AmministrazioneAmministrazione


locale sicurezza SPC


localesicurezza SPC

Responsabile locale

sicurezza SPC


Qualificazione degli enti e dei Qualificazione degli enti e dei serviziservizi

Requisiti industriali: struttura, personale, gestione Requisiti industriali: struttura, personale, gestione sub-fornitori, ...sub-fornitori, ...

Requisiti infrastrutturali: tecnologie, dependability, Requisiti infrastrutturali: tecnologie, dependability, siti,..siti,..

Qualità, prestazioni, modalità di erogazioneQualità, prestazioni, modalità di erogazione

La struttura di controllo valuta le richieste di La struttura di controllo valuta le richieste di qualificazione e iscrive nell’elenco i fornitori qualificazione e iscrive nell’elenco i fornitori qualificati specificando i servizi qualificati. La qualificati specificando i servizi qualificati. La valutazione puòvalutazione puòessere delegata a strutture perifericheessere delegata a strutture periferiche

Oggetto Oggetto della della qualificazionqualificazionee

Modello di Modello di qualificazionqualificazionee

FornitoreFornitore

ServiziServizi

Locale, centrale Locale, centrale

Inosservanza degli SLAInosservanza degli SLA IncidentiIncidenti Segnalazione utentiSegnalazione utenti

RichiamoRichiamo PenaliPenali Perdita della qualificazionePerdita della qualificazione DisconnessioneDisconnessione

Verifica della Verifica della qualificazionqualificazionee

Audit Audit periodicoperiodico

In caso di In caso di anomalieanomalie

SanzioniSanzioni


La Qualified eXchange Network La Qualified eXchange Network (QXN)(QXN)

QQ--ISP 2ISP 2QQ--ISP 2ISP 2

QQ--CN1CN1QQ--CN1CN1

QQ--ISP 3ISP 3

QQ--ISPISP 44QQ--ISPISP 44QQ--ISP 1ISP 1QQ--ISP 1ISP 1

ISP 2ISP 2ISP 2ISP 2QualifiedQualifiedeXchangeeXchangeNetworkNetwork

Sede NAP ASede NAP ASede NAP ASede NAP A

Sede NAP BSede NAP BSede NAP BSede NAP B

Sede NAP CSede NAP CSede NAP CSede NAP C

PA PA PA PA

PA PA PA PA

PA PA PA PA

PA PA PA PA PA PA PA PA

PA PA PA PA

PA PA PA PA ISP 1ISP 1ISP 1ISP 1


QXNQXN

Q-ISP 2Q-ISP 2

InternetInternet

ISP 1ISP 1

PA 2PA 2

Cittadino Cittadino 22

Q-ISP 1Q-ISP 1

PA 1PA 1 Cittadino 1Cittadino 1

Cittadino/Cittadino/PAPA

PA 3PA 3

55

33

Centro di gestione

SPC

44

1122

FlussiFlussi


Classi IP tipiche per il supporto di Classi IP tipiche per il supporto di differenti servizi differenti servizi

Classi per servizi standardBest effort (IPStd-1)Sensitive but not critical data (IPStd-2)Critical high priority data (IPStd-3) (transazioni in ambito finanziario, bancario)

Classi per servizi real timePer applicazioni audio/video a bassa interattività ed alto buffering (IPAV-1)Per Voice over IP(IPAV-2)Per applicazioni di videoconferenza e cooperative processing o per audio/video streaming in alta qualità e basso buffering (IPAV-3)


NANAPP

Q-ISP Q-ISP 11

Q-ISP 2Q-ISP 2

PA-1PA-1

PA-2PA-2

PA-4PA-4

PA-3PA-3

Q-ISP 3Q-ISP 3

DNSDNS

PASPAS

Punto

di

Punto

di

misu

ram

isura

Qualità del servizio di trasportoQualità del servizio di trasporto


Soglie di qualità del servizioSoglie di qualità del servizio

Banda minima garantita (PAS-QXN)

Round trip delay (RTD)/One way Delay (OWD)

Jitter Packet loss

IPStd-1 (IP best effort)

-RTD

50% dei campioni <200ms95% dei campioni <300ms

100% dei campioni <1.000ms

- Numero dei campioni

scartati < 0.2%

IPStd-2 (sensitive not critical)

X RTD50% dei campioni <200ms95% dei campioni <300ms

100% dei campioni <1.000ms


scartati < 0.1%

IPStd-3 (critical) X RTD95% dei campioni <100ms

100% dei campioni <500ms


scartati < 0.1%

IPAV-1 (applicazioni audio video bassa interattività ed alto buffering)

X OWD95% dei campioni < 100ms

20ms Numero dei campioni

scartati < 0.1%

IPAV-2 (Voce su IP - VoIP)


10ms Numero dei campioni

scartati < 0.1%

IPAV-3 (videoconferenza, audio/video streaming in alta qualità e basso buffering)


10ms Numero dei campioni scartati <

0.05%


Servizi di sicurezzaServizi di sicurezza

Intra-dominioIntra-dominioInter-dominioInter-dominioInternetInternet

(CONNESSIONE (CONNESSIONE CON RETE CON RETE UNTRUSTED)UNTRUSTED)

(CONNESSIONE (CONNESSIONE CON RETE CON RETE TRUSTED)TRUSTED)

OBBLIGATORIOBBLIGATORI(qualificati)(qualificati)

OPZIONALI OPZIONALI (Non qualificati)(Non qualificati)

VPN (gw-to-gw)VPN (gw-to-gw)• FirewallFirewall• N-IDSN-IDS• NATNAT

OPZIONALI OPZIONALI (qualificati)(qualificati)

AntivirusAntivirus H-IDSH-IDS PKI-CAPKI-CA Hardening sistemi Hardening sistemi

criticicritici Vulnerability Vulnerability

AssessmentAssessment

• N-IDSN-IDS• AntivirusAntivirus• H-IDSH-IDS• FirewallFirewall• VPN (gw-to-gw)VPN (gw-to-gw)• PKI-CAPKI-CA

Content FilteringContent Filtering Vulnerability/Vulnerability/

Patch Patch ManagementManagement

Security Advisor Security Advisor ConsulenzaConsulenza FormazioneFormazione

Content FilteringContent Filtering Vulnerability/Vulnerability/

Patch Patch ManagementManagement

Security Advisor Security Advisor ConsulenzaConsulenza FormazioneFormazione


Profili dei servizi di sicurezzaProfili dei servizi di sicurezza

C1C1 C4C4C2C2 C3C3L1L1

L2L2L3L3

S1S1

S2S2

S3S3

CaratteristicCaratteristichehe

Livelli di Livelli di ServizioServizio

Servizio Servizio QOBQOB

S 1 S 2 S 3

Firewall

NATVPNIDS

Profilo Serv.QualifProfilo Serv.Qualif..Obblig. Obblig. (QOB) (QOB)

Profilo FirewallProfilo Firewall

Profilo IDSProfilo IDSSegmenti di Segmenti di

ReteReteNum Max Num Max SignatureSignature

2 di cui 1 dmz2 di cui 1 dmz

C

C

22

NONOSISI

1 int / ext1 int / ext

C

C

11

BaseBase NONOSISI

3 int/ext/dmz3 int/ext/dmz

C

C

33

NONOSISI

4 int/ext4 int/ext Avanz.Avanz.

C

C

44

NONOSISI

High AvailabilityHigh Availability

Profilo VPNProfilo VPN

Servizi di sicurezza Qualificati ObbligatoriServizi di sicurezza Qualificati Obbligatori

Num Max Num Max Tunnel Tunnel

contemporaneicontemporanei

Throughput Throughput Cifrato Cifrato [Mbps][Mbps]

5050

C

C

22

22 NONOSISI

55C

C

11

0,5120,512 NONO

100100

C

C

33

8 / 108 / 10 NONOSISI

1000 1000 3434

C

C

44

SISI


----

----

C

C

33

Segmenti di Segmenti di reterete

Num Num Nodi IPNodi IP

1/no dmz1/no dmz

C

C

22C

C

11

2525

C

C

44

0,5120,512

ThroughThroughputput

[Mbps][Mbps]

2 di cui 1 dmz2 di cui 1 dmz 5050 22

3 di cui 2 dmz3 di cui 2 dmz 100100 8/108/10

Oltre 2 dmzOltre 2 dmz unlimitedunlimited 3434

NONO

NONO

NONO

NONO

SISI

SISI

SISI

La funzionalità di NAT è comune a tutti i profili e deve La funzionalità di NAT è comune a tutti i profili e deve supportare NAT, PAT, GROUP. Il firewall dovrà essere supportare NAT, PAT, GROUP. Il firewall dovrà essere StatefullStatefull


----


Servizi di Sicurezza: gli SLAServizi di Sicurezza: gli SLA

L1 L2 L3

Raccolta log H24x365gg H24x365gg H24x365gg

Reporting on-line Base Avanzato Avanzato

Disponibilità on-line dei log 1 mese 3 mesi 3 mesi

Monitoraggio proattivo Non disponibile Non disponibile H24x365gg

Help Desk (periodo supporto) Lu-Ve 7-19 Lu-Ve 7-19 H24x365ggSa-Do 9-17

Supporto tecnico telefonico Lu-Ve 9-18 Lu-Ve 9-18 Lu-Ve 9-18

Richiesta di change incluse Normali 24 annoUrgenti 0 anno

Normali 24 annoUrgenti 12 anno

Normali 96 annoUrgenti 24 anno

Garanzia di installazionee set-up

40gg lavorativi 40gg lavorativi 20gg lavorativi

Garanzia di aggiornamentoSW (legate a sicurezza)

10gg lavorativi da completamento test



Garanzia di implementazionerichiesta di change policy

Normali 24 oreUrgenti 12 ore



Garanzia di Incident Handling Da concordare Da concordare Da concordare

Garanzia di Ripristino HW/SW Entro 12 ore Entro 8 ore Entro 8 ore


Stato avanzamento lavoriStato avanzamento lavori

Ad oggi sono stati attivati 2 gruppi di lavoro Qualità/prestazioni del SPCSicurezza del SPC

I due gruppi sono formati complessivamente da circa 120 persone tra rappresentanti degli enti locali, degli operatori, delle associazioni di categoria, del mondo accademico e del Centro Tecnico RUPASono in allestimento sperimentazioni della infrastruttura QXN tra tre NAP: MIX, TOPIX e TIXUn terzo gruppo di lavoro sarà attivato a breve

Servizi applicativi del SPCI primi due gruppi concluderanno i lavori entro l’anno con la definizione dell’architettura e delle caratteristiche tecniche delle infrastrutture da realizzareLe gare d’appalto del SPC sono previste nel 2004

il sistema pubblico di connettività

Documents