Il Sistema Pubblico di Connettività

1. Il Sistema Pubblico di Connettività Maurizio Dècina Politecnico di Milano Gruppo di Lavoro SPC- MIT V Conferenza Nazionale CISIS Matera, 16 Ottobre 2003

2. Scenario attuale • Le PA centrali e alcune PA locali utilizzano oggi la Rete Unitaria come infrastruttura di comunicazione, con contratti in scadenza nel 2004 • Alcune Reti Regionali aggregano comuni e province della regione, configurandosi come ISP delle PAL aderenti • La tecnologia di Internet a garanzia della Qualità di Servizio e della Sicurezza delle Comunicazioni sta avviandosi verso la maturità di mercato • La fornitura di servizi telematici in un mercato concorrenziale che valorizza le autonomie locali, permette ad una pluralità di attori di contribuire all’innovazione tecnologica e allo sviluppo del Paese • Nasce quindi l’esigenza di realizzare un ‘sistema di fiducia’, con regole di interconnessione comuni, che: • permetta a tutte le PA di essere connesse tra di loro con gli adeguati standard di qualità e sicurezza • garantisca l’integrità dello sviluppo del sistema telematico a livello di Paese SPC, CISIS, Matera, 16 Ottobre 2003

3. Il Sistema Pubblico di Connettività ed i suoi obiettivi principali • Il Sistema Pubblico di Connettività (SPC): è l’ombrello’ che inquadra la realizzazione delle infrastrutture di comunicazione della PA nel suo complesso • Obiettivi principali • Garantire l’interazione telematica della pubblica amministrazione centrale e locale con i cittadini e le imprese • Realizzare un’architettura multi-fornitore che favorisca lo sviluppo del mercato e della concorrenza • Fornire un’infrastruttura che permetta l’interoperabilità tra le pubbliche amministrazioni e la realizzazione di reti interne alle pubbliche amministrazioni • Fornire un insieme di servizi standard condivisi dagli enti interconnessi ed erogati da una pluralità di fornitori • Realizzare i necessari standard di qualità e di sicurezza atti a garantire l’integrità del sistema telematico a livello Paese • Stimolare lo sviluppo dell’Internet italiana e l’accessibilità via Internet dei cittadini verso la PA SPC, CISIS, Matera, 16 Ottobre 2003

4. Asp 2 PROVIDER QUALIFICATI LISTINO SERVIZI Asp 1 Provider 1 IP BE 2Mbps x€ IP BE 100 Mbps y€ …. Provider 2 IP HQ 2Mbps k€ IP HQ 100 Mbps z€ Provider 1 Provider 2 Provider 3 … Internet qualificata RUPAR Internet PAC PAL PAC ISP Locale PAL RUPAR PAC ISP Regionale PAL RUPAR ISP Nazionale Asp 3 TRIESTE T MILANO VENEZIA TORINO GENOVA BOLOGNA FIRENZE ANCONA 3 PERUGIA L’AQUILA ROMA CAMPOBASSO Struttura di gestione della sicurezza BARI NAPOLI Cittadini e imprese CAGLIARI CATANZARO PALERMO Struttura di gestione della qualità I principali obiettivi del SPC SPC, CISIS, Matera, 16 Ottobre 2003

5. Servizi e enti qualificati I Servizi del SPC • Servizi di trasporto • Servizi di sicurezza • Servizi di interoperabilità di base • Servizi di supporto • Servizi applicativi Gli Enti Qualificati del SPC • Internet Service Provider, (Q-ISP) • Community Network, (Q-CN) • Security Service Provider, (Q-SSP) • Application Service Provider, (Q-ASP) SPC, CISIS, Matera, 16 Ottobre 2003

6. Schema funzionale SPC Struttura di coordinamento CERT PKI Centro di Gestione Internet NOC-QXN Qualif. eXchange Network Qualif.- Community Network NOC-QCN Q-ISP NOC-QISP PA PA PA PA SPC, CISIS, Matera, 16 Ottobre 2003

7. Il Modello SPC • La necessità di realizzare un Sistema nel quale la comunicazione tra le diverse PA avvenga con caratteristiche di qualità e sicurezza garantite “end to end”, in un contesto multi-fornitore, implica: • la realizzazione di una infrastruttura di interconnessione e di controllo • la definizione di opportune ‘regole’ che dovranno essere rispettate da tutti gli attori coinvolti • L’infrastruttura di interconnessione è denominata QXN • Il controllo operativo dell’SPC è delegato al Centro di Gestione, connesso con il NOC del QXN e responsabile delle misure e delle procedure per garantire la qualità e la sicurezza delle comunicazioni • La regia del sistema SPC, in termini di politiche e direttive, è delegata alla Stuttura di Coordinamento • Le regole sono quelle della ‘qualificazione’ dei servizi e dei fornitori di servizi, la cui applicazione è delegata alla Struttura di Coordinamento e in termini operativi al Centro di Gestione SPC, CISIS, Matera, 16 Ottobre 2003

8. CERT SPC Contingency Plan Incident Response Responsabile operativolocale sicurezza SPC Fornitore qualificato Organizzazione della sicurezza(Il sistema di fiducia) Comitato strategico sicurezza SPC Gestore tecnico PKI Responsabile operativoPKI Certificati digitali Struttura di Controllo del SPC (SCSPC) Responsabile sicurezza SPC Politiche e direttive Centro di gestione SPC (CGSPC) Responsabile operativosicurezza SPC Misure eprocedure Responsabile localesicurezza SPC Responsabile localesicurezza SPC Responsabile operativo localesicurezza SPC Responsabile operativo locale sicurezza SPC Rete Regionale qualificata Amministrazione SPC, CISIS, Matera, 16 Ottobre 2003

9. Requisiti industriali: struttura, personale, gestione sub-fornitori, ... • Requisiti infrastrutturali: tecnologie, dependability, siti,.. • Qualità, prestazioni, modalità di erogazione • La struttura di controllo valuta le richieste di qualificazione e iscrive nell’elenco i fornitori qualificati specificando i servizi qualificati. La valutazione può essere delegata a strutture periferiche Oggetto della qualificazione Modello di qualificazione Fornitore Servizi • Locale, centrale • Inosservanza degli SLA • Incidenti • Segnalazione utenti • Richiamo • Penali • Perdita della qualificazione • Disconnessione Audit periodico In caso di anomalie Sanzioni Verifica della qualificazione Qualificazione degli enti e dei servizi SPC, CISIS, Matera, 16 Ottobre 2003

10. La Qualified eXchange Network (QXN) PA PA Q Q - - ISP 1 ISP 1 Q Q - - ISP ISP 4 4 PA PA Q Q - - ISP 2 ISP 2 PA PA PA PA Sede NAP A Sede NAP A Qualified eXchange Network Q - ISP 3 ISP 2 ISP 2 Sede NAP C Sede NAP C PA PA Sede NAP B Sede NAP B PA PA Q Q - - CN1 CN1 ISP 1 ISP 1 PA PA SPC, CISIS, Matera, 16 Ottobre 2003

11. Flussi 5 Q-ISP 1 PA 3 Internet 1 Cittadino 1 PA 1 2 Centro di gestione SPC QXN 3 4 PA 2 Q-ISP 2 ISP 1 Cittadino 2 Cittadino/PA SPC, CISIS, Matera, 16 Ottobre 2003

12. Classi IP tipiche per il supporto di differenti servizi • Classi per servizi standard • Best effort (IPStd-1) • Sensitive but not critical data (IPStd-2) • Critical high priority data (IPStd-3) (transazioni in ambito finanziario, bancario) • Classi per servizi real time • Per applicazioni audio/video a bassa interattività ed alto buffering (IPAV-1) • Per Voice over IP(IPAV-2) • Per applicazioni di videoconferenza e cooperative processing o per audio/video streaming in alta qualità e basso buffering (IPAV-3) SPC, CISIS, Matera, 16 Ottobre 2003

13. PAS Punto di misura Qualità del servizio di trasporto NAP Q-ISP 3 Q-ISP 1 Q-ISP 2 PA-2 PA-3 PA-1 PA-4 DNS SPC, CISIS, Matera, 16 Ottobre 2003

14. Soglie di qualità del servizio SPC, CISIS, Matera, 16 Ottobre 2003

15. Servizi di sicurezza OBBLIGATORI (qualificati) OPZIONALI (qualificati) OPZIONALI (Non qualificati) Intra-dominio Inter-dominioInternet (CONNESSIONE CON RETE UNTRUSTED) (CONNESSIONE CON RETE TRUSTED) • Antivirus • H-IDS • PKI-CA • Hardening sistemi critici • Vulnerability Assessment • N-IDS • Antivirus • H-IDS • Firewall • VPN (gw-to-gw) • PKI-CA • Content Filtering • Vulnerability/Patch Management • Security Advisor • Consulenza • Formazione • Content Filtering • Vulnerability/Patch Management • Security Advisor • Consulenza • Formazione • VPN (gw-to-gw) • Firewall • N-IDS • NAT SPC, CISIS, Matera, 16 Ottobre 2003

16. C 1 5 0,512 NO C 1 1 int / ext Base SI NO C 2 50 2 SI NO C 2 2 di cui 1 dmz SI NO C 3 100 8 / 10 SI NO C 3 3 int/ext/dmz SI NO C 4 1000 34 SI C 4 4 int/ext Avanz. SI NO Profili dei servizi di sicurezza Profilo Firewall Servizi di sicurezza Qualificati Obbligatori Servizio QOB Num Nodi IP Throughput [Mbps] High Availability Segmenti di rete C 1 1/no dmz 25 0,512 NO -- S3 S2 C 2 2 di cui 1 dmz 50 2 SI NO S1 Caratteristiche C2 C3 C4 C1 Profilo Serv.Qualif.Obblig. (QOB) C 3 3 di cui 2 dmz 100 8/10 SI NO L1 L2 L3 C 4 Oltre 2 dmz unlimited 34 SI NO Livelli di Servizio La funzionalità di NAT è comune a tutti i profili e deve supportare NAT, PAT, GROUP. Il firewall dovrà essere Statefull Profilo VPN Profilo IDS Num Max Tunnel contemporanei Throughput Cifrato [Mbps] Segmenti di Rete Num Max Signature High Availability High Availability -- -- SPC, CISIS, Matera, 16 Ottobre 2003

17. L2 L3 L1 Raccolta log H24x365gg H24x365gg H24x365gg Reporting on-line Base Avanzato Avanzato Disponibilità on-line dei log 1 mese 3 mesi 3 mesi Monitoraggio proattivo Non disponibile Non disponibile H24x365gg Lu-Ve 7-19 Help Desk (periodo supporto) Lu-Ve 7-19 H24x365gg Sa-Do 9-17 Supporto tecnico telefonico Lu-Ve 9-18 Lu-Ve 9-18 Lu-Ve 9-18 Normali 24 anno Normali 96 anno Normali 24 anno Richiesta di change incluse Urgenti 12 anno Urgenti 24 anno Urgenti 0 anno Garanzia di installazionee set-up 40gg lavorativi 40gg lavorativi 20gg lavorativi 10gg lavorativi da completamento test 5gg lavorativi da completamento test 3gg lavorativi da completamento test Garanzia di aggiornamentoSW (legate a sicurezza) Normali 24 ore Normali 24 ore Normali 24 ore Garanzia di implementazionerichiesta di change policy Urgenti 12 ore Urgenti 12 ore Urgenti 12 ore Garanzia di Incident Handling Da concordare Da concordare Da concordare Garanzia di Ripristino HW/SW Entro 12 ore Entro 8 ore Entro 8 ore Servizi di Sicurezza: gli SLA SPC, CISIS, Matera, 16 Ottobre 2003

18. Stato avanzamento lavori • Ad oggi sono stati attivati 2 gruppi di lavoro • Qualità/prestazioni del SPC • Sicurezza del SPC • I due gruppi sono formati complessivamente da circa 120 persone tra rappresentanti degli enti locali, degli operatori, delle associazioni di categoria, del mondo accademico e del Centro Tecnico RUPA • Sono in allestimento sperimentazioni della infrastruttura QXN tra tre NAP: MIX, TOPIX e TIX • Un terzo gruppo di lavoro sarà attivato a breve • Servizi applicativi del SPC • I primi due gruppi concluderanno i lavori entro l’anno con la definizione dell’architettura e delle caratteristiche tecniche delle infrastrutture da realizzare • Le gare d’appalto del SPC sono previste nel 2004 SPC, CISIS, Matera, 16 Ottobre 2003