Bijlage 2 vanwege de opdrachtgever : Omschrijving van de Digipolis standaarden en omgeving Deze bijlage beschrijft de standaarden welke in gebruik zijn binnen de omgeving van zowel Antwerpen als Gent, samen met de infrastructuur welke tussen de beide omgevingen is opgezet. Beschrijving van standaarden m.b.t. Enterprise Architectuur De standaarden/principes m.b.t. Enterprise Architectuur zijn generiek voor beide omgevingen zowel te Antwerpen als Gent en omvatten stadsbrede architectuurprincipes welke betrekking hebben op de architectuur van onze Enterprise. Met de Enterprise wordt de ICTomgeving van de volledige omgeving van de stad Antwerpen/Gent bedoeld, welke bestaat uit de administratie van de Stad; het OCMW; de lokale Politie; en de verzelfstandigde entiteiten welke hierop aansluiten. We onderscheiden vier categorieën EA-gerelateerde principes, met name Algemene EAprincipes, Informatiearchitectuur-, applicatiearchitectuur- en technologiearchitectuurprincipes. Algemene EA-principes Conformiteit Enterprise Architectuur - Alle nieuwe ICT-oplossingen worden geëvalueerd door een architectuurgroep op basis van hun conformiteit met de Enterprise Architectuur. Klantgerichte totaaloplossing Bij de implementatie van ICT-oplossingen wordt altijd een totaaloplossing aangeboden vanuit het perspectief van de klant (burger, bedrijf, bezoeker, beleid). ICT-middelen van hogere overheden als hefboom De stad Antwerpen wil een voorloper zijn in het initiëren, ontwikkelen en gebruiken van ICTmiddelen die op het niveau van en/of samen met de hogere overheden gecreëerd worden. Informatiearchitectuurprincipes Unieke en authentieke gegevensbronnen - De klanten van de overheid verstrekken eenmalig hun gegevens en alle overheidsinstellingen betrekken vervolgens de gegevens van een authentieke gegevensbron. De stad Antwerpen streeft ernaar om dit principe consequent toe te passen binnen de eigen omgeving en verwacht dat dit principe (op lange termijn) even consequent toegepast zal worden tussen overheden van verschillende niveaus. Voortdurende bewaking van gegevenskwaliteit Gegevens spelen een cruciale rol in de dienstverlening aan de klanten en in de stedelijke processen. De stad moet daarom voortdurend de kwaliteit van de gegevens onder haar beheer bewaken. Procedure voor gegevensverschillen Als een klant een andere partij dan de gegevenseigenaar informeert over fouten of veranderingen in zijn gegevens, dan brengt deze partij de gegevenseigenaar op de hoogte, die de gegevens aanpast in de authentieke gegevensbron. Veiligheid, controle en persoonlijk karakter van gegevens Gegevens worden zorgvuldig beheerd gedurende hun volledige levenscyclus. Gegevens worden beschermd tegen ongeoorloofd inzage of gebruik en kunnen gecontroleerd worden op het respecteren van de principes van interne controle. Onafhankelijke databanken voor kerngegevens De kerngegevens van de stad Antwerpen (met name persoon, ondernemingen en verenigingen, medewerker, product, proces en pand ), moeten opgeslagen worden in onafhankelijke databanken, losgekoppeld van taakspecifieke applicaties. Page 1
Architectuurprincipes m.b.t. applicaties Generieke services binnen een service georiënteerde architectuur De functionaliteiten van ICT-systemen zullen ontwikkeld/aangeboden worden als onafhankelijke services in een service georiënteerde architectuur, die hergebruik faciliteren binnen verschillende bedrijfsprocessen. Zuivere applicatiebouwstenen Applicatiebouwstenen (een groepering van een aantal functionaliteiten van een applicatie in een logisch samenhangend geheel) bieden op het laagste niveau slechts services voor één functioneel domein. Onafhankelijke applicatiebouwstenen De koppelingen tussen applicatiebouwstenen moeten de onafhankelijkheid van elke bouwsteen vrijwaren (loosely coupled). 3-lagen applicatie architectuur Applicaties worden in 3 lagen opgebouwd, die onafhankelijk zijn van elkaar: presentatielaag, functionele logica-laag en gegevenslaag. De voorkeur gaat uit webbaseerde toepassingen. Technologiearchitectuurprincipes Technologie-uniformiteit, Interoperabiliteit en standaarden Er wordt een duidelijke keuze gemaakt voor bepaalde technologieën op het vlak van applicaties, gegevens, ontwikkelingstools en infrastructuur. Software en hardware moeten conform zijn met standaarden die de technologische interoperabiliteit bevorderen. Silver label voor technologie De stad Antwerpen gebruikt technologieën die hun waarde en stabiliteit bewezen hebben. Schaalbaarheid en flexibiliteit Een schaalbaar systeem is een systeem waarvan de capaciteit gemakkelijk verhoogd of verlaagd kan worden. Een flexibel systeem is een systeem dat toelaat om nieuwe functionaliteiten gemakkelijk te integreren. Centrale bouwsteenbibliotheek Gemeenschappelijke componenten moeten centraal ontwikkeld of aangekocht. Controle en rapportering van performantie en beschikbaarheid - Systemen moeten op een gestructureerde manier gecontroleerd kunnen worden op vlak van performantie en beschikbaarheid (monitoring). Het moet mogelijk zijn om beleidsrapporten op te maken (reporting). Page 2
Beschrijving van de infrastructuurstandaarden De infrastructuurarchitectuur bestaat uit de drie onderste (generieke) lagen uit het hierboven aangegeven model, zijnde infrastructuur, security, systeembeheer) zoals hernomen in onderstaande figuur. Achter elke infrastructuurcomponent schuilt een beschrijving van de standaard opzet van de betreffende component binnen onze omgeving. Zo bevat de Manap -component een gedetailleerde omschrijving van het MAN-netwerk, de server -component bevat een beschrijving van de verschillende standaard serverarchitecturen welke gangbaar zijn binnen de ICTomgeving van Digipolis, enz.. In het vervolg van deze paragraaf worden deze standaarden inhoudelijk beschreven. De infrastructuurstandaarden vandaag zijn volledig gelijklopend voor zowel stad als OCMW. In Gent zijn er kleine verschillen mogelijk. Deze zijn aangegeven. Ook daar wordt gestreefd naar een uniforme infrastructuur over de verschillende besturen heen. Infrastructuurcomponenten Serverinfrastructuur Alle servers zijn Intel gebaseerd: x86 32bit en 64bit. Op server hardware vlak zijn er binnen Digipolis 3 centrale server types: Virtuele servers op Vmware ESX v3.5 o met High Availability technologie (HA, vmotion) o met Dynamic Resource Management technologie (DRM) o met Virtual Center Backup (VCB) Redundant gekoppelde fysieke servers, met: o Ms clustering op OS niveau, of o Applicatie clustering op applicatieniveau, of o Load balanced servers De SAC (Stand Alone Centrale) servers welke boot from SAN zijn. Deze hebben op de 2e site een spare server (ratio: 1 spare per 10 SAC servers). Het centrale datacenter is opgesplitst over 2 fysieke sites waarbij elke site op zich de volledige belasting kan dragen zowel op gebied van servers als storage. Alle data wordt ook steeds op de 2 sites opgeslagen dmv. mirroring. De standaarden voor systeemsoftware zijn als volgt: OS: MS Windows server 2003 SP2 en Windows server 2008 Webserver: MS IIS 6.0 Database: MS SQL server 2005 (MS SQL server 2008 gepland voor 2009 Q2) E-mail: MS exchange 2003 (de overgang naar 2007 is gepland voor 2009 Q4) Page 3
Gent (stad en OCMW) Alle servers zijn Intel gebaseerd: x86 32bit en 64bit. Op server hardware vlak zijn er binnen Digipolis voor de Stad en OCMW resp. drie en twee centrale server types: Virtuele servers op Vmware ESX v4.0 voor stad Gent en v3.2 voor OCMW Gent o met High Availability technologie (HA, vmotion) o met Dynamic Resource Management technologie (DRM) o met Virtual Center Backup (VCB) - (enkel stad Gent) Redundant gekoppelde fysieke servers, met: o Ms clustering op OS niveau, of o Applicatie clustering op applicatieniveau, of o Load balanced servers SAC (Stand Alone Centrale) servers. (enkel stad Gent) Het centrale datacenter is opgesplitst over 2 fysieke sites waarbij elke site op zich de volledige belasting kan dragen zowel op gebied van servers als storage. Alle data wordt ook steeds op de 2 sites opgeslagen d.m.v. mirroring. Er worden op locaties met trage verbindingen nog een beperkt aantal lokale servers beheerd. De standaarden voor systeemsoftware zijn als volgt: OS: MS Windows server 2003 SP2 en Windows server 2008 Webserver: MS IIS 6.0 Database: MS SQL server 2005 E-mail: MS exchange 2003 Cliëntinfrastructuur De medewerkers van de stad worden door Digipolis voorzien van een desktop-pc of laptop met volgende standaardsoftware: Desktop besturingssysteem: Windows XP SP2 en SP3 Nederlandstalig MS Office 2003 Nederlandstalig Browser: Internet Explorer 6 McAfee antivirus en antispyware Op cliëntniveau is het noodzakelijk dat alle applicaties geschikt zijn voor Microsoft Vista en Windows7 (Nederlandstalig) en Office suite (Office 2007 Nederlandstalig). Gent (stad en OCMW) De medewerkers van de stad worden door Digipolis voorzien van een desktop-pc of laptop met volgende standaardsoftware: Desktop besturingssysteem: Windows XP SP2 en SP3 Nederlandstalig MS Office XP Nederlandstalig Browser: Internet Explorer 6 en McAfee antivirus en antispyware De medewerkers van het OCMW worden door Digipolis voorzien van een laptop of een diskless werkstation met access op een Xenapp 4.0 server. Software op de Xenapp servers wordt gedistribueerd vanuit Microsoft App-V 4.5. Gebruikers hebben toegang tot volgende standaardsoftware: Laptop besturingssysteem: Windows XP SP2 en SP3 Nederlandstalig Diskless workstations besturingssysteem: Neolinux of Windows XP MS Office 2003 Nederlandstalig Browser: Internet Explorer 6 McAfee antivirus en antispyware op de laptops en Xenapp servers. Op cliëntniveau is het noodzakelijk dat alle applicaties geschikt zijn voor Microsoft Vista en Windows7 (Nederlandstalig) en Office suite (Office 2007 Nederlandstalig). Page 4
Printing Algemeen wordt er gebruik gemaakt van netwerkprinters en multifunctionals. Deze toestellen worden aangestuurd van op een centrale Windows 2003 printserver. Op een aantal locaties zijn printers lokaal (via USB of LPT1) aangesloten met een lokale installatie van de printerdriver. Volgende afdrukvereisten gelden voor toepassingen: gebruiker moet de mogelijkheid hebben om af te drukken op een alternatieve printer (via de Windows interface) aangeboden printertaal is PCL5 of postscript afdrukken is printeronafhankelijk en maakt gebruik van de default (Windows) printerdriver Gent (stad en OCMW) Algemeen wordt er gebruik gemaakt van netwerkprinters en multifunctionals. Voor stad Gent worden deze toestellen aangestuurd van op een centrale Windows 2003 printserver. Op een aantal locaties zijn printers lokaal (via USB of LPT1) aangesloten met een lokale installatie van de printerdriver. Voor OCMW Gent worden deze toestellen aangestuurd van op een centrale Windows 2003 printserver via Xenapp 4.0. Op een aantal locaties zijn printers lokaal (via USB of LPT1) aangesloten met een lokale installatie van de printerdriver. Volgende afdrukvereisten gelden voor toepassingen: De gebruiker moet de mogelijkheid hebben om af te drukken op een alternatieve printer (via de Windows interface) aangeboden printertaal is PCL5 of postscript afdrukken is printeronafhankelijk en maakt gebruik van de default (Windows) printerdriver Printers moeten XenApp 4.0 gecertificeerd zijn. (enkel voor OCMW). Page 5
Storage Op centraal storage vlak maakt Digipolis gebruik van een SAN omgeving met 4 EMC Clariion storage boxen. Hier wordt het volgende onderscheid gemaakt: Tier 1: Online productiedata op FC disken in 2 CX4-480 s, opgesplitst in o Hoge performantie storage pool voor extreme I/O eisen o Normale performantie storage pool Tier 2: B2D data op SATA disken in 1 CX4-480 en 1 CX3-80 Tier 3: Gearchiveerde data op EMC Centerra CAS Tier 4: Backup op tape data (LTO3 en LTO4) Centraal storage management gebeurt met de EMC Navisphere management suite. Backup/restore van centrale servers wordt gewaarborgd door de mogelijkheid van Bare Metal Restore (BMR) in Veritas Netbackup 6.5.3 gecombineerd met Vmware VCB. Archivering gebeurt met Symantec Enterprise Vault. Door gebruik te maken van mirroring bevindt zowel de online-data, de B2D-data en de archief-data zich op elk moment op de beide sites. Hiernaast bestaat ook de decentrale storage, dit is hoofdzakelijk lokale storage (DAS) in de decentrale servers, en wordt enkel gebruikt bij noodzaak. Met Veritas Netbackup Puredisk 6.5 worden centrale backups gemaakt van deze decentrale data, ook met de mogelijkheid tot BMR. Gent (stad en OCMW) Voor Stad Gent: Op centraal storage vlak maakt Digipolis gebruik van een SAN omgeving met 4 EMC Clariion storage boxen. Hier wordt het volgende onderscheid gemaakt: Tier 1: Online productiedata op FC disken in 2 CX4-480 s, opgesplitst in o Hoge performantie storage pool voor extreme I/O eisen o Normale performantie storage pool Tier 2: B2D data op SATA disken in 1 CX4-480 en 1 CX3-80 Tier 3: Gearchiveerde data op EMC Centerra CAS Tier 4: Backup op tape data (LTO3 en LTO4) Centraal storage management gebeurt met de EMC Navisphere management suite. Backup/restore van centrale servers wordt gewaarborgd door de mogelijkheid van Bare Metal Restore (BMR) in Veritas Netbackup 6.5.3 gecombineerd met Vmware VCB. Archivering gebeurt met Symantec Enterprise Vault. Door gebruik te maken van mirroring bevindt zowel de online-data, de B2D-data en de archief-data zich op elk moment op de beide sites. Hiernaast bestaat ook de decentrale storage, dit is hoofdzakelijk lokale storage (DAS) in de decentrale servers, en wordt enkel gebruikt bij noodzaak. Met Veritas Netbackup Puredisk 6.5 worden centrale backups gemaakt van deze decentrale data, ook met de mogelijkheid tot BMR. Voor OCMW Gent: Op centraal storage vlak maakt het OCMW Gent gebruik van een SAN omgeving met fiberchannel HP EVA units. De storage in niet tiered. Door gebruik te maken van mirroring bevinden de data zich op elk moment op de beide sites. Hiernaast bestaat ook op een zeer beperkte schaal decentrale storage, dit is hoofdzakelijk lokale storage (DAS) in de decentrale servers, en wordt enkel gebruikt bij noodzaak. Met HP Dataprotector worden centrale backups gemaakt van deze decentrale data. Page 6
Netwerk Het stedelijk netwerk bestaat uit twee delen. MANAP voor Stad en OCMW en PANAP voor de Lokale Politie. Deze IP netwerken bestaan uit: Door private glasvezel verbonden locaties waar bovenop een 10 Gigabit MPLS netwerk is geïmplementeerd. Door huurlijn verbonden locaties (ADSL en SDSL technologie) met bandbreedtes variërend van 1M/256k/0k tot 2M/1M. Draadloze verbindingen (802.11a technologie) met een, afhankelijk van de afstand, maximale capaciteit van 54 Megabit. Gent (stad en OCMW) Het IP netwerk bestaat uit: Door private glasvezel verbonden locaties waar bovenop een 10 Gigabit MPLS netwerk is geïmplementeerd. Door huurlijn verbonden locaties (ADSL en SDSL technologie) met variërende bandbreedtes : 256kps CIR-1024 kbps burst tot 1 Mbps CIR-2 Mbps burst. Draadloze verbindingen (802.11a technologie) met een, afhankelijk van de afstand, maximale capaciteit van 54 Megabit. Door huurlijn via coaxnetwerk met SDSL backup lijnen. (enkel stad Gent) Een lange afstand point to point directionele licensed straalverbinding, 50 Mbps nominaal. (enkel stad Gent) Page 7
Security Voor het uitbouwen van zijn security beleid maakt Digipolis, buiten de klassieke perimeter beveiligingen, gebruik van vier componenten. Netop Secure Remote Control om derden toegang te verschaffen op Digipolis servers. Een Identity Management omgeving van Siemens welk manueel of automatisch gevoed wordt vanuit authentieke personeelsbronnen en op zijn beurt provisioning van MS Active Directory en Exchange doet. MS Active Directory : waar we naar streven om deze te integreren met al onze toepassingen voor authenticatie en op deze manier single sign-on te bewerkstelligen. Een SIEM voor de aggregatie en interpretatie van de event-loggings met volgende doelstellingen: o Key to compliance: Meten v/d compliance door monitoring v/d toegang tot kritische systemen en door het detecteren van ongeauthoriseerde events. o Complete automation: Automatisch centraal verzamelen van alle logs op een veilige manier. o User activity tracking: Verzamelen en interpreteren van informatie in de relatie van gebruikers tot de toegekende toegangen en andere bedrijfskritische beveiligde zaken, alsook het rapporteren en het genereren van waarschuwingen op bepaalde events. o Real Time alerting: Waarschuwingen uitzenden wanneer bepaalde events zich voordoen waardoor sneller actie kan worden genomen. o Intelligent reporting: Intelligente rapporten flexibel te genereren. Gent (stad en OCMW) Voor het uitbouwen van zijn security beleid maakt Digipolis, buiten de klassieke perimeter beveiligingen, gebruik van vier componenten. Een Identity Management omgeving van Siemens welk manueel of automatisch gevoed wordt vanuit authentieke personeelsbronnen en op zijn beurt provisioning van MS Active Directory en Exchange doet. MS Active Directory: waar we naar streven om deze te integreren met al onze toepassingen voor authenticatie en op deze manier single sign-on te bewerkstelligen. Systeembeheer Deployment Deployment omvat de distributie van software naar het cliëntplatform. Principieel wordt de voorkeur gegeven aan webgebaseerde toepassingen welke geen distributiemechanisme nodig hebben. Indien softwaredistributie onvermijdelijk is dan wordt binnen onze omgeving met het product Altiris van Symantec als standaard gewerkt. Monitoring: De component voor monitoring, alerting en beheer is het Microsoft product System Center Operations Manager (SCOM). System Center Operations Manager is een oplossing voor het effectieve beheer en monitoring van zulke gedistribueerde omgevingen. SCOM bestaat uit servers en agenten. De servers bestaan uit de Operations Manager Management server en de Operations Manager Reporting server. De agenten draaien op clients en servers; om niet-microsoft systemen te kunnen beheren (zoals routers of switches of storage systemen) wordt het SNMP protocol of het WS-Management protocol ondersteund. De agenten sturen volgende informatie naar de management servers: Events, om te informeren over zaken die zijn voorgekomen (foutieve login, hardware component terug in goede staat, ) Alerts om te melden dat iets gebeurd is dat de aandacht van een operator eist Performantiegegevens Discoverygegevens Page 8
Workload scheduling Binnen Digipolis wordt gebruik gemaakt van de externe scheduling om reguliere taken automatisch te starten, stoppen en te bewaken. Voorbeelden van taken welke op deze manier uitgevoerd worden zijn onder meer het nemen van backups, onderhoudswerkzaamheden aan databases, het importeren van gegevens, enz. Voor deze functionaliteit wordt binnen Digipolis standaard gebruik gemaakt van een aangekocht pakket Control M van de leverancier BMC. Het gebruik van interne scheduling faciliteiten van toepassingen wordt in principe vermeden, zodat reguliere taken binnen verschillende omgevingen op elkaar kunnen afgestemd worden. Om op de meest efficiënte manier te integreren in de omgeving van Digipolis dient een aangeboden oplossing met de standaard scheduling tool van onze omgeving. Stad Gent Deployment: Deployment omvat de distributie van software naar het server- en het cliëntplatform. Om software te distribueren op de 200-tal servers van de stad en een 80-tal servers voor OCMW, gebruiken we Symantec Altiris. Voor de clients wordt principieel de voorkeur gegeven aan webgebaseerde toepassingen welke geen distributiemechanisme nodig hebben. Indien softwaredistributie onvermijdelijk is dan wordt: Bij stad Gent software verdeeld via WSUS of manueel geïnstalleerd. Bij OCMW Gent software verdeeld via Microsoft App-V naar de XenApp servers, voor de portables wordt er manueel geïnstalleerd. Monitoring: Bij Stad Gent: De component voor monitoring, alerting en beheer is het Microsoft product System Center Operations Manager (SCOM). System Center Operations Manager is een oplossing voor het effectieve beheer en monitoring van zulke gedistribueerde omgevingen. SCOM bestaat uit servers en agenten. De servers bestaan uit de Operations Manager Management server en de Operations Manager Reporting server. De agenten draaien op clients en servers; om niet-microsoft systemen te kunnen beheren (zoals routers of switches of storage systemen) wordt het SNMP protocol of het WS-Management protocol ondersteund. De agenten sturen volgende informatie naar de management servers: Events, om te informeren over zaken die zijn voorgekomen (foutieve login, hardware component terug in goede staat, ) Alerts om te melden dat iets gebeurd is dat de aandacht van een operator eist Performantiegegevens Discoverygegevens Bij OCMW Gent: De component voor monitoring, alerting en beheer is Microsoft Operations Manager (MOM). De MOM agenten sturen volgende informatie naar de management servers: Events, om te informeren over zaken die zijn voorgekomen (foutieve login, hardware component terug in goede staat, ) Alerts om te melden dat iets gebeurd is dat de aandacht van een operator eist Performantiegegevens Workload scheduling: Digipolis Gent gebruikt geen job scheduling software. Page 9
Beschrijving van de gemeenschappelijke infrastructuur tuss en Antwerpen en Gent Deze bijlage beschrijft de gemeenschappelijke infrastructuur (GIGA-netwerk) welke tussen de beide omgevingen van Digipolis Antwerpen en Gent voorzien is. GIGA staat voor Gemeenschappelijke Infrastructuur Gent & Antwerpen. Op netwerkniveau is er een afzonderlijke VLAN voorzien (VLAN GIGA, /24) met een pool van 254 IP-adressen. De range is zo gekozen dat er geen overlappingen zijn met de bestaande IP-ranges van Gent en Antwerpen. Binnen deze VLAN worden de gemeenschappelijke servers en hun respectievelijke toepassingen geplaatst. De VLAN strekt zich uit over de beide steden; Fysisch zijn de beide campussen (steden) onderling verbonden met een niet redundante 100Mb lijn. De netwerksegmenten van de klanten van de respectievelijke steden, EN Digipolis, zijn van dit GIGA segment gescheiden via verschillende Firewalls. (zie netwerkschema) Op domeinniveau is er een nieuw AD domein opgezet (GIGA.local) als een nieuwe Tree in het bestaande Antwerpen Forest. Alle bestaande domeinen die gebruik willen maken van de beschikbare resources van het GIGA.local domein, moeten worden gekoppeld via Trust relationships. Page 10