Vilnius TURINYS
SAUGAUS VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO PASLAUGŲ BENDRASIS APRAŠYMAS
2005 m. liepos 28 d.
Vilnius
TURINYS
1. ĮVADAS 3
2. NAUDOJAMOS SĄVOKOS 3
3. SVDPT FUNKCIONAVIMO PRINCIPAI 4
4. SVDPT PASLAUGOS 6
4.1. Prijungimas prie Europos Bendrijos elektroninio keitimosi duomenimis tarp administracijų IDA
PROGRAMOS TINKLŲ IR JŲ PASLAUGOS 6
4.2. Saugaus Duomenų perdavimo paslaugos 7
4.2.1. Saugus duomenų perdavimas tarp Lietuvos Respublikos institucijų 7
4.2.2. Saugaus duomenų perdavimo priemonės valstybės institucijų tinklams 8
4.2.3. Saugaus ryšio su ne valstybės įmonėmis, įstaigomis ir organizacijomis paslaugos 9
4.2.4. Tarptautinių šifruotų tunelių terminavimas Lietuvoje 10
4.2.5. Duomenų perdavimas į bendrojo naudojimo duomenų perdavimo tinklus 10
4.3. Bendrosios (infrastruktūrinės) SVDPT paslaugos 10
4.3.1. Domenų vardų priežiūros paslaugos (DNS) 10
4.3.2. Elektroninio susirašinėjimo (elektroninio pašto) paslaugos 10
4.4. Prieglobos paslaugos 11
4.4.1. Institucijų tarnybinių stočių prieglobos paslaugos 11
4.4.2. Informacijos prieglobos paslaugos 11
PRIEDAI:
1. IDA programos tinklų paslaugų sąrašas
1. ĮVADAS
Saugaus valstybinio duomenų perdavimo tinklo (toliau – SVDPT) paskirtj ir teikiamas paslaugas reglamentuoja 2004 m. gegužės 14 d. Vidaus reikalų ministro jsakymu Nr. 1V-167 patvirtinti Saugaus valstybės duomenų perdavimo tinklo nuostatai ir Saugaus valstybinio duomenų perdavimo tinklo paslaugų teikimo taisyklės (Žin. 2004 Nr.83-3025).
SVDPT paslaugos užtikrina saugius duomenų mainus Lietuvos Respublikos valstybės ir savivaldybių institucijoms, jstaigoms ir jmonėms (toliau- valstybės institucijoms, institucijoms), saugius valstybės institucijų duomenų mainus su verslo jmonėmis ir piliečiais, bei ryšj su kitų Europos Sąjungos valstybių institucijomis per SVDPT ir IDA programos „TESTA“ tinklą.
Programa IDA (angl. Interchange of Data between Administrations) - elektroninio keitimosi duomenimis tarp administracijų programa - yra valdoma Europos Komisijos Įmonių generalinio direktorato (DG Enterprise, žiūr. xxxx://xxxxxx.xx.xxx/XXXX/xxx/ ). IDA yra Europos Komisijos strateginė iniciatyva - vykdyti elektroninj keitimąsi informacija tarp ES šalių-narių administracijų, naudojant informacinių ir ryšių technologijų (IRT) pasiekimus.
Elektroninis keitimasis administraciniais duomenimis tarp vyriausybių (administracijų) atlieka pagrindinj vaidmenj palaikant ES politikas tokiose svarbiose srityse kaip maisto sauga, sveikatos apsauga, imigracija, aplinkos ir civilinė sauga, statistika, teisėsauga ir saugumas, licencijos, energetika, prekybos kvotos ir kt.. Didėjant IRT naudojimui, šie apsikeitimai administraciniais duomenimis tampa kur kas efektyvesni ir naudingesni.
Šiame dokumente aprašyti SVDPT funkcionavimo principai ir pateikiamas šio tinklo teikiamų paslaugų valstybės institucijoms bendrasis aprašymas.
2. NAUDOJAMOS SĄVOKOS
SVDPT vartai | Komunikacijų mazgas, kuris jrengiamas Lietuvos Respublikos institucijos vietiniame kompiuterių tinkle ir atlieka tarpininko vidmenj tarp Lietuvos Respublikos institucijos vietinio kompiuterių tinklo ir SVDPT. |
Euro vartai | IDA programos „TESTA” tinklo sujungimo su ES valstybės narės institucijas jungiančiu tinklu taškas. (Euro domeno ir ES nacionalinio domeno sujungimo riba, angl. EuroGateway). Per Euro vartus prisijungiama prie IDA programos informacinių išteklių. Lietuvoje „TESTA“ tinklo Euro vartai jrengti SVDPT tinkle. |
Tinklo sritis, tinklo saugumo zona | Lokaliojo ar teritorinio tinklo dalis, fiziškai arba logiškai (naudojant tinklo jrangos priemones) atskirta nuo kitų tinklo dalių, tenkinanti vieningus perduodamų duomenų saugos reikalavimus ir užtikrinanti vieningą perduodamų duomenų apsaugos lygj visoms prie šios tinklo dalies prijungtoms sistemoms. Tinklo srityje naudojama vieninga šioje srityje perduodamų duomenų ir sąsajų su kitomis tinklo sritimis bei kitais tinklais apsaugos sistema. |
Institucijos tinklas | Institucijos kompiuterių ir jrenginių, sujungtų j lolaliuosius ir teritorinius tinklus, visuma, administruojama šios jmonės, jstaigos ar organizacijos. Institucijos tinklas yra atskirtas nuo bendrojo naudojimo duomenų perdavimo tinklų. Teritorinis institucijos tinklas paprastai jungia lokaliuosius jmonės, jstaigos ar organizacijos tinklus. |
Kitos šiame dokumente naudojamos sąvokos apibrėžiamos taip pat, kaip Saugaus valstybinio duomenų perdavimo tinklo nuostatuose, Saugaus valstybinio duomenų perdavimo tinklo paslaugų teikimo taisyklėse (Žin. 2004 Nr.83-3025) ir Elektroninių ryšių jstatyme (Žin. 2004 Nr.69-2382).
3. SVDPT FUNKCIONAVIMO PRINCIPAI
SVDPT yra TCP/IP protokolų pagrindu veikiantis tinklas, atskirtas nuo bendrojo naudojimo tinklų (interneto). Jame funkcionuoja atskira domenų vardų sistema DNS, atskiras (tarpžinybinis) elektroninis paštas ir kitos sistemos, kurios užtikrina saugų duomenų perdavimą tinklu tarp valstybės institucijų tinklų bei juose funkcionuojančių informacinių sistemų. SVDPT paslaugų komponentų loginė struktūra pavaizduota pav.1.
Kamieninę (angl. Backbone) SVDPT dalj sudaro tinklo jranga apskričių centruose ir savivaldybių centruose, sujungta didelio pralaidumo skaitmeninėmis tarpmiestinėmis linijomis. Kamieninės tinklo dalies jrenginiai sujungti taip, kad užtikrintų didelj tinklo patikimumą, t.y. užtikrinami alternatyviniai maršrutai tarp kamieninės tinklo dalies jrenginių. Sostinėje jdiegtas didelės spartos miesto tinklas, integruotas j SVDPT kamieninj tinklą, ir užtikrinantis spartų ryšj tarp valstybės institucijų.
Valstybės institucijų tinklai prijungiami prie SVDPT per SVDPT vartus (angl. Gateway), jrengiamus valstybės institucijoje, ir sujungtus su artimiausiu kamieninės SVDPT dalies komunikaciniu mazgu prieigos linija. SVDPT vartų paskirtis – užtikrinti institucijos tinklo ir SVDPT adresų suderinimą (angl. NAT, Network address translation), duomenų, perduodamų per SVDPT, šifravimą, ugniasienės funkcijas ir kt. SVDPT vartai yra atsakomybės už perduodamus duomenis perdavimo tarp institucijos tinklo ir SVDPT tinklo riba. Vienai institucijai jrengiami vieneri SVDPT vartai.
Reikiamas duomenų perdavimo saugumas SVDPT užtikrinamas naudojant atskiras tinklo sritis (zonas) skirtingo saugumo lygio informacijai perduoti, duomenų šifravimą ir duomenų mainų dalyvių identifikavimą. Duomenų perdavimo iš vienos tinklo srities j kitą taisyklės aprašomos ugniasienėse, jungiančiose atskiras tinklo sritis. Svarbiems duomenims galima suteikti prioritetus ir apsaugoti duomenų srautus, perduodamus tam tikroje tinklo srityje bei informacines sistemas, prijungtas prie tam tikros tinklo srities.
Bendrą perduodamų duomenų saugą sąlygoja ne tik priemonės, naudojamos SVDPT, bet ir priemonės, naudojamos kiekviename iš institucijos tinklų, dalyvaujančių duomenų perdavime. Bendri minimalūs reikalavimai institucijų tinklams, prijungiamiems prie SVDPT, pateikiami „Techniniuose reikalavimuose prisijungimui prie saugaus valstybinio duomenų perdavimo tinklo “ ir „Saugumo reikalavimuose prisijungimui prie saugaus valstybinio duomenų perdavimo tinklo“.
Pagrindinės SVDPT sritys apibūdintos lentelėje:
Tinklo sritis | Apibūdinimas |
SVDPT-K | Aukšto saugumo SVDPT sritis duomenų perdavimui tarp valstybės institucijų. Ši sritis neturi ryšių su bendrojo naudojimo duomenų perdavimo tinklais ir atskirta nuo kitų, žemesnio saugumo SVDPT sričių. |
SVDPT-R | Saugi pagrindinė SVDPT sritis duomenų perdavimui tarp valstybės institucijų. Ši sritis turi apsaugotą ugniasienėmis ryšj su bendrojo naudojimo duomenų perdavimo tinklais per SVDPT-D ir SVDPT-E sritis. Šioje srityje funkcionuoja ir yra teikiamos SVDPT bendrosios paslaugos – tarpžinybinis elektroninis paštas, SVDPT domenų vardų sistema ir kt. |
SVDPT-E | Apsaugota SVDPT sritis duomenų mainams tarp valstybės institucijų ir kitų jstaigų, jmonių ir organizacijų, kuriems teikiami ir iš kurių gaunami duomenys šifruotų duomenų kanalais per bendrojo naudojimo duomenų perdavimo tinklus (angl. Extranet sritis). |
SVDPT-D | Apsaugota SVDPT sritis duomenų mainams tarp valstybės institucijų ir asmenų, jmonių, jstaigų bei organizacijų. Šioje srityje talpinami ištekliai (tinklapiai, taikomųjų programų tarnybinės stotys ir pan.), kurie pasiekiami iš bendrojo naudojimo duomenų perdavimo tinklų (angl. Demilitarized Zone, DMZ). |
SVDPT sričių ir vartotojų grupių naudojimo schema pavaizduota pav.2.
SVDPT-K sritis skirta saugiai perduoti aukšto saugumo lygio duomenis tarp valstybės institucijų. Ši sritis yra visiškai uždara ir neturi jokių ryšių su kitomis SVDPT sritimis.
SVDPT-R sritis skirta saugiai perduoti duomenis tarp valstybės institucijų, taip pat saugiam prisijungimui prie ES IDA programos informacinių sistemų (projektų) per IDA programos „TESTA“ tinklą. „TESTA“ tinklo Euro vartai prijungti prie SVDPT-R srities.
Perduodami duomenys užšifruojami institucijoje, sunčiančioje duomenis, perduodami per SVDPT-K arba SVDPT-R sritj, ir iššifruojami institucijoje, gaunančioje duomenis.
Duomenys, perduodami kitų ES šalių institucijoms ir IDA programos projektų informacinėms sistemoms, užšifruojami SVDPT vartuose, perduodami iki Euro vartų, ir toliau “TESTA” tinklu iki paskirties vietos.
SVDPT-E sritis yra skirta duomenų mainams su jmonėmis, jstaigomis ir organizacijomis, neturinčiomis prijungimo prie SVDPT, bet teikiančioms ir gaunančims informaciją iš valstybės jstaigų informacinių sistemų. Šių jmonių, jstaigų ir organizacijų prijungimas prie valstybės institucijų informacinių sistemų tarnybinių stočių, užtikrinančių duomenų gavimą ir teikimą, gali būti atliekamas per apsaugotą SVDPT-E sritj vienu iš toliau išvardintų būdų:
• šifruotų duomenų kanalu per bendro naudojimo duomenų perdavimo tinklus;
• šifruotu pavidalu prisijungiant per bendro naudojimo telefono tinklus (angl. dial-up);
• šifruotų duomenų kanalu per judriojo ryšio operatorių tinklus (GSM, GPRS ir kt.).
Duomenų mainų dalyviai – institucijos informacinių sistemų tarnybinės stotys, darbo vietų kompiuteriai ir kiti jrenginiai, prijungti prie institucijos tinklo ir siunčiantys bei gaunantys duomenis, identifikuojami jrenginio IP adresu institucijos tinkle. Duomenų perdavimas SVDPT-K, SVDPT-R ir SVDPT-E srityje jmanomas tik tarp duomenų mainų dalyvių, priklausančių tai pačiai duomenų mainų grupei, sudaromai ir administruojamai pagal grupės savininko nurodymus. Tokiu būdu papildomai apsaugomi vartotojų informaciniai resursai, prijungti prie SVDPT tinklo.
Apsaugota SVDPT-D sritis skirta prijungti valstybės institucijų informacinių sistemų tarnybines stotis, naudojamas duomenų teikimui (institucijų tinklapiai ir portalai, užsakymų priėmimo ir elektroninio klientų aptarnavimo priemonės, kitos sistemos) gyventojams per bendrojo naudojimo duomenų perdavimo tinklus. Šiose tarnybinėse stotyse būtų talpinamas tik ta informacijos dalis, kuri skirta viešų paslaugų užtikrinimui ir teikiama bendrojo naudojimo duomenų perdavimo tinklais. Informacija, saugoma tarnybinėse stotyse, prijungtose prie kitų SVDPT sričių, iš bendrojo naudojimo duomenų perdavimo tinklų nepasiekiama.
SVDPT gali būti sukurtos ir kitos tinklo sritys, tenkinančios valstybės institucijų reikalavimus. Jei institucija turi padalinių keliose geografiškai nutolusiose vietose, SVDPT galima sukurti tinklo sritj ar kelias sritis institucijos vietinių tinklų apjungimui. Duomenims, perduodamiems tarp institucijos padalinių gali būti taikomos apsaugos priemonės pagal institucijos informacinių sistemų reikalavimus duomenų saugos lygiui.
SVDPT tinkle funkcionuojanti saugaus tarpinstitucinio elektroninio pašto sistema užtikrina saugų elektroninj susirašinėjimą tarp institucijų. SVDPT elektronio pašto adresai neskelbiami viešuosiuose tinkluose. Elektroniniai laiškai neperduodami iš viešojo elektroninio pašto sistemų j SVDPT elektroninio pašto adresus ir iš SVDPT elektroninio pašto adresų j viešojo elektroninio pašto sistemas. Visi SVDPT elektroniniai laiškai perduodami šifruotais duomenų perdavimo kanalais ir SVDPT elektroninio pašto stotyje yra patikrinami virusų ir piktybinių programų paieškos sistema. SVDPT elektroninio pašto stotis funkcionuoja SVDPT-R srityje. Tokiu būdu užtikrinamas tarpinstitucinio elektroninio susirašinėjimo konfidencialumas
ir darbo vietų, prijungtų prie SVDPT, apsauga nuo piktybinių programų, plintančių elektroninio pašto sistemomis.
SVDPT operatorius uždaro TESTA elektroninio pašto domene registruoja vartotojus ir SVDPT saugaus tarpinstitucinio elektroninio pašto sistema šiems registruotiems vartotojams pristato bei perduoda elektroninius laiškus j TESTA elektroninio pašto sistemą.
Kitame SVDPT plėtros etape numatyta tinkle jdiegti tarpinstitucinio elektroninio žinyno sistemą (LDAP) ir griežtesnę SVDPT vartotojų bei prijungtų sistemų autentifikavimo sistemą (elektroninių raktų infrastruktūros pagrindu) tenkinančią skirtingų duomenų saugos lygių reikalavimus. Šios sistemos jgalins SVDPT vartotojams teikti daugiau papildomų paslaugų.
4. SVDPT PASLAUGOS
4.1. PRIJUNGIMAS PRIE EUROPOS BENDRIJOS ELEKTRONINIO KEITIMOSI DUOMENIMIS TARP ADMINISTRACIJŲ IDA PROGRAMOS TINKLŲ IR JŲ
PASLAUGOS
Programa IDA skirstoma j dvi dideles dalis. Pirma iš jų, apimanti aukščiau išvardintas taikomąsias sritis (maisto produktų kokybę, sveikatos apsaugą, energetiką ir t.t.) – vadinama bendrųjų interesų projektais (angl. - Projects of Common Interests - PCIs), kurie tiesiogiai skirti administracijoms, verslui ir piliečiams.
Antroji dalis projektų, finansuojamų IDA programoje, yra vadinami horizontalių veiksmų ir priemonių projektai (angl. - Projects of Horizontal Actions and Measures - HAMs), kurie susideda iš standartinių bendrų sprendimų ir pritaikymų administracijoms, taip pat verslui, skirtų palengvinti gamybą ir tarptautinj bendradarbiavimą tarp tinklų bei pačiuose tinkluose. Pagrindiniai projektai šioje HAM dalyje yra IDA “TESTA” (uždaras saugus ES administracijų tinklas) , IDA PKI (ES administracijų elektroninio parašo sistema), IDA CIRCA (ES administracijų kolektyvinio darbo sistema).
IDA programos tinklų paslaugų, kuriomis gali naudotis LR valstybės institucijos, sąrašas pateiktas 1 priede.
LR valstybės institucijos, prijungiamos prie Europos bendrijos elektroninio keitimosi duomenimis tarp administracijų IDA programos tinklų, turi būti prijungtos prie SVDPT, t.y. joms turi būti:
• jrengta prieiga prie SVDPT ir SVDPT vartai;
• jrengtas šifruotas duomenų perdavimo kanalas j SVDPT-R sritj.
SVDPT operatorius, užsisakiusioms šias paslaugas institucijoms (skliausteliuose nurodyti prijungimo prie IDA programos tinklų paslaugų kodai):
• sukonfigūruoja ir palaiko šifruotą duomenų perdavimo kanalą su IDA programos tinklais, nustato šio kanalo parametrus (V1,M2);
• registruoja ir palaiko vartotojo tarnybines stotis, skirtas ryšiui su IDA programos tinklais palaikyti (V2, M2);
• registruoja ir palaiko institucijos darbo vietas ryšiui su IDA programos tinklais (V3,
M3);
• nustato ir sukonfigūruoja saugos taisykles IDA programos projekto paslaugų teikimui
Lietuvoje, atlieka šio IDA programos projekto paslaugų teikimo techninę priežiūrą ir pagalbą (V4, M4);
• registruotiems institucijos vartotojams teikia IDA “TESTA” tinklo uždaro elektroninio pašto paslaugas (žr. sk. 4.3.1).
4.2. SAUGAUS DUOMENŲ PERDAVIMO PASLAUGOS
4.2.1. Saugus duomenų perdavimas tarp Lietuvos Respublikos institucijų
Šia paslauga gali naudotis institucijos, kurios yra prijungtos prie informacinės sistemos poreikius atitinkančios SVDPT srities, t.y.:
• kiekvienai iš šių institucijų yra jrengiama jos duomenų perdavimo apimčių poreikius tenkinanti prieiga prie SVDPT ir SVDPT vartai;
• kiekvienai iš šių institucijų yra sukuriamas šifruotas duomenų perdavimo kanalas j informacinės sistemos duomenų perdavimui saugumui keliamus reikalavimuis atitinkančią SVDPT sritj;
• perduodamos informacijos teikėjai ir gavėjai yra apjungiami j vieną SVDPT srities vartotojų grupę, kuri tvarkoma vartotojų grupės savininko (tuo pačiu dažniausiai ir perduodamos informacijos tvarkytojo) nustatyta tvarka.
Institucijos prieiga jrengiama SVDPT vartų jrengimo vietoje, institucijos patalpose.
Prieiga gali būti:
Optinė prieigos linija | Maksimali prieigos greitaveika - 1 GBps |
Simetrinė skaitmeninė (SHDSL ) prieigos linija | Maksimali prieigos greitaveika - 2 MBps |
Asimetrinė skaitmeninė (ADSL) prieigos linija | Maksimali greitaveika (gavimo/siuntimo) – 22/1 MBps |
Didelės spartos skaitmeninė (VHDSL) prieigos linija | Maksimali prieigos greitaveika - 8 MBps |
Prieiga patikimumui padidinti gali būti dubliuota panaudojant vieną iš aukščiau išvardintų būdų.
Atskirais atvejais, kai tai leidžia duomenų saugos reikalavimai ir nėra techninių galimybių jrengti pastovų (fiksuotą) institucijos prijungimą prie SVDPT, ryšiui su SVDPT-E sritimi valstybės institucijų darbo vietos gali būti jungiamos šifruotų duomenų kanalais per bendrojo naudojimo duomenų perdavimo tinklus (internetą), komutuojamus bendrojo naudojimo telefono tinklus ir mobilaus ryšio duomenų perdavimo tinklus ryšiams su SVDPT-E sritimi.
Visi valstybės institucijų perduodami duomenys, perduodami SVDPT-E, SVDPT-R ir SVDPT-K srityse užšifruojami. SVDPT-K ir SVDPT-R srityse naudojamos skirtingos duomenų apsaugos priemonės, atitinkančios perduodamų tinklo srityje duomenų saugos lygj.
Per tą pačią prieigą ir SVDPT vartus gali būti realizuota prijungimai prie keleto SVDPT sričių, tačiau SVDPT-K sričiai visada jrengiama atskira prieiga ir vartų jranga. Prijungimą prie tam tikros SVDPT srities jstaiga užsisako pagal pagal gaunamų ir teikiamų duomenų saugumo lygj, paslaugas, informacinių sistemų reikalavimus.
Duomenų perdavimas SVDPT srityse galimas tik tarp tai pačiai vartotojų grupei priklausančių vartotojo darbo vietų kompiuterių, informacinių sistemų tarnybinių stočių ir kitų tinklo jrenginių (toliau – grupės narių).
Vartotojų grupė sukuriama informacinės sistemos valdytojo arba tvarkytojo užsakymu. Vartotojų grupęs savininkas nustato grupės narių registravimo ir išregistravimo taisykles, t.y. be vartotojų grupės savininko sutikimo vartotojo darbo vietos kompiuteris ar tarnybinė stotis negali būti jrašyta j šią vartotojų grupę, jai negali būti suteikta ar pakeista duomenų perdavimo teisių konfigūracija vartotojų grupėje. Vartotojų grupės savininkas turi teisę pašalinti bet kurj grupės narj iš grupės.
Naujų narių jtraukimas j vartotojų grupę ir jų duomenų perdavimo teisių pakeitimas ir pašalinimas iš darbo grupės užsakomas kiekvienam grupės nariui atskirai. Užsakymą patvirtina grupės savininkas.
SVDPT operatorius, užsisakiusioms šias paslaugas institucijoms:
• jrengia ir prižiūri prieigą nuo SVDPT iki SVDPT vartų jrengimo vietos;
• jrengia ir prižiūri SVDPT vartus, prijungia jstaigos tinklą prie SVDPT vartų;
• sukuria ir prižiūri šifruotų duomenų kanalus nuo SVDPT vartų iki pasirinktų SVDPT sričių;
• sukuria vartotojų grupes, jas konfigūruoja ir prižiūri pagal grupės savininko nurodymus;
• administruoja vartotojų darbo grupes, t.y jrašo, tvarko ir šalina vartotojo darbo vietų kompiuterius, tarnybines stotis ir kitus tinklo jrenginius (su vartotojų grupės savininko sutikimu), tikrina ir suteikia vartotojų jgaliojmus ir kt.
• perduoda duomenis SVDPT tinklu.
4.2.2. Saugaus duomenų perdavimo priemonės valstybės institucijų tinklams
Šia paslauga gali naudotis institucijos, savo veiklai kompiuterizuoti kuriančios ir naudojančios saugius regioninius (Lietuvos Respublikos aprėpties) institucijų duomenų perdavimo tinklus. Institucija, turinti padalinių geografiškai skirtigose vietose (tame pačiame mieste ar skirtingose miestuose ir vietovėse), gali apjungti padalinių vietinius tinklus j vieną regioninj institucijos tinklą naudodamasi SVDPT paslaugomis:
• institucijos padaliniams jrengiama institucijos duomenų perdavimo apimčių poreikius tenkinanti prieiga prie SVDPT. Centrinėje būstinėje jrengta prieiga prie SVDPT tinklo gali būti naudojama tiek duomenų perdavimui tarp institucijų, tiek ir duomenų perdavimui j institucijos padalinius regioniniame institucijos tinkle;
• sukuriamas virtualus regioninis institucijos tinklas duomenų perdavimui tarp jstaigos padalinių;
• jdiegiama perduodamų duomenų šifravimo sistema, institucijos duomenų perdavimo tarpmiestinių srautai suskirstomi pagal perduodamų duomenų pobūdj ir apsaugos reikalavimus;
Institucijos padalinių prieiga jrengiama pagal institucijos poreikius ir technines galimybes institucijos ir jos padalinių patalpose. Prieiga gali būti:
Optinė prieigos linija | Maksimali prieigos greitaveika - 1 GBps |
Simetrinė skaitmeninė (SHDSL ) prieigos linija | Maksimali prieigos greitaveika - 2 MBps |
Asimetrinė skaitmeninė (ADSL) prieigos linija | Maksimali greitaveika (gavimo/siuntimo) – 22/1 MBps |
Didelės spartos skaitmeninė (VHDSL) prieigos linija | Maksimali prieigos greitaveika - 8 MBps |
Prieiga patikimumui padidinti pagal technines galimybes gali būti dubliuota bet kuriame prijungimo taške panaudojant vieną iš aukščiau išvardintų būdų.
Duomenų perdavimui tarp institucijos padalinių sukuriamas SVDPT kamieninėje dalyje sukuriamas atskiras, nepasiekiamas iš kitų SVDPT dalių virtualus regioninis tinklas. Institucijos regioninis virtualus tinklas gali būti vieno miesto aprėpties (šiuo metu tik sostinėje) arba visos šalies aprėpties.
Institucijos regioniniame tinkle perduodami duomenys gali būti šifruojami nuo padalinio vietinio tinklo prijungimo taško arba nuo vartotojo darbo vietos. Skirtingose institucijos regioninio tinklo srityse gali būti naudojamos skirtingos duomenų saugos priemonės, atitinkančios perduodamų šioje tinklo srityje duomenų saugos lygj. Per tą pačią prieigą ir padalinio vietinio tinklo prijungimo tašką gali būti realizuota keleto institucijos tinklo saugumo sričių ryšiai (keletas institucijos regioninio tinklo sričių).
SVDPT operatorius užsisakiusioms šias paslaugas institucijoms:
• jrengia ir prižiūri prieigą nuo SVDPT iki padalinių vietinio tinklo jrengimo vietų
• sukuria, prižiūri ir administruoja institucijos regioninj virtualų tinklą institucijos padalinių lokaliųjų tinklų apjungimui
• jstaigos padalinių lokaliųjų tinklų prijungimo vietose jrengia duomenų šifravimo jrangą
• regioniniame tinkle sukuria ir pagal institucijos nurodymus administruoja šifruotus duomenų perdavimo kanalus ir tinklo sritis institucijos regioniniame virtualiame tinkle
• perduoda duomenis SVDPT tinklu.
4.2.3. Saugaus ryšio su ne valstybės įmonėmis, įstaigomis ir organizacijomis paslaugos
Valstybės institucijų informacinės sistemos, gali teikti ir gauti informaciją iš kitų ūkio subjektų, valstybės užsakymu teikiančių viešojo administravimo paslaugas. Dalis šios informacijos turi būti perduodama saugiai, bet, atsižvelgiant j SVDPT paskirtj ir saugos reikalavimus, jmonės negali būti prijungtos prie SVDPT-R srities.
Valstybės institucijų informacinių sistemų ryšys su kitų, ne valstybės institucijų, ūkio subjektų informacinėmis sistemomis ir vartotojais gali būti realizuotas per specialią apsaugotą SVDPT-E sritj:
• Įstaigos informacinė sistema per SVDPT vartus prijungiama prie SVDPT-E srities
• SVDPT-E srityje sukuriama vartotojų grupė
• Sukuriami šifruoti kanalai nuo jmonių, jstaigų ar organizacijų darbo vietų ar tarnybinių stočių iki SVDPT-E srities ir jrašomi j vartotojų grupę.
Įstaigos informacinė sistema gali būti prijungiama prie SVDPT-E srities keletu būdų:
1. jei valstybės institucijos informacinės sistemos tarnybinė stotis, teikianti ar gaunanti informaciją iš jmonių, jstaigų ar organizacijų, neprijungtų prie SVDPT, yra valstybės institucijoje, tai institucijai sukuriamas atskiras šifruotas kanalas j SVDPT-E sritj per institucijos SVDPT vartus.
2. Jei valstybės institucijos informacinė sistema naudojasi SVDPT duomenų centre esančia tarnybine stoimi, prijungta prie SVDPT-E srities, tai jos patalpose esančiai informacinės sistemos tarnybinei stočiai sudaroma galimybė perduoti duomenis duomenų centre esančiai tarnybinei stočiai per tarp SVDPT-R ir SVDPT-E sričių esančią ugniasienę.
Vartotojų grupė sukuriama informacinės sistemos, prijungtos prie SVDPT ir teikiančios arba gaunančios informaciją iš informacinės sistemos vartotojų ir kitų informacinių sistemų, savininko (valdytojo arba tvarkytojo) užsakymu. Vartotojų grupės savininkas nustato grupės administravimo taisykles. Be vartotojų grupės savininko sutikimo vartotojo darbo vietos kompiuteris ar tarnybinė stotis negali būti jrašyta j šią vartotojų grupę, jai negali būti suteikta ar pakeista duomenų perdavimo teisių konfigūracija vartotojų grupėje.
Šifruoti kanalai sukuriami nuo jmonių, jstaigų ar organizacijų darbo vietų ar tarnybinių stočių iki SVDPT-E srities sukuriami vienu iš šių būdų:
1. Sukuriamas šifruotas kanalas nuo darbo vietos kompiuterio iki SVDPT-E srities per bendrojo naudojimo duomenų perdavimo tinklus (internetą), naudojant programinj šifravimo agentą darbo vietos kompiuteryje.
2. Sukuriamas šifruotas kanalas nuo darbo vietos kompiuterio iki SVDPT-E srities per bendrojo naudojimo duomenų perdavimo tinklus (internetą), naudojant aparatinj šifravimo jrenginj.
3. Sukuriamas šifruotas kanalas nuo darbo vietos kompiuterio iki SVDPT-E srities per bendrojo naudojimo telefono tinklus (dial-up), naudojant programinj šifravimo agentą darbo vietos kompiuteryje.
4. Sukuriamas šifruotas kanalas nuo mobilios darbo vietos kompiuterio iki SVDPT-E srities per judriojo ryšio operatorių duomenų perdavimo tinklus (GPRS), naudojant programinj šifravimo agentą darbo vietos kompiuteryje.
SVDPT operatorius užsisakiusioms šias paslaugas institucijoms, prisijungusioms prie SVDPT:
• sukuria ir prižiūri šifruotus kanalus nuo SVDPT vartų iki SVDPT-E srities;
• SVDPT-E srityje sukuria vartotojų grupes, jas konfigūruoja ir prižiūri pagal grupės savininko nurodymus;
• sukuria šifruotus kanalus nuo vartotojų darbo vietų kompiuterių, tarnybinių stočių ir kitų tinklo jrenginių per:
- bendrojo naudojimo duomenų perdavimo tinklus, kai vartotojo darbo vietos kompiuteryje jdiegiamas SVDPT operatoriaus pateiktas programinis šifravimo agentas;
- bendrojo naudojimo duomenų perdavimo tinklus, naudojant SVDPT operatoriaus pateiktą aparatinj šifravimo jrenginj;
- bendrojo naudojimo telefono tinklus (dial-up), kai vartotojo darbo vietos kompiuteryje jdiegiamas SVDPT operatoriaus pateiktas programinis šifravimo agentas;
- naudojant judriojo ryšio operatorių duomenų perdavimo tinklus (GPRS), kai vartotojo darbo vietos kompiuteryje jdiegiamas SVDPT operatoriaus pateiktas programinis šifravimo agentas;
• vartotojų darbo grupėse jrašo, tvarko ir šalina vartotojo darbo vietų kompiuterius, tarnybines stotis ir kitus tinklo jrenginius (su vartotojų grupės savininko sutikimu).
4.2.4. Tarptautinių šifruotų tunelių terminavimas Lietuvoje
Tais atvejais, kai valstybės institucijos informacinė sistema teikia ar gauna duomenis iš kitoje šalyje esančios jstaigos, jmonės ar organizacijos, tarpusavio susitarimu gali būti jrengtas IPSec tunelis per bendrojo naudojimio nuo užsienio jmonės informacinės sistemos iki valstybės institucijos informacinės sistemos, prijungtos prie SVDPT-E srities. Šiuo atveju SVDPT operatorius, jgaliotas valstybės institucijos, informacinės sistemos valdytojos ar tvarkytojos, atlieka šifruoto kanalo priežiūrą Lietuvos pusėje. Kitą šifruoto kanalo pusę prižiūri jmonė ar jos jgaliotas paslaugos teikėjas kitoje šalyje. Valstybės institucija užsisakiusi šią paslaugą, turi užtikrinti daugiašalj susitarimą, reglamentuojantj šalių jsipareigojimus diegiant ir prižiūrint tarptautinj tunelj.
4.2.5. Duomenų perdavimas į bendrojo naudojimo duomenų perdavimo tinklus
Valstybės institucijų informacinės sistemos, gali teikti ir gauti informaciją iš kitų fizinių ir juridinių asmenų. Atsižvelgiant j SVDPTpaskirtj ir saugos reikalavimus, fiziniai ir juridiniai asmenys per bendrojo naudojimo tinklus negali pasiekti institucijos informacinių sistemų, prijungtų prie SVDPT-R srities.
Duomenų gavimas ir teikimas iš valstybės institucijų informacinių sistemų asmenims per bendrojo naudojimo duomenų perdavimo tinklus gali būti realizuotas per specialią ugniasiene apsaugotą SVDPT-D sritj
4.3. BENDROSIOS (INFRASTRUKTŪRINĖS) SVDPT PASLAUGOS
4.3.1. Domenų vardų priežiūros paslaugos (DNS)
SVDPT tinkle veikia atskira domenų vardų sistema (DNS). SVDPT domeno xxxxx.xx subdomenų vardai neskelbiami bendrojo naudojimo duomenų perdavimo tinkluose funkcionuojančioje domenų vardų sistemoje. Prie SVDPT sričių SVDPT-R ir SVDPT-K sričių prijungtuose tinkluose turi būti naudojami tik SVDPT domeno vardai.
SVDPT operatorius registruoja ir administruoja valstybės institucijų, prijungtų prie SVDPT, jrašus SVDPT vardų sistemoje.
4.3.2. Elektroninio susirašinėjimo (elektroninio pašto) paslaugos
SVDPT srityje SVDPT-R funkcionuoja saugaus elektroninio pašto sistema, skirta elektroniniam susirašinėjimui tarp institucijų. Visi SVDPT elektroniniai laiškai perduodami
šifruotais duomenų perdavimo kanalais ir SVDPT elektroninio pašto stotyje yra patikrinami virusų ir piktybinių programų paieškos sistema.
Saugaus SVDPT tarpinstitucinio elektroninio pašto sistema nepersiunčia laiškų j bendrojo naudojimo tinklus ir nepristato SVDPT vartotojams skirtų laiškų iš bendrojo naudojimo tinklų (interneto pašto).
SVDPT operatorius registruoja ir prižiūri elektroninio pašto vartotojus SVDPT tinkle:
• Vartotojams sukuria ir prižiūri saugaus SVDPT elektroninio pašto adresus ir pašto dėžutes;
• prijungia prie SVDPT elektroninio pašto sistemos institucijų elektroninio pašto stotis ir užregistruoja ir administruoja institucijos elektroninio pašto domeno vardą;
• užregistruoja ir administruoja institucijos elektroninio pašto vartotojus IDA programos saugaus elektroninio pašto sistemoje.
4.4. PRIEGLOBOS PASLAUGOS
4.4.1. Institucijų tarnybinių stočių prieglobos paslaugos
Institucija gali patalpinti savo tarnybinę stotj SVDPT tarnybinių stočių prieglobos patalpose ir tuo užtikrinti stoties funkcionavimui tinkamą aplinką. SVDPT operatorius šias paslaugas užsakančioms institucijoms suteikia:
• saugią vietą institucijos tarnybinės stoties jrengimui (atskirai tarnybinei stočiai arba vietą montažinėje spintoje), su jprastomis serverių patalpoms aplinkos sąlygomis (aušinimas, vėdinimas ir drėgmė);
• nepertraukiamą elektros maitinimą institucijos tarnybinei stočiai;
• plačiajuostj prijungimą prie institucijos poreikius tenkinančios SVDPT srities (arba keleto sričių);
• apsaugotą duomenų perdavimo kanalą nuotolinei sistemos priežiūrai, duomenų atnaujinimui ir ryšiui su institucijos darbo vietomis per SVDPT-R sritj.
Atskiru susitarimu SVDPT operatorius gali nuomoti institucijai atskirą tarnybinę stotj su sistemine programine jranga
4.4.2. Informacijos prieglobos paslaugos
Institucija gali patalpinti savo tinklapius, informacijos bylas ir kitą informaciją SVDPT duomenų centre ir naudotis SVDPT duomenų centre funkcionuojančiomis priemonėmis (duomenų centro tarnybinių stočių ištekliais, programine jranga) šią informaciją pateikti vartotojams:
• SVDPT duomenų centro ištekliai, prijungti prie SVDPT-R srities, pasiekiami tik valstybės institucijoms, prijungtoms prie SVDPT-R srities;
• SVDPT duomenų centro ištekliai, prijungti prie SVDPT-E srities, pasiekiami jmonėms, jstaigoms ir organizacijoms šifruotais kanalais per bendrojo naudojimo duomenų perdavimo tinklus, bendrojo naudojimo telefono tinklus ir judriojo ryšio operatorių tinklus;
• SVDPT duomenų centro ištekliai, prijungti prie SVDPT-D srities, pasiekiami visiems (juridiniams ir fiziniams) asmenims, per bendrojo naudojimo duomenų perdavimo tinklus.
Duomenų centro tarnybinėse stotyse gali būti patalpinti institucijų tinklapiai ir portalai, kiti bendrojo naudojimo duomenų perdavimo tinklais teikiami duomenys.
SVDPT operatorius užsisakiusiems šias paslaugas institucijoms suteikia:
• išteklius duomenų centro tarnybinėse stotyse (vietą informacijai talpinti, programinę jrangą tinklapiams pateikti ir kt.);
• apsaugotą duomenų perdavimo kanalą nuotolinei duomenų (turinio) priežiūrai, duomenų atnaujinimui ir ryšiui su institucijos darbo vietomis per SVDPT-R sritj.
u
r
o
D
o
m
e
n
a
s
T
E
S
T
A
E
Euro vartai (EuroGate)
m
i
e
S
D
P
T
n
ė
d
a
l
i
A
s
i
m
r
i
n
t
i
n
ė
s
l
i
n
s
e
n
m
i
o
n
r
ki
s
u
o
s
p
k
r
a
i
Šifruotų duomenų kanalai
ė
i
(
A
a
SVDPT vartai
s
e
t
s
xx
D
S
L)
S
k
i
r
t
i
n
ė
s
l
i
n
i
j
o
s
O
p
t
i
n
ė
p
r
i
e
i
g
a
ė
s
S
g
SVDPT vartai
Valstybės institucijų tinklai
Pav. 1 SVDPT paslaugų komponentų loginė architektūra
Duomenų mainų iš SVDPT-K srities j kitas SVDPT sritis ir kitus tinklus nėra
G1
SVDPT-K sritis
Institucijos informacinės sistemos tarnybinė stotis
SVDPT-R sritis yra uždara, duomenų mainai vyksta tik tarp valstybės institucijų (Informacinių sistemų ir jų vartotojų)
SVDPT-R sritis
Institucijos informacinės sistemos tarnybinė stotis
Kitos institucijos informacinės sistemos tarnybinė stotis
G1
G2
TG
SVDPT-E ir SVDPT-D srityje talpinamos kitos informacinės sistemos stotys, kuriose laikomi atitinkamo saugumo lygio duomenys
SVDPT-E sritis SVDPT-D sritis
G1
G1
Vartotojų grupė SVDPT srityje, TG - tarnybinė grupė
Priklausomybė vartotojų grupei ir informaciniai ryšiai
Šifruotų duomenų kanalai
per bendrojo naudojimo tinklus
Informacijos pasiekiamumas iš bendrojo naudojimo
duomenų perdavimo tinklų
Darbo vietos jmonėse ir jstaigose (ne valstybės institucijose), atliekančiose valstybės pavestas funkcijas
Fizinių ir juridinių asmenų kompiuteriai
Vartotojų darbo vietos kitose valstybės institucijose
Pav. 2 SVDPT sričių ir vartotojų grupių naudojimo schema
SAUGAUS VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO PASLAUGŲ BENDROJO APRAŠYMO
PRIEDAS NR.1
IDA PROGRAMOS TINKLŲ PASLAUGŲ SĄRAŠAS
Žemiau yra pateikiamas sąrašas 50-ties IDA programos ir šios programos tęsinio IDABC tinklų paslaugų (nuo I1 iki I50), kurios yra prieinamos per Saugų valstybinj duomenų perdavimo tinklą (SVDPT) Lietuvoje.
1. BENDRŲJŲ INTERESŲ PROJEKTAI (PROJECTS OF COMMON INTEREST, angl.
– PCIs)
Paslaugos Europos gyventojams ir įmonėms:
1.1. ŠVIETIMAS
I1. PLOTEUS: Mokymosi galimybių Europoje interneto vartai.
1.2. UŽIMTUMAS
I2. COWEBS: Interneto svetainių koordinavimas. I3. EURES: Europos jdarbinimo paslaugos.
1.3. XXXXXX XXXXX
I4. SYSEX: Kompiuterinė ekspertinė sistema Europos sveikatos apsaugos profesijų kvalifikacijai atpažinti.
I5. SOLVIT: Efektyvus problemų sprendimas vidaus rinkoje.
1.4. STATISTIKA
I6. SERT STIPES: Kompanijos statistika ir telematikos tinklai.
1.5. TECHNINIAI NUOSTATAI
I7. TRIS: Techninių nuostatų informacijos sistema.
Paslaugos viešosioms administracijoms bendruomenės politikai palaikyti:
1.6. ŽEMĖS ŪKIS
I8. CAP-ED: Bendrosios žemės ūkio politikos elektroninis žinynas. I9. CAP-IDIM: Kaimiškųjų vietovių plėtros rodikliai.
I10. CIRCA-IDES: Interaktyvi duomenų jrašymo sistema. I11. FADN-RICA: Ūkių apskaitos duomenų tinklas.
I12. OFIS: Ekologinės žemdirbystės informacijos sistema.
1.7. ENERGETIKA
I13. eSAFEGUARDS: Internetinė branduolinių medžiagų apskaitos ir jvertinimo sistema.
1.8. APLINKOSAUGA
I14. ECB-NET: Europos cheminių medžiagų biurų tinklas.
I15. EC-CHM: Europos Bendrijos biologinės jvairovės išsaugojimo apskaitos mechanizmas. I16. PROCIV-NET: Civilinės apsaugos ir aplinkosaugos nepaprastųjų situacijų Europos tinklas.
1.9. ŽUVININKYSTĖ
I17. FIDES: Žuvininkystės duomenų pasikeitimo sistema.
1.10. SVEIKATOS APSAUGA
I18. ADNS: Gyvūnų ligų registravimo sistema.
I19. EUDAMED: Medicinos jrenginių Europos duomenų bazė.
I20. EUPHIN: Europos Sąjungos sveikatos apsaugos informacijos tinklas. I21. EUROPHYT: Europos augalų apsaugos informacinių sistemų tinklas. I22. IMP: Medikamentų informacijos sistema.
I23. NF-NET: Nejprastinių maisto produktų ir ingredientų tinklas. I24. PHYSAN: Augalų sanitarijos kontrolės sistema.
1.11. HUMANITARINĖ PAGALBA
I25. ECHO 14 POINTS: Humanitarinės pagalbos pranešimų sistema Bendrijos šalims.
1.12. STATISTIKA
I26. DSIS: Paskirstytos statistinės informacijos sistema.
1.13. PREKYBA
I27. SIGL: Eksporto ir importo licencijų tvarkymo Europos Sąjungoje integruota sistema.
1.14. TRANSPORTO SRITIS
I28. CARE: Centralizuota Europos kelių avarijų duomenų bazė. I29. SAFESEANET: Saugos jūrose tinklas.
I30. TACHONET: Informacijos apie išduotas tachografines korteles telematikos tinklas.
Bendradarbiavimas su Europos Sąjungos institucijomis ir organizacijomis:
1.15. EUROPOS AGENTŪROS
I31. EIONET: Europos Sąjungos aplinkosauginės informacijos ir stebėjimų tinklas. I32. EFSA-NET: Europos maisto produktų saugos institucijų tinklas.
I33. EUDRANET: Europos farmacijos telekomunikacijų tinklas.
I34. EUDRAVIGILIANCE: Farmacinio budrumo informacinė sistema.
1.16. TARPINSTITUCINIAI RYŠIAI
I35. DOCS: Oficialių dokumentų perdavimo ir tvarkymo sistema.
1.17. VERTIMO PASLAUGOS
I36. IATE: Tarpinstitucinių terminologijos mainų sistema.
2. HORIZONTALIOS PRIEMONĖS (THE HORIZONTAL MEASURES, angl. - HMs)
2.1. VEIKLOS PROGRAMOS
I37. CIRCA: Kolektyvinio darbo komunikacijų ir informacijos resursų centro administratorius. I38. ePROCUREMENT: E. viešieji pirkimai.
I39. IDA-MT: Mašininis vertimas iš/j 10 Europos kalbų.
I40. IPM: Interaktyvios politikos organizavimas. (Interactive Policy-Making - IPM). ES interaktyvios politikos formavimo priemonės internete.
I41. PORTAL YOUR EUROPE: portalas “Jūsų Europa”.
I42. eGOVERNMNT OBSERVATORY: eValdžios observatorija – projektas renkantis, analizuojantis ir propaguojantis geriausius Europos administracijų (valdžios) elektroninių sistemų spendimus.
I43. Open Source Observatory: Atviro kodo observatorija - projektas renkantis, analizuojantis ir propaguojantis geriausius Europos administracijų (valdžios) patyrimą naudojant atvirų standartų ir atviro kodo sistemas.
2.2. “TESTA” TECHNOLOGINIAI SPRENDIMAI
I44. TESTA: Telematikos paslaugų Europos valstybių administracijoms tinklas; atskirtas nuo interneto europinis tinklas.
I45. IDABC PKI, BRIDGE/GATEWAY CA: IDABC PKI - viešųjų raktų infrastruktūra elektroninio parašo kryžminis sertifikavimas;.
I46. s SERVICE TOOLKIT: sPASLAUGŲ KŪRIMO ĮRANKIŲ KOMPLEKTAS .
I47. IDA eLINK: IDA e. sąsaja.
I48. STATEL: daugiaprotokolinė failų apsikeitimo programinė jranga (naudojama EUROSTATo and DG Agriculture).
2.3. TECHNOLOGINIAI SPRENDIMAI LIETUVOJE
I49. “TESTA” portalo paslauga Lietuvos vartotojui.
I50. Lietuvos vartotojo resursų skelbimas ir naudojimas “TESTA” tinkle.