Propunere de arhitectura
pentru
SISTEMUL INTEGRAT DE MEDIU - SIM
Beneficiar: ANPM (Agentia Nationala de Protectie a Mediului)
Cuprins:
Informatii generale despre ANPM
Organizarea si obiectivele ANPM
Infrastructura si aplicatiile necesare
Aplicatii de business (aplicatiile de mediu)
Principalele componente ale solutiei
Caracteristici tehnice ale solutiei
Aplicatii Specializate de Mediu
DMS - Document Management System
BPM - Business process Management
ECM -Enterprise Content management
GIS - Geographical Information System
Platforma de securizare a accesului
Securizarea accesului la sistemul informatic
Semnatura digitala si Certificate digitale
Elemente de planificare interna
Activitati esentiale in cadrul proiectului
Draft de programare a activitatilor
Abrevieri utilizate in document:
Abreviere |
Denumirea abreviata |
ANPM |
Agentia Nationala de Protectie a Mediului |
SIM |
Sistemul Integrat de Mediu |
MMGA |
Ministerul Mediului si Gospodaririi Apelor |
MMDD |
Ministerul Mediului si al Dezvoltarii Durabile |
Agentia Nationala de Protectie a Mediului urmareste prin implementarea proiectului SIM - "Sistem Integrat de Mediu" sa gestioneze, sa prelucreze si sa analizeze intr-un mod unitar toate informatiile din domeniul protectiei mediului.
Sistemul Integrat de Mediu va fi un constituit din servicii, echipamente si sisteme informatice, implementate astfel incat sa permita beneficiarului obtinerea de informatii corecte asupra activitatilor de mediu precum si posibilitatea gestionarii si previzionarii problemelor care apar.
Sistemul informatic integrat de mediu va permite conectarea tuturor subsistemelor locale la nodul informatic national de la ANPM si va face posibila centralizarea, la nivel national, a informatiilor privind mediul, într-un format standardizat, conform proiectului INSPIRE si întocmirea rapoartelor de mediu solicitate de Uniunea Europeana si de celelalte institutii si organisme internationale fata de care Romania are obligatii.
Sistemul Integrat de Mediu va asigura:
Sistemul informatic integrat SIM va avea urmatoarele obiective:
In mod concret, in cadrul proiectului SIM se vor realiza:
Implementarea SIM aduce beneficii atat pentru ANPM cat si pentru alte organizatii si public:
Pe langa ANPM, vor mai beneficia de acest proiect si urmatoarele institutii:
Prin implementarea Sistemului Informatic Integrat la nivelul ANPM, cetatenii vor putea avea acces la o buna informare in ceea ce priveste protectia mediului.
Alaturi de Agentia Nationala pentru Protectia Mediului in acest proiect vor fi implicate si urmatoarele institutii, prin prisma asigurarii transferului de date, de rapoarte, de specialisti si de know-how:
La data de 23 decembrie
2003, Guvernul Romaniei a adoptat Hotararea nr.1625/2003 privind infiintarea,
organizarea si
Aderarea Romaniei la Uniunea Europeana a constituit pentru societatea romaneasca un obiectiv strategic fundamental. Pentru atingerea acestui deziderat s-a considerat necesara reorganizarea Agentiei Nationale pentru Protectia Mediului. In baza Hotararii de Guvern nr. 459 din 19 mai 2005 privind reorganizarea si functionarea ANPM au fost redefinite functiile si atributiile astfel încat sa se asigure cadrul legal necesar îndeplinirii obligatiilor prevazute in Capitolul 22 din Documentul de pozitie.
Agentia Nationala pentru Protectia Mediului este organismul de specialitate al administratiei publice centrale, aflat în subordinea Ministerului Mediului si Dezvoltarii Durabile cu competente în implementarea politicilor si legislatiei în domeniul protectiei mediului.
Principalele obiective ale ANPM, asa cum stabilite de cadrul legislativ de functionare, sunt:
Agentia Nationala de Protectie a Mediului are in subordine agentiile regionale de protectie a mediului (ARPM) si agentiile locale (judetene) de protectie a mediului. In cadrul ANPM se organizeaza si functioneaza laboratoarele de referinta pentru aer, deseuri, zgomot si vibratii precum si pentru radioactivitate.
In urmatoarele judete functioneaza cele 8 agentii regionale: Bacau, Galati, Pitesti, Craiova, Timisoara, Cluj-Napoca, Sibiu, Bucuresti.
In urmatoarele judete functioneaza cele 42 de agentii locale: Bacau, Botosani, Neamt, Suceava, Vaslui, Iasi, Galati, Braila, Buzau, Constanta, Tulcea, Vrancea, Pitesti, Calarasi, Dambovita, Giurgiu, Ialomita, Prahova, Teleorman, Craiova, Mehedinti, Olt, Gorj, Valcea, Timisoara, Arad, Hunedoara, Caras-Severin, Cluj-Napoca, Bihor, Bistrita - Nasaud, Maramures, Satu Mare ,Salaj, Sibiu, Alba, Brasov, Covasna, Harghita, Mures, Bucuresti, Ilfov.
In subordinea MMGA se afla si Administratia Rezervatiei Biosferei "Delta Dunarii" cu care ANPM are relatii stranse de colaborare.
Institutii în subordinea sau coordonarea M.M.D.D.:
Alte institutii cu rol în informarea starii mediului:
Organizatii internationale:
Infrastructura software a noului sistem informatic trebuie sa cuprinda toate serviciile informatice de uz general si poate fi formata din:
De clarificat
Depinde de tipul de proiect, pilot sau nu.
De asemenea, trebuie tinut cont de locatiile SIM:
una centrala - ANPM, cu Data Center
una pentru Disaster Recovery
8 regionale
42 judetene
Reteaua de telecomunicatii este asigurata de STS (de verificat totusi)
De enumerat aplicatiile
Solutia tehnica
Sistemul Integrat de Mediu va fi organizat pe o structura ierarhica cu 3 niveluri astfel incat sa acopere necesarul functional pentru centrele: national, regional si local (judetean).
Sistemele informatice si reteaua de comunicatii vor folosi standarde deschise, neproprietare, pentru a permite refolosirea acestora in cadrul de noi dezvoltari ale sistemului.
Sistemul Integrat de Mediu trebuie sa fie proiectat si implementat astfel incat sa suporte un numar de 2000 de utilizatori ca intreg si pentru toate subsistemele componente.
Modul de constructie a solutiei prezentate aici se bazeaza pe configurarea / customizarea unor aplicatii standard:
Elementele fundamentale ale solutiei propuse sunt constituite din:
SIM va avea o arhitectura centralizata, cu o baza de date centrala. Utilizatorii vor accesa aplicatia prin intermediul unei interfete web. In figura urmatoare este reprezentata arhitectura centralizata a solutiei:
La nivel logic solutia se bazeaza pe un ansamblu de componente software asa cum sunt figurate in diagrama de mai jos:
De modificat zona cu aplicatii specializate de mediu dupa finalizare
Principalele tipuri de componente ale solutiei sunt:
Aplicatiile standard (componente trebuie sa furnizeze un nivel de functionalitate cit mai mare out-of-the-box pentru a minimiza efortul de customizare si a maximiza potentialul lor pentru viitoarele proiecte) din componenta SIM sunt:
Componentele custom din componenta SIM sunt:
Aplicatiile sunt centralizate si implementate la nivel national, fiind accesate prin intermediul clientilor remote (technologii web in general sau "rich client" in cazuri speciale). Toate aplicatiile din acest proiect vor fi instalate la sediul central al ANPM deoarece aici trebuie centralizate si analizate datele introduse din centrele locale.
Trebuie facuta diferenta intre instalare fizica si accesibilitate. Toate aplicatiile care vor fi dezvoltate in cadrul proiectului trebuie sa poata fi accesate din orice locatie din reteaua SIM si eventual alte locatii interesate. Portalul public va putea fi accesat din Internet fara restrictii.
Solutia finala care va implementa sistemul informatic trebuie sa indeplineasca anumite caracteristici tehnice care privesc aspectele de performanta, utilizabilitate, continuitate, securitate, extensibilitate si interoperabilitate.
De completat
Arhitectura sistemului informatic se bazeaza pe accesarea sistemului in tehnologie web - fie Intranet, fie Internet.
Avand in vedere tehnologia de acces la aplicatii prin intermediul browserelor web, este important ca interfata cu utilizatorul a sistemului informatic sa respecte principiile standardadizate de utilizabilitate. Acest concept se referea la capacitatea interfetei utilizator de a fi:
Specificul activitatilor economice desfasurate de catre SIM impune asigurarea unei disponibilitati a sistemului de peste 99,99% (prin disponibilitate vom intelege capacitatea sistemului informatic de a fi accesibil utilizatorilor acestuia fara intreruperi).
In sistemul informatic vor fi impementate solutii care sa asigure continuitatea acestuia in situatii de:
Securitatea sistemului informatic va fi implementata pe urmatoarele niveluri:
Sistemul informatic va trebui sa aiba caracteristici de scalabilitate si extensibilitate pe ambele niveluri:
Legat de aplicatiile software componente, cu exceptia produselor standard de larga utilizare, este esential ca furnizorii sa puna la dispozitia clientului codul sursa al tuturor aplicatiilor sau customizarilor efectuate impreuna cu toata documentatia aferenta.
La nivel hardware, infrastructura si echipamentele vor putea fi extinse prin:
De completat
Acest Capitol este tratat intr-un document separat - Aplicatii Specializate de Mediu!
MS Project
Sa ofere posibilitatea de creare a portalurilor personalizate, managementul continutului portalului si publicarea in portal de tip Self-Service
Sa ofere suport pentru tehnologie de tip Portlet conform standardului JSR 168
Sa ofere Portlet-i predefiniti care sa permita importul de continut din diferite surse de date - baze de date, fisiere, pagini Web, servicii web
Sa ofere continut personalizat de baza si personalizare avansata dependenta de context
Sa permita definirea layout-ului si a resurselor Portal dintr-un browser Web
Sa implementeze mecanisme de control al accesului la resurse la nivel de utilizator, grup sau rol
Sa se integreze cu cel putin o solutie de tip Single-Sign On pentru autentificarea unitara a utilizatorilor
Sa permita accesarea aplicatiei din browsere traditionale (Internet Explorer, Mozilla, Netscape Navigator, etc.) cat si de pe dispozitive mobile (PDA, Palm, etc.).
Sa ofere scalabilitate pentru deservirea unui numar cat mai mare de utilizatori
Sa poata fi instalat pe un server de aplicatii cu capabilitati de clustering, balansare si failover
Sa ofere suport multi-site, multi-portal pentru aplicatii distincte instalate pe aceeasi masina fizica
Sa permita definirea de resurse web cu suport multi-lingvistic
Oracle BI
MS Navision/Dynamics
MS Navision/Dynamics
SGDBR-ul furnizat va avea urmatoarele caracteristici:
Generic
Cluster
Spatial
Management
+ Quest
Generale
Sa fie capabil sa ruleze pe oricare dintre platformele de sisteme de operare: Windows, Unix, Linux
Sa fie compatibil cu standardele platformei Java 2 Enterprise Edition (J2EE)
Sa ofere suport pentru tehnologii si standarde deschise
Sa ofere suport multi-lingvistic pentru instalare si prezentare
Sa permita instalarea dinamica de aplicatii Web, aplicatii J2EE si servicii web (Web Services)
Sa permita definirea si inregistrarea dinamica de resurse J2EE (surse de date, cozi de mesaje, etc)
Sa ofere suport multi-home pentru instalarea de servere multiple pe aceeasi masina fizica
Clustering
Sa suporte mecanisme de tip clustering (topologie activ-activ) si failover (topologie activ-pasiv)
Sa implementeze mecanisme de "disponibilitate ridicata (24/7)" a aplicatiilor pentru executia continua a serviciilor instalate
Sa permita implementarea unei solutii de tip "Disaster Recovery"
Sa implementeze mecanisme de replicare a obiectelor aplicatiei intre serverele aceluiasi cluster
Sa ofere servicii de balansare a incarcarii intre serverele din cluster folosind politici de tip Round-Robin, Random sau Metric-Based cu sau fara afinitate locala
Standarde
l Sa ofere suport complet pentru Java Database Connectivity (JDBC)
l Sa ofere suport complet pentru Java Messaging Service (JMS)
l Sa ofere suport complet pentru Java Authentication and Authorization Service (JAAS)
l Sa ofere suport complet pentru Enterprise Java Beans (EJB) 2.0 si 3.0
l Sa supporte standarde Internet J2EE - Web Services, XML, SOAP, WSDL, UDDI, RosettaNet 1.1/2.0, ebXML, WebDAV, LDAP v3, SSL v3
Masina virtuala Java
Sa ofere servicii de "caching" pentru obiectele Java instantiate
Sa suporte multiple masini virtuale Java (JVM) pe acelasi server de aplicatii
Sa ofere servicii de balansare a incarcarii intre instante JVM din acelasi server
Sa permita definirea de resurse J2EE pentru fiecare masina virtuala Java in parte
Sa permita alocarea si controlul resurselor hardware si software asociate aplicatiilor instalate
Dezvoltare
Sa ofere librarii pentru dezvoltarea rapida de aplicatii in architectura de tip n-tiers
Sa suporte dezvoltarea declarativa, pe baza de componente predefinite, de aplicatii in architectura de tip n-tiers
Sa ofere unelte de testare si debuging a aplicatiilor dezvoltate
Sa ofere unelte de dezvoltare si instalare rapida a serviciilor web (Web Services)
Sa ofere interfata grafica completa pentru modelarea proceselor de business
Integrare
Sa asigure un sistem de adaptori predefiniti care sa permita conectarea si integrarea rapida cu diverse sisteme
Sa ofere suport complet pentru orchestrarea de servicii web sub forma de procese de business
Sa permita managementul exceptiilor in procesele complexe de integrare
Sa ofere capabilitati de auditare si monitorizare a proceselor de business in executie
Sa ofere mecanisme de executie "durabila" a fluxurilor de afaceri de lunga durata
Sa ofere componente de tip "magistrala de mesaje" pentru interconectarea aplicatiilor
Sa ofere servicii de persistenta, in sisteme de fisiere sau BD, a mesajelor schimbate inter-aplicatii
Sa ofere servicii de garantare a livrarii mesajelor schimbate inter-aplicatii
Conexiune baza de date
Sa ofere mecanisme si drivere de conectare la multiple SGBDR
Sa implementeze mecanismul de "connection pooling" pentru o gestiune eficienta a conexiunilor la BD
Tranzactii
Sa ofere facilitati pentru managementul tranzactiilor la nivel de aplicatie
Sa permita gestiunea "tranzactiilor distribuite" pentru coordonarea tranzactiilor ce implica multiple resurse
Sa permita controlul limitei maxime de timp de executie a unei tranzactii
Web Server
Sa implementeze mecanisme de tip "web caching" pentru optimizarea accesului utilizatorilor la resursele web instalate
Sa ofere facilitati de trasare si auditare a accesului la resurse web inregistrate
Management
Sa ofere capabilitati de monitorizare pro-activa si diagnosticare avansata a componentelor instalate
Sa permita modificarea dinamica, automata (bazata pe politici de management a resurselor) sau manuala (prin interventia administratorului sistem), a parametrilor de functionare
Sa permita administratorilor sistem sa inregistreze evenimente si limite de alerta asociate parametrilor de functionare
Sa permita inregistrarea tuturor evenimentelor sistem in fisiere de log
Sa ofere metrici multiple de monitorizare a parametrilor de functionare la nivel de aplicatie si la nivel de server
EMC Documentum
EMC Documentum
EMC Documentum
EMC Documentum
MS Exchange/Sharepoint Services
Reprezentarea în coordonate geografice a rezultatelor analizelor efectuate pe datele operationale sau istorice, se constituie într-un instrument deosebit de eficient de prezentare sintetica a unor largi categorii de informatii cu impact deosebit asupra capacitatii de evaluare a situatiilor privind gestiunea deseurilor la nivel teritorial.
Modulul GIS ofera functionalitatile necesare definirii criteriilor de alcatuire a hartilor tematice din punct de vedere a seturilor de date ce urmeaza a fi prezentate precum si a ariei geografice de referinta. Acest modul exploateaza pe de o parte datele georeferentiate care se afla atat în sfera operativa cat si în cea a datelor istorice, iar pe de alta parte datele geografice memorate în baza de date spatiale.
ESRI
Data warehousing
A. Infrastructura de securitate si management al identitatii:
1. Suport pentru servere de LDAP si depozitare de utilizatori:
- Microsoft Active Directory
- Oracle Internet Directory
- Sun Java Directory Server
- Novell eDirectory
- Databases (Oracle DB, MS SQL Server, IBM DB2)
2. Platforme de baze de date suportate:
- Oracle DB
- Microsoft SQL Server
3. Sisteme de operare suportate:
- Microsoft Windows
- Linux (diverse distributii)
- Sun Solaris
- IBM AIX
- HP-UX OS
4. Integrare nativa si interoperabilitate cu urmatoarele servere de aplicatii:
- Oracle AS
- BEA Weblogic
- IBM Websphere
- Microsoft
5. Servere Web suportate:
- Apache HTTP
- Microsoft llS
- Oracle HTTP
- Sun Web Server
- IBM HTTP
B. Solutie de control al accesului (de tip Single Sign-On)
B.1. Autentificare
1. Tipuri de autentificare suportate:
- Integrata in aplicatii Web
- Independenta, bazata pe echipamente externe
- Controlata din aplicatii externe
2. Metode de autentificare:
- Username si parola
- Certificate X.509
- Smart carduri
- Tokens multi-factor
- Formuri
- Aplicatii personalizate prin intermediul API-uri de autentificare
3. Suport pentru controlul accesului pe baza de roluri
4. Suport pentru provizionarea certificatelor digitale si a parolelor.
5. Configurare modalitate de autentificare solida pe baza clasificarii informatiei accesate (multi-nivel).
6. Abilitatea de a configura modalitatea de autentificare solida in functie de apartenenta la un anumit grup/organizatie si comportamentul utilizatorilor.
B.2. Autorizare
1. OSolutie centralizata de control al accesului, prin definirea de politici de autorizare la resursele Web si J2EE.
2. Posibilitatea de a definii politici de domeniu care sa includa expresii de autorizare si set de reguli prin care se specifica cum o resursa este protejata.
4. Interfata Web de administrare a pliticilor de acces.
5. Oferirea de API-uri de autorizare care pot fi folosite pentru a construi plugin-uri personalizate de autorizare.
6. Federalizarea di delegarea administrarii dintr-o interfata centralizata.
7. Facilitati de control al certificatelor si de revocare a lor.
B.3. Managementul parolelor si sincronizare
1. Managementul parolei:
- Controlul frecventei de schimbare a parolelor
- Controlul definirii continutului si structurii parolei
- Generarea automata de parole din sistem
- Managementul intrebarilor de definite de utilizator
2. Capabilitati de self-service, operare si actualizare
- Introducerea de noi utilizatori si parole
- Resetarea parolelor pierdute si/sau uitate
- Generarea aleatoare de parole pe baza de reguli
- Programarea automata a schimbarii parolelor
- Modificarea/actualizarea intrebarilor de securitate pentru utilizator
- Blocarea si deblocarea conturilor utilizatorilor
3. Provizionarea parolelor si raportare:
- Provizionarea parolelor pe baza de workflow
- Programarea de rulare automata a rapoartelor de audit
- Definirea si programarea rularii de rapoarte de sumarizare
4. Sistemul trebuie sa oferre o interfata prietenoasa pentru a permite utilizatorilor sa isi schimbe parolele.
5. Utilizatorul trebuie sa fie autentificat inainte de a putea folosi functionalitatii de self-service.
6. Sistemul trebuie sa permita ca un administrator sa fie alertat in cazul in care un eveniment de incercare repetat de penetrare a sistemului apare intr-un interval pre-configurat de timp.
7. Suporta definirea de politici multiple de setare a parolelor.
8. Interfata predefinita de tip self-care pentru utilizatori, manager si administratori pentru administrarea identitatii utilizatorilor
B.4. Single Singn-On
1. CAutentificarea unica a utilizatorilor si autorizarea acestora in sistem prin mecanisme de tip Single Sign On prin intermediul rolurilor si privilegiilor.
2. Suport pentru solutie de tip Web SSO
3. Suport pentru acces de tip SSO pentru aplicatii de tip client-server
4. Delogare utilizatori pe baza de reguli de timp si/sau locatoie definite la nivel de grup s/sau utilizator.
5. Integrarea cu depozitarul centralizat cu identitatiile utilizatorilor.
6. Sistemul trebuie sa suporte atat grupuri statice, cat si cele dinamice.
7. Suport pentru autentificare de tip multi-factor, si utilizare de echipamente externe de autentificare.
C. Solutie de provizionare si de-provizionare
C.1. Administrarea identitati utilizatorilor si rolurilor
1. Va permite utilizatorului sa citeasca, modifice si sa actualizeze informatiile aferente profilului propriu pe oricare dintre resursele pe care le poate folosi.
2. Posibilitatea de a delega administrarea unui grup, unitate organizationala sau resursa unor grupuri sau utilizatori din interiorul sau exteriorul ASE
3. Aceiasi interfata pentru aprobarii, notificarii, self-service
4. Un administrator va crea si defini drepturile aferente unui rol utilizator , sau unui grup.
5. Posibilitatea definirii de întrebarii si raspunsuri pentru validarea identitatii si resetarea parolei.
6. Posibilitatea de a sincroniza parolele schimbate si actualizate între sistemele administrate.
C.2. Etape pentru aprobarea si operarea cererilor
1. Utilizatorii vor putea crea cererii de acces la resurse (tip self-service).
2. Va permite generarea de cererii pentru crearea mai multor utilizatori simultan.
3. Monitorizarea etapelor prin care trec cererile.
4. Fluxul poate fi initiata in functie de cererea utilizatorului sau a administratorului.
5. Fluxul poate fi initiata de un eveniment ca de exemplu crearea unui utilizator intr-un sistem primar de directory.
6. Posibilitatea de a declansa fluxuri complexe.
7. Posibilitatea de gestionare a mai multor fluxuri simultan.
8. Posibilitate de a trimite cererea unui anumit utilizator, grup, utilizator cu un anumit rol sau dinamic unui administrator dupa cautarea în prealabil a acestuia.
9. Posibilitatea de schimbare a etapelor urmatoare in functie de rezultatul etapelor precedente ale cererilor
10. Permite aprobarea cererii conditionata de aprobarea mai multor administratori
11. Permite administratorului sa ceara informatii suplimentare necesare aprobarii cererii, utilizatorului care a initiat cererea.
12. Permite utilizatorului sa delege unui alt utilizator drepturile sale
13. Sistemul va permite adaugarea/stergerea usoara de etape în/din politicile de creare identitatii
14. Un flux va permite integrarea facila de sarcini manuale si sarcini administrative automate
15. Notificare prin e-mail pentru orice eveniment aparut într-un flux, precum si pentru momentul în care s-a terminat ultima etapa aferenta crearii unui utilizator.
16. Interfata va oferi un mod usor pentru construirea de fluxuri pentru crearea utilizatorului fara a fi nevoie de a scrie cod sau scripturi particularizate.
C.3. Politici si proceduri
1. Interfata grafica usor de folosit, pentru definirea procedurilor folosind combinatii de logica booleana complexa
2. Puternic modificabil, motorul integrat pentru procedurii cu functii ca asignare la nivel de grup, decizii pentru succesiunile de etape .
3. Posibilitatea de a specifica politici la nivel centralizat, pentru generarea parolelor si impunerea acestora.
4. Procedurile pot fi configurate sa fie initiate pe baza unor evenimente cum ar fi schimbarea unei informatii aferente unei identitatii.
5. Procedurile pot fi configurate sa se execute la un anumit moment sau intr-un anumit interval.
6. Procedurile definite vor putea fi refolosite pentru diverse aplicatii specifice.
C.4. Framework pentru integrare
1. Conectorii pentru diverse aplicatii si conectori generici (baze de date, LDAP ...)
2. Interfata grafica pentru dezvoltarea rapida si administrarea de conectori particularizati fara a necesita scrierea de cod.
3. Posibilitatea de a specifica un sistem ca sursa primara de identitatii si a sincroniza identitatile din acesta în restul sistemelor
4. Posibilitatea de a extrage informatii despre identitatii din sistemele specificate si de a echivala identitatile cu unele noi sau deja existente folosind reguli ce pot fi modificate de administrator.
5. Posibilitatea de a urmarii întreaga lista de reconcilieri realizate in sistem, fiind permise modificarii si re-efectuarii ale reconcilierilor.
6. Posibilitatea de a identifica schimbarile de parole efectuate in Microsoft Active Directory si replicarea acestora in sistem.
7.Posibilitatea de a identifica schimbarile de parole efectuate in sistemul ERP si replicarea acestora in sistem.
8. Conectori dezvoltati de catre terte parti pot fi validati de catre producatorul sistemului.
D. Servicii de tip Directory
D.1. Meta-Directory
1. sistemul trebuie sa permita sincronizarea informatiei despre utilizatori intre diverse tipuri de servere Directory si non-Directory
2. Sistemul trebuie sa permita sincronizarea intre multiple surse de date
3. Sistemul trebuie sa permita maparea intre diverse atribute din depozitarele de identitate
4. Sistemul trebuie sa ofere un instrument prin care sa se creeze conectori aditionali catre alte platforme care nu sunt pre-configurate in produs.
5. Sistemul trebuie sa pemrmita dezvoltarea de conectori personalizati intr-o tehnologie deschisa (ex. Java).
6. Sistemul trebuie sa permita maparea si manipularea datelor echivalente in toate sistemele integrate.
7. Sistemul trebuie sa fie scalabilil si sa acomodeze stocarea de profile de identitate alte utilizatorile de la un numar de cateva zeci pana la cateva milioane.
8. Sistemul trebuie sa permita stocarea de multiple obiecte de tip LDAP per utilizator.
9. Sistemul trebuie sa ofere instrumentele si mecanismele necesare prin care un administrator sa sincronizeze evenimentele ad-hoc.
10. Sistemul trebuie sa ofere functionalitatea prin care un sistem este definit ca master pentru profilului unui utilizator, si acest sistem sa fie sistemul care impune definirea atributelor pentru restul de sisteme integrare.
D.2. Virtual Directory
1. Suport pentru clientii LDAP pentru a accesa informatia despre profilul utilizatorilor.
2. Folosirea ca surse de informatii pentru profilul utilizatorului diverse locatii: baze de date, fisiere, servere LDAP, etc.
3. Accesare informatiilor din sistemele destinatie la momentul cererii LDAP, fara a stoca local informatia despre profilul utilizatorului.
4. Maparea datelor despre utilizator din sistemele integrate intr-o noua sechema de LDAP.
5. Transformarea datelor pentru a se potrivi pe schema LDAP.
E. Raportare si audit
1. sistemul trebuie sa permita inregistrarea urmatoarelor informatii, cel putin:
- tipul de eveniment
- sistemul sursa
- sistemul destinatie
- cine a initiat evenimentul
- cand a aparut evenimentul
- stadiul evenimentului (succes, eroare, ..)
- motivul
2. Sistemul trebuie sa stocheze aceste evenimente de audit in asa maniera incat sa se permita raportarea si auditarea evenimentelor in sistemul intern, cat si in prin folosirea de instrumente de raportare si audit externe (ex. Oracle BI, Crystal Reports)
3. Sistemul trebuie sa permita administratorilor sa identifice resursele sensibile si sa poata intercepta in raportare orice schimbare care are loc in cadrul acestor resurse.
4. Sistemul trebuie sa ofere o componenta de raportare integrata, care sa contina cel putin urmatoarele informatii:
- ID identitate utilizator
- ID-ul de conectare al utilizatorului si rolul asociat
- Data creearii
- Data suspendarii
- Data expirarii
- Toate privilegiile atasate respectivului utilizator
5. O singura consola pentru accesarea informatiei de audit din întreg sistemul.
6. Suporta raportare la nivel de utilizator sau de flux
7. Rapoarte ce ofera raspuns la întrebari complexe precum: "Cine a avut acces, la ce resurse pe ce perioada de timp, cum au obtinut accesul la acele resurse, si care a fost motivul pentru care au trebuit sa aiba acces ?"
8. Rapoarte predefinite pentru aratarea informatiilor curente si cele din trecut aferente drepturilor de acces la resurse ale utilizatorilor, regulilor pentru apartenenta la un anumit grup,.
F. Standarde de industrie suportate,
Se vor suporta minimal urmatoarele:
- SAML (Security Assertion Markup Language)
- SSL (Secure Sockets Layer)
- LDAP (Lightweight Directory Access Protocol)
- PKI (Public Key Infrastructure)
- JAAS - Java Authentication and Authorisation Services
- J2EE - (Java 2 Platform,
- Java 2 Security
- X.509 (certificate standard)
Instruirea angajatilor, periodic sau ad-hoc este una dintre cele mai eficiente mijloace pentru a mentine echipa intr-o forma buna permanent. Evaluarea, la angajare, periodic sau la schimbarea pozitiei In companie, ne garanteaza ca avem un personal bine pregatit, capabil sa-si aduca contributia la Indeplinirea misiunii obiectivelor companiei.
Instruirea asistata de calculator are o serie de avantaje asupra instruirii clasice, bazate pe instructor: este mai ieftina, mai flexibila - permitand studiul oriunde si oricand si este practica: reduce deplasarile unui numar mare de angajati la centrele de instruire.
Sistemul trebuie
sa sustina procesul de instruire electronica si evaluare in toate domeniile de
activitate. Subsistemul e-learning va oferi suport pentru video-conferinta
astfel incat operatorii sistemului sa beneficieze de avantajele aduse de
aceasta tehnologie. Se va putea intra in contact direct cu persoanele vizate
prin sali virtuale de sedinta indiferent de pozitionarea geografica a acestora.
Se va accelera procesul de colaborare si cel decizional atat in cadrul
organizatiilor locale, regionale si nationale cat si in cadrul comunicarii cu
ministerul
Modulul de video-conferinta va putea fi folosit atat in cadrul proceselor de invatare interactiva cat si in cadrul comunicarilor de ordin administrativ intre utilizatorii sistemului SIM. Modulul de video-conferinta va asigura un contact direct cu oricare doi angajati ai agentiei si ministerului permitand solutionarea problemelor mult mai eficient.
Implementarea subsistemul e-learning va include elaborarea de lectii on-line de catre implementatorul sistemului astfel incat angajatii ANPM sa poata beneficia de continutul educational al acestora (cursuri care contin si teste de evaluare).
Instruire/Dezvoltare
Componenta de gestiune a procesului de instruire trebuie sa permita gestiunea centralizata a posibilitatilor de instruire puse la dispozitia angajatilor, resursele implicate precum si procesele de la identificarea necesarului de instruire pana la definirea , livrarea si evaluarea cursurilor .
Solutia trebuie sa asigure:
Gestiunea programelor si ofertelor de instruire, certificare, autorizare, etc
Gestiunea centralizata a tuturor programelor si ofertelor de instruire, rezidentiale si online sub forma unui catalog
Posibilitatea de a defini planuri de instruire si certificare specifice unei categorii de personal sau unui angajat
Definirea si gestiunea centralizata a competentelor si certificarilor rezultate in urma cursurilor si a curriculum - urilor de instruire
Posibilitatea de cautare in catalog dupa curs, curriculum, competente, locatie, data de desfasurare
Posibilitatea de a grupa cusurile si calificarile aferente in curriculum de instruire
Managementul resurselor
Planificarea resurselor umane si materiale necesare livrarii activitatii de instruire
Definirea si gestiunea centralizata a resurselor materiale: echipamente, sali, material de curs etc necesare pentru livrarea cursurilor
Planificarea bugetelor aferente activitatii de instruire
Planificarea facila a sesiunilor cursurilor incluzand instructori si resursele materiale aferente
Urmarirea costurilor aferente activitatii de instruire/dezvoltare
Posibilitatea de gestiune a comenzilor de instruire, inregistrare de venit si facturare pentru cursurile livrate
Accesul angajatilor
Definirea tipului de acces la categoriile si obiectele catalogului
Posibilitatea de a oferi acces extern la continutul de instruire on-line
Notificari de grup sau individuale
Cataloage complete de cursuri specifice specializarii cursantilor alaturi de motoare de cautare si de semne de carte
Oferte de cursuri individuale, planificate si diverse oferite sub forma cailor de instruire
Inregistrare la curs individuala, obligatorie, sau cu necesitatea aprobarii
Invatare colaborativa via chat, forumuri, incluzand atasamente si mesaje tip email
Mesaje private pe forumuri, dand posibilitatea cursantilor si instructorilor sa-si puna la dispozitie informatii precum teme propuse spre rezolvare
Gestiunea materialelor de curs
Asamblarea materialelor de curs dezvoltate in diverse formate (ppt, word, etc)
Link-uri catre materiale referinta, precum articole online, glosare etc.
Administrarea centralizata sau distribuita a materialelor de curs
Gestiunea evaluarilor si testarilor
Generarea statica sau dinamica a testelor de evaluare, prin extragerea de intrebari din grupuri de intrebari si inregistrarea raspunsurilor pentru urmarire si raportare
Diferite caracteristici ale testelor precum evaluarile cronometrate, optiuni de masurare a rezultatelor, ordinea de prezentare a intrebarilor in cadrul testului, feedback prin afisarea raspunsurilor corecte
Abilitatea de a relua un test in eventualitatea in care a fost intrerupt.
Posibilitatea afisarii aleatoare a intrebarilor
Posibilitatea de a defini intrebari de diverse tipuri:
o Completare spatiu (Raspuns text)
o Completare spatiu (Raspuns numeric)
o Adevarat sau Fals
o Variante multiple (Un singur raspuns corec)
o Variante multiple (Mai multe raspunsuri corecte)
Management integrat al competentelor
Corelarea ofertelor de instruire cu competentele si calificarile obtinute in urma instruirii
Actualizarea automata a profilelor persoanelor instruite cu competentele rezultate in urma instruirilor la care au participat
Posibilitatea de cautare in catalogul de oferte de instruire de cursuri sau curriculum de instruire necesar pentru dobandirea anumitor competente
Solutia oferita mai trebuie sa aiba urmatoarele caracteristici:
Trebuie sa fie una de clasa mondiala, cu referinte puternice in toate domeniile
Trebuie sa ofere echipei de conducere posibilitatea de a avea informatii complete asupra procesului de instruire in orice moment.
Trebuie sa functioneze pe o tehnologie scalabila si usor de administrat.
Trebuie sa respecte standardele AICC, IMS si SCORM
Sa poate fi accesata si de catre clienti, parteneri, colaboratori, aplicanti si angajati.
Trebuie sa fie usor integrabila cu alte sisteme.
EMC Documentum
Se mentine sau nu?
Subsistemul de Knowledge Management are drept scop colectarea, arhivarea si consultarea cunostintelor in cadrul organizatiei, permitand angajatilor sa-si indeplineasca atributiile intr-un timp mai scurt si totodata micsorand posibilitatea producerii de erori. Astfel utilizatorii din sistem vor beneficia de experienta anterioara acumulata in cadrul organizatiei.
Totodata acest subsistem permite refolosirea informatiilor relevante si importante, precum si consultarea studiilor de caz pentru identificarea celor mai bune practici in domeniu.
Prin intermediul acestui subsistem se va putea asigura accesul la cei mai buni specialisti pe diverse domenii din cadrul protectiei mediului, dandu-se astfel posibilitatea consultarii acestora pe diverse probleme. Prin Management de cunostinte se pot crea echipe virtuale care sa lucreze pentru solutionarea problemelor aparute.
Cerinte pentru platforma de raportare Business Intelligence
Integrarea datelor
Aplicatiile de systems management au ca obiectiv monitorizarea si managementul infrastructurii si aplicatiilor din componenta SIM.
HP OpenView, FogLight, ArcSight, SpotLight etc.
Asigurarea securitatii sistemului informatic reprezinta un obiectiv foarte important al solutiei propuse.
Solutia aleasa ar trebui sa includa un concept acoperitor de securitate a sistemului informatic care sa acopere procedurile de enrollment, autentificare si autorizare, auditarea, indentificarea si raportarea incidentelor relevante de securitate, proceduri de remediere legate de aceste incidente etc.
Securitatea sistemului informatic este asigurata de mai multe componente specializate, care sunt corelate in solutia generala de securitate ce va fi implementata.
In sectiunile urmatoare sunt prezentate cerintele pentru aceste componente in detaliu.
VPN?
PKI?
Firewall/Antivirus?
Sistemul trebuie sa implementeze o politica optima si unitara de control al accesului la sistemul informatic.
Securitatea accesului la sistmul infromatic va fi asigurata prin implementarea unei solutii PKI utilizata si la nivelul accesului utilizatorilor. Se va utiliza sistemul de certificare a identitatii acestora prin folosirea unui sistem de chei publice si certificate. Accesul utilizatorilor la orice componenta a sistemului informatic se va face prin utilizarea unui dispozitiv criptografic ce contine cheia privata.
[Specificatii token?]
In acest scop se va constitui o autoritate de certificare (CA) cu rolul de a emite si gestiona certificatele utilizatorilor folosite pentru acces la sistem ca si pentru semnare digitala in diverse contexte.
Gestiunea unitara a inregistrarii utilizatorilor in sistem (enrollment) si a accesului acestora la componentele sistemului integrat trebuie facuta printr-un layer de Single Sign-on folosind un nivel de Identity management care sa gestioneze utilizatorii si accesul acestora la sistemul informatic.
Solutia de securitate la nivel software are ca obiectiv principal controlul strict al accesului la date si informatii, pe baza drepturilor fiecarui actor din sistem in parte.
Accesul la datele sistemului nu trebuie sa poata fi facut decit prin aplicatiile componente ale sistemului (unde se aplica restrictiile legate de nivelul de autorizare al utilizatorului): in nici un caz un utilizator (in afara administratorilor aplicatiei si/sau al bazelor de date) nu trebuie sa poata capata acces direct la date, bazele de date sau alte locatii unde sunt gazduite date sau documente (in cazul DMS etc.) gestionate de sistem. Aspectele legate de securizarea datelor pentru cazurile de forta majora sunt prezentate in capitolul 3.7.
Sistemul informatic trebuie sa implementeze in toate componentele sale un model de autorizare bazat pe profile utilizator care pot fi alocate fiecarui utilizator in parte dupa necesitati. Astfel, fiecare utilizator trebuie sa aiba acces numai la acele functionalitati ale aplicatiilor si acele date din sistem prevazute conform profilul sau. In masura posibilului gestiunea profilelor trebuie sa fie facuta in mod unitar.
Infrastructura PKI trebuie utilizata pentru semnarea digitala a tranzactiilor / documentelor in toate modulele care permit astfel de functionalitate.
Tot pentru controlul securitatii sistemului, componentele sale trebuie sa intretina jurnale complete care sa permita indentificarea tranzactiilor operate in sistem si a actorilor care au operat acele tranzactii.
Autentificarea in sistem va folosi un mecanism de tip "Single Sign-On", permitand accesul utilizatorului in toate modulele pentru care dispune de drepturile necesare dupa introducerea numelui de utilizator si a parolei o singura data in cadrul unei sesiuni de lucru.
Sistemul de autentificare folosit trebuie sa permita adaugarea ulterioara a unui sistem de tip smart-card de autentificare. Aplicatiile vor trebui sa furnizeze rapoarte privind accesarea fiecarui modul pentru fiecare utilizator in parte.
Oracle
Sistemul oferit trebuie sa includa functionalitati de semnare electronica si de verificare a semnaturilor documentelor gestionate de aplicatie; functionalitatile de semnare electronica trebuie sa fie in conformitate cu legislatia in vigoare in acest domeniu.
Pentru interfetele cu alte institutii, aplicatia va permite verificarea certificatelor digitale emise prin Sistemul Electronic National (SEN).
Conceptul de business continuity adreseaza cerintele care trebuie indeplinite in cadrul companiei pentru a asigura continuitatea activitatilor in cazul defectelor, aparitiei unor bug-uri in aplicatie precum si in situatii de forta majora. O parte importanta a acestei arii o reprezinta componentele legate de zona de IT.
In acest sens, politica de "business continuity" a companiei va adresa si componentele de High availability, Backup and Recovery si Disaster Recovery din zona IT.
Prin "availability" vom intelege masura in care sistemul informatic in ansamblu este disponibil si accesibil utilizatorilor in conditii de performanta adecvate - astfel, sistemul informatic SIM va asigura:
Pentru a indeplini aceste obiective, sistemul informatic va trebui sa:
In acest scop, va fi implementata o arhitectura de tip "high-availability", bazata pe configuratii software si hardware redundante.
Complementar trebuie avut in vedere solicitarea si obtinerea unui SLA adecvat din partea furnizorilor care sa asigure down-time-ul minim in caz de defecte ale aplicatiei.
Pnetru protectia in caz de defecte hardware sau caderi inopinate ale aplicatiilor trebuie avuta in vedere furnizarea neintrerupta a serviciilor IT printr cerinte adecvate de redundanta la nivelul echipamentelor si prin utilizarea unei arhitecturi care sa asigure functionarea aplicatiilor si in cazul caderii unor servere.
La nivelul bazei de date Oracle, solutia propune implementarea tehnologiei Real Application Clusters.
De asemenea, Application Server-ele si componentele tip Portal vor fi instalate in arhitecturi cluster tip activ-activ cu load-balancing astfel incit sa permita un nivel de redundanta optim in conditii de eficientizare a dimensiunii infrastructurii necesare.
In general, toate componentele importante ale sistemului vor fi instalate in clustere activ-activ (de preferat) sau fail-over.
Implementarea unei solutii de Disaster Recovery poate avea o importanta deosebita pentru companie datorita impactului economic pe care il au activitatile desfasurate de aceasta.
Solutia de Disaster Recovery (DR) are obiectivul de a preveni pierderea datelor si a capabilitatilor operationale in caz de dezastru. La limita, solutia de DR poate fi utilizata si ca un nivel de HA prin comutarea utilizatorilor pe centru de DR in cazul indisponibilitatii temporare a centrului principal.
Mecanismul preferat pentru sincronizare datelor intre centru si DR este cel de replicare la nivel fizic (intre unitatile de stocare centralizare existente intre cele doua centre). In acest context trebuie avute in vedere urmatoarele valori pentru RTO (recovery time objective) si RPO (recovery point objective):
Centrul DR poate avea un nivel de echipare similar cu cel central sau poate fi echipat la un nivel de compromis - trebuie ales! Poza urmatoare este cu titlu de exemplu!!!
De actualizat poza pt ANPM
Securitatea datelor in cazuri de forta majora, dar si pentru unele situatii speciale ce pot aparea in utilizarea de zi cu zi a aplicatiilor (cum ar fi nevoia de revenire la o stare anterioara a sistemului), impun existenta unei solutii de arhivare a datelor (inclusiv a imaginilor de pe servere) si recuperare a acestora.
Oracle + SAN
Organizarea resurselor hardware care vor gazdui aplicatiile ce compun SIM este una centralizata. Toate serviciile vor fi gazduite la sediul central al ANPM, conform schemei logice urmatoare:
La nivel local vor exista numai cite un server secundare de tip directory (subordonat celui central) la nivel regional, indeplinind eventual si alte roluri cum ar fi file/print server, gazduirea unor instante de interes strict local ale instrumentului de colaborare etc.
Comunicarea in cadrul
Locatia centrala si cele regionale sunt protejate de un sistem de firewall-uri care limiteaza traficul prin politici stricte de acces, pentru functionarea in conditii de securitate ridicata a aplicatiei.
Asa cum se observa in figura, sistemul ANPM poate fi accesat (dupa o autentificare corespunzatoare) prin serverul web public si de serverele altor institutii, permitind astfel integrarea unor procese de business si asigurand un mecanism flexibil de interconectare intre fluxurile de date de la diversele institutii externe cu fluxurile interne ANPM. Acolo unde se considera necesar, serverele externe pot primi acces chiar in cadrul VPN-ului ANPM pentru accesul direct la anumite subsisteme, insa aceasta practica trebuie limitata pe cit posibil.
Serviciile gazduite in sediul central ANPM au rolul de a colecta informatiile din teritoriu si de a le agrega in vederea prezentarii situatiilor analitice complete despre situatia din tara. Este evident astfel ca aceste servicii trebuie sa fie functionale 100% din timp, fara nici un fel de intreruperi, necesitind configurarea lor in arhitecturi de inalta disponibilitate (tip high availability). Mai mult, avand in vedere importanta ca acest nod sa functioneze si in caz de dezastru este necesara existenta unei solutii de backup pentru situatii de forta majora (dezastre, calamitati naturale), conectata la sediul central.
Organizare pe clustere, aa sau ap: de descris, cu poza
Sistemul national dispune de un server central de baze de date disponibil in configuratie de failover cluster pentru a asigura un acces la date fara intreruperi. Dispozitivele vor sti sa comute automat pe cel pasiv in cazul in care nodul activ nu mai raspunde la cereri.
Serverul se conecteaza prin
fibra optica la un dispozitiv de stocare de tip
1 HQ + 8 Regionale + 42 Judetene + Agentii subordinate (DD)
De propus un Data Center
Sectiunea urmatoare este preluata de la Deseuri
O serie de activitati trebuiesc derulate pentru asigurarea atingerii obiectivelor proiectului:
analiza conditiilor existente - vor trebui analizate situatia de fapt, legislatia din domeniu si procedurile in vigoare pentru a asigura datele necesare ulterior
o analiza personalului (numar si competente)
o identificarea eventualelor resurselor locale ce pot fi utilizate de catre noul sistem
o studiul procedurilor existente ca punct de plecare pentru noile proceduri
o eveluarea posibililor actori externi ai sistemului
generarea cerintelor pentru noul sistem - definirea specificatiilor de detaliu pentru componentele sistemului
o fluxurile de autorizare, regulile si documentele asociate
o fluxul de deseuri, regulile si docuemntele asociate
o cerintele de comunicatie si management al sistemului
o alte functionalitati ale sistemelui de management al documentelor
o definirea si specificarea aplicatiilor conexe solutiei
o cerintele legate de infrastructura
o detalierea cetintelor de securitate si performanta
definirea serviciilor necesare
o enumerarea si definirea serviciilor, precum si separarea serviciilor ce pot fi executate intern de catre cele ce trebuiesc achitionate de la furnizor(i)
formalizarea relatiei furnizor beneficiar (proceduri de lucru)
achizitia si customizarea solutiei
generarea documentatiei sistemului
implementarea solutiei
rezolvarea problemelor de personal (angajari, competente)
trainingurile de specialitate
garantie
mentenanta si suport
exploatare
o planificarea de principiu a derularii activitatilor
procesul de achizitie
o elaborarea unui caiet de sarcini
o alegerea unei modalitati de achizitie si derularea acesteia
o stabilirea unui cistigator si negocierea contractului
derularea proiectului propriuzis de implementare a solutiei
o gestiunea formala a proiectului, configuratiei si schimbarilor
o asigurarea resurselor
o achizitia elementelor constitutive ale solutiei
o customizarea si configurarea solutiei
o instalarea echipamentelor IT
o acceptanta sistemelor
o lansarea in productie
derularea activitatilor in responsabilitate interna
o redefinirea si completarea porcedurilor de lucru
o completarea structurii de personal
o traininguri de specialitate
o pregatirea locatiei
serviciile post-implementare
o garantie
o suport
o mentenanta
De exportat din Project
De adaugat sau nu?
|