Propriétaire: SPF.Finances Statut: For Review Objet: Présentation générale du contexte ICT Page 1 de 194

Transcription

1 SPF Finances - Architecture Building Blocks Fondements ICT 2011 Présentation générale du contexte ICT Objet: Présentation générale du contexte ICT Page 1 de 194

2 Architecture Building Blocks Historique du Document Localisation du Document Ce Document est un exemplaire d un document en ligne. Les copies papier ne sont valides que le jour de leur impression. Contacter l auteur du document en cas de doute sur la vcorersion en cours de validité. : Historique des Révisions Date de cette révision: 23/03/2011 Date de prochaine révision (date) Révision N Date de la révision Résumé des Modifications Modifications indiquées /01/08 Différents documents de travail intégré (N) /01/08 Stratégie serveurs application ajoutée (N) /02/08 Directions futures ont été élaborées (N) /02/08 Filenet sections ont été mises à jour (N) /02/08 Mise à jour composant WCM (N) /02/08 Ajout de la stratégie protection anti-virus (N) /05/08 Suppression Manager de Filenet (N) /05/09 Révision Majeure du document Architecture Building Blocks /03/11 Révisions profondes du document Architecture Building Blocks Approbations Les approbations suivantes sont requises pour ce document. Les formulaires d approbation signés sont classés dans le PCB Nom (name) Titre (title) Objet: Présentation générale du contexte ICT Page 2 de 194

3 Architecture Building Blocks Diffusion Ce document a été diffusé à Nom (name) Titre (title) Objet: Présentation générale du contexte ICT Page 3 de 194

4 Architecture Building Blocks Table des matières HISTORIQUE DU DOCUMENT...2 LOCALISATION DU DOCUMENT...2 HISTORIQUE DES REVISIONS ARCHITECTURE BUILDING BLOCKS LEVEL Enterprise Architecture Framework Introduction Architectural Building Blocks Utilisation Mises à jour ABB.01 : Network & Infrastructure ABB.02 : Security Services ABB.03 : Communication & Integration Services ABB.04 : Generic Applications Services ABB.08 : IT Development Services ABB.09 : Services pour Network & Systems management ABB.01 : RESEAU ET INFRASTRUCTURE Services Réseaux ABB Data Connectivity ABB Evolution souhaitée Téléphonie IP ABB Evolution souhaitée Diagnostic des flux de données ABB Evolution souhaitée Connectivité Extranet ABB Evolution souhaitée Synchronisation temporelle ABB Evolution souhaitée Internet Protocols ABB Evolution souhaitée Services WAN ABB Objet: Présentation générale du contexte ICT Page 4 de 194

5 Architecture Building Blocks Evolution souhaitée Connectivité mobile ABB Evolution souhaitée Services Equipements Physiques Réseaux ABB Evolution souhaitée Computing Nodes Services ABB Mainframe Services ABB Evolution souhaitée Serveurs Unix ABB des systèmes Solaris plate-forme ATLAS des systèmes Sparc plate-forme ATLAS Bladeframe ATLAS platform des systèmes AIX des systèmes Linux Evolution souhaitée Serveurs de Backup et Storage ABB Concept général du stockage en ligne du stockage hors ligne Archivage avec Compliance du SAN Fabric Global Management Principales caractéristiques : récapitulatif Evolution souhaitée Serveurs Wintel ABB du matériel Evolution actuelle Plate-forme de virtualisation Système d exploitation Evolution souhaitée Desktops et laptops ABB Evolution souhaitée My PC URIS Distribution des logiciels via SMS Gestion des patches Back-ups centralisés Pervasive (PDA, etc.) ABB Evolution souhaitée Printing Services ABB Services d Impression gros volumes «FinPress» ABB Evolution souhaitée Printing Services Colombus ABB Evolution souhaitée Operating System Services ABB Server operating systems ABB Objet: Présentation générale du contexte ICT Page 5 de 194

6 Architecture Building Blocks Evolution souhaitée Desktop operating system ABB Evolution souhaitée Facility services Généralités techniques de la salle informatique North Galaxy Répartition des locaux du complexe Aménagement des salles Charge au sol Hauteur, largeur Accès au bâtiment Ascenseur Alimentation électrique Câbles réseau Climatisation Renseignements à fournir par le soumissionnaire Aménagements possibles techniques du site informatique DRS Anderlecht Organisation du site Organisation des salles Limites de la salle Câblage réseau ABB.02 : SECURITY SERVICES Firewall Services ABB Double couche redondante ABB Définition et protection des DMZ ABB Intégrité du trafic Web ABB Limitation des sites web indésirables ABB Remote Access pour les agents ABB Détection des intrusions et prévention ABB Fonctionnalités Host-based security ABB Intégrité du trafic mail ABB Fonction Anti-Spam ABB Système DNS sécurisé ABB Out-of-Band Management ABB Certification Services ABB Certification du Framework CCFF Evolution souhaitée Objet: Présentation générale du contexte ICT Page 6 de 194

7 Architecture Building Blocks 3.3 Services d authentification - ABB Service LDAP de IAM Authentication Services ABB Solution IAM Service LDAP de IAM Authentification CCFF Evolution souhaitée Autorisation Services ABB Autorisation IAM Autorisation CCFF Evolution souhaitée Virus Protection Services ABB Evolution souhaitée Identity et Access Management Services ABB Authentification : Evolution souhaitée Autorisation : Evolution souhaitée Identity Management Evolution souhaitée Audit centralisé IAM Evolution souhaitée ABB.03 : COMMUNICATION & INTEGRATION SERVICES Directory Services ABB Domain Name System (DNS) ABB Evolution souhaitée Windows Internet Naming Services (Wins) ABB Evolution souhaitée Active Directory Services ABB Evolution souhaitée Messaging & Events Services ABB Java Message Services ABB Evolution souhaitée Recherche de topic et queue ABB Evolution souhaitée Objet: Présentation générale du contexte ICT Page 7 de 194

8 Architecture Building Blocks Renvoi Automatique ABB Evolution souhaitée Publish-Subscribe Message Services ABB Evolution souhaitée Webservices Inter-opérabilité Standards Evolution souhaitée Services ABB Mail Client ABB Evolution souhaitée Mail Serveur ABB Evolution souhaitée OLYMPIA : Environnement de collaboration et de déploiement de l information ABB L architecture OLYMPIA Lightweight Document Management ABB Evolution souhaitée Moteur de recherche ABB Evolution souhaitée Groupes de discussions forums ABB Evolution souhaitée Tasks ABB Evolution souhaitée White-board Note-board ABB Evolution souhaitée Vidéoconférence ABB Évolution souhaitée Polls ABB Evolution souhaitée Présence en ligne ABB Evolution souhaitée Chat Instant messaging ABB Evolution souhaitée Foire aux questions ABB Evolution souhaitée Communautés ABB Evolution souhaitée Technologies de type portail ABB Evolution souhaitée Objet: Présentation générale du contexte ICT Page 8 de 194

9 Architecture Building Blocks Portail général d accès basé sur un WebOs ABB Evolution souhaitée Integration Services ABB ETL ABB ProfileStage Metastage DataStage QualityStage Evolution souhaitée ABB.04 : GENERIC APPLICATIONS SERVICES Process Management Services ABB Business Process Manager - FileNet Services ABB La suite FileNet en détail Les usages de FileNet Le Business Process Manager (BPM) de FileNet en détail Stratégie du SPF-Finances: Evolution souhaitée JBPM Les fonctionnalités de jbpm Model Adaptation & Mediation Services ABB Applications Server Services ABB Evolution souhaitée Transaction Management Services ABB CICS Transaction Manager ABB Evolution souhaitée GCOS TP8 Transaction Manager ABB Evolution souhaitée BS2000 Transaction Manager ABB Evolution souhaitée J2EE/CCFF Transaction Management Services ABB Evolution souhaitée Search Services ABB DataBase Management Services ABB Services Relational Data Center ABB Evolution souhaitée Autres Services DBMS ABB MS SQL Solution souhaitée Objet: Présentation générale du contexte ICT Page 9 de 194

10 Architecture Building Blocks 5.7 Content Management Services ABB : Stratégie du SPF-Finances: Evolution souhaitée File & Storage Services - ABB Evolution souhaitée Documents & Information Management Services ABB Evolution souhaitée Business Intelligence Services- ABB ETL Services Extraction Transformation Chargement Datamining Services SAS Management Console SAS Entreprise Guide SAS Entreprise Miner CSP-bis (SPSS Clémentine) Reporting Services Microsoft Reporting Services 2008 R Microsoft Analysis Services 2008 R Intégration de Microsoft Reporting via BI Portal Intégration de Microsoft Reporting en vue d autres applications Évolution souhaitée ABB.08 : IT DEVELOPMENT SERVICES Requirements Management Services ABB Evolution souhaitée Solution Architecture Modelling Services ABB Evolution souhaitée Data Architecture Modelling Services ABB Data Architecture Modelling Analyse ABB Evolution souhaitée Data Architecture Modelling Production ABB Evolution souhaitée Application Development Environment Services ABB : Borland Jbuilder Evolution souhaitée Testing Services ABB Evolution souhaitée Change Management ABB Objet: Présentation générale du contexte ICT Page 10 de 194

11 Architecture Building Blocks Evolution souhaitée Configuration Management Services ABB Evolution souhaitée Change Management Services ABB Change Management Production Applications ABB Introduction Objectifs Procédure Evolution souhaitée Change Management Applications CCFF ABB Evolution souhaitée FUP Methodology ABB Artefacten aanvangsfase Artefacten uitwerkingsfase Artefacten opbouwfase Artefacten transitiefase Evolution souhaitée CCFF Framework ABB Evolution souhaitée ABB.09 : SERVICES POUR NETWORK & SYSTEMS MANAGEMENT Enterprise monitoring et systems management ABB Evolution souhaitée Service delivery and Service support ABB Évolution souhaitée Remote monitoring Services ABB Evolution souhaitée Job Scheduling ABB Evolution souhaitée Disaster Recovery ABB Situation actuelle Evolution souhaitée Approche orientée services Amélioration des niveaux de service Objet: Présentation générale du contexte ICT Page 11 de 194

12 Architecture Building Blocks level 0 1. Architecture Building Blocks level 0 Objet: Présentation générale du contexte ICT Page 12 de 194

13 Architecture Building Blocks level Enterprise Architecture Framework Introduction Ce document définit les modèles d Architecture ICT pour le SPF Finances. Les modèles d Architecture ICT identifient les services technologiques et fonctions requis pour supporter les applications et données business. Le modèle consiste en des «Architecture Building Blocks» (ABBs) qui représentent le groupement logique de services et fonctions ICT. Les ABB niveau 0 représentent le regroupement au plus haut niveau de ces services et fonctions. Ceux-ci sont ensuite décomposés en un nombre plus important et plus détaillés d ABB niveau 1. Le Modèle offre une représentation graphique unique des Architecture Building Blocks et de leurs inter-relations et sert donc de dépôt «repository» pour les informations au niveau des technologies ICT au travers de l ensemble du SPF Finances. Ce modèle n est pas influencé par des contraintes physiques ou géographiques. Objet: Présentation générale du contexte ICT Page 13 de 194

14 Architecture Building Blocks level 0 ABB.08-6 IT Development Services Application Development Environment Testing Configuration Management 6.6 Change Management 6.7 Requirements Management 6.1 Solution Architecture Modelling ABB.07 Business Applications User Interaction Services User Device Operating PDA Desktop Workstation Laptop Workstation Voice Services Portal Services Services ABB.05 ABB.03-4 Communication & Integration Services Security Services Reference Data From Application Function Model... From Data Stores... ABB.04-5 Generic Application Services Messaging & Event Directory Services Services Collaboration Services Integration Services Services ABB.02-3 ABB.06 Process Management Content Management Document & Information Application Server Search Services Services Services Management Services Model Adaptation & Mediation Services Transaction Management Services Database Management Services File & Storage Services 5.8 Data Reporting & Analysis 5.10 IAM 3.6 ABB.09 Network & Systems Management Security Management Data Architecture Modelling Certification Services 3.2 Authentication Services 3.3 Authorisation Services 3.4 Firewall Services 3.1 Virus Protection Services 3.5 Fault Management FUP Methodology 6.8 CCFF Framework 6.9 Enterprise Architecture Modelling ABB.01-2 Transport and Network Layer Services 2.1 Network Nodes 2.2 Network & Infrastructure Computing Nodes Peripherals Operating System Services 2.5 Performance Management Configuration Management Objet: Présentation générale du contexte ICT Page 14 de 194

15 Architecture Building Blocks level 0 L objectif de ce document est de décrire de manière consistante les composants principaux de l architecture en place au sein du SPF Finances pour les aspects ICT. Les objectifs de ce document sont de : Gérer de manière consistante et centrale les références et la documentation des services ICT, Offrir un point d entrée central et structuré pour la documentation ICT, Documenter l ensemble du contexte avec une priorité pour les aspects et décisions stratégiques. Le scope initial et précis de ce document, dans le contexte du projet actuel, est limité aux ABBs suivants : ABB.01 : Network & Infrastructure ABB.02 : Security Services ABB.03 : Communication & Integration Services ABB.04 : Generic Applications Services ABB.08 : IT Development Services ABB.09 : Services pour Network & Systems management Ce scope pouvant être élargi suivant l état d avancement du projet en relation avec le budget. Un des buts est d augmenter la connaissance et la compréhension du Framework proposé au sein du SPF de manière à assurer la prise en main et la maintenance par les membres du SPF euxmêmes. Objet: Présentation générale du contexte ICT Page 15 de 194

16 Architecture Building Blocks level Architectural Building Blocks Les Architecture Building Blocks (ABB) sont des composants modulaires avec lesquels les modèles conceptuels d architecture et vues logiques sont développés. Chaque ABB représente un besoin fonctionnel IT nécessaire pour répondre aux besoins business. Certains ABB correspondront 1 à 1 avec une solution produit ; d autres seront implémentés de différentes manière en fonction des plates-formes (p.ex. : sur une plate-forme cela pourrait faire partie de l operating system, et sur d autres, cela pourrait être un produit optionnel). L architecture d entreprise utilise des ABBs qui, généralement, peuvent être assimilés à un service de gestion de ressources constitué d un ensemble de programmes qui maintient l état d une ressource et offre l accès sous forme d un service. Pour les descriptions des ABB dans les chapitres qui suivent, les définitions suivantes sont d application : Implémentation actuelle: Software et Hardware installé et en usage actuellement; identifie et documente les divers composants (indique les programmes in-house, les software et hardware commerciaux, les produits standard du SPF Finances, environnements, quantités, etc.) Direction Future: choix technologiques planifiés pour les 5 années futures ;utilisée pour documenter un choix stratégique future pour l ABB. (Indiquer lorsqu approprié, les dates planifiées de déclassement (plus d investissements, déclassement/remplacement) ; date planifiée de sunset (investissement limité) ; solution préférées, emerging ; etc.) Classification: Strategic Standard de l industrie IT, solution préférée, recommandée Tactical Solution ponctuelle nécessitant cette variance (écart) par exemple limitée à un projet spécifique. Sunset Investissements futurs limités (gérés jusqu à déclassement/remplacement). Non-Strategic Existe dans l architecture mais n est pas utilisé et son usage nécessite une approbation particulière. Transition Priority: High Nécessaire dans moins d un an Medium - Nécessaire dans un délai de 2-3 ans Low - Nécessaire dans un délai de 3-5 ans Utilisation Les ABBs doivent être utilisés comme un repository, une définition commune de besoins fonctionnels et comme un point d encrage pour documenter les divers composants de l infrastructure qui implémente cette fonctionnalité. Les ABBs fournissent les détails aux concepteurs, développeurs et autres intervenants qui doivent comprendre les divers aspects et vues de l architecture ICT. Objet: Présentation générale du contexte ICT Page 16 de 194

17 Architecture Building Blocks level Mises à jour Etant donné que l Architecture d Entreprise est mouvante et en constante évolution, chaque ABB sera au fur et à mesure défini de manière plus précise en fonction des évolutions des besoins business et également de la collecte de données. Objet: Présentation générale du contexte ICT Page 17 de 194

18 Architecture Building Blocks level ABB.01 : Network & Infrastructure Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ utilisateurs. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Le WAN du SPF Finances est implémenté aujourd hui avec Bilan. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). Figure 1: Représentation Schématique des réseaux L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de firewall. Le firewall assure un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances et pour couvrir les besoins des fonctionnaires, ainsi que l accès aux ressources du SPF Finances pour les usagers externes simultanés à partir d Internet. Une représentation schématisée des différents réseaux est présentée à la figure 1 ci-dessus. On y distingue : Le réseau LAN auquel les utilisateurs internes sont connectés (LAN/users) Le réseau WAN auquel les utilisateurs du SPF Finances sont connectés. Le réseau auquel sont connectés les serveurs du SPF Finances (Intranet) Une zone DMZ existe Objet: Présentation générale du contexte ICT Page 18 de 194

19 Architecture Building Blocks level 0 Le réseau Internet, accessible via le réseau Fedman Des liens spécifiques vers certains partenaires. Sur la même infrastructure, le SPF Finances dispose d une solution de convergence voix-données appelée TelLANoGo. Pour les aspects infrastructure système (plates-formes de processing CPU), la stratégie du SPF - Finances repose sur une approche de consolidation sur la plate-forme centrale Fujitsu-Siemens sous Solaris 10 supportant le partitionnement et la virtualisation. Il y a pourtant encore plusieurs mainframes (IBM system z10 BC, Siemens BS2000 et Bull DPS9000) qui sont utilisés pour toutes les applications legacy. Il existe également un important parc de serveurs Windows (surtout virtualisés), dans une architecture x86. Cette plate-forme centrale repose sur l environnement «Atlas» pour les ressources de stockage (SAN) et backup (systèmes à disques et bandothèques robotisées) dupliqués entre les 2 data centers principaux du SPF Finances. Le Disaster Recovery Site permet la continuation de l exploitation des systèmes critiques en cas de désastre dans l un des sites. Les services d impression reposent sur deux solutions principales suivant les volumes de données à traiter et le type d application en usage. Un système permet d utiliser des outils de pré-processing et de post-processing et d imprimer des gros volumes de documents, l autre offre un service d impression personnel avec support centralisé. Objet: Présentation générale du contexte ICT Page 19 de 194

20 Architecture Building Blocks level ABB.02 : Security Services Les Services de Sécurité au sein du SPF s articulent autour de : Firewall Services Authentication Services Autorisation Services Virus protection Services Certification Services Les Services Firewall permettent l isolation physique d un réseau par rapport à un autre et le contrôle des accès et des communications entre ces réseaux. Les Services Firewall permettent de définir des règles qui spécifient ce qui est et n est pas autorisé de passer d un côté à l autre du firewall. Vous trouverez une représentation schématique à la Figure 1. Le SPF Finances attache une grande importance à la confidentialité, à l intégrité et à la disponibilité de ses données, 24 heures sur 24 et 7 jours sur 7. L infrastructure de sécurité en place est redondante. Elle est constituée de deux ensembles d équipements complets. Chaque ensemble est en mesure d assurer seul l ensemble des fonctions en cas de défaillance de l autre ensemble. Les deux ensembles sont installés dans deux sites distincts, l un dans le bâtiment du North Galaxy et l autre dans le site de backup du SPF Finances (South Galaxy) Les services Firewall offrent les fonctionnalités suivantes : Double couche redondante Définition et protection des DMZ Intégrité du trafic Web Limitation des sites web indésirables Remote Access pour les agents Détection des intrusions et prévention Fonctionnalités Host-based security Intégrité du trafic mail Fonction Anti-Spam Système DNS sécurisé Out-of-Band Management La stratégie relative aux fonctionnalités «authentication», «autorisation», «certification» est couverte dans le cadre de «IAM» (Identity and Access Management). Objet: Présentation générale du contexte ICT Page 20 de 194

21 Architecture Building Blocks level 0 Figure 2: Plate-forme IAM Actuellement, les mécanismes de sécurité sont également supportés dans le cadre du Framework CCFF comme présenté dans la figure ci-dessous. En ce qui concerne l'authentification, l'autorisation, la gestion des rôles et les logs d'audit, les responsabilités respectives sont actuellement les suivantes: IAM est le standard pour les utilisateurs interne et CCFF pour les utilisateurs externes. Objet: Présentation générale du contexte ICT Page 21 de 194

22 Architecture Building Blocks level 0 Production : authentication access schema CCFF Framework 2005 Users Fedict Range /25 OCSP Server DNS Belnet Smals-mvm Company Citizen Certificate EID DNS (53) t3:// t3:// :8090 webservice HTTP (80) HTTPS (443) Social Security Portal HTTPS wwwsocialsecurity.be Federal Portal HTTPS (8090) D M Z Firewall CCFF web server (Apache) Firewall Validations CCFF (signature,..) Proxy access (8080) Authentication process UserName/Password Users (Internal only) CCFF MinFin UserName/ EID Citizen Company Certificate Password LDAP DB mandate Manager Figure 3: Authentication CCFF Objet: Présentation générale du contexte ICT Page 22 de 194

23 Architecture Building Blocks level ABB.03 : Communication & Integration Services Les services de communication et d intégration reprennent : Directory Services Messaging and Events Services Services Collaboration Services Integration Services Ces services sont supportés par diverses plates-formes. Le Services directory est une base de données qui offre une manière structurée de stocker, gérer et retrouver les informations. Ces services peuvent être spécifiques à une application ou généraux. Dans des environnements importants et distribués, ils sont les pierres angulaires de l accès réseau. Ils publient les ressources et fournissent les informations pour permettre l accès à ces ressources pour les utilisateurs autorisés. Au sein du SPF Finances, ces services (MS Active Directory, DNS, Wins, DHCP, etc.) sont déployés sur base de la plate-forme MS-Windows et supportent les services de résolution de noms. Les services de messaging & événements sont supportés par le framework CCFF. Le courrier électronique ou est une application pour la messagerie de personne à personne; c est aussi un service qui est utilisé par d autres applications pour délivrer des données au travers du réseau. Le SPF a fait le choix d une plate-forme mail centralisée et basée sur Lotus Domino d IBM. Cette solution est prévue pour la messagerie interpersonnelle et n est pas envisageable en tant que solution de messagerie inter-applications. Objet: Présentation générale du contexte ICT Page 23 de 194

24 Architecture Building Blocks level ABB.04 : Generic Applications Services Les Services Generic Application reprennent : Process Management Services Model Adaptation & Mediation Services Transaction Management Services Search Services Databases Management Services Content Management Services File & Storage Services Documents & Information Management Services Data Reporting & Analysis Les Process Management Services sont les services de type workflow offrant une série de fonctionnalités permettant au business de définir, exécuter, gérer et modifier les business processus au travers d un environnement de systèmes hétérogènes. C est un système proactif qui gère les flux au travers des participants au processus, selon des procédures constituées de différentes tâches. Cet ABB cible les workflows administratifs et production. Les Model Adaptation and Mediation Services supportent les services de process choreography. Les divers standards en usage sont ceux de «Web Services» (p.ex. :., UDDI, SOAP, XML, WSDL, et WSCL). Les services de Transaction Management sont constitués de: Transaction Monitor Services et Transaction Manager Services qui offrent l accès à une variété d applications et de services pour les applications end-users, ainsi que les fondations pour les applications distribuées. Les services de Relational Databases supportent les services de BD et d accès aux données. Ils sont repris au sein du SPF Finances dans le RDC standardisé sur la plate-forme IBM-DB2 Les services de Content Management supportent le stockage et la recherche d éléments tels que : documents texte, audio, vidéo, graphiques, images, etc. Les Services de File Services offrent les fonctionnalités pour la gestion de fichiers dans des environnements ouverts et distribués. C est un «application enabler» qui utilise les services des systèmes locaux pour le stockage physique et utilise les éléments des services distribués et réseaux de l architecture pour supporter l accès global aux fichiers. Le «Storage Management service» supporte la gestion et la protection des données dans un environnement hétérogène à un coût effectif. Ces fonctionnalités sont offertes de manière transparente et au travers d APIs.Process Management Services ABB.04-1 Les Process Management Services offrent les fonctionnalités de gestion électronique des processus métier. Objet: Présentation générale du contexte ICT Page 24 de 194

25 Architecture Building Blocks level ABB.08 : IT Development Services IT Development Services offre un environnement technique et les diverses procédures dans le cadre du développement d applications au sein du SPF Finances Les Services IT Development comprennent : Requirements Management Solution Architecture Modelling Enterprise Architecture Modelling Application Development Environment Testing Configuration Management Change Management Dans le contexte du cycle de vie d une application, les services de développement se positionnent comme présenté dans al Figure 4. Figure 4 Cycle de vie d une application Le SPF Finances a initié l introduction d une méthodologie de développement d application, celleci ayant tout d abord pour but de formaliser et de stabiliser le déroulement des projets ICT dans un cadre commun en uniformisant : le contenu des étapes d un projet, les rôles des différents acteurs, les artefacts délivrés à chaque étape. Voulant utiliser des standards ouverts et reconnus, le SPF Finance a choisi la méthodologie de base UP (Unified Process ou «Processus Unifié») qui sera éventuellement adaptée selon les besoins et enrichie de certains concepts issus de RUP (Rational Unified Process). Les adaptations effectuées par rapport aux standards UP propres seront mentionnées dans les rubriques concernées. Etant donné que tout participant aux projets informatiques du SPF Finances doit suivre les principes et la méthodologie énoncés dans ce document (et dans les documents annexes), il s adresse à toute personne ou organisme qui participe à la définition ou au développement d une Objet: Présentation générale du contexte ICT Page 25 de 194

26 Architecture Building Blocks level 0 solution informatique pour le SPF Finances, que ce soit une personne ou un organisme interne ou externe au SPF Finances. La suite Borland est «l ossature» principale des outils proposés comme support de la méthodologie. Cette suite est complétée en matière de tests par des produits de HP/Mercury Interactive (HP/Mercury Quality Center) et par ER/Studio de Embarcadero pour les aspects de gestion des données. Figure 5: Vue d ensemble des outils Le schéma ci-dessus illustre leurs interactions. Ce diagramme montre les fonctions principales pour lequel l outil est utilisé et où il intervient dans le projet. Les flèches entre les différents produits représentent les liens entre les outils. Objet: Présentation générale du contexte ICT Page 26 de 194

27 Architecture Building Blocks level ABB.09 : Services pour Network & Systems management Ce chapitre rassemble les services disponibles qui contrôlent la disponibilité des systèmes informatiques du SPF, les services permettant la gestion de l exécution de tâches à exécuter sur les systèmes centraux du SPF, ainsi que les services permettant d assurer la continuité des opérations ICT en cas d incident majeur. Les services de contrôle et de suivi de la disponibilité sont bâtis autour de la solution HP OpenView. La gestion, l automatisation et le contrôle de l exécution des tâches sont construits au départ du logiciel VTOM. L infrastructure Disaster Recovery Planning du SPF est axée sur la disponibilité d un centre ICT de secours sur lequel les applications informatiques du SPF peuvent être déployées rapidement en cas d indisponibilité du site central du SPF. Objet: Présentation générale du contexte ICT Page 27 de 194

28 ABB.01 : Réseau et Infrastructure 2. ABB.01 : Réseau et Infrastructure Objet: Présentation générale du contexte ICT Page 28 de 194

29 ABB.01 : Réseau et Infrastructure 2.1 Services Réseaux ABB.01-1 Les Services Réseaux offrent une vision commune de sémantique de transport de manière à supporter les services systèmes et applicatifs de plus haut niveau, de manière transparente et indépendante de la couche de transport réseau. Les services réseaux incluent 5 Services: Data Connectivity Services, IP Telephony Services, Diagnostic du flux de données, Extranet Connectivity, Time Synchronization, Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ utilisateurs. Le WAN du SPF Finances est implémenté aujourd hui avec Bilan. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de Firewall (ABB.02-1). Le firewall a été mis en place en vue d un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances. Objet: Présentation générale du contexte ICT Page 29 de 194

30 ABB.01 : Réseau et Infrastructure Figure 6: Vue Générale du réseau Data Connectivity ABB Le service Data Connectivity assure la disponibilité d accès réseau câblé au réseau interne du SPF Finances depuis un bâtiment du SPF Finances. Ce service repose sur les divers composants réseaux en place au sein du SPF Finances tels que connexions Ethernet. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Connexion au réseau Ethernet et Téléphonique. IEEE 802.3, TCP/IP Par utilisateur final, une moyenne de 1,5 connexion RJ45 sont prévues. Les PCs et la téléphonie IP utilisent les mêmes câbles et portes switch. Information technique - Objet: Présentation générale du contexte ICT Page 30 de 194

31 ABB.01 : Réseau et Infrastructure Evolution souhaitée Pour chaque utilisateur, installer au moins 1 port LAN pour le téléphone et le PC. Prévoir la capacité en fonction de la téléphonie, avec optimisation et redondance. Le maître-mot est l uniformité, qui doit se traduire par des commutateurs directement compatibles dans tous les LAN Téléphonie IP ABB Le service Téléphonie IP sert à la communication interne et externe via une infrastructure rénovée. Sur la base de cette infrastructure, les services suivants sont assurés : Messagerie (Voice Mail) Conférence téléphonique (Conference Call) Groupes Call et Hunt Secrétaire de direction (Management Assistant) Répertoire téléphonique électronique (Directory) Call centers Intégration fax Tous les utilisateurs internes sont reliés à cette infrastructure. Chaque utilisateur dispose de son propre numéro, où qu'il se trouve. Services Principaux Standards pertinents Service de messagerie (Voice Mail) Téléconférence (Conference Call) Groupes Call & Hunt Assistant de direction (Management-Assistant) Annuaire électronique (Directory) Call centers intégration fax trunking: SIP, H323, interne: SCCP Objet: Présentation générale du contexte ICT Page 31 de 194

32 ABB.01 : Réseau et Infrastructure Implémentation actuelle L accès à l environnement de téléphonie IP est garanti par : Cisco IP Phone 7911/7912 Cisco IP Phone 7941 Cisco Soft Phone L infrastructure supportant le service de téléphonie IP est redondante. Chaque jour, le serveur central (Call Manager) est sauvegardé dans le cadre des back-ups routiniers. En cas de calamité, le service sera rétabli le plus vite possible, avec un maximum de 24 heures de perte de données (sur la base des back-ups quotidiens). L infrastructure installée permet d acheminer 360 communications simultanées avec des interlocuteurs extérieurs (base : 12 PRA avec 30 canaux par PRA). La communication interne est illimitée. La solution de téléphonie IP utilisée repose sur les produits suivants : CallManager version Unity Connection version IPCC version Express 7.0.(1) SR 05 IP Communicator version Peter Connects 6.2.B1b RightFax version 9.3 Liens vers les documents de détails «NWS FODFIN IP Tel Services» Information technique Evolution souhaitée Services téléphoniques convergents pour tous les utilisateurs Diagnostic des flux de données ABB Examen des interruptions et défauts de performance des flux de données end-to-end. Objet: Présentation générale du contexte ICT Page 32 de 194

33 ABB.01 : Réseau et Infrastructure Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Analyse du trafic du réseau client/serveur existant. SNMP, Netflow, ICMP,... Sniffer Fluke Optiview Fluke SuperAgent Rapports (SLA/QoS) Belgacom Information technique Evolution souhaitée Etendre la panoplie d outils en tenant compte de l évolution des modèles de trafic (notamment P2P) et protocoles Connectivité Extranet ABB Ce service doit veiller à la disponibilité de l infrastructure nécessaire au travail à distance. Il met en place la connectivité entre les utilisateurs internes et les ressources externes, les utilisateurs mobiles et les ressources centrales, ainsi que les liaisons nécessaires pour les clients externes. Ce service comprend aussi la gestion VPN. La communication fait toujours usage de réseaux autres que ceux confiés à la gestion du département Networks. Services Principaux Standards pertinents Implémentation actuelle Travail à distance (Client VPN) Transmission de données entre le réseau interne et les organisations externes (site VPN) SSL IPsec Authentification via e-id. Les règles d accès à distance via Internet (Client VPN) sont énoncées dans «FinNet-VPN Policy & Procedure», disponible sur l intranet. Les services relatifs à la mise en place et à la gestion du Site VPN sont toujours liés à des activités de projet. A ce titre, ils ne seront pas traités comme une modification standard. Objet: Présentation générale du contexte ICT Page 33 de 194

34 ABB.01 : Réseau et Infrastructure Liens vers les documents de détails Information technique Evolution souhaitée En ce qui concerne ce fondement, on n'identifie pas de changement à court ou à long terme Synchronisation temporelle ABB Ce service assure la synchronisation des systèmes internes d enregistrement horaire avec une horloge atomique centrale. Services Principaux Standards pertinents Implémentation actuelle IEEE-1588 NTP Stratum-1 Elproma Liens vers les documents de détails Evolution souhaitée En ce qui concerne ce fondement, on n identifie pas de changement à court ou à long terme Internet Protocols ABB Les protocoles Internet reposent sur la technologie IP. Cela inclut Transmission Control Protocol/Internet Protocol (TCP/IP), Universal Datagram Protocol (UDP) et d autres protocoles. TCP/IP fait référence à une famille de protocoles de réseaux basés sur des standards, parmi lesquels TCP fournit la connexion host-to-host, et IP assure le routage des données d une source vers une destination. La couche TCP/IP inclut les protocoles File Transfert (FTP), Simple Mail Transfer Protocol (SMTP), News Transfer Protocol (NNTP), etc. Les protocoles TCP/IP permettent à différents réseaux de fonctionner comme une seule entité coordonnée. Les Intranets sont des réseaux utilisant la technologie Internet, mais où les accès sont contrôlés par une entité unique coordonnée. Le service principal est le service DHCP (Dynamic Host Configuration Protocol) aux plates-formes internes du SPF Finances. Objet: Présentation générale du contexte ICT Page 34 de 194

35 ABB.01 : Réseau et Infrastructure Ce service veille à l attribution dynamique des adresses IP à l ensemble des PC du réseau SPF FIN. Ce service est hébergé sur un cluster MS Windows 2008 actif/passif géographiquement splitté sur 2 sites avec exportation de la base de données 1 fois par jour. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails DHCP DHCP RFC2131, RFC1918 (10.x.x.x) BOOTP Les Services IP sont implémentés par DHCP Les Services DHCP sont assurés par un cluster Ms Windows 2008 actif/passif géographiquement splitté sur les 2 sites Evolution souhaitée Pour éviter toute perte d information, on vise un support technologique suffisant pour qu un deuxième centre informatique puisse être maintenu en permanence au même niveau que le centre primaire. Le clustering en place a déjà été testé durant les campagnes Disaster Recovery. Il donne satisfaction au stade actuel Services WAN ABB Un réseau Wide Area Network (WAN) est un réseau qui fournit les services de communication ICT à une zone géographique plus large que celle servie par un LAN et qui peut faire usage de facilités de communication de type public proposées par des fournisseurs de réseaux externes à l entreprise. Les Services Wan sont actuellement supportés par le réseau BiLAN. Services Principaux Standards pertinents Interconnectivité de réseaux LAN Réseau; MPLS, BGP, Ipv4, Diffserv, Physique: Ethernet, SDSL, Leased Lines Objet: Présentation générale du contexte ICT Page 35 de 194

36 ABB.01 : Réseau et Infrastructure Implémentation actuelle Le réseau qui interconnecte les bâtiments du département repose sur BiLAN. La bande passante est dimensionnée suivant les règles ci-dessous : Bande passante données : 10 kbps/utilisateur Bande passante voix : 15 kbps/utilisateur Autrement dit, un bâtiment abritant 75 utilisateurs qui se servent aussi de la téléphonie IP est raccordé avec une bande passante d au moins 2 Mbps (75 x (10+15) = 1875). La technologie de ligne peut être SDSL, ligne louée ou fibre optique. Gestion de la bande passante (QoS, infrastructure) Liens vers les documents de détails Information technique Evolution souhaitée Connexions redondantes (notamment pour tél. IP) Connectivité mobile ABB Ce service couvre les raccordements sans fil au réseau interne du FinNet des Finances, à partir de l'extérieur des bâtiments des Finances. Services Principaux Standards pertinents Implémentation actuelle Connexion sans fil à FinNet GPRS UMTS HSDPA Via : GSM-modem SmartPhone PDA Carte PCMCIA pour laptop Modem intégré dans les PC Objet: Présentation générale du contexte ICT Page 36 de 194

37 ABB.01 : Réseau et Infrastructure Liens vers les documents de détails Information technique Evolution souhaitée Connectivité réseau sans fil pour les applications mobiles. Objet: Présentation générale du contexte ICT Page 37 de 194

38 ABB.01 : Réseau et Infrastructure 2.2 Services Equipements Physiques Réseaux ABB Les ABBs Equipements Physiques Réseaux comprennent le hardware qui supporte le réseau et inclut tous les composants des LANs, WANs, Wireless et réseaux locaux personnels, comprenant les câbles, routers, hubs, bridges, switches, cartes réseaux, controller, fibres, patch panel, transmitters, receivers, etc. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Voir les spécifications du matériel. Le câblage horizontal est de type UTP Catégorie 6. Le câblage optique vertical est de type OM-3. Le matériel actif suivant est utilisé pour les réseaux locaux Ethernet: o Catalyst PS-S PoE (nouvelle plate-forme) Information technique Evolution souhaitée On vise une gestion uniforme qui puisse être assumée par une seule et même firme. Objet: Présentation générale du contexte ICT Page 38 de 194

39 ABB.01 : Réseau et Infrastructure 2.3 Computing Nodes Services ABB.01-3 Computing Nodes Services offre une vision commune des diverses plates-formes ICT à disposition au sein du SPF Finances. Computing Nodes Services comprend : Mainframes Serveurs Unix Serveurs Wintel Desktops et Laptops Pervasive (PDA, etc.) Mainframe Services ABB Services Principaux Standards pertinents Objet: Présentation générale du contexte ICT Page 39 de 194

40 ABB.01 : Réseau et Infrastructure Implémentation actuelle Type de machine: IBM system z10 BC Système d exploitation : z/vm 5.4 en z/vse 4.2. Environnement interactif : Customer Information Control System ( CICS TS 1.1 ) Environnement batch z/vse Langage de développement : COBOL Base de données : hiérarchique ( DL/1 V1.11 ) Type de machine : Siemens S110-K et S110-F (tests et développement) Système d exploitation : BS2000 V4.0 Environnement interactif : OPENUTM-60 V5.0 Langage de développement : COBOL Database : LEASY-28 V6.0 mais essentiellement utilisation de fichiers ISAM Type de machine: Bull HELIOS 3 2 Novascale 9165 chacun équipé d un module 9045/374T 2 partitions logiques GCOS8 V9000 (Production & Test/développement) par module Système d exploitation GCOS8 SR6.1 Environnement interactif : TP8 : version 8IT4.3 Environnement de développement : COBOL 74 & COBOL bit performance Option (KVM) et C. Database : IDS2: version 8DB7.2 Liens vers les documents de détails Evolution souhaitée Le BPR Coperfin a défini comme vision stratégique un redéploiement systématique des fonctionnalités, compte tenu des impératifs de convivialité et d approche intégrée. Des projets sont en cours pour toutes les plates-formes mainframes du SPF Finances. Le but est de redévelopper les applications conformément à l approche intégrée de Coperfin. A court terme, on prévoit un plan global de retrait graduel des 3 types de mainframe Serveurs Unix ABB Le service Serveurs Unix reprend l ensemble des nœuds de traitement existant au sein du SPF Finances et opérant sous le système d exploitation de type Unix. Objet: Présentation générale du contexte ICT Page 40 de 194

41 ABB.01 : Réseau et Infrastructure Les machines présentent généralement les caractéristiques suivantes : Dispositifs pour augmenter la disponibilité: Alimentations redondantes, Ventilateurs redondants Possibilité de remplacer certains composants sans arrêt des machines (même partiel). Certains serveurs sont partitionnables, permettent une découpe dynamique d un serveur physique en plusieurs serveurs autonomes permettant à chacun de faire tourner un environnement différent Les serveurs disposeront de ressources d entrées-sorties propres: disques locaux, accès réseau local et réseau SAN, etc. Il est possible d intervenir sur une partition (réparations, maintenance) sans interrompre une autre partition. Certaines ressources (CPU, mémoire) peuvent être attribuées dynamiquement à une partition (ou en être retirées) sans arrêt de la partition des systèmes Solaris plate-forme ATLAS Le SPF Finances propose une plate-forme de traitement centrale reposant sur les machines Fujitsu- Siemens à architecture Sparc et une architecture bladeframe x86 supportant le système d exploitation Sun Solaris des systèmes Sparc plate-forme ATLAS Services Principaux Standards pertinents Implémentation actuelle Offre du support d infrastructure de plates-formes Unix Compatibilité par Rapport aux Standards : Par système d exploitation Unix, l on entend un système opérationnel complet, ce qui inclut: le système d exploitation, le système graphique X11 avec un gestionnaire d écran basé Motif, le système de gestion d environnement «CDE» ou «Common Desktop Environment», les utilitaires habituels du monde Unix, les outils de gestion des systèmes, y compris la gestion de la performance et la gestion à distance du serveur. Fujitsu M5000 Chaque armoire contient plusieurs cartes M5000, dont les installations peuvent être allouées dynamiquement Ce sont les caractéristiques de chaque conseil Quad core par CPU 8 CPU et 130 GB RAM par carte CPU : architecture SPARC64-VII 2.4 GHz et 2.5 GHz Fujitsu M9000 De M9000 gebruikt Fujitsu s eigen SPARC64 - VII processors samen met toonaangevende scalability tot 256 CPU cores en 4TB memory. Domain creatie is ondersteud. Objet: Présentation générale du contexte ICT Page 41 de 194

42 ABB.01 : Réseau et Infrastructure Le M9000 utiliseles processeurs du SPARC64 propres Fujitsu - processeurs VI SPARC64 propres Fujitsu avec une évolutivité de pointe de 256 cœurs de processeur et la mémoire 4To. La création du domaine est prise en charge. Liens vers les documents de détails Bladeframe ATLAS platform Principaux services Standards applicables Implémentation actuelle Support infrastructurel aux plates-formes Unix Compatibilité avec les standards : Par système d exploitation Unix, on entend un système d exploitation complet, composé de : le système d exploitation proprement dit, le système graphique X11 avec gestionnaire d écran à base Motif, le système de gestion d environnement CDE ou Common Desktop Environment, les utilitaires courants dans le monde Unix, et les outils de gestion de système, y compris la gestion du niveau de performance et la gestion de serveur à distance. Fujitsu BladeFrame BF400 S2 Le système Fujitsu BladeFrame BF400 S2 est une plate-forme indépendante des applications mais orientée services pour une infrastructure dynamique. Il est équipé de 24 compartiments pour processing blades (seulement CPU et mémoire). Les serveurs virtuels créés via un PAN Manager sont pilotés par des control blades redondantes avec un système d exploitation interne complet. Les mécanismes intégrés de failover matériel et DR sont possibles. 18 pblades par système : 5 pblades avec 2x Intel Xeon 3,00GHz et 32 GB de RAM 2 pblades avec 2x Intel Xeon 2,93GHz et 36 GB de RAM 3 pblades avec 4x Intel Xeon 2,93GHz et 64 GB de RAM 8 pblades avec 4x Intel Xeon 2,40GHz et 96 GB de RAM : Mots de 64 bits Système d exploitation : Unix Support du clustering Étalement équilibré de la charge : statique mais flexible (le serveur démarre à partir d une processing blade plus performante). Réseau : 8x ports Gigabit Ethernet Objet: Présentation générale du contexte ICT Page 42 de 194

43 ABB.01 : Réseau et Infrastructure Liens vers les documents de détails Management : 1x port 10/100/1000Base T Ethernet Management + port console série Connexions SAN : 2x ports 2Gbps Fibre Channel Alimentation électrique redondante : 4 domaines d alimentation OS : Solaris 10 pour x des systèmes AIX Services Principaux Standards pertinents Implémentation actuelle Offre du support d infrastructure de plates-formes Unix Compatibilité par Rapport aux Standards : Par système d exploitation Unix, l on entend un système opérationnel complet, ce qui inclut: le système d exploitation, le système graphique X11 avec un gestionnaire d écran basé Motif, le système de gestion d environnement «CDE» ou «Common Desktop Environment», les utilitaires habituels du monde Unix, les outils de gestion des systèmes, y compris la gestion de la performance et la gestion à distance du serveur. Bull Escala 2 racks AIX PL1650R contenant 5 nœuds et 1 console HMC chacun. Cluster numéro 1 à deux nœuds, chaque nœud contient : 4 CPUs de type POWER 5, cadencés à 1,65 GHz. 9 Gb RAM DDR1 actif. 1 carte «Dual Gigabit Ethernet» interne 2 carte Gigabit Ethernet interne 2 cartes «Fiber Chanel» 2 disques internes (pour CPU Drawer) de 72Gb RPM Cluster numéro 2 à deux nœuds, chaque nœud contient : 1 CPUs de type POWER 5, cadencés à 1,65 GHz. 2 Gb RAM DDR1 actif. 2 carte «Dual Gigabit Ethernet» interne 2 cartes «Fiber Chanel» 2 disques internes (pour CPU Drawer) de 73,4 Gb RPM Objet: Présentation générale du contexte ICT Page 43 de 194

44 ABB.01 : Réseau et Infrastructure Cluster numéro 3 à deux nœuds, chaque nœud contient : 1 CPUs de type POWER 5, cadencés à 1,65 GHz. 2 Gb RAM DDR1 actif. 2 cartes «Dual Gigabit Ethernet» interne 2 cartes «Fiber Chanel» 2 disques internes (pour CPU Drawer) de 73,4 Gb RPM Cluster numéro 4 à deux nœuds, chaque nœud contient : 1 CPUs de type POWER 5, cadencés à 1,65 GHz. 2 Gb RAM DDR1 actif. 2 cartes «Dual Gigabit Ethernet» interne 2 cartes «Fiber Chanel» 2 disques internes (pour CPU Drawer) de 73,4 Gb RPM Cluster numéro 5 à deux nœuds, chaque nœud contient : 1 CPUs de type POWER 5, cadencés à 1,65 GHz. 2 Gb RAM DDR1 actif. 2 carte «Dual Gigabit Ethernet» interne 2 cartes «Fiber Chanel» 2 disques internes (pour CPU Drawer) de 73,4 Gb RPM : Il existe un clustering HACMP de type «One side takeover with cascading resources» System Model: IBM, Système d exploitation : AIX 5.3 Liens vers les documents de détails des systèmes Linux Services Principaux Offre du support d infrastructure de plates-formes Unix Objet: Présentation générale du contexte ICT Page 44 de 194

45 ABB.01 : Réseau et Infrastructure Standards pertinents Implémentation actuelle Compatibilité par Rapport aux Standards : Par système d exploitation Unix, l on entend un système opérationnel complet, ce qui inclut: le système d exploitation, le système graphique X11 avec un gestionnaire d écran basé Motif, le système de gestion d environnement «CDE» ou «Common Desktop Environment», les utilitaires habituels du monde Unix, les outils de gestion des systèmes, y compris la gestion de la performance et la gestion à distance du serveur. Serveurs Linux virtualisés: -- ROADSHOW ICT: - 2Go RAM - 52Go HDD - 2x Quad core AMD Opteron 2.7Ghz, 64 bits - 1x Ethernet Gigabit - Distribution: CentOS NCTSGW1 & NCTSGW2: - 1Go RAM - 30Go HDD - 1x Quad core AMD Opteron 2.7Ghz, 64 bits - 2x Ethernet Gigabit - Cluster entre les deux serveurs - Distribution: CentOS 5.5 Serveurs Linux physiques: -- ALTAMIRA (FM'UP): - 4Go RAM - 200Go HDD - 4x Xeon 3.6Ghz, 64 bits - 2x Ethernet Gigabit - Distribution: Suse CRICKET: - 2Go RAM - 160Go HDD - 2x Xeon 1.8Ghz, 32 bits OS - 2x Ethernet 100 Mbits - Distribution: Gentoo GEMINI: - 2Go RAM - 120Go HDD - 1x Xeon 1.8Ghz, 32 bits OS - 2x Ethernet 100 Mbits - Distribution: Debian 3.0 Objet: Présentation générale du contexte ICT Page 45 de 194

46 ABB.01 : Réseau et Infrastructure Evolution souhaitée La stratégie en matière de plates-formes Unix entend poursuivre la consolidation et la virtualisation sur les nouvelles plates-formes Fujitsu-Siemens ATLAS Solaris. Ces plates-formes servent de base au support du cadre de développement utilisé par le SPF Finances. Les contrats de support initiaux étaient conclus pour cinq ans. En 2010, une nouvelle adjudication a permis de renouveler l infrastructure. Le renouvellement des contrats et la modernisation de la plate-forme Unix seront fréquents et devront s'accompagner de la prudence nécessaire Serveurs de Backup et Storage ABB Concept général Les administrations du SPF Finances doivent stocker un nombre croissant de données. C est dans ce contexte, dans le but d effectuer des économies d échelle et dans le souci d amélioration des services, que le SPF Finances a décidé de fournir aux administrations qui le souhaitent, un service centralisé de stockage de leurs données. La fiabilité du stockage est assurée par la redondance des disques, par la prise de sauvegardes régulières suivant des procédures prédéfinies. «Atlas Storage» fournit les systèmes physiques de stockage et d archivage standardisés utilisables par l ensemble des applications et des systèmes du département. Les services de stockage et de sauvegarde des données sont utilisés par d autres systèmes qui peuvent se connecter au SAN : Les mainframes IBM et Siemens, Bull. Des serveurs utilisant un système d exploitation de la famille UNIX (le système Linux y compris). Des serveurs utilisant un système d exploitation de la famille Windows (obligatoirement les versions Windows 2000 et suivantes, optionnellement Windows NT4). Serveurs VMWARE ESX (virtualisation) Le DRS (Disaster Recovery Site) permet la continuation de l exploitation des systèmes critiques en cas de désastre (incendie, destruction, ) dans l un des sites. Outre la duplication de tous les équipements dans les deux sites, il y a maintien de copies synchronisées des données critiques sur les deux sites de telle sorte qu en cas de problème sur un site, l exploitation puisse continuer le plus rapidement possible dans l autre. Objet: Présentation générale du contexte ICT Page 46 de 194

47 ABB.01 : Réseau et Infrastructure Figure 7: Schéma de l architecture Atlas Ce schéma ne représente que le SAN. Les serveurs et mainframes du haut sont donc encore reliés aux clients via un LAN. L'architecture ci-dessus est dédoublée en deux salles informatiques, premier pas vers une bonne 'disaster recovery'. Pour le stockage en ligne, nous disposons d un Symmetrix et d un Clariion. De part et d autre, un système se trouve dans la salle informatique CR2 de Schaerbeek et le deuxième dans la salle CR5 d Anderlecht. Le stockage hors ligne est confié à un CentricStor avec un StorageTek, également dédoublés sur les deux sites. La connectivité SAN passe par 4 directors du type de Brocade, configurés en 2 fabrics. Les deux salles informatiques sont reliées entre elles par DWDM. On trouve 4 ISL (Inter Switch Links) par fabric entre les deux salles. La connexion DWDM s appuie sur 4 switches Brocade du type On dénombre aussi 8 switches par fabric pour les blade servers. Le SPF Finances fait usage d'une topologie 'switched fabric'. Celle-ci repose sur un réseau de commutateurs (switches) chargé de relier tous les hôtes à l'équipement de stockage. Grand avantage du procédé : une liaison entre deux nœuds du réseau dispose toujours de toute la bande passante. En conséquence, le fait d'ajouter des appareils dans le réseau augmente l'efficacité du commutateur et ne ralentit pas les liaisons. Objet: Présentation générale du contexte ICT Page 47 de 194

48 ABB.01 : Réseau et Infrastructure Figure 8: Switched Fabric Après la topologie, venons-en au protocole. Au SPF Finances, tous les hôtes sont reliés aux systèmes Symmetrix via le SAN et le protocole Fibre Channel. En dépit de son nom, ce protocole est exploitable en paire torsadée comme en fibre optique. Au SPF Finances, cependant, toutes les liaisons sont en fibre optique. Le schéma de la figure 7 représente l ensemble de la configuration Atlas Storage pour un site. La même configuration se retrouve sur le site de production et sur le site DR du stockage en ligne Pour le stockage en ligne, nous disposons sur chaque site d une array Symmetrix, de deux arrays Clariion et d une gateway Celerra NAS. Les arrays Symmetrix DMX se chargent du tier supérieur (High Performance) dans Atlas Storage. Les disques de ces arrays sont tous du type FC 10k t/m. Les données critiques sont répliquées et synchronisées entre les deux sites, soit via SRDF, soit par host based mirroring. Les arrays Symmetrix disposent de liaisons 2 Gbps avec le SAN. Les arrays Symmetrix ne sont utilisées que par les mainframes et les systèmes Unix (Solaris, AIX). Un échelon plus bas, on trouve les arrays Clariion. Chaque site possède un CX3-80 et un CX La réplication des données critiques n'intervient qu'entre arrays du même type et de façon synchronisée, soit par MirrorView/S, soit en host based mirroring. Le CX4-960 se charge de plusieurs niveaux grâce à différents types de disques. En ordre décroissant de performance, nous distinguons les disques 15k t/m FC, les disques 10k t/m FC et les disques SATAII. Le CX3-80 ne comporte que des disques d un même type (FC 10k t/m). Les liaisons avec le SAN passent par des lignes 4 Gbps. Outre le SAN, le NAS (CIFS, NFS, FTP ) accède également au stockage central. Cette fonctionnalité s appuie sur une gateway Celerra NS-G8 : un NS-G8 composé de quatre datamovers sur chaque site. Le stockage est assuré par des disques de l array CX La réplication des données entre les deux sites est asynchrone du stockage hors ligne Pour le stockage hors ligne, nous disposons sur chaque site de deux discothèques Data Domain, d un CentricStor VTL et d une bandothèque StorageTek SL3000. En ce qui concerne CentricStor, Objet: Présentation générale du contexte ICT Page 48 de 194

49 ABB.01 : Réseau et Infrastructure bien que l'équipement physique soit identique sur les deux sites, les deux entités physiques ne forment qu'un ensemble logique englobant les deux sites. La liaison qui interconnecte le matériel CentricStor des deux sites est une ligne DWDM dédiée et redondante. Le logiciel de sauvegarde est Legato Networker (version 7.5). En guise de bandothèque virtuelle (disk library), les mainframes utilisent le CentricStor et les systèmes ouverts les bibliothèques Data Domain. Les données de sauvegarde sont conservées sur disque pendant un mois. Au-delà, elles sont archivées sur bande. Dans l environnement Networker, outre les back-ups en LAN, on utilise aussi quelques storage nodes (back-up en SAN) et serveurs VCB (back-up VMWare ESX). Pour Celerra NS-G8 NAS, le protocole utilisé est NDMP. Parallèlement aux modules Networker spécifiquement destinés aux discothèques, bandothèques, storage nodes, NDMP et clients, les modules suivants sont aussi utilisés : Networker Module for DB2 (Unix), Netwoker Module for Lotus (Unix+Windows), Networker module for Microsoft SQL et Networker Module for Oracle (Unix+Windows). En ce qui concerne les logiciels et les licences dans l'environnement Networker, on trouve encore un mix de licences FTS et EMC. À terme, on devrait évoluer vers les seules licences EMC Archivage avec Compliance Pour l archivage des contenus fixes, on trouve sur chaque site une array Centera (cluster). Au sein de l environnement Atlas Storage, ces clusters mettent en place une solution de Content Addressed Storage. Les clusters sont du type Government Edition et se composent de nœuds Gen4. Leurs principales caractéristiques : single instance storage, écriture avec rétention, évolutivité et facilité de gestion. Entre les clusters des deux sites, une réplication bidirectionnelle porte sur les clusters complets. Les clusters Centera ne sont pas reliés au SAN. Toute la communication passe par le LAN. La lecture et l'écriture des données de et vers le Centera passent par FileNet du SAN Fabric La connectivité SAN fait appel à deux fabrics s étendant sur les deux sites. Sur chaque site, on trouve deux directors Brocade (un pour chaque fabric). Chaque director est relié à un switch Entre ces switches, une liaison DWDM (3 ISL, Inter Switch Link) interconnecte les deux sites. Sur le site de production, chaque fabric comporte par ailleurs un switch 4100 pour la connectivité des hôtes de la salle informatique 1. Enfin, on trouve dans chaque fabric 8 switches (4 par site) destinés aux blade servers. Tous nos ports SAN autorisent des débits jusqu'à 4 Gbps Global Management En guise de plate-forme de gestion globale, on utilise EMC Ionix (ex-emc Control Center). Parallèlement, la gestion journalière fait aussi un usage intensif des outils de management livrés avec chaque type d appareil Principales caractéristiques : récapitulatif Services Principaux Stockage centralisé des données Intégration en disaster recovery Backup Services Objet: Présentation générale du contexte ICT Page 49 de 194

50 ABB.01 : Réseau et Infrastructure Standards pertinents Implémentation actuelle -hardware- Implémentation logicielle actuelle (version) Liens vers les documents de détails Le protocole utilisé Fibre Channel est un standard industriel qui utilise des fibres optiques. Notre configuration autorise des débits de 2Gbps et 4 Gbps. RAID 0-10 NFS CIFS NDMP Brocade Directors en 4100 switches EMC SYMMETRIX DMX EMC Clariion CX3-80 en CX4-960 EMC Celerra NS-G8 EMC Data Domain D880 StorageTek SL3000 FSC CentricStor EMC Centera Gen4 Government Edition Symmetrix : Solutions Enabler V Microcode Clariion CX3-80 : Flare Clariion CX4-960 : Flare Clariion Packages : SnapView, NavisphereAnalyzer, AccessLogix, NavisphereManager, MirrorView/S, VirtualProvisioning Centera : Celerra : Switches Brocade : FOS v6.2.2b Networker : 7.5 SP3 EMC Ionix: 6.1 «Information Lifecycle Management : analyse et optimisation de l environnement de stockage». «Diagnostic et analyse des performances de l environnement de stockage Atlas» Evolution souhaitée Depuis 2003, on vise la mise en place d'une plate-forme centrale de traitement et de stockage, avec garantie de haute disponibilité et de performance. Cette plate-forme a vu le jour dans le cadre d'atlas. La plate-forme ATLAS comporte toutes les fonctions nécessaires (par exemple 'remote mirroring' des données, 'load balancing') pour permettre une restauration après accident tout en garantissant un maximum de disponibilité des applications. La plate-forme est régulièrement renouvelée (par exemple en 2008) suite à Objet: Présentation générale du contexte ICT Page 50 de 194

51 ABB.01 : Réseau et Infrastructure l'évolution technologique, à l'accroissement des besoins en capacité et aux nouvelles conceptions en matière d'infrastructure ou d'architecture des applications Serveurs Wintel ABB du matériel Parallèlement à la plate-forme centrale à base SPARC64, il existe une plate-forme alternative, basée sur une architecture x86 : 32 ou 64 bits. Tous les serveurs de l architecture Wintel sont de type Blade. Classe Type de Blade serveur Processeur RAM Disques A HP Proliant BL465c G1 2 x Amd Opteron GB 2*72 GB B HP Proliant BL685c G1 4 x Amd Opteron GB 2*72 GB C HP Proliant BL465c G1 2 x Amd Opteron GB 2*72 GB C HP Proliant BL465c G5 2 x Amd Opteron GB 2*72 GB D HP Proliant BL685c G1 4 x Amd Opteron GB 2*72 GB Au besoin, les serveurs peuvent être reliés au SAN corporate Evolution actuelle Le service ICT-Operations a fait l acquisition d une nouvelle configuration de serveurs. Le tableau ci-dessous reprend en résumé le détail de cette nouvelle plateforme C-Class Blades. Classe Type de Blade serveur Processeur RAM Disques A HP Proliant BL465c G7 2 x Amd Opteron GB 2*72 GB B HP Proliant BL685c G7 4 x Amd Opteron GB 2*72 GB Plate-forme de virtualisation VMWARE ESX 4.1 est le standard pour la virtualisation. Pour les applications, la solution Disaster Recovery repose sur la réplication de données proposée par le service storage ( point 2.3.3). Les machines virtuelles peuvent alors être redémarées sur le site de disaster recovery via un script. Objet: Présentation générale du contexte ICT Page 51 de 194

52 ABB.01 : Réseau et Infrastructure Linked Mode Primary Site vcenter #1 vcenter #2 Disaster Recovery Site VM VM VM SAN replication VM VM VM VM VM VM ESXs VM Storage VM Storage VM VM VM HA/DRS Cluster Primary Site HA/DRS Cluster Failover for Primary Site VM VM VM VM VM VM VM Storage HA/DRS Cluster Failover for Disaster Recovery Site SAN replication VM Storage ESXs HA/DRS Cluster Disaster Recovery Site VM VM VM VM VM VM Management vlan Production vlans Objet: Présentation générale du contexte ICT Page 52 de 194

53 ABB.01 : Réseau et Infrastructure Un maximum des serveurs Windows existant est consolidé dans cet environnement. Tout les nouveaux projets faisant appel à des serveurs windows fonctionnerons sur cette plateforme Système d exploitation Services Principaux Virtualisatieservers, MS SQL database servers, domain controllers, applicatieservers, DHCP-servers Standards pertinents Implémentation actuelle Liens vers les documents de détails Windows 2003 SP2 ; Windows 2008 R Evolution souhaitée Desktops et laptops ABB Chaque année, le SPF Finances achète de nouveaux desktops et laptops. Ces machines sont utilisées pendant 5 ans puis remplacées. La configuration des machines change chaque année, suivant l évolution technologique. Lors du déploiement de nouveaux logiciels, il ne suffit donc pas de tenir compte de la dernière configuration : il faut connaître la configuration d il y a cinq ans. En principe, chaque fonctionnaire est titulaire d un PC qui le suit dans ses mouvements. Une exception est faite par exemple pour un fonctionnaire doté d un équipement matériel non standard correspondant à une tâche déterminée (p.ex. un scanner). Si le fonctionnaire déménage dans un service qui n a pas besoin de ce matériel, le PC reste en place. Pour une gestion efficace de tous les PC, ceux-ci doivent obligatoirement être reliés au réseau et inscrits dans le domaine FINBEL. Les laptops affichent à peu près la même configuration que les desktops. Services Principaux Standards pertinents Objet: Présentation générale du contexte ICT Page 53 de 194

54 ABB.01 : Réseau et Infrastructure Implémentation actuelle Liens vers les documents de détails Configuration 2008 : Mémoire : 2 Go Disque dur : 80 Go Carte graphique avec 64 Mo de mémoire Ecran plat 19 Processeur dual core Evolution souhaitée Le remplacement régulier des postes fait partie de la stratégie ICT du SPF Finances. Grâce au projet MyPC, les PC sont devenus des produits courants. A l avenir, on verra si l achat des PC peut être assuré via un contrat-cadre central, commun aux divers SPF. Il importe de noter que les PC ne sont plus équipés d un lecteur de disquette My PC Tous les desktops ont un cycle de vie de cinq ans. Chaque année, on remplace environ un cinquième du parc par des machines neuves et performantes. L installation est conduite par l équipe My Pc, qui se charge aussi des réinstallations, upgrades, dépannages et reprises de desktops. Pour les laptops, toutes ces opérations sont confiées à l équipe MVA de ICT Client URIS URIS signifie Universal Rescue and Installation System. URIS est développé et entretenu par l équipe MVA de ICT Client. La fonction de base est celle d un système d installation standard pour tous les PC du SPF Finances. Il s agit d un système évolutif, dynamique et modulaire, accessible dans les trois langues nationales, sous le système d exploitation Windows XP SP3. Actuellement (avril 2009), les logiciels supportés sont les suivants: UltraVNC Acrobat Reader Foxit Reader Flash Player ActiveX Shockwave Player (Needs intervention) Barcode Fonts Java SE RE 1.4.2_09 Java SE RE 6u13 MSXML McAfee VirusScan Enterprise Microsoft Office OpenOffice.org Personal Communications 7-Zip Objet: Présentation générale du contexte ICT Page 54 de 194

55 ABB.01 : Réseau et Infrastructure Firefox PDF Creator IrfanView ACL VTDWin ThunderBird Logics Video ICDOWIN Belgian Identity Card Roxio Sonic DigitalMedia Plus Novell Client LIMS Microsoft Office InfoPath 2007 Aïdoo NCTS Vodafone Mobile Connect Cisco IP Communicator AgtInsDriver IE7 Support Siebel ActiveX Chacun des logiciels ci-dessus est optionnel. Le mode Rescue permet de réparer n importe quel système (réinstallation complète et installation d un programme séparé). URIS tient l inventaire de tout le parc Distribution des logiciels via SMS L installation des logiciels à (plus) grande échelle est centralisée via Microsoft Systems Management Server La limite de ce mode de distribution se situe actuellement à 1Go. La demande doit passer par le Service Desk du SPF Finances Gestion des patches Dans le domaine Finbel.intra, la gestion des patches (correctifs) passe par Microsoft Systems Management Server Chaque mois, les patches critiques de Win2k, Windows XP et Microsoft Office sont testés et diffusés. En standard, les mises à jour automatiques de Windows sont inactivées. Bientôt, la fonction WSUS sera utilisée dans SCCM 2007 pour patcher les stations de travail et les serveurs Back-ups centralisés ICT Client met à la disposition de tous les desktops du domaine Finbel.intra un système de backup centralisé. Toutes les données (hormis les.mp3,.mpeg, etc.) des dossiers C:\data, D:\data et...\documents and Settings\ user name \Mes documents sont quotidiennement sauvegardés via Connected. En cas de perte de données, on peut faire appel à ce programme pour les récupérer Pervasive (PDA, etc.) ABB Les PDA ne font pas partie de l équipement standard du SPF Finances. Objet: Présentation générale du contexte ICT Page 55 de 194

56 ABB.01 : Réseau et Infrastructure Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Non applicable. Objet: Présentation générale du contexte ICT Page 56 de 194

57 ABB.01 : Réseau et Infrastructure 2.4 Printing Services ABB.01-4 Les Printing Services au sein du SPF Finances reprennent les diverses fonctionnalités d impression à disposition. Les Printing Services comprennent : Service d impression gros volumes (Dorothée & Saintex), Services d impression centralisés (Colombus), Office printing Autres services d impression, Services d Impression gros volumes «FinPress» ABB Le SPF Finances dispose d une «automated document factory» (ADF) centralisée. Comportant les outils de composition, de design, de tri et de regroupement à la fois dans un environnement de test et de production. Ce système permet d utiliser des outils de pré-processsing et de postprocessing et d imprimer de gros volumes de documents. Ce service d impression gros volume est utilisé à la fois par les services «Dorothée» et «Saintex» permettant soit le traitement de jobs de type batch ou provenant d applications métier on-line. Le layout d impression est créé à partir d un outil design de la suite OpenPrint. Les données imprimées proviennent des systèmes d information (Mainframe et serveurs) et sont envoyées dans un outil de composition qui fait la synthèse entre les données et le layout. Le document composé est envoyé dans un outil de tri-regroupement optimisant le regroupement d envois pour les mêmes personnes et le tri postal. Les documents sont alors imprimés et mis sous enveloppe grâce à l outil de façonnage qui assure que les documents sont dans la bonne enveloppe. Pour assurer une qualité maximale, le processus complet est évalué par un workflow d impression. Toutes les identifications de documents rejetés par le système de finition sont renvoyées au système d impression pour une éventuelle réimpression. Ce système permet également l envoi par des documents alors que celui-ci n est pas encore imprimé. La figure suivante présente un schéma logique de la solution en place et ses divers composants. Objet: Présentation générale du contexte ICT Page 57 de 194

58 ABB.01 : Réseau et Infrastructure Figure 9: Volume Printing Solution La mise en place de ce service a permis de remplir divers objectifs stratégiques du SPF Finances tels que : La centralisation des systèmes de design, d impression, de stockage, d accès aux données. L assurance de disposer de documents de qualité et cela de manière électronique pour l ensemble des citoyens et fonctionnaires. Ces choix ont engendré les contraintes et exigences technique suivantes : Une impression au format A4. Une séparation des données et du layout. Une solution dont la partie fonctionnelle est indépendante du matériel. Il est à noter que tout appel aux services d impression FinPress assure une intégration directe avec la solution d archivage et la mise à disposition des documents imprimés au niveau de Filenet. La figure suivante montre de manière schématique l environnement d impression gros volume dans le contexte général du SPF Finances. Objet: Présentation générale du contexte ICT Page 58 de 194

59 ABB.01 : Réseau et Infrastructure Bull Siemens IBM Input level ASCII, EBCDIC, XML Workflow d'impression et de contrôle Composition on-line Designing Layout Composition dynamique Workflow composition SAN Output Métadata Format AFP Tri - regroupement - éclatement Spooling GSM Internet Internet Serveur d'archivage Intranet Imprimante de production Terminal Terminal Terminal Terminal Façonnage Terminal Figure 10: Vue générale FinPress L architecture de «Saintex» est présentée dans la Figure 11: Architecture de Saintex ci-dessous. Les seuls composants ajoutés à la plate-forme de Dorothée sont ceux présents dans la zone bleu ciel entre les pointillés. La solution «Saintex» est basée sur le logiciel Open Print Projector de la société SEFAS Innovation. Ce produit fait partie intégrante de la suite Open Print dont certains composants sont également présents dans le projet Dorothée. Open Print Projector est le frontal Web de la suite Open Print permettant de produire des documents unitaires depuis un poste utilisateur disposant uniquement d un navigateur Web. Les Services d impression s appuient sur plusieurs composants mis en œuvre dans l architecture Dorothée : L outil de maquettage des documents est Open Print Middle Office pour réaliser les modèles de document. Un même modèle de document peut être utilisé à la fois en interactif («Saintex») et en batch («Dorothée»). Les modèles de document batch actuels pourront être utilisés dans Projector : sans modification si la génération du document ne comporte aucune saisie utilisateur ou bien, un «wizard» ajouté au modèle de document actuel servant à définir les zones à remplir par l utilisateur en interactif et par l application métier en batch, Objet: Présentation générale du contexte ICT Page 59 de 194

60 ABB.01 : Réseau et Infrastructure Le référentiel central de document d Open Print pour stocker et gérer les versions des modèles de documents, Le moteur de composition Open Print Backstage pour composer les documents, L ordonnanceur éditique Process Manager pour produire les documents en batch sur la plate-forme de production Dorothée, L outil de suivi de la production Mail Tracking pour connaître le statut des plis produits par Dorothée, Remarque : Projector permet l impression locale à travers les imprimantes utilisables par le navigateur Web mais ne se substitue pas à un logiciel d Output Management type Columbus OM. Projector peut cependant être interfacé avec un logiciel d Output Management. Middle Office Dorothée Production Interactive Projector Backstage Dorothée Concepteur Utilisateur métier Serveur de design URL HTTP Visualiser / Valider document URL HTTP Serveur de production interactive SI Métier Documents Post Prod. Serveur Web Serveur d Application Serveur Web Serveur d Application DATA Extraction données Environnement de production BackStage (Moteur Open Print) Modèle 1 Référentiel Mise en production des modèles (env. recette / production) Modèle 1-a Modèle 1-B Le Centre d éditique Modèle 2 Figure 11: Architecture de Saintex Les diverses lignes de production actuelles sont décrites dans la figure ci-dessous où les divers acronymes sont : I.C. : imprimante en continu I.F. : imprimante feuille à feuille MSP : machine de mise sous pli Sép. Job : découpe en feuille et séparateur de job Objet: Présentation générale du contexte ICT Page 60 de 194

61 ABB.01 : Réseau et Infrastructure Papier blanc Pinless Recto/verso I.C. I.C. MSP Papier blanc Papier blanc Papier virement Pinless I.C. MSP Feuille à feuille I.F. MSP Papier blanc ou couleur I.C. I.C. Sép. job Recto ou recto verso I.C. Sép. job Pinless Online offline ou I.C. I.C. Sép. job I.C. Sép. job Les services d impression gros volume sont équipés des dispositifs nécessaires à assurer : que tous les plis ont bien été expédiés (intégralité) que tous les plis ont été correctement composés (intégrité) Un système de suivi et planification permet de suivre toutes les phases de production, depuis l entrée des lots jusqu à la sortie des produits finis. Il fournit une information temps réel sur la production de chaque lot ainsi que des documents d aide à la production et de statistiques. Il est complété d un outil de gestion prévisionnelle de production, particulièrement adapté en cas d utilisation d un centre de production par plusieurs départements ayant des exigences particulières de planification. Un système de tracking suit également toutes les phases de production, depuis l entrée des lots jusqu à la sortie des produits finis ; il enregistre, dans une base de suivi, les informations de production au niveau document et pli ; il permet de garantir la production globale, et de produire des états de gestion complexes. Le centre de production éditique est unique et le SPF Finances n envisage pas de faire appel à un back up externe ; des mesures de sécurité doivent ainsi être mises en œuvre pour chaque fonction du centre de production éditique. Objet: Présentation générale du contexte ICT Page 61 de 194

62 ABB.01 : Réseau et Infrastructure Services Principaux Standards pertinents Implémentation actuelle Maquettage externe à l ADF Production informatique automatique Impression haut débit privilégiant le continu Façonnages divers (mise sous pli haut débit avec pilotage par fichier, sortie par destinataire, Internet, fax, etc.) Contrôle de la production et recyclage des rejets Gestion de la production Maquettage XML WebServices, UDDI Les imprimantes sont: PI115 & DP425 Les logiciels suivants sont en usage: Suite OpenPrint de SEFAS L accès aux services d impression se fait soit : au travers de la livraison de fichiers plats ou au format XML pour les applications requérant des impressions batch. grâce à l appel à des Web Services pour les applications métier requérant des impressions on-line. Liens vers les documents de détails «Saintexlight» «Dorothéelight» Pour explications générales de Dorothée Pour la documentation pour les analystes et développeurs Pour la documentation des WebServices Le site Intranet de Dorothée avec toute la documentation: Evolution souhaitée Dans le cadre des services d impression «Gros volume», la stratégie du SPF Finances s articule autour des axes suivants : Une fusion des solutions Offset et Digitales de manière à offrir la meilleure solution pour les divers jobs soumis Objet: Présentation générale du contexte ICT Page 62 de 194

63 ABB.01 : Réseau et Infrastructure L utilisation de l impression couleur dans l avenir La mise à disposition d une solution «Printing on Demand» pour les utilisateurs internes (SPF Finances) et externes (La population) dans le cadre de l impression de livrets et autre documents officiels La mutualisation de l infrastructure avec d autres SPFs Printing Services Colombus ABB Columbus OM est un package modulaire, conçu en vue d une souplesse maximale, et facile à mettre en œuvre. Il contient des fonctions de pointe, particulièrement puissantes, pour imprimer, expédier et gérer les gros volumes de documents. Columbus OM supporte divers formats de documents entrants et sortants, notamment AFP, HTML, PCL, PostScript, PDF et ASCII. Columbus indexe automatiquement les documents pour permettre de les retrouver rapidement. Un seul serveur peut stocker des millions de documents en sécurité. En standard, le logiciel Columbus OM dispose de nombreuses fonctions : - Priority management - Deferred processing - Job dependencies - Event handling Il est possible de suivre le statut d un document individuel (p.ex. imprimé, en attente ) à partir d un point de contrôle unique. À cette fin, on se connecte via Columbus OM Explorer ou via l interface web Columbus OM. Chaque document peut être aiguillé (manuellement ou automatiquement) vers une destination alternative (autre imprimante, autre destinataire si ). L utilisateur peut examiner le document original dans son navigateur web ou à l'aide d'om Explorer. L accès à l interface web ou à OM Explorer est protégé par un nom d'utilisateur et un mot de passe. Pour sécuriser la consultation ou le téléchargement des documents, les imprimantes (physiques ou virtuelles) sont réparties en différents groupes d impression, chaque groupe possédant ses droits d accès spécifiques. De même, il est possible de constituer des groupes d utilisateurs, avec leurs autorisations propres. Au SPF Finances, Columbus sert surtout à gérer les documents provenant du mainframe Bull GCOS8. Les rapports issus du mainframe sont envoyés au print spooler de Columbus via DPF8 (Distributed Printing Facility) ou via ftp. Sur la base d une zone d identification se trouvant au début du document, le listing converti en PDF est envoyé par au destinataire ou à un groupe de destinataires. Objet: Présentation générale du contexte ICT Page 63 de 194

64 ABB.01 : Réseau et Infrastructure Columbus est également utilisé pour imprimer les documents en provenance de Dorothée sur les imprimantes en réseau local du complexe North Galaxy. De cette façon, les impressions urgentes parviennent plus rapidement à leur destination finale. Dans un souci de continuité, le serveur Columbus a été transformé en cluster de serveurs. Le cluster autorise encore l accès aux applications et aux données en cas de panne ou d arrêt programmé du serveur Columbus primaire. Dans un tel cas, les applications et les données restent accessibles via l autre cluster node. Objet: Présentation générale du contexte ICT Page 64 de 194

65 2' ABB.01 : Réseau et Infrastructure FOD Fin standard LPR output GCOS8 1' IE web browser* Columbus viewer plugin Columbus Explorer Client application Network printer FTP Apache + PHP 1 LPR MAIL 2a DPF8 2b Monitor Service apq omfetch.cgi 2b' ColumbusD Print queues Winfilter (apq) TODOS 4NT Deliver.exe LPR Cluster Spooler (all printers PAUSED!) 3 5 Winsurv Monitored by receiving END W2k3 cluster (FNGSVBRIO01 & DRSSVADUA01) Objet: Présentation générale du contexte ICT Page 65 de 194

66 ABB.01 : Réseau et Infrastructure Columbus OM Explorer Columbus OM Webservice Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Gestion et archivage des documents issus du mainframe GCOS8. Conversion en PDF et envoi des documents par . Réacheminement vers différentes imprimantes réseau. AFP, HTML, PCL, PostScript, PDF et ASCII Microsoft Windows Server 2003 Enterprise Edition en mode cluster Logiciel serveur Columbus H.A. Columbus OM Explorer Columbus OM Web services Deliver ASCII to PDF convertor 4NT Batch file programming tool OPS/GCOS8/Forms/AllItems.aspx?RootFolder=%2fsites%2fict- ops%2fgcos8%2fcolumbus&folderctid=&view={d3aa9412-cf2b d9-47a095d25f27} Evolution souhaitée Le système d exploitation sera migré à Windows Server 2008 Enterprise Edition. Objet: Présentation générale du contexte ICT Page 66 de 194

67 ABB.01 : Réseau et Infrastructure On devra installer une nouvelle version du logiciel serveur Columbus, compatible avec Windows Outre le traitement des documents provenant du mainframe Bull GCOS8 et de Dorothée, il faudra aussi prendre en charge les documents émanant d'autres plates-formes, par exemple le mainframe IBM du Cadastre. Objet: Présentation générale du contexte ICT Page 67 de 194

68 ABB.01 : Réseau et Infrastructure 2.5 Operating System Services ABB.01-5 Les Services Operating Systems sont les services qui supportent les ABBs des Computing Nodes Services. Ces ABBs supportent et gèrent les ressources système locales comme les CPUs ou autres composants. Ces services comprennent : work management, environment state support, event handling, local system logon, user context management (incluant la sécurité), services systèmes multimedia, locking service, accounting, tracing, journaling, program management, et environnement runtime /POSIX. Les standards comprennent : system calls, libraries (ISO/IEC ), threads (IEEE POSIX c), and commands and utilities (ISO/IEC ) Server operating systems ABB Cette partie décrit les systèmes d exploitation utilisés sur les serveurs. Services Principaux Système opératoire Standards pertinents Implémentation actuelle Liens vers les documents de détails z/vm 6.1, z/vse 4.2 G-COS 8 SR 6.1 BS2000 V4.0 Sun Solaris 9 & 10 AIX 5.2L, 5.3 L HP-UX 11i base Linux (Mandrake, Centos) Windows 2000, 2003 SP2, 2008 R2 En guise d alternative, l on peut également utiliser sur la plate-forme x86 des systèmes d exploitation de type Linux ou Solaris Evolution souhaitée La virtualisation matérielle et la couche logicielle «Hypervisor» sont considérées comme faisant partie de l infrastructure standard. Objet: Présentation générale du contexte ICT Page 68 de 194

69 ABB.01 : Réseau et Infrastructure Desktop operating system ABB Cette partie décrit les systèmes d exploitation qui équipent les systèmes directement exploités par les utilisateurs finaux, à savoir ABB Les utilisateurs n ont pas de droits admin sur leurs propres PCs. Les logiciels sont installés via le service-desk ; la gestion des PC fait appel à Microsoft Active Directory et SMS. Le SPF Finances a son propre service-desk pour l assistance en 1 ère ligne aux utilisateurs. Services Principaux Système opératoire Standards pertinents Implémentation actuelle Windows 2000 Windows XP L interface utilisateur doit être trilingue : néerlandais, français et allemand. Le SPF FIN crée en interne une image standard, qui sert à l installation ou à la réinstallation des PC. Mais selon le profil de l utilisateur, certains éléments peuvent ne pas être activés. Il existe une fonction de back-up centrale pour les documents des utilisateurs. Liens vers les documents de détails Evolution souhaitée Depuis 2007, le SPF Finances utilise Windows XP comme système d exploitation de ses desktops. Les anciennes machines tournent sous Windows Au stade actuel, il n est pas prévu de passer à Windows Vista. Objet: Présentation générale du contexte ICT Page 69 de 194

70 ABB.01 : Réseau et Infrastructure 2.6 Facility services Généralités Le service d encadrement ICT dispose de deux centres informatiques : Un site primaire dans le complexe North Galaxy : 4 salles informatiques et 2 locaux données pour les équipements réseau. Un site Disaster Recovery à Anderlecht Les deux paragraphes qui suivent abordent les caractéristiques techniques des deux centres informatiques. On y trouve les informations que les soumissionnaires des marchés publics doivent inclure dans leurs offres techniques de la salle informatique North Galaxy Répartition des locaux du complexe Le complexe informatique comprend plusieurs salles informatiques (CI) ainsi que des locaux spéciaux pour les équipements centraux de transmission de données (Data). On y trouve aussi un local console, à un autre étage. Les consoles actuelles pour la gestion des applications sont installées dans ce local Aménagement des salles Les machines sont installées en rangées de 90 cm de large, avec un dégagement de 1,5 m entre les rangées. Cet espace intermédiaire est limité à 90 cm dans les locaux 'data' (équipements réseau). Remarques : Les machines de plus de 97 cm de profondeur peuvent être installées dans les SI (avec une limite absolue de 1,2 m) pour autant que leur présence ne gêne pas le libre passage dans la salle. Ces dépassements ne sont pas autorisés dans les locaux data. Le système d alimentation électrique Canalis est monté au plafond. Le courant arrive aux machines par le haut. Les câbles de transmission de données se trouvent dans le faux plancher. Le long des rangées de machines, chaque dalle est munie d une ouverture avec un couvercle de 30 x 30 cm. Cette ouverture sert à : - raccordement des câbles de transmission de données ; - alimentation en air de refroidissement Charge au sol Charge minimale garantie partout : 4,7 kn/m² = 479 kg/m² Charges minimales garanties kn/m² kn/m² kg/m² kg/m² Objet: Présentation générale du contexte ICT Page 70 de 194

71 ABB.01 : Réseau et Infrastructure Centre Bord Centre Bord Salles informatiques (SI) 5,0 4, Locaux télécoms (Data) 4,7 4, Allées 4,7 479 Charge ponctuelle : maximum 500 kg Hauteur, largeur Salles informatiques (SI) : Hauteur nominale de la salle : 2,40 m (NB: Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Porte d accès marchandises : - hauteur : 2,40 m - largeur : 2 battants (1,66 m) Locaux télécoms (Data) : Hauteur nominale de la salle : 2,40 m (NB : Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Porte d accès marchandises : - hauteur utile : 2 m - largeur : 1 battant (1,03 m) Couloirs Hauteur nominale : 2,40 m (NB : Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Largeur minimale garantie : 1,40 m Particularité : Couloir local télécoms Data 1 : Hauteur nominale : 2,40 m (NB : Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Hauteur porte d accès : 2,10 m Largeur minimale garantie : 1,20 m Portes d accès au site Avec ascenseur principal - hauteur : 2,30 m Objet: Présentation générale du contexte ICT Page 71 de 194

72 ABB.01 : Réseau et Infrastructure - largeur : 2 battants (1,66 m) Avec ascenseur secondaire - hauteur : 2 m - largeur : 2 battants (1,66 m) Accès au bâtiment Les équipements et les marchandises arrivent dans le bâtiment via le point de déchargement de la place Solvay Ascenseur Ascenseur principal Charge utile : kg Longueur : 2,85 m Largeur porte : 1,30 m Hauteur porte : 2,40 m Ascenseur secondaire Charge utile : kg Longueur : 2,85 m Largeur : 1,30 m Hauteur : 2,09 m Alimentation électrique Alimentation électrique via Canalis : capacité standard : 40A (triphasé) (la consommation d une machine peut donc dépasser 40A monophasé ou triphasé). Les barres omnibus sont fixées au plafond. Les câbles d alimentation descendent donc du plafond. Il n y a pas de raccordements électriques dans le faux plancher. On compte deux barres omnibus par rangée. Les barres omnibus sont alimentées via deux tableaux électriques distincts. Afin d éviter le branchement intempestif d un équipement inadapté, les raccordements 16A sont munis de fiches Wieland. Les câbles électriques sont alimentés par des UPS. À leur tour, les UPS sont alimentés par : - le réseau public, via un transformateur d alimentation général réservé au centre informatique ; - un générateur diesel. En cas de panne de l alimentation générale, les ordinateurs sont alimentés par les UPS. Objet: Présentation générale du contexte ICT Page 72 de 194

73 ABB.01 : Réseau et Infrastructure Câbles réseau Les salles informatiques sont équipées d un câblage structuré. On trouve dans chaque salle informatique : - un réseau de câbles du type UTP catégorie 6 ; - réseau de câbles en fibre optique (multimode OM3/50 µm) ; - des racks télécoms. Le long des machines, on trouve des tableaux de commutation à raison d un tableau par dalle. Chaque dalle correspond à : - 6 connexions RJ45-2 connexions optiques SC duplex (= 4 fils) La salle informatique est reliée à deux locaux data par un réseau en fibre optique (multimode 50/125 µm OM3). Chaque salle est reliée à chacun des deux locaux data. Les locaux data sont par ailleurs interconnectés. Un réseau de câbles UTP cat. 6 relie les salles informatiques avec les deux locaux data. Chaque salle est reliée à chacun des deux locaux data. Les locaux data sont par ailleurs interconnectés. Attention : les câbles peuvent dépasser 100 m en longueur. Tous les câbles se trouvent dans des gaines. Tous les câbles supplémentaires doivent également prendre place dans les gaines Climatisation La climatisation produit un courant d air froid dans le faux plancher. L air froid est dirigé vers les machines via des ouvertures de 30 x 30 cm avec couvercle dans les dalles sous les machines. L utilisation de dalles perforées peut être envisagée mais n est pas standard. L air chaud est aspiré par des ouvertures au sommet des murs environnants. Il n existe pas de système de refroidissement par eau dans les salles informatiques et ce procédé n est pas souhaité Renseignements à fournir par le soumissionnaire Dans son offre, le soumissionnaire doit inclure les données qui montrent que l équipement proposé est compatible avec l environnement des salles informatiques. Il doit en particulier produire les deux notes de calcul suivantes : Calcul du poids Pour le calcul du poids, une unité installée correspond, selon le cas, à : - une machine occupant un seul emplacement ; - un ensemble de machines empilées ; - une armoire abritant plusieurs équipements. Pour chaque unité installée, le soumissionnaire doit spécifier les dimensions (largeur, profondeur, hauteur), le poids des éléments séparés et le poids total de l'unité. Objet: Présentation générale du contexte ICT Page 73 de 194

74 ABB.01 : Réseau et Infrastructure Calcul de l intensité électrique Pour chaque raccordement électrique au système Canalis, le soumissionnaire doit spécifier la consommation de courant par appareil et la consommation totale. La consommation électrique est calculée en fonctionnement et au démarrage. Câbles réseau nécessaires Dans son offre, le soumissionnaire doit spécifier les raccordements dont son système fera usage. Raccordements aux câbles réseau existants : - Nombre et nature des raccordements au réseau des Finances : - Nombre et nature des raccordements directs entre machines éloignées situées dans la même salle ; - Nombre et nature des raccordements directs entre machines éloignées situées dans des salles différentes ; Raccordements spéciaux (seulement si prévus dans le cahier des charges) - Nombre et nature des raccordements directs entre machines éloignées situées dans la même salle ; - Nombre et nature des raccordements directs entre machines éloignées situées dans des salles différentes ; Aménagements spéciaux Dans son offre, le soumissionnaire doit expliquer les aménagements spéciaux qu il juge nécessaires au fonctionnement de son équipement. Ces aménagements peuvent concerner l emplacement où l équipement, selon le cas. Seuls les aménagements prévus dans cette annexe dans le cahier des charges sont autorisés. Les aménagements pour l équipement sont entièrement à la charge du soumissionnaire Aménagements possibles Le SPF Finances se chargera lui-même des aménagements suivants : - Placement de boîtes de dérivation pour la connexion aux barres omnibus ; Cela comprend : - la boîte de dérivation - automates de puissance - câble d alimentation - boîte Wieland - Remplacement de certaines dalles dans le faux plancher par des dalles perforées. - Raccordements au câblage structuré. Raccordement des circuits de câbles au réseau du SPF Finances. Le raccordement des machines aux panneaux de commutation dans le faux plancher doit être exécuté par l adjudicataire avec la collaboration du SPF Finances. L adjudicataire se charge de fournir les câbles de raccordement de la bonne longueur. Objet: Présentation générale du contexte ICT Page 74 de 194

75 ABB.01 : Réseau et Infrastructure - Mobilier Le SPF Finances fournit les tables et les chaises nécessaires à l installation de l équipement. Dans son offre, le soumissionnaire doit prévoir le mobilier spécifique qu il juge nécessaire à l installation de son équipement. Le SPF Finances se réserve cependant le droit de faire installer l équipement dans un meuble spécial fourni par lui. Le soumissionnaire doit annoncer ces aménagements suffisamment à l'avance. Dans des conditions normales, le préavis est de deux mois. Aucun autre aménagement du site ne sera autorisé s il n est pas expressément prévu dans le cahier des charges techniques du site informatique DRS Anderlecht Organisation du site Le site DRS se compose d une grande salle informatique abritant les systèmes de plusieurs clients. Tous les systèmes du SPF Finances occupent la même salle Organisation des salles Les machines sont installées en rangées de 90 cm de large, avec un dégagement de 1,5 m entre les rangées. Remarque : Des machines de plus de 90 cm de profondeur peuvent être installées dans la salle, avec une limite absolue de 1,2 m, pourvu que leur installation ne gêne pas le libre passage dans la salle Limites de la salle Charge au sol : 350 kg de charge ponctuelle Hauteur de la salle : 3 m Hauteur des voies d accès : 2,10 m Câblage réseau kg/m² de charge répartie La salle informatique est équipée du câblage structuré suivant : - un réseau de câbles du type UTP catégorie 6 - un réseau en fibre optique (multimode OM3/50 µm) avec connecteurs LC - armoires de regroupement des câbles. Tous les câbles sont placés dans les gaines. Tous les nouveaux câbles doivent être posés en tenant compte des gaines existantes. Objet: Présentation générale du contexte ICT Page 75 de 194

76 ABB.02 : Security Services 3. ABB.02 : Security Services Objet: Présentation générale du contexte ICT Page 76 de 194

77 ABB.02 : Security Services 3.1 Firewall Services ABB.02-1 Les Services Firewall permettent l isolation physique d un réseau par rapport à un autre et le contrôle des accès et des communications entre ces réseaux. Les Services Firewall permettent de définir des règles qui spécifient ce qui est et n est pas autorisé à passer d un côté à l autre du firewall. Le SPF Finances attache une grande importance à la confidentialité, à l intégrité et à la disponibilité de ses données, 24 heures sur 24 et 7 jours sur 7. Dans ce cadre les Services de Firewall sont existants. La solution est évolutive et permet une augmentation significative du trafic, du nombre d interfaces, de la vitesse de connexion des interfaces, et du nombre d utilisateurs internes et externes. L infrastructure de sécurité en place est redondante. Elle est constituée de deux ensembles d équipements complets. Chaque ensemble est en mesure d assurer seul l ensemble des fonctions en cas de défaillance de l autre ensemble. Figure 12 : Vue Générale du réseau Les deux ensembles sont installés dans deux sites distincts, l un dans le bâtiment du North Galaxy et l autre dans le site de backup du SPF Finances (South Galaxy) Objet: Présentation générale du contexte ICT Page 77 de 194

78 ABB.02 : Security Services Les services Firewall offrent les fonctionnalités suivantes : Double couche redondante Définition et protection des DMZ Intégrité du trafic Web Limitation des sites web indésirables Remote Access pour les agents Détection des intrusions et prévention Fonctionnalités Host-based security Intégrité du trafic mail Fonction Anti-Spam Système DNS sécurisé Out-of-Band Management Double couche redondante ABB L architecture de la solution est basée sur une configuration de firewalls en deux couches. La fonctionnalité «Double couche redondante de firewall» comprend la partie centrale de l accès internet sécurisé, c est-à-dire les routeurs, firewalls et switches (layer 4/7). Tout accès en provenance de l Internet ou de FedMan et en provenance du réseau interne est à tolérance de panne, redondant et en mode «actif-passif», avec statefull fail-over (firewall pool). Les deux pools émanent de constructeurs différents pour des raisons de sécurité. Services Principaux Critères de choix Implémentation actuelle Access control Authentification des utilisateurs sur base du système d identification actif au sein du SPF Finances «Network address translation» : NAT dynamique et NAT statique. «Statefull inspection» et «Connection control» Auditing/logging/Status/ Version control du SW installé «Content security» : l objectif de ces firewalls sera d analyser intelligemment le trafic IP en tenant à jour les informations d état de la communication et des applications Capacité de faire face à l évolution du trafic. Possibilité d ajouter des interfaces Possibilité de faire face à une demande croissante : augmentation de la RAM, de l espace disque, etc. Indépendance par rapport à la plate-forme HW supportant le FW Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations. Objet: Présentation générale du contexte ICT Page 78 de 194

79 ABB.02 : Security Services Liens vers les documents de détails Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Définition et protection des DMZ ABB La fonctionnalité «Définition et protection des DMZ» englobe tous les composants nécessaires pour pouvoir définir les différentes DMZ en sécurité. Les DMZ suivantes sont définies : Web server DMZ Application server DMZ (nombre à définir : minimum 4) Mail relay DMZ Web relay DMZ Remote Access DMZ DMZ FTP L architecture des réseaux des DMZ est redondante. Une panne d un équipement n empêche pas un système applicatif de trouver un point de connexion fonctionnel dans son local. Services Principaux Critères de Choix Implémentation actuelle Liens vers les documents de détails Définition et protection de DMZ Support de la sécurité des DMZ Capacité de faire face à l évolution du trafic. Possibilité d ajouter des interfaces Possibilité de faire face à une demande croissante : augmentation de la RAM, de l espace disque, etc. Indépendance par rapport à la plate-forme HW supportant le FW Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du directeur ICT. Objet: Présentation générale du contexte ICT Page 79 de 194

80 ABB.02 : Security Services Intégrité du trafic Web ABB La fonctionnalité «Intégrité trafic web» doit veiller à ce que tout le trafic web en provenance de l Internet, entrant dans le réseau interne du SPF Finances, soit exempt de tous types de «malware» (virus, spyware, worms, trojan, etc.). Les mécanismes d inspection suivants sont possibles : Proxy pour trafic web sortant Reverse Proxy pour trafic web entrant Antivirus sur trafic http/https/ftp entrant Anti-Spyware sur trafic http/https/ftp entrant Protection contre Phishing, malicious codeware, key loggers, back doors and P2P, TCP tunneling, Web , Instant messaging Services Principaux Détection des malwares Standards pertinents Implémentation actuelle Liens vers les documents de détails Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Limitation des sites web indésirables ABB Le Service prévoit la possibilité d empêcher les utilisateurs internes du SPF Finances de visiter les sites internet dits indésirables. Il s agit principalement ici des sites pornographiques et sites de jeux, téléchargement de musique, de films Le filtrage URL est équipé d une base de données de 80 catégories de sites web qui nous aide à automatiser le blocage des sites inappropriés. La possibilité de limiter l utilisation de l accès à l Internet par les utilisateurs internes existe. Elle repose sur une durée mensuelle maximale et sur des grilles horaires autorisées Le système est en mesure de : travailler sur base de «white list» et de «black list». travailler sur base de quota réguler le trafic sur base de la largeur de bande utilisée bloquer par type de fichier. Objet: Présentation générale du contexte ICT Page 80 de 194

81 ABB.02 : Security Services Définir des polices de contrôle par protocole. L interdiction de visiter les sites indésirables peut être inactivée par le gestionnaire DMZ du système de sécurité du SPF Finances, pour certaines personnes individuellement, via LDAP. Les tentatives d accès aux sites indésirables sont conservées pendant une période minimale de un an. Services Principaux Contrôle du trafic web et support des white et black lists Standards pertinents Critères de choix Implémentation actuelle Liens vers les documents de détails Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Remote Access pour les agents ABB Les utilisateurs externes (remote users) peuvent accéder de façon sécurisée aux réseaux internes du SPF Finances, via l infrastructure de sécurité. Ces utilisateurs sont classés comme suit : Agents du SPF Finances et Administrateurs : SSL-VPN (https) Partners : VPN-SSL Il existe un mécanisme pour garantir que les fichiers échangés en SSL-VPN sont exempts de virus. Les utilisateurs de ces différentes fonctionnalités sont identifiés et leur activité contrôlée. L utilisateur peut être identifié par une procédure d identification forte : nom d utilisateur + mot de passe + moyen d identification complémentaire assurant un haut niveau de sécurité. Les utilisateurs actuels se répartissent en trois grandes catégories : personne physique de nationalité belge personne physique non belge organisations En ce qui concerne les personnes physiques de nationalité belge, la carte d identité électronique (ou un token) peut être utilisée comme moyen d identification complémentaire. Un couplage avec le système d identification interne du SPF Finances (Identity Management) pourra être mis en place. L infrastructure VPN offre à l utilisateur, dûment identifié, le moyen d accéder à certaines ressources du réseau interne. Chaque utilisateur n a accès qu aux ressources pour lesquelles il Objet: Présentation générale du contexte ICT Page 81 de 194

82 ABB.02 : Security Services bénéficie d une autorisation d accès. L infrastructure VPN a la capacité de gérer et de contrôler ces autorisations d accès, sur la base d un profil d utilisateur. Services Principaux Accès VPN Standards pertinents Critères de choix Implémentation actuelle Liens vers les documents de détails L accès doit passer par : une terminaison VPN SSL propre pour les partenaires/fournisseurs/clients moyens et grands. VPN SSL Le desktop des utilisateurs est protégé contre les attaques externes lorsqu ils sont connectés au réseau du SPF Finances. La validité des certificats est vérifiée par rapport à une CRL ou via OCSP (idéalement OCSP avec CRL comme fallback). Si le certificat ne peut être validé, le système établit une session SSL qui est redirigée vers une page Web qui affiche le message d erreur approprié. Les CRL sont mis à jour régulièrement (idéalement 3 heures). En cas d utilisation d OCSP pour la validation, l URL OCSP doit être dérivé de l information figurant dans le certificat. Une partie de l information retrouvée dans le certificat sera nécessaire pour l accès à une application web. Le front-end SSL doit être capable de communiquer l information du certificat vers le serveur web. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Détection des intrusions et prévention ABB La fonctionnalité «Intrusion Detection and Prevention» est un des moyens qui sont utilisés pour protéger le réseau interne du SPF Finances contre les attaques visant le réseau, les systèmes et les applications. Ces outils surveillent en permanence le réseau et les hôtes pour déceler toute activité ou tout logiciel suspects, le comparer à la corporate policy, le signaler et si possible le bloquer et/ou le supprimer. La fonctionnalité répond aux exigences techniques suivantes : Ces outils proactifs utilisent des probes disposées «in line» dans l infrastructure de sécurité. Objet: Présentation générale du contexte ICT Page 82 de 194

83 ABB.02 : Security Services La possibilité de mettre en place des fonctionnalités de type «honeypot» pour anticiper et arrêter les attaques potentielles contre les serveurs web. Des configurations fail-open peuvent être mises en place (tout peut passer en cas de défaillance de serveur/appliance) et fail-close (tout est arrêté en cas de défaillance de serveur/appliance). Services Principaux Détection des intrusions et prévention Critères de choix Implémentation actuelle Liens vers les documents de détails Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Fonctionnalités Host-based security ABB En plus de la détection antivirus qui est basée sur des signatures sur les serveurs critiques, il existe une solution de détection et de prévention des intrusions sur les serveurs «host» d une manière pro-active. La solution contrôle l accès à la configuration des systèmes et au système de fichiers, l utilisation de hardware démontable et tout comportement anormal par des utilisateurs et programmes non autorisés. La fonctionnalité répond aux exigences techniques suivantes : Les policies de détection et prévention sont configurables indépendamment l une de l autre. Les mécanismes de détection et de prévention sont configurables de façon modulaire. Tous les services (IP) sont inspectés : le système utilise un mécanisme de type «selflearning» pour détecter les services utilisés dans l architecture du SPF Finances. Services Principaux Sécurisation des hosts Critères de choix Implémentation actuelle Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Objet: Présentation générale du contexte ICT Page 83 de 194

84 ABB.02 : Security Services Liens vers les documents de détails Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT Intégrité du trafic mail ABB La couche «Intégrité trafic mail» veille à ce que tout le trafic mail entrant et sortant, en provenance de l internet et arrivant dans le réseau du SPF Finances, soit exempt de tous types de «malware» (virus,spyware, worms, trojan, etc.). Tous les messages SMTP et leurs pièces jointes transitant sont contrôlés par un antivirus SMTP permettant : l analyse de toutes les pièces jointes susceptibles de véhiculer un virus : (.exe,.com,.sys,.drv,.dll) et documents Word, Excel, Powerpoint, l analyse des archives zip, rar, le rejet éventuel de types de pièces jointes la mise en quarantaine des mails contenant des fichiers attachés interdits. Services Principaux Intégrité des mails Critères de choix Implémentation actuelle Liens vers les documents de détails Les détails ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du Directeur ICT Fonction Anti-Spam ABB Il existe un service de solution d antispam au niveau de la plate-forme firewall qui évite que des mails indésirables ne soient adressés aux fonctionnaires du SPF Finances. Services Principaux Filtrage des spams Objet: Présentation générale du contexte ICT Page 84 de 194

85 ABB.02 : Security Services Critères de choix Implémentation actuelle Liens vers les documents de détails Antispam : au moins 90% des spams doivent être arrêtés (marqués comme spam) et le nombre de «false positive» doit être inférieur à 1/ Les mails détectés comme «possible spam» peuvent être présentés à l utilisateur qui décidera s il veut ou non recevoir ce mail. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurit ICT du SPF- Finances ou du Directeur ICT Système DNS sécurisé ABB La fonctionnalité «Système DNS sécurisé» comprend tous les composants nécessaires pour mettre en place une infrastructure Domain Name Server performante et sûre. Services Principaux Services DNS externe (DMZ) Critères de choix Implémentation actuelle Liens vers les documents de détails Le service DNS externe doit permettre à un utilisateur externe d Internet de localiser, par un nom, les serveurs situés dans la DMZ et destinés à fournir un service au public. Ce service sera couplé au service DNS du Provider, en vue de la distribution des adresses sur Internet. DNS interne. Les fonctionnaires du SPF Finances ont recours à ce service pour localiser, par un nom, les serveurs internes du SPF Finances. Les serveurs internes sont regroupés dans un domaine DNS interne, inconnu d Internet. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du Directeur ICT Out-of-Band Management ABB Pour pouvoir surveiller et gérer les différents systèmes de réseau et de sécurité, un segment séparé «Out of-band management» est en place. Il est relié à tous les composants par une interface dédiée. Tous les systèmes de gestion nécessaires se trouvent sur ce segment. Objet: Présentation générale du contexte ICT Page 85 de 194

86 ABB.02 : Security Services Le ou les réseaux out-of-band network management sont eux aussi protégés par une technologie de firewall à base de statefull inspection. Services Principaux Surveillance et gestion de l infrastructure réseau du firewall Critères de choix Implémentation actuelle Liens vers les documents de détails Out-Of-Band management firewall Out-Of-Band management LAN (switch) Les Out-Of-Band management servers nécessaires Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du Directeur ICT. Objet: Présentation générale du contexte ICT Page 86 de 194

87 ABB.02 : Security Services 3.2 Certification Services ABB.02-2 Les Services de certification en usage au sein du SPF Finances s articulent autour de : Certification supportée par le framework CCFF Cache au niveau du Fedict (e-id) Certification du Framework CCFF Le Framework CCFF a entre autres pour tâche majeure d assurer la sécurité du CCFF par des mécanismes de sécurisation offrant une transparence maximum et des besoins en développements spécifiques au niveau des applications réduits voir inexistants. Services Principaux API mise à disposition pour l accès et l usage des certificats Accès aux mandats (avec caching) du système magma API d'utilisation de l'e-id pour l'authentification et la signature Authentification utilisateurs externes: eid, Token, token citoyen, Token fonctionnaire, User management entreprise, Certificats classe 3 (GlobalSign, Certipost, Isabel) API d'utilisation des fonctionnalités IAM Authentification pour Webservices SOAP Sécurisation des paiements via réseau Isabel Standards pertinents Implémentation actuelle Stratégie SPF Finances Liens vers les documents de détails Evolution souhaitée Objet: Présentation générale du contexte ICT Page 87 de 194

88 ABB.02 : Security Services 3.3 Services d authentification - ABB.02-3 Les services d authentification sont assurés par : Les services LDAP La solution Identity Access Management Service LDAP de IAM Le framework remplit une mission importante : assurer la sécurité du CCFF via des mécanismes de protection qui offrent une transparence maximale tout en limitant, voire en éliminant la nécessité de développements spécifiques en termes d'applications. La solution LDAP est assumée par la solution IAM et mise à jour pour les agents extérieurs opérant au sein du SPF Finances (consultants). Production : authentication access schema CCFF Framework 2005 Users Fedict Range /25 OCSP Server DNS Belnet Smals-mvm Company Citizen Certificate EID DNS (53) t3:// t3:// :8090 webservice HTTP (80) HTTPS (443) Social Security Portal HTTPS wwwsocialsecurity.be Federal Portal HTTPS (8090) D M Z Firewall CCFF web server (Apache) Firewall Validations CCFF (signature,..) Proxy access (8080) Authentication process UserName/Password Users (Internal only) CCFF MinFin UserName/ EID Citizen Company Certificate Password LDAP DB mandate Manager Figure 13: Authentication CCFF Objet: Présentation générale du contexte ICT Page 88 de 194

89 ABB.02 : Security Services Objet: Présentation générale du contexte ICT Page 89 de 194

90 ABB.02 : Security Services 3.4 Authentication Services ABB.02-3 Les Services d Authentification sont assurés par : La solution Identity Access Management (pour les utilisateurs internes) Le Service LDAP de IAM, pour les utilisateurs internes et les applications non CCFF, sous condition Le service d authentification du CCFF pour les utilisateurs externes, en attendant son remplacement par FedIAM graduellement à partir de Solution IAM IAM fournit un ensemble de possibilités pour les applications souhaitant authentifier les fonctionnaires sur base de leur profil d utilisateur. Ces possibilités sont détaillées plus avant à la section Service LDAP de IAM Le Corporate LDAP IAM est alimenté d une part par la base de données du personnel (DBPers) pour les utilisateurs internes et d autre part par la création manuelle d utilisateurs externes (consultants) via l application Identity Manager de IAM. Sous certaines conditions, certaines applications peuvent authentifier des utilisateurs internes en vérifiant leur mot de passe stocké dans le Corporate LDAP IAM. Ce mécanisme est néanmoins réservé aux applications techniquement incapables d utiliser la Solution IAM. Services Principaux Authentification à une application par la vérification que son username/password lui permet de s authentifier au serveur Corporate LDAP IAM. Standards pertinents LDAPS Liens vers les documents de détails Authentification CCFF CCFF propose un service d authentification utilisé pour authentifier les utilisateurs externes. Un certain nombre de mécanismes d authentification sont proposés. Objet: Présentation générale du contexte ICT Page 90 de 194

91 ABB.02 : Security Services Production : authentication access schema CCFF Framework 2005 Users Fedict Range /25 OCSP Server DNS Belnet Smals - mvm Company Social Security Portal HTTPS wwwsocialsecurity.be Citizen Federal Portal HTTPS Certificate EID HTTP (80) HTTPS (443) DNS (53) t3:// webservice t3:// : (8090) Firewall D M Z CCFF web server (Apache) Firewall Validations CCFF (signature,..) Proxy access (8080) Authentication process IAM CCFF MinFin EID Citizen Company Certificate DB mandate Manager Users (Internal only) Objet: Présentation générale du contexte ICT Page 91 de 194

92 ABB.02 : Security Services Figure 14: Authentication CCFF Services Principaux La sécurisation des accès aux services pour les utilisateurs externes founis par CCFF est réalisée par le CCFF même en attendant que le projet FedIAM soit en production. La sécurisation de la session utilisateur. La sécurisation des flux de données. Standards pertinents Implémentation actuelle Sécurisation des accès aux applications. L accès aux applications intégrées au CCFF est protégé par un système d authentification unique (single sign-on) et non-ambigu. Utilisateurs externes. (citoyens) : basée sur Token, certificats PKI ou eid. (Entreprises, permet d'authentifier une personne comme travaillant pour une société): basé sur le user management entreprise. L authentification des utilisateurs externes est entièrement et uniquement gérée au sein du CCFF (en attendant FedIAM). Sécurisation de la session utilisateur. Dès qu il est authentifié, l utilisateur externe a accès aux applications du SPF pour autant qu il dispose des droits nécessaires. Ceci inclus toutes les applications. Lorsqu il quitte une de ces applications, ou après un temps d inactivité, la session est automatiquement rompue et l utilisateur doit à nouveau s authentifier. Sécurisation des flux de données d authentification. Les protocoles utilisés garantissent la confidentialité des données d authentification. Liens vers les documents de détails Wiki CCFF Sharepoint : Evolution souhaitée Le projet FedIAM a objectif de remplacer tous les services d authentifications du CCFF pour les utilisateurs externes. TaxOnWeb Mandataires 2011 sera la première application à bénéficier de ce nouveau service. Objet: Présentation générale du contexte ICT Page 92 de 194

93 ABB.02 : Security Services 3.5 Autorisation Services ABB.02-4 Les services d autorisation permettent la gestion des accès aux diverses applications ou fonctionnalités et reposent sur les divers services de Certification et d Authentification. Au sein du SPF Finances ces services sont : Autorisation Identity and Access Management (IAM) Autorisation CCFF (en attendant FedIAM) Autorisation IAM Les droits d accès aux applications pour les utilisateurs internes est détaillée au point Autorisation CCFF Cette solution «legacy» est basée sur le modèle de sécurité «legacy» du CCFF. Celui-ci stocke des données d autorisation dans le LDAP et ne peut être géré par le business des applications. Il est utilisé par les anciennes applications CCFF qui n ont pas encore migré vers le modèle IAM. Ce mécanisme est encore utilisé pour l autorisation des utilisateurs externes en attendant FedIAM. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Migrer toutes les applications utilisant le modèle «legacy» vers les services offerts par IAM (pour les internes) et FedIAM (pour les externes). Objet: Présentation générale du contexte ICT Page 93 de 194

94 ABB.02 : Security Services 3.6 Virus Protection Services ABB Les «Virus Protection Services» assurent la protection des stations de travail et serveurs du SPF Finances. Services Principaux Critères de choix Implémentation actuelle McAfee Les dernières versions des programmes et définitions de virus sont déployées sur tous les postes de travail via SMS. Liens vers les documents de détails Evolution souhaitée La protection anti-virus repose sur trois piliers Protection anti-virus des postes de travail et des serveurs Protection anti-virus au niveau de l IAS (voir Intégrité du trafic Web et Intégrité du trafic Mail) Protection anti-virus au niveau de la messagerie Objet: Présentation générale du contexte ICT Page 94 de 194

95 ABB.02 : Security Services 3.7 Identity et Access Management Services ABB.02-6 La plate-forme IAM met en place quatre grands blocs de services destinés aux applications du SPF Finances : Authentification / Web SSO Autorisation Provisioning Pour la gestion et l implémentation de ces services, il existe des outils et du matériel didactique qui permettent de procéder avec un maximum d efficacité. Figure 15: SPF Finances - IAM Services Authentification : Objet: Présentation générale du contexte ICT Page 95 de 194

96 ABB.02 : Security Services Services Principaux La plate-forme IAM offre plusieurs services d authentification : Standards pertinents et produits utilisés Authentification par policy agent Authentification par rapport au serveur LDAP Authentification par API Single Sign On Single Sign Out HTTPS, LDAPS Oracle Java System Access Manager 7.1 Oracle Java System Directory Server 6.3 Oracle Java System Access Manager Policy Agents 3.x Oracle Java System Webserver 7.x Solaris 10 Implémentation actuelle Authentification par policy agent (applications web) Le policy agent est un firewall applicatif qu on installe sur un serveur web ou un serveur d applications. Il aiguille toutes les requêtes entrantes vers le gestionnaire d accès, (Access Manager), où l on vérifie si la personne en question est déjà authentifiée. Dans la négative, l intéressé doit s authentifier avant de pouvoir utiliser l application. Le policy agent est disponible pour la plupart des serveurs web actuellement disponibles sur le marché. Authentification LDAP standard Pour les applications qui ne peuvent faire appel au policy agent ou pour les produits commerciaux prêts à l emploi que l on ne peut modifier, il existe aussi une possibilité d authentification via le serveur LDAP corporate IAM,. Cette solution ne sera acceptée que si l intégration à l aide du policy agent n est pas possible. Pour protéger la confidentialité des données d authentification, l utilisation du protocole LDAPS qui encrypte les données d authentification est obligatoire. Authentification par API Il est possible d utiliser des API d authentification IAM pour réaliser Objet: Présentation générale du contexte ICT Page 96 de 194

97 ABB.02 : Security Services programatiquement une authentification avec les services IAM. Un module spécifique aux Finances est disponible pour les applications Java. Liens vers les documents de détails : Single Sign On Dès qu une session IAM a été ouverte, il n est plus nécessaire de se réauthentifier pour accéder à d autres applications utilisant les services IAM. Single Sign Out La déconnexion dans une application utilisant les services IAM entraine la déconnexion de toutes les autres applications utilisant ces mêmes services. Section IAM Public Documents sur Sharepoint Evolution souhaitée Le projet FedIAM a objectif de remplacer tous les services d authentifications du CCFF pour les utilisateurs externes Autorisation : Services Principaux Rule & Role based access control Standards pertinents et produits utilisés Coarse grained access control Fine grained access control Policy Manager Autorisation des webservices Oracle Java System Access Manager 7.1 Oracle Identity Waveset Oracle Java System Directory Server 6.3 Oracle Java System Application Server 9.1 Oracle Java System Access Manager Policy Agents 3.x Oracle Java System Webserver 7.x Solaris 10 Policy Manager Objet: Présentation générale du contexte ICT Page 97 de 194

98 ABB.02 : Security Services Implémentation actuelle La plate-forme IAM pour les utilisateurs internes supporte plusieurs formes de contrôle d accès, gérées par le Policy Manager. Policy Manager est une application écrite sur mesure pour le SPF Finances. Elle se superpose à Access Manager et Identity Manager. Son but est de simplifier la gestion des matrices d accès par les utilisateurs business. Role & Rule Based Access Control (contrôle d accès à base de rôles et règles) Un rôle correspond à une ou plusieurs fonctions exercées au sein du SPF Finances. Un rôle est attribué à un ensemble de personnes qui réalisent les mêmes tâches. Pour pouvoir exercer ce rôle, ces personnes doivent disposer d un certain nombre de permissions, ces dernières sont alors attribuées à ce rôle. Deux types de rôles peuvent être distingués : les rôles liés au travail (business role) et les rôles liés aux applications (application role). Les Business Roles sont définis par les besoins du métier. Tous les agents ayant une certaine fonction réalisent tous les mêmes tâches liées au métier qu ils effectuent. Les Application Roles représentent quant à eux les types d utilisateurs dans une application. Une action est une opération qui doit être effectuée par un utilisateur dans le cadre d une application. Une ressource est un «objet» dont on a besoin pour réaliser une action. Une Business Transaction : c est la combinaison d une action sur une ressource. Une Policy consiste à définir ce qui (Application Role) peut exécuter quoi (Business Transaction) et éventuellement sous quelle condition. Une matrice d accès regroupe l ensemble des policies pour une application. Coarse Grained Access Control (contrôle d accès large) Coarse Grained Access Control signifie que dans Policy Manager, il est possible de gérer les accès au niveau de l URL ou d une partie d URL d une application. Fine Grained Access Control (contrôle d accès fin) Il est également possible de faire appel à une API Java pour le contrôle d accès fin, par exemple au niveau de la transaction business. Dans ce cas, outre les données de l utilisateur, l appel contient aussi les données de la transaction ainsi que d éventuels paramètres spécifiques aux données courantes utilisées dans l application. RBAC-1A la demande des applications, on a développé dans le cadre du projet IAM une application qui permet aux autres de demander au système IAM quels utilisateurs disposent de droits suffisants pour accomplir une action donnée.les applications prêtes à l emploi peuvent utiliser les groupes LDAP ou AD pour l autorisation. Au départ de Identity Manager, ces groupes peuvent être automatiquement constitués dans LDA Autorisation pour les applications prêtes à l emploi Les applications prêtes à l emploi peuvent utiliser les groupes LDAP ou AD pour l autorisation. Au départ de Identity Manager, ces groupes peuvent être automatiquement constitués dans LDAP et Active Directory. Objet: Présentation générale du contexte ICT Page 98 de 194

99 ABB.02 : Security Services L API CCFF encapsule cette API Java et permet aux applications d interroger le service d autorisation de IAM au travers du CCFF. En outre, les applications ne pouvant utiliser l API Java ont la possiblité d appeler un WebService REST d autorisation fourni par IAM, qui propose les mêmes fonctionnalités. Policy Manager Application permettant aux gestionnaires business des application de gérer les matrices d accès de leurs applications. Des processus mis en place par le groupe IAM Business sont implémentés pour permettre la mise en production ordonnée et contrôlée de ces matrices d accès. Autorisation des webservices IAM va fournir une solution pour sécuriser de manière plus complète et plus contrôlée les échanges par appel à web services entre applications internes. Liens vers les documents de détails IAM technical and business integration documents La gestion des droits d accès avec Identity and Access Management Evolution souhaitée Le contrôle d accès fin est considéré comme la méthode privilégiée pour le contrôle d accès aux applications sur mesure du SPF Finances. Une migration des applications utilisant encore l autorisation «legacy» (voir 3.4.2) est en cours. En outre, le projet FedIAM permettra aux applications de bénéficier du Policy Manager pour gérer les droits d accès des utilisateurs externes Identity Management Services Principaux Gestion centralisée & mise à disposition des données utilisateurs Standards pertinents Self-service pour la réinitialisation des mots de passe Synchronisation avec les différents bases de données utilisateurs. Gestion des profils d utilisateurs Gestion des droits d accès exceptionnels Oracle Java System Directory Server 6.3 Oracle Identity Waveset Oracle Java System Application Server 9.1 Solaris 10 Objet: Présentation générale du contexte ICT Page 99 de 194

100 ABB.02 : Security Services Implémentation actuelle Mise à disposition (provisioning) des données utilisateurs Deux fois par jour, Identity Manager est synchronisé à partir de la base de données du personnel. Tous les changements intervenus dans la base de données sont automatiquement répercutés dans les systèmes cibles connectés à Identity Manager. Actuellement, le système IAM alimente en standard le LDAP corporate IAM, le système de messagerie, Active Directory,... Le provisioning est assuré à l aide de connectors. Il existe actuellement une longue série de connectors destinés à différents systèmes cibles. Si un nouveau provisioning s impose, il convient de s adresser au team IAM. La meilleure solution sera étudiée cas par cas. Toutes les données d identity des utilisateurs internes sont provisionnées dans le LDAP corporate IAM. Ces données sont à disposition des applications qui en font la demande. L API CCFF permet d interroger ce LDAP via un ensemble de méthodes spécifiques. Le logiciel utilisé pour gérer les Identités et les synchronisations est Oracle Identity Waveset. Self-service pour la réinitialisation des mots de passe Les utilisateurs ont la possibilité de réinitialiser eux-mêmes leur mot de passe à l aide d un système de question et réponse challenge-response. Le système de changement de mot de passe de Active Directory se synchronise également avec Identity Manager. Gestion des profils d utilisateurs Il est possible d attribuer un ou plusieurs profils supplémentaires à un utilisateur interne. Ce profil peut contenir des données d identité différentes du profil principal. Ceci n est nécessaire que si les données des différents profils sont incompatibles entre elles selon le principe de la «segregation of duties». Gestion des droits d accès exceptionnels Il a été prévu de pouvoir attribuer des accès exceptionnels aux utilisateurs internes. Il est possible d ajouter un ou plusieurs offices aux utilisateurs via un processus défini par le groupe IAM Business. Il est également possible d ajouter des rôles applicatifs spécifiques aux utilisateur dans le cas où il n est pas possible d attribuer le rôle automatiquement. Liens vers les documents de détails Evolution souhaitée Il est prévu de remplacer la source de données DBPers par le système ehr. Identity Manager sera capable d intergair avec ce nouveau système. Objet: Présentation générale du contexte ICT Page 100 de 194

101 ABB.02 : Security Services Audit centralisé IAM Services Principaux Service d audit regroupant l information utile aux auditeurs du SPF. Des informations sont envoyées par toutes les applications du SPF intégrées à IAM qui se charge de les stocker dans une base de données centrale dans un format adéquat. Outil de recherche dans les données d audit. IAM fournit également une application web qui permet aux auditeurs d effectuer des recherches d une façon simple. Standards pertinents Oracle Java System Access Manager 7.1 Oracle Java System Application Server 9.1 Audit Tool Solaris 10 Implémentation actuelle Liens vers les documents de détails IAM propose aux applications d écrire leurs données d audit directement dans la base de données d Audit. Pour les applications CCFF, une interface CCFF encapsule cette fonctionnalité pour un développement facilité. Ces logs doivent permettre de trouver qui a fait quelle action sur quel dossier à quel moment. A cet effet, un champ de 1024 caractères est disponible par action. Les directives à appliquer concrètement sont exposées dans le document de l interface IAM logging. Les informations à journaliser doivent être discutées avec le groupe Privacy. IAM Logging interface document Evolution souhaitée Le SPF Finances vise une intégration maximale des fonctionnalités de logging et d auditing. A cet effet, un certain nombre d applications doivent encore être intégrées à la solution d audit centralisé. Ce n est que quand toutes les applications seront intégrées que ce module sera pleinement efficace. Objet: Présentation générale du contexte ICT Page 101 de 194

102 ABB.03 : Communication & Integration Services 4. ABB.03 : Communication & Integration Services Objet: Présentation générale du contexte ICT Page 102 de 194

103 ABB.03 : Communication & Integration Services 4.1 Directory Services ABB.03-1 Les «Directory Services» fournissent un dépôt central d informations au niveau des ressources dans le réseau. Les exemples de ressources incluent les serveurs de fichiers, disques, applications, utilisateurs et stockages, etc. Les caractéristiques ou attributs associés à une ressource peuvent inclure nom, adresse réseau et date de création. Les Directory Services reposent sur l existence d une convention de nomenclature pour les ressources réseau. L utilisation d un modèle de nomenclature cohérent permet l accès à une ressource par son nom, même si une caractéristique telle que sa localisation a été modifiée. Les Directory Services comprennent : DNS WINS Active Directory Domain Name System (DNS) ABB Le Domain Name System (ou DNS, système de noms de domaine) est un système permettant d établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d un nom de domaine. Le SPF Finances utilise actuellement quatre serveurs DNS internes sous le contrôle de Windows 2003 SP2. Ces quatre serveurs sont les quatre contrôleurs de domaine de l Active Directory.. La réplication est de type multi-maître car les zones sont stockées dans l Active Directory. L enregistrement automatique des hôtes (p.ex. PC) est autorisé, donc le DDNS (dynamic DNS) est en activité. Pour des raisons de sécurité, seulement les secure updates sont autorisées. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails DNS Naming Service, Domain Name Service, 4 MS Windows DNS Servers & DC with IP addresses fixes in a multi-master replication model. HP document» DHCP-Wins-DNS-AD detailed design IP services Evolution souhaitée Passage vers version Windows 2008 R2 en Objet: Présentation générale du contexte ICT Page 103 de 194

104 ABB.03 : Communication & Integration Services Windows Internet Naming Services (Wins) ABB WINS (Windows Internet Naming Service) est un serveur de noms et services pour les ordinateurs utilisant NetBIOS. C est un dépôt central d informations (base de données), auquel un client voulant contacter un ordinateur sur le réseau peut envoyer des requêtes pour trouver l adresse IP à joindre, plutôt que d envoyer une requête globale (à tout le monde - broadcast - ) pour demander l adresse à contacter. Le système réduit alors le trafic global sur le réseau Abrités sur un cluster MS Windows 2008 à 2 nœuds actif/passif géographiquement splitté sur 2 sites, ces systèmes supportent la résolution générale des noms NetBIOS : Support de Legacy et des clients MS de bas niveau comme NT4/Win98/95/MSDos. Support de l intégration du nouvel environnement AD avec les domaines hérités NT4 et W2K actuellement en place au SPF Finances. Support des applications héritées qui utilisent encore l API NetBIOS. Services Principaux Standards pertinents Implémentation actuelle Liens vers les documents de détails WINS NetBios Comme décrit dans Global IP Services Design, l infrastructure WINS tournera sur 2 systèmes centraux, FNGSVADIPS01 ( ) et FNGSVADIPS02 ( ). Ces systèmes supporteront la résolution générale des noms NetBIOS : Support de Legacy et des clients MS de bas niveau comme NT4/Win98/95/MSDos Support de l intégration du nouvel environnement AD avec les domaines hérités NT4 et W2K actuellement en place au SPF Finances. Support des applications héritées qui utilisent encore l API NetBIOS. 2 serveurs MS Windows WINS : et configuration push-pull MS Windows 2008 WINS en cluster actif/passsif géographiquement splitté sur les 2 sites. HP document» DHCP-Wins-DNS-AD detailed design IP services Evolution souhaitée Suite à l implémentation du DDNS et à la mise à jour du parc des pc clients sous Windows 2000 et XP, WINS n est plus réellement nécessaire. Nous souhaiterions donc le supprimer à moyen terme. Objet: Présentation générale du contexte ICT Page 104 de 194

105 ABB.03 : Communication & Integration Services Active Directory Services ABB Le SPF Finances dispose d une architecture Active Directory simple : Un Active Directory single forest, single domain, basé sur le système d exploitation Windows 2003 SP2. Le domaine/forêt s appelle finbel.intra. Quatre (4) contrôleurs de domaine sont répartis sur deux sites distants. La réplication interne est égale à la réplication intersites. Elle est de maximum 3 minutes. L organisation des organizational units (OU) est relativement standard. Tous les utilisateurs font partie d une OU provisionnée par IAM (Identity and Access Management). Services Principaux Logon services Standards pertinents File/print services Application services Implémentation actuelle Liens vers les documents de détails 4 contrôleurs de domaine sur 2 sites distants Document HP : DHCP-WINS-DNS-AD Detailed design Active Directory Architecture (24 mars 2004) Evolution souhaitée Une intégration plus poussée à Identity and Access Management est prévue pour la gestion des groupes. Passage vers version Windows 2008 R2 en Objet: Présentation générale du contexte ICT Page 105 de 194

106 ABB.03 : Communication & Integration Services 4.2 Messaging & Events Services ABB.03-2 Les Messaging & Events Services permettent à plusieurs applications du SPF Fin d échanger des données en passant par une API standardisée. Les composants de messagerie fournissent les services suivant: Une abstraction sur le serveur d applications. Une recherche de topic et queue. Un mécanisme de renvoi automatique des messages Un mécanisme d abonnement aux messages (publish-subscribe) Java Message Services ABB Cette couche d abstraction permet d éviter des particularités (au niveau des contextes) de JBoss et Weblogic. Toutes les nouvelles applications qui envoient des messages DOIVENT passer par cette couche. Le module d abstraction sur le serveur d applications est disponible au sein du framework. Services Principaux Standards pertinents les objets de transfert (Message et les classes qui en héritent, Topic, Queue, Destination) les interfaces CCFFSender et CCFFReceiver. une factory MessagingFactory pour obtenir les instances des interfaces JMS Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Le SPF Finances étendra l utilisation de ces services Recherche de topic et queue ABB Ce composant permet l obtention après vérification des paramètres d une destination. On fournit un nom de destination (topic ou queue) et le nom de la «connection factory» pour obtenir la destination. Si besoin est, les paramètres d authentification peuvent également être fournis. Si les Objet: Présentation générale du contexte ICT Page 106 de 194

107 ABB.03 : Communication & Integration Services paramètres sont incorrects ou que la destination n est pas disponible, une JMSException est jetée. De cette manière, on peut vérifier avant de démarrer des actions «business» que le mécanisme de messagerie est OK. Le module de recherche de destination est accessible aux applications client. Services Principaux Standards pertinents JMS Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Le SPF Finances étendra l utilisation de ces services Renvoi Automatique ABB Ce service permet de renvoyer automatiquement les messages en cas d échec lors du premier essai. Le module de ré-essai est accessible aux applications client. Services Principaux Les API pour les applications client Une application Web qui ne sert qu à lancer le mécanisme de renvoi Un module dans l application d administration Standards pertinents JMS Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. Objet: Présentation générale du contexte ICT Page 107 de 194

108 ABB.03 : Communication & Integration Services Publish-Subscribe Message Services ABB Ce composant consiste en une surcouche sur le publish & subscribe JMS. Elle apporte quelques simplifications et permet d y introduire une logique propre au SPF Finances. Services Principaux Standards pertinents JMS Implémentation actuelle Liens vers les documents de détails Evolution souhaitée Le SPF Finances étendra l utilisation de ces services Webservices La technologie des Webservices permet des communications B-to-B indépendamment des plateformes et des langages utilisés. Le standard utilisé au SPF-Finances est l'api JAX-WS implémentée et embarquée par Weblogic 10.3.x. L'utilisation d'un Webservice JAX-WS se base sur le modèle suivant: Objet: Présentation générale du contexte ICT Page 108 de 194

109 ABB.03 : Communication & Integration Services Un webservice implémenté sur le runtime JAX-WS est exposé par un contrat au format WSDL et accessible via une URL. Le contrat permet aux consommateurs du webservice de créer un client en adéquation avec les fonctionnalités offertes par le webservice ainsi qu'avec les encodages utilisés. Les échanges avec les Webservices se font au format SOAP au-dessus du protocole HTTP Inter-opérabilité Les messages SOAP sont créés en adéquation avec le Basic Profile 1.1 fourni par l'organisation WS-I. Le WS-I Basic Profile est un ensemble de «best practices» définissant l'encodage des différents types de données échangés via SOAP. Ce point est très important pour assurer l'interopérabilité de notre standard actuel avec les autres implémentations dans le cas d'une éventuelle migration ou d'un appel vers un webservice extérieur au SPF-Finances n'utilisant pas notre standard Standards Standards pertinents Implémentation actuelle Liens JAX-WS 2.1 WSDL 1.1 SOAP 1.1 WS-I Basic Profile 1.1 Weblogic (embarque JAX-WS RI 2.1.4) Evolution souhaitée Le SPF-Finances fera évoluer ses standards Webservice en fonction des besoins et de l'évolution des serveurs d'applications utilisés. Objet: Présentation générale du contexte ICT Page 109 de 194

110 ABB.03 : Communication & Integration Services 4.3 Services ABB Services supporte la messagerie électronique one-to-one (messagerie entre 2 personnes), one-to-many (émission de masse, publication de nouvelles ou messagerie vers des groupes), ou la messagerie d une application vers une personne et vice versa (utilisé par exemple dans l intégration de workflow avec les systèmes de messagerie). Les Services comprennent: un mail client ; un mail server ; potentiellement un mail gateway Mail Client ABB Le composant client mail accepte les mails depuis et envoie les mails vers le composant mail serveur. Les messages sont généralement encodés en texte ASCII mais peuvent répondre au même besoin pour des fichiers de type non-texte, tels que des images et graphiques, des fichiers son, des documents divers qui sont envoyés en tant qu attachement en mode binaire. Services Principaux Recevoir les mails entrants depuis le serveur mail Fournir une interface utilisateur permettant de parcourir, classer et faire suivre les s reçus. Fournir une interface utilisateur pour la création de nouveaux s et spécifier les noms et adresses des récepteurs Envoyer les mails en partance vers le serveur mail pour routage vers les récepteurs. Standards pertinents Implémentation actuelle VIM, MAPI, CMC API, SMTP, X.400 MHS, POP3, SNADS, Internet Message Access Protocol, and MIME. Les clients en place au sein du SPF Finances sont: L interface Web standard offerte par le produit en place L utilisation de client POP3 ou IMAP4 Liens vers les documents de détails Evolution souhaitée La plate-forme électronique mail sera renouvelée en Les clients supportant la plate-forme to-be devront avant tout être faciles à utiliser. Objet: Présentation générale du contexte ICT Page 110 de 194

111 ABB.03 : Communication & Integration Services Mail Serveur ABB Le composant Mail serveur contrôle le routage, l échange et la livraison des s. Il met à disposition des options tel que les «blind copies», confirmation de délivrance, confirmation de réception, cryptage des s et authentification de l expéditeur ; et il fournit l analyse de «meilleur chemin de routage» ainsi que le support de tolérance aux pannes. Les services offerts supportent la messagerie de personne à personne et ne sont pas prévus pour le support métier d applications. Services Principaux Stockage et gestion des inbox des utilisateurs au niveau du serveur Envoi de mails depuis les inbox serveur vers les clients mail à la demande. Réception des out-bound mails depuis les clients mails. Routage des out-bound mails vers d autres inboxes des récepteurs sur le même serveur ou vers d autres serveurs mail ou un Gateway Mail. Gestion de liste de distribution partagée Standards pertinents Implémentation actuelle VIM, MAPI, CMC API, SMTP, X.400 MHS, POP3, SNADS, Internet Message Access Protocol, and MIME. La version utilisée est SJES (Sun Java Enterprise System) 2005Q1 pour l , le calendrier et le directory server. Sun Java System Messaging Server (version 2005Q1, upgrade à Q4 en préparation) Messagerie évolutive et sécurisée pour entreprises et fournisseurs de services Intégrée au Sun Java[tm] System Calendar Server Accès à l via clients multiples, y compris Sun Webmail Support des dossiers partagés personnels, publics et distribués ; fonctions de vérification orthographique Intégrée à Java System Directory Server et Java System Access Manager pour la gestion des utilisateurs Support des standards tels que IMAP4, POP3, SMTP, SNMP, LMTP, LDAP et d autres API publiées pour l extension et la customisation des services de messagerie. Liens vers les documents de détails Fiche technique : Objet: Présentation générale du contexte ICT Page 111 de 194

112 ABB.03 : Communication & Integration Services Evolution souhaitée Au SPF Finances comme ailleurs, la messagerie électronique est devenue un outil de communication indispensable, tant au niveau interne que dans les relations avec l extérieur. Le contrat couvrant la plate-forme de messagerie actuelle prend fin en La future plate-forme devra se conformer aux normes du marché et se montrer suffisamment robuste pour supporter le grand nombre d utilisateurs du SPF Finances. Objet: Présentation générale du contexte ICT Page 112 de 194

113 ABB.03 : Communication & Integration Services 4.4 OLYMPIA : Environnement de collaboration et de déploiement de l information ABB L architecture OLYMPIA jboss X jboss 2 jboss 1 L environnement de collaboration et de déploiement de l information est un ensemble de services qui simplifient la collaboration entre deux fonctionnaires. L indexation full text des types de documents supportés permet de déployer l information et la documentation suivant leur valeur ajoutée réelle. La technologie open source actuelle d OLYMPIA repose sur le projet exo portal d exo platform. L évolution vers GateIn est prévue pour Q GateIn est le successeur retenu sur la base de la conjugaison annoncée en 2009 des projets exo portal et jboss portal. Les fonctionnalités du projet OLYMPIA sont notamment : De travailler en équipe au sein d un groupe (projet, communauté, service, équipe ) D échanger et partager des informations au sein d un projet ou avec le SPF Fin. Créer et échanger de nouvelles informations propres à ce groupe Développer des synergies dans la gestion des différentes ressources au sein d un groupe OLYMPIA est accessible via l intranet à tous les membres du personnel du SPF Finances ainsi qu'aux externes titulaires d un compte IAM. Objet: Présentation générale du contexte ICT Page 113 de 194