Una rete sicura

Il Codice dell’Amministrazione Digitale e il perimetro della Continuità Operativa 

 

Il CAD sancisce che gli uffici pubblici devono essere organizzati in modo che sia garantita la digitalizzazione dei servizi (art. 15 “Digitalizzazione e riorganizzazione”). Da tale indicazione consegue, per la Pubblica Amministrazione, anche l’obbligo di assicurare la continuità dei processi che presiedono alla erogazione dei propri servizi, quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese. Questa affermazione assume particolare significato a fronte del sempre maggiore utilizzo delle tecnologie ICT nella gestione dei dati e dei procedimenti dei singoli enti, che rende necessario adottare tutte le iniziative tese a salvaguardare l’integrità, la disponibilità, la continuità nella fruibilità dei dati.

 

Quando i dati, le informazioni e le applicazioni che li trattano sono parte essenziale ed indispensabile per lo svolgimento delle funzioni istituzionali di un ente/organizzazione, diventano un bene primario per il quale è necessario garantire salvaguardia e disponibilità, anche attraverso l’adozione di misure di sicurezza e di soluzioni atte a garantire la continuità di funzionamento dei sistemi informativi.

 

Come detto i dati, le informazioni e le applicazioni che li trattano sono ormai parte essenziale ed indispensabile per lo svolgimento delle funzioni istituzionali di un ente/organizzazione ed è necessario quindi garantirne la salvaguardia, la disponibilità, la sicurezza, unitamente a confidenzialità ed integrità: il tema della continuità operativa deve quindi essere parte integrante dei processi e delle politiche di sicurezza di un’organizzazione.

 

In quest’ottica l’attuazione degli obblighi imposti dall’art. 50 bis del CAD conduce le Amministrazioni ad adottare un percorso complessivo in materia di sicurezza di tutta l’organizzazione. Il processo di dematerializzazione promosso dal CAD, che con le sue disposizioni ha trasformato da ordinatoria a perentoria l’azione di eliminazione della carta, comporta un incremento della criticità dei sistemi informatici, visto che non si può più contare su un backup basato sulla documentazione cartacea. Anche in questo quadro l’adozione di soluzioni di DR diviene un prerequisito indispensabile per garantire la continuità di svolgimento dei processi digitalizzati.

Da quanto detto consegue che la continuità dei servizi informatici rappresenta un impegno inderogabile per la PA che deve operare in modo da limitare al massimo gli effetti negativi di possibili fermi prolungati dei servizi ICT.

 

 

INFRASTRUTTURE E ORGANIZZAZIONE IT DEL PACIOLI PER LA CONTINUITÀ OPERATIVA

 

Nel presente capitolo vengono fornite indicazioni sulle infrastrutture, con particolare riferimento ai Data Center, e sull’organizzazione adottata dall’Istituto Pacioli per l’attuazione di soluzioni di CO e di DR.

 

L’Istituto Pacioli è dislocato in due sedi della stessa dimensione. La maggior parte dei servizi all’utenza sono erogati in entrambe le sedi ad eccezione dei servizi di segreteria amministrativa.

Il sistema informatico delle segreterie e della didattica è replicato identico in ogni sede che può quindi lavorare in piena autonomia. Questa ridondanza costituisce un elemento importante per la continuità operativa di molti servizi.

 

Dotazioni tecnologiche

Ognuna delle 63 aule ed ogni palestra dell’istituto è dotata di un computer portatile e di un videoproiettore per l’erogazione dei servizi didattici. Ci sono inoltre circa 100 computer fissi distribuiti tra laboratori ed aule special e 100 netbook in carrelli per ricarica automatica. In ogni sede è presente un centro stampa con fotocopiatrici, stampanti, plotter. Le segreterie hanno a disposizione circa 30 computer e 15 stampanti dislocati in 10 uffici e due hard disk di rete per il backup.

Ogni computer è dotato di antivirus GDATA. La quasi totalità dei computer monta un sistema operativo Microsoft Windows 7 e una minima parte una versione Linux denominata “Pacioli Nux” derivata da Lubuntu 14.04.

 

Ognuno dei circa 1500 studenti che frequentano l’istituto è dotato di un computer personale (notebook, netbook o tablet) che può utilizzare in aula per seguire le lezioni.

 

La grande disponibilità di computer permette un intervento di sostituzione tempestivo in caso di guasti.

La riparazione e la manutenzione viene realizzata da un ufficio tecnico interno costituito da insegnati tecnico-pratici di laboratorio di informatica.

I videoproiettori sono coperti da contratti di garanzia per la riparazione. Sono disponibili un piccolo numero di videoproiettori per la sostituzione nelle aule in attesa del rientro dalla riparazione.

 

Connettività internet

Ognuna delle due sedi è raggiunta da una linea ADSL da 20Mb e una linea in fibra ottica da 30Mb.

Nel caso in cui una delle due linee sia fuori servizio, il suo traffico viene indirizzato automaticamente sull’altra.

La segreteria dispone di una banda minima garantita.

 

LAN

In ognuna delle due sedi la rete interna è costituita da una parte cablata ed una parte wireless.

 

Rete cablata

Le reti cablate delle due sedi sono segmentate in VLAN alcune delle quali sono collegate in VPN da una sede all’altra.

Dorsali in fibra collegano gli armadi di rete (5 in una sede, 8 nell’altra) che contengono switch layer2 prontamente sostituiti in caso di guasto da analoghi apparati di scorta, tutti di proprietà dell’istituto. Ogni armadio è dotato di UPS.

I cavi rj45 sono almeno cat 5e tutti certificati.

In una delle due sedi, in occasione della ristrutturazione dell’edificio, è in progetto l’aggiunta di alcune tratte in fibra e di un punto cablato per ogni locale ancora non raggiunto, così da consentire l’implementazione del protocollo spanning tree sui vari switch dislocati nei vari armadi di rete; in questo modo, in caso di guasto ad uno di essi, verranno creati percorsi alternativi per il traffico lan consentendo la continuità dei servizi di rete.

 

Rete wireless

Un certo numero di access point (22 in una sede, 17 nell’altra) gestiti da un network wireless controller per ogni sede costituiscono la struttura della parte wireless della rete d’istituto.

Se si guasta un access point, il suo traffico va ad appesantire quello degli access point vicini rendendo spesso difficile, o comunque lenta, la connessione dei client della zona servita.

Se si guasta invece il network wireless controller, è garantita la continuità dei servizi wi-fi ma diventa impossibile apportare modifiche alla configurazione della rete in quanto il dispositivo deputato a distribuire le variazioni agli access point è proprio il wireless controller.

 

Grazie al finanziamento PON 10.8.1.A1-FESRPON-CA-2015-220 Sviluppare Una Rete Performante, c’è in progetto di sostituire tutti gli access point di una delle due sedi con modelli di marca Watchguard; gli access point sostituiti saranno utilizzati come scorta nell’altra sede per far fronte ad eventuali guasti. Verrà eliminato anche il network wireless controller (le sue funzionalità verranno svolte dall’apparato Watchguard, già in funzione, descritto al punto successivo) che verrà usato per far fronte ad un eventuale guasto nell’altra sede.

 

UTM

Un apparato UTM (Unified Threat Management) Watchguard per ogni sede svolge funzioni di:

 

-         Proxy HTTP e HTTPS

-         Controllo applicazioni

-         Controllo Antivirus perimetrale

-         Firewall full IPS dall’elevato throughput

-         gestione e suddivisione della banda

-         Gestione centralizzata di entrambe le sedi

-         Gestione della priorità del traffico (QoS)

-         VPN IPSec e SSL per il collegamento tra le sedi ed eventuali utenti esterni

 

ed in una delle due sedi svolgerà anche la funzione di network wireless controller (v. punto precedente).

Tale apparato è coperto da un contratto di assistenza che ne prevede la sostituzione in 12 ore e la manutenzione continuativa in teleassistenza.

 

Server e NAS

In ogni sede è presente un server DELL con sistema operativo VMWARE server ESXI ed un NAS dotato di 4 hard disk configurati RAID 5. Ognuno di questi server fornisce potenza elaborativa e ram per eseguire due istanze contemporanee di server virtuali, uno per la segreteria ed uno per la didattica. Questi server virtuali sono ospitati sul NAS.

Tutto ciò è coperto da un contratto di assistenza.

 

o   Server virtuale di segreteria: Sistema Operativo Windows Server 2003, contiene tutti i dati di segreteria.

o   Server virtuale della didattica: Sistema Operativo Windows Server 2012 R2, fornisce i seguenti servizi:

  •         gestione dominio active directory
  •         autenticazione utenti unica per rete cablata e wireless
  •         sincronizzazione degli utenti di rete con quelli del CLOUD d’istituto (v. paragrafo cloud successivo)
  •         DNS
  •         WINS
  •         Console centralizzata per la gestione dell’antivirus G-DATA che distribuisce le configurazioni e gli aggiornamenti ai client

Inoltre in una sola delle sedi è presente un server fisico che gestisce le funzionalità del registro elettronico per tutto l’istituto. L’apparato è di proprietà di Mastercom che ne cura anche l’assistenza. I dati presenti su tale server sono duplicati nel cloud Mastercom. I tempi per il ripristino del sistema sono di 2 ore, i tempi per la sostituzione del dispositivo di 2 gg.

 

 

Sistema di videosorveglianza IP

 

In una sede dell’istituto è presente una serie di videocamere IP connesse alla rete lan che implementa un sistema di videosorveglianza gestito dal NAS sul quale vengono mantenute le registrazioni. Tale servizio è coperto da un contratto di assistenza con una ditta esterna.

 

 

Stazione permanente GNSS

 

In una delle due sedi è presente una stazione permanente GNSS di proprietà di Regione Lombardia gestita dal Centro di calcolo della rete GNSS interregionale Piemonte-Lombardia ospitato presso CSI Piemonte.

A cadenza oraria i dati misurati vengono inviati tramite internet al centro di calcolo. Tale stazione è connessa alla rete lan in modo da utilizzare il servizio di connessione internet dell’istituto.

 

 

Timbratrici

 

In ogni sede è presente una timbratrice utilizzata dal personale ATA.

 

Cloud

 

Il Pacioli è dotato di un cloud GOOGLE che si interfaccia con il sistema informatico dell’istituto in quanto i profili degli utenti della nuvola sono mantenuti automaticamente sincronizzati con quelli presenti nel server della didattica. La manutenzione ed il backup dei dati presenti sulla nuvola viene svolta da Google. L’ufficio tecnico interno invece interviene quotidianamente su segnalazione di Google per accessi sospetti, tentativi di intrusione od operazioni illecite nonché per la gestione degli utenti e gruppi.

 

Sito web

 

Il Pacioli è dotato di un sito web realizzato con un software proprietario dalla ditta Spaggiari. Il servizio di hosting è affidato ad una ditta esterna che si occupa del backup (quotidiano) e del ripristino su richiesta o in caso di attacchi Dos.

 

 

Piano dei Backup

 

E’ identico in entrambe le sedi.

  •         Tutti i giorni da lunedì a venerdì sui NAS vengono salvati i backup delle partizioni dei server virtuali.
  •         Una volta alla settimana sul server DELL vengono salvati i backup completi dei dischi dei server virtuali, ognuno di essi viene conservato per 4 settimane.
  •         Le segreterie hanno inoltre a disposizione un disco di rete per il salvataggio di eventuali dati che risiedano localmente nei computer di segreteria e per il backup giornaliero delle condivisioni di rete ospitate sul server virtuale della segreteria.

 

Piano delle autenticazioni

 

RETE e CLOUD:

Sono stati definiti un numero molto limitato di profili che possono accedere al dominio di istituto e che differenzia sostanzialmente le tre principali tipologie di utenti che si connette alla rete: alunni, docenti, personale ATA; ci sono poi alcuni profili per il personale dell’ufficio tecnico che ha il compito di:

  •         aggiungere i nuovi alunni, nuovi docenti, nuovo personale ATA ad inizio anno scolastico ed anche in corso d’anno
  •         eliminare gli alunni che hanno terminato il corso di studi al termine di un anno scolastico e quelli che si trasferiscono anche in corso d’anno; eliminare i docenti ed il peronale ATA non più in servizio presso l’istituto

REGISTRO ELETTRONICO

Anche per questo servizio i profili definiti sono in numero limitato: alunni, genitori, docenti, presidenza, personale di segreteria.

Un incaricato di segreteria ha il compito di:

  •         aggiungere i nuovi alunni, nuovi genitori, nuovi docenti, ad inizio anno scolastico ed anche in corso d’anno
  •         eliminare gli alunni che hanno terminato il corso di studi al termine di un anno scolastico e quelli che si trasferiscono anche in corso d’anno con i relativi genitori; eliminare i docenti che non prestano più servizio presso l’istituto

 

Elenco fornitori assistenza e manutenzione

 

GPV Solutions : apparati Watchguard, NAS, Server Dell e server virtuali, switch D-Link e videosorveglianza IP

Spaggiari : registro elettronico

Spaggiari: hosting sito web

Cremonaweb: gestione domini e spazio ftp

 

 

Personale coinvolto

 

L’ufficio tecnico è costituito da 4 persone.

Il responsabile del registro elettronico è uno.

I webmaster sono due.