Allegato 5 Capitolato Tecnico Pagina 1 di 71

Transcript

1 - ALLEGATO 5- CAPITOLATO TECNICO Allegat 5 Capitlat Tecnic Pagina 1 di 71

2 Smmari 1 SCOPO E ORGANIZZAZIONE DEL DOCUMENTO Allegati e Dcumenti di riferiment Definizini e acrnimi GENERALITA DELLA FORNITURA Inquadrament del prgett Oggett della frnitura Durata CONTESTO DI RIFERIMENTO Sistema Infrmativ Sci-Sanitari Architettura Lgica Stat dell arte del SISS L attuale servizi di rete dell Extranet Il servizi di rete dell attuale extranet Il NAP-SISS L'architettura applicativa Dati dimensinali REQUISITI DELLA FORNITURA: ARCHITETTURA, FUNZIONALITÀ, ALTRO Generalità della frnitura Requisiti architetturali Il servizi Business Il servizi di tip Business e la rete delle Aziende Sanitarie Il servizi SOHO Il cllegament tra LI ed il NP Servizi di trasprt Cmpnente di access dei servizi di trasprt Cmpnente di trasferiment dei servizi di trasprt Dispnibilità gegrafica dei servizi di trasprt Requisiti funzinali Indirizzament Allegat 5 Capitlat Tecnic Pagina 2 di 71

3 4.3.2 Intercnnettività DNS Servizi di supprt Manutenzine e assistenza dei servizi di cnnettività Servizi di Prvisining, Cnfiguratin e Change Management Netwrk Operating Center (NOC) Servizi di Help Desk Servizi di Fault Management Servizi di Sicurezza Sistemi di Firewalling Netwrk Intrusin Detectin System (NIDS) Management Applicazine dei servizi di sicurezza Event & Lg Mnitring Management Servizi di Rendicntazine Servizi di Traffic Shaping Altri requisiti Sluzine per l access a Internet Sluzine per garantire SLA end-t-end Sluzine tecnica al Digital Divide (DD) Prpsta per la mbilità di MMG/PDF Prpsta per la cntinuità perativa Servizi Business Servizi SOHO Supervisine di LI Dati dimensinali Estensini previste Sinergie cn il prgett per la Banda Ultra Larga Evluzine IPv GESTIONE DELLA FORNITURA: FASI, TEMPISTICHE, MODALITÀ ORGANIZZATIVE Avvi della frnitura Attività prpedeutiche Subentr nei servizi Allegat 5 Capitlat Tecnic Pagina 3 di 71

4 Subentr servizi di tip Business Subentr servizi di tip SOHO Gestine della frnitura Gestine di una richiesta di attivazine/mdifica/chiusura di PES Gestine dei livelli di servizi Mdalità di rendicntazine e fatturazine Organizzazine e ruli Organizzazine e ruli di LI Organizzazine e ruli del Frnitre Verifiche della frnitura Cllaud attività prpedeutiche Cllaud subentr dei servizi Verifiche servizi di tip Business Verifiche servizi di tip SOHO Verifiche richieste nuve attivazini Verifiche prestazini dei servizi Verifiche servizi Business e SOHO prfil Verifiche servizi SOHO prfil Altre verifiche livelli di servizi Audit di qualità Audit di sicurezza Chiusura della frnitura QUALITA DEL SERVIZIO Definizini Servizi di Trasprt Servizi di tip Business Servizi di tip SOHO Prfil Prfil Interperabilità tra dmin Business e dmini SOHO Rilasci del servizi di rete Servizi di tip Business Servizi di tip SOHO Allegat 5 Capitlat Tecnic Pagina 4 di 71

5 6.4 Altri servizi Assistenza Sicurezza Reprtistica Dati e mdalità per la verifica dei livelli di servizi Dati frniti ad LI Dati Prestazinali Dati di Affidabilità Dati di Prvisining Lg Mdalità di misura di parametri specifici Parametri relativi alle cmpnenti di access (CdA) Parametri relativi alle cmpnenti di trasferiment (CdT) Misure esterne Allegat 5 Capitlat Tecnic Pagina 5 di 71

6 1 SCOPO E ORGANIZZAZIONE DEL DOCUMENTO Il presente dcument cstituisce il Capitlat Tecnic di Gara della Prcedura per la selezine di un unic peratre per l ergazine dei servizi di rete del SISS ed ha l scp di presentare al Frnitre gli elementi per articlare un fferta tecnica richiesta per l aggiudicazine della prcedura di gara. Le attività del Prvider hann validità a cmplement di quant previst da Regine Lmbardia circa la cntinuità dei servizi Carta Reginale dei Servizi SISS (CRS-SISS). Il presente dcument è strutturat secnd il seguente schema: una prima parte di cntestualizzazine del Sistema Infrmativ Sci Sanitari reginale, a partire dal prgett Carta Reginale dei Servizi Sistema Infrmativ Sci Sanitari (CRS-SISS), del quale cstituisce la prsecuzine. Si cmpne di: cap.1 Scp e rganizzazine del dcument; cap.2 Generalità della frnitura; cap.3 Cntest di riferiment; una secnda parte dedicata agli aspetti rganizzativi, tecnici e nrmativi di specific riguard per il Netwrk Prvider: cap.4 Requisiti della frnitura: architettura, funzinalità,altr; cap.5 Gestine della frnitura: fasi, tempistiche, mdalità rganizzative; cap.6 Qualità del servizi. 1.1 Allegati e Dcumenti di riferiment Allegati al Capitlat Tecnic: Allegat 5.1 Dettagli delle cnnettività attuali Dcumenti di riferiment: CRS+Q-STD#02 Glssari Prgett CRS-ISAU-SIAU#07 Mdalità di cllegament dell Aderente alla Extranet, reperibile press CRS-ISAU-SIAU#38 Prta Applicativa Multiaderente reperibile press PROV-PMS-PSIC#02 Requisiti per le plitiche di sicurezza per i Netwrk Prvider reperibile press Dcumenti allegati alla Gara a licitazine privata per l appalt dei servizi di cnnettività e sicurezza nell ambit del sistema pubblic di cnnettività nel seguit Gara SPC - CNIPA 2005, reperibili sul sit e in particlare: Capitlat Tecnic, Livelli di servizi e penali OPA, Definizini e Acrnimi, Quadr intrduttiv alla gara multi-frnitre Allegat 5 Capitlat Tecnic Pagina 6 di 71

7 1.2 Definizini e acrnimi AAA Autenticazine, Autrizzazine ed Accunting ADSL Asymmetric Digital Subscriber Line (classe di tecnlgie di livell fisic utilizzate per l'access ad Internet ) AIPA AO AS ASL ASP ASSI BDV BGA BGP BMA BUL CC-SPC CdA CdS CdT CdV CGI CG-SIC CG-SPC Autrità Infrmatica per la Pubblica Amministrazine Azienda Ospedaliera Autnmus System Azienda Sanitaria Lcale Applicatin Service Prvider Strutture di Assistenza Sci Sanitaria Integrata Banda Dispnibile al mment della Verifica Banda Garantita in Access Brder Gateway Prtcl Banda Massima in Access Banda Ultra Larga Cmmissine di Crdinament del Sistema Pubblic di Cnnettività Cmpnente di Access per i servizi di trasprt Classe di Servizi Cmpnente di Trasferiment Cmmissine di Verifica Centr di Gestine Integrat Centr di Gestine della Sicurezza Centr di Gestine SPC CNIPA Centr Nazinale per l Infrmatica nella Pubblica Amministrazine. CRL CRS CRS-SISS CS CTT CUP DD DGR DNS DOS DR DWH Liste dei Certificati Revcati Carta Reginale dei Servizi - SISS Prgett Carte Reginale dei Servizi Sistema Infrmativ Sci Sanitari Canne di Servizi Cmpnente di Terminazine del Traffic Centr Unic di Prentazine Digital Divide (riferit a punti di access al servizi nn ancra realizzati) Delibera della Giunta Reginale Dmain Name System Denial f service Disaster Recvery Data Warehuse Allegat 5 Capitlat Tecnic Pagina 7 di 71

8 EE Ente Ergatre EEPA Enti Ergatri Privati Accreditati e-gvernment prcess di infrmatizzazine della pubblica amministrazine e-health E-health (cmpless delle risrse, sluzini e tecnlgie infrmatiche di rete applicate alla salute ed alla sanità) EXC Exchange F.E. Frnt end FSE Fascicl Sanitari Elettrnic FTE Full Time Equivalent HD Help Desk HSPA High Speed Packet Access (famiglia di prtclli per per reti di telefnia mbile) HSRT Ht Standby Ruting Prtcl ICT Infrmatin & Cmmunicatin Technlgy ISDN Integrated Services Digital Netwrk (rete di telecmunicazini digitale) ISP Internet Service Prvider Kbps kilbit per secnd LAN Lcal Area Netwrk LdS Livell di Servizi LI Lmbardia Infrmatica S.p.A. MMG Medic di Medicina Generale NAP Neutral Access Pint NAP-DR Neutral Access Pint - Disaster Recvery NAP-SISS Neutral Access Pint - Sistema Infrmativ Sci Sanitari NOC Netwrk Operatin Centre NOC-QXN Netwrk Operatin Centre della QXN NP Netwrk Prvider vver Prvider di cnnettività NTP Netwrk Time Prtcl PA Pubblica Amministrazine (centrale lcale) PAC Pubblica Amministrazine Centrale PAL Pubblica Amministrazine Lcale PDA Punti di Adesine PDF Pediatra di Famiglia PdL Pstazine di Lavr PES Punt di ergazine del servizi PL Packet Lss PLS Pediatra di Libera Scelta pps Pacchetti per secnt Allegat 5 Capitlat Tecnic Pagina 8 di 71

9 QISP Qualified Internet Service Prvider QXN Qualified exchange Netwrk RAE Ruter di Access all Extranet RL Regine Lmbardia RSA Residenza Sci Assistenziale RTD Rund Trip Delay RTI Raggruppament Temprane d Impresa RUPA Rete Unitaria della Pubblica Amministrazine. SAL Stat Avanzament Lavri SC-QXN Scietà Cnsrtile QXN SEB Servizi di Base del Sistema Infrmativ Sci-Sanitari SISS Sistema Infrmativ Sci Sanitari SLA Service Level Agreement SOC Security Operating Center SOHO Small Office Hme Office SPC Sistema Pubblic di Cnnettività SPOC Single Pint Of Cntact TdR Terminazine di rete TLC Telecmunicazini Tss Temp di Osservazine TRV Technical Remte Viewing TT Truble Ticket TTS Truble Ticketing System VPN Virtual Private Netwrk VRRP Virtual Ruting Redundancy Prtcl Web Wrld Wide Web Allegat 5 Capitlat Tecnic Pagina 9 di 71

10 2 GENERALITA DELLA FORNITURA 2.1 Inquadrament del prgett Nell'ambit del prgett SISS, i servizi di Rete sn affidati ai Netwrk Prvider (NP) che rilascian il servizi press gli aderenti secnd il mdell definit della Extranet SISS. Sulla base dell'esperienza maturata dal 2004 ad ggi LI ha elabrat un prgett di evluzine dei servizi di prviding. Quest ha avut, quale linea ispiratrice, ltre alla cntinuità, l'evluzine dei servizi nella direzine di un sistema infrmativ integrat della sci sanità reginale. La principale evluzine prevista intende realizzare una rete più affidabile per gli ergatri ed al cntemp in grad di ffrire una più ampia raggiungibilità dei servizi da lr espsti su Internet. 2.2 Oggett della frnitura Oggett della frnitura sn i servizi di rete SISS vers tutti gli peratri sci-sanitari (pubblici e privati) a livell reginale, intesi cme servizi di trasprt e di interperabilità di base, detti anche nel seguit servizi di cnnettività anche servizi di rete. La prcedura è finalizzata alla selezine di un unic peratre per l ergazine di tali servizi. 2.3 Durata Il cntratt tra Lmbardia Infrmatica e il Frnitre aggiudicatari, decrre dalla data di sttscrizine e rimane in vigre fin al 31/12/2016, cn eventuale prrga per un altr ann. Allegat 5 Capitlat Tecnic Pagina 10 di 71

11 3 CONTESTO DI RIFERIMENTO La prcedura di selezine di un unic peratre per l ergazine dei servizi di rete rientra nel cntest più ampi del Sistema Infrmativ Sci-Sanitari (SISS). Il Sistema Infrmativ Sci-Sanitari può essere definit cme l insieme delle applicazini e delle infrastrutture infrmatiche presenti sul territri (sistemi infrmativi di farmacie, medici, spedali, Regine Lmbardia, ecc.) che cncrrn all ergazine dei servizi sci-sanitari all intern della Regine Lmbardia. Il SISS ggi è cstituit da una serie di sistemi infrmatici che stann gradatamente evlvend secnd una precisa strategia infrmatica in chiave e-health, vver dell impieg sempre più diffus e pervasiv delle tecnlgie inf-telematiche (ICT) per l innvazine dell rganizzazine. Element fndante di tale strategia è la piattafrma CRS-SISS che Regine Lmbardia ha realizzat, su cui sviluppa da diversi anni i nuvi servizi sanitari e ha già migrat/integrat diverse delle cmpnenti preesistenti. La legge reginale n. 18 del 31 lugli 2007, all art. 1, esplicita che tutti gli attri del sistema sci-sanitari lmbard sn tenuti ad utilizzare i servizi SISS in md da pter realizzare quella funzine fndamentale per il cittadin che è il Fascicl Sanitari Elettrnic (FSE). Per dare cntinuità ai servizi SISS realizzati fin ad ggi e qutidianamente utilizzati dai cittadini lmbardi e dagli peratri sanitari è stata definita la cntinuazine del prgett SISS attravers tre delibere della Giunta Reginale: la DGR N VIII/ del 7 Agst 2009 che definis ce per il trienni , cn pssibile estensine fin al 2014, gli biettivi e il pian di massima da perseguire nel perid cnsiderat; la DGR N VIII/10512 del 9 Nvembre 2009 che defini sce per il trienni il pian di dettagli per il raggiungiment degli biettivi definiti dalla precedente delibera; la DGR N IX/ del 29 dicembre 2010, che stab ilisce di affidare ad LI il mandat per bandire due Gare per la gestine dei servizi di assistenza e di rete del SISS. 3.1 Sistema Infrmativ Sci-Sanitari Il prgramma SISS ha stricamente seguit quattr fndamentali linee di intervent tuttra asslutamente valide: La riduzine della distanza tra cittadini ed aziende sanitarie; Il miglirament della qualità del prcess di diagnsi e cura; Il miglirament della pianificazine e gvern della spesa sanitaria; L efficienza e la semplificazine dei prcessi interni della pubblica amministrazine. La Figura 1 sintetizza l stric inquadrament strategic cmplessiv del prgramma SISS. In tale schematizzazine, ad gni linea di intervent è assciat l stakehlder (destinatari) di riferiment vver la tiplgia di destinatari che ha maggire interesse nel perseguiment dell biettiv medesim. La figura mette inltre in evidenza cme la realizzazine dei servizi SISS debba rispettare diversi vincli che pssn essere distinti in: esterni: vver derivanti dalla necessità di adeguarsi a nrme, leggi e reglamenti; interni: vver prpri del sistema SISS. Il sistema, infatti, è stat prgettat in maniera tale che il rispett di tali vincli è cndizine necessaria ad un crrett funzinament. Oltre ai vincli, la figura mette in evidenza quelli che sn stati definiti i presuppsti vver quelle cndizini necessarie al fine di garantire un funzinament del SISS in linea cn le aspettative prgettuali ed in particlare: L svilupp e la gestine dei sistemi reginali in md da garantire nel temp l elevata qualità dei servizi reginali (esercizi e livelli di servizi); Il cntinu adeguament dei sistemi infrmativi di tutti gli attri presenti nel SISS (Aziende Sanitarie ed peratri della sci-sanità quali MMG/PLS, Farmacie, strutture sci-sanitarie, ecc.) in md da garantire servizi infrmatici di qualità ed integrati nel sistema SISS. Allegat 5 Capitlat Tecnic Pagina 11 di 71

12 Destinatari Linee di Intervent Cittadini Riduzine distanza tra Cittadini ed Aziende Sanitarie Operatri Sci-Sanità: Sanitari Cntinuità e Qualità della Cura DG Sanità RL DG Famiglia RL Pianificazine e Gvern della Spesa Sanitaria Operatri Sci-Sanità: Amministrativi Efficienza e Semplificazine dei prcessi interni della Sci-Sanità Presuppsti Vincli ESTERNI INTERNI Esercizi e Livelli di Servizi Adeguament Sistemi Infrmativi Privacy, Nrme e Leggi Nazinali ed Eurpee Utilizz di Standard, Regle di prcess, Servizi Prcessi di accglienza - Ottimizzazine dei prcessi - Prentazine esterna multicanale (Call Center, Farmacie, Internet, MMG) - Pagament estern multicanale del Ticket (Pste, Internet, ecc.) Cartella Sanitaria Persnale del Cittadin (CSP) - Ritir referti n-line - Visualizzazine infrmazini sanitarie persnali - Visualizzazine eventi Altri servizi fruibili direttamente dai cittadini - Scelta/Revca n-line - Cnsens n-line Servizi ergati cn CNS Fascicl Sanitari Elettrnic - Cnsultazine Eventi Sanitari - Cnsultazine Referti Medici - Patient Summary - Scambi infrmativ tra MMG/PLS e Medici Ospedalieri - Reti di Patlgia - Vaccinazini - Gestine delle Immagini Prevenzine persna Gestine della prescrizine elettrnica Sistema direzinale/ DataWarehuse Gestine flussi di rendicntazine Prtesica Certificati di malattia Anagrafe Reginale (NAR) - Gestine anagrafiche - Gestine esenzini Gestine Carte CRS Prevenzine imprese Allerta Alimenti Veterinaria Sistemi della DGFSS Dematerializzazine - Firma Digitale - Marca temprale - Servizi n-line per MMG/PLS (cedlin, bacheca, ) Funzini per la semplificazine delle attività di sprtell Servizi per la gestine degli ambulatri di MMG/PLS Servizi di ausili per l peratività delle Farmacie Servizi di Allineament Anagrafi Servizi di Aggirnament Cdifiche Figura 1: Principali servizi previsti nel SISS Nella Figura 1 sn infine riprtati i principali servizi previsti nel SISS e ciascun di essi viene classificat in base alla strumentalità preminente dell stess al perseguiment di una delle linee di intervent. È bene sttlineare che il tip di schematizzazine adttata evidenzia sstanzialmente i servizi di natura infrmatica. Questi pi pssn cncrrere all ergazine di più servizi vers i vari stakehlder. L immagine che si viene csì a delineare è quella di un sistema infrmativ-cmunicazinale unitari basat sulla cperazine e sull integrazine dei diversi sistemi infrmativi gestiti in autnmia dalle single aziende/attri aderenti. Un sistema sicur (garanzia della privacy), flessibile (capace di evlvere) e cnsistente (gni infrmazine deve avere l stess significat per tutti gli aderenti). Il SISS è stat realizzat sulla base di un mdell di sistema infrmativ che prevede la rilevazine delle pssibili intersezini dei percrsi assistenziali del cittadin cn le strutture dell fferta del sistema (patient wrk-flw), in grad di raccgliere i dati significativi che vengn a cnntare tali cntatti, di rganizzarli in md da rendere successivamente dispnibili, durante l svlgiment dei cntatti futuri, le infrmazini utili all ergazine del servizi al cittadin. Cerentemente a tale mdell, la Piattafrma CRS-SISS rappresenta l strument abilitante all scambi infrmativ fra i clinici rendend pssibile una vera e prpria azine di cntinuità assistenziale sui cittadini. Una delle grandi innvazini intrdtte risiede nel fatt che il sistema raccglie ed rganizza i dati in maniera tempestiva e specialmente in base a criteri patient centric. Sulla base di tali cnsiderazini il principi di funzinament del SISS può essere descritt facend riferiment alla Figura 2. Il sistema è stat cncepit in md tale da raccgliere tempestivamente i dati generati durante i vari percrsi del cittadin e permetterne la rirganizzazine secnd varie viste, Allegat 5 Capitlat Tecnic Pagina 12 di 71

13 cnsentend l attuazine tempestiva di plitiche mirate di gvern da parte dell Amministrazine reginale. Ogni dat racclt mediante il SISS durante l svlgiment di tali percrsi ha una dppia valenza e viene qualificat sia cme dat clinic sia cme dat amministrativ. In tal md si vengn a cstituire due grandi basi infrmative rganizzate per generare le cnscenze necessarie all esercizi della prfessine clinica e al gvern del Sistema Sci-Sanitari Reginale vver: il Fascicl Sanitari Elettrnic (FSE) e il data warehuse Sanità (DWH). Percrs del paziente Esempi di flussi di dati Ente Ergatre ASL ASL Farmacia MMG/PLS Specialista Dat Amministrativ Data WareHuse Visine per cluster di pazienti Dat Clinic/sanitari Fascicl Sanitari Elettrnic Visine per paziente Figura 2: Il principi di funzinament del SISS 3.2 Architettura Lgica Il prgett CRS_SISS ha realizzat un sistema infrastrutturale, che cnsente la cmunicazine, cperazine ed interperatività sicure fra gli peratri e i cittadini cn l scp di realizzare prcessi scisanitari ttimizzati. Gli utenti sn gli peratri sci-sanitari (MMG, PLS, Farmacie), le rganizzazini scisanitarie lcali (Aziende Strutture) e centrali (DG Sanità e DG Famiglia, Cnciliazine, Integrazine e Slidarietà Sciale). L infrastruttura cnsente la distribuzine dei servizi e rende immediat l scambi infrmativ tra peratri, strutture, cittadini mediante un architettura frtemente decentrata, garantend la crretta esecuzine delle perazini e la gestine delle infrmazini in cerenza cn le nrmative relative alla privacy. Altri biettivi strategici che hann guidat il prgett, e che rimangn tuttra validi, sn: garanzia di servizi generalizzati di cmunicazine, interperabilità e cperazine, utilizzabili dalla Pubblica Amministrazine (PA) in cerenza al prgramma strategic della Regine Lmbardia; garanzia di integrazine ed estensine per l interazine cn dmini applicativi esterni alla sanità; cerenza cn quant previst da AIPA, prima, CNIPA e DigitPA, in seguit, per la Rete della Pubblica Amministrazine (RUPA - SPC), in termini di trasprt, interperabilità e cperazine; evlvibilità nel temp cn la necessità di perseguire sluzini cerenti cn le tendenze del mercat ICT e di inserirsi, e cntinuare a rimanere, nel fluss principale dell innvazine per beneficiare appien dell evluzine tecnlgica, essendne trasprtati ed evitand di dverla inseguire; delegabilità di servizi a Prvider capaci di sstenere e garantire servizi missin critical; massima fruibilità dei servizi agli utenti, cnsentend l access ad una utenza il più pssibile vasta e l utilizz in prspettiva da dispsitivi alternativi e leggeri (p.e. telefni cellulari, tablet, ); massima fruibilità di applicazini preesistenti. Allegat 5 Capitlat Tecnic Pagina 13 di 71

14 Infine è da sttlineare che, in un scenari dve le cmunicazini rappresentan il tessut cnnettiv tra tutti i sistemi e vengn trattati dati sensibili quali quelli sanitari, l'aspett della sicurezza interessa necessariamente tutti gli strati che cmpngn il Sistema Infrastrutturale; gnun di questi può essere ggett di attacchi/minacce che se nn pprtunamente cntrllate ptrebber mettere in crisi l'inter sistema, cnsiderand in particlare la necessità di dare crretta applicazine delle nrme relative alla tutela della privacy. L architettura si può in prima istanza schematizzare cme rappresentat nella seguente figura: Figura 3: Architettura del SISS L schema cnsente di individuare la seguente gerarchia lgica: il prim livell della struttura è rappresentat da un insieme di Dmini Centrali (detti anche glbalmente Dmini Centrale Applicativ) e dalle crrispndenti Direzini Generali, fra cui sn attualmente individuati: il Dmini Centrale Sanità, cui fa cap la base di dati della Sanità, e la Direzine Generale Sanità; il Dmini Centrale Famiglia e la Direzine Generale Famiglia, Cnciliazine, Integrazine e Slidarietà Sciale. la struttura di secnd livell, detta anche extranet degli peratri della sci sanità, che garantisce la cnnettività, l interperabilità, la cperazine e la sicurezza, è rappresentata da: Centr Gestine Integrat (CGI) cmpst da: - Servizi Centrali, - Punti di Registrazine e Punti di Adesine; Prvider; Call Center; gli peratri sci-sanitari e le Strutture rappresentan il terz livell: sn questi gli utenti all extranet della sci-sanità. Ciascun livell dell architettura si realizza mediante cmpnenti infrastrutturali hardware e sftware, quali server, client, piattafrme sftware, applicazini, reti. Allegat 5 Capitlat Tecnic Pagina 14 di 71

15 3.3 Stat dell arte del SISS Dal punt di vista quantitativ è pssibile affermare che il SISS ha rmai raggiunt livelli di diffusine asslutamente significativi su tutt il territri lmbard. Per cgliere la dimensine raggiunta basta evidenziare che a fine 2011 sn in circlazine circa carte Cittadin, crrispndenti ad ltre il 99% degli aventi diritt, e che hann aderit al SISS circa il 98% dei Medici di Medicina Generale e Pediatri di Famiglia e il 100% delle Farmacie. E iniziata inltre la diffusine dei servizi SISS vers gli Enti Ergatri Privati Accreditati (EEPA). Nel 2011, 235 EEPA, pari all'84% del ttale, hann cmpletat il percrs di integrazine ai servizi iniziali del SISS (Identificazine del Cittadin cn cnseguente allineament della prpria Anagrafe Centralizzata cn l Anagrafe Reginale e Gestine della Prescrizine), mentre 108 EEPA, pari al 52%, ai servizi di cmpletament (cmunicazine degli Eventi Sanitari e pubblicazine dei Dcumenti Clinici Elettrnici (DCE) sttscritti digitalmente sul Fascicl Sanitari Elettrnic del cittadin). Negli ultimi anni, l utilizz dei servizi SISS ha cnsciut un enrme increment, infatti il numer di perazini a fine 2011 è di ltre 308 milini pari al 32% in più rispett al Dal punt di vista dell utilizz dei più imprtanti servizi resi dispnibili dal SISS e quasi giunti alla fase di regime, a fine 2011: le prentazini da Call Center Reginale risultan essere ltre 3,1 milini, pari al 22% in più rispett al 2010 e di circa il 54% rispett al 2009; i Dcumenti Clinici Elettrnici sn circa 16 milini di unità, registrand un increment del 15% rispett al 2010 e di circa il 35% rispett al 2009; le prescrizini effettuate attravers il SISS sn ltre 86 milini di unità, pari al 12% in più rispett al 2010 e di circa il 25% rispett al 2009; 3.4 L attuale servizi di rete dell Extranet Per extranet nel seguente dcument si intende una realizzazine basata sulla tecnlgia Internet per dare vita ad una rganizzazine estesa, cstituita da un insieme chius di partner selezinati; ciascun di essi è parte di una cmunità chiusa di utenti ( dmini cmune ), che riunisce l insieme di rganizzazini di appartenenza; può essere basata men sulla rete Internet; le sue regle (amministrazine, sicurezza, evluzine) derivan da accrdi multilaterali fra le rganizzazini utenti e sn esercitate direttamente ppure delegate ad un altr sggett. Nel cas in esame, la gestine è delegata dagli stessi aderenti a Lmbardia Infrmatica per cnt di Regine. In virtù di questa delega. LI prvvede a definire le regle rganizzative e tecniche dell extranet. È una rete aperta nel sens che la Regine e gli aderenti pssn esprvi liberamente nuvi servizi applicativi sulla base di tali regle predefinite (rdinamenti, prcedure e standard cmuni). I servizi di piattafrma, che realizzan l extranet pssn essere classificati cme servizi di fregrund e di backgrund. I primi sn funzinali direttamente al supprt dei servizi applicativi e sn cstituiti dal Middleware. I secndi sn funzinali all amministrazine dell extranet e sn cstituiti da servizi di gestine carte, di prvisining e altri. All stat attuale tutti gli utenti della extranet (peratri, Strutture, ) sn in pssess di: chiave di appartenenza all extranet è il pssess di una smart card peratre derivante dall essere nti e prfilati nel sistema di Prvisining. Ciascun peratre si suppne sia dtat di un sistema infrmativ ( intranet ): queste intranet pssn essere reti cmplesse e distribuite, cme generalmente accade nel cas delle Aziende, cncentrate ( cllassate ) in sistemi singli, ciè nel pst di lavr, cme generalmente accade nel cas di MMG/PLS. Ciascuna intranet rappresenta il dmini, intes cme camp di respnsabilità, del singl utente. L extranet cnsente cmunicazine, interperabilità e cperazine applicativa sicure, dirette e paritetiche agli utenti che le sn cllegati. Allegat 5 Capitlat Tecnic Pagina 15 di 71

16 Gli utenti della extranet pssn essere: Sl fruitri di servizi (nel seguit fruitri). Ciascun utente ha la pssibilità, nei limiti delle autrizzazini di access che l caratterizzan, di fruire ptenzialmente di tutti i servizi applicativi dispnibili sull extranet. Alcune tiplgie di utenti (es. MMG/PDF, farmacisti) hann esclusivamente la pssibilità di fruire di servizi espsti da altri utenti nel SISS. Sia fruitri che ergatri di servizi (nel seguit ergatri). L extranet si caratterizza per la presenza cntempranea di più servizi, espsti da variegati frnitri di servizi; fndamentale, in quant rappresenta il livell istituzinale della Regine e perché assmma una rilevante parte del traffic, è il Dmini Centrale Applicativ gestit da LI, cui si affiancan pariteticamente altri frnitri di servizi: ASL, AO, Accreditate, etc. Altri sggetti, nn attualmente cntemplati, ma cinvlti cn la sci sanità, ptrann aderire in futur e servizi applicativi ptrann essere aggiunti dagli utenti nel temp. Le prte applicativa e delegata Il cllegament fra ciascuna intranet e l extranet è realizzat mediante una prta (lgica fisica), che rappresenta il cnfine del dmini dell utente, unica per gni utente. Sulla prpria prta delegata ciascun utente fruisce dei servizi che gli altri utenti hann espst sull extranet, simmetricamente sulla prpria prta applicativa ciascun utente frnitre di servizi riceve le richieste prvenienti da altri dmini. Frnire un servizi sull extranet significa quindi esprre un servizi applicativ sulla prpria prta applicativa. La funzine della prta è quindi di anell di cngiunzine applicativa dei due sistemi infrmativi, quell dell extranet e quell di Azienda, per l interfacciament fra ambienti dismgenei e ptenzialmente prprietari da un lat e l ambiente unifrme e standardizzat dell extranet dall altr, grazie all applicazine delle citate regle rganizzative e tecniche predefinite. A titl di esempi si espngn i seguenti casi: una AO può selezinare ed esprre quindi rendere dispnibili- sulla prpria prta applicativa sl alcune delle funzinalità attive del prpri CUP, ma nn necessariamente tutte; il MMG/PLS può fruire del servizi di registrazine della prescrizine, ffert dal Dmini Centrale, mediante i servizi della prpria prta delegata. La tecnlgia Internet L architettura del SISS è basata sulla tecnlgia Internet. L apprcci distribuit ha cnsentit e cnsente di: perseguire la fruibilità dei servizi espsti, pur ciascun cn le sue specificità e fatti salvi differenti livelli di autrizzazine, anche da cittadini che accedan via Internet; perseguire la pssibilità di access mediante dispsitivi alternativi e leggeri, tipicamente dispsitivi mbili; mantenere i csti di gestine del servizi e i csti degli stessi PdL il più pssibile bassi, limitand l installazine sul PdL ad un insieme minim di cmpnenti generalizzate (p.e. Sicurezza, driver del lettre della carta) ed evitand di cinvlgere i PdL nell installazine, avviament, evluzine dei servizi applicativi (SEB). Allegat 5 Capitlat Tecnic Pagina 16 di 71

17 3.4.1 Il servizi di rete dell attuale extranet La rete della Sci Sanità è basata sui servizi di rete fferti da una pluralità di Netwrk Prvider (NP), intercnnessi in un unica Extranet Il NAP-SISS Il NAP (Neutral Access Pint) è il punt in cui gni Netwrk Prvider si cllega al sistema CRS-SISS per scambiare traffic cn LI e gli altri prvider. Il NAP è quindi un exchange privat: il punt in cui avviene l interazine paritetica dei NP tra lr e tra questi ed LI (Peering). L'attraversament del NAP è stt il cntrll, anche prestazinale, di LI. Sulle interfacce delle LAN del NAP l unic prtcll di ruting attiv è BGP. Figura 4: Ruting Plicy La Ruting Plicy è la seguente: Nel NAP passa sl il traffic tra aderenti al SISS che hann prvider diversi e il traffic tra LI e aderenti al SISS; Le rute annunciate da LI nn sn prpagate in Internet; Agli aderenti è data la pssibilità di accedere a Internet; Internet nn è utilizzata per cmunicazini tra aderenti al SISS L'architettura applicativa Quest paragraf descrive in frma sintetica l architettura applicativa del sistema CRS-SISS cn particlare riferiment ai punti di integrazine per gli Aderenti, evidenziand i ruli e le respnsabilità dei vari attri cinvlti (Aderente fruitre, Aderente espsitre e CRS-SISS). La Figura 5 frnisce il quadr generale delle interazini previste dal prgett. Allegat 5 Capitlat Tecnic Pagina 17 di 71

18 Architettura generale Dmini di sicurezza del CRS-SISS Access Applicatin t Applicatin A2A (SOAP) [tip a] PdL Extranet CRS-SISS Aderente S.I. Aderente CGI WEB SISS Access A2A F.E. PdL Access Brwser alla presentazine dei SEB [tip b] PdL [tip c] Access Brwser a Web Applicatin dell Aderente PdL Figura 5: Architettura Generale L scenari illustrat mstra cme, tramite l intermediazine del Centr di Gestine Integrat (CGI) di LI, i servizi ergati dalla Regine, dalle ASL, dalle AO ed in generale dagli Enti sci-sanitari sn resi dispnibili ai mlteplici attri del Servizi Sci Sanitari. Cn quest sistema pssn essere integrati sia servizi di base (SEB) messi a dispsizine da Regine Lmbardia, sia ulteriri servizi messi a dispsizine da Aderenti al SISS. Nella Figura sn messi in evidenza i ruli di Espsitre e di Fruitre di servizi, che pssn avere gli Aderenti. Le strutture sci-sanitarie pssn assumere sia il rul di espsitre sia quell di fruitre di servizi, mentre gli peratri individuali (MMG/PDF, ecc.) sn slamente fruitri. Il CGI ha il cmpit di rilasciare il servizi SISS agli Aderenti avvalendsi di infrastrutture centrali (cllcate press il Data Center del CRS-SISS) e di Frnt end. Questi ultimi sn elabratri che vengn cllcati press le strutture Aderenti cn l scp di mettere in cllegament i Sistemi Infrmativi della struttura cn l extranet SISS, garantend i servizi di cperazine, interperabilità e sicurezza. La fruizine dei servizi avviene attravers un insieme di mduli sftware che realizzan le csiddette Funzinalità di Prta Delegata (, più brevemente, Prta Delegata ). La Prta Delegata, che può risiedere sia sul PdL sia sul Frnt end, mette a dispsizine dell applicazine fruitrice una serie di servizi che pssn essere svlti sia lcalmente (ad esempi, nel cas del PdL, la lettura dei dati utente cntenuti nella SmartCard), sia veicland le richieste dell applicazine client vers la extranet. In md analg, l espsizine dei servizi avviene tramite le Funzinalità di Prta Applicativa (più brevemente: Prta Applicativa ). La Prta Applicativa risiede sul Frnt end e riceve le richieste prvenienti dalle Prte Delegate veiclandle, dp gli pprtuni cntrlli di sicurezza, vers il Sistema Infrmativ dell Aderente. Nel sistema CRS-SISS, le tiplgie di access ad un generic servizi espst da un Aderente sn le seguenti: Tip A: Utente SISS dtat di applicazine in grad di usufruire direttamente dei servizi SISS espsti in mdalità cperativa, definita nel seguit cme Applicatin t Applicatin (A2A), tramite il Frnt end (F.E.). Tale mdalità utilizza il paradigma di cllqui dei Web services, adttat cme Allegat 5 Capitlat Tecnic Pagina 18 di 71

19 standard dal Pian Nazinale di e-gvernment per la cperazine fra le Pubbliche Amministrazini. L utente in questine può essere sia un peratre dal su PdL, sia un altra applicazine dal su Frnt end. Tip B: Utente SISS dtat di Web Brwser, che usufruisce dei servizi tramite l intermediazine del Web SISS del CGI. Il CGI, infatti, espne, attravers un strat sftware che ne cnsente la fruizine tramite semplice Web Brwser, i servizi di base (SEB) SISS quei servizi che Lmbardia Infrmatica ritiene necessari rendere fruibili in questa mdalità. Le pagine web che il Web Brwser scarica da Web SISS cntengn della lgica attiva (tipicamente Java Script) tramite le quali le richieste di servizi sn inviate sull extranet tramite la Prta Delegata della Pstazine di Lavr su cui è attiv il Brwser. (Nta: questa pssibilità è in crs di dismissine vers la tiplgia C). Tip C: Utente SISS dtat di Web Brwser, che usufruisce tramite l Extranet del SISS di un servizi che l Aderente frnisce stt frma di Web Applicatin ma nn cme servizi cperativ A2A. E pprtun precisare che la classificazine espsta è relativa alle tiplgie di interazine e nn al Pst di Lavr (PdL), che, in relazine al servizi richiest, può essere utilizzat per perare cn una più delle mdalità indicate. Cmunque, per gni servizi ergat indipendentemente dalla tiplgia di interazine usata, e anche in assenza di un cinvlgiment sul pian funzinale, è sempre previst il cinvlgiment del CGI al fine di frnire funzinalità centralizzate di sicurezza e gestine. Le tiplgie principali di integrazine sn due: Integrazine di Web services ( integrazine A2A) Integrazine di Web Applicatin Il dialg viene svlt tra il Pst di Lavr degli peratri, che è in genere dtat di applicazini lcali (es: Cartella Clinica infrmatizzata, Gestinale di Farmacia, ) un altr applicativ, e l applicativ dell Aderente (es: CUP, Refertazine,...) tramite una Prta Applicativa fisica, cmpsta da un insieme di apparecchiature fisiche (Frnt end, switch, firewall, ecc ) e di sftware (di mercat sviluppat ad hc), che cnsentn di disaccppiare l Extranet SISS dalla rete interna (Intranet) dell Aderente. Sia sul PdL sia sul F.E. sn presenti servizi SISS di piattafrma che cnsentn il cllqui tra i due sistemi e frniscn servizi di sicurezza (ad es: identificazine, autenticazine, autrizzazine, riservatezza). Apprfndimenti a queste cnsiderazini pssn essere trvati nel dcument CRS-ISAU-SIAU#04 reperibile press Dati dimensinali I Servizi di Rete sn attualmente frniti dai NP vincitri della Gara 4/2005 accreditati. Tali servizi sn stati realizzati per ciascun Aderente al SISS. La rete raggiunge, ad ggi, circa punti di ergazine del servizi sul territri reginale. La lr ubicazine, aggregata per lcalità, è resa dispnibile in allegat. I servizi di rete sn suddivisi, secnd la classificazine adttata dalla precedente Gara, in Business e Cnsumer in funzine del numer di PdL servite (i servizi Business sn ulterirmente suddivisi in 5 tiplgie per fasce di PdL). Ogni servizi di rete di tip Business prevedeva mdalità di backup cn differenti prfili: Due ruter in HSRP/VRRP ciascun cn un cllegament prpri all infrastruttura del prvider; Un sl ruter dtat di una linea di backup cn capacità di banda pari al 50% di quella primaria. Allegat 5 Capitlat Tecnic Pagina 19 di 71

20 Tabella servizi Business, suddivise per tiplgia di cntratt: Tip cntratt BMA Numer cntratti Ba (5>PdL>50) 1 Mbps 141 Bb (50>PdL>100) 1,5 Mbps 7 Bc (100>PdL>200) 4 Mbps 15 Bd (200>PdL>600) 4 Mbps 22 Be (PdL>600) 8 Mbps 12 Ttale 197 Per i servizi di rete per i fruitri il requisit era una banda superire uguale a 128 Kbps. L attuale rete rilascia in realtà un servizi cn caratteristiche di larghezza di banda decisamente miglirative. Attualmente il traffic mensile per un punt di access di un medic di assistenza primaria è, mediamente, inferire a 500 Mbyte. Onde ffrire i servizi di rete al maggir numer pssibile di Aderenti, i NP uscenti hann adttat un mix di tecnlgie di cllegament. In particlare a fine 2011 risultan realizzate circa 700 cnnettività in tecnlgia ISDN. Cinnstante, ad ggi, circa 80 punti di ergazine del servizi nn sn stati rilasciati dagli attuali NP (dichiarati in Digital Divide). In allegat viene frnit l elenc indicativ dei punti di ergazine del servizi in digital divide ergati tramite cnnessini ISDN (cfr. Allegat 5.1) alla data di pubblicazine del seguente dcument. Nella tabella che segue viene frnita la distribuzine indicativa dei punti di ergazine del servizi cnsumer realizzate suddivise per prvincia. Prvincia N. indicativ di punti BG 1100 BS 1300 CO 700 CR 500 LC 400 LO 300 MI 3100 Allegat 5 Capitlat Tecnic Pagina 20 di 71

21 Prvincia N. indicativ di punti MB 750 MN 500 PV 800 SO 300 VA 950 E' inltre pssibile scmprre gli accessi cnsumer in funzine della tiplgia di utilizzatri: Tiplgia di aderente N. indicativ di punti MMG/PDF 7300 Farmacie 2600 ASSI/EEPA piccli 800 Si ricrda che il numer degli accessi nn equivale necessariamente al numer degli Aderenti fruitri dei servizi. Nella fattispecie il numer di MMG/PDF peranti cn il SISS sul territri reginale, sn, a fine 2011, circa Allegat 5 Capitlat Tecnic Pagina 21 di 71

22 4 REQUISITI DELLA FORNITURA: ARCHITETTURA, FUNZIONALITÀ, ALTRO 4.1 Generalità della frnitura La presente prpsta per il nuv servizi di rete della Extranet fa riferiment ai seguenti biettivi di miglirament e alle richieste prvenienti dagli utenti: Facilitare l access ai servizi SISS. I servizi devn essere raggiungibili da internet. In tal md gli peratri sci sanitari pssn accedere ai servizi SISS vunque si trvin, anche in mbilità, grazie alla prpria PDL ed alla prpria carta peratre. Miglirare l'affidabilità del servizi di trasprt. La dispnibilità dei servizi espsti sulla extranet SISS dipende dall'affidabilità del servizi di trasprt. Particlarmente critic è il cas degli ergatri di servizi sci sanitari. Prpri al fine di miglirare la qualità per questi si intende richiedere servizi di rete cmpatibili cn il Sistema Pubblic di Cnnettività (SPC). In quest md le necessità di servizi di rete del SISS trvan una rispsta che è al cntemp immediata e predispsta per gli assetti futuri: la rete del SISS si prefigura infatti cme un segment ptenziale della futura Cmmunity Netwrk reginale (in cerenza cn gli standard della PA). Inltre si intende: Garantire la pariteticità tra ergatri privati e pubblici. Ergatri Pubblici e Privati dvrann essere cnnessi entrambi dalla stessa rete in quant parte del servizi della sanità pubblica. Semplificare gli aspetti di gestine amministrativa. LI intende selezinare tramite la presente Gara un unic NP e gestire tutti i rapprti cntrattuali in virtù dell'incaric cmplessiv ricevut all'up da Regine Lmbardia. Minimizzare i csti di gestine tecnica del servizi. Si intende utilizzare per gli ergatri di servizi indirizzi IP di prprietà di RL (Autnmus System). La presente gara prevede che vengan rilasciati agli utenti due differenti tipi di servizi: Business e SOHO (Small Office Hme Office). Il servizi di tip Business è bbligatri per gli aderenti che espngan servizi (ASL, AO, ecc.). Per tale servizi sn richiesti Livelli di Servizi elevati sia in termini di prestazine sia di dispnibilità, equivalenti alla Classe di Servizi SPC Missin Critical ed al Livell di Affidabilità SPC L5. Il servizi di tip SOHO si applica agli aderenti in grad di fruire sltant di servizi altrui (MMG, farmacie, ecc.). I due servizi devn essere pienamente interperabili fra lr, cstituend due dmini della medesima rete: 1 Dmini SOHO: il cmpless delle risrse infrmatiche ed infrastrutture che realizzan i servizi di Rete per i fruitri dei servizi del SISS; in tale Dmini sn ergati i servizi di tip S, ed è caratterizzat da un cert livell di sicurezza di cui il NP è respnsabile nei cnfrnti di Regine Lmbardia. 2 Dmini Business: il cmpless delle risrse infrmatiche ed infrastrutture telematiche che realizzan i servizi di Rete per gli ergatri di servizi del SISS. In tale Dmini sn ergati i servizi B, ed è caratterizzat da un livell di sicurezza superire a quell implementat per il Dmini SOHO. La mdalità di realizzazine del cllegament tra l utente e gli apparati e l infrastruttura del NP al fine della fruizine del servizi di rete deve essere cnfrme a CRS-ISAU-SIAU#07 e CRS-ISAU-SIAU#38. Allegat 5 Capitlat Tecnic Pagina 22 di 71

23 4.2 Requisiti architetturali LI cn la presente Gara, richiede al frnitre di realizzare un servizi di rete per la extranet del SISS nella quale: i servizi sarann raggiungibili da tutti gli utenti dtati di PdL SISS, carta peratre ed pprtuni privilegi, vunque cllcati purché cnnessi ad Internet; i servizi di rete degli enti ergatri SISS abbian la massima affidabilità di servizi tra quant previst per la pubblica amministrazine. È viceversa pssibile che venga generat traffic vers Internet da cmpnenti della extranet (p.e. dalle prte applicative per la verifica delle Certificate Revcatin List CRL delle carte cittadin). LI garantisce la cnnessine alla QXN Qualified Exchange Netwrk. Per quest servizi LI utilizzerà indirizzi pubblici dell autnmus system di Regine Lmbardia. Il requisit del servizi di trasprt della extranet della sci-sanità viene realizzat secnd quant previst nei dcumenti di DigitPA che la definiscn Intranet SPC (cfr. Capitlat Tecnic SPC). Schema riepilgativ delle dispsizini di ruting richieste: Traffic generat da Dirett vers Deve essere Dmini Business (Aziende sanitarie) Dmini SOHO (Fruitri) Cmpnenti dell'extranet (Prta Applicativa) Dmini Business SPC via QXN Internet Dmini Business SPC via QXN Internet Dmini Business SPC via QXN Internet inltrat direttamente inltrat vers LI nn cnsentit inltrat direttamente nn cnsentit inltrat direttamente inltrat direttamente inltrat vers LI inltrat direttamente* Internet Dmini Business inltrat direttamente Dmini SOHO nn cnsentit * Li si riserva di veiclare diversamente il traffic generat dalle Prte Applicative. Allegat 5 Capitlat Tecnic Pagina 23 di 71

24 4.2.1 Il servizi Business Al frnitre viene chiesta la realizzazine di una frnitura cmpatibile ad una Intranet SPC. La richiesta deriva dalla vlntà di regine di pter implementare una cmmunity netwrk (CN) reginale in cui la rete SISS pssa diventare un prim cmpnente cnfrmemente a quant previst da DigitPA cme mdell di intercnnessine SPC. Figura 6: La rete SISS cme element della CN SPC reginale Nell ambit della Cmmunity Netwrk SPC il sl nd cstituit da LI sarà intercnness alla QXN. I servizi Business sn utilizzabili da enti pubblici e privati esclusivamente per le attività inerenti il servizi pubblic ergat nell ambit del sistema sanitari reginale. Regine Lmbardia ha un prpri Autnmus System e un prpri spazi di indirizzament Internet che intende utilizzare per la rete dei frnitri di servizi del SISS. LI frnirà gli indirizzi della rete BUSINESS dichiarandne l'utilizz al RIPE e, cnseguentemente, ne indicherà l'utilizz al NP Il servizi di tip Business e la rete delle Aziende Sanitarie Il frnitre deve attestare il servizi di tip B press le Aziende Sanitarie tramite un prpri apparat Terminazine di Rete (TdR). Occrre evidenziare che la cnfigurazine delle intranet delle Aziende sarann tali da separare, in uscita, il traffic vers il SISS dal traffic vers Internet (il default rute del firewall della Aziende deve indirizzare vers il servizi Internet che, necessariamente, differisce dal servizi di rete prtat tramite questa Gara) Il servizi SOHO Il frnitre deve frnire agli utenti Small Business un servizi di rete cn access ad Internet cn adeguata qualità (cfr. capitl 6). In particlare sn definiti due prfili di access: prfil 1; prfil 2, tipicamente utilizzat per garantire il servizi ad aggregazini di utenti. Allegat 5 Capitlat Tecnic Pagina 24 di 71

25 Prfil SOHO BMA 1 Almen 1600 Kbps in dwnlad e 500Kbps in uplad 2 Almen 2Mbps in entrambe le direzini Il frnitre deve prvvedere: ad installare tutti gli apparati (TdR) press la sede degli utenti per la cnnessine alla rete; ad amministrare tali apparati crdinandsi cn LI; ad installare ed a cnfigurare l access fisic per la cnnessine tra la prpria infrastruttura di rete e i prpri apparati d access TdR installati press la sede degli utenti. Per il servizi SOHO di Prfil 1, il frnitre deve farsi caric di rendere fruibile l'access dve richiest dal / dagli utenti finali anche tramite l'impieg di tecnlgie wireless. I TdR dvrann essere dtati di almen 4 prte LAN. In casi specifici (max 0,5%) LI ptrà richiedere un numer superire di prte LAN. Per il servizi SOHO di Prfil 2, si presuppne la presenza di una rete lcale che cllega l aggregazine di utenti. Il frnitre è respnsabile: del funzinament degli apparati TdR e della cnnettività, frniti ed installati press la sede degli utenti; della reglare manutenzine degli apparati e della cnnettività, frniti ed installati press la sede degli utenti; degli eventuali upgrade tecnlgici degli apparati e della cnnettività frniti ed installati press la sede degli utenti, su prpria iniziativa su esplicita richiesta di LI per mtivate ragini Il cllegament tra LI ed il NP Il frnitre deve cllegare LI e i sui data center (sia il primari, sia il secndari). In dettagli i due data center di LI sn cllcati entrambi in Milan: l'un in via Dn Minzni 24, l'altr in via Taramelli 26. L schema seguente evidenzia le cnnessini tra LI, il NP, la rete SPC ed Internet. Allegat 5 Capitlat Tecnic Pagina 25 di 71

26 Figura 7: Cnnessini ai data center LI Grad di invasività della sluzine Il frnitre deve interfacciarsi esclusivamente cn i servizi resi dispnibili da LI cme specificatamente indicat nel presente capitlat (cfr. capitl 4.4). Nn è cnsentit di inserire hardware sftware da dislcare nelle intranet degli utenti fatt salv gli apparati terminazine di rete (TdR) di cui al par Vincli Il cllegament tra utente e punt di ergazine del servizi deve cnfrmarsi a quant stabilit in CRS- ISAU-SIAU#07 sia nel cas di servizi di tip Business sia nel cas di tip SOHO Servizi di trasprt I servizi di trasprt del frnitre devn essere in grad di garantire caratteristiche differenziate per il trasferiment dei pacchetti IP secnd le seguenti due diverse Classi di Servizi (CdS) cme definit in ambit SPC: 1. IP Best Effrt: per il dmini SOHO (i fruitri dei servizi SISS); 2. IP Missin Critical: per il dmini Business (gli ergatri dei servizi SISS). Ogni ergazine del servizi sarà caratterizzat da una più interfacce fisiche lat utente definite ciascuna cme Punt di Ergazine del Servizi (PES). Ogni servizi di trasprt è definit da due tipi di cmpnenti caratterizzati da diversi parametri che il frnitre dvrà rispettare. Allegat 5 Capitlat Tecnic Pagina 26 di 71

27 I due tipi di cmpnenti sn: Cmpnente di Access (CdA), che caratterizza il cllegament utilizzat per cnnettere un punt di ergazine del servizi SISS cn la rete dell utente. Cmpnente di Trasferiment (CdT), che caratterizza le garanzie di prestazini frnite per i differenti tipi di traffic. I parametri del servizi che caratterizzan la cmpnente di access e le single cmpnenti di trasferiment sn: Per la CdA: Banda Massima in Access Terminazine di rete (TdR) Livell di affidabilità Per la CdT: Ambit Classe di Servizi Banda Garantita in Access La descrizine delle grandezze e dei parametri (dispnibilità, banda garantita, tempi di ritard, affidabilità) delle cmpnenti è sempre definita intendend cme PES l interfaccia interna (vver quella d utente) dell apparat di access Cmpnente di access dei servizi di trasprt Banda Massima in Access (BMA) La BMA rappresenta il massim valre della banda che il frnitre renderà dispnibile su un determinat access ed è descritta da un valre per la direzine Upstream (BMAu) e da un valre per la direzine Dwnstream (BMAd). Un access ptrà essere asimmetric (ssia BMAu<BMAd) simmetric (ssia BMA=BMAu= BMAd). Per gni access il frnitre deve assicurare le seguenti cndizini: la rete dvrà rendere pssibile, almen in alcuni mmenti, l utilizz dell intera banda fisica di access. Il NP aggiudicatari pertant, nn ptrà utilizzare plitiche di traffic shaping sulla Terminazine di Rete che impediscan all utente, in assenza di cngestine di rete, di arrivare ad utilizzare l intera banda fisica di access; per gni BMA la banda fisica dispnibile sull access nn dvrà essere inferire almen a quant riprtat nella seguente tabella (cfr. Capitlat Tecnic SPC); Asimmetric BMA Banda Fisica Dwn Up Dwn Up Allegat 5 Capitlat Tecnic Pagina 27 di 71

28 La banda fisica frnita deve garantire meccanismi che, a secnda della qualità delle infrastrutture fisiche dispnibili, pssan cnsentire di raggiungere velcità fin alla banda massima in access (BMA). Terminazine di Rete (TdR) Il frnitre deve ergare il servizi di trasprt IP attravers l impieg di un idne apparat di access che metta a dispsizine del cliente l interfaccia PES. Tale apparat, definit TdR, deve essere mess a dispsizine, gestit e cnfigurat dal frnitre cme cmpnente integrale del servizi. Ove si richiede un servizi ad alta affidabilità (cme descritt nel paragraf successiv), si intende che il frnitre dvrà attestare l'access secndari su un differente TdR. Il frnitre deve garantire ad LI l access in lettura alla Management Infrmatin Base (MIB) delle TdR. Le TdR dvrann essere all stat dell arte della tecnlgia e del mercat, dvrann implementare prtclli all stat dell arte e dvrann essere dimensinate in md da garantire il rispett dei livelli di servizi previsti per il servizi di trasprt richiesti (cfr. cap.6). I PES messi a dispsizine dalle TdR dvrann essere cnfrmi all standard Fast Ethernet (10/100 Autnegtiatin). Per gli accessi simmetrici da 1 Gbps le TdR dvrann essere dtate di PES realizzati da interfacce Gigabit Ethernet. Qualra esplicitamente richiest le interfacce del PES dvrann essere frnite in fibra ttica. Per i valri di BMA superiri a 100 Mbps il NP aggiudicatari dvrà frnire una TdR di tip High Perfrmance, in grad di supprtare un wire-speed (full duplex) pari alla BMA. Livelli di affidabilità Per gni access il frnitre deve garantire il livell di affidabilità specificati attravers i seguenti parametri Dispnibilità unitaria Temp di ripristin del servizi Finestra temprale di ergazine Il frnitre deve assicurare, attravers pprtune misure tecnic-rganizzative (ad es. ridndanza dell infrastruttura fisica di access, back-up, ridndanza degli apparati di access, presidi tecnici press il cliente) il rispett dei valri di dispnibilità unitaria dell access, temp di ripristin, ripetitività dei disservizi e finestra temprale di ergazine secnd i livelli di servizi definiti nel capitl 6. I servizi inclusi in Gara si intendn caratterizzati almen da una dispnibilità unitaria del 98% (livell base) per gli accessi del dmini SOHO e almen del 99,5% per gli accessi del dmini Business (livell standard) (cfr. cap.6). Per parte degli accessi della rete Business è richiest un servizi di alta affidabilità (dispnibilità unitaria >= 99,99%) e si richiede la frnitura di linee di backup tramite la frnitura di access secndari cn BMA pari almen alla metà di quella principale attestata su un TdR dedicat. Per gli accessi frniti entr il territri dei cmuni caplug di prvincia, è richiest l'instradament su dppi percrs (da due POP differenti) Cmpnente di trasferiment dei servizi di trasprt Ambit Le cmpnenti di trasprt ergate dal frnitre dvrann cstituire una Intranet per il sistema Sci Sanitari reginale. In particlare si chiede di distinguere nella Intranet due dmini: un dmini degli ergatri di servizi sanitari (nel seguit dmini Business) ed un dei fruitri dei servizi medesimi (nel seguit SOHO). Per ciascun dmini sn richiesti servizi distinti in termini di CdS e garanzie di banda. Allegat 5 Capitlat Tecnic Pagina 28 di 71

29 Classe di servizi (CdS) La CdS viene identificata dai seguenti parametri di rete: Ritard di trasferiment: temp necessari ad un pacchett IP per un tragitt end-t-end. In funzine della CdS la misura di tale parametr farà riferiment alla tratta rigine-destinazine-rigine (Rund Trip Delay, RTD). Tass di perdita dei pacchetti: percentuale di pacchetti trasmessi, ma nn cnsegnati. Banda garantita in Access Per ciascuna CdT, ltre alle prestazini relative alla CdS, il frnitre dvrà garantire una Banda Garantita in Access (BGA), definita cme segue: BGA: si intende la velcità in trasmissine e/ ricezine fin alla quale la rete dvrà garantire il trasprt cn il rispett dei parametri di qualità definiti per ciascuna CdS. Il NP dvrà dimensinare la prpria rete in md da assicurare il rispett dei parametri all intern della rete stessa secnd quant definit nei livelli di servizi definiti nel capitl 6 e a quant ffert. Nel cas degli accessi Business richiesti, la BGA crrispnde alla BMA (nella terminlgia SPC equivale a irichiedere una BGA pari all'intera banda BMA, ve è definit un unic ambit (Intranet), ed un unic CdS (missin critical). Nel cas degli accessi SOHO, nn viene richiesta una BGA ma questa può essere fferta cme element miglirativ (cfr. Mdell di Dichiarazine di Offerta Tecnica) Dispnibilità gegrafica dei servizi di trasprt Il frnitre aggiudicatari dvrà ergare i servizi richiesti, sull'inter territri della Regine. Nel cas in cui il frnitre sia un Other Licensed Operatrs (OLO), quest dvrà bbligatriamente riprtare nell Offerta Tecnica i prgrammi di attuazine per l utilizz dell access disaggregat (ULL) della rete di Telecm Italia, specificand il numer ttale di siti, entr il territri reginale, press i quali, alla data di presentazine dell fferta, è stata ttenuta la cllcazine. Dvrà inltre prdurre un dcument cntenente l'elenc delle centrali aperte all ULL alla data di presentazine dell fferta. Alla sttscrizine del cntratt LI frnirà l'elenc degli accessi, vver delle lcalità dve dvrann essere attestati i PES, cn i relativi prfili assciati. A valle della firma del cntratt nell ambit delle attività prpedeutiche, il frnitre per ciascun access dvrà inltre descrivere: la catena impiantistica che realizza l access, per gli accessi richiesti in alta affidabilità; le mdalità di racclta del traffic utente di livell 2 che ptrà avvenire tramite rete prprietaria dell Offerente vver tramite la rete di Telecm Italia (servizi bitstream) la rete di altri Operatri; le eventuali mdalità di cnsegna del traffic utente di livell 2 della rete di Telecm Italia (servizi bitstream), alla rete del NP alla rete di altri Operatri; gli eventuali meccanismi di re-instradament autmatic del traffic utente in cas di un guast su apparati della rete del NP; e quant'altr LI riterrà necessari richiedere per megli cmprendere le caratteristiche di quant frnit. Allegat 5 Capitlat Tecnic Pagina 29 di 71

30 4.3 Requisiti funzinali Indirizzament Il frnitre utilizzerà per il servizi di tip Business l'indirizzament pubblic res dispnibile da Regine Lmbardia. Per quant riguarda la rete SOHO frnita agli utenti, il frnitre dvrà frnire lr prpri indirizzi. Questi indirizzi IP dvrann essere fissi (vver essere assciati univcamente ad gni singl TdR). Gli indirizzi resi dispnibili da RL ptrann migrare a IPv6. Il NP deve garantire che tale evenienza nn cmprti malfunzinamenti interruzini di servizi. Il pian degli indirizzamenti per gli utenti del servizi Business sarà frnit al NP da LI Intercnnettività Da ciascun punt di ergazine di servizi è pssibile raggiungere gni altr punt DNS Il frnitre deve frnire un servizi DNS all scp di rislvere gli indirizzi di Internet e degli altri Aderenti, per richieste prvenienti dagli Aderenti. LI si impegna a rendere dispnibile al Prvider un servizi DNS, master per gli indirizzi appartenenti all autnmus system reginale. 4.4 Servizi di supprt Manutenzine e assistenza dei servizi di cnnettività Nell ambit dei servizi di cnnettività il frnitre dvrà ergare anche i relativi servizi di manutenzine e assistenza, i quali cmprenderann tutte le attività di gestine dei sistemi e della rete finalizzate a cntrllare ed intervenire a frnte di anmalie su tutte le cmpnenti dei servizi fferti. I servizi di manutenzine e assistenza riguarderann le seguenti attività: installazine, attivazine, cessazine e variazine dei servizi e delle relative cmpnenti; supervisine della rete e gestine degli apparati; manteniment delle misure di sicurezza minime sulle infrastrutture utilizzate per i servizi di cnnettività; supprt tecnic alla gestine dei malfunzinamenti; gestine centralizzata delle cnfigurazini e distribuzine del sftware di rete; analisi delle prestazini del servizi; rendicntazine. Per l espletament di tali servizi il frnitre deve avvalersi di un Centr di Gestine di rete (di seguit indicat cn l acrnim NOC, Netwrk Operating Center), integrat cn le strutture di supprt utenti del prpri Help Desk, in md da assicurare i livelli di servizi richiesti (cfr. capitl 6 Livelli di Servizi). Allegat 5 Capitlat Tecnic Pagina 30 di 71

31 4.4.2 Servizi di Prvisining, Cnfiguratin e Change Management LI si impegna a mettere a dispsizine del frnitre il sistema di Prvisining attravers il quale richiedere i servizi di prvisining, cnfiguratin e change management. Il frnitre, utilizzand il sistema di Prvisining mess a dispsizine da LI integrandl, deve ergare le seguenti prestazini: attivazine e cessazine di nuvi servizi di cnnettività e delle relative cmpnenti; installazine e cnfigurazine degli apparati: il frnitre dvrà garantire l effettiva installazine degli apparati per la frnitura dei servizi di cnnettività e dvrà cnsegnare ad LI un inventari degli apparati installati; installazine e cnfigurazine del sftware: il frnitre dvrà farsi caric delle attività di installazine del sftware sugli apparati, attività che ptrà essere realizzata press i siti del frnitre stess; traslc cmplet dei TdR; variazine eventuale delle cmpnenti dei servizi di cnnettività; variazine delle cnfigurazini dei flussi di traffic; attuazine degli adeguamenti, ricnfigurazini ristrutturazini richiesti da attività di system tuning ; caricament ed attivazine di nuve release sftware sugli apparati della rete di trasprt e su tutti i sistemi utilizzati; aggirnament sftware degli apparati per mantenere l allineament cn i rilasci sftware messi a dispsizine dai frnitri della tecnlgia sia cn finalità di patching che per quant riguarda l intrduzine dei nuvi servizi; gestine remta degli apparati installati che permetta al frnitre di intervenire dai prpri NOC e per attività perative. Il frnitre deve gestire e cntrllare tutte le cnfigurazini hardware e sftware degli apparati utilizzati per l'ergazine dei servizi, mantenend aggirnat un database delle cnfigurazini (integrat cn le Basi Dati di NOC) che cnsenta: l inventari delle cnfigurazini hardware e sftware e delle persnalizzazini necessarie, in md da facilitare le perazini di ripartenza e riallineament a frnte di un qualsiasi prblema legat alle funzinalità dei sistemi gestiti; la prduzine quadrimestrale di un reprt delle cnfigurazini; la pianificazine delle attività di gestine e di aggirnament dei sistemi. Al Frnitre sarà data la pssibilità di integrare il prpri servizi al sistema di prvising di LI, la quale frnirà le specifiche necessarie alla realizzazine di tale integrazine. Utilizzand il servizi di prvising di LI, ppure il prpri se debitamente integrat, il frnitre dvrà (secnd le mdalità descritte in figura 8): acquisire cmunicazine di gni richiesta di prvising; cmunicare ad LI le segnalazini di pianificazine e di cllaud all avvenut cmpletament della gestine dell event richiest; Allegat 5 Capitlat Tecnic Pagina 31 di 71

32 Figura 8: Gestine Prvisining Netwrk Operating Center (NOC) Il frnitre, limitatamente alla prpria infrastruttura di rete, deve disprre di un sistema, nn necessariamente dedicat, basat su architetture e tecnlgie standard di tip SNMP, per la gestine delle risrse utilizzate per ergare i servizi Business. Attravers tale sistema il frnitre deve verificare in md cntinuativ le prestazini della prpria infrastruttura di rete al fine di: gestire la rete, cn mnitraggi puntuale di gni servizi; valutare il grad di ccupazine delle risrse trasmissive; verificare il crrett dimensinament cmplessiv del sistema; cnsentire una verifica dei livelli di servizi cntrattualmente stabiliti ed il calcl di statistiche; frnire reprtistica per tutti i servizi cntrattualizzati. Il sistema del frnitre deve includere una Base Dati cntenente infrmazini su: cnfigurazine delle reti di trasprt in esercizi; valre di gni singla misurazine dei livelli di servizi che includn almen i dati ggett di tutti i reprt peridici previsti; lg dei truble ticket gestiti dall'help desk; classificazine dei guasti a secnda dei livelli di servizi cntrattualizzati; dati di riscntr della qualità (cfr. paragraf 6.6.1). Il frnitre deve mettere a dispsizine un servizi che sia accessibile mediante Web Brwser previa autenticazine. Il servizi deve cnsentire ad LI e ai singli EE le seguenti funzinalità: cnsultazine dei dati relativa alle risrse di rete di prpria cmpetenza tramite interfaccia grafica che cnsenta la generazine guidata di reprt, grafici, e query cmplesse; Allegat 5 Capitlat Tecnic Pagina 32 di 71

33 esprtazine dei dati, secnd frmati standard relativamente alle risrse di rete di prpria cmpetenza. Il frnitre deve inltre frnire a LI quant necessari per cnsentire l access al su sistema di supervisine della rete da installare press LI stessa e/ terze parti designate da LI. Il NOC dvrà acquisire dal Galile Ferraris il Temp Ufficiale della Rete (attravers il prtcll Netwrk Time Prtcl NTP versine 3 (cfr. RFC 1305)) ed utilizzarl cme riferiment ai fini della marcatura cn "time stamp" dei lg e dei truble ticket, nnché per tutte le altre funzini di gestine della rete che richiedn un riferiment temprale. Su richiesta di LI, il frnitre deve, secnd prcedure cncrdate, cnsentire l access al NOC al persnale incaricat di LI per effettuare verifiche sulle mdalità di espletament del servizi Servizi di Help Desk Il frnitre deve rendere dispnibile un servizi di help-desk di 2 livell attiv H24, 7 girni su 7, integrat cn la struttura di NOC, presidiat da persnale tecnic specializzat. Il servizi di HD deve ricevere segnalazini di malfunzinament/anmalia tramite il sistema di Truble Ticketing di LI ltre che tramite chiamata telefnica ed . Il servizi di Help Desk realizzat dal NP, riceve segnalazini di malfunzinament/anmalia esclusivamente dagli Help Desk di 1 livell del SISS direttamen te da LI. L'utente finale ptrà accedere direttamente al prpri servizi di help desk di 1 livell, il qua le dirtterà la segnalazine all Help Desk del NP sl se rileverà un prblema di cmpetenza del NP. La figura 9 illustra il prcess rganizzativ per la gestine di malfunzinamenti/anmalie. Figura 9: Gestine assistenza Cme spra indicat, LI si impegna a mettere a dispsizine del frnitre: l access alla sluzine di Truble Ticketing System (TTS) di LI; le specifiche affinché il NP pssa integrare il prpri TTS alla sluzine TTS messa a dispsizine da LI. Allegat 5 Capitlat Tecnic Pagina 33 di 71

34 Il servizi del frnitre deve presentarsi cme dedicat per il servizi di rete rilasciat, sia di tip Business che SOHO. Utilizzand il servizi di TTS di LI, ppure il prpri se debitamente integrat, il frnitre deve: acquisire cmunicazine di gni richiesta di assistenza; cmunicare ad LI le segnalazini di guast e l avvenut cmpletament della gestine dell event cmunicat (richiesta di intervent) dp aver pianificat e realizzat gli interventi necessari; L apertura di un ticket può generare i seguenti casi: il prblema segnalat è di pertinenza del NP che l rislve secnd l'iter descritt in figura 9; il prblema nn è di pertinenza del NP. Il NP, cn dvuta mtivazine, l segnala all Help Desk di prim livell che ha apert la segnalazine ritrnandgli il ticket. Il frnitre deve impegnarsi all apertura prattiva di un ticket sul TTS di LI anche in mancanza di segnalazini da parte di terzi, in rispsta a malfunzinamenti rilevati dai prpri sistemi di gestine. Qualra il frnitre intenda realizzare la piena integrazine al sistema TT di LI, dvrann essere garantite almen le funzini principali per la gestine di un TT: apertura; chiusura; ntifica. LI si rende dispnibile a frnire le specifiche di integrazine che devn essere utilizzate (via web services) Servizi di Fault Management L'help-desk del frnitre deve ergare un servizi di fault management cnsistente nella rilevazine, diagnsi e risluzine dei guasti ccrrenti sui servizi di cnnettività. In particlare, per i malfunzinamenti che cinvlgn gli apparati installati, il frnitre deve intervenire secnd le seguenti mdalità: gestine remta dal prpri NOC di tutti gli apparati installati per la risluzine dei malfunzinamenti; manutenzine n-site, qualra il malfunzinament nn permetta una crrezine attravers il supprt remt. Le attività di fault management che richiedan intervent dirett sul sit dvrann essere effettuate nella finestra di ergazine del servizi (cfr. capitl 6) e cncrdati cn l utente. Qualra una cmpnente, parte di una cmpnente del servizi di cnnettività installata, presenti un malfunzinament, il frnitre dvrà prvvedere alla sua sstituzine secnd i tempi di ripristin del servizi descritti nel capitl 6 Livelli di Servizi, in funzine del tip di impatt prvcat dal malfunzinament Servizi di Sicurezza Il frnitre deve nminare al su intern un Respnsabile perativ lcale della sicurezza che dvrà fungere da punt di cntatt priritari per tutte le prblematiche di sicurezza che interessan l infrastruttura del NP aggiudicatari. Il Respnsabile Operativ della sicurezza ptrà avvalersi di sstituti i cui nminativi dvrann essere preventivamente cmunicati a LI. Dvrann essere rispettate almen le seguenti misure generali: attuazine delle misure minime rganizzative e tecniche previste dal Cdice in materia di prtezine dei dati persnali (D.L. 30 giugn 2003, n. 196 Allegat B Trattament cn strumenti elettrnici); dispsizine di un rganizzazine per la gestine della sicurezza dell infrastruttura, secnd il mdell indicat dalla nrma ISO 27001; Allegat 5 Capitlat Tecnic Pagina 34 di 71

35 sttscrivere e applicare le plicy di sicurezza richieste da LI e prdurre le cnseguenti istruzini perative; dispsizine, nei punti di ingress alle prprie infrastrutture utilizzate per l ergazine dei servizi Business, di sistemi di cntrll e filtraggi del traffic (firewall e liste di cntrll di access a prtezine degli apparati ruter) e di verifica dell assenza di cdice malevl nei messaggi di psta elettrnica (antivirus); implementazine, cn mdalità cncrdate cn LI, sul dispsitiv che realizza il PES stt il prpri dmini amministrativ del NP, di tutte le funzinalità vlte ad impedire attacchi di tip IP spfing prvenienti/diretti vers le reti degli EE; garanzia di tempestiv aggirnament, cn applicazine delle patch, del sftware/firmware degli apparati (ruter-switch) che trasprtan il traffic secnd le plitiche cncrdate cn LI; implementazine di un sistema centralizzat per l autenticazine, l autrizzazine e la tracciatura degli accessi sugli apparati di rete di prpria cmpetenza impiegati sulla rete Business (sistema AAA). Il frnitre ptrà prevedere eventuali estensini all implementazine del sistema AAA sulla rete SOHO che sarann ggett di valutazine (cfr. paragraf 2.2 dell Allegat 2 - Mdell di Dichiarazine di Offerta Tecnica). Misure per il cntrast e recuper: cntrll cstante dei prpri apparati di rete e della rete fisica di trasprt cn l scp di individuare eventuali anmalie che pssan essere sintm di prblemi di sicurezza; analisi autmatica del traffic di rete cn sistemi IDS (Intrusin Detectin System) cn l biettiv di ricnscere ptenziali attacchi; attivazine delle funzini di lgging del traffic su tutti gli apparati di rete e sicurezza. I lg dvrann essere cnservati cn mdalità e tempi cerenti cn le indicazini del Cdice della Privacy. Eventuali situazini anmale devn essere segnalate ad LI. I lg relativi agli apparati di sicurezza dvrann essere analizzati girnalmente; definizine ed implementazine delle prcedure di gestine degli incidenti a valle di segnalazini di eventi di sicurezza. Misure rganizzative: analisi dei rischi su base sistematica, almen cn cadenza annuale. Tale analisi dvrà inltre essere ripetuta a seguit di attacchi incidenti gravi di sicurezza per variazini significative dell architettura; verifica, cn cadenza almen semestrale, della capacità di resistenza del prpri spazi trasmissiv nei cnfrnti di attacchi esterni; schedulazine di peridiche attività di revisine delle utenze e delle autrità di sicurezza ed immediata cancellazine delle utenze relative al persnale che rislve il rapprt di lavr; separazine delle respnsabilità interne relative alla gestine della sicurezza ed alle verifiche; attivazine di un rganizzazine per la gestine dell emergenza e dei prblemi di sicurezza, vlta ad assicurare la cntinuità del servizi nel cas di eventi eccezinali imprevedibili attravers la stesura e la gestine dei piani per l emergenza. LI si riserva di effettuare un cntrll apprfndit delle misure di sicurezza spra menzinate e di partecipare alla lr definizine. I risultati sarann trattati nell ambit dei SAL perativi Sistemi di Firewalling I sistemi di firewalling su cui è basat il servizi dvrann supprtare tutti i prtclli specificati nell standard TCP/IP e ptrann essere realizzati per il tramite di dispsitivi hardware prgettati specificatamente Allegat 5 Capitlat Tecnic Pagina 35 di 71

36 per frnire le funzinalità di firewalling. La selezine ed implementazine della tiplgia di dispsitiv di tip firewall, stante i requisiti del presente capitlat tecnic, è a caric del frnitre. I sistemi di firewalling su cui è basat il servizi dvrann supprtare una plitica di sicurezza di rete del tip: Nega qualsiasi servizi eccett quelli esplicitamente permessi. In fase di installazine e messa in esercizi tutti i servizi dvrann essere tempraneamente blccati e sarà pssibile autrizzare i servizi necessari sl ad avvenuta installazine e verifica della crretta peratività del firewall. Il frnitre deve garantire le seguenti caratteristiche di base per il servizi di firewalling: Filtraggi di traffic IP: cnsente di prteggere una rete IP single pstazini di lavr da accessi indesiderati blccand indirizzi, prte e prtclli. Auditing e lgging: cnsente l analisi del traffic che attraversa il firewall. Mdul di ispezine: effettua l ispezine dei datagrammi IP e realizza il filtraggi sulla base delle regle implementate. Dvrà essere implementata la metdlgia stateful inspectin escludend l impieg di dispsitivi di firewalling del tip Packet Filtering Stateless. Mdul di gestine: è il cmpnente funzinale che cnsente di cnfigurare e mnitrare il cmprtament del sistema firewall. Su richiesta di LI il frnitre deve garantite le seguenti caratteristiche aggiuntive: Gestine dell'accessibilità di specifici servizi SISS da Internet. Il NP deve garantire escludere la raggiungibilità da Internet di singli servizi applicativi espsti sul dmini Business secnd quant richiest da LI: i servizi Internet ptrann infatti essere resi dispnibili cn gradualità. Gestine dell autenticazine e cntrll degli accessi: cnsente di reglare l impieg di alcuni servizi (FTP, Telnet, http, https) veiclati per il tramite del firewall sulla base di una preventiva autenticazine. Prt Address Translatin (PAT) Management: cnsente di nascndere, al fine di aumentare il livell di prtezine, le prte effettive di asclt di un sistema server prtett dal firewall, cn prte fittizie. URL Filtering Management: cnsente di abilitare la navigazine WEB che avviene per il tramite del firewall sl a determinate pstazini, di cntrllare le statistiche sulla navigazine e di blccare l'access a particlari siti Internet/Intranet. Prfili del servizi Per quant riguarda il servizi di Firewall si richiede, fatt salv il requisit di scalabilità, che il thrughput tra il Dmini Business e SOHO, sia di almen 5 Gbps, ferm restand l bbligatrietà di garantire i livelli di servizi definiti (cfr. cap. 6) Netwrk Intrusin Detectin System (NIDS) Management Il frnitre deve ergare un servizi cnsistente nell implementazine e gestine di sistemi di rilevament delle intrusini (Netwrk Intrusin Detectin System, NIDS) che cnsenta di identificare psitivamente tutte le sequenze di eventi, cndtti da una più entità nn autrizzate, aventi cme biettiv la cmprmissine di un sistema, di un apparat di una rete. Il frnitre deve ergare il servizi di NIDS Management tramite i seguenti cmpnenti: Sensre: raccglie dati dalla rete (pacchetti dati) e li inltra all'analyzer. I sensri devn pter mnitrare segmenti di rete cn prestazini pari a 10 Mb/s (Ethernet), 100 Mb/s (Fast-Ethernet) e 1000 Mb/s (Gigabit Ethernet). Analyzer: riceve input da un più sensri da altri analyzer, e determina l ccrrenza di una situazine di attacc. L'utput di quest cmpnente rappresenta un indicazine di avvenuta Allegat 5 Capitlat Tecnic Pagina 36 di 71

37 intrusine da cui pssn scaturire azini autmatiche cnfigurabili (almen definizine plicy su firewall, terminazine cnnessini TCP, generazine trap SNMP). User interface ( manager): cnsente di cntrllare e mnitrare il cmprtament del sistema NIDS. Il frnitre deve ergare un servizi di NIDS Management cn le seguenti funzinalità: supprt dei prtclli IEEE Ethernet, Fast-Ethernet, Gigabit Ethernet e tutti i prtclli specificati nell standard TCP/IP. analisi passiva di un prtcll tramite l'us di sniffer; capacità di rilevazine degli attacchi garantend la percentuale di falsi psitivi e falsi negativi definita negli allegati capitl 6 Livelli di Servizi. racclta e cnservazine tracce accurate degli avvenuti attacchi all scp di favrire l individuazine degli autri dell attacc e cme deterrente per scraggiare ulteriri azini stili; racclta di infrmazini sugli eventi di attacc da una più srgenti di infrmazine tramite sensri psti sulla rete; analisi predeterminata degli eventi rilevati attravers l utilizz di signature analysis che cnsentn di ricnscere le serie di pacchetti ( i dati cntenuti in essi), selezinate preventivamente in fase di cnfigurazine al fine di ricnscere un tipic pattern rappresentativ di un attacc; gestine del database delle signature. Il NP dvrà aggirnare sia cn peridicità almen mensile, sia su richiesta di LI, le signature dei sistemi NIDS per mezz dei quali viene ergat il servizi; esecuzine della frensic analysis degli attacchi; ntifica specifica a frnte dell identificazine di un event di attacc; ntifica ad LI di eventuali situazini che necessitin di interventi/decisini da parte di LI stessa di un EE. Tali decisini si intendn quelle relative ad eventi per cui pssn generarsi disservizi di tip blccante. definizine di regle persnalizzate per: - tener cnt di eventuali vulnerabilità riscntrabili mediante un attività di risk assessment effettuata sulla rete Business ; - registrare le attività sulla rete che rispndn a determinate cndizini; - attivare delle ntifiche a frnte di particlari sequenze di eventi sulla rete; - attivare delle azini specifiche di cntrast all intrusine persnalizzabili. Allegat 5 Capitlat Tecnic Pagina 37 di 71

38 Prfili del servizi Le classi degli attacchi che devn almen essere rilevate dal servizi di NIDS Management è riprtata nella tabella seguente: Classe 1 Access illegale a rt dall estern ed utilizz delle tecniche definite in Access nn autrizzat a risrse 2 Access illegale cme utente dall estern ed utilizz delle tecniche definite in Access nn autrizzat a risrse 3 Denial Of Service (DOS) Flding Vulnerabilità - Ping fld -Smurf -SYN fld -Spfing (ip address falsificat) -IP Surce Ruting -Distributed DOS -Buffer verflw -Cnfigurazini di default -Ping f death -Remte system shutdwn 4 Access nn autrizzat a risrse Prbe -Passwrd cracking e vilazine d access -Cavalli di tria -Intercettamenti (flding, hijacking, man-in-the-middle) -Spfing (falsificazine di identità) -Prt and services scanning -Rilevament da remt del sistema perativ -Cnnessine nn autrizzata alla rete del sistema Allegat 5 Capitlat Tecnic Pagina 38 di 71

39 Applicazine dei servizi di sicurezza Per garantire un livell minim di sicurezza in linea cn quant dettat per la rete SPC della Pubblica Amministrazine, i sistemi di Firewalling e NIDS dvn essere applicati almen press: la Prta di Rete intra Dmini che cstituisce la cmpnente lgica di mediazine tra il Dmini SOHO e il Dmini Business; la Prta di Rete extra Dmini che cstituisce la cmpnente lgica di mediazine tra un Dmini (Business SOHO) ed Internet. Il mix di servizi di sicurezza bbligatri per la Pubblica Amministrazine dipendn infatti dal fatt che le reti cinvlte sian, men, intercnnesse a reti nn fidate. Nel nstr cas, essend i Dmini intercnnessi ad Internet, si ritiene che entrambi i sistemi di sicurezza spra descritti debban essere attivati almen sulle prte di rete spra menzinate. Stante la difficltà di stimare cn certezza il traffic che attraversa le Prte di Rete, si richiede che queste sian realizzate cn particlare attenzine alla scalabilità della sluzine adttata. La scalabilità delle Prte di Rete è di particlare imprtanza per la Prta extra Dmini che si frappne tra il dmini Business e Internet. Infatti LI stima che il traffic da Internet vers i servizi espsti (a titl esemplificativ cnsultazine referti, prentazini) si attesterà a regime sull rdine di grandezza dei milini all ann. Figura 10: Applicazine dei servizi di sicurezza I servizi dvrann essere ergati in cnfrmità di quant descritt al capitl 6 del dcument SPC, Servizi di sicurezza, cui si rimanda Event & Lg Mnitring Management Il frnitre deve prvvedere alla racclta, verifica, crrelazine, analisi e stricizzazine degli allarmi generati e delle infrmazini racclte nei file di lg dalle piattafrme caratterizzanti il sistema di sicurezza frnite e funzinali alla sicurezza della rete. Il servizi deve permettere il mnitraggi del livell di sicurezza raggiunt all intern della rete. Allegat 5 Capitlat Tecnic Pagina 39 di 71

40 In particlare il frnitre deve ergare un servizi di Event & Lg Mnitring Management caratterizzat dalle seguenti caratteristiche: Supprt alla srveglianza ed alla gestine degli allarmi. La piattafrma utilizzata per l ergazine del servizi dvrà frnire le seguenti funzinalità: recuperare le infrmazini (lg, allarmi ed eventi di sicurezza) generate dagli strumenti che realizzan il sistema di sicurezza frnit. La piattafrma dvrà supprtare gli standard: SNMP, MIB-I, MIB-II, RMON, RMON 2 e dvrà integrare e gestire MIB prprietarie. Il sistema dvrà gestire la ricezine di trap asincrne standard (CldStart, WarmStart, LinkDwn, LinkUP, AuthenticatinFailure, EgpNeighbrLss) e quelle specifiche definite dai cstruttri degli apparati gestiti; ffrire la pssibilità di cnvgliare tutti gli eventi/allarmi generati vers un unic punt di crrelazine; analizzare e crrelare le infrmazini racclte e presentarle, a valle di una nrmalizzazine, tramite un interfaccia grafica e mediante generazine di un reprt di sintesi secnd dei template definibili sulla base delle specifiche esigenze dipendenti dalle tecnlgie degli elementi gestiti; cnfigurare la ntifica di eventi/allarmi a frnte del superament di sglie prefissabili e a seguit del verificarsi di eventi critici che impattan sulla sicurezza della rete Business; assegnare differenti prirità agli eventi/allarmi e frnire, per gni ntifica ricevuta, infrmazini circa: - la srgente dell event/allarme; - la tiplgia dell event/allarme; - la descrizine dell event/allarme; - la severità dell event/allarme; - l istante temprale in cui si è verificat l event/allarme; - grupp di appartenenza dell event/allarme; - ulteriri infrmazini descrittive dell event/allarme, della risrsa che l ha generat e di eventuali azini autmatiche predefinite eseguite dispnibili; ffrire la pssibilità di reinstradament dei messaggi di allarme e degli eventi a sistemi esterni, quali almen: - truble ticketing; - ; - SMS su GSM; essere integrabile cn: - sistemi di truble ticketing; - tl di reprting; - prdtti di supprt alle attività di help desk; Gestine dell inventari e stricizzazine dei dati relativi al servizi di Event & Lg. La piattafrma utilizzata per l ergazine del servizi dvrà cnsentire la creazine ed il manteniment di un inventari aggirnat degli strumenti (hardware e sftware) che realizzan il sistema di sicurezza e da cui sn prelevati lg ed eventi/allarmi. La piattafrma dvrà sddisfare i seguenti requisiti: inventariare e mantenere in una base di dati le infrmazini sulle risrse che realizzan il sistema di sicurezza e cntestualmente i lg ed eventi/allarmi da essi generati e prelevati; Allegat 5 Capitlat Tecnic Pagina 40 di 71

41 stricizzare le infrmazini inventariate in database relazinali ed in frmat nt; persnalizzare le infrmazini inventariate tra cui: - lcazine fisica del sistema di sicurezza da cui sn prelevati lg ed eventi/allarmi; - nme, unità rganizzativa e recapit dell amministratre del sistema; - l insieme dei servizi e delle funzinalità di sicurezza attivate sul sistema; ffrire mdalità di access all inventari tramite Cmmand Line Interface (CLI), Applicatin Prgram Interface (API) e Graphical User Interface (GUI); evidenziare le differenze tra inventari successivi; effettuare ricerche sulle infrmazini inventariate mediante filtri e query persnalizzabili. Rappresentazine dei dati elabrati. La piattafrma dvrà ffrire la pssibilità di rappresentare graficamente i dati cntenuti nei lg racclti dagli strumenti che realizzan il sistema di sicurezza e dei dati elabrati e crrelati a partire da quelli racclti cnsentend: la generazine di grafici statistici run time, peridicamente a seguit di eventi (ad esempi, prduzine di un reprt gni qual vlta viene superata una sglia di allarme precnfigurata); la cnsultazine dei dati attravers brwser HTTP; la generazine di reprt e l esprtazine dei dati racclti in vari frmati (ad esempi: HTML,.csv,.xls,.txt, etc.); la schedulazine degli intervalli di prduzine dei reprt. Il frnitre inltre deve ergare, su richiesta di LI, le seguenti funzinalità: access alla prpria piattafrma di rappresentazine dei dati; esprtazine dei dati memrizzati nei database di LI Servizi di Rendicntazine Il frnitre deve: gestire i dati di rendicntazine per il cntrll della fatturazine; rendere dispnibili i dati di fatturazine e rendicntazine, sia analitici, sia sintetici, in frmat elettrnic; ripartire, ve definit, la rendicntazine per centr di cst (es. per ASL, per tiplgia di utenti). In cas di specifiche esigenze da parte di LI in merit al frmat dati, il frnitre dvrà persnalizzare la struttura della dcumentazine. La fatturazine dvrà essere accmpagnata dalla rendicntazine cntenente infrmazini relative all ergazine di gni singl servizi, nel rispett delle mdalità e dei Livelli di Servizi definiti nel capitl Servizi di Traffic Shaping LI si riserva di richiedere, cn granularità per singl PES ed esclusivamente per il dmini SOHO, limitazini nell'utilizz della banda vers Internet vver limitazini nell'us di determinati prtclli. Allegat 5 Capitlat Tecnic Pagina 41 di 71

42 4.5 Altri requisiti Sluzine per l access a Internet Il frnitre deve frnire ai prpri utenti alcuni servizi di Interperabilità, in cmplement degli analghi servizi ergati da LI: Requisiti sull access a Internet per il servizi SOHO. Il NP deve cnsentire agli utenti la navigazine Internet, similmente a quant rilasciat ai prpri clienti nell ambit dell attività di Internet Service Prvider. LI si riserva di richiedere al NP di limitare l'utilizz della cnnettività Internet frnita (ad esempi escludend determinati prtclli). Per ergare il servizi il NP dvrà bbligatriamente essere intercnness ad almen due punti di interscambi (internet exchange pint) tra cui il MIX di Milan Sluzine per garantire SLA end-t-end Si vule che rimanga prevedibile, e sggett a SLA, il temp di attraversament da un punt della rete di access frnit ad un utente (fruitre) ed il punt tramite il quale il servizi è fruibile (ergatre). Per cnsentire quest, il frnitre dvrà veiclare pprtunamente le richieste di servizi prvenienti dai punti di ergazine del servizi SOHO e diretti ai servizi SISS. Figura 11: Intercnnessine tra la rete dei frnitri e dei fruitri L'utente che acceda ad un servizi SISS da un punt della rete Internet nn frnit tramite la presente Gara, dvrà pter cmunque fruire del servizi medesim. Allegat 5 Capitlat Tecnic Pagina 42 di 71

43 Figura 12: Raggiungibilità dei servizi da Internet Il frnitre deve esprre nell Offerta Tecnica la sluzine tecnica tramite la quale intende garantire gli SLA end-t-end tra un fruitre (attestat su un punt di ergazine SOHO frnit dal NP) ed un ergatre (attestat su un punt di ergazine Business frnit dal medesim NP). Si rammenta che tale sluzine nn ptrà prevedere l'attraversament di LI Sluzine tecnica al Digital Divide (DD) Il frnitre è chiamat a realizzare la ttalità dei servizi di rete richiesti. Cme precedentemente affermat ad ggi esistn ancra alcuni punti di access al servizi nn realizzati. Nel seguit tali cnnessini per qualunque mtiv nn realizzate (ad esempi anche a causa di vincli lat utente quali scavi nn autrizzati ecc.) sn dette in Digital Divide (DD). Il frnitre deve descrivere nell fferta le tecnlgie che intende utilizzare per rilasciare i punti di ergazine del servizi richiesti assciand, per ciascuna, la numersità delle cnnessini per le quali intende impiegarle. Si precisa che le sluzini adttate dal NP nn ptrann indurre csti aggiuntivi in cap ad LI, al fruitre del servizi a RL: al fine della presente Gara tutti i servizi SOHO frniti sarann ugualmente valrizzati. All scp di cnsentire una crretta analisi tecnic ecnmica, viene frnit l'elenc indicativ delle lcalità press le quali il nuv NP dvrà rilasciare un punt di ergazine del servizi e nn sn sinra state cllegate (cfr. Allegat 5.1). Per il DD, il presente capitlat prevede il rilassament di alcuni livelli di servizi, cme specificat al Capitl 6. Si ribadisce che il NP dvrà necessariamente frnire il servizi di rete a tutti gli peratri sci sanitari per i quali verrà richiest. Quest implica l bblig, per il frnitre, di cllegare gli utenti anche qualra nn sian dispnibili le rdinarie infrastrutture TLC. A titl di esempi, nn sarà pssibile, per il frnitre, nn rilasciare il servizi ad un utente adducend, quali cause di frza maggire, l indispnibilità di risrse da parte del carrier che il NP intende utilizzare. Per tutti questi casi, il NP, dvrà prvvedere ad utilizzare tecnlgie alternative per ffrire i servizi di Rete. Allegat 5 Capitlat Tecnic Pagina 43 di 71