It-miljøbeskrivelse Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 1 af 29
Indledning... 4 København Kommunes IT-miljø... 4 Arbejdspladser... 4 PC-arbejdspladser... 4 Citrix-arbejdspladser... 5 Mobile arbejdspladser... 5 Profilhåndtering... 6 Printløsning... 6 Periferiudstyr... 7 Software... 8 Adgangsgivende systemer... 8 Systems Management på arbejdspladser... 11 Sagsbehandling, udvikling og arkivering... 13 Fujitsu edoc 4.1... 13 JIRA... 13 Centralt miljø... 13 Servere... 13 Storage... 14 Backup... 15 Systems Management på servere... 15 Mailsystem... 15 Certifikat-infrastruktur... 16 AD... 16 Intranet... 16 Test-/udviklingsmiljø... 17 Netværksmiljø... 17 Remote access... 17 Token løsning... 17 Datacenter (collapsed core)... 18 Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 2 af 29
Accesslag... 18 Separering... 18 Trådløst netværk... 20 3G-netværk/APN... 20 Netværksmiljø-tegning i relation til mobile enheder... 21 Integrationsplatforme... 21 IT OrganisERING... 22 IT Sikkerhed... 22 Support... 23 Brugeradministration... 23 IT-arkitektur og strategi... 24 Systemejere... 25 Drift... 25 Udvikling... 26 Kommende ændringer til KS it-miljø... 27 Internet Explorer opgraderes... 27 MDM AirWatch by WMware... 27 organisation... 28 Københavns Kommune politiske organisation... 29 Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 3 af 29
INDLEDNING København Kommunes IT-miljø Dette bilag indeholder Københavns Kommunes beskrivelse af relevante dele af sit nuværende itmiljø. Københavns Kommune (inkl. selvejende institutioner) benævnes Københavns Kommune eller Kunden i dokumentet. Dokumentet er på ingen måde et udtømmende dokument med alle informationer omkring Københavns Kommunes IT, men er ment som en hjælp til leverandøren for at kunne angive eventuelle krav til ændringer i kundens it-miljø som forudsætning for at opfylde kravene i kontrakten. Beskrivelsen af det administrative IT område i Københavns Kommune kan overordnet opdeles i: Arbejdspladser Centralt miljø Netværksmiljø IT-organisation ARBEJDSPLADSER PC-arbejdspladser Der findes i dag et stort antal forskellige IT arbejdspladser i Københavns Kommune. Disse IT arbejdspladser er primært baseret på PC er med operativsystemet Microsoft Windows 7. Der er registreret ca. 21.000 PC er, hvoraf 9.000 er bærbare PC er. Dertil findes et mindre antal PC er til brug for borgerne. PC erne fordeler sig aldersmæssigt jævnt. Levetiden for de eksisterende PC er er gennemsnitlig 40 måneder. Stationære PC er skiftes ikke automatisk, når de er 40 måneder gamle. Der forventes en mindre årlig vækst i antal klient-pc er (ca. 2 %). Nedenstående skema beskriver fordelingen af PC er og brugere: Forvaltning BIF BUF KFF KS SOF SUF TMF ØKF Total Antal PC'er (tal fra Q1 2014) 3.408 3.351 1.744 1.266 4.883 3.564 1.774 1.877 21.172 Brugere i KK AD (tal fra Q1 2011) 1.966 3.756 1.461 699 901 6.344 6.346 1.889 23.362 Der er et stigende antal bærbare PC'er med mobildata 3G-opkobling som ad hoc-opkobling til netværket. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 4 af 29
Mobilt bredbånd, 4G/LTE: der er pt. ca. 3.000 mobile bredbåndsopkoblinger og tallet er stigende. Det er primært til brug for alternativ opkobling uden for kontorarbejdspladsen. Bruger kan som udgangspunkt fordeles som 20 % tunge brugere og 80 % lette brugere. Tunge brugere er i denne sammenhæng brugere, som til dagligt benytter tung grafik, tegneprogrammer, mv. og som i dag typisk vil arbejde på en high-end laptop eller workstation med udvidet grafikkort. Lette brugere er i denne sammenhæng brugere, som primært benytter almindelige kontorpakker, og som i dag typisk vil arbejde på en standard laptop eller standard -PC. Kunden har ikke noget egentligt estimat over den endelige fordeling og fordelingen kan justeres. Citrix-arbejdspladser Kunden anvender i dag flere systemer, som tilgås via remote desktops som leveres via Citrix XenApp 4.5 og 6.5. Citrix serverfarmen er virtualiseret i VMware servermiljøet. Der er pt. ca. 2.200 samtidige Citrix brugere på tværs af forvaltningerne. Licensmæssigt er der til 3.000 samtidige brugere. Totalt set er der ca. 10.000 brugere med mulighed for Citrix adgang fordelt over hele døgnet, ligeledes på tværs af forvaltningerne. Mobile arbejdspladser Der er i dag et stort antal mobile enheder, forstået som smartphones og tablets, i brug i Københavns Kommune. Der er ikke et samlet overblik over aktive enheder, men nedenstående skema beskriver fordelingen af antal smartphones og tablets pr. forvaltning baseret på de seneste 3 års køb. Forvaltning BIF BUF KFF KS PIT SOF SUF TMF ØKF Total Antal feature-phones (indkøbt i 2011-2013) 245 1.080 243 98 8 1.710 587 410 120 4.501 Antal smartphones (indkøbt i 2011-2013) 620 1.667 1.209 649 133 2.898 5.131 1.469 556 14.332 Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 5 af 29
Antal tablets (indkøbt i 2011-2013) 245 804 143 1.758 7.505 511 946 27 195 12.134 Antal enheder i alt 1.110 3.551 1.595 2.505 7.646 5.119 6.664 1.906 871 30.967 Levetiden for enheder bestemmes af det forretningsmæssige formål og den tekniske kompatibilitet med de afviklede forretningsapplikationer. Smartphones og telefoner anskaffes via central indkøbsaftale med et begrænset udvalg af modeller og der kan pt. købes smartphones baseret på ios og Android samt Windows Phone. Tablets indkøbes via central indkøbsfunktion og er primært baseret på ios og Android. Der er en stigende anvendelse af tablets, både som egentlig erstatni ng af tidligere pc-arbejdsplads og ved digitalisering af nye forretningsområder. Nedenstående skema beskriver fordeling af antal enheder pr. mobiloperativsystem baseret på de seneste 3 års indkøb. Mobiloperativsystem Android ios WinMobile WinPhone/RT Andet Total Antal smartphones (indkøbt i 2011-2013) 8.828 3.183 2.130 74 96 14.311 Antal tablets (indkøbt i 2011-2013) 489 11.594 20 31 51 Antal enheder i alt 9.317 14.777 2.130 94 127 26.445 Profilhåndtering I dag bruges Windows standard profilhåndtering, hvor der gemmes en profil lokalt på computeren. Som hjælpeværktøjer benyttes UPHC og DELPROF fra Microsoft til at fastholde profilers integritet og sikre, at der ikke ligger gamle versioner af profiler og skaber problemer. Der benyttes GPO til profilhåndtering. Printløsning Der findes ikke én standardiseret printerløsning i Københavns Kom mune. Printerløsningen i dag dækker mange forskellige behov, såsom Citrix -løsninger, små båndbredder, mangeartede opgaver, samt mange små og store lokationer. På en række små lokationer, såsom børneinstitutioner og lignende, forefindes der typisk installationer som er sat op med lokalprint. Det er installationer med print via usb -port. Disse lokationer er der i omegnen af 600 af. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 6 af 29
På de store lokationer er print opsat til Windows-print via s printservere. Der er på nuværende tidspunkt 16 printservere, opsat med Windows 2003 Server SP3. Antallet af servere udvides efter behov og er principielt forvaltningsopdelt. Der kan dog forekomme undtagelser. Hele denne installation er baseret på virtuelle servere. Derudover kører hele Sundheds- og Omsorgsforvaltningen, dele af Børne- og Ungdomsforvaltningen samt Teknik- og Miljøforvaltningen med en Citrix-installation. Her tilbydes Universal Print Driver via Citrix, og der kan således printes på stort set alle tilgængelige netværksprintere og lokale printere via denne løsning Decentralt print er hjørnestenen i Københav ns Kommunes printopsætning. KØR systemet og en meget stor del af kommunens fagsystemer printer via decentralt print. Det er KMD, som håndterer anmodningen om at få oprettet en decentral printer. KMD oplyses printerens IP og/eller sharenavn og melder en printerident tilbage til s Printservergruppe. Printservergruppen videreformidler identen til brugerne, som selv indsætter i deres fagsystem. På enkelte lokationer er der indført SKY-Print også kaldet Follow-Me print. Systemet hedder PaperCut og kan udvides med mulighed for Mobil Print print fra mobile enheder. Funktionaliteten i Mobil Print er, at man via mail fra sin mobile enhed kan sende print til SKYen. Print frigøres fra SKYen ved hjælp af en Myfair chip, som den enkelte bruger skal være i besiddelse af ellers frigøres det via en webside, som bruger logger på. Periferiudstyr 1 Den enkelte IT-arbejdsplads benytter udover selve PC en op til flere tilknyttede periferikomponenter. De mest generelle er skærm, tastatur og mus. Derudover benyttes som tidligere nævnt ofte lokalt tilsluttede printere. Af andre komponenter som kan forekomme er fx: USB-devices generelt USB disks/sticks Trådløse mus/keyboards (Bluetooth, wireless m.m.) Ergonomisk rullemus (en rullestang placeret nederst på keyboard) USB drev (CD/DVD) 2 skærms løsning (flere skærme end 2 forekommer, men sjældent) Mobiltelefon synkronisering 1 Listen er på ingen måde en udtømmende. Den viser de mest anvendte typer Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 7 af 29
Tablets (drawboards) IP telefoni Headset Kortlæser Software Software installeres dels igennem images (præinstallerede), dels efterfølgende gennem Altiris eller i Citrix-miljøet. Der distribueres p.t. ca. 500 pakkede applikationer gennem Altiris Suiten. Der distribueres p.t. ca. 100 pakkede applikationer gennem Citrix Installation Manager. Installation Manager er under udfasning og erstatning af Microsoft Systems Center Configuration Manager. Der findes endvidere ca. 450 fagsystemer med tilhørende software hos Københavns Kommune, hvoraf ca. 20 % er indeholdt i de ovenfor nævnte pakker. Adgangsgivende systemer Følgende systemer opfattes som helt centrale i forhold til brugeradministration: ZI-sikkerhedssystem - CICS1 (KK-mainframe) CICS 87 (KMD mainframe) og CICS 1 (KK mainframe). CICS 1 er under udfasning Microsoft Active Directory KKorg Digital signatur KØR Navision KOS2 SAP Opus Løn CSC social Der findes flere små systemer, der administreres via andre sikkerhedssystemer, som vil opfattes som centrale af forvaltningsforretningen. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 8 af 29
KSP CICS KSP CICS er KMD s sikkerhedssystem. De KMD applikationer, som Københavns Kommune anvender, er i ét eller anden omfang baseret på KSP/CICS. IBM NVAS er blevet implementeret som broker mellem bruger og KMD systemerne. Der er implementeret 1 NVAS til KK systemer og 1 til KMD systemer. Brugeradministrationen anvender KSP/CICS til at administrere brugerautorisationer, hvilket indebærer: oprettelse og ajourføring af brugerprofiler oprettelse og ajourføring af brugere og deres autorisationer tildeling af unik brugerident Alle brugere får tildelt brugeridenter via ZI-sikkerhedssystemet i CICS1 (KK-mainframe), men det er ikke alle brugere, der anvender KMD s fagsystemer. Kunden anslår, at under 50 % af de 20.000 brugere anvender SAP-baserede systemer, herunder lønsystemer. KK kan pt. ikke med sikkerhed sige, om tallet mere præcist er 10 % eller 45 %. Kunden stiller SPML version 1.0 interface til rådighed til integration til KSP/CICS. Microsoft Active Directory AD anvendes i dag til styring af brugere og roller i forhold til fil - og printressourcer. I BIF og SOF oprettes brugerne via en natkørsel baseret på udtræk i KSP/CICS I SUF anvendes Hyena, i øvrige områder arbejdes direkte i AD. Der anvendes desuden Grou p Policies i det omfang det er muligt. Der anvendes Hyena fra SystemTools Software Inc. som værktøj til administration af brugere, grupper mm. KØR Økonomisystemet består af brugerfunktionalitet til håndtering af regnskabsopgaver såsom finansbogføringer, interne fakturaer, elektronisk indkøb, godkendelse og betaling af leverandørfakturaer (elektroniske og manuelle fakturaer), cash management, registrering og afsendelse af debitorfakturaer (manuelt og elektronisk), automatisk registrering af indbetalinger, registrering og afskrivning af anlægsaktiver, projektregnskaber samt vedligehold af kommunens kontoplan. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 9 af 29
Systemet afleverer dagligt udbetalinger til bankerne og Nemkonto, ligesom det dagligt modtager indbetalinger fra bankerne. Systemet håndterer endvidere opkrævninger via PBS. Økonomisystemet modtager og afsender e-fakturaer via Nemhandelssystemet i Danmark. I systemet har brugerne mulighed for at bestille og udskrive over 100 standard og specialudviklede rapporter. Størstedelen af brugerne tilgår systemet via selvbetjeningsløsninger såsom: KØR s interne workflow SEBFIN finansposteringer SEBUDB udbetalinger Kreditnota Indbetalingskort Intern faktura intern afregning Debitorløsninger - Salgsfaktura, Reguleringer af salgsfaktura, Fast betalingsaftale, Ændringer- og Lukning af fast betalingsaftale, Ca. 7.000 brugere anvender systemet. Systemet er tilgængeligt via kommunens intranet, hvor også al bruger- og support information er tilgængeligt. KK anvender version 11.5.10 af Oracle Application som Økonomisystem. Følgende moduler indgår i systemet: GL - general ledger (finans) AP - accounts payables (kreditor) AR - account receivables (debitor) FA - fixed assets (anlægsaktiver) CM - cash management GIS - Global intercompany (intern afregning) PM - project management (projektregnskaber) í-procurement (indkøb) Purchasing (indkøb) Systemet modtager data fra andre fagsystemer via Oracle Applications standard interface tabeller. Disse er dokumenteret i Oracles standard dokumentation. Der er i dag godt 70 grænsesnit til KØR og grænsesnittene afleverer data til forskellige hovedområder i systemet. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 10 af 29
KKorg / APOS Alle ansættelsesforhold oprettes i KKorg. I forbindelse med oprettelse af en it-bruger kobles ansættelsesforholdet i KKorg med it-brugeren. Hertil har KS et KK-org staging område (MySQL database) som data om personale og organisationen læses fra. KS Integration til KK Staging foregår hovedsageligt over KS Integration som er bygget op om en Microsoft IIS platform, hvor programmeringssproget PHP anvendes til udvikling af integrationer. REST er den primære protokol der anvendes på KS Integration og KK Staging. SAP Integration til SAP kan ske via standard SAP BAPI. Systems Management på arbejdspladser PC er og applikationer installeres via images (operativsystem) og pakker fra centralt hold. Symantecs Altiris er centralt system management værktøj til denne håndtering af PC erne. Bl.a. installeres antivirus m.m. gennem dette værktøj. Alle applikationer publiceret via Citrix installeres i Citrix som msi-pakker via Citrix applikation Manager, dvs. at alle Citrix distribuerede applikationer forefindes som msi -pakker. I forhold til de systemer og pakker, der leveres som msi anvendes Wise Package Studio som værktøj til generering af installationspakker KK anslår at have licens til 10.000 brugere af Symantec Endpoint Virtualisation. Atrium (BMC/Remedy): CMDB en er implementeret og der er tilført følgende dataklasser: PC'er Org.nr. Lokationer Datalinier Token ADSL KØR-org.nr. opdateres via daglig import fra KØR/RUBIN. Lokationer opdateres via daglig import fra KK-org. Data om PC'er opdateres via automatiserede processer i Remedy og Altiris. Dette sikrer opdatering af Status samt relation til Lokation og KØR-org.nr. for hver enkelt PC. Derudover opdateres CMDB med skanningsdata fra Altiris og fra selvudviklet skanningsværktøj. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 11 af 29
Data om Datalinier, Token og ADSL opdateres manuelt. Data i CMDB en udgør faktureringsgrundlag mod forvaltningerne. Data er tilgængelige f or kunder og interne brugere via frontenden http://cmdbviewer. Internt er data desuden tilgængelige via Remedys Incident modul. I pipeline er data om følgende: Mobilsync (kobling til AD som kilde) Server (kobling til FISKK + Symantec Server Manager + evt. Altiris Asset som kilder) Print, kopi, skan Tablets (med enhedens serienummer som nøgle) Altiris er implementeret som Licensstyringsværktøj. Der er pt. ingen integration ml. Software Asset Management i Altiris og BMC Atrium CMDB eller Remedy. BMC Atrium CMDB Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 12 af 29
SAGSBEHANDLING, UDVIKLING OG ARKIVERING Fujitsu edoc 4.1 I Københavns Kommune anvendes Fujitsu edoc 4.1 som det primære Elektroniske Sags - og Dokumenthåndteringssystem (ESDH). Notater, indstillinger, referater og kommunikation med borgere samt virksomheder bliver arkiveret i edoc. Der findes i øjeblikket flere integrationer fra fagssystemer til Fujisu edoc med henblik på at lette sagsgangen og journaliseringspligten for medarbejderne i Københavns Kommune. Der kan udvikles nye integrationer til Fujitsu edoc, men dette har licensmæssige konsekvenser for Københavns KOmmune og skal koordineres med systemejeren for edoc. JIRA I forhold til udvikling og fejlhåndtering anvendes Atlassian JIRA v.5.2.2 med Atlassian Greenhopper v. 6.2. De to løsninger bruges af IT Rådgivning og Udvikling, Infrastruktur (servere) og Københavns Borgerservice (multisite platformen m.m.). JIRA anvendes også af eksterne udviklingsleverandører til håndtering af udviklingsprojekter for Københavns Kommune. CENTRALT MILJØ Servere Københavns Kommunes servere er primært placeret i to serverrum med central køling og UPS. De to primære serverrum er placeret geografisk på hver sin lokation. Der findes centralt ca. 1250 virtuelle servere, og 200 redundante servere, fortrinsvis baseret på operativsystemet Windows server. Servere er virtualiseret på en VMware ESX 5.5i infrastruktur. Nye Windows-servere deployes med minimum Windows Server 2008 R2. Opgradering til 2012 sker løbende, men pt. er der et mindre antal servere på dette OS. De fysiske virtualiseringsservere (ca. 40 hostservere) blev implementeret i marts 2013 og vurderes at have en levetid på 4 år. Hovedmiljøet er strømforsynet fra et no break anlæg med redundant kølemiljø. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 13 af 29
Det supplerende miljø er strømforsynet fra et no break anlæg, kølemiljøet baseres på traditionel air con og der er ikke redundans på dette. Storage Datalagring i det nuværende miljø sker primært på centrale SAN enheder. Totalt set er den eksisterende lagringskapacitet på ca. 260 TB. Storage er placeret på 2 separate og fysisk adskilte, men redundante lokationer OTT og HNG. Der er anvendt 260 TB i storage miljøet i dag. Ved behov kan miljøet øges med op til maximalt 500 diske pr. VNX. EMC2 miljøet er det primære og nyeste miljø. Miljøet anvendes til VMware og Citrix NetApp miljøet er under udfasning og anvendes til Fil og Exchange. Storage miljøet er illustreret i nedenstående: Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 14 af 29
Backup Som backup løsning anvender Københavns Kommune Symantec Enterpri se Vault. Backup løsningen er implementeret primo 2014. Dokumentationen er under udarbejdelse og vil blive inkluderet i dette dokument, når den foreligger. Systems Management på servere Til management på servere benyttes ligeledes Symantec s Altiris Suite, samt Microsoft Systems Management Operation Manager (SCOM) 2012. SCOM fra Microsoft anvendes til rapportering af oppetid. Mailsystem Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 15 af 29
Kommunens fælles mailsystem afvikles på Microsoft Exchange 2007 SP2. I løbet af 2014 opgraderes til Exchange 2013 samt udvalgte postkasser i Office365. Certifikat-infrastruktur Københavns Kommune anvender en 2-tier certifikat-infrastruktur fra Microsoft baseret på Windows Server 2003. Certifikatinfrastrukturen er under migrering til 2008. P.t. anvendes 2008 - miljøet til udstedelse af certifikater til mobile enheder. AD Kommunens fælles AD er opbygget som Single Forest multiple domains, jf. nedenstående tegning. Domain controllers er baseret på minimum Windows Server 2008 R2. Forest level niveau er 2003. Niveauet vil i løbet af 2014 blive løftet til 2008. I DMZ ønskes anvendt Secure LDAP og/eller Global Catalog for sikring af AD-kommunikationen. Intranet Kommunens intranet er baseret på Drupal. Visning på forskellige enheder er understøttet med responsive design. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 16 af 29
Adgang til intranettet kontrolleres via standard LDAP-opslag i AD. Der anvendes en autentifikationsmekanisme, hvor løsninger der autentificerer mod intranettet på C-name skal kunne understøtte fallback til auth mod A-name. Test-/udviklingsmiljø I dag findes ikke deciderede/dedikerede test-, udviklings- eller præproduktionsmiljøer. Det vælges fra system til system om der etableres et test-, udviklings- eller præproduktionsmiljø. NETVÆRKSMILJØ Serverne er forbundet via et switchet netværk, baseret på Ethernet, som også forbinder Københavns Kommunes større institutioner til it-miljøet på Ottiliavej. Mellem de decentrale institutioner og de centrale serverrum er dette netværk baseret på optisk fiberkabling. Københavns Kommunes netværk består primært af en Cisco powered Metro Ethernet løsning. Netværket består af en central layer-3 collapsed core (routed), hvortil der er tilsluttet en vifte af accessteknologier. Designmodellen er 2-lags, med et collapsed core og et accesslag. Collapsed core er en sammensmeltning af core-lag og distributions-lag til en fysisk enhed. Remote access Der findes ca. 6.900 fjernadgange med adgang via VPN. Ca. 2.100 af disse er rene mailklienter, dvs. løsning baseret på web -mail. Alle remote access løsninger benytter en form for token løsning. VPN løsningen er termineret vha. en Citrix Access Gateway Advanced, men er p.t. ved at blive migreret til en Citrix Netscaler løsning. Løsning med Netscaler/Access Gateway vil også fremadrettet være den løsning, der skal integreres med for ekstern adgang. Token løsning Der benyttes p.t. Vasco SMS token til remote adgang. Løsningen er en sms-baseret token med rullende kode sendt til mobilt device. Løsningen understøtter umiddelbart SSO. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 17 af 29
Datacenter (collapsed core) I datacenteret er der layer-2 og layer-3 teknologi, hvor det er muligt at oprette virtuelle netværk. Layer-2 teknologien er typisk på gigabit ethernet forbindelser med en kombination af dot1q trunk forbindelser og native vlan forbindelser. Der er ikke implementeret nogen form for layer -3 route protokoller, men der benyttes derimod statiske routere. Accesslag Access på xdsl Mange af de linier som anvendes, er med en båndbredde 8 Mb down / 2 Mb up og med op til flere brugere. Accessteknologierne er en kombination af layer-2 og layer-3 teknologier, og er en kombination af xdsl og ethernet (med forskellige båndbredder). Hvor der anvendes xdsl, leveres det som en routed løsning. Access på ethernet Hvor der anvendes ethernet som accessteknologi leveres også i flere varianter: Opkoblingen til Københavns Kommunes centrale ressourcer og eksterne forbindelser leveres på gigabit ethernet. Opkoblinger til institutioner leveres i nogle tilfælde på fiberconvertere, i andre tilfælde på en switch eller route-switch på kommunens adresse. I tilfælde, hvor der er flere forvaltninger på samme lokalitet, leveres typisk på en route-switch. Separering I et antal tilfælde er enkeltforvaltninger (CI og BUF) separeret fra eller i proces med at blive separeret fra den øvrige kommunale layer-3 løsning. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 18 af 29
Serverfarm og Internet Gigabit Ethernet Gigabit Ethernet Gigabit Ethernet Access Gigabit Ethernet Access KK L3 VPN 10/100Mbit Access 10/100Mbit Access Forvaltning Routed xdsl Access Routed xdsl Access ke tele layer 3 backbone Figur 1 Overordnet principtegning for Københavns Kommunes netværk Samlet oversigt over accesstyper til Københavns Kommunes institutioner: Gigabit ethernet 10-100 Mb ethernet Forbindelsen mellem Ottiliavej og HNG er 10 Gbit (fiber) med fuld redundans. Bemærk dog, at begge linjer går igennem hver sin 1 Gbit switch ved HNG. Serverfarm og Internet Fiber FC Gigabit Ethernet Gigabit Ethernet Fiber FC FC Redundant distribution KK L3 VPN Redundant distribution FC TDC layer 3 backbone Figur 2 Principtegning for ethernet for Københavns Kommunes netværk Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 19 af 29
På ethernetaccess leveres 10 til 100 Mb over fiberconvertere, og tilslutningsporte i TDC switch er typisk 100 Mb. I nogle tilfælde er ethernet access layer-2, i andre tilfælde er accesskredsløbet layer-3 mellem accessporten og core Serverfarm og Internet Gigabit Ethernet Gigabit Ethernet Routed xdsl Redundant distribution KK L3 VPN Redundant distribution Routed xdsl Bridged xdsl DSLAM TDC layer 3 backbone DSLAM Bridged xdsl Figur 3 Principtegning for xdsl for Københavns Kommunes netværk Trådløst netværk Københavns Kommunes trådløse netværk er baseret på en Aruba platform. Netværket består af redundante centrale kontrollere der terminerer wifi -trafikken via krypterede tunneler fra hvert enkelt AP/SSID, ind i centrale komplekse vlan og dmz-miljøer. Løsningen har decentrale firewall-, båndbredde-, sitescanning og quality of service funktioner. Løsningen er integreret ind i AirWave overvågning, ClearPass adgangskontrol samt Radius - og Certifikatvalidering. Løsningen omfatter lige nu over 3.000 accesspunkter, og antallet er voksende. 3G-netværk/APN Københavns Kommune har både usikrede 3/4G-netværker og sikrede netværker (APN). De primære sikrede leveres af TDC og er opsplittet i separate adskilte netværker tildelt de enkelte løsninger. Det hele afleveres i redundante MPLS/fiber opkoblinger til dmz -zoner i kommunens 2 driftscentre. Der er ligeledes en tilsvarende løsning med Telenor, men hvor den sikrede trafik afleveres via VPN over internet. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 20 af 29
Adgang styres af mobiloperatørerne og sker primært via manuel tildeling af simkort, PIN -kode og specielle APN-navne. Adgang er under omlægning til Radiusvalidering baseret på MDM base. Der er ca. 6.500 enheder på de lukkede APN. Netværksmiljø-tegning i relation til mobile enheder Mobile devices and infrastructure in Københavns Kommune Internet Zone KK Mobile device ANY IP or special zones Firewall Firewall NTP dmz DMZ Zones FTP dmz Citrix, Netscaler, gateways ikke anvendelig til anden brug Wifi Clearpass, portal DHCP dmz Firewall Firewall Obs. incl. Mobile devices Obs. incl. Mobile devices Corporate Special Lan Zones APN Secure Mobile networks: TDC, Telenor, 3 Mobil Wifi Wireless Mobil Wireless Public VPN Loadballance, gateways Corporate Lan Zone Web servers, external Datacenter networks Internal networks Mail Connectors, security Mail Sync gateways DNS internal NTP internal FTP internal Radius Etc... Active Directory kk.dk faf.kk.dk (bif) of.kk.dk faf.kk.dk (sof) tmf.kk.dk ks.kk.dk kultur.kk.dk sund.kk.dk uuf.kk.dk Exchange MS-Exchange MS-Exchange MS-Exchange Apple Store F5/BigIP LoadBallance Mailgate.kk.dk (smtp) MS-Exchange MS-Exchange DMZ Zones external MS Certificate Server MPLS, partners SQL instans1 instans2 etc. Web servers Google Market Hosting centers, external MS File servers Oracle servers VPN, partners Citrix servers Etc... Version 1.0.0, 3 marts 2014,Per Olsen Figur 4 Principtegning over netværkszoner i Københavns Kommunes netværk Integrationsplatforme Københavns Kommune råder over flere forskellige typer integrationsplatforme. Selvbetjeningsområdet Oracle Weblogic Server (OSB). Denne ESB anvender primært SOAP 1.1 protokollen og afvikles på Oracles stack. råder også over Service Bus (KSB) som er bygget op om en Drupal-løsning der fungere som en beskedfordeler mellem det interne-net, DMZ, og WWW. Beskedfordeleren anvender REST-protokollen. KSB afvikles på en LAMP-stack, hvor CentOS 7 udgør OS-platformen. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 21 af 29
IT ORGANISERING I de følgende afsnit beskrives Københavns Kommunes IT -organisering i. IT Sikkerhed Borgerrepræsentationen vedtager kommunens IT-sikkerhedspolitik og IT-sikkerhedsregulativ. Overborgmesteren og de enkelte borgmestre har ansvaret for IT -sikkerhedsarbejdet inden for de enkelte forvaltningsområder. Myndighedsopgaverne på IT-sikkerhedsområdet varetages i af IT-sikkerhed, driftorganisationen og Brugeradministrationen. Arbejdsgrundlaget for myndighedsudøvelsen er IT - sikkerhedsregulativet også kaldet IT-sikkerhedshåndbogen som er baseret på den internationale standard ISO 27001-2. Afdelingen IT-sikkerhed fører det daglige tilsyn med overholdelsen af kommunens it - sikkerhedsbestemmelser og koordinerer kommunens it-sikkerhedsarbejde. IT-sikkerhed er organisatorisk forankret i enheden Digitalisering. IT-sikkerhed løser en række myndighedsopgaver som fx: Rådgiver om IT-sikkerhedsmæssige forhold. Godkender sikkerhedsløsningen ved anskaffelse af i nye systemer Sikrer kontrol af medarbejdernes adgangsrettigheder og autorisationer Ansvarlig for at der foreligger procedurer som sikrer tværorganisatorisk styring af it-beredskabet. Håndterer IT-sikkerhedshændelser og IT-sikkerhedsbrud Ansvar for fælles informations og uddannelses materiale, herunder opbygning og opdatering af kommunens IT-sikkerhedshåndbog og supplerende vejledninger. s driftorganisation og Brugeradministration varetager også myndighedsopgaver inden for IT-sikkerhed (Enhedens øvrige ansvarsområder beskrives i selvstændige afsnit længere fremme). Eksempler på driftorganisationens myndighedsopgaver: Ansvaret for sikkerheden på kommunens IT-platforme. Det IT-sikkerhedsmæssige ansvar for opbygning og anvendelse af it-driftsmiljø og kommunikationsforbindelser samt for de fysiske sikringsforanstaltninger i forhold til kommunens netværk, netværksudstyr og servere m.v.. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 22 af 29
Udarbejder it-sikkerhedsforskrifter eller retningslinjer for it-installationer/driftsmiljø og de benyttede netværk. Eksempler på Brugeradministrationens myndighedsopgaver: Ansvar for aftaler om og udførelse af brugeradministration af de systemer kommunens medarbejdere benytter. Sikre at der findes retningslinjer for adgangsstyringen af de enkelte systemer (dvs. hvilke medarbejdergrupper skal benytte systemet, hvilke rettigheder herunder dataadgang og funktioner må tildeles). Ansvar for den løbende opbygning og vedligeholdelse af medarbejdertyper. Sikre at der i forbindelse med brugeradministrationen altid er et gyldigt revisionsspor. Support Supportfunktionen ligger i Serviceindgangen, som er s 1. level support og modtager derfor alle henvendelser. Alle henvendelser kan ske via telefon eller selvbetjeningsløsningen. visiterer sager efter de retningslinier, der er aftalt med den enkelte forvaltning. Kategorisering af sager sker altid efter prioritering: Ikke-kritisk Kritisk fejl Meget kritisk fejl Major incident Major incidents er sager, hvor konsekvensen for Kundens forretning er meget omfattende. I forbindelse med løsning af større opgaver udpeger forvaltningen og hver en løsningsansvarlig. I de tilfælde er det den løsningsansvarlige, som modtager henvendelser relateret til opgaven. En sag tilhører Serviceindgangens så længe den ikke er visiteret til en person som løsningsansvarlig. Brugeradministration Københavns Kommune har en central brugeradministration i bestående af ca. 20 medarbejdere, der håndterer ca. 250 systemer. Brugeradministrationen er organisatorisk placeret Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 23 af 29
i Serviceindgange. Der findes godt ca. 1.400 autorisationsberettigede personer. Der findes både elektroniske og manuelle metoder til håndtering af autorisations anmodninger. Alle forvaltningsområder bestiller oprettelse og ændringer af it-brugere i en fælles IdM løsning, baseret på medarbejdertyper. Flytninger håndteres pt. via blanketter i sagsstyringssystemet Remedy, men overgår medio 2014 også til IdM løsningen. Bestilling af sletninger af IT brugere genereres automatisk ifm. fratrædelsesprocessen. Bestillingerne indeholder information om rekvirent, It-bruger, medarbejdertype til autorisation og tillægsautorisationer. Løsningen sikrer et revisionsspor. Autorisationsanmodninger kan kun bestilles af registrerede autorisationsberettigede, der er tildelt rettigheder i AD til at anmode om oprettelse, ændring, flytning og sletning af autorisationer til It - brugere, samt indmelding af autorisationsprojekter. Autorisationsanmodninger sker efter enkeltsagsprincippet, med mindre der er tale om et projekt. Et projekt defineres som en anmodning omhandlende flere personer, der skal have samme handlinger foretaget ift. profiler. IT-arkitektur og strategi IT-arkitektur og strategi er placeret i enheden Di gitalisering og har ansvaret for: IT-governance Platformsstrategi og teknologianbefalinger IT-anskaffelsesprocessen Effektivisering, standardisering, professionalisering og konsolidering af IT ekretariatsfunktion for Arkitekturforum IT-Strategier, -politikker og -rammesætning Københavns Kommunes IT-strategi Interessevaretagelse i forhold til KOMBIT, KL og 6-by samarbejde Deltagelse i fælleskommunale IT-samarbejder (KOMBIT, KMD) Sekretariatsfunktion for digitaliseringschefkredsen Teknisk projektledelse Kravspecifikation Rådgivning og standardisering af test Udarbejdelse af businesscase Forretningsplaner for Koncern IT. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 24 af 29
Systemejere Systemejere er placeret i enheden Digitalisering og arbejder med at: Sikre et stabilt, effektivt og sikkert system, der er tilgængeligt for relevante brugere, og som understøttes af effektive processer Sikre, at systemets funktionalitet og anvendelse løbende tilpasses og bedst muligt understøtter forretningens og brugernes behov Styre leverandørkontakt Drift Driftsorganisationen består af enhederne IT-infrastruktur og IT Support og Logistik. IT-Infrastruktur har som mål at sikre: At funktion og kvalitet er i overensstemmelse med specifikationer og aftaler herunder korrekt dimensionering i forhold til ønsket kapacitet. At sikkerhedsbestemmelser overholdes i forhold til opsætning og anvendelse af netværk og servere. Professionel fejlhåndtering og vedligeholdelse af netværkskomponenter, accessnet og tværgående datalinjer samt trådløse accesspunkter og servere herunder løbende udskiftning og opgradering af udstyr og datalinjer som anvendes på kommunes interne netværk, i datacentre og forbindelse til internettet. Korrekt konfiguration/opdatering af hardware, operativsystemer og applikationer. Vedligeholdelse køle-, UPS- og nødstrømsanlæg til datacentere og hovedkrydsfelter IT-Infrastruktur har ansvaret for ydelserne: Datalinje Diskplads Rapporter Mobilsynkronisering Mobile netværksløsninger Serverdrift Trådløst netværk Virtuel fax Videokonference Herudover yder IT infrastruktur rådgivning i forhold til netværksløsninger, systemanskaffelser og telefoniløsninger. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 25 af 29
IT Support og Logistiks ansvarsområder omfatter blandt andet lager og klargøring af PC, udskiftning af PC'er, Kvikskranken, flytninger mv. Derudover flytter ansvaret for VIP-teamet og Kvikskranken på Rådhuset til enheden. Vi hjælper kommunens PC-brugere med alt omkring anskaffelse og support af PC'er, printere og tabletcomputere.mere konkret er vores opgaver følgende: Vi ringer tilbage til brugerne hvis de har et PC-problem - eller kommer ud til dem på arbejdsstedet. Vi har et lager med PC'er, som vi gør klar til brugerne Vi flytter IT-udstyr Vi omlægger netværkslinjer på arbejdsstederne i kommunen Vi vedligeholder og opdaterer PC'er, som skal bruges til beredskab BR-medlemmer og direktørerne på Rådhuset får hjælp indenfor en time ved IT -problemer Vi sørger for at undervisnings-pc'er og publikums-pc'er virker Vi overvåger virus Vi udskifter ca. 6.000 PC'er om året Vi laver printsupport Vi arbejder i Kvikskranken Vi bestiller tablets for brugerne. Udvikling Enheden IT Rådgivning og Udvikling rådgiver forvaltningerne på alle niveauer fra forretningsløsninger over konkrete udviklingsopgaver til indkøb af særlig hardware eller software. Enheden bistår med koordination ved større IT-sager samt løsningsmodner nye ydelser og løsninger i samarbejde med forvaltningerne og IT-driftsenhederne. Enheden er forvaltningernes IT-forretningspartner, når der skal udvikles nye leverancer, ydelseskatalog og serviceniveauer. Herudover er enheden ansvarlig for udvikling af kommunens web- og selvbetjeningsløsninger. IT Rådgivning og Udvikling har ansvar for ydelserne: Standardisering og udarbejdelse af tværgående ITIL processer (incident, Problem og change) Analyse og udarbejdelse af KPI'er IT-ydelseskatalog og serviceniveau Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 26 af 29
IT-rådgivning Koordinering af leverancer der kommer fra (større sager der ikke følger standard) Indkøb af hardware og software Fakturering af IT-ydelser Udvikling af systemintegrationer og webløsninger Udvikling af selvbetjeningsløsninger CRM, AD og grunddata Udvikling af nye infrastrukturløsninger og opgradering af eksisterende infrastruktur 3rd level support. KOMMENDE ÆNDRINGER TIL KS IT-MILJØ Følgende er vedtagne ændringer, der vil slå igennem i løbet af 6-12 måneder, udover ændringer i øvrigt omtalt i dokumentet. Der er tale om foreløbige tidsplaner og specifikationer, så det skal ses som en indikator, men med forbehold for mulige ændringer undervejs. Internet Explorer opgraderes I løbet af 2014 forventes det at Microsoft Internet Explorer opgraderes til Internet Explorer 10. Hertil forventes det at Google Chrome for Business bliver den sekundære browser i Københavns Kommune. MDM AirWatch by WMware I august måned forventes Københavns Kommunes Mobile Device Management (DME) løsning at blive udfaset, og et nyt MDM (Mobile Device Management) system implementeres. I skrivende stund forventes AirWatch fra WMware at blive arvtageren for DME. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 27 af 29
KONCERNSERVICE ORGANISATION Pr. 01-03-2015. Bilag 02.1 IT-miljø (Situationsbeskrivelsen) Side 28 af 29