Generel beskrivelse af Region Midtjyllands it-miljø

Relaterede dokumenter
Generel beskrivelse af Region Midtjyllands it miljø It udvikling, arkitektur og design Region Midtjylland

Generel beskrivelse af Region Midtjyllands it miljø It udvikling, arkitektur og design Region Midtjylland

Kundens IT miljø - Region Midtjylland

Kontraktbilag 6 - Region Midtjyllands it-miljø. It-udvikling, arkitektur og design Region Midtjylland

Kontraktbilag 9 Generel beskrivelse af Region Midtjyllands it-miljø It-udvikling, arkitektur og design Region Midtjylland

Region Mitjyllands IT miljø

Præsentation af BSK regionens identity and access management platform

Kontraktbilag 4 Kundens IT-miljø

EU-udbud af WAN infrastruktur

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

Bilag 1 Arkitektur- og Infrastruktur beskrivelse (v1.2)

Bilag 10 Nuværende IT-installation

Underbilag 2.24 Kommunernes it-miljø

Underbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem

Projektopgave Operativsystemer I

TEKNISK IT-MILJØ AARHUS KOMMUNE

Projektoplæg - AMU kursus Netteknik - Server - Videregående

Standardserverkonfiguration i Statens It s standarddriftsplatform. Aftalekompleksets bilag 11 Statens It s standarddriftsplatform Underbilag B

Produktspecifikationer Private Cloud Version 2.7

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2C ATP PC-arbejdsplads

Mindstekrav til udstyr (fase 1) Løsningsbeskrivelse

NOTAT. ITafdelingen. IT og sikkerhedsmæssige udbudskrav ved indkøb af fagsystemer

Bilag 2C ATP PC-arbejdsplads

Bilag 5: Kundens It-Miljø. Version 0.6 Bilag til dagsordenspunkt 9: Krav til kommunernes it-miljø.

Produktspecifikationer Private Cloud Version 2.6

Produktspecifikationer Private Cloud Version 2.5

Hosted løsning Hosted produkter Dedikeret server hosting Virtuel server hosting Shared Office hosting... 7

-Krav til klinikkens udstyr (hardware/netværk mm.)

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Service Level Agreement (SLA)

KRAV TIL INFRASTRUKTUR

Datatekniker med infrastruktur som speciale

Intro til Client Management

DET MED SMÅT. Remote opstart kr. 0,- Hvad er med i købet:

EasyIQ ConnectAnywhere Release note

Mobil IT Sikkerhed. / Mette Nikander

Installation og Drift. Aplanner for Windows Systemer Version

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Ja, det er helt i orden

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Opsætning af Outlook til Hosted Exchange 2007

Bilag 2 Kundens IT-miljø

Alex Ø. T. Hansen UDDANNELSE PERSONLIGHED ERFARING TEKNOLOGIER. IT-Konsulent. System Administrator

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Ja, det er helt i orden

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

NEMT OG EFFEKTIVT - Ejendomsadministration

Installation og Drift. Aplanner for Windows Systemer Version 8.15

Opsætning af Outlook til Hosted Exchange 2003

Service Level Agreement Version 2.0 d. 1. april 2014

Beskrivelse af UCL s IT-miljø for LMS Bilag 7A til Contract regarding procurement of LMS. INDHOLD

Morten Rønborg PERSONLIGHED UDDANNELSE TEKNOLOGIER ERFARING. IT-Konsulent. Desktop Engineer

Router U270 funktionsbeskrivelse

Informationssikkerhed Version

OPTIMERING AF IT I UNDERVISNINGEN PÅ LANGELANDS KOMMUNESKOLER.

Introduktion til computernetværk

Datatekniker med infrastruktur som speciale og ITsupporter

Service Level Agreement

Teknologierne er udvalgt og prioriteret i samarbejde med forvaltningerne og it-eksperter i Koncernservice.

Server, storage og backup as a Service

Beskrivelse af Vesthimmerlands Kommunes administrative it-miljø Version 1.5

Softwareløsninger til dit netværk

Applikations Virtualisering. Anders Keis Hansen

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

Vejledning til Teknisk opsætning

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Apps og smartphones HMI. mobil devices og produktions-it. Anders Rolann, evikali A/S

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net

Tjekliste. Til brug ved anskaffelse af nye systemer og/eller programmer

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Produktspecifikationer Managed WiFi Version 2.3. Managed WiFi. Side 1 af 7

Understøttelse af LSS til NemID i organisationen

Unispeed Blue Shield. Hotel Cafe' Camping plads Boligforening BRUGERVENLIGT FLEXIBELT SKALERBART. Hosted Lognings løsning til Netværk

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Driftsudkast. OS2faktor

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Konfigurationsguide. Krav til hardware og software for SonWin og SonWins moduler. Side 1 af 17

Fujitsu Siemens Computer

BILAG 2. Notat. Vedrørende: Forslag til prioritering af it-investeringer på folkeskoleområdet. Skoleafdelingen og it-afdelingen.

VLAN - Virtual Local Area Network

CV: På de efterfølgende sider er mit karriereforløb beskrevet.

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web...

Sikkerhedspolitik Version d. 6. maj 2014

Statens It standard driftsplatform. Beskrivelsen af datacenter kapaciteter og standarder

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Mariendal IT - Hostingcenter

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Filr: Næste generation af Fildeling. Flemming Steensgaard

Danmarks Evalueringsinstitut Kravspecifikation udbud - Private Cloud Hosting

as a Service Dynamisk infrastruktur

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

ID Reference Spørgsmål Svar 1 vedr. MK27 Skal eksisterende diskhylder indgå som en del af den tilbudte

Opsætning af terminalklient til Dantek BiblioMatik 20. januar 2006

Service Level Agreement

Network Requirements - checklist SALTO proaccess space software SPACE ProAccess 3.0

Windows 7. Heine Jeppesen. Principal Consultant / Deployment Team. hje@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum 1

White paper IMS DigitalPost IMS A/S Oktober Ansvarlig Henrik Rabæk Poulsen IMS A/S Åbogade 25A 8200 Aarhus N

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Transkript:

Generel beskrivelse af Region Midtjyllands it-miljø It-udvikling, arkitektur og design Region Midtjylland Side 1 af 23

Revisionshistorie Redaktør: Peder Thorsø Lauridsen (PTL), it-arkitekt, Arkitektur og Design Seneste revision Dato Redaktør Ændringer Oktober 2012 PTL Gennemskrivning og samling samt opretning af dokumentet baseret på tidligere versioner 13. november 2012 PTL Tilføjet kontaktinformationer Tilføjet generel information vedr. Region Midtjylland Tilføjet afsnit om Leverandør og Driftsansvar Præcisering vedr. IP routing under WAN forbindelser Tilføjet afsnit om ServicePortalen Fjernet overflødig information vedr. BSK 7. december 2012 PTL Tilføjet afsnit om VPN Tilføjet sætning om SMTP server Rettet enkelte stavefejl 8. februar 2013 PTL Rettet enkelte fejl og tilføjet præciseringer Tilføjet Region Midtjylland logo 8. april 2013 PTL Tilføjet afsnit vedr. fremtidigt klient miljø 3. juni 2013 PTL Tilføjet afsnit vedr. ny netværks model 6. juni 2013 PTL Tilføjet afsnit om storage Tilføjet afsnit om print Tilføjet afsnit om backup Side 2 af 23

Tilføjet afsnit om server operativsystemer Tilføjet afsnit om servicevinduer Fejlrettelser og korrektur 5. september 2013 PTL Tilføjet afsnit om netværksservices 21. oktober 2013 PTL Tilføjet afsnit om browsere og standarder 23. oktober 2013 PTL Tilføjet afsnit om Trådløst netværk / Wi-Fi 30. maj 2014 PTL Tilføjet beskrivelse om NFP og gennemskrivning i relation til denne 2. juni 2014 PTL Mindre præciseringer omkring VPN og WIFI 13. november 2014 PTL Opdatering vedr. versioner af Windows Server 5. december 2014 PTL Diverse rettelser og præcisering vedr. Exchange miljø samt nyt LAN miljø 23. marts 2015 PTL Tilføjet beskrivelse og link til seneste version 13. april 2015 PTL Revidering af formulerings og stavefejl Præcisering vedr. ny datacenter struktur Revidering af versioner for SuSE Linux og Oracle DB Microsoft SQL failover cluster er etableret Tilføjelse af HDS som primær storageleverandør Anvendelse af flash baseret storage til krævende løsninger Gennemskrivning og opdatering af afsnit om backup Rettet angivelse af hastigheder for Side 3 af 23

netværksforbindelser til udstyr 18. juni 2015 PTL Tilføjelse af 5GHz bånd til reserverede radiobånd for WIFI Opdateret link til dokumentet Krav om beskyttelse af netværkstilsluttet udstyr Tilføjet afsnit om Tilslutning af udstyr til Regionens netværk 20. august 2015 PTL Skiftet navn på NFP til FiP Fremskrevet status på implementering af FiP Tilføjet afsnit om mobile enheder, krav, styring og positionering Tilføjet anvendelse af Virtual Appliances Revideret afsnit om WAN Revideret afsnit om LAN Tilføjet RH Viborg til afsnit om nyt LAN Opdateret afsnit om WIFI frekvenser Tilføjet Lan2Lan og MedCom SDN til fjerntilslutning 1. oktober 2015 PTL Opdatering af it-afdelingens mission statement jf It-strategiens afsnit om it-ydelser Udvidet afsnit vedr Overholdelse af lovgivning, fællesoffentlige standarder og anbefalinger 9. oktober 2015 PTL Præcisering af anvendelse af databaser 3. december 2015 PTL Krav om standarder for kommunikation i sundhedssammenhæng 10. februar 2016 PTL Fjernet Microsoft SCOM til overvågning Side 4 af 23 Fjernet Ubuntu som fuldt supporteret

operativsystem 18. marts 2016 PTL Rettet afsnit vedr. supporterede server operativsystemer 8. april 2016 PTL Markeret ikke-ønskede server operativsystemer i oversigten 4. maj 2016 PTL Rettet fejl i beskrivelse af overordnet netværkshastighed Præciseret leverandørers muligheder for etablering af eget netværk Tilføjet afsnit om vedligehold af Windows servere 23. maj 2016 PTL Mindre rettelse vedr. opgradering af Exchange 5. april 2017 PTL Mindre tilpasninger og opdateringer omkring udrulning af FiP 10. august 2017 PTL Revidering af afsnit omkring nyt lokalnetværk Side 5 af 23

Indholdsfortegnelse Generel beskrivelse af Region Midtjyllands it-miljø Revisionshistorie Seneste revision Indholdsfortegnelse Introduktion Demografi Regionens hovedområder Kontakt for yderligere information Overordnet beskrivelse af it-installationen i RM Overblik over Fælles it Platform (FiP) Arkitekturprincipper for Region Midtjyllands it-installation Leverandører og driftsansvar Interoperabilitet Overholdelse af lovgivning, fællesoffentlige standarder og anbefalinger Driftcenter opbygning Servere Server operativsystemer Vedligehold af Windows operativsystemer Databaser Oracle platform Microsoft SQL Server platform Storage Backup Print Netværk WAN forbindelser LAN Ny LAN model i Region Midtjylland Tilslutning af udstyr til Regionens netværk Trådløst netværk / Wi-Fi og øvrig trådløs kommunikation VPN, leverandøradgang og databahandleraftale Netværksservices Servicevinduer Overvågning Netværksovervågning Side 6 af 23

Serverovervågning Post- og kalendersystem Microsoft domæner Klienter Gammel PC klient platform fra Regions-it Fælles it Platform (FiP) til PC klienter Mobile enheder og klienter Mobile klient typer Enterprise Mobile Management Mobile apps Krav til webindhold og browsere BSK identity and access management platform ServicePortal Visionen med BSK BSK data Teknologi Side 7 af 23

Introduktion Dette dokument beskriver overordnet den generelle it-infrastruktur i Region Midtjylland og de principper og metoder der ligger til grund for de it leverancer der produceres og anvendes. Dokumentet er tænkt som en overskuelig introduktion for leverandører, konsulenter, medarbejdere etc. til it-miljøet i Region Midtjylland. Dokumentet opdateres og vedligeholdes løbende og seneste version skal altid hentes og anvendes fra Region Midtjyllands hjemmeside: http://www.rm.dk/om-os/organisation/it/ Demografi Region Midtjyllands it-miljø omfatter 35.000 brugere fordelt på en række større og mindre organisatoriske enheder. Ca. 20.000 af disse brugere arbejder på regionens hospitaler. Den geografiske spredning af disse brugere fordeler sig på 15 overordnede lokationer. Disse er beskrevet i afsnit vedr. netværk. Regionens hovedområder Region Midtjyllands it-afdeling leverer it-services til flg. hovedområder: Sundhed Social og Psykiatri Regional Udvikling, herunder Jord og Råstoffer Administration Kontakt for yderligere information For yderligere information omkring it-arkitektur i Region Midtjylland eller bidrag til dokumentets indhold, kan der rettes henvendelse til: It-udvikling, arkitektur og design, IT Region Midtjylland Regionshuset Aarhus Olof Palmes Allé 15 8200 Aarhus N Tlf.: 7841 0003 Side 8 af 23

Overordnet beskrivelse af it-installationen i RM It-afdelingen stiller services til rådighed for hele re gionen. Det centrale princip er, at de samme ydelser skal anvende ensartede processer på tværs af orga nisationen, hvorved de samme opgaver understøt tes af de samme systemer. Den enstrengede orga nisering af it-området har således til formål at opnå en øget effektivisering, større fælles bæredygtighed og drift af forretningsunderstøttende informations teknologiske løsninger i hele Region Midtjylland. Fysisk samles it-drift i regionens tre driftscentre; disse er placeret i Horsens, Århus og Holstebro. Således konsolideres hidtidige installationer på regionens institutioner centralt i moderne driftsmiljøer. Denne sammenlægning er ikke endeligt gennemført og forventes at løbe over mindst 2-3 år. Dette betyder, at der fortsat er selvstændige installationer med eget Active Directory på en del af regionens institutioner uden tilknytning til regionens centrale Active Directory. Der er indført tværgående it-systemer som netværk, post/kalender, EPJ, røntgenarkiv, sagsstyring, økonomi etc., ligesom der er indført et fælles RegionsID dvs. samordning af brugerid er og passwords til centrale systemer. Der er indført standarder for modeller af PC er, printere, mobiltelefoner etc. gældende for nye indkøb. Der er et vist spænd af maskiner på alder, software versioner etc. Alle nye systemer, der indkøbes og idriftsættes, skal være fungerende i det centrale miljø og levere services til klienter på tværs af de eksisterende Active Directories. Overblik over Fælles it Platform (FiP) Der arbejdes pt. på implementering af ny renoveret klient platform i Region Midtjylland. Derfor skal der tages hensyn til nedenstående punkter i løsninger der forventes afviklet hos regionen fremover. Fra sommer 2015 frem mod 2017 er planlagt udskiftning af PC klient miljø på alle PC klienter i regionen. PC klient platformen er baseret på Windows 7 i 64 bit udgave med metodik for udrulning af software baseret på Microsoft SCCM. Applikationer afvikles primært via Citrix på virtuelle servere i 64 bit version med applikationer udrullet isoleret/virtualiseret for både klienter og applikationsserveres vedkommende. På sigt bliver driftscentre samlet på tre lokationer i ét logisk datacenter med en høj grad af virtualisering og afkobling ligesom der er åbnet for outsourcing af drift hvor det vurderes at give fordele. Alle PC klienter i det fremtidige miljø vil blive samlet i samme Active Directory og være at betragte som én reel installation. Applikationer / løsninger leveret til dette miljø bør forholde sig til dette dvs. drivere og Side 9 af 23

applikationer bør være ægte 64 bit applikationer samt forholde sig korrekt til de krav der findes i den ovenfor nævnte distributions- og afviklingsmodeller. Arkitekturprincipper for Region Midtjyllands it-installation Region Midtjylland sigter mod en systemarkitektur, der kan bidrage til at realisere følgende mål: Sikker drift. Service skal kunne leveres, til rette tid på det rette sted i det rette omfang. Standardisering. Der anvendes åbne standarder i videst muligt omfang. Det tilstræbes, at data kan anvendes på tværs af systemer. Det tilstræbes, at data som f.eks. brugeroplysninger, CPR-register data hentes fra regionens fælles ressourcer. Målet bidrager til at undgå redundante, inkonsistente data. Standardisering medvirker til at understøtte interoperabilitet mellem systemer. Skalerbarhed. Systemer skal kunne udvides i det omfang, det kræves for at imødekomme krav til større volumen i produktionen. Holdbarhed. Der bygges modeller, hvor data, forretningslogik og præsentation kan fungere uafhængigt og derved bevares i en form der fremtidssikrer adgangen til data. Region Midtjylland tager udgangspunkt i ITIL ved opbygning af strukturer og processer i it-organisationen. Principper og terminologi fra ITIL kan derfor med fordel anvendes i forbindelse med dokumentation og design samt opbygning af processer til udvikling, drift og vedligeholdelse. Leverandører og driftsansvar For kliniske systemer anvendes typisk en model, hvor driftsansvar til og med operativsystem ligger på Region Midtjyllands it-driftsafdeling hvorimod driftsansvar for applikationen forankres i regionens kliniske produktgrupper evt. med bagvedliggende aftaler med leverandøren hvis muligt. Dette betyder at vedligehold af operativsystem, antivirus, management systemer mm. varetages af regionen. Dertil kommer regionens drifts overvågning, der vil overvåge specificerede tjenester omkring it-services og jf. driftsaftale alarmere leverandørens driftsvagt hvis en fejl ikke umiddelbart kan afhjælpes ved fx. genstart af server eller service. Interoperabilitet Interoperabilitet (populært at komponenter og delsystemer i arkitekturen kan snakke sammen ) er en afgørende forudsætning for realiseringen af den serviceorienterede Side 10 af 23

systemarkitektur og for realiseringen af en række af de ovenfor anførte målsætninger. Kravet om interoperabilitet indebærer en forudsætning om: At der på forretningssiden findes åbne, dokumenterede datamodeller (datadefinitioner med definition af i hvilken kontekst data anvendes) og åbne, dokumenterede snitflader og protokoller for anvendelse/kommunikation af data. At der på den tekniske side tilsvarende findes åbne, dokumenterede definitioner af hvorledes komponenter i leverancens tekniske platform (middleware lag og driftsplatform) interagerer, defineret i form af standarder. En åben standard er således en standard, der er dokumenteret (i tilstrækkelig detalje), frit tilgængelig og forbliver frit tilgængelig. En vigtig skelnen går mellem proprietære standarder (har en ejer med mulighed for begrænsninger i standardens anvendelse), de facto' standarder (dominerende standarder uden at være offentligt vedtagne) og de jure (offentlige) standarder (vedtaget af offentlige (danske eller internationale) standardiseringsorganer. Region Midtjylland sigter, medmindre andre forhold taler imod, mod at anvende de jure standarder, og sekundært mod at anvende de facto standarder med tilstrækkelig grad af åbenhed. Målsætningen om anvendelse af åbne standarder, åbne snitflader og åbne datamodeller er en afgørende forudsætning for interoperabilitet kravet og dermed for realiseringen af en serviceorienteret systemarkitektur. Anvendelse af åbne standarder, åbne snitflader og åbne datamodeller er endvidere afgørende for at kunne opnå større leverandøruafhængighed og realisere en flerleverandørstrategi, for investeringens levedygtighed, samt for mulighederne for en fortsat videreudvikling og udbygning af systemløsningen i takt med ændrede behov og nye muligheder. Det anbefales at der mellem kliniske systemer sigtes efter at benytte etablerede og standardiserede interoperabilitetsstandarder. I prioriteret rækkefølge listes følgende standarder: 1. Snitflader følger IHE s profiler 2. HL7v2 / DICOM / HL7 FHIR / HL7 CDA R2 3. HL7v3 Overholdelse af lovgivning, fællesoffentlige standarder og anbefalinger Systemer etableret i Region Midtjylland skal overholde gældende, relevante nationale og europæiske lovgivninger samt Region Midtjyllands egne krav til fx. it-sikkerhed jf. internationale standarder som fx. ISO/IEC 27001. Der skal særligt henledes opmærksomhed Side 11 af 23

på sundheds- og persondatalovgivningen. Region Midtjyllands informationssikkerheds funktion under it-staben udarbejder løbende vejledninger og retningslinjer for arbejde med og krav til databærende systemer under Region Midtjyllands ansvar. Region Midtjylland ønsker at følge de fællesoffentlige anbefalinger videst muligt under hensyntagen til forvaltnings- og forretningsmæssige krav. Driftcenter opbygning Region Midtjyllands it-installation er bygget op omkring tre Tier 2 driftscentre, der indbyrdes er forbundet med hurtige netværksforbindelser. Det er moderne driftscentre med central nødstrøm, køling, adgangskontrol og brandsikring/alarmering. Servere Primær serverdrift afvikles på Microsoft Windows og Redhat Enterprise Linux på virtuelle servere i VMware baseret på Intel x86-64 platformen. Server operativsystemer fra Microsoft installeres og vedligeholdes på en standardiseret måde og overvåges fra central side med værktøjer fra IBM og Microsoft. Microsoft Windows servere er installeret med antivirus programmel fra McAfee. Der er etableret fælles database server clustre baseret på MS-SQL og Oracle, men det er i stigende grad anbefalet at databaser til en løsning ikke installeres sammen med applikationen - men enten på selvstændig server eller på databasehotel. Der må ikke kræves fysiske tilknytninger til serverne - fx. licens dongles, da afviklingen af serverne flyttes mellem fysiske servere for sikring af driftsafviklingen. Server operativsystemer Følgende server operativsystemer er supporteret: Windows RedHat Linux Solaris (ønskes ikke på nye installationer) AIX (ønskes ikke på nye installationer) Disse systemer supporteres på fysisk hardware og som virtuelle maskiner til og med operativsystem niveau. Øvrige operativsystemer supporteres kun til og med den fysiske og virtuelle maskine. Side 12 af 23

Aktuelt tilbydes følgende operativsystemer som standard: Microsoft Windows server 2008 R2 Microsoft Windows server 2012 samt 2012 R2 RedHat Enterprise Linux (RHEL) 6.x -> RedHat Enterprise Linux (RHEL) 7.x -> SuSe Enterprise Linux 11 SP3 -> (ønskes ikke på nye installationer) Oracle Solaris 11.x -> (ønskes ikke på nye installationer) Windows 2008/2012 kan installeres på VMware og fysiske servere. Linux kan installeres på VMware og fysiske servere. Solaris kan installeres på Zoner og fysiske servere. Der accepteres også Virtual Appliances / blackboxes der leveres færdige som image til afvikling på vores VMware miljø. Der stilles krav til disse enheders vedligehold og sikkerhedsopdateringer. Vedligehold af Windows operativsystemer Windows servere, under driftansvar af Region Midtjyllands it-drift, bliver 3. tirsdag i hver måned opdateret via Microsoft WSUS eller via special opdatering ugen efter. Der pålægges aktuelt Microsoft Security Patches, Critical Patches og Update Rollups og servere genstartes efterfølgende. Der kan forekomme ekstraordinære opdateringer af kritiske patches, hvis det vurderes nødvendigt for Region Midtjylland. Der overvåges, at servere melder tilbage om korrekt opdatering, men applikationer og services forventes selv at genoptage deres funktion. Databaser RM s databaser er baseret på to primære strategiske platforme: Oracle og MS SQL Server. Oracle platform De store/kritiske applikationer hos Region Midtjylland kører på Oracle platform, hvor regionen anvender Oracle Data Guard som failover løsning. Sammen med Sun cluster opnår vores database høj tilgængelighed og sikkerhed. Der bruges også Oracle Snapshot, når vores Side 13 af 23

kunder vil teste deres applikation inden den går i produktion. Region Midtjylland har tillige en Oracle farm/hotel til mindre databaser. Pt. anvendes Oracle version 10g, 11g og 12c i driften. Microsoft SQL Server platform Region Midtjylland har et større antal mindre databaser (ca. 250 stk.), der kører på Microsoft SQL Server platform. Nogle kører på MS SQL failover cluster andre kører på dedikeret server typisk virtuelle maskiner. De fleste af Microsoft SQL Serverne i regionen kører på SQL Server 2005. Men der migreres løbende til Microsoft SQL Server 2008R2 og Microsoft SQL Server 2008 (64 bits). Nye databaser etableres kun på version 2008 eller nyere. Regionens Microsoft SQL failover cluster er implementeret som en 2-site løsning. Hvis der er behov for et eller flere af nedenstående skal der benyttes en dedikeret Microsoft SQL server installation Analysis Services, Reporting services eller Integration Services en 2-site løsning Remote desktop adgang til Databaseserveren Direkte filadgang Storage Der anvendes SAN og NAS til alle storage formål. EMC og Hitachi Data Systems (HDS) er primære leverandør af storage systemer. Der anvendes en kombination af enterprise og midrange storage systemer. Storage systemerne udbyder forskellige tiers af storage fordelt på SSD, FC/SAS og SATA. Til krævende løsninger anvendes flash-baserede storage systemer. Al SAN er baseret på 4/8Gbit Fibre Channel og er opbygget i redundante fiber fabrics. FC opkoblet udstyr skal som minimum have path failover mellem de to fabrics. Der arbejdes mod at få virtualiseret alle storage systemer således migrering mellem tiers kan foregå uden nedetid. Der kan etableres opkobling til NAS via NFS eller CIFS protokollerne. Dette kan kombineres med en arkivløsning, hvor der tages backup af aktive data. Side 14 af 23

Al NAS opkobling sker på Regions eksisterende ethernet netværk. Der tilbydes arkivsystemer som traditionelt NAS eller CAS. På arkivet leveres en spejlet løsning uden backup. Backup Der er centraliseret backup systemer baseret på Tivoli Storage Manager fra IBM og Avamar fra EMC. De fysiske lagringssystemer er enten DataDomain fra EMC eller bånd roboter fra IBM - hver især i spejlede konfigurationer. Virtuelle klienter håndtere af Avamar med DataDomain som lager og resten af TSM via host baseret backup til båndrobot eller DataDomain. Backupdata fordeles på lagringssystemer i driftscentrene i Horsens og Århus. Fordelingen sker af backup administratoren. Alt data placeres på disk under TSM-backuppen og flyttes dagen efter til bånd. Samtidig laves der en spejling til modsat lokation således al data findes 2 steder. Der kan gennemføres en backup efter behov. NAS backup gennemføres med Avamar software og hardware fra EMC. Alt backup data deduplikeres og placeres i en disk pool i Horsens og kopieres dagen efter til spejl i Holstebro. Der logges fejl alle ugens dage og fejlrettes på hverdage. Restore leveres på alle hverdage i almindelig arbejdstid. Print Der anvendes Microsoft Windows servere til print. Der er etableret overvågning på server IP adresse, Print Spooler- og LPD servicen for hver printserver. Netværk Region Midtjylland har 3 driftscentre, disse er placeret i Århus, Horsens og Holstebro. Disse Driftscentre er sammenkoblet med 10 Gb i en ringstruktur. WAN forbindelser Regionens hospitaler er koblet op med 10 Gb redundante forbindelser. Nettet er baseret på MPLS og data transporteres på lag 3, dvs. data bliver routet, og der tilbydes ikke lag 2 forbindelser. Der er fuld IPv4 routing mellem alle institutioner i regionen. LAN Side 15 af 23

Lokalnet på hospitaler er primært 10/100/1000 Mb kobber installation fra underkrydsfelt til vægudtag. Disse underkrydsfelter er koblet op mod hovedkrydsfelter med redundante 1 Gb fiber forbindelser. Data transporteres på OSI lag 3, dvs. data bliver routet, og der tilbydes ikke lag 2 kommunikation. Ny LAN model i Region Midtjylland Alle nye installationer og større renoveringer af institutioner / netværksinstallationer anvender en fibre-to-the-office model, hvor der fra to hovedkrydsfelter på den enkelte institution trækkes redundant fiber frem til micro-switche direkte i væg-udtag. Micro-switchene har 4 10/100/1000 Mbit RJ45 porte med POE i hvert stik. Der bliver også skiftet til ren lag 3 kommunikation. Denne model er etableret på Det Nye Universitetshospital der opføres i Skejby ved Århus, Det Nye hospital i Vest der opføres i Gødstrup ved Herning, på Regionshospitalet i Viborg og nybyggeriet på regionshospitalet Horsens. Tilslutning af udstyr til Regionens netværk Leverandørspecifikke VLAN er ikke en del af netværksdesignet. Region Midtjyllands kablede netværk er overordnet opdelt i fire netværks sikkerhedszoner: Almindeligt produktionsnet / administrativt Gæstenet Teknisk netværk til bygningsautomation mm Medicoteknisk netværk Alt udstyr skal kunne modtage IP adresse via DHCP, registrere sig i DNS og fungere i et komplet routet miljø - der tilbydes ikke VLAN eller private net på anden måde ligesom, manuelt konfigurerede IP adresser ikke kan anvendes. Adressering skal foregå på DNS navne og ikke direkte på IP adresser - dette gælder især for adgang til infrastruktur services som BSK, AD, NTP, printservere, disksystemer mm. Leverandører, der kræver eget VLAN til deres udstyr der befinder sig geografisk samlet, forventes at levere nødvendigt netværksudstyr, som en integreret del af leverancen og servicen. Snitfladen kan fx. etableres som en firewall/nat router. Regionen vil ansvarsmæssigt betragte denne enhed som grænsefladen til leverandørens udstyr i fx fejlfindings-sammenhænge. Nødvendige porte og IP-adresser vil blive stillet til rådighed i samme omfang som ved direkte tilslutning til Regionens netværk. Opmærksomheden henledes på, at IP-kommunikation med andre enheder, efter Side 16 af 23

ovenstående model, kræver at interne adresser NATes til regionens IP-adresser. Der må ikke etableres samtidige netværksforbindelser udover den til RM-netværket. Udstyr tilsluttet netværk skal i sig selv være robust og selv beskytte mod fejlfunktion - som fx. malware, broadcast osv. eller isoleres jf. beskrivelse ovenfor under leverandørens ansvar. Trådløst netværk / Wi-Fi og øvrig trådløs kommunikation Der eksisterer et centralt styret trådløst netværk på alle institutioner i Region Midtjylland dvs. der i udstrakt grad kan forventes Wi-Fi dækning. Dette trådløse netværk er opdelt logisk i flere netværk fx. til administrativt, klinisk brug osv. Dette netværk skal anvendes til trådløs netværks kommunikation. Netværket er primært baseret på 802.11 i 5GHz området, men der tilbydes også dækning på 2,4GHz båndet. Der tilbydes diverse protokoller til kryptering, logon etc. og den konkrete anvendelse skal ske efter en vurdering af behov. Der er centralt styret plan for brug af SSID er og der kan ikke forventes oprettet applikationsspecifikke SSID er i forbindelse med implementering af nyt system. Der må ikke anvendes eller etableres alternativ Wi-Fi infrastruktur end den centralt leverede installation. Ligeledes er frekvensbåndene 2,4 og 5 GHz reserveret generelt til dette netværk og der må derfor ikke anvendes radiokommunikation i dette område. Der forefindes en frekvensplan for Region Midtjylland der dokumenterer og regulerer dette samt al anden brug af radio signaler. VPN, leverandøradgang og databahandleraftale Der er mulighed for ekstern leverandøradgang via VPN. Der anvendes VPN med token til opkobling. Adgange er personlige og gives på baggrund af tro-og-love erklæring for den enkelte ansatte hos leverandøren. Der kan derudover etableres Lan2Lan forbindelse hvis behovet er for det og der kan opkobles via Sundhedsdatanettet via MedCom. Der gives udelukkende adgang til specifikke IP-adresser tilhørende de udstyr der er behov for adgang til. Hvis der er brug for at opbevare eller bearbejde personhenførbare data hos leverandøren fx. med henblik på datakonvertering, fejlfinding etc. skal der udarbejdes en databehandleraftale med Region Midtjylland. Netværksservices Region Midtjylland tilbyder en række netværksservices som bør anvendes af relevante installationer: Side 17 af 23

DNS (navne opløsning) DHCP (automatisk tildeling og konfiguration af netværksadresser) NTP (tidsservice) SMTP (afsendelse af e-post) Servicevinduer Der er, for alle systemer i Region Midtjylland aftalt systemvinduer i forbindelse med indgåelse af SLA. Som udgangspunkt er alle Microsoft Windows systemer dog underlagt en månedlig operativsystem vedligeholdelse. Denne foregår 3. tirsdag i hver måned i tidsrummet 17.00 til 21.00. IT Sikkerhedsfunktionen kan forlange nød-patchning i forhold til kritiske sikkerhedshuller (zero-day). Disse vil blive udført efter behov. Applikationsspecifikke servicevinduer aftales for hvert system. Overvågning Region Midtjylland har en døgnbemandet overvågningsfunktion, samt applikationsdriftsvagt-funktioner. Der overvåges definerede alarmer og reageres efter udarbejdede instrukser - herunder tilkald af tekniker eller alarmering til leverandørs vagtfunktion. Netværksovervågning Der anvendes Xymon, Cacti og NFsen Netflow til monitorering af Netværkskomponenter og netværkstrafik i hele Regionen. Serverovervågning Til overvågning af servere anvendes IBM Tivoli Enterprise Monitoring og Xymon. Der overvåges bl.a. ping, diskforbrug, services, processer og logfiler. Valget af monitoreringsværktøj vurderes fra gang til gang på baggrund af behov og ønsker til overvågning. Post- og kalendersystem Mail er baseret på Exchange 2007, med en Outlook 2003 Klient eller Outlook Web Access. Dette system blev delvist opgraderet til Exchange 2010 i 2014/2015. Alle medarbejdere kan få en mailkonto i det fælles system. I tillæg til hovedadressen på Side 18 af 23

xxxxxxxx@rm.dk er der en række selvstændige institutioner, der har eget domænenavn. Udstyr og systemer kan sende emails via regionens SMTP server. Regionen anvender et system til virus og spam scanning af ind- og udgående post. Microsoft domæner Region Midtjyllands PC er og servere er tilknyttet en Microsoft domænestruktur baseret på Microsoft Active Directory version 2003. Der er ét primært domæne - OneRM.dk. Derudover har hvert hospital sin egen domænestruktur hvorigennem lokale klienter styres. Der er taget strategisk beslutning om at udfase disse domæner. Der er ikke etableret generelt trust mellem domæner. Klienter Gammel PC klient platform fra Regions-it De eksisterende (gamle) PC klienter er primært baseret på hardware fra Lenovo og kører Microsoft Windows XP SP2 og SP3. Der anvendes pt. Internet Explorer 8. Der kan tilbydes alternative browsere som Mozilla Firefox og Google Chrome, hvis der er klienter med behov for høj hastighed eller overholdelse af webstandarder. Klienter modtager IP adresse og netværkskonfiguration via DHCP Brugere har ikke lokal administrator rettigheder Maskiner er tilmeldt AD og modtager politikker og rettigheder herfra Klient maskiner er ikke nødvendigvis i samme AD som centrale servere Software afvikles primært via Citrix XenApp platformen, sekundært ved lokal installation Al klient programmel skal kunne script installeres silent via CAPA CMS værktøj Der må ikke kræves manuelle rutiner ved installation - fx. licenser/aktivering mv. Der må ikke anvendes hardware licens dongles og licenser skal kunne styres centralt og automatisk. Opdatering/vedligehold af eksisterende operativsystem på klienter, Windows XP, er ophørt fra producenten og for at imødegå dette, er der anvendt et software beskyttelses system fra McAfee. Der eksisterer ligeledes en række tilsvarende ældre installationer på de enkelte institutioner Side 19 af 23

under Region Midtjylland. Disse er generelt set under udfasning. Fælles it Platform (FiP) til PC klienter FiP er en ny arbejdsplads udarbejdet til erstatning for samtlige tidligere PC arbejdspladser i Region Midtjylland. Den er bygget på Citrix til applikationsafvikling og Windows 7 til operativsystem på klienter. Der er fuld central styring, management, software deployment og patchning. Den findes i flere varianter afhængig af anvendelse - fx. en kiosk type maskine til dedikerede opgaver fx. i klinikken. For platformen gælder bla. følgende: Klienter modtager IP adresse og netværkskonfiguration via DHCP Brugere har ikke lokal administrator rettigheder Maskiner er tilmeldt AD og modtager politikker og rettigheder herfra Klient maskiner er i samme AD som centrale servere Software afvikles primært via Citrix XenApp platformen, sekundært ved lokal installation Al klient programmel skal kunne script installeres silent via Microsoft SCCM værktøj Der må ikke kræves manuelle rutiner ved installation - fx. licenser/aktivering mv. Der må ikke anvendes hardware licens dongles og licenser skal kunne styres centralt og automatisk. Der tilbydes webbrowsere fra Google, Microsoft (IE11) og Mozilla. Udrulning af 1. fase af FiP forventes afsluttet efterår 2017. Mobile enheder og klienter Mobile enheder - herunder smartphones og tablets - er konceptmæssigt etableret på samme niveau som PC klienter under Fælles it Platform (FiP) og følger overordnet samme principper for styring, anskaffelse, vedligehold, support mm. Mobile klient typer I Region Midtjylland arbejder vi med flg. kategorier af mobile enheder: 1. Funktions enheder - ikke-personlige enheder, der er tilknyttet en funktion/rolle og typisk skifter hænder ved vagtskifte hvorpå medarbejderen ikke er kendt på system niveau. Disse enheder kører Android og vil typisk anvende en hårdfør enterprise enhed som fx. Motorola/Zebra TC-55 og vil være styret/nedlåst med regionens MDM system. Side 20 af 23

2. Personlige funktionsenheder - enheder der er tilknyttet en medarbejder tilsvarende type 1, men hvor medarbejderen er kendt på systemniveau og fx. har personlig post og kalender. Disse enheder kører Android og vil typisk anvende enten en hårdfør enterprise enhed som fx. Motorola/Zebra TC-55 eller en consumer type enheder fra Samsung og vil være styret/nedlåst med regionens MDM system. 3. Personlige enheder til administrativt brug - dette er enheder udleveret til personligt brug for medarbejdere hvorpå medarbejderen selv har meget stor frihed til installation af apps og anvendelse. Disse enheder kan fx. anvende Android, ios, eller Windows Phone som operativsystem og vil ofte været tilbudt styring via regionens MDM system. 4. Bring-your-own - dette er enheder ejet af andre end Region Midtjylland og der ydes ingen support eller tilbydes nogen services udover hvad medarbejdere kan tilgå offentligt med sit RegionsID. Disse enheder er ikke styret og må ikke indeholde nogen form for personfølsomme data tilhørende Region Midtjylland. Enterprise Mobile Management Der anvendes pt. flere systemer til styring af mobile enheder. Primært anvendes MDM fra AirWatch til styring af produktionsenheder. Der findes fortsat enheder styret af Afaria fra Symantec - primært til produktions terminaler med Windows Mobile og Windows CE. Derudover anvendes Exchange ActiveSync policies til klientløs styring af enheder der udelukkende tilgår regionens post- og kalendersystem. Mobile apps Region Midtjylland anvender en lang række mobile applikationer - hvoraf en del er udviklet af Region Midtjylland. Disse apps afvikles på regionens produktionsenheder og der stilles krav til disse applikationer omkring hensigtsmæssig sameksistens med andre applikationer på enhederne, herunder bla. omkring strømforbrug, kryptering af data, login, sikkerhed mm. Krav til webindhold og browsere Indhold til visning i browsere skal genereres og fungere på Region Midtjyllands klienter uden hårde krav til specifikke versioner eller tilstedeværelse af browser produkter eller middleware som fx. flash, JAVA, Silverlight, ActiveX etc. Det anbefales at man anvender standard HTML4/5, JavaScript som ovenstående browsere umiddelbart understøtter. Der anvendes pt. en nyere version af Google Chrome og Internet Explorer i version 11 med de platform bindinger der ligger heri. BSK identity and access management platform BrugerStamdataKataloget (BSK) er Region Midtjyllands centrale system til tildeling og Side 21 af 23

administration af adgange til fælles it-systemer. BSK er bla. med til at sikre rettidig, effektiv bruger-administration og øget sikkerhed. Visionen er, at BSK på baggrund af viden om medarbejderens rolle og organisatoriske tilknytning automatisk tildeler en række adgange til it-systemer som medarbejderen kan tage i brug allerede på første arbejdsdag. Når en medarbejder ophører sin ansættelse skal BSK tilsvarende sikre at medarbejderens systemadgange lukkes. Alle medarbejdere hos regionen er registreret i BSK og har dermed et regionsid. Et regionsid består af et brugernavn og en adgangskode og anvendes i en række af regionens fælles it-systemer, hvorved der opnås simplified logon (ét brugernavn og ét password). ServicePortal Der er etableret en serviceportal til selvbetjening hvorigennem brugerdata og adgange til applikationer, kantine, lokationer etc. kan administreres. Alle systemer bør tilbyde styring gennem dette interface. Visionen med BSK at personale- og medarbejderinformation kun registreres én gang at nyt personale har adgang til alle de it-systemer de skal anvende, første dag de møder på deres nye arbejdsplads at personale altid har adgang til de nødvendige it-systemer og de rigtige rettigheder, der hvor de arbejder, også selv om de er ansat flere steder i organisationen at personale- og medarbejderinformation kun vedligeholdes af kilden (dataejer) at samtlige registrerede informationer til enhver tid er korrekte, opdaterede, dækkende, dokumenterede og tilgængelige for netop de systemer og parter, der skal anvende dem BSK data BSK registrerer data om den enkelte bruger, herunder: Stamdata regionsid CPR Stilling Kontaktinformation Side 22 af 23

Mail Telefon Adresser Telefonnr Webadresse Organisatorisk tilknytning i andre systemer Lønsystem ESDH BSK vil på sigt også kunne levere data om de organisatoriske enheder, brugeren er tilknyttet, herunder: Ledelse Kontaktinformationer Outlook funktionspostkasse Andre stamdata, fx EAN nr ØS afdelingsnumre SKS koder Teknologi BSK er en hændelsesbaseret platform, som tilbyder en række standard snitflader til synkronisering af stamdata, både dem som gælder for brugeren af selve systemet, men også fagsystemets stamdata om medarbejderne. Standard snitflader som BSK tilbyder til autentifikation (navn/password validering) og eventuel autorisation: SOAP service BSKAuth LDAP Side 23 af 23

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback