Indholdsfortegnelse Indledning... 2 IT-Center Fyns Datacenter... 2 Placering og fysisk sikkerhed... 2 Adgang til Datacentret... 2 Kommunikationslinjer... 2 Internet gateway... 3 Datalagring og backup... 3 Struktur for det administrative netværk... 3 Netværksoperativsystem... 3 Brugeradministration; adgangskodepolitik... 3 Udvidede adgangsrettigheder... 4 Post- & kalendersystem... 4 Kryptering af e-mails... 4 Administrative systemer... 5 Lokale sikkerhedskrav... 5 Passwords... 5 Datalagring... 5 Uovervåget udstyr... 5 VPN-adgang til driftsfællesskabets netværk... 6 Mobilsikkerhed... 6 Ændringslog... 7 Institutioner i servicefællesskabet IT-Center Fyn... 8 1
Indledning IT-Center Fyn er driftscenter for it-servicefællesskabet mellem Sct. Knuds Gymnasium som værtsinstitution og et antal gymnasier, VUC er samt social- og sundhedsskoler som partnere. Alle partnere er statslige selvejende institutioner. I it-servicefællesskabet er drift af it-infrastrukturen, herunder servere og netværk, overdraget til IT-Center Fyn. I IT-Center Fyns Datacenter driftes institutionernes administrative netværk. Der udføres brugeradministration, der administreres datalagring på Datacentrets filservere, og der varetages backup af data. Desuden driftes post- og kalendersystem, studieadministrative systemer m.m. Via Datacentret er der adgang til Internet og dermed bl.a. til eksterne firmaer, som drifter administrative systemer. Det gælder f.eks. KMD (bl.a. drift af Navision Stat og KMD-løn), CSC (bl.a. drift af EASY-A). IT-Center Fyns Datacenter Placering og fysisk sikkerhed Datacentret er placeret colocated i hostingcentret hos Athena IT-Group i Odense. Athena yder skalsikring, adgangskontrol, strømforsyning, køling, brandsikring m.v. for IT- Center Fyns udstyr. Adgang til Datacentret Kun IT-Center Fyns ledelse samt et udvalg af centrets centrale teknikere har adgang til Datacentret hos Athena. Adgangen begrænses af en akkrediteringsliste, som IT-Center Fyn har meddelt Athena. Eksterne konsulenter eller reparatører har kun fysisk adgang til Datacentret i følgeskab med en ITC-medarbejder anført på akkrediteringslisten. Udvalgte eksterne konsulenter har fjernadgang til udstyr og/eller systemer, som er defineret i individuelt signerede aftaler. Kommunikationslinjer Datacentret er knudepunkt for servicefællesskabets institutioners administrative netværk. Alle partnerinstitutioner og Datacentret er tilsluttet TDC s landssækkende MPLS datanet gennem TDC Fiber kommunikationslinjer. I MPLS nettet er alle partnere sammenbundet i logiske strukturer, VRF, idet der er adskilte VRF for det administrative netværk, undervisningsnetværk mv. Af sikkerhedshensyn er der to TDC-fiberforbindelser fra separate TDC-centraler til Datacentret hos Athena. 2
Internet gateway Datacentret har en fælles gateway for servicefællesskabets institutioner til Internet via TDC som ISP, Internet Service Provider. Gatewayen etableres gennem Cisco ASA-firewalls. De to fiberforbindelser til Datacentret er termineret i hver sin ASA firewall, og BGP, Border Gateway Protocol, sikrer automatisk failover ved fejl på én af fiberforbindelserne. Datalagring og backup Brugerne af det administrative netværk benytter Datacentrets filservere til datalagring, jfr. nedenfor. Der foretages løbende sikkerhedskopiering backup - af de lagrede data, idet IT-Center Fyn har outsourced backup-opgaven til Athena IT-Group A/S. Backups lagres i Athena s driftscenter i en separat brandcelle. Den anvendte teknologi og tilhørende systemer til backup er alle baseret på formelle eller de facto-standarder, idet der anvendes TSM Tivoli Storage Management og VMWares Veeam- Backup systemer. Struktur for det administrative netværk Netværksoperativsystem Netværket er baseret på Microsoft Windows Server styresystem. Samtlige servere domaincontrollere, filservere m.m. for det administrative netværk er placeret i Datacentret. Lokalt på partnerskolerne findes alene klientcomputere og deployment distribution points. Der er oprettet brugerkonti i domainets AD, Active Directory. I AD opbevares brugernes passwords og adgangsrettigheder til det administrative netværks ressourcer, bl.a. dataområder på filserverne. Adgangsrettighederne til dataområderne styres af filsystemet NTFS. Hver bruger har adgang til et personligt dataområde og til dataområder for brugerens ansættelsesinstitution. Brugeradministration; adgangskodepolitik For at få adgang til det administrative netværk på Datacentrets servere kræves login med gyldigt brugernavn og password (adgangskode) i AD. Passwords skal være komplekse (skal indeholde store og små bogstaver og cifre) og skal være på mindst 8 tegns længde. Passwords skal udskiftes minimum hver tredje måned, idet det nye password skal være anderledes end de to foregående benyttede. Kravet om fornyelse af password effektueres automatisk af netværkets domaincontrollere. Hvis brugeren forsøger et logge ind på det administrative netværk mere end 10 gange med et ikke gyldigt password, blokeres brugerens konto. Medarbejdere i IT-Center Fyns centrale it-teknikere kan reaktivere brugerkontoen, hvis den er blokeret efter for mange loginforsøg, og kan tildele en brugerkonto nyt password. Ønske 3
om reaktivering af en medarbejders konto og/eller tildeling af nyt password skal ske gennem den it-ansvarlig på ansættelsesskole eller ved et opkald til IT-Center Fyns Servicedesk, hvor der påkræves, at man oplyser sit Cpr nummer samt mobil nummer. Efter tildeling af nyt password (samt ved brugerens første login til det administrative netværk) skal brugeren angive et personligt password ifølge reglerne ovenfor. Udvidede adgangsrettigheder Kun medarbejdere i IT-Center Fyns centrale it-teknikere har adgang til domaincontrollere og filservere i Datacentret med udvidede adgangsrettigheder som domain administrators. Eksterne konsulenter o.l. kan tildeles midlertidig adgang til serverne med en særlig konto med udvidede rettigheder, f.eks. ved problemudbedring. Den benyttede konto deaktiveres, når den eksterne konsulent har afsluttet sin opgave. Post- & kalendersystem IT-Center Fyn driver et Microsoft Office 365 post & kalendersystem for partnerinstitutionerne. Brugerne af det administrative netværk har, via brugeroplysninger i AD, adgang til Exchange systemet med klientprogrammet Microsoft Outlook eller via Microsoft Office 365 portal. Backup af brugerdata er Microsoft standard for Office 365. Kryptering af e-mails IT-Center Fyn sender alle e-mails i Office 365 ved hjælp af TLS (Transport Layer Security). E-mails bliver krypteret, når de forlader Office 365 mailserveren og dekrypteret, når de når frem til modtagernes mailserver. Denne løsning sikrer, at skolerne overholder EU-persondataforordningen omkring mailtransport. Denne metode medfører ingen ændring i måden, skolerne sender e-mails. Hvis modtageren mod forventning ikke kan modtage sikker e-mail, vil afsender få en mail retur, hvor der står følgende: En brugerdefineret mailflow-regel, der er oprettet af en administrator på o365itcfyn.onmicrosoft.com har blokeret din meddelelse. Send alligevel ved at skrive udentls i mailens emnefelt Se vejledning under Sikker mail på http://itcfyn.dk/faq/vejledninger Hvis skolen ønsker yderligere sikkerhed for udgående e-mails, kan den sende fra Outlook eller Office 365 med Microsoft OME. OME krypterer e-mailen, så den kun kan læses af modtageren. Det betyder, at det kun er modtageren, der kan åbne mailen. Modtageren skal bruge kode eller login, hver gang e-mailen skal læses. E-mailen kan ikke læses af en anden bruger, hvis den fx videresendes. Skolens lokale tekniker kan vejlede i brugen af OME. 4
Rent teknisk anvender IT-Center Fyn SMTP-TLS protokollen med SPF og DKIM. SPF fortæller, hvem der må sende mails på vegne af. DKIM verificerer, at afsenderen er den, hun/hhn giver sig ud for at være. Det forhindrer, at skolens e-mailadresser anvendes til at sende falske e-mails. Løsningen er kun til rådighed for e-mails, der sendes gennem IT-Center Fyns Outlook/Office 365. Den fungerer ikke, hvis fx Google Mail eller Skolekom anvendes. Administrative systemer I IT-Center Fyns Datacenter driftes LUDUS studieadministrative system og ESDH-systemerne DocuNote og IMS Arkiv for nogle af partnerskolerne. Der foretages backup af data i disse systemer jf. gældende SLA. Lokale sikkerhedskrav IT-Center Fyn varetager installation og drift af de administrative edb-arbejdspladser på partnerskolerne. Opdatering af det installerede styresystem, opdatering af antivirusprogrammel m.m. sker automatisk fra Datacentret og via Bitdefender antivirusløsning. Institutionerne i servicefællesskabet skal lokalt som minimum overholde nedenstående sikkerhedsregler (uddrag fra DS 484: Standard for informationssikkerhed ) for brug af det administrative netværk: Passwords Brugerne skal holde deres personlige password hemmelig undlade at nedskrive eller på anden måde lagre deres password skifte password (evt. ved kontakt til IT-Centrets centrale it-teknikere) ved mistanke om, at passwords er blevet opsnappet af uvedkommende. Datalagring Se http://itcfyn.dk/services/vejledning-i-persondata-og-it-sikkerhed/ Uovervåget udstyr Brugerne skal afslutte de enkelte administrative brugerprogrammer, når de ikke længere skal benyttes. Brugerne skal logge helt af fra netværket og edb-arbejdspladsen, når den ikke skal benyttes længere. Det er ikke tilstrækkeligt at slukke for skærmen. En systempolitik iværksætter automatisk skærmlås af brugeren, hvis der ikke har været aktivitet på edb-arbejdspladsen i 15 minutter. 5
VPN-adgang til driftsfællesskabets netværk En del medarbejdere benytter muligheden for adgang til skolens funktioner hjemmefra over internet via Cisco AnyConnect, VPN adgang, som IT-Center Fyn tilbyder. Sikkerheden på netværket er i høj grad afhængig af, at brugerne behandler det personlige login, brugernavn og password, omhyggeligt. Dette gælder naturligvis også ved opkobling via VPN fra et privat hjemmenetværk. VPN-opkoblinger må kun foretages fra computere, som har skolens standardopsætning, og som er medlem af domænet, ADMNET. Det er vigtigt, at opkoblingen lukkes umiddelbart efter, at den aktuelle arbejdsopgave er afsluttet. Mobilsikkerhed For at sikre at e-mails ikke kommer i forkerte hænder er der indført tvungen adgangskode på de mobile enheder, der bruges til at læse Outlook e-mails. - o 6
Ændringslog Dato Ændret 07-01-2015 Afsnittet Datalagring er ændret med en anbefaling om hvor data skal lageres samt en matrix som beskriver hvilke fordele/ ulemper der er i de forskellige lagrings områder. 09-11-2015 Sikkerhedsinstruks gennemlæst og kontrolleret. Veeam-Backup tilføjet under afsnittet Datalagring og backup THER 29-06-2016 Afsnittet vedr. VPN ændret, så det omhandler alle medarbejdere ikke kun adm-medarbejdere. Desuden er kravet vedr. brugen af standard-computer til VPN tilføjet. SOPU fjernet. THER 17-08-2016 Sikkerhedsinstruks gennemlæst og kontrolleret af Kent Hansen og Thomas Eriksen Adgangskodepolitik: Blokering efter 7 forkerte forsøg ændret til Blokering efter 10 forkerte forsøg Post- og kalendersystem: Ændret til Office365 Datalagring: Ændret til link til hjemmeside 11-10-2016 Forretningsudvalgets godkendelse af sikkerhedsinstruks 05-10-2017 Sikkerhedsinstruks gennemlæst og kontrolleret af Kent Hansen og Thomas Eriksen ingen ændringer 01-11-2017 Fejl i dato for forretningsudvalgets godkendelse af sikkerhedsinstruksen. Ændret til 11-10-2016 09-03-2018 Punktet Kryptering af e-mails tilføjet. VUF tilføjet på liste. 12-03-2018 Panda ændret til Bitdefender. IMS Arkiv tilføjet under punktet Administrative systemer. 7
Institutioner i servicefællesskabet IT-Center Fyn Sct. Knuds Gymnasium (værtsinstitution) Alssundgymnasiet Sønderborg Faaborg Gymnasium Fredericia Gymnasium Frederiksberg Gymnasium Frederiksberg HF Gefion Gymnasium Gribskov Gymnasium Horsens Gymnasium Horsens HF & VUC Horsens Statsskole Kolding Gymnasium Københavns åbne Gymnasium Maribo Gymnasium Middelfart Gymnasium Midtfyns Gymnasium Mulernes Legatskole Munkensdam Gymnasium Nakskov Gymnasium Nordfyns Gymnasium Nyborg Gymnasium Nykøbing Katedralskole Nørre Gymnasium Odense Katedralskole Ribe Katedralskole Svendborg Gymnasium Tornbjerg Gymnasium Tårnby Gymnasium Vestfyns Gymnasium HF & VUC FYN HF & VUC Nordsjælland VoksenUddannelsescenter Frederiksberg VUC Vestsjælland Syd Social- og Sundhedsskolen Fyn Social- og Sundhedsskolen Fredericia Horsens Social- og Sundhedsskolen Syd Social- og Sundhedsskolen Esbjerg SOSU Sjælland 8