Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
EVROPSKÁ UNIE MINISTERSTVO
Evropský fond pro regionální rozvoj PRO MÍSTNÍ
Integrovaný regionální operační program ROZVOJ ČR
INTEGROVANÝ REGIONÁ LNÍ OPERAČNÍ PROGRAM
Prokázání a kontrola naplnění standardu
konektivity ve výzvách IROP (infrastruktura
základních a středních škol)
verze k 30. 6. 2017
Tento dokument definuje princip ověření a kontroly naplnění standardu konektivity v
projektech IROP SC 2.4 zaměřených na zvýšení kvality a dostupnosti infrastruktury pro
vzdělá vá ní a celoživotní učení v oblasti zajištění vnitřní konektivity škol a připojení k
internetu - rozvoj vnitřní konektivity v prostorá ch škol a školských zařízení a připojení k
internetu. Dokument nemá žá dnou prá vní zá vaznost, a byl vydá n jako informativní příručka
pro žadatele a příjemce v SC 2.4 IROP.
Kontrola parametrů konektivity je relevantní pouze v případě, když v rámci projektu na
podporu infrastruktury základních, středních nebo vyšších odborných škol je tato aktivita
realizována.
Obecně příjemce prokazuje naplnění standardu konektivity v rá mci Zá věrečné zprá vy o
realizaci projektu (ZZoR). Jakýkoliv projekt mů že být ná sledně zkontrolován
administrativním ověřením nebo kontrolou na místě pracovníky CRR nebo Ř ídicího orgá nu
IROP. Výčty příkladů aplikace ověření na místě jsou demonstrativní. V případě nenaplnění
všech bodů standardu konektivity hrozí odebrá ní celé dotace na projekt!
Všechny povinné body standardu konektivity je nutné plnit po celou dobu udržitelnosti
projektu.
Strana 1 z 10
UPOZORNĚNÍ:
Do MS2014+ se vklá dá ZZoR ve formě textového pole, ovšem je možné přiklá dat přílohy. V
tomto směru je doporučeno, aby pro doložení naplnění jednotlivých bodů standardu
konektivity byl použit systém příloh, kdy „pá teřní příloha" bude strukturovaně popisovat
naplnění jednotlivých bodů , a z této přílohy pak bude odkazová no na další jednotlivé přílohy
(prinstcreeny apod.J prokazující naplnění jednotlivých bodů standardu konektivity.
Samozřejmě je na žadateli, jak tento systém pojme - je samozřejmě možné z textu ZZoR
odkazovat na jednotlivé čá sti jediné přílohy, kde bude vše potřebné zahrnuto (např.
podrobná komplexní dokumentace k vnitřní konektivitě školy).
U příloh žadatel vždy uvede, k jakému datu byl daný stav zachycen.
Pro ověření některých parametrů standardu bude využívá n ná stroj na adrese
www.standardkonektivity.cz s těmito funkcionalitami:
1. Rychlost, kvalita a typ připojení
• Podpora IPv4: ANO/NE
• IPv4 adresa
• Podpora IPv6: ANO/NE
• IPv6 adresa
• DNS SEC RSA: ANO/NE
• DNSSEC ECDSA: ANO/NE
• Připojeno do sítě FÉ NIX1: ANO/NE
• Down-load: hodnota
• Up-load: hodnota
• Rozdíl Up-load a Down-rychlostí
• Ping
2. Podpora služeb
• Zadá ní URL (např. www.zsjizni.cz)
• IPv4 DNS zá znam (A): ANO/NE
• IPvó DNS zá znam (AAAA): ANO / NE
• Zabezpečení domény DNSSEC: ANO / NE
• HTTPS: ANO/NE
Aby škola splň ovala standard konektivity jako celek, je potřeba u všech sledovaných dílčích
parametrů s možnostmi ANO/NE dosá hnout hodnoty ANO ( ), kromě parametru „Připojeno
do sítě FÉ NIX“, který mů že být vyhodnocen negativně, a přesto projekt splní standard
konektivity (viz pozná mka pod čarou).
¹ V rámci nástroje je ověřováno pouze připojení prostřednictvím ISP zapojeného do projektu FÉNIX. Negativní vyhodnocení tohoto kritéria
však automaticky nemusí znamenat nesplnění podmínek Standardu konektivity škol, který umožňuje splnění podmínek i bez přijetí za člena
projektu FÉNIX.
Strana 2 z 10
MANUÁ L KE ZPŮ SOBU OVĚ Ř ENÍ JEDNOTLIVÝ CH BODŮ STANDARDU
Zapracování zásad využívání ICT a přístupu ksíti do vnitřních předpisů školy, v případě, že je tato
aktivita realizována v rámci projektu IROP.
Proká zá ní:
• příjemce uvede, kdy a jakým způ sobem byly zá sady využívá ní ICT a přístupu k síti
zapracová ny do vnitřních předpisů školy. Příjemce povinně doloží k ZZoR příslušnou
pasá ž/směrnici.
1. Konektivita školy k veřejnému internetu (WAN)
Obecný popis: pro zá kladní způ sobilost projektu naplň ujícího opatření „vnitřní konektivita
škol" musí příslušná škola zajistit kvalitní připojení ke službá m veřejného internetu, a to i v
případě, že vybavení pro připojení k internetu není předmětem projektové žá dosti. Za toto
připojení je považová no zajištění konektivity splň ující ná sledující minimá lní parametry
nejpozději ke dni ukončení realizace projektu:
Šíře pásma (bandwidth) odpovídající 128kbps/student2 nebo 512kbps/počítač3 nebo taková šířka
pásma, která neomezuje provoz zařízení a uživatelů4
Proká zá ní:
• příjemce si ověří šíři pá sma ná strojem na webu www.standardkonektivity.cz a přiloží
export výsledku k ZZoR, nebo
• smlouva s providerem musí být nastavena tak, aby poskytovaná šíře pá sma
neomezovala běžný školní provoz, příjemce přiloží smlouvu k ZZoR, nebo
• příjemce v ZZoR (kapitola 6. Informace o zajištění provozu / ú držby výstupů projektu
po jeho ukončení) slovně popíše a vypočítá , že v rámci jeho parametrů (počet
studentů , počet počítačů , počet zařízení přistupujících k internetu) dané připojení
nijak neomezuje provoz zařízení a uživatelů
Symetrické připojení bez agregace a omezení (FUP)
Proká zá ní:
• příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export
výsledku k ZZoR
Vlastní nebo poskytovatelem přidělené veřejné IPv4 i IPv6 adresy
Proká zá ní:
2 . , .
3Počet studentů je definovaný celkový počet studentů školy
Metrika vhodná typicky pro školy bez mobilních popř BYOD zařízení
4
Definováno jako saturace šířky pásma připojení k veřejnému internetu, která ani ve špičkách nedosáhne a to ani krátkodobě 100%
Strana 3 z 10
• příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export
výsledku k ZZoR, společně s doprovodným XML otiskem databá ze RIPE
Plná podpora připojení do veřejného internetu přes protokol IPv4 i IPv6 (dual- stack)
Proká zá ní:
• příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export
výsledku k ZZoR
Validující DNSSEC resolver na straně školy
Proká zá ní:
• příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export
výsledku k ZZoR
Ověření na místě:
• Kontrolor se připojí zařízením do Wifi sítě a připojí se na strá nky
www.standardkonektivity.cz.
Podpora monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného
provozu k vnitřnímu zařízení
Proká zá ní:
• příjemce přiloží k ZZoR zá znam logu, a popíše, jaký mechanismus logová ní používá
(jak loguje a jak dlouho uklá dá zá znamy]
Ověření na místě:
• v případě prověření na místě (pokud to v ZZoR nebude prů kazné], bude přivolá n
technik a kontrolor ověří, že příjemce uklá dá logy po deklarovanou dobu (namá tkový
zá znam logu]
Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel, a to
včetně ošetření v případě sdílených učeben (pracovních stanic apod.)
Proká zá ní:
• příjemce přiloží k ZZoR zá znam logu DHCP, a popíše, jaký mechanismus logová ní
používá (jak loguje a jak dlouho uklá dá zá znamy]
Ověření na místě:
Strana 4 z 10
• v případě prověření na místě (pokud to v ZZoR nebude prů kazné), bude přivolá n
technik a kontrolor ověří, že příjemce uklá dá DHCP logy po deklarovanou dobu
(namá tkový zá znam logu - kontrola, kam který uživatel přistupoval v určitý časový
okamž ik)
Síťové zařízení podporující rate limiting, antispoofing, ACL/xACL, rozhraní musí obsahovat
všechny potřebné komponenty a licence pro zajištění řádné funkcionality
Proká zá ní:
• příjemce přiloží buď smlouvu, ze které bude patrná podpora rate limitingu,
antispoofingu a ACL/xACL, nebo datasheet zařízení, ze kterého to bude patrné
• příjemce dále slovně obhá jí, že rozhraní obsahuje všechny potřebné komponenty a
licence a popíše jaké
Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro
vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu, antivirovou
kontrolou stahovaného obsahu
Proká zá ní:
• příjemce popíše, jakým způ sobem je realizová no - jak kategorizuje, jak selektuje
apod., u antiviru popíše, jak ho používá a jak často ho a jakým způ sobem aktualizuje.
Zá roveň doloží prinstcreen nastavení blokovaných adres v zařízení
Ověření na místě:
• kontrolor mů že chtít na požá dá ní zablokovat ad hoc URL
Možnost snadné/automatické rekonjigurace ACL/FW na základě identifikovaných útoků
Proká zá ní:
• příjemce popíše, jakým způ sobem je realizová no
Ověření na místě:
• kontrolor mů že chtít na požá dá ní blokaci určitého rozsahu
Podpora DNSSEC a lPv6 protokolů pro služby školy dostupné online
Proká zá ní:
• příjemce ověří ná strojem na webu www.standardkonektivitv.cz a přiloží export
výsledku k ZzoR
Strana 5 z 10
Zapojení poskytovatele připojení v bezpečnostním projektu FÉNIX resp. veřejné adresy využívané
školou jsou zapojeny do infrastruktury FÉNIX5 nebo ISP splňuje alespoň technické standardy
definované projektem FÉNIX - viz http://nix.cz/cs/file/NIX PRAVIDLA FÉNIX
Proká zá ní:
• příjemce ověří ná strojem na webu www.standardkonektivitv.cz a přiloží export
výsledku k ZZoR, nebo
• příjemce doloží čestným prohlá šením, že, jeho poskytovatel je členem FÉ NIX, nebo
příjemce doloží čestným prohlá šením, že jeho poskytovatel jej propaguje do projektu FÉ NIX
prostřednictvím jiného operá tora -člena FÉ NIX
U software a firmware je vyžadována dostupnost aktualizací, zejména bezpečnostního
charakteru po celou dobu udržitelnosti projektu.
Proká zá ní:
• příjemce popíše, jak tento bod zajišťuje (smlouva, zaplacené aktualizace, komunitní
open source SW nebo další relevantní dokument, ve kterém je to ošetřeno)
2. Vnitřní konektivita školy (LAN)
Obecný popis: vnitřní síťové prostředí školy pořizované v rá mci projektu mů že být řešeno
pevnou sítí, bezdrá tovou sítí, nebo kombinací těchto síťových technologií. Připojením je
nutné pokrýt prostory dotčené hlavním projektem, rovněž je možné pokrýt ostatní prostory
školy, včetně chodeb, jídelen, interná tu a dalších školských zařízení. Potřebnost a ú čelnost
takového pokrytí musí být zdů vodněna ve studii proveditelnosti.
Povinné minimální bezpečnostní parametry projektu (bez ohledu na typ síťového připojení):
• Monitorování IP (IPv4 a IPv6) datových toků formou exportu provozních informací o
přenesených datech včlenění minimálně zdrojová/cílová IP adresa, zdrojový/cílový
TCP/UDP port (či ICMP typ) - RFC3954 nebo ekvivalent (např. NetFlow) - systém pro
monitorování a sběr provozně- lokačních údajů minimálně na úrovni rozhraní WAN,
ideálně i LAN) a to bez negativních vlivů na zátěž a propustnost zařízení s kapacitou pro
uchování dat po dobu minimálně 2 měsíců
• Povinné řešení systému správy uživatelů (Identity Management), tj. centrální databáze
identit (LDAP, AD, apod.) a její využití pro autentizaci uživatelů
5V případě, kdy má ISP přidělené IP adresy od člena FÉNIX, musí být součástí projektu prohlášení ISP, ze kterého
bude patrné, že příslušné adresy jsou v rámci FÉNIX propagovány. V případě, kdy má ISP vlastní ASn a není přímý člen FÉNIX,
musí být součástí projektu prohlášení ISP, ze kterého bude patrné, že příslušné ASn propaguje do FÉNIX na základě smluvního
vztahu některý ze členů FÉNIX.
Strana 6 z 10
(žáci i učitelé) za účelem bezpečného a auditovatelného přístupu k síti, resp. síťovým
službám.
• logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel
Proká zá ní:
• Příjemce detailně popíše, jak je tento bod standardu naplň ová n
Ověření na místě:
• Kontrolor mů že ad hoc ověřit výpis konkrétního provozu (zachycení pohybu uživatele
na určité adrese v určitém čase]
V oblasti pevné LAN musí projekt splňovat následující minimální parametry:
• Minimální konektivita stanic a dalších koncových zařízení lOOMbit/s fullduplex
• Strukturovaná kabeláž pro připojení pracovních stanic a dalších zařízení (tiskárny,
servery, AP,...)
• Technická specifikace řešení LAN, žadatel popíše co používá
• Minimální konektivita serverů, aktivních síťových prvků, bezpečnostních zařízení, NAS
lGbit/s fullduplex
• Páteřní rozvody mezi budovami v areálu realizovány prostřednictvím optických nebo
metalických vláken
• Aktivní prvky (centrální směrovače a centrální přepínače; L2 i L3)6 s neblokující
architekturou přepínacího subsystému (wire speed), podpora 802.IQ VLÁN, podpora
802.IX, rádius basedMACautentizace,...
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení LAN, co všechno využívá , a
ideá lně doloží smlouvami nebo datasheety
Ověření na místě:
• Kontrola infrastruktury, popř. datasheetů
V případě řešení bezdrátových sítí (wifi) pak musí projekt naplňovat následující minimální
parametry:
Podpora mechanismu izolace klientů
Proká zá ní:
6Požadavek se týká prvků, přes které je veden vešketý provoz, resp. jde o centrální prvky. Podružné přepínače (chodbové, učebnové) musí
splňovat pouze požadavek na neblokující architekturou přepínacího subsystému
Strana 7 z 10
• Příjemce detailně popíše technickou specifikaci řešení, jak je to nakonfigurová no a
ideá lně doloží smlouvami nebo datasheety
Ověření na místě:
• Kontrolor se připojí 2 zařízeními do wifi sítě, mezi zařízeními by neměl projít žá dný
provoz
Návrh topologie wifi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v
příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru
i studentů
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení, doloží dokumentaci provedení
(mapa, model pokrytí)
Centralizovaná architektura správy wifi sítě (centrální řadič, centrální management, tzv. thin
access pointy, popř. alespoň centrální řešení distribuce konfigurací s podporou automatického
rozložení zátěže klientů, roamingu mezi spravované access pointy a automatickým laděním
kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení)
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení, doloží technickou specifikaci
ř eš ení
Podpora protokolu IEEE 802.IX resp. ověřování uživatelů oproti databázi účtů přes protokol
rádius (např. LDAP, MS AD ...)
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety
Podpora standardu IEEE 802. lln a případně novějších (ac, ad), současná funkce AP v pásmu 2,4 a
5 GHz
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety
Strana 8 z 10
Minimálně pasivní zapojení7 do federovaného systému eduroam (www.eduroam.cz). Optimálně
aktivní zapojení do systému eduroam, pro zajištění národní i mezinárodní mobility žáků a
učitelů.
Proká zá ní:
• Příjemce doloží potvrzení od CESNET, že u něj funguje min. pasivní zapojení do
eduroam,kontaktní adresa: eduioam-IROP@cesnet.cz
Ověření na místě:
• Kontrolor se svým eduroam ú čtem připojí do sítě příjemce a ověří, že se připojí např.
na strá nku www.standardkonektivity.cz.
Podpora WPA2, PoE, multi SS1D, ACL pro jiltrováníprovozu
Proká zá ní:
• Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety
3. Další bezpečnostní prvky
Obecný popis: v rá mci projektů je možné realizovat další aktivity naplň ující principy
bezpečného využívá ní 1T prostředků . Pokud příjemce v rámci projektu uplatnil způ sobilé
výdaje na některé z bodů uvedených níže, je třeba proká zat v ZZoR ná sledující:
Identity management systém (1DM) - systém správy identit, řízení životního cyklu uživatelů,
integrace do provozních a bezpečnostních systémů
Proká zá ní:
• Příjemce detailně popíše systém IDM, počet identit, a pro co všechno je to využívá no, jak
je řízen životní cyklus identity
Centralizovaný autentizační systém napojení na systém správy identit (např. na bázi LDAP, AD,
studijní a personální agendy apod.)
Řešení dočasných přístupů (hosté, brigádníci, praktikanti, zákonní zástupci, externí subjekty,
blokace wifi v určitém čase)
7Pasivním zapojením se rozumí poskytování služeb sítě eduroam na úrovni poskytovatele zdrojů — viz. hily: uuu.eduroam.cz media es cz roam
ijolicv v2.tl.pdf
Strana 9 z 10
Federované služby autentizace a autorizace (včetně aktivního zapojení do národních
vzdělávacích federací a zpřístupnění jejich služeb)
Systémy nebo zařízení pro sledování infrastruktury sítě a sledování IP provozu sítě
(umožňujícífunkce RFC 3954 nebo ekvivalent (NetFlow))
Systémy schopné detekovat nelegitimní provoz nebo síťové anomálie
Systémy vyhodnocování a správy událostí a bezpečnostních incidentů (log management, incident
management)
Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (např.
Nagios /Icinga)
Systémy uživatelské podpory naplňující principy ITIL (HelpDesk, ServiceDesk)
Nástroje pro centrální správu a audit ICT prostředků
Systémy zálohování a obnovy dat serverové infrastruktury
Systémy pro antivirovou ochranu zařízení, antispamovou ochranu poštovních serverů
Zabezpečení přístupových protokolů (SSL/TLS) služeb (např. emailové služby, webové servery,
studijní a ekonomické agendy) atp.
Podpora vzdáleného přístupu (VPN)
Proká zá ní:
• Příjemce detailně popíše implementaci a design daného systému / ná stroje, doloží
datasheety
1HDOPORUČENÍ: ideální je mít vše ohledně konektivity podrobně zdokumentováno a pak z
jednotlivých bodů jen odkazovat na dokumentaci, přiloženou k ZZoR!!!
Strana 10 z 10
