Ministero per l’Innovazione
e le Tecnologie
Centro Tecnico RUPA
Politecnico
di Milano
Il Sistema Pubblico di Connettività
Maurizio Dècina
Politecnico di Milano
Gruppo di Lavoro SPC- MIT
V Conferenza Nazionale CISIS
Matera, 16 Ottobre 2003
Scenario attuale
Le PA centrali e alcune PA locali utilizzano oggi la Rete Unitaria come
infrastruttura di comunicazione, con contratti in scadenza nel 2004
Alcune Reti Regionali aggregano comuni e province della regione,
configurandosi come ISP delle PAL aderenti
La tecnologia di Internet a garanzia della Qualità di Servizio e della
Sicurezza delle Comunicazioni sta avviandosi verso la maturità di
mercato
La fornitura di servizi telematici in un mercato concorrenziale che
valorizza le autonomie locali, permette ad una pluralità di attori di
contribuire all’innovazione tecnologica e allo sviluppo del Paese
Nasce quindi l’esigenza di realizzare un ‘sistema di fiducia’, con
regole di interconnessione comuni, che:
permetta a tutte le PA di essere connesse tra di loro con gli
adeguati standard di qualità e sicurezza
garantisca l’integrità dello sviluppo del sistema telematico a
livello di Paese
Maurizio Dècina
-2-
SPC, CISIS, Matera, 16 Ottobre 2003
Il Sistema Pubblico di Connettività ed i suoi
obiettivi principali
Il Sistema Pubblico di Connettività (SPC): è l’ombrello’ che inquadra
la realizzazione delle infrastrutture di comunicazione della PA nel
suo complesso
Obiettivi principali
Garantire l’interazione telematica della pubblica
amministrazione centrale e locale con i cittadini e le imprese
Realizzare un’architettura multi-fornitore che favorisca lo
sviluppo del mercato e della concorrenza
Fornire un’infrastruttura che permetta l’interoperabilità tra le
pubbliche amministrazioni e la realizzazione di reti interne alle
pubbliche amministrazioni
Fornire un insieme di servizi standard condivisi dagli enti
interconnessi ed erogati da una pluralità di fornitori
Realizzare i necessari standard di qualità e di sicurezza atti a
garantire l’integrità del sistema telematico a livello Paese
Stimolare lo sviluppo dell’Internet italiana e l’accessibilità via
Internet dei cittadini verso la PA
Maurizio Dècina
-3-
SPC, CISIS, Matera, 16 Ottobre 2003
I principali obiettivi del SPC
PROVIDER QUALIFICATI LISTINO SERVIZI
Asp 2
Asp 1
Provider 1
Provider 2
Internet
RUPAR
Provider 3
Internet qualificata
…
PAC
PAL
Provider 1
IP BE 2Mbps x€
IP BE 100 Mbps y€
….
Provider 2
IP HQ 2Mbps k€
IP HQ 100 Mbps z€
PAC
ISP Locale
PAL
RUPAR
ISP Regionale
PAC
PAL
RUPAR
ISP Nazionale
Asp 3
T
MILANO
TO
RIN
O
GENOVA
Struttura di gestione
della sicurezza
VENEZIA
BOLOGNA
FIRENZE 3
PERUGIA
ROMA
TRIESTE
ANCONA
L’AQUILA
CAMPOBASSO
NAPOLI
CAGLIARI
BARI
CATANZARO
PALERMO
Cittadini e imprese
Struttura di gestione
della qualità
Maurizio Dècina
-4-
SPC, CISIS, Matera, 16 Ottobre 2003
Servizi e enti qualificati
I Servizi del SPC
Servizi di trasporto
Servizi di sicurezza
Servizi di interoperabilità di base
Servizi di supporto
Servizi applicativi
Gli Enti Qualificati del SPC
Internet Service Provider, (Q-ISP)
Community Network, (Q-CN)
Security Service Provider, (Q-SSP)
Application Service Provider, (Q-ASP)
Maurizio Dècina
-5-
SPC, CISIS, Matera, 16 Ottobre 2003
Schema funzionale SPC
Struttura di
coordinamento
CERT
PKI
Centro di Gestione
NOC-QXN
Internet
Qualif. eXchange Network
NOC-QCN
Q-ISP
PA
Maurizio Dècina
Qualif.- Community Network
NOC-QISP
PA
PA
-6-
PA
SPC, CISIS, Matera, 16 Ottobre 2003
Il Modello SPC
La necessità di realizzare un Sistema nel quale la comunicazione tra
le diverse PA avvenga con caratteristiche di qualità e sicurezza
garantite “end to end”, in un contesto multi-fornitore, implica:
la realizzazione di una infrastruttura di interconnessione e
di controllo
la definizione di opportune ‘regole’ che dovranno essere
rispettate da tutti gli attori coinvolti
L’infrastruttura di interconnessione è denominata QXN
Il controllo operativo dell’SPC è delegato al Centro di Gestione,
connesso con il NOC del QXN e responsabile delle misure e delle
procedure per garantire la qualità e la sicurezza delle comunicazioni
La regia del sistema SPC, in termini di politiche e direttive, è
delegata alla Stuttura di Coordinamento
Le regole sono quelle della ‘qualificazione’ dei servizi e dei fornitori
di servizi, la cui applicazione è delegata alla Struttura di
Coordinamento e in termini operativi al Centro di Gestione
Maurizio Dècina
-7-
SPC, CISIS, Matera, 16 Ottobre 2003
Organizzazione della sicurezza
(Il sistema di fiducia)
Comitato
strategico
sicurezza
SPC
CERT SPC
Gestore tecnico PKI
Responsabile
operativo
PKI
Contingency Plan
Incident Response
Certificati
digitali
Struttura di Controllo
del SPC (SCSPC)
Responsabile
sicurezza SPC
Politiche e
direttive
Centro di gestione SPC
(CGSPC)
Responsabile
operativo
sicurezza SPC
Responsabile operativo
locale sicurezza SPC
Fornitore qualificato
Maurizio Dècina
Misure e
procedure
Responsabile
locale
sicurezza SPC
Responsabile
operativo locale
sicurezza SPC
Amministrazione
-8-
Responsabile
operativo locale
sicurezza SPC
Responsabile
locale
sicurezza SPC
Rete Regionale
qualificata
SPC, CISIS, Matera, 16 Ottobre 2003
Qualificazione degli enti e dei servizi
Oggetto della Fornitore
qualificazione
Servizi
 Requisiti industriali: struttura, personale, gestione subfornitori, ...
 Requisiti infrastrutturali: tecnologie, dependability, siti,..
 Qualità, prestazioni, modalità di erogazione
 La struttura di controllo valuta le richieste di
qualificazione e iscrive nell’elenco i fornitori qualificati
specificando i servizi qualificati. La valutazione può
essere delegata a strutture periferiche
Modello di
qualificazione
Audit periodico  Locale, centrale
Verifica della In caso di
qualificazione anomalie
Sanzioni
Maurizio Dècina
 Inosservanza degli SLA
 Incidenti
 Segnalazione utenti




Richiamo
Penali
Perdita della qualificazione
Disconnessione
-9-
SPC, CISIS, Matera, 16 Ottobre 2003
La Qualified eXchange Network (QXN)
Q-ISP 1
PA
Q-ISP 4
PA
Q-ISP 2
PA
PA
Sede NAP A
Q-ISP 3
PA
Qualified eXchange Network
Sede NAP B
Q-CN1
ISP1 1
ISP
Maurizio Dècina
ISP
ISP2 2
Sede NAP C
PA
PA
-10-
SPC, CISIS, Matera, 16 Ottobre 2003
Flussi
5
Q-ISP 1
1
PA 1
PA 3
2
Internet
Cittadino 1
Centro di
gestione SPC
3
4
QXN
PA 2
Q-ISP 2
ISP 1
Cittadino 2
Maurizio Dècina
Cittadino/PA
-11-
SPC, CISIS, Matera, 16 Ottobre 2003
Classi IP tipiche per il supporto di
differenti servizi
Classi per servizi standard
Best effort (IPStd-1)
Sensitive but not critical data (IPStd-2)
Critical high priority data (IPStd-3) (transazioni in ambito
finanziario, bancario)
Classi per servizi real time
Per applicazioni audio/video a bassa interattività ed alto
buffering (IPAV-1)
Per Voice over IP(IPAV-2)
Per applicazioni di videoconferenza e cooperative
processing o per audio/video streaming in alta qualità e
basso buffering (IPAV-3)
Maurizio Dècina
-12-
SPC, CISIS, Matera, 16 Ottobre 2003
Qualità del servizio di trasporto
NAP
Q-ISP 3
PA-2
Q-ISP 1
Q-ISP 2
PA-3
PA-1
PA-4
DNS
Maurizio Dècina
-13-
SPC, CISIS, Matera, 16 Ottobre 2003
Soglie di qualità del servizio
Banda minima
garantita (PASQXN)
Round trip delay (RTD)/
One way Delay (OWD)
Jitter
Packet loss
-
Numero dei
campioni scartati
< 0.2%
IPStd-1
(IP best effort)
-
RTD
50% dei campioni <200ms
95% dei campioni <300ms
100% dei campioni <1.000ms
IPStd-2
(sensitive not
X
RTD
50% dei campioni <200ms
95% dei campioni <300ms
100% dei campioni <1.000ms
-
Numero dei
campioni scartati
< 0.1%
(critical)
X
RTD
95% dei campioni <100ms
100% dei campioni <500ms
-
Numero dei
campioni scartati
< 0.1%
X
OWD
95% dei campioni < 100ms
20ms
Numero dei
campioni scartati
< 0.1%
IPAV-2 (Voce su IP - VoIP)
X
OWD
95% dei campioni < 50ms
10ms
Numero dei
campioni scartati
< 0.1%
IPAV-3 (videoconferenza,
X
OWD
95% dei campioni < 50ms
10ms
Numero dei
campioni scartati
< 0.05%
critical)
IPStd-3
IPAV-1 (applicazioni audio
video bassa interattività ed
alto buffering)
audio/video streaming in alta
qualità e basso buffering)
Maurizio Dècina
-14-
SPC, CISIS, Matera, 16 Ottobre 2003
Servizi di sicurezza
OBBLIGATORI
(qualificati)
Intra-dominio
Inter-dominio
Internet
(CONNESSIONE
CON RETE
UNTRUSTED)
(CONNESSIONE
CON RETE
TRUSTED)
Maurizio Dècina

•
•
•
VPN (gw-to-gw)
Firewall
N-IDS
NAT
OPZIONALI
(qualificati)
OPZIONALI
(Non qualificati)
Antivirus
H-IDS
PKI-CA
Hardening sistemi
critici
 Vulnerability
Assessment
 Content Filtering
 Vulnerability/Patch
Management
 Security Advisor
 Consulenza
 Formazione
•
•
•
•
•
•
 Content Filtering
 Vulnerability/Patch
Management
 Security Advisor
 Consulenza
 Formazione




-15-
N-IDS
Antivirus
H-IDS
Firewall
VPN (gw-to-gw)
PKI-CA
SPC, CISIS, Matera, 16 Ottobre 2003
Profili dei servizi di sicurezza
S3
IDS
VPN
Firewall
S3
NAT
S2
S1
C1
C2
C3
L1
C4
1/no dmz
25
0,512
--
NO
2 di cui 1 dmz
50
2
SI
NO
3 di cui 2 dmz
100
8/10
SI
NO
C4
S2
C3
S1
Num
Nodi IP
C2
Servizio
QOB
Oltre 2 dmz
unlimited
34
SI
NO
Caratteristiche
L2
L3
5
0,512
--
NO
50
2
SI
NO
C3
100
8 / 10
SI
NO
C4
C1
SI
NO
C2
2 di cui 1 dmz
SI
NO
C3
3 int/ext/dmz
SI
NO
C4
4 int/ext
SI
NO
Avanz.
Throughput
Cifrato [Mbps]
1000
34
SI
--
High Availability
1 int / ext
Maurizio Dècina
Base
Num Max Tunnel
contemporanei
C2
Rete
Profilo VPN
Num Max
Signature
C1
Profilo IDS
Segmenti di
High Availability
La funzionalità di NAT è comune a tutti i profili e deve
supportare NAT, PAT, GROUP. Il firewall dovrà essere Statefull
Profilo Serv.Qualif.Obblig. (QOB)
Livelli di
Servizio
Throughpu
t
[Mbps]
Segmenti di rete
C1
Profilo Firewall
Servizi di sicurezza Qualificati Obbligatori
-16-
High Availability
SPC, CISIS, Matera, 16 Ottobre 2003
Servizi di Sicurezza: gli SLA
L1
L2
L3
H24x365gg
H24x365gg
H24x365gg
Base
Avanzato
Avanzato
1 mese
3 mesi
3 mesi
Non disponibile
Non disponibile
H24x365gg
Help Desk (periodo supporto)
Lu-Ve 7-19
Lu-Ve 7-19
Sa-Do 9-17
H24x365gg
Supporto tecnico telefonico
Lu-Ve 9-18
Lu-Ve 9-18
Lu-Ve 9-18
Richiesta di change incluse
Normali 24 anno
Urgenti 0 anno
Normali 24 anno
Urgenti 12 anno
Normali 96 anno
Urgenti 24 anno
Raccolta log
Reporting on-line
Disponibilità on-line dei log
Monitoraggio proattivo
Garanzia di installazione
e set-up
Garanzia di aggiornamento
SW (legate a sicurezza)
Garanzia di implementazione
richiesta di change policy
40gg lavorativi
40gg lavorativi
20gg lavorativi
10gg lavorativi da
completamento test
Normali 24 ore
Urgenti 12 ore
5gg lavorativi da
completamento test
Normali 24 ore
Urgenti 12 ore
3gg lavorativi da
completamento test
Normali 24 ore
Urgenti 12 ore
Garanzia di Incident Handling
Da concordare
Da concordare
Da concordare
Garanzia di Ripristino HW/SW
Entro 12 ore
Entro 8 ore
Entro 8 ore
Maurizio Dècina
-17-
SPC, CISIS, Matera, 16 Ottobre 2003
Stato avanzamento lavori
Ad oggi sono stati attivati 2 gruppi di lavoro
Qualità/prestazioni del SPC
Sicurezza del SPC
I due gruppi sono formati complessivamente da circa 120 persone tra
rappresentanti degli enti locali, degli operatori, delle associazioni di
categoria, del mondo accademico e del Centro Tecnico RUPA
Sono in allestimento sperimentazioni della infrastruttura QXN tra tre
NAP: MIX, TOPIX e TIX
Un terzo gruppo di lavoro sarà attivato a breve
Servizi applicativi del SPC
I primi due gruppi concluderanno i lavori entro l’anno con la
definizione dell’architettura e delle caratteristiche tecniche delle
infrastrutture da realizzare
Le gare d’appalto del SPC sono previste nel 2004
Maurizio Dècina
-18-
SPC, CISIS, Matera, 16 Ottobre 2003