Standard konektivity škol
O epizodě podcastu
Celý dokument najdete zde a doporučujeme Vám se s ním co nejdříve seznámit:
https://www.edu.cz/digitalizujeme/standard-konektivity-skol/
Co nám přišlo zajímavé a o čem se v podcastu bavíme:
- Šíře pásma (bandwidth) odpovídající 0,25 Mbps/žák či student nebo 0,5 Mbps/koncové uživatelské zařízení a zároveň taková šířka pásma, která neomezuje provoz zařízení a uživatelů. Šíře pásma se vztahuje na počet žáků/studentů/koncových uživatelských zařízení v budově/areálu, kde se projekt realizuje.
- Vlastní nebo poskytovatelem přidělené veřejné IPv4 adresy
- Zajištění monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu koncovému zařízení v minimální délce 3 měsíců.
- Síťové zařízení podporující rate limiting , antispoofing , access listy - zařízení musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality. Co to je vysvětlujeme v podcastu.
Co bychom vypíchli z hlediska bezpečnosti?
- Požadavky na wifi
- Zabezpečení minimálně AES šifrováním a standardem WPA2-Enterprise nebo WPA3-Enterprise, multi SSID, ACL pro filtrování provozu.
- Zajištění vzájemně oddělených sítí pro zaměstnance školy, žáky/studenty školy a externí zařízení (hosty).
Podpora mechanismu izolace uživatelů
- Zajištění šifrovaného přístupu (SSL/TLS) a podepsání DNSSEC domén pro služby školy dostupné online (např. emailové služby, webové servery, studijní a ekonomické agendy atp.) (Povinné)
- Systém správy uživatelů (Identity Management), tj. centrální databáze identit (LDAP, AD apod.) a její využití pro autentizaci uživatelů (žáci i učitelé) za účelem bezpečného a auditovatelného přístupu k síti, resp. službám. Využívání jednoho účtu více uživateli není povoleno (využívání tzv. anonymních účtů) (Povinné)
- Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa–čas-počítačový systém.
- Řešení dočasných přístupů (hosté, brigádníci, praktikanti, zákonní zástupci, externí subjekty) a systému blokace Wi-Fi v určitém čase. (Doporučené)
- Zavedení vícefaktorové autentizace (Doporučené)
- Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (Doporučené)
- Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu (Doporučené)
Na co si dále dát pozor
Páteřní rozvody mezi budovami v areálu, kde probíhá výuka nebo příprava na ni, realizovány prostřednictvím optických vláken nebo metalických kabelů. Vztahuje se na budovu/areál, kde se projekt realizuje.
Aktualizace: Software a firmware je aktualizován po dobu udržitelnosti projektu, jsou-li aktualizace k dispozici.
Návrh topologie Wi-Fi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů.
Plná podpora připojení do veřejného internetu přes protokol IPv4 i IPv6, včetně zajištění dostupnosti online služeb školy na IPv6 adresách. (Doporučené)
Celý dokument najdete zde a doporučujeme Vám se s ním co nejdříve seznámit:
https://www.edu.cz/digitalizujeme/standard-konektivity-skol/
Co nám přišlo zajímavé a o čem se v podcastu bavíme:
- Šíře pásma (bandwidth) odpovídající 0,25 Mbps/žák či student nebo 0,5 Mbps/koncové uživatelské zařízení a zároveň taková šířka pásma, která neomezuje provoz zařízení a uživatelů. Šíře pásma se vztahuje na počet žáků/studentů/koncových uživatelských zařízení
v budově/areálu, kde se projekt realizuje.
- Vlastní nebo poskytovatelem přidělené veřejné IPv4 adresy
- Zajištění monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu koncovému zařízení
v minimální délce 3 měsíců.
- Síťové zařízení podporující rate limiting , antispoofing , access listy – zařízení musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality. Co to je, vysvětlujeme v podcastu.
Co bychom vypíchli z hlediska bezpečnosti?
- Požadavky na WI-FI
- Zabezpečení minimálně AES šifrováním a standardem WPA2-Enterprise nebo WPA3-Enterprise, multi SSID, ACL pro filtrování provozu.
- Zajištění vzájemně oddělených sítí pro zaměstnance školy, žáky/studenty školy a externí zařízení (hosty).
Podpora mechanismu izolace uživatelů
- Zajištění šifrovaného přístupu (SSL/TLS) a podepsání DNSSEC domén pro služby školy dostupné online (např. emailové služby, webové servery, studijní a ekonomické agendy atp.) (Povinné)
- Systém správy uživatelů (Identity Management), tj. centrální databáze identit (LDAP, AD apod.) a její využití pro autentizaci uživatelů (žáci i učitelé) za účelem bezpečného a auditovatelného přístupu k síti, resp. službám. Využívání jednoho účtu více uživateli není povoleno (využívání tzv. anonymních účtů) (Povinné)
- Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa–čas-počítačový systém.
- Řešení dočasných přístupů (hosté, brigádníci, praktikanti, zákonní zástupci, externí subjekty) a systému blokace Wi-Fi v určitém čase. (Doporučené)
- Zavedení vícefaktorové autentizace (Doporučené)
- Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (Doporučené)
- Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu (Doporučené)
Na co si dále dát pozor
Páteřní rozvody mezi budovami v areálu, kde probíhá výuka nebo příprava na ni, realizovány prostřednictvím optických vláken nebo metalických kabelů. Vztahuje se na budovu/areál, kde se projekt realizuje.
Aktualizace: Software a firmware je aktualizován po dobu udržitelnosti projektu, jsou-li aktualizace k dispozici.
Návrh topologie Wi-Fi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů.
Plná podpora připojení do veřejného internetu přes protokol IPv4 i IPv6, včetně zajištění dostupnosti online služeb školy na IPv6 adresách. (Doporučené)