Το Πληροφοριακό Κέντρο της Ελληνικής Αστυνομίας φιλοξενεί περισσότερες από εκατό (100) εφαρμογές οι οποίες έχουν αναπτυχθεί από τη Διεύθυνση Πληροφορικής/Α.Ε.Α και είναι προσβάσιμες μέσω του Πανελλαδικού Δικτύου Πληροφορικής της Ελληνικής Αστυνομίας (δίκτυο Police On Line – PoL) από χρήστες της Ελληνικής Αστυνομίας και άλλων Φορέων του Υπουργείου Εσωτερικών και Διοικητικής Ανασυγκρότησης.
Το δίκτυο PoL βασίζεται σε ένα δημόσιο δίκτυο τεχνολογίας MPLS στο οποίο το Πληροφοριακό Κέντρο διασυνδέεται με δύο προσβάσεις τύπου ME ταχύτητας 250 Mbps. Την ανταλλαγή δεδομένων με το δίκτυο του παρόχου έχουν επιφορτιστεί δύο δρομολογητές ενώ η υποδομή κρυπτογράφησης δεδομένων αποτελείται από οκτώ δρομολογητές. Το προαναφερόμενο σύνολο δρομολογητών διασυνδέεται με τους κεντρικούς μεταγωγείς (core switches). Στους κεντρικούς μεταγωγείς είναι ενσωματωμένη η υπηρεσία τείχους προστασίας (firewall module) και η υπηρεσία διαμοιρασμού φόρτου (load balancing module) για την κατανομή της εισερχόμενης κυκλοφορίας στους εξυπηρετητές διαδικτύου (web servers). Οι εξυπηρετητές διαδικτύου έχουν επιφορτιστεί με τον διαμοιρασμό της κυκλοφορίας προς τους εξυπηρετητές εφαρμογών (application servers). Οι εξυπηρετητές εφαρμογών και οι εξυπηρετητές διαδικτύου φιλοξενούνται σε υποδομή εικονικοποίησης (VMware). Η δικτυακή διασύνδεση της υποδομής εικονικοποίησης με τους κεντρικούς μεταγωγείς πραγματοποιείται μέσω ενός μεταγωγέα πρόσβασης.
Η πρόσβαση των χρηστών στις εφαρμογές πληροφορικής της Ελληνικής Αστυνομίας πραγματοποιείται μέσω προϊόντων IBM Tivoli. Η πρόσβαση των χρηστών γίνεται με τη χρήση φυλλομετρητή (web browser) από ένα ενιαίο σημείο μέσω της αρχικής σελίδας του ενδοδικτύου (Intranet) της Ελληνικής Αστυνομίας. Η αυθεντικοποίηση του χρήστη πραγματοποιείται με HTTPS μέσω reverse proxy, οι οποίοι διαμεσολαβούν μεταξύ των user calls των τελικών χρηστών και των εξυπηρετητών εφαρμογών προστατεύοντας την μεταξύ τους επικοινωνία.
Τέλος, σημειώνεται ότι στο Πληροφοριακό Κέντρο της Διεύθυνσης Πληροφορικής/Α.Ε.Α. είναι εγκατεστημένα και λειτουργούν δύο αρθρωτά (modular) συστήματα αδιάλειπτης παροχής ισχύος (uninterruptible power supply – UPS) της εταιρίας APC (Symmetra PX 160kW 400V).
1.2.1 Αρχιτεκτονική Δικτύου
Το Πληροφοριακό Κέντρο ανταλλάσει δεδομένα με τα περιφερειακά σημεία μέσω του δικτύου IP/VPN MPLS. Το σημείο όπου φιλοξενείται το Πληροφοριακό Κέντρο διασυνδέεται μέσω δύο κυκλωμάτων τύπου ΜΕ, ονομαστικής ταχύτητας 250Mbps έκαστο με το δίκτυο MPLS του παρόχου. Ο εξοπλισμός του παρόχου στο σημείο είναι δύο Metro Ethernet μεταγωγείς, με τον κάθε ένα να συνδέεται με έναν από τους δύο WAN Aggregation (WA) δρομολογητές της Ελληνικής Αστυνομίας. Τόσο η εισερχόμενη όσο και η εξερχόμενη κίνηση στο σημείο διαμοιράζεται στα δύο κυκλώματα από τον πάροχο και τους WA δρομολογητές αντίστοιχα. Οι WA δρομολογητές μοιράζουν εξίσου την εισερχόμενη στο Πληροφοριακό Κέντρο κίνηση στους έξι δρομολογητές κρυπτογράφησης. Η εξερχόμενη κίνηση από το Πληροφοριακό Κέντρο διαμοιράζεται από τους κεντρικούς μεταγωγείς στους δρομολογητές κρυπτογράφησης. Στα κατά τόπους απομακρυσμένα σημεία υπάρχει ένας δρομολογητής με αντίστοιχο ρόλο (δρομολόγηση και κρυπτογράφηση δεδομένων). Στο κεντρικό σημείο υφίστανται δύο βοηθητικοί δρομολογητές για τη διαδικασία της κρυπτογράφησης. Οι κεντρικοί μεταγωγείς δρομολογούν την εισερχόμενη/εξερχόμενη κίνηση προς/από τους εξυπηρετητές που βρίσκονται εντός του Πληροφοριακού Κέντρου και παράλληλα έχουν ενσωματωμένα αρθρώματα που εξυπηρετούν υπηρεσίες firewalling και load balancing.
• Firewalling: Οι υπηρεσίες firewalling που είναι ενσωματωμένες στους κεντρικούς μεταγωγείς προστατεύουν τους εξυπηρετητές του Πληροφοριακού Κέντρου οι οποίοι είναι κατανεμημένοι σε δεκαπέντε DMZ.
• Load Balancing: Οι υπηρεσίες load balancing που είναι ενσωματωμένες στους κεντρικούς μεταγωγείς διαμοιράζουν την εισερχόμενη κίνηση στους εξυπηρετητές του Πληροφοριακού Κέντρου.
• Οι κεντρικοί μεταγωγείς διασυνδέονται με ξεχωριστή συστοιχία τειχών προστασίας μέσω της οποίας πραγματοποιείται η πρόσβαση χρηστών και εξυπηρετητών στο δίκτυο Σύζευξις.
1.2.2 Αρχιτεκτονική Συστημάτων
Εικόνα 1: Υφιστάμενη Υποδομή Κέντρου Δεδομένων της Ελληνικής Αστυνομίας.
Η υποδομή του Πληροφοριακού Κέντρου της Διεύθυνσης Πληροφορικής/Α.Ε.Α. όσον αφορά τα κεντρικά συστήματα αποτελείται από τα εξής:
• Μία Βάση Δεδομένων Oracle (έκδοση EE 10.2.0.4) στην οποία φιλοξενούνται δεδομένα εφαρμογών που αναπτύσσει η Διεύθυνση Πληροφορικής/Α.Ε.Α. Πρόκειται για έναν IBM Blade server με λειτουργικό σύστημα IBM AIX 6.1. Η αποθήκευση δεδομένων γίνεται σε ένα IBM SAN V7000 storage. Ο συνολικός όγκος δεδομένων της παραπάνω βάσης ανέρχεται σε ~ 5.5 TB, με τάση αύξησης ~40 GB ανά εβδομάδα.
• Μία Βάση Δεδομένων Oracle (έκδοση EE 10.2.0.4) στην οποία φιλοξενούνται δεδομένα της εφαρμογής Ηλεκτρονικής Αλληλογραφίας της Ελληνικής Αστυνομίας και άλλες σχετικές με αυτήν εφαρμογές. Πρόκειται για έναν IBM Blade server με λειτουργικό σύστημα IBM AIX 6.1. Η αποθήκευση δεδομένων γίνεται σε ένα IBM SAN V7000 storage. Ο συνολικός όγκος δεδομένων της παραπάνω βάσης ανέρχεται σε ~ 7.6 TB, με τάση αύξησης ~30 GB ανά εβδομάδα.
• Μία Βάση Δεδομένων Oracle (έκδοσης EE 9.2.0.8) στην οποία φιλοξενούνται δεδομένα εφαρμογών που αναπτύσσει η Διεύθυνση Πληροφορικής/Α.Ε.Α. Πρόκειται για έναν IBM server με λειτουργικό σύστημα IBM AIX 5.2. Η αποθήκευση δεδομένων γίνεται σε ένα IBM SAN DS4800 storage. Η συγκεκριμένη Βάση Δεδομένων αλληλεπιδρά σε μεγάλο βαθμό με τις ανωτέρω δύο Βάσεις Δεδομένων.
• Υποδομή εικονικοποίησης ESXI VMWARE vSphere (έκδοσης E.E. 5.1) που αποτελείται από εννέα (9) φυσικούς εξυπηρετητές. Στην παραπάνω υποδομή φιλοξενούνται περίπου εκατόν πενήντα (150) εικονικοί servers (web, application, firewall, mail κ.α.).
• Application servers για την εξυπηρέτηση των εφαρμογών που αναπτύσσει η Διεύθυνση Πληροφορικής/Α.Ε.Α. (Glassfish, WebLogic, Tomcat κ.α.).
•Σύστημα λήψης εφεδρικών αντιγράφων ασφαλείας, που φιλοξενείται σε έναν DELL R900 εξυπηρετητή με λειτουργικό σύστημα Linux Red-Hat E.E. έκδοσης 6.6 και αποτελείται από το λογισμικό IBM Tivoli Storage Management και από το IBM Tape Library TS3310.
Στον Πίνακα 4 παρατίθενται οι βασικές διασυνδέσεις που έχουν αναπτυχθεί (είτε σε επίπεδο Βάσης Δεδομένων, είτε μέσω web service) με τρίτους Φορείς ή άλλα συστήματα:
1. | Υπουργείο Ανάπτυξης Ανταγωνιστικότητας, Υποδομών, Μεταφορών & Δικτύων | 2. | Υπουργείο Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων |
3. | Υπουργείο Εσωτερικών και Διοικητικής Ανασυγκρότησης | 4. | Υπουργείο Οικονομικών |
5. | Υπουργείο Εξωτερικών | 6. | FBI |
7. | Europol | 8. | Schengen Information System |
9. | Interpol | 10. | Eurodac |
11. | Dublinet | 12. | Διεύθυνση Διαβατηρίων |
13. | Eucaris | 14. | Prum |
15. | G.I.S. (Γεωγραφικό Πληροφοριακό Σύστημα Διεύθυνσης Πληροφορικής/Α.Ε.Α.) | 16. | APNR (Σύστημα Αυτόματης Αναγνώρισης Πινακίδων Οχημάτων) |
Πίνακας 4: Διασυνδέσεις με τρίτους Φορείς και άλλα συστήματα.
Επισημαίνεται πως το υπό προμήθεια Σύστημα αναμένεται να αντικαταστήσει τις δύο Βάσεις Δεδομένων Oracle έκδοσης EE 10.2.0.4 που φιλοξενούνται στο IBM Blade Center.
Στο μέλλον θα πρέπει το σύστημα να μην είναι απλά ένα MPLS γιατί δεν παρέχει ισχυρή ασφάλεια. Θα πρέπει να είναι ναι μεν MPLS αλλά με VPN μέσω της τεχνολογίας LSP έτσι η κίνηση των πακέτων θα είναι μεμονωμένη (εικονικά μεν αλλά αποκλειστική διαδρομή για την Αστυνομία) και δε θα αναμειγνύονται με άλλα πακέτα του πάροχου πχ ΟΤΕ. Αυτό σημαίνει πως για να παρακαμφθεί αυτό θα πρέπει κάποιος να επέμβει στο λογισμικό των δρομολογητών που ισοδυναμεί να επέμβει στα κτήρια του ΟΤΕ σαν διαρρήκτης και να αλλάξει το λογισμικό τους (τραβηγμένο σενάριο). Ενώ τώρα έτσι όπως το παρουσιάζετε επάνω (εκτός και αν ισχύει αλλά δεν το αναφέρει) αν εγώ μπω σε μια άλλη εταιρεία της Ελλάδος όπου κάνει χρήση και αυτή MPLS του OTE πχ τότε το traffic του δικτύου έχει πακέτα της αστυνομίας και πακέτα της άλλης εταιρείας. Αυτό είναι τρύπα ασφαλείας και δεν είναι καλή τεχνική για υπηρεσίες όπως η Αστυνομία ή ο Στρατός κλτ κλτ. Γενικά το όλο σύστημα θα πρέπει να παίζει σε μισθωμένη VPN γραμμή ίσως και κάτι πιο advanced αν έχει να προτείνει ο ΟΤΕ.