ПРИЛОЖЕНИЕ

СЪДЪРЖАНИЕ

1.	Въведение …

1.1.	Акроними и съкращения …

2.	Общ преглед …

3.	Географско покритие …

4.	Мрежови услуги …

4.1.	Структура на мрежата …

4.2.	Вид връзка между главната ЦС-ШИС и резервната ЦС-ШИС …

4.3.	Честотна лента …

4.4.	Категории услуги …

4.5.	Поддържани протоколи …

4.6.	Технически спецификации …

4.6.1.

IP адресиране …

4.6.2.

Поддържане на IPv6 …

4.6.3.

Статично маршрутизиране …

4.6.4.

Постоянен трансфер …

4.6.5.

Други спецификации …

4.7.	Устойчивост …

5.	Мониторинг …

6.	Общи услуги …

7.	Достъпност …

8.	Услуги за сигурност …

8.1.	Криптиране на мрежата …

8.2.	Други елементи за сигурност …

9.	Бюро за помощ и структура за поддръжка …

10.	Взаимодействие с други системи …

1.   Въведение

Настоящият документ описва конструирането на комуникационната мрежа, нейните компоненти и специфичните мрежови изисквания.

1.1.   Акроними и съкращения

В този раздел са посочени акронимите, използвани в документа.

Акроними и съкращения	Обяснение
РЛНИ	Резервен локален национален интерфейс
CEP	Central End Point
ЦНИ	Централен национален интерфейс
ЦС	Централна система
ЦС-ШИС	Структура по техническо подпомагане, съдържаща базата данни на ШИС II
DNS	Domain Name Server
FCIP	Fibre Channel over IP
FTP	File Transport Protocol (протокол за обмен на файлове)
http	Hyper Text Transfer Protocol (протокол за обмен на хипертекст)
IP	Internet Protocol (интернет протокол)
LAN	Local Area Network (локална мрежа)
LNI	Локален национален интерфейс
Mbps	Megabits per second (мегабита в секунда)
ГИР	Главен изпълнител на разработването
Н.ШИС II	Националната част във всяка държава-членка
НИ-ШИС	Единен национален интерфейс
NTP	Network Time Protocol
SAN	Storage Area Network (мрежа за съхранение на данни)
SDH	Synchronous Digital Hierarchy (синхронна цифрова йерархия)
ШИС II	Шенгенска информационна система, второ поколение
SMTP	Simple Mail Transport Protocol (прост протокол за обмен на електронна поща)
SNMP	Simple Network Management Protocol (прост протокол за управление на мрежата)
s-TESTA	Secure Trans-European Services for Telematics between Administrations (защитени трансевропейски телематични услуги между администрациите) е мярка по програма IDABC (Interoperable delivery of pan-European eGovernment services to public administrations, business and citizens — оперативно съвместимо предоставяне на паневропейски услуги по електронно правителство за публичните администрации, фирмите и гражданите. Решение 2004/387/ЕО на Европейския парламент и на Съвета от 21.4.2004 г.).
TCP	Transmission Control Protocol (протокол за управление на обмена на информация)
ВИС	Визова информационна система
VPN	Virtual Private Network (виртуална частна мрежа)
WAN	Wide Area Network (глобална мрежа)

2.   Общ преглед

ШИС II е съставена от:

—

централна система (наричана по-нататък „Централна ШИС II“) се състои от: — структура по техническо подпомагане (наричана по-нататък „ЦС-ШИС“), съдържаща базата данни на ШИС II. Главната ЦС-ШИС извършва технически надзор и управление, а резервна ЦС-ШИС е в състояние да осигури всички функции на главната ЦС-ШИС в случай на неизправност на тази система; — единен национален интерфейс (наричан по-нататък „НИ-ШИС“),

—

национална част (наричана по-нататък „Н.ШИС II“) във всяка държава-членка, състояща се от националните системи за данни, които са свързани с Централната ШИС II. Н.ШИС II може да съдържа файл с данни (наричан по-нататък „национално копие“), който съдържа пълно или частично копие на базата данни на ШИС II,

—	комуникационна инфраструктура между ЦС-ШИС и НИ-ШИС (наричана по-нататък „комуникационна инфраструктура“), която осигурява криптирана виртуална мрежа, предназначена за данни на ШИС II и обмена на данни между бюрата SIRENE.

НИ-ШИС, който се състои от:

—

един локален национален интерфейс (наричан по-нататък „ЛНИ“) във всяка държава-членка, който е интерфейсът, свързващ физически държавата-членка със защитената комуникационна мрежа и съдържащ криптиращите устройства, предназначени за трафика на ШИС II и SIRENE. ЛНИ се намира в сградите на държавата-членка,

—	незадължителен резервен локален национален интерфейс (наричан по-нататък „РЛНИ“), който има същото съдържание и функция като ЛНИ.

ЛНИ и РЛНИ се използват само от ШИС II и за обмен на информация със SIRENE. Специфичната конфигурация на ЛНИ и РЛНИ ще бъде уточнена и договорена с всяка отделна държава-членка, за да се вземат предвид изискванията за сигурност, физическото местоположение и условията на инсталиране, включително предоставянето на услуги от мрежовия доставчик, така че физическата връзка s-TESTA да съдържа няколко VPN тунела за други системи, например ВИС и Евродак,

—	централен национален интерфейс (наричан по-нататък „ЦНИ“), който е приложение, осигуряващо защита на достъпа до ЦС-ШИС. Всяка държава-членка има отделни логически точки за достъп до ЦНИ през централна защитна стена (файъруол).

Комуникационната инфраструктура между ЦС-ШИС и НИ-ШИС се състои от:

—	мрежата за защитени трансевропейски телематични услуги между администрациите (наричана по-нататък „s-TESTA“), която осигурява криптирана виртуална частна мрежа, предназначена за данни на ШИС II и трафика на SIRENE.

3.   Географско покритие

Комуникационната инфраструктура трябва да може да обхваща и предоставя необходимите услуги на всички държави-членки:

всички държави-членки на ЕС (Белгия, Франция, Германия, Люксембург, Нидерландия, Италия, Португалия, Испания, Гърция, Австрия, Дания, Финландия, Швеция, Кипър, Чешка република, Естония, Унгария, Латвия, Литва, Малта, Полша, Словакия, Словения, Обединено кралство и Ирландия) и Норвегия, Исландия и Швейцария.

Освен това трябва да се осигури покритие на новоприсъединилите се страни Румъния и България.

И накрая, комуникационната инфраструктура трябва да позволява разширяването ѝ до всяка друга страна или субект, който има достъп до Централната ШИС II (напр. Европол, Евроюст).

4.   Мрежови услуги

Когато е посочен даден протокол или архитектура, следва да се разбира, че еквивалентните бъдещи технологии, протоколи и архитектура също са допустими.

4.1.   Структура на мрежата

Архитектурата на ШИС II използва централизирани услуги, достъпни от отделните държави-членки. С цел устойчивост на системата тези централизирани услуги са дублирани на две различни места, а именно Страсбург във Франция и Сен Йохан им Понгау в Австрия, където се намират съответно ЦС-ШИС (централно звено — ЦЗ) и резервната ЦС-ШИС (резервно централно звено — РЦЗ).

Централните звена, главно и резервно, трябва да бъдат достъпни от отделните държави-членки. Участващите страни могат да имат няколко точки за достъп до мрежата, ЛНИ и РЛНИ, за да свържат своите национални системи с централните услуги.

Освен главната връзка към централните услуги комуникационната инфраструктура трябва също да поддържа двустранен обмен на допълнителна информация между бюрата SIRENE на отделните държави-членки.

4.2.   Вид връзка между главната ЦС-ШИС и резервната ЦС-ШИС

Необходимият тип връзка за свързване на главната ЦС-ШИС и резервната ЦС-ШИС трябва да бъде SDH ring или еквивалентна на нея, т.е. връзката да бъде възможна и в бъдеще с нови архитектури и технологии. Инфраструктурата SDH ще бъде използвана за разширяване на локалните мрежи на централните звена за създаване на непрекъсната единна LAN. Тази LAN ще се използва за постоянно синхронизиране между ЦЗ и РЦЗ.

4.3.   Честотна лента

Важно изискване за комуникационната инфраструктура е широчината на честотната лента, която тази инфраструктура може да предостави на отделните свързани сайтове, и способността ѝ да поддържа тази честотна лента в нейната опорна мрежа.

Необходимата честотна лента за ЛНИ и незадължителния РЛНИ ще бъде различна за всяка държава-членка, като това ще зависи главно от избора за използване на национални копия, централно търсене и обмен на биометрични данни.

Реалната широчина на честотната лента, която комуникационната инфраструктура реши да предостави, е без значение, стига да отговаря на минималните нужди на всяка държава-членка.

Всеки един от посочените по-горе видове сайтове може да пренася значителен обем данни (буквено-цифрови, биометрични и цели документи) във всяка от двете посоки. Ето защо комуникационната инфраструктура трябва да осигурява достатъчна минимална гарантирана скорост за ъплоуд (качване на файлове) и даунлоуд (изтегляне на файлове) за всяка връзка.

Комуникационната инфраструктура трябва да предлага връзка от 2 Mbps до 155 Mbps или повече. Мрежата трябва да осигурява достатъчна минимална гарантирана скорост за ъплоуд и даунлоуд за всяка връзка и трябва да бъде в състояние да поддържа цялата честотна лента на точките за достъп до мрежата.

4.4.   Категории услуги

Централната ШИС II ще може да обработва заявките/сигналите в зависимост от приоритета им. Вследствие на това комуникационната инфраструктура също ще може да поддържа управление на трафика в зависимост от приоритета.

Приема се, че параметрите за определяне на приоритети на мрежата трябва да се установят от Централната ШИС II за всички пакети данни, които го изискват. Ще се използва механизмът Weighted Fair Queuing. Това предполага, че комуникационната инфраструктура трябва да може да приеме приоритета, зададен на пакетите данни в LAN източника, и да обработи пакетите спрямо този приоритет в своята опорна мрежа. Освен това комуникационната инфраструктура трябва да достави на отдалечения сайт началните пакети, които имат същия приоритет като зададения в LAN източника.

4.5.   Поддържани протоколи

Централната ШИС II ще използва няколко мрежови протокола за комуникация. Комуникационната инфраструктура следва да поддържа широк спектър от мрежови протоколи за комуникация. Стандартните протоколи, които трябва да се поддържат, са HTTP, FTP, NTP, SMTP, SNMP и DNS.

Освен стандартните протоколи комуникационната инфраструктура трябва също да е в състояние да управлява различни тунелни протоколи, SAN replication протоколи и патентованите протоколи за Java-to-Java връзка на BEA WebLogic. Тунелните протоколи, например IPsec в тунелен режим, ще се използват за пренос на криптиран трафик до местоназначението му.

4.6.   Технически спецификации

4.6.1.   IP адресиране

Комуникационната инфраструктура трябва да разполага със серия запазени IP адреси, които могат да бъдат използвани единствено в тази мрежа. От тези запазени IP адреси Централната ШИС II ще използва определен брой IP адреси, които ще бъдат използвани само в нея.

4.6.2.   Поддържане на IPv6

Може да се приеме, че протоколът, използван в локалните мрежи на държавите-членки, ще бъде TCP/IP. Въпреки това някои сайтове ще бъдат базирани на версия 4, а други — на версия 6. Точките за достъп до мрежата трябва да могат да функционират като шлюз и да са в състояние да работят независимо от мрежовите протоколи, използвани в Централната ШИС II, както и в Н.ШИС II.

4.6.3.   Статично маршрутизиране

Централното и резервното централно звено могат да използват един и същ IP адрес за комуникацията си с държавите-членки. Поради това комуникационната инфраструктура следва да поддържа статично маршрутизиране.

4.6.4.   Постоянен трансфер

При условие че натовареността на връзката на централното и резервното централно звено е по-малка от 90 %, дадена държава-членка трябва да може да поддържа без прекъсване 100 % от своята определена честотна лента.

4.6.5.   Други спецификации

За да поддържа ЦС-ШИС, комуникационната инфраструктура трябва да отговаря поне на един минимален брой технически спецификации.

Времето за предаване (включително в натоварените часове) трябва да бъде по-малко или равно на 150 ms за 95 % от пакетите и по-малко от 200 ms за 100 % от пакетите.

Вероятността за загуба на пакети (включително в натоварените часове) трябва да бъде по-малка или равна на 10–4 за 95 % от пакетите и по-малка от 10–3 за 100 % от пакетите.

Горепосочените спецификации се разглеждат отделно за всяка точка за достъп.

За връзката между ЦЗ и РЦЗ времето за двупосочно предаване трябва да бъде по-малко или равно на 60 ms.

4.7.   Устойчивост

ЦС-ШИС е проектирана да отговаря на изискването за висока степен на достъпност. Поради това системата се характеризира с цялостна устойчивост срещу неизправности в компонентите чрез дублиране на цялото оборудване.

Компонентите на комуникационната инфраструктура трябва също да бъдат устойчиви срещу повреда в някой от тях. За комуникационната инфраструктура това означава, че следните компоненти трябва да бъдат устойчиви:

—	опорна мрежа

—	маршрутизиращи устройства

—	точки на присъствие

—	локални връзки (включително резервни кабели)

—	устройства за сигурност (криптиращи устройства, защитни стени и др.)

—	всички основни услуги (DNS, NTP и др.)

—

ЛНИ/РЛНИ

В цялото мрежово оборудване резервните механизми в случай на повреда следва да се включват без ръчна намеса.

5.   Мониторинг

За улесняване на мониторинга средствата за мониторинг, с които комуникационната инфраструктура разполага, трябва да могат да се интегрират с тези на съоръженията за мониторинг на организацията, която отговаря за оперативното управление на Централната ШИС II.

6.   Общи услуги

Освен специалните мрежови услуги и услуги за сигурност, комуникационната структура трябва също да осигурява общи услуги.

Специалните услуги трябва да се изпълняват и в двете централни звена с цел осигуряване на резерв.

Следните общи услуги по избор трябва да са налични в комуникационната инфраструктура:

Услуга	Допълнителна информация
DNS	Понастоящем процедурата в случай на повреда за превключване от ЦЗ към РЦЗ при неизправност на мрежата се основава на смяна на IP адреса в общия DNS сървър.
Препредаване на електронна поща	Използването на общ препредавател на електронна поща може да е от полза за стандартизиране на инсталирането на електронна поща за отделните държави-членки и за разлика от един специализиран сървър той не използва мрежови ресурси от ЦЗ/РЦЗ. Електронните съобщения, минаващи през общ препредавател, трябва все пак да отговарят на техния модел за сигурност.
NTP	Тази услуга може да бъде използвана за синхронизиране на часовниците на мрежовото оборудване.

7.   Достъпност

ЦС-ШИС, ЛНИ и РЛНИ трябва да бъдат в състояние да осигурят 99,99 % достъп в продължение на 28 дни без прекъсване, с изключение на достъпа до мрежата.

Комуникационната инфраструктура трябва да бъде достъпна 99,99 %.

8.   Услуги за сигурност

8.1.   Криптиране на мрежата

Централната ШИС II не позволява данни с високи или много високи изисквания за сигурност да се предават извън LAN мрежата без криптиране. Следва да се гарантира, че мрежовият доставчик няма никакъв достъп до оперативните данни на ШИС II, както и до съответния обмен на данни SIRENE.

За поддържане на високо ниво на сигурност комуникационната инфраструктура трябва да дава възможност за управление на сертификатите/ключовете. Трябва да има възможност за отдалечено администриране и отдалечен мониторинг на криптиращите кутии (encryption boxes). Криптографските алгоритми трябва да съответстват поне на следните изисквания:

—

симетрични криптографски алгоритми: — 3DES (128 bits) или по-добри — генерирането на ключ трябва да зависи от произволна стойност, която не позволява намаляване на ключовото пространство (key space) при атака — криптографските ключове или информация, която може да бъде използвана за получаване на ключовете, трябва винаги да бъдат защитени при съхраняването им,

—	асиметрични криптографски алгоритми: — RSA (1 024 bit-ови модули) или по-добри — генерирането на ключ трябва да зависи от произволна стойност, която не позволява намаляване на ключовото пространство (key space) при атака.

Използва се протокол Encapsulated Security Payload (ESP, RFC2406). Той се използва в тунелен режим. Полезният товар (payload) и оригиналната заглавна част на IP пакета (IP header) се криптират.

За обмен на сесийни ключове се използва протокол Internet Key Exchange (IKE).

IKE ключовете са валидни не повече от един ден.

Валидността на сесийните ключове е не повече от един час.

8.2.   Други елементи за сигурност

Освен защита на точките за достъп до ШИС II комуникационната инфраструктура трябва също да осигурява защита на общите услуги по избор. Тези услуги следва да отговарят на същите изисквания за защита, както тези в ЦС-ШИС. Ето защо всички общи услуги трябва най-малкото да бъдат защитени със защитна стена, антивирусна програма и система за засичане на непозволен достъп. Освен това следва да се извършва постоянно наблюдение за сигурност на устройствата за общи услуги и техните мерки за защита (включване на потребители и проследяване).

С цел поддържане на висока степен на сигурност организацията, която отговаря за оперативното управление на Централната ШИС II, трябва да бъде уведомявана за всеки инцидент, свързан със сигурността, който възниква в комуникационната инфраструктура. Следователно комуникационната инфраструктура трябва да позволява незабавно докладване на инциденти, свързани със сигурността, на организацията, която отговаря за оперативното управление на Централната ШИС II. Всички инциденти, свързани със сигурността, трябва да се докладват редовно, напр. месечни доклади и доклади ad hoc.

9.   Бюро за помощ и структура за поддръжка

Доставчикът на комуникационната инфраструктура трябва да осигури бюро за помощ (helpdesk), което да взаимодейства с организацията, която отговаря за оперативното управление на Централната ШИС II.

10.   Взаимодействие с други системи

Комуникационната инфраструктура трябва да гарантира, че информацията не може да излиза извън предвидените комуникационни канали. По отношение на техническото осъществяване това предполага, че:

—	абсолютно се забранява всеки неоторизиран и/или неконтролиран достъп до други мрежи. Това включва връзката с Интернет.

—	не може да има изтичане на информация към други системи в мрежата; напр. не се разрешава взаимната връзка между различни IP VPN.

Освен произтичащите технически ограничения, посочени по-горе, това засяга и бюрото за помощ на комуникационната инфраструктура. Бюрото за помощ не може да предоставя никаква информация относно Централната ШИС II на никоя страна, освен тази, която отговаря за оперативното управление на Централната ШИС II.