Onze ocmw administratie maakt deel uit van het gemeentelijk netwerk, maar we zitten wel in een afzonderlijk domein.
Voor onze verbindingen naar buiten toe ( internet, publilink,..) lopen we ook via het gemeentebestuur. Bij hen is de firewall geïnstalleerd.
Nu hebben wij vernomen dat we tussen ocmw en gemeente een firewall moeten plaatsen, zoniet moet het gemeentelijk netwerk in het veiligheidsbeleid van de ksz worden opgenomen.
Kan iemand mij hierover meer info verschaffen ?
| Auteur | Bericht |
|---|---|
|
|
|
|
Er is een document beschikbaar (zie onderwerp) waarin staat dat de netwerken op layer 3 moeten gescheiden zijn.
De gemeente mag dus niet de mogelijkheid krijgen om via het OCMW naar KSZ te gaan. Groeten, Ivo |
|
|
|
|
|
Hoe los je dit op als de integratie zelfs nog verder gaat dan in de eerste gemeente.
Bij ons zitten de gemeente en het OCMW in hetzelfde gebouw. Wij werken volledig samen op alle servers. We hebben een file en printserver (WIN NT), een terminal server (WIN NT), een server voor toegang tot het rijksregister (SCO-UNIX) en een server specifiek voor de tijdsregistratie (WIN 2000). Onze file- en printserver is dringend aan vervanging toe wegens onvoldoende geheugen en schijfruimte (en hoge onderhoudskosten). Onze softwareleverancier stelt een nieuwe Windows 2003 server voor als file-, print en applicatieserver, en voor de Oracle-databank een Linux-server. Op die manier kunnen we dan ook de terminal server uit dienst nemen (omwille van de hoge onderhoudskosten) Op het OCMW zijn er slechts een 10-tal personen die op een computer werken. Hiervoor apart een volledig aparte server aanschaffen is eigenlijk niet nodig, want die mensen kunnen perfect op de gemeentelijke servers blijven werken. Budgettair zou een volledig apart netwerksegment voor het OCMW praktisch niet haalbaar zijn. Mijn vraag is nu de volgende: Kunnen de gemeente en het OCMW ook in de toekomst op dezelfde servers blijven werken, of moet er voor het OCMW een volledig nieuwe configuratie worden uitgedacht, wat dus ook de aanschaf van minstens 1 extra server en een extra firewall met zich meebrengt. In de nieuwe Windows 2003 server, kan je toch ook werken met organizational units (voor scheiding van de bureau-documenten). Of is het voldoende dat de Oracle databanken van de gemeente en het OCMW in 2 aparte databases (maar wel op dezelfde server) geestockeerd worden? Zijn er nog gemeenten en OCMW's die met deze vraag zitten? Alle reakties zijn welkom. Ivo, misschien is het ook handig om een url door te geven waar je het document mbt de standpunten TCP/IP kan terugvinden? groetjes en veel denkgenot Heidi Heidi Kestens |
|
|
|
|
Nog dit jaar wordt het OCMW van Schoten zo goed als zeker op ons gemeentelijk netwerk aangesloten. Dus de problematiek interesseert mij wel.
En om op jouw vraag concreet te antwoorden : ik vermoed dat je bij een dergelijke vergaand-gemeenschappelijke configuratie het beveilingsniveau van het gemeentelijk netwerk zult moeten optrekken naar de vereisten van de OCMW-richtlijnen. Maar die ken ik dus nog niet ... . Groetjes, Jan |
|
|
|
|
|
Het document 'Standpunt KSZ TCP/IP' staat ondertussen op de website onder de werkgroep security. Vergeet niet in te loggen anders is het document niet zichtbaar.
Groeten, Ivo |
|
|
|
|
|
Ik ben er volledig mee akkoord dat voor de gemeenten eigenlijk dezelfde eisen zouden moeten gelden dan voor het OCMW. Ook binnen de gemeente werkt men met privé-gegevens (bevolkingsgegevens), sociale dossiers (sociale dienst, vreemdelingen,.......) en financiële gegevens (belastingen).
Het is evident dat deze gegevens even goed afgeschermd moeten worden voor de buitenwereld. Maar dan blijft de vraag naar de verbinding tussen de gemeente en het OCMW. Softwarematig is dus wel een opsplitsing mogelijk (aparte organizational units, aangepast ACL's, gebruikers met strenge paswoorden voor de toepassingen). Maar volstaat dit? Ik heb deze vraag ook gesteld aan de Veiligheidscel POD MI. Hun antwoord was hetvolgende: In de geest komt het erop neer: "geen enkele gebruiker van de gemeente mag in staat zijn toegang te krijgen tot de omgeving van het OCMW". Dit heeft dus zowel impact op netwerk als systeem niveau. Men moet bvb vermijden dat iemand van de gemeente zich kan proberen aan te melden aan de sociale software, dit moet opgevangen worden door de weg naar deze voordeur al te blokkeren dmv routers of firewalls of andere componenten. Op deze wijze kan een gebruiker van de gemeente nooit in de ocmw-omgeving komen. Ik ga nu het TCP/IP standpunt grondig doornemen en kijken hoe ik er eventueel zelf uit geraak. Theoretisch zou dus het netwerk van de gemeente en die van het OCMW uitgesplitst moeten worden, maar praktisch (budgettair en organisatorisch) zie ik dit helemaal niet zitten. Alle opmerkingen, reakties en andere hersenspinsels van besturen die met dezelfde vraag zitten blijven welkom. groetjes Heidi Heidi Kestens |
|
|
|
|
Heidi,
Laat je niet afschrikken door Smalls of POD-MI, zij kunnen ons wel richtlijnen opleggen bij het gebruik van de sociale software maar voor de rest hebben ze aan ons niets te zeggen. Het antwoord van POD MI is ook verwarrend, de mensen van de gemeente mogen WEL op het netwerk van het OCMW of andersom, alleen mag de toegang tot KSZ niet mogelijk zijn voor het niet-OCMW personeel. Dit kan met budgetvriendelijke oplossingen opgelost worden. Ik ben voorstander van de samenwerking tussen OCMW en gemeente en momenteel ook bezig met een dossier binnen Wervik om dit tot stand te brengen. Groeten, Ivo |
|
|
|