O concurso público “Aquisição de Serviços de Suporte à Rede Nacional de Segurança Interna (RNSI)”, que prevê a elaboração de um contrato com a duração de três anos (2015, 2016 e 2017), podendo renovar por mais um ano (2018), para o fornecimento de serviços de suporte à Rede Nacional de Segurança Interna – RNSI.
Os serviços no âmbito do Contrato celebrado são os que seguintes:
a) Fornecimento de infraestrutura de comunicações entre os Organismos do MAI;
b) Disponibilização de múltiplas conectividades com diferentes classes de serviço entre Sites pertencentes a uma mesma Rede Lógica e entre Redes Lógicas dentro da RNSI;
c) Disponibilização das funcionalidades de Comunicações Unificadas, Voz Fixa e Fax sobre IP;
d) Serviços de segurança informática;
e) Serviço de acesso à internet;
f) Serviços de instalação, monitorização, operação, suporte e manutenção de equipamentos e configuração de SW;
g) Serviços de suporte ao MAI: localização, análise descritiva e preditiva;
h) Sistema para agregação e tratamento de vídeo proveniente de sistemas de videovigilância ou alarmística e distribuição por Organismos do MAI;
i) Disponibilização de infraestrutura de comunicações e conectividades alternativas nos nós da rede SIRESP;
j) Solução para a integração de sistemas de videoconferência do MAI.
A Rede Nacional de Segurança Interna (RNSI) é uma rede de comunicações segura que assenta num sistema de cooperação, partilha de serviços e gestão coordenada de uma rede de comunicações segura, integrada e de alto débito, capaz de suportar dados, voz e imagem, disponibilizada aos Serviços e Forças de Segurança e restantes organismos do Ministério da Administração Interna (MAI).
Assim, a RNSI constitui um sistema indispensável para assegurar o cumprimento das obrigações do Estado na proteção de pessoas e bens e na manutenção da ordem, da segurança e da tranquilidade públicas, sendo imperioso evitar a disseminação do conhecimento da tipologia de rede de comunicações do Ministério da Administração Interna, da sua localização física e dos respetivos pontos de encaminhamento e de redundância.
A RNSI, surge com o objetivo de uniformizar e melhorar as infraestruturas de comunicações de dados e potenciar dessa forma a interoperabilidade entre todos os Organismos do MAI com melhoria na interação entre pessoas e aplicações.
A RNSI foi concebida numa lógica de serviços partilhados e como tal resultou da consolidação de serviços de diversos organismos. A RNSI opera de forma a responder aos requisitos dos seus “clientes” internos, reconhecendo como sua missão a prestação de serviços de excelência.
É uma rede de comunicações IP segura, integrada, de alto débito, totalmente fiável e capaz de suportar a comunicação de dados, voz e imagens entre todas as instalações (sites) de todos os Organismos do Ministério da Administração Interna (MAI).
A RNSI tem como uma das suas principais características, a uniformização de normas e procedimentos que se reflete em respostas mais rápidas e eficazes.
Os serviços disponibilizados pela RNSI são:
Atualmente a RNSI suporta 728 sites (locais) MAI ativos, dos quais a GNR tem 332, a PSP tem 283, o SEF tem 77, a ANPC tem 21 e os serviços centrais contabilizam 15 sites.
Está em processo de adicionamento de mais novos circuitos, prevendo-se que se atinja cerca de 1.000 locais geograficamente distintos, durante o ano de 2014.
Migração para VOIP sobre a RNSI da rede de voz analógica dos diferentes serviços do MAI
Este projeto visa dar resposta à medida 7 (Racionalização de comunicações) da Resolução do Conselho de Ministros n.º 12/2012. “A transferência de todas as comunicações externas entre dois sistemas do Estado que utilizam as redes públicas para as redes de comunicações interligadas do Estado” e “A substituição das centrais telefónicas analógicas ou RDIS por soluções de voz sobre IP (VoIP)”.
Este serviço permite a utilização dos serviços de voz na infraestrutura de comunicações atualmente existente para dados da RNSI, sem a necessidade da utilização da rede pública, ou a contratação de circuitos de comunicações adicionais dedicados à voz. Permitindo assim ao MAI uma redução de encargos financeiros nas comunicações de voz.
Eliminação de todos os sistemas analógicos de Fax por migração para os serviços de Fax-Online
Está em curso a expansão do sistema fax sobre IP (FoIP), estando neste momento em fase de conclusão a instalação de uma solução escalável e redundante de Fax Server dedicada para o MAI.
A solução de FoIP será redundante, com a instalação de duas infraestruturas em dois locais geograficamente distintos, uma no CPD RNSI de Lisboa e outra no CPD RNSI do Porto.
Para cada uma dessas infraestruturas deverá ser contemplado o fornecimento de um SIP trunk com 30 canais para ligação à rede pública de voz.
A solução funciona num esquema ativo-ativo, em que ambos os servidores se encontram ligados simultaneamente, perfazendo uma capacidade total de 60 canais para comunicação com o exterior. Em caso de indisponibilidade por parte de um dos servidores, o outro assumirá todo o inbound/outbound de fax, com uma capacidade total de 30 canais.
Esta plataforma irá permitir uma redução significativa de equipamentos físicos de fax bem como a aquisição dos respetivos consumíveis.
O sistema FoIP está totalmente integrado com o sistema de correio do MAI, permitindo a receção e envio de faxes através de um programa cliente de e-mail usado na estação de trabalho do utilizador.
A solução em fase final de implementação irá permitir a integração com sistemas de ERP, CRM, Gestão Documental, Contact Center e outras aplicações de negócio.
Videoconferência para a comunidade MAI
Este projeto tem como principal finalidade a interoperabilidade dos vários sistemas de videoconferência existentes no MAI, de uma forma prática e eficaz, permitindo colocar em contacto interativo, através de um sistema áudio/vídeo, múltiplas pessoas, fisicamente separadas, permitindo um aumento da eficiência e uma diminuição significativa de custos de operação e de tempo.
De forma a alargar o sistema a todo o MAI (serviços centrais e forças de segurança) mesmo aqueles que não estejam dotados de um sistema destes, bem como dar cumprimento à Resolução do Conselho de Ministros n.º 12/2012 (Medida 9: Plataforma de comunicações unificadas), será necessário dotar a SGMAI um sistema que permita a centralização da gestão de toda a infraestrutura.
Atualmente a PSP, GNR, ANPC e SEF possuem equipamentos de várias gerações e de diferentes fabricantes.
Do ponto de vista técnico todos os equipamentos em exploração no MAI, são compatíveis, uma vez que estão em conformidade com a norma ITU (International Telecommunication Union) suportando a suite de protocolos H.323 e SIP. Não deverá ser descartada a hipótese de se proceder a alguns ajustes que se venham a considerar necessários para uma interoperabilidade eficiente e que garanta os níveis de qualidade necessários.
Para uma solução com gestão centralizada, que abranja todas as entidades MAI e tenha a capacidade de interligar com outros entidades externas, através da plataforma de comunicações já existente, a RNSI, deverá ser implementada de uma infraestrutura técnica gerida pela SGMAI.
Videovigilância – Video Security
De forma a servir as forças de segurança no contexto da videovigilância conforme está previsto na Lei n.º 9/2012, de 23 de fevereiro.
Este sistema visa disponibilizar uma plataforma central de agregação e tratamento de informação proveniente de sistemas de videovigilância ou alarmística do MAI (nomeadamente das respetivas forças e serviços de segurança) ou de outras entidades externas.
A plataforma deverá ser instalada no CPD da RNSI para utilização e controlo exclusivo da PSP e GNR no âmbito das suas competências legais.
Deverá permitir a configuração, visualização, gravação e operação de sistemas de captação de imagem, nomeadamente das componentes de vídeo e, quando aplicável, áudio e alarmística associada.
É um dos objetivos da plataforma, a capacidade de distribuição da informação pelas Entidades que a ela tenham direito de acesso nos termos da Lei.
Interoperabilidade:
A plataforma deverá suportada numa arquitetura baseada em protocolos abertos e standards de forma a maximizar a diversidade de subsistemas de videovigilância possíveis de sere integrados. A plataforma deverá respeitar os standards, interoperabilidade e abertura definidos pelo ONVIF – Open Network Video Interface Forum, assim como a PSIA - Physical Security Interoperability Alliance. É requisito que a plataforma disponibilize SDKs e APIs, de preferência através de um kit para desenvolvimento de interligações com outras plataformas.
Escalabilidade:
A plataforma deverá ser escalável, tendencialmente sem limites do nº de sistemas associados. A interligação com os distintos sistemas deverá permitir a identificação clara de cada sistema, assim como a segregação lógica da informação.
Alta Disponibilidade:
A plataforma deverá cumprir requisitos de alta disponibilidade orientados ao suporte de processos críticos. Deste modo, o hardware de suporte da solução deverá estar protegido relativamente a falhas por mecanismos de redundância. De igual modo, o software de gestão deverá manter o seu funcionamento em caso de failover ao nível do hardware, garantindo a continuidade da operação.
Interligação/Comunicação:
A comunicação com a plataforma deverá efetuada exclusivamente via TCP/IP (IP V4 e IPv6) transversalmente pela Internet ou VPN própria utilizando ligações seguras.
A transmissão entre as câmaras e a plataforma e entre a plataforma e todos os seus periféricos ou servidores, assim como o acesso remoto dos utilizadores para configuração ou visualização das imagens deverá ser encriptado, e cumprindo os demais requisitos de comunicação segura.
Deverá ser possível estabelecer ligações ocasionais numa lógica on-demand com subsistemas não pré-configurados.
Análise de Vídeo:
A plataforma deverá permitir a análise (2D e 3D quando viável) automática do vídeo e áudio captados. A análise poderá ser efetuada em tempo real ou sobre as imagens gravadas. A plataforma deverá permitir a integração com outros sistemas de informação para necessidades específicas ou pontuais.
São definidas como exemplos de logaritmos de análise: deteção de movimento por análise de imagem; deteção de afetação de qualidade de imagem, deteção de objetos abandonados ou removidos, contador de pessoas, identificação de matrículas, deteção de fluxos e rotas, reconhecimento facial, entre outros.
Gestão de utilizadores e registo de Logs:
A plataforma deverá permitir a criação de perfis de utilizadores dos quais se salientam
Técnicos: visibilidade sobre os estados das ligações, dos servidores, do storage, das interligações, alertas gerais entre outros, de toda a plataforma, mas que não conseguem visualizar informação confidencial de cada câmara, cliente ou site geográfico tal como gravações, e logs de utilizadores.
Operação: Permite gerir o site geográfico ou subset de sites geográficos no caso de federação, permite gerir utilizadores, agendar gravações, visualizar gravações, atribuir permissões, extrair dados estatísticos, download das gravações entre outros.
Os utilizadores do sistema deverão ser organizados de acordo com níveis hierárquicos distintos e possibilidade de assumirem perfis distintos com permissões para diversas áreas;
Toda a atividade efetuada na plataforma deverá ficar devidamente registada com garantia da integridade dos registos. Os registos poderão ser exportados nos termos da Lei para fazer face a auditorias ou ações analíticas sobre os mesmos.
Gravação e Exportação de Registos:
A plataforma deverá incluir um sistema de gravação e exportação de vídeo que cumpra com os requisitos de segurança e cadeia de custódia para efeitos processuais penais e nos termos da lei de proteção de dados pessoais.
Deverá ser possível configurar a gravação independente para cada câmara com diferentes tipos de resolução, framerate e bit rate. O sistema deverá suportar esta configuração por grupo de câmaras.
De forma a otimizar o espaço ocupado pelo arquivo de vídeo deverá ser possível definir diferentes estágios temporais durante o período total de retenção de vídeo, reduzindo a qualidade do vídeo em cada estágio.
O sistema deve permitir a exportação do vídeo ou de snapshots para o dispositivo local. A plataforma deverá permitir a configuração de marca de água sobre as imagens que identifique a proveniência das mesmas, data, hora ou utilizador que a exportou. As extensões de exportação deverão ser genéricas, eliminando a necessidade de instalação de software ou CODECs para visualização. Deverá ser possível adicionar assinatura digital às gravações.
Segurança Informática - (COSI – Centro Operacional de Segurança Informática)
Com a globalização na utilização da Internet, as organizações e empresas beneficiam de um melhor canal de acesso aos seus serviços a partir de qualquer parte do mundo. Esta abertura e exposição ao exterior, faz com que a Internet, veículo de difusão de informação, possa ser usada para finalidades menos apropriadas, como sejam a, sabotagem, fraude, roubo de informação e chantagem, entre outros tipos de crimes e ataques cometidos contra as organizações.
A SGMAI, por se constituir como polo tecnológico, não ignora a dimensão da segurança como um vetor fundamental do seu trabalho tanto na vertente interna como na vertente externa.
Sendo a infraestrutura tecnológica um dos pilares fundamentais de suporte à gestão, operação e atuação de uma organização moderna, é pois de primordial importância a adequação dos sistemas de segurança e serviços de resposta a incidentes de segurança de acordo com os riscos expectáveis para a organização RNSI.
A SGMAI através do MAI.CSIRT já se interliga diretamente à Rede Nacional CSIRTS (serviços de resposta a incidentes de segurança informática) o que é fundamental para identificar proactivamente e a proteger-se contra possíveis ataques Cibernéticos. A equipa COSI permite ao MAI ter uma participação mais ativa na Rede Nacional CSIRT.
Os serviços de resposta a incidentes de segurança informática (CSIRTs) têm sido apontados como essenciais na prevenção e reação a este tipo de fenómeno.
Ao nível de gestão de redes e da segurança, a SGMAI defende a aplicação de três princípios fundamentais:
• Disponibilidade – garantir que a informação está disponível sempre que necessária;
• Integridade – garantir que a informação não sofre alterações indevidas ou não autorizadas;
• Confidencialidade – Só os utilizadores devidamente autorizados têm acesso à informação, cabendo à SGMAI garantir os mecanismos necessários ao nível de segurança dos documentos.
A abordagem é seguida em função da adoção de uma metodologia de melhoria contínua:
No que se refere ao espectro de serviços de segurança, destacamos o levantamento de requisitos, desenho e implementação de infraestruturas COSI em 2012.
Caracterização da plataforma COSI
• Relatórios das principais vulnerabilidades apresentadas no período em questão;
• Planos de ação para colmatar vulnerabilidades identificadas;
• Relatórios de issues de segurança identificados e tratados;
• Propostas de melhoria da política de segurança em prática;
• Identificação e caracterização das condições em que ocorreu uma violação de segurança num determinado período.
A equipa COSI é constituída por duas equipas, uma de seis elementos que funciona como uma primeira linha com cobertura 24h, designada por Unidade de Monitorização e Controlo que assegura os seguintes serviços:
• Apoio na supervisão dos eventos de segurança;
• Apoio na identificação de alertas emitidos consoante os diferentes níveis de gravidade dos ataques;
• Elaboração dos templates de relatórios periódicos que simplificam a análise dos eventos ocorridos;
• Parametrização de Dashboards de supervisão;
• Integração dos sistemas com a plataforma COSI;
• Análise dos eventos ocorridos por equipas especializadas de 2ª linha da UTIS;
• Report dos eventos/ alarmes deverá ser feito à Unidade de Gestão do COSI
• Abordagem à organização como um todo efetuada pela correlação de eventos.
A segunda equipa designada como unidade de gestão, faz toda a administração dos equipamentos de segurança com apoio da informação recebida, pela Unidade de Monitorização e Controlo.
Benefícios
• Visão geral sobre o estado da segurança da organização;
• Ações de melhoria continua através da visibilidade e análise dos incidentes;
• Reporting em tempo real e diferido;
• Obtenção de dados para justificação de investimentos em segurança.
• Capacidade de uma resposta proactiva por parte da SGMAI.