KYBcast - podcast NPI ČR

V tomto díle se podíváme na nový Standard konektivity škol. Co školy čeká povinně a co bude dobré zavést, i když je to jen dobrovolné?

Show Notes

Celý dokument najdete zde a doporučujeme Vám se s ním co nejdříve seznámit:
https://www.edu.cz/digitalizujeme/standard-konektivity-skol/ 
 
Co nám přišlo zajímavé a o čem se v podcastu bavíme:
- Šíře pásma (bandwidth) odpovídající 0,25 Mbps/žák či student nebo 0,5 Mbps/koncové uživatelské zařízení a zároveň taková šířka pásma, která neomezuje provoz zařízení a uživatelů. Šíře pásma se vztahuje na počet žáků/studentů/koncových uživatelských zařízení
v budově/areálu, kde se projekt realizuje. 
- Vlastní nebo poskytovatelem přidělené veřejné IPv4 adresy  
- Zajištění monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu koncovému zařízení
v minimální délce 3 měsíců. 
- Síťové zařízení podporující rate limiting, antispoofing, access listy – zařízení musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality. Co to je, vysvětlujeme v podcastu. 
 
Co bychom vypíchli z hlediska bezpečnosti? 
- Požadavky na WI-FI 
- Zabezpečení minimálně AES šifrováním a standardem WPA2-Enterprise nebo WPA3-Enterprise, multi SSID, ACL pro filtrování provozu. 
- Zajištění vzájemně oddělených sítí pro zaměstnance školy, žáky/studenty školy a externí zařízení (hosty). 
Podpora mechanismu izolace uživatelů 
  • Zajištění šifrovaného přístupu (SSL/TLS) a podepsání DNSSEC domén pro služby školy dostupné online (např. emailové služby, webové servery, studijní a ekonomické agendy atp.) (Povinné)
  • Systém správy uživatelů (Identity Management), tj. centrální databáze identit (LDAP, AD apod.) a její využití pro autentizaci uživatelů (žáci i učitelé) za účelem bezpečného a auditovatelného přístupu k síti, resp. službám. Využívání jednoho účtu více uživateli není povoleno (využívání tzv. anonymních účtů)(Povinné) 
  • Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa–čas-počítačový systém. 
  • Řešení dočasných přístupů (hosté, brigádníci, praktikanti, zákonní zástupci, externí subjekty) a systému blokace Wi-Fi v určitém čase. (Doporučené)
  • Zavedení vícefaktorové autentizace (Doporučené) 
  • Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (Doporučené) 
  • Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu (Doporučené)
 
Na co si dále dát pozor 
Páteřní rozvody mezi budovami v areálu, kde probíhá výuka nebo příprava na ni, realizovány prostřednictvím optických vláken nebo metalických kabelů. Vztahuje se na budovu/areál, kde se projekt realizuje. 

Aktualizace: Software a firmware je aktualizován po dobu udržitelnosti projektu, jsou-li aktualizace k dispozici. 
Návrh topologie Wi-Fi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů. 

Plná podpora připojení do veřejného internetu přes protokol IPv4 i IPv6, včetně zajištění dostupnosti online služeb školy na IPv6 adresách. (Doporučené)
 

Creators & Guests

Editor
Pavel Matějíček
Geek, blogger, TikToker a nadšenec do IT bezpečnosti.
Editor
Václav Maněna
Učitel, lektor, ajťák, jůtůber a podcaster :-)

What is KYBcast - podcast NPI ČR?

Kybernetická bezpečnost pro učitele, ICT koordinátory a metodiky. Jednoduše, prakticky a srozumitelně s Václavem Maněnou, Pavlem Matějíčkem a hosty.

KYBcast vzniká v rámci Národního plánu obnovy, financování Evropskou unií – Next Generation EU