Model wzorcowy: HP DL380 G7.

Transkrypt

1 Kraków, dnia 25 stycznia 2011r. SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA zwana dalej w skrócie SIWZ 1) Nazwa (firma) oraz adres Zmawiającego. 1. Narodowe Centrum Nauki, ul.gołębia 24, Kraków, dalej w skrócie NCN. 1.1 NIP: REG: Jednostka prowadząca sprawę: 2.1., ul.straszewskiego 25/9, Kraków; 2.2.tel ; fax lub ; zamowienia.publiczne@ncn.gov.pl 2.4.strona internetowa miejsce publikacji ogłoszeń i materiałów dotyczących zamówień publicznych 2) Tryb udzielenia zamówienia. 1. Postępowanie prowadzone jest w trybie przetargu nieograniczonego, zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, zwaną w dalszej części SIWZ PZP (t.j. Dz. U. z 2010 r., Nr 113, poz. 759, z późn. zm.). 2. Postępowanie prowadzone jest przez komisję przetargową powołaną do przeprowadzenia niniejszego postępowania o udzielenie zamówienia publicznego. 3. Do czynności podejmowanych przez Zmawiającego i Wykonawców w postępowaniu o udzielenie zamówienia stosuje się przepisy powołanej ustawy Prawo zamówień publicznych oraz aktów Wykonawczych wydanych na jej podstawie, a w sprawach nieuregulowanych przepisy ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z późn. zm.). 3) Opis przedmiotu zamówienia. 1. Przedmiotem postępowania i zamówienia jest wyłonienie Wykonawcy w zakresie zakupu i dostawy wraz z instalacją serwerów, urządzeń i oprogramowania, licencji na oprogramowanie Oracle i szafy serwerowej rackowej, w odniesieniu od jednej do trzech części, dla Narodowego Centrum 1.1 Zamówienie obejmuje w szczególności: Część 1 serwery, urządzenia i oprogramowanie, tj. serwery (4 sztuki), macierz (1 sztuka), iscsi i biblioteka taśmowa (1 sztuka), urządzenia bezpieczeństwa sieci (1 zestaw), przełączniki Ethernetowe (3 sztuki), routery dostępowe WiFi (3 sztuki), inne akcesoria i materiały eksploatacyjne, oprogramowanie licencje Microsoft typu government, oprogramowanie do zarządzania klastrem Hyper-V złożonym zamowienia.publiczne@ncn.gov.pl Strona 1 z 55

2 z trzech serwerów oraz siecią, desktopowe oprogramowanie antywirusowe, oprogramowanie do tworzenia kopii zapasowych, usługi instalacyjno-szkoleniowe Część 2 serwerowa szafa rackowa 19-calowa (1 sztuka), tj. jedna szafa serwerowa o szerokości 80 cm, wysokości 200 cm (42 U) i głębokości 100 cm, stojąca na cokole wysokości 10 cm, z perforowanymi dwudzielnymi drzwiami zamykanymi na klucz, wyposażona w moduł zasilania, czerpiący energię z trójfazowego naściennego gniazda 32 A, i rozdzielający ją pomiędzy gniazdka zasilające poszczególne urządzenia wiszące w szafie Część 3 licencje na oprogramowanie Oracle, tj. dwuletnie licencje nazwani użytkownicy plus na następujące oprogramowanie Oracle: Database 10g Standard Edition One (NUP) 10 licencji NUP oraz Internet Application Server 10g Enterprise Edition (NUP) 10 licencji NUP. 2. Wykonawca musi zapewnić realizację zamówienia we wskazanym w pkt 4) SIWZ terminie, czyli do 21 dni, liczonych od udzielenia zamówienia, odpowiednio w odniesieniu od jednej do trzech części zamówienia. 3. Wykonawca musi zaoferować przedmiot zamówienia zgodny z wymogami Zmawiającego określonymi w SIWZ, przy czym zobowiązany jest dołączyć do oferty jego szczegółowe opisy techniczne i/lub funkcjonalne, czy też katalogi producenta (np. poprzez wskazanie typów, modeli, producentów, konfiguracji itp.), pozwalające na ocenę zgodności oferowanych elementów i urządzeń oraz ich parametrów oraz oprogramowania z wymaganiami SIWZ, odpowiednio w odniesieniu od jednej do trzech części zamówienia. 4. Wykonawca musi zaoferować co najmniej 36 miesięczną gwarancją w zakresie części 1 i 2 zamówienia oraz co najmniej 24 miesięczną gwarancją w zakresie części 3 zamówienia, przy uwzględnieniu szczegółowych warunków wskazanych przy opisie poszczególnych elementów zamówienia. Gwarancja winna być realizowana w miejscu użytkowania sprzętu i oprogramowania, co oznacza, iż w przypadku niemożności naprawy u użytkownika, Wykonawca zobowiązany będzie do odebrania i transportu oraz zwrotnego dostarczenia po naprawie, a w przypadku, gdyby naprawa trwała dłużej niż 14 dni roboczych do dostarczenia na okres naprawy sprzętu i oprogramowania zastępczego o nie gorszych parametrach. 5. Wykonawca musi przedstawić cenę ryczałtową oferty za przedmiot umowy w formie indywidualnej kalkulacji, przy uwzględnieniu wymagań i zapisów SIWZ, odpowiednio w odniesieniu od jednej do trzech części zamówienia. 6. W przypadku, gdy Wykonawca zapowiada zatrudnienie podwykonawców do oferty musi być załączony wykaz z zakresem powierzonych im zadań (części zamówienia), odpowiednio w odniesieniu od jednej do trzech części zamówienia. 7. Wykonawca powinien podpisać oraz wypełnić formularz oferty wraz z załącznikami lub złożyć ofertę odpowiadającą ich treści, przy czym może podpisać oraz dołączyć do oferty wzór umowy, stanowiące integralną część SIWZ, odpowiednio w odniesieniu od jednej do trzech części zamówienia. 8. Wykonawca musi dołączyć do oferty wszystkie dokumenty i oświadczenia oraz załączniki przedstawione w SIWZ, odpowiednio w odniesieniu od jednej do trzech części zamówienia. 9. Oznaczenie przedmiotu zamówienia według kodu Wspólnego Słownika Zamówień CPV: 9.1 Część serwery, serwery sieciowe, nadmiarowa macierz niezależnych dysków (RAID), jednostki pamięci zamowienia.publiczne@ncn.gov.pl Strona 2 z 55

3 taśmowej, rutery sieciowe, urządzenia sieciowe, kable telekomunikacyjne, napędy dysku optycznego, systemy operacyjne, systemy baz danych, system poczty elektronicznej, pakiety oprogramowania do zarządzania systemem, pakiety oprogramowania do ochrony antywirusowej, pakiety oprogramowania do kopii zapasowych i odzyskiwania, usługi konfiguracji oprogramowania. 9.2 Część infrastruktura sieciowa. 9.3 Część systemy baz danych, pakiety oprogramowania do serwera sieci WWW. 10. Szczegółowy opis przedmiotu zamówienia zawierający elementy składowe o następujących minimalnych parametrach i wymaganiach technicznych oraz funkcjonalnych, odpowiednio dla całości zamówienia w zakresie poszczególnych części: 10.1Część 1 serwery, urządzenia i oprogramowanie, tj. serwery (4 sztuki), macierz (1 sztuka), iscsi i biblioteka taśmowa (1 sztuka), urządzenia bezpieczeństwa sieci (1 zestaw), przełączniki Ethernetowe (3 sztuki), routery dostępowe WiFi (3 sztuki), inne akcesoria i materiały eksploatacyjne, oprogramowanie licencje Microsoft typu government, oprogramowanie do zarządzania klastrem Hyper-V złożonym z trzech serwerów oraz siecią, desktopowe oprogramowanie antywirusowe, oprogramowanie do tworzenia kopii zapasowych, usługi instalacyjno-szkoleniowe. Urządzenia opisane w punktach od A do C muszą być przygotowane do montażu w szafie 19-calowej opisanej w części 2 zamówienia. Nie mogą być głębsze niż 75 cm. Należy je dostarczyć wraz z odpowiednimi elementami montażowymi. Kable zasilające urządzeń powinny się kończyć wtyczkami C14. Punkt A: serwery, macierz iscsi i biblioteka taśmowa. Serwer główny 3 szt. identyczne Model wzorcowy: HP DL380 G7. PARAMETRY: Obudowa 1. Do zabudowy w szafie serwerowej 19, plus wszystkie elementy niezbędne do mocowania i wysuwania do celów serwisowych. 2. Wszystkie wyspecyfikowane elementy serwera muszą być zamontowane w jednej obudowie, o maksymalnej wysokości 2U 3. Na frontowym panelu obudowy sygnalizacja statusu pracy serwera (umożliwiająca co najmniej łatwą lokalizację serwera poprzez zapalenie diody LED lub wyświetlacza LCD). Typ procesora 1. Procesor min. Sześciordzeniowy klasy Intel Xeon Six-Core X Taktowany zegarem co najmniej 2.8GHz lub procesor równoważny 3. Zgodny z architekturą x86/64 bity, 4. Przystosowany do pracy w układach co najmniej dwuprocesorowych, 5. Pamięć cache min. 12MB, Ilość procesorów Co najmniej 2 zamowienia.publiczne@ncn.gov.pl Strona 3 z 55

4 Chipset Dedykowany przez producenta procesora do pracy w serwerach co najmniej dwuprocesorowych. Pamięć RAM 1. Min. 48 GB w pełni buforowanej pamięci DIMM (DDR3) z technologią Advanced ECC lub chipkill. 2. Po zamontowaniu min. 12 wolnych slotów. 3. Możliwość rozszerzenia pamięci do min. 192 GB. 4. Możliwość konfiguracji pamięci z ochroną memory mirror. Płyta główna Dedykowana do pracy w serwerach. Złącza PCI Min. 3 złącza PCI-E, w tym min. 1 złącze x8 Kontrolery 1x kontroler macierzowy SAS, min. 512MB RAM cache z podtrzymaniem bateryjnym (obsługa RAID min. wersja 0/1/10/5/50) Dyski twarde Min. 2 dyski 3,5 cala SAS 3Gb/s, 300 GB, obr./min lub szybsze, hot plug. Karty sieciowe Min. 6x Ethernet 10/100/1000 Mb, Wake on LAN, PXE, wspierająca load balancing, failover, TCP/IP Offload Engine. Złącza zewnętrzne 1. 1x szeregowe, 2. min. 4x USB 2.0 (w tym min. 1x z przodu obudowy), 3. 2x PS2 lub 2xUSB (w tym 1xklawiatura, 1x mysz) zapewniające współpracę z oferowaną wraz z szafą RACK konsolą KVM. 4. 2xVGA (w tym 1xVGA z przodu obudowy). Zdalny interfejs zarządzający Serwer musi być wyposażony w sprzętowe rozwiązanie zdalnego zarządzania, pochodzące od producenta serwera, niezależne od systemów operacyjnych, posiadające dedykowane złącze RJ-45, umożliwiające zdalny dostęp do graficznego interfejsu Web karty zarządzającej, zapewniające przynajmniej następujące funkcjonalności: 1. Zdalne włączenie serwera, 2. Zdalne wyłączenie serwera, 3. Restart serwera, 4. Podgląd logów sprzętowych serwera i karty, 5. Przejęcie pełnej konsoli tekstowej serwera niezależnie od jego stanu (także podczas startu, restartu OS), 6. Rozwiązane musi być dostarczone wraz z niezbędnymi licencjami umożliwiającymi pracę zdalną na serwerze (wirtualny KVM) z użyciem przeglądarki internetowej. Licencja musi zawierać pełną możliwość zdalnego podłączenia napędów wirtualnych typu: FDD, CD/DVD, Pamięć USB oraz wirtualnych folderów. Karta graficzna Zintegrowana, pozwalająca na prace z rozdzielczością min. 1280x1024 Zasilacze 230V 50Hz, min. 2 szt. Hot-plug, nadmiarowe (redundantne), każdy o mocy wystarczającej do pracy serwera. Chłodzenie zamowienia.publiczne@ncn.gov.pl Strona 4 z 55

5 Nadmiarowe wentylatory typu hot-plug. Warunki pracy Pomieszczenia biurowe, ºC. Oprogramowanie i nośniki Do zarządzania Dedykowane oprogramowanie do zarządzania, pozwalające na zdalną konfigurację BIOS jak: 1. Zmiana haseł, 2. Archiwizacja i aktualizacja BIOS dla pojedynczego komputera i dla grupy komputerów, 3. Modyfikacja sekwencji startowej, 4. Monitorowanie i diagnozowanie stanu komputera, 5. Wysyłanie do centralnego systemu zarządzania informacji i alarmów o typie i stanie: 1) Procesora, 2) Pamięci, 3) Dysków, 4) Zasilaczy, 5) Płyty głównej, 6) Temperatury, 7) Wentylatorów. Sterowniki Płyty CD/DVD zawierające komplet sterowników i niezbędne i opcjonalne oprogramowanie do wszelkich zainstalowanych składników serwera, dla systemów operacyjnych: 1. Microsoft Windows Server 2003/ Linux SuSe i RedHat Gwarancja Przynajmniej trzy lata gwarancji (na części, robociznę i pomoc techniczną) z czasem reakcji na rozpoczęcie naprawy u klienta maks. następnego dnia roboczego od zgłoszenia, przyjmowanie zgłoszeń 9 godzin na dobę, 5 dni w tygodniu Serwer do robienia kopii zapasowych 1 szt. Model wzorcowy: HP DL380 G7. PARAMETRY: Obudowa 1. Do zabudowy w szafie serwerowej 19, plus wszystkie elementy niezbędne do mocowania i wysuwania do celów serwisowych. 2. Wszystkie wyspecyfikowane elementy serwera muszą być zamontowane w jednej obudowie, o maksymalnej wysokości 2U 3. Na frontowym panelu obudowy sygnalizacja statusu pracy serwera (umożliwiająca co najmniej łatwą lokalizację serwera poprzez zapalenie diody LED lub wyświetlacza LCD). Typ procesora 1. Procesor min. Sześciordzeniowy klasy Intel Xeon Six-Core X Taktowany zegarem co najmniej 2.8GHz lub procesor równoważny 3. Zgodny z architekturą x86/64 bity, 4. Przystosowany do pracy w układach co najmniej dwuprocesorowych, zamowienia.publiczne@ncn.gov.pl Strona 5 z 55

6 5. Pamięć cache min. 12MB, Ilość procesorów Co najmniej 1 Chipset Dedykowany przez producenta procesora do pracy w serwerach co najmniej dwuprocesorowych. Pamięć RAM 1. Min. 24 GB w pełni buforowanej pamięci DIMM (DDR3) z technologią Advanced ECC lub chipkill. 2. Po zamontowaniu min. 15 wolnych slotów. 3. Możliwość rozszerzenia pamięci do min. 192 GB. 4. Możliwość konfiguracji pamięci z ochroną memory mirror. Płyta główna Dedykowana do pracy w serwerach. Złącza PCI Min. 3 złącza PCI-E, w tym min. 1 złącze x8 Kontrolery 1x kontroler macierzowy SAS, min. 512MB RAM cache z podtrzymaniem bateryjnym (obsługa RAID min. wersja 0/1/10/5/50) 1x kontroler SAS do podłączenia biblioteki taśmowej Dyski twarde Min. 2 dyski 3,5 cala SAS, 3Gb/s, 300 GB, obr./min lub szybsze, hot plug Min. 4 dyski 3,5 cala SATA 2TB, hot plug Karty sieciowe Min. 6x Ethernet 10/100/1000 Mb, Wake on LAN, PXE, wspierająca load balancing, failover, TCP/IP Offload Engine. Złącza zewnętrzne 1. 1x szeregowe, 2. min. 4x USB 2.0 (w tym min. 1x z przodu obudowy), 3. 2x PS2 lub 2xUSB (w tym 1xklawiatura, 1x mysz) zapewniające współpracę z oferowaną wraz z szafą RACK konsolą KVM. 4. 2xVGA (w tym 1xVGA z przodu obudowy). Zdalny interfejs zarządzający Serwer musi być wyposażony w sprzętowe rozwiązanie zdalnego zarządzania, pochodzące od producenta serwera, niezależne od systemów operacyjnych, posiadające dedykowane złącze RJ-45, umożliwiające zdalny dostęp do graficznego interfejsu Web karty zarządzającej, zapewniające przynajmniej następujące funkcjonalności: 1. Zdalne włączenie serwera, 2. Zdalne wyłączenie serwera, 3. Restart serwera, 4. Podgląd logów sprzętowych serwera i karty, 5. Przejęcie pełnej konsoli tekstowej serwera niezależnie od jego stanu (także podczas startu, restartu OS), 6. Rozwiązane musi być dostarczone wraz z niezbędnymi licencjami umożliwiającymi pracę zdalną na serwerze (wirtualny KVM) z użyciem przeglądarki internetowej. Licencja musi zawierać pełną możliwość zdalnego podłączenia napędów wirtualnych typu: FDD, CD/DVD, Pamięć USB oraz wirtualnych folderów. Karta graficzna zamowienia.publiczne@ncn.gov.pl Strona 6 z 55

7 Zintegrowana, pozwalająca na prace z rozdzielczością min. 1280x1024 Zasilacze 230V 50Hz, min. 2 szt. Hot-plug, nadmiarowe (redundantne), każdy o mocy wystarczającej do pracy serwera. Chłodzenie Nadmiarowe wentylatory typu hot-plug. Warunki pracy Pomieszczenia biurowe, ºC. Oprogramowanie i nośniki Do zarządzania Dedykowane oprogramowanie do zarządzania, pozwalające na zdalną konfigurację BIOS jak: 1. Zmiana haseł, 2. Archiwizacja i aktualizacja BIOS dla pojedynczego komputera i dla grupy komputerów, 3. Modyfikacja sekwencji startowej, 4. Monitorowanie i diagnozowanie stanu komputera, 5. Wysyłanie do centralnego systemu zarządzania informacji i alarmów o typie i stanie: Procesora, Pamięci, Dysków, Zasilaczy, Płyty głównej, Temperatury, Wentylatorów. Sterowniki Płyty CD/DVD zawierające komplet sterowników i niezbędne i opcjonalne oprogramowanie do wszelkich zainstalowanych składników serwera, dla systemów operacyjnych: 1. Microsoft Windows Server 2003/ Linux SuSe i RedHat Gwarancja Przynajmniej trzy lata gwarancji (na części, robociznę i pomoc techniczną) z czasem reakcji na rozpoczęcie naprawy u klienta maks. następnego dnia roboczego od zgłoszenia, przyjmowanie zgłoszeń 9 godzin na dobę, 5 dni w tygodniu Macierz iscsi 1 szt. Model wzorcowy: HP MSA P2000 G3 PARAMETRY: Obudowa 1. Do zabudowy w szafie serwerowej 19, plus wszystkie elementy niezbędne do mocowania. 2. Maksymalna wysokość obudowy 3U. Dyski twarde Min. 12x 600GB 10K SAS 2.5" Hot Plug Pojemność macierzy 1. Min. 7.2TB z możliwością rozbudowy do min. 36TB zamowienia.publiczne@ncn.gov.pl Strona 7 z 55

8 2. Min. 24 kieszenie typu Hot Plug, dla wymienionych dysków twardych, 3. Możliwość rozbudowy do min. 96 kieszeni poprzez dołożenie dodatkowych półek zewnętrznych (zarówno z dyskami 2,5 cala jak i 3,5 cala). Interfejs 1. Min. 4 x 1Gb/s Ethernet dla każdego kontrolera (razem min. 8). 2. Lokalnej konsoli zarządzającej. 3. 1x LAN (Ethernet) dla każdego kontrolera (razem min. 2) do zdalnego zarządzania macierzą. Kontrolery macierzy 1. Min. 2x Kontroler macierzowy SAS o parametrach: Min. 1GB RAM cache z podtrzymaniem bateryjnym, Obsługa RAID 0, 1, 5, 6, 10 Wsparciem dla min. 512 LUN przy 16TB pojemności LUN, Wydajność kontrolerów macierzy przy maksymalnej konfiguracji półek oraz dysków nie mniejsza niż: 2. RAID 5 Performance Results: Random Reads IOPs 22,000. Odczyt Sekwencyjny (Sequential Reads) 1,238 MBs 3. RAID 10 Performance Results: Random Reads IOPs 22,000. Odczyt Sekwencyjny (Sequential Reads) 1,238 MBs Wentylatory Nadmiarowe wentylatory. Zasilacz 230V 50Hz, min. 2 szt. nadmiarowe (redundantne), każdy o mocy wystarczającej do pracy macierzy. Warunki pracy Pomieszczenia biurowe, ºC. Zarządzanie Możliwość zarządzania poprzez: 1. Interfejs Web owy (Przeglądarkę WWW), 2. Interfejs tekstowy Telnet. Oprogramowanie i nośniki Do zarządzania Oprogramowanie do zarządzania, pozwalające na zdalną konfigurację urządzenia wraz z kompletem nośników. Sterowniki Płyty CD/DVD zawierające komplet sterowników i niezbędne i opcjonalne oprogramowanie do wszelkich zainstalowanych składników macierzy, dla systemów operacyjnych: 1. Microsoft Windows Server 2003/2008, 2. Linux SuSe i RedHat. Bezpieczeństwo Brak pojedynczego punktu awarii. Ciągła praca obu kontrolerów nawet w przypadku zaniku jednej z faz zasilania. Zasilacze, wentylatory, kontrolery RAID redundantne, możliwość wymiany na gorąco bez zatrzymywania pracy macierzy. Przewody Przewody zasilające, przewód konsoli lokalnej. Gwarancja Przynajmniej trzy lata gwarancji (na części, robociznę i pomoc techniczną) z czasem zamowienia.publiczne@ncn.gov.pl Strona 8 z 55

9 naprawy u klienta maks. 24 godziny od zgłoszenia, przyjmowanie zgłoszeń 24 godziny na dobę, 7 dni w tygodniu. Biblioteka taśmowa 1 szt. Model wzorcowy: HP StorageWorks 1/8 LTO-4 Ultrium 1760 SAS. PARAMETRY: Obudowa 1. Do zabudowy w szafie serwerowej 19, plus wszystkie elementy niezbędne do mocowania. 2. Maksymalna wysokość obudowy 1U Liczba napędów Min. 1 napęd LTO 4. Pojemność biblioteki 1. Min. 6.4TB natywnie, 12.8TB przy zastosowaniu kompresji. 2. Min. 8 Slotów. Interfejs Min. 1 x 3Gb/s SAS Typ mediów Min. LTO-4. Zasilacz 230V 50Hz, zintegrowany z obudową. Warunki pracy Pomieszczenia biurowe, ºC. Oprogramowanie i nośniki Do zarządzania Oprogramowanie do zarządzania, pozwalające na zdalną konfigurację urządzenia wraz z kompletem nośników. Sterowniki Płyty CD/DVD zawierające komplet sterowników i niezbędne i opcjonalne oprogramowanie do wszelkich zainstalowanych składników biblioteki, dla systemów operacyjnych: 1. Microsoft Windows Server 2003/2008, 2. Linux i NetWare. Wspierane oprogramowanie, certyfikaty Wsparcie dla najnowszych wersji oprogramowania do tworzenia kopii zapasowych potwierdzone stosownym certyfikatem producenta oprogramowania (do wglądu przy dostawie): 1. CA ARCserve 2. Symantec Backup Exec 3. Symantec NetBackup Nośniki x taśma LTO TB RW x taśma czyszcząca. Przewody Przewody zasilające. Gwarancja Przynajmniej trzy lata gwarancji (na części, robociznę i pomoc techniczną) z czasem reakcji na rozpoczęcie naprawy u klienta maks. następnego dnia roboczego od zamowienia.publiczne@ncn.gov.pl Strona 9 z 55

10 zgłoszenia, przyjmowanie zgłoszeń 13 godzin na dobę, 5 dni w tygodniu. Punkt B: urządzenia bezpieczeństwa sieci. System służący do routowania i filtrowania ruchu sieciowego. System ma być zrealizowany w postaci klastra zawierającego dwa urządzenia routująco-filtrujące, tak aby awaria jednego z nich nie powodowała utraty zdolności systemu do wykonywania jego głównej funkcji (routowanie i filtrowanie ruchu). Funkcje dodatkowe (gromadzenie i analiza logów) nie wymagają takiej ochrony. Model wzorcowy: klaster złożony z dwóch urządzeń FortiGate 110C i jednego FortiAnalyzer 100C. Parametry Architektura systemu ochrony System ochrony musi być zbudowany przy użyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Główne urządzenie ochronne [gateway] nie może posiadać twardego dysku, w zamian używać pamięci FLASH. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizoanego układu ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). Uwaga: Dziennik zdarzeń lub inne działania wymagające systemów dyskowych muszą być realizowane na zewnętrznych, dedykowanych do tego celu urządzeniach. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. Ilość/rodzaj portów Nie mniej niż 8 portów Ethernet 10/100 Base-TX, 2 portów Ethernet 10/100/1000 Base-TX Nie mniej niż 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard IEEE802.1q Funkcjonalności podstawowe i uzupełniające System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowe: kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM) poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami - Intrusion Prevention System [IPS/IDS] uzupełniające: kontrolę treści Web Filter [WF] kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) zamowienia.publiczne@ncn.gov.pl Strona 10 z 55

11 kontrolę pasma oraz ruchu [QoS i Traffic shaping] kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P) zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Preention) SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Zasada działania (tryby) Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: - jako router/nat (3.warstwa ISO-OSI) lub - jako most /transparent bridge/. Tryb przezroczysty umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa (firewall) Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Wykrywanie ataków Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 3900 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie Możliwość wykrywania anomalii protokołów i ruchu Translacja adresów Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. Wirtualizacja i routing dynamiczny Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. Połączenia VPN Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o firewall o antywirus o web filtering o antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Uwierzytelnianie użytkowników zamowienia.publiczne@ncn.gov.pl Strona 11 z 55

12 System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory bez dodatkowych opłat licencyjnych. Wydajność Obsługa nie mniej niż jednoczesnych połączeń i nowych połączeń na sekundę Przepływność nie mniejsza niż 500 Mbps dla ruchu nieszyfrowanego i 100 Mbps dla VPN (3DES). Obsługa nie mniej niż jednoczesnych tuneli VPN Funkcjonalność zapewniająca niezawodność Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active-Passive Obudowa Obudowa ma mieć możliwość zamontowania w szafie 19. Zasilanie Zasilanie z sieci 230V/50Hz. Konfiguracja i zarządzanie Możliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. Certyfikaty Potwierdzeniem wysokiej skuteczności systemów bezpieczeństwa są posiadane przez producenta certyfikaty (do względu przy dostawie). Producent powinien posiadać następujące certyfikaty: ISO 9001, UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, SSL, Network IPS, Antywirus. Zarządzanie System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem centralnego zarządzania umożliwiającm: Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej Wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć konfigurację z dowolnego punktu w przeszłości zamowienia.publiczne@ncn.gov.pl Strona 12 z 55

13 Zarządzanie wersjami firmware u na urządzeniach oraz zdalne uaktualnienia Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia Monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM) Zapis i zdalne wykonywanie skryptów na urządzeniach Raportowanie System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Skanowanie podatności stacji w sieci Zdalną kwarantannę dla modułu antywirusowego Integracja systemu zarządzania Zgodnie z zaleceniami normy PN-ISO/17799 zarówno moduł centralnego zarządzania jak i raportowania muszą być zrealizowane na osobnych urządzeniach sprzętowych. Jednocześnie administrator powinien mieć do dyspozycji jedną konsolę zarządzającą do kontroli obu podsystemów. Parametry pomocniczego urządzenia logującego Dysk o pojemności 1 TB. Wydajność pozwalająca zapisać do 200 zdarzeń/sekundę. Możliwość współpracy z co najmniej 10 urządzeniami routująco-filtrującymi. Oprogramowanie umożliwiające przeglądanie i analizę zdarzeń. Montaż w racku 19-calowym. Support 1 rok (8x5 Enhanced Support, Hardware Replacement, Firmware Upgrades) Punkt C: Przełączniki ethernetowe. Przełącznik ethernetowy 3 szt. Model wzorcowy: HP G. Parametry: Co najmniej 20 portów ethernetowych 10/100/1000 Mbit. Dodatkowe cztery porty obsługujące mini-gbic fiber 1 Gbit. Wydajność co najmniej 35 Mpps dla 64-bajtowych pakietów. Obsługa standardów 802.1Q (VLAN), 802.1s i 802.1w (spanning tree), 802.1p (QoS), 802.1X (auth). Obsługa co najmniej 256 VLAN-ów. Port szeregowy umożliwiający zarządzanie urządzeniem. Możliwość zarządzania zdalnego, interfejsy CLI oraz WWW. Możliwość zablokowania wszelkich innych kanałów konfiguracji poza portem szeregowym. Gwarancja Dożywotnia. Punkt D: Routery dostępowe WiFi. Routery dostępowe WiFi a/b/g/n 3 szt. Model wzorcowy: Linksys by Cisco E3000. Parametry: Zgodność z ostateczną wersją standardu n (zgodność z wersją draft nie jest wystarczająca). zamowienia.publiczne@ncn.gov.pl Strona 13 z 55

14 Równoczesna praca w zakresach częstotliwości 2,4 GHz i 5 GHz. MIMO 2/2 spatial channels w obu zakresach. Obsługa kanałów podwójnej szerokości (40 MHz) w obu zakresach. Powyższe parametry potwierdzone certyfikatem wystawionym przez WiFi Alliance i dostępnym na Wbudowany switch z czterema gigabitowymi portami ethernetowymi. Obudowa z otworami na łby śrub bądź inne haczyki, pozwalająca powiesić urządzenie na ścianie albo suficie. Możliwość wgrania alternatywnego oprogramowania DD-WRT. Punkt E: inne akcesoria i materiały eksploatacyjne. 1. Kable Ethernet typu patch-cord certyfikowane w kat. 6 nieekranowane w następujących długościach i kolorach: 50 szt o długości 0,5 m w kolorze żółtym 50 szt. o długości 0,5 m w kolorze niebieskim 50 szt. o długości 1 m w kolorze żółtym 50 szt. o długości 1 m w kolorze niebieskim 20 szt. o długości 0,5 m w kolorze czerwonym 20 szt. o długości 1 m w kolorze czerwonym 50 szt. o długośći 3 m w kolorze czerwonym 10 szt. o długości 5 m w kolorze czerwonym 2. Zewnętrzny napęd DVD-RW podłączany przez port USB 1 szt. Punkt F: oprogramowanie. NCN zastrzega sobie prawo przenoszenia oprogramowania pomiędzy serwerami. Licencje Microsoft typu government. Microsoft Exchange 2010 Standard OLP gov Microsoft Exchange 2010 Standard OLP User CAL Microsoft SQL Server 2008 R2 Standard OLP 1 CPU gov Windows Server 2008 R2 Enterprise OLP gov Windows Server 2008 R2 Standard OLP gov Windows Server OLP User CAL 1 szt 50 szt. 1 szt. 3 szt. 1 szt. 100 szt. Oprogramowanie do zarządzania klastrem Hyper-V złożonym z trzech serwerów oraz siecią Microsoft SysCtrEssntlswSQL 2010 OLP NL gov 1 szt. Microsoft SysCtrEssntlsSvrML 2010 OLP NL gov 3 szt. Desktopowe oprogramowanie antywirusowe: 66 sztuk. Oprogramowanie wzorcowe: Symantec Protection Suite Enterprise Edition 3.0 per user bndl standard government. Specyfikacja: Ochrona serwerów w ilości 15 sztuk (3 hosty i 12 serwerów wirtualnych) oraz komputerów klienckich w ilości 51 spełniająca poniższe kryteria: I. Ochrona endpoint zamowienia.publiczne@ncn.gov.pl Strona 14 z 55

15 Antywirus: usuwanie wirusów, makro wirusów, robaków internetowych oraz koni trojańskich (oraz wirusów i robaków z plików skompresowanych oraz samorozpakowujących się) lub kasowanie zainfekowanych plików Ochrona przed oprogramowaniem typu spyware i adware, włącznie z usuwaniem zmian wprowadzonych do systemu przez to oprogramowanie tego typu. Wykrywanie wirusów, makro-wirusów, robaków internetowych, koni trojańskich, spyware, adware i dialerów ma być realizowane w pojedynczym systemie skanującym. określanie obciążenia CPU dla zadań skanowania zaplanowanego oraz skanowania na żądanie, skanowanie plików pobranych z Internetu wraz ze skryptami umieszczonymi w sieci internet oraz plików skompresowanych, zapewnienie stałej ochrony wszystkich zapisywanych, odczytywanych, a także uruchamianych plików przez mechanizm skanujący pracujący w tle wraz z metodą heurystyczną wyszukiwania wirusów (na życzenie); pliki te mogą być skanowane: a) na dyskach twardych b) w boot sektorach c) na dyskietkach d) na płytach CD/DVD Możliwość samodzielnego pobierania aktualizacji z Internetu do stacji roboczej Możliwość zablokowania funkcji zmiany konfiguracji klienta lub ukrycie interfejsu użytkownika klienta. Scentralizowaną obsługę wirusów polegającą na przekazywaniu nieodwracalnie zainfekowanych plików do bezpiecznego miejsca w postaci centralnej kwarantanny na centralnym serwerze, w celu przeprowadzenia dalszych badań Wbudowana w oprogramowanie funkcja do wysyłania podejrzanych lub zainfekowanych nowymi wirusami plików do producenta w celu uzyskania szczepionek Wyszukiwanie i usuwanie wirusów w plikach skompresowanych (także zagnieżdżonych wewnątrz innych plików skompresowanych) w szczególności z plikach typu ZIP, GNU, LZH/LHA, BinHex, HTTP, ARJ, RAR, MIME/UU, TAR, kontenery CAB,UUE, Rich text format, ArcManager, MS-TNEF. Aktualizacja definicji wirusów nie wymaga zatrzymania procesu skanowania na jakimkolwiek systemie serwerze czy stacji roboczej Mikrodefinicje wirusów - przyrostowe, scentralizowane aktualizowanie klientów jedynie o nowe definicje wirusów i mechanizmy skanujące Możliwość cofnięcia procesu aktualizacji definicji wirusów i mechanizmów skanujących powrót do poprzedniego zastawu definicji wirusów bez konieczności reinstalacji oprogramowania czy też restartu komputerów Możliwość natychmiastowego wypchnięcia definicji wirusów do stacji klienckich Aktualizacja bazy definicji wirusów oraz mechanizmów skanujących co najmniej 1 raz dziennie Możliwość aktualizacji bazy definicji wirusów średnio co 1 godzine Heurystyczna technologia do wykrywania nowych, nieznanych wirusów Moduł analizy zachowań aplikacji do wykrywania nowych, nieznanych zagrożeń typu robak internetowy, koń trojański, keylogger. Automatyczna rejestracja w dzienniku zdarzeń wszelkich nieautoryzowanych prób zmian rejestru dokonywanych przez użytkownika. zamowienia.publiczne@ncn.gov.pl Strona 15 z 55

16 Automatyczne ponowne uruchomianie skanowania w czasie rzeczywistym, jeśli zostało wyłączone przez użytkownika mającego odpowiednie uprawnienia na z góry określony czas. Automatyczne wymuszanie na kliencie programu pobrania zaktualizowanych definicji wirusów, jeśli aktualnie przechowywane pliki są przestarzałe Aktualizacje definicji wirusów posiadają podpis cyfrowy, którego sprawdzenie gwarantuje, że pliki te nie zostały zmienione Skanowanie poczty klienckiej (na komputerze klienckim) Opóźnienie skanowania zaplanowanego w wypadku działania komputera (laptopa) na bateriach Firewall (zapora ogniowa) Pełne zabezpieczenie stacji klienckich przed: atakami hakerów oraz nieautoryzowanymi próbami dostępu do komputerów i skanowaniem portów. Moduł firewalla ma mieć możliwość monitorowania i kontroli, jakie aplikacje łączą się poprzez interfejsy sieciowe, Administrator może definiować połączenia, które stacja robocza może inicjować i odbierać, Administrator może konfigurować dostęp stacji do protokołów rozszerzonych innych niż ICMP,UDP czy TCP np: IGMP, GRE, VISA, OSPFIGP, L2TP, Lite-UDP, Aktualizacje definicji sygnatur ataków posiadają podpis cyfrowy, którego sprawdzenie gwarantuje, że pliki te nie zostały zmienione Program ma pozwalać na zdefiniowanie indywidualnych komputerów lub całych zakresów adresów IP, które są traktowane jako: całkowicie bezpieczne lub niebezpieczne Program musi wykrywać próby wyszukiwania przez hakerów luk w zabezpieczeniach systemu w celu przejęcia nad nim kontroli Konfiguracja zezwalanego i zabronionego ruchu ma się odbywać w oparciu o takie informacje jak: interfejs sieciowy, protokół, stacja docelowa, aplikacja, godzina komunikacji, Konfiguracja stacji ma się odbywać poprzez okeślenie: Adresu MAC, numeru IP, zakresu numerów IP, wskazanie podsieci, nazwy stacji dns (FQDN) lub domeny dns. Firewall powinien umożliwiać nagrywanie komunikacji spełniającej wskazane wymagania. Firewall ma mieć konfigurowalną funkcjonalność powiadamiania użytkownika o zablokowanych aplikacjach. Ma istnieć możliwość dodania własnego komunikatu. W przypadku wykrycia zdefiniowanego ruchu, firewall ma wysłać wiadomość do administartora Uniemożliwianie określenia systemu operacyjnego i rodzaju przeglądarki internetowej przez serwery www Uniemożliwienie określenia systemu operacyjnego poprzez analizę pakietów sieciowych wysyłanych przez stację Uniemożliwienie przejęcia sesji poprzez losowo generowane numery sekwencji TCP Domyślne reguły zezwalające na ruch DHCP, DNS, WINS Ochrona przed włamaniami Producent ma dostarczyć bibliotekę ataków i podatności (sygnatur) stosowanych przez produkt. Administartor ma mieć możliwość uaktualniania tej biblioteki poprzez konsolę zarządzającą. zamowienia.publiczne@ncn.gov.pl Strona 16 z 55

17 Produkt ma mieć możliwość tworzenia własnych wzorców włamań (sygnatur), korzystając z semantyki Snort a, Wykrywanie skanowania portów Ochrona przed atakami typu odmowa usług (Denial of Service) Blokowanie komunikacji ze stacjami z podmienionymi MAC adresami (spoofed MAC) Wykrywanie trojanów i generowanego przez nie ruchu Wykrywanie prób nawiązania komunikacji za pośrednictwem zaufanych aplikacji, przez inne oprogramowanie. Blokowanie komunikacji ze stacjami uznanymi za wrogie na zdefiniowany przez administratora czas. Ma istnieć możliwość definiowania wyjątków. Ochrona systemu operacyjnego Produkt ma umożliwiać uruchamianie i blokowanie wskazanych aplikacji Produkt ma umożliwiać ładownie modułow lub bibliotek DLL Produkt ma umożliwiać kontrolę odczytywania i zapisywania na systemie plików przez wskazane aplikacje Aplikacje powinny być rozróżniane poprzez nazwę i sygnaturę cyfrową Produkt ma umożliwiać blokowanie wskazanego typu urządzeń przed dostępem użytkownika urządzenia muszą być identyfikowane po ich numerze seryjnym Produkt ma kontrolować dostęp do rejestru systemowego Produkt ma umożliwiać logowanie plików wgrywanych na urządzenia zewnętrzne Polityki ochrony mają mieć możliwość pracy w dwóch trybach, testowym i produkcyjnym. W trybie testowym aplikacje i urządzenia nie są blokowane, ale jest tworzony wpis w logu. Integralności komputera: Oprogramowanie musi umożliwiać wykonywanie szerokiego zakresu testów integralności komputera pod kątem zgodności z polityką bezpieczeństwa urządzeń końcowych, w tym: programów antywirusowych, poprawki firmy Microsoft, dodatki Service Pack firmy Microsoft, osobistych zapór ogniowych Testy integralności ma być przeprowadzany cyklicznie, co zdefiniowany okres czasu. Powyższe szablony muszą być automatycznie aktualizowane ze stron producenta Oprogramowanie musi umożliwiać wykonanie niestandardowego testu integralności komputera, posiadać zaawansowaną składnie If Then Else. W przypadku niestandardowego testu integralności musi istnieć dostępność następujących testów: a) Wpisy rejestru systemu operacyjnego - istnienie, określona wartość, inne b) Pliki - istnienie, data, rozmiar, suma kontrolna c) Wiek, data, rozmiar pliku sygnatury oprogramowania antywirusowego d) Zainstalowane poprawki e) Uruchomiony proces, wersja systemu operacyjnego f) Własny skrypt VisualBasic, wsh, itp. g) Własna aplikacja W przypadku niezgodności stacji z testem integralności, musi być możliwość ustawienia akcji naprawczej na poziomie pojedynczego testu. Jako możliwe operacje do wykonania musi istnieć możliwość: a) Uruchamianie dowolnego/własnego skryptu lub programu b) Logowanie zdażenia zamowienia.publiczne@ncn.gov.pl Strona 17 z 55

18 c) Ukazanie okienka z wiadomością d) Pobieranie oraz uruchamianie instalacji Ma istnieć możliwość wskazania czasu oczekiwania na wykonanie akcji naprawczych. Możliwość wymuszenia instalacji dowolnej aplikacji. W wypadku niezgodności własnego systemu, oprogramowanie musi umożliwić zaaplikowanie dowolnego innego zestawu konfiguracji, w szczególności polityki firewallowej (zdefiniowanej bardzo restrykcyjnie), polityki antywirusowej, polityki pobierania aktualizacji, polityki kontroli uruchamianych aplikacji i polityki kontroli urządzeń. Musi być możliwe, nieuwzględnianie wyniku poszczególnego testu na wynik końcowy integralności komputera. Architektura Rozwiązanie ma mieć architekturę trój-warstwową. Klienci mają być zarządzani przez serwery, a konfiguracja rozwiązania ma być zapewniona poprzez graficzną konsolę administratora. Rozwiązanie ma zapewniać wysoką skalowalność i odporność na awarie. Komunikacja pomiędzy agentami i serwerem ma być szyfrowana. Numery portów używane do komunikacji mają mieć możliwość konfiguracji przez użytkownika końcowego. Agent ma się przełączać do innego serwera zarządzającego w przypadku niedostępności przypisanego serwera. Serwery zarządzające mają móc replikować pomiędzy sobą informacje o agentach, ich konfiguracji oraz logi. Musi istnieć możliwość zdefiniowania kierunku replikacji logów (jednostronna lub dwustronna). Musi istnieć możliwość zdefiniowania dowolnego klienta jako lokalnego dostarczyciela aktualizacji możliwość konfiguracji ilości przetrzymywanych aktualizacji, zajętości na dysku oraz konfiguracji prędkości ich pobierania z serwera zarządzającego. Definiowanie lokalnego repozytorium musi zawierać warunki jakie muszą być zachowane by dany komputer mogł stać sie lokalnym rezpoytroium warunkami muszą być przynjamniej: wersja systemu operacyjnego, adres komputera, nazwa komputera (z możliwościa podania ją ze znakami specjalnymi, np: komputer*), określonego wpisu w rejestrze. Moduł centralnego zarządzania: Centralna instalacja, konfiguracja w czasie rzeczywistym, zarządzanie, raportowanie i administrowanie oprogramowaniem z pojedynczej konsoli Centralna aktualizacja ochrony antywirusowej, zapory ogniowej i systemu wykrywania włamań przez administratora sieci, Produkt ma wykrywać i raportować nieautoryzowane zmiany w konfiguracji produktu na stacji roboczej. Ma istnieć możliwość blokowania takich zmian. Produkt ma zapewniać zarządzanie poprzez konsolę. Dostęp do konsoli ma być możliwy po wcześniejszej weryfikacji użytkownika. Produkt ma mieć możliwość definiowania wielu kont administracyjnych i niezależną konfigurację uprawnień. Możliwość definiowania wielu niezależnych organizacji na jednym serwerze zarządzającym informacje dostarczone do serwera zarządzającego nie będą dostępne pomiędzy organizacjami zamowienia.publiczne@ncn.gov.pl Strona 18 z 55

19 Integracja z Microsoft ActiveDirectory w celu importu użytkowników, listy maszyn, struktury jednostek organizacyjnych. Konta administracyjne mają być tworzone na poziomie serwerów zarządzających i na poziomie organizacji definiowanych na serwerze. Uprawnienia administratorów mają być ustawiane niezależnie dla każdego kontenera wewnątrz organizacji. Możliwość utworzenia administratorów z uprawnieniami tylko do odczytu. Konfiguracja agentów ma mieć strukturę drzewa, z mechanizmami dziedziczenia. Uwierzytelnianie administratorów ma się odbywać w oparciu o wewnętrzną bazę danych lub z użyciem Microsoft ActiveDirectory. Produkt ma mieć możliwość wykorzystania wielo-elementowego uwierzytelniania (np. z wykorzystaniem tokenów, certyfikatów itp.) Dostęp do interfejsu produktu i listy funkcji dostępnych dla użytkownika ma być konfigurowany z poziomu centralnej konsoli zarządzającej. Konfiguracja aktywna na stacji ma rozróżniać lokalizację agenta i według tego kryterium określać stosowany zestaw reguł/polityk dla agenta. Lokalizacja ma być określana według istnienia lub nieistnienia: typu interfejsu sieciowego, numeru MAC domyślnej bramki, adresu IP, zakresu podsieci, wartości kluczy w rejestrze, komunikacji z serwerem zarządzającym, nazwy domeny, adresów serwerów WINS, DNS, DHCP, wyniku zapytania do serwera DNS. Opis lokalizacji powinien zawierać możliwość tworzenia połączeń logicznych I oraz LUB na powyżej wymienionych elementach. Paczki instalacyjne produktu mają pozwalać na dodanie własnej konfiguracji Pełna funkcjonalność ma być zawarta w jednym pliku instalacyjnym Nowe wersje oprogramowania mają być automatycznie dystrybuowane na stacje robocze w postaci różnicy między aktualnie zainstalowaną wersją na kliencie a nową wersją oprogramowania. Produkt ma automatycznie wykrywać wszystkie urządzenia przyłączone do sieci komputerowej. Produkt ma zapewniać graficzne raportowanie, Wbudowane raporty maja pokazywać: a) stan dystrybucji sygnatur antywirusowych oraz IDS/IPS b) wersje zainstalowanych klientów c) inwentaryzacje stacji roboczych d) wykrytych wirusów, zdażeń sieciowych, integralności komputerów Moduł raportowania ma pokazywać stan wykonywanych poleceń na komputerach Możliwość zaplanowanego tworzenia raportów i przesyłania ich do danych kont poczotwych Możliwość zdefiniowania alertów administracyjnych zawierających zdażenia: a) błędnej autoryzacji do systemu zarządzania b) dostępności nowego oprogramowania c) pojawienia się nowego komputera d) zdażeń powiązanych z infekcjami wirusów e) stanu serwerów zarządzających Pełna polska wersja językowa oprogramowania dla systemu zarządzania i stacji klienckich wraz z dokumentacją. Platforma: zamowienia.publiczne@ncn.gov.pl Strona 19 z 55

20 Oprogramownie musi działać na systemach Windows 2000 Professional i Server, Windows XP 32/64-bit, Windows Vista 32/64-bit, Windows 7 32/64-bit, Windows /64-bit, Windows /64-bit. Komponenty rozwiązania takie jak: firewall, zapobieganie włamaniom i kontrola integralności komputera muszą działać na wszystkich powyższych platformach 32/64- bitowych. Serwer zarządzający musi działać na systemach Windows 2000 Server,Windows XP, Windows /64-bit, Windows /64-bit. Ochrona antywirusowa dla systemu Macintosh Ochrona ma działać na platormie Mac OS X 10.4, 10.5, 10.6 z proceorami G3, G4, G5 oraz Intel Klienta dla system Mac ma być zarządzany przez ten sam serwer oraz z tej samej konsoli zarządzającej co klienci Windows Dystrybucja oprogramowania dodatkowa funkcjonalność: paczka instalacyjna agenta do zarządzania instalowana na komputerze musi być nie większa niż 20MB, agent musi mieć możliwość określenia z jaką przepustowością ma pobierać paczki instalacyjne (musi być też możliwość zdefiniowania, że ograniczenie pasma obowiązuje, jeżeli pasmo jest niższe niż określone), musi istnieć możliwość przekształcenia dowolnego agenta w taki sposób by lokalnie mógł dostarczać paczki instalacyjne dla danej grupy agentów agenci sami wybiorą sobie dla nich najbliższe repozytorium paczek instalacyjnych, musi istnieć możliwość zdefiniowania z jaką przepustowością agent przekształcony w lokalne repozytorium ma pobierać paczki instalacyjne konfiguracja ta ma być niezależna od konfiguracji pozostałych agentów, musi istnieć możliwość dowolnego grupowania agentów oraz możliwość importu skonfigurowanych grup z Active Directory, agent musi zupełnie niezależnie mieć możliwość naprawy instalacji oprogramowania, dostarczenia nowych definicji wirusów, dokonanie audytu wykorzystywanego oprogramowania antywirusowego (w szczególności wykorzystywanej wersji oprogramowania), agent musi mieć możliwość wykonania prostych komend na komputerze opartych o języki skryptowe. II. Ochrona serwerów pocztowych a) ochrona bramy pocztowej Wymagania systemowe: Integracja z LDAP: MS Active Directory, MS Exchange 2010 Funkcjonalność rozwiązania: Zintegrowane rozwiązanie antywirusowe, antyspamowe i filtrowania treści, Praca jako bramka pocztowa, Blokowanie spamu w oparciu o lokalne polityki, silnik skanujący i bazy. Poczta nie jest przekierowana na serwer usługodawcy. Rozwiązanie antyspamowe ma mieć skuteczność nie mniejszą niż 98%.Równocześnie rozwiązanie ma charakteryzować się współczynnikiem fałszywych alarmów na poziomie 1 na milion, potwierdzonym przez niezależne testy. Do wykrywania spamu, system ma wykorzystywać bazy o numerach IP lub nazwach domen wykorzystywanych przez spamerów, zamowienia.publiczne@ncn.gov.pl Strona 20 z 55