SZCZEGOŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Przedmiotem zamówienia jest dostawa, instalacja oraz wdrożenie sprzętu sieciowego:

Transkrypt

1 Zp /16 Załącznik Nr 1 do SIWZ Załącznik Nr 1 do umowy SZCZEGOŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest dostawa, instalacja oraz wdrożenie sprzętu sieciowego: Nr specyfikacji Nazwa urządzenia Ilość Specyfikacja 1.1 Urządzenie zabezpieczające 1 25 Specyfikacja 1.2 Aktualizacja subskrypcji zgodnie opisem w Specyfikacji Zamawiający posiada urządzenia oraz centralny system zarządzania producenta Palo Alto. Przedmiotowy zakup jest rozbudową istniejącej infrastruktury. Specyfikacja 1.1 Urządzenie zabezpieczające Oferowany model... Producent... Lp. 1. Nazwa komponentu Ilości i miejsca dostawy Wymagane minimalne Miejsce dostawy Ilość urządzeń Sąd Okręgowy w Radomiu 2 (działające jako jeden klaster dwóch identycznych urządzeń wchodzących w skład wielozadaniowego systemu zabezpieczeń sieciowych) Sąd rejonowy w Grójcu 1 Sąd Rejonowy w Kozienicach 1 Sąd Rejonowy w Lipsku 1 Sąd Rejonowy w Przysusze 2 (bez klastra) Sąd Rejonowy w Radomiu 2 (działające jako jeden klaster dwóch identycznych urządzeń wchodzących w skład wielozadaniowego systemu zabezpieczeń sieciowych) Sąd Rejonowy w Szydłowcu 1 Sąd Rejonowy w Zwoleniu 1 Sąd Okręgowy w Siedlcach 2 (działające jako jeden klaster dwóch identycznych urządzeń wchodzących w skład wielozadaniowego systemu zabezpieczeń sieciowych) Sąd Rejonowy w Siedlcach 1 Sąd Rejonowy w Białej Podlaskiej Sąd Rejonowy w Chełmie 1

2 Sąd Rejonowy Lublin-Wschód z siedzibą w Świdniku Sąd Rejonowy w Radzyniu Podlaskim Sąd Rejonowy w Garwolinie Sąd Rejonowy w Mińsku Mazowieckim Sąd Rejonowy w Sokołowie Podlaskim Sąd Rejonowy w Węgrowie Sąd Rejonowy w Janowie Lubelskim Sąd Rejonowy w Krasnymstawie Sąd Rejonowy w Tomaszowie Lubelskim 2. SUMA URZĄDZEŃ 25 szt. w tym 3 klastry (klaster = 2 szt.) w HA 3. Wymagania na pojedyncze urządzenie 1. System zabezpieczeń musi być dostarczony jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). W architekturze systemu musi występować sprzętowa separacja modułu zarządzania i modułu przetwarzania danych. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. 2. System zabezpieczeń firewall nie może posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. 3. System zabezpieczeń firewall musi posiadać przepływność w ruchu full-duplex nie mniej niż 250 Mbit/s dla kontroli firewall z włączoną funkcją kontroli aplikacji, nie mniej niż 100 Mbit/s dla kontroli zawartości (w tym kontrola anty-wirus, anty-spyware, IPS i web filtering) i obsługiwać nie mniej niż jednoczesnych połączeń. 4. System zabezpieczeń firewall musi być wyposażone w co najmniej 8 portów Ethernet 10/100/ System zabezpieczeń firewall musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI), w trybie przełącznika (tzn. w warstwie 2 modelu OSI), w trybie transparentnym oraz w trybie pasywnego nasłuchu (sniffer). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych jak również nie może wprowadzać segmentacji sieci na odrębne domeny kolizyjne w sensie Ethernet/CSMA. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów inspekcyjnych. 6. Tryb pracy urządzenia musi być ustalany w konfiguracji interfejsu sieciowego a system musi umożliwiać pracę we wszystkich wymienionych powyżej trybach jednocześnie na różnych interfejsach inspekcyjnych w pojedynczej logicznej instancji systemu (np. wirtualny system, wirtualna domena, itp.). 7. System zabezpieczeń firewall musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać 4094 znaczników VLAN. 8. System zabezpieczeń firewall musi obsługiwać nie mniej niż 3 wirtualne routery posiadających odrębne tabele routingu i umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń. Urządzenie musi obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP, RIP i OSPF. 9. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji. 10. Polityka zabezpieczeń firewall musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, aplikacje, użytkowników aplikacji, 2

3 reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (minimum priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ). 11. System zabezpieczeń firewall musi działać zgodnie z zasadą bezpieczeństwa The Principle of Least Privilege, tzn. system zabezpieczeń blokuje wszystkie aplikacje, poza tymi które w regułach polityki bezpieczeństwa firewall są wskazane jako dozwolone. 12. System zabezpieczeń firewall musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną. 13. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich dostępnych portach. Wydajność kontroli firewall i kontroli aplikacji musi być taka sama i wynosić w ruchu full-duplex nie mniej niż 250 Mbit/s. 14. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall (tzn. reguła firewall musi posiadać oddzielne pole gdzie definiowane są aplikacje i oddzielne pole gdzie definiowane są protokoły sieciowe, nie jest dopuszczalne definiowane aplikacji przez dodatkowe profile). Nie jest dopuszczalna kontrola aplikacji w modułach innych jak firewall (np. w IPS lub innym module UTM). 15. Nie jest dopuszczalne, aby blokownie aplikacji (P2P, IM, itp.) odbywało się poprzez inne mechanizmy ochrony niż firewall. 16. Nie jest dopuszczalne rozwiązanie, gdzie kontrola aplikacji wykorzystuje moduł IPS, sygnatury IPS ani dekodery protokołu IPS. 17. System zabezpieczeń firewall musi wykrywać co najmniej 1700 różnych aplikacji (takich jak Skype, Tor, BitTorrent, emule, UltraSurf) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS. 18. System zabezpieczeń firewall musi posiadać możliwość ręcznego tworzenia sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta. 19. System zabezpieczeń firewall musi posiadać możliwość definiowania i przydzielania różnych profili ochrony (AV, IPS, AS, URL, blokowanie plików) per aplikacja. Musi istnieć możliwość przydzielania innych profili ochrony (AV, IPS, AS, URL, blokowanie plików) dla dwóch różnych aplikacji pracujących na tym samym porcie. 20. System zabezpieczeń firewall musi umożliwiać blokowanie transmisji plików, nie mniej niż: bat, cab, dll, doc, szyfrowany doc, docx, ppt, szyfrowany ppt, pptx, xls, szyfrowany xls, xlsx, rar, szyfrowany rar, zip, szyfrowany zip, exe, gzip, hta, mdb, mdi, ocx, pdf, pgp, pif, pl, reg, sh, tar, text/html, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia. 21. System zabezpieczeń firewall musi umożliwiać analizę i blokowanie plików przesyłanych w zidentyfikowanych aplikacjach. W przypadku gdy kilka aplikacji pracuje na tym samym porcie UDP/TCP (np. tcp/80) musi istnieć możliwość przydzielania innych, osobnych profili analizujących i blokujących dla każdej aplikacji. 22. System zabezpieczeń firewall musi umożliwiać ochronę przed atakami typu Drive-bydownload poprzez możliwość konfiguracji strony blokowania z dostępną akcją kontynuuj dla funkcji blokowania transmisji plików. 23. System zabezpieczeń firewall musi umożliwiać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH. Wymagania podstawowe identyfikacja użytkowników 1. System zabezpieczeń firewall musi mieć możliwość transparentnego ustalenia tożsamości użytkowników sieci (integracja z Active Directory, Ms Exchange, Citrix, LDAP i serwerami Terminal Services). Polityka kontroli dostępu (firewall) powinna precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. 3

4 Ponadto system musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników. 2. System zabezpieczeń firewall musi mieć możliwość zbierania i analizowania informacji Syslog z urządzeń sieciowych i systemów innych niż MS Windows (np. Linux lub Unix) w celu łączenia nazw użytkowników z adresami IP hostów z których ci użytkownicy nawiązują połączenia. 3. System zabezpieczeń firewall musi odczytywać oryginalne adresy IP stacji końcowych z nagłówka X-Forwarded-For i wykrywać na tej podstawie użytkowników z domeny Windows Active Directory generujących daną sesje w przypadku gdy analizowany ruch przechodzi wcześniej przez serwer Proxy ukrywający oryginalne adresy IP zanim dojdzie on do urządzenia. Wymagania ochrony IPS, AV, anty-spyware, URL, zero-day 1. System zabezpieczeń firewall musi posiadać możliwość uruchomienia modułu filtrowania stron WWW per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność filtrowania stron WWW uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa). 2. System zabezpieczeń firewall musi posiadać możliwość ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta. Wymagania dodatkowe NAT, DoS, IPSEC VPN, SSL VPN, QoS 1. System zabezpieczeń firewall musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. 2. System zabezpieczeń firewall musi posiadać funkcję ochrony przed atakami typu DoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP. 3. System zabezpieczeń firewall musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-tosite. Konfiguracja VPN musi odbywać się w oparciu o ustawienia rutingu (tzw. routingbased VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Wykorzystanie funkcji VPN (IPSec i SSL) nie wymaga zakupu dodatkowych licencji. 4. System zabezpieczeń firewall musi wykonywać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. System musi umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego. 5. System musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników. 6. System musi mieć możliwość kształtowania ruchu sieciowego (QoS) per sesja na podstawie znaczników DSCP. Musi istnieć możliwość przydzielania takiej samej klasy QoS dla ruchu wychodzącego i przychodzącego. Wymagania dodatkowe środowisko wirtualne vmware 1. System zabezpieczeń firewall musi umożliwiać integrację w środowisku wirtualnym VMware w taki sposób, aby firewall mógł automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystał z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla. Wymagania zarządzanie i raportowanie 1. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli Web GUI dostępnej przez przeglądarkę WWW. Nie jest dopuszczalne, aby istniała konieczność instalacji dodatkowego oprogramowania na stacji administratora w celu zarządzania systemem. 4

5 2. System zabezpieczeń firewall musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu. 3. System zabezpieczeń firewall musi pozwalać na blokowanie wprowadzania i zatwierdzania zmian w konfiguracji systemu przez innych administratorów w momencie edycji konfiguracji. 4. System zabezpieczeń firewall musi być wyposażony w interfejs XML API będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI). 5. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. 6. System zabezpieczeń firewall musi umożliwiać uwierzytelnianie administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS i Kerberos. 7. System zabezpieczeń firewall musi umożliwiać stworzenie sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS). 8. System zabezpieczeń firewall musi posiadać wbudowany twardy dysk do przechowywania logów i raportów o pojemności nie mniejszej niż 160 GB. Wszystkie narzędzia monitorowania, analizy logów i raportowania muszą być dostępne lokalnie na urządzeniu zabezpieczeń. Nie jest wymagany do tego celu zakup zewnętrznych urządzeń, oprogramowania ani licencji. 9. Nie jest dopuszczalne rozwiązanie, gdzie włączenie logowania na dysk może obniżyć wydajność urządzenia. 10. System zabezpieczeń firewall musi umożliwiać usuwanie logów i raportów przetrzymywanych na urządzeniu po upływie określonego czasu. 11. System zabezpieczeń firewall musi umożliwiać sprawdzenie wpływu nowo pobranych aktualizacji sygnatur (przed ich zatwierdzeniem na urządzeniu) na istniejące polityki bezpieczeństwa. 12. System zabezpieczeń firewall musi posiadać możliwość konfigurowania różnych serwerów Syslog per polityka bezpieczeństwa. 13. System zabezpieczeń firewall musi mieć możliwość korelowania zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, aplikacjach, zagrożeniach i filtrowaniu stron www. 14. System zabezpieczeń firewall musi mieć możliwość tworzenia wielu raportów dostosowanych do wymagań Zamawiającego, zapisania ich w systemie i uruchamiania w sposób ręczny lub automatyczny w określonych przedziałach czasu. Wynik działania raportów musi być dostępny w formatach co najmniej PDF, CSV i XML. 15. System zabezpieczeń firewall musi mieć możliwość stworzenia raportu o aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni kilku ostatnich dni. 16. System zabezpieczeń firewall musi posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive lub Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. 17. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim w autoryzowanym ośrodku edukacyjnym. 18. W ramach postępowania muszą zostać dostarczone kompletne, gotowe do pracy urządzenia. Wraz z produktem wymagane jest dostarczenie opieki technicznej ważnej przez okres 3 lat. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz jego autoryzowanego polskiego przedstawiciela, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. 5

6 Specyfikacja 1.2 Aktualizacja subskrypcji Łącznie: zgodnie z opisem w Lp. 3 Lp. Nazwa komponentu Wymagane minimalne 1. Miejsce dostawy Sąd Apelacyjny w Lublinie 2. Wymagania 3. W ramach dostawy należy dostarczyć aktualizację na 3 lata dla PaloAlto 3020 działających (2 szt.) poniższych elementów: Threat Prevention BrightCloud URL Filtering Premium Partner Support WildFire License DOSTAWA I INSTALACJA URZĄDZEŃ ORAZ KONFIGURACJA SIECI 1) Wykonawca zobowiązany jest w szczególności dostarczyć, zainstalować i skonfigurować urządzenia, określone w Opisie Przedmiotu Zamówienia i ofercie Wykonawcy. 2) Wykonawca zobowiązany jest do instalacji i konfiguracji systemu do zarządzania, 3) Wraz z urządzeniami, Wykonawca dostarczy Zamawiającemu wszelką dokumentację urządzeń dostarczaną przez producenta urządzenia, w szczególności instrukcje obsługi. 4) Dostarczone urządzenia i inne części które Zamawiający dostarcza Wykonawcy muszą posiadać stosowne certyfikaty, oraz spełniać wszelkie wymogi i normy zastrzeżone przez obowiązujące w Polsce przepisy. 5) Do czasu przetestowania urządzeń i sieci i podpisania protokołu odbioru końcowego, Wykonawca ponosi ryzyko ich niesprawności lub wystąpienia innych wad, chyba że niesprawność lub wada została wyrządzona z winy Zamawiającego. DOKUMENTACJA WDROŻENIOWA Wykonawca dostarczy dokumentację techniczną wdrożenia (Projekt Realizacyjny, Dokumentacja powykonawcza) oraz dokumentację organizacji wdrożenia (Dokument Inicjujący Projekt Karta projektu, Sprawozdanie z wykonania prac) PROJEKT REALIZACYJNY Projekt Realizacyjny zostanie wykonany na podstawie inwentaryzacji istniejącej instalacji, wymagań Zamawiającego z dokumentacji przetargowej oraz obustronnych uzgodnień i musi być zatwierdzony przez Zamawiającego w ciągu 5 dni od podpisania umowy. Projekt Realizacyjny musi obejmować co najmniej następujący zakres: a. Architektura sieci szkieletowej: 1. Warstwa logiczna 2. Powiązania poszczególnych elementów, 3. Powiązania z zewnętrznymi systemami i aplikacjami, b. Warstwa sieciowa i fizyczna: 1. Adresacja poszczególnych elementów, 2. Rozmieszczenie poszczególnych elementów, 3. Wymagania dotyczące rekonfiguracji sieci, zasobów komputerowych 6

7 c. Konfiguracja poszczególnych podsystemów: 1. Projekt konfiguracji systemów zabezpieczeń 2. Konfiguracja połączeń typu aggregated 3. Konfiguracja mechanizmów uwierzytelniania, 4. Projekt sieci wirtualnych VLAN 5. Projekt sieci wirtualnych prywatnych pvlan 6. Projekt zabezpieczenia sieci LAN (m.in. ochrona Spanning Tree, DHCP, IP spoofing, oraz inne) 7. Projekt konfiguracji routingu 8. Projekt systemu zapewniającego Quality of Sevice 9. Konfiguracja mechanizmów Access-list 10. Konfiguracja mechanizmów disaster recovery. 11. Plan krosowania 12. Projekt sieci DMZ, 13. Projekt systemu zarządzającego, 14. Projekt wykorzystania obecnie posiadanego systemu monitoringu, d. Integracja z obecną siecią LAN, WAN, e. Sposób testowania zaprojektowanych rozwiązań DOKUMENTACJA POWYKONAWCZA Po wykonaniu całościowego wdrożenia we wszystkich lokalizacjach Zamawiający otrzyma dokumentację powdrożeniową co najmniej 3 dni przed datą odbioru przedmiotu zamówienia zawierającą następujące dane: a) Architekturę logiczną sieci, b) Architekturę fizyczną sieci, c) Adresację IP i nazewnictwo wszystkich elementów fizycznych i logicznych systemu, d) Konfigurację wszystkich dostarczonych produktów, e) Zmiany w konfiguracji sieci zarządzania i systemu zarządzania f) Zmiany w routingu, konfiguracji DMZ, NAT, VPN, QoS, UTM g) Wyniki testów zaplanowanych w Projekcie Realizacyjnym h) Opis zmian w stosunku do Projektu Realizacyjnego wprowadzonych podczas wdrożenia i) Dobre praktyki w zakresie administracji siecią, w szczególności: i. Wykonywania kopii zapasowych konfiguracji poszczególnych produktów, ii. Instalacji oprogramowania na poszczególnych produktach, iii. Przeglądu podstawowych parametrów i produktów celem badania poprawności działania oraz wczesnego wykrywania problemów. DOKUMENT INICUJĄCY PROJEKT Zakres dokumentu - organizacja prac projektowych a. Założenia dla wdrażanych systemów/obszarów. b. Wymagania dla Zamawiającego. c. Harmonogram prac, z określeniem rozłącznych zadań, kamieni milowych oraz zasobów po stronie Zamawiającego koniecznych do prawidłowej realizacji przedsięwzięcia, d. Opis organizacji zespołu projektowego po stronie Wykonawcy i Zamawiającego. e. Komunikacja w projekcie. f. Zasady komunikacji w projekcie oraz zasady akceptacji dokumentacji projektowej. 7

8 g. Szczegółowy opis zakresu prac wdrożeniowych w poszczególnych obszarach (zakres minimalny został określony poniżej dla poszczególnych obszarów). h. Proponowaną przez Wykonawcę konfigurację poszczególnych produktów. i. Proponowany przez Wykonawcę zakres testów akceptacyjnych wraz z kryteriami sukcesu. Wykonawca dostarczy Dokument inicjujący projekt w ciągu 3 dni od podpisania umowy. SPRAWOZDANIE Z REALIZACJI PRAC W odniesieniu do dokumentu inicjującego projekt Wykonawca dostarczy sprawozdanie z realizacji prac potwierdzających zgodność realizacji z wymaganiami postępowania przetargowego, Projektu Realizacji oraz uzgodnień poczynionych w trakcie wdrożenia. Wykonawca dostarczy sprawozdanie co najmniej 3 dni przed datą odbioru przedmiotu zamówienia. WDROŻENIE Przed dostarczeniem Projektu Realizacyjnego Wykonawca przeprowadzi inwentaryzację istniejącej instalacji i konfiguracji w zakresie dobrych praktyk, rekomendacji dostawcy sprzętu i oprogramowania z wykorzystaniem dokumentacji powdrożeniowej (aktualnie użytkowanego systemu) dostarczonej przez Zamawiającego. Wynikiem inwentaryzacji będzie lista stwierdzonych zmian w stosunku do dokumentacji powdrożeniowej, lista rekomendacji w zakresie poprawy bezpieczeństwa instalacji. Wyniki inwentaryzacji zostaną zawarte w Projekcie Realizacyjnym. W oparciu o zatwierdzony Projekt Realizacyjny zostanie wykonanie wdrożenie systemu zabezpieczeń. W ramach wdrożenia muszą zostać wykonane minimum następujące prace: 1. Instalacja urządzeń w szafach oraz krosowanie urządzeń. Należy zainstalować i skonfigurować wszystkie dostarczane elementy oraz wykonać pełną integrację z obecnie wykorzystywanymi urządzeniami przez Zamawiającego, 2. Konfiguracja systemów zabezpieczeń w zakresie opisanym w Projekcie Realizacyjnym, w tym: a) Konfiguracja adresacji IP b) Rekonfiguracja przełączników c) Rekonfiguracja mechanizmów bezpieczeństwa w dostępie do urządzeń d) Stworzenie i skonfigurowanie połączeń między urządzeniami e) Stworzenie sieci wirtualnych VLAN f) Konfiguracja routingu między sieciami VLAN g) Rekonfiguracja mechanizmów zabezpieczających ruch między sieciami VLAN h) Konfiguracja mechanizmów Quality of Service i) Konfiguracja mechanizmów bezpieczeństwa w sieci LAN (m.in. blokowanie portów w oparciu o adresy MAC, Access - listy na poziomie portu i VLANu, zabezpieczenie protokołów Spanning Tree oraz DHCP, zabezpieczenie dostępu administracyjnego) 3. Instalacja i konfiguracja oprogramowania zarządzającego 4. Testy działania zgodnie ze scenariuszami z Projektu Realizacyjnego TESTY PRZED ODBIOREM KOŃCOWYM CAŁOŚCIOWYM 1) O gotowości do przeprowadzenia testów przed odbiorem końcowym, Wykonawca zawiadamia Zamawiającego z 3 dniowym wyprzedzeniem. 2) Testy odbędą się w siedzibie Zamawiającego w godzinach roboczych Zamawiającego, w uzgodnionym przez Strony terminie, przy wykorzystaniu dostarczonych przez Wykonawcę w ramach zamówienia programów, narzędzi i systemów pomiarowych i monitoringowych oraz 8

9 na życzenie Zamawiającego programów, narzędzi i systemów pomiarowych i monitoringowych dostarczonych przez Zamawiającego. W trakcie testów, Zamawiający uprawniony będzie do korzystania z usług osób trzecich, w szczególności biegłych oraz przedstawiciela producenta sprzętu. 3) W trakcie testów, przetestowana zostanie w szczególności komunikacja w sieci, tj. czy wszystkie urządzenia zostały podłączone zgodnie z umową, czy dostarczone urządzenia posiadają wymagane przez przepisy normy i certyfikaty, czy zgodne są z SIWZ, ofertą Wykonawcy, dokumentacją techniczną i powykonawczą, czy wykonane przez Wykonawcę prace zostały wykonane w zgodnie z przepisami prawa i warunkami umowy. 4) Z przeprowadzonych testów, Strony sporządzą protokół w formie pisemnej pod rygorem nieważności. 5) W przypadku gdy w wyniku testów wyjdzie na jaw, iż wdrożenie nie spełnia wymogów wskazanych w SIWZ i fercie Wykonawcy, a w szczególności gdy sieć lub urządzenia nie spełniają wymaganych parametrów technicznych wskazanych w SIWZ, Wykonawca zobowiązany jest niezwłocznie, lecz nie później niż w ciągu 7 dni zapewnić spełnienie tych wymogów i parametrów oraz udowodnić swoje twierdzenia. 9