Opis przedmiotu zamówienia

Transkrypt

1 Załącznik nr 1 do SIWZ ZP/NID/23/2017 Opis przedmiotu zamówienia 1. Przedmiotem zamówienia jest dostawa akcesoriów komputerowych, wyposażenia, licencji do oprogramowania, dostarczenie instrukcji obsługi oraz udzielenie gwarancji na dostarczony sprzęt (karty gwarancyjne producenta) na potrzeby Narodowego Instytutu Dziedzictwa, w tym: 1) Dla części I zamówienia - Wyposażenie komputerowe wraz z akcesoriami a) UPS 20 szt b) Dysk twardy 3,5 18 szt. c) Switch 8 portowy 10/100/ szt. d) Skrętka UTP kat 5e 2 szt. e) Dysk przenośny 2,5 USB 16szt. 2) Dla części II zamówienia - Oprogramowanie a) Licencja oprogramowania (np. Adobe Photoshop CC, Windows PL lub równoważny) 5 szt. b) Licencja oprogramowania (np. AUTODESK AUTOCAD LT lub równoważny) 3 szt. c) Licencja oprogramowania (np. MICROSOFT WINDOWS SERVER CAL 2012 USER PL lub równoważny) 140 szt. 3) Dla części III zamówienia - Przedłużenie gwarancji i usług aktualizacji, wymiana urządzeń typu zapora sieciowa używanych przez Zamawiającego oraz zakup nowych. a) Licencja oprogramowania (np. FortiGate-100D UTM Bundle (FG100D3G lub równoważny) - 1 szt. b) Urządzenie typu zapora sieciowa/utm z dwuletnim abonamentem 4 szt c) Urządzenie typu zapora sieciowa/utm z rocznym abonamentem 3 szt. 2. Dostarczone urządzenia muszą być fabrycznie nowe, nieużywane, bez wad i uszkodzeń. 3. Oferowany sprzęt musi spełniać parametry techniczne i jakościowe określone w tabelach poniżej (Zamawiający nie dopuszcza osiągnięcia określonych/wymaganych funkcjonalności/portów przy użyciu przejściówek/ adapterów). 4. Rozwiązania równoważne 1) Jeśli w opisach występują: nazwy konkretnego producenta, modelu, typu, konkretny symbol producenta lub produkt bądź nazwy z konkretnego katalogu, należy to traktować jedynie jako pomoc (model wzorcowy) w opisie przedmiotu zamówienia. Zamawiający dopuszcza składanie ofert równoważnych w rozumieniu art. 29 ust. 3 ustawy Pzp. W przypadku zaoferowania rozwiązania równoważnego, zgodnie z art. 30 ust. 5 upzp, na Wykonawcy spoczywa obwiązek wykazania jego równoważności. 2) Przez oprogramowanie równoważne w stosunku do oprogramowania wskazanego w siwz rozumie się takie, które w sposób poprawny współpracuje ze sprzętem posiadanym przez Zamawiającego oraz realizuje wszystkie funkcje i posiada wszystkie cechy określone przez producenta posiadanego przez Zamawiającego sprzętu oraz te opisane w siwz. Zaoferowane oprogramowanie równoważne powinno spełniać wymogi dotyczące jakości, gwarancji i serwisów opisane w opz. 3) Zastosowanie rozwiązania równoważnego nie będzie wymagało żadnych nakładów po stronie Zamawiającego, celem dostosowania do niego aktualnie posiadanej przez Zamawiającego infrastruktury. Wszelkie niezbędne prace adaptacyjne (jeśli wystąpi potrzeba ich wykonania), zostaną zrealizowane przez Wykonawcę. Wykonawca dostarczy dokumentację przeprowadzonych prac adaptacyjnych oraz przeszkoli personel Zamawiającego w zakresie zaawansowanej obsługi oprogramowania. 4) W przypadku, gdy zaoferowane przez Wykonawcę oprogramowanie równoważne nie będzie poprawnie współpracować ze sprzętem eksploatowanym u Zamawiającego lub spowoduje zakłócenia w funkcjonowaniu infrastruktury u Zamawiającego, Wykonawca podejmie na własny koszt wszelkie 1

2 niezbędne działania celem przywrócenia sprawnego działania infrastruktury, w tym dokona ewentualnych niezbędnych modyfikacji po odinstalowaniu oprogramowania. 5) Wykonawca, który zaoferuje rozwiązanie równoważne, zobligowany jest zawrzeć w ofercie opis oprogramowania równoważnego, zawierającego opis jego funkcjonalności oraz zakres i opis warunków świadczenia gwarancji producenta dla oprogramowania równoważnego. Z opisu winno jednoznaczne wynikać, że produkt oferowany jako równoważny spełnia wymagania określone przez Zamawiającego. 5. Oferowany sprzęt musi być objęty gwarancją Wykonawcy lub w określonych przypadkach gwarancją producenta (na warunkach określonych w Opisie Przedmiotu Zamówienia oraz w projekcie umowy stanowiącym załącznik nr 8 do SIWZ) na okres zależny od typu sprzętu, podany w tabelach określających wymagania. W tabelach podano też inne specyficzne dla danego rodzaju sprzętu wymagania gwarancyjne. Okres gwarancji będzie liczony od daty podpisania protokołu odbioru sprzętu. 1) W ramach gwarancji Wykonawca zobowiązany będzie do zapewnienia wykonania naprawy sprzętu w terminach, na warunkach i pod rygorami min. w zakresie kar umownych, określonymi w umowie oraz w niniejszym załączniku. 2) Naprawy będą dokonywane w miejscu użytkowania sprzętu (obszar całej Polski) lub poza nim, jeżeli dokonanie naprawy w miejscu użytkownika sprzętu komputerowego okaże się niemożliwe. 3) Zamawiający nie ponosi kosztów naprawy sprzętu (w szczególności usług, części, sprzętu zastępczego i transportu), w razie wątpliwości wszelkie koszty związane z naprawą obciążają Wykonawcę. 4) Zgłoszenia gwarancyjne będą dokonywane przez Zamawiającego pisemnie, drogą elektroniczną lub faxem. 5) W przypadku niemożliwości dokonania naprawy, Wykonawca dostarczy fabrycznie nowy sprzęt o parametrach takich samych lub wyższych, jak uszkodzony, w terminie 14 dni kalendarzowych od otrzymania zgłoszenia gwarancyjnego. Odbiór nowego sprzętu nastąpi na podstawie protokołu odbioru. 6) Wykonanie naprawy nie spowoduje utraty gwarancji producenta. W przypadku zawinionej przez Wykonawcę utraty gwarancji producenta, wszelkie koszty i obowiązki wynikające z gwarancji przechodzą na Wykonawcę. Wykonawca zobowiązany jest dostarczyć najpóźniej w dniu dostawy danego sprzętu wszelkie dokumenty gwarancyjne. Wszystkie oferowane urządzenia elektryczne muszą być oznaczone znakiem CE (dotyczy wszystkich części zamówienia). CZĘŚĆ I: Wyposażenie komputerowe wraz z akcesoriami Przedmiotem zamówienia jest zakup nowego, nieużywanego sprzętu komputerowego w ilościach, o parametrach technicznych i na warunkach gwarancji określonych w niniejszym przedmiocie zamówienia w tym: Specyfikacja techniczna (wymogi minimalne, o ile w szczegółowych opisach nie ustalono inaczej): a) UPS -20 szt. 1. rodzaj urządzenia Ups: Line-interactive 2. Moc 1200VA (600W) 3. Ilość i rodzaj baterii 2x 12V / 7Ah 4. Gniazda 2 x 230vPL + 2 x IEC 5. Wyposażenie/ Funkcje Zabezpieczenie przed przeładowaniem, rozładowaniem, zwarciem i przegrzaniem, Stabilizacja napięcia AVR, Automatyczny restart po przywróceniu zasilania, Funkcja zimnego startu Ładowanie w trybie wyłączonym, Port komunikacyjny USB 6. Gwarancja 24 miesiące, termin naprawy: 7 dni od zgłoszenia 2

3 b) Dysk twardy 3,5 18 szt. 1. Format szerokości 3,5 cali 2. Pojemność dysku 2 TB 3. Interfejs Serial ATA III 4. Szybkość interfejsu dysku 600 MB/s 5. Prędkość 7200 obr./min obrotowa silnika 6. Pojemność pamięci 128 MB podręcznej 7. Przeznaczenie Serwer 8. Nominalny czas pracy (godz) h 9. Gwarancja 60 miesięcy, termin naprawy: 7 dni od zgłoszenia c) Switch 8 portowy 15 szt. 1. Porty 8 portów 10/100/1000 RJ-45 z automatycznym wykrywaniem szybkości (10BASE-T typu IEEE 802.3, 100BASE-TX typu IEEE 802.3u, 1000BASE-T typu IEEE 802.3ab)<br>Dupleks: 10BASE-T/100BASE-TX: pełny dupleks lub półdupleks 1000BASE-T: tylko pełny dupleks 2. Pamięć i procesor 128 MB RAM, pojemność bufora pakietów: 512 kb, 8 MB pamięci flash 3. Opóźnienie Opóźnienie 100 Mb: < 3,3 µs (64-bajtowe pakiety) Opóźnienie 1000 Mb: < 2,3 µs (64-bajtowe pakiety) 4. Przepustowość maks. 11,8 mln p/s 5. Pojemność 16 Gb/s przełączania 6. Funkcje Przeglądarka internetowa zarządzania 7. Gwarancja producenta min 60 miesięcy d) Skrętka UTP kat 5e 2 szt. 1. Zastosowanie Kabel sieciowy do sieci LAN 2. Długość 305m 3. Kategoria CAT 5e 4. Rodzaj UTP (4x2, kat. 5e, drut) 5. Gwarancja 24 miesiące, termin naprawy: 7 dni od zgłoszenia e) Dysk przenośny 2,5 USB -16 szt. 1. Pojemność 2TB 2. Interfejs USB waga max 170g 4. Wysokość max 120mm 5. Szerokość max 80mm 6. Głębokość Max 15mm 3

4 7. Gwarancja 24 miesiące, termin naprawy: 7 dni od zgłoszenia CZĘŚĆ II : OPROGRAMOWANIE Przedmiotem zamówienia jest zakup nowego, nieużywanego oprogramowania w ilościach, o parametrach technicznych i na warunkach gwarancji określonych w niniejszym przedmiocie zamówienia, w tym: Specyfikacja techniczna (wymogi minimalne): a) Licencja oprogramowania (np. Adobe Photoshop CC, Windows PL lub równoważny) 5 szt. 1. Opis pełnej wersji Program do edycji zdjęć, przeznaczony pod systemy operacyjne Windows (posiadane przez zamawiającego)za pomocą którego można obrabiać obrazy HDR, płynnie obracać obszarem roboczym, wprowadzać efekty malowania, automatycznie korygować obraz. Oferowana wersja musi co najmniej umożliwiać: automatyczne zapisywanie w tle, automatyczne odzyskiwanie oraz posiadać galerie rozmyć i redukcje potrząśnięć aparatem fotograficznym,posiadać funkcję: przesuwania i rozszerzania z uwzględnieniem zawartości, funkcją skalowania i obracania, wypaczania perspektywy, maski ostrości. Program z możliwością stosowania: wielu instancji styków warstw, konwersji na obrazy czarno-białe, posiadać narzędzia korygujące, wyostrzania oraz próbkowania Program musi umożliwiać pracę z plikami graficznymi praktycznie dowolnych typów - między innymi PDF, EPS, FXG, Photoshop (PSD), TIFF, GIF, JPEG, SWF, SVG, DWG i DXF. Musi umożliwiać płynną obróbkę plików SVG. Licencja na min. 12 miesięcy uprawniająca Zamawiającego do korzystania z wyżej wymienionego oprogramowania. b) Licencja oprogramowania (np. AUTODESK AUTOCAD LT lub równoważny) 3 szt. 1. Opis pełnej wersji Program do projektowania i profesjonalnego kreślenia zawierający narzędzia do rysowania i detalowania 2D posiadający właściwości: Możliwość wymiarowania w tym inteligentnego wymiarowania i opisywania. Tworzenie i edytowanie dokładnych rysunków 2D w oryginalnym formacie plików DWG zapewnia stabilność i kompatybilność podczas komunikacji z klientami i współpracownikami. Program musi ułatwiać zadania dzięki intuicyjnemu interfejsowi oraz podręcznym narzędziom wbudowanym funkcjom. Umożliwia dostosowanie programu do indywidualnego sposobu pracy. Wbudowane zaawansowane narzędzia do tworzenia dokumentacji musza przekazywać rzeczywiste wymiary i szczegóły techniczne, które odzwierciedlają specyfikę danego projektu. Program musi mieć wbudowane standardowe kształty takie jak linie, wielokąty, luki, okręgi i elipsy, aby tworzyć proste lub złożone rysunki 2D. Program umożliwia modyfikowanie obiektów. Program zmienia istniejące geometrie za pomocą takich poleceń jak rozciągnij, skala i obróć. Musi mieć wbudowane polecenia tworzenia nowych obiektów, kopiowania, odsunięcia i lustra. Program musi umożliwiać opisywanie rysunków oraz ich uzupełnianie np. opisami tekstowymi, wymiarowaniami, kreskowaniami i współpracę z rodziną programów Autdesk. Program Musi umożliwiać pracę z plikami w formacie *.DWG. Musi posiadać obsługę dynamicznych bloków, ukrywanie i izolowanie wybranych obiektów, obsługa przeźroczystości warstw, możliwość łączenia rysunków z plikami zewnętrznymi (np. jpg, pdf), czy automatyczne autouzupełnianie poleceń. Program musi umożliwiać publikowanie i drukowanie. Program musi umożliwiać tworzenie wieloarkuszowych plików DWF, DWFx i PDF. Licencja na min. 12 miesięcy uprawniająca Zamawiającego do korzystania z wyżej wymienionego oprogramowania. 4

5 c) Licencja oprogramowania (np. MICROSOFT WINDOWS SERVER CAL 2012 polish USER lub równoważne) 140 szt. 1. Opis Windows Server Standard 2012 CAL User PL licencja na dodatkowych użytkowników pracujących pod kontrolą serwera z rodziny MS Windows Server 2012 posiadanego przez Zamawiającego (NID). Zwiększenie obecnie posiadanych licencji o 140 szt. CZĘŚĆ III : Przedłużenie gwarancji, usług aktualizacji, wymiana urządzeń typu zapora sieciowa używanych przez Zamawiającego oraz zakup nowych urządzeń typu UTM 1. Przedmiotem zamówienia jest: a) przedłużenie pakietu licencji obejmującego: Gwarancję, wsparcie techniczne, możliwość aktualizacji oprogramowania dla urządzeń typu UTM, analizujących ruch sieciowy, monitorujących ruch www i zabezpieczających serwery poczty elektronicznej używanych przez Zamawiającego oraz subskrypcję bezpieczeństwa w zakresie antywirus, antyspam, IPS web filter dla urządzeń typu UTM. b) Wymiana urządzeń typu UTM posiadanych przez Zamawiającego (fortigate-40c) wraz z dwuletnim abonamentem c) Zakup nowych urządzeń typu UTM wraz z rocznym abonamentem a) Licencja oprogramowania, np. FortiGate-100D UTM Bundle (FG100D3G ) lub równoważne - 1 szt. 1. Nr. artykułu FortiGate-100D UTM Bundle (FG100D3G ) odnowienie gwarancji oraz licencji na rok 2. Opis Przedmiotem zamówienia jest zakup (odnowienie gwarancji oraz licencji na rok): ` rocznego pakietu odnowienia subskrypcji dla urządzenia FortiGate 100D obejmujących: aktualizację oprogramowania systemowego i oprogramowania dla modułów: antywirusowego, wykrywania i blokowania włamań (IPS), antyspamowego, filtracji stron wraz z dostępem do stron producenta, usługę zwrotu i wymiany urządzenia oraz usługę wsparcia telefonicznego lub online świadczoną w trybie 24x7 Do urządzenia: FortiGate 100D o numerze seryjnym: FG100D3G posiadanego przez Zamawiającego, które zostało zakupione w celu zwiększenia bezpieczeństwa sieci komputerowej NID. Aktualizacja oprogramowania nie może spowodować pogorszenia parametrów urządzenia względem specyfikacji określonej dla tego urządzenia przez jego producenta ani ograniczenia jego funkcjonalności. Usługi serwisowe obejmujące pomoc techniczną oraz wymianę urządzeń. b) Urządzenie typu zapora sieciowa/utm z dwuletnim abonamentem 4 szt. Wymagania Ogólne W chwili obecnej Zamawiający posiada system bezpieczeństwa oparty na urządzeniach fortigate 40c które planuje wymienić. W związku z powyższym dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje sieciowe 5

6 i bezpieczeństwa niezależnie od dostawcy łącza. Dopuszcza się aby poszczególne elementy wchodzące w skład systemu bezpieczeństwa były zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub komercyjnych aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji programowej dostawca musi zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. System realizujący funkcję Firewall musi dawać możliwość pracy w jednym z trzech trybów: Routera z funkcją NAT, transparentnym oraz monitorowania na porcie SPAN. System musi wspierać IPv4 oraz IPv6 w zakresie: Firewall. Ochrony w warstwie aplikacji. Protokołów routingu dynamicznego. Redundancja, monitoring i wykrywanie awarii 1. W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS musi istnieć możliwość łączenia w klaster Active-Active lub Active-Passive. W obu trybach powinna istnieć funkcja synchronizacji sesji firewall. 2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 3. Monitoring stanu realizowanych połączeń VPN. Interfejsy, Dyski: 1. System realizujący funkcję Firewall musi dysponować minimum 5 portami Gigabit Ethernet RJ System Firewall musi posiadać wbudowany port konsoli szeregowej oraz gniazdo USB umożliwiające podłączenie modemu 3G/4G oraz instalacji oprogramowania z klucza USB. Parametry wydajnościowe: 1. W zakresie Firewall a obsługa nie mniej niż 800 tys. jednoczesnych połączeń oraz 10 tys. nowych połączeń na sekundę. 2. Przepustowość Stateful Firewall: nie mniej niż 800 Mbps dla pakietów 512 B. 3. Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 280 Mbps. 4. Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu AES256 SHA1: nie mniej niż 60 Mbps. 5. Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) dla ruchu HTTP - minimum 600 Mbps. 6. Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 140 Mbps. 7. Wydajność systemu w zakresie inspekcji komunikacji szyfrowanej SSL (TLS v1.2 z algorytmem AES256-SHA1) dla ruchu http minimum 160 Mbps. Funkcje Systemu Bezpieczeństwa: W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie poniższe funkcje. Mogą one być zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub programowych: 1. Kontrola dostępu - zapora ogniowa klasy Stateful Inspection. 2. Kontrola Aplikacji. 3. Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN. 4. Ochrona przed malware co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS. 6

7 5. Ochrona przed atakami - Intrusion Prevention System. 6. Kontrola stron WWW. 7. Kontrola zawartości poczty Antyspam dla protokołów SMTP, POP3, IMAP. 8. Zarządzanie pasmem (QoS, Traffic shaping). 9. Analiza ruchu szyfrowanego protokołem SSL. 10. Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP). 11. Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach postępowania powinny zostać dostarczone co najmniej 2 tokeny sprzętowe lub programowe, które będą zastosowane do dwu-składnikowego uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site. Polityki, Firewall 1. Polityka Firewall musi uwzględniać adresy IP, użytkowników, protokoły, usługi sieciowe, aplikacje lub zbiory aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń. 2. System musi zapewniać translację adresów NAT: źródłowego i docelowego, translację PAT oraz: Translację jeden do jeden oraz jeden do wielu 3. W ramach systemu musi istnieć możliwość tworzenia wydzielonych stref bezpieczeństwa np. DMZ, LAN, WAN. Połączenia VPN 1. System musi umożliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej funkcji musi zapewniać: Wsparcie dla IKE v1 oraz v2. Obsługa szyfrowania protokołem AES z kluczem 128 i 256 bitów w trybie pracy Galois/Counter Mode(GCM) Obsługa protokołu Diffiego-Hellman grup 19 i 20 Wsparcie dla Pracy w topologii Hub and Spoke oraz Mesh, w tym wsparcie dla dynamicznego zestawiania tuneli pomiędzy SPOKE w topologii HUB and SPOKE. Tworzenie połączeń typu Site-to-site oraz Client-to-Site. Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np. OSPF) oraz routingu statycznego. Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Mechanizm Split tunneling dla połączeń Client-to-Site 2. System musi umożliwiać konfigurację połączeń typu SSL VPN. W zakresie tej funkcji musi zapewniać: Pracę w trybie Portal - gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną działającą w oparciu o HTML 5.0. Pracę w trybie Tunnel z możliwością włączenia funkcji Split tunneling przy zastosowaniu dedykowanego klienta. 3. Dla modułów: IPSec VPN oraz SSL VPN producent musi dostarczać klienta VPN współpracującego z oferowanym rozwiązaniem. Klient VPN musi umożliwiać weryfikację stanu bezpieczeństwa stacji zdalnej. 4. Rozwiązanie powinno zapewniać funkcjonalność VTEP (VXLAN Tunnel End Point) Routing i obsługa łączy WAN 7

8 1. W zakresie routingu rozwiązanie powinno zapewniać obsługę: Routingu statycznego Policy Based Routingu Protokołów dynamicznego routingu w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. 2. System musi umożliwiać obsługę kilku (co najmniej dwóch) łączy WAN z mechanizmami statycznego lub dynamicznego podziału obciążenia oraz monitorowaniem stanu połączeń WAN. Zarządzanie pasmem 1. System Firewall musi umożliwiać zarządzanie pasmem poprzez określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu ruchu. 2. Musi istnieć możliwość określania pasma dla poszczególnych aplikacji. 3. System musi zapewniać możliwość zarządzania pasmem dla wybranych kategorii URL. Kontrola Antywirusowa 1. Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021). 2. System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR. 3. Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. Ochrona przed atakami 1. Ochrona IPS powinna opierać się co najmniej na analizie sygnaturowej oraz na analizie anomalii w protokołach sieciowych. 2. Baza sygnatur ataków powinna zawierać minimum 5000 wpisów i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora. 3. Administrator systemu musi mieć możliwość definiowania własnych wyjątków oraz własnych sygnatur. 4. System musi zapewniać wykrywanie anomalii protokołów i ruchu sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS. 5. Mechanizmy ochrony dla aplikacji Web owych na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity, Roboty) oraz możliwość kontrolowania długości nagłówka, ilości parametrów URL, Cookies. Kontrola aplikacji 1. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP. 2. Baza Kontroli Aplikacji powinna zawierać minimum 2500 sygnatur i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora. 3. Aplikacje chmurowe (co najmniej: Facebook, Google Docs, Dropbox) powinny być kontrolowane pod względem wykonywanych czynności, np.: pobieranie, wysyłanie plików. 4. Baza powinna zawierać kategorie aplikacji szczególnie istotne z punktu widzenia bezpieczeństwa: proxy, P2P, Botnet. 5. Administrator systemu musi mieć możliwość definiowania wyjątków oraz własnych sygnatur. Kontrola WWW 1. Moduł kontroli WWW musi korzystać z bazy zawierającej co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. 2. W ramach filtra www powinny być dostępne kategorie istotne z punktu widzenia bezpieczeństwa, jak: malware, phishing, spam, Dynamic DNS, proxy avoidance. 8

9 3. Filtr WWW musi dostarczać kategorii stron zabronionych prawem: Hazard. 4. Administrator musi mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków białe/czarne listy dla adresów URL. 5. System musi umożliwiać zdefiniowanie czasu, który użytkownicy sieci mogą spędzać na stronach o określonej kategorii. Musi istnieć również możliwość określenia maksymalnej ilości danych, które użytkownik może pobrać ze stron o określonej kategorii. 6. Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł filtrowania. Uwierzytelnianie użytkowników w ramach sesji 1. System Firewall musi umożliwiać weryfikację tożsamości użytkowników za pomocą: Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu. Haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP. Haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych. 2. Musi istnieć możliwość zastosowania w tym procesie uwierzytelniania dwu-składnikowego. 3. Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On przy integracji ze środowiskiem Active Directory oraz zastosowanie innych mechanizmów: RADIUS lub API. Zarządzanie 1. Elementy systemu bezpieczeństwa muszą mieć możliwość zarządzania lokalnego z wykorzystaniem protokołów: HTTPS oraz SSH, jak i powinny mieć możliwość współpracy z dedykowanymi platformami centralnego zarządzania i monitorowania. 2. Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. 3. Powinna istnieć możliwość włączenia mechanizmów uwierzytelniania dwu-składnikowego dla dostępu administracyjnego. 4. System musi współpracować z rozwiązaniami monitorowania poprzez protokoły SNMP w wersjach 2c, 3 oraz umożliwiać przekazywanie statystyk ruchu za pomocą protokołów netflow lub sflow. 5. System musi mieć możliwość zarządzania przez systemy firm trzecich poprzez API, do którego producent udostępnia dokumentację. 6. System musi mieć wbudowane narzędzia diagnostyczne, przynajmniej: ping, traceroute, zbieranie pakietów, monitorowanie procesowania sesji oraz stanu sesji firewall. Logowanie: 1. System musi mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub w ramach postępowania musi zostać dostarczony komercyjny system logowania i raportowania w postaci odpowiednio zabezpieczonej, komercyjnej platformy sprzętowej lub programowej. 2. W ramach logowania system musi zapewniać przekazywanie danych o zaakceptowanym ruchu, ruchu blokowanym, aktywności administratorów, zużyciu zasobów oraz stanie pracy systemu. Musi być zapewniona możliwość jednoczesnego wysyłania logów do wielu serwerów logowania. 3. Logowanie musi obejmować zdarzenia dotyczące wszystkich modułów sieciowych i bezpieczeństwa oferowanego systemu. 4. Musi istnieć możliwość logowania do serwera SYSLOG. Certyfikaty Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: ICSA lub EAL4 dla funkcji Firewall 9

10 ICSA lub NSS Labs dla funkcji IPS ICSA dla funkcji: SSL VPN, IPSec VPN Serwisy i licencje W ramach zamówienia powinny zostać dostarczone licencje upoważniające do korzystania z aktualnych baz funkcji ochronnych producenta i serwisów. Powinny one obejmować: a) Kontrola Aplikacji, IPS, Antywirus, Antyspam, Web Filtering na okres 24 miesięcy Gwarancja oraz wsparcie 1. Gwarancja: System musi być objęty serwisem gwarancyjnym producenta przez okres 24 miesięcy, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W ramach tego serwisu producent musi zapewniać również dostęp do aktualizacji oprogramowania oraz wsparcie techniczne w trybie 8x5. Gwarancja/AHB/SOS: 1. System musi być objęty rozszerzonym wsparciem technicznym gwarantującym udostępnienie oraz dostarczenie sprzętu zastępczego na czas naprawy sprzętu w Następnym Dniu Roboczym /w ciągu 8 godzin/ od momentu potwierdzenia zasadności zgłoszenia, realizowanym przez producenta rozwiązania lub autoryzowanego dystrybutora przez okres 24 miesięcy. Dla zapewnienia wysokiego poziomu usług podmiot serwisujący musi posiadać certyfikat ISO 9001 w zakresie świadczenia usług serwisowych lub równoważny. Zgłoszenia serwisowe będą przyjmowane w języku polskim w trybie 8x5 przez dedykowany serwisowy moduł internetowy oraz infolinię w języku polskim 8x5. c) Urządzenie typu zapora sieciowa/utm z rocznym abonamentem 3 szt. Wymagania Ogólne Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje sieciowe i bezpieczeństwa niezależnie od dostawcy łącza. Dopuszcza się aby poszczególne elementy wchodzące w skład systemu bezpieczeństwa były zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub komercyjnych aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji programowej dostawca musi zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. System realizujący funkcję Firewall musi dawać możliwość pracy w jednym z trzech trybów: Routera z funkcją NAT, transparentnym oraz monitorowania na porcie SPAN. System musi wspierać IPv4 oraz IPv6 w zakresie: Firewall. Ochrony w warstwie aplikacji. Protokołów routingu dynamicznego. Redundancja, monitoring i wykrywanie awarii 1. W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS musi istnieć możliwość łączenia w klaster Active-Active lub Active-Passive. W obu trybach powinna istnieć funkcja synchronizacji sesji firewall. 2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 3. Monitoring stanu realizowanych połączeń VPN. Interfejsy, Dyski: 10

11 1. System realizujący funkcję Firewall musi dysponować minimum 5 portami Gigabit Ethernet RJ System Firewall musi posiadać wbudowany port konsoli szeregowej oraz gniazdo USB umożliwiające podłączenie modemu 3G/4G oraz instalacji oprogramowania z klucza USB. Parametry wydajnościowe: 1. W zakresie Firewall a obsługa nie mniej niż 800 tys. jednoczesnych połączeń oraz 10 tys. nowych połączeń na sekundę. 2. Przepustowość Stateful Firewall: nie mniej niż 800 Mbps dla pakietów 512 B. 3. Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 280 Mbps. 4. Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu AES256 SHA1: nie mniej niż 60 Mbps. 5. Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) dla ruchu HTTP - minimum 600 Mbps. 6. Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 140 Mbps. 7. Wydajność systemu w zakresie inspekcji komunikacji szyfrowanej SSL (TLS v1.2 z algorytmem AES256-SHA1) dla ruchu http minimum 160 Mbps. Funkcje Systemu Bezpieczeństwa: W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie poniższe funkcje. Mogą one być zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub programowych: 1. Kontrola dostępu - zapora ogniowa klasy Stateful Inspection. 2. Kontrola Aplikacji. 3. Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN. 4. Ochrona przed malware co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS. 5. Ochrona przed atakami - Intrusion Prevention System. 6. Kontrola stron WWW. 7. Kontrola zawartości poczty Antyspam dla protokołów SMTP, POP3, IMAP. 8. Zarządzanie pasmem (QoS, Traffic shaping). 9. Analiza ruchu szyfrowanego protokołem SSL. 10. Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP). 11. Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach postępowania powinny zostać dostarczone co najmniej 2 tokeny sprzętowe lub programowe, które będą zastosowane do dwu-składnikowego uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site. Polityki, Firewall 1. Polityka Firewall musi uwzględniać adresy IP, użytkowników, protokoły, usługi sieciowe, aplikacje lub zbiory aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń. 2. System musi zapewniać translację adresów NAT: źródłowego i docelowego, translację PAT oraz: Translację jeden do jeden oraz jeden do wielu 3. W ramach systemu musi istnieć możliwość tworzenia wydzielonych stref bezpieczeństwa np. DMZ, LAN, WAN. Połączenia VPN 11

12 1. System musi umożliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej funkcji musi zapewniać: Wsparcie dla IKE v1 oraz v2. Obsługa szyfrowania protokołem AES z kluczem 128 i 256 bitów w trybie pracy Galois/Counter Mode(GCM) Obsługa protokołu Diffiego-Hellman grup 19 i 20 Wsparcie dla Pracy w topologii Hub and Spoke oraz Mesh, w tym wsparcie dla dynamicznego zestawiania tuneli pomiędzy SPOKE w topologii HUB and SPOKE. Tworzenie połączeń typu Site-to-site oraz Client-to-Site. Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np. OSPF) oraz routingu statycznego. Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Mechanizm Split tunneling dla połączeń Client-to-Site 2. System musi umożliwiać konfigurację połączeń typu SSL VPN. W zakresie tej funkcji musi zapewniać: Pracę w trybie Portal - gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną działającą w oparciu o HTML 5.0. Pracę w trybie Tunnel z możliwością włączenia funkcji Split tunneling przy zastosowaniu dedykowanego klienta. 3. Dla modułów: IPSec VPN oraz SSL VPN producent musi dostarczać klienta VPN współpracującego z oferowanym rozwiązaniem. Klient VPN musi umożliwiać weryfikację stanu bezpieczeństwa stacji zdalnej. 4. Rozwiązanie powinno zapewniać funkcjonalność VTEP (VXLAN Tunnel End Point) Routing i obsługa łączy WAN 1. W zakresie routingu rozwiązanie powinno zapewniać obsługę: Routingu statycznego Policy Based Routingu Protokołów dynamicznego routingu w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. 2. System musi umożliwiać obsługę kilku (co najmniej dwóch) łączy WAN z mechanizmami statycznego lub dynamicznego podziału obciążenia oraz monitorowaniem stanu połączeń WAN. Zarządzanie pasmem 1. System Firewall musi umożliwiać zarządzanie pasmem poprzez określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu ruchu. 2. Musi istnieć możliwość określania pasma dla poszczególnych aplikacji. 3. System musi zapewniać możliwość zarządzania pasmem dla wybranych kategorii URL. Kontrola Antywirusowa 1. Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021). 2. System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR. 12

13 3. Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. Ochrona przed atakami 1. Ochrona IPS powinna opierać się co najmniej na analizie sygnaturowej oraz na analizie anomalii w protokołach sieciowych. 2. Baza sygnatur ataków powinna zawierać minimum 5000 wpisów i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora. 3. Administrator systemu musi mieć możliwość definiowania własnych wyjątków oraz własnych sygnatur. 4. System musi zapewniać wykrywanie anomalii protokołów i ruchu sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS. 5. Mechanizmy ochrony dla aplikacji Web owych na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity, Roboty) oraz możliwość kontrolowania długości nagłówka, ilości parametrów URL, Cookies. Kontrola aplikacji 1. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP. 2. Baza Kontroli Aplikacji powinna zawierać minimum 2500 sygnatur i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora. 3. Aplikacje chmurowe (co najmniej: Facebook, Google Docs, Dropbox) powinny być kontrolowane pod względem wykonywanych czynności, np.: pobieranie, wysyłanie plików. 4. Baza powinna zawierać kategorie aplikacji szczególnie istotne z punktu widzenia bezpieczeństwa: proxy, P2P, Botnet. 5. Administrator systemu musi mieć możliwość definiowania wyjątków oraz własnych sygnatur. Kontrola WWW 1. Moduł kontroli WWW musi korzystać z bazy zawierającej co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. 2. W ramach filtra www powinny być dostępne kategorie istotne z punktu widzenia bezpieczeństwa, jak: malware, phishing, spam, Dynamic DNS, proxy avoidance. 3. Filtr WWW musi dostarczać kategorii stron zabronionych prawem: Hazard. 4. Administrator musi mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków białe/czarne listy dla adresów URL. 5. System musi umożliwiać zdefiniowanie czasu, który użytkownicy sieci mogą spędzać na stronach o określonej kategorii. Musi istnieć również możliwość określenia maksymalnej ilości danych, które użytkownik może pobrać ze stron o określonej kategorii. 6. Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł filtrowania. Uwierzytelnianie użytkowników w ramach sesji 1. System Firewall musi umożliwiać weryfikację tożsamości użytkowników za pomocą: Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu. Haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP. Haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych. 2. Musi istnieć możliwość zastosowania w tym procesie uwierzytelniania dwu-składnikowego. 13

14 3. Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On przy integracji ze środowiskiem Active Directory oraz zastosowanie innych mechanizmów: RADIUS lub API. Zarządzanie 1. Elementy systemu bezpieczeństwa muszą mieć możliwość zarządzania lokalnego z wykorzystaniem protokołów: HTTPS oraz SSH, jak i powinny mieć możliwość współpracy z dedykowanymi platformami centralnego zarządzania i monitorowania. 2. Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. 3. Powinna istnieć możliwość włączenia mechanizmów uwierzytelniania dwu-składnikowego dla dostępu administracyjnego. 4. System musi współpracować z rozwiązaniami monitorowania poprzez protokoły SNMP w wersjach 2c, 3 oraz umożliwiać przekazywanie statystyk ruchu za pomocą protokołów netflow lub sflow. 5. System musi mieć możliwość zarządzania przez systemy firm trzecich poprzez API, do którego producent udostępnia dokumentację. 6. System musi mieć wbudowane narzędzia diagnostyczne, przynajmniej: ping, traceroute, zbieranie pakietów, monitorowanie procesowania sesji oraz stanu sesji firewall. Logowanie: 1. System musi mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub w ramach postępowania musi zostać dostarczony komercyjny system logowania i raportowania w postaci odpowiednio zabezpieczonej, komercyjnej platformy sprzętowej lub programowej. 2. W ramach logowania system musi zapewniać przekazywanie danych o zaakceptowanym ruchu, ruchu blokowanym, aktywności administratorów, zużyciu zasobów oraz stanie pracy systemu. Musi być zapewniona możliwość jednoczesnego wysyłania logów do wielu serwerów logowania. 3. Logowanie musi obejmować zdarzenia dotyczące wszystkich modułów sieciowych i bezpieczeństwa oferowanego systemu. 4. Musi istnieć możliwość logowania do serwera SYSLOG. Certyfikaty Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: ICSA lub EAL4 dla funkcji Firewall ICSA lub NSS Labs dla funkcji IPS ICSA dla funkcji: SSL VPN, IPSec VPN Serwisy i licencje W ramach zamówienia powinny zostać dostarczone licencje upoważniające do korzystania z aktualnych baz funkcji ochronnych producenta i serwisów. Powinny one obejmować: b) Kontrola Aplikacji, IPS, Antywirus, Antyspam, Web Filtering na okres 24 miesięcy Gwarancja oraz wsparcie 1. Gwarancja: System musi być objęty serwisem gwarancyjnym producenta przez okres 12 miesięcy, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W ramach tego serwisu producent musi zapewniać również dostęp do aktualizacji oprogramowania oraz wsparcie techniczne w trybie 8x5. Gwarancja/AHB/SOS: 14

15 1. System musi być objęty rozszerzonym wsparciem technicznym gwarantującym udostępnienie oraz dostarczenie sprzętu zastępczego na czas naprawy sprzętu w Następnym Dniu Roboczym /w ciągu 8 godzin/ od momentu potwierdzenia zasadności zgłoszenia, realizowanym przez producenta rozwiązania lub autoryzowanego dystrybutora przez okres 12 miesięcy. Dla zapewnienia wysokiego poziomu usług podmiot serwisujący musi posiadać certyfikat ISO 9001 w zakresie świadczenia usług serwisowych lub równoważny. Zgłoszenia serwisowe będą przyjmowane w języku polskim w trybie 8x5 przez dedykowany serwisowy moduł internetowy oraz infolinię w języku polskim 8x5. 15