Formularz Oferty Technicznej

Transkrypt

1 Sygnatura postępowania: DZZK/72/DI/2017 Załącznik nr 11 do siwz... nazwa wykonawcy albo wykonawców ubiegających się wspólnie o udzielenie zamówienia Formularz Oferty Technicznej 1. Parametry i funkcjonalności obligatoryjne systemu NAC Nazwa /model oferowanego urządzenia: Lp. Nazwa parametru 1.1. Wdrażany system ma być dostępny w formie rozwiązania sprzętowego z wyłączeniem oprogramowania instalowanego na stacjach końcowych odbiorców (np. suplikant), elementów niezbędnych do aktualizacji oprogramowania urządzeń oraz elementów aplikacyjnych niezbędnych do integracji systemów; 1.2. Musi istnieć możliwość zapewnienia redundantnego zasilania 230V/50Hz dla każdego elementu sprzętowego; 1.3. Elementy sprzętowe muszą mieć możliwość zostać zamontowane w szafie RACK Wymagane jest zapewnienie wysokiej dostępności systemu przez zastosowanie architektury klastrowej HA (High Availability). Urządzenia będą fizycznie instalowane w rozłącznych ośrodkach przetwarzania danych centrali Banku 1.5. System będzie obsługiwać proces uwierzytelnienia oraz autoryzacji dla odbiorców centrali oraz w terenowych Typ wymagania* Potwierdzenie spełniania wymagania**

2 lokalizacjach zdalnych 1.6. Zamawiający wymaga obsługi procesu autoryzacji dla pełnego wachlarza wersji systemów operacyjnych w edycjach anglo- i polskojęzycznych: Windows: XP, 7, 8, 10; Windows Server 2000, 2003, 2008, 2012, 2016 Mac OS X ios, Android, Windows Mobile 1.7. System musi zapewniać możliwość wykorzystania oprogramowania klienckiego (suplikant) systemu operacyjnego stacji końcowej lub dodatkowo instalowanego oprogramowania dostarczonego przez producenta platformy autoryzacji System musi zapewniać obsługę 3000 jednoczesnych sesji autoryzacyjnych. Jest to maksymalna ilość sesji jednoczesnych ze statystycznym rozłożeniem sesji autoryzacji na okres ok. 30 min (Wzmożony proces autoryzacji przy rozpoczęciu i zakończeniu dnia pracy); 1.9. System musi zapewniać przydzielenie odbiorcy końcowemu dedykowanego VLAN-u zależnie od polityki bezpieczeństwa za pośrednictwem infrastruktury urządzeń sieciowych warstwy II i III oraz systemów autoryzacji Zamawiającego z wykorzystaniem mechanizmów protokołu 802.1X lub SNMP lub Access List systemu zabezpieczeń i urządzeń sieciowych; System musi obsługiwać proces uwierzytelnienia odbiorców i urządzeń dla poniższych przypadków: Urządzenia pracowników Banku podłączone do sieci przewodowej (opcje autoryzacji: domenowa LDAP lub autoryzacja Radius, urządzenie odbiorcy wyposażone w suplikanta systemowego lub zewnętrznego, weryfikacja parametrów stanu systemu operacyjnego: wersja systemu i zainstalowane aktualizacje, AV, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty

3 sieciowej itp., klasyfikacja przydzielonego segmentu sieci uzależniona od przynależności do grupy domenowej); Urządzenia pracowników Banku podłączone do sieci bezprzewodowej (opcje autoryzacji: domenowa LDAP lub autoryzacja Radius, urządzenie odbiorcy wyposażone w suplikanta systemowego lub zewnętrznego, weryfikacja parametrów stanu systemu operacyjnego-av, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty sieciowej itp., klasyfikacja przydzielonego segmentu sieci uzależniona od przynależności do grupy domenowej, Autoryzacja urządzeń sieci WIFI to opcja rozwojowa); Urządzenia firm zewnętrznych podłączone do sieci przewodowej (opcje autoryzacji: domenowa LDAP, Radius, konto lokalne systemu, hasło jednorazowe (jednorazowe zalogowanie), hasło czasowe (możliwość wielokrotnego logowania, przy czym łączna długość nie przekraczająca zdefiniowanego okresu), urządzenie odbiorcy wyposażone w dowolnego suplikanta lub bez suplikanta - web autentykacja, weryfikacja parametrów stanu systemu operacyjnego-av, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty sieciowej itp., przydzielenie dedykowanego segmentu sieci); Urządzenia firm zewnętrznych podłączone do sieci bezprzewodowej (opcje autoryzacji: domenowa LDAP, Radius, konto lokalne systemu, hasło jednorazowe, hasło czasowe, urządzenie odbiorcy wyposażone w dowolnego suplikanta lub bez

4 suplikanta-web autentykacja, weryfikacja parametrów stanu systemu operacyjnego-av, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty sieciowej itp., przydzielenie dedykowanego segmentu sieci, Autoryzacja urządzeń sieci WIFI to opcja rozwojowa); Dostęp zdalny VPN (opcje autoryzacji: domenowa LDAP, Radius, konto lokalne systemu, hasło jednorazowe, hasło czasowe, urządzenie odbiorcy wyposażone w dowolnego suplikanta lub bez suplikanta-web autentykacja, weryfikacja parametrów stanu systemu operacyjnego-av, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty sieciowej itp., przydzielenie dedykowanego w polityce systemy lub uzależnionego od przynależności do grupy domenowej segmentu sieci); System musi zapewniać funkcjonalność Single Sign On (SSO) dla odbiorców domenowych (pracownicy Banku), odbiorców sieci bezprzewodowych i użytkowników dostępu zdalnego VPN System musi zapewniać możliwość wygenerowania i przekazania haseł do użytkowników końcowych systemu przez pracownika spoza działu IT (np. asystent dyrektora ) bez angażowania administratorów systemu; będzie się to odbywać z wykorzystaniem przyjaznego interfejsu graficznego w przeglądarce www System musi zapewniać możliwość jego zarządzaniaoraz dystrybucja polityk z jednej centralnej konsoli zarządzającej (również dla fizycznie rozłącznych urządzeń klastra) System musi zapewniać dostępność konsoli graficznej GUI (/HTTPS) w przeglądarce www oraz konsoli typu CLI (konsola fizyczna oraz SSH); Polityka systemu powinna być tworzona

5 w postaci logicznego drzewa. System musi zapewniać możliwość budowania polityki w oparciu o proste predefiniowane obiekty systemu oraz złożone warunki logiczne definiowane przez administratora. Podstawowe parametry polityki: nazwa użytkownika, przynależność do grupy, adres IP, adres sprzętowy MAC, Windows SID, nazwy NetBIOS, aktualność AV, DLP, stanu OS u System musi zapewniać podejmowanie akcji na stacji końcowej odbiorcy w postaci: wymuszenia aktualizacji systemowych, włączenia i rekonfiguracji firewall a, systemu AV i DLP (systemowego i poza systemowego) W sytuacji kryzysowej działania systemu (awaria, spadek wydajności) powinno być możliwe zastosowanie obejścia dla procesu autoryzacji sieci (obejście podstawowej funkcjonalności systemu) do decyzji administratora. Zastosowanie obejścia skutkowało będzie domyślną autoryzacją odbiorców niezależnie od zasadniczego niepowodzenia procesu. Uruchomienie w/w funkcjonalności musi odbywać się w sposób scentralizowany (pojedynczy element konfiguracji) Filtrowanie ruchu musi być realizowane przez przełączniki LAN użytkowane przez Zamawiającego Musi być zapewniona współpraca z infrastrukturą sieciową warstwy II i III użytkowaną przez zamawiającego przełączniki producentów Cisco (centrala i lokalizacje terenowe) przynajmniej poprzez 802.1x/Radius Musi być zapewniona współpraca z wybranymi przez zamawiającego systemami autoryzacyjnymi Banku (MS Active Directory LDAP, Novell IDM LDAP, Radius itp.) Wybrane stacje pracowników Banku podłączone są za pośrednictwem telefonu VoIP (domyślny model aparatu dla takiej konfiguracji to: Siemens OpenStage 40 HFA, OpenStage15 HFA, OptiPoint 410 Economy HFA, OptiPoint 410 Standard HFA, konsole dealerskie OpenStage Xpert 6010p SIP, telefony konferencyjne Konftel 300 IP, Grandstream GXP1165).

6 1.22. Musi być zapewniona współpraca z systemami monitoringu oraz kolekcji logów z wykorzystaniem protokołów Syslog i SNMP. Logi systemu zawierające skorelowane dane tj.: nazwa odbiorcy, hostname, MAC adres fizyczny, adres IP, zarejestrowane parametry stacji końcowej, przyznany VLAN, stempel czasowy System musi zostać wdrożony poprzez instalację fizyczną, konfigurację i uruchomienie zgodnie z wymogami zamawiającego i przy jego współpracy System kontroli dostępu musi umożliwiać uruchomienie systemu kontroli dostępu do sieci poprzez stronę www tzw. Captive Portal. Captive Portal musi zapewniać: Możliwość logowania do sieci klientów, którzy nie posiadają suplikanta IEEE 802.1x wraz z możliwością zapamiętania tego systemu na wskazany czas tak, aby nie trzeba było za każdym razem ponownie wprowadzać nazwy użytkownika i hasła na stronie www Konieczność akceptacji regulaminu przed wpuszczeniem systemu końcowego do sieci Możliwość rejestracji systemu końcowego z wymaganiem wprowadzenia przez użytkownika wymaganych danych np. imię, nazwisko, numer telefonu, adres i inne pola definiowane przez administratora. Możliwość wpuszczania systemu końcowego do sieci po rejestracji systemu końcowego oraz wymaganej akceptacji dostępu przez tzw. sponsora, który musi zaakceptować dostęp dla zarejestrowanego gościa Rozwiązanie musi umożliwiać budowanie infrastruktury NAC we współpracy z rozwiązaniami sieciowymi dowolnego dostawcy spełniającymi standard 802.1x/EAP.

7 1.26. Wymuszenie polityk dostępu do sieci musi być możliwe w warstwie 2 modelu ISO/OSI z wykorzystaniem standardu 802.1x w celu zapewnienie funkcji NAC w sieci oraz w warstwie 3 modelu ISO/OSI w celu zapewnienia kontroli dostępu Rozwiązanie musi posiadać wbudowany serwer Radius lub Tacacs umożliwiający uwierzytelnienie w warstwie 2 sieci w oparciu o standard 802.1x bez konieczności stosowania rozwiązań trzecich Rozwiązanie musi umożliwiać wykonywanie lokalnych kopi zapasowych konfiguracji lub na zewnętrznym serwerze FTP oraz SCP Rozwiązanie musi przechowywać poprzednie wersje oprogramowania oraz umożliwiać łatwy powrót do wcześniejszych wersji Rozwiązanie musi mieć możliwość przyłączenia do sieci zamawiającego przy użyciu interfejsów przepustowości minimum 1Gbps Możliwość określenia polityki haseł wykorzystywanych do autoryzacji lokalnej umożliwiającej wymuszenie jego odpowiedniej złożoności. * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucana. ** Potwierdzić spełnianie wymagania, poprzez pozostawienia Tak dla wymagań Bezwzględnych lub skreślić niepotrzebne dla wymagań Opcjonalnych. Brak skreślenia dla wymagań Opcjonalnych lub nie wpisanie odpowiednio albo NIE oznacza, iż Oferent nie spełnia danego parametru.

8 2. Parametry i funkcjonalności dodatkowe systemu NAC. Lp. Nazwa parametru 2.1. Integracja z systemem MDM Famoc dla urządzeń mobilnych w celu sprawdzania zgodności urządzenia z polityką bezpieczeństwa dla urządzeń mobilnych (wersja systemu, wersja oprogramowania AV) System kontroli dostępu zapewnia wsparcie dla zarządzania urządzeniami sieciowymi przy użyciu SNMP - rozwiązanie stosowane przez niektórych producentów sprzętu sieciowego Integracja z posiadanym przez Zamawiającego systemem antywirusowym Symantec w zakresie wersji poprawek antywirusowych dystrybuowanych przez Zamawiającego z serwera Symantec Endpoint Protection Manager 2.4. Integracja z posiadanym przez Zamawiającego serwerem Microsoft System Center Configuration Manager w zakresie wymaganych poprawek systemowych na stacjach komputerowych. Typ wymagania* Punktacja Potwierdzenie spełniania wymagania** Opcjonalne 10 /NIE Opcjonalne 5 /NIE Opcjonalne 5 /NIE Opcjonalne 5 /NIE * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucana. Wymaganie Opcjonalne oznacza, że Oferent może ale nie musi zaoferować wyższe parametry. Wyższe parametry będą dodatkowo punktowane na etapie oceny Oferty. ** Potwierdzić spełnianie wymagania, poprzez pozostawienia Tak dla wymagań Bezwzględnych lub skreślić niepotrzebne dla wymagań Opcjonalnych. Brak skreślenia dla wymagań Opcjonalnych lub nie wpisanie odpowiednio albo NIE oznacza, iż Oferent nie spełnia danego parametru. UWAGA: Zamawiający w kryteriach oceny ofert punktować będzie udzielone przez wykonawcę odpowiedzi w zakresie tabeli 2 Parametry i funkcjonalności dodatkowe

9 systemu NAC. Szczegółowe zasady przyznawania punktacji zostały określone w cz. XVI SIWZ. 3. Parametry i funkcjonalności obligatoryjne systemu VPN. Nazwa /model oferowanego urządzenia: Lp. Nazwa parametru 3.1. Wdrażany system ma być dostępny w formie rozwiązania sprzętowego z wyłączeniem oprogramowania instalowanego na stacjach końcowych odbiorców (np. suplikant), elementów niezbędnych do aktualizacji oprogramowania urządzeń oraz elementów aplikacyjnych niezbędnych do integracji systemów; 3.2. Musi istnieć możliwość zapewnienia redundantnego zasilania 230V/50Hz dla każdego elementu sprzętowego; 3.3. Elementy sprzętowe muszą mieć możliwość zamontowania w szafie RACK Wymagane jest zapewnienie wysokiej dostępności systemu przez zastosowanie architektury klastrowej HA (High Availability). Urządzenia będą fizycznie instalowane w rozłącznych ośrodkach przetwarzania danych centrali Banku 3.5. Połączenia VPN dla pracowników Zamawiającego realizowane za pośrednictwem suplikanta systemu NAC (ten sam agent na stacji roboczej) 3.6. Automatyczne wykrycie podłączenia do sieci wewnętrznej 3.7. Poza siecią Zamawiającego suplikant zestawi automatycznie tunel VPN do lokalizacji Zamawiającego oraz wymusi przekierowanie Typ wymagania* Potwierdzenie spełniania wymagania**

10 całości ruchu do tunelu uniemożliwiając pracę w innej sieci Poza siecią Zamawiającego w przypadku braku możliwości zestawienia tunelu zostanie zablokowana możliwość realizacji połączeń sieciowych Możliwość udostępnienia zasobów Zamawiającego z wykorzystaniem funkcjonalności SSL VPN poprzez portal internetowy umożliwiający udostępnienie: Zasobów dyskowych, Wewnętrznych stron intranetowych Poczty wewnętrznej z wykorzystaniem Microsoft OWA Poczty wewnętrznej z wykorzystaniem klienta poczty Microsoft Outlook. Zasobów serwerów z wykorzystaniem protokołu RDP. Zasobów serwerów z wykorzystaniem protokołu SSH System musi zapewniać funkcjonalność Single Sign On (SSO) dla odbiorców domenowych (pracownicy Banku), odbiorców sieci bezprzewodowych i użytkowników dostępu zdalnego VPN Wymagane jest zapewnienie wysokiej dostępności systemu przez zastosowanie architektury klastrowej HA (High Availability). Urządzenia będą fizycznie instalowane w rozłącznych ośrodkach przetwarzania danych centrali Zamawiającego Autoryzacja dostępu zdalnego z wykorzystaniem: domena AD LDAP, Radius, konto lokalne systemu, hasło jednorazowe, hasło czasowe, weryfikacja parametrów stanu systemu operacyjnego,av, DLP, aktualizacje systemowe, występowanie maszyny wirtualnej, podłączenie do więcej niż jednej sieci / jednoczesne uruchomienie więcej niż jednej karty sieciowej itp., przydzielenie dedykowanego w polityce systemu lub uzależnionego od przynależności do grupy domenowej segmentu sieci); Zamawiający wymaga obsługi procesu autoryzacji dla pełnego wachlarza wersji systemów operacyjnych w edycjach anglo- i polskojęzycznych: Windows: XP, 7, 8, 10; Windows Server 2000, 2003, 2008, 2012,

11 2016 Mac OS X Unix/Linux ios, Android, Windows Mobile Możliwość tworzenia poziomów dostępu klientów VPN w oparciu o grupy AD/Radius dla pracowników. Dla klientów nie będących pracownikami w oparciu o wewnętrzną bazę użytkowników Możliwość wykonywania kopii zapasowych konfiguracji rozwiązania Wykonanie badania stacji dla pracowników zamawiającego przed/w trakcie procesu logowania w celu potwierdzenia nawiązania połączenia z zaufanych urządzeń zamawiającego (certyfikat dla stacji/certyfikat użytkownika/wpis w rejestrze itp.) Tworzenie raportów z połączeń VPN, statystyk połączeń dla grup oraz pojedynczych użytkowników Zapewnienie współpracy z systemami monitoringu oraz kolekcji logów z wykorzystaniem protokołów Syslog i SNMP Zapewnienie możliwości analizy problemów z połączeniami, umożliwienie dostępu do logów połączeń i łatwej analizy z poziomu konsoli systemu zarządzania VPN Umożliwienie pracy dla minimum 500 jednoczesnych połączeń Możliwość określenia polityki haseł wykorzystywanych do autoryzacji lokalnej umożliwiającej wymuszenie jego odpowiedniej złożoności. * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucana. ** Potwierdzić spełnianie wymagania, poprzez pozostawienia Tak dla wymagań Bezwzględnych lub skreślić niepotrzebne dla wymagań Opcjonalnych. Brak skreślenia dla wymagań Opcjonalnych lub nie wpisanie odpowiednio albo NIE oznacza, iż Oferent nie spełnia danego parametru.

12 4. Parametry i funkcjonalności dodatkowe systemu VPN. Lp Nazwa parametru Możliwość zdefiniowania różnych paneli logowania dedykowanych dla firm zewnętrznych, urządzeń mobilnych, przedstawicieli itp. Wersjonowanie zapisanych konfiguracji oraz łatwe przywrócenie konfiguracji w wybranej wersji. Typ wymagania* Punktacja Potwierdzenie spełniania wymagania** Opcjonalne 4 /NIE Opcjonalne 1 /NIE * Wymaganie oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucana. Wymaganie Opcjonalne oznacza, że Oferent może ale nie musi zaoferować wyższe parametry. Wyższe parametry będą dodatkowo punktowane na etapie oceny Oferty. ** Potwierdzić spełnianie wymagania, poprzez pozostawienia Tak dla wymagań Bezwzględnych lub skreślić niepotrzebne dla wymagań Opcjonalnych. Brak skreślenia dla wymagań Opcjonalnych lub nie wpisanie odpowiednio albo NIE oznacza, iż Oferent nie spełnia danego parametru. UWAGA: Zamawiający w kryteriach oceny ofert punktować będzie udzielone przez wykonawcę odpowiedzi w zakresie tabeli 4 Parametry i funkcjonalności dodatkowe systemu VPN. Szczegółowe zasady przyznawania punktacji zostały określone w cz. XVI SIWZ. Lp. Nazwisko i imię osoby (osób) uprawnionej(ych) do występowania w obrocie prawnym lub posiadającej (ych) pełnomocnictwo: Podpis(y) osoby(osób) uprawnionej (ych): Miejscowość i data: