Szczegółowy Opis Przedmiotu Zamówienia

Transkrypt

1 Szczegółowy Opis Przedmiotu Zamówienia Dostawa systemu ochrony styku z sieci typu Next Generation Firewall (NGF) oraz przełączników szkieletowych 1. Wymagania ogólne: Przedmiotem zamówienia jest dostawa: systemu dla ochrony styku z siecią Internet typu New Generation Firewall (NGF), stosu przełączników szkieletowych Ethernet. Zamówienie publiczne obejmuje dostawę, instalację i uruchomienie obu systemów, udzielenie gwarancji i zapewnienie serwisu gwarancyjnego, przeprowadzenie szkoleń oraz udzielenie wsparcia technicznego obejmującego wsparcie wdrożeniowe i wsparcie powdrożeniowe, a także udzielenie (dostarczenie) niezbędnych licencji. 2. Wymagania na system ochrony styku z sieci typu Next Generation Firewall (NGF): System zabezpieczeń NGF musi być dostarczony jako dedykowane urządzenie zabezpieczeń sieciowych (appliance) w postaci klastra wysokiej dostępności (HA - High Availability) złożonego z dwóch identycznych urządzeń pracujących w trybie Active-Passive, z możliwością przełączenia na tryb Active-Active. W architekturze sprzętowej systemu musi występować separacja modułu zarządzania (control-plane) i modułu przetwarzania danych (data-plane). Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. 2.1 Wymagania szczegółowe dotyczące systemu zabezpieczeń NGF: a) brak ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej, b) przepływność w ruchu full-duplex nie mniej niż 2 Gbit/s dla kontroli firewall z włączoną funkcją kontroli aplikacji, nie mniej niż 1 Gbit/s dla kontroli zawartości (w tym kontrola anty-wirus, anty-spyware, IPS i web filtering) i obsługiwać nie mniej niż jednoczesnych połączeń, c) co najmniej 12 portów Ethernet 10/100/1000, możliwość zamontowania w urządzeniu minimum 8 interfejsów optycznych SFP, d) działanie w trybie rutera (tzn. w warstwie 3 modelu OSI), w trybie przełącznika (tzn. w warstwie 2 modelu OSI), w trybie transparentnym oraz w trybie pasywnego nasłuchu (sniffer). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych jak również nie może wprowadzać segmentacji sieci na odrębne domeny kolizyjne w sensie Ethernet/CSMA. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów inspekcyjnych. Możliwość pracy w różnych trybach jednocześnie, w pojedynczej logicznej instancji systemu zabezpieczeń (np. wirtualny system, wirtualna domena, itp.), możliwość pracy w trybie transparentnym L1 (bez konieczności nadawania adresu IP) oraz pozwalać na tworzenie transparentnych subinterfejsów, które będą obsługiwały ruch z wybranych vlanów lub podsieci IP, e) obsługa protokołu Ethernet z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3; urządzenie musi obsługiwać nie mniej niż 4000 znaczników VLAN, f) obsługa nie mniej niż 10 wirtualnych routerów posiadających odrębne tabele routingu i umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń. Urządzenie musi obsługiwać protokoły routingu dynamicznego, co najmniej: BGP, RIP i OSPF, g) zgodna z ustaloną polityką kontrola ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji. h) Możliwość uwzględniania w polityce zabezpieczeń firewall stref bezpieczeństwa, adresów IP klientów i serwerów, protokołów i usług sieciowych, aplikacji, użytkowników aplikacji, reakcji zabezpieczeń, rejestrowania zdarzeń i alarmowania oraz zarządzania pasmem sieci (co najmniej: priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ), Strona 1 z 8

2 i) możliwość działania zgodnego z zasadą The Principle of Least Privilege, tzn. system zabezpieczeń blokuje wszystkie aplikacje, poza tymi które w regułach polityki bezpieczeństwa firewall są wskazane jako dozwolone, j) automatyczne identyfikowanie aplikacji bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich dostępnych portach. Wydajność kontroli firewall i kontroli aplikacji musi być taka sama i wynosić w ruchu full-duplex nie mniej niż 4 Gbit/s. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall (tzn. reguła firewall musi posiadać oddzielne pole gdzie definiowane są aplikacje i oddzielne pole gdzie definiowane są protokoły sieciowe, nie jest dopuszczalne definiowane aplikacji przez dodatkowe profile). Nie jest dopuszczalne: blokownie aplikacji (P2P, IM, itp.) odbywało się poprzez inne mechanizmy ochrony niż firewall; kontrola aplikacji w modułach innych jak firewall (np. w IPS lub innym module UTM); kontrola aplikacji wykorzystująca moduł IPS, sygnatury IPS lub dekodery protokołu IPS. k) wykrywanie aplikacji takich jak Skype, Tor, BitTorrent, emule, UltraSurf, wraz z aplikacjami tunelującymi się w HTTP lub HTTPS. 2.2 System zabezpieczeń NGF musi zapewniać możliwość: a) ręcznego tworzenia sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta, b) definiowania i przydzielania różnych profili ochrony (AV, IPS, AS, URL, blokowanie plików) per aplikacja. Musi istnieć możliwość przydzielania innych profili ochrony (AV, IPS, AS, URL, blokowanie plików) dla dwóch różnych aplikacji pracujących na tym samym porcie, c) blokowania transmisji plików, nie mniej niż: bat, cab, dll, doc, szyfrowany doc, docx, ppt, szyfrowany ppt, pptx, xls, szyfrowany xls, xlsx, rar, szyfrowany rar, zip, szyfrowany zip, exe, gzip, hta, mdb, mdi, ocx, pdf, pgp, pif, pl, reg, sh, tar, text/html, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia, d) ochrony przed atakami typu Drive-by-download poprzez możliwość konfiguracji strony blokowania z dostępną akcją kontynuuj dla funkcji blokowania transmisji plików, e) zapewniania inspekcji komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL, f) zapewniania inspekcji komunikacji szyfrowanej protokołem SSL dla ruchu innego niż HTTP. System musi mieć możliwość deszyfracji niezaufanego ruchu SSL i poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL, g) umożliwiania inspekcji szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH, h) transparentnego ustalenia tożsamości użytkowników sieci (integracja z Active Directory, LDAP i serwerami Terminal Services). Polityka kontroli dostępu (firewall) powinna precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Ponadto system musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników, Strona 2 z 8

3 i) zbierania i analizowania informacji Syslog z urządzeń sieciowych i systemów innych niż MS Windows (np. Linux lub Unix) w celu łączenia nazw użytkowników z adresami IP hostów z których ci użytkownicy nawiązują połączenia, j) uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza web filtering musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i posiadać nie mniej niż 20 milionów rekordów URL, k) uruchomienia modułu filtrowania stron WWW per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność filtrowania stron WWW uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa), l) ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta, m) automatycznego pobierania listy stron WWW z zewnętrznego systemu w określonych przedziałach czasu i używania ich w politykach bezpieczeństwa, n) uruchomienia modułu inspekcji antywirusowej per aplikacja oraz wybrany dekoder taki jak http, smtp, imap, pop3, ftp, smb kontrolującego ruch bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-wirus musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń, o) uruchomienia modułu inspekcji antywirusowej per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby modułu inspekcji antywirusowej uruchamiany był per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa), p) uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI IPS/IDS bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur IPS/IDS musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń, q) uruchomienia modułu IPS/IDS per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność IPS/IDS uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa). r) ręcznego tworzenia sygnatur IPS bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta, s) uruchomienia modułu anty-spyware bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-spyware musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń, t) uruchomienia modułu anty-spyware per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność anty-spyware uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa), u) ręcznego tworzenia sygnatur anty-spyware bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta. 2.3 System zabezpieczeń NGF musi posiadać: a) sygnatury DNS wykrywające i blokujące ruch do domen uznanych za złośliwe, b) funkcjonalność podmiany adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem, c) funkcję wykrywania aktywności sieci typu Botnet na podstawie analizy behawioralnej, d) funkcjonalność statycznej i dynamicznej translacji adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet, e) funkcję ochrony przed atakami typu DoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP, f) możliwość zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Konfiguracja VPN musi odbywać się w oparciu o ustawienia rutingu (tzw. routing-based VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Wykorzystanie funkcji VPN (IPSec i SSL) nie wymaga zakupu dodatkowych licencji, Strona 3 z 8

4 g) możliwość konfiguracji jednolitej polityki bezpieczeństwa dla użytkowników niezależnie od ich fizycznej lokalizacji oraz niezależnie od obszaru sieci, z którego uzyskują dostęp (zasady dostępu do zasobów wewnętrznych oraz do Internetu są takie same zarówno podczas pracy w sieci korporacyjnej jak i przy połączeniu do Internetu poza siecią korporacyjną). Musi istnieć możliwość weryfikacji poziomu bezpieczeństwa komputera użytkownika przed przyznaniem mu uprawnień dostępu do sieci, h) możliwość zarządzania pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. System musi umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego, i) możliwość integracji ze środowiskiem wirtualnym VMware w taki sposób, aby firewall mógł automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystał z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla, j) możliwość zarządzania z linii poleceń (CLI) oraz graficznej konsoli Web GUI dostępnej przez przeglądarkę WWW. Nie jest dopuszczalne, aby istniała konieczność instalacji dodatkowego oprogramowania na stacji administratora w celu zarządzania systemem, k) interfejs XML API będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI), l) zabezpieczenie kryptograficzne (poprzez szyfrowanie komunikacji) dostępu do urządzenia i zarządzania nim z sieci. System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach, uwierzytelniania administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS i Kerberos, stworzenie sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS), m) wbudowany twardy dysk lub pamięć flash do przechowywania logów i raportów o pojemności nie mniejszej niż 120 GB. Wszystkie narzędzia monitorowania, analizy logów i raportowania muszą być dostępne lokalnie na urządzeniu zabezpieczeń. Nie może być wymagany do zapewnienia tego celu zakup zewnętrznych urządzeń, oprogramowania ani licencji. Nie jest dopuszczalne rozwiązanie, gdzie włączenie logowania na dysk może obniżyć wydajność urządzenia, n) możliwość konfigurowania różnych serwerów Syslog per polityka bezpieczeństwa, o) możliwość korelowania zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, aplikacjach, zagrożeniach i filtrowaniu stron www, p) możliwość tworzenia wielu raportów dostosowanych do wymagań Zamawiającego, zapisania ich w systemie i uruchamiania w sposób ręczny lub automatyczny w określonych przedziałach czasu. Wynik działania raportów musi być dostępny w formatach co najmniej PDF, CSV i XML, q) możliwość stworzenia raportu o aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni kilku ostatnich dni (nie mniej niż 3), r) możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive lub Active- Active. 2.4 Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. 2.5 Urządzenia muszą być objęte co najmniej 36 miesięczną gwarancją producenta lub autoryzowanego partnera serwisowego w trybie Następny dzień roboczy. W ramach gwarancji muszą być zagwarantowane dostępy do subskrypcji sygnatur wykrywania włamań/antivirus również przez okres 36 miesięczny. 2.6 Urządzenie/rozwiązanie musi posiadać co najmniej 36 miesięczną subskrypcje na URL Filtering. 3. Wymagania dla Stosu przełączników szkieletowych Ethernet 1 komplet: 3.1 Stos przełączników musi się składać z maksymalnie 4 urządzeń oferujących poniższy wkład portów LAN: a) 96 portów GigabitEthernet 10/100/1000 RJ-45, Strona 4 z 8

5 b) 40 portów GigabitEthernet na wkładki SFP lub równoważne, c) 8 portów TenGigabitEthernet (10Gbps) na wkładki SFP+ lub równoważne. 3.2 Konfiguracja portów musi umożliwiać w sposób redundantny (z minimum dwóch przełączników) podłączenie do stosu za pomocą wiązek LACP minimum: a) 16 urządzeń po portach SFP, b) 4 urządzeń po portach SFP+, c) 30 po portach 10/100/1000 RJ Wszystkie urządzenia muszą stanowić jedno logiczne urządzenie (Stack) oraz spełniać poniższe minimalne parametry techniczne przedstawione w poniższej Tabeli: Wymagane minimalne parametry techniczne: Lp. Funkcja Wymagane minimalne parametry techniczne 1 Architektura sieci LAN GigabitEthernet / TenGigabitEthernet 2 Rozbudowa o dodatkowe porty Dostarczane rozwiązanie musi mieć wolne sloty na karty umożliwiające instalację TenGigabitEthernet (10Gbps) dodatkowych 16 portów typu TenGigabitEthernet (10Gbps) na wkładki SFP+ lub równoważne. Dopuszczalne jest również rozwiązanie, gdzie porty SFP mogą zostać zamienione w porty 1/10Gbps po zainstalowaniu odpowiedniej licencji w tym wypadku wymagana jest możliwość zamiany portów bez konieczności restartowania stosu. 3 Typ obudowy Przemysłowa rack 19, wysokość 1U. Obudowa metalowa o szerokości 44,5cm (19 cali) oraz wysokości maksymalnie 4U dla całego stosu. Głębokość obudowy maksymalnie 46cm. 4 Redundancja zasilania Wszystkie urządzenia muszą posiadać zainstalowane 2 wewnętrzne zasilacze AC, wymienialne w trakcie pracy urządzenia - hot-swap, redundancja zasilaczy Redundancja wentylatorów Wszystkie urządzenia muszą posiadać redundantny moduł wentylatorów, wymienialny w trakcie pracy urządzenia. Redundancja 1+1. Wymagany jest obieg 6 Konfiguracja urządzenia poprzez porty/protokoły powietrza front-to-back. Out-of-Band: Konsola szeregowa (RJ-45), dedykowany port. Ethernet (100Mbps lub 1Gbps) In-Band: http (WWW), Telnet (CLI), SSHv2 (CLI). 7 MTBF dla temperatury 25*C Minimum 200 tysięcy godzin. 8 Ilość obsługiwanych jednocześnie Minimum 2100 VLAN 9 Ilość jednocześnie obsługiwanych Minimum tras routingowych w tablicy FIB przełączającej (FIB) 10 Ilość jednocześnie obsługiwanych Minimum adresów MAC 11 Zakres obsługiwanych VLAN ID Architektura przełączania Store-and-forward 13 Wydajność przełączania pakietów Min. 130 Mpps (forwarding) 14 Wydajność matrycy przełączającej Min. 176 Gbps (switching) 15 Pamięć RAM Min. 512MB 16 Pamięć Flash Min. 64MB Możliwość przechowywania w pamięci Flash minimum dwóch różnych wersji oprogramowania. 17 Mechanizmy QoS Minimum 8 kolejek na każdy fizyczny port. 18 Możliwość łączenia przełączników Wymagane poprzez specjalne kable dostarczane dedykowane do łączenia tego samego typu w stos urządzeń w stos. Kable muszą być obsługiwane do długości minimum 3 metrów. Minimum 8 urządzenia w jednym stosie. Minimum 2 porty Stack dedykowane z tyłu obudowy. Minimalna przepustowość stosu to 300Gbps Full-Duplex. Możliwość spinania w stos z przełącznikami tej samej serii wspierającymi zasilanie Power-over-Ethernet+ (PoE+). Możliwość dodania i usunięcia przełącznika ze stosu bez przerwy w jego działaniu. 19 Wymagana wspierana funkcjonalność CDP lub LLDP, LLDP-MED Wsparcie dla private-vlans oraz QinQ Per-VLAN Spanning-Tree, Per-VLAN Rapid Spanning-Tree, MSTP Minimum 250 instancji Spanning-Tree Root-Guard, BPDU-Guard Jumbo-Frames (minimum 9000 bajtów) IGMP Snooping Możliwość komunikacji z serwerami TACACS+ oraz Radius SNMP, SNMPv2, SNMPv3 Zarządzanie i konfiguracja poprzez IPv4 oraz IPv6 Strona 5 z 8

6 Możliwość określenia listy klientów SNMP Możliwość zapisu konfiguracji urządzenia na zdalny serwer SNMP wysyłając odpowiedni pakiet SNMP DHCP Client QoS (Strict-Priority, SRR lub WRR, mapowanie znaczników ToS/DSCP, policing) Port-Mirroring LACP (IEEE 802.3ad), PortChannel (bez protokołu komunikacji tzw. mode on ), możliwość przypisania do jednego PortChannel portów z różnych przełączników w stosie. Wymagana jest możliwość zestawiania kanałów LACP z minimum dwóch przełączników jednocześnie w ramach stosu x, Dynamic ARP Inspection, DHCP Snooping UDLD lub Ethernet OAM Możliwość wybrania na każdym porcie pracującym w trybie trunk 802.1q natywnego VLAN ID Limitowanie ruchu mcast/bcast/unknown-unicast Routing statyczny IPv4 oraz IPv6, Routing dynamiczny OSPFv2/v3 oraz BGP. Wsparcie dla VRF-lite (minimum 12 instancji) i tunelowania GRE. Sprzętowe wsparcie dla Media Access Control Security (MACsec) Wsparcie dla systemów NAC/802.1x - możliwość dynamicznej reautentykacji 802.1x oraz MAC autentication z możliwością dynamicznej zmiany polityk bezpieczeństwa - przynajmniej ACL oraz VLAN. Nie dopuszcza się rozwiązania wyłączenia i włączenia portu. Wsparcie dla funkcji WebAuth 20 Dodatkowe komponenty Kabel do konsoli Kabel stack dla każdego przełącznika - nie krótszy niż 1 metr Zestaw do montażu w szafie 19 (Rack-Mount Kit) 24 wkładki 1000BaseSX (850nm) Gwarancja minimum 36 miesięcy. 4. Wymagania w zakresie bezpłatnego (tj. w cenie urządzeń) wdrożenia instalacji i uruchomienia: 4.1 Przed instalacją i uruchomieniem Wykonawca dokona inwentaryzacja środowiska Zamawiającego celem rozpoznania obecnej infrastruktury informatycznej w zakresie dostarczonych produktów. Inwentaryzacja środowiska Zamawiającego ma zostać wykonana w postaci dokumentacji przedwdrożeniowej zawierającej co najmniej: 1) Wykaz urządzeń infrastruktury informatycznej Zamawiającego oraz i ich pełną konfigurację; 2) Schemat połączeń z innymi urządzeniami; 3) Topologię i adresację sieciową. 4.2 Wykonawca przygotuje projekt wdrożenia dostarczonych produktów, z uwzględnieniem wszystkich potrzeb funkcjonalnych Zamawiającego. 4.3 Projekt wdrożenia dostarczonych produktów musi zostać zaakceptowany przez Wykonawcę. W przypadku braku akceptacji projektu wdrożenia ze strony Zamawiającego, Wykonawca zmieni projekt zgodnie z uwagami Zamawiającego. 4.4 Wykonawca dokona instalacji i uruchomienia dostarczonych urządzeń oraz oprogramowania w oparciu zaakceptowany przez Zamawiającego projekt. 4.5 Zamawiający udzieli Wykonawcy dostępu do posiadanej infrastruktury sieciowej i będzie uczestniczył w działaniach wdrożeniowych. 4.6 Urządzenia zostaną skonfigurowane przez Wykonawcę. 4.7 Wykonawca w terminie 10 dni od daty instalacji i uruchomienia przekaże Zamawiającemu dokumentację powykonawczą z przeprowadzonego wdrożenia. 4.8 Dokumentacja powykonawcza będzie obejmować: 1) Konfigurację urządzeń zainstalowanych i uruchomionych podczas wdrożenia oraz konfigurację innych urządzeń Zamawiającego jeśli została zmieniona; 2) Schemat połączeń pomiędzy zainstalowanymi urządzeniami oraz pozostałymi urządzeniami Zamawiającego; 3) Topologię i adresację sieciową. 4.9 Wszelka dokumentacja zostanie przekazana w formie elektronicznej z możliwością edycji i papierowej. Strona 6 z 8

7 5. Wymagania w zakresie bezpłatnego (tj. w cenie urządzeń) wsparcia technicznego: 5.1 Wykonawca zapewni wsparcie techniczne w zakresie dostarczonych produktów (przełączników szkieletowych Ethernet i systemu ochrony styku z sieci typu Next Generation Firewall ). 5.2 Wsparcie techniczne dotyczyć będzie obsługi bieżącej, zmian w konfiguracji rozwiązań i interpretacji gromadzonych danych oraz podejmowania działań będących skutkiem wykrywanych zagrożeń. 5.3 Wsparcie techniczne musi być świadczone przez osoby skierowane przez Wykonawcę do realizacji zamówienia, posiadające stosowne kompetencje, potwierdzone certyfikatem producenta zaoferowanego rozwiązania. Certyfikat zostanie okazany na życzenie Zamawiającego. 5.4 Wymagane jest, aby Wykonawca świadczył wsparcie techniczne: 1) w siedzibie Zamawiającego w formie konsultacji, w terminach i w zakresie uzgodnionymi z Zamawiającym, 2) telefoniczne i za pomocą poczty elektronicznej w godzinach 8:00 16:00 w dni robocze. 3) W inny sposób ustalony przez Zamawiającego i Wykonawcę. 5.5 Wykonawca zapewni wsparcie techniczne, przez okres co najmniej 36 miesięcy (zgodnie z terminem gwarancji zaoferowanym w ofercie) w wymiarze nie więcej niż 24 godzin roboczych miesięcznie, zgodnie z ofertą Wykonawcy. Zakres wsparcia obejmuje: 1) przygotowywanie okresowych raportów związanych z funkcjonowaniem systemu zabezpieczeń NGF, wraz z komentarzem i zestawem rekomendacji, obejmujących w szczególności sugestie zmian ustawień obsługiwanego systemu, 2) przygotowywanie okresowych raportów bezpieczeństwa z zakresu incydentów związanych z wykrytymi anomaliami sieciowymi, wraz z komentarzem i zestawem rekomendacji, obejmujących w szczególności stosowną rekonfigurację obsługiwanego systemu, 3) analizy zidentyfikowanych incydentów bezpieczeństwa, 4) konsultacje przy tworzeniu nowych reguł/polityk bezpieczeństwa, 5) dowolnych innych prac zleconych przez Zamawiającego, obejmujących swoim zakresem administrację oferowanym systemem, 6) obsługi bieżącej. 6. Wymagania w zakresie gwarancji i szkoleń 6.1 W zakresie gwarancji: 1) Na dostarczone urządzenia Wykonawca udziela co najmniej 36-miesięcznej gwarancji, licząc od dnia podpisania bez zastrzeżeń protokołu instalacji i uruchomienia. 2) W ramach udzielonej gwarancji Wykonawca na swój koszt: a) dokona diagnozy i identyfikacji źródła problemu oraz zapewni dostawę i wymianę części w przypadku awarii, b) zapewni autoryzowany serwis gwarancyjny urządzeń lub serwis producenta w trybie 365/7/24 (24 godziny na dobę, we wszystkie dni tygodnia, przez wszystkie dni w roku) od zgłoszenia. 3) Czas reakcji i naprawy w ramach udzielonej gwarancji: a) zgłoszenia awarii w trybie 365/7/24 (24 godziny na dobę, we wszystkie dni tygodnia, przez wszystkie dni w roku); b) gwarantowany czas wymiany niesprawnego sprzętu: do godziny 24 w następnym dniu roboczym od identyfikacji usterki. Dniem roboczym jest jeden dzień od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy. 4) Zgłoszenia awarii oraz potwierdzenie ich usunięcia będą dokonywane na piśmie, faksem, drogą elektroniczną lub w innej formie dopuszczonej przez strony. 5) W okresie gwarancji Wykonawca zobowiązuje się do wymiany urządzeń na fabrycznie nowe po 3 naprawach gwarancyjnych danego urządzenia. Wymiana nastąpi w terminie 5 dni roboczych od daty zgłoszenia potrzeby dokonania kolejnej (czwartej) naprawy gwarancyjnej. 6) Gwarancją nie są objęte przypadki nieprawidłowego działania urządzeń spowodowane niezgodnym z instrukcją obsługi użytkowaniem bądź zawinione przez użytkownika uszkodzenia mechaniczne. 6.2 W zakresie bezpłatnych (tj. w cenie urządzeń) szkoleń dla osób wskazanych Zamawiającego: Strona 7 z 8

8 1) W obustronnie ustalonym terminie, zostanie przeprowadzone szkolenie dla 3 osób wskazanych przez Zamawiającego. 2) Szkolenie odbędzie się w siedzibie Zamawiającego w Warszawie przy ul. Jagiellońskiej 74 lub w innym miejscu na terenie Warszawy wskazanym przez Zamawiającego. 3) Minimalny zakres szkolenia obejmie: a) wprowadzenie do działania NGF i stosu przełączników szkieletowych Ethernet; b) instalację i konfigurację; c) administracje urządzeniami; d) wykonywanie upgrade ów oprogramowania urządzeń; e) omówienie wyników działania urządzeń i ich interpretacja; f) tworzenie reguł/polityk bezpieczeństwa; g) wykonywanie kopii bezpieczeństwa i odtwarzanie danych z kopii bezpieczeństwa. Strona 8 z 8