Szczegółowy opis przedmiotu zamówienia

Transkrypt

1 ZNP/15/23 Załącznik nr 1 z dn r. Szczegółowy opis przedmiotu zamówienia części 1 zadania nr 12.8 programu pn. Rozbudowa Portu Lotniczego Łódź im. Władysława Reymonta ( Podniesienie bezpieczeństwa i ciągłości pracy systemu informatycznego lotniska ) pn.: Dostawa dwóch urządzeń typu UTM i analizatora logów zdarzeń w systemie informatycznym 1. Przedmiot zamówienia. Zamówienie dotyczy zakupu i dostawy niżej wskazanych urządzeń (wraz z wdrożeniem i szkoleniem) oraz wszelkich niezbędnych licencji na użytkowanie opisanych niżej funkcjonalności. Urządzenia będące przedmiotem zamówienia: a) Dwa urządzenia UTM Fortigate 300D (firmy Fortinet), działających docelowo jako klaster (ang. cluster) urządzeń. b) FortiAnalyzer 200D (firmy Fortinet) urządzenie zbierające i analizujące dane pozyskiwane z w/w urządzeń UTM. Zamawiający dopuszcza zaproponowanie rozwiązania równoważnego spełniające minimum niżej opisane parametry techniczne i funkcjonalno-użytkowe. W przypadku dostarczenia wskazanych powyżej urządzeń (UTM Fortigate 300D i FortiAnalyzer) Wykonawca musi również spełnić niżej wymienione wymagania techniczne i funkcjonalno-użytkowe. 2. Minimalne wymagania techniczne i funkcjonalno-użytkowe: a) Dwa urządzenia UTM Fortigate 300D (firmy Fortinet) lub dwa równoważne urządzenia spełniające następujące wymagania: Lp. Parametr Minimalne wymagania techniczne i funkcjonalno-użytkowe. 1. Architektura systemu 1) urządzenia nie mogą posiadać dysku twardego. ochrony 2) urządzenia mają używać pamięci FLASH o pojemności nie mniejszej niż 120 GB. 3) podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanego układu ASIC. 4) urządzenia mają posiadać minimum 6 portów GigaEthernet Base-TX wspieranych przez dedykowane układy sprzętowe ASIC. 5) urządzenia mają posiadać minimum 4 porty GigaEthernet Base-SX SFP wspieranych przez dedykowane układy sprzętowe ASIC. 6) urządzenia mają być dostarczone z licencją producenta na urządzenie - bez limitu chronionych użytkowników i urządzeń w sieci wewnętrznej. 7) wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny mają pochodzić od jednego producenta. 8) połączenie dwóch identycznych urządzeń w klaster typu Active-Active. 2. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie 1

2 3. Funkcjonalności podstawowe i uzupełniające 4. Zasada działania (tryby) 5. Polityka bezpieczeństwa dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. System ochrony musi obsługiwać w ramach jednego urządzenia minimum następujące funkcjonalności podstawowe: a) kontrolę dostępu - zaporę ogniową klasy Stateful Inspection, b) ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, HTTPS, FTP, IM), c) poufność danych - IPSec VPN oraz SSL VPN, d) ochronę przed atakami - Intrusion Prevention System [IPS/IDS] e) oraz funkcjonalności uzupełniających: f) kontrolę treści Web Filter [WF], g) kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP), h) kontrolę pasma oraz ruchu [QoS i Traffic shaping], i) kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P), j) zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Prevention). k) monitoring, wykrywanie i alarmowanie o uszkodzeniu elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia ma dawać możliwość ustawienia jednego z dwóch trybów pracy: a) jako router/nat (3.warstwa ISO-OSI), b) jako most/transparent bridge - tryb przezroczysty umożliwiający wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. 1) Polityka bezpieczeństwa systemu zabezpieczeń (firewall) musi uwzględniać: a) adresy IP, b) interfejsy, c) protokoły i usługi sieciowe, d) użytkowników sieci, e) reakcje zabezpieczeń, f) rejestrowanie zdarzeń i alarmowanie o nich, g) zarządzanie pasmem (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 2) Urządzenia muszą obsłużyć nie mniej niż 10,000 polityk firewall. 3) Urządzenia muszą wykrywać i blokować ataki/techniki ataków stosowanych przez hakerów/krakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan, DDoS) i niebezpiecznych komponentów (m.in. Java/ActiveX). 4) Urządzenia muszą posiadać funkcjonalność weryfikowania obecności na stacji roboczej działającego oprogramowania typu Firewall i badania stanu oprogramowania antywirusowego (weryfikacja aktualności bazy sygnatur wirusów). 5) Urządzenia muszą zapewnić ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. 6) Urządzenia muszą zawierać minimum 4000 sygnatur ataków. 7) Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie. 8) Ma być zapewniona możliwość wykrywania anomalii protokołów i ruchu. 9) System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą co najmniej następujących parametrów: a) haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia, b) haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP, c) haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych. 10) Rozwiązanie ma umożliwiać budowę logowania Single Sign On w środowisku Active Directory oraz edirectory bez dodatkowych opłat licencyjnych. 2

3 6. Translacja adresów 1) Ma być dostępna statyczna i dynamiczna translacja adresów (NAT); 2) Ma być dostępna translacja NAPT; 7. Wirtualizacja i routing dynamiczny 1) Ma być dostępna możliwość definiowania w jednym urządzeniu bez dodatkowych licencji co najmniej 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne ustawienia wszystkich funkcji bezpieczeństwa i dostęp administracyjny. 2) Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. 3) Protokoły routingu dynamicznego co najmniej obsługa RIPv2, OSPF, BGP-4 i PIM. 8. Połączenia VPN 1) Urządzenia muszą umożliwiać tworzenie połączeń w topologii Site-to-site oraz Client-to-site, 2) Urządzenia muszą umożliwiać poprzez klienta VPN dostarczonego przez Wykonawcę (klient VPN produkcji Producenta urządzenia) następujące mechanizmy ochrony końcówki: a) firewall, b) antywirus, c) web filtering, d) antyspam. 3) Klient VPN musi być produkcji producenta urządzenia oraz być w pełni kompatybilny z urządzeniem i być wspieranym przez producenta. 4) Urządzenia mają zapewniać monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. 5) Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN). 6) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth. 9. Wydajność 1) Zapewnienie możliwości obsługi jednoczesnych połączeń i nowych połączeń na sekundę. 2) Przepływność nie mniejsza niż 8 Gbps (dla pakietow UDP o wielkosci 1518 / 512 / 64) dla ruchu nieszyfrowanego i 4,5 Gbps dla VPN (3DES). 3) Wydajnośc ruchu dla IPS nie mniejsza niż 2,8 Gbps, dla ruchu poddawanego skanowaniu antywirusowego nie mniej niż 1,4 Gbps w trybie Proxy. 4) Umożliwienie obsługi jednoczesnych tuneli VPN IPSec w trybie Client to Gateway oraz 500 w trybie SSL VPN. 10. Konfiguracja i zarządzanie 1) Ma być umożliwiona konfiguracja systemu poprzez terminal i linię komend oraz wbudowaną konsolę graficzną (GUI). 2) Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. 3) Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: a) haseł statycznych, b) haseł dynamicznych (RA), c) RADIUS, RSA SecureID). 4) System ma umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. 5) Dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. 6) System/urządzenia powinny mieć możliwość współpracy z zewnętrznym, sprzętowym i kompatybilnym modułem centralnego zarządzania umożliwiającym co najmniej: 3

4 a) przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej, b) wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć konfigurację z dowolnego punktu w przeszłości, c) zarządzanie wersjami firmware u na urządzeniach oraz zdalne uaktualnienia, d) zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia, e) monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM), f) zapis i zdalne wykonywanie skryptów na urządzeniach. g) 11. Możliwość rozbudowy System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: a) zbieranie logów z urządzeń bezpieczeństwa, b) generowanie raportów, c) skanowanie podatności stacji w sieci, d) zdalną kwarantannę dla modułu antywirusowego. W/w funkcjonalności powinny być zarządzane poprzez jedną wspólną konsolę do kontroli obu podsystemów. 12. Moduły W przypadku dostarczenia rozwiązania opartego na urządzeniach producenta Fortinet wymaga się dostarczenia ramach zadania 4 (cztery) moduły nadawczo-odbiorcze z interfejsem GE RJ45 na mini-gbic zgodny z producentem Fortinet lub zgodny z MSA (Multi-Sourcing Agreement) standard o parametrach: a) Standardy: IEEE BASE-T, IEEE 802.3u 100BASE-TX, IEEE 802.3ab 1000BASE-T, b) Auto MDIX, c) Maksymalna odległość transferu m, d) Maksymalny transfer danych 1,25 Gbps, e) Złącze RJ45 GE Żeńskie, f) Wilgotność: 30-70% g) Temperatura pracy: 0 C to 70 C Wymiary: 13 mm [H] x 70 mm [L] x 13 mm [W] 13. Centralne rejestrowanie i raportowanie Urządzenia UTM muszą umożliwiać pełną współpracę z dostarczanym w ramach tego postępowania urządzeniem gromadzenia i korelacji logów. Opis minimalnych parametrów urządzenia do analizy logów znajduje się w pkt. 2 lit. b. b) Forti Analyzer 200D (z najnowszym oprogramowaniem) lub urządzenie równoważne spełniające co najmniej następujące minimalne wymagania: Lp. Parametr Minimalne wymagania techniczne i funkcjonalno-użytkowe. 1. Opis: Urządzenie do zcentralizowanego rejestrowania, analizowania i raportowania danych dotyczących bezpieczeństwa sieci, zebranych z dostarczonego klastra urządzeń i kompatybilnych urządzeń Syslog innych producentów (tj. Cisco, Microsoft, HP, OKI, Canon), którego zadaniem jest dostarczenie istotnej wiedzy na temat zdarzeń bezpieczeństwa w całej sieci lotniska. Dane sieciowe mają dotyczyć m.in. zdarzeń bezpieczeństwa ruchu sieciowego, zawartości sieci Web, wiadomości , protokołu FTP, protokołu VPN, etc. 4

5 2. Wymagane funkcjonalności urządzenia: 1) Urządzenie ma zapewniać możliwość przetwarzania co najmniej 5 GB danych na dzień. 2) Urządzenie ma posiadać dysk co najmniej o pojemności 1TB. 3) Urządzenie ma posiadać co najmniej 4 interfejsy Gigabitowe GE. 4) Urządzenie ma mieć obudowę 1 RU Rackmount. 5) Urządzenie ma posiadać następujące certyfikaty: FCC Part 15 Class A, 6) C-Tick, VCCI, CE, UL/cUL, CB. 7) Urządzenie ma zapewniać możliwość obsługi przez przeglądarkę internetową po zalogowaniu do urządzenia, strona robocza (pulpit) powinna zawierać: - Część informacyjna o systemie - informacje o systemie i licencjach, - zasoby systemowe, komunikaty i ostrzeżenia, konsolę CLI (wiersz - poleceń), monitor logów, otrzymane dane, statystyki, monitor zadań, - Część konfiguracji systemu zarządzanie podstawową konfiguracją (nazwa urządzenia, serwer czasu NTP, zapasowa konfiguracja), - zarządzanie kontami użytkowników (w tym konfiguracji zewnętrznego serwera uwierzytelniania LDAP i serwera RADIUS i TACACS+), - zarządzanie rejestrowanymi urządzeniami sieciowymi, - zarządzanie dyskiem, - zarządzanie interfejsem sieciowym, - zarządzanie certyfikatami (urządzenie ma posiadać własne CA - Certificate Authority), - zarządzanie serwerem logów. 8) Urządzenie ma zapewniać możliwość pracy w dwóch trybach analizowania danych i zbierania danych. 9) Urządzenie ma obsługiwać język SQL wszystkie dane powinny być umieszczane w bazie SQL, z której będzie generowany raport oraz będą wyszukiwane interesujące dane przez administratora systemu (dostęp przez przeglądarkę internetową). 10) Urządzenie ma obsługiwać protokół SNMP (wraz z aktualizacjami MIB). 11) Urządzenie ma wspierać Jednostki Organizacyjne w raportach z filtrem LDAP. 12) Urządzenie ma wspierać konfigurację serwera SMTP. 13) Urządzenie ma zapewniać możliwość konfiguracji obsługiwanych protokołów (np. http, https, ssh, telnet, etc). 14) Urządzenie ma zapewniać możliwość konfigurowania użytkowników wraz z możliwością generowania reportów zdefiniowanych dla tych użytkowników (możliwość konfiguracji definiowanych raportów przez XML). 15) Urządzenie ma zapewniać możliwość zdefiniowania urządzeń (hostów)., które będą mieć dostęp do urządzenia. 16) Urządzenie ma zapewniać możliwość zdefiniowania czasu wylogowania z urządzenia, w przypadku braku aktywności użytkownika systemu. 17) Urządzenie ma zapewniać możliwość obsługi tablicy dziennika tj. dane dziennika z klastra urządzeń będą widoczne jak z jednego obiektu. 18) Urządzenie ma zapewniać możliwość generowania (na żądanie) graficznych. 19) Raportów podsumowujących dotyczących wydarzeń takich jak aktywność użytkowników, działających aplikacji, miejsc docelowych połączeń, źródła połączeń, przeglądanych stron internetowych listy stron jak i również listy użytkowników generujących ten ruch, zaistniałych zagrożeń, wykorzystania sieci VPN, wysyłanych i, analizy ruchu sieciowego. 20) Urządzenie ma zapewniać możliwość wykonania kopi zapasowej jak i przywrócenia logów i raportów. 21) Urządzenie ma zapewniać możliwość przygotowania wykresów za pomocą kreatora wykresów. 22) Urządzenie ma zapewniać możliwość regularnych analiz profilu bezpieczeństwa m.in. wzorców ruchu / przepustowości, etc, i generowania raportu o ruchu sieciowym. 5

6 23) Urządzenie ma zapewniać możliwość monitowania (na ) zdefiniowanych zdarzeń (potencjalnych anomalii) do administratora sieci w zdefiniowanych przedziałach czasowych (1h, 12h, 24h). 24) Urządzenie ma w 100% współpracować z klasterem urządzeń. 25) Urządzenie ma zapewniać możliwość zarządzania z panelu administracyjnego klastra urządzeń. 26) Urządzenie ma zapewniać możliwość eksportowania, jak i importowania ustawień z innych urządzeń tego samego typu (od tego samego producenta). 27) Urządzenie ma zapewniać możliwość ustawiania harmonogramów generowania i dostarczania raportów (na ) w formie plików PDF. 28) Urządzenie ma zapewniać możliwość wyświetlenia kalendarza raportów. 29) Urządzenie ma zapewniać możliwość wykonania raportów grupowych. 30) Urządzenie ma zapewniać możliwość generowania raportów o wbudowane gotowe szablony, jak i mieć możliwość dodawania nowych i modyfikowania istniejących szablonów. 3. Raporty Urządzenie ma zawierać przygotowane wcześniej szablony raportów, co najmniej takie jak: 1) Raport logowań przez administratorów 2) Raport zdarzeń systemowych. 3) Raport aktywności systemu. 4) Raport analizy ryzyka aplikacji. 5) Raport statystyki ruchu. 6) Raport o aplikacje wysokiego ryzyka. 7) Raport podsumowujący wykorzystanie serwera DHCP. 8) Raport o historii ruchu generowanego przez najaktywniejszych użytkowników. 9) Raport o użytkownikach z największą aktywnością w sieci Web. 10) Raport o aplikacje wykorzystujących protokół HTTP. 11) Raport o co najmniej 30 najaktywniejszych użytkownikach, urządzeniach, aplikacjach (z największym wykorzystaniem pasma i rozpoczynających najwięcej sesji). 12) Raport o najczęściej odnotowanych zdarzeniach IPS (Intrusion Protection System) z podziałem na poziom bezpieczeństwa (niskim, średnim, wysokim, krytycznym współczynniku). 13) Raport o odkrytych zagrożeniach (zestawienie co najmniej 20 zagrożeń). 14) Raport o wykorzystaniu pasma przez aplikacje posortowany według kategorii. 15) Raport wykorzystania pasma przez aplikacje. 16) Raport o najczęściej odwiedzanych stronach, domenach webowych i odwiedzanych krajach docelowych, zajmujących najwięcej czasu, wykorzystujących najwięcej pasma i rozpoczynających najwięcej sesji. 17) Raport o najaktywniejszych użytkownikach i urządzeniach (ocena pod katem reputacji). 18) Raport o użytkownikach i urządzeniach z największą zmianą (ocena pod katem reputacji). 19) Raport o użytkownikach o największej ilości wysłanych i otrzymanych i. 20) Raport o użytkownikach wysyłających i otrzymujących e z dużymi załącznikami. 21) Raport o popularnych i odkrytych wirusach (zestawienie co najmniej 20 wirusów). 22) Raport o najczęstszym występowaniu i ofiarach wirusów. 23) Raport o użytkownikach z największa liczbą wirusów posortowanych według nazwy (w tym uzyskanych z sieci Web). 24) Raport o użytkownikach z największą liczbą otrzymanych za pomocą a wirusów. 25) Raport o najczęstszym źródle Malware. 26) Raport o wykrytych źródłach botnetu i jego ofiarach. 6

7 27) Raport o najczęstszych wykrytych atakach i ich ofiarach (analiza pod katem włamań i ilości tych włamań). 28) Raport o najczęstszym źródle ataku (włamania). 29) Raport o największej liczbie zablokowanych ataków (włamania). 30) Raport o zdarzeniach dotyczących włamań z ostatnich 7 dni. 31) Raport o użytkownikach najczęściej atakowanych (również w kategorii w sieci Web). 32) Raport o użytkownikach z największą liczbą najniebezpieczniejszych ataków (w tym poprzez www). 33) Raport o użytkownikach z największą liczbą zablokowanych stron i kategorii sieci Web. 34) Raport o użytkownikach z największą liczbą dozwolonych stron i kategorii sieci Web również pod katem wykorzystania przepustowości i czasu przeglądania. 35) Raport o najczęściej blokowanych użytkownikach, witrynach i kategoriach sieci Web. 36) Raport o najczęściej dozwolonych witrynach i kategoriach sieci Web i ich czasie przeglądania i wykorzystania przepustowości. 37) Raport o trendach ruchu dla wykorzystanych połączeń VPN. 38) Raport o najdłuższych połączenia VPN. 39) Raport o najczęstszych źródłach połączeń VPN SSL, zabierających najwięcej pasma. 40) Raport o użytkownikach korzystających z tuneli VPN SSL pod katem wykorzystania pasma. 41) Raport o użytkownikach korzystających z Web portal VPN SSL z największym wykorzystaniem pasma. 42) Raport o użytkownikach tuneli VPN, zabierających najwięcej pasma. 43) Raport o użytkownikach portali Web VPN, zabierających najwięcej pasma. 44) Raport o użytkownikach połączeń VPN Dial-up, zabierających najwięcej pasma. 45) Raport o użytkownikach tuneli Dial-up IPSec, zabierających najwięcej pasma. 46) Raport o najczęstszych tunelach Site-to-Site IPSec, zabierających najwięcej pasma oraz wykorzystaniu wszystkich tuneli według przepustowości. 47) Raport o incydentach z ostatnich 7 dni. 48) Raport o wykorzystaniu pasma i ilości sesji w ciągu ostatnich 7 dni. 49) Raport podsumowujący liczbę obsługiwanych sesji i wykorzystanie przepustowości w ciągu ostatnich 7 dni. 50) Raport o najaktywniejszych użytkownikach, aplikacjach, urządzeniach w ciągu ostatnich 7 dni. 51) Raport podsumowujący aktywność, czas przeglądania, wykorzystanie przepustowości w sieci Web w ciągu ostatnich 7 dni. 52) Raport podsumowujący działanie sieci WIFI ilość przekazanych danych. 53) Raport podsumowujący działanie sieci WIFI ilość klientów WIFI. 54) Raport o Access Point AP, które powodują największe wykorzystanie pasma. 55) Raport o SSID, które powodują największe wykorzystanie pasma. 56) Raport o aplikacjach, które powodują największe wykorzystanie pasma. 57) Raport o systemem operacyjnym OS, które powodują największe wykorzystanie pasma. 58) Raport o typach urządzeń, które powodują największe wykorzystanie pasma. 59) Raport o Access Point AP, z największą liczbą użytkowników. 60) Raport o SSID, z największą liczbą użytkowników. 61) Raport o liczbie użytkowników sieci WIFI z największym wykorzystaniem pasma. 62) Raport o liczbie użytkowników sieci WIFI z najczęstszym systemem operacyjnym OS. 63) Raport o liczbie użytkowników sieci WIFI z najczęstszym typem urządzeń. c) Zasady licencjonowania i gwarancji dostarczonych urządzeń oraz szkolenie z ich administracji: 7

8 1. Gwarancja, pomoc techniczna, licencje i aktualizacje 1) Wykonawca ma dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres co najmniej 2 lat pozwalające co najmniej na używanie funkcji: Antivirus, IPS, Web Content Filtering & Antispam (pozostałe wskazane funkcje bezpieczeństwa mają być możliwe do aktywacji w przyszłości po rozszerzeniu licencji). 2) System powinien być objęty serwisem gwarancyjnym producenta przez okres co najmniej 2 lat. 3) Serwis powinien być realizowany przez Producenta rozwiązania lub Autoryzowanego Dystrybutora Producenta, mającego swoją lokalizację serwisową na terenie Polski, posiadającego certyfikat ISO 9001 w zakresie usług serwisowych (należy dołączyć go do oferty). Zgłoszenia serwisowe przyjmowane w trybie 8x5 przez dedykowany serwisowy moduł internetowy (należy podać adres www) oraz infolinię (należy podać numer infolinii). 4) Wykonawca ma zapewnić wsparcie techniczne (telefoniczne lub poprzez ) w języku polskim w trybie 8 godzin 5 dni w tygodniu (w przypadku dostawy UTM FortiGate 300D należy dostarczyć wariant serwisowy co najmniej FortiCare 8x5 (8h dziennie w dni robocze od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy) na okres 2 lat od dnia dostawy lub aktywacji licencji przez Zamawiającego. 5) Wykonawca wyraża zgodę na możliwość przesłania uszkodzonego urządzenia objętego serwisem do naprawy do dystrybutora na terenie Polski. 6) Wszystkie dostarczone urządzenia muszą być fabrycznie nowe oraz pochodzić z oficjalnej linii dystrybucyjnej producenta sprzętu, a także zawierać oryginalne i aktualne oprogramowanie. 7) Urządzenia nie mogą być przewidziane w najbliższym czasie (przez 6 miesięcy od dostawy) do wycofania ze sprzedaży. W przypadku dostarczenia takiego sprzętu Wykonawca zobowiązany jest dostarczyć (wymienić) - i wdrożyć inny nowy sprzęt tego samego producenta (o co najmniej nie gorszych parametrach) zgodnie z zasadami opisanymi w niniejszej specyfikacji. 2. Wdrożenie i instalacja 1) Wdrożenie urządzeń UTM i sprzętu do zarządzania logami należy dokonać w przeciągu maksymalnie 21 dni od dnia dostawy lub aktywacji licencji przez Zamawiającego. 2) Wykonawca urządzenia ma zapewnić jego wdrożenie u Zamawiającego, które zawierać ma co najmniej: a) instalację we wskazanym miejscu w obecnej infrastrukturze informatycznej, b) przeniesienie konfiguracji z obecnego urządzenia FortiGate 300C do nowo zakupionych urządzeń, które mają być skonfigurowane w postaci klastra urządzeń w trybie Active Acitve (należy odwzorować obecną konfigurację z ewentualnymi uwagami Zamawiającego), tj.: skonfigurowanie interfejsów logicznych i fizycznych w wymiarze co najmniej 40, skonfigurowanie 2 łączy WAN wraz ze wskazaniem usług dla poszczególnych łączy ok. 20 reguł, skonfigurowanie reguł Firewall ok. 200 reguł, skonfigurowanie reguł NAT ok. 50 reguł, skonfigurowanie uwierzytelnienia opartego o LDAP, skonfigurowanie klas QoS ok. dla 25 grup, c) testy wydajnościowe oraz funkcjonalne. 3) Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta na poziomie przynajmniej średnim w hierarchii ważności certyfikatów. 4) Etap konfiguracji urządzeń może odbywać się w dowolnych uzgodnionych z Zamawiającym godzinach (między 6 a 23). Etap wdrożenia polegający na przepięciu 8

9 infrastruktury na nowe urządzenie musi być przeprowadzony poza godzinami pracy portu pomiędzy 23:00 a 6:00 rano. Jeśli przepięcie urządzeń nie zakłóci prawidłowej pracy sieci komputerowej, w tym dostępu do sieci Internet, funkcjonowania systemów odpraw lotniskowych i nie obniży bezpieczeństwa sieci oraz sam proces przepięcia będzie nie dłuższy niż 15 minut, to dopuszcza się wdrażanie w innych uzgodnionych godzinach. 5) W ramach zadania Wykonawca zapewni dodatkowo w terminie do dnia r. 40h doradztwa oraz wsparcia technicznego realizowanego przez e- mail/telefon/zdalny dostęp. 6) Po pomyślnym przejściu zaplanowanych testów wykonawca ma dostarczyć dokumentacje techniczną rozwiązania w 3 kopiach papierowych oraz elektronicznej. 7) Zamawiający zastrzega sobie prawo uszczegółowienia wymagań konfiguracji, w zakresie niesprzecznym z warunkami określonymi w niniejszym dokumencie, na etapie realizacji przedmiotu umowy. 3. Szkolenie Wykonawca zamawianych urządzeń UTM i urządzenia do zarządzania logami zapewni przeszkolenie w uzgodnionym z Zamawiającym terminie (nie później jednak niż do dnia r.) dla trzech osób (szkolenie co najmniej 8h) z obsługi i zaawansowanej konfiguracji dostarczonych urządzeń. Szkolenie powinno odbyć się w siedzibie Zamawiającego i zakończyć się przekazaniem dokumentu potwierdzającego odbycie szkolenia (certyfikatu lub zaświadczenia). Dopuszcza się szkolenie na terenie Łodzi, poza siedzibą Zamawiającego. 9