0/16. Załącznik nr 1 do SIWZ Nr sprawy: DZ /16

Transkrypt

1 Załącznik nr 1 do SIWZ Nr sprawy: DZ /16 ROZBUDOWA INFRASTRUKTURY TELEINFORMATYCZNEJ INSTYTUTU NAFTY I GAZU - PAŃSTWOWEGO INSTYTUTU BADAWCZEGO, POPRZEZ DOSTAWĘ URZĄDZEŃ WRAZ Z NIEZBĘDNYMI LICENCJAMI ORAZ ICH WDROŻENIEM Zamówienie dofinansowywane przez Ministerstwo Nauki i Szkolnictwa Wyższego w ramach przyznanej dotacji Decyzja Nr 6607/II-LAN/2016 0/16

2 SPIS TREŚCI 1. Opis przedmiotu zamówienia.2 2. Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami Wirtualne urządzenie do ochrony poczty elektronicznej wraz z licencjami dla 600 kont pocztowych Wirtualne urządzenie do ochrony ruchu WWW/ FTP wraz z licencjami dla 500 użytkowników 9 5. Opis wdrożenia /16

3 1. Opis przedmiotu zamówienia: Przedmiotem zamówienia jest rozbudowa infrastruktury teleinformatycznej Instytutu Nafty i Gazu Państwowego Instytutu Badawczego (INiG-PIB), poprzez dostawę, instalację i konfigurację jednego urządzenia, pełniącego funkcję zapory sieciowej oraz dwóch urządzeń wirtualnych, jednego do ochrony poczty elektronicznej i drugiego do ochrony ruchu WWW /FTP. Urządzenia te powinny posiadać wymagane przez Zamawiającego licencje i gwarancje oraz muszą zostać, w ramach ich wdrożenia, zintegrowane z innymi urządzeniami pracującymi w sieci Zamawiającego,. Po zakończeniu wdrożenia w/w urządzeń Wykonawca zobowiązany będzie do przeprowadzenia instruktażu. Instruktaż musi się odbyć w siedzibie Zamawiającego. Zamówienie zostało podzielone na trzy następujące zadania: Zadanie 1: Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami Dostawa, instalacja i konfiguracja w/w urządzenia wraz z niezbędnymi licencjami. Wymagania dotyczące tego urządzenia zawarte są w specyfikacji technicznej - w punktach od 1 do 4 włącznie. Zadanie 2: Wirtualne urządzenie do ochrony poczty elektronicznej wraz z licencjami, dla 600 kont pocztowych Dostawa, instalacja i konfiguracja w/w urządzenia wirtualnego wraz z niezbędnymi licencjami. Wymagania dotyczące tego urządzenia zawarte są w specyfikacji technicznej, niniejszego załącznika - w punktach od 1 do 13 włącznie. Zadanie 3 Wirtualne urządzenie do ochrony ruchu WWW i FTP wraz z licencjami, dla 500 użytkowników Dostawa, instalacja i konfiguracja oprogramowania wraz z niezbędnymi licencjami. Wymagania dotyczące tego urządzenia zawarte są w specyfikacji technicznej, niniejszego załącznika - w punktach od 1 do 4 włącznie. Opis wdrożenia (dostawa, instalacja, konfiguracja i instruktaż) znajduje się na str.14, niniejszego załącznika. Zamawiający nie dopuszcza składania ofert częściowych. Zaproponowane urządzenia oraz licencje muszą: - być objęte min. 36-miesięcznym (3 lata) serwisem opartym na serwisie producenta urządzenia, zapewniającym wymianę uszkodzonego sprzętu najpóźniej w następnym dniu roboczym po dniu zgłoszenia awarii, jeżeli zgłoszenie wpłynęło w dniu roboczym do godziny 12:00, lub kolejnego dnia w pozostałych przypadkach i zapewniać w tym okresie możliwość bezpłatnej aktualizacji oprogramowania do nowych wersji, i dostępu do wsparcia technicznego producenta, - być fabrycznie nowe i nieużywane wcześniej w żadnych innych projektach. Nie dopuszcza się urządzeń typu refurbished lub odnowionych (zwróconych do producenta i później odsprzedawanych ponownie przez producenta), - pochodzić z legalnego kanału sprzedaży producenta. Zamawiający zastrzega sobie możliwość weryfikacji numerów seryjnych dostarczonej platformy sprzętowej u producenta, w celu sprawdzenia czy pochodzi ona z legalnego kanału sprzedaży, - końcowym właścicielem oferowanego sprzętu, licencji i oprogramowania musi być Zamawiający. W ramach składanej oferty Wykonawca winien wypełnić Formularz Ofertowy zgodnie z załączonym wzorem i wymaganiami zawartymi w SIWZ. Rozbudowa istniejącej infrastruktury teleinformatycznej, musi być oparta na aktualnej infrastrukturze Zamawiającego, stąd nie dopuszcza się wymiany żadnego z elementów jego obecnej infrastruktury (sprzęt, licencje i oprogramowanie). Zaoferowane urządzenia, muszą być w 100% kompatybilne z aktualnymi elementami i możliwymi do uruchomienia na nich funkcjonalnościami. Elementami aktualnej infrastruktury teleinformatycznej (rdzeń sieci), na których zostanie oparta jej rozbudowa są: - firewalle Cisco ASA-X 5545, - routery Cisco ISR G i 2951, 2/16

4 - przełączniki Cisco Nexus 5672UP oraz Catalyst 3850, - macierz EMC VNXe 3150, - Dwa Serwery kasetowe typu blade UCS Blade Server - Oprogramowanie do wirtualizacji VMware ESXi Oferowane urządzenia muszą umożliwiać integrację z posiadanymi przez Zamawiającego firewallami serii Cisco ASA 5500 co najmniej w zakresie przekierowania ruchu z wykorzystaniem WCCP oraz przenoszenia informacji o tożsamości użytkowników łączących się z wykorzystaniem kanałów szyfrowanych (Remote Access VPN). Oferowane rozwiązanie ochrony poczty elektronicznej i ruchu WWW/FTP musi być zrealizowane w postaci dwóch dedykowanych urządzeń dostarczanych przez producenta systemu oraz dwóch instancji wirtualnych. Rozwiązanie to musi posiadać możliwość przeniesienia systemu na inne serwery będące w posiadaniu Zamawiającego bez ponoszenia dodatkowych kosztów oraz musi posiadać opcję skalowania w celu uzyskania większej wydajności na kolejne maszyny wirtualne będące w posiadaniu Zamawiającego, również bez ponoszenia dodatkowych kosztów. Urządzenia wirtualne muszą zostać posadowione w postaci instancji maszyn wirtualnych. Proponowane rozwiązanie musi dać się w przyszłości uruchomić na redundantnych maszynach potrafiących pracować zarówno w trybie aktywny -zapasowy jak i aktywny -aktywny bez dodatkowych licencji wymaganych do uruchomienia tych funkcjonalności. 2.Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami Wymagania dotyczące urządzenia: 1. Wydajność: Urządzenie musi: - Oferować co najmniej 2 Gbps maksymalnej wydajności dla ruchu IPv4 i IPv6, - Oferować co najmniej 600 Mbps maksymalnej wydajności z włączoną funkcjonalnością ściany ogniowej (firewall) i systemu wykrywania włamań (IPS), - Oferować co najmniej 300 Mbps maksymalnej wydajności dla szyfrowania VPN algorytmami 3DES/AES, - Wspierać co najmniej 750 tuneli IPSec VPN (peers) site-to-site, - Wspierać co najmniej 750 tuneli SSL/VPN z użyciem klienta lub w trybie clientless, - Oferować przynajmniej 20,000 nowych połączeń na sekundę - Oferować przynajmniej 500,000 równoczesnych translacji NAT lub PAT, - Wspierać ramki Ethernet typu Jumbo (9216 bajtów), - Posiadać konsumpcję energii nie większą niż 400W. 2. Parametry: Urządzenie musi: - Posiadać przynajmniej 8 GB pamięci RAM, - Pracować w oparciu o 64-bitowy system operacyjny, - Posiadać przynajmniej 8 GB pamięci flash, - Umożliwiać realizację dostępu administracyjnego do interfejsu zarządzania opartego o role (RBAC), - Posiadać dedykowany interfejs do wprowadzania zmian w trybie out-of-band (konsola), - Posiadać 2 porty USB ze wsparciem systemu plików na kluczach USB, - Mieć rozmiar 1U i umożliwiać instalację w szafie 19". 3. Interfejsy: Urządzenie musi: - Posiadać przynajmniej 8 zintegrowanych interfejsów Gigabit Ethernet 10/100/1000BASE-T, - Wspierać przynajmniej 200 VLANów per kontekst w trybie pracy jako firewall warstwy 3 (routed) dla protokołu IPv4 i IPv6, - Wspierać przynajmniej 8 grup po 4 VLANy per kontekst w trybie pracy jako firewall warstwy 2 (transparent) dla protokołu IPv4 i IPv6, - Posiadać moduł rozszerzeń, umożliwiający obsadzenie dodatkowej karty z interfejsami sieciowymi, 3/16

5 posiadającej przynajmniej dodatkowych 6 interfejsów Gigabit Ethernet 10/100/1000BASE-T lub przynajmniej dodatkowych 6 interfejsów Gigabit Ethernet SFP 1000BASE-SX lub -LX/LH, - Umożliwiać realizację wysokiej dostępności dla ruchu IPv4 i IPv6 poprzez mechanizmy: a. failover active-standby, b. failover active-active, c. wsparcia dla routingu asymetrycznego w trybie active-active. 4.Wymagania dodatkowe: Urządzenie musi: - Umożliwiać przenoszenie konfiguracji 1 do 1 z aktualnego urządzenia Cisco ASA-X 5545 (nie dopuszcza się użycia do tego celu żadnych dodatkowych skryptów i narzędzi), - Wspierać funkcjonalność równoważną do znajdującej się na obecnych Cisco ASA-X 5545 funkcji Botnet Traffic Filter i zostać dostarczone z licencjami umożliwiającymi korzystanie z niej przez okres 3 lat, UWAGA: W chwili zamówienia, nie jest wymagana funkcjonalność IPS. 3. Wirtualne urządzenie do ochrony poczty elektronicznej wraz z licencjami - dla 600 kont pocztowych Wymagania dotyczące wirtualnego urządzenia: 1.Wirtualne urządzenie musi: - dać się uruchomić w środowisku wirtualnym VMware ESXi producent tego rozwiązania (urządzenia) musi wspierać to środowisko - dać się uruchomić w środowisku serwerowym Cisco Unified Computing System (Cisco UCS ), - umożliwić obsługę minimum 600 użytkowników i dać się w przyszłości rozszerzyć do 999, - zostać dostarczone z licencjami umożliwiającymi korzystanie z wymienionych funkcji na okres minimum 3 lat, - pochodzić z legalnego kanału dystrybucji producenta na terenie UE, - zostać dostarczone z serwisem producenta rozwiązania (urządzenia) umożliwiającym aktualizację systemu w okresie minimum 3 lat, - obsługiwać tzw. Outbreak Filters, które są w stanie blokować, tymczasowo wstrzymać lub wypuścić wiadomość w oparciu o parametry takie jak: typ pliku, jego nazwa i rozmiar oraz lista URL, na podstawie informacji otrzymywanych okresowo z centrum bezpieczeństwa producenta rozwiązania. Outbreak Filter muszą także umożliwiać nadpisanie URL prowadzących do podejrzanych miejsc w celu przeskanowania zawartości poprzez wirtualne urządzenie ochrony ruchu WWW, - obsługiwać system antywirusowy, który aktualizuje się samoczynnie co 5 minut, - zostać dostarczony z co najmniej jednym silnikiem antywirusowym i obsługiwać możliwość wykorzystania co najmniej dwóch, - obsługiwać system antyspamowy wykorzystujący reputację nadawcy oraz badanie kontekstu wiadomości i jej treści z włączeniem URL, - obsługiwać filtrowanie wiadomości z wykorzystaniem tzw. whitelist i blacklist. - umożliwiać w przyszłości licencyjne rozszerzenie funkcjonalności o zaawansowaną ochronę malware, kontrolę wiadomości wychodzących, DLP (Data Loss Prevention) i Envelope Service umożliwiające wysyłanie szyfrowanych wiadomości oraz ich unieważnianie w określonym czasie w oparciu o portal producenta rozwiązania. 2.Wymagania ogólne: W ramach tego zamówienia Zamawiający będzie wymagał realizacji ochrony dla poczty przychodzącej. Wirtualne urządzenie musi: - Umożliwiać realizację następujących funkcji jako całościowe rozwiązanie ochrony poczty elektronicznej: a. ochronę przed szkodliwą treścią (m.in. malware, wirusy etc.) b. ochronę przed spamem c. filtrowanie treści przesyłanej w poczcie elektronicznej (w tym załączniki) d. ochronę przed utratą informacji wrażliwych (wbudowany system DLP) - Umożliwiać kontrolę protokołu SMTP w tym szyfrowane wersje tego protokołu: SSL i TLS 4/16

6 - Zapewniać filtrowanie poczty przychodzącej i wychodzącej, przy czym musi istnieć możliwość przypisana odrębnych polityk dla każdego z kierunków przesyłania poczty elektronicznej - Zapewniać ochronę dla komunikacji z wykorzystaniem protokołu IPv4 i IPv6 - Pracować jako gateway dla poczty elektronicznej (jako MTA - Mail Transfer Agent) 3.Architektura rozwiązania: Urządzenie musi: - Być dedykowanym MTA (Mail Transfer Agent) pracującym w trybie bramy dla ruchu SMTP - Umożliwiać tworzenie klastrów w trybie active -active z rozkładem obciążenia - Składać się z co najmniej dwóch redundantnych urządzeń potrafiących pracować zarówno w trybie aktywny - zapasowy jak i aktywny -aktywny bez dodatkowych licencji wymaganych do uruchomienia tych funkcjonalności - wspierać protokoły SMTP, ESMTP, Secure SMTP over TLS jako protokoły Mail Injection i Mail Delivery - posiadać system operacyjny, który musi mieć specjalnie zaprojektowany mechanizm do obsługi I/O, zoptymalizowany do obsługi poczty elektronicznej 4.Konfiguracja urządzenia musi być możliwa poprzez: a. Interfejs Web: HTTP i HTTPS b. CLI: przez SSH i telnet 5.Mechanizmy kryptograficzne: Urządzenie musi wspierać następujące mechanizmy kryptograficzne: a. TLS: 56-bit DES, 168-bit 3DES, 128-bit RC4, 128-bit AES i 256-bit AES b. DomainKeys Signing: 512-, 768-, 1024-, 1536-, and 2048-bit RSA 6.Definiowanie polityk: System zarządzania politykami musi umożliwiać: - Wielokrotne wykorzystywanie w regułach predefiniowanych elementów takich jak filtry i akcje - Definiowanie co najmniej następujących akcji (w ramach polityki): a. dostarczenie wiadomości z wykonaniem dodatkowych akcji: - zmodyfikowanie tematu przesyłki - usunięcie i/lub dodanie nagłówka X-header - wysłanie kopii wiadomości pod wskazany adres lub adresy b. zablokowanie wiadomości c. zapisanie wiadomości do wskazanej kolejki d. wysłanie powiadomienia - Budowanie polityk i wyjątków od polityk, obejmujących wszystkie funkcjonalności produktu, niezależnie dla ruchu wychodzącego i przychodzącego z zastosowaniem co najmniej: a. domen i pojedynczych adresów b. obiektów z Microsoft AD c. adresów pojedynczych użytkowników - Tworzenie odrębnych polityk i wyjątków dla różnych użytkowników 7. System ochrony antyspamowej: System ochrony antyspamowej musi: - Posiadać rozbudowane narzędzia zapobiegania przesyłaniu SPAM do serwera pocztowego. W tym celu system musi zapewniać mechanizmy ochrony oparte co najmniej o: a. sygnatury b. słowniki c. heurystykę, dla której musi być możliwa regulacja czułości (kontrola ilości False-Positives) - Posiadać wbudowane mechanizmy metody wykrywania wiadomości komercyjnych typu Newsletters i umożliwiać traktowanie tych wiadomości w zależności od ustalonej polityki organizacji jako SPAM lub jako wiadomość dopuszczona - Zapewnić opcję definiowania wyjątków od stosowanych polityk - Posiadać mechanizm antyspamowy, który musi być realizowany dwufazowo: a. Pierwsza faza musi opierać się na sprawdzeniu reputacji adresu IP nadawcy w ogólnoświatowej bazie reputacji, która z kolei musi: - Otrzymywać dane z co najmniej źródeł z całego świata 5/16

7 - Analizować co najmniej 150 parametrów dotyczących ruchu poczty elektronicznej i protokołu WWW (w tym co najmniej 90 dla poczty) - Używać do komunikacji z rozwiązaniem protokołu DNS - Zwracać wynik reputacji dla adresu IP w skali co najmniej 20 stopniowej czyli np. od -10 do 10 - Ustalać rezultat reputacji jedynie na podstawie zbieranych danych, nie dopuszczając jednorazowych interwencji ze strony wysyłających pocztę mających na celu manualne podwyższenie ich reputacji - Umożliwiać wykorzystanie, co najmniej dwóch systemów badania reputacji nadawców dla poczty przychodzącej. Jeden z nich oparty o publiczny serwis Real-Time Blacklist (RBL), drugi musi być systemem własnym producenta zaimplementowanym w rozwiązaniu b. Druga faza działania mechanizmu antyspamowego musi następować, wtedy, gdy wiadomość przejdzie pomyślnie fazę pierwszą i musi opierać się na silniku antyspamowym, korzystającym z reguł wysyłanych od producenta. Przy czym, reguły muszą być tworzone dynamicznie na podstawie informacji z co najmniej trzech źródeł: - Reguły muszą weryfikować informację na temat adresów IP pojawiających się w mailach jako linki do stron, strukturę wiadomości, czyli sposób w jaki została wysłana, treść wiadomości oraz reputację nadawcy. - Reguły powinny być uaktualniane automatycznie, nie rzadziej niż co 5 minut przez Internet System ochrony antyspamowej dodatkowo musi: - Posiadać możliwość skorzystania z funkcji reverse DNS lookup do określenia nazwy domeny dla adresu IP nadawcy wiadomości przychodzącej, wykonanie weryfikacji, oraz odrzucenie połączenia w przypadku: - Braku rekordu PTR - Niezgodności nazwy domeny przesłanej w komunikacie SMTP HELO/EHLO z nazwą domeny w rekordzie DNS - Niezgodności rekordu PTR z rekordem A - Umożliwiać weryfikację nadawcy wiadomości w oparciu o mechanizm SPF (Sender Policy Framework) - Umożliwiać, co najmniej: - Odrzucenie lub przyjęcie wiadomości jeżeli rekord SPF nie istnieje - Odrzucenie wiadomości jeżeli rekord SPF nie pasuje do domeny nadawcy -Umożliwiać: - Monitorowanie i ograniczanie ilości połączeń z jednego adresu IP w określonym przedziale czasu oraz musi zapewniać: - opcję definicji przedziału czasowego - opcję ograniczenia maksymalnej ilości połączeń i wiadomości - Monitorowanie i ograniczanie Ilości równoczesnych połączeń SMTP dla jednego adresu IP - Ograniczanie maksymalnej liczby wiadomości przekazywanych za pomocą pojedynczego połączenia SMTP - Wskazanie timeout u dla niewykorzystywanego połączenia - Pozwalać na blokowanie na określony czas przyjmowania poczty z adresów IP, dla których odnotowano wiadomości zawierające zdefiniowaną liczbę niewłaściwych adresatów z chronionej domeny 8. System ochrony antywirusowej System ochrony antywirusowej musi: a. Zapewniać blokowanie złośliwych i niebezpiecznych treści: z wykorzystaniem tradycyjnego skanowania antywirusowego opartego o co najmniej jeden komercyjny silnik antywirusowy oraz bazy sygnatur kodów złośliwych 6/16

8 z wykorzystaniem zaawansowanych technik wykrywania zagrożeń jak metody oparte o heurystykę i analizy w czasie rzeczywistym typu ActiveX, Javascript lub VB script b. Umożliwić uruchomienie mechanizmu bezpieczeństwa (sandboxingu) dla plików (reputacja i sandboxing) oraz sprawdzenia informacji o przesyłanych obiektach w chmurze w celu wykrywania i blokowania zagrożeń poprzez dodanie stosownej licencji c. Umożliwiać definiowanie wyjątków od stosowanych polityk d. Silniki antywirusowe muszą korzystać z następujących metod skanowania wiadomości: dopasowanie wzorców binarnych do sygnatur antywirusowych analizy heurystycznej emulacji uruchomienia kodu (w celu zapobiegania infekcji wirusami polimorficznymi) e. Mechanizm musi mieć do dyspozycji oddzielną od dedykowanej dla spamu kwarantannę, do której dostęp ma tylko administrator System musi zapewniać mechanizmy dynamicznej ochrony przed epidemią złośliwego kodu (ang. Outbreak) Mechanizm antywirusowy musi posiadać technologię umożliwiającą automatyczną kwarantannę wiadomości, które pomimo, że nie są wskazane przez powyższe metody skanowania (z powodu np. braku odpowiednich sygnatur antywirusowych), mogą jednak zawierać złośliwy kod. Informacje o takim podejrzeniu powinny być wysyłane przez bazę reputacji, o parametrach opisanych w wymogach modułu antyspamowego. Podejrzane wiadomości powinny pozostać w kwarantannie, aż do wypuszczenia przez producentów silników antywirusowych odpowiednich sygnatur i automatycznie wypuszczane i skanowane ponownie po ściągnięciu odpowiednich sygnatur. 9. Filtrowanie i kontrola treści System ochrony poczty elektronicznej musi umożliwiać kontrolę treści wiadomości co najmniej w zakresie: a. słowa kluczowe b. słowniki c. wyrażenia regularne d. typ załączników Kontrola musi obejmować co najmniej następujące elementy wiadomości: a. tytuł, b. treść c. nagłówki d. adres nadawcy e. adres odbiorcy Proponowane rozwiązanie musi posiadać mechanizmy analizy i flitrowania oraz zarządzania treścią wiadomości poczty elektronicznej (zarówno treści samej wiadomości jak i jej załączników). System ochrony musi mieć możliwość: - Zdefiniowania polityki zarządzania treścią wiadomości w oparciu o wynik reputacji pobrany z bazy reputacji o parametrach opisanych w module antyspamowym. - Zdefiniowania polityki zarządzania treścią wiadomości w oparciu o wynik uwierzytelnienia DKIM, funkcjonalności opisanej w wymaganiach dotyczących zastosowania kryptografii w proponowanym urządzeniu - Filtrowania treści za pomocą integracji z zewnętrznymi słownikami Oferowany system ochrony poczty musi umożliwiać zarządzanie kolejkami (folderami) dla blokowanych wiadomości w zakresie zarządzania predefiniowanymi oraz tworzenia nowych. Wiadomości kierowane do określonych kolejek powinny móc być przechowywane w ramach urządzenia (appliance) lub poza nim na zasobie dostępnym przez NFS lub Samba. System ten musi zawierać moduł DLP umożliwiający identyfikację chronionych informacji z użyciem mechanizmów takich, jak: a. słowa kluczowe b. słowniki c. wyrażenia regularne 7/16

9 d. właściwości przesyłanych plików takie, jak prawdziwy typ pliku, jego nazwa lub rozmiar System ochrony poczty musi zapewniać kwarantannę dla zablokowanych wiadomości. Dla kolejki kwarantanny musi być możliwe zdefiniowanie jej maksymalnej wielkości oraz czasu, po którym wiadomości będą usuwane. 10. Kryptografia Oferowane rozwiązanie (urządzenie) musi: - Posiadać mechanizmy oznaczania poczty wychodzącej (Bounce Address Tag Validation (BATV)) oraz weryfikacji tego oznaczenia w przypadku otrzymania wiadomości odbitej od odbiorcy (tzw. Bounce) w celu ochrony przed atakami typu misdirected bounce spam - Obsługiwać standard DKIM (Domain Keys Identified Messages) używany w celu uwierzytelnienia poczty, za pomocą szyfrowania asymetrycznego - Umożliwiać opcjonalnie, oddzielnie licencjonowane, szyfrowanie symetryczne poczty dla wybranych wiadomości, wykonywane bez potrzeby jakiejkolwiek ingerencji w klienta pocztowego oraz bez potrzeby implementacji PKI. - Udostępniać szyfrowanie za pomocą algorytmów AES orz ARC. 11. Moduł raportujący i zarządzający: Konfiguracja urządzenia musi być możliwa poprzez: a. Interfejs Web: HTTP i HTTPS b. CLI: przez SSH i telnet (w przypadku dedykowanego rozwiązania sprzętowego) Oferowane rozwiązanie (urządzenie) musi być wyposażone w system raportujący umożliwiający: a. generowanie predefiniowanych oraz własnych raportów na żądanie oraz zgodnie z harmonogramem, przy czym harmonogram powinien umożliwiać generowanie raportów codziennie, co tydzień lub co miesiąc b. dostarczanie raportów w postaci plików pdf i csv c. dostosowanie tematu i treści automatycznie wysyłanego maila zawierającego generowane raporty Zarządzanie, przeglądanie aktywności użytkowników oraz raportowanie musi być dostępne przez zintegrowaną webową konsolę administracyjną. Dostęp do webowej konsoli zarządzającej musi odbywać się w bezpiecznym połączeniu https. Konsola zarządzająca musi zawierać ekran przedstawiający wykres sumarycznej aktywności z ostatnich 24 godzin oraz podstawowe statystyki. Oferowane rozwiązanie (urządzenie) musi udostępniać mechanizm pozwalający na przeglądanie przez chronionych użytkowników wiadomości umieszczonych w kwarantannie, umożliwiając im również zwolnienie wybranych wiadomości z kwarantanny. 12. Wymagania sprzętowe instancja wirtualna: Urządzenie wirtualne musi: a. Być urządzeniem dedykowanym MTA (Mail Transfer Agent) pracującym w trybie bramy dla wchodzącego i wychodzącego ruchu SMTP b. Umożliwiać pracę w postaci instancji wirtualnych c. Posiadać opcję skalowania w celu uzyskania większej wydajności na kolejne maszyny wirtualne będące w posiadaniu Zamawiającego bez ponoszenia dodatkowych kosztów d. Zostać posadowione na platformie wirtualnej w konfiguracji umożliwiającej obsługę 600 skrzynek pocztowych e. Dać się w przyszłości uruchomić na redundantnych maszynach potrafiących pracować zarówno w trybie aktywny -zapasowy jak i aktywny -aktywny bez dodatkowych licencji wymaganych do uruchomienia tych funkcjonalności 13. Wymagane licencje: Urządzenie wirtualne musi: a. Być zaoferowane z możliwością instalacji systemu na nieograniczonej liczbie maszyn wirtualnych b. Posiadać licencje dla 600 skrzynek pocztowych z minimum 3-letnią subskrypcją (z możliwością przedłużenia) na następujące funkcjonalności: Antyspam 8/16

10 Antywirus Outbreak c. Posiadać funkcjonalności dostępne dla poczty przychodzącej 4. Wirtualne urządzenie do ochrony ruchu WWW /FTP wraz z licencjami dla 500 użytkowników Wymagania dotyczące wirtualnego urządzenia: 1. Wymagania ogólne: Wirtualne urządzenie do ochrony ruchu WWW i FTP musi: - dać się uruchomić w środowisku wirtualnym VMware ESXi producent tego rozwiązania (urządzenia) musi wspierać to środowisko - dać się uruchomić w środowisku serwerowym Cisco Unified Computing System (Cisco UCS ), - umożliwić obsługę minimum 500 użytkowników i dać się w przyszłości rozszerzyć do 999, - zostać dostarczone z licencjami umożliwiającymi korzystanie z wymienionych funkcji na okres minimum 3 lat, - pochodzić z legalnego kanału dystrybucji producenta na terenie UE, - zostać dostarczone z serwisem producenta rozwiązania umożliwiającym aktualizację systemu w okresie minimum 3 lat, - obsługiwać tzw. Application Visibility and Control (AVC), monitorowanie ruchu L4 i URL Filtering, - obsługiwać skanowanie treści strony w oparciu o reputację, - zostać dostarczony z minimum dwoma różnymi silnikami Anti-malware (np. Sophos Anti-malware i Webroot Anti-malware), - umożliwiać w przyszłości licencyjne rozszerzenie funkcjonalności o zaawansowaną ochronę malware, DLP (Data Loss Prevention), integrację z zakupionym już oprogramowaniem Cisco AnyConnect i Cisco ISE w celu zapewnienia obsługi Roaming-User Protection. Rozwiązanie (urządzenie wirtualne) ochrony komunikacji webowej musi monitorować i kontrolować ruch WWW analizować treści przesyłane tym kanałem komunikacji i zapewniać ochronę przed pobraniem złośliwych treści. 2.Wymagania szczegółowe: Dostarczone urządzenie wirtualne musi: -Zapewniać ochronę dla komunikacji z wykorzystaniem protokołu IPv4 i IPv6 -Umożliwiać tworzenie klastra pracującego w trybie active-active z równoważeniem obciążenia, z wykorzystaniem, co najmniej WCCP oraz zewnętrznych sprzętowych load balancer ów -Posiadać możliwość działania jako proxy dla HTTP, HTTPS, FTP (ftp over http, ftp active, ftp passive) -Zapewniać możliwość działania jako: a. proxy dedykowane (explicit proxy) b. proxy transparentne (transparent proxy), z wykorzystaniem routingu opartego o polityki (PBR - policy based routing) lub przekierowania z wykorzystaniem protokołu WCCP v2, -Zapewniać możliwość współpracy z innymi serwerami proxy w konfiguracji hierarchicznych łańcuchów proxy (proxy chaining): a. jako serwer nadrzędny, w trybie upstream proxy (parent proxy) b. musi zapewniać możliwość użycia nagłówków informujących o prawdziwym żródle połączenia (X-Auth-User oraz X-Forwarded-For) c. jako serwer podrzędny, w trybie downstream proxy (child proxy) d. musi zapewniać możliwość dodania nagłówków informujących o prawdziwym żródle połączenia do zapytania URL (X-Auth-User oraz X-Forwarded-For) -Zapewniać możliwość nasłuchiwania obsługiwanych protokołów, na portach innych niż standardowe -Umożliwiać uwierzytelnienie użytkowników z wykorzystaniem mechanizmów NTLM, LDAP, 9/16

11 -Posiadać możliwość integracji z Microsoft Active Directory w celu możliwości definiowania polityk dla użytkowników oraz innych elementów AD (grupy, OU, itp) -Zapewniać możliwość lokalnego uwierzytelnienia użytkownika w przypadku braku informacji go identyfikujących - Zapewniać cache owanie obiektów pobieranych przez użytkowników (zmniejszenie wykorzystania pasma do Internetu) - Zapewniać wiele warstw ochrony. Przy czym pierwszą warstwą ochrony musi być sprawdzenie reputacji adresu IP bądź domeny, z którymi łączą się użytkownicy strefy chronionej, za pomocą danych zgromadzonych w globalnej bazie reputacji, która ustala reputację co najmniej w 20 stopniowej skali np. w zakresie od -10 do +10. Ocena reputacji musi być określana na podstawie analizy co najmniej 50 różnych parametrów dotyczących adresów WWW co najmniej, takich jak: Weryfikacja czy strona znajduje się na tzw. internetowych Czarnych listach stron WWW Weryfikacja czy strona znajduje się na tzw. Internetowych Białych listach stron WWW Określenie w jakiej kategorii jest skatalogowana Określenie treści strony Sprawdzenia zachowania się URL podczas połączenia Sprawdzenie danych dotyczących globalnego ruchu sieciowego dotyczącego tej strony Sprawdzenie danych podmiotu na który domena jest zarejestrowana Określenie czy adres IP strony pochodzi z puli adresów przydzielanych dynamicznie Sprawdzenie czy adres znajduje się na liście serwerów na które się włamano Sprawdzenie danych właścicieli sieci, w których strona jest hostowana 3. Wymagania dodatkowe: Dodatkowo urządzenie wirtualne do ochrony ruchu WWW i FTP musi: - Umożliwiać rozróżnienie reputacji - oddzielnie dla obiektów na stronie www np. dla plików graficznych, java, flash itp. - Umożliwiać kontrolę ruchu użytkowników wewnętrznych do zasobów zewnętrznych na podstawie zdefiniowanych uprawnień. - Zapewniać możliwość definiowania uprawnień dotyczących: a. Obiektu docelowego w oparciu o: - Kategorię URL do której przypisany jest dany adres URL, - Adres IP zasobu - Wykorzystywany protokół lub aplikację. b. Użytkowników wewnętrznych w oparciu o - Obiekty w Active Directory - Adresację IP. - Zapewniać ochronę przed niebezpieczną treścią w obu kierunkach ruchu pomiędzy siecią wewnętrzną i zewnętrzną - Umożliwiać blokowanie złośliwej treści z wykorzystaniem: - Skanowania antywirusowego - Zaawansowanych heurystycznych technik wykrywania - Umożliwiać blokowanie dostępu do zasobów związanych z zagrożeniami (malware, phishing, etc) - Posiadać możliwość wykrywania i blokowania ruchu pochodzącego od zainfekowanych hostów wewnętrznych wychodzącego do Internetu (ruch PhoneHome do Botnet Command&Control). - Umożliwiać definiowanie granularnej polityki dostępu do zasobów w określonych kategoriach URL z wykorzystaniem taki atrybutów jak a. Nazwa użytkownika, b. Grupa użytkowników do której przynależy użytkownik, c. adres IP stacji, d. zakres adresów IP, e. dzień tygodnia, f. pora dnia, 10/16

12 - Pozwalać na tworzenie własnych stron z komunikatami dla użytkowników - Umożliwiać warunkowe udostępnianie użytkownikom, stron blokowanych przez aktualną politykę, przy czym: a. Warunkowy dostęp może odbywać się poprzez wyświetlenie strony na której użytkownik będzie mógł potwierdzić wolę skorzystania ze strony pomimo iż jest to niezgodne z polityką. b. Warunkowy dostęp musi być definiowany przez administratora dla wybranych stron, adresów IP i obiektów na stronach c. Informacja o decyzjach użytkowników muszą być zapisywane w logach z dokładnością do informacji o: - Czasie, - Stronie do której dostęp był blokowany, - Użytkowniku - Decyzji podjętej przez użytkownika. - Umożliwiać deszyfrację i inspekcję szyfrowanych połączeń HTTPS. - Zapewniać możliwość granularnej konfiguracji skanowania połączeń HTTPS w szczególności a. Wyłączenie deszyfracji dla określonych kategorii stron internetowych, b. Wyłączenie deszyfracji dla wskazanych stron, c. Wyłączenie deszyfracji dla wskazanych adresów IP 4. System ochrony ruchu WWW /FTP musi ponadto: - Pracując w modelu proxy musi mieć możliwość kontroli atrubutów związanych z certyfikatem, przedstawianym przez serwer docelowy, w szczególności system musi: a. Weryfikować zgodność adresu zawartego w certyfikacie i żądanego przez użytkownika, b. Sprawdzać datę ważności certyfikatu, c. Zapewniać kontrolę łańcucha certyfikacji, d. Weryfikować unieważnienie certyfikatu z wykorzystaniem CRL oraz OCSP. - Zapewniać zarządzanie listą Trusted Root CA wykorzystywaną przy weryfikowaniu certyfikatów serwerów docelowych. - Umożliwiać ostrzeganie użytkowników przed naruszeniem reguł z opcją kontynuacji. Zdarzenia takie muszą być logowane celem umożliwienia rekonfiguracji systemu i zdefiniowania dla nich domyślnych akcji w przyszłości. System musi umożliwiać zdefiniowanie co najmniej następujących akcji: a. Blokowanie b. Blokowanie z możliwością kontynuacji, c. Wyłączenie inspekcji https dla danej strony, - Umożliwiać kategoryzację odwiedzanych przez użytkowników stron internetowych na podstawie ich bieżącej zawartości. - Zapewniać możliwość zdefiniowania procesu dynamicznej kategoryzacji dla stron, które nie są już skategoryzowane. Jednocześnie strony, które zostały uprzednio skategoryzowane nie będą podlegały ponownie temu procesowi - Umożliwiać tworzenie polityki dostępu do zasobów internetowych w oparciu o: a. Słowa kluczowe zawarte w adresie URL, b. Typy plików, c. Zajętość pasma sieciowego dla streaming media. - Umożliwiać kontrolę nad działaniami użytkowników wykonywanych w ramach portali społecznościowych w tym korzystaniem z mikro-aplikacji. Kontrola musi być możliwa z granularnością dla funkcji w obrębie portali np. publikowanie komentarzy, zamieszczanie zdjęć, korzystanie z chat, etc. - Umożliwiać blokowanie aktywnych treści - ActiveX, JavaScript, oraz VBScript z treści dostarczanej użytkownikowi. - Umożliwiać tworzenie wyjątków dla poszczególnych stron internetowych, od obowiązującej polityki kontroli ruchu, niezależnie dla protokołów http, https i ftp lub aplikacji. Definicja wyjątków musi uwzględniać: a. Kategoryzację danej treści, b. Skanowanie zagrożeń c. Usuwania treści aktywnych 11/16

13 d. dostęp do protokołu i/lub aplikacji. - Pozwalać na elastyczne definiowanie ról administratorów z możliwością rozgraniczenia uprawnień. W szczególności system musi pozwalać na stworzenie roli z dostępem w trybie Read-Only - Umożliwiać przechowywać logi dotyczące aktywności użytkowników przez okres zdefiniowany przez administratora - Zapewniać narzędzie raportujące pozwalające na manualne oraz zautomatyzowane generowanie raportów w zakresie wszystkich parametrów monitorowanych i kontrolowanych przez system W szczególności raporty muszą obejmować: a. Analizę ruchu do konkretnych zewnętrznych adresów IP, b. Analizę ruchu do witryn internetowych oraz ich elementów, c. Analizę aktywności użytkowników wewnętrznych d. Analizę aktywności wewnętrznych adresów IP. - Posiadać możliwość eksportowania raportów, co najmniej w formatach PDF oraz CSV. - Zapewniać możliwość informowania administratorów o wystąpieniu określonych zdarzeń i incydentów w postaci wiadomości wysyłanych na prekonfigurowane adresy poczty elektronicznej, - Zapewniać możliwość kontroli dostępu użytkowników do poszczególnych raportów - Umożliwiać filtrowanie protokołów wykrytych w ruchu sieciowym innym niż http https, ftp oraz tunelowanych w HTTP/HTTPS - Wykrywać i umożliwiać definiowanie reguł dla następujących działań w sieci a. Wykrywanie i kontrola nad transferem plików w sieci; b. Wykrywanie komunikatorów internetowych umożliwiających wymianę wiadomości w czasie rzeczywistym oraz przesyłanie plików/załączników c. Wykrywanie i kontrola ruchu pomiędzy hostami w Botnet d. Wykrywanie ominięcia lub podmiany serwera proxy. e. Wykrywanie streamingu plików audio/wideo. - Posiadać możliwość filtrowania adresów URL. - Posiadać wbudowaną bazę adresów URL, z podziałem na kategorie związane z treścią stron,. Baza musi być utrzymywana przez producenta, aktualizowana i weryfikowana pod kątem poprawności zastosowanej dla stron www kategoryzacji - Umożliwiać tworzenie własnych kategorii stron i umieszczanie w nich stron nieskategoryzowanych jak też przynależących do innych kategorii - Pozwalać na zmiana przynależności określonych URL do kategorii - Umożliwiać kategoryzację w czasie rzeczywistym witryn nieskategoryzowanych w bazie danych URL lub witryn należących do kategorii dynamicznych (Social Networking i inne) - Umożliwiać analizę witryn internetowych z dokładnością do poszczególnych obiektów w szczególności w przypadku naruszenia polityki przez obiekt na stronie, wówczas użytkownikowi powinna zostać wyświetlona strona z pominięciem obiektów naruszących reguły. - Umożliwiać definiowanie następujących akcji w ramach filtrowania URL: a. Blokowanie b. Dopuszczenie c. Blokowanie z możliwością wejścia na stronę poprzez decyzję użytkownika o kontynuacji (wyświetlenie ostrzeżenia o naruszeniu polityki) - Umożliwiać definiowanie reguł dotyczących filtrowania URL z dokładnością do: a. Kategorii URL b. Wskazanych URL w ramach dowolnej kategorii c. Stron www d. Określonych obiektów na stronie www e. Treści typu ActiveX, Javascript lub VB script. - Zapewniać możliwość blokowania treści typu ActiveX, Javascript lub VB script. - Zapewniać stosowanie filtracji opartych o reputację witryn i adresów IP - Zapewniać blokowanie złośliwej zawartości jak szkodliwe oprogramowanie i wirusy z wykorzystaniem skanowania antywirusowego (silnik antywirusowy oraz bazy sygnatur malware) 12/16

14 13/16 - Umożliwiać blokowanie złośliwej treści z wykorzystaniem zaawansowanych technik wykrywania zagrożeń jak metody behawioralne i analizy w czasie rzeczywistym - Umożliwiać zastosowanie trzech komercyjnych silników anti-malware jednocześnie - Posiadać funkcję automatycznego wyboru i wykorzystania najlepszego silnika antymalware w zależności od rodzaju i typu treści przesyłanej w ramach strony www. System musi umożliwiać inspekcję równoległą jednocześnie różnymi silnikami różnych obiektów strony - Posiadać funkcję mechanizmu bezpieczeństwa (sandboxingu) lub badania w chmurze w celu wykrywania i blokowanie zagrożeń - Zapewniać mechanizmy zaawansowanej ochrony antimalware obejmujące a. Sprawdzenie reputacyjne dla plików przesyłanych przez urządzenie b. Kontrolę przesyłanych plików przez mechanizm sandboxingu c. Monitorowanie wsteczne dla plików już przesłanych Kontrola reputacji dla plików musi odbywać się w ogólnoświatowej bazie reputacji i na podstawie unikalnych danych własnościowych pliku. Nie jest dopuszczalne, aby sprawdzenie reputacyjne wymuszało przesłanie pliku na zewnątrz systemu ochrony www. Funkcja sandboxingu musi być realizowana bezpośrednio przez system ochrony www, niedopuszczalne jest stosowanie zewnętrznych systemów firm trzecich. Funkcja monitorowania wstecznego musi umożliwiać informowanie administratora o zmianie decyzji dotyczących plików uprzednio przesłanych przez urządzenie. W szczególności dotyczy to sytuacji gdy we wskazanym pliku wykryto złośliwy kod. Wymagane jest zapewnienie możliwości definiowania wyjątków od stosowanej polityki, niezależnie dla każdego protokołu http, https, ftp Oferowany system (urządzenie) musi być wyposażony w centralną webową konsolę zarządzającą umożliwiającą: a. Zarządzanie systemem, b. Przeglądanie aktywności użytkowników b. Raportowanie Oferowany system zarządzania urządzeniem wirtualnym do ochrony ruchu WWW /FTP musi: - Zapewniać możliwość delegacji uprawnień do administrowania poszczególnymi składnikami i opcjami systemu. - Umożliwiać zintegrowane zarządzanie rozwiązaniami tego samego producenta, również do ochrony poczty elektronicznej - Umożliwiać delegowanie uprawnień do zarządzania i raportowania - Udostępniać aktualne oraz historyczne dane dotyczące działania systemu Dostęp do konsoli zarządzającej musi odbywać się z wykorzystaniem https i z weryfikacją uprawnień dostępu.konfiguracja systemu ochrony www musi być przetrzymywana w pliku XML lub innym pozwalającym na jego przeglądanie w trybie offline Dodatkowo oferowany system musi być wyposażony w moduł raportujący, umożliwiający: a. Generowanie raportów z podziałem na pojedynczych użytkowników, grupy użytkowników adresów IP i ich aktywności b. Generowanie raportów ukryciem danych pozwalających zidentyfikować użytkownika c. Bieżący wgląd w aktywność użytkowników. Oferowany system musi umożliwiać monitorowanie aktywności użytkowników co najmniej w oparciu o następujące kryteria: a. Adres URL b. Kategoria adresu URL c. Źródłowy adres IP d. Docelowy adres IP e. Port f. Domena g. Użytkownik

15 h. Akcja i. Dzień j. Wolumen przesłanych danych - System operacyjny urządzenia musi posiadać specjalnie zaprojektowany mechanizm do obsługi I/O, zoptymalizowany do obsługi ochrony www. - Oferowany system (urządzenie) powinien być przygotowany do pełnej obsługi użytkowników. Oferowane rozwiązanie (urządzenie) musi zapewniać możliwość instalacji na nieograniczonej liczbie maszyn wirtualnych Oferowane rozwiązanie (urządzenie wirtualne) musi mieć licencje dla 500 użytkowników na 3 lata z możliwością przedłużenia i obsługiwać w ramach dostarczonych licencji następujące funkcjonalności: a. Filtracja reputacyjna b. Filtracja URL c. Wykrywanie aplikacji i kontrola korzystania z www d. Antymalware z wykorzystaniem co najmniej dwóch silników komercyjnych z licencyjną możliwością uruchomienia trzeciego w przyszłości Proponowane rozwiązanie (urządzenie) musi dać się w przyszłości zintegrować z dedykowaną konsolą zarządzającą umożliwiającą centralne zarządzanie wszystkimi instancjami systemu ochrony www /ftp i poczty elektronicznej (wirtualnymi i posadowionymi na dedykowanych urządzeniach) z jednego miejsca i spełniać szczegółowe wymagania dotyczące raportowania i zarządzania opisane dla systemów ochrony poczty elektronicznej i www /ftp. 5. Opis wdrożenia: Wdrożenie obejmować będzie dostawę, instalację i konfigurację zakupionych urządzeń oraz instruktaż. Jednakże, oprócz konfiguracji nowo dostarczonych urządzeń, Wykonawca będzie zobowiązany do rekonfiguracji urządzeń i serwerów pracujących już w systemie teleinformatycznym Zleceniodawcy w zakresie wymaganym wdrożeniem nowych urządzeń. Całość prac powinna przebiegać w sposób płynny i jak najmniej inwazyjny. Oznacza to, iż nowa konfiguracja powinna zostać przygotowana i zweryfikowana przed rozpoczęciem wdrożenia. Proces konfiguracji powinien odbyć się w siedzibie Wykonawcy i obejmować swoim zakresem tematy prac ustalone wcześniej ze Zleceniodawcą. Dla zapewnienia ciągłości działania systemu teleinformatycznego Zamawiającego, niektóre prace wdrożeniowe będą możliwe do wykonania wyłącznie poza regulaminowym czasem pracy, np. w godzinach wieczornych/nocnych lub w weekendy. Wymagania dotyczące osób prowadzących wdrożenie: Od Wykonawcy wymaga się oddelegowania do prac wdrożeniowych personelu posiadającego następujące certyfikaty: - CCDP (Cisco Certified Design Professional), - CCNP R&S (Cisco Certified Network Professional Routing&Switching), - CCNP-S (CCNP Security, formerly known as CCSP). Uwaga: Listę osób jaka zostanie wydelegowana do tych prac, wraz z listą posiadanych przez nich certyfikatów należy załączyć razem z ofertą. Opis wdrożenia urządzenia pełniącego funkcję zapory sieciowej: Dostawa i instalacja urządzenia w Oddziale Terenowym INiG PIB w Krośnie, ul. Armii Krajowej 3. Konfiguracja urządzenia pełniącego funkcję zapory sieciowej, swoim zakresem będzie obejmować między innymi technologie/protokoły: Botnet Traffic Filter, Stateful Firewall, SSL VPN, IPsec VPN/IKEv2, urpf, NetFlow, OSPF, QoS, ACL, Role-Based CLI Access, NTP i SSH. Opis wdrożenia urządzenia wirtualnego do ochrony poczty: 14/16

16 Dostawa i instalacja urządzenia w Krakowie. Konfiguracja wirtualnego urządzenia ochrony poczty swoim zakresem będzie obejmować: - Integrację nowo dostarczonego urządzenia z pracującymi w sieci Zleceniodawcy urządzeniami i serwerami, - Konfiguracja systemu antywirusowego i antyspamowego, - Weryfikacja poprawności działania obsługi poczty przychodzącej i wychodzącej. Opis wdrożenia urządzenia wirtualnego do ochrony ruchu WWW i FTP: Dostawa i instalacja urządzenia w Krakowie. Konfiguracja wirtualnego urządzenia ochrony ruchu WWW /FTP swoim zakresem będzie obejmować: - Integrację dostarczonego urządzenia z pracującymi w sieci Zleceniodawcy urządzeniami i serwerami, - Konfigurację polityk ochrony ruchu WWW /FTP na brzegu sieci, - Weryfikację poprawności działania ruchu WWW /FTP. Na zakończenie prac wdrożeniowych Wykonawca musi: 1.Przeprowadzić instruktaż z zakresu obsługi wdrożonych urządzeń i systemów. Instruktaż, po 2 godziny lekcyjne dla każdego urządzenia (systemu), w sumie 6 godzin, musi odbyć się w siedzibie Zamawiającego, na terenie Krakowa w terminie wcześniej uzgodnionym z Zamawiającym 2. Dostarczyć dokumentację powdrożeniową, zawierającą schemat aktualnej sieci, z uwzględnieniem nowych urządzeń wraz z plikami konfiguracyjnymi. 3. Przekazać wszelkie materiały z przeprowadzonych instruktaży oraz instrukcje do wszystkich zainstalowanych systemów i urządzeń. Materiały muszą być w języku polskim. 4. Przekazać Zamawiającemu pełny dostęp do wdrożonych urządzeń wraz z wszystkimi loginami i hasłami. Wykonawca zobowiązany jest to zapewnienia gwarancji na wdrożoną konfigurację i przeprowadzenia niezbędnych aktualizacji oprogramowania, przez okres minimum 3 miesięcy, po zamknięciu wdrożenia. 15/16