SIWZ na wyłonienie wykonawcy w zakresie zakupu i dostawy urządzeń sieciowych dla Pracowni Bezpieczeństwa Sieciowego WFAiIS UJ w Krakowie.

Transkrypt

1 BIURO ZAMÓWIEŃ PUBLICZNYCH UNIWERSYTETU JAGIELLOŃSKIEGO Ul.Straszewskiego 25/9, Kraków tel , fax ; Kraków, dnia 17 października 2008r. SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA zwana dalej w skrócie SIWZ 1) Nazwa (firma) oraz adres zamawiającego. 1. Uniwersytet Jagielloński, ul. Gołębia 24, Kraków. 2. Jednostka prowadząca sprawę: 2.1.Biuro Zamówień Publicznych UJ, ul. Straszewskiego 25/9, Kraków; tel ; fax ; bzp@adm.uj.edu.pl 2) Tryb udzielenia zamówienia. 1. Postępowanie prowadzone jest w trybie przetargu nieograniczonego, zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, zwaną w dalszej części SIWZ PZP (t.j. Dz. U. z 2007 r., Nr 223, poz. 1655). 2. Postępowanie prowadzone jest przez komisję przetargową powołaną do przeprowadzenia niniejszego postępowania o udzielenie zamówienia publicznego. 3. Do czynności podejmowanych przez zamawiającego i wykonawców w postępowaniu o udzielenie zamówienia stosuje się przepisy powołanej ustawy Prawo zamówień publicznych oraz aktów wykonawczych wydanych na jej podstawie, a w sprawach nieuregulowanych przepisy ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z późn. zm.). 3) Opis przedmiotu zamówienia. 1. Przedmiotem postępowania i zamówienia jest wyłonienie wykonawcy w zakresie zakupu i dostawy urządzeń sieciowych dla Pracowni Bezpieczeństwa Sieciowego Wydziału Fizyki, Astronomii i Informatyki Stosowanej Uniwersytetu Jagiellońskiego położonego przy ul.reymonta 4 w Krakowie. Zakres przedmiotu zamówienia obejmuje w szczególności 9 sztuk urządzeń sieciowych (ruterów) wraz z sieciowym systemem operacyjnym. 2. Szczegółowy opis przedmiotu zamówienia wraz z opisem minimalnych parametrów i wymagań technicznych oraz funkcjonalnych: Ilości zamawianych urządzeń wyspecyfikowanych w kolejnych punktach oraz upgrade supportu: 1 urządzenie typu A, 5 urządzeń typu B, 1 urządzenie typu C, 1 urządzenie typu D, 1 urządzenia typu E. bzp@adm.uj.edu.pl Strona 1 z 29

2 A. Ruter o wysokich parametrach bezpieczeństwa wykorzystujący techniki zabezpieczeń Unified Threat Management (UTM) z alternatywnym systemem operacyjnym i interfejsami Channlized E1 1. Urządzenie musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji. Urządzenie zabezpieczeń posiada możliwość zarządzania pasmem sieci (QoS) oraz zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. 2. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). Aktualizacja bazy sygnatur ataków (IPS) powinna odbywać się na żądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. 3. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antywirusowej kontrolujący pocztę elektronicznej (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. 4. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antyspamowej działającego w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. 5. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. 6. Jeśli wymagana jest licencja na funkcjonalności wymienione w punktach 2, 3, 4, 5 to nie jest ona elementem tego zamówienia. 7. System zabezpieczeń jest dostarczany jako dedykowane urządzenie sieciowe nie posiadające wrażliwych na awarie elementów sprzętowych (np. twardego dysku). Całość sprzętu i oprogramowania jest dostarczana i supportowana przez jednego producenta. 8. System zabezpieczeń nie może posiadać ograniczeń na liczbę chronionych komputerów w sieci wewnętrznej. 9. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy dowolnymi strefami bezpieczeństwa. Urządzenie musi obsługiwać nie mniej niż 40 stref bezpieczeństwa. 10. Urządzenia zabezpieczeń musi być sterowany przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny (tzn. nie może to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). 11. Urządzenie zabezpieczeń musi posiadać przepływność nie mniej niż 400 Mb/s dla firewall, nie mniej niż 175 Mb/s dla VPN (3DES) i obsługiwać nie mniej niż jednoczesnych połączeń. 12. Wraz z urządzeniem musi być dostarczony nośnik z dedykowanym na tą platformę sprzętową i supportowanym przez producenta alternatywnym systemem operacyjnym. Alternatywny system operacyjny musi: a) posiadać funkcjonalność rutera i firewalla równocześnie zapewniającą wydajność sprzętu, która nie może być niższa od 400 Mb/s dla ruchu IMIX. b) posiadać budowę modułową (moduły działają w odseparowanych obszarach pamięci), m.in. moduł rutingu IP, odpowiedzialny za ustalenie tras rutingu i zarządzanie urządzenia jest oddzielony od modułu przekazywania pakietów, odpowiedzialnego za przełączanie pakietów pomiędzy segmentami sieci obsługiwanymi przez urządzenie, c) przesyłać pakiety zgodnie z zasadą session-based forwarding, bzp@adm.uj.edu.pl Strona 2 z 29

3 d) zapewniać działanie dodatkowych modułów z interfejsami Channalized E1, e) obsługiwać protokoły dostępowe warstwy 2 OSI co najmniej: Frame Relay, Ethernet (z obsługą sieci VLAN poprzez tagowanie zgodne z 802.1q) oraz Pointto-Point Protocol/High level Data Link Control (PPP/ HDLC), Multitlink PPP, Multilink Frame Relay, PPP over Ethernet, f) obsługiwać protokoły dynamicznego rutingu: RIP(v.1 oraz v.2), IS-IS, OSPF oraz BGP. Urządzenie musi obsługiwać nie mniej niż 40 peer ów BGP i nie mniej niż prefiksów BGP, g) być wyposażony w funkcje zabezpieczeń Stateful Firewall z mechanizmami ochrony przed atakami DoS oraz ochrony komunikacji sieciowej IPSec, h) posiadać mechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywać się na podstawie DSCP, IP ToS, 802.1p. Urządzenie musi obsługiwać nie mniej niż 8 kolejek na każdy interfejs logiczny. Na urządzeniu powinno się wyodrębnić kolejkę typu strict priority. Urządzenie musi posiadać zaimplementowany mechanizm RED, i) zapewniać administratorom mechanizm szybkiego odtwarzania systemu i przywracania konfiguracji. W urządzeniu musi być przechowywanych nie mniej niż 20 poprzednich, kompletnych konfiguracji. 13. Urządzenie zabezpieczeń musi być wyposażone w co najmniej cztery wbudowane porty Gigabit Ethernet 10/100/100 (gotowe do użycia bez konieczności zakupu dodatkowych modułów i licencji), nie mniej niż 4 porty Channelized E1 pracujące pod kontrolą oryginalnego lub alternatywnego systemu operacyjnego oraz co najmniej 1 slot na dodatkowe karty z modułami interfejsów. 14. Urządzenie posiada możliwość uruchomienia następujących interfejsów sieciowych: E1, Serial, ADSL, jak również dodatkowych portów Gigabit Ethernet (miedzianych i optycznych na wkładki SFP). 15. Urządzenie posiada minimum 512 GB pamięci operacyjnej (DRAM). 16. System zabezpieczeń musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń ustala się w konfiguracji. 17. Sieci VPN tworzone przez system zabezpieczeń działają poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń posiada zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. 18. System zabezpieczeń posiada zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). 19. Konfiguracja VPN może odbywać się w oparciu o reguły polityki bezpieczeństwa (Policy-based VPN) oraz ustawienia rutingu (Routing-based VPN). 20. Urządzenie obsługuje protokoły dostępowe warstwy 2 OSI co najmniej: Frame Relay, Ethernet (z obsługą co najmniej 125 sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q) oraz Point-to-Point Protocol/High Level Data Link Control (PPP/ HDLC). W urządzeniu można zdefiniować nie mniej niż 5 wirtualnych ruterów posiadających odrębne tabele rutingu, umożliwiające podłączenie do urządzenia sieci o tej samej adresacji IP. Urządzenie obsługuje protokoły rutingu RIP, OSPF i BGP. bzp@adm.uj.edu.pl Strona 3 z 29

4 21. Polityka bezpieczeństwa systemu zabezpieczeń uwzględnia strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 22. System zabezpieczeń musi posiadać mechanizmy wykrywania i blokowania technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentów (m.in. Java/ActiveX/zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. 23. Zarządzanie zabezpieczeń w pełnym zakresie odbywa się z linii poleceń (CLI) oraz graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci są zabezpieczone kryptograficznie (tzn. wykonywane jest szyfrowanie komunikacji). W systemie zabezpieczeń można definiować wielu administratorów o różnych uprawnieniach. Administratorzy mogą być uwierzytelniani za pomocą haseł statycznych oraz haseł dynamicznych (RADIUS, RSA SecurID). 24. System zabezpieczeń posiada mechanizmy uwierzytelniania tożsamości użytkowników za pomocą haseł statycznych i dynamicznych. Użytkownicy definiowani są w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) oraz na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). 25. System zabezpieczeń współpracuje z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i wspiera standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. 26. System zabezpieczeń musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT umożliwiają m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z użyciem tylko jednego publicznego adresu IP. 27. Urządzenie musi mieć możliwość konfiguracji i monitorowania pracy za pomocą systemu zarządzania Network Security Manager firmy Juniper. Zamawiający posiada ten system zarządzania. 28. Pomoc techniczna oraz szkolenia z produktu są dostępne w Polsce. Usługi te świadczone są w języku polskim. 29. Wraz z urządzeniem wymagane jest dostarczenie opieki technicznej (support) ważnej przez okres jednego roku. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora sprzętu, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. Urządzenie wzorcowe SSG320M (512 DRAM) produkowane przez firmę Juniper z dodatkowym nośnikiem systemu operacyjnego JUNOS with Enhanced Services, dodatkowymi modułami Channelized E1 oraz supportem core na jeden rok B. Ruter o wysokich parametrach bezpieczeństwa wykorzystujący techniki zabezpieczeń Unified Threat Management (UTM) 1. Urządzenie musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji. Urządzenie zabezpieczeń posiada możliwość zarządzania pasmem sieci (QoS) oraz zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. bzp@adm.uj.edu.pl Strona 4 z 29

5 2. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). Aktualizacja bazy sygnatur ataków (IPS) powinna odbywać się na żądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. 3. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antywirusowej kontrolujący pocztę elektronicznej (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. 4. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antyspamowej działającego w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. 5. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. 6. Jeśli wymagana jest licencja na funkcjonalności wymienione w punktach 2, 3, 4, 5 to nie jest ona elementem tego zamówienia. 7. System zabezpieczeń jest dostarczany jako dedykowane urządzenie sieciowe nie posiadające wrażliwych na awarie elementów sprzętowych (np. twardego dysku). Całość sprzętu i oprogramowania jest dostarczana i supportowana przez jednego producenta. 8. System zabezpieczeń nie może posiadać ograniczeń na liczbę chronionych komputerów w sieci wewnętrznej. 9. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy dowolnymi strefami bezpieczeństwa. Urządzenie musi obsługiwać nie mniej niż 40 stref bezpieczeństwa. 10. Urządzenia zabezpieczeń musi być sterowany przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny (tzn. nie może to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). 11. Urządzenie zabezpieczeń musi posiadać przepływność nie mniej niż 400 Mb/s dla firewall, nie mniej niż 175 Mb/s dla VPN (3DES) i obsługiwać nie mniej niż jednoczesnych połączeń. 12. Urządzenie zabezpieczeń musi być wyposażone w co najmniej cztery porty Gigabit Ethernet 10/100/100 oraz 3 sloty na dodatkowe moduły interfejsów. W urządzeniu istnieje możliwość uruchomienia następujących interfejsów sieciowych: E1, Serial, ADSL, jak również do dodatkowych portów Gigabit Ethernet (miedzianych i optycznych na wkładki SFP). 13. Urządzenie posiada minimum 512 GB pamięci operacyjnej (DRAM). 14. System zabezpieczeń musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń ustala się w konfiguracji. 15. Sieci VPN tworzone przez system zabezpieczeń działają poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń posiada zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. 16. System zabezpieczeń posiada zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). bzp@adm.uj.edu.pl Strona 5 z 29

6 17. Konfiguracja VPN może odbywać się w oparciu o reguły polityki bezpieczeństwa (Policy-based VPN) oraz ustawienia rutingu (Routing-based VPN). 18. Urządzenie obsługuje protokoły dostępowe warstwy 2 OSI co najmniej: Frame Relay, Ethernet (z obsługą co najmniej 125 sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q) oraz Point-to-Point Protocol/High Level Data Link Control (PPP/ HDLC). W urządzeniu można zdefiniować nie mniej niż 5 wirtualnych ruterów posiadających odrębne tabele rutingu, umożliwiające podłączenie do urządzenia sieci o tej samej adresacji IP. Urządzenie obsługuje protokoły rutingu RIP, OSPF i BGP. 19. Polityka bezpieczeństwa systemu zabezpieczeń uwzględnia strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 20. System zabezpieczeń musi posiadać mechanizmy wykrywania i blokowania technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentów (m.in. Java/ActiveX/zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. 21. Zarządzanie zabezpieczeń w pełnym zakresie odbywa się z linii poleceń (CLI) oraz graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci są zabezpieczone kryptograficznie (tzn. wykonywane jest szyfrowanie komunikacji). W systemie zabezpieczeń można definiować wielu administratorów o różnych uprawnieniach. Administratorzy mogą być uwierzytelniani za pomocą haseł statycznych oraz haseł dynamicznych (RADIUS, RSA SecurID). 22. System zabezpieczeń posiada mechanizmy uwierzytelniania tożsamości użytkowników za pomocą haseł statycznych i dynamicznych. Użytkownicy definiowani są w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) oraz na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). 23. System zabezpieczeń współpracuje z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i wspiera standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. 24. System zabezpieczeń musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT umożliwiają m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z użyciem tylko jednego publicznego adresu IP. 25. Urządzenie musi mieć możliwość konfiguracji i monitorowania pracy za pomocą systemu zarządzania Network Security Manager firmy Juniper. Zamawiający posiada ten system zarządzania. 26. Pomoc techniczna (support) nie jest elementem niniejszego zamówienia. Urządzenie wzorcowe SSG320M (512 DRAM) produkowane przez firmę Juniper C. Urządzenie służące do przesyłania i przetwarzania danych komputerowych zakresu bezpieczeństwa sieciowego wykorzystujące techniki zabezpieczeń Network Access Control (NAC) 1. Urządzenie musi być oparte o wyspecjalizowaną platformę sprzętową oraz zapewniać obsługę co najmniej 25 jednoczesnych użytkowników, z możliwością rozbudowy do obsługi nie mniej niż użytkowników. 2. Urządzenie musi posiadać min 2 porty 10/100/1000 Base-TX oraz jeden port konsoli. bzp@adm.uj.edu.pl Strona 6 z 29

7 3. Urządzenie musi być zarządzane poprzez przeglądarkę Web 4. Urządzenie musi umożliwiać wykonywanie lokalnych kopi zapasowych konfiguracji lub na zewnętrznym serwerze FTP oraz SCP. 5. Urządzenie musi umożliwiać integrację z zewnętrznymi serwerami SNMP v.2 oraz SYSLOG 6. Urządzenie musi przechowywać dwie wersje oprogramowania oraz umożliwiać reset do wersji fabrycznej. 7. Rozwiązanie musi umożliwiać tworzenie i wymuszanie szczegółowych polityk kontroli dostępu użytkowników do zasobów sieciowych. Polityki muszą być tworzone w oparciu o tożsamość użytkownika, stan bezpieczeństwa jego urządzenia dostępowego, lokalizację sieciową lub dowolną kombinację powyższych kryteriów. 8. Wymuszanie polityk dostępu do sieci musi być realizowane w warstwie 2 modelu ISO/OSI z wykorzystaniem standardu 802.1X w celu zapewnienia funkcji NAC (ang. Network Access Control) w sieci oraz w warstwie 3 modelu ISO/OSI w celu zapewnienia kontroli dostępu na poziomie zasobu. 9. Urządzenie musi współpracować w ramach infrastruktury NAC poprzez wymuszanie polityki dostępu z co najmniej: 1. rozwiązaniami sieciowymi dowolnego dostawcy spełniającymi standard 802.1x/EAP, 2. urządzeniami kontroli dostępu (firewall) firmy Juniper, 3. dowolną kombinacją powyższych. 10. Rozwiązanie musi zawierać wbudowany serwer RADIUS umożliwiający uwierzytelnienie w warstwie 2 modelu OSI w oparciu o standard 802.1x bez konieczności stosowania rozwiązań trzecich. 11. Rozwiązanie musi realizować uwierzytelnianie użytkowników w oparciu o co najmniej: 1) serwery RADIUS, 2) usługi katalogowe LDAP, Microsoft Active Directory, Novell NDS/eDirectory, 3) natywną, lokalna baza danych użytkowników, 4) system RSA SecurID, 5) certyfikaty X.509, 6) serwery NIS. 12. Urządzenie musi obsługiwać uwierzytelnienie dwuskładnikowe (hasło statyczne plus certyfikat, hasło dynamiczne plus certyfikat). Musi istnieć możliwość rozdzielenia serwera uwierzytelniania użytkowników od serwera autoryzacji dostępu do zasobów. 13. Urządzenie musi dynamicznie przyznawać prawa dostępu do zasobów w zależności od spełnienia określonych warunków przez użytkownika zdalnego, węzeł zdalny, parametry sieci oraz parametry czasowe. 14. Urządzenie musi przeprowadzać szczegółową weryfikację stanu bezpieczeństwa węzła zdalnego. Weryfikacja musi obejmować co najmniej następujące elementy: 4. sprawdzenie obecności konkretnego procesu, pliku, wpisu w rejestrze Windows 5. sprawdzenie, czy włączono odpowiednie usługi zabezpieczeń zarówno w momencie logowania jak w trakcie trwania sesji, 6. integrację z systemami weryfikacji stanu bezpieczeństwa firm trzecich, 15. Urządzenie musi umożliwiać budowanie konfiguracji odpornych na awarię w trybie Aktywny/Aktywny oraz Aktywny/Pasywny. Musi istnieć możliwość tworzenia konfiguracji nadmiarowej, w której węzły klastra zlokalizowane są w LAN bądź w odległych graficznie sieciach i komunikują się poprzez sieć WAN. bzp@adm.uj.edu.pl Strona 7 z 29

8 16. System musi umożliwiać spójne zarządzanie z jednej konsoli administracyjnej wieloma urządzeniami w przypadku budowania konfiguracji nadmiarowych. 17. Urządzenie musi mieć możliwość konfiguracji i monitorowania pracy za pomocą systemu zarządzania Network Security Manager firmy Juniper. Zamawiający posiada ten system zarządzania w wersji Jeśli wersja 2006 oprogramowania Network Security Manager nie umożliwia konfiguracji tego urządzenia to wymagane jest dostarczenie wraz z urządzeniem odpowiedniego oprogramowania, które zapewni tę funkcjonalność. 19. Wraz z produktem wymagane jest dostarczenie opieki technicznej (support) ważnej przez okres jednego roku. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, aktualizację bazy kategorii treści stron WWW, a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. Urządzenie wzorcowe Infranet Controller 4500 produkowane przez firmę Juniper wraz z licencją na 25 użytkowników i supportem core na okres 1 roku. D. Ruter o wysokich parametrach bezpieczeństwa wykorzystujący techniki zabezpieczeń Unified Threat Management (UTM) 1. Urządzenie musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji. Urządzenie zabezpieczeń posiada możliwość zarządzania pasmem sieci (QoS) oraz zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. 2. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). Aktualizacja bazy sygnatur ataków (IPS) powinna odbywać się na żądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. 3. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu kontroli antywirusowej kontrolujący pocztę elektronicznej (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. 4. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antyspamowej działającego w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. 5. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. 6. Jeśli wymagana jest licencja na funkcjonalności wymienione w punktach 2, 3, 4, 5 to jest ona elementem tego zamówienia. 7. System zabezpieczeń musi być dostarczany jako dedykowane urządzenie sieciowe nie posiadające wrażliwych na awarie elementów sprzętowych (np. twardego dysku). Całość sprzętu i oprogramowania musi być dostarczana i supportowana przez jednego producenta. 8. System zabezpieczeń nie może posiadać ograniczeń na liczbę chronionych komputerów w sieci wewnętrznej. 9. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy dowolnymi strefami bezpieczeństwa. Urządzenie musi obsługiwać nie mniej niż 8 stref bezpieczeństwa. bzp@adm.uj.edu.pl Strona 8 z 29

9 10. Urządzenie zabezpieczeń musi być sterowane przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny (tzn. nie może to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). 11. Urządzenie zabezpieczeń musi posiadać przepływność nie mniejszą niż 90 Mb/s dla firewalla, nie mniejszą niż 40 Mb/s dla VPN (3DES) i obsługiwać nie mniej niż jednoczesnych połączeń z możliwością rozszerzenia do jednoczesnych połączeń. 12. Urządzenie zabezpieczeń musi być wyposażone w co najmniej siedem portów 10/100 Ethernet. 13. Urządzenie zabezpieczeń musi posiadać możliwość podłączenia po porcie RS-232 modemu i automatycznego zestawiania łącza zapasowego Dialup w razie wystąpienia awarii łącza podstawowego. 14. System zabezpieczeń musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji. 15. Sieci VPN tworzone przez system zabezpieczeń musi działać poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń musi posiadać zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. 16. System zabezpieczeń musi posiadać zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). 17. Konfiguracja VPN musi odbywać się w oparciu o reguły polityki bezpieczeństwa (Policybased VPN) oraz ustawienia rutingu (Routing-based VPN). 18. Urządzenie musi obsługiwać nie mniej niż 10 sieci wirtualnych VLAN (IEEE 802.1Q) z możliwością rozszerzenia do 50. Urządzenie musi posiadać nie mniej niż 3 wirtualne rutery posiadające odrębne tabele rutingu, umożliwiające podłączenie do urządzenia sieci o tej samej adresacji IP. Urządzenie musi obsługiwać protokoły rutingu RIP, OSPF i BGP. 19. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 20. System zabezpieczeń musi posiadać mechanizmy wykrywania i blokowania technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentów (m.in. Java/ActiveX/zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. 21. Zarządzanie zabezpieczeń w pełnym zakresie musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Administratorzy mogą być uwierzytelniani za pomocą haseł statycznych oraz haseł dynamicznych (RADIUS, RSA SecurID). 22. System zabezpieczeń musi posiadać mechanizmy uwierzytelniania tożsamości użytkowników za pomocą haseł statycznych i dynamicznych. Użytkownicy definiowani są w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) oraz na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). bzp@adm.uj.edu.pl Strona 9 z 29

10 23. System zabezpieczeń musi współpracować z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i musi wspierać standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. 24. System zabezpieczeń musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT umożliwiają m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z użyciem tylko jednego publicznego adresu IP. 25. Urządzenie musi mieć możliwość konfiguracji i monitorowania pracy za pomocą systemu zarządzania Network Security Manager firmy Juniper. Zamawiający posiada ten system zarządzania. 26. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. 27. Wraz z produktem wymagane jest dostarczenie opieki technicznej (support) ważnej przez okres 1 roku. Opieka powinna zawierać wsparcie techniczne świadczone telefonicznie oraz pocztą elektroniczną przez producenta oraz polskiego dystrybutora zabezpieczeń, wymianę uszkodzonego sprzętu, dostęp do nowych wersji oprogramowania, aktualizację bazy ataków IPS, definicji wirusów, blacklist antyspamowych oraz bazy kategorii stron WWW, a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. Urządzenie wzorcowe SSG-5-SH produkowane przez firmę Juniper wraz supportem core na okres jednego roku i całościowym pakietem antyspam, antyvirus, URL filtering, IDS. E. Ruter o wysokich parametrach bezpieczeństwa wykorzystujący techniki zabezpieczeń Unified Threat Management (UTM) 1. Urządzenie musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji. Urządzenie zabezpieczeń posiada możliwość zarządzania pasmem sieci (QoS) oraz zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. 2. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). Aktualizacja bazy sygnatur ataków (IPS) powinna odbywać się na żądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. 3. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu kontroli antywirusowej kontrolujący pocztę elektronicznej (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. 4. Urządzenie zabezpieczeń posiada możliwość uruchomienia modułu kontroli antyspamowej działającego w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. 5. Urządzenie zabezpieczeń musi posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. 6. Jeśli wymagana jest licencja na funkcjonalności wymienione w punktach 2, 3, 4, 5 to jest ona elementem tego zamówienia. 7. System zabezpieczeń musi być dostarczany jako dedykowane urządzenie sieciowe nie posiadające wrażliwych na awarie elementów sprzętowych (np. twardego dysku). Całość bzp@adm.uj.edu.pl Strona 10 z 29

11 sprzętu i oprogramowania musi być dostarczana i supportowana przez jednego producenta. 8. System zabezpieczeń nie może posiadać ograniczeń na liczbę chronionych komputerów w sieci wewnętrznej. 9. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy dowolnymi strefami bezpieczeństwa. Urządzenie musi obsługiwać nie mniej niż 8 stref bezpieczeństwa. 10. Urządzenie zabezpieczeń musi być sterowane przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny (tzn. nie może to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). 11. Urządzenie zabezpieczeń musi posiadać przepływność nie mniejszą niż 90 Mb/s dla firewalla, nie mniejszą niż 40 Mb/s dla VPN (3DES) i obsługiwać nie mniej niż jednoczesnych połączeń z możliwością rozszerzenia do jednoczesnych połączeń. 12. Urządzenie zabezpieczeń musi być wyposażone w co najmniej siedem portów 10/100 Ethernet. 13. Urządzenie zabezpieczeń musi posiadać możliwość podłączenia po porcie RS-232 modemu i automatycznego zestawiania łącza zapasowego Dialup w razie wystąpienia awarii łącza podstawowego. 14. System zabezpieczeń musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji. 15. Sieci VPN tworzone przez system zabezpieczeń musi działać poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń musi posiadać zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. 16. System zabezpieczeń musi posiadać zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). 17. Konfiguracja VPN musi odbywać się w oparciu o reguły polityki bezpieczeństwa (Policybased VPN) oraz ustawienia rutingu (Routing-based VPN). 18. Urządzenie musi obsługiwać nie mniej niż 10 sieci wirtualnych VLAN (IEEE 802.1Q) z możliwością rozszerzenia do 50. Urządzenie musi posiadać nie mniej niż 3 wirtualne rutery posiadające odrębne tabele rutingu, umożliwiające podłączenie do urządzenia sieci o tej samej adresacji IP. Urządzenie musi obsługiwać protokoły rutingu RIP, OSPF i BGP. 19. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 20. System zabezpieczeń musi posiadać mechanizmy wykrywania i blokowania technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentów (m.in. Java/ActiveX/zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. 21. Zarządzanie zabezpieczeń w pełnym zakresie musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń bzp@adm.uj.edu.pl Strona 11 z 29

12 musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Administratorzy mogą być uwierzytelniani za pomocą haseł statycznych oraz haseł dynamicznych (RADIUS, RSA SecurID). 22. System zabezpieczeń musi posiadać mechanizmy uwierzytelniania tożsamości użytkowników za pomocą haseł statycznych i dynamicznych. Użytkownicy definiowani są w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) oraz na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). 23. System zabezpieczeń musi współpracować z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i musi wspierać standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. 24. System zabezpieczeń musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT umożliwiają m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z użyciem tylko jednego publicznego adresu IP. 25. Urządzenie musi mieć możliwość konfiguracji i monitorowania pracy za pomocą systemu zarządzania Network Security Manager firmy Juniper. Zamawiający posiada ten system zarządzania. 26. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. 27. Opieka techniczna (support) nie jest elementem niniejszego zamówienia. Urządzenie wzorcowe SSG-5-SH produkowane przez firmę Juniper i całościowym pakietem antyspam, antyvirus, URL filtering, IDS. 3. Dopuszcza się oferowanie wyłącznie fabrycznie nowych urządzeń i elementów co najmniej równoważnych do przedstawionych w specyfikacji jako wzorcowych. Przez równoważność rozumie się to, że oferowane urządzenia muszą posiadać co najmniej te same cechy, co wzorcowe i parametry techniczne na poziomie, co najmniej takim jak wzorcowe z zachowaniem pełnej zgodności binarnej i systemowej. Przy oferowaniu innych modeli niż wzorcowe musi być zachowana pełna funkcjonalność urządzeń zgodna z wzorcowymi i realizacja zadań przedstawionych w SIWZ. Przy oferowaniu rozwiązań sprzętowo-programowych innych niż wzorcowe Wykonawca musi wykazać szczegółowo w treści oferty ich równoważność z warunkami i wymaganiami opisanymi w SIWZ. 4. Opis przedmiotu zamówienia zgodny z nomenklaturą Wspólnego Słownika Zamówień CPV urządzenia sieciowe, rutery sieciowe, infrastruktura sieciowa, sieciowy system operacyjny. 5. Warunki realizacji zamówienia zawarte zostały również we wzorze umowy stanowiącym integralną część SIWZ. 6. Oryginał SIWZ podpisany przez osoby uprawnione w imieniu zamawiającego, stanowiący podstawę do rozstrzygania ewentualnych sporów związanych z treścią tego dokumentu, dostępny jest w formie papierowej u zamawiającego i udostępniony na stronie internetowej i może być przekazywany nieodpłatnie wykonawcom w formie elektronicznej lub płytka CD. Natomiast po uprzednim zamówieniu przez wykonawców zamawiający przewiduje możliwość powielenia i przesłania za odpłatnością kopii SIWZ w formie papierowej SIWZ jest nieodpłatna a wykonawca ponosi jedynie koszty wysyłki. bzp@adm.uj.edu.pl Strona 12 z 29

13 4) Termin wykonania zamówienia. 1. Zamówienie musi zostać wykonane w terminie do 7 tygodni (49 dni) liczonych od udzielania zamówienia, tj. podpisania umowy. 5) Opis warunków (podmiotowych i przedmiotowych) udziału w postępowaniu oraz opis sposobu dokonywania oceny spełniania tych warunków. 1. Wykonawca musi spełniać warunki udziału w postępowaniu określone w niniejszej SIWZ oraz w art. 22 ustawy PZP, tj. posiadać uprawnienia do wykonywania określonej działalności lub czynności, jeżeli ustawy nakładają obowiązek posiadania takich uprawnień, posiadać niezbędną wiedzę i doświadczenie oraz dysponować potencjałem technicznym i osobami zdolnymi do wykonania zamówienia, znajdować się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie zamówienia oraz nie może podlegać wykluczeniu na podstawie art. 24 ustawy PZP. 2. Wykonawca musi zaoferować przedmiot zamówienia zgodny z wymogami zamawiającego określonymi w SIWZ, przy czym zobowiązany jest dołączyć do oferty jego szczegółowe opisy techniczne i/lub funkcjonalne pozwalające na ocenę zgodności oferowanych urządzeń i elementów z wymaganiami SIWZ. 3. Wykonawca musi zapewnić realizację zamówienia we wskazanym w pkt 4) SIWZ terminie, tj. do 49 dni liczonych od dnia udzielenia zamówienia. 4. Wykonawca musi udzielić co najmniej 12 miesięcznej gwarancji na całość zamówienia, liczonej od daty jego odbioru wraz z bieżącą konserwacją wynikającą z warunków gwarancji i naprawą w okresie gwarancyjnym w miejscu użytkowania. 5. Wykonawca musi przedstawić cenę ryczałtową oferty za przedmiot umowy w formie indywidualnej kalkulacji, przy uwzględnieniu wymagań i zapisów SIWZ i doświadczenia zawodowego wykonawcy, przy czym wyliczona cena będzie ceną ryczałtową za całość przedmiotu zamówienia. 6. W przypadku, gdy wykonawca zapowiada zatrudnienie podwykonawców do oferty musi być załączony wykaz z zakresem powierzonych im zadań (części zamówienia) odpowiednio. 7. Wykonawca powinien podpisać oraz wypełnić formularz oferty wraz z załącznikami lub złożyć ofertę odpowiadającą ich treści, przy czym może podpisać oraz dołączyć do oferty wzór umowy, stanowiące integralną część SIWZ. 8. Wykonawca musi dołączyć do oferty wszystkie dokumenty i oświadczenia oraz załączniki przedstawione w SIWZ. A. Ocena spełnienia powyższych warunków będzie dokonywana metodą 0 1, tj. spełnia lub nie spełnia, w oparciu o dokumenty i oświadczenia dołączone do oferty. B. Wykonawcy niespełniający powyższych warunków zostaną przez zamawiającego wykluczeni z niniejszego postępowania lub ich oferty zostaną odrzucone. 6) Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełnienia warunków udziału w postępowaniu i składających się na treść oferty. 1. Aktualny na dzień składania ofert dokument, tj. odpis z właściwego rejestru lub zaświadczenie o wpisie do ewidencji działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub zgłoszenia do ewidencji działalności gospodarczej, wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert; w przypadku, gdy ofertę składa kilka podmiotów działających wspólnie dotyczy to każdego z nich. bzp@adm.uj.edu.pl Strona 13 z 29

14 2. Pełnomocnictwo (pełnomocnictwa) dołączone w formie oryginału lub notarialnie poświadczonej kopii, albo kopii poświadczonej za zgodność z oryginałem przez osoby udzielające pełnomocnictwa, jeśli oferta będzie podpisana przez pełnomocnika, przy czym dotyczy to również przypadków składania ofert przez podmioty występujące wspólnie, czyli uczestników konsorcjum. 3. Wykaz podwykonawców, w przypadku gdy wykonawca zapowiada ich zatrudnienie, z zakresem powierzonych im zadań (części zamówienia). 4. Cenę ryczałtową oferty wyliczoną w oparciu o indywidualną kalkulację wykonawcy, przy uwzględnieniu wymagań i zapisów SIWZ. 5. Szczegółowe opisy techniczne i/lub funkcjonalne potwierdzające zgodność oferowanych urządzeń i elementów z wymaganiami SIWZ. 6. Wypełniony i podpisany formularz oferty wraz z załącznikami od 1 do 4, zawierającymi oświadczenia i wykazy potwierdzające spełnienie warunków udziału w postępowaniu opisanych w pkt 5), SIWZ, a nie wyszczególnionych w pkt 6), (wypełnionymi i uzupełnionymi lub sporządzonymi zgodnie z ich treścią, przy czym może podpisać oraz dołączyć do oferty wzór umowy). 7. W przypadku, gdy wykonawca ma siedzibę lub miejsce zamieszkania za granicą, w miejsce dokumentu, o którym mowa w pkt 6) 1. SIWZ zobowiązany jest przedłożyć dokument lub dokumenty, wystawione w kraju, w którym ma siedzibę lub miejsce zamieszkania, potwierdzające że nie otwarto jego likwidacji ani nie ogłoszono upadłości, (wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert). 8. Jeżeli w kraju pochodzenia osoby lub w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się powyższego dokumentu, wykonawca może go zastąpić stosownym dokumentem zawierającym oświadczenie złożone przed notariuszem, właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego odpowiednio kraju pochodzenia lub kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania. 9. Dokumenty, o których mowa w pkt 6)8. i 9. SIWZ muszą być złożone w formie oryginału, odpisu, wypisu, wyciągu lub kopii, przetłumaczonych na język polski i poświadczonych przez wykonawcę za zgodność z oryginałem. 10. W przypadku, gdy wykonawca w miejsce któregoś z dokumentów, o których mowa w (oprócz pkt 6)2.) SIWZ dostarczy jego kopię, kopia ta musi być poświadczona za zgodność z oryginałem przez wykonawcę. Zamawiający może zażądać przedstawienia oryginałów lub notarialnie potwierdzonych kopii dokumentów (np. jeśli przedstawione kserokopie będą nieczytelne lub będą wzbudzać wątpliwości co do ich prawdziwości). 7) Informacja o sposobie porozumiewania się zamawiającego z wykonawcami oraz przekazywania oświadczeń i dokumentów, a także wskazanie osób uprawnionych do porozumiewania się z wykonawcami. 1. Dopuszcza się możliwość porozumiewania się przy pomocy listu poleconego, faxu lub drogą elektroniczną, z tym że oferta wraz z wymaganymi dokumentami i oświadczeniami musi zostać złożona w formie oryginału na piśmie przed upływem terminu, o którym mowa w pkt 11) SIWZ. 2. Adres i osoba kontaktowa Wojciech Kochan, ul. Straszewskiego 25/9, Kraków; tel ; fax ; bzp@adm.uj.edu.pl bzp@adm.uj.edu.pl Strona 14 z 29

15 3. Jeżeli zamawiający lub wykonawca przekazują jakiekolwiek dokumenty lub informacje faksem albo drogą elektroniczną, każda ze stron na żądanie drugiej niezwłocznie potwierdza fakt ich otrzymania. 4. Do porozumiewania się z wykonawcami upoważniony jest: 4.1. w zakresie formalnym i merytorycznym Wojciech Kochan, tel. kom ; tel ; fax ; bzp@adm.uj.edu.pl, 5. Wykonawca może zwrócić się do zamawiającego o wyjaśnienie (złożyć pytania) treści SIWZ. 6. Zamawiający jest obowiązany niezwłocznie udzielić wyjaśnień (odpowiedzi na pytania), chyba że prośba o wyjaśnienie (pytania) treści SIWZ wpłynęła do zamawiającego na mniej niż 6 dni przed terminem składania ofert. 7. Zamawiający jednocześnie przekazuje treść wyjaśnienia (odpowiedzi na pytania) wszystkim wykonawcom, którym doręczono SIWZ i zamieszcza je na stronie internetowej, na której udostępniono SIWZ, bez ujawniania źródła zapytania. 8. Zamawiający może zwołać zebranie wszystkich wykonawców w celu wyjaśnienia wątpliwości dotyczących treści SIWZ; w takim przypadku sporządza informację zawierającą zgłoszone na zebraniu zapytania o wyjaśnienie treści specyfikacji oraz odpowiedzi na nie, bez wskazywania źródeł zapytań. Informację z zebrania doręcza się niezwłocznie wykonawcom, którym przekazano SIWZ i zamieszcza je na stronie internetowej, na której udostępniono SIWZ. 9. W szczególnie uzasadnionych przypadkach zamawiający może w każdym czasie, przed upływem terminu do składania ofert, zmodyfikować treść SIWZ. Dokonaną w ten sposób modyfikację przekazuje się niezwłocznie wszystkim wykonawcom, którym przekazano SIWZ i zamieszcza je na stronie internetowej, na której udostępniono SIWZ. 10. Modyfikacja treści SIWZ nie może dotyczyć kryteriów oceny ofert a także warunków udziału w postępowaniu oraz sposobu oceny ich spełniania. 11. Zamawiający może przedłużyć termin składania ofert z uwzględnieniem czasu niezbędnego do wprowadzenia w ofertach zmian wynikających z modyfikacji treści SIWZ. 12. O przedłużeniu terminu składania ofert zamawiający niezwłocznie zawiadamia wszystkich wykonawców, którym przekazano SIWZ i zamieszcza ją na stronie internetowej, na której udostępniono SIWZ. 8) Wymagania dotyczące wadium. 1. Zamawiający nie przewiduje konieczności wniesienia wadium. 9) Termin związania ofertą. 1. Termin związania ofertą wynosi 30 dni. 2. W uzasadnionych przypadkach, na co najmniej 7 dni przed upływem terminu związania ofertą zamawiający może tylko raz zwrócić się do wykonawców o wyrażenie zgody na przedłużenie tego terminu o oznaczony okres, nie dłuższy jednak niż 60 dni. 3. Bieg terminu związania ofertą rozpoczyna się wraz z upływem ostatecznego terminu do składania i otwarcia ofert. 10) Opis sposobu przygotowywania ofert. 1. Każdy wykonawca może złożyć tylko jedną ofertę, która musi obejmować całość przedmiotu zamówienia. 2. W ofercie wykonawca winien skalkulować cenę dla całości przedmiotu zamówienia. bzp@adm.uj.edu.pl Strona 15 z 29

16 3. Dopuszcza się możliwość składania jednej oferty przez dwa lub więcej podmiotów, pod warunkiem, że taka oferta spełniać będzie następujące wymagania: 3.1 wykonawcy występujący wspólnie muszą ustanowić pełnomocnika jako przedstawiciela do reprezentowania ich w postępowaniu lub do reprezentowania ich w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego, a jego upoważnienie musi być udokumentowane pełnomocnictwem podpisanym przez upełnomocnionych przedstawicieli wszystkich wykonawców występujących wspólnie, przy czym pełnomocnictwo to może wynikać z załączonej do oferty stosownej umowy. 4. Oferta wraz ze stanowiącymi jej integralną częścią załącznikami powinna być sporządzona przez wykonawcę według treści postanowień niniejszej SIWZ. 5. Oferta musi być sporządzona według treści formularza oferty i jego załączników zamieszczonych w niniejszej SIWZ. 6. Do oferty wykonawca musi dołączyć komplet dokumentów i oświadczeń oraz wszelkich informacji wymaganych postanowieniami niniejszej SIWZ. 7. Oferta musi być napisana w języku polskim, na komputerze lub maszynie do pisania albo czytelnym pismem odręcznym. 8. Zaleca się aby wszystkie strony oferty wraz z załącznikami były podpisane przez osobę (osoby) uprawnione do składania oświadczeń woli w imieniu wykonawcy, przy czym przynajmniej na formularzu oferty i jego załącznikach (oświadczeniach) oraz kopiach dokumentów poświadczanych za zgodność z oryginałem podpis (podpisy) winny być opatrzone pieczęcią firmową i imienną wykonawcy. Za osoby uprawnione do składania oświadczeń woli w imieniu wykonawców uznaje się: 8.1.osoby wykazane w prowadzonych przez sądy rejestrach handlowych, rejestrach spółdzielni lub rejestrach przedsiębiorstw państwowych, fundacji, stowarzyszeń itp.; 8.2.osoby wykazane w zaświadczeniach o wpisie do ewidencji działalności gospodarczej; 8.3.osoby legitymujące się odpowiednim pełnomocnictwem udzielonym przez osoby, o których mowa powyżej; w przypadku podpisania oferty przez pełnomocnika wykonawcy, pełnomocnictwo musi być dołączone do oferty; 8.4.w przypadku, gdy ofertę składa konsorcjum czyli wykonawcy wspólnie ubiegający się o udzielenie zamówienia, wykonawcy zobowiązani są dołączyć do oferty odpowiednie pełnomocnictwo(a) udzielone przez pozostałych uczestników konsorcjum bądź stosowną umowę; 8.5.w przypadku wykonawców z siedzibą za granicą za osoby uprawnione uznaje się osoby wskazane, zgodnie z dokumentami państwa wystawienia, w którym wykonawca ma siedzibę lub miejsce zamieszkania. 9. Zaleca się aby wszystkie karty oferty wraz z załącznikami były jednoznacznie ponumerowane i złączone w sposób uniemożliwiający swobodne wysunięcie się którejkolwiek karty oraz aby wykonawca sporządził i dołączył spis treści oferty. 10. Wszelkie poprawki lub zmiany w tekście oferty muszą być podpisane przez osobę (osoby) podpisującą ofertę i opatrzone datami ich dokonania. 11. Wszelkie koszty związane z przygotowaniem i złożeniem oferty ponosi wykonawca. 11) Miejsce oraz termin składania i otwarcia ofert. 1. Oferty należy składać w Biurze Zamówień Publicznych UJ, przy ul. Straszewskiego 25/9, Kraków, IV p., w terminie do dnia 27 października 2008r. do godziny 9: Oferty otrzymane po terminie do składania ofert zostaną zwrócone wykonawcom bez otwierania, po upływie terminu do wniesienia protestu. bzp@adm.uj.edu.pl Strona 16 z 29