SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Transkrypt

1 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA W wypadku wystąpienia w poniższym opisie wymaganych minimalnych parametrów, zastrzeżonych nazw własnych producentów lub produktów, zgodnie z art. 29 ust. 3 PZP, dopuszcza się oferowanie produktów w pełni równoważnych do wymaganych przy pełnym zagwarantowaniu przez Wykonawcę zachowania całkowitej wymaganej funkcjonalności opisanego przedmiotu zamówienia. Do obowiązków Wykonawcy należy: 1) dostawa systemu ochrony sieci, 2) dostawa systemu ochrony aplikacji webowych, 3) przedłużenie gwarancji, licencji na aktualizację oprogramowania oraz wsparcia technicznego dla oferowanych systemów, 4) rozbudowa posiadanej przez Zamawiającego macierzy dyskowej, o minimalnych wymaganiach określonych poniżej, wraz z rozmieszczeniem ich we wskazanym przez Zamawiającego miejscu oraz wykonaniem wszystkich niezbędnych usług instalacyjnych koniecznych by dostarczone urządzenia pracowały w środowisku sieciowym Zamawiającego. Wymagania ogólne dla wszystkich elementów dostawy: 1. Wszystkie elementy dostawy powinny być jednoznacznie opisane w ofercie. 2. Wszystkie oferowane urządzenia muszą być fabrycznie nowe. 3. Wszystkie oferowane urządzenia muszą być wyprodukowane zgodnie z normą jakości ISO 9001:2000 lub normą równoważną. 4. Urządzenia i ich komponenty muszą być oznakowane przez producenta w taki sposób, aby możliwa była identyfikacja zarówno produktu, modelu, jak i producenta. 5. Urządzenia muszą być dostarczone Zamawiającemu w oryginalnych opakowaniach fabrycznych. 6. Urządzenia muszą pochodzić z legalnego kanału sprzedaży na terenie Unii Europejskiej, a gwarancja musi pochodzić od producenta i być świadczona przez sieć serwisową producenta na terenie Polski. Strona 1 z 11

2 I. System ochrony sieci Zamawiający wymaga dostarczenia systemu bezpieczeństwa (ochrony sieci), który musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności, niezależnie od Wykonawcy łącza. Dopuszcza się aby elementy wchodzące w skład systemu ochrony były 1. zrealizowane w postaci zamkniętej platformy sprzętowej lub w postaci komercyjnej aplikacji instalowanej na platformie ogólnego przeznaczenia. W przypadku implementacji programowej Wykonawca powinien zapewnić 2. niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. 3. Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów systemu Wszystkie elementy systemu realizujące funkcje ochronne muszą być dostarczone w formie redundantnej w postaci klastra. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 6. Monitoring stanu realizowanych połączeń VPN System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparent. System realizujący funkcję Firewall powinien dysponować (ilość portów dotyczy pojedynczego urządzenia w klastrze) minimum 22 portami Ethernet 10/100/100 BaseTX oraz 2 portami USB. Możliwość tworzenia min. 254 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q. W zakresie Firewall a obsługa nie mniej niż 2,5 miliona jednoczesnych połączeń oraz 20 tys. nowych połączeń na sekundę (wydajność dla pojedynczego urządzenia w klastrze). Przepustowość Firewall a: nie mniej niż 2,5 Gbps (wydajność dla pojedynczego urządzenia w klastrze). Wydajność szyfrowania AES lub 3DES: nie mniej niż 450 Mbps (wydajność dla pojedynczego urządzenia w klastrze). Strona 2 z 11

3 System realizujący funkcję Firewall powinien być wyposażony w lokalny dysk o pojemności minimum 16 GB (pojemność dotyczy każdego urządzenia w klastrze) do celów logowania i raportowania. W przypadku kiedy system nie posiada dysku do poszczególnych lokalizacji musi być dostarczony system logowania w postaci dedykowanej, odpowiednio zabezpieczonej platformy sprzętowej lub programowej. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcjonalności. Poszczególne funkcjonalności systemu bezpieczeństwa mogą być realizowane w postaci osobnych platform sprzętowych lub programowych: a) kontrola dostępu - zapora ogniowa klasy Stateful Inspection b) ochrona przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS). c) poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN d) ochrona przed atakami - Intrusion Prevention System [IPS] e) kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM. f) kontrola zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) g) kontrola pasma oraz ruchu [QoS, Traffic shaping] h) kontrola aplikacji oraz rozpoznawanie ruchu P2P i) możliwość analizy ruchu szyfrowanego protokołem SSL j) ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji, k) dwuskładnikowe uwierzytelnianie z wykorzystaniem sprzętowych tokenów. Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 900 Mbps. Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączoną funkcją: Antivirus min. 700 Mbps (wydajność dla pojedynczego urządzenia w klastrze). W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż: a) Tworzenie połączeń w topologii Site-to-site oraz Client-to-site b) Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności c) Praca w topologii Hub and Spoke oraz Mesh d) Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF e) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth. Strona 3 z 11

4 18. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły routingu powinny funkcjonować w ramach terminowanych na urządzeniu połączeniach IPSec VPN. 19. Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie routingu, Firewall a, Antywirus a, IPS a, Web Filter a. 20. Translacja adresów NAT adresu źródłowego i NAT adresu docelowego. 21. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i maksymalne, priorytety). 22. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021). Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków powinna zawierać co najmniej 6500 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP. Baza filtra WWW o wielkości co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra WWW. Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL. Strona 4 z 11

5 System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: a) haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu, b) haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP, c) haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych, d) rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania a kontrolerze domeny. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: a) ICSA dla funkcjonalności SSLVPN, IPS, Antywirus, b) ICSA lub EAL4 dla funkcjonalności Firewall. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i współpracować z dedykowanymi do centralnego zarządzania i monitorowania platformami. Komunikacja systemów zabezpieczeń z platformami zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. Serwisy i licencje: Wykonawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 12 miesięcy. Gwarancja oraz wsparcie: a) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres 12 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, Wykonawca winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. b) W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Wykonawca winien przedłożyć dokument pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą Strona 5 z 11

6 towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz. U. z 2004, Nr 229, poz z późn zm.) oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. c) Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. d) Wykonawca powinien zapewnić pierwszą linie wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu. e) Wykonawca winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iż Wykonawca posiada autoryzację producenta w zakresie sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych. II. System ochrony aplikacji webowych Zamawiający wymaga dostarczenia systemu ochrony aplikacji webowych, który musi zapewniać wszystkie wymienione poniżej funkcjonalności: Architektura systemu - System ochrony aplikacji webowych oraz Firewall XML - którego zadaniem będzie wykrywanie i blokowanie ataków celujących w aplikacje webowe, a następnie alarmowanie w wyniku wystąpienia określonych zdarzeń. System powinien umożliwiać lokalne logowanie oraz raportowanie w oparciu o zestaw predefiniowanych wzorców raportów. Powinna istnieć możliwość implementacji systemu inline w trybach Reverse Proxy lub 1. Transparentnym, jak również implementacji w trybie nasłuchu. Dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony Wykonawcy wymaga się, aby wszystkie funkcje oraz zastosowane technologie, w tym system operacyjny i sprzęt pochodziły od jednego producenta. System ochrony musi zostać dostarczony w formie redundantnej w postaci klastra urządzeń. System operacyjny - Dla zapewnienia wysokiej sprawności i skuteczności 2. działania systemu urządzenie musi pracować w oparciu o dedykowany system operacyjny wzmocniony z punktu widzenia bezpieczeństwa. Strona 6 z 11

7 Parametry fizyczne systemu - Nie mniej niż 4 porty Ethernet 10/100/1000 Base-T. Powierzchnia dyskowa - minimum 1 TB. W celu zwiększenia 3. niezawodności system powinien mieć możliwość pracy w konfiguracji HA (High Availability)z trybem Active-Passive. Obudowa urządzenia o wysokości do 1U z możliwością montażu w standardowej szafie teletechnicznej 19 cali. Funkcjonalności podstawowe i uzupełniające - System powinien realizować co najmniej poniższe funkcjonalności: 1) Tryb auto-uczenia przyspieszający i ułatwiający implementację, 2) Podział obciążenia na kilkanaście serwerów (loadbalancing), 3) Akcelerację SSL dla wybranych serwisów w centrum danych, 4) Możliwość analizy poszczególnych rodzajów ruchu w oparciu o profile bezpieczeństwa (profil to obiekt określający zbiór ustawień zabezpieczających aplikacje) 5) Firewall XML realizujący z możliwością routingu w oparciu o kontent, walidacją schematów XML oraz weryfikacją WDSL. 6) Firewall aplikacji webowych chroniący przed takimi zagrożeniami jak: 4. a) SQL and OS Command Injection b) Cross Site Scripting (XSS) c) Cross Site Request Forgery d) Outbound Data Leakage e) HTTP Request Smuggling f) Buffer Overflow g) Encoding Attacks h) Cookie Tampering / Poisoning i) Session Hijacking j) Broken Access Control k) Forceful Browsing /Directory Traversal l) oraz innymi podatnościami specyfikowanymi przez listę OWASP Top Parametry wydajnościowe - Urządzenie musi obsługiwać przepustowość dla ruchu http - min 100 Mbps, min 10 tys. transakcji na sekundę Sygnatury, subskrypcje - aktualizacja baz sygnatur powinna być systematycznie aktualizowana zgodnie ze zdefiniowanych harmonogramem (Scheduler). Zarządzanie - System udostępnia lokalny graficzny interfejs zarządzania poprzez szyfrowane połączenie HTTPS. Serwisy i licencje - Wykonawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 12 miesięcy. Strona 7 z 11

8 9. Gwarancja oraz wsparcie: 1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres 12 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, Wykonawca winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. 2) W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Wykonawca winien przedłożyć dokument pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz. U. z 2004, Nr 229, poz z późn zm.) oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. 3) Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. 4) Wykonawca powinien zapewnić pierwszą linie wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu. 5) Wykonawca winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iż Wykonawca posiada autoryzację producenta w zakresie sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych. Strona 8 z 11

9 III. Przedłużenie gwarancji, licencji na aktualizację oprogramowania oraz wsparcia technicznego dla oferowanych systemów IV. Dodatkowy przedłużający do 36 miesięcy serwis gwarancyjny producenta, realizowanym na terenie Rzeczpospolitej Polskiej, polegający na naprawie lub wymianie urządzenia w przypadku jego wadliwości oraz dodatkowe 24- miesięczne licencje aktywacyjne dla wszystkich funkcji bezpieczeństwa dla systemu ochrony sieci. Dodatkowy przedłużający do 36 miesięcy serwis gwarancyjny producenta, realizowanym na terenie Rzeczpospolitej Polskiej, polegający na naprawie lub wymianie urządzenia w przypadku jego wadliwości orz dodatkowa 24- miesięczna subskrypcja dla wszystkich funkcji bezpieczeństwa dla systemu ochrony aplikacji webowych. Wykonawca powinien zapewnić pierwszą linię wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu przez okres 24 miesięcy, dodatkowe wsparcie techniczne wydłuża automatycznie wsparcie techniczne dla dostarczonych systemów do 36 miesięcy. Rozbudowa macierzy dyskowej o nową półkę dyskową wraz z dyskami Wykonawca rozbuduje posiadaną przez Zamawiającego macierz dyskową IBM System Storage DS3512 o nową półkę dyskową wraz z dyskami, która będzie spełniać poniższe wymagania: 1. Półka dyskowa musi być fabrycznie nowa Półka dyskowa musi być kompatybilna z posiadaną przez Zamawiającego macierzą (IBM DS3512). Półka dyskowa i jej komponenty muszą być oznakowane przez producentów w taki sposób, aby możliwa była identyfikacja zarówno produktu jak i producenta. Do półki dyskowej musi być dostarczony komplet standardowej dokumentacji dla użytkownika w formie papierowej lub elektronicznej. Strona 9 z 11

10 Wykonawca zapewni wszystkie elementy niezbędne do podłączenia, 5. uruchomienia oraz współdziałania półki dyskowej z posiadaną przez Zamawiającego macierzą dyskową IBM System Storage DS Półka dyskowa muszą współpracować z siecią energetyczną o parametrach : 230 V ± 10%, 50 Hz. Wymagane jest dołączenie do oferty oświadczenia producenta, że oferowane urządzenia będą fabrycznie nowe i pochodzić będą z oficjalnego kanału sprzedaży producenta na rynek polski. Wymagane jest dołączenie do oferty oświadczenia Wykonawcy, że przejmuje świadczenia gwarancji w przypadku, gdyby prowadzona przez niego rozbudowa spowodowała utratę obecnie obowiązującej gwarancji (ważnej do roku) dla udostępnionej do rozbudowy infrastruktury. Szczegółowa specyfikacja wymagań dla półki dyskowej: Nazwa 1 Dyski twarde 12 sztuk - 600GB 3.5in 15K 6Gb SAS HDD 2 Moduł ESM 1 sztuka 3 Gwarancja 36 miesięcy, 24x7 z czasem naprawy 24 godziny, naprawa w miejscu instalacji sprzętu W razie wymiany dysków twardych w związku z ich wadą, usterką lub awarią, dyski uszkodzone pozostają u Zamawiającego, jeśli nie jest możliwe skuteczne i trwałe usunięcie danych zapisanych na dyskach. Dopuszcza się 3.1 Gwarancyjna zwrócenie Wykonawcy elektroniki uszkodzonych dysków wymiana twardych z pozostawieniem u Zamawiającego talerzy dysków dysków, będących nośnikami zapisanych danych. Czynność demontażu dysków wykonuje Wykonawca w porozumieniu z Zamawiającym w jego siedzibie. Strony sporządzają protokół z czynności demontażu. V. Konfiguracja i prace instalacyjne: Wykonawca zobowiązany jest do kompleksowego wykonania projektu wdrożenia dostarczonego sprzętu i oprogramowania w tym instalacji i konfiguracji. Usługi powinny zostać zrealizowane w oparciu o podejście projektowe. Wykonawca jest zobowiązany do wykonania usług w zakresie nie mniejszym niż opisany poniżej. Strona 10 z 11

11 Zakres: 1. Ustalenie zasad komunikacji i dokumentacji. 2. Uzgodnienie listy zadań szczegółowych oraz harmonogramu. 3. Przygotowanie i uzgodnienie Projektu Technicznego dla infrastruktury. 4. Instalacja i konfiguracja sprzętu i oprogramowania zgodnie z projektem. 5. Wykonanie dokumentacji powykonawczej. 6. Uczestnictwo w testach infrastruktury. 7. Analiza wydajności dostarczonej infrastruktury w pracy produkcyjnej. Dostosowanie konfiguracji infrastruktury do wyników analizy (ang. tuning). 8. Aktualizacja dokumentacji po zmianach. Projekt Techniczny Projekt techniczny będzie zawierał: 1. Opis funkcjonalny działania poszczególnych komponentów. 2. Podstawowe parametry instalacji komponentów. 3. Konspekt podstawowych procedur administracyjnych. Strona 11 z 11