Opis przedmiotu zamówienia Załącznik nr 1 do SIWZ System kontroli dostępu do sieci Zamawiającego 1. Informacje ogólne Przedmiotem zamówienia jest wdrożenie pełnego Systemu autoryzacji dostępu do sieci (ang. Network Access Control, NAC) dla urządzeń odbiorców końcowych wraz z integracją z istniejącymi elementami systemu teleinformatycznego Banku oraz Systemu zdalnego dostępu do sieci Banku (ang. Virtual Private Network, VPN). 2. Słownik System instalowane w procesie realizacji projektu lub modyfikowane w wyniku aktualizacji (upgrade) i integracji urządzenia oraz oprogramowanie. AV oprogramowanie antywirusowe. 3. Harmonogram realizacji* *szczegółowy harmonogram zostanie zaproponowany przez Wykonawcę w uzgodnieniu z Zamawiającym w terminie 14 dni liczonych od zawarcia Umowy 3.1. Etap I Wdrożenie systemu NAC w sieci Zamawiającego: 3.1.1. Dostawa urządzeń 3.1.2. Uruchomienie, konfiguracja oraz przekazanie wiedzy z obsługi urządzeń NAC w oparciu o dedykowane przełączniki laboratoryjne 3.1.3. Testy poprawności konfiguracji 3.1.4. Uruchomienie systemu dla wskazanych przełączników produkcyjnych w trybie bez blokowania 3.1.5. Analiza występujących zdarzeń i na jej podstawie dodatkowa konfiguracja 3.1.6. Uruchomienie systemu w trybie bez blokowania w całości sieci Zamawiającego 3.1.7. Analiza występujących zdarzeń, dodatkowa konfiguracja 3.1.8. Przygotowanie dokumentacji wdrożeniowej na podstawie przeprowadzonych prac 3.1.9. Uruchomienie trybu blokowania 3.2. Etap II Wdrożenie systemu VPN 3.2.1. Dostawa urządzeń 3.2.2. Konfiguracja polityk dostępowych (rozwiązanie działające równolegle do aktualnie wykorzystywanego), przygotowanie dokumentacji oraz przekazanie wiedzy 3.2.3. Testy wewnętrzne 3.2.4. Migracja kolejnych grup użytkowników Strona 1 z 5
4. Wymagania dodatkowe 4.1. Zamawiający wymaga, aby urządzenia do obsługi dostępu do sieci LAN (system NAC) oraz urządzenia obsługujące połączenia zdalne (system VPN) stanowiły oddzielne fizycznie urządzenia instalowane fizycznie w różnych segmentach sieci. Dostarczone przez wykonawcę licencje zapewnią możliwość podłączenia wszystkich wyspecyfikowanych przez zamawiającego urządzeń sieciowych wszystkimi posiadanymi interfejsami sieciowymi, np. laptop łączy się przez port Ethernet, wi-fi i sieć 3/4G, tablet/smartfon przez sieć wi-fi oraz 3/4G. 4.2. System powinien zostać wdrożony poprzez instalację fizyczną, konfigurację i uruchomienie zgodnie z wymogami Zamawiającego i przy jego współpracy. 4.3. Wszystkie elementy sprzętowe i oprogramowania wdrażane lub modyfikowane w wyniku realizacji projektu objęte zostaną 36 miesięcznym serwisem wykonawcy z trybem NBD (24 godziny zegarowe liczone od godziny zgłoszenia awarii, z zastrzeżeniem, że weekendy i święta nie są wliczane do terminu NBD) dla usunięcia awarii. W ramach serwisu Wykonawca zobowiązany jest co najmniej do naprawy lub wymiany urządzenia na fabrycznie nowe, a w przypadku oprogramowania do odpowiedniej modyfikacji/wymiany oprogramowania. W przypadku trzykrotnej naprawy tego samego urządzenia kolejna naprawa polegać będzie na wymianie urządzenia na fabrycznie nowe. W szczególnych przypadkach, gdy nie jest możliwe usunięcie awarii w przepisanym terminie i zastosowano obejście (tymczasowe usunięcie awarii, poprzez przywrócenie możliwości korzystania z Systemu, przy czym dopuszczalne jest ograniczenie niektórych jego funkcjonalności lub parametrów), Zamawiający może wyrazić zgodę na wydłużenie czasu naprawy. Zamawiający nie jest zobowiązany do udzielenia zgody, o której mowa w zdaniu poprzednim, każda decyzja zostanie poprzedzona analizą przyczyn, dla których Wykonawca nie może usunąć awarii w czasie naprawy. W okresie wydłużonego czasu naprawy nie są naliczane kary umowne z tego tytułu. 4.4. Dla instalowanych elementów sprzętu i oprogramowania Systemu wykonawca zapewni dostęp do aktualizacji systemowych oraz bazy wiedzy producenta oraz zapewni przekazanie wiedzy dla 7 administratorów realizowane na bazie dostarczonych w ramach wdrożenia elementów Systemu; 4.5. Wykonawca przygotuje dokumentację powdrożeniową zawierającą strukturę rozwiązania, opis komponentów i ich funkcje, konfigurację Systemu oraz procedury utrzymania, monitorowania i odtworzenia Systemu tj.: Dodanie/usunięcie każdego rodzaju użytkownika (wraz z konfiguracją poza systemowych elementów); Rozbudowa sprzętu i oprogramowania oraz testy prawidłowego działania systemu; Dodanie/usunięcie urządzenia sieci dostępowej obsługującego/pośredniczącego w procesie autoryzacji; Przegląd uprawnień użytkowników systemu; Kopii zapasowej; Wymuszone przełączenie na ośrodek zapasowy; Odtworzenie funkcjonalne rozłączne dla różnych elementów systemu; Monitoringu działania i diagnostyki awarii systemu; 5. Skalowanie rozwiązania Strona 2 z 5
5.1. Dostarczone rozwiązanie zapewni obsługę minimum: 5.1.1. 1500 użytkowników 5.1.2. 1500 stacji roboczych (komputery stacjonarne) 5.1.3. 800 laptopów z dostępem zdalnym oraz wifi 5.1.4. 550 drukarek 5.1.5. 750 smartfonów 5.1.6. 100 tabletów z dostępem zdalnym oraz wifi 5.1.7. 100 urządzeń BYOD miesięcznie, przy czym max ilość jednego dnia to 50 5.1.8. 200 urządzeń gości miesięcznie, przy czym max ilość jednego dnia to 100 5.2. Zamawiający w swojej sieci wykorzystuje następujące przełączniki dystrybucyjne: 5.2.1. Cisco Catalyst WS-C3850 (16 szt.) 5.2.2. Cisco Catalyst WS-C4507R+E (9 szt.) 5.2.3. Cisco Catalyst WS-C3650-48PS (24 szt.) 5.2.4. Cisco Catalyst WS-C3750X (5 szt.) 5.2.5. Cisco Catalyst WS-C2960 (50 szt.) 5.2.6. Cisco Catalyst WS-C3750G-48T (1 szt.) 5.2.7. Cisco Catalyst WS-C3750-48TS (1 szt.) 6. Zakładane scenariusze procesu uwierzytelnienia urządzeń 6.1. Urządzenia pracowników Banku (sieć przewodowa i bezprzewodowa) 6.1.1. Charakterystyka stacji: Stacja wyposażona w system operacyjny Microsoft Windows, alternatywnie MacOS podłączona do domeny Banku z dostępnym suplikantem systemowym lub zewnętrznym. 6.1.2. Proces podłączenia, uwierzytelnianie i autoryzacji: Uruchomienie stacji z podłączonym przewodem sieciowym lub włączoną kartą sieci bezprzewodowej; Domyślne przyznanie VLAN u umożliwiającego przeprowadzenie jedynie procesu uwierzytelnienia i autoryzacji. Dla sieci bezprzewodowej uwierzytelnienie i autoryzacja bezprzewodowa zgodna z profilem sieci w trybie PRELOGIN. Możliwa ewentualna, zgodna z polityką domeny zmiana hasła; Transparentne uwierzytelnienie stacji końcowej poprzez domenę AD; Uwierzytelnienie odbiorcy w oparciu o hasło z AD lub certyfikat; Strona 3 z 5
Transparentne dla użytkownika, przypisanie stacji do sieci VLAN zgodnie ze zdefiniowaną polityką bezpieczeństwa na podstawie uwierzytelnienia użytkownika/stacji w oparciu o transparentne mechanizmy SSO. Poprawny proces skutkował będzie przyznaniem praw dostępu do docelowego segmentu sieci odpowiadającego przynależności do użytkownika grupy domenowej. Nieskuteczna weryfikacja stacji w efekcie spowoduje podłączenie do VLAN u z możliwością przeprowadzenia akcji na stacji końcowej (aktualizacje systemowe, definicji AV, polityk DLP, zdalna administracja itp.). Wymagana informacja dla użytkownika o przeprowadzaniu procesu aktualizacji zasobów. Błędna autoryzacja skutkowała będzie pozostawieniem stacji w VLAN ie autoryzacyjnym. 6.2. Urządzenia firm zewnętrznych i urządzenia gości (sieć przewodowa i bezprzewodowa) 6.2.1. Charakterystyka stacji: Stacja wyposażona w dowolny system operacyjny niepodłączona do domeny banku bez obligatoryjnego wymogu występowania suplikanta. 6.2.2. Proces podłączenia, uwierzytelnianie i autoryzacji: 6.3. Dostęp zdalny VPN Uruchomienie stacji z podłączonym do sieci Banku przewodem sieciowym lub włączoną kartą sieci bezprzewodowej i osiągalną siecią Banku; Uwierzytelnienie lokalne w Systemie NAC, z pominięciem centralnych serwerów autoryzujących (np. Active Directory). Podłączenie odbiorcy do sieci bezprzewodowej Banku. Uwierzytelnienie zgodne z przekazanymi przez Bank parametrami. Możliwe sposoby uwierzytelnienia: centralna (LDAP, RADIUS), lokalna systemowa. Możliwe sposoby przekazania hasła /konta odbiorcy: stałe, jednorazowe, czasowe; Dla sieci przewodowej i przypadku występowania suplikanta wystąpienie monitu o dodatkowe poświadczenia dla sieci. Uwierzytelnienie zgodne z przekazanymi przez Bank parametrami. Możliwe sposoby uwierzytelniania: centralna (LDAP, RADIUS), lokalna systemowa. Możliwe sposoby przekazania hasła /konta odbiorcy: stałe, jednorazowe, czasowe; Dla sieci przewodowej i w przypadku braku występowania suplikanta uwierzytelnianie inicjowane z wykorzystaniem przeglądarki systemu klienckiego (tzw. WEB autentykacja) poprzedzona wystąpieniem monitu o dodatkowe poświadczenia. Skutkiem monitu będzie automatyczne uruchomienie strony WEB owej logowania Systemu w przeglądarce klienta. Możliwe sposoby uwierzytelniania: centralna (LDAP, RADIUS), lokalna systemowa. Możliwe sposoby przekazania hasła /konta odbiorcy: stałe, jednorazowe, czasowe; Transparentne dla użytkownika, przypisanie stacji do sieci VLAN zgodnie ze zdefiniowaną polityką bezpieczeństwa na podstawie uwierzytelnieniaużytkownika/stacji. Poprawny proces skutkował będzie przyznaniem praw dostępu do docelowego segmentu sieci odpowiadającego danej grupie użytkowników. Nieskuteczna weryfikacja stacji w efekcie spowoduje podłączenie do VLAN u z możliwością przeprowadzenia akcji na stacji końcowej (aktualizacje systemowe, definicji AV, polityk DLP, zdalna administracja itp.). Wymagana informacja dla użytkownika o przeprowadzaniu procesu aktualizacji zasobów. Błędna autoryzacja skutkowała będzie pozostawieniem stacji w VLAN ie autoryzacyjnym. Strona 4 z 5
6.3.1. Charakterystyka stacji: Stacja wyposażona w dowolny system operacyjny opcjonalnie podłączona do domeny banku bez obligatoryjnego wymogu występowania suplikanta. 6.3.2. Proces podłączenia, uwierzytelnianie i autoryzacji: Uruchomienie stacji z dostępem do sieci Internet i osiągalnymi zasobami dostępu zdalnego Banku; Uwierzytelnienie stacji i odbiorcy. Lokalna dla stacji zewnętrznej lub domenowa typu offline dla stacji pracownika Banku; Automatyczne włączenie usługi tunelowej dostępu zdalnego. Brak dodatkowego uwierzytelnienia dla procesu uruchomienia tunelu w przypadku uprzednio przeprowadzonej uwierzytelnienia domenowego zgodne z mechanizmami SSO. Uwierzytelnienie zgodna z parametrami przekazanymi przez Bank dla stacji poza domenowej. Możliwe sposoby autoryzacji: centralna (LDAP, RADIUS), lokalna systemowa. Możliwe sposoby przekazania hasła /konta odbiorcy: stałe, jednorazowe, czasowe; Transparentne dla użytkownika, przypisanie stacji/użytkownikowi zasobów zgodnie ze zdefiniowaną polityką bezpieczeństwa na podstawie autoryzacji użytkownika/stacji. Poprawny proces skutkował będzie przyznaniem praw dostępu do docelowego segmentu sieci odpowiadającego danej grupie użytkowników. Nieskuteczna weryfikacja stacji w efekcie spowoduje przypisanie polityki zapewniającej przeprowadzenie akcji na stacji końcowej (aktualizacje systemowe, definicji AV, polityk DLP, zdalna administracja itp.). Wymagana informacja dla użytkownika o przeprowadzaniu procesu aktualizacji zasobów. Błędna autoryzacja skutkowała będzie brakiem połączenia do zasobów Banku z jednoczesnym zablokowaniem na stacji roboczych połączeń do sieci Internet. 7. Zamówienie opcjonalne Zamawiający w ramach realizacji przedmiotu zamówienia przewiduje dostarczenie następujących elementów opcjonalnych: 1. Licencja dla urządzeń z 802.1X - 500 2. Licencja dla urządzeń nie posiadających 802.1X - 300 3. Licencja BYOD - 100 4. Licencja dostępu gościnnego - 100 Realizacja zamówień polegających na dostarczeniu dodatkowych licencji będzie zlecana wielokrotnie, aż do osiągnięcia limitu przewidzianego dla danego rodzaju licencji, przy czym zamówienie będzie odpowiadało wielokrotności liczby 100. Zamówienia opcjonalne są uprawnieniem Zamawiającego, z których może, ale nie musi skorzystać. Brak ich zlecenia nie rodzi po stronie Wykonawcy żadnych roszczeń odszkodowawczych wobec Zamawiającego, a odpowiedzialność Zamawiającego jest w tym zakresie całkowicie wyłączona (z uwzględnieniem treści art. 473 2 Kodeksu cywilnego). Strona 5 z 5