Załącznik Nr 1 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Główny kod CPV: 48220000-6 Pakiety oprogramowania dla Internetu i intranetu Przedmiotem niniejszego zamówienia jest dostawa Systemu kontroli dostępu do stron sieci web i ruchu sieciowego wraz z gwarancją i asystą techniczną na okres 12 miesięcy (jednak nie wcześniej niż od 29 czerwca 2019 r.). Licencja musi umożliwiać kontrolę dla 2200 użytkowników sieci Urzędu Miasta Łodzi. Termin wykonania zamówienia. Wykonawca wykona zamówienie w niżej wymienionych etapach: I etap dostawa oprogramowania i wdrożenie do 15 dni roboczych od dnia wejścia w życie umowy. II etap gwarancja i asysta techniczna wdrożonego oprogramowania na okres 12 miesięcy od daty uruchomienia oprogramowania (jednak nie wcześniej niż od 29 czerwca 2019 r.) I. Specyfikacja systemu do kontroli dostępu do stron sieci web i ruchu sieciowego. 1. Rozwiązanie musi kontrolować odwołania do sieci www protokołami http i https. 2. Rozwiązanie musi współpracować w zakresie filtracji ruchu http/https z posiadanym przez Zamawiającego systemem ochrony sieci Cisco ASA 5580-20 wersja oprogramowania 8.1 i 8.4 pracująca w trybie kontekstowym ( transparent proxy ) przy pomocy protokołu WCCP. 3. Rozwiązanie musi posiadać mechanizmy obejmujące deszyfrowanie i szyfrowanie sesji https. 4. Rozwiązanie musi filtrować ruch http/https na podstawie kategorii stron internetowych (np. Sport, Adult Material, Entertainment, Shopping, itp.) zapisanych w dedykowanej bazie danych. Rozwiązanie musi posiadać bazę danych co najmniej 60.000.000 witryn, zgrupowanych w minimum 50 kategoriach dla ruchu http/https. 5. Rozwiązanie musi umożliwiać tworzenie własnych kategorii i dodawanie do nich zarówno tych URL, których nie ma w bazie dostarczanej przez producenta jak i tych, które się tam znajdują, ale w innej kategorii. Ilość tworzonych kategorii nie może podlegać ograniczeniom ilościowym. 6. Funkcjonalność opcjonalna 1 ( w przypadku zaoferowania tej funkcjonalności Wykonawca otrzyma dodatkowe punkty) - Rozwiązanie musi umożliwiać blokowanie dostępu do stron związanych z takimi zagrożeniami jak spyware, phishing, keylogging, oraz złośliwy kod mobilny. Rozwiązanie musi także blokować ruch wychodzący do Internetu z sieci wewnętrznej (wykrywanie tzw. procesu call-home ) generowany przez oprogramowanie typu spyware obecne na zainfekowanych komputerach w sieci. 7. Funkcjonalność opcjonalna 2 ( w przypadku zaoferowania tej funkcjonalności Wykonawca otrzyma dodatkowe punkty) Rozwiązanie musi analizować ruch
sieciowy i blokować możliwość ściągnięcia złośliwego oprogramowania typu malware malicious software a w szczególności oprogramowania typu spyware, adware, phishing, wirusy, trojany, rootkity, ransomware. 8. Rozwiązanie musi analizować ruch sieciowy i rozpoznawać jego rodzaj. Administrator systemu musi mieć możliwość blokowania lub dopuszczania ruchu dla użytkownika na wykorzystanie przez niego określonych protokołów, takich jak np. IRC, P2P, IM. Protokoły sieciowe powinny być podzielone na kategorie (np. Instant Messaging, P2P File Transfer, itp.). Rozwiązanie musi posiadać co najmniej 100 protokołów podzielonych na co najmniej 10 kategorii. 9. Administrator systemu powinien mieć możliwość tworzenia polityki dostępu pracowników firmy do stron z określonych kategorii korzystając z takich atrybutów jak użytkownik, grupa użytkowników, adres IP stacji, zakres adresów IP, dzień tygodnia, pora dnia. 10. Rozwiązanie musi umożliwić użytkownikowi uzyskanie dostępu do strony z zablokowanej kategorii na podstawie znajomości hasła (tymczasowa reautoryzacji). 11. Rozwiązanie oprócz blokowania dostępu do stron wybranych kategorii musi umożliwiać wyświetlenie na ekranie użytkownika informacji, iż strona, którą chce wyświetlić jest zabroniona przez politykę bezpieczeństwa z możliwością wejścia na tą stronę po świadomym wyrażeniu chęci przez użytkownika. 12. Dodatkowo tworzenie polityki dostępu do stron internetowych musi uwzględniać również: a. słowa kluczowe zawarte w adresie URL (wyrażenia regularne) b. typy plików 13. Baza adresów URL, która jest podstawą mechanizmu filtracji, musi być nieprzerwanie aktualizowana przez producenta rozwiązania, min. poprzez stosowanie: a. specjalnych robotów internetowych przeszukujących i analizujących zasoby sieci, b. mechanizmów sztucznej inteligencji dokonujących klasyfikacji zawartości stron, c. specjalny zespół ludzi weryfikujących poprawność klasyfikacji. 14. Nowe zasoby muszą być dodawane do bazy codziennie, a rozwiązanie musi mieć możliwość automatycznego ich pobierania od producenta. Regularne aktualizacje bazy skategoryzowanych URL przez rozwiązanie filtrujące powinny odbywać się nie rzadziej niż raz dziennie, a niezależnie od tego, z częstotliwością co kilka minut powinny odbywać się aktualizacje dotyczące stron niosących zagrożenie, np. wykorzystywanych w atakach phishingowych. 15. Rozwiązanie musi posiadać możliwość integracji z usługami katalogowymi Active Directory. 16. W przypadku braku informacji identyfikujących użytkownika powinna istnieć możliwość wymuszenia uwierzytelnienia użytkownika przez rozwiązanie filtrujące. Uwierzytelnienie musi się odbywać poprzez protokół LDAP 17. Rozwiązanie musi posiadać moduł raportujący umożliwiający co najmniej: a. Generowanie raportów z podziałem na pojedynczych użytkowników ich grupy, kategorie i protokoły. Raporty te powinny być dostępne przez przeglądarkę.
b. Generowanie raportów z podziałem na: wykorzystanie pasma, kategorie witryn, czas spędzony w poszczególnych witrynach i kategoriach, Ilość transakcji, także z podziałem na blokowane, monitorowane, zakończone itp. c. Generowanie w/w raportów ale z ukryciem danych pozwalających zidentyfikować użytkownika (na raporcie zamiast adresu IP, nazwy, loginu itp., powinny być identyfikatory nieznaczące np. liczby). d. Bieżący wgląd w aktywność użytkowników. e. Oferowane rozwiązanie musi zapewnić możliwość generowania raportów ze wszystkich gromadzonych danych (najbardziej szczegółowych) przez okres co najmniej 1 miesiąca. 18. Zarządzanie, przeglądanie aktywności użytkowników oraz raportowanie powinny być dostępne przez zintegrowaną webową konsolę administracyjną z możliwością określenia poziomu uprawnień administratorów. System musi mieć możliwość tworzenia lokalnych kont administracyjnych. 19. Konsola zarządzająca dla oferowanego rozwiązania musi być dostępna przez CLI (ssh) lub GUI (https). 20. Możliwość backupu i przywracania konfiguracji systemu na/z zasoby/ów zewnętrzne/ych. 21. Aktualne statystyki działającego rozwiązania: a. Uśredniona przepustowość dla kanału http, https i ftp dla ruchu wychodzącego do Internetu to 400 Mbps, b. Ruch https 70%, ruch http 30% c. Sumaryczna ilość działających polityk: 250 22. Rozwiązanie musi być dostarczone jako: a. oprogramowanie instalowane na serwerze wirtualnym. Zamawiający wymaga wówczas, aby dostarczone oprogramowanie można było uruchomić w środowisku wirtualnym Microsoft Hyper-v 2012R2 lub VMware ESXi 5.5 (licencje na systemy operacyjne zarówno hosta jak i maszyn wirtualnych muszą zostać dostarczone w ramach rozwiązania). Serwer fizyczny który Zamawiający zamierza przeznaczyć dla tego rozwiązania to DELL PowerEdge R710 (2 procesory Intel Xeon E5645, 96 GB RAM). Wykonawca na potrzeby tego rozwiązania może wykorzystać: HDD maksimum 500GB, pamięć RAM maksimum 24GB, VCPU rezerwacja 1 procesora fizycznego, karta sieciowa 1GbE. lub b. dedykowane rozwiązanie sprzętowo-programowe, pracujące pod kontrolą dedykowanego systemu operacyjnego, dostosowanego do wymogów systemu (tzw. Appliance). 23. W ramach rozwiązania muszą być dostarczone wszystkie wymagane licencje konieczne do poprawnego jego działania. 24. Rozwiązanie musi zapewniać ochronę dla 2.200 użytkowników sieci wewnętrznej i zapewniać możliwość zwiększenia o min. 500 użytkowników bez rozbudowy platformy sprzętowej. 25. Dostarczone rozwiązanie musi zapewniać aktualizacje bazy filtracji przez okres 12 miesięcy od daty uruchomienia oprogramowania.
26. Wdrożenie dostarczonego rozwiązania w sieci zamawiającego, a w szczególności: a. analiza konfiguracji używanego obecnie przez Zamawiającego oprogramowania Cisco S300V Web Security Virtual Appliance b. ustalenie nowej konfiguracji w porozumieniu z zamawiającym c. konfiguracja i wdrożenie nowego rozwiązania d. wszystkie prace muszą być wykonywane w godzinach pracy Zamawiającego II. Warunki gwarancji, serwisu i wsparcia technicznego 1. Definicje a. Awaria uszkodzenie systemu/urządzenia, elementu systemu/urządzenia (sprzętowe lub programowe) lub poważne zakłócenie pracy systemu/urządzenia, którego skutkiem jest brak możliwości korzystania z niego lub jego części. Za Awarię uważane jest również jednoczesne wystąpienie szeregu usterek, w przypadku, gdy można wykazać, że występujące jednocześnie usterki mają ten sam skutek, co opisane powyżej Awarie. b. Usterka uszkodzenie elementu systemu/urządzenia (sprzętowe lub programowe), której skutkiem jest brak dostępu do określonej funkcjonalności systemu/urządzenia, niemającej wpływu na realizację podstawowych jego funkcjonalności. c. Dzień roboczy dzień roboczy Zamawiającego. 2. Na dostarczany sprzęt/oprogramowanie musi być udzielona 12 - miesięczna gwarancja; Zamawiający wymaga, aby serwis był autoryzowany przez producenta urządzeń/oprogramowania, to jest by zapewniona była naprawa lub wymiana urządzeń/oprogramowania lub ich części, na części nowe i oryginalne, zgodnie z metodyką i zaleceniami producenta. 3. Okres gwarancji rozpoczyna się od dnia podpisania protokołu zdawczoodbiorczego bez zastrzeżeń. 4. Usługa gwarancyjna dla urządzeń świadczona ma być w miejscu ich instalacji. 5. Czas reakcji: a. na zgłoszoną awarię (rozumianą jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 4 godzin; usunięcie awarii (naprawa lub wymiana wadliwego podzespołu lub urządzenia lub oprogramowania) musi zostać wykonane w przeciągu następnego dnia roboczego od momentu zgłoszenia awarii b. na zgłoszoną usterkę (rozumianą jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 24 godzin; usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia lub oprogramowania) musi zostać wykonane w przeciągu 3 dni roboczych od momentu zgłoszenia usterki 6. Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Zamawiającego), e-mail lub WWW (przez całą dobę); Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń.
7. W przypadku Sprzętu, dla którego jest wymagany dłuższy czas na naprawę, Zamawiający dopuszcza podstawienie na czas naprawy sprzęt o nie gorszych a porównywalnych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 14 dni roboczych od momentu zgłoszenia awarii lub usterki. 8. Zamawiający otrzyma dostęp do pomocy technicznej Wykonawcy (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Zamawiającego 9. Wszelkie koszty związane z naprawami gwarancyjnymi, usuwaniem ujawnionych awarii i usterek, włączając w to koszt części i transportu z i do siedziby Zamawiającego ponosi Wykonawca. 10. Wykonawca zobowiązuje się do zwrotu kosztów naprawy gwarancyjnej zrealizowanej przez Zamawiającego w przypadku, gdy dwukrotnie bezskutecznie wzywał Wykonawcę do jej wykonania. 11. W czasie obowiązywania wsparcia technicznego Wykonawca zobowiązany jest do udostępnienia Zamawiającemu nowych wersji BIOS, firmware i sterowników (na płytach CD lub stronach internetowych).