Załącznik nr 4 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Pozycja 1: Dostawa półki z dyskami oraz elementów dodatkowych wraz z instalacją i konfiguracją [np. HP StorageWorks MSA2000 Dual I/O 3.5 inch 12 Drive Enclosure (AJ750A), 6 sztuk dysków twardych HP StorageWorks P2000 2 TB 6G SAS 7200 obr./min LFF (3,5") MDL (AW555A), 6 sztuk dysków twardych HP StorageWorks MSA2 300GB 3G 15K 3.5 inch Dual-port SAS HDD (AJ736A)] lub równowaŝny spełniający poniŝsze kryteria. Ilość: 1 komplet CPV 30233141-1 Nadmiarowa macierz niezaleŝnych dysków (RAID) Przedmiotem zamówienia jest dostawa półki z dyskami dedykowana do macierzy dyskowej będącej na stanie Zamawiającego, model: HP MSA 2312i (iscsi), wyposaŝonej w dwa kontrolery (kod producenta: AJ803A) - pracującymi w trybie Active-Active oraz 6 dysków SAS i 6 dysków SATA, poprzez dostawę półki z dyskami oraz elementów montaŝowych i dodatkowych, dedykowanych przez producenta(ów) ww. urządzeń i przeznaczona do współpracy z ww. macierzą, tj. umoŝliwiającymi prawidłową ich instalację i konfigurację. Rozbudowa macierzy dyskowej z kompletem dysków twardych Element konfiguracji Obudowa Zasilanie i chłodzenie Kontroler Zarządzanie Dodatkowe wyposaŝenie Dyski Gwarancja i serwis Instalacja i konfiguracja Wymagania minimalne Wysokość urządzenia, zawierającego miejsce na co najmniej 12 dysków SAS, nie moŝe być większa niŝ 2U. Obudowa dedykowana do zamontowania w szafie rack 19 z zestawem szyn do mocowania w szafie Zamawiający wymaga redundantnego systemu zasilania i chłodzenia w półce jak i dla kontrolerów /modułów wejścia/wyjścia. Zamawiający wymaga aby w dostarczonym urządzeniu były zamontowane dwa moduły wejścia/wyjścia, umoŝliwiające podłączenie ww. macierzy z półką oraz umoŝliwiające dalszą jej rozbudowę o kolejne półki z dyskami Zamawiający wymaga aby półka była zarządzana minimum z linii poleceń (CLI). Wymaga się aby kaŝdy z kontrolerów / modułów wejścia/wyjścia wyposaŝony był w minimum jeden interfejs zarządzający: minimum szeregowy. Minimum dwa dedykowane kable łączące kontrolery w macierzy z kontrolerami / modułami wejścia wyjścia w półce o długości minimum 1m. Pojemność zainstalowanych w oferowanej macierzy dysków nie moŝe być mniejsza niŝ: 12 TB w dyskach SAS, o prędkości obrotowej minimum 7.2K rpm i 1.8 TB w dyskach SAS, o prędkości obrotowej minimum 15K rpm Minimum 3 lata gwarancji na części (w tym zainstalowane w półce macierzowej dyski twarde), z naprawą w miejscu instalacji, czas reakcji maksymalnie 4 godziny od zgłoszenia awarii z opcją uszkodzony dysk, po wymianie na nowy, zostaje u Zamawiającego. MoŜliwość kupienia oryginalnych części zamiennych do dwóch lat po upływie gwarancji półki macierzy. Wymagana jest instalacja i konfiguracja ww. półki z dyskami do macierzy, model: HP MSA 2312i (iscsi), wyposaŝonej w dwa kontrolery (kod producenta: AJ803A) oraz 6 dysków SAS i 6 dysków SATA,
uŝytkowanej przez Zamawiającego. Instalacja i konfiguracja dostarczonej półki dyskowej nie spowoduje utraty gwarancji, którą objęta jest ww. macierz. Instalacja powinna być wykonana przez personel posiadający wiedzę i doświadczenie w instalacji ww. sprzętu. Pozycja 2: RóŜny sprzęt komputerowy a) Pamięć dedykowana dla płyty głównej Asrock P4i65G 2 sztuki (kości) b) Pamięć dedykowana dla płyty głównej Gigabyte GA-945GZM-S2 8 sztuk (kości) c) Pamięć dedykowana dla płyty głównej Asus P5PE-VM 6 sztuk (kości) Ilość: 16 sztuki CPV 30236000-2 RóŜny sprzęt komputerowy spełniające poniŝsze kryteria: Lp. A. B. C. Nazwa komponentu Pamięć dedykowana dla płyty głównej Asrock P4i65G Pamięć dedykowana dla płyty głównej Gigabyte GA-945GZM-S2 Pamięć dedykowana dla płyty głównej Asus P5PE-VM Wymagane minimalne parametry techniczne 1 kość = 1 GB; minimum DDR 400; gwarancja minimum : 60 miesięcy; 1 kość = 2 GB; minimum: DDRII 667; gwarancja minimum : 60 miesięcy; 1 kość = 1 GB; minimum: DDR 400; gwarancja minimum : 60 miesięcy; Pozycja 3: Urządzenie sieciowe (np. urządzenie NETASQ U-120) lub równowaŝne spełniające poniŝsze kryteria. Ilość: 1 sztuka CPV 32420000-3 Urządzenia sieciowe Zamawiający informuje, Ŝe posiada urządzenie klasy UTM firmy Netasq model F60 z pakietem serwisowym waŝnym do dnia 30.11.2011 roku. Zamawiający dopuszcza moŝliwość modernizacji / aktualizacji lub wymiany posiadanego ww. urządzenia z przeniesieniem ww. pakietu serwisowego na nowe urządzenie spełniające parametry / kryteria niŝej wymienione. Lp. Opis / Parametry Wymagane Parametry Urządzenie posiada zintegrowaną architekturę bezpieczeństwa obejmującą poniŝsze funkcje: 1. Firewall klasy Stateful Inspection 2. Urządzenie powinno obsługiwać translacje adresów NAT, PAT, 1-PAT. 3. Administrator powinien mieć moŝliwość zdefiniowania minimum 10 róŝnych zestawów reguł na firewall u. 4. Administrator powinien mieć moŝliwość zdefiniowania harmonogramu dla minimum 10 róŝnych zestawów reguł na firewall u
określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 5. Oprogramowanie dostarczone przez producenta powinno posiadać graficzny edytor konfiguracji harmonogramu reguł na firewall u. 6. 7. 8. Urządzenie powinno dawać moŝliwość ustawienia trybu pracy jako router warstwy trzeciej lub jako bridge warstwy drugiej lub hybrydowo (część jako router a część jako bridge). Narzędzie do konfiguracji firewall a powinno umoŝliwiać tworzenie odpowiednich reguł przy uŝyciu prekonfigrowanych obiektów. Przy zastosowaniu takiej technologii osoba administrująca ma moŝliwość określania parametrów pojedynczej reguły (adres źródłowy, adres docelowy etc.) przy wykorzystaniu obiektów określających ich logiczne przeznaczenie. Edytor reguł na firewall u powinien posiadać wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na uŝycie nieistniejących elementów (obiektów). 9. W domyślnej konfiguracji urządzenie (a dokładniej Firewall) powinien blokować wszystkie połączenia poza połączeniami administracyjnym od strony sieci lokalnej (LAN). 10. Administrator ma moŝliwość zdefiniowania minimum 10 róŝnych zestawów reguł dla translacji adresów (NAT). 11. Administrator ma moŝliwość zdefiniowania harmonogramu dla minimum 10 róŝnych zestawów reguł dla NAT określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 12. Oprogramowanie dostarczone przez producenta powinno posiadać graficzny edytor konfiguracji harmonogramu reguł dla NAT. 13. Edytor reguł dla NAT powinien posiadać wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na uŝycie nieistniejących elementów (obiektów). 14. Firewall powinien umoŝliwiać uwierzytelnienie i autoryzację uŝytkowników w oparciu o bazę lokalną, zewnętrzny serwer RADIUS lub LDAP (wewnętrzny i zewnętrzny) lub przy współpracy z uwierzytelnieniem Windows NT4.0 (NTLM) i Windows 2k (Kerberos)
15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. System detekcji i prewencji włamań (IPS) powinien być zaimplementowany w jądrze systemu i wykrywać włamania oraz anomalie w ruchu sieciowym przy pomocy analizy protokołów, analizy heurystycznej oraz analizy w oparciu o sygnatury kontekstowe Administrator powinien mieć moŝliwość wyłączenia analizy protokołów oraz analizy w oparciu o sygnatury kontekstowe dla wybranych połączeń IPS powinien być konfigurowalny na poziomie reguł dla firewall a. Cecha ta ma umoŝliwiać wykorzystanie harmonogramu dla firewall a w celu uŝycia tego samego harmonogramu dla IPS Dla ustawień IPS moŝliwe jest skonfigurowanie co najmniej 4 profili ustawień. Przy czym w domyślnej konfiguracji jeden profil jest ustawiony automatycznie dla połączeń wychodzących, a drugi dla połączeń przychodzących Antywirus: w okresie wykupionego serwisu, urządzenie powinno być wyposaŝone w minimum dwa antywirusy (w danym momencie powinien pracować przynajmniej jeden spośród nich z moŝliwością wyboru zamiennie). Antywirus skanuje protokoły HTTP, POP3 i SMTP. Dla kaŝdego z trzech Proxy (HTTP, POP3, SMTP) administrator powinien mieć moŝliwość stworzenia minimum 4 profili ustawień Urządzenie powinno mieć moŝliwość kształtowania pasma w oparciu o priorytezację ruchu Urządzenie powinno mieć moŝliwość kształtowania pasma w oparciu o minimalną i maksymalną wartość dostępnego pasma Rozwiązanie powinno umoŝliwiać tworzenie tzw. kolejki nie mającej wpływ na kształtowanie pasma a jedynie na śledzenie konkretnego typu ruchu (monitoring) Kształtowanie pasma powinno odbywać się na poziomie reguł dla Firewall a. Cecha ta ma umoŝliwiać wykorzystanie harmonogramu dla firewall a w celu uŝycia tego samego harmonogramu dla kształtowania pasma Urządzenia posiadają wbudowany serwer VPN pozwalający na tworzenie tzw. kanałów. (Client-To-Site, Site-To-Site) MoŜliwość budowania kanałów VPN w oparciu o: a) PPTP VPN b) IPSec VPN c) SSL VPN Oprogramowanie dostarczone przez producenta powinno posiadać graficzny edytor konfiguracji harmonogramu reguł na
VPN 29. Antyspam blokuje niechcianą pocztę przy pomocy - minimum: a) Białych i czarnych list nadawców / serwerów tworzonych przez administratora b) Serwerów RBL istnieje moŝliwość dodawania/usuwania serwerów RBL i ustawiania poziomu zaufania dla tych serwerów. c) Wykorzystywanie analizy heurystycznej 30. Filtracja stron www (Filtr URL) - minimum: a) MoŜliwość tworzenia klasyfikacji stron przez administratora b) Filtrowanie w oparciu o moduł filtrujący producenta oraz moŝliwość rozszerzenia skanowania o filtr zewnętrznej firmy specjalizującej się w tworzeniu takich filtrów. c) Zgodność z protokołem ICAP 31. 32. 33. Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł dla filtra URL Harmonogram filtrowania adresów URL powinien być niezaleŝny od harmonogramu dla firewall a Administrator powinien mieć moŝliwość zdefiniowania harmonogramu dla minimum 10 róŝnych zestawów reguł dla filtrowania URL określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu 34. MoŜliwość pracy w trybie Load Balancing. 35. 36. 37. Urządzenie powinno pozwalać na uruchomienie systemu uwierzytelniania uŝytkowników w oparciu o: a. lokalną bazę uŝytkowników (wewnętrzny LDAP), b. zewnętrzną bazę uŝytkowników (zewnętrzny LDAP), c. integracje z serwerem Microsoft Active Directory Urządzenie musi pozwalać na uruchomienie specjalnego portalu, który umoŝliwia autoryzacje w oparciu o protokoły. Autoryzacja ma mieć moŝliwość włączenia na interfejsach: - zewnętrznym (od strony sieci Internet), - wewnętrznym (od strony sieci LAN). - jednocześnie na wewnętrznym i zewnętrznym. Minimum: - SSL - Radius - NTLM - Kerberos 38. Urządzenie posiada moŝliwość definiowania przynajmniej 4 rodzajów połączeń typu Dial-
39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. up włączając w to: PPPoE, PPTP, PPP, L2TP. Urządzenie posiada wbudowany Serwer DHCP z moŝliwością przypisywania adresu IP do adresu MAC hosta w sieci. Urządzenie daje moŝliwość ustawienia trybu pracy jako router warstwy trzeciej lub jako bridge warstwy drugiej lub hybrydowo (część jako router a część jako bridge). Urządzenie moŝe być zarządzane przez dowolną liczbę administratorów, którzy posiadają rozłączne lub nakładające się uprawnienia. Restart urządzenia moŝe być zabezpieczony poprzez zastosowanie fizycznego tokena dostarczonego przez producenta. Po uruchomieniu urządzenia z ustawieniami fabrycznymi istnieje moŝliwość sczytania konfiguracji z fizycznego tokena. Urządzenie jest dostępne wraz z konsolą do centralnej administracji pozwalającą na zarządzanie przynajmniej 5 urządzeniami w róŝnych lokalizacjach w podstawowej cenie urządzenia. W skład licencji na urządzenie wchodzi oprogramowanie narzędziowe słuŝące do przeglądu bieŝących jak i archiwalnych logów. Oprogramowanie takŝe umoŝliwia podgląd pracy urządzenia w trybie rzeczywistym. MoŜliwość eksportowania logów na zewnętrzny serwer (syslog) Urządzenie posiada certyfikaty niezaleŝnych organizacji minimum, np. ICSA Lab i Common Cryteria EAL 2+ lub równowaŝnych Urządzenie ma mieć moŝliwość wyposaŝenia go w technologię analizującą środowisko sieciowe i wykrywające potencjalne luki bezpieczeństwa, oparte o skaner działający w trybie pasywnym. Urządzenie dostarczane jest z oprogramowaniem do generowania kompleksowych raportów z jego działania. Program generujący raporty powinien tworzyć pliki html oraz mieć moŝliwość stworzenia pliku index.html zawierającego łącza do wszystkich dotychczas stworzonych raportów. Powinien równieŝ mieć moŝliwość składowania raportu lokalnie na dysku twardym, wysyłania e-mailem lub przesłania na serwer FTP. W przypadku wysyłania raportów do administratora poprzez e-mail oprogramowanie powinno dawać moŝliwość spakowania raportu do pojedynczego archiwum. Urządzenie powinno mieć moŝliwość definiowania źródła aktualizacji oraz jego częstotliwości dla kaŝdego z aktualizowanych modułów.
52. 53. 54. 55. Urządzenie wyposaŝone jest w funkcjonalność High Availability (funkcja wymaga dwóch urządzeń), która odpowiada za zachowanie ciągłości pracy sieci - w przypadku awarii jednego z urządzeń lub równowaŝną (minimum: synchronizacja konfiguracji urządzeń, odzyskanie sesji z uszkodzonego urządzenia, detekcja uszkodzeń sprzętowych). Urządzenie oferuje moŝliwość skonfigurowania usługi dynamicznego DNS dzięki czemu klienci z dynamicznym adresem IP mogą korzystać ze stałej nazwy hosta/domeny. Urządzenie posiada funkcjonalność DNS cache. Oprogramowanie oferuje moŝliwość składowania logów z jednego lub większej ilości urządzeń do bazy danych, np. PostgreSQL. Administracja urządzeniem 56 Producent powinien dostarczyć w podstawowej licencji oprogramowanie narzędziowe, które umoŝliwia: 57. 58. 59. 60. 61. 62. a) lokalną oraz zdalną konfigurację i administrację, b) lokalny oraz zdalny podgląd pracy urządzenia (tzw. monitoring w trybie rzeczywistym), c) umoŝliwiający zarządzanie, analizę i prostą interpretację logów, d) zarządzanie więcej niŝ jednym urządzeniem (centralna administracja). Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi być szyfrowana. Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi odbywać się po porcie innym niŝ tcp 80, tcp 443 (http, https). Urządzenie moŝe być zarządzane przez dowolną liczbę administratorów, którzy posiadają rozłączne lub nakładające się uprawnienia Urządzenie powinno być w pełni zarządzane przez oprogramowanie stworzone i dostarczone przez producenta (Windows 2000/XP/2003). Dodatkowo administracja musi być moŝliwa przy wykorzystaniu linii poleceń (przez SSH lub przy wykorzystaniu portu SERIAL). Urządzenie powinno być dostępne wraz z konsolą do centralnej administracji pozwalającą na zarządzanie przynajmniej 5 urządzeniami w róŝnych lokalizacjach w podstawowej cenie urządzenia. Urządzenie powinno mieć moŝliwość eksportowania logów na zewnętrzny serwer
63. 64. (syslog). Urządzenie powinno być dostarczane z oprogramowaniem do generowania kompleksowych raportów z jego działania. Program generujący raporty powinien tworzyć pliki HTML oraz mieć moŝliwość stworzenia pliku index.html zawierającego łącza do wszystkich dotychczas stworzonych raportów. Powinien równieŝ mieć moŝliwość składowania raportu lokalnie na dysku twardym, wysyłania przy uŝyciu poczty elektronicznej lub przesłania na serwer FTP. W przypadku wysyłania raportów przy uŝyciu poczty elektronicznej oprogramowanie powinno dawać moŝliwość spakowania raportu do pojedynczego archiwum. 65. Instalacja całego pakietu oprogramowania, powinna odbywać się przy uŝyciu jednego pliku instalacyjnego w którego skład wchodzą: a) aplikacja do konfiguracji urządzenia, b) aplikacja do podglądu stanu w trybie / czasie rzeczywistym c) aplikacja do zarządzania logami d) moduł automatycznego generowania raportów e) serwer syslog (dla systemu operacyjnego Microsoft Windows 2000/XP/2003) f) serwer bazodanowy (np. PostgreSQL) 66 Urządzenie powinno posiadać usługę klienta NTP. Parametry techniczne urządzenia: 67. Urządzenie wyposaŝone w dysk twardy. Dysk podzielony na minimum 3 partycje. W tym minimum dwie systemowe umoŝliwiające start urządzenia z jednej z partycji oraz jedną przeznaczoną na logi. Pojemność minimum: 70 GB 68. Liczba portów Ethernet 10/100/1000 minimum: 6 69. 70. 71. 72. Przepustowość Firewall-a wraz z IPS-em wynosi minimum: 700 Mbps Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi minimum 160 Mbps. Maksymalna liczba tuneli VPN IPSec nie powinna być mniejsza niŝ 500. MoŜliwość zdefiniowania co najmniej 6 500 reguł filtrujących. 73. Obsługa minimum: 128 VLAN-ów 74. 75. Maksymalna liczba równoczesnych sesji wynosi minimum: 200 000 Urządzenie jest nielimitowane na uŝytkowników. Gwarancja / Rękojmia / Wsparcie techniczne / Aktualizacje systemu i oprogramowania
76. 77. 78. 79. Okres gwarancji / rękojmi: WaŜność minimum do 30.11.2011 Wsparcie techniczne: minimum w okresie trwania serwisu bezpłatna (minimum: telefon, mail) Aktualizacje systemu i oprogramowania: Aktualizacja wszystkich modułów urządzenia w tym dwóch antywirusów w okresie trwania serwisu minimum do 30.11.2011. Zakres gwarancji: wymiana urządzenia w przypadku awarii sprzętowej nastąpi w ciągu maksymalnie 2 dni roboczych.