Załącznik nr 2 Opis przedmiotu zamówienia 1. Przedmiotem zamówienia jest: 1) Dostawa i instalacja kontrolera sieci bezprzewodowej wraz z 52 antenami Dual-Radio oraz wykonaniem instalacji kablowej na potrzeby WLAN. 2) Dostawa i instalacja 12 przełączników sieciowych na potrzeby połączenia sieci bezprzewodowej z siecią lokalną Akademii. 3) Dostawa szafy strukturalnej oraz wykonanie niezbędnej instalacji światłowodowej na potrzeby montażu przełączników sieciowych. 4) Dostawa systemu bezpieczeństwa Firewall z roczną subskrypcją antywirusową, antyspamową i kontroli stron internetowych oraz raportowaniem udostępnionym w chmurze lub w postaci odpowiednio zabezpieczonej platformie sprzętowej. 2. Warunki wykonania zamówienia: 1) Miejsce dostawy i montażu - budynki Akademii Muzycznej: a) Budynek przy ul. Zacisze 3 Minimalna ilość anten: 3 2 anteny w pomieszczeniach biurowych na parterze, 1 antena w pomieszczeniu na 1 piętrze Instalacja urządzeń switch 8 port: 1 b) Budynek przy ul. Wojewódzka 33 Minimalna ilość anten: 22 3 anteny na korytarzu w części sal wykładowych, na każdej kondygnacji (4 kondygnacje ) 2 anteny w pomieszczeniach biblioteki 2 anteny na PATIO przy wejściu głównym Akademii 2 anteny na potrzeby Sali koncertowej 2 anteny na potrzeby apartamentów na III piętrze 1 antena na potrzeby pomieszczeń garderoby na I piętrze 1 antena na I piętrze w pomieszczeniu wnęki organowej Instalacja urządzeń switch 8 port: 6 c) Budynek przy ul. Zacisze 5 Minimalna ilość anten: 10 Po 2 anteny na korytarzach każdej z kondygnacji (5 kondygnacji) 1
Instalacja urządzeń switch 24 port: 1 d) Budynek przy ul. Krasińskiego 27 Minimalna ilość anten: 17 Po 3 anteny na każdej z kondygnacji części domu studenta (4 kondygnacje) 5 anten w części dydaktycznej (w tym hol oraz sale wykładowe na każdej kondygnacji + reżyserka) Ilość urządzeń switch 8 port: 2 Ilość urządzeń switch 24 port: 1 2) Zakres instalacji obejmuje: a) Wykonanie nowej instalacji kablowej o parametrach nie gorszych niż Kat. 5e UTP pomiędzy urządzeniami typu Access Point a dostarczonymi przełącznikami sieciowymi - switch. Rozmieszczenie urządzeń Access Point oraz switch zawiera załącznik Planu obiektów. Istnieje możliwość wykorzystania istniejących wolnych gniazd w pomieszczeniach Biblioteki i Sali koncertowej budynku przy ul. Wojewódzka 33. b) Montaż, uruchomienie i konfigurację urządzeń aktywnych. 3) Wykonawca przeprowadzi dla pracowników Zamawiającego dwudniowe szkolenie w zakresie obsługi dostarczonych i zamontowanych urządzeń WLAN/LAN oraz jednodniowe szkolenie w zakresie urządzenia UTM Firewall. Koszt szkolenia zawarty będzie w cenie oferty. 4) Wykonawca udzieli minimum 36 miesięcy gwarancji na dostarczone i zamontowane urządzenia. 5) Oferowane urządzenie systemu bezpieczeństwa musi posiadać co najmniej roczną subskrypcje ochrony przed wirusami, spamem, atakami (IPS) oraz kontroli stron internetowych. Parametry systemu bezpieczeństwa określone są poniżej w pkt 9 niniejszego opisu (parametry dotyczące urządzeń Systemu bezpieczeństwa ). 6) Wykonawca dostarczy oprogramowanie do administrowania i zarządzania siecią WLAN dla wszystkich urządzeń oraz osobne oprogramowanie do zarządzania dostarczonymi przełącznikami sieciowymi. Wymagane funkcjonalności określone są w poniżej w pkt3 i 4niniejszego opisu (parametry dotyczące Przełączników ) odpowiednio 24 portowych i 8 portowych 2
7) Zamawiający wymaga aby Wykonawca zapewnił serwis polegający na wymaganych przez producenta przeglądach, wymianie wadliwych urządzeń lub części z nich w celu zapewnienia poprawnej pracy całej instalacji oraz konfigurację urządzeń według zaleceń producenta przez cały okres gwarancji. 8) W ramach serwisu Wykonawca udostępni możliwość zgłaszania problemów pocztą elektroniczną oraz przez interfejs WWW. Za datę zgłoszenia uznaje się datę wysłania zgłoszenia serwisowego przez Zamawiającego. Wykonawca przystąpi do usunięcia usterki w ciągu 2 godzin od zgłoszenia. Rozwiązanie problemu serwisowego nie może trwać dłużej niż 24h. Przerwa w pracy nie może być dłuższa niż 8 godzin od momentu zgłoszenia w dni robocze oraz 24 godzin od momentu zgłoszenia w dni wolne od pracy. 9) Koszt prowadzonego serwisu będzie zawarty w cenie oferty. 10) Wykonawca przekaże Zamawiającemu wszelkie dostępy do oprogramowania i urządzeń zainstalowanych u Zamawiającego. 11) Instalację kablową wykona certyfikowany instalator okablowania kategorii zgodnej z wybraną do instalacji nie gorszej niż 5e UTP. 3. Minimalne wymagania dla przełącznik sieciowy 24 port Wymagania ogólne: 1) Urządzenie o stałej konfiguracji fizycznej min. 24 portów dostępowych 10/100/100 RJ-45 oraz 2 interfejsów definiowalnych wkładkami SFP+ mogących pracować z prędkością 1G lub 10G. 2) Urządzenie ma zostać dostarczone wraz z wkładkami światłowodowymi MM do każdego fizycznego portu SFP. 3) Porty dostępowe o styku fizycznym RJ-45 wspierające funkcjonalność Power-over-Ethernet+ 802.3at do 30 Watt/port. 4) Urządzenie musi umożliwiać łączenie min. 8 urządzeń w stos. 5) Urządzenie musi posiadać dwa dedykowane porty na potrzeby łączenia w stos. 6) Urządzenie musi umożliwiać instalację drugiego zasilacza. 7) min. 256MB pamięci DRAM oraz min. 128MB pamięci Flash, 8) Obsługa min. 16000 adresów MAC. 9) Wydajność przełączania urządzenia co najmniej 65 Mpps. 10) Automatyczne wykrywanie przeplotu (AutoMDIX) na portach miedzianych. 3
11) Wbudowane narzędzia do diagnozy okablowania na portach miedzianych (np. time domain reflector). 12) Obsługa co najmniej 4000 sieci VLAN i 4000 VLAN ID. 13) Obsługa co najmniej 2000 list kontroli dostępu (ACL). 14) Obsługa mechanizmów dystrybucji informacji o sieciach VLAN pomiędzy przełącznikami. 15) Funkcjonalność port-fast Port Fast, Root Guard lub równoważny mechanizm oferujący szybką zmianę stanu portu pomijając standardowy proces uruchamiania portu w instancji STP. 16) Obsługa protokołów sieciowych zgodnie ze standardami: a) IEEE 802.1x b) IEEE 802.1s c) IEEE 802.1w d) IEEE 802.3x full duplex dla 10BASE-T i 100BASE-TX e) IEEE 802.3ad f) IEEE 802.1D g) IEEE 802.1p h) IEEE 802.1Q i) IEEE 802.3 10BASE-T j) IEEE 802.3u 100BASE-TX k) IEEE 802.3z 1000BASE-X l) IEEE 802.3ab 100BASE-T 17) Wsparcie routingu: a) IPv4: RIPv1/v2, oraz routing statyczny, b) IPv6: RIPng, c) Wsparcie dla minimum 128 interfejsów IPv4, d) Wspracie dla minimum 16 interfejsów IPv6, 18) Wspracie dla mechanizów multicast: a) IGMPv1, v2, v3 snooping, b) Multicast Listener Discovery snooping, c) Minimum 1000 grup multicastowych, d) IP Multicast VLAN, 19) Możliwość uruchomienia funkcjonalności Metro Ethernet przy pomocy dodatkowej licencji: a) IEEE 802.1ad Provider Edge, b) Transparent LAN Services SVLAN, CVLAN, c) Ethernet network-to-network NNI i UNI (User), d) Service Access Point (SAP), 4
e) Translacja i mapowanie CVLAN do SVLAN, f) IEEE 802.1ag Ethernet OAM, g) IEEE 802.3ah Ethernet OAM, h) ITU-T G.8032 Ethernet Ring Protection, i) Private VLAN i Service Assurance Agent (SSA), j) Layer 2 Multicast VLAN Replication (MVR), k) L2CP dla EPL i EVPL, l) Certyfikacja MEF9 i MEF14, 20) Mechanizmy związane z zapewnieniem jakości usług w sieci: a) Obsługa co najmniej ośmiu kolejek sprzętowych, wyjściowych dla różnego rodzaju ruchu. b) Mechanizm automatycznej konfiguracji portów do obsługi VoIP, c) Flow-based QoS z wejściową i wyjściową zmianą parametrów (tzw. remarking), d) Zarządzanie kolejkowaniem: Random Early Detect (RED), Stricte Priority (SPQ), Weighted Round Robin (WRR), Deficit Round Robin (DRR), e) Mechanizm zapobiegania powstawaniu zatorów w sieci E2E-HOL Blocking Protection, 21) Mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) Dostęp do urządzenia przez konsolę szeregową, SSHv2 i SNMPv3, HTTPS/SSL, b) Wsparcie dla standardu 802.1x port-based, multiple-client, MAC authentication, c) Obsługiwać mechanizmu typu Guest VLAN, MAC address lockdown, IP Source Guard, Dynamic ARP Inspection, d) Możliwość aplikowania list kontroli dostępu (ACL) per port, MAC SA/DA, IP SA/DA, TCP/UDP port, e) Funkcjonalność typu Restricted Role, STP Root Guard, STP BPDU guard lub równoważny mechanizm pozwalający na blokowanie roli portów, f) Możliwość autoryzacji prób logowania do urządzenia za pomocą serwerów TACACS+, RADIUS i LDAP, g) Wsparcie dla profili sieciowych użytkowników, h) Możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu z pozostawieniem możliwości komunikacji z portem nadrzednym lub funkcjonalność private VLAN Edge, i) Monitorowanie zapytań i odpowiedzi DHCP (tzw. DHCP Snooping), DHCP Option 82, DHCP IP Spoof protection, j) Możliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu z innego przełącznika (tzw. Port SPAN, Port Mirroring lub równoważny mechanizm pozwalający na przekierowanie pakietów przechodzących przez dany port na inny wybrany port), 5
k) Ochrona przed rekonfiguracją struktury topologii Spanning Tree spowodowana przez niepowołane i nieautoryzowane urządzenie sieciowe, l) Gradacja poziomów uprawnień na podstawie definicji typów profili, m) Współpraca z systemami kontroli dostępu do sieci typu NAC lub NAP lub podobne, 22) Obsługa grupowania portów w jeden kanał logiczny zgodnie z LACP 802.3ad, 23) Funkcjonalność umożliwiająca zaterminowanie dwóch fizycznych uplinków, działających w trybie active/active, widzianych jako jeden logiczny kanał, na dwóch fizycznie osobnych urządzeniach zdalnych, bez wykorzystania protokołu STP, 24) Obsługa VRRP, 25) Plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian, 26) Przechowywanie co najmniej 2 obrazów systemu operacyjnego, 27) Możliwość zarządzania przy pomocy bezpłatnej aplikacji graficznej zainstalowanej na urządzeniu, dostarczanej przez producenta, 28) Możliwość zarządzania przy pomocy osobnej, dedykowanej aplikacji do zarządzania infrastrukturą sieciową producenta urządzenia, 29) Możliwość montażu w szafie 19, 30) Wysokość 1U, 31) Obudowa wykonana z metalu, 32) Urządzenie musi być fabrycznie nowe. 4. Wymagania dla przełączników sieciowych 8 PORTOWYCH: 1) Urządzenie o stałej konfiguracji fizycznej min. 8 portów dostępowych 10/100 RJ-45 oraz 2 interfejsów definiowalnych wkładkami SFP+ mogących pracować z prędkością 1G lub 10G. 2) Urządzenie ma zostać dostarczone wraz z wkładkami światłowodowymi MM do każdego fizycznego portu SFP. 3) Porty dostępowe o styku fizycznym RJ45 posiadające możliwość licencyjnego upgrade prędkości do 1 gigabitu. 4) Porty dostępowe o styku fizycznym RJ-45 wspierające funkcjonalność Power-over-Ethernet+ 802.3at do 30 Watt/port. 5) Urządzenie musi umożliwiać łączenie min. 4 urządzeń w stos. 6) Urządzenie musi posiadać dwa dedykowane porty na potrzeby łączenia w stos,. 6
7) min. 256MB pamięci SDRAM oraz min. 128MB pamięci Flash. 8) Automatyczne wykrywanie przeplotu (AutoMDIX) na portach miedzianych. 9) Wbudowane narzędzia do diagnozy okablowania na portach miedzianych (np. time domain reflector). 10) Obsługa co najmniej 4000 sieci VLAN i 4000 VLAN ID. 11) Obsługa min. 16000 adresów MAC. 12) Obsługa co najmniej 2000 list kontroli dostępu (ACL). 13) Obsługa mechanizmów dystrybucji informacji o sieciach VLAN pomiędzy przełącznikami. 14) Funkcjonalność Port Fast, Root Guard lub równoważny mechanizm oferujący szybką zmianę stanu portu pomijając standardowy proces uruchamiania portu w instancji STP. 15) Obsługa protokołów sieciowych zgodnie ze standardami: a) IEEE 802.1x b) IEEE 802.1s c) IEEE 802.1w d) IEEE 802.3x full duplex dla 10BASE-T i 100BASE-TX e) IEEE 802.3ad f) IEEE 802.1D g) IEEE 802.1p h) IEEE 802.1Q i) IEEE 802.3 10BASE-T j) IEEE 802.3u 100BASE-TX k) IEEE 802.3z 1000BASE-X l) IEEE 802.3ab 100BASE-T 16) Wsparcie routingu: a) IPv4: RIPv1/v2, oraz routing statyczny, b) IPv6: RIPng, c) Wsparcie dla minimum 128 interfejsów IPv4, d) Wspracie dla minimum 16 interfejsów IPv6, 17) Wspracie dla mechanizów multicast: a) IGMPv1, v2, v3 snooping, b) Multicast Listener Discovery snooping, c) Minimum 1000 grup multicastowych, d) IP Multicast VLAN, 18) Możliwość uruchomienia funkcjonalności Metro Ethernet przy pomocy dodatkowej licencji: a) IEEE 802.1ad Provider Bridge, 7
b) Transparent LAN Services SVLAN, CVLAN, c) Ethernet network-to-network NNI i UNI (User), d) Service Access Point (SAP), e) Translacja i mapowanie CVLAN do SVLAN, f) IEEE 802.1ag Ethernet OAM, g) IEEE 802.3ah Ethernet OAM, h) ITU-T G.8032 Ethernet Ring Protection, i) Private VLAN i Service Assurance Agent (SSA), j) Layer 2 Multicast VLAN Replication (MVR), k) L2CP dla EPL i EVPL, l) Certyfikacja MEF9 i MEF14, 19) mechanizmy związane z zapewnieniem jakości usług w sieci: a) obsługa co najmniej ośmiu kolejek sprzętowych, wyjściowych dla różnego rodzaju ruchu. b) mechanizm automatycznej konfiguracji portów do obsługi VoIP, c) flow-based QoS z wejściową i wyjściową zmianą parametrów (tzw. remarking), d) zarządzanie kolejkowaniem: Random Early Detect (RED), Stricte Priority (SPQ), Weighted Round Robin (WRR), Deficit Round Robin (DRR), e) mechanizm zapobiegania powstawaniu zatorów w sieci E2E-HOL Blocking Protection, 20) mechanizmy związane z zapewnieniem bezpieczeństwa sieci: a) dostęp do urządzenia przez konsolę szeregową, SSHv2 i SNMPv3, HTTPS/SSL b) wsparcie dla standardu 802.1x port-based, multiple-client, MAC authentication c) obsługiwać mechanizmu typu Guest VLAN, MAC address lockdown, IP Source Guard, Dynamic ARP Inspection d) możliwość aplikowania list kontroli dostępu (ACL) per port, MAC SA/DA, IP SA/DA, TCP/UDP port, e) funkcjonalność typu Restricted Role, STP Root Guard, STP BPDU guard lub równoważny mechanizm pozwalający na blokowanie roli portów. f) możliwość autoryzacji prób logowania do urządzenia za pomocą serwerów TACACS+, RADIUS i LDAP, g) wsparcie dla profili sieciowych użytkowników, h) możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu z pozostawieniem możliwości komunikacji z portem nadrzednym lub funkcjonalność private VLAN Edge i) monitorowanie zapytań i odpowiedzi DHCP (tzw. DHCP Snooping), DHCP Option 82, DHCP IP Spoof protection 8
j) możliwość tworzenia portów monitorujących, pozwalających na kopiowanie na port monitorujący ruchu z innego dowolnie wskazanego portu z innego przełącznika (tzw. Port SPAN, Port Mirroring lub równoważny mechanizm pozwalający na przekierowanie pakietów przechodzących przez dany port na inny wybrany port).o ochrona przed rekonfiguracją struktury topologii Spanning Tree spowodowana przez niepowołane i nieautoryzowane urządzenie sieciowe, k) gradacja poziomów uprawnień na podstawie definicji typów profili, l) współpraca z systemami kontroli dostępu do sieci typu NAC lub NAP lub podobne, 21) obsługa grupowania portów w jeden kanał logiczny zgodnie z LACP 802.3ad 22) funkcjonalność umożliwiająca zaterminowanie dwóch fizycznych uplinków, działających w trybie active/active, widzianych jako jeden logiczny kanał, na dwóch fizycznie osobnych urządzeniach zdalnych, bez wykorzystania protokołu STP, 23) obsługa VRRP, 24) plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line, tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nie ulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian 25) przechowywanie co najmniej 2 obrazów systemu operacyjnego 26) możliwość zarządzania przy pomocy bezpłatnej aplikacji graficznej zainstalowanej na urządzeniu, dostarczanej przez producenta 27) możliwość zarządzania przy pomocy osobnej, dedykowanej aplikacji do zarządzania infrastrukturą sieciową producenta urządzenia 28) możliwość montażu w szafie 19 29) wysokość 1U 30) obudowa wykonana z metalu 31) urządzenie musi być fabrycznie nowe. 5. Wymagane funkcjonalności i parametry dla kontrolera sieci bezprzewodowej 1) Kontroler musi w pełni obsługiwać punkty dostępowe, które będą zainstalowane przez Zamawiającego 2) Kontroler musi spełniać co najmniej funkcje: a) Kontrolera sieci bezprzewodowej dla min 64 punktów dostępowych b) Pełnostanowej zapory sieciowej (stateful firewall) c) VPN Gateway 9
3) Musi istnieć możliwość rozbudowy kontrolera o nie mniej niż poniższe funkcje: a) Kryptograficzny moduł ochrony xsec zabezpieczający transmisję w warstwie 2 ISO/OSI (uwierzytelnienie 802.1X, 256-bit AES-CBC) b) Szyfrowanie z wykorzystaniem Suite-B Cryptography AES128-GCM/AES256-GCM c) Zdalny dostęp VPN za pomocą klienta Widnows/MAC/iOS/Android 4) Kontroler musi zapewniać możliwość integracji w przyszłości z innymi kontrolerami różnej wielkości, pracując w systemie hierarchicznym. 5) Kontroler musi mieć możliwość pracy w klastrze (praca w konfiguracji active-active oraz activestandby) 6) Komunikacja pomiędzy kontrolerami musi wykorzystywać protokoły sieciowe niewymagające instalacji dodatkowych urządzeń sieciowych. 7) Kontroler musi zapewniać centralne zarządzanie wszystkimi punktami dostępowymi w sieci, łącznie z tworzeniem i zarządzaniem obrazami konfiguracyjnymi oraz aktualizacją oprogramowania 8) Kontroler musi zapewniać centralne zarządzenia licencjami, tzn. w architekturze sieci, w której występuję więcej niż jedne kontroler, jeden z kontrolerów musi pełnić funkcję serwera z licencjami, który automatycznie będzie przydzielał licencję pozostałym kontrolerom. 9) Kontroler musi posiadać następujące parametry sieciowe: a) możliwość wdrożenia w warstwie 2 i 3 ISO/OSI, b) wsparcie dla sieci VLAN w tym również trunk 802.1q c) wbudowany serwer DHCP d) obsługa SNMPv2, SNMPv3 e) ruting dynamiczny OSPF 10) Kontroler sieci WLAN musi obsługiwać co najmniej: a) Metody szyfrowania i kontroli połączeń: WEP, dynamic WEP, TKIP WPA, WPA2, AES- CCMP, EAP, PEAP, TLS, TTLS, LEAP, EAP-FAST, DES, 3DES, AES-CBC b) Obsługę szyfrowania AES-CCM, TKIP i WEP centralnie na kontrolerze c) Obsługę SSL i TLS, RC4 128-bit oraz RSA 1024 i 2048 bit d) Autoryzację dostępu użytkowników: Typy uwierzytelnienia: IEEE 802.1X (EAP,LEAP,PEAP,EAP-TLS,EAP-TTLS, EAP-FAST), RFC 2548, RFC 2716 PPP EAP-TLS, RFC 2865 Radius Authentication, RFC 3576 dynamic Auth Ext for Radius, RFC 3579 Radius suport for EAP, RFC 3580, 3748, captive portal, 802.1X i MAC Możliwość wykorzystania nazwy użytkownika, adresu IP, adresu MAC i klucza szyfrowanego do uwierzytelnienia Wsparcie dla autoryzacji: Microsoft NAP, CISCO NAC, Juniper NAC, Aruba NAC 10
Możliwość utworzenia nie mniej niż 16 SSID na jednym punkcie dostępowym. Dla każdego SSID musi istnieć możliwość definiowania oddzielnego typu szyfrowania, oddzielnych vlan-ów i oddzielnego portalu captive portal Możliwość wykorzystania mieszanego szyfrowania dla określonych SSID (np. WPA/TKIP i WPA2/AES) Terminowanie sesji użytkowników sieci bezprzewodowej musi odbywać się na kontrolerze, nie na punkcie dostępowym Uwierzytelnienie oraz autoryzacja musi być możliwa przy wykorzystaniu lokalnej bazy danych na kontrolerze oraz zewnętrznych serwerów uwierzytelniających. Kontroler musi wspierać co najmniej następujące serwery AAA: Radius, LDAP, SSL Secure LDAP, TACACs+, Steel Belted Radius Server, Microsoft Active Directory, IAS Radius Server, Cisco ACS Server, RSA ACE Server, Interlink Radius Server, Infoblox, Free Radius. e) Kontroler musi gwarantować automatyczne przełączenie z zewnętrznego serwera AAA na lokalną bazę danych w przypadku awarii serwerów uwierzytelniających. f) Musi istnieć mechanizm definiowania ról użytkowników oraz bazując na nich egzekwowania polityki dostępu g) Kontroler musi zapewniać obsługę XML API do uwierzytelnienia 11) Kontroler musi posiadać obsługę transmisji różnego typu danych w jednej sieci: a) Integracja jednoczesnej transmisji danych i głosu b) Obsługa QoS Voice Flow Classification, SIP, Spectralink SVP, Cisco SCCP, Vocera ALGs, kolejkowanie w powietrzu, obsługa 802.11e-WMM, U-APSD, T-SPEC, SIP authentication tracking, Diff-serv marking, 802.1p c) Obsługa fast roaming d) Ograniczanie pasma dla użytkownika oraz dla roli użytkownika e) Ograniczenie pasma dla poszczególnych aplikacji f) Ograniczenie pasma dla poszczególnych SSID 12) Kontroler musi umożliwiać integrację ze środowiskiem Microsoft Lync poprzez SDN API. 13) Kontroler musi umożliwiać stworzenie strony dla gości tzw. Captive Portal 14) Kontroler musi umożliwiać stworzenie dedykowanej strony (interfejsu) do tworzenia kont dostępu do sieci dla gości strona przeznaczona dla osób niepracujących w dziale IT (np. dla pracownika recepcji bądź portierni) 15) Kontroler musi posiadać funkcję adaptacyjnego zarządzania pasmem radiowym: 11
a) Automatyczne definiowanie kanału pracy oraz mocy sygnału dla poszczególnych punktów dostępowych przy uwzględnieniu warunków oraz otoczenia, w którym pracują punkty dostępowe b) Stałe monitorowanie pasma oraz usług c) Przełączenie AP w tryb pracy monitorowania sieci bezprzewodowej w przypadku wystąpienie interferencji między kanałowymi d) Rozkład ruchu pomiędzy różnymi punkami dostępowymi bazując na ilości użytkowników oraz utylizacji pasma e) Przełączania użytkowników zdolnych pracować w paśmie 5Ghz do pracy w tymże paśmie f) Zapewnienie sprawiedliwego dostępu do medium w środowisku, w który znajdują się klienci pracujący zgodnie ze standardami (802.11ac, 11n, 11g, 11a, 11b) g) Wykrywanie interferencji oraz miejsc bez pokrycia sygnału h) Wsparcie dla 802.11h, 802.11k, 802.11r, 802.11v, 802.11w i) Integracja z systemami RFID - wymagane jest wbudowane stosowne API 16) Kontroler musi posiadać funkcję wbudowanej zapory sieciowej, posiadającej co najmniej następujące własności: a) Inspekcja pakietów z uwzględnieniem reguł bazujących na: użytkownikach, rolach, protokołach i portach, adresacji IP, lokalizacji, czasie dnia b) Mirroring sesji c) Szczegółowe logi (per packet) do późniejszej analizy d) ALG (Application Layer gateway) dla protokołów FTP, TFTP, SIP, SCCP, SVP, NOE, RTSP, Vocera, PPTP e) Translacja źródłowa, docelowa adresów IP f) Identyfikacja i blokowanie ataków DoS g) Obsługa protokołu GRE 17) Kontroler musi posiadać funkcję systemu WIDS/ WIPS. Moduł WIPS musi posiadać co najmniej następujące funkcje: a) Detekcja i identyfikacja lokalizacji obcych punktów dostępowych (rogue AP). Automatyczna klasyfikacja obcych urządzeń i możliwość ich blokowania poprzez wysyłanie odpowiednio spreparowanych pakietów. b) Identyfikacja i możliwość blokowania sieci Adhoc c) Identyfikacja anomalii sieciowych, jak wireless bridge czy Windows client bridging d) Ochrona przed atakami sieciowymi na sieć bezprzewodową, m.in. DoS, Management Frame Flood, fake AP, Airjack, ASLEAP, null probe response detection, Netstumbler 12
e) Identyfikacja błędów konfiguracji klientów WLAN f) Identyfikacja podszywania się pod autoryzowane punkty dostępowe 18) Kontroler musi posiadać funkcję analizatora widma. Włączenie analizatora widma musi być możliwe w zamawianych dwuradiowych punktach dostępowych w trybie pracy wyłącznie jako analizator oraz w trybie hybrydowym, gdzie punkt zarówno analizuje widmo jak i obsługuje ruch użytkowników. 19) Kontroler musi mieć wbudowany serwer VPN, charakteryzujący się następującymi parametrami, nie mniej niż: a) Site-to-site oraz client-site VPN b) Terminacja ruchu L2TP/IPSEC VPN, XAUTH/IPSEC, PPTP c) Obsługa tokenów d) Wsparcie dla serwerów Radius i LDAP w celu uwierzytelnienia sesji VPN przy użyciu: PAP CHAP, MS-CHAP, MS-CHAP2 e) Wsparcie dla algorytmów kryptograficznych: DES, 3DES, AES przy wykorzystaniu dedykowanych układów scalonych kontrolera 20) Zarządzanie kontrolerem musi odbywać się poprzez co najmniej następujące metody: interfejs przeglądarki Web (https), linia komend przez SSH i dedykowany port konsoli. 21) Kontroler musi zapewniać wsparcie dla protokołów Bonjour, UPnP i DLNA 22) Kontroler musi być zgodny z następującymi parametrami ilościowymi/wydajnościowymi: a) Ilość obsługiwanych punktów dostępowych nie mniej niż 64 b) Ilość jednocześnie obsługiwanych adresów MAC nie mniej niż 4000 c) Ilość aktywnych sesji zapory sieciowej nie mniej niż 65000, przepustowość zapory sieciowej nie mniej niż 20Gbps d) Ilość obsługiwanych BSSID nie mniej niż 2000 e) Ilość jednoczesnych tuneli IPSEC nie mniej niż 2000 f) Przepustowość ruchu szyfrowanego nie mniejsza niż 2 Gbps dla algorytmu 3DES, 4Gbps dla algorytmu AES-CCM g) 8 portów kombo (1000Base-T lub SFP) h) 1 interfejs konsoli (mini USB/RJ-45) i) 1 port USB 2.0 j) Zużycie energii nie większe niż 60W k) Szum akustyczny max 58dBA 23) Dla kontrolera wymagana zgodność z normami: a) FCC Part 15 Class B b) EN 55022 Class B 13
c) EN 55024 d) IEC/EN 60950 e) CE Marking f) ctuvus Marked g) CB Scheme Certified 24) Wsparcie techniczne producenta na okres 3 lat realizowane w trybie wysyłki urządzenia następnego dnia roboczego po zgłoszeniu awarii kontrolera 25) Urządzenie musi być fabrycznie nowe. 6. Access Point podstawowy: Wymagane funkcjonalności i parametry dla wewnętrznego punktu dostępowego: 1) Punkt dostępowy musi być przeznaczony do montażu wewnątrz budynków. Musi być wyposażony w dwa niezależne moduły radiowe, pracujące w paśmie 5GHz a/n oraz 2.4GHz b/g/n 2) Punkt dostępowy musi mieć możliwość współpracy z centralnym kontrolerem sieci bezprzewodowej 3) Punkt dostępowy musi mieć możliwość pracy w trybie monitorującym pasmo radiowe w celu wykrywania np. fałszywych AP 4) Punkt dostępowy musi mieć możliwość pracy jako analizator widma 5) Punkt dostępowy musi mieć możliwość pracy w topologii mesh 6) Punkt dostępowy musi posiadać wbudowany TPM 7) Punkt dostępowy musi obsługiwać nie mniej niż 16 niezależnych SSID 8) Każde SSID musi mieć możliwość przypisania w sposób statyczny lub dynamiczny do sieci VLAN 9) Zarządzanie pasmem radiowym w sieci punktów dostępowych musi się odbywać automatycznie za pomocą auto-adaptacyjnych mechanizmów, w tym nie mniej niż: a) Automatyczne definiowanie kanału pracy oraz mocy sygnału dla poszczególnych punktów dostępowych przy uwzględnieniu warunków oraz otoczenia, w którym pracują punkty dostępowe b) Stałe monitorowanie pasma oraz usług w celu zapewnienia niezakłóconej pracy systemu c) Rozkład ruchu pomiędzy różnymi punkami dostępowym oraz pasmami bazując na ilości użytkowników oraz utylizacji pasma d) Wykrywanie interferencji oraz miejsc bez pokrycia sygnału e) Automatyczne przekierowywanie klientów, którzy mogą pracować w pasmie 5GHz f) Wyrównywanie czasów dostępu do pasma dla klientów pracujących w standardzie 802.11n oraz starszych (802.11b/g) 14
g) Wsparcie dla 802.11d oraz 802.11h 10) Minimalizacja interferencji związanych z sieciami 3G/4G LTE 11) Punkt dostępowy musi posiadać 4 wbudowane anteny pracujące w trybie 2x2 MIMO, z parametrami co najmniej: 4dBi dla 2,4GHz, 4.5dBi dla 5,150-5.85 GHz 12) Obsługa standardów 802.11a, 802.11b, 802.11g, 802.11n 13) Praca w trybie MIMO 2X2:2 14) Specyfikacja radia 802.11a/n: a) Obsługiwane częstotliwości - 5.150 ~ 5.250 GHz (low band) - 5.250 ~ 5.350 GHz (mid band) - 5.470 ~ 5.725 GHz (Europa) - 5.725 ~ 5.825/5.850 GHz (high band) b) Obsługiwana technologia OFDM c) Typy modulacji: BPSK, QPSK, 16-QAM, 64-QAM d) Moc transmisji konfigurowalna przez administratora możliwość zmiany co 0.5dbm e) Prędkości transmisji: 6, 9, 12, 18, 24, 36, 48, 54 Mbps dla 802.11a, MCS0-MCS15 (6,5Mbps do 300Mbps) dla 802.11n f) Obsługa HT kanały 20/40MHz dla 802.11n g) Wsparcie dla technologii DFS (Dynamic frequency selection) h) Agregacja pakietów: A-MPDU, A-MSDU dla standardów 802.11n i) Wsparcie dla: MRC (Maximal ratio combining) CDD/CSD (Cyclic delay/shift diversity) STBC (Space-time block coding) LDPC (Low-density parity check) 15) Specyfikacja radia 802.11b/g/n: a) Częstotliwość 2,400 ~2,4835 b) Technologia direct sequence spread spectrum (DSSS), OFDM c) Typy modulacji CCK, BPSK, QPSK,16-QAM, 64-QAM d) Moc transmisji konfigurowalna przez administratora e) Prędkości transmisji: 1,2,5.5,11 Mbps dla 802.11b 6,9,12,18,24,36,48,54 Mbps dla 802.11g 15
16) Punkt dostępowy musi posiadać co najmniej: a) 1 interfejs 10/100/1000 Base-T z funkcją auto-sensing link oraz MDI/MDX z funkcją POE zgodny ze standardem 802.3az Energy Effcient Ethernet EEE b) 1 interfejs konsoli RS-232 RJ-45 c) zasilanie 12V AC lub PoE 48V DC zgodne z 802.3af d) przycisk przywracający konfigurację fabryczną e) slot zabezpieczający Kensington 17) Parametry pracy urządzenia: a) Temperatura otoczenia: 0-40 o C b) Wilgotność 5% - 95% c) Obsługiwane standardy: Ethernet IEEE 802.3 / IEEE 802.3u Power-over-Ethernet IEEE 802.3af Wireless IEEE 802.11a/b/g/n d) Znak CE e) EN 300 328 f) EN 301 489 g) EN 301 893 h) EN 60601-1-1, EN60601-1-2 18) Urządzenie musi posiadać certyfikat Wi-Fi Alliance (WFA) dla standardów 802.11/a/b/g/n 19) Wsparcie techniczne producenta na okres 3 lat realizowane w trybie wysyłki urządzenia następnego dnia roboczego po zgłoszeniu awarii punktu dostępowego. 20) Urządzenie musi być fabrycznie nowe. 21) Wykonawca musi dostarczyć urządzenie z dedykowanym oryginalnym uchwytem producenta ściennym lub sufitowym w zależności od sposobu montażu danej anteny. 7. Wymagania ogólne dla systemu zarządzania rozwiązaniem sieci bezprzewodowej: 1) Aplikacja instalowana na serwerze sprzętowym umożliwiająca centralne zarządzanie rozwiązaniem sieci bezprzewodowej składającej się z minimum 50 urządzeń (punktów dostępowych, kontrolerów). 2) Kontrola dostępu do aplikacji oraz poszczególnych segmentów sieci w oparciu o role oraz predefiniowane uprawnienia: odczyt-zapis, tylko-odczyt, tylko-audyt. 16
3) Monitorowanie w czasie rzeczywistym użytkowników, sesji i urządzeń z zaznaczeniem wysycenia pasma, siły sygnału radiowego, oraz parametrów jakościowych. 4) Możliwość tworzenia raportów wydajnościowych sieci bezprzewodowej na podstawie zebranych danych historycznych do 2 lat wstecz. 5) Wykrywanie wrogich punktów dostępowych w sieci bezprzewodowej oraz przewodowej oraz wskazanie prawdopodobnego miejsca wykrycia m.in. poprzez triangulację sygnału. 6) Automatyzacja i dystrybucja wymiany wersji oprogramowania zarządzanych urządzeń 7) Opcja wizualizacji mapy pokrycia/zasięgu sygnału sieci bezprzewodowej 8) Opcja wizualizacji alertów i błędów wraz z możliwością dostosowywania parametrów progów i parametrów wyzwalających 9) Wsparcie dla sprzętu sieciowego wielu producentów: (w tym: Aruba, HP, Meru, Motorola, Alcatel-Lucent, Cisco, Dell, Juniper, Brocade). 10) API programistyczne XML umożliwiające integrację z aplikacjami firm trzecich 11) Możliwość zapewnienia funkcjonalności failover one-to-many przy zastosowaniu dodatkowych licencji 12) Możliwość kolekcjonowania informacji z urządzeń sieciowych w oparciu o protokoły: SNMP, SSH, Syslog, HTTPS. 13) Czasowe sprawdzanie konfiguracji punktów dostępowych względem poprawności zdefiniowanej polityki 14) Umożliwia integrację z systemami NMS: Tivoli oraz HP OpenView. 15) Zamawiający musi mieć zagwarantowany dostęp do aktualizacji oprogramowania systemu zarządzania siecią bezprzewodową i wsparcia technicznego producenta przez okres 3 lat. 16) Serwer do instalacji oprogramowania dostarczy Zamawiający. 8. Wymagania ogólne dla systemu zarządzania rozwiązaniem sieci przewodowej: 1) Aplikacja instalowana na serwerze sprzętowym umożliwiająca centralne zarządzanie przełącznikami sieciowymi składającej się z minimum 10 urządzeń 2) Wykrywanie wszystkich urządzeń sieciowych zgodnych z SNMP różnych producentów 3) Mapy topologii z łączami międzysieciowymi oraz informacjami o wydajności 4) Wyświetlanie domen Spanning Tree w ramach całej sieci 5) Wielopoziomowe administrowanie użytkownikami i uwierzytelnianie dla celów bezpieczeństwa 6) Zarządzanie zdarzeniami i alarmami, w tym reagowanie na zdarzenia w oparciu o poziom ważności i profile działań 7) Statystyki i monitorowanie kondycji, z alarmami w razie przekroczenia wartości progowych 17
8) Raporty inwentaryzacyjne, funkcje audytu przełączników 9) Automatyczne tworzenie sieci VLAN obejmujących wiele przełączników: 10) Definiowanie szablonu sieci VLAN w celu szybszego wykonywania operacji związanych z wprowadzaniem nowych urządzeń, takich jak kopiowanie istniejącej definicji VLAN do nowego urządzenia, kopiowanie urządzeń do nowej definicji sieci VLAN i zastosowanie reguł VLAN do zdefiniowanej przez użytkownika grupy przełączników 11) Przydzielanie portów do sieci VLAN 12) Definiowanie reguł routingu IP/IPX oraz przydzielanie interfejsów routingu 13) Definiowanie reguł mobilności 14) Ułatwione rozwiązywanie problemów dzięki lokalizowaniu urządzeń AOS i innych producentów w oparciu o ustawienia portów, lokalizację, adresy IP/MAC oraz DNS 15) Automatyczne, oparte na harmonogramie zapisywanie i odtwarzanie konfiguracji urządzeń 16) Automatyczne pobieranie plików z nowymi obrazami oprogramowania przełączników 17) Aplikacja zapewniająca stałe replikowanie środowiska oprogramowania do zarządzania siecią. 18) Zamawiający musi mieć zagwarantowany dostęp do aktualizacji oprogramowania systemu zarządzania siecią bezprzewodową i wsparcia technicznego producenta przez okres 3 lat. 19) Serwer do instalacji oprogramowania dostarczy Zamawiający. 9. SYSTEM BEZEPIECZEŃSTWA Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa niezależnie od dostawcy łącza internetowego. Dopuszcza się aby poszczególne elementy wchodzące w skład systemu ochrony były zrealizowane w postaci osobnych zamkniętych platform sprzętowych lub w postaci komercyjnych aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji programowej wykonawca powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. Dla elementów systemu bezpieczeństwa obsługujących Akademii, Wykonawca zapewni wszystkie poniższe funkcje i parametry pracy: 1) W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS - możliwość łączenia w klaster Active-Active lub Active-Passive. 2) Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 3) Monitoring stanu realizowanych połączeń VPN. 4) System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparentnym. 18
5) System realizujący funkcję Firewall powinien dysponować minimum 16 portami Ethernet 10/100/1000 Base-TX 6) System powinien umożliwiać zdefiniowanie co najmniej 254 interfejsów wirtualnych - definiowanych jako VLAN y w oparciu o standard 802.1Q. 7) W zakresie Firewall a obsługa nie mniej niż 2 miliony jednoczesnych połączeń oraz 20 tys. nowych połączeń na sekundę 8) Przepustowość Firewall a: nie mniej niż 1 Gbps dla pakietów 512 B 9) Wydajność szyfrowania VPN IPSec: nie mniej niż 400 Mbps 10) System powinien mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub w ramach postępowania musi zostać dostarczony system logowania i raportowania w postaci odpowiednio zabezpieczonej platformy sprzętowej lub programowej o powierzchni co najmniej 200GB. 11) W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcji. Mogą one być realizowane w postaci osobnych platform sprzętowych lub programowych: a. Kontrola dostępu - zapora ogniowa klasy Stateful Inspection a) Ochrona przed wirusami co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS b) Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN c) Ochrona przed atakami - Intrusion Prevention System d) Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM. e) Kontrola zawartości poczty antyspam dla protokołów SMTP, POP3, IMAP f) Kontrola pasma oraz ruchu [QoS, Traffic shaping] co najmniej określanie maksymalnej i gwarantowanej ilości pasma g) Kontrola aplikacji system powinien rozpoznawać aplikacje typu: P2P, botnet (C&C ta komunikacja może być rozpoznawana z wykorzystaniem również innych modułów) h) Możliwość analizy ruchu szyfrowanego protokołem SSL i) Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP) 12) Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) - minimum 900 Mbps 13) Wydajność skanowania ruchu z włączoną funkcją Antywirus - minimum 300 Mbps 14) W zakresie funkcji IPSec VPN, wymagane jest nie mniej niż: a) Tworzenie połączeń w topologii Site-to-site oraz Client-to-site 19
b) Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności c) Praca w topologii Hub and Spoke oraz Mesh d) Możliwość wyboru tunelu przez protokół dynamicznego routingu, np. OSPF e) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth 15) W ramach funkcji IPSec VPN, SSL VPN wykonawca zobowiązany jest zainstalować takie urządzenia do którego producent tego urządzenia dostarcza klienta VPN współpracującego z oferowanym rozwiązaniem. 16) Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny, dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. 17) Możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie Routingu, Firewall a, IPSec VPN a Antywirus a, IPS a. 18) Translacja adresów NAT adresu źródłowego i docelowego. 19) Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci. 20) Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ 21) Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021) 22) Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza sygnatur ataków powinna zawierać minimum 4500 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos. 23) Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP 24) Baza filtra WWW o wielkości co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość nadpisywania kategorii lub tworzenia wyjątków i reguł omijania filtra WWW. 25) Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL. 26) System zabezpieczeń musi umożliwiać weryfikację tożsamości użytkowników za pomocą nie mniej niż: a) Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu 20
b) haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP c) haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych d) Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory 27) Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: a) ICSA lub EAL4 dla funkcji Firewall b) ICSA lub NSS Labs dla funkcji IPS c) ICSA dla funkcji: SSL VPN, IPSec VPN 28) Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i mieć możliwość współpracy z platformami dedykowanymi do centralnego zarządzania i monitorowania. Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. 29) Serwisy i licencje: w ramach postępowania powinny zostać dostarczone licencje aktywacyjne dla wszystkich wymaganych funkcji ochronnych, upoważniające do pobierania aktualizacji baz zabezpieczeń przez okres 1 roku. 10. Dodatkowe wymagania Zamawiającego: 10.1. Instalację kablową wykona certyfikowany instalator okablowania kategorii zgodnej z wybraną do instalacji nie gorszej niż 5e UTP. 10.2. System powinien być objęty serwisem gwarancyjnym producenta, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, Wykonawca (przed podpisaniem umowy, zgodnie z pkt 25 SIWZ) winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. 10.3. Przed podpisaniem umowy -zgodnie z pkt 25 SIWZ - Wykonawca winien przedłożyć: dokument pochodzący od importera technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U.2013.194 j.t.) oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system 21
zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. 22