OR-AG-I.ZP.U.272.48.2017.LB załącznik nr 2.1 do specyfikacji istotnych warunków zamówienia OPIS PRZEDMIOTU ZAMÓWIENIA SPECYFIKACJA TECHNICZNA SIECI TRANSMISJI DANYCH I DOSTĘPU DO INTERNETU DLA URZĘDU MARSZAŁKOWSKIEGO WOJEWÓDZTWA MAZOWIECKIEGO W WARSZAWIE I. Osobą wyznaczoną przez Zamawiającego do sprawdzenia warunków technicznych dla łączy II. i usług dostarczanych do placówek i jednostek Zamawiającego w zakresie usług transmisji danych i dostępu do Internetu jest Pan Arkadiusz Jedynak, tel. 22 5979334, mail: arkadiusz.jedynak@mazovia.pl Przedmiot zamówienia: sieć IP VPN MPLS: 1. Przedmiotem Zamówienia jest usługa Wirtualnej Sieci Prywatnej o topologii Full Mesh, zbudowanej na bazie wydzielonej operatorskiej sieci MPLS Wykonawcy, odseparowanej od sieci Internet i opartej (głównie) o łącza kablowe (preferowane światłowodowe). 2. Dostarczona przez Wykonawcę sieć WAN ma zapewnić chroniony, nadzorowany dostęp do zasobów Internetowych dla poszczególnych Placówek oraz Jednostek Zamawiającego oraz zapewnić chroniony, nadzorowany dostęp dla użytkowników Internetu do publikowanych przez Zamawiającego zasobów; 3. Ze względu na przyjętą politykę bezpieczeństwa Sieci Zamawiający nie dopuszcza stosowania radiowych łączy dostępowych. 4. Dodatkowo, realizacja łącza: Ethernet 4Gbps (pomiędzy ul. Skoczylasa a Jagiellońską), Ethernet 1Gbps (pomiędzy ul. Kijowską a Mycielskiego). 5. We wskazanych miejscach przez Zamawiającego instalacja min. 5 punktów Wifi w lokalizacji przy ul. Jagiellońskiej 26. Dotyczy parter (holl), IV i VI piętra (pokoje VIP ów); 6. Sieć WiFi musi zapewnić dostęp do Internetu przez niezależne łącze dostępowe od łączy zdefiniowanych w punkcie VII z min. prędkością 10/10 Mb/s; 7. Wszystkie placówki zdefiniowane jako Oddział 1-13 - muszą zostać dołączone do sieci VPN łączami symetrycznymi o gwarantowanych przepływnościach portów, zgodnie z poniższą tabelą: Tabela 1. Specyfikacja łączy dostępowych. LP Nazwa placówki Adres placówki Prędkość portu dostępowego sieci VPN Zamawiającego 1 Oddział 1 Skoczylasa 4 500 Mb/s 500 Mb/s 2 Oddział 2 Jagiellońska 26 500 Mb/s 500 Mb/s 3 Oddział 3 Kłopotowskiego 5 100 Mb/s 100 Mb/s 4 Oddział 4 Chrobrego 29 40 Mb/s 40 Mb/s 5 Oddział 5 Solidarności 61 100Mb/s 100Mb/s 6 Oddział 6 Plac Bankowy 3/5 100 Mb/s 100Mb/s 7 Oddział 7 Kijowska 10A 100 Mb/s 100Mb/s 8 Oddział 8 Floriańska 10 100 Mb/s 100Mb/s 9 Oddział 9 Del. Ciechanów 40 Mb/s 40 Mb/s 10 Oddział 10 Del. Ostrołęka 40 Mb/s 40 Mb/s 11 Oddział 11 Del. Płock 40 Mb/s 40 Mb/s 12 Oddział 12 Del. Radom 40 Mb/s 40 Mb/s 13 Oddział 13 Del. Siedlce 40 Mb/s 40 Mb/s 1
8. Jednostki z tabeli 2 muszą zostać dołączone do sieci VPN łączami symetrycznymi o gwarantowanych przepływnościach portów, zgodnie z poniższą tabelą: Tabela 2. Specyfikacja łączy dostępowych. Nazwa jednostki Adres jednostki Prędkość portu dostępowego sieci VPN Zamawiającego 1 Mazowiecka Jednostka Wdrażania Programów Unijnych 2 Mazowiecki Zarząd Dróg Wojewódzkich 3 Wojewódzki Zarząd Melioracji i Urządzeń Wodnych w Warszawie Warszawa, 03-301 ul. Jagiellońska 74 tel. 22 542 20 00 Warszawa, 00-048 ul. Mazowiecka 14 tel. 22 244 90 00 Warszawa, 02-656 ul. Ksawerów 8 tel. 22 566 20 00 4 Wojewódzki Urząd Pracy Warszawa, 01-205 ul. Młynarska 16 tel. 22 578 44 00 5 Mazowieckie Centrum Polityki Społecznej 6 Mazowiecki Zarząd Nieruchomości 7 Mazowieckie Biuro Planowania Regionalnego w Warszawie Warszawa, 02-002 ul. Nowogrodzka 62 A tel. 22 622 33 06 Warszawa, 00-024 ul. Al. Jerozolimskie 28 tel. 22 841 09 83 Warszawa, 00-301 ul. Nowy Zjazd 1 tel. 22 518 49 00 10 Mb/s 10Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 10Mb/s 10Mb/s 10 Mb/s 10Mb/s 10 Mb/s 10Mb/s 9. W celu zrealizowania podstawowego założenia zamówienia, tzn. ochrony i nadzoru, Zamawiający oczekuje dostarczenia, wdrożenia oraz utrzymania przez Wykonawcę następujących elementów: Ochrona oraz mitygacja przed atakami typu DDoS; Ochrona stacji końcowych użytkowników oraz serwerów Wykonawcy; Centralny system chronionego, nadzorowanego dostępu do sieci Internet oraz zasobów publikowanych w Internecie przez Zamawiającego. 10. Ochrona oraz mitygacja przed atakami typu DDoS: W ramach usługi dostępu do Internetu należy zapewnić ochronę przeciw atakom Distributed Denial of Service (DDoS) typu wolumetrycznego; W celu wykrycia ataków system Wykonawcy powinien monitorować sieć Wykonawcy i analizować strumienie danych z wykorzystaniem protokołu przepływu np. Net Flow; System zabezpieczeń ma być umiejscowiony w sieci Wykonawcy i być przez niego w całości zarządzany. Ma on umożliwić ochronę przed atakami DDoS na adresację IPv4 Zamawiającemu do 3Gbps. Adresację IPv4 zapewnia Wykonawca; Po wykryciu ataku ruch zainfekowany ma zostać przekierowany do specjalnego Centrum Przeciwdziałania Atakom DDoS ( Scrubbing Center ) znajdującego się w sieci Wykonawcy. Po odfiltrowaniu ruchu niepożądanego, ruch oczyszczony jest kierowany ponownie do Klienta za pomocą np. tunelu GRE. 2
11. Ochrona powinna bazować na różnych rodzajach mechanizmów detekcji, w tym na: przekraczaniu progów dla określonych typów pakietów i protokołów; analizie profilu ruchu Klienta wykrywanie nieoczekiwanych zmian ruchu w odniesieniu do tego profilu; sygnaturach. 12. Ochrona przeciw atakom Distributed Denial of Service (DDoS) ma obejmować: monitorowanie ruchu w czasie rzeczywistym, w celu identyfikacji typu i natury ataku; powiadamianie Klienta o podejrzeniu wystąpienia ataku; rozpoczęcie usuwania ataku w porozumieniu z Klientem (możliwe jest automatyczne uruchamianie obrony dla alarmów o wysokim poziomie zagrożenia), modyfikację zestawu użytych mechanizmów przeciwdziałania tak, by uzyskać maksymalny poziom filtracji ruchu niepożądanego przy minimalnym wpływie na ruch prawidłowy. 13. Mitygacja (filtrowanie) ataków: Usługa zapewnia filtrowanie ruchu z błędnymi nagłówkami IP/TCP/UDP; Usługa zapewnia odrzucanie lub przepuszczanie na bazie zdefiniowanych dla każdego z klientów filtrów operujących na informacjach w nagłówka warstwy 3-ciej i 4-tej modelu OSI; Usługa zapewnia filtrowanie ruchu na określonych portach UDP na podstawie zawartości pola danych w oparciu o wyrażenia regularne; Usługa zapewnia filtrowanie ruchu na określonych portach TCP na podstawie zawartości pola danych w oparciu o wyrażenia regularne; Usługa chroni przed atakami ze spoofowanymi (udawanymi) adresami źródłowymi IP poprzez autentykację sesji TCP, zapytań DNS oraz zapytań http; Usługa zapewnia filtrowanie nieprawidłowych zapytań DNS; Usługa umożliwia ograniczenia zapytań DNS do zadanej wartości zapytań/sek; Usługa zapewnia do 5-ciu filtrów opartych o wyrażenia regularne definiujących zakres stosowania autentykacji DNS oraz ograniczania liczby zapytań DNS; Usługa zapewnia filtrowanie nieprawidłowych zapytań http; Usługa zapewnia blokowanie ruchu od stacji końcowych przekraczających progi dla operacji HTTP na sekundę per serwer lub per URL; Usługa zapewnia do 5-ciu filtrów opartych o wyrażenia regularne definiujących zakres stosowania autentykacji HTTP lub ograniczania liczby zapytań http; Usługa zapewnia filtrowanie ruchu w oparciu o wyrażenia regularne dotyczące nagłówków http; Usługa powinna zapewniać ochronę przez atakami typu slow Lories, poprzez resetowanie połączeń, które pozostają nieaktywne przez zadany okres czasu; Usługa zapewnia ochronę przez atakami typu slow Lories, poprzez resetowanie sesji TCP której opaktywność jest poniżej zadanej liczby bajtów przesyłanej w zadanym okresie czasu; Usługa wykrywa ruch kierowany z serwerów CDN proxy i stosować algorytmy filtrowania na podstawie oryginalnego źródła ruchu; 3
Usługa zapewnia wykrywanie i filtrowanie pakietów z nieprawidłowymi nagłówkami SSL/TLS lub nagłówkami SSL/TLS które są poza sekwencją; Usługa zapewnia blokowane sesji jeżeli podczas negocjacji SSL/TLS klient zarząda nadmiernej ilości metod kryptograficznych lub rozszerzeń użytkownika. Próg dla tych wartości jest konfigurowalny; Usługa zapewnia wykrywanie i rozłączanie sesji jeżeli negocjacja SSL/TLS nie zakończy się w zadanym czasie; Usługa zapewnia blokowanie ruchu ze stacji dla których występuje nadmierna liczba nieprawidłowych, nadmiarowych lub niekompletnych sesji SSL; Usługa monitoruje negocjację SSL dla wszystkich portów na których mogą być stosowane aplikacje zabezpieczone protokołem TLS: HTTPS, SMTP, IMAP4, POP, LDAP, IRC, NNTP, TELNET, FTP i SIP; Usługa chroni przed atakami pochodzącym od sieci botnetowych (komputerów zainfekowanych w sposób umożliwiające zdalne sterowanie przez hackerów) poprzez filtrowanie na podstawie na bieżąco aktualizowanych sygnatur zawierających listę adresów IP; Usługa chroni przed atakami pochodzącymi z sieci botnetowych poprzez wykrywanie źródeł ataku o wolumenie przekraczającym zadane wartości. Wartości progowe są definiowalne zarówno dla całości ruchu jak i do części ruchu zdefiniowanego za pomocą filtru; Usługa pozwala na uruchamianie mitygacji w celu nauczenia się systemu wartości typowych ruchu, które następnie mogą być wykorzystywania do właściwego ustawiania progów dla algorytmów mitygacji 14. Głównym parametrem systemu ochrony przeciw DDOS jest maksymalny czas, w jakim do Zamawiającego zostanie wysłane powiadomienie o zaistnieniu potencjalnego ataku na monitorowane usługi. Czas ten liczony jest od wystąpienia zdarzenia i wynosi on 15 minut. Sposób powiadomienia ustalony zostanie na etapie realizacji usługi. III. Ochrona stacji końcowych użytkowników oraz serwerów Wykonawcy W zakresie elementu Wykonawca dostarczy, wdroży oraz utrzyma zaawansowany systemu ochrony stacji końcowych użytkowników oraz serwerów zgodnie z poniższymi wymaganiami funkcjonalnymi: Oprogramowanie dla stacji końcowych i serwerów: Oferta powinna przedstawiać propozycję rozwiązania do ochrony JEDNEGO TYSIĄCA TRZYSTU (1300) stacji końcowych (użytkowników oraz serwerów) Proponowane rozwiązanie powinno współegzystować z istniejącymi w organizacji rozwiązaniami zabezpieczeń stacji końcowych (np. AntyVirus, HIPS, itp.) w zakresie ochrony przed atakami aplikacyjnymi oraz złośliwymi kodami wykonywalnymi. Zarządzanie: Proponowane rozwiązanie powinno być zarządzane poprzez graficzny interfejs użytkownika typu Web (Web GUI). 4
Proponowane rozwiązanie powinno posiadać 3-warstwową architekturę składającą się z konsoli, serwera zarządzania oraz serwera bazy danych. Rozwiązanie powinno umożliwiać instalację i uruchomienia wszystkich trzech komponentów na jednym serwerze sprzętowym lub instalację rozproszoną. Proponowane rozwiązanie powinno umożliwiać instalację wielu serwerów zarządzania w konfiguracji rozproszonej i zarządzanie nimi z poziomu pojedynczej konsoli. Zapobieganie atakom aplikacyjnym typu exploit: Proponowane rozwiązanie powinno zapewniać ochronę procesów i aplikacji z możliwością dodawania do listy chronionych procesów aplikacji własnych. Proponowane rozwiązanie powinno oferować funkcję monitorowania i uczenia się środowiska aplikacyjnego Zamawiającego (tj. rozpoznania procesów i aplikacji działających na stacjach końcowych użytkowników) celem uruchomienia wdrożenia pilotażowego. Proponowane rozwiązanie powinno zapewniać ochronę w czasie rzeczywistym przed możliwością wykorzystania jakiegokolwiek błędu bezpieczeństwa aplikacji poprzez blokowanie technik wykonania ataku (technik exploitacji ). Proponowane rozwiązanie powinno zapewniać poprzez blokowanie technik ataków skuteczną ochronę przed atakami wykonywanymi z użyciem exploit ów dnia zerowego lub exploitów nieznanych wykorzystujących dowolny błąd bezpieczeństwa aplikacji. Proponowane rozwiązanie powinno zapewniać możliwości monitorowania i zapobiegania atakom poprzez blokowania szeregu technik ataków bez konieczności połączenia do serwera zarządzania i/lub usługi chmurowej i nie bazując na metodzie sygnaturowej. W sytuacji wykrycia techniki ataku ukierunkowanej na podatną aplikację, celem zablokowania ataku proponowane rozwiązanie powinno zatrzymać proces atakowanej aplikacji, zebrać pełen zestaw danych dowodowych (takich jak nazwa atakowanego procesu, źródło pochodzenia pliku, znacznik czasowy, zrzut pamięci, wersja systemu operacyjnego, tożsamość użytkownika, wersja podatnej aplikacji, itp.) oraz zakończyć działanie tylko tego konkretnego procesu. Proponowane rozwiązanie powinno wykorzystywać moduły zapobiegania i blokowania technik ataków. Jego działanie nie może być oparte o metodę sygnaturową, reputacyjną lub analizę heurystyczną pliku. Musi istnieć możliwość zastosowania modułów blokowania technik ataków zarówno dla powszechnie znanych i popularnych aplikacji jak również aplikacji własnych. Proponowane rozwiązanie nie może znacząco obciążać zasobów sprzętowych komputera nosiciela, tj. zajętość procesora nie może wynosić więcej niż 1% a zajętość pamięci RAM nie więcej niż 20MB. Proponowane rozwiązanie nie może stosować technik analizy exploit ów wykorzystujących zasoby sprzętowe, takich jak lokalne środowisko symulacyjne typu sandbox lub zwirtualizowany kontener. 5
Proponowane rozwiązanie powinno aktualizować moduły blokowania technik ataków nie częściej niż raz na 6 miesięcy, tak aby minimalizować narzut czynności administracyjnych i operacyjnych związanych z aktualizacjami. Proponowane rozwiązanie powinno umożliwiać jednoczesną ochronę wszystkich aplikacji i procesów przed wszystkimi technikami ataków. Proponowane rozwiązanie powinno umożliwiać tworzenie wyjątków konfiguracyjnych dla określonych stacji końcowych i działających na nich procesów bezpośrednio z poziomu i na bazie zebranych po stronie konsoli zarządzającej logów. Zapobieganie złośliwym plikom wykonywalnym: Proponowane rozwiązanie powinno zapewniać ochronę przed uruchomieniem złośliwych plików wykonywalnych. Proponowane rozwiązanie powinno oferować funkcję monitorowania i uczenia się środowiska aplikacyjnego Zamawiającego (tj. rozpoznania procesów i aplikacji działających na stacjach końcowych użytkowników) celem uruchomienia wdrożenia pilotażowego. Proponowane rozwiązanie powinno umożliwiać pełną kontrolę i ustalanie restrykcji parametrów i sposobu uruchamiania plików wykonywalnych (np. dozwolone foldery źródłowe, ścieżki sieciowe, urządzenia zewnętrzne, możliwość uruchamianie plików nie posiadających podpisu cyfrowego wystawcy, możliwość tworzenia procesów potomnych, itp.) Proponowane rozwiązanie powinno umożliwiać zapobieganie uruchamianiu złośliwego oprogramowania poprzez użycie modułów blokujących typowe zachowania złośliwych kodów wykonywalnych. Proponowane rozwiązanie powinno umożliwiać konfigurację globalnych list dozwolonych plików wykonywalnych w ramach organizacji. Proponowane rozwiązanie powinno umożliwiać tworzenie wyjątków konfiguracyjnych dla określonych stacji końcowych celem wykluczenia ich z ogólnych reguł ochrony bezpośrednio z poziomu i na bazie zebranych po stronie konsoli zarządzającej logów Wykrywania nieznanych złośliwych kodów wykonywalnych: Proponowane rozwiązanie powinno posiadać opcję integracji ze stosowanym w organizacji chmurowym środowiskiem wykrywania ataków typu APT (Advanced Persistent Threat). Jednocześnie proponowane rozwiązanie musi zapewniać skuteczną ochronę przeciwko złośliwemu oprogramowaniu oraz atakom aplikacyjnym nawet jeśli nie posiada połączenia do środowiska chmurowego. Proponowane rozwiązanie powinno posiadać możliwość weryfikacji w chmurowym środowisku anty-apt czy dany plik jest złośliwy, czy legalny na bazie skrótu cyfrowego pliku. Proponowane rozwiązanie powinno posiadać możliwość wysłania poprzez serwer zarządzania potencjalnie złośliwego pliku do analizy w chmurowym środowisku anty-apt. 6
Proponowane rozwiązanie powinno posiadać możliwość wglądu w raport wynikowy analizy pliku w środowisku chmurowym anty-apt bezpośrednio z poziomu stacji zarządzania oprogramowaniem zabezpieczeń stacji końcowych. Proponowane rozwiązanie nie powinno analizować w środowisku chmurowym plików, które były w nim analizowane uprzednio. Powinien działać mechanizm powiadamiania, iż dany plik był już wcześniej poddawany analizie. Proponowane rozwiązanie powinno posiadać możliwość zapobiegania nieznanym złośliwym plikom wykonywalnym poprzez zastosowanie chmurowego środowiska anty-apt typu sandbox. Dodatkowo powinna istnieć możliwość przedstawienia wyniku analizy pliku wraz z pełnym raportem z analizy. Proponowane rozwiązanie powinno posiadać możliwość ręcznego dostrojenia lub nadpisania werdyktu będącego wynikiem analizy w środowisku chmurowym dla konkretnego skrótu cyfrowego pliku. Proponowane rozwiązanie powinno posiadać możliwość zablokowania uruchomienia pliku wykonywalnego jeśli skrót cyfrowy pliku jest nieznany, tj. plik ten nie był uprzednio analizowany w środowisku chmurowym anty-apt producenta. Proponowane rozwiązanie powinno posiadać możliwość zablokowania uruchomienia pliku wykonywalnego jeśli stacja końcowa nie może skomunikować się z symulacyjnym środowiskiem chmurowym, a skrót cyfrowy pliku jest nieznany lokalnie w bazie serwera zarządzania Proponowane rozwiązanie powinno posiadać możliwość uruchomienia analizy statycznej pliku opartej o algorytmy uczenia maszynowego w przypadku braku połączenia do symulacyjnego środowiska chmurowego. Raportowanie: Proponowane rozwiązanie powinno posiadać wbudowane pulpity raportów (ang. Dashboard) do monitorowania poziomu i stanu bezpieczeństwa przedsiębiorstwa: a. Pulpit Stanu Komponentów Systemu b. Pulpit Zdarzeń Bezpieczeństwa c. Pulpit Szczegółowego Dziennika Zagrożeń d. Pulpit Szczegółowego Dziennika Błędów Bezpieczeństwa Proponowane rozwiązanie powinno posiadać wbudowane pulpity raportów (ang. Dashboard) do monitorowania stanu poszczególnych stacji końcowych w przedsiębiorstwie: a. Pulpit Szczegółowego Stanu/Statusu Stacji Końcowych b. Pulpit Historii Reguł Bezpieczeństwa Stacji Końcowych c. Pulpit Zmian Reguł Bezpieczeństwa Stacji Końcowych d. Pulpit Historii Stanu Serwisu Stacji Końcowych Proponowane rozwiązanie powinno wyświetlać informacje, za pomocą przeglądarki www, na temat wykrytych zagrożeń i złośliwego oprogramowania oraz umożliwiać eksport dziennika zdarzeń zagrożeń i stanu stacji końcowych w formacie CSV. 7
Dokumentacja dowodowa: Zaproponowane rozwiązanie powinno umożliwiać zbieranie dokumentacji dowodowej i danych ze stacji końcowych w jednym centralnym punkcie. Zaproponowane rozwiązanie powinno umożliwiać zbieranie następujących informacji w celu przeprowadzenia późniejszej analizy: a. Zrzut pamięci (Memory Dump) b. Otwarte pliki c. Załadowane moduły d. Otwarte URI e. Procesy nadrzędne Zaproponowane rozwiązanie powinno dawać możliwość dostosowania polityk powiązanych z dokumentacją dowodową w ramach serwera zarządzającego, w celu zdefiniowania jaki typ danych powinien zostać zebrany w przypadku wystąpienia incydentu. Zaproponowane rozwiązanie powinno mieć możliwość wyświetlenia wysokopoziomowych informacji systemowych na temat stacji końcowej po wykryciu zagrożenia oraz zapewnić możliwość zebrania danych odnoszących się do zastosowanego mechanizmu ochrony celem dalszej analizy i śledztwa. Zaproponowane rozwiązanie powinno umożliwiać automatyczne tworzenie wyjątków odnośnie reguł oraz skrótów cyfrowych bezpośrednio z raportu dotyczącego wykrytego zagrożenia w celu umożliwienia uruchomienia danego procesu na poszczególnych stacjach końcowych. IV. Centralny system chronionego, nadzorowanego dostępu do sieci Internet oraz zasobów publikowanych w Internecie przez Zamawiającego 1. W zakresie tego elementu Zamawiający oczekuje dostarczenia platformy sprzętowej, wykonanie wdrożenia oraz utrzymania centralnego dostępu do zasobów zgodnie z poniższą specyfikacją. 2. Zastosowanie dwóch urządzeń bezpieczeństwa NGF Next-Generation Firewall na brzegach sieci Internet w punktach dostępowych o poniższych wymaganiach/funkcjonalnościach: Identyfikacja aplikacji Identyfikacja aplikacji bez względu na port, protokół, szyfrowanie SSL lub mechanizmy unikania identyfikacji. Możliwe efektywne egzekwowanie polityk dotyczących użytkowania aplikacji: akceptuj, blokuj, zaplanuj, skontroluj, zastosuj mechanizmy kształtowania pasma dla ruchu sieciowego. Udostępnia narzędzia graficznego przedstawiania ruchu sieciowego zapewniają prosty i intuicyjny podgląd aplikacji wykorzystywanych w sieci. Możliwe deszyfrowanie SSL (dla ruchu wchodzącego i wychodzącego) Identyfikacja użytkownika 8
Bazująca na politykach kontrola nad tym, kto korzysta z aplikacji dzięki integracji z Active Directory, LDAP oraz edirectory. Identyfikacja użytkowników usług terminalowych Citrix oraz Microsoft Terminal Services, oraz kontrola użytkowanych przez nich aplikacji. Kontrola hostów pracujących na systemach innych niż Windows dzięki zastosowaniu uwierzytelniania webowego (Captive Portal). Identyfikacja zawartości Blokowanie wirusów, oprogramowania typu spyware oraz exploit kontrola aktywności Web niezwiązanej z wykonywanymi obowiązkami. Kontrola nieautoryzowanego transferu danych (numerów ubezpieczenia społecznego, numerów kart kredytowych, danych zgodnych ze zdefiniowanym wzorcem). Kontrola nieautoryzowanego transferu dla ponad 50 typów plików. Kontrola skompresowanych plików wykorzystujących algorytmy Zip, Gzip,itd. Zarządzanie ruchem Bazujące na politykach kształtowanie pasma dla ruchu sieciowego na podstawie aplikacji, użytkownika, źródła, punktu docelowego, interfejsu, tunelu IPSec VPN i innych Klasy ruchu sieciowego z parametrami dla gwarantowanej, maksymalnej i priorytetowej przepustowości Monitorowanie przepustowości w czasie rzeczywistym Monitorowanie ruchu Graficzne podsumowanie aplikacji, kategorii URL, zagrożeń oraz danych Przegląd, filtrowanie oraz eksportowanie logów ruchu sieciowego, zagrożeń, URL oraz filtrowania danych W pełni edytowalne raportowanie Narzędzia śledzenia sesji Ruch SSL-VPN dopuszczony wyłącznie przez kontrolowane aplikacje 3. Bezpośrednia terminacja wewnętrznych sieci LAN na urządzeniach NGF. 4. Spięcie urządzeń NGF łączem Ethernet w celu zapewnienia ciągłości działania dostępu do sieci Internet. 5. Spięcie a następnie uruchomienie routingu dynamicznego BGP pomiędzy urządzeniami NGF a routerami CE. 6. Dla punktów dostępowych terminacja publicznej adresacji IP na urządzeniach NGF. 7. Dla punktów dostępowych translacja NAT/PAT realizowana na urządzeniach NGF. 8. Dostęp do Internetu w oparciu o uwierzytelnianie oraz autoryzację na urządzeniach NGF w oparciu o serwer katalogowy AD Mazovia. 9. Dodatkowo zapewnienie na styki sieci WAN-LAN ochrony usług internetowych Zamawiającego (www, poczta, dns, ftp itd.) przed zagrożeniami z sieci internetowej. Usługa powinna zawierać m.in. mechanizmy: flood protection, threat prevention. Zamawiający dopuszcza wykorzystanie urządzeń bezpieczeństwa NGF Next-Generation Firewall zlokalizowanych na brzegach sieci Internet w punktach dostępowych. 10. Wymagania dotyczące platformy sprzętowej: 9
Minimalne parametry wydajnościowe urządzeń bezpieczeństwa pełniących rolę "dostępowych" w lokalizacjach ul. Jagiellońska 26 oraz ul. Skoczylasa 4: Wydajność (FW, IPS): min 400Mb/s Liczba jednoczesnych połączeń: min 500 000 Liczba hostów: min 2 400 Liczba nowych sesji na sekundę: min 40 000 11. Zarządzanie regułami bezpieczeństwa przez administratorów Urzędu Marszałkowskiego. System bezpieczeństwa który będzie zarządzany i utrzymywany przez Wykonawcę ma umożliwić Administratorom Urzędu Marszałkowskiego: samodzielne zarządzanie regułami dostępu do i z sieci Internet, przeglądanie zarejestrowanych zdarzeń sieciowych wykonywanie podstawowych czynności diagnostycznych (ping, tracert, kontrola stanu połączeń). 12. Wymagane jest, aby wszystkie czynności administracyjne wykonywane w systemie bezpieczeństwa przez Administratorów Urzędu Marszałkowskiego jak również przez Administratorów Wykonawcy były rejestrowane oraz przechowywane przez czas trwania umowy. 13. Przeprowadzenie dwudniowego szkolenia z obsługi dostarczonego systemu bezpieczeństwa. 14. Schemat umiejscowienia urządzeń bezpieczeństwa V. Wymagania dotyczące sieci IP VPN MPLS 1. Wykonawca zakończy łącza dostępowe we wszystkich lokalizacjach Zamawiającego stosownymi modemami oraz routerami, które będą podlegały zarządzaniu i serwisowaniu przez Wykonawcę oraz Wykonawca udostępni podgląd pracy routerów w zakresie interfejsów (w opcji tylko do odczytu). 2. Wykonawca zapewni logiczne i fizyczne sieci WAN z łączami internetowymi będącymi przedmiotem zamówienia. 3. Punkt styku sieci lokalnej Zamawiającego i routerów Wykonawcy będzie zgodny ze standardem IEEE 802.3u (styk RJ45); 4. W każdej Placówce i Jednostce Wykonawca musi zapewnić urządzenie sieciowe będące zakończeniem łącza WAN z funkcjonalnością: DHCP, DHCP Relay; Filtrowanie pakietów za pomocą list dostępu; NAT statyczny; routing statyczny; routing dynamiczny 5. Routery dostarczone przez Wykonawcę muszą współpracować z aktualnie funkcjonującymi urządzeniami sieciowym Zamawiającego w zakresie protokołów IGRP, EIGRP, HSRP. Zamawiający dopuszcza stosowanie routerów pracujących w oparciu o inne, równoważne funkcjonalnie protokoły sieciowe. Koszty związane ze zmianą konfiguracji obecnie funkcjonujących routerów Zamawiającego poniesie Wykonawca. Równocześnie Zamawiający zdefiniuje termin zmiany konfiguracji routerów, który przypadnie na dzień roboczy poza 10
godzinami pracy Urzędu Marszałkowskiego Województwa Mazowieckiego (8:00-16:00). Zmiana konfiguracji będzie miała miejsce w lokalizacji Zamawiającego i każdorazowo zakończona zostanie odbiorem technicznym ze strony służb informatycznych Zamawiającego. 6. Zamawiający wymaga aby routery dostarczone przez Wykonawcę były przeznaczone do montażu w standardowej szafie typu Rack 19 Zamawiającego. 7. Wykonawca dostarczy narzędzie monitorujące pracę sieci VPN Zamawiającego oparte o przeglądarkę internetową dowolnego dostawcy. 8. Zamawiający wymaga, aby dla każdej z lokalizacji zostały zapewnione mechanizmy kształtowania i ochrony ruchu sieciowego na poziomie warstwy trzeciej. VI. Wymagania szczegółowe związane z przedmiotem zamówienia: 1. Wykonawca musi posiadać lub dysponować siecią szkieletową. 2. Wykonawca zapewni w każdym czasie okresu realizacji przedmiotu zamówienia możliwość priorytezacji ruchu pakietów IP Zamawiającego na całym odcinku sieci (również w sieci Wykonawcy). 3. Wykonawca zdefiniuje w sieci VPN Zamawiającego 1 klasę usługową (CoS) dedykowane celom transmisji danych. 4. Zmawiający zastrzega sobie w każdym czasie trwania realizacji przedmiotu zamówienia zmianę ilości klas usługowych (Cos) bez dodatkowych kosztów. 5. Rozszerzenie klas ruchu przez Zamawiającego nie przekroczy 5 klas, w tym dedykowane klasy dla transmisji głosu i obrazu. 6. Procentowy podział pasma łącza dostępowego na klasy ruchu zostanie zdefiniowany przez Zamawiającego. 7. Odwzorowanie ruchu pakietów IP Zamawiającego na CoS sieci VPN musi opierać się o: znacznik DSCP; znacznik IEEE 802.1p; adresy IP/porty źródłowe/docelowe 8. Wykonawca zagwarantuje całodobowe, telefoniczne wsparcie techniczne przez cały okres świadczenia usługi. 9. Wykonawca zagwarantuje SLA o następujących parametrach: Godzinową, roczną dostępność placówki na poziomie co najmniej 99,6% Usunięcie awarii lub uszkodzenia placówki w przeciągu max. 8 godzin zagwarantowane przez cały okres świadczenia usługi. Usunięcie awarii lub usterki będzie poprzedzone powiadomieniem ze strony Wykonawcy dedykowanej osoby/osób ze strony Zamawiającego o podjętych działaniach naprawczych. W przypadku odwzorowania ruchu pakietów IP Zamawiającego na CoS sieci VPN Wykonawcy, Wykonawca będzie w stanie zagwarantować dla min. dwóch klas ruchu danych średnią (w cyklu dobowym) wartość parametru RTD na dobowym poziomie nie przekraczającym 75 ms. Dodatkowo Zamawiający oczekuje, iż przynajmniej jedna z klas ruchu danych Wykonawcy zagwarantuje średnią dobową wartość parametru LPR na poziomie nie przekraczającym 0,2%. 11
10. Na żądanie Zamawiającego, Wykonawca będzie zobowiązany do co najmniej jednej, bezpłatnej (w skali miesiąca) zmiany konfiguracji routerów we wskazanych placówkach. VII. PRZEDMIOT ZAMÓWIENIA: ŁĄCZE INTERNETOWE: 1. Wymagane medium transmisyjne: łącze światłowodowe; 2. Symetryczny dostęp do sieci Internet o parametrach CIR = EIR: Skoczylasa 200 Mb/s; Skoczylasa (drugie łącze) 200 Mb/s; Jagiellońska 26 200 Mb/s 3. Minimum 16 publicznych adresów IP dla każdego z łącz wymienionych w pkt. 2. 4. Zakończenie łączy u Zamawiającego zgodne ze standardem IEEE 802.3u (styk RJ45); 5. Usługa zapasowego serwera DNS (secondary DNS); 6. Usługa serwera rev. DNS; 7. Możliwość wsparcia dla protokołu BGP v4.0 w czasie trwania umowy; 8. Wykonawca zagwarantuje SLA o następujących parametrach: Godzinową, roczną dostępność placówki na poziomie co najmniej 99,6% Usunięcie awarii lub uszkodzenia placówki w przeciągu max. 8 godzin zagwarantowane przez cały okres świadczenia usługi. Usunięcie awarii lub usterki będzie poprzedzone powiadomieniem ze strony Wykonawcy dedykowanej osoby/osób ze strony Zamawiającego o podjętych działaniach naprawczych. 9. Dopuszczalna przerwa w łączności w momencie uruchomienia usługi przy zmianie operatora/medium 4 godziny w godzinach w czasie od 18.00 do 6.00. 10. Planowane przerwy techniczne w dni robocze od 18.00 do 6.00 nie dłużej niż 4 godziny; 11. Dostęp do Internetu zostanie zrealizowany przy pomocy oddzielnych fizycznych łączy (nie współdzielonych z łączami do sieci WAN). VIII. WYMOGI ZATRUDNIENIA Zamawiający wymaga, aby wszystkie czynności związane z realizacja przedmiotu zamówienia były wykonywane przez osoby zatrudnione na podstawie umowy o pracę (nie jest wymagany pełen etat). 12