Załącznik nr 1 do SIWZ nr RZP.271.20.2017 1. Opis przedmiotu zamówienia Przedmiotem zamówienia jest: a. dostarczenie do siedziby Zamawiającego 2 szt. (urządzenia podstawowego i zapasowego) fabrycznie nowego sprzętu i oprogramowania zgodnego ze Specyfikacją Techniczną, b. udzielenie 36 miesięcznej licencji i subskrypcji na oprogramowanie oraz gwarancji na sprzęt spełniającej minimum warunki: licencja powinna zapewnić aktualizację oprogramowania systemowego oraz oprogramowania i sygnatur: antywirusowych, wykrywania i blokowanie włamań (IPS), kontroli aplikacji, mechanizmów antyspamowych oraz filtrowanie treści stron www, w sposób umożliwiający pracę drugiego z urządzeń w przypadku awarii pierwszego, subskrypcja urządzenia obejmie serwis gwarancyjny producenta polegający na naprawie lub wymianie urządzenia w przypadku jego wadliwości przez okres 36 miesięcy od daty dostarczenia urządzeń UTM, gwarancja powinna zapewnić usługi wsparcia technicznego (telefoniczne lub online) poprzez autoryzowany przez producenta kanał sprzedaży, min. w trybie 8godz.x5 dni w tygodniu, tj. w dni robocze w godzinach pracy. c. instalacja dostarczonego sprzętu w szafie rackowej 19 i podłączenie do istniejącej infrastruktury Zamawiającego, d. skonfigurowanie dostarczanego urządzenia oraz wdrożenie systemu zabezpieczeń w siedzibie Zamawiającego zgodnie z Procedurą wdrożenia, e. przeszkolenie w siedzibie Zamawiającego dwóch pracowników Zamawiającego z obsługi oraz konfiguracji urządzenia w wymiarze min. dwóch dni roboczych, zakończone certyfikatem, f. konsultacje telefoniczne / mailowe do wdrażanego rozwiązania przez okres min. 30 dni od momentu produkcyjnego uruchomienia rozwiązania w infrastrukturze Zamawiającego. 2. Procedura wdrożenia Wdrożenie musi składać się minimum z czterech zdefiniowanych poniżej etapów. 2.1. Opracowanie projektu wdrożenia wraz z harmonogramem a. Opracowanie koncepcji umiejscowienia firewalla UTM w strukturze obecnej topologii sieci, optymalizacji tej struktury oraz migracji posiadanego obecnie rozwiązania, zgodnie z najlepszymi praktykami rekomendowanymi przez producenta dostarczanego rozwiązania, b. Analizę potrzeb biznesowych na funkcje UTM (weryfikacja działania obecnych systemów bezpieczeństwa IT oraz brakujących usług) c. Sporządzenie schematów w warstwach L2 oraz L3 modelu ISO/OSI d. Sporządzenie opisu wymaganych zmian w infrastrukturze sieciowej, (jeżeli zajdzie taka konieczność) e. Sporządzenie procedury migracji do nowego rozwiązania z zachowaniem jak najkrótszych przestojów działania sieci i systemów f. Sporządzenie spisu polityk migrowanych z obecnie stosowanych rozwiązań (Cisco PIX oraz Linux Debian) g. Sporządzenie opisu systemu logowania zdarzeń (systemowe, dotyczące ruchu, wykrytych ataków oraz anomalii oraz VPN), h. Opracowanie harmonogramu prac. 2.2 Instalacja oraz konfiguracja dostarczonego rozwiązania a. Wstępna konfiguracja konfiguracja, aktualizacja oprogramowania, konfiguracja interfejsów oraz ustawień systemowych,
b.migracja polityk z obecnie stosowanych rozwiązań (Cisco PIX oraz Linux Debian), c. Uruchomienie dostarczanego rozwiązania w środowisku Zamawiającego, d.konfiguracja funkcjonalności UTM zgodnie z projektem oraz wymaganiami Zamawiającego, e. Konfiguracja tuneli VPN, f. Implementacja reguł wynikających z polityki bezpieczeństwa, g. Optymalizacja konfiguracji dostarczanego rozwiązania w celu zwiększenia, bezpieczeństwa infrastruktury sieciowej w szczególności w zakresie polityk firewalla. 2.3. Sporządzenie dokumentacji powykonawczej 1. Wykonawca stworzy kompletną dokumentację powdrożeniową uwzględniającą konfigurację wszystkich skonfigurowanych ustawień, 2. Po 30 dniach od zakończenia wdrożenia zaplanuje 1 dniową wizytę celem weryfikacji poprawności struktury sieci oraz wypracowania rekomendacji zmierzających do jej optymalizacji zakończonej raportem pisemnym, jeżeli zaleceń nie da się wdrożyć podczas wizyty. 2.4. Testy konfiguracji Wykonawca przeprowadzi minimum następujące testy w obecności pracowników IT urzędu (po godzinach pracy urzędu): a. Symulację awarii podstawowego urządzenia b. Symulację awarii dostawy Internetu przez jednego z providerów c. Symulację zagrożeń i ataków. 3. Specyfikacja techniczna Dostarczony wielofunkcyjny system zapory sieciowej klasy UTM musi zapewniać minimum wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności niezależnie od dostawcy łącza: 3.1. Wymagania ogólne 1. Rozwiązanie musi być dostępne w postaci zamkniętej zintegrowanej platformy sprzętowej. 2. Rozwiązanie musi posiadać zintegrowany system operacyjny, tzn. nie może wymagać od użytkownika instalacji osobnego systemu operacyjnego. 3. Rozwiązanie posiada nielimitowaną licencję dla użytkowników Firewalla. 4. Minimalna przepustowość firewalla to, co najmniej 16.3 Gbps. 5. Rozwiązanie musi obsługiwać do 2 100 000 sesji równoległych. 6. Rozwiązanie musi łączyć w sobie: 1.1. zaporę sieciową z inspekcją stanu pakietów (stateful inspection firewall), 1.2. system IPS/IDS pozwalający na całkowite wyładowanie z systemu, 1.3. filtr warstwy 7, 1.4. serwer VPN, 1.5. HTTP Proxy, wraz z 95 kategoriami tematycznymi, 1.6. filtr antyspamowy, 7. Rozwiązanie ma mieć modułową budowę, pozwalającą na odinstalowanie/zainstalowanie, wyłączenie/włączenie każdego z modułów rozwiązania, bez restartowania rozwiązania. 8. Rozwiązanie ma zapewniać ochronę przed atakami typu DoS/DDoS: IP spoofing. SYN flooding, flood ping i innymi oraz przed skanowaniem portów i adresów. 9. Rozwiązanie ma usługiwać: 1.7. NAT, PAT, proxy arp, VLAN, 1.8. Protokoły VoIP H.323, SIP, SCCP, 1.9. Protokoły OSPF, RIP zarówno przy połączeniach IP jak i VPN. 10. Rozwiązanie ma umożliwiać pełne zdalne zarządzania firewallem, serwerem VPN oraz pozostałymi serwisami z jednej graficznej konsoli administracyjnej pracującej pod systemami MS Windows. 11. Rozwiązanie musi posiadać możliwość przeglądania zmian nanoszonych przez automatyczne aktualizacje systemu, z graficznej konsoli administracyjnej.
12. Rozwiązanie ma umożliwiać zarządzanie urządzeniem poprzez zdalne kody SMS. 13. Rozwiązanie musi umożliwiać generowanie statystyk w czasie rzeczywistym opóźnienie statystyk ma być nie większe niż 10 sekund. 14. Aktywne powiadomienia o zdarzeniach przez SMTP i SNMP. 15. Możliwość ustawienia żądania potwierdzenia przez administratora odczytania powiadomienia o krytycznym zdarzeniu (w systemie pozostaje informacja, który administrator odczytał i skasował ostrzeżenie o zdarzeniu krytycznym). 16. Rozwiązanie musi umożliwiać przesyłanie statystyk i/lub logów na serwer centralnego zarządzania. 17. Urządzenie ma posiadać watchdoga sprawdzającego w czasie rzeczywistym status działających usług, stanu łącz internetowych, czy statusu switchy obsługujących SNMP. 18. Rozwiązanie ma mieć możliwość zarządzania systemem przez wielu administratorów w jednym czasie. 19. Rozwiązanie ma zapewniać integrację z usługami katalogowymi Active Directory, LDAP, Radius, domena NT 4. 20. Ponadto, rozwiązanie ma zapewniać obsługę: RSA SecureID, TACACS+ przez usługi firewall, serwer VPN, proxy HTTP (działające na wielu procesorach), proxy FTP, proxy SSH oraz uwierzytelnianie administratorów. 21. Rozwiązanie ma zapewnić obsługa uwierzytelniania administratorów przy pomocy hasła (lokalnego lub synchronizowanego z usługą katalogową), klucza zapisanego na tokenie lub karcie kryptograficznej albo równocześnie przy pomocy i hasła, i klucza. 22. Wymagana możliwość obsługi klastra High Availability z możliwością pracy w trybach Active-Passive i Active-Active. Dopuszcza się pracę w trybie cold-spare na potrzeby realizacji Zamówienia. 23. Urządzenie ma pozwalać na stworzenie dedykowanego linku, służącego tylko do monitorowania stanu partnera w klastrze High Availability. 24. Urządzenie musi mieć możliwość łączenia wielu kart sieciowych w jedną logiczną kartę sieciową w celu zwiększenia przepustowości. 25. Rozwiązanie musi umożliwiać obsługę wybranych kart UMTS/EDGE/HSDPA. 26. Czas pełnej instalacji lub odtworzenia systemu zapory sieciowej po awarii jest nie większy niż 10 minut. 27. Rozwiązanie ma zapewniać możliwość uruchamiania własnych skryptów z poziomu CLI. 28. Urządzenie ma posiadać bazę predefiniowanych skryptów, do dyspozycji administratora, dostępnych z poziomu CLI. 29. Rozwiązanie ma zezwalać na uruchamianie skryptów zgodnie z przyjętym harmonogramem lub w chwili pojawienia się odpowiedniego zdarzenia na urządzeniu. 30. Możliwość zarządzania systemem przez większą liczbę administratorów o określonych uprawnieniach. 3.2. Firewall 1. Urządzenie musi posiadać personal firewall, obsługujący wszystkie połączenia wychodzące i przychodzące do usług zainstalowanych na urządzeniu. 2. Rozwiązanie musi umożliwiać tworzenie obiektów dynamicznych, zależnych od miejsca, w którym zostało zainstalowane urządzenie. 3. Rozwiązanie ma umożliwiać tworzenie reguł firewalla z mechanizmem TCP Proxy. 4. Rozwiązanie ma pracować w trybie bridge (transparentnym), routera, oraz mieszanym (równocześnie, jako bridge i router). 5. Rozwiązanie musi umożliwiać tworzenie reguł NAT wewnątrz reguły tworzonej na firewallu. 6. Urządzenie ma umożliwiać podzielenie reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe połączenia. 7. Urządzenie ma umożliwiać definiowanie reguł dynamicznych na firewallu, automatycznie wyłączających się po ustalonym czasie.
8. Urządzenie ma umożliwiać tworzenie dynamicznych reguł firewalla uruchamianych z interfejsu SSL VPN. 9. Wbudowany analizator pakietów (sniffer) uruchamiany z graficznej konsoli użytkownika i z CLI. 10. Wbudowany tester reguł pozwalający na sprawdzenie poprawności i wyników działania tworzonych reguł przed ich aktywacją na firewallu. 11. Rozwiązanie musi posiadać zintegrowany filtr warstwy 7. 12. Rozwiązanie musi pozwalać na blokowanie pojedynczych funkcji konkretnych aplikacji (np. blokowanie tylko transfery plików w Gadu-Gadu, lub przepuszczania tylko i wyłącznie aktualizacji programów pracujących w sieci. 13. Rozwiązanie musi mieć możliwość transparentnego skanowania ruchu zaszyfrowanego (MITM). 3.3 VPN 1. Rozwiązanie musi posiadać własny protokół dla tuneli VPN site-2-site i client-2-site. 2. Rozwiązanie musi posiadać możliwość tworzenia specjalnych tuneli VPN opartych o autorski protokół, służących do zarządzania urządzeniami, niezależnie od głównego tunelu VPN. 3. Rozwiązanie ma zapewnić możliwość budowy kanałów VPN w strukturze gwiaździstej z jednoczesnym zapewnieniem komunikacji pomiędzy wszystkimi lokalizacjami minimalna liczba kanałów VPN zapewniających pełną komunikację pomiędzy wszystkimi lokalizacjami nie powinna być większa niż liczba lokalizacji. 4. Rozwiązanie ma obsługiwać multitransport VPN tworzenie do 24 transportów w obrębie jednego tunelu VPN site-to-site pomiędzy tymi samymi lokalizacjami, korzystających z różnych łączy i ustawień. 5. Rozwiązanie ma zapewnić możliwość łączenia transportów VPN (agregacja łączy na poziomie pakietów, lub sesji) i wyznaczania transportów zapasowych. 6. Rozwiązanie ma umożliwiać przypisywanie ruchu do wybranego transportu VPN w zależności od adresu źródłowego, adresu docelowego, portu, protokołu, nazwy uwierzytelnionego użytkownika lub grupy, do której należy oraz dnia tygodnia i godziny nawiązania połączenia. 7. Rozwiązanie ma zapewniać budowanie tuneli VPN w oparciu o protokoły: TCP, UDP, ESP, TCP i UDP. 8. Rozwiązanie ma zezwalać na nawiązywanie połączeń VPN przechodzących przez serwer proxy HTTPS. 9. Rozwiązanie musi posiadać w standardzie, darmowego klienta NAC integrującego się z centrum akcji w systemach Windows Vista/7. 10. Dostępne centrum autoryzacji na lokalnym serwerze VPN. 11. Rozwiązanie ma umożliwiać uwierzytelnianie użytkowników VPN za pomocą certyfikatów cyfrowych i/lub logowania. 12. Obsługa urządzeń kryptograficznych (tokenów, kart) współpracujących z mechanizmem Microsoft Strong Credential Provider dla systemu Windows. 13. Klient VPN musi mieć możliwość wyświetlania tekstu powitalnego przy połączeniu do sieci korporacyjnej (tzw. MOTD). 14. Klient VPN musi mieć możliwość sprawdzania, jak i modyfikowania rejestru systemu Windows komputera, na którym jest zainstalowany. 15. Klient VPN musi być stworzony przez tą samą firmę co dostarczone rozwiązanie. 16. Obsługa uwierzytelniania wieloskładnikowego w kliencie VPN. 17. Rozwiązanie ma umożliwiać przydzielanie ustawień tunelu VPN client-to-site na podstawie przynależności użytkownika do grupy zabezpieczeń w usłudze katalogowej Active Directory lub LDAP. 18. Możliwość uwierzytelniania certyfikatem X.509 przy integracji z zewnętrzną infrastrukturą PKI i przydzielanie ustawień tunelu VPN client-to-site w zależności od atrybutów certyfikatu. 19. Klient VPN ma być dedykowany na platformy: Windows, Linux i MacOS. 20. Klient VPN musi posiadać graficzny interfejs użytkownika, przynajmniej na platformach Windows i MacOS.
21. Możliwość zdefiniowania na platformach Windows skrótu do połączenia VPN z ukrytymi wszystkimi opcjami konfiguracyjnymi. 22. Obsługa uwierzytelniania stron przy tworzeniu tuneli VPN typu site-to-site oraz client-to-site za pomocą certyfikatów X.509 ze struktury PKI zarządzanej przez dowolny serwer PKI z obsługą list CRL. 23. Rozwiązanie ma zapewniać możliwość zarządzania pasmem w ramach tunelu VPN i na każdym tunelu VPN z osobna. 24. Rozwiązanie ma automatycznie zmieniać polityki podziału pasma w tunelach VPN po awarii jednego z transportów VPN i przełączenia ruchu na transport zapasowy. 25. Rozwiązanie ma zapewniać kompresję i deduplikację danych przesyłanych w tunelach VPN. 26. Rozwiązanie ma mieć możliwość buforowania danych przesyłanych w tunelach VPN dla protokołów zdefiniowanych przez administratora. 27. Rozwiązanie ma automatycznie zmieniać trasowanie ruchu VPN w przypadku awarii tunelu VPN. 3.4.Sieć 1. Rozwiązanie ma mieć mechanizm pozwalający na aktywacje nowej konfiguracji sieci na co najmniej trzy sposoby z czego jeden z nich nie może zrywać aktywnych sesji na urządzeniu. 2. Rozwiązanie ma automatycznie przywracać ostatnią działającą konfigurację sieci po zdefiniowanym czasie od momentu utracenia połączenia administracyjnego. 3. Rozwiązanie ma obsługiwać: 1.10. kilka łączy internetowych równocześnie, w tym multipath routing, 1.11. łączy z dynamicznie przypisywanymi adresami IP, 1.12. DynDNS. 4. Rozwiązaniu musi umożliwiać automatyczne przekierowanie ruchu na łącze zapasowe w przypadku awarii łącza głównego. 5. Możliwość podziału łącza w oparciu o wirtualne drzewa decyzyjne dla każdego z użytkowników z osobna lub dla grup użytkowników oraz możliwość ustawiania priorytetów (traffic shaping). 6. Obsługa dynamicznego (priorytety ruchu) i statycznego (ograniczenie maksymalnej przepustowości) podziału pasm. 3.5. Ochrona antywirusowa 1. Skaner antywirusowy musi posiadać możliwość uruchomienia dwóch silników skanujących jednocześnie. 2. Skaner antywirusowy musi pracować w oparciu o licencjonowany, komercyjny silnik skanujący. 3. Dopuszcza się korzystanie z silnika skanującego typu open-source, tylko w przypadku gdy może on być uruchomiony jednocześnie z filtrem komercyjnym. 4. Możliwość definiowania osobnych ustawień dla obu filtrów antywirusowych. 3.6 Sprzęt 1. urządzenie musi posiadać co najmniej 8 interfejsów sieciowych (10/100/1000 MBit RJ45), 2. urządzenie musi posiadać co najmniej 4 interfejsy sieciowe (1 GbE Fiber SFP), 3. urządzenie musi posiadać 2 rdzeniowy procesor, 4. urządzenie musi posiadać 8 GB pamięci operacyjnej RAM, 5. urządzenie musi posiadać dysk o pojemności co najmniej 160 GB, w technologii SSD, 6. urządzenie musi posiadać wyświetlacz LCD umożliwiający wyświetlanie 2 linii tekstu po 20 znaków każda, 7. urządzenie musi posiadać 2 złącza USB 2.0, 8. urządzenie musi posiadać zasilacz o mocy co najmniej 250W, 9. wielkość urządzenie nie może przekraczać 1U.
3.7 Urządzenie zastępcze 1. Oferowane rozwiązanie dostarczane jest bez ważnej licencji i posiada parametry techniczne identyczne z urządzeniem głównym (opisane w punktach 81-90) 2. Oferowanie rozwiązanie musi umożliwiać migrację konfiguracji z innego urządzenia objętego aktywną licencją serwisową. 3. Rozwiązanie musi umożliwiać nieprzerwaną pracę w okresie do 14 dni od chwili wykonania migracji konfiguracji. 3.8 Warunki serwisu i gwarancji dla urządzenia głównego i zastępczego 1. Oferowane rozwiązanie musi być objęte minimum 3-letnią licencją producenta uprawniającą do aktualizacji mechanizmów bezpieczeństwa, w tym : a. Sygnatur kontroli aplikacji, b. Sygnatur IPS, c. Sygnatury Global IP, wraz z możliwością odpłatnego przedłużenia licencji po jej wygaśnięciu na kolejny okres minimum jednego roku. 2. W czasie obowiązywania licencji Zamawiający ma prawo do wykonywania aktualizacji oprogramowania (ang. firmware upgrade) na posiadanej przez siebie platformie sprzętowej. 3. Oferowane rozwiązanie musi być objęte 3 letnim serwisem producenta obejmującym wszystkie elementy rozwiązania. 4. W razie wystąpienia usterki urządzenia, producent w ramach serwisu przeprowadzi jego wymianę na nowy model. Wysyłka nowego urządzenia następuje w dniu zgłoszenia i potwierdzenia awarii (o ile potwierdzenie nastąpi do godziny 14:00) przez producenta przesyłką kurierską na koszt producenta. Zamawiający zobowiązany jest do odesłania wadliwego sprzętu do magazynu producenta na własny koszt w terminie do 30 dni od dnia dostarczenia nowego urządzenia. 5. Dostarczone rozwiązanie w czasie obowiązywania licencji i/lub gwarancji umożliwia Zamawiającemu dostęp do wsparcia technicznego w języku polskim świadczonego zdalnie w dni robocze, od poniedziałku do piątku w godzinach 8:00-18:00. Kontakt możliwy jest poprzez dedykowany adres email lub dedykowany numer infolinii. 4. Opis istniejącego systemu zabezpieczeń architektury IT 4.1. WAN Na styku z siecią WAN działa router Vyatta - maszyna wirtualna w środowisku VMware vsphere w wersji VyOS 1.1.5. Na routerze tym skonfigurowany jest protokół routingu dynamicznego BGP oraz QoS. Internet dostarcza dwóch provider ów. Prędkość łącza Internetowego 1 50Mbps, prędkość łącza Internetowego 2 20 Mbps i przewiduje się zwiększenie prędkości ale nie więcej niż 100 Mbps. 4.2. UTM Rolę urządzenia UTM pełni serwer x86 z zainstalowanym systemem Linux Debian 9. Platforma: płyta główna Intel SE7230NH1, procesor Intel(R) Pentium(R) D CPU 3.40GHz, RAM 5GB, 2xHDD 500GB. Za poszczególne funkcje jest odpowiedzialne następujące oprogramowanie: a. Firewall: tc/netfilter/iptables 1.6.0 oraz fail2ban 0.9.6 b. IDS/IPS: PSAD 2.4.3 c. VPN: OpenVPN 2.4.0 d. Proxy WWW: Squid 3.5.23 e. DNS: Bind 9.10.3-P4 f. Oprogramowanie antywirusowe: Esets 4.5.6 g. Dostęp zdalny: Openssh 1.0.2j h. Oprogramowanie zapewniające wysoką dostępność usług: Monit 5.20.0
4.3. Sieć Sieć teleinformatyczna ma architekturze gwiazdy z punktami dystrybucyjnymi pośrednimi. Jej elementy posadowione są w 6 budynkach. Szkielet sieci wykonany za pomocą połączeń światłowodowych 1 Gbit/s, połączenia dystrybucyjne wykonane zarówno w technologii światłowodowej jak i z użyciem skrętki kategorii 5e i 6 typu gigabit Ethernet. W infrastrukturze UM Słupsk skonfigurowane są 32 VLAN y. Wewnątrz sieci LAN nie ma uruchomionego żadnego protokołu routingu dynamicznego. Routing pomiędzy VLANami realizowany jest na różnych urządzeniach: a. Router Cisco 2691 b. Przełącznik Cisco 3560 c. Przełącznik Cisco SG300 Dodatkowo wydzielone są podsieci na dwóch routerach Cisco 2621XM i 2651XM oraz Firewallu PIX 515E. Liczba hostów 28. Stacje klienckie komputery klasy PC (350 szt.) z zainstalowanym systemem operacyjnym Microsoft Windows 7 10. Średnia liczba zestawianych tuneli VPN - 20.