http://www.wam.net.pl Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamó wienia na świadczenie usługi operatorskiej sieci teleinformatycznej w zakresie transmisji danych dla Wojskowej Agencji Mieszkaniowej Warszawa lipiec 2007r.
CzęśćI. Słownik ważniejszych skró tó w używanych w dokumencie 3 CzęśćII. Szczegó łowy opis przedmiotu zamó wienia 4 Część III.1. Podstawowe łącza transmisji danych 5 Część III.2. Łącza zapasowe 8 Część III.3. Dostęp do sieci Internet 10 Część III.4. Bezpieczny dostęp do sieci wewnętrznej Zamawiającego dla uż ytkownikó w mobilnych 13 Część III.5. Pozostałe wymagania obligatoryjne 14 2
Czę ść I. Słownik waż niejszych skró tó w uż ywanych w dokumencie 1. MPLS Multiprotocol Label Switching- wieloprotokołowe przełączanie w oparciu o etykiety (RFC3031) 2. WAN Wide Area Network Siećrozległa 3. VPN Virtual Private Network Wirtualna siećprywatna 4. WAM Wojskowa Agencja Mieszkaniowa 5. Ruter CE Ruter po stronie Zamawiającego 6. QoS Quality of Service Jakośćusług 7. CoS Class of Service Klasa usług 8. SLA Service Level Agrement Częśćumowy pomiędzy Zamawiającym a Wykonawcą gwarantująca utrzymanie ustalonego poziomu jakości usług będących przedmiotem niniejszego Zamó wienia (dostępnośći sposó b reakcji na awarię). 3
Czę ść II. Szczegó łowy opis przedmiotu zamó wienia 1. Przedmiotem zamó wienia jest świadczenie usługi operatorskiej sieci teleinformatycznej w zakresie transmisji danych poprzez wirtualną prywatną siećszkieletową realizowaną w technologii MPLS oraz świadczenie usługi bezpiecznego dostępu do sieci wewnętrznej Zamawiającego dla uż ytkownikó w mobilnych i dostępu do sieci Internet. Poprzez świadczenie usługi rozumie się: 1) udostępnienie podstawowych łącz transmisyjnych o określonych parametrach, 2) realizację zapasowej transmisji danych poprzez udostępnienie zapasowych łączy transmisyjnych lub wykorzystanie łącz obecnie posiadanych przez Zamawiającego, 3) zapewnienie dostępu do sieci Internet, 4) dzierż awę aktywnych urządzeń końcowych (routeró w CE), 5) realizację usługi bezpiecznego dostępu do sieci wewnętrznej Zamawiającego dla uż ytkownikó w mobilnych poprzez udostępnienie rozwiązania zapewniającego autoryzację uż ytkownikó w oraz pełną poufność przesyłanych danych niezależ nie od rodzaju łącza internetowego z jakiego uż ytkownik korzysta, 6) utrzymanie i zarządzanie dostarczoną infrastrukturą sieciową do punktu styku u Zamawiającego w technologii FastEthernet. 2. Wykonawca przygotuje i dołączy do protokółu odbioru poniż sze informacje: 1) opis oferowanych klas ruchu (ilośćklas oraz rodzaj transmitowanych danych), 2) wykaz punktó w styku z operatorami zewnętrznymi (dotyczy usługi dostępu do sieci Internet), 3) opis architektury WAN, zawierający : a) graficzną prezentację połączeń z uwzględnieniem punktó w pośredniczących (ich lokalizacja), b) szczegółowe przedstawienie trasy przebiegu łączy od Centrali Zamawiającego, aż do głó wnego węzła (punktu świadczenia usługi) u Wykonawcy, wraz z dokładnym wykazem lokalizacji poszczegó lnych punktó w pośredniczących (dotyczy łącza podstawowego i zapasowego w Centrali Zamawiającego). 3. Intencją Zamawiającego jest rozbudowa i unowocześnienie istnieją cej infrastruktury przyłączeń telekomunikacyjnych swoich lokalizacji. Obecna infrastruktura wykorzystuje łącza Internetowe oraz szyfrowane tunele VPN do realizacji połączeń, a jej parametry wydajnościowe i jakościowe nie są wystarczające do poprawnej pracy wykorzystywanych przez Zamawiającego rozwiązań aplikacyjnych. Zamawiający w niniejszym postępowaniu wymaga od Wykonawcó w realizacji usług w określonym standardzie, czym daje wyraz w wymaganiach określonych poniż ej. 4
Czę ść III.1. Podstawowe łą cza transmisji danych 1. Zamawiający wymaga aby w ramach realizacji przedmiotu zamó wienia Wykonawca udostępnił w lokalizacjach zamawiającego wymienionych w tabeli poniż ej podstawowe łącza transmisji danych o następującej przepustowości gwarantowanej: Lp. Nazwa Adres 1 (Centrala) ul. Chałubińskiego 3a 02-004 Warszawa 2 Oddział Regionalny Mazowsze ul. Chełmż yńska 1 04-247 Warszawa 3 Oddział Regionalny w Warszawie ul. Olszewska 14/20 00-792 Warszawa 4 Oddział Regionalny w Lublinie ul. Łęczyńska 1 20-309 Lublin 5 Oddział Regionalny w Krakowie ul. Montelupich 3 31-155 Krakó w 6 Oddział Regionalny we Wrocławiu ul. Sztabowa 32 05-984 Wrocław 7 Oddział Regionalny w Zielonej Gó rze al. Zjednoczenia 104 65-120 Zielona Gó ra 8 Oddział Regionalny w Poznaniu ul. Dojazd 30 60-631 Poznań 9 Oddział Regionalny w Bydgoszczy ul. Gdańska 163a 85-915 Bydgoszcz 10 Oddział Regionalny w Olsztynie ul. Kasprowicza 1 10-219 Olsztyn 11 Oddział Regionalny w Gdyni ul. M. C. Skłodowskiej 19 81-231 Gdynia 12 Oddział Regionalny w Szczecinie ul. Potulicka 2 70-952 Szczecin Przepustowość łącza 20Mbps 2. Zamawiający przy realizacji łą czy dostępowych podstawowych do lokalizacji dopuszcza łącza światłowodowe, miedziane lub radiowe. 3. Nie dopuszcza się realizacji łączy radiowych w oparciu o urządzenia pracujące na częstotliwościach otwartych niewymagających pozwolenia na nadawanie. 4. Komunikacja między lokalizacjami zostanie zapewniona w oparciu o protokół IP. Lokalizacje otrzymają adresy prywatne IP określone przez Zamawiającego, niedostępne z sieci Internet. Szczegółowy wykaz adresacji IP poszczegó lnych sieci Zamawiającego zostanie przedstawiony wybranemu w niniejszym postępowaniu Wykonawcy podczas realizacji zadania. 5. Wymagane jest, aby usługa oferowana była z pełną gwarancją pasma i zapewniała wsparcie dla jakości usług (QoS) oraz klas usług (CoS) wraz z elastyczną moż liwością zmian parametró w dla klas usługowych. 5
6. Usługa powinna umoż liwiaćutworzenie w ramach dostępnego pasma łącz, co najmniej czterech klas usług transmisji danych dla aplikacji Zamawiającego (w tym aplikacji multimedialnych). Ponadto dostępne pasma łącz powinny miećmoż liwośćdowolnego podziału na podpasma o różnych szerokościach pomiędzy ww. klasy. Szczegółowy plan rozkładu klas usług i podziału pasma zostanie przedstawiony wybranemu w niniejszym postępowaniu Wykonawcy podczas realizacji zadania. 7. Wymagane jest, aby zmiana w rozdziale pasma na klasy była procesem elastycznym, zmienianym bez dodatkowych opłat na ż yczenie Zamawiającego. Zlecenia zmiany realizowane będą za pomocą telefaksu lub poczty elektronicznej przez upoważ nionych pracownikó w Zamawiającego, a czas realizacji nie będzie przekraczał 24 godzin od momentu zgłoszenia. 8. Ze względu na bezpieczeństwo przesyłanych danych nie dopuszcza się aby łącza podstawowe realizowane były z wykorzystaniem publicznej sieci Internet. Jednocześnie wymagana jest logiczna separacja ruchu danych od innych klientó w Wykonawcy. 9. Wykonawca wydzierż awi Zamawiającemu na czas obowiązywania umowy wymagany końcowy sprzęt aktywny (w tym routery CE) niezbędny do poprawnej realizacji usługi. Po okresie obowiązywania umowy Zamawiający zastrzega sobie moż liwość odkupienia dzierż awionych routeró w CE od Wykonawcy za obustronnie zaakceptowaną kwotę. 10. Wydzierż awiony Zamawiającemu przez Wykonawcę router CE przeznaczony do Centrali powinien spełniaćnastępujące wymagania: 1) Dedykowane urządzenie sieciowe dostarczone w obudowie przeznaczonej do montaż u w szafie typu Rack. 2) Wydajność urządzenia z włączonymi mechanizmami QoS oraz filtrowaniem ruchu nie mniejsza niż 40Mbps. 3) Urządzenie musi być wyposaż one w nie mniej niż dwa wbudowane interfejsy Ethernet 10/100/1000. 4) Urządzenie musi byćdodatkowo wyposaż one w odpowiednie interfejsy do podłączenia łącza do sieci WAN. 5) Urządzenie musi posiadaćminimum 256 MB pamięci operacyjnej (DRAM). 6) Urządzenie powinno umoż liwiaćrozbudowę o dodatkową pamięćoperacyjną do nie mniej niż 2GB (DRAM). 7) Urządzenie musi obsługiwaćprotokoły dostępowe warstwy 2 OSI co najmniej: Frame Relay, Ethernet (z obsługa sieci VLAN poprzez tagowanie zgodne z 802.1q) oraz Point-to-Point Protocol/High level Data Link Control (PPP/ HDLC), Multilink PPP, Multilink Frame Relay, PPP over Ethernet. 8) Urządzenie musi obsługiwaćprotokoły dynamicznego routingu RIP(v1 i v2) IS-IS, OSPF oraz BGP. 6
9) Urządzenie musi byćwyposaż one w funkcje zabezpieczeń Stateful Firewall z mechanizmami ochrony przed atakami DoS oraz ochrony komunikacji sieciowej IPSec. Router musi posiadać moż liwośćrozbudowy o sprzętową akcelerację szyfrowania IPSec. 10) Urządzenie musi posiadaćmechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywać się na podstawie DSCP, IP ToS, 802.1p, MPLS EXP oraz parametró w z nagłó wkó w TCP i UDP. Urządzenie musi obsługiwaćnie mniej niż 8 kolejek na każ dy interfejs logiczny. 11) Urządzenie musi posiadaćmechanizmy umoż liwiające pracę w klastrze HA. 11. Wydzierż awiony Zamawiającemu przez Wykonawcę router CE przeznaczony do Oddziałó w powinien spełniaćnastępujące wymagania: 1) Dedykowane urządzenie sieciowe dostarczone w obudowie przeznaczonej do montaż u w szafie typu Rack. 2) Wydajnośćurządzenia z włączonymi mechanizmami QoS, filtrowaniem ruchu oraz jego szyfrowaniem protokołem IPSec nie mniejsza niż 5Mbps. 3) Urządzenie musi być wyposaż one w wbudowany interfejs Ethernet 10/100 oraz w odpowiednie interfejsy do podłączenia zaproponowanego łącza do sieci WAN (podstawowego oraz zapasowego). 4) Urządzenie musi posiadaćminimum 256 MB pamięci operacyjnej (DRAM). 5) Urządzenie powinno umoż liwiaćrozbudowę o dodatkową pamięćoperacyjną do nie mniej niż 1GB (DRAM). 6) Urządzenie musi obsługiwaćprotokoły dostępowe warstwy 2 OSI - co najmniej: Frame Relay, Ethernet (z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q) oraz Point-to- Point Protocol/High level Data Link Control (PPP/ HDLC). 7) Urządzenie musi obsługiwaćprotokoły dynamicznego routingu RIP(v1 i v2) IS-IS, OSPF oraz BGP. 8) Urządzenie musi byćwyposaż one w funkcje zabezpieczeń Stateful Firewall z mechanizmami ochrony przed atakami DoS oraz ochrony komunikacji sieciowej IPSec. Router musi posiadać moż liwośćrozbudowy o sprzętową akcelerację szyfrowania IPSec. 9) Urządzenie musi posiadaćmechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywaćsię na podstawie DSCP, IP ToS, 802.1p, MPLS EXP oraz parametró w z nagłó wkó w TCP i UDP. Urządzenie musi obsługiwaćnie mniej niż 8 kolejek na każ dy interfejs logiczny. 7
Czę ść III.2. Łą cza zapasowe 1. Zamawiający wymaga aby w ramach realizacji przedmiotu zamó wienia Wykonawca zrealizował rozwią zanie umoż liwiające transmisję danych pomiędzy lokalizacjami Zamawiającego w przypadku wystąpienia awarii łączy podstawowych. 2. Dopuszcza się wykorzystanie do realizacji ww. celu uż ytkowanych obecnie przez Zamawiającego łączy transmisji danych lub instalację nowych zaproponowanych przez Wykonawcę. Aktualnie wykorzystywane przez Zamawiającego łącza przedstawia poniż sza tabela: Lp. Nazwa Adres Technologia 1 Oddział Regionalny Mazowsze 2 Oddział Regionalny w Warszawie 3 Oddział Regionalny w Lublinie 4 Oddział Regionalny w Krakowie 5 Oddział Regionalny we Wrocławiu 6 Oddział Regionalny w Zielonej Gó rze 7 Oddział Regionalny w Poznaniu 8 Oddział Regionalny w Bydgoszczy 9 Oddział Regionalny w Olsztynie 10 Oddział Regionalny w Gdyni 11 Oddział Regionalny w Szczecinie ul. Chełmż yńska 1 04-247 Warszawa ul. Olszewska 14/20 00-792 Warszawa ul. Łęczyńska 1 20-309 Lublin ul. Montelupich 3 31-155 Krakó w ul. Sztabowa 32 05-984 Wrocław al. Zjednoczenia 104 65-120 Zielona Gó ra ul. Dojazd 30 60-631 Poznań ul. Gdańska 163a 85-915 Bydgoszcz ul. Kasprowicza 1 10-219 Olsztyn ul. M. C. Skłodowskiej 19 81-231 Gdynia ul. Potulicka 2 70-952 Szczecin LMDS DSL w oparciu o PSTN : (22) 845 68 77 DSL w oparciu o PSTN : (81) 746 46 32 DSL w oparciu o PSTN : (12) 632 48 62 DSL w oparciu o PSTN : (71) 793 04 41 DSL w oparciu o PSTN : (68) 451 91 33 Ethernet (Lokalny ISP) Ethernet (Lokalny ISP) DSL w oparciu o PSTN : (89) 526 48 89 ADSL (Lokalny ISP) DSL w oparciu o PSTN : (91) 489 27 97 Przepustowość łącza 1,5Mbps /512kbps 1Mbps/256kbps 1Mbps/256kbps 2Mbps/512kbps 2Mbps/512kbps 1,5Mbps/512kbps 1Mbps/256kbps 8Mbps/640kbps 2Mbps/512kbps 8Mbps/640kbps 3. Wymagane jest aby łącze zapasowe w Centrali posiadało przepustowośćrówną przepustowości łącza podstawowego. 4. Wymaga się aby łącze zapasowe w Centrali zakończone zostało na fizycznie innym niż łącze podstawowe routerze CE i zrealizowane było do fizycznie innego routera brzegowego w sieci szkieletowej. 5. Fizyczny przebieg łącza zapasowego dla Centrali (droga kablowa, zakończenie łącza radiowego od strony szkieletu sieci) na całej jego długości (liczą c od siedziby Zamawiającego) musi być 8
różny od przebiegu łącza podstawowego. Łącze zapasowe powinno byćzakończone w innym niż łącze podstawowe punkcie węzłowym sieci szkieletowej. 6. Łącza zapasowe dla Oddziałó w zrealizowane mogą być w oparciu o dowolną technologię dostępową wybraną przez Wykonawcę, o przepustowości nie mniejszej niż 256kbps. 7. Łącza zapasowe dla Oddziałó w powinny byćzakończone na tym samym routerze CE co łącza podstawowe. 8. Dopuszcza się realizację łączy zapasowych dla Oddziałó w w oparciu o szyfrowane kanały VPN realizowane w publicznej sieci Internet, przy czym bezpośredni dostęp do sieci Internet z wewnętrznej sieci danego Oddziału powinien byćcałkowicie zablokowany. 9. Komunikacja poprzez łącze zapasowe powinna byćaktywowana automatycznie w przypadku awarii łącza podstawowego. 10. Komunikacja przez łącza zapasowe powinna byćmoż liwa tylko dla wybranych rodzajó w ruchu (np. aplikacje krytyczne, poczta e-mail, glos, brak dostępu do Internetu...). Szczegóły dotyczą ce konfiguracji dopuszczalnych rodzajó w transmisji zostaną przekazane wybranemu w niniejszym postępowaniu Wykonawcy na etapie realizacji zamó wienia. 11. Zamawiający nie dopuszcza aby koszt realizacji połą czeń z wykorzystaniem łączy zapasowych uzależ niony był w jakikolwiek sposó b od czasu ich trwania. Intencją Zamawiającego jest ponoszenie jednej stałej opłaty miesięcznej za łącza zapasowe niezależ nie od stopnia ich wykorzystania. 12. Wykonawca wydzierż awi Zamawiającemu na czas obowiązywania umowy wymagany końcowy sprzęt aktywny (w tym routery CE) niezbędny do poprawnej realizacji usługi. Po okresie obowiązywania umowy Zamawiający zastrzega sobie moż liwość odkupienia dzierż awionych routeró w CE od Wykonawcy za obustronnie zaakceptowaną kwotę. 13. Wydzierż awiony Zamawiającemu przez Wykonawcę router CE przeznaczony do zakończenia łącza zapasowego w Centrali powinien spełniaćnastępujące wymagania: 1) Dedykowane urządzenie sieciowe dostarczone w obudowie przeznaczonej do montaż u w szafie typu Rack. 2) Wydajność urządzenia z włączonymi mechanizmami QoS oraz filtrowaniem ruchu nie mniejsza niż 40Mbps. 3) Urządzenie musi byćwyposaż one w nie mniej niż dwa wbudowane interfejsy Ethernet 10/100/1000. 4) Urządzenie musi byćdodatkowo wyposaż one w odpowiednie interfejsy do podłączenia łącza do sieci WAN. 5) Urządzenie musi posiadaćminimum 256 MB pamięci operacyjnej (DRAM). 6) Urządzenie powinno umoż liwiaćrozbudowę o dodatkową pamięćoperacyjną do nie mniej niż 2GB (DRAM). 9
7) Urządzenie musi obsługiwaćprotokoły dostępowe warstwy 2 OSI co najmniej: Frame Relay, Ethernet (z obsługa sieci VLAN poprzez tagowanie zgodne z 802.1q) oraz Point-to-Point Protocol/High level Data Link Control (PPP/ HDLC), Multilink PPP, Multilink Frame Relay, PPP over Ethernet. 8) Urządzenie musi obsługiwaćprotokoły dynamicznego routingu RIP(v1 i v2), IS-IS, OSPF oraz BGP. 9) Urządzenie musi byćwyposaż one w funkcje zabezpieczeń Stateful Firewall z mechanizmami ochrony przed atakami DoS oraz ochrony komunikacji sieciowej IPSec. Ruter musi posiadać moż liwośćrozbudowy o sprzętową akcelerację szyfrowania IPSec. 10) Urządzenie musi posiadaćmechanizmy priorytetyzowania i zarządzania ruchem sieciowym QoS wygładzanie (shaping) oraz obcinanie (policing) ruchu. Mapowanie ruchu do kolejek wyjściowych musi odbywaćsię na podstawie DSCP, IP ToS, 802.1p, MPLS EXP oraz parametró w z nagłó wkó w TCP i UDP. Urządzenie musi obsługiwaćnie mniej niż 8 kolejek na każ dy interfejs logiczny. 11) Urządzenie musi posiadaćmechanizmy umoż liwiające pracę w klastrze HA. Czę ść III.3. Dostę p do sieci Internet 1. Zamawiający wymaga aby w ramach realizacji przedmiotu zamó wienia Wykonawca udostępnił w Centrali Zamawiającego symetryczne łącze do publicznej sieci Internet o przepustowości 10Mbps. 2. Zamawiający przy realizacji łącza do sieci Internet dopuszcza łącza światłowodowe, miedziane i radiowe. 3. Nie dopuszcza się realizacji łącza radiowego w oparciu o urządzenia pracujące na częstotliwościach otwartych niewymagających pozwolenia na nadawanie. 4. Łącze Internetowe powinno byćzakończone na dostarczonym przez Wykonawcę urządzeniu. 5. Nie dopuszcza się zakończenia łącza Internetowego na jednym z routeró w CE w Centrali. 6. Dostarczone łącze powinno stanowić centralny i jedyny punkt dostępu do sieci Internet dla wszystkich uż ytkownikó w (około 1400 osó b łącznie, we wszystkich Oddziałach). 7. Wykonawca wydzierż awi Zamawiającemu na czas obowiązywania umowy wymagany końcowy sprzęt aktywny niezbędny do poprawnej realizacji usługi. Po okresie obowiązywania umowy Zamawiający zastrzega sobie moż liwośćodkupienia dzierż awionych urządzeń od Wykonawcy za obustronnie zaakceptowaną kwotę. 8. Wykonawca musi zapewnićmin. 30 adresó w IP z przeznaczeniem dla przypisania do serweró w Zamawiającego, oraz moż liwością nieodpłatnego zwiększenia tej puli. 9. Wydzierż awiony Zamawiającemu przez Wykonawcę sprzęt przeznaczony do zakończenia łącza do sieci Internet powinien spełniaćnastępujące wymagania: 10
1) Dostarczone urządzenie musi realizowaćzadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji. Urządzenie powinno umoż liwiać wykrywanie i blokowanie atakó w intruzó w (IPS), zarządzanie pasmem sieci (QoS) oraz posiadać moż liwość zestawiania zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. 2) Aktualizacja bazy sygnatur atakó w (IPS) musi odbywaćsię na żądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. 3) Urządzenie powinno posiadaćwbudowany moduł kontroli antywirusowej kontrolujący pocztę elektroniczną (SMTP, POP3, IMAP), FTP oraz http. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. 4) Urządzenie powinno posiadać wbudowany moduł kontroli antyspamowej działający w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. 5) Urządzenie dostarczone jest jako dedykowane urządzenie sieciowe nie będą ce komputerem typu PC. 6) Urządzenie powinno posiadaćwbudowany moduł filtrowania stron WWW w zależ ności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. 7) Dostarczone urządzenie nie posiada ograniczenia na liczbę chronionych komputeró w w sieci wewnętrznej. 8) System zabezpieczeń firewall zgodnie z ustaloną polityka bezpieczeństwa musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). 9) Dostarczone urządzenie pracuje w oparciu o opracowany przez producenta dedykowany system operacyjny (nie dopuszcza się wykorzystania zmodyfikowanego systemu ogó lnego przeznaczenia np. Linux, FreeBSD). 10) Wydajnośćurządzenia dla firewall nie mniejsza niż 300Mbps. 11) Wydajnośćurządzenia dla VPN (3DES) nie mniejsza niż 100Mbps. 12) Obsługa nie mniej niż 32000 jednoczesnych połączeń. 13) Dostarczone urządzenie musi byćwyposaż one w co najmniej osiem portó w Ethernet z czego przynajmniej dwa muszą pracowaćw standardzie 10/100/1000. 14) Dostarczone urządzenie musi byćwyposaż one w minimum 256MB pamięci operacyjnej (DRAM) i umoż liwiaćjej rozbudowę do 512MB. 15) Dostarczone urządzenie powinno działaćw trybie routera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresó w IP na interfejsach sieciowych. 11
16) Dostarczone urządzenie posiada zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności. 17) Dostarczone urządzenie obsługuje protokoły routingu RIP, OSPF, BGP. 18) Urządzenie musi posiadaćmechanizmy wykrywania i blokowania atakó w stosowanych przez hakeró w (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentó w (m.in. Java/ActiveX/zip/exe), ochrony sieci VPN przed atakami powtó rzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. 12
Czę ść III.4. Bezpieczny dostę p do sieci wewnę trznej Zamawiają cego dla uż ytkownikó w mobilnych 1. Zamawiający wymaga aby w ramach realizacji przedmiotu zamó wienia Wykonawca udostępnił rozwią zanie zapewniające realizację bezpiecznego dostępu do sieci wewnętrznej Zamawiającego dla uż ytkownikó w mobilnych. 2. Dostęp do zasobó w sieci wewnętrznej zamawiającego musi być moż liwy przez Internet z wykorzystaniem dowolnego posiadanego przez użytkownika łącza (stałe, wydzwaniane, Hot- Spot, GPRS, etc.) 3. Dostęp do zasobó w sieci wewnętrznej musi byćmoż liwy z dowolnego komputera wyposaż onego w przeglądarkę internetową Internet Explorer, Firefox i system operacyjny Windows 98/ME/2000/XP, Linux, MacOS X lub z PDA z systemem Windows Mobile 2003 lub nowszym. 4. Całość komunikacji pomiędzy użytkownikiem, a siecią wewnętrzną musi być szyfrowana z wykorzystaniem silnych algorytmó w kryptograficznych (powszechnie uważ anych za bezpieczne). 5. Dostęp do systemu powinien byćchroniony poprzez unikalny login każ dego użytkownika oraz system haseł jednorazowych. 6. Hasło jednorazowe powinno składaćsię z dwó ch elementó w: stałego ciągu minimum 4 cyfr znanego tylko użytkownikowi oraz minimum 6 cyfr generowanych przez dedykowany każ demu uż ytkownikowi token sprzętowy. Cyfry generowane przez token powinny zmieniać się przynajmniej raz na minutę. 7. Dostarczony system powinien umoż liwiać przydzielanie różnym użytkownikom oraz grupom uż ytkownikó w praw dostępu do różnych zasobó w w sieci wewnętrznej. 8. Dostarczone rozwiązanie powinno pozwalaćna automatyczne przetestowanie stacji końcowej pod względem: 1) Obecności aktualnego oprogramowania antywirusowego. 2) Obecności osobistej zapory ogniowej. 3) Obecności uruchomionego oprogramowania szpiegowskiego (spyware, keylogery etc.). 4) Sprawdzenia obecności dowolnego pliku, klucza rejestru, uruchomionego procesu i otwartego portu. 5) W przypadku negatywnego wyniku zdefiniowanych testó w, przy pomocy danej stacji roboczej, dostęp do zasobó w wewnętrznych powinien zostaćzabroniony. 9. Dostarczone rozwiązanie powinno być wyposaż one w graficzny interfejs administracyjny umoż liwiający Administratorowi Zamawiającego: 1) Wprowadzanie lub edycję parametró w uż ytkownika. 2) Tworzenie uż ytkownika i przypisywanie mu tokenu. 13
3) Przypisywanie uprawnień do uż ytkownikó w. 4) Określenia szczegółowych wymagań dotyczą cych stacji klienckiej (tworzenie testó w). 5) Przeglądanie logó w. 6) Dodawanie nowych zasobó w w sieci wewnętrznej i określania zasad dostępu. 7) Monitorowanie sesji uż ytkownikó w. Czę ść III.5. Pozostałe wymagania obligatoryjne 1. Wszystkie dzierż awione Zamawiającemu urządzenia końcowe (routery CE) muszą byćfabrycznie nowe oraz objęte gwarancją producenta na cały okres trwania umowy. 2. Wykonawca w ramach usługi gwarantuje następujące parametry SLA dla poszczegó lnych elementó w składających się na przedmiot zamó wienia: Lp. Parametr Wartość 1 Gwarantowany czas przywró cenia dostępu do sieci WAN w Centrali w przypadku całkowitego braku dostępności. 2h 2 Gwarantowany czas naprawy awarii pojedynczego łącza w Centrali 4h 3 Gwarantowany czas naprawy awarii pojedynczego urządzenia końcowego (routera CE) w Centrali 4h 4 Dostępnośćusługi w Centrali 99,8% w cią gu roku 5 Gwarantowany czas przywró cenia dostępu do sieci WAN w Oddziałach 8h 6 Dostępnośćusługi w Oddziałach 99,5% w cią gu roku 7 Gwarantowany czas przywró cenia dostępu do sieci Internet 4h 8 Dostępnośćłącza do Internetu 99,8% w cią gu roku 9 Gwarantowany czas przywró cenia dostępu do zasobó w wewnętrznych dla uż ytkownikó w mobilnych 4h 10 Dostępnośćusługi bezpiecznego dostępu dla uż ytkownikó w mobilnych 99,5% w cią gu roku 11 Dostępnośćserwisu 24/7/365 12 Czas reakcji na zgłoszenie 1h 13 Miesięczne okno serwisowe 4h raz w miesiącu 3. Zamawiający dopuszcza naprawę awarii zapewniając na czas naprawy sprzęt zastępczy w miejsce uszkodzonego, o ile zastosowane rozwiązanie nie wpłynie na jakośći parametry usługi. 14