Požadavky zadavatele

Příloha č. 4

Požadavky zadavatele

Zhotovitel bude po dobu 36 měsíců od podpisu smlouvy zodpovědný za správu a provoz rozlehlé metropolitní sítě - Komunikační infrastruktury Karlovarského kraje, která propojuje obce s rozšířenou působností na území Karlovarského kraje a další vybrané lokality.


Skládá se ze služeb:

1. Proaktivní monitoring v režimu 24x7 včetně systémů UPS (stav sítě z pohledu aktivní i pasivní infrastruktury, bezpečnosti, analýza logů, proaktivní návrhy na upgrade řešení).

2. Nad aktivními prvky budou po dobu 36 měsíců poskytovány služby konfigurace, monitoringu a reportingu včetně garance v následujících parametrech SLA.

3. Služba „konfigurace“ bude poskytnuta v rozsahu max. 30 změnových požadavků měsíčně, zahrnuje aktivní prvky, síťové služby, bezpečnost, VPN, IP Sec tunely, QoS, včetně zřizování nových služeb a změn parametrů již existujících.

4. Měsíční reporting provozu (analýza logů a poruch, zjištění celkové i konkrétní dostupnosti sítě).

5. Servis aktivních prvků infrastruktury (fyzické opravy, výměna vadného HW).

6. Kontaktní místo pro Objednatele v totožném režimu po dobu 36 měsíců od podpisu smlouvy.

7. Součástí správy sítě budou služby přiděleného servisního manažera zodpovědného za provozní záležitosti (reporting, konfigurace, servis) v rozsahu 8 hodin měsíčně po dobu 36 měsíců od účinnosti smlouvy.

8. Provoz a správa existujícího RR spoje 345 Mbps, na lokalitu SÚS Sokolov.


Vzniklé servisní incidenty budou členěny do skupin podle závažnosti.

A. Incident/vada kategorie A

Služba není použitelná ve svých základních funkcích nebo se vyskytuje funkční závada znemožňující používání služby. Tento stav může ohrozit běžný provoz, případně může způsobit větší finanční nebo jiné škody.


B. Incident/vada kategorie B

Služba je ve svých funkcích degradována tak, že tento stav omezuje běžný provoz.


C. Incident/vada kategorie C

Ostatní - drobné incidenty/vady, které nespadají do kategorií A a/nebo B.

Shape1

* NBD - next business day, následující pracovní den ** BD - business day, počet pracovních dnů.

***Do 24 = čas opravy do 24h od nahlášení závady, doba poskytování služby je 7 dnů v týdnu 24h denně

Garantovaná doba přijetí a akceptace hlášeného incidentu

Garantovaná doba zahájení prací na řešení incidentu po řádném nahlášení

Garantovaná doba ukončení incidentu

A

10 min

1 hod

do 24 hod ***

B

10 min

4 hod

NBD*

C

10 min

NBD*

4BD*


Zhotovitel bude garantovat provozuschopnost aktivní infrastruktury řešení, po dobu platnosti smlouvy, v daných parametrech úrovně poskytování služeb (Service Level Agreement - SLA).

Řešením závady či nefunkčnosti se rozumí oprava. Oprava je definována jako povinnost zhotovitele opravit nahlášenou závadu, případně realizovat požadovaný zásah do konfigurace zařízení, ve stanoveném čase, s cílem obnovit poskytování služeb. O postupu prací směřujících k odstranění hlášené závady, nebo k realizaci požadavku, bude objednatel informován průběžně.


1.2. Údržba a servis UPS


Zhotovitel zajistí technickou podporu existujících záložních zdrojů napájení, určených k zajištění nepřerušovaného provozu, v následujícím rozsahu:


Primární centrum sítě (Závodní 353/88)

1. havarijní služba Po - Pá s dojezdem na místo do 4hodin, garance opravy do 48 hod, popř. zapůjčení jiné UPS; Hot-Line a asistenční služby 24hod denně; veškeré náklady zhotovitele jsou zahrnuty v paušální ceně služby

Záložní centrum sítě (Xxxxxxxxx 00)

2. servisní smlouva - havarijní služba Po - Pá s dojezdem na místo do 4hodin, garance opravy do 48 hod, popř. zapůjčení jiné UPS; Hot-Line a asistenční služby 24hod denně; veškeré náklady zhotovitele jsou zahrnuty v paušální ceně služby

Skupiny závažnosti incidentů jsou totožné jako pro služby uvedené výše. K řešení vzniklých incidentů se bude přistupovat podle závažnosti.

Garantovaná doba přijetí a akceptace hlášeného incidentu

Garantovaná doba zahájení prací na řešení incidentu po řádném nahlášení

Garantovaná doba ukončení incidentu

A

10 min

1 hod

do 24 hod ***

B

10 min

4 hod

NBD*

C

10 min

NBD*

4BD*

* NBD - next business day, následující pracovní den ** BD - business day, počet pracovních dnů.

*** Do24 = čas opravy do 24h od nahlášení závady, doba poskytování služby je 7 dnů v týdnu 24h denně Řešením závady či nefunkčnosti se rozumí oprava. Oprava je definována jako povinnost zhotovitele opravit nahlášenou závadu, případně realizovat požadovaný zásah do konfigurace zařízení, ve stanoveném čase, s cílem obnovit poskytování služeb. O postupu prací směřujících k odstranění hlášené závady, nebo k realizaci požadavku, bude objednatel informován průběžně.



1.3. Služby dohledu a provozu nástrojů pro sběr a vyhodnocování kybernetických bezpečnostních událostí


Podstatou požadované služby je zajištění dohledu a provozu nástrojů pro vyhodnocování kybernetických bezpečnostních událostí v Krajské komunikační infrastruktuře Karlovarského kraje, kterou zadavatel využívá a provozuje a spadají pod požadavky zákona 181/2014Sb. o kybernetické bezpečnosti, ve všech technologických úrovních.


Jedná se o následující nástroje dle ZoKB:

  • Nástroje pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů dle § 22 vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

  • Nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí dle § 24 vyhlášky 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

Požadavky na službu:

Účastník musí provozovat vlastní bezpečnostní dohledové centrum v režimu minimálně 8x5 a provozovat nástroje pro sběr a vyhodnocování kybernetických událostí účastník musí provozovat oddělený tiketovací systém:

  • vyhrazený pro řešení bezpečnostních incidentů

  • dostupnost 24x7

  • vzdálený přístup zadavatele přes web GUI rozhraní

Bezpečnostní dohledové centrum účastník musí podporovat integraci s nástroji zadavatele dle předmětu zakázky

Účastník poskytuje v rámci služby dostupnost vždy minimálně jednoho operátora bezpečnosti v režimu minimálně 8x5, a dále analytika a experta bezpečnosti

Účastník zajistí převzetí a zahájení vyhodnocování kybernetických bezpečnostních událostí v následujících SLA:

  • pro incidenty kategorie III - do 30 min

  • pro incidenty kategorie II - do 2 hodin

  • pro incidenty kategorie I - do konce pracovního dne

Kategorie III

- velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.

Kategorie II

- závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod.

Kategorie I

- méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. Jedná se bezpečnostní incidenty, které nespadají do kategorií III a II.

Účastník zajistí pravidelné měsíční reporty z nástrojů zadavatele dle předmětu zakázky. Účastník umožní zadavateli návštěvu vlastního bezpečnostního dohledového centra.


1.4. Upgrade stávajícího řešení - projekt


Stávajícímu řešení končí období placené podpory a záruky, kdy je nutné řešit dokoupení prodloužení záruk a podpory nebo lépe uvažované investice použít na upgrade / povýšení řešení, které současně umožní navýšení možností i kapacity stávající sítě společně s nově běžící zárukou a podporou jako součást nových boxů. Důležitým bodem je dále upgrade navazujících provozních systémů, tj. především dohledového systému sítě a systému pro autentifikaci a autorizaci klientů, Rádius serveru a jeho nadstavby. Upgrade příslušných operačních systémů a jejich nadstaveb je potřebný vzhledem k morálnímu stáří obou systému a již skončeným či brzy končícím cyklům podpory / updatů.


1.4.1. Klíčové atributy stávajícího řešení


Stávající řešení MPLS sítě KIKUKV je tvořeno dvěma centrálními prvky HPE 7500 (šasi), trojicí agregačních lokalit s agregačními switchi HPE 5820 a celkem 12 koncovými, tzv. PE, prvky řady HPE 5800. Všechny tyto prvky pracují na analogickém operačním systému HP ComWare, generace 5 a celý systém je monitorován a spravován centrálním softwarem HP iMC.

Z pohledu infrastruktury je každá koncová lokalita připojena jedním párem vláken do agregačního či centrálního bodu, kdy agregační body jsou vždy připojeny přes pasivní CWDM multiplexer do jádra sítě a to duálně s rychlostí X*Gbps, kde X je počet koncových lokalit připojených na agregační uzel. Tímto řešením je

Shape2

docíleno kapacity Gbps pro každou koncovou lokalitu vůči jádru sítě a současně zajištěna redundance v případě výpadku jednoho z uzlů jádra (roli terminace přebere druhý uzel jádra sítě).

Shape3

Obrázek č. l: Stávající řešení - náhled

1.4.2. Návrh upgradu jádra sítě - klíčové atributy nového řešení


Současné řešení jádra sítě sestává z dvojice prvků HPE 7500, které disponují aktuálně dostačujícím počtem gigabitových SFP portů, pro terminaci tras z lokalit, a aktuálně dostačujícím počtem metalických gigabitových portů pro připojení lokální infrastruktury (např. serverů atd.). Dále pak řešení disponuje lOGbps porty pro lokální propojení, mezi samotnou dvojící prvků jádra a trojící servisních modulů (modul pro vzdálený přístup, tzv. SSL modul, modul pro FW a VPN, tzv. firewall modul, a modulem pro inspekci provozu na úrovni L7, tj. IPS modulem).


Minimální povinné koncepční parametry řešení upgradu jádra sítě

HW jádra sítě bude tvořen dvěma vzájemně redundadními uzly sítě na analogickém HW s jedním setem identického HW pro spare sklad

Nové řešení musí podporovat technologii MPLS / VPLS a být na těchto technologiích kompatibilní se stávajícími prvky sítě (HPE 7500 / HPE 5800 / HPE 5820)

Nové řešení musí nabízet dostatečnou portaci pro budoucí 10GE upgrade celé sítě KIKUKV a být současně kompatibilní se stávajícím řešením na úrovni 1GE

Nové řešení musí podporovat stávající transceievery KI KUKV, a to včetně diagnostiky DMI, současně však musí podporovat i nové 10GE transceivery plánované v rámci upgradu na 10GE Nové řešení musí být plně kompatibilní se stávajícími pasivním CWDM systémem použitým mezi agregačními uzly a uzly jádra sítě

Nové řešení musí být podporováno stávající management platformou HP iMC a to včetně aktivní správy konfigurace prvků (např. zálohování konfigurací apod.)

Je preferováno volit řešení na analogickém operačním systému jako stávající OS HPE Comware z důvodu minimalizace dalších nákladů spojených se školeními a dalším zaučeními v případě odlišných nových platforem OS

Současně je požadováno zajistit přesun navazujících SW části řešení na virtuální infrastrukturu zadavatele, alternativně reinstalace a nové odladění. Jedná se o systém HP iMC pro management a správu sítě a Rádius server v roli autentifikačního serveru pro SSL VPN. V obou případech je požadováno nasazení na posledních vhodných verzích OS pro zajištění maximální míry zabezpečení i této části řešení

Minimální povinné technické parametry řešení upgradu jádra sítě

Každý nový uzel jádra sítě musí splňovat min. tyto technické parametry:

HW switche s podporou koncepce virtuálního šasi či analogické technologie Podpora ISSU a Hotpatchů v rámci virtuálního šasi

Virtuálni šasi musí vystupovat jako jedna jednotka pro L2 i L3 protokoly a to včetně MPLS / VPLS Podpora min. 8 jednotek v rámci virtuálního šasi Kapacita propojů stohu min. 160Gbps

Min. 48 portů 10G, tj. podpora standardu 802.3ae (min. reálné osazení virtuálního stohu) Min. 48 portů 10/100/l000Base-TX (min. reálné osazení virtuálního stohu) Podpora 40GE portů (min. 2 v rámci jednotlivého boxu) Podpora stávajících optických transceieverů

Nepřipouští se řešení HW blokující fungování 3rd party výrobce optických transceieverů Modulární a redundadní zdroje i větráky Podpora min. lótis. routo vacích záznamů Podpora min. 128tis. MAC adres v MAC tabulce

  • Podpora OSPF/OSPFv3 , ECMP

  • Podpora BGP+ / MPBGP

Podpora BGP community atribut a BGP extended atribut Podpora BGP router reflector

  • Podpora SSH1&SSH2

  • Podpora SNMP vl ,v2c,v3

  • Podpora TACACS / TACACS+ OOB management port

1.4.3. Návrh upgradu doplňkových serverů jádra sítě


Současné řešení sítě KIKUKV je doplněno dvojící fyzických serverů v roli management serveru a serveru pro autentifikaci (RÁDIUS serveru). Tuto dvojici serverů je nutné v rámci upgradu sítě KI KUKV zmigrovat či přesunout na virtuální infrastrukturu zadavatele.


Minimální povinné požadavky na upgrade serverů jádra sítě

Je požadována integrace nového řešení jádra sítě do používaného systému pro správu a dohled sítě, jedná se konkrétně o SW HP iMC a zařazení nových prvků jádra sítě pod tento systém Je požadováno zajistit platné licence a podporu pro prostředí serveru HP iMC (server RÁDIUS, viz dále je opensource projekt s licencí GNU / GPL

SW HP iMC i doprovodný server pro autentifikaci uživatelů (RÁDIUS server) je požadováno

přeinstalovat či zmigrovat na virtuální infrastrukturu zadavatele

Pro oba servery je požadováno použít poslední dostupné podporované release OS i DB

Server RÁDIUS musí i nadále disponovat jednoduchým a intuitivním webovým rozhraním pro správu

klientů

Je požadováno zajištění min. nutné kooperace pro integrace do zálohovacího systému zadavatele

1.4.4. Variantní upgrade prvků agregační a přístupové vrstvy sítě KI KUKV


Jako další fázi upgradu sítě je navrženo realizovat upgrade agregační vrstvy KI KUKV také na řešení 10GE a s tím realizovat související obměnu aktivních prvků agregačních lokalit a optických transceiverů sítě. Stávající HW agregačních bodů (tj. HPE 5820) je také 10GE řešení, avšak starší generace a s velmi nákladnými dalším supportem.


Minimální povinné koncepční parametry řešení upgradu agregačních uzlů sítě

  • Je požadováno ověření vhodnosti / kompatibility stávajících vláken pro 10GE řešení

  • HW agregačních uzlu musí podporovat koncepci virtuálních šasi

  • Řešení musí podporovat technologii MPLS / VPLS a být na těchto technologiích kompatibilní se stávajícími prvky sítě (HPE 7500 / HPE 5800 / HPE 5820)

  • Nový HW agregačních bodů musí nabízet dostatečnou portaci 10GE pro upgrade celé sítě KIKUKV a být současně kompatibilní se stávajícím řešením na úrovni 1GE

  • Nové řešení musí podporovat stávající transceievery KI KUKV, a to včetně diagnostiky DMI, současně však musí podporovat i nové 10GE transceivery plánované v rámci upgradu na 10GE

  • Nové řešení musí být plně kompatibilní se stávajícími pasivním CWDM systémem použitým mezi agregačními uzly a uzly jádra sítě

  • Nové řešení musí být podporováno stávající management platformou HP iMC a to včetně aktivní správy konfigurace prvků (např. zálohování konfigurací apod.)

  • Je preferováno volit řešení na analogickém operačním systému jako stávající OS HPE Comware z důvodu minimalizace dalších nákladů spojených se školeními a dalším zaučeními v případě odlišných nových platforem OS


Minimální povinné technické parametry řešení upgradu agregačních bodů sítě

Každý nový agregační uzel sítě musí splňovat min. tyto technické parametry:

  • HW switche s podporou koncepce virtuálního šasi či analogické technologie

  • Podpora ISSU a Hotpatchů v rámci virtuálního šasi

  • Virtuální šasi musí vystupovat jako jedna jednotka pro L2 i L3 protokoly a to včetně MPLS / VPLS

  • Podpora min. 6 jednotek v rámci virtuálního šasi

  • Kapacita propojů stohu min. 160Gbps

  • Min. 48 portů 10G, tj. podpora standardu 802.3ae (min. reálné osazení virtuálního stohu)

  • Podpora stávajících optických transceieverů

  • Nepřipouští se řešení HW blokující fungování 3rd party výrobce optických transceieverů

  • Modulární a redundadní zdroje i větráky

  • Podpora SSH1&SSH2

  • Xxxxxxx XXXX x 0 ,x0x,x0

  • Podpora TACACS / TACACS+

  • OOB management port

1.4.5. Upgrade optické vrstvy sítě


Je požadováno řešení upgradu optické vrstvy s přechodem na 10GE rozhraní. Toto řešení spočívá v ověření možnosti nasazení 10GE transceieverů na stávajících vláknech a obměně samotných transceieverů na patřeních spojích (KVA-KKN, KVA-Sokolov-Cheb, Cheb-KKN).

Součástí návrhu musí být kompletní set 10GE transceieverů pro obměnu na 10GE síť s předpokladem dodávky jen té části 10GE upgradu, kde příslušné parametry optické sítě tento upgrade na 10GE dovolují.



2. Plnění zahrnuté v paušální sazbě za poskytování služby

  • vzdálený dohled v režimu 24 hodin x 7 dní

  • pohotovost zaměstnanců poskytovatele k provedení servisního zásahu

  • bezplatnou telefonickou konzultační a poradenskou službu v běžných záležitostech, týkajících se provozu KI KK

  • náklady na skladové zásoby náhradních dílů a materiálu v dostatečném množství pro případné opravy poruchy zařízení za předpokladu, že zařízení jsou výrobcem podporována

  • náklady na zapůjčení náhradního zařízení

  • cestovní náklady vzniklé v souvislosti s lokalizací a odstraňováním poruchy

  • náklady na práci servisního technika vzniklé v souvislosti s lokalizací a odstraňováním poruchy

  • náklady na materiál a náhradní díly vzniklé v souvislosti s odstraňováním poruchy

Minimální technické požadavky služby dohledu a provozu nástrojů pro sběr a vyhodnocování kybernetických bezpečnostních událostí


Účastník zajistí předmět zakázky minimálně v následujícím rozsahu:

  • vytvoření CMDB v rozměru alespoň identifikace pomocí IP adres

  • sběr a uložení logů v RAW formátu

  • rate alerting na úrovni správy záznamů, jejich počtu a času vzniku

  • customizovaný reporting s možností online přístupu zadavatele k reportingu z bezpečnostního monitoringu SIEM

  • ticketovací systém jako hlavní komunikační nástroj

  • bezpečnostní dohled v režimu 8x5

auditní záznam prostředí/nástrojů zadavatele využitého pro plnění zakázky


Pro uvedený předmět zakázky účastník zajišťuje:

  • dostupnost a funkčnost nástrojů

  • vytíženost nástrojů

V rámci služby účastník zajišťuje nastavování nástrojů zadavatele dle předmětu zakázky v rozsahu:

  • úprava a optimalizace korelačních pravidel

  • přidávání nových zařízení

  • vytváření nových scénářů pro detekci KBU

  • úprava nastavení nástrojů dle požadavku NBÚ

Účastník je certifikovaným partnerem na licencované technologie nástrojů zadavatele dle předmětu zakázky.


Document Metadata

Filed: November 16th, 2024