MINISTERO DELL’INTERNO

CAPITOLATO TECNICO

Lotto 2

Aggiornamento della rete per il National Schengen Information System (NSIS)

Fornitura in opera del cablaggio strutturato, degli apparati di rete, Next Generation Firewall, bilanciatori di carico e servizi di installazione, migrazione e configurazione, manutenzione, supporto e formazione

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete, Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

Sommario

1 PREMESSA 4

1.1 Sigle e acronimi 4

1.2 Definizioni 5

2 OGGETTO DELLA FORNITURA 6

2.1 Sedi 7

3 SOPRALLUOGHI 7

4 INFRASTRUTTURA DI RETE 8

4.1 Architettura di rete esistente 8

4.2 Architettura di rete da realizzare 8

5 CABLAGGIO STRUTTURATO 8

5.1 Cablaggio in fibra ottica 10

5.2 Fornitura in opera armadi rack 12

5.3 Lavori di posa in opera della fornitura 13

5.4 Lavori di realizzazione di opere accessorie alla fornitura 13

6 FORNITURA IN OPERA DI APPARATI DI RETE 14

7 FORNITURA IN OPERA DI APPARATI DI NEXT GENERATION FIREWALL 15

7.1 Funzionalità di base 16

7.1.1 Alta Affidabilità (HA) 16

7.1.2 Virtualizzazione 17

7.1.3 Stateful inspection 17

7.1.4 Network Address Traslation 17

7.1.5 Routing 17

7.1.6 Virtual Private Network 17

7.1.7 Quality of Service 18

7.1.8 SSL Inspection 18

7.1.9 Application Control 18

7.1.10 User identification 18

7.2 Funzionalità evolute 18

7.2.1 Antivirus 18

7.2.2 Intrusion Prevention System 18

7.2.3 AntiMalware 19

7.2.4 URL Filtering 19

7.3 Funzionalità di gestione 19

7.3.1 Autenticazione 19

7.3.2 Monitoraggio e Logging 20

7.3.3 Management 20

7.3.4 Ulteriori Requisiti premianti 20

7.4 Performance ed equipaggiamento 20

7.5 Sistema di gestione 22

8 FORNITURA IN OPERA DI BILANCIATORI DI CARICO 24

8.1 Sistema di gestione 26

9 FORNITURA IN OPERA DI UNA PIATTAFORMA PER IL CONTROLLO DEGLI ACCESSI 27

10 CERTIFICAZIONI E CONFORMITÀ 28

11 SERVIZI 29

11.1 Progettazione 29

11.1.1 HLD 29

11.1.2 LLD 30

11.2 Consegna 30

11.3 Disinstallazione apparati esistenti e Installazione, migrazione e configurazione dei nuovi apparati e sistemi previsti in fornitura 30

11.3.1 Figure professionali impiegate 31

11.4 Manutenzione 31

11.4.1 Gestione e manutenzione dei sistemi 32

11.4.2 Manutenzione hardware e software 32

11.4.3 Modalità di esecuzione 33

11.5 Supporto specialistico 33

11.6 Reportistica sui servizi di assistenza 34

11.7 Corsi di Formazione 35

12 TEMPISTICHE E LIVELLI DI SERVIZIO 36

13 VERIFICA DI CONFORMITÀ 40

14 CRITERIO DI AGGIUDICAZIONE 40

14.1 Valutazione dell’offerta tecnica 41

14.2 Valutazione dell’offerta economica 48

15 MODALITÀ DI PRESENTAZIONE DELL’OFFERTA 49

15.1 Offerta Tecnica 49

15.2 Offerta Economica 50

Indice delle Tabelle

Tabella 1 - Sigle e acronimi 4

Tabella 3 - Indicatore di qualità relativo al Personale inadeguato 37

Tabella 4 – indicatore di qualità relativo alla Formazione 38

Tabella 5 - Tempistiche e livelli di servizio 39

Tabella 6 - Parametri e Punteggi offerta tecnica 48

Tabella 7 – Presentazione offerta economica 51

1 PREMESSA

Il presente lotto definisce gli aspetti tecnici della fornitura di sistemi hardware e software e dei relativi servizi necessari per l’aggiornamento dell’infrastruttura di sicurezza del CED della Divisione N.S.I.S. incardinata nel Servizio per il Sistema Informativo Interforze del Dipartimento della Pubblica Sicurezza.

La fornitura prevede l’acquisizione di apparati di rete, di Next Generation Firewall, di bilanciatori di carico, di un sistema di gestione centralizzato per i Next Generation Firewall e di un sistema di gestione centralizzato per i bilanciatori di carico e dei relativi servizi di installazione, configurazione, manutenzione. Inoltre, dovrà essere erogato un periodo di formazione del personale dell’Amministrazione per poter mettere in condizioni gli amministratori del sistema di essere autonomi nella gestione quotidiana dell’infrastruttura.

Nel seguente capitolato i capoversi indicati da un numero con il prefisso "O" ed evidenziati in grassetto identificano i requisiti obbligatori; mentre i capoversi indicati da un numero con il prefisso "R" ed evidenziati in grassetto identificano i requisiti premianti. Ad ogni modo, l’impiego dei termini “deve” o “dovrà” indica requisiti obbligatori ai quali all’Offerente deve rispondere in maniera puntuale ed esaustiva.

1.1 Sigle e acronimi

Nell'ambito del presente Capitolato Tecnico sono stati usati i seguenti acronimi:

ACRONIMO	DESCRIZIONE
AS	AntiSpyware
AV	AntiVirus
AM	AntiMalware
DNS	Domain Name System
FTP	File Transfer Protocol
FW	Firewall
HLD	High Level Design
HTTP	HyperText Transfer Protocol
IPS	Intrusion Prevention System
LdS	Livello/i di Servizio
LLD	Low Level Design
NAT	Network Address Traslation
NGFW	Next Generation Firewall
QoS	Quality of Service
RDP	Remote Desktop Protocol
RTI	Raggruppamento Temporaneo di Impresa
SAL	Stato Avanzamento Lavori
SMB	Server Message Block
SMTP	Simple Mail Transfer Protocol
SSH	Secure Shell
SSL	Secure Sockets Layer
TCP	Transmission Control Protocol
UDP	User Datagram Protocol
URL	Uniform Resource Locator
VPN	Virtual Private Network

Tabella 1 - Sigle e acronimi

1.2 Definizioni

Nel corpo del presente documento i termini e le espressioni di seguito indicati devono essere interpretati secondo le seguenti definizioni:

− Fornitore: l’Impresa aggiudicataria della gara, eventualmente mandataria di un RTI;

− Manutenzione: l’insieme delle operazioni volte a mantenere in efficienza e/o ripristinare la piena funzionalità dei sistemi richiesti nel Capitolato Tecnico;

− Guasto bloccante: Si intende per guasto bloccante un malfunzionamento per cui è impedito l'uso di tutto il sistema o di una o più funzioni essenziali.

− Guasto non bloccante: Si intende per guasto non bloccante un malfunzionamento per cui è impedito l'uso di funzionalità non essenziali o critiche del sistema in alcune condizioni per cui non si ha un effetto penalizzante sull'operatività degli utenti.

− Incidente: evento che non è parte delle operazioni standard di un servizio, e che causa, o potrebbe causare, un interruzione o una riduzione della qualità del servizio stesso

− Malfunzionamento: è un impedimento all’esecuzione dell’applicazione /funzione o gli effetti che un errore ha causato o il riscontro di differenze fra l’effettivo funzionamento dell’hardware/software applicativo e quello atteso, come previsto dalla relativa documentazione.

2 OGGETTO DELLA FORNITURA

L’oggetto della fornitura è rappresentato dal complesso degli apparati, dei servizi e delle attività come descritti nel presente capitolato:

- Realizzazione di un cablaggio strutturato per garantire collegamenti in fibra ottica tra il Sito Primario, il Sito Secondario e la Palazzina di Core di Campus, dove sono installati gli apparati, ed eventuali opere accessorie alla fornitura per consentire la corretta installazione di tutti gli apparati e sistemi previsti in fornitura, come descritto nel capitolo 5;

- Fornitura in opera di apparati di rete per il sistema NSIS, come descritto nel capitolo 6;

- Fornitura in opera di una coppia di apparati Next Generation Firewall, come descritto nel capitolo 7;

- Fornitura in opera di una coppia di bilanciatori di carico, come descritto nel capitolo 8;

- Fornitura di un sistema di gestione centralizzato per gli apparati di Next Generation Firewall richiesti in fornitura, come descritto nel paragrafo 7.5;

- Fornitura di un sistema di gestione centralizzato per tutti i Bilanciatori di carico previsti in fornitura, come descritto nel paragrafo 8.1;

- Fornitura di una piattaforma per il controllo degli accessi di tutti gli apparati di rete esistenti e di nuova fornitura, come descritto nel paragrafo 9;

- Realizzazione di tutti i collegamenti tra gli apparati e dell’architettura di rete indicata nel paragrafo 4.2;

- Attività di progettazione per garantire il funzionamento corretto dell’intero sistema con l’individuazione e la fornitura in opera di tutte le necessarie interfacce ottiche della tipologia adeguata e di tutto quanto necessario per la realizzazione delle architettura di rete indicata del presente capitolato;

- Attività di disinstallazione degli apparati esistenti e attività di installazione di tutti gli apparati e sistemi previsti in fornitura;

- Attività di migrazione e configurazione;

- Servizio di manutenzione su tutti gli apparati e sistemi previsti in fornitura, compreso il servizio di manutenzione sul cablaggio strutturato, per una durata di almeno 36 mesi;

- Supporto specialistico;

- Formazione come descritto nel paragrafo 11.7.

La fornitura dovrà conformarsi ai requisiti di base di seguito indicati:

- tutti i componenti dovranno soddisfare i requisiti minimi riportati nel presente capitolato e presentare caratteristiche tecniche non inferiori a quanto riportato nel presente documento;

- i componenti, laddove di pertinenza, dovranno essere forniti secondo le quantità, indicate nel presente capitolato tecnico;

- alla data di presentazione dell’offerta, nessuna delle componenti hardware e software della soluzione proposta in fornitura può essere stata dichiarata in End of Life e/o in End of Support dal produttore;

- il fornitore deve garantire che tutti gli apparati, materiali e sistemi proposti in fornitura abbiano il pieno supporto da parte del produttore di tutte le parti hardware e software e dei sistemi operativi per almeno 5 anni dalla data di esito positivo delle verifiche di conformità;

- l’infrastruttura di sicurezza nel suo complesso ed i servizi ad essa correlati dovranno rispettare le normative vigenti in materia di sicurezza dell’informazione, di privacy, emissioni elettromagnetiche e sicurezza sul lavoro specificati nel capitolo 10.

Il fornitore dovrà individuare un Responsabile unico della Fornitura, che costituirà il singolo punto di contatto nei confronti dell’Amministrazione. Il Responsabile della Fornitura dovrà coordinare tutte le attività e produrre resoconti periodici, che saranno presentati durante i SAL di progetto.

Per ciascun prodotto il fornitore fornirà una copia della manualistica tecnica completa, edita dal produttore; la documentazione dovrà essere in lingua italiana, oppure, se non prevista, in lingua inglese.

Il Fornitore e i produttori degli apparati e sistemi in fornitura, attraverso il progetto esecutivo composto dal progetto di alto (HLD) e basso livello (LLD), dovranno garantire l’interoperabilità e la compatibilità di tutti i sistemi che costituiscono la soluzione proposta e l’integrazione con l’ambiente esistente.

2.1 Sedi

Le attività saranno svolte presso il CED della Divisione N.S.I.S. incardinata nel Sistema Informativo Interforze della Polizia di Stato, sito in xxx xx Xxxxx xx Xxxxxxxx 0, Xxxx, secondo le modalità indicate nel presente documento.

3 SOPRALLUOGHI

Al fine di prendere visione dell’architettura di rete esistente, dello stato dei luoghi, della possibilità di utilizzare canaline esistenti ai fini della realizzazione del cablaggio strutturato, l’Offerente dovrà effettuare dei sopralluoghi obbligatori presso i siti interessati dall’appalto in modo da presentare un’offerta tecnica coerente rispetto alle effettive esigenze dell’Amministrazione.

Le date e le modalità di tali sopralluoghi saranno indicati nel disciplinare di gara.

Al termine del sopralluogo, il funzionario incaricato dall’Amministrazione, rilascerà una copia della certificazione attestante l’avvenuto sopralluogo.

La mancata esecuzione dei sopralluoghi solleva l’Amministrazione da ogni responsabilità, qualora dovessero insorgere problematiche derivanti dalla mancata visione dei luoghi e dell’architettura di rete esistente.

4 INFRASTRUTTURA DI RETE

Nel presente capitolo sono riportate le architetture di rete esistenti e da realizzare per il CED della Divisione N.S.I.S..

La soluzione proposta dal fornitore deve essere composta da apparati di rete, una coppia di apparati Next Generation Firewall, una coppia di bilanciatori di carico da installare e configurare presso il CED primario e secondario della Divisione N.S.I.S. incardinata nel Sistema Informativo Interforze della Polizia di Stato. Devono essere previste attività di migrazione dei dati dagli apparati esistenti agli apparati di nuova fornitura.

4.1 Architettura di rete esistente

In “Allegato 1- architettura di rete esistente” si riporta l’architettura di rete esistente del sito Primario (Palazzina B) per il National Schengen Information System (N.S.I.S.). Gli apparati sono distribuiti nelle sale CED che costituiscono il Data Center.

4.2 Architettura di rete da realizzare

In “Allegato 2- architettura di rete da realizzare” si riporta l’architettura di rete da realizzare per il National Schengen Information System (N.S.I.S.). Gli apparati sono distribuiti nelle due sale CED che costituiscono il Data Center, di cui un sito Primario (Palazzina B) e un Sito Secondario (Palazzina A).

5 CABLAGGIO STRUTTURATO

O1[obbligatorio] Ai fini di realizzare l’architettura di rete indicata nel paragrafo 4.2, il Fornitore deve provvedere alla realizzazione del cablaggio tra le Palazzine A (Sito Secondario) e Palazzina B (Sito Primario) presso il CED della Divisione N.S.I.S. del Sistema Informativo Interforze della Polizia di Stato e alla realizzazione del collegamento in fibra ottica tra entrambe le palazzine e la Palazzina A di Core di Campus.

È richiesta la certificazione di conformità del cablaggio strutturato. Il fornitore potrà utilizzare laddove possibile le canaline esistenti. Laddove questo non sarà possibile sarà cura del fornitore provvedere alla realizzazione di nuove canaline. Qualora sia necessario realizzare nuove canaline, i cavi ottici dovranno essere di opportune dimensioni in modo da contenere il numero minimo di coppie di fibre ottiche richieste.

Devono essere a carico del Fornitore gli accessori di fissaggio e ogni altro onere ed accessorio per la realizzazione del cablaggio strutturato.

In particolare deve essere realizzato:

• Un collegamento in fibra ottica tra Palazzina ‘A’(piano terra) e Palazzina ‘B piano -1’; deve essere previsto:

o La fornitura in opera di n° 2 Patch Pannel (nr.1 in Palazzina ‘A’ e nr.1 in Palazzina ‘B piano -1’);

o Fornitura e posa in opera di nr. 18 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per il collegamento in fibra ottica tra la Palazzina “A” e la Palazzina “B piano -1” per una lunghezza di circa 297 metri; è richiesta la certificazione dei cavi per consentire l’utilizzo di una banda di trasferimento di 40Gbps;

• Un Collegamento in fibra ottica tra la Palazzina ‘B piano -1’ e la Palazzina ‘B piano 4°’ (Uffici Divisione N.SIS); deve essere previsto:

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

o Fornitura in opera di n.2 Patch Pannel (nr.1 in Palazzina ‘B piano -1’ ed nr.1 in Palazzina ‘B piano 4°’);

o Fornitura e posa in opera di nr. 6 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per il collegamento tra il data-center della Palazzina “B piano -1” e la sala server in Palazzina ‘B al piano 4°, per una lunghezza del collegamento pari a circa 297 metri; è richiesta la certificazione dei cavi per consentire l’utilizzo di una banda di trasferimento di 40Gbps.

• Un collegamento in fibra ottica tra la Palazzina B (piano -1) e la Palazzina A di Core di Campus (piano terra); deve essere previsto:

o Fornitura in opera dei Patch Pannel necessari nella Palazzina A di Core di Campus;

o Fornitura e posa in opera di nr. 18 coppie in fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per il collegamento tra il data-center della Palazzina “B piano -1” e la Palazzina ‘A Core di Campus”, per una lunghezza del collegamento pari a circa 297 metri; è richiesta la certificazione dei cavi per consentire l’utilizzo di una banda di trasferimento di 40Gbps.

• Un collegamento in fibra ottica tra la Palazzina A (piano terra) e la Palazzina A di Core di Campus (piano terra); deve essere previsto:

o Fornitura in opera dei Patch Pannel necessari;

o Fornitura e posa in opera di nr. 18 coppie in fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per il collegamento tra il data-center della Palazzina “A e la Palazzina ‘A Core di Campus”, per una lunghezza del collegamento pari a circa 297 metri; è richiesta la certificazione dei cavi per consentire l’utilizzo di una banda di trasferimento di 40Gbps.

⮚ In fase di sopralluogo, il fornitore deve verificare le lunghezze effettive dei collegamenti sopra indicati, in modo da fornire la fibra ottica più appropriata per garantire le bande di trasferimento richieste.

⮚ Si fa presente che il Fornitore deve progettare e dimensionare correttamente l’intero sistema e farsi carico di fornire in opera, in ciascun apparato in fornitura (sia negli apparati di rete di cui al paragrafo 6, sia negli apparati di next generation firewall di cui al paragrafo 7), tutte le opportune e necessarie interfacce ottiche della tipologia adeguata (anche se di tipologia diversa rispetto a quella richiesta nel presente capitolato, quale ad esempio LX piuttosto che SX o “Long Range” piuttosto che “Short range”), in funzione delle fibre ottiche utilizzate nel cablaggio strutturato (monomodali o multimodali), ai fini di garantire la realizzazione dell’architettura di rete indicata nel paragrafo 4.2 e ai fini di garantire la compatibilità con le fibre ottiche utilizzate ed il corretto funzionamento del sistema.

O2[obbligatorio] Deve essere previsto in offerta:

• Cablaggio in fibra ottica per assicurare tutti i collegamenti sopra indicati, come descritto nel paragrafo 5.1;

• Fornitura in opera di xxxxxx xxxx, come descritto nel paragrafo 5.2;

• Lavori di posa in opera della fornitura, come descritto nel paragrafo 5.3;

• Lavori di realizzazione di opere accessorie, come descritto nel paragrafo 5.4, con l’adeguamento dell’impianto elettrico esistente, laddove necessario, per assicurare la corretta installazione di tutti gli apparati e sistemi richiesti in fornitura;

• Fornitura in fase esecutiva del contratto di tutta la documentazione con lo schema e i dettagli del cablaggio strutturato realizzato e la certificazione di conformità dello stesso.

Tutte le forniture e le attività relative alla predisposizione ed alla realizzazione/integrazione dell’infrastruttura di rete, dovranno essere svolte in modo conforme alla normativa tecnica di riferimento, ed in particolare alle norme e agli standard internazionali che stanno alla base

dell'impiantistica di reti per la trasmissione dati, e cioè le ANSI/EIA/TIA 568, ISO/IEC 11801, EN 50173 e/o loro successive evoluzioni o integrazioni, a cui l'infrastruttura dovrà essere conforme.

O3[obbligatorio]. Il cablaggio strutturato dell’intera infrastruttura dovrà essere terminato e completato entro il termine massimo previsto nel paragrafo 12.

5.1 Cablaggio in fibra ottica

In funzione della velocità di trasmissione richiesta e della lunghezza effettiva dei collegamenti e di quanto sopra indicato, il Fornitore dovrà fornire in opera Fibre Ottiche di tipo:

• Multimodale (50/125) MMF almeno di tipo OM4 o superiore

• Oppure monomodale (9/125) SMF di tipo OS2

Di seguito i requisiti minimi richiesti:

• il cablaggio in fibra deve essere conforme allo standard ISO/IEC 11801‐2

• tutti i cavi in fibra, trunk, bretelle, connettori, patch panel, frutti, cassetti e accessori dovranno

essere dello stesso produttore

• tutti i cavi in fibra devono essere di tipo loose con rinforzi in fibre aramidiche

• tutti i cavi in fibra offerti devono essere dotati di guaina LSZH (conforme allo standard IEC 60332‐1)

• tutti i cavi in fibra devono prevedere una protezione antiroditore e devono mantenere

l'integrità dei circuiti in caso di incendio

• Deve essere previsto l’uso di cavi con caratteristiche di:

o Resistenza al fuoco

o Non propagazione della fiamma – richiesta per evitare che la combustione dei cavi si propaghi soprattutto verticalmente nell’edificio;

o Bassa emissione di fumi e zero gas alogenidrici – questa caratteristica è richiesta al materiale con cui vengono realizzate le guaine esterne dei cavi, che devono essere marcate LSZH (Low Smoke Zero Halogen), in conformità alle norme per l’emissione di fumi CEI 20-37, IEC 61034 e IEC 60754

• Durante la manipolazione e la posa dovranno essere evitate brusche piegature, ammaccature, abrasioni, ecc.; non sono ammesse giunzioni all’interno della pezzatura.

• Una adeguata scorta di cavo deve essere lasciata per ogni tratta posata. La scorta di cavo dovrà essere opportunamente sistemata e dovrà essere opportunamente protetta.

• Nel cablaggio, i cavi di interconnessione devono essere alloggiati in canaline predisposte in maniera da escludere raccordi di curvatura o percorsi con curvatura tanto spinta da rendere disagevole il passaggio dei cavi sia in fase di installazione che per i successivi interventi di manutenzione e di ampliamento.

• I cavi dovranno essere connettorizzati ed attestati alle rispettive prese e pannelli di permutazione di pertinenza; dovranno essere posati nelle eventuali canalizzazioni di distribuzione dedicate che verranno implementate, all’interno dei locali, fino all’armadio di attestazione.

• All’interno dell’armadio i cavi devono essere ospitati nelle apposite canaline passacavi installate ai montanti del rack, provvedendo inoltre a dividerli a gruppi, fino a raggiungere il permutatore di attestazione. In fase di raggruppamento dei cavi, si dovrà avere particolare cura a non fascettarli in modo stretto, per non incorrere nelle problematiche di degradamento.

• I permutatori dovranno essere alloggiati all’interno dell’armadio rack 19”, dovranno avere una struttura modulare, altezza pari ad una unità Rack (1U) o 2U e larghezza di 19”. Dovrà essere previsto un modulo permutatore distinto per ogni cavo attestato, in modo da individuare

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

univocamente la tratta di cavo da asservire. Sulla parte frontale, in corrispondenza di ogni connettore dovrà essere posizionata un’etichetta identificativa della fibra connettorizzata. La dicitura riportata sull’etichetta dovrà identificare i due punti di attestazione del cavo. La stessa dicitura dovrà essere riportata anche ai due estremi del cavo. A corredo di ogni modulo permutatore ottico dovrà essere presente un pannello guida permute e le bretelle necessarie e adatte all’attestazione dei cavi agli apparati, secondo la configurazione di progetto effettuata. I pannelli di permuta devono consentire l’alloggiamento del numero minimo di connettori per il collegamento di tutte le fibre ottiche sopra indicate, gli alloggiamenti non utilizzati devono essere chiusi da coperchio rimovibile; inoltre i pannelli di permuta devono possedere un alloggiamento per cavo di scorta. I patch cord in fibra ottica destinati alla permutazione in armadio devono avere guaina esterna di tipo LSZH. I connettori per fibra ottica da installare sui relativi pannelli di permuta devono essere del tipo Duplex e devono avere caratteristiche tecniche e fisiche compatibili con le fibre sopra indicate.

• Ogni tratta di cavo dovrà essere attestata su pannelli di permutazione che ne consentiranno il collegamento, tramite bretelle, ad altre tratte di cavo o ad apparati attivi.

• Allo scopo di avere un chiaro quadro dell’impianto si richiede che vengano prodotte, tra la documentazione tecnica di impianto, le tabelle di permutazione.

• I sistemi offerti devono possedere la “Garanzia di Componente” gratuita, per una durata non inferiore ai 20 anni dalla data di installazione, emessa direttamente del produttore dei componenti di cablaggio, comprensiva della fornitura in sostituzione gratuita di componenti difettosi e dei costi di manodopera necessari al ripristino della piena funzionalità della rete.

Di seguito i parametri standard di riferimento dei cavi in fibra:

Cavi in fibra ottica multimodale - Fibra ottica 50/125 micron OM4:

• Attenuazione @850nm (dB/km): 3,5

• Attenuazione@1300nm (dB/km): 1,5

• Banda@850nm (MHz*Km): 3500

• Banda@1300nm (MHz*Km): 500

• Banda EMB@850nm (MHz*km): 4700

Cavi in fibra ottica monomodale - Fibra ottica 9/125 micron OS2:

• Attenuazione@1300nm (dB/km): 0,5

• Attenuazione@1550nm (dB/km): 0,4

• Dispersione cromatica@1310 nm (ps/nm*Km): 3,5

• Dispersione cromatica@1550 nm (ps/nm*Km):20,0

Deve essere prevista:

• la fornitura e posa in opera di cassetti ottici, ove necessario, per la terminazione dei cavi da montare in armadi rack da 19”, inclusi adattatori, piastre di giunzione, piastre di chiusura fori non utilizzati;

• la fornitura in opera di bretelle ottiche per la connessione delle fibre ottiche posate alle apparecchiature in esercizio e di quelli previste in fornitura con il presente capitolato di tipo LC/LC;

• la fornitura in opera di pannelli di permutazione (patch panel) distinti per tipologia di attestazione di cavo in fibra ottica. Questi pannelli sono composti da un contenitore di spessore e larghezza adeguata per la corretta installazione negli armadi forniti predisposti per gli adattatori ST, SC o LC. I pannelli saranno utilizzati per la commutazione e l’attestazione delle fibre ottiche e dovranno contenere un numero adeguato di connettori passanti dotati di etichette riscrivibili per l’identificazione delle porte. Il patch panel di permutazione dovrà avere le seguenti caratteristiche minimali:

o Equipaggiabile con almeno 48 posizioni

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

o Comprensivo di sistemi di fissaggio dei cavi e di connessione a terra diretta dei connettori all’interno del pannello

o Utilizzo del numero di connettori necessari;

• la fornitura delle patch cord di permutazione lato armadio e collegamento con gli apparati di rete;

• la fornitura in opera di quanto altro necessario per la perfetta realizzazione e posa in opera del cablaggio strutturato.

Nella certificazione del sistema dovranno essere usate le metodologie e le indicazioni previste dalle Normative vigenti e dagli Standard in essere. Di ogni misura effettuata dovrà essere rilasciata la relativa stampa fornita dallo strumento utilizzato o valore riscontrato dall’Operatore. Quanto sopra dovrà essere effettuato per ogni singola tratta.

5.2 Fornitura in opera armadi rack

Qualora gli armadi rack non siano già presenti o comunque quelli presenti non siano in grado di ospitare tutti i materiali necessari per il cablaggio strutturato e per alloggiare gli apparati in fornitura, deve essere prevista la fornitura in opera di Armadi rack 19” in ogni piano sprovvisto, completo di accessori (cable organizer, striscia alimentazione, patch panel). Le caratteristiche di riferimento dell’armadio da impiegare nel piano sono di seguito indicate:

• tutti gli armadi rack dovranno essere dello stesso produttore;

• realizzati in conformità alle norme IEC 297‐2 e le DIN 41494 parte 1 per il montaggio di apparati elettrici ed elettronici, e la DIN 41488 per le dimensioni esterne ed EIA 310 per le caratteristiche generali;

• struttura portante in acciaio, costituita da profilati verticali di spessore adeguato;

• doppio montante anteriore e posteriore a multipli di 1U, con posizione regolabile in modo da garantire una distanza adeguata tra i pannelli di distribuzione e la porta anteriore;

• trattamento contro l’ossidazione con verniciatura e polvere epossidica;

• copertura laterale e posteriore realizzata con pannelli in lamiera del tipo rimovibile;

• porta anteriore con foratura a rete magliata fissata alla struttura con almeno tre cerniere, serratura maniglia e chiavi;

• adeguate feritoie di aerazione;

• base di messa a terra per la connessione permanente al conduttore di massa delle parti dell’armadio;

• canaline di passaggio dei cavi di alimentazione, di collegamento e di permuta, con dimensioni tali da garantire la raccolta ordinata di tutti i cavi;

• guide patch orizzontale di altezza 1U;

• gruppo di ventilazione forzata sulla parte superiore adeguatamente dimensionato in funzione degli apparati attivi che verranno alloggiati e dell’ambiente dove verrà installato l’armadio;

• pareti asportabili;

• anelli passacavi verticali;

• completo di telaio 19” ;

• altezza minima 42U;

• fornitura in opera delle necessarie striscie d'alimentazione per la corretta installazione del cablaggio strutturato e di tutti gli apparati e materiali previsti in fornitura da alloggiare nell’armadio in questione, comprensive delle prese idonee per gli apparati e materiali da installare e interruttore bipolare magnetotermico, quale sezionatore unico di tutti gli apparati asserviti;

• Il dimensionamento degli armadi di piano viene lasciato alla perizia dell’installatore che dovrà attenersi alle normative in materia di cablaggio strutturato (standard EIA/TIA 568 e ISO/IEC IS 11801.

Si precisa che il montaggio, l’installazione e l’opera di allacciamento e di alimentazione di ogni rack sono a cura dell’Aggiudicatario che, a suo totale carico, dovrà predisporre la messa a terra degli apparati, in rispondenza alle norme contenute nel DM n.37 2008 per quanto in esso riportato nello specifico.

L’Aggiudicatario dovrà concordare con l’Amministrazione e definire il numero e posizione degli armadi, nei locali appositamente individuati.

5.3 Lavori di posa in opera della fornitura

Devono essere previsti lavori di posa in opera della fornitura relativa a:

• cavi in fibra;

• eventuali prese e scatole laddove necessarie;

• patch panel e accessori in fibra ottica.

Tale attività include tutto quello che è necessario, compresi i materiali, per la posa in opera della fornitura di cui sopra.

Tra tali opere si riporta a titolo puramente esemplificativo:

• attestazioni di qualsiasi tipo, includenti i connettori ottici;

• fornitura e posa di torrette di attestazione per cablaggio in fibra;

• posa di canalizzazioni, sia verticali che per corridoi o per stanze incluso il relativo materiale (tubi, canaline ecc.). Questi lavori comprendono l’apertura e la chiusura di pannelli rimovibili per controsoffitti e pavimenti flottanti, laddove necessari, dopo aver introdotto le nuove canalizzazioni;

• fornitura e posa di strisce/pannelli di permutazione;

• ripristino della qualità e dell’aspetto delle strutture alla situazione pre‐lavori;

• quant’altro necessario per il completamento del cablaggio strutturato.

Sono a carico dell’Aggiudicatario gli oneri relativi all’utilizzo di tutte le dotazioni di cui l’impresa specializzata necessita nell’esecuzione delle attività di realizzazione degli impianti e comprendono altresì l’eventuale uso dei ponteggi, trabattelli o scale. Sono a carico dell’Aggiudicatario i costi relativi alla sicurezza dei dipendenti e delle persone che si trovano presso la sede dell’Amministrazione. Devono essere effettuate tutte le verifiche previste dalle vigenti normative di settore, l’effettuazione delle verifiche funzionali, la garanzia e i disegni finali esecutivi.

Le opere di cui al presente paragrafo dovranno avvenire nel pieno rispetto dello standard ISO/IEC 11801 e pertinenti estensioni.

Lo svolgimento delle attività di realizzazione del cablaggio deve necessariamente avvenire senza recare pregiudizio alle normali attività lavorative degli uffici. Resta inteso che tutte le modalità di esecuzione dei lavori (durata, orari, …) andranno concordate precedentemente con l’Amministrazione.

È a carico dell’Aggiudicatario eseguire anche la certificazione di tutti i cavi e le terminazioni del sistema di cablaggio.

Ogni componente del cablaggio che risulti erroneamente installato (quali cavi, connettori, accoppiatori, pannelli e blocchetti) dovrà essere sostituito senza alcun aggravio per l’Amministrazione, neanche di natura economica.

5.4 Lavori di realizzazione di opere accessorie alla fornitura

Contestualmente ai lavori di posa in opera della fornitura, il Fornitore, dovrà prevedere la possibilità di realizzare opere accessorie alla fornitura stessa, quali ad esempio:

• realizzazione di pannellature contro soffitto, laddove necessarie;

• realizzazione di pavimenti flottanti nei locali dove verranno installati gli apparati attivi o gli armadi a rack, laddove necessario;

• l’adeguamento dell’impianto elettrico solo ed esclusivamente quando questo si intenda mirato a soddisfare le esigenze della fornitura elettrica per la corretta installazione di tutti gli apparati previsti in fornitura e del cablaggio struturato. Sono compresi in tale servizio lavori quali:

o prese;

o scatole;

o placche;

o cavi;

o canalizzazioni;

o QEG (quadro elettrico generale), opportunamente dimensionato sulla base delle potenze nominali delle apparecchiature da alimentare;

o quant’altro sia necessario per rendere l’architettura di rete da realizzare pienamente operativa.

6 FORNITURA IN OPERA DI APPARATI DI RETE

O4[obbligatorio] Deve essere prevista la fornitura in opera dei seguenti core switch:

• Nr. 2 core switch, in sostituzione dell’attuale cluster composto da nr.2 Cisco catalyst modello 6513, di cui uno da installare presso il sito Primario (Palazzina B) e uno da installare presso il sito Secondario (Palazzina A), secondo lo schema architetturale riportato nel paragrafo 4.2. Ciascuno dei nr. 2 apparati deve essere dotato delle seguenti caratteristiche e interfacce minime:

o Alimentazione ridondata

o Doppia supervisor

o Performances: capacità di backplane di almeno 15 Tbps

o throughput per line card slot di almeno 3,8 Tbps

o dimensioni in termini di rack unit: almeno 7 RU e al massimo 10 RU

o Numero di VLAN: almeno 4000

o Massimo numero di MAC address entries: almeno 40.000

o Numero di multicast routes: almeno 32.000

o Massimo numero di istanze di Virtual Routing e Forwarding (VRF): almeno 1000

o Massimo numero di tunnel endpoints (VTEP) e VXLAN physical servers (per VLAN): almeno 10.000

o Protocolli supportati: protocolli L2, OSPF, BGP, VXLAN, IGMP

o Almeno 28 porte a 10 GbE in fibra ottica, equipaggiate con le rispettive interfacce ottiche a 10 GbE di tipo Short Range

o Almeno 48 porte da 1 GbE in rame

o Almeno 8 porte da 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE- SR (Short Range)

o Espandibilità di ciascun apparato per supportare almeno ulteriori 10 porte a 10 GbE e almeno ulteriori 10 porte a 40 GbE rispetto al numero di porte sopra indicato, per possibili esigenze future.

o Gli apparati dovranno avere larghezza adatta a rack standard 19”.

o Il Fornitore deve progettare e dimensionare correttamente l’intero sistema e provvedere alla fornitura in opera di tutte le opportune e necessarie interfacce ottiche della tipologia adeguata (anche se di tipologia diversa rispetto a quella sopra indicata, quale ad esempio “Long Range” piuttosto che “Short range”) per poter realizzare l’architettura di rete indicata nel paragrafo 4.2. e per garantire il corretto

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

funzionamento e la compatibilità del sistema, anche in funzione delle fibre ottiche che il Fornitore utilizzerà nel cablaggio strutturato.

O5[obbligatorio] Gli apparati di rete in fornitura dovranno essere interconnessi e dovranno cooperare con apparati e componentistiche di rete esistenti (indicate nel paragrafo 4.1) non tutte interessate all’aggiornamento tecnologico in argomento. Di seguito si riportano le componenti di maggior rilievo dell’architettura esistente:

• ACS Cisco 1113, per l’autenticazione;

• switch Cisco 3750 (Top of the rack);

• Cisco Catalyst 4500 (switch 4° piano – V Divisione N-SIS).

7 FORNITURA IN OPERA DI APPARATI DI NEXT GENERATION FIREWALL

O6[obbligatorio] Per il National Schengen Information System (NSIS) deve essere prevista la fornitura in opera di una coppia di Next Generation Firewall di accesso verso le altri reti, di cui uno da installare nel sito Primario (palazzina B) e uno da installare nel sito Secondario (Palazzina A), in configurazione di alta affidabilità. In particolare, la coppia di Next Generation Firewall per il National Schengen Information System (NSIS) deve essere dotata delle seguenti funzionalità:

o le funzionalità di base descritte nel paragrafo 7.1,

o le funzionalità evolute descritte nel paragrafo 7.2,

o le funzionalità di gestione descritte nel paragrafo 7.3,

o le caratteristiche e le performance come descritto nel paragrafo 7.4,

o sistema di gestione come descritto nel paragrafo 7.5;

o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti precedenti e l’aggiornamento delle firme di tutte le licenze in questione per tutta la durata contrattuale ovvero per almeno 36 mesi a partire dalla data di comunicazione di approntamento al collaudo; inoltre deve essere garantito il servizio di assistenza su tutti gli apparati e licenze per almeno 36 mesi a partire dall’esito posito delle verifiche di conformità.

O7[obbligatorio] Tutte le funzionalità richieste devono essere presenti su ognuno degli apparati proposti. Si precisa che tutti gli apparati di Next Generation Firewall previsti in fornitura, dovranno disporre delle funzionalità base ed evolute descritte nei paragrafi 7.1 e 7.2, senza necessità di utilizzare alcun modulo software o hardware aggiuntivo o ulteriore apparato esterno.

O8[obbligatorio]Tali apparati dovranno essere basati su macchine fisiche con hardware dedicato (non sarà possibile proporre apparati su macchine virtuali) e il piano di inoltro del traffico dovrà essere costituito da hardware dedicato (es. CPU, ASIC, FPGA).

O9[obbligatorio]Gli apparati devono essere dotati di almeno un disco di tipo SSD. O10[obbligatorio]Gli apparati devono avere alimentazione e ventole di raffreddamento ridondate ed estraibili a caldo, inoltre devono poter operare a temperature tra 10° e 40°C con un tasso di umidità compreso tra 20% e 70%.

O11[obbligatorio]Gli apparati dovranno avere larghezza adatta a rack standard 19”.

Nei paragrafi di seguito si descrivono le funzionalità di base, quelle evolute, e le funzionalità di gestione per ciascuno degli apparati in fornitura.

Inoltre i Vendor degli apparati di Next Generation Firewall devono apparire tra i Leaders nel Magic Quadrant pubblicato da Gartner nel 2018 relativamente alla categoria degli Enterprise Network Firewalls.

7.1 Funzionalità di base

O12[obbligatorio]Il Sistema Operativo degli apparati oggetto della fornitura dovrà essere basato su un’architettura software proprietaria, opportunamente progettata.

Gli apparati dovranno garantire le seguenti modalità di funzionamento:

- Livello 2 (trasparente): due interfacce, entrambe configurate per operare senza indirizzo IP, sono definite una di ingresso e l’altra di uscita. Il forwarding sarà effettuato inoltrando sull'interfaccia fisica di uscita ciò che viene ricevuto dall’interfaccia fisica di ingresso, previa verifica delle politiche di sicurezza;

- Livello 3: l’interfaccia è configurata per operare con indirizzo IP. Il forwarding sarà basato su modalità di inoltro al livello 3 della pila ISO/OSI (routing);

- Tutte modalità di funzionamento base di ciascun apparato di Next Generation Firewall, ovvero “Livello 2-Trasparente”, “Livello 3”, devono poter essere configurate contemporaneamente sull’apparato, su interfacce differenti, senza necessità di utilizzo/creazione di diverse partizioni amministrative e/o contesti virtuali distinti per ognuna delle modalità sopra citate.

O13[obbligatorio] Tutti gli apparati di Next Generation Firewall dovranno garantire contemporaneamente le funzionalità base del Next Generation Firewall, IPSec VPN, SSL VPN, Virtualizzazione, NAT, Routing, Quality of Service, SSL Ispection, Application Controll, User Identification, descritte nei paragrafi di seguito.

R1[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 14.1, qualora tutte le modifiche alla configurazione effettuate e salvate non siano immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì qualora sia disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica.

R2[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 14.1, qualora gli apparati di Next Generation Firewall abbiano risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato

• Esecuzione di operazioni di ripristino (reboot del sistema o restart di servizi)

• Supporto una CLI.

7.1.1 Alta Affidabilità (HA)

O14[obbligatorio] Alta Affidabilità (HA) - L’architettura deve prevedere la ridondanza dei servizi almeno su due apparati, per assicurare l’alta affidabilità dei servizi stessi. I servizi non devono essere impattati nel caso di guasto di un singolo apparato o di un aggiornamento dell’architettura stessa. Deve essere possibile:

− Modalità’ operative tra gli apparati: Active/Passive, Active/Active (con condivisione del carico)

− Sincronizzazione delle configurazioni

− Sincronizzazione delle sessioni

− Failover del traffico tra gli apparati senza perdita di servizio

− Supporto del Link Aggregation Control Protocol (LACP), IEEE (802.3ad) su singolo apparato.

Deve essere possibile riportare le configurazioni su un cluster esterno sito in una località geografica diversa.

7.1.2 Virtualizzazione

R3[premiante] Virtualizzazione – Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 14.1, se l’architettura supporta la separazione logica di ogni apparato in un certo numero di contesti virtuali e se i contesti virtuali sono attivi al momento della comunicazione di approntamento al collaudo: deve essere possibile partizionare ogni apparato in differenti apparati virtuali che agiscano in maniera indipendente. In questo caso, gli apparati devono supportare le interfacce logiche con la separazione del traffico tramite 802.1q. In particolare, verrà assegnato un diverso punteggio aggiuntivo, come indicato nel paragrafo 14.1, in base al numero di contesti virtuali attivi e inclusi, a partire dalla comunicazione di approntamento al collaudo, in ciascun apparato di Next Generation Firewall previsto in fornitura, con il relativo servizio di assistenza e manutenzione per almeno 36 mesi dalla data di esito positivo delle verifiche di conformità.

7.1.3 Stateful inspection

O15[obbligatorio] Stateful Inspection - Gli apparati proposti dovranno essere in grado di riconoscere le applicazioni (livello 7 della pila ISO/OSI) indipendentemente dalla porta TCP/UDP utilizzata tenendo traccia delle connessioni attive.

Le regole di sicurezza dovranno permettere la gestione completa del flusso di traffico, intesa come possibilità di gestione di differenti livelli della pila ISO/OSI.

Dovrà essere possibile attivare o disattivare le regole a caldo, senza inficiare il funzionamento dell’apparato.

7.1.4 Network Address Traslation

O16[obbligatorio] Gli apparati proposti devono supportare i seguenti tipi di NAT:

− Destinazione o sorgente

− Statico o dinamico

7.1.5 Routing

O17[obbligatorio] Gli apparati dovranno essere in grado di supportare funzionalità di routing statico e routing dinamico (RIP, OSPF, BGP). Gli apparati dovranno garantire la funzionalità di inoltro del traffico in base a specifiche regole indipendentemente dai percorsi riportati in tabella di routing (funzionalità nota come Policy Based Routing).

7.1.6 Virtual Private Network

O18[obbligatorio] Gli apparati dovranno supportare funzionalità di IPSec VPN, in modalità Gateway-to-Gateway e in modalità Client-to-Gateway, e di SSL VPN. Inoltre devono supportare gli algoritmi riportati di seguito:

Retrocompatibilità con algoritmi non raccomandati (fonte NSA e NIST)

- Algoritmi di cifratura DES, 3DES

- Algoritmi di autenticazione XX0, XXX-0, XXX-0

- XXXx0

- Perfect forward secrecy (DH groups) – 1, 2 Altri algoritmi

- Algoritmi di cifratura AES (128), AES (256)

- Algoritmi di autenticazione SHA-256

- Manual key, IKEv2, PKI (X.509)

- Perfect forward secrecy (DH) – 5 (1536 bits), 14 (2048 bits)

- Perfect forward secrecy (ECDH) – 19 (256-bit elliptic curve), 20 (384-bit elliptic curve)

7.1.7 Quality of Service

O19[obbligatorio] E’ richiesto che l’architettura supporti le seguenti funzioni di QoS per la prioritizzazione del traffico.

- Configurazione di banda massima per indirizzo IP (Sorgente e destinazione) e servizio (Livello 4) e per applicazione (Livello 7);

- limitazione del traffico.

7.1.8 SSL Inspection

O20[obbligatorio] SSL Inspection - Gli apparati dovranno poter decifrare le sessioni SSL, in ingresso e uscita, per poter applicare le politiche e i controlli di sicurezza sul contenuto del traffico in transito.

7.1.9 Application Control

O21[obbligatorio] Application Control - Gli apparati devono permettere il controllo sui flussi applicativi per permettere o negare il traffico di una o di un gruppo di applicazioni mediante le specifiche politiche di sicurezza.

Inoltre dovranno supportare la possibilità di controllare applicazioni sconosciute. In particolare dovrà essere possibile decidere se le applicazioni sconosciute possono attraversare l’apparato, da quali sorgenti oppure verso quali destinazioni possano essere abilitate.

7.1.10 User identification

O22[obbligatorio] Gli apparati devono permettere di identificare/riconoscere l’utente o il gruppo di utenti all’interno delle transazioni gestite.

7.2 Funzionalità evolute

O23[obbligatorio] Gli apparati oggetto della fornitura dovranno poter integrare le funzionalità di base, descritte nel paragrafo 7.1, con le seguenti funzionalità avanzate:

- Antivirus

- Intrusion Prevention System

- Anti Malware

- URL Filtering

Tali funzionalità di sicurezza evolute devono essere erogate attraverso moduli integrati all’interno dell’apparato NGFW, senza utilizzo di moduli software o hardware aggiuntivi e/o esterni e/o terze- parti.

7.2.1 Antivirus

O24[obbligatorio] Antivirus - Gli apparati dovranno essere dotati di un motore di Antivirus proprietario e aggiornato per tutta la durata contrattuale.

7.2.2 Intrusion Prevention System

O25[obbligatorio] Gli apparati dovranno supportare funzionalità di IPS in modo da poter identificare minacce all’interno dei flussi di traffico che attraversano gli apparati stessi:

- Stateful protocol signatures: il traffico viene confrontato esclusivamente con le signature compatibili con il contesto del protocollo;

- Meccanismo di rilevazione degli attacchi: Stateful signatures, protocol anomaly detection e application identification;

- Meccanismi di risposta agli attacchi: Drop connection, close connection, session packet log

- Meccanismi di notifica degli attacchi: syslog;

- Protezione Worm: signature che rilevano il traffico generato dai sistemi compromessi da Worm o il loro transito sulla rete;

- Protezione dai Trojan: rilevazione del traffico generato dai sistemi compressi da Trojan o il loro transito sulla rete;

- Protezione da Spyware, Adware e Keylogger: rilevazione del traffico generato dai software elencati o rilevazione del loro transito sulla rete;

- Protezione contro la proliferazione dei sistemi infetti con integrazione automatica con sistemi SIEM ;

- Possibilità di realizzare signature personalizzate;

- Possibilità di configurare soglie di traffico per protocollo;

- Frequenza degli aggiornamenti giornaliera in caso di emergenza per la diffusione di una nuova minaccia.

L’aggiornamento delle signature deve avvenire sia in modalità automatica che manuale.

7.2.3 AntiMalware

O26[obbligatorio] Gli apparati dovranno:

• supportare funzionalità di AntiMalware (AM) in modo da poter identificare minacce all’interno dei contenuti del traffico che attraversa gli apparati stessi;

• supportare la funzionalità sui seguenti protocolli: HTTPS, HTTP, FTP, SMTP e SMB;

• essere in grado di analizzare il contenuto del traffico (es. file scaricati, file spediti, ecc.), identificare eventuali elementi malevoli e in caso positivo generare un alert e/o bloccare gli stessi contenuti malevoli in maniera automatizzata;

• essere in grado di permettere, bloccare e controllare in maniera flessibile i tipi di file che vengono trasportati, attraverso la rete, tramite applicazioni;

• supportare funzionalità di antispyware per rilevare e bloccare spyware dal sistema e per prevenire eventuali attacchi e/o evasioni;

• supportare funzionalità di file bloking per bloccare l’eventuale trasferimento di file con estensioni non consentite dalle policy di sicurezza dell’Amministrazione;

• supportare funzionalità di data filtering per evitare l’accesso a dati sensibili e riservati a terze parti non autorizzate;

• L’aggiornamento delle signature deve avvenire sia in modalità automatica che manuale.

7.2.4 URL Filtering

O27[obbligatorio] Gli apparati devono essere dotati di un motore di URL filtering proprietario per l’indentificazione e per la categorizzazione su base URL del traffico applicativo benigno e malevolo.

7.3 Funzionalità di gestione

O28[obbligatorio] Gli apparati dovranno supportare il salvataggio di almeno due configurazioni di sistema per poterle richiamare nel caso si renda necessario ripristinare velocemente un servizio interrotto a causa di una configurazione errata (tale funzionalità può essere effettuata anche con il sistema di gestione centralizzato).

7.3.1 Autenticazione

O29[obbligatorio] Si chiede che sia obbligatoria l’autenticazione locale per la gestione degli apparati, tale autenticazione deve permettere la distinzione tra un profilo amministratore e un profilo utente (sola lettura). Gli apparati di next generation firewall dovranno supportare l'autenticazione degli utenti mediante integrazione nativa con server LDAP e RADIUS, senza necessità di impiego di ulteriori moduli software hardware aggiuntivi o apparati distinti.

Il riconoscimento dell'utente dovrà essere utilizzato dall’apparato per selezionare il tipo di profilo e i permessi di accesso.

7.3.2 Monitoraggio e Logging

O30[obbligatorio] Gli apparati devono supportare i seguenti protocolli di monitoraggio e logging:

- SNMP V2 e V3

- Syslog (Gli apparati dovranno disporre della funzionalità di inoltro dei log verso un Syslog Server remoto, in caso di fault del sistema centrale di gestione i log devono essere memorizzati sugli apparati).

- NTP

7.3.3 Management

O31[obbligatorio] Gli apparati devono supportare almeno uno dei seguenti sistemi di management:

- Interfaccia Web per amministrazione del singolo nodo o del cluster accessibile in SSL/TLS

- Interfaccia CLI per amministrazione del singolo nodo o del cluster accessibile in SSH

Si precisa che l’interfaccia di gestione degli apparati può essere alternativamente di tipo Web o alternativamente CLI e deve permettere la configurazione di rete, il monitoraggio e il troubleshooting del singolo apparato e del cluster. In particolare sul cruscotto dell’interfaccia grafica dovranno essere disponibili e riportate in maniera chiara le principali informazioni sulla stato del sistema.

7.3.4 Ulteriori Requisiti premianti

R4[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 14.1, qualora tutti gli apparati di Next Generation Firewall richiesti in fornitura nel presente capitolato dispongano della funzionalità di inoltro dei log verso più Syslog Server esterni.

R5[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 14.1, qualora tutti gli apparati di Next Generation Firewall richiesti in fornitura nel presente capitolato siano capaci di importare feeds di Threat Intelligence di terze parti tramite opportuni formati allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale.

7.4 Performance ed equipaggiamento

O32[obbligatorio] Ogni singolo apparato di Next Generation Firewall dovrà raggiungere almeno i seguenti livelli di performance:

1. Gli apparati dovranno supportare singolarmente un throughput di almeno 12 Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB

b) o in alternativa con traffico http e con pacchetti HTTP a 1024 byte

c) o in alternativa con mix di protocolli e dimensioni medie dei pacchetti per simulare un ambiente reale (in questo ultimo caso, tra i protocolli almeno il 30% del traffico deve essere HTTP e almeno il 10% HTTPS).

2. Gli apparati dovranno supportare singolarmente un throughput di almeno 10 Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus. Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB

b) o in alternativa con traffico HTTP e con pacchetti HTTP a 1024 byte

3. Gli apparati dovranno supportare singolarmente almeno 68.000 nuove sessioni TCP per secondo e 8M di sessioni contemporanee complessive.

4. Gli apparati dovranno supportare singolarmente almeno nr. 10.000 VPN IPSEC Tunnel nella modalità gateway to gateway e un throughput di almeno 6Gbps per la funzionalità di IPSec VPN con la seguente configurazione:

• IPSec site-to-site

• IKEv2

• Pre-shared key

• IKE & ESP encryption – AES(256)

• IKE & ESP integrity – SHA1

• XXX Xxxxxx-Xxxxxxx – Group 5

5. Ognuno degli apparati oggetto della fornitura dovrà essere dotato delle seguenti interfacce di rete (i transceiver devono essere inclusi nella fornitura):

• almeno n.8 porte da 10 Gigabit equipaggiate con le rispettive interface ottiche da 10 GbE SFP+ (Short Range)

• almeno n.8 porte da 1 Gigabit in fibra ottica equipaggiate con transceiver di tipo SFP SX

• almeno n. 4 porte a 40 GB equipaggiate con tranceiver di tipo Short Range

• almeno n. 1 porta Rj45 da 1 Gigabit Ethernet in rame per la gestione.

• Ad ogni modo, il Fornitore deve progettare e dimensionare correttamente l’intero sistema e provvedere alla fornitura in opera di tute le opportune e necessarie interfacce ottiche della tipologia adeguata (anche se di tipologia diversa rispetto a quella sopra indicata, quale ad esempio “Long Range” piuttosto che “Short range”) per poter realizzare l’architettura di rete indicata nel paragrafo 4.2. e per garantire il corretto funzionamento e la compatibilità del sistema, anche in funzione delle fibre ottiche che il Fornitore utilizzerà nel cablaggio strutturato (multimodali o monomodali).

O33[obbligatorio] Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive in base al test richiesto e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Tutte le regole devono avere il log attivato.

Il throughput del punto 4 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato.

R6 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1 se gli apparati di NGFW previsti in fornitura supportano singolarmente un throughput superiore a 12Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB (R6-a)

b) o in alternativa con traffico HTTP e pacchetti HTTP a 1024 bytes (R6-b)

c) o in alternativa con un mix di protocolli e percentuali diverse tra i vari protocolli e dimensioni dei pacchetti variabili per simulare un ambiente reale; in questo caso dovrà essere utilizzato almeno il protocollo HTTP al 30% e il protocollo HTTPS al 10% (R6-c).

R7 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, se gli apparati di NGFW previsti in fornitura supportano singolarmente un throughput superiore a 10Gbps con tutte le funzionalità abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus. Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB (R7-a)

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

b) o in alternativa con traffico http e pacchetti HTTP a 1024 bytes (R7-b)

R8 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1 in base al valore di throughput degli apparati di Next Generation Firewall di cui si richiede la fornitura. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center in questione):

• HTTPS 40%

• HTTP 20%

• DNS 3%

• SMB 1%

• RDP 9%

• FTP 1%

• SSH 5%

• SMTP 5%

• DB2 8%

• Oracle 8%

R9 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1 in base al valore di throughput degli apparati di Next Generation Firewall di cui si richiede la fornitura. Tale dato di throughput dovrà essere considerato con tutte le funzionalità di seguito indicate abilitate (Firewall, Application Control, IPS, AntiMalware, Antivirus) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real- World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center in questione):

• HTTPS 40%

• HTTP 20%

• DNS 3%

• SMB 1%

• RDP 9%

• FTP 1%

• SSH 5%

• SMTP 5%

• DB2 8%

• Oracle 8%

7.5 Sistema di gestione

O34[obbligatorio] La soluzione di gestione centralizzata dovrà essere integrata con gli apparati firewall oggetto della fornitura. Il sistema di gestione potrà essere installato su una macchina fisica dedicata oppure su una macchina virtuale. Nel primo caso sarà onere del fornitore fornire l’intera soluzione mentre nel secondo caso sarà cura del Fornitore verificare se l’hardware messo a disposizione dall’Amministrazione sia adeguado per la soluzione virtuale. In questo ultimo caso il

Fornitore dovrà preoccuparsi della piena compatibilità con la soluzione di virtualizzazione e l’hardware presente nel CED della Divisione N.S.I.S. (VMware). In ogni caso, il Fornitore deve fornire una soluzione completamente funzionante.

O35[obbligatorio] Tale soluzione di gestione dovrà, nello specifico, abilitare:

- La gestione centralizzata delle configurazioni di sistema degli apparati;

- La definizione centralizzata e la distribuzione delle politiche di sicurezza verso tutti gli apparati gestiti. Il sistema deve essere in grado di distribuire le regole su più cluster parametrizzando gli oggetti, in modo tale che uno stesso oggetto abbia valori differenti su differenti cluster;

- Il sistema dovrà disporre di strumenti per la verifica delle politiche di sicurezza configurate; In particolare deve generare degli alert in caso di regole che sovrascrivono altre successive;

- La raccolta e la correlazione centralizzata delle informazioni (log) degli apparati gestiti;

- Logiche di autorizzazione di diversi profili di amministrazione basate su ruoli (RBAC - Role Based Access Control);

- Tutti gli alert generati dal sistema devono poter essere inviati anche tramite SMTP/SNMP v2 o v3;

- La generazione di report predefiniti o personalizzati relativi agli apparati gestiti. I report generati dovranno essere esportati nei formati CSV, PDF o XML;

- Per ogni singolo apparato dovranno essere disponibili e riportate in maniera chiara le principali informazioni sulla stato del sistema. Tali informazioni dovranno almeno comprendere tutte le seguenti voci: interfacce con relativo stato, quantità di risorse attualmente utilizzate, modello hardware, identificativo univoco dell’apparato (es. numero di serie), informazioni generali sui parametri IP di gestione del nodo (es. IP Address, Default Gateway, Subnet Mask), utenti loggati, log di sistema e di configurazione.

R10[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora il sistema di gestione degli apparati di NGFW proposto in fornitura disponga di un motore di correlazione di oggetti ed eventi relativi a tutte le diverse funzioni di sicurezza attive sugli apparati e garantisca una vista in tempo reale e aggregata delle attività sospette o eventi relativi ad attività malevole.

R11[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora il sistema di gestione degli apparati di NGFW proposto in fornitura supporti funzionalità di remediation automatiche e si integri con tool di vulnerability assessment. Inoltre deve fornire strumenti di controllo, risposta e gestione degli incidenti.

R12[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora il sistema di gestione degli apparati di Next Generation Firewall proposto in fornitura consenta di confrontare due configurazioni (sia di sistema che dell’insieme di regole di sicurezza) e di evidenziare le differenze.

R13[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora il sistema di gestione degli apparati di Next Generation Firewall proposto in fornitura abbia integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che comprendano almeno 4 differenti categorie di informazioni;

- La possibilità di creare report che evidenzino l’attività di un singolo specifico utente, selezionando un intervallo di tempo;

- La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti;

- La possibilità di fornire report sugli eventuali “botnet” presenti in rete, che evidenzi i comportamenti anomali e le azioni malevole quali utilizzo di DNS dinamici, accesso a siti di recente registrazione, siti di Malware, ecc.

8 FORNITURA IN OPERA DI BILANCIATORI DI CARICO

O36[obbligatorio] Si richiede la fornitura in opera di Nr. 2 bilanciatori di carico per il sistema NSIS in configurazione di alta affidabilità.

O37[obbligatorio] Le caratteristiche tecniche minime della coppia di bilanciatori di carico da installare sono di seguito indicate:

• Tipo: Soluzione di tipo virtuale, non fisica

• Throughput di livello 7 (L7): almeno 1 Gbps

• SSL throughput: almeno 1 Gbps

• Transazioni SSL per secondo con 2K RSA: almeno 2k

• Transazioni SSL per secondo con ECC ECDHE-ECDSA/EC-P256: 1,2K

• Throughput di compressione: almeno 900 Mbps

• L7 richieste per secondo: almeno 450K

• L4 connessioni per secondo: almeno 135k

• Massimo numero di L4 connessioni concorrenti: almeno 10M

• Supporto e attivazione delle seguenti funzionalità per almeno 36 mesi a partire dalla data di comunicazione di approntamento al collaudo:

o L4 Load balancing - bilanciamento del carico a livello 4 (L4): deve essere possibile indirizzare il traffico in base ai dati dei protocolli di rete e di livello di trasporto, come l'indirizzo IP e il protocollo TCP

o bilanciamento del carico a livello 7 e L7 content switching, monitoring delle applicazioni fino a livello 7: deve avere la capacità di prendere decisioni di routing basate su dati e attributi del livello dell'applicazione, come intestazione HTTP, identificativo di risorsa uniforme, ID sessione SSL e dati modulo HTML

o supporto delle funzionalità di link load balancing

o Global server load balancing (GSLB) – supporto e attivazione della funzionalità di bilanciamento a livello geografico: le funzionalità core L4 e L7 devono essere applicabili a server farm distribuiti geograficamente; tale funzionalità deve essere supportata con Cookie based persistency in modo da consentire di mantenere la persistenza dei client e deve essere possibile eseguire HTTP redirection e Connection Proxy

o Supporto di protocolli di routing dinamico

o SSL Offloading: deve essere possibile la chiusura SSL/TLS sul bilanciatore di carico e successivo rilancio in chiaro

o deve essere garantita la possibilità di instradare il traffico utilizzando, oltre al destination address, anche source address e/o destination port

o Local User DB: deve essere possibile configurare utenti esterni al dominio senza utilizzare un server esterno, come ad esempio LDAP per le funzionalità di gestione e configurazione.

o Disponibilità di un connettore LDAP/LDAPS

o Disponibilità di un connettore Xxxxxx

o L4 DoS defenses

o L7 DoS defenses

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

o L7 rewrite e responder

o Supporto del protocollo SAML2 e disponibilità del connettore per autenticazione SAML

o AAA

o Scalabilità: la soluzione deve poter scalare in termini di throughput.

o Supporto del TCP multiplexing

o Deve poter essere consentita l’autenticazione tramite Kerberos ticket (SSO su Intranet)

o Deve essere supportata l’autenticazione Microsoft NTLM

o Deve essere supportata l’autenticazione Client tramite Certificati digitali X509

O38[obbligatorio] I bilanciatori virtuali di cui è richiesta la fornitura in opera nel presente capitolato dovranno essere installati su hardware e sistema operativo dalle caratteristiche di seguito indicate:

• R910" SERVER X86 "DELL PowerEdge R910 con CPU 4x Intel Xeon E7-4850 ( ogni processore: 2GHz, 8Core, cache 18MB, 5,86 GT/s OPI, TDP 105W, Turbo, HT), RAM 256GB, HDD 2x 600GB SAS con 6Gb/s, 10k rotazioni al minuto, 2,5"

• R910" SERVER X86 "DELL PowerEdge R910 con CPU 4x Intel Xeon E7-4820 (ogni processore: 2GHz, 8Core, cache 18MB, 5,86 GT/s OPI, TDP 105W, Turbo, HT), RAM 128GB, HDD 2x 600GB SAS 6Gb/s, 10k rotazioni al minuto, 2,5"

• HP ProLiant DL585 G7, 4CPU, 16 core ciascuno - AMD Opteron 6276 (ogni CPU: 2.30GHz, 16-core, cache16MB), RAM 176GB, HDD 2x146GB, 15Krpm RAID1

• DELL PowerEdge R720 con CPU 2x Intel Xeon E5-2650 (ogni processore: 2GHz, 8 core,cache 20MB), RAM 64GB, HDD 4x300GB SAS 6Gb/s 15k 2,5"

• OS Vmware ESXI 6.0

R14[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura sia dotato della funzionalità SSL VPN, ovvero abbia la possibilità di chiudere VPN SSL in modalità tunnel mode.

R15[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura consenta di regolare in maniera automatica e manuale il rateo di connessioni aperte verso il backend. Deve essere possibile aprire nuove sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di smaltire il traffico in eccesso.

R16[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura sia dotato e abbia attivate Funzionalità di Web Application Firewall compreso il servizio di aggiornamento delle firme per almeno 36 mesi a partire dalla comunicazione di approntamento al collaudo; inoltre in questo caso deve essere compreso il servizio di assistenza della stessa funzionalità di Web Application Firewall per almeno 36 mesi dalla data di esito positivo delle verifiche di conormità.

R17[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura supporti la Multi-Factor Authentication : gli apparati dovranno essere nativamente dotati della funzionalità di Autenticazione a più fattori (MFA), in modo da garantire che ciascun utente effettui l'autenticazione utilizzando più metodi (fattori) durante l'accesso a servizi e applicazioni.

R18[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura supporti funzionalità di L2 Extension: ciascun

bilanciatore deve consentire la creazione di tunnel GRE incapsulati in IPSec ed il trasporto end-to- end di tunnel IP-over-IP e di ARP per la L2 e L3 Extension.

R19[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura consente di monitorare il traffico sia in Real Time sia storicizzato e consente di storicizzare il traffico per almeno 60 giorni.

R20[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura abbia un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O37.

R21[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora ciascun bilanciatore di carico previsto in fornitura abbia un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O37.

8.1 Sistema di gestione

O39[obbligatorio] Deve essere prevista la fornitura in opera di un sistema di gestione per tutti i bilanciatori di carico oggetto della fornitura. Il sistema di gestione dovrà essere installato su una macchina virtuale. Sarà cura del Fornitore verificare se l’hardware messo a disposizione dall’Amministrazione sia adeguado per la soluzione. Il Fornitore dovrà preoccuparsi della piena compatibilità con la soluzione di virtualizzazione (VMware) e l’hardware presente nel CED della Divisione N.S.I.S.. In ogni caso, il Fornitore deve fornire una soluzione completamente funzionante. Tale soluzione di gestione dovrà, nello specifico, consentire:

- La gestione centralizzata degli aspetti di configurazione, analisi del traffico, orchestrazione, controllo e monitoraggio dei bilanciamento di carico oggetto di fornitura

- La gestione centralizzata di task, change management, certificati digitali

- La gestione di tutte le istanze configurate

- L’analisi del traffico ai fini del troubleshooting.

- Il monitoraggio dello stato dei servizi e dei processi

- Il monitoraggio delle performance applicative (ad esempio latenze di rete, server processing time, page rendering time)

- Le percentuale di carico CPU/Memoria/Disco per ogni istanza

- Tutti gli alert generati dal sistema devono poter essere inviati anche tramite SMTP e per e- mail

- La generazione di report predefiniti o personalizzati relativi agli apparati gestiti. I report generati dovranno essere esportati nei formati CSV, PDF o XML

- Per ogni singola soluzione virtuale dovranno essere disponibili e riportate in maniera chiara le principali informazioni sulla stato del sistema.

9 FORNITURA IN OPERA DI UNA PIATTAFORMA PER IL CONTROLLO DEGLI ACCESSI

Come specificato nel paragrafo 4.1, tutti gli accessi sono centralizzati/autorizzati su una piattaforma Software che permette di gestire gli accessi e il controllo su tutti gli apparati di rete (TACACS+ su piattaforma Cisco ACS 1113, ridondato su due siti). Un’eventuale sostituzione di detto protocollo, comporterebbe il cambio delle politiche di autenticazione implementate con conseguente aggiunta di ulteriori attività di configurazione e installazione.

Tale soluzione risulta in End of Support e, pertanto, deve essere previsto l’aggiornamento della piattaforma per il controllo degli accessi Cisco ACS 1113.

O40[obbligatorio] Deve pertanto essere prevista la fornitura in opera di una piattaforma per il controllo degli accessi per la gestione di tutti gli apparati di rete esistenti indicati nel paragrafo 4.1 e raffigurati in Figura 1 dell’Allegato 1 al capitolato tecnico e di tutti gli apparati oggetto della fornitura con il presente capitolato, attraverso l’utilizzo del Terminal Access Controller Access- Control System (TACACS+), per controllare ed effettuare l’audit degli apparati di rete.

O41[obbligatorio] Gli apparati di rete esistenti non oggetto di aggiornamento tecnologo e raffigurati nel paragrafo 4.1 e tutti gli apparati previsti in fornitura con il presente capitolato dovranno essere configurati per interrogare la piattaforma di access control per le funzionalità di autenticazione, autorizzazione dei comandi, per gestire gli apparati e l’invio dei messaggi di accounting con il log delle azioni effettuate. La piattaforma in questione deve consentire il controllo di chi accede alle piattaforme di rete e cambia la loro configurazione, e deve consentire la creazione di policy per autorizzare un set di comandi per utente o gruppi di utenti.

O42[obbligatorio] La piattaforma di controllo degli accessi deve avere le seguenti caratteristiche principali:

• Supporto di protocolli RADIUS e TACACS+.

• Avere tool di migrazione che consentano di migrare dalla piattaforma esistente Cisco ACS (Cisco Secure Access Control), in uso presso l’Amministrazione, alla nuova piattaforma di access control, di cui si richiede la fornitura nel presente capitolato, per la gestione dell’utenza degli amministratori di rete

• Gestire l’autorizzazione e l’accounting per singolo comando di rete (mediante il protocollo TACACS+)

• Supporto di Protocolli di autenticazione con il protocollo TACACAS+: PAP/ASCII,CHAP, e MS-CHAPv1

• Utilizzo di wildcards e regolar expressions (regex) per controllare i comandi eseguibili da un utente su un apparato di rete

• Per la gestione del login iniziale dell’utente, deve consentire la creazione dei profili TACACS+ per permettere di definire attributi per la gestione di tasks comuni oppure di carattere specifico tramite attributi specifici. In caso di piattaforme Cisco Nexus deve essere data la possibilità di gestire all’utenza uno specifico VDC (virtual device context).

• Possibilità di integrazione con DB di identità di tipo LDAP e SQL, inclusi Microsoft Active Directory, SQL Server, PostgreSQL, SAP Sybase, RSA SecureID

• Capacità di scalare almeno a 500.000 end-points

• Capacità di gestire almeno 100.000 nodi di rete

• Accesso alla console di gestione via web e con role-based access control (RBAC)

O43[obbligatorio] La piattaforma deve essere in grado di gestire accessi in modo unificato su rete wired e VPN, in tale ottica deve consentire:

• Supporto di autenticazione xxx XXX Xxxxxxx, 000.0x, Web Authentication

• Capacità di impostare VLAN e Access List su Switch e/o Firewall basate sull’autenticazione dell’utente

• Possibilità di supportare tecnologie di segmentazione di rete hardware basate su tag, in modo da consentire la segmentazione di rete senza utilizzo di specifiche ACL su base protocollo

• Possibilità di integrazione con elementi di brokering (interscambio) di informazioni e attributi con piattaforme di sicurezza di terze parti attraverso API

• Supporto di CoA (Change of Authorization).

10 CERTIFICAZIONI E CONFORMITÀ

Tutto il materiale, pezzi o componenti non esplicitamente indicati nel presente capitolato, ma necessari per integrare le apparecchiature fornite con l’infrastruttura esistente, dovrà essere fornito, senza nessun altro costo aggiuntivo dovuto a mancanza di parti non indicate esplicitamente. Sarà pertanto cura del fornitore evidenziare e inserire in offerta eventuali componenti aggiuntivi, ritenuti essenziali per il corretto montaggio e funzionamento degli apparati, anche laddove questi non siano stati esplicitamente citati nel presente documento.

Tutte le apparecchiature e componenti fornite dovranno essere nuove di fabbrica.

Le apparecchiature offerte dovranno possedere marchi di certificazione riconosciuti da tutti i Paesi dell'Unione Europea, essere conformi alle norme concernenti la compatibilità elettromagnetica, alle normative CEI e, in generale, alla vigente normativa che disciplina i componenti e le relative modalità di impiego delle apparecchiature medesime ai fini della sicurezza degli utilizzatori. A titolo esemplificativo e non esaustivo, le apparecchiature fornite dovranno rispettare i requisiti indicati nella Direttiva CEE 90/270 recepita dalla legislazione italiana con Legge 19 febbraio 1992, n. 142 e quelli relativi:

- alla riduzione dell'uso di sostanze pericolose previsto dalla normativa vigente, ed in particolare dalla direttiva 2011/65/UE del Parlamento europeo e del Consiglio, dell’ 8 giugno 2011, sulla restrizione dell’uso di determinate sostanze pericolose nelle apparecchiature elettriche ed elettroniche.

- ai requisiti di immunità definiti dalla EN55024;

- alla conformità alle Direttive di Compatibilità Elettromagnetica (Direttiva 2014/30/UE del Parlamento Europeo e del Consiglio del 26 febbraio 2014 - EMC) e conseguentemente essere marchiate e certificate CE;

- ai requisiti di sicurezza (es.: IMQ) e di emissione elettromagnetica (es.: FCC classe A) certificati da Enti riconosciuti a livello europeo.

Inoltre si richiede che i vendor degli apparati di rete di cui è richiesta la fornitura nel paragrafo 6 e degli apparati di Next Generation Firewal richiesti in fornitura nel paragrafo 7 siano accreditati NATO Information Assurance, ovvero siano presenti nella lista dei manufactor nel sito xxxxx://xxx.xx.xxxx.xxx/xxxxx .

11 SERVIZI

O44[obbligatorio] Al fine di assicurare la continuità e l’efficienza del servizio reso, il fornitore deve garantire la consegna al piano, la disinstallazione degli apparati esistenti, l’installazione, la migrazione e la configurazione di tutti gli apparati e dei sistemi (paragrafi 11.2 e 11.3) e l’assistenza tecnica necessaria (paragrafo 11.4) su tutti gli apparati e sistemi previsti in fornitura.

L’Amministrazione organizzerà un primo incontro (kick-off meeting) con i responsabili del fornitore al fine di pianificare le attività successive. La data del kick-off meeting sarà assunta come data di inizio lavori.

L’attività lavorativa non potrà essere interrotta se non per brevi intervalli di tempo e durante particolari orari, questo comporterà che tutte le attività che implicheranno fermi macchina dovranno essere preventivamente concordate con l’Amministrazione.

11.1 Progettazione

O45[obbligatorio] Il fornitore deve redigere il progetto esecutivo composto da:

• il progetto di alto livello (HLD) con il cronoprogramma dettagliato di tutte le attività,

• il progetto di basso livello (LLD) relativo alle attività di installazione, configurazione, migrazione e rilascio della infrastruttura;

• la documentazione relativa alle configurazioni di dettaglio di tutti i sottosistemi coinvolti nonché alle specifiche tecniche, fornita e rilasciata dai produttori degli apparati.

I progetti di HLD e LLD devono essere validati dai produttori degli apparati e sistemi in fornitura per le parti di rispettiva competenza e dal Fornitore quale integratore dell’intera soluzione progettuale.

Il Fornitore dovrà presentare all’Amministrazione una prima bozza del progetto di alto livello (HLD) durante la riunione di kick-off meeting.

L’architettura e le configurazioni definite e documentate nel progetto esecutivo saranno oggetto di verifica da parte dell’Amministrazione. Il Fornitore si impegnerà ad apportare eventuali modifiche e integrazioni che l’Amministrazione potrà eventualmente richiedere al fine di approvare il progetto esecutivo. L’approvazione del progetto esecutivo sarà vincolante per il prosieguo delle attività. Qualora l’Amministrazione ritenga opportuno che il Fornitore implementi delle modifiche e/o integrazioni al progetto esecutivo, il Fornitore dovrà provvedere, oltre ad aggiornare i documenti, ad apportare le opportune modifiche implementative alla soluzione progettuale. I documenti finali di HLD e LLD e il progetto esecutivo dovranno essere allineati con l’effettiva implementazione della soluzione progettuale. Si riportano di seguito i livelli di dettaglio e le informazioni minime che devono essere contenute nei progetti HLD e LLD.

Il progetto esecutivo dovrà essere presentato e consegnato all’Amministrazione entro e non oltre 45 giorni solari dal Kick-off meeting.

11.1.1 HLD

O46[obbligatorio] Questo documento deve descrivere la soluzione di alto livello in base ai vincoli dell’Amministrazione e ai requisiti fisici e logici. Il HLD deve contenere:

• una descrizione dei concetti chiave del progetto,

• una panoramica della soluzione progettuale,

• un cronoprogramma dettagliato con l’indicazione di tutte le attività e fasi progettuali, l’indicazione dei tempi di completamento delle singole attività, le risorse impiegate e le interdipendenze tra le attività;

• inoltre deve evidenziare la topologia e l’architettura di rete che verrà utilizzata e quali protocolli saranno coinvolti.

11.1.2 LLD

O47[obbligatorio] Questo è un documento particolareggiato che verrà predisposto dal fornitore: esso dovrà contenere tutti i dettagli necessari ad implementare la soluzione progettuale e configurare tutti gli apparati e sistemi previsti in fornitura.

In particolare il LLD dovrà contenere il seguente dettaglio:

- Architettura di rete

- Topologia di rete

- Servizi di rete

- Considerazioni di progettazione

- Naming Convention

- Progetto fisico della rete

- Progetto logico della rete.

Dovrà includere altresì un piano dettagliato e sarà composto almeno dalle seguenti attività:

- Cablaggio strutturato con i dettagli e gli schemi dell’impianto

- Installazione nuovo hardware e nuovo software

- Configurazione hardware e software

- Integrazione dei sistemi con gli apparati esistenti

- Migrazione

- Test di funzionamento di tutti i sistemi

- Verifiche di conformità finali di tutti i sistemi

Per ciascuna delle fasi deve essere presentata una scheda dettagliata comprensiva delle seguenti informazioni:

- Obiettivo

- Responsabilità

- Prerequisiti e dipendenze

- Tempi di esecuzione

- Risorse impiegate

- Potenziali disservizi e criticità

- Rollback in caso di problemi.

11.2 Consegna

O48[obbligatorio] La consegna degli apparati, materiali e sistemi previsti in fornitura dovrà avvenire al piano presso la sede indicata dall’Amministrazione al paragrafo 2.1, entro e non oltre 60 giorni solari dalla data di inizio esecutività del contratto; i materiali di risulta d’imballo saranno prelevati e smaltiti a cura del fornitore.

11.3 Disinstallazione apparati esistenti e Installazione, migrazione e configurazione dei nuovi apparati e sistemi previsti in fornitura

O49[obbligatorio] Sarà cura del fornitore fornire in opera cavetteria, patch panel, cablaggi e quant’altro necessario per la posa in opera e l’installazione di tutte le apparecchiature al fine della loro corretta configurazione ed installazione. Inoltre dovrà essere consegnato all’Amministrazione il libro permute e gli schemi di connessione. Sarà altresì onere e a carico del Fornitore procedere con le attività di disinstallazione delle apparecchiature esistenti e di spostamento delle stesse nel locale che sarà indicato dall’Amministrazione, per le successive valutazioni di riutilizzo e/o fuori uso da parte dell’Amministrazione.

Al completamento della fase di installazione il fornitore dovrà procedere alle attività di configurazione di tutti i sistemi previsti in fornitura e alla migrazione dei dati e delle regole di

sicurezza dagli ambienti esistenti. Dovrà provvedere alla realizzazione di tutte le interconnessioni tra gli apparati e alla realizzazione dell’architettura di rete indicata nel paragrafi 4.2 .

Il fornitore si impegna a nominare un responsabile tecnico incaricato di curare il coordinamento tecnico delle attività on site in fase di realizzazione e di migrazione, nonché di svolgere la funzione di unico referente nei confronti dell’Amministrazione.

Per le attività di migrazione e configurazione dovrà esser impiegato personale specializzato e figure professionali con conoscenza approfondita dei sistemi in argomento.

Nell’ambito delle prove finalizzate alla verifica funzionale, il fornitore dovrà redigere e consegnare, entro il termine delle attività di configurazione, un rapporto contenente l’articolazione delle prove per la verifica dei requisiti.

L’Amministrazione si riserva la facoltà di rivedere e modificare l’articolazione ed il tipo dei test proposti.

La fase di disinstallazione degli apparati esistenti e di installazione, configurazione di tutti gli apparati e sistemi previsti in fornitura e migrazione dei servizi dalla infrastruttura attuale a quella in fornitura si dovrà concludere entro e non oltre le tempistiche indicate nel paragrafo 12.

11.3.1 Figure professionali impiegate

O50[obbligatorio] Il personale impiegato per le attività di installazione, migrazione e configurazione deve essere composto da sistemisti esperti e specialisti di prodotto che abbiano almeno 5 anni di esperienza nell’ambito delle attività sistemistiche e di networking, di cui:

• almeno una figura professionale che abbia conseguito la più alta certificazione, in ambito sicurezza, del produttore degli apparati di Next Generation Firewall previsti in fornitura;

• almeno una figura professionale che abbia conseguito almeno due certificazioni in corso di validità, di livello professional o expert in ambito di networking e sicurezza, del produttore degli apparati di rete previsti in fornitura;

• almeno una figura professionale che abbia conseguito la più alta certificazione, in ambito networking e/o sicurezza, del produttore delle soluzioni di Bilanciatori di carico previsti in fornitura.

O51[obbligatorio] Le figure professionali impiegate devono avere conoscenze approfondite sulla soluzione di rete e sicurezza oggetto della fornitura.

L’Offerente dovrà presentare il curriculum vitae e le referenze del personale tecnico incaricato per eseguire le attività di installazione e configurazione degli apparati.

Le variazioni della composizione delle risorse professionali nel corso del progetto dovranno essere approvate dall’Amministrazione ed in ogni caso le nuove figure professionali impiegate non potranno essere di spessore inferiore a quanto offerto in sede di gara.

L’amministrazione potrà richiedere la sostituzione delle figure professionali impiegate non ritenute adeguate per la mansione e l’attività svolta rispetto al ruolo richiesto, richiedendone la rimozione.

11.4 Manutenzione

O52[obbligatorio] Per tutte le apparecchiature, i sistemi hardware e software, le soluzioni virtuali, le licenze in fornitura ed il cablaggio strutturato deve essere fornito un servizio di assistenza e manutenzione per un periodo di almeno trentasei mesi (36) dalla data di esito positivo delle verifiche di conformità.

Il servizio di manutenzione consiste nel ripristino delle complete funzionalità e del corretto funzionamento degli apparati, licenze, cablaggio e sistemi oggetto della fornitura, nella messa a disposizione di tutte le parti di ricambio in sostituzione di quelle guaste, entro i livelli di servizio indicati nel capitolo 12.

Il ripristino della corretta funzionalità degli apparati, soluzioni e sistemi previsti in fornitura deve avvenire a fronte di un guasto, blocco o altro inconveniente non bloccante, intendendosi per guasto qualsiasi anomalia funzionale che, direttamente o indirettamente, provochi l’interruzione o la non completa disponibilità delle funzionalità del sistema in questione o, in ogni caso, qualsiasi difformità del prodotto e del rispettivo funzionamento rispetto alla relativa documentazione tecnica e manualistica d’uso.

I guasti e/o anomalie Hardware e/o Software riguardanti gli apparati e le soluzioni software in fornitura possono essere classificati secondo le definizioni di seguito riportate.

Guasto Bloccante: Qualsiasi tipo di guasto Hardware e/o Software relativo al funzionamento degli apparati e/o dei sistemi software previsti in fornitura che provochi l’interruzione del servizio o la non completa disponibilità delle funzionalità del sistema in questione o, in ogni caso, qualsiasi difformità del prodotto e del rispettivo funzionamento rispetto alla relativa documentazione tecnica e manualistica d’uso.

Guasto Non Bloccante: Qualsiasi tipo di guasto Hardware e/o anomalia Software relativo al funzionamento degli apparati e/o dei sistemi software previsti in fornitura che non comporti la totale interruzione del servizio e che degradi le prestazioni e il corretto funzionamento del sistema.

R22[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 14.1, qualora venga fornito un servizio di assistenza e manutenzione su tutti gli apparati e sistemi previsti in fornitura e sul cablaggio strutturato, l’aggiornamento di tutte le licenze richieste nel presente capitolato (e di quelle premianti eventualmente fornite in offerta) ed il relativo servizio di assistenza per una durata superiore a quella indicata nel requisito obbligatorio O52.

Il fornitore dovrà effettuare il servizio di manutenzione hardware e software secondo le modalità descritte nei seguenti paragrafi. Tutti gli interventi devono essere effettuati on site e non da remoto.

11.4.1 Gestione e manutenzione dei sistemi

O53[obbligatorio] Sono comprese nel servizio di gestione e manutenzione tutte le attività di:

- Installazione dell’hardware e del software, la loro configurazione e personalizzazione.

- Allineamento dei sistemi hardware e software alle più recenti innovazioni tecnologiche rilasciate dal produttore, nonché attivazione di tutte le attività necessarie per prevenire potenziali guasti dei sistemi e ripristino del funzionamento al fine di assicurare la regolare erogazione del servizio. Va precisato che le attività di innovazione tecnologica, come pure quelle relative alle correzioni, si riferiscono essenzialmente alla capacità di mantenere aggiornato ed in regolare stato di funzionamento sia il software che il firmware dell’hardware. A seguito del rilascio, da parte del produttore, di un aggiornamento e/o di una correzione software, l‘attività di manutenzione deve essere svolta in sinergia con quella di gestione, per l’esecuzione ed il controllo delle operazioni di modifica e upgrade dei sistemi in esercizio.

O54[obbligatorio] Dovranno essere previste, quindi, attività di manutenzione preventiva (attività di manutenzione atta a prevenire l’occorrenza di errori, malfunzionamenti e guasti) e di manutenzione correttiva (attività di manutenzione a seguito di segnalazioni di malfunzionamenti o guasti). Sono comprese in queste anche le attività volte al miglioramento o arricchimento funzionale, a seguito di migliorie decise e introdotte dal fornitore stesso che non comportano oneri contrattuali.

11.4.2 Manutenzione hardware e software

O55[obbligatorio] Il fornitore deve garantire la fornitura in opera di patches e aggiornamenti durante il periodo di copertura del contratto, inoltre deve fornire informazioni su nuove versioni e aggiornamenti dei prodotti hardware e software installati.

Il servizio di manutenzione deve garantire una copertura di 7 giorni la settimana con orario h24.

Un tecnico provvederà ad una prima analisi del problema, a raccogliere le informazioni essenziali per poterlo gestire nel modo più efficiente e rapido ed infine a stimare i tempi di intervento.

11.4.3 Modalità di esecuzione

O56[obbligatorio] Il servizio di manutenzione dovrà prevedere l'attivazione da parte del fornitore di un numero telefonico di contatto, di un indirizzo email e di un Trouble Ticket System (TTS) per la gestione dei guasti e malfunzionamenti di un apparato o di una componente di esso, attivo h24, sette giorni su sette, per 365 giorni l’anno. Entro la data di inizio di esecutività dei servizi di manutenzione l’Amministrazione comunicherà alla società aggiudicataria dell’appalto i nominativi abilitati all’apertura delle chiamate da parte dell’Amministrazione.

Si precisa che, ai fini della misurazione dei livelli di servizio, l’orario di inoltro della chiamata via telefono o dell’email da parte dell’Amministrazione è considerato il riferimento temporale di apertura del ticket.

Il fornitore inserirà tale richiesta nel proprio TTS evidenziandone il livello di servizio ed assegnando ad essa un identificativo che dovrà comunicare all’Amministrazione all’apertura del guasto. Il sistema di gestione dovrà garantire il tracciamento della richiesta (stato dell’intervento) in tutte le sue fasi, fino alla chiusura dell’intervento stesso.

I livelli di servizio relativi al Tempo di risposta dell’operatore al punto telefonico di contatto e i livelli di servizio relativi al Numero di chiamate senza risposta effettuate al punto di contatto telefonico sono indicati nel paragrafo 12.

Il fornitore dovrà utilizzare parti di ricambio originali e nuove di fabbrica, identiche alle parti sostituite e, ove esistenti, prodotte dallo stesso costruttore delle apparecchiature. Le parti di ricambio, il ritiro e lo smaltimento dovranno essere fornite dalla società aggiudicataria dell’appalto senza alcun onere per l’Amministrazione.

Nel caso in cui, a fronte di un guasto di un apparato, il fornitore non sia provvisto della parte di ricambio richiesta per la riparazione, potrà, al fine di ripristinare il servizio, operare la sostituzione con un altro sistema (o con un’altra componente) avente le medesime caratteristiche ed in grado di ristabilire la corretta e completa funzionalità. Tale soluzione è da considerarsi sempre e comunque provvisoria e non svincola il fornitore dall’obbligo di fornire l’apparato (o la componente) necessario per la riparazione. Il fornitore dovrà quindi intervenire nuovamente per operare la corretta sostituzione entro e non oltre 15 giorni lavorativi dal ripristino temporaneo del servizio e dovrà assicurare e documentare la cancellazione sicura di tutte le informazioni/configurazioni e dati dall’apparato utilizzato temporaneamente per il ripristino del servizio.

11.5 Supporto specialistico

O57[obbligatorio] Per tutta la durata del contratto, l’Amministrazione potrà richiedere l’erogazione a consumo di un numero di giornate di supporto specialistico fino ad un massimo di 50 giornate, che potranno essere utilizzate per la realizzazione di diverse attività. A titolo esemplificativo ma non esaustivo, ne sono riportate di seguito alcune:

- implementazione di nuove funzionalità derivanti da specifiche esigenze di evoluzione dei sistemi di sicurezza non note al momento;

- stesura di procedure e politiche di sicurezza inerenti il funzionamento in esercizio della nuova infrastruttura;

- realizzazione di integrazioni personalizzate tra i sistemi forniti e quelli presenti attualmente all’interno dell’infrastruttura di rete.

Il supporto specialistico potrà essere richiesto dall’Amministrazione mediante e-mail (e/o PEC) e/o mediante il numero telefonico di contatto attivato dal Fornitore (e richiesto nel paragrafo 11.4.3), dal lunedì al venerdì dalle ore 9.00 alle ore 18.00.

Il supporto specialistico dovrà essere erogato con i seguenti livelli di servizio:

- tempo di presa in carico, 1 (uno) giorno lavorativo dalla ricezione della richiesta: il fornitore deve prendere in carico la chiamata inviando una email di conferma alla persona di riferimento indicata dall’Amministrazione;

- tempo di intervento 5 (cinque) giorni solari dalla presa in carico: per intervento si intende la presenza fisica della risorsa nella sede indicata nella chiamata.

Per l’espletamento delle suddette attività il fornitore dovrà avvalersi di personale certificato nella tecnologia oggetto di intervento (e comunque compresa nell’ambito della fornitura), ed in possesso di competenza ed esperienza su tematiche inerenti sia aspetti tecnologici sia aspetti di sicurezza informatica.

A seconda delle attività da svolgere, l’Amministrazione potrà richiedere che il personale sia in possesso di determinati requisiti e competenze professionali. A titolo esemplificativo ma non esaustivo di seguito vengono indicati alcuni dei requisiti professionali che di volta in volta potrebbero essere richiesti:

- almeno 5 anni di esperienza nella progettazione, e realizzazione di architetture di rete;

- esperienza comprovata di configurazione e tuning relativa alle componenti dell’Infrastruttura oggetto di fornitura;

- almeno 5 anni di esperienza in materia di sicurezza informatica, con particolare riferimento alla componente organizzativa, per la progettazione/realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni.

Il fornitore dovrà produrre, di volta in volta, quanto necessario per consentire all’Amministrazione di comprovare l’esistenza della suddetta certificazione e dei requisiti professionali richiesti.

Tutte le attività e gli interventi richiesti ed erogati saranno consuntivati mediante apposita Relazione delle attività di Supporto Specialistico svolte, redatta a cura del fornitore ed accettata dall’Amministrazione, nella quale verranno indicati l’orario di inizio, l’oggetto e la durata dell’intervento stesso (mezza giornata o giornata intera a seconda della durata dell’intervento).

11.6 Reportistica sui servizi di assistenza

O58[obbligatorio] La valutazione dei livelli di servizio è fatta su base quadrimestrale, salvo laddove diversamente richiesto; pertanto, i parametri rilevati dovranno rimanere nei limiti indicati del quadrimestre di riferimento. Potranno essere richieste rilevazioni mensili, in modo da permettere il controllo preventivo delle prestazioni e richiedere, se necessario, interventi correttivi all’Aggiudicatario.

L’Aggiudicatario dovrà produrre, su base quadrimestrale, una Relazione contenente la reportistica dei guasti e l’analisi dei livelli di servizio di assistenza erogati nel periodo.

Nella suddetta relazione dovranno essere riportati tutti i guasti e malfunzionamenti che si sono verificati nel periodo. Per ciascun guasto o malfunzionamento dovranno essere indicati:

• L’identificativo dell’apparato e/o componente guasto

• Sede e sistema in cui si è verificato il guasto (NSIS)

• Data e ora dell’apertura/segnalazione del guasto e del ripristino del servizio

• Breve descrizione del guasto

• La diagnosi e la procedura di ripristino individuata

• I valori di riferimento del livello di servizio previsto per il tempo di ripristino

• Data e orario di arrivo sul sito del componente da sostituire

• Data e orario di ripristino dell’eventuale nuovo componente

• Durata del disservizio (fino al completo ripristino delle funzionalità)

• Personale tecnico che ha effettuato l’intervento di ripristino.

L’Aggiudicatario dovrà rendere disponibili all’Amministrazione in formato elettronico i risultati delle misure effettuate, attraverso report quadrimestrali, con la misurazione dei livelli di servizio. Tali report dovranno essere trasmessi all’Amministrazione entro il giorno 20 (venti) successivo al quadrimestre di riferimento.

Oltre ai report quadrimestrali, potrà essere richiesto anche un analogo report mensile che non sarà preso come riferimento contrattuale per il calcolo delle penali, ma permetterà il controllo sull’andamento delle prestazioni per prevenire eventuali criticità.

L’Aggiudicatario dovrà corredare, ove richiesto, il report mensile dell’indicazione puntuale delle azioni intraprese o che intende intraprendere al fine di rimuovere le criticità rilevate.

11.7 Corsi di Formazione

O59[obbligatorio] Il fornitore dovrà erogare un servizio di formazione rivolto al personale tecnico dell’Amministrazione con lo scopo di fornire una adeguata conoscenza sulle nuove tecnologie offerte, tale da consentire la gestione delle apparecchiature e dei prodotti software previsti nell’ambito della fornitura.

La formazione dovrà essere volta all’approfondimento di temi riguardanti l’utilizzo e la gestione dei nuovi prodotti oggetto di fornitura comprendendo le caratteristiche e le funzionalità salienti, con particolare riferimento alle configurazioni hardware e software adottate. Inoltre dovrà comprendere le comuni problematiche riscontrabili nell’implementazione della tecnologia nell’ambiente applicativo dell’Amministrazione.

I corsi di formazione devono riguardare i nuovi apparati di Next Generation Firewall inseriti all’interno dell’infrastruttura e il relativo Sistema di gestione centralizzato, i nuovi apparati di Bilanciamento di carico inseriti all’interno dell’infrastruttura e il relativo Sistema di gestione centralizzato.

Il fornitore dovrà erogare:

• una sessione di formazione, della durata di 5 (cinque) giorni, per 5 discenti, presso la sede del fornitore o una sede equivalente purché siano site a Roma, su tutte le componenti del sistema oggetto di fornitura relativamente ai nuovi apparati di Bilanciamento di carico. La sessione dovrà riguardare tutte le funzionalità dei bilanciatori di carico in fornitura, le funzionalità del sistema di gestione, il troubleshooting e gli aspetti di installazione e configurazione degli apparati.

• tre sessioni di formazione, ciascuna della durata di 5 (cinque) giorni per 5 discenti, presso la sede del fornitore o una sede equivalente purché site a Roma, per tutti gli apparati di Next Generation Firewall oggetto di fornitura:

o la prima sessione dovrà riguardare tutte le funzionalità dei Next Generation Firewall in fornitura;

o la seconda sessione dovrà riguardare nel dettaglio le funzionalità del sistema di gestione degli apparati;

o la terza sessione verterà sul troubleshooting per operare sugli apparati.

Il fornitore, inoltre, dovrà provvedere alla fornitura della documentazione didattica per i discenti, sia su supporto cartaceo, sia su supporto elettronico.

Le sessioni di formazione dovranno essere svolte da personale certificato sui prodotti offerti e dovranno essere tenute presso un apposito locale, adeguatamente attrezzato, messo a disposizione dal Fornitore.

Le sessioni di formazione dovranno essere erogate, previo accordo con l’Amministrazione, entro un tempo massimo di due (mesi) mesi dalla data di completamento delle attività di migrazione dei dati e configurazione.

Il completo e corretto espletamento delle sessioni di formazione sarà certificato mediante apposita relazione sulla formazione svolta comprendente un questionario che indichi il livello di gradimento del corso da parte dei discenti, redatta a cura dell’Impresa di concerto con l’Amministrazione.

Il fornitore al termine di ogni sessione rilascerà ai partecipanti un attestato di partecipazione.

L’amministrazione potrà richiedere la sostituzione delle figure professionali, impiegate per erogare i corsi di formazione, non ritenute adeguate per la mansione e l’attività svolta, richiedendone la rimozione.

Inoltre, come indicato nel paragrafo 12, sarà misurato l’indicatore di qualità relativo al livello di soddisfazione degli allievi per ciascuno dei corsi sopra indicati in base ai seguenti aspetti:

- materiale didattico;

- qualità della docenza;

- qualità dell’assistenza tutoring e della piattaforma didattica;

- organizzazione del corso.

12 TEMPISTICHE E LIVELLI DI SERVIZIO

Si riepilogano di seguito le tempistiche caratterizzanti i servizi descritti nel presente capitolato tecnico.

- Kick off meeting: l’Amministrazione, nella persona del Direttore dell’Esecuzione Contrattuale, provvederà ad indire tale incontro entro 5 giorni lavorativi dalla data di inizio esecutività del contratto.

- Progetto esecutivo comprensivo dei progetti di High Level Design e Low Level Design: il progetto esecutivo dovrà essere presentato e consegnato all’Amministrazione entro e non oltre 45 giorni solari dal Kick-off meeting.

- La Consegna di tutti gli apparati, materiali e sistemi in fornitura: dovrà avvenire entro e non oltre 60 giorni solari dalla data di esecutività del contratto.

- Il completamento del cablaggio strutturato dell’intera infrastruttura e di tutte le attivita di disinstallazione degli apparati esistenti, di installazione, migrazione e configurazione di tutti gli apparati e sistemi di nuova fornitura dovranno terminare entro e non oltre 90 giorni solari dalla data di approvazione del progetto esecutivo da parte dell’Amministrazione.

- Tempi di ripristino per guasti bloccanti: entro e non oltre 4 ore solari dalla richiesta di intervento con la segnalazione del guasto.

- Tempi di ripristino per guasti non bloccanti: entro e non oltre 8 ore solari dalla richiesta di intervento con la segnalazione del guasto.

- Presentazione della Relazione contenente la reportistica dei guasti e l’analisi dei livelli di servizio di assistenza erogati nel periodo/quadrimestre di riferimento: tali report dovranno essere trasmessi all’Amministrazione entro il giorno 20 (venti) successivo al quadrimestre di riferimento.

- Tempo di presa in carico della richiesta di supporto specialistico: entro 1 (uno) giorno lavorativo dalla ricezione della richiesta di supporto specialistico, il fornitore deve prendere in carico la chiamata inviando una email di conferma alla persona di riferimento indicata dall’Amministrazione;

- Tempo di intervento di supporto specialistico: entro 5 (cinque) giorni solari dalla presa in carico; per intervento s’intende la presenza fisica della risorsa nella sede indicata nella chiamata.

- Tempo di risposta dell’operatore al punto telefonico di contatto richiesto nel paragrafo 11.4.3: entro 20 secondi nel 90% dei casi, entro 60 secondi nel 10% dei casi, nel quadrimestre di riferimento. Il tempo di risposta è il tempo (misurato in secondi) che intercorre tra

Aggiornamento della rete per il National Schengen Information System (NSIS) – Fornitura in opera del cablaggio strutturato, degli apparati di rete,

Next Generation Firewall, bilanciatori di carico e servizi di installazione,migrazione, configurazione, manutenzione, supporto e formazione

l’effettuazione della chiamata da parte dell’Amministrazione al punto di contatto telefonico e la risposta dell’operatore al punto di contatto telefonico.

- Numero di chiamate senza risposta effettuate al punto di contatto telefonico richiesto nel paragrafo 11.4.3: non superiore al 5% del totale delle chiamate nel quadrimestre di riferimento.

- Personale inadeguato nello svolgimento delle attività di installazione, configurazione e migrazione e nell’erogazione dei corsi di Formazione: l’indicatore misura la quantità di risorse/figure professionali non rispondenti ai requisiti richiesti o per le quali, pur aderendo formalmente ai requisiti, l’Amministrazione ha ritenuto non adeguata la mansione e l’attività svolta rispetto al ruolo richiesto, richiedendone la rimozione. In particolare, il valore soglia relativo al numero di risorse rimosse per inadeguatezza su richiesta dell’Amministrazione è pari a zero.

- Formazione: l’indicatore di qualità misura il livello di soddisfazione degli allievi per ciascuno dei seguenti aspetti:

o materiale didattico;

o qualità della docenza;

o qualità dell’assistenza tutoring e della piattaforma didattica;

o organizzazione del corso.

Il livello di soddisfazione degli allievi per ciascun corso deve essere superiore al 80%.

Nelle tabelle seguenti vengono indicati i valori soglia e le formule di calcolo per la valutazione degli indicatori relativi al Personale inadeguato e alla formazione (livello di soddisfazione degli allievi):

Caratteristica	Efficienza – Personale inadeguato
Aspetto da valutare	Numero di risorse ritenute inadeguate dall’Amministrazione
Unità di misura	Risorsa/figura professionale inadeguata	Fonte dati	E-mai lettere verbali
Periodo di riferimento	Quadrimestre precedente la rilevazione	Frequenze di misurazione	Quadrimestrale
Dati da rilevare	N_ris_inad = Numero di risorse rimosse per inadeguatezza su richiesta dell’Amministrazione
Formula	PFIN = N_ris_inad
Regole di arrotondamento	nessuna
Valore di soglia	PFIN = 0

Tabella 2 - Indicatore di qualità relativo al Personale inadeguato

Caratteristica	Formazione - Soddisfazione dei discenti in merito ai corsi di formazione
Aspetto da valutare	La soddisfazione degli allievi che hanno frequentato il corso. La valutazione avverrà utilizzando numeri positivi in scala da 1 a 10 in cui: <=5 corrisponde a “non soddisfatto”; =6 corrisponde a “appena soddisfatto”; =7-8 corrisponde a “soddisfatto”; =9-10 corrisponde a “pienamente soddisfatto”.
Unità di misura	Percentuale	Fonte dati	Questionari
Periodo di riferimento	al termine di ciascun corso	Frequenze di misurazione	al termine di ciascun corso
Dati da rilevare	Per ciascun allievo dovranno essere valutate: - Risp_pos = Numero di risposte positive (valore >=7) - Risp_tot = Numero di risposte totali - Ut_tot = Numero di utenti totali che hanno risposto alle domande
Formula	SDAL =[( ∑𝑈𝑡_𝑡𝑜𝑡 𝑅𝑖𝑠𝑝𝑝𝑜𝑠𝑖) / (Risp_totUt_tot) ]100 𝑖=1
Regole di arrotondamento	nessuna
Valore di soglia	SDAL >= 80%

Tabella 3 – indicatore di qualità relativo alla Formazione

Si riportano di seguito, suddivisi per le voci oggetto della fornitura e relativamente al periodo di erogazione del servizio riportato nel presente capitolato, i livelli di servizio minimi attesi.

INDICATORE DEL SERVIZIO

VALORI DI SOGLIA

PERIODO DI OSSERVAZIONE

CONTESTO DI

MISURA

Presentazione del progetto esecutivo comprensivo dei progetti di High Level Design e di

Low Level Design

Entro 45 giorni solari dal Kick-off meeting

Una tantum

email/PEC

Consegna degli apparati, materiali e dei sistemi in

fornitura

Entro 60 giorni solari dalla data di inizio esecutività del contratto

Una tantum

Chiamata/email/ PEC

Completamento di tutte le attività relative al cablaggio strutturato e relative ai servizi di disinstallazione degli apparati esistenti, installazione, migrazione e configurazione di tutti gli apparati e sistemi previsti

in fornitura

Entro 90 giorni solari dalla data di approvazione del progetto esecutivo da parte dell’Amministrazione.

Una tantum

Chiamata/email/ PEC

Servizi di assistenza e manutenzione - Tempo di rispristino dell’infrastruttura o del servizio per guasti bloccanti

Tempo di ripristino

dell'infrastruttura o del servizio:

≤ 4 ore solari dalla richiesta di intervento con la segnalazione del guasto

Quadrimestre

Chiamata/email/ PEC

Servizi di assistenza e manutenzione - Tempo di rispristino dell’infrastruttura o del servizio per guasti non

bloccanti

Tempo di ripristino

dell'infrastruttura o del servizio:

≤ 8 ore solari dalla richiesta di intervento con la segnalazione del

guasto

Quadrimestre

Chiamata/email/ PEC

Presentazione della relazione contenente la reportistica dei

guasti e l’analisi dei livelli di

Xxxx report dovranno essere trasmessi all’Amministrazione

entro il giorno 20 (venti)

Quadrimestre

email/PEC

INDICATORE DEL SERVIZIO

VALORI DI SOGLIA

PERIODO DI OSSERVAZIONE

CONTESTO DI

MISURA

servizio di assistenza erogati nel periodo/quadrimestre di

riferimento

successivo al quadrimestre di riferimento.

Tempo di presa in carico della richiesta di supporto

specialistico

entro 1 (uno) giorno lavorativo

dalla ricezione della richiesta di

supporto specialistico

Una tantum

Tempo di intervento di supporto specialistico; per intervento si intende la presenza fisica della risorsa nella sede

indicata nella chiamata.

Entro 5 (cinque) giorni solari dalla presa in carico

Una tantum

Tempo di risposta dell’operatore del punto di

contatto telefonico

entro 20 secondi nel 90% dei casi, entro 60 secondi nel 10% dei casi,

nel quadrimestre di riferimento

Quadrimestre

Chiamata

Numero di chiamate senza risposta effettuate al punto di

contatto telefonico

non superiore al 5% del totale delle chiamate nel quadrimestre

di riferimento

Quadrimestre

Chiamata

Personale inadeguato: l’indicatore misura la quantità di risorse/figure professionali non rispondenti ai requisiti richiesti o per le quali, pur aderendo formalmente ai requisiti, l’Amministrazione ha ritenuto non adeguata la mansione e l’attività svolta rispetto al ruolo richiesto, richiedendone la

rimozione

Numero di figure professionali/personale rimosso perché ritenuto inadeguato = 0

Al termine di ciascun corso di formazione o nelle fasi di installazione, configurazione e migrazione

Chiamata/email/ PEC

Formazione: l’indicatore di qualità misura il livello di soddisfazione degli allievi per ciascuno dei seguenti aspetti:

• materiale didattico,

• qualità della docenza

• qualità dell’assistenza tutoring e della piattaforma didattica

• organizzazione del corso.

Per ogni corso di Formazione erogato, va misurato il livello complessivo di soddisfazione

degli allievi

Il livello complessivo di soddisfazione degli allievi per ciascun corso di Formazione deve essere superiore al 80%.

Al termine del corso di formazione

Chiamata/email/ PEC

Tabella 4 - Tempistiche e livelli di servizio

13 VERIFICA DI CONFORMITÀ

Le operazioni di verifica di conformità saranno eseguite da una specifica commissione, a tal fine designata formalmente dall’Amministrazione, che dovrà verificare la piena funzionalità di tutti i sistemi in fornitura e la loro rispondenza ai requisiti mandatori e a quelli migliorativi proposti in offerta.

Per dare avvio alle operazioni di verifica di conformità, l’Amministrazione dovrà ricevere da parte del fornitore una formale comunicazione di approntamento al collaudo al termine della fase di migrazione e configurazione (paragrafo 11.3).

Inoltre, ai fini dell’effettuazione della verifica di conformità, il Fornitore deve trasmettere all’Amministrazione entro 80 giorni solari dall’approvazione del Progetto Esecutivo un dettagliato Piano dei Test Funzionali per verificare tutte le funzionalità del sistema. Le verifiche saranno eseguite secondo le modalità previste nel piano, fatta salva la facoltà della Commissione di richiedere ulteriori accertamenti.

Nel corso della verifica finale di conformità, la Commissione avrà la facoltà di eseguire verifiche anche differenti da quanto indicato nella documentazione fornita dal Fornitore nel Piano dei Test Funzionali. Inoltre, per facilitare le operazioni di verifica di conformità, la Commissione potrà richiedere la presenza del DEC e di personale inviato dal fornitore.

All’atto dell’accettazione della fornitura, in caso di esito positivo della verifica di conformità, verrà redatto e sottoscritto dall’Amministrazione il verbale di collaudo ed accettazione, cui sarà allegato il documento rapporto di collaudo in cui sono tracciate le attività svolte durante il collaudo stesso.

La presenza di anomalie che, a giudizio dell’Amministrazione, per gravità o numerosità, non consentano lo svolgimento o la prosecuzione delle attività di collaudo provocherà la sospensione del collaudo stesso. La suddetta sospensione potrebbe comportare il mancato rispetto della data prevista di fine collaudo, per cause imputabili al fornitore. Le anomalie emerse in fase di collaudo devono essere rimosse entro il termine massimo di 15 giorni lavorativi.

14 CRITERIO DI AGGIUDICAZIONE

Le offerte presentate saranno valutate applicando il criterio dell’offerta economicamente più vantaggiosa con l’attribuzione di un punteggio complessivo massimo pari a 100 punti ripartiti come di seguito indicato:

• PT – Componente tecnica: 70 punti

• PE – Componente economica: 30 punti

Il punteggio totale sarà determinato dalla somma algebrica del punteggio tecnico (PT) e del

punteggio economico (PE), applicando la seguente formula:

Y = PT + PE

Saranno esclusi dalla gara i concorrenti che presentino:

- offerte nelle quali sono sollevate eccezioni e/o riserve di qualsiasi natura alle condizioni di fornitura specificate nel presente capitolato;

- offerte che sono sottoposte a condizione;

- offerte incomplete e/o parziali;

- offerte di servizi che non possiedono le caratteristiche minime stabilite nel presente capitolato, ovvero proposte con modalità difformi, in senso peggiorativo.

La gara sarà aggiudicata all’offerta che avrà conseguito la massima valutazione totale. I calcoli del punteggio complessivo saranno troncati alla terza cifra decimale, senza alcun arrotondamento. A parità di punteggio complessivo si proporrà l’aggiudicazione a favore della società che avrà ottenuto il maggiore punteggio tecnico.

14.1 Valutazione dell’offerta tecnica

Il punteggio relativo all’offerta tecnica (PT) sarà attribuito secondo il metodo aggregativo compensatore, conformemente alle Linee Guida attuative ANAC del D. Lgs. 50/2016 (Nuovo Codice dei Contratti Pubblici). Il punteggio tecnico complessivo di ciascuna offerta sarà dato dalla formula:

𝑛

𝑃𝑇 = 𝐶(𝑎) = ∑[W𝑖 ∗ 𝑉(𝑎)𝑖]

𝑖=1

dove:

• C(a) = indice di valutazione della singola offerta riferita al concorrente (a);

• Σ = sommatoria dei punteggi associati a tutti i requisiti;

• n = numero totale dei parametri previsti nel capitolato che attribuiscono punteggio tecnico;

• Wi = peso o punteggio massimo attribuito al requisito i-esimo;

• V(a)i = coefficiente del servizio offerto dal concorrente (a) rispetto al requisito i-esimo, variabile tra 0 ed 1 calcolato per i parametri prestazionali e qualitativi come di seguito riportato.

Il punteggio relativo ai requisiti migliorativi sulle performance (requisiti Ri, i= 8,9) verrà assegnato con la seguente formula:

PTecnicoi = [W𝑖 ∗ 𝑉(𝑎)𝑖] = W𝑖 ∗ (𝑃𝑖 − 𝑀𝐼𝑁)

𝑀𝐴𝑋 − 𝑀𝐼𝑁

Si specifica che se Pi =MIN=MAX, ovvero in presenza di una sola offerta, il punteggio sarà calcolato nel seguente modo:

PTecnicoi = [W𝑖 ∗ 𝑉(𝑎)𝑖] = W𝑖 ∗ 1

Dove:

− Wi è il punteggio massimo attribuibile al parametro prestazionale/criterio i-esimo Pi;

− MAX è il massimo del valore relativo al parametro prestazionale Pi tra tutte le offerte;

− MIN è il minimo del valore relativo al parametro prestazionale Pi tra tutte le offerte;

− Pi è il valore legato allo specifico parametro prestazionale dell’offerta presa in esame.

Si precisa che saranno considerate le prime tre cifre dopo la virgola senza procedere a alcun arrotondamento (es. PE: 3,2345 punteggio attribuito 3,234)

I parametri di valutazione saranno determinati secondo i valori dei parametri prestazionali nella tabella seguente. Il punteggio Relativo all’offerta tecnica (PT), in base al valore V(a)i di ogni parametro, su cui attribuire il punteggio, va calcolato come indicato in tabella per i singoli parametri Pi:

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P1 =In tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, tutte le modifiche alla configurazione effettuate e salvate non dovranno essere immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì dovrà essere disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica.

7.1 / R1

W1= 2

P1 = In tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, tutte le modifiche alla configurazione effettuate e salvate non dovranno essere immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì dovrà essere disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica

V(a)1= 1

W1* V(a)1= 2

P2 = tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, hanno risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato.

• Esecuzione di operazioni di ripristino (reboot del sistema o restart di servizi).

• Supporto una CLI.

7.1 / R2

W2= 3

P2= tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, hanno risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato.

• Esecuzione di

operazioni di ripristino (reboot del sistema o restart di servizi).

• Supporto una CLI.

V(a)2= 1

W2* V(a)2= 3

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P3 = ciascun Next Generation Firewall previsto in fornitura ha un numero di contesti virtuali attivi e inclusi (a partire dalla comunicazione di approntamento al collaudo) superiore al valore minimo richiesto da capitolato (pari a 0 contesti virtuali) con il relativo servizio di assistenza e manutenzione per almeno 36 mesi dalla data di esito positivo delle

verifiche di conformità.

7.1.2 / R3

0 contesti virtuali attivi

W3=4

P3 = 0 contesti virtuali

P3= 7 contesti virtuali attivi

P3= 10 contesti virtuali attivi

V(a)3 = 0

V(a)3= 0,5

V(a)3= 1

W3 * V(a)3= 0 W3* V(a)3= 2 W3 * V(a)3= 4

P4 = Tutti gli apparati di Next Generation Firewall previsti in fornitura dovranno disporre della funzionalità di inoltro dei log verso più Syslog Server esterni

7.3.4 / R4

W4=1

P4 = Tutti gli apparati di Next Generation Firewall previsti in fornitura dispongono della funzionalità di inoltro dei log verso più Syslog Server esterni

V(a)4= 1

W4* V(a)4= 1

P5 = Tutti gli apparati di Next Generation Firewall previsti in fornitura sono capaci di importare feeds di Threat Intelligence di terze parti tramite opportuni formati allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale.

7.3.4 /R5

W5=3

P5= Tutti gli apparati di Next Generation Firewall previsti in fornitura sono capaci di importare feeds di Threat Intelligence di terze parti tramite opportuni formati allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale.

V(a)5= 1

W5 * V(a)5= 3

P6 = throughput superiore a 12Gbps in tutti gli apparati di NGFW previsti in fornitura. Tale dato di throughput dovrà essere considerato con le sole funzionalità di Firewalling e di Application Control abilitate

Tale dato di throughput dovrà essere garantito:

a) con traffico http e transaction size http 64KB (R6-a)

b) o in alternativa con traffico http e con pacchetti http a 1024 byte (R6-b)

7.4/R6

12Gbps –

O32

W6=5

P6 = 12 Gbps

12 < P6 ≤ 19 Gbps

19 < P6 ≤ 26 Gbps

26 < P6 ≤ 33 Gbps

33 < P6 ≤ 40 Gbps

P6> 40 Gbps

V(a)6 = 0 V(a)6 = 1/5 V(a)6 = 2/5 V(a)6 = 3/5 V(a)6 = 4/5 V(a)6 = 1

W6 * V(a)6= 0 W6 * V(a)6= 1 W6 * V(a)6= 2 W6 * V(a)6= 3 W6 * V(a)6= 4 W6 * V(a)6= 5

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P7 = throughput superiore a 10Gbps, in tutti gli apparati di NGFW previsti in fornitura. Tale dato di throughput dovrà essere considerato con tutte le funzionalità di Next Generation Firewall abilitate di seguito i ndicate: Firewall, Application Control, IPS, AntiMalware, Antivirus.

Tale dato di throughput dovrà essere garantito:

a) con traffico http e transaction size http 64KB (R7-a)

b) in alternativa con traffico http e con pacchetti http a 1024 byte (R7-b)

c) in alternativa con mix di protocolli e dimensioni medie dei pacchetti per simulare un ambiente reale (in questo ultimo caso, tra i protocolli almeno il 30% del traffico deve essere HTTP e almeno il 10% HTTPS). (R7-c)

7.4 /R7

10Gbps -

O32

W7=6

P7 = 10 Gbps

10 < P7 ≤ 12 Gbps

12 < P7 ≤ 14 Gbps

14 < P7 ≤ 16 Gbps

16 < P7 ≤ 18 Gbps

18 < P7 ≤ 20 Gbps

P7 > 20 Gbps

V(a)7 = 0 V(a)7 = 1/6 V(a)7 = 1/3 V(a)7 = ½ V(a)7 = 2/3 V(a)7 = 5/6 V(a)7 = 1

W7 * V(a)7= 0 W7 * V(a)7= 1 W7 * V(a)7= 2 W7 * V(a)7= 3 W7 * V(a)7= 4 W7 * V(a)7= 5 W7 * V(a)7= 6

P8 =throughput superiore a 6 Gbps per gli apparati di Next Generation Firewall di cui si richiede la fornitura. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center in questione):

• HTTPS 40%

• HTTP 20%

• DNS 3%

• SMB 1%

• RDP 9%

• FTP 1%

• SSH 5%

• SMTP 5%

• DB2 8%

• Oracle 8%

7.4/ R8

W8=4

P8 ≤ 6 Gbps

P8 > 6 Gbps

V(a)8 = 0

(𝑃8−𝑀𝐼𝑁)

V(a)8 = 𝑀𝐴𝑋−𝑀𝐼𝑁

Dove: MAX è il massimo del valore relativo

al parametro P8 tra tutte le offerte; MIN è il minimo del valore relativo al parametro P8 tra tutte le offerte;

P8 è il valore legato allo specifico parametro prestazionale dell’offerta presa in esame.

In caso di una sola offerta ovvero se

𝑃8=MIN=MAX,

allora V(a)8 = 1

W8* V(a)8 = 0

W8* V(a)8

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P9 = throughput degli apparati di Next Generation Firewall di cui si richiede la fornitura superiore a 5 Gbps. Tale dato di throughput dovrà essere considerato con tutte le funzionalità abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center in questione):

• HTTPS 40%

• HTTP 20%

• DNS 3%

• SMB 1%

• RDP 9%

• FTP 1%

• SSH 5%

• SMTP 5%

• DB2 8%

• Oracle 8%

7.4/ R9

W9=5

P9 ≤ 5 Gbps

P9 > 5 Gbps

V(a)9= 0

(𝑃9−𝑀𝐼𝑁)

V(a)9= 𝑀𝐴𝑋−𝑀𝐼𝑁

Dove: MAX è il massimo del

valore relativo al parametro P9 tra tutte le offerte; MIN è il minimo del valore relativo al parametro P9 tra tutte le offerte; P9 è il valore legato allo specifico parametro prestazionale dell’offerta presa in esame.

In caso di una sola offerta ovvero se

𝑃9=MIN=MAX,

allora V(a)9 = 1

W9* V(a)9 = 0

W9* V(a)9

P10 = Il sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di un motore di correlazione di oggetti ed eventi relativi a tutte le diverse funzioni di sicurezza attive sugli apparati e garantisce una vista in tempo reale e aggregata delle attività sospette o eventi relativi ad attività malevole.

7.5 / R10

W10=2

V(a)10= 1

W10* V(a)10= 2

P11 = Il sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall supporta funzionalità di remediation automatiche e si integra con tool di vulnerability assessment. Inoltre deve fornire strumenti di controllo, risposta e gestione degli incidenti.

7.5 / R11

W11=2

V(a)11= 1

W11* V(a)11= 2

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P12 = Il sistema di gestione degli apparati di Next Generation Firewall proposto in fornitura consente di confrontare due configurazioni (sia di sistema che dell’insieme di regole di sicurezza) e di evidenziare le differenze.

7.5 /R12

W12=1

V(a)12= 1

W12* V(a)12= 1

P13 = Il sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che comprendano almeno 4 differenti categorie di informazioni.

- La possibilità di creare report che evidenzino l’attività di un singolo specifico utente, selezionando un intervallo di tempo.

- La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti

- La possibilità di fornire report sugli eventuali “botnet” presenti in rete, che evidenzino i comportamenti anomali e le azioni malevole quali utilizzo di DNS dinamici, accesso a siti di recente registrazione, siti di Malware, ecc.

7.5/R13

W13=2

P13 = Il sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che

comprendano almeno 4 differenti categorie di informazioni.

- La possibilità di creare report che evidenzino l’attività di un singolo specifico utente, selezionando un intervallo di tempo.

- La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti

V(a)13= 1

W13* V(a)13= 2

P14 = ciascun bilanciatore di carico previsto in fornitura dovrà essere dotato della funzionalità SSL VPN, ovvero dovrà avere la possibilità di chiudere VPN SSL in modalità tunnel mode.

8/ R14

W14=1

P14 = ciascun bilanciatore di carico previsto in fornitura dovrà essere dotato della funzionalità SSL VPN, ovvero dovrà la possibilità di chiudere VPN SSL in modalità tunnel mode.

V(a)14= 1

W14* V(a)14= 1

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P15 = ciascun bilanciatore di carico previsto in fornitura consente di regolare in maniera automatica e manuale il rateo di connessioni aperte verso il backend. Deve essere possibile aprire nuove sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di smaltire il traffico in eccesso

8/ X00

X00x0

X00 = ciascun bilanciatore di carico previsto in fornitura consente di regolare in maniera automatica e manuale il rateo di connessioni aperte verso il backend. Deve essere possibile aprire nuove sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di smaltire il traffico in eccesso

V(a)15= 1

W15* V(a)15= 1

P16= ciascun bilanciatore di carico previsto in fornitura è dotato e avrà attivate Funzionalità di Web Application Firewall con l’aggiornamento delle firme per almeno 36 mesi a partire dalla data di comunicazione di approntamento al collaudo; inoltre deve essere previsto il relativo servizio di assistenza e manutenzione per la funzionalità di Web Application Firewall per almeno tre anni dalla data di esito positivo delle verifiche di conformità

8/ X00

X00x0

X00 = ciascun bilanciatore di carico previsto in fornitura è dotato e avrà attivate Funzionalità di Web Application Firewall con l’aggiornamento delle firme per almeno 36 mesi a partire dalla data di comunicazione di approntamento al collaudo; inoltre deve essere previsto il relativo servizio di assistenza e manutenzione per la funzionalità di Web Application Firewall per almeno tre anni dalla data di esito positivo delle

verifiche di conformità

V(a)16= 1

W16* V(a)16= 3

P17= ciascun bilanciatore di carico previsto in fornitura deve supportare la Multi-Factor Authentication : gli apparati dovranno essere nativamente dotati della funzionalità di Autenticazione a più fattori (MFA), in modo da garantire che ciascun utente effettui l'autenticazione utilizzando più metodi (fattori) durante l'accesso a servizi e applicazioni

8/ X00

X00x0

X00 = ciascun bilanciatore di carico previsto in fornitura deve supportare la Multi- Factor Authentication : gli apparati dovranno essere nativamente dotati della funzionalità di Autenticazione a più fattori (MFA), in modo da garantire che ciascun utente effettui l'autenticazione utilizzando più metodi (fattori) durante l'accesso a servizi e

applicazioni.

V(a)17= 1

W17* V(a)17= 1

P18= ciascun bilanciatore di carico previsto in fornitura supporta funzionalità di L2 Extension: ciascun bilanciatore deve consentire la creazione di tunnel GRE incapsulati in IPSec ed il trasporto end-to-end di tunnel IP- over-IP e di ARP per la L2 e L3 Extension.

8/ R18

W18=1

P18 = ciascun bilanciatore di carico previsto in fornitura supporta funzionalità di L2 Extension: ciascun bilanciatore deve consentire la creazione di tunnel GRE incapsulati in IPSec ed il trasporto end-to-end di tunnel IP-over-IP e di ARP per la L2 e L3 Extension.

V(a)18= 1

W18* V(a)18= 1

P19= ciascun bilanciatore di carico previsto in fornitura consente il monitoraggio sia del traffico in Real Time sia del traffico storicizzato e consente di storicizzare il traffico per almeno 60 giorni

8/ X00

X00x0

X00 = ciascun bilanciatore di carico previsto in fornitura consente il monitoraggio del traffico in Real Time sia del traffico storicizzato e consente di storicizzare il traffico per almeno 60 giorni

V(a)19= 1

W19* V(a)19= 1

Parametro Prestazionale di riferimento Pi

Paragrafo/ Requisito premiante Ri

Valore Soglia – Requisito Obbligatorio

Punteggio Massimo, Peso Wi

RANGE DEI VALORI DEL PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO ATTRIBUITO = PRODOTTO Wi *

P20= ciascun bilanciatore di carico previsto in fornitura ha un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O37.

8/R20

1 GB – O37

W20=6

P20= 1Gbps

1 Gbps < P20 < 4 Gbps 4 Gbps ≤ P20 < 6 Gbps 6 Gbps ≤ P20 < 8 Gbps 8 Gbps ≤ P20 < 10 Gbps

10 Gbps ≤ P20 < 12 Gbps

P20 ≥ 12 Gbps

V(a)20= 0 V(a)20 = 1/6 V(a)20 = 1/3 V(a)20 = ½ V(a)20 = 2/3 V(a)20 = 5/6

V(a)20 = 1

W20* V(a)20= 0

W20* V(a)20= 1

W20* V(a)20= 2

W20* V(a)20= 3

W20* V(a)20= 4

W20* V(a)20= 5

W20* V(a)20= 6

P21= ciascun bilanciatore di carico previsto in fornitura ha un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O37.

8/R21

1GB – O37

W21=4

P21 = 1 Gbps

1 Gbps < P21< 4 Gbps 4 Gbps ≤ P21 < 5 Gbps 5 Gbps ≤ P21< 6 Gbps

6 Gbps ≤ P21< 7 Gbps 7 Gbps ≤ P21 < 8 Gbps 8 Gbps ≤ P21 < 9 Gbps 9 Gbps ≤ P21 < 10 Gbps

P21 ≥ 10 Gbps

V(a)21 = 0 V(a)21 = 1/8 V(a)21 = 1/4 V(a)21 = 3/8 V(a)21 = 1/2 V(a)21 = 5/8 V(a)21 = 3/4 V(a)21 = 7/8

V(a)21 = 1

W21* V(a)21= 0 W21 * V(a)21= 0,5 W21 * V(a)21= 1 W21 * V(a)21= 1,5 W21 * V(a)21= 2 W21 * V(a)21= 2,5 W21 * V(a)21= 3 W21 * V(a)21= 3,5

W21 * V(a)21= 4

P22= Estensione del servizio di assistenza e manutenzione su tutti gli apparati, su tutte le soluzioni virtuali, sul cablaggio strutturato e su tutte le soluzioni software previste in fornitura, estensione dell’utilizzo e aggiornamento di tutte le licenze previste in fornitura (comprese quelle fornite con i punteggi premianti), estensione del servizio di assistenza su tutte le licenze, rispetto al periodo minimo previsto nel capitolato pari a 36 mesi.

11.4/R22

36 mesi – O52

W22=12

P22= 36 mesi

P22= 48 mesi

P22= 60 mesi

V(a)22= 0

V(a)22 =0,5

V(a)22 = 1

W22 * V(a)22= 0 W22 * V(a)22= 6 W22 * V(a)22= 12

Tabella 5 - Parametri e Punteggi offerta tecnica

14.2 Valutazione dell’offerta economica

L’attribuzione dei punteggi relativi all’offerta economica (PE) saranno calcolati sulla base della seguente formula:

𝑃𝐸𝑖 = 30 × ( )

𝑅𝑖

𝛼

𝑅𝑚𝑎𝑥

Dove:

- 𝑃𝐸𝑖 è il punteggio economico attribuito all’offerta del concorrente i-simo;

- 𝑅𝑖 ribasso rispetto all’importo complessivo a Base d’Asta (BA), determinato in ragione del prezzo complessivo offerto dal concorrente i-simo (Pi), mediante la seguente formula:

𝑅𝑖 = (𝐵𝐴 − 𝑃𝑖)

𝐵𝐴

− 𝑅𝑚𝑎𝑥 è il massimo ribasso rispetto al prezzo a base d’asta tra tutte le offerte pervenute;

− 𝛼 un parametro pari a 0,4

Si precisa che nell’attribuzione dei punteggi dovranno essere considerate le prime tre cifre dopo la virgola senza procedere ad alcun arrotondamento (es. PE: 3,23456 punteggio attribuito 3,234).

15 MODALITÀ DI PRESENTAZIONE DELL’OFFERTA

Si riportano di seguito i criteri che ciascuna società concorrente deve seguire nel redigere la propria offerta.

15.1 Offerta Tecnica

L’offerta tecnica deve essere prodotta in lingua italiana e priva di qualsiasi indicazione di carattere economico; dovranno evincersi in maniera dettagliata le caratteristiche del beni e servizi offerti.

Lo schema di offerta tecnica richiesto dovrà avere la struttura del capitolato tecnico (rispettando la sequenza dei capitoli e paragrafi), in modo che si possano evincere in maniera diretta e dettagliata le caratteristiche di quanto offerto. Nell’offerta tecnica dovranno essere messe a confronto le caratteristiche tecniche minime richieste e quelle offerte, dovranno essere indicate le modalità di fornitura e di presentazione dei servizi oggetto del capitolato, con riferimento ai requisiti indicati nel presente documento.

Inoltre dovranno essere allegati all’offerta tecnica:

• un cronoprogramma con tutte le attività previste;

• i datasheet e le specifiche tecniche di tutti gli apparati e sistemi previsti in fornitura;

• tutta la documentazione necessaria che attesti i parametri prestazionali dichiarati e le funzionalità richieste nel presente capitolato (requisiti obbligatori e requisiti migliorativi offerti). In particolare, con riferimento ai parametri prestazionali dichiarati relativi ai requisiti migliorativi R8 e R9, il Fornitore deve fornire in offerta tutta la documentazione necessaria con il dettaglio dei test eseguiti dal produttore degli apparati di Next Generation Firewall, la procedura utilizzata per l’effettuazione dei test, lo scenario e l’ambiente in cui è stato effettuato il test, gli strumenti utilizzati per l’esecuzione dei test, i dati di input e l’output ottenuto.

• le dichiarazioni dei Produttori degli apparati in fornitura che, sotto la propria responsabilità, attestino la veridicità di tutti i parametri prestazionali dichiarati nell’offerta tecnica ed in particolare la veridicità dei parametri prestazionali relativi ai requisiti migliorativi R8 e R9 e la veridicità di tutti i parametri prestazionali dichiarati in offerta non presenti nei datasheet degli apparati in fornitura.

L’offerta tecnica dovrà:

− essere presentata su fogli singoli di formato DIN A4, non in bollo, con una numerazione progressiva ed univoca delle pagine;

− essere fascicolata con rilegatura non rimovibile;

− essere contenuta entro le 100 (cento) pagine;

− rispettare lo schema di risposta proposto.

Oltre all’offerta tecnica in originale, dovrà essere aggiunta una copia in formato elettronico non modificabile con la possibilità di eseguire ricerche di testo. Nella copia in formato elettronico deve essere presente l’offerta tecnica e tutta la documentazione allegata richiesta sopra.

15.2 Offerta Economica

L’offerta economica dovrà essere presentata mediante la compilazione della seguente tabella, ovvero, in qualsiasi altra forma stilistica purché rappresenti, a pena di esclusione, i medesimi livelli di dettaglio e di informazioni:

DESCRIZIONE	QTA’	COSTO ANNUO/ COSTO UNITARIO	COSTO COMPLESSIVO
Realizzazione cablaggio strutturato:
Fornitura di Materiali
Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e numero dei giorni di attività
Fornitura apparati Hardware e soluzioni virtuali:
Fornitura apparati di rete
Fornitura Next Generation Firewall
Fornitura Bilanciatori di carico
Licenze (IPS – AntiMalware-Antispyware-Antivirus-URLFiltering etc) - (Inserire il dettaglio dei servizi o licenze fornite)
Licenze contesti virtuali
Sistema di gestione
Progettazione
Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e numero dei giorni di attività
Servizio di installazione, migrazione e configurazione degli apparati e dei sistemi in fornitura
Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e numero dei giorni di attività
Servizio di manutenzione
Manutenzione sul cablaggio strutturato
Manutenzione sugli apparati di rete
Manutenzione sugli apparati di Next Generation Firewal e sul relativo sistema di gestione
Manutenzione sui bilanciatori di carico e sul relativo sistema di gestione
Supporto specialistico

DESCRIZIONE	QTA’	COSTO ANNUO/ COSTO UNITARIO	COSTO COMPLESSIVO
Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e numero dei giorni di attività
Formazione
Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e numero dei giorni di attività
Altro (specificare le singole voci integrative ed i costi in dettaglio)
TOTALE OFFERTA IVA ESCLUSA
Costi per la sicurezza
TOTALE IVA ESCLUSA

Tabella 6 – Presentazione offerta economica

Document Metadata

Table of Contents

Free Standard Templates

MINISTERO DELL’INTERNO

Document Metadata