Opis Przedmiotu Zamówienia
Załącznik nr 1 do SIWZ
Załącznik nr 1 do Umowy
Sprawa numer: 24/SISP-2/PN/2015
Opis Przedmiotu Zamówienia
Zwiększenie wydajności i
niezawodności świadczenia usług wytworzonych w ramach projektu
SISP-2, w tym dla aplikacji Dziedzinowych Baz Danych poprzez zakup
i
konfigurację urządzeń balansujących ruch internetowy.
I Wymagania ogólne:
Urządzenia muszą być fabrycznie nowe, nie używane wcześniej w innych projektach. Nie dopuszcza się rozwiązań typu „refubrished” itp.
Wykonawca zobowiązany jest załączyć do oferty oświadczenie, że całość dostarczonego sprzętu będzie fabrycznie nowa - nie używana we wcześniejszych projektach.
Wykonawca zobowiązany jest załączyć do oferty wykaz wszystkich oferowanych urządzeń z oznaczeniem numerów katalogowych producentów urządzeń wraz z ich zestawieniem ilościowym oraz opisem technicznym potwierdzającym spełnienie wymogów Zamawiającego.
Przedmiot zamówienia, którego specyfikacja przedstawiona została poniżej zlokalizowany będzie w Ośrodku Podstawowym Centrum Informatyki Statystycznej
w Warszawie (serwerownia CIS Warszawa).
Przedmiotem zamówienia jest dostawa oraz wdrożenie systemu zwiększającego wydajność, niezawodność oraz bezpieczny dostęp do serwisów Web Zamawiającego spełniających poniższe wymagania:
II Bezpieczny, niezawodny dostęp do aplikacji web:
System musi realizować co najmniej następujące funkcje:
rozkład ruchu pomiędzy serwerami aplikacji Web,
selektywny http caching,
selektywna kompresja danych,
terminowanie sesji SSL,
filtrowanie pakietów,
optymalizacja i akceleracja aplikacji,
bramka SSL VPN,
globalnego równoważenia obciążenia za pomocą protokołu DNS,
ochrona przed atakami na aplikacje internetowe i serwery WWW (Web Application Firewall).
System musi posiadać co najmniej następujące metody równoważenia obciążenia:
cykliczna,
ważona,
najmniejsza liczba połączeń,
najszybsza odpowiedź serwera,
najmniejsza liczba połączeń i najszybsza odpowiedź serwera,
najmniejsza liczba połączeń i najszybsza odpowiedź serwera
w zdefiniowanym czasie,dynamicznie ważona oparta na SNMP/WMI,
definiowana na podstawie grupy priorytetów dla serwerów.
Rozwiązanie musi posiadać wbudowany w system operacyjny język skryptowy, posiadający co najmniej następujące cechy:
analiza, zmiana oraz zastępowanie parametrów w nagłówku http oraz
w zawartości pakietów,obsługa protokołów: http, tcp, xml, rtsp, sip.
musi posiadać funkcję inspekcji protokołów LDAP oraz RADIUS,
Język skryptowy musi bazować na języku programowania Tool Command Language lub równoważnym, z własnymi komendami.
Musi istnieć możliwość modyfikacji metod równoważenia obciążenia pomiędzy serwerami przy wykorzystaniu wbudowanego języka skryptowego.
Rozwiązanie musi pracować w trybie pełnego Proxy.
Rozwiązanie musi posiadać programowalny interfejs API do integracji z zewnętrznymi systemami oraz automatyzacji wykonywania operacji.
Funkcjonalność lokalnego równoważenia obciążenia:
wspierane mechanizmy równoważenia obciążenia: round robin, ważona, dynamicznie ważona (na podstawie SNMP/WMI), najmniejsza liczba połączeń, najszybsza odpowiedź, grupy priorytetów, możliwość modyfikacji za pomocą języka skryptowego,
buforowanie połączeń TCP w przypadku osiągnięcia zadanej ilości sesji dla danego serwera,
obsługiwane mechanizmy monitorowania stanu serwerów: ICMP, TCP, TCP half-open, UDP, SSL, http/https, LDAP, zapytania do baz MS SQL i Oracle, FTP, SIP, SMB/CIFS, Radius, SIP, POP3, IMAP, SMTP, SNMP, SOAP, skryptowy, sprawdzanie odpowiedzi w oparciu o wyrażenia regularne,
obsługiwane mechanizmy przywiązywania sesji: cookie, adres źródłowy, adres docelowy, SSL ID, RDP login name, JSESSIONID, SIP call ID,
wsparcie dla usług warstw 4-7: inspekcja warstwy 7, wstrzykiwanie nagłówków http, ukrywanie zasobów, zmiana odpowiedzi serwera, zaszyfrowane cookies, przepisywanie odpowiedzi, ochrona przed atakami DoS/DDoS i SYN Flood, multipleksacja zapytań HTTP, kompresja i cache’owanie http.
Optymalizacja i akceleracja aplikacji:
Urządzenie musi optymalizować protokół TCP i posiadać predefiniowane profile dla następujących charakterystyk sieci:
LAN,
WAN,
CELL (komórkowy).
Urządzenie powinno implementować TCP proxy z mechanizmem zamykania okna w stronę serwera www w przypadku zbyt wolnego odbierania danych przez zdalnego klienta.
Urządzenie musi posiadać cache i musi umożliwiać definiowania list URI
w celu:Trwałego przetrzymywania obiektów w cache,
Cachowania obiektów,
Zapobieżenia cachowania obiektów.
Urządzenie musi mieć możliwość włączenia ignorowania nagłówków przeglądarki dotyczących cachowania (Cache-control).
Urządzenie musi wspierać multipleksacje wielu zapytań http w tej samej sesji TCP.
Urządzenie musi umożliwiać kompresję zwracanej zawartości http. Użycie kompresji powinno być zależne od:
Listy dozwolonych URI,
Listy wykluczonych URI,
Listy kompresowalnych Content-Type,
Listy wykluczonych Content-Type.
Bramka SSL VPN musi posiadać co najmniej następujące funkcje:
obsługa trybów: dostęp przez portal web, tunelowanie aplikacji, pełny dostęp,
obsługa IPv6,
obsługa szyfrowania danych przy użyciu protokołu DTLS,
uwierzytelnienie użytkowników przy wykorzystaniu: formularzy, certyfikatów cyfrowych, SecurID, Kerberos SSO, tokenów RSA, Radius, LDAP, Oracle Access Manager, kart smart cards, uwierzytelnienia wieloskładnikowego,
wsparcie dla platform klientów VPN: Windows, Mac, Linux, Android, iPad, iPhone oraz przeglądarek: IE, Firefox, Chrome,
inspekcja stacji klienta sprawdzająca poprawność pracy aplikacji (antywirus, firewall, dostępność plików, rejestrów, procesów, CPU ID, HDD ID) dla systemów Windows, Linux, Mac,
definiowanie reguł dostępu użytkownika bazując na listach uwzględniających parametry warstwy 4 oraz 7 modelu ISO OSI,
funkcja SSO (gromadzenia parametrów uwierzytelnienia użytkownika - credential caching),
wsparcie dla VMWare View oraz Citrix XenApp/XenDesktop,
funkcja raportowania, uwzględniająca błędne uwierzytelnienie, nazwę użytkownika, przydzielone zasoby, lokalizację geograficzną,
obsługa funkcji szyfrowania site-to-site IPSec VPN,
obsługa nie mniej niż 500 jednocześnie pracujących użytkowników
z możliwością licencyjnej rozbudowy do nie mniej niż 20000.
Funkcjonalność globalnego równoważenia obciążenia:
równoważenie obciążenia pomiędzy lokalizacjami za pomocą protokołu DNS,
możliwość pracy, jako serwer DNS obsługujący następujące rekordy: A, AAAA, X0, XXXXX, XXXXX, XXXXX, XXX, XX, XX, XXX, XXX, XXX, XXX, SRV,
wsparcie dla DNSSEC,
konwersja rekordów między IPv4 i IPv6,
wsparcie dla usług geolokacji, możliwość przekierowania ruchu do najbliższej geograficznie lokalizacji,
wybór lokalizacji na podstawie ilości urządzeń pośredniczących oraz ilości przetwarzanych danych,
możliwość wysyłania zapytań dotyczących obciążenia do urządzeń firm trzecich,
możliwość bezpośredniego odpytywania serwerów o obciążenie,
możliwość przekierowania ruchu do innej lokalizacji po przekroczeniu zdefiniowanego progu ilości sesji.
Ochrona przed atakami na aplikacje internetowe i serwery WWW (WAF) musi zapewniać co najmniej następujące własności:
weryfikacja zarówno zapytań jak i odpowiedzi http pod względem naruszeń,
w przypadku wykrycia incydentu musi istnieć możliwość aktywnego blokowania ruch,filtrowanie odpowiedzi serwera i kodów błędu, ukrycie zasobów serwera,
WAF musi działać w oparciu o pozytywny model bezpieczeństwa (tylko to, co znane i prawidłowe jest dozwolone), model ten tworzony jest na bazie automatycznie budowanego przez WAF profilu aplikacji Web (URLi, metod dostępu, typów plików, cookie, oczekiwanych typów znaków oraz długości zapytań),
profil aplikacji web tworzony musi być na podstawie analizy ruchu sieciowego. Musi istnieć możliwość ograniczania zaufanych adresów źródłowych,
z których komunikacja z aplikacją tworzyć będzie oczekiwany profil zachowań użytkowników,możliwość definiowania przepływu ruchu w obrębie aplikacji z uwzględnieniem jej logiki biznesowej,
oprócz pozytywnego modelu zabezpieczeń WAF musi posiadać również funkcje identyfikacji incydentów poprzez sygnatury (negatywny model zabezpieczeń),
musi istnieć możliwość selektywnego włączania/wyłączania sygnatur per parametr,
musi istnieć możliwość ręcznego konfigurowania/modyfikacji reguł polityki dostępu,
musi istnieć możliwość ochrony dynamicznych oraz ukrytych parametrów,
WAF musi posiadać funkcje analizy i odczytu CSS/XSS,
WAF musi posiadać możliwość walidacji XML poprzez: walidację Schema/WSDL, wybór dozwolonych metod SOAP, opis ataków na XML, rejestrację zapytań XML,
WAF musi posiadać mechanizmy ochrony przed atakami: SQL Injection, Cross-Site Scripting, Cross-Site Request Forgery, Session hijacking, Command Injection, Cookie/Session Poisoning, Parameter/Form Tampering, Forceful Browsing, Brute Force Login,
WAF musi posiadać mechanizmy ochrony przed atakami DoS ukierunkowanymi na warstwę aplikacyjną (zalewanie aplikacji web dużą ilością zapytań http),
WAF musi rozróżniać rzeczywistych użytkowników od automatów podczas ataku (D)DoS poprzez wstrzykiwanie skryptu w przypadku wystąpienia podejrzenia ataku - w przypadku wykrycia naruszenia polityki urządzenie powinno umożliwiać zdefiniowanie odpowiedzi wysyłanej do użytkownika,
powinna istnieć możliwość doboru odpowiedzi w zależności do rodzaju naruszenia,
WAF musi posiadać możliwość uwzględniania w logach dotyczących incydentów informacji o uwierzytelnionym użytkowniku oraz blokowania dużej ilości incydentów wykonywanych w zdefiniowanym czasie przez jednego użytkownika,
w obrębie licencji WAF dostarczony musi być moduł ochrony protokołu HTTP, SMTP oraz FTP,
WAF musi posiadać wsparcie dla aplikacji AJAX oraz JSON,
musi istnieć możliwość rozszerzenia funkcji WAF o dodatkowy serwis, sprawdzający reputację adresów IP dostających się do chronionej aplikacji. Serwis reputacyjny powinien być dostępny poprzez dokupienie licencji, bez konieczności wprowadzania zmian w architekturze sprzętowej oraz programowej proponowanego rozwiązania,
WAF musi posiadać mechanizmy normalizacji w celu obrony przed technikami ukrywania ataku,
urządzenie MUSI wspierać następujące tryby pracy:
Tryb wykrywania, logowania i blokowania ataków,
Tryb wykrywania i logowania ataków bez blokowania,
Tryb uczenia się bez blokowania,
Tryb bez wykrywania i blokowania ataków,
Rozwiązanie musi zapewniać funkcjonalność stanowej zapory sieciowej umożliwiającej kontrolę ruchu sieciowego oraz ochronę przed atakami typu DoS
w warstwie 3 i 4 ISO/OSI.System musi zapewniać ochronę DoS/DDoS przynajmniej dla protokołów HTTP/HTTPS, SIP, DNS.
Zarządzanie regułami bezpieczeństwa musi być realizowane za pomocą wbudowanego w system interfejsu graficznego.
Rozwiązanie musi chronić przed atakami typu flood, sweep, teardrop oraz smurf.
Rozwiązanie musi obsłużyć sprzętowo minimum 40 milionów SYN cookies na sekundę.
System musi posiadać co najmniej następujące interfejsy administracyjne:
XXX przy wykorzystaniu protokołu https,
zarządzanie poprzez SSH,
zarządzanie poprzez SOAP-SSL,
zarządzanie poprzez API REST,
Autoryzacja administratorów systemu musi bazować na rolach użytkowników,
System musi posiadać funkcje przywiązywania sesji (Session persistence) przy wykorzystaniu co najmniej następujących atrybutów:
cookie,
adres źródła,
sIP call ID,
identyfikator sesji SSL,
microsoft Terminal Services (RDP) – nazwa użytkownika,
adres docelowy,
tworzone przez administratora systemu przy wykorzystaniu języka skryptowego.
System musi posiadać funkcję sprawdzania dostępności usług przy wykorzystaniu co najmniej następujących metod: icmp, echo (port 7/TCP), zapytanie MS SQL, zapytanie Oracle, sprawdzanie odpowiedzi poprzez wyszukiwanie wyrażeń regularnych, TCP half-open, wykorzystanie protokołów: http, https, ftp, sip, nntp, smb, pop3, imap, smtp, ssl, radius. Dodatkowo musi istnieć możliwość wykorzystania skryptów do tworzenia złożonych monitorów sprawdzających aktywność usług.
System musi posiadać funkcję definiowania maksymalnej ilości obsługiwanych przez dany serwer połączeń, w przypadku przekroczenia zdefiniowanej wartości musi istnieć możliwość wysłania klientowi strony błędu lub przekierowania klienta na inny serwer.
System musi obsługiwać sieci VLAN w standardzie 802.1q.
System musi obsługiwać agregację linków w standardzie 802.3ad (LACP).
System musi świadczyć, co najmniej następujące usługi w warstwach 4-7:
inspekcja warstwy aplikacji, w tym inspekcja nagłówka http,
ukrywanie zasobów,
zmiana odpowiedzi serwera,
przepisywanie odpowiedzi (response rewriting),
ochrona przed atakami typu DoS/DDoS,
ochrona przed atakami typu SYN Flood,
multipleksowanie połączeń http.
System musi posiadać następujące funkcje zarządzania siecią:
obsługa protokołu SNMP v1/v2c/v3,
zewnętrzny syslog,
zbieranie danych i ich wyświetlanie,
zbieranie danych zgodnie z ustawieniami administratora,
osobna brama domyślna dla interfejsu zarządzającego,
wsparcie dla przynajmniej 2 wersji oprogramowania (multi-boot),
zapisywanie konfiguracji (możliwość szyfrowania i eksportu kluczy),
dedykowany podsystem monitorowania stanu pracy urządzenia (always on management) z funkcjami restartu, wstrzymania oraz sprzętowego resetu systemu.
System musi posiadać funkcję integracji z zewnętrznymi serwerami uwierzytelnienia użytkowników LDAP, RADIUS, TACACS.
System musi posiadać funkcję walidacji certyfikatów klientów łączących się przy wykorzystaniu protokołu SSL.
System musi być dostarczony w formie klastra wysokiej dostępności (HA) złożonego z dwóch urządzeń tego samego typu pracujących w trybie active – standby
z możliwością realizacji trybu active-active.Wykrycie awarii urządzeń w klastrze odbywać się musi przy użyciu, co najmniej następujących metod:
weryfikacja stanu pracy urządzenia poprzez analizę aktywności w sieci (Network failover).
Pojedyncze urządzenie sieciowe musi spełniać wymogi przedstawione w tabeli 1
Tabela 1. Wymagania na system
Lp. |
Parametr |
Wymagania |
|
Przepływność dla warstwy 4 |
Nie mniej niż 30 Gbps |
|
Przepływność dla warstwy 7 |
Nie mniej niż 15 Gbps |
|
Ilość jednocześnie obsługiwanych połączeń dla warstwy 4 |
Nie mniej niż 22 000 000 |
|
Ilość transakcji SSL na sekundę dla klucza o długości 2048 |
Nie mniej niż 20 000 |
|
Ilość jednocześnie obsługiwanych połączeń SSL |
Nie mniej niż 3 700 000 |
|
Przepływność ruchu szyfrowanego |
Nie mniej niż 11,5 Gbps |
|
Ilość jednoczesnych sesji SSL VPN |
500 |
|
Ilość jednoczesnych połączeń na sekundę w warstwie 4 |
Nie mniej niż 680 000 |
|
Kompresja sprzętowa |
Nie mniej niż 11,5 Gbps |
|
Sprzętowa ochrona DDoS |
Nie mniej niż 38 000 000 SYN cookies na sekundę |
|
Gęstość interfejsów |
Urządzenie/urządzenia wchodzące w skład systemu powinny posiadać: Nie mniej niż cztery interfejsy 10/100/1000 Base-T per urządzenie , nie mniej niż cztery interfejsy SFP+ per urządzenie, oddzielny interfejs zarządzania, port konsolowy, |
|
Obudowa |
Przeznaczona do montażu w szafie rack 19”, wysokość nie większa niż 5 U per system |
|
Zasilanie |
Redundantne 230V AC (każde urządzenie wchodzące w skałd systemu) |
III System dystrybucji adresów DHCP:
System musi być dostarczony w formie klastra wysokiej dostępności (HA) złożonego z dwóch urządzeń tego samego typu pracujących w trybie active – standby
z możliwością realizacji trybu active-active.System musi posiadać certyfikat bezpieczeństwa spełniający wymogi Common riteria Evaluation Assurance Level 2 (EAL-2).
Zarządzanie Systemem musi odbywać się z jednego miejsca (IP) za pomocą jednolitego systemu graficznego.
System musi posiadać mechanizm Workflow do zarządzania procesem potwierdzania i akceptacji zmian.
Zarządzanie systemem musi się odbywać przez przeglądarkę WWW bez potrzeby instalacji specjalnego oprogramowania typu agent, klient itp.
System musi dostarczać mechanizm API do kontroli systemu, wykonywania
i automatyzacji zadań wykonywanych za pomocą GUI. Musi być dostarczona pełna dokumentacja systemu API z przykładami zastosowania itp. Akceptowalne technologie API: Perl CPAN lub REST.System musi pracować jako platforma dystrybucji plików za pomocą protokołów TFTP, FTP, HTTP, oraz oferować usługi synchronizacji czasu za pomocą protokołu NTP (Network Time Protocol).
System musi posiadać funkcję budowy Systemu rozproszonego, która pozwoli na zbudowanie systemu rozproszonego z synchronizacją danych po przez sieć IP
z centralnym zarządzaniem całym systemem.System musi dostarczać informacje o wszystkich zmianach wprowadzanych przez administratorów (kto, kiedy, co zostało zmienione).
System musi mieć możliwość wysyłania tych informacji do centralnego repozytorium za pomocą mechanizmu Syslog (TCP i UDP).
System musi umożliwiać nadawanie administratorom praw opartych o grupy i role, co pozwala na ograniczenie ich dostępu do wymaganych zasobów. Granulacja uprawnień powinna umożliwiać konfigurowanie uprawnień dla pojedynczych obiektów typu sieć, strefa DNS, rekord DNS, zakres DHCP.
System musi wpierać uwierzytelnianie użytkowników poprzez: lokalną bazę użytkowników, protokół RADIUS, protokół TACACS+, LDAP oraz Microsoft Active Directory.
System musi posiadać wbudowaną bazę danych, przechowującą dane z wszystkich uruchomionych w Systemie usług. Baza danych nie może wymagać żadnych czynności administracyjnych związanych z jej konfiguracją.
System musi mieć możliwość prowadzenia statystyk oraz monitorowania parametrów urządzeń przy użyciu protokołu SNMP (Simple Network Management Protocol).
Dostęp do konsoli administracyjnej urządzeń Systemu powinien być możliwy poprzez:
interfejs zdalny dostępny poprzez protokół SSH, wsparcie dla wersji SSHv2,
interfejs znakowy – dostępny poprzez port szeregowy, zabezpieczony hasłem dostępu, które jest powiązane z użytkownikiem,
System musi umożliwiać wykonywanie planowanych kopii bezpieczeństwa do zewnętrznego serwera w celu uproszczenia procedur odzyskiwania w razie awarii (TFTP, FTP, SCP).
System musi umożliwiać realizację usług DHCP dla IPv4 i IPv6.
System musi umożliwiać aktualizację danych DDNS przez usługę DHCP.
System musi dostarczać na bieżąco informacje o przyznawaniu adresów IP
i urządzeniach, którym dany adres został przypisany (adres MAC, czas i data przyznania adresu, IP).System musi wspierać funkcjonalność DHCP Failover z renegocjacją dostępnych przestrzeni adresowych.
Musi istnieć możliwość sprawdzenia dostępności adresu IP przed jego przydzieleniem z czasem ICMP poniżej sekundy.
System musi wspierać funkcję rozpoznawania typu urządzenia/systemu stacji, urządzeń mobilnych itp. na podstawie analizy zapytania DHCP. Raportowanie typu urządzenia w historii dzierżaw adresów IP oraz możliwość filtrowania/blokowania przydziału adresu dla wybranych typów urządzeń. (Np. przydziel adres stacji Windows 7/XP ale nie przydzielaj adresu tabletowi i urządzeniu typu smartphone).
W przypadku braku takiej funkcjonalności w oferowanym Systemie DNS/DHCP/IPAM należy dostarczyć dodatkowe urządzenie bezpieczeństwa posiadające funkcjonalność profilowania urządzeń dla 1000 portów użytkowników.System musi dostarczać usługę zarządzania adresami IP – IPAM (IP Address Management).
System musi zarządzać adresami IPv4 i IPv6 pozwalając na graficzną (mapy sieci) oraz obiektową metodę zarządzania adresacją.
System musi pozwalać na integrację z usługami VMWare vSphere w celu wykonywania procesu „discovery” maszyn wirtualnych pracujących na infrastrukturze VMWare.
System musi posiadać mechanizmy kontroli wprowadzania danych (poprawność adresów IP, masek itp.).
System musi umożliwiać dodawanie opisów i atrybutów dla obiektów sieci, adresów IP, domen oraz zakresów DHCP. Atrybuty te muszą umożliwiać definicję typu
i rozmiar danego atrybutu. Musi być możliwość stosowania słowników atrybutów
z wymuszenie lub proponowaniem danego typu atrybutu dla danego typu obiektu. System atrybutów musi umożliwiać dziedziczenie atrybutów w ramach struktury sieci
i podsieci.System musi posiadać mechanizm skanowania sieci i hostów (adresów IP)
tzw. discovery. Mechanizm ten musi działać w trybie na żądanie oraz musi pozwalać na planowane powtarzalne rozpoznawania w przyszłości.System musi posiadać mechanizmy typu „znajdź mi 10 nieużywanych adresów z sieci X” oraz „znajdź mi 10 nieużywanych podsieci rozmiaru np. /24 w podsieci
np. a.b.c.d/16”.System musi umożliwiać Import danych w formacie CSV bezpośrednio z GUI
i posiadać szczegółową dokumentację formatu danych importowanych.Producent rozwiązania musi udostępniać bezpłatnie narzędzie do importu danych
z innych systemów DNS/DHCP: Bind 8, Bind 9, Microsoft.System musi umożliwiać rozbudowę w przyszłości o zarządzanie usługami DNS/DHCP na wielu serwerach Microsoft Windows bez potrzeby instalowania oprogramowania po stronie serwerów MS Windows.
Wymagane jest wsparcie dla systemów posiadanych przez Zamawiającego:
Microsoft Windows 2008 Standard i Enterprise SP2 32 bits, 64 bits,
Microsoft Windows 2008 R2 Standard i Enterprise Initial Release 64 bits,
Microsoft Windows 2012 Standard i Enterprise Initial Release 64 bits.
System musi dostarczać usługi rozwiązywania nazw domenowych przy użyciu protokołu DNS (Domain Name System).
System musi być zgodny z wymogami dokumentów RFC 1034, 1035, 1995, 1996, 2136, 2317, 2671, 2782, 3596 (RFC, tj. Request for Commnents xxxx://xxx.xxxx.xxx/xxx.xxxx).
System musi realizować funkcje automatycznej aktualizacji serwisów DNS, zgodne
z dokumentem RFC 2136.System musi posiadać wbudowany mechanizm powiadamiania o zmianach stref, zgodne z dokumentem RFC 1996.
System musi wspierać protokoły DNS w wersji IPv4 i IPv6.
System musi wspierać usługę DNS Anycast dla IPv4 i IPv6 (za pomocą protokołów BGP i OSPF).
System musi wspierać usługę DNSSEC z automatycznym aktualizowaniem podpisów przy zmianach dokonywanych w strefach DNS.
System musi wspierać rozbudowę o usługę DNS dla usług Active Directory.
System musi wspierać usługę DDNS.
System musi obsługiwać mechanizm IDN (Internationalized Domain Names) – (w tym polskie znaki) i posiadać wbudowany konwerter tzw. Punycode.
System musi umożliwiać dodanie w przyszłości funkcjonalności filtrowania odpowiedzi DNS na podstawie bazyreputacji domen infekujących malware/C&C/botnet.
W przypadku braku takiej funkcjonalności w oferowanym Systemie IPAM/DNS/DHCP należy dostarczyć dodatkowe urządzenie bezpieczeństwa posiadające taką funkcjonalność z wydajnością minimum 1 Gbps ruchu i 4 interfejsami GE.
System musi być oparty o dedykowaną platformę programową i sprzętową
(ang. Appliance based) zwaną dalej „Urządzeniem”.Urządzenia Systemu odpowiedzialne za usługi IPAM/DNS/DHCP muszą posiadać wsparcie dla zapewnienia niezawodności działania (high-availability – HA) na poziomie sieci i na poziomie danych (synchronizacja danych między urządzeniami). Tryb HA musi funkcjonować za pomocą standardowego protokołu np. VRRP. Tryb HA nie dotyczy modułu raportowania i nie dotyczy modułu wykrywania.
Wszystkie dostarczone Urządzenia muszą posiadać zasilacze typu AC 230V
IV Serwis i gwarancja
Wykonawca udzieli Zamawiającemu 36-miesięcznej gwarancji na dostarczone urządzenia. Gwarancja obejmuje zobowiązanie Wykonawcy do terminowego usuwania wad i usterek.
W ramach udzielonej gwarancji Wykonawca zapewni dostęp do aktualnych wersji oprogramowania oraz dokumentacji producenta.
Dostępność Serwisu Gwarancyjnego 24 godz. X 7 dni x 365 dni w celu zapewnienia ciągłości dostępu do usług wytworzonych w ramach projektu SISP-2, w tym dla aplikacji Dziedzinowych Baz Danych.
Wykonawca zobowiązuje się, iż w okresie gwarancji, czas odpowiedzi na zgłoszoną przez Zamawiającego wadę lub usterkę nastąpi nie później niż w ciągu 4 godzin od momentu zgłoszenia wady lub usterki.
Wykonawca zobowiązuje się do przywrócenia pełnej funkcjonalności urządzeń
w ciągu 24 godzin od zgłoszenia.Naprawa zostanie dokonana w miejscu instalacji urządzenia.
W przypadku niewykonania naprawy gwarancyjnej w miejscu i w terminie, o którym mowa w ust. 3 i 4, Wykonawca zobowiązuje się dostarczyć na czas naprawy takie samo urządzenie wolne od wad i zapewni jego prawidłowe działanie. Ostateczny termin usunięcia wady lub usterki urządzenia nie może być dłuższy niż 30 dni od dnia zgłoszenia jego wady lub usterki.
Wykonawca zobowiązuje się do wymiany urządzenia na nowe w przypadku, gdy po wykonaniu dwóch napraw gwarancyjnych dostarczonego urządzenia będzie ono wykazywało nadal wady w działaniu.
W przypadku nie wywiązania się Wykonawcy z zobowiązań gwarancyjnych, Zamawiający może dokonać tych czynności we własnym zakresie i kosztami obciążyć Wykonawcę.
Wykonawca pokrywa wszelkie koszty związane z naprawami gwarancyjnymi .
W przypadku naprawy gwarancja ulega przedłużeniu o czas naprawy.
Zamawiający ma prawo dokonywania rozbudowy sprzętu, zgodnie z dokumentacją techniczną, przez upoważnionych przez Zamawiającego pracowników, a także prawo do przemieszczenia zainstalowanego sprzętu bez utraty gwarancji. Wykonawca nie ponosi odpowiedzialności za uszkodzenia mechaniczne przedmiotu Umowy powstałe z winy pracowników Zamawiającego.
Dostęp do poprawek i nowych wersji oprogramowania (upgrade) w ramach wykupionego serwisu gwarancyjnego.
Wymagany jest dostęp bezpośredni do TAC producenta Systemu poprzez: www
i telefon.W ramach serwisu Wykonawca zapewni 300 godzin wsparcia inżyniera w siedzibie Zamawiającego.
V Wdrożenie i instalacja
Podczas wdrożenia wykonane zostaną następujące prace:
Przeprowadzenie analizy przedwdrożeniowej obejmującej weryfikację konfiguracji sieci Zamawiającego niezbędną do przygotowania projektu technicznego; analiza będzie obejmować spotkania robocze, na których Zamawiający szczegółowo przedstawi budowę sieci wraz z konfiguracją poszczególnych urządzeń w zakresie niezbędnym do realizacji przedmiotu zamówienia.
Konfigurację urządzeń i oprogramowania zgodnie z zaakceptowanym przez Zamawiającego projektem technicznym.
Testy akceptacyjne potwierdzające zgodność wdrożonego rozwiązania
z wymaganiami opisanymi w Opisie Przedmiotu Zamówienia.Wykonanie dokumentacji powykonawczej opisującej szczegółową konfigurację wdrożonego rozwiązania.
VI Szkolenie
Wykonawca przeprowadzi szkolenie dla Administratorów zgodnie z następującymi wymaganiami:
miejsce szkolenia – Ośrodek szkoleniowy CIS Radom,
ilość uczestników – 6 osób,
czas trwania szkolenia: 3 dni (24 godziny lekcyjne),
program szkolenia musi obejmować całość zagadnień z zakresu administrowania Systemem oraz zapewnić umiejętności i wiedzę niezbędną do właściwego i samodzielnego rozwoju wdrażanego Systemu, w tym:
niezbędne informacje o budowie, funkcjonowaniu i filozofii rozwiązań zastosowanych w Systemie,
parametryzacja/konfiguracja Systemu,
narzędzia dostosowawcze (kastomizacyjne) do wprowadzania zmian
w Systemie,
wszyscy uczestnicy szkolenia muszą otrzymać materiały szkoleniowe,
w formie papierowej lub elektronicznej w formacie PDF,wszyscy uczestnicy szkolenia otrzymają zaświadczenia potwierdzające ukończenie szkolenia i posiadania kompetencji Administratora Systemu,
wykonawca pokryje wszelkie koszty związane z dojazdem, pobytem oraz wyżywieniem i zakwaterowaniem wykładowców, którzy będą prowadzili szkolenie,
Zamawiający pokryje wszelkie koszty związane z dojazdem, pobytem oraz wyżywieniem i zakwaterowaniem uczestników,
wykonawca każdego dnia trwania szkolenia zapewni: dwie przerwy kawowe, każda trwająca ok. 10 minut oraz jedną przerwę obiadową trwającą ok. 40 minut,
wykonawca zapewni każdego dnia szkolenia wyżywienie dla wszystkich uczestników:
dostępne przez cały czas trwania szkolenia: kawa, herbata, butelkowana woda mineralna gazowana i niegazowana, naturalne soki owocowe (butelkowane lub w kartonach) oraz ciastka,
obiad – zupa, danie główne, surówki, owoce, herbata, kawa, butelkowana woda mineralna, naturalne soki owocowe (butelkowane lub w kartonach); czyste sztućce i zastawa (nie mogą być jednokrotnego użytku) – podany w oddzielnym pomieszczeniu (strefie przeznaczonej do podawania posiłków), które:
spełnia wymagania sanitarne wynikające z obowiązujących przepisów,
jest wyposażone w sprawną i wydajną wentylację oraz klimatyzację,
jest posprzątane i uporządkowane bez zbędnych przedmiotów lub mebli,
Wykonawca przedstawi Zamawiającemu do akceptacji – harmonogram szkoleń przygotowany w porozumieniu z Zamawiającym obejmujący:
program szkolenia zawierający szczegółowe informacje o zakresie tematycznym i rozkładzie zajęć dla ww. szkolenia,
metodę i formę prowadzenia szkolenia,
informacje o wykładowcy, który poprowadzi szkolenie.
Wykonawca zobowiązany będzie do przeprowadzenia szkolenia zgodnie
z zatwierdzonym przez Zamawiającego szczegółowym zakresem tematycznym
i harmonogramem szkolenia.Zamawiający zastrzega sobie prawo do modyfikacji harmonogramu szkolenia,
z wytypowaniem mniejszej lub większej liczby uczestników.Wykonawca w ramach prowadzonego szkolenia zobowiązany jest przekazać Zamawiającemu:
materiały szkoleniowe,
listy obecności,
listę wydanych Zaświadczeń i komplet imiennych zaświadczeń dla wszystkich uczestników, którzy ukończą szkolenie, pod warunkiem uczestnictwa
w pełnym wymiarze zajęć.