SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
Przedmiotem zamówienia jest dostawa do siedziby PUP w Kępnie serwera, dysków twardych do macierzy, urządzenia UTM, sieciowego systemu operacyjnego, oprogramowania do backupu, instalacja i konfiguracja dostarczonego rozwiązania oraz przeniesienie serwerów do środowiska wirtualnego.
kod CPV według Wspólnego Słownika Zamówień:
48820000-2 – serwery – 1 szt.,
30234000-8 – nośniki do przechowywania – 8 szt.,
48000000-8 – pakiety oprogramowania i systemy informatyczne – 1 szt.,
48710000-8 – pakiety oprogramowania do kopii zapasowych i odzyskiwania – 1 szt., 72263000-6 – usługi wdrażania oprogramowania,
72265000-0 – usługi konfiguracji oprogramowania 80500000-9 – usługi szkoleniowe.
Wymagania ogólne dla urządzeń i oprogramowania
• całość sprzętu i oprogramowania musi pochodzić z autoryzowanego kanału sprzedaży producentów na rynek polski;
• całość sprzętu musi być nowa (wyprodukowana nie wcześniej niż 6 miesięcy przed dostawą), nie używana we wcześniejszych projektach;
• całość sprzętu musi być objęta gwarancją opartą o świadczenia gwarancyjne producenta sprzętu, niezależnie od statusu partnerskiego Wykonawcy przez okres 60 miesięcy (chyba, ze zapisy szczegółowe stanowią inaczej);
Warunki gwarancji i wsparcia technicznego dla sprzętu i oprogramowania sieciowego: Sprzęt
• O ile wymagania szczegółowe nie specyfikują inaczej, na dostarczany sprzęt musi być udzielona min. 5-letnia gwarancja (chyba, ze zapisy szczegółowe stanowią inaczej) oparta na gwarancji producenta rozwiązania; serwis gwarancyjny świadczony ma być w miejscu instalacji sprzętu; czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć jednego dnia roboczego;
• Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Wnioskodawcy), fax, e-mail lub WWW (przez całą dobę); Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń dla dostarczanych rozwiązań
• W przypadku sprzętu, dla którego jest wymagany dłuższy czas na naprawę, Wnioskodawca dopuszcza podstawienie na czas naprawy Sprzętu o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 30 dni roboczych od momentu zgłoszenia usterki;
• Wnioskodawca otrzyma dostęp do pomocy technicznej (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Wnioskodawcy;
Oprogramowanie
• oprogramowanie powinno posiadać min. 1-roczne wsparcie (chyba, ze zapisy szczegółowe stanowią inaczej) – dostarczanie aktualizacji, zdalne (telefon lub e-mail,
www) wsparcie techniczne w zakresie rozwiązywania problemów z konfiguracją i użytkowaniem oprogramowania
Miejsce Instalacji
• Dostawa, montaż i instalacja w ramach niniejszego postępowania przetargowego odbędzie się w czasie i miejscu wskazanym przez Zamawiającego.
Montaż i uruchomienie
• Zamawiający wymaga aby wraz z dostawą sprzętu przeprowadzić jego instalację, konfigurację oraz uruchomienie. Wszelkiego typu elementy połączeniowe np.: kable, zakończenia itp. powinny zostać ujęte w wycenie.
• Przekazanie elementów systemu nastąpi w drodze protokołu przekazania do użytkowania, który będzie potwierdzał jego prawidłową instalację i działanie.
Jeżeli zapisy szczegółowe nie specyfikują inaczej Zamawiający oczekuje prac w zakresie:
• Wniesienia, ustawienia i fizycznego montażu wszystkich dostarczonych urządzeń w istniejącej szafie rack w pomieszczeniu (miejscach) wskazanych przez zamawiającego z uwzględnieniem wszystkich lokalizacji.
• Urządzenia, które nie są montowane w szafach teleinformatycznych powinny zostać zamontowane w miejscach wskazanych przez Zamawiającego.
• Usunięcia opakowań i innych zbędnych pozostałości po procesie instalacji urządzeń.
• Podłączenia całości rozwiązania do infrastruktury Zamawiającego.
• Wykonania procedury aktualizacji firmware dostarczonych elementów do najnowszej wersji oferowanej przez producenta sprzętu.
• Dla urządzeń modularnych wymagany jest montaż i instalacja wszystkich podzespołów.
• Wykonania połączeń kablowych pomiędzy dostarczonymi urządzeniami w celu zapewnienia komunikacji – Wykonawca musi zapewnić niezbędne okablowanie (np.: patchcordy miedziane kat. co najmniej 6 UTP lub światłowodowe uwzględniające typ i model interfejsu w urządzeniu sieciowym).
• Wykonawca musi zapewnić niezbędne okablowanie potrzebne do podłączenia urządzeń aktywnych do sieci elektrycznej (np.: listwy zasilające, kable elektryczne).
Wszystkie wymienione prace wdrożeniowe muszą zostać wykonane wspólnie z przedstawicielem zamawiającego, z każdego etapu prac powinien zostać sporządzony protokół. Powyższe czynności należy wykonać w okresie realizacji Zamówienia, w ramach jednego weekendu (Piątek godz. 16:00 - Sobota godz. 22:00) po wcześniejszym uzgodnieniu harmonogramu wdrożenia z Zamawiającym.
UWAGA. Powyższe zapisy gwarancyjne, oraz czas wykonania obowiązują jedynie w przypadku braku szczegółowych zapisów w poniższym opisie przedmiotu zamówienia.
W celu potwierdzenia ważności oferty i spełniania wymaganych warunków, Wykonawca załączy na etapie składania oferty następujące dokumenty i oświadczenia według poniższych zasad:
• Oświadczenie gwarancyjne producenta na oferowany sprzęt:
o Serwer backupu i zarządzania
o Firewall
1. Oznaczenia i definicje
Standaryzacja PRZEPUSTOWOŚCI
W celu uniknięcia nieporozumień związanych z pojęciem przepustowości, które użyte jest w późniejszym tekście wymagań Zamawiający podaje wartości, które należy przyjąć przy obliczaniu przepustowości na potrzeby niniejszej specyfikacji.
Standard | Przepustowość [Gb/s] |
DDR3-1066 ; -1333 ; -1600 DDR4 RDIMM – 800 ; - 2133 | 8,5 ; 10,6 ; 12,8 [GB/s] 16000 ; 32000 [Mb/s] |
10 Gb Ethernet ; 1 Gb Xxxxxxxx | 00 ; 0 |
00 Xx ; 8 Gb ; 4 Gb FC | 16 ; 8 ; 4 |
QDR ; DDR ; SDR InfiniBand | 10 ; 5 ; 2,5 |
EDR ; FDR Infiniband | 26 ; 14 |
12G ; 6G ; 3G SAS | 12 ; 6 ; 3 |
6G ; 3G ; 1,5 SATA | 6 ; 3 ; 1,5 |
Tabela 1 Standaryzacja przepustowości
Jeśli port używa zwielokrotnionych linii, jego przepustowość na potrzeby niniejszej specyfikacji należy przyjąć jako iloczyn liczby linii i wyżej podanej przepustowości (przykład: przepustowość 4X QDR INFINIBAND na potrzeby niniejszej specyfikacji wynosi 40 Gb/s).
Jeśli transmisja na linii zachodzi równocześnie w dwu kierunkach, to dla potrzeb niniejszej specyfikacji należy przyjąć nie wartość dwukrotnie wyższą, ale dokładnie taką jaka znajduje się podanej tabeli.
W zapisach niniejszej specyfikacji wymagana przez Zamawiającego przepustowość, a opisana w niniejszym akapicie jest oznaczana dużą literą (PRZEPUSTOWOŚĆ), w odróżnieniu od innych przepustowości.
Równoważność kanałów komunikacyjnych
W miejscach, gdzie Zamawiający wyspecyfikował rodzaj kanału komunikacyjnego jako równoważny kanał komunikacyjny, Zamawiający dopuszcza kanał komunikacyjny
o IDENTYCZNYM protokole, ale o większej prędkości. Zamawiający nie dopuszcza innego niż wyspecyfikowany protokołu pomimo, że zamienny protokół będzie posiadał większą PRZEPUSTOWOŚĆ.
Przykład:
a. Dla wymagania ETHERNET 10Gb jako równoważne NIE JEST akceptowane połączenie o większej PRZEPUSTOWOŚCI, ale jedynie o większej prędkości. W tym wypadku ETHERNET 100Gb.
b. Analogicznie dla wymagania FC 8Gb jako równoważne AKCEPTOWANE jest jedynie połączenie FC, ale o większej prędkości. W tym wypadku FC 16Gb lub więcej.
1.1. Definicja MOC OBLICZENIOWA
Wzór 1. Maksymalna (szczytowa) teoretyczna moc obliczeniowa procesora: Rproc = C * I * F,
gdzie:
• Rproc - moc obliczeniowa w GFlops
• C - liczba rdzeni procesora
• I - liczba instrukcji zmiennoprzecinkowych typu dodawanie i mnożenie w podwójnej precyzji wykonywanych przez pojedynczy rdzeń procesora w czasie jednego cyklu zegarowego (np. dla procesora Intel Xeon (seria 5600) I wynosi 4, dla procesorów AMD Opteron I wynosi 4),
• F - częstotliwość zegara procesora w GHz.
Dla potrzeb niniejszej specyfikacji Zamawiający jako częstotliwość zegara przyjmuje nominalną częstotliwość zegara procesora podawaną przez producenta procesora przy handlowym opisie procesora. Pomimo, że procesor może pracować z częstotliwością niższą lub wyższą, niż wyżej wspomniana częstotliwość, jako częstotliwość do obliczenia mocy obliczeniowej procesora w niniejszej specyfikacji należy przyjąć właśnie częstotliwość podawaną przy opisach handlowych przez producentów procesorów.
W zapisach niniejszej specyfikacji wymagana przez Zamawiającego moc obliczeniowa zdefiniowana we wzorze 1 i opisana w niniejszym akapicie jest oznaczana dużą literą (MOC OBLICZENIOWA), w odróżnieniu od innych mocy obliczeniowych.
1.2. Konwencja zapisów
a) Zapis „SAS / FC” lub „USB / SD” użyty w dalszej części specyfikacji oznacza jedną z dwóch technologii: albo SAS albo FC, albo USB albo SD.
b) Nazwy pisane z dużej litery, są stosowanymi na potrzeby niniejszej specyfikacji nazwami własnymi np.: Serwer BLADE, Lokalne Dyski.
c) Słowa „LUB” lub „ALBO” napisane z dużej litery oznaczają kwalifikator logiczny i nie są używane w potocznym znaczeniu.
Przykład:
i. Jeśli Zamawiający wymaga odporności Systemu na awarię elementu A ALBO elementu B oznacza to, że System nie musi być odporny na RÓWNOCZESNĄ awarię elementu A i elementu B.
ii. Jeśli Zamawiający wymaga odporności systemu na awarię elementu A LUB elementu B oznacza to, że system nie tylko ma być odporny na awarię jednego z dwu elementów A albo B, ale też musi być odporny na równoczesną awarię obu elementów i A i B.
2. Wymagania ogólne
2.1. Jakość sprzętu
a) Cały dostarczony sprzęt musi być fabrycznie nowy, tzn. nieużywany przed dniem dostarczenia, z wyłączeniem używania niezbędnego dla przeprowadzenia testów jego poprawnej pracy.
b) Dostarczone elementy oraz dostarczone wraz z nimi oprogramowanie muszą pochodzić z oficjalnych kanałów dystrybucyjnych producenta, zapewniających w szczególności realizację uprawnień gwarancyjnych.
3. Wymagania szczegółowe
3.1. Serwer backupu i zarzadzania
Komponent | Minimalne wymagania |
Obudowa | Obudowa Rack o wysokości max 2U z możliwością instalacji do 8 dysków 3.5" HotPlug wraz z kompletem wysuwanych szyn umożliwiających montaż w szafie rack i wysuwanie serwera do celów serwisowych oraz organizatorem do kabli. Posiadająca dodatkowy przedni panel zamykany na klucz, chroniący dyski twarde przed nieuprawnionym wyjęciem z serwera. |
Płyta główna | Płyta główna z możliwością zainstalowania minimum dwóch procesorów cztero-, sześcio-, ośmio-, dziesięcio- lub czternastordzeniowych. Płyta główna musi być zaprojektowana przez producenta xxxxxxx i oznaczona jego znakiem firmowym. |
Chipset | Dedykowany przez producenta procesora do pracy w serwerach dwuprocesorowych |
Procesor | Dwa procesory dwunastordzeniowe klasy x86 dedykowane do pracy z zaoferowanym serwerem umożliwiające osiągnięcie wyniku: a) Procesory dedykowane do pracy z zaoferowanym serwerem umożliwiające osiągnięcie wyniku minimum 990 punktów w teście SPECint_rate_base2006 dostępnym na stronie internetowej xxx.xxxx.xxx dla konfiguracji dwuprocesorowej. Do oferty należy załączyć wydruk z wynikiem testu dla oferowanego modelu serwera. b) MOC OBLICZENIOWA serwera co najmniej 840,0 GFlops, gdzie MOC OBLICZENIOWA definiowana jest wzorem: Rproc = C * I * F, gdzie: • Rproc - moc obliczeniowa w GFlops • C - liczba rdzeni procesora |
• I - liczba instrukcji zmiennoprzecinkowych typu dodawanie i mnożenie w podwójnej precyzji wykonywanych przez pojedynczy rdzeń procesora w czasie jednego cyklu zegarowego (np. dla procesora Intel Xeon (seria 5600) wynosi 4, dla procesorów AMD Opteron wynosi 4), • F - częstotliwość zegara procesora w GHz. Dla potrzeb niniejszej specyfikacji Zamawiający jako częstotliwość zegara przyjmuje nominalną częstotliwość zegara procesora podawaną przez producenta procesora przy handlowym opisie procesora. Pomimo, że procesor może pracować z częstotliwością niższą lub wyższą niż wyżej wspomniana częstotliwość, jako częstotliwość do obliczenia mocy obliczeniowej procesora w niniejszej specyfikacji należy przyjąć właśnie częstotliwość podawaną przy opisach handlowych przez producentów procesorów. Do oferty należy załączyć wynik testu dla oferowanego modelu serwera wraz z oferowanym modelem procesora lub samego procesora. | |
Pamięć RAM | 64 GB pamięci RAM typu RDIMM o częstotliwości pracy 2400MHz. Płyta powinna obsługiwać do min. 384GB pamięci XXX, na płycie głównej powinno znajdować się minimum 12 slotów przeznaczonych dla pamięci Możliwe zabezpieczenia pamięci: Memory Rank Sparing, Memory Mirror, Lockstep |
Sloty PCI Express | Min. dwa sloty x16 generacji 3, min. 1 slot x8 generacji 3, Min. 1 x1 generacji 2, Min. 1 x8 generacji 2 |
Karta graficzna | Zintegrowana karta graficzna umożliwiająca rozdzielczość min. 1280x1024 |
Wbudowane porty | min. 3 porty USB 2.0 oraz 2 porty USB 3.0 , 4 porty RJ45, 2 porty VGA (1 na przednim panelu obudowy, drugi na tylnym), min. 1 port RS232. |
Interfejsy sieciowe/FC | Wbudowana czteroportowa karta Gigabit Ethernet. |
Kontroler dysków | Sprzętowy kontroler dyskowy, możliwe konfiguracje poziomów RAID: 0, 1, 5, 6, 10, 50, 60. Pamięć cache min. 1GB |
Wewnętrzna pamięć masowa | Możliwość instalacji dysków twardych SATA, SAS, NearLine SAS i SSD. |
Zainstalowane 2x600GB typu HotPlug SAS 12Gbps 15krpm skonfigurowane fabrycznie w RAID1 oraz 6 x 6TB HotPlug NL-SAS 12Gbps 7,2krpm. Możliwość instalacji wewnętrznego modułu dedykowanego dla hypervisora wirtualizacyjnego, wyposażonego w 2 jednakowe nośniki typu flash z możliwością konfiguracji zabezpieczenia RAID 1 z poziomu BIOS serwera, rozwiązanie nie może powodować zmniejszenia ilości wnęk na dyski twarde. | |
Napęd optyczny | Wbudowany napęd DVD-RW |
System diagnostyczny | Panel LCD umieszczony na froncie obudowy, umożliwiający wyświetlenie informacji o stanie procesora, pamięci, dysków, BIOS’u, zasilaniu oraz temperaturze. |
System Operacyjny | Brak systemu operacyjnego |
Zasilacze | Dwa redundantne zasilacze o mocy maks. 750W każdy o sprawności Titanium. |
Wentylatory | Minimum 5 redundantnych wentylatorów. |
Bezpieczeństwo | Zintegrowany z płytą główną moduł TPM 2.0. Wbudowany czujnik otwarcia obudowy współpracujący z BIOS i kartą zarządzającą. |
Karta zarządzająca | Niezależna od zainstalowanego na serwerze systemu operacyjnego posiadająca dedykowane port RJ-45 Gigabit Ethernet umożliwiająca: - zdalny dostęp do graficznego interfejsu Web karty zarządzającej - zdalne monitorowanie i informowanie o statusie serwera (x.xx. prędkości obrotowej wentylatorów, konfiguracji serwera) - szyfrowane połączenie (SSLv3) oraz autentykacje i autoryzację użytkownika - możliwość podmontowania zdalnych wirtualnych napędów - wirtualną konsolę z dostępem do myszy, klawiatury - wsparcie dla IPv6 - wsparcie dla WSMAN (Web Service for Management); SNMP; IPMI2.0, VLAN tagging, Telnet, SSH - możliwość zdalnego monitorowania w czasie rzeczywistym poboru prądu przez serwer - możliwość zdalnego ustawienia limitu poboru prądu przez konkretny serwer - integracja z Active Directory - możliwość obsługi przez dwóch administratorów jednocześnie - wsparcie dla dynamic DNS - wysyłanie do administratora maila z powiadomieniem o awarii lub zmianie konfiguracji sprzętowej - możliwość podłączenia lokalnego poprzez złącze RS-232 - możliwość zarządzania bezpośredniego poprzez złącze USB umieszczone na froncie obudowy. |
Dodatkowe oprogramowanie umożliwiające zarządzanie poprzez sieć, spełniające minimalne wymagania: - wsparcie dla serwerów, urządzeń sieciowych oraz pamięci masowych - możliwość zarządzania dostarczonymi serwerami bez udziału dedykowanego agenta - wsparcie dla protokołów – WMI, SNMP, IPMI, WSMan, Linux SSH - możliwość oskryptowywania procesu wykrywania urządzeń - możliwość uruchamiania procesu wykrywania urządzeń w oparciu o harmonogram - szczegółowy opis wykrytych systemów oraz ich komponentów - możliwość eksportu raportu do CSV, HTML, XLS - grupowanie urządzeń w oparciu o kryteria użytkownika - możliwość uruchamiania narzędzi zarządzających w poszczególnych urządzeniach - automatyczne skrypty CLI umożliwiające dodawanie i edycję grup urządzeń - szybki podgląd stanu środowiska - podsumowanie stanu dla każdego urządzenia - szczegółowy status urządzenia/elementu/komponentu - generowanie alertów przy zmianie stanu urządzenia - filtry raportów umożliwiające podgląd najważniejszych zdarzeń - integracja z service desk producenta dostarczonej platformy sprzętowej - możliwość przejęcia zdalnego pulpitu - możliwość podmontowania wirtualnego napędu - automatyczne zaplanowanie akcji dla poszczególnych alertów w tym automatyczne tworzenie zgłoszeń serwisowych w oparciu o standardy przyjęte przez producentów oferowanego w tym postępowaniu sprzętu - kreator umożliwiający dostosowanie akcji dla wybranych alertów - możliwość importu plików MIB - przesyłanie alertów „as-is” do innych konsol firm trzecich - możliwość definiowania ról administratorów - możliwość zdalnej aktualizacji sterowników i oprogramowania wewnętrznego serwerów - aktualizacja oparta o wybranie źródła bibliotek (lokalna, on-line producenta oferowanego rozwiązania) - możliwość instalacji sterowników i oprogramowania wewnętrznego bez potrzeby instalacji agenta - możliwość automatycznego generowania i zgłaszania incydentów awarii bezpośrednio do centrum serwisowego producenta serwerów - moduł raportujący pozwalający na wygenerowanie następujących informacji: nr seryjne sprzętu, konfiguracja poszczególnych urządzeń, wersje oprogramowania wewnętrznego, obsadzenie slotów PCI i gniazd pamięci, |
informację o maszynach wirtualnych, aktualne informacje o stanie gwarancji, adresy IP kart sieciowych - możliwość automatycznego przywracania ustawień serwera, kart sieciowych, BIOS, wersji firmware w przypadku awarii i wymiany któregoś z komponentów (w tym kontrolera RAID, kart sieciowych, płyty głównej) zapisanych na dedykowanej pamięci flash wbudowanej na karcie zarządzającej | |
Gwarancja | Pięć lat gwarancji realizowanej w miejscu instalacji sprzętu, z czasem reakcji do następnego dnia roboczego od przyjęcia zgłoszenia. Możliwość rozszerzenia gwarancji producenta do 7 lat. W przypadku awarii dyski twarde pozostają własnością Zamawiającego. Możliwość sprawdzenia statusu gwarancji poprzez stronę producenta podając unikatowy numer urządzenia, oraz pobieranie uaktualnień mikrokodu oraz sterowników nawet w przypadku wygaśnięcia gwarancji serwera. |
Firma serwisująca musi posiadać ISO 9001:2000 na świadczenie usług serwisowych oraz posiadać autoryzacje producenta serwera – dokumenty potwierdzające należy załączyć do oferty. Oświadczenie producenta serwera, że w przypadku niewywiązywania się z obowiązków gwarancyjnych oferenta lub firmy serwisującej, przejmie na siebie wszelkie zobowiązania związane z serwisem – dokumenty potwierdzające należy załączyć do oferty. | |
Certyfikaty | Serwer musi być wyprodukowany zgodnie z normą ISO- 9001 oraz ISO-14001. Serwer musi posiadać deklarację CE. Oferowany serwer musi znajdować się na liście Windows Server Catalog i posiadać status „Certified for Windows” dla systemów Windows Server 2008 R2 x64, x86, Microsoft Windows 2012, Microsoft Windows 2012 R2. |
Dokumentacja | Zamawiający wymaga dokumentacji w języku polskim lub angielskim. Możliwość telefonicznego sprawdzenia konfiguracji sprzętowej serwera oraz warunków gwarancji po podaniu numeru seryjnego bezpośrednio u producenta lub jego przedstawiciela |
3.2. Firewall
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa niezależnie od dostawcy łącza. Dopuszcza się aby poszczególne elementy wchodzące w skład systemu ochrony były zrealizowane w postaci osobnych zamkniętych platform sprzętowych lub w postaci komercyjnych aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji programowej dostawca powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym.
Dla elementów systemu bezpieczeństwa obsługujących Urząd, Wykonawca zapewni wszystkie poniższe funkcje i parametry pracy:
1. W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS - możliwość łączenia w klaster Active-Active lub Active-Passive.
2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych.
3. Monitoring stanu realizowanych połączeń VPN.
4. System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparentnym.
5. System realizujący funkcję Firewall powinien dysponować minimum 10 portami Ethernet 10/100/1000 Base-TX
6. System powinien umożliwiać zdefiniowanie co najmniej 250 interfejsów wirtualnych - definiowanych jako VLAN’y w oparciu o standard 802.1Q.
7. W zakresie Firewall’a obsługa nie mniej niż 1,2 mln. jednoczesnych połączeń oraz 28 tys. nowych połączeń na sekundę
8. Przepustowość Firewall’a: nie mniej niż 3 Gbps
9. Wydajność szyfrowania VPN IPSec: nie mniej niż 1600 Mbps
10. System realizujący funkcję Firewall powinien być wyposażony w lokalny dysk
o pojemności minimum 120 GB. System powinien mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub w ramach postępowania musi zostać dostarczony komercyjny system logowania i raportowania w postaci odpowiednio zabezpieczonej platformy sprzętowej lub programowej.
11. System powinien realizować kontrolę sieci botnet również w oparciu o bazy reputacyjne adresów IP oraz domen.
12. Dostarczone rozwiązanie powinno być wyposażone w mechanizmy analizy złośliwego kodu dla urządzeń mobilnych. W ramach postępowania koniecznym jest dostarczenie licencji niezbędnych do aktualizacji sygnatur niezbędnych do takiej analizy.
13. System realizujący funkcję kontroli przed złośliwym oprogramowaniem musi mieć możliwość współpracy z platformą lub usługą typu Sandbox w celu eliminowania nieznanych dotąd zagrożeń.
14. W ramach systemu powinna zostać dostarczona funkcja analizy behawioralnej plików (Sandbox) realizowana lokalnie lub w postaci usługi w chmurze.
15. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcji. Mogą one być realizowane w postaci osobnych platform sprzętowych lub programowych:
• Kontrola dostępu - zapora ogniowa klasy Stateful Inspection
• Ochrona przed wirusami – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS
• Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN
• Ochrona przed atakami - Intrusion Prevention System
• Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM.
• Kontrola zawartości poczty – antyspam dla protokołów SMTP, POP3, IMAP
• Kontrola pasma oraz ruchu [QoS, Traffic shaping] – co najmniej określanie maksymalnej i gwarantowanej ilości pasma
• Kontrola aplikacji – system powinien rozpoznawać aplikacje typu: P2P, botnet (C&C – ta komunikacja może być rozpoznawana z wykorzystaniem również innych modułów)
• Możliwość analizy ruchu szyfrowanego protokołem SSL
• Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP)
16. Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) - minimum 1200 Mbps
17. Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, AC, AV - minimum 180 Mbps
18. W zakresie funkcji IPSec VPN, wymagane jest nie mniej niż:
• Tworzenie połączeń w topologii Site-to-site oraz Client-to-site
• Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
• Praca w topologii Hub and Spoke oraz Mesh
• Możliwość wyboru tunelu przez protokół dynamicznego routingu, np. OSPF
• Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
19. W ramach funkcji IPSec VPN, SSL VPN – producent powinien dostarczać klienta VPN współpracującego z oferowanym rozwiązaniem.
20. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny, dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM.
21. Możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie Routingu, Firewall’a, IPSec VPN’a, Antywirusa, IPS’a.
22. Translacja adresów NAT – adresu źródłowego i docelowego.
23. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci.
24. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
25. Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021) oraz powinien umożliwiać skanowanie archiwów typu zip, RAR.
26. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza sygnatur ataków powinna zawierać minimum 5000 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos.
27. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP
28. Baza filtra WWW o wielkości co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość nadpisywania kategorii lub tworzenia wyjątków i reguł omijania filtra WWW.
29. Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL.
30. System zabezpieczeń musi umożliwiać weryfikację tożsamości użytkowników za pomocą nie mniej niż:
• haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu
• haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP
• haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
• Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory
31. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty:
• ICSA lub EAL4 dla funkcji Firewall
• ICSA lub NSS Labs dla funkcji IPS
• ICSA dla funkcji: SSL VPN, IPSec VPN
32. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i mieć możliwość współpracy z platformami dedykowanymi do centralnego zarządzania i monitorowania. Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.
33. Serwisy i licencje
• W ramach postępowania powinny zostać dostarczone licencje aktywacyjne dla wszystkich wymaganych funkcji ochronnych, upoważniające do pobierania aktualizacji baz zabezpieczeń przez okres 3 lat.
34. Gwarancja oraz wsparcie:
1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres 36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej.
2) Gwarancja/AHB/SOS: System powinien być objęty rozszerzonym serwisem gwarantującym udostępnienie oraz dostarczenie sprzętu zastępczego na czas naprawy sprzętu w Następnym Dniu Roboczym /w ciągu 8 godzin/, realizowanym przez producenta rozwiązania lub autoryzowanego przedstawiciela producenta, w zakresie serwisu gwarancyjnego, mającego swoją siedzibę na terenie Polski.
Dla zapewnienia wysokiego poziomu usług podmiot serwisujący powinien posiadać certyfikat ISO 9001 w zakresie świadczenia usług serwisowych. Zgłoszenia serwisowe będą przyjmowane w trybie 8x5/24x7 przez dedykowany serwisowy moduł internetowy oraz infolinię 8x5/24x7.
Oferent winien przedłożyć dokumenty:
• oświadczenie producenta wskazujące podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej
• oświadczanie Producenta lub Autoryzowanego Partnera Serwisowego o gotowości świadczenia na rzecz Zamawiającego wymaganego serwisu (zawierające numer modułu internetowego i infolinii telefonicznej)
• certyfikat ISO 9001 podmiotu serwisującego
3) Opis przedmiotu zamówienia (nie techniczny, tylko ogólny): W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Dostawca winien przedłożyć dokument pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn. zm.)
oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania.
4) Opis przedmiotu zamówienia (nie techniczny, tylko ogólny): Oferent winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iż oferent posiada autoryzację producenta w zakresie sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych.
3.3. Rozbudowa istniejącej macierzy o dodatkowe dyski
Zamawiający posiada macierz firmy DELL - DELL 3800i. Wykonawca powinien dostarczyć 8 szt. nowych dysków twardych oraz rozbudować o nie i odpowiednio skonfigurować posiadaną przez Zamawiającego macierz.
LP | Producent | Symbol | Opis | Ilość |
1 | Dell | 400-20613 | Dysk - Dell 600GB SAS 6GBps 15k 9cm (3,5 cala) | 8 |
3.4. OPROGRAMOWANIE DO BACKUPU ŚRODOWISKA WIRTUALIZACYJNEGO
- 1 szt.
WYMAGANIA MINIMALNE
Zamawiający wymaga dostarczenia wymaganej liczby licencji oprogramowania w celu zapewnienia poprawnej pracy w istniejącym środowisku wirtualizacyjnym.
1.1.1. Oprogramowanie do archiwizacji powinno współpracować z infrastrukturą wirtualizacji opartą na VMware ESX oraz ESXi w wersjach 3.5, 4.0, 4.1, 5, 5.5 oraz 6, jak również Hyper-V 2008 R2 i Hyper-V 2012 (w tym obsługa formatu dysków wirtualnych *.vhdx)
1.1.2. Rozwiązanie powinno współpracować z hostami ESX i ESXi zarządzanymi przez VMware
1.1.3. Rozwiązanie powinno współpracować z hostami Hyper-V zarządzanymi przez System Center Virtual Machine Manager, zgrupowanymi w klastry jak i nie zarządzanymi (standalone)
1.1.4. Rozwiązanie nie może instalować żadnych swoich komponentów (agent) w archiwizowanych maszynach wirtualnych.
1.1.5. Rozwiązanie musi wspierać backup wszystkich systemów operacyjnych w wirtualnych maszynach, które są wspierane przez VMware i Hyper-V
1.1.6. Rozwiązanie powinno mieć możliwość instalacji na następujących systemach operacyjnych zarówno w wersji 32 jak i 64 bitowej:
• Microsoft Windows XP SP3
• Microsoft Windows Server 2003 SP2
• Microsoft Windows Vista SP2
• Microsoft Windows Server 2008 SP2
• Microsoft Windows Server 2008 R2
• Microsoft Windows 7 SP1
• Windows Server 2012
• Windows 8
1.1.7. Rozwiązanie powinno dawać możliwość odzyskiwania całych obrazów maszyn wirtualnych z obrazów, pojedynczych plików z systemu plików znajdujących się wewnątrz wirtualnej maszyny. Rozwiązanie musi umożliwiać odzyskiwanie plików z następujących systemów plików:
• Linux
o ext2, ext3, ext4, ReiserFS (Reiser3), JFS, XFS
• Unix
o JFS, XFS, UFS
• BSD
o UFS, UFS2
• Solaris
o UFS, ZFS
• Mac
o HFS, HFS+
• Windows
o NTFS, FAT, FAT32
1.1.8. Rozwiązanie powinno umożliwiać natychmiastowe odzyskanie wirtualnej maszyny i jej uruchomienie bez kopiowania na storage podłączony do hostów ESX (wbudowana funkcjonalność NFS Server) i Hyper-V
1.1.9. Rozwiązanie musi zapewniać szybkie odzyskiwanie danych ze skrzynek pocztowych Microsoft Exchange 2010/2013 bez potrzeby uruchamiania maszyny wirtualnej (odzyskiwanie bezpośrednio z bazy danych *.EDB)
1.1.10. Rozwiązanie powinno umożliwiać indeksowanie plików zawartych w archiwach maszyn wirtualnych z systemem operacyjnym Windows w celu szybkiego ich przeszukiwania
1.1.11. Rozwiązanie powinno w pełni korzystać z mechanizmów zawartych w VMware vStorage API for Data Protection a w szczególności być zgodnym z mechanizmem Changed Block Tracking
1.1.12. Rozwiązanie powinno mieć wbudowane mechanizmy podobne do technologii CBT również dla platformy Hyper-V w celu przyśpieszenia procesu backupu.
1.1.13. Rozwiązanie powinno korzystać z mechanizmów VSS (Windows Volume Shadowcopy) wbudowanych w najnowsze systemy operacyjne z rodziny Windows.
1.1.14. Rozwiązanie powinno mieć wbudowane mechanizmy deduplikacji i kompresji archiwum w celu redukcji zajmowanej przez archiwa przestrzeni dyskowej
1.1.15. Rozwiązanie powinno mieć możliwość instalacji centralnej konsoli do zarządzania większą ilością serwerów archiwizujących oraz jednoczesnego zarządzania backupami środowiska VMware i Hyper-V
1.1.16. Dostęp do tej konsoli powinien być realizowany przez przeglądarkę WWW
1.1.17. Rozwiązanie powinno mieć wbudowany mechanizm informowania
o pomyślnym lub niepomyślnym zakończeniu procesu archiwizacji poprzez email, zapis do Event Log’u Windows lub wysłanie komunikatu SNMP.
1.1.18. Rozwiązanie powinno mieć możliwość rozbudowy procesu archiwizacji
o dowolne skrypty tworzone przez administratora i dołączane do zadań archiwizacyjnych
1.1.19. Rozwiązanie powinno mieć wbudowaną możliwość replikacji wirtualnych maszyn pomiędzy hostami ESX i ESXi oraz w tym możliwość replikacji ciągłej
1.1.20. Rozwiązanie powinno mieć wbudowaną możliwość replikacji maszyn wirtualnych pomiędzy hostami Hyper-V
1.1.21. Rozwiązanie powinno być zgodne z konfiguracją rozproszonego przełącznika VMware (Distributed Virtual Switch)
1.1.22. Rozwiązanie powinno mieć możliwość automatycznej zmiany numeracji IP maszyn przywracanych w środowiskach centrum zapasowego w przypadku awarii centrum podstawowego
1.1.23. Rozwiązanie musi umożliwiać zapisanie konfiguracji całej instalacji w celu przywrócenia jej po reinstalacji całego systemu.
1.2. Sieciowy system operacyjny – szt. 1
Serwerowy system operacyjny na potrzeby dostarczonego serwera musi posiadać następujące cechy.
Licencje na serwerowy system operacyjny muszą być przypisane do każdego rdzenia procesora fizycznego na serwerze. Licencja musi uprawniać do uruchamiania serwerowego systemu operacyjnego w środowisku fizycznym i dwóch wirtualnych środowisk serwerowego systemu operacyjnego niezależnie od liczby rdzeni w serwerze fizycznym.
Ponadto serwerowy system operacyjny musi posiadać następujące, wbudowane cechy:
1. Możliwość wykorzystania 320 logicznych procesorów oraz co najmniej 4 TB pamięci RAM w środowisku fizycznym.
2. Możliwość wykorzystywania 64 procesorów wirtualnych oraz 1TB pamięci RAM i dysku o pojemności do 64TB przez każdy wirtualny serwerowy system operacyjny.
3. Możliwość budowania klastrów składających się z 64 węzłów, z możliwością uruchamiania 7000 maszyn wirtualnych.
4. Możliwość migracji maszyn wirtualnych bez zatrzymywania ich pracy między fizycznymi serwerami z uruchomionym mechanizmem wirtualizacji (hypervisor) przez sieć Ethernet, bez konieczności stosowania dodatkowych mechanizmów współdzielenia pamięci.
5. Wsparcie (na umożliwiającym to sprzęcie) dodawania i wymiany pamięci RAM bez przerywania pracy.
6. Wsparcie (na umożliwiającym to sprzęcie) dodawania i wymiany procesorów bez przerywania pracy.
7. Automatyczna weryfikacja cyfrowych sygnatur sterowników w celu sprawdzenia, czy sterownik przeszedł testy jakości przeprowadzone przez producenta systemu operacyjnego.
8. Możliwość dynamicznego obniżania poboru energii przez rdzenie procesorów niewykorzystywane w bieżącej pracy. Mechanizm ten musi uwzględniać specyfikę procesorów wyposażonych w mechanizmy Hyper-Threading.
9. Wbudowane wsparcie instalacji i pracy na wolumenach, które:
a. pozwalają na zmianę rozmiaru w czasie pracy systemu,
b. umożliwiają tworzenie w czasie pracy systemu migawek, dających użytkownikom końcowym (lokalnym i sieciowym) prosty wgląd w poprzednie wersje plików i folderów,
c. umożliwiają kompresję "w locie" dla wybranych plików i/lub folderów,
d. umożliwiają zdefiniowanie list kontroli dostępu (ACL).
10. Wbudowany mechanizm klasyfikowania i indeksowania plików (dokumentów) w oparciu o ich zawartość.
11. Wbudowane szyfrowanie dysków przy pomocy mechanizmów posiadających certyfikat FIPS 140-2 lub równoważny wydany przez NIST lub inną agendę rządową zajmującą się bezpieczeństwem informacji.
12. Możliwość uruchamiania aplikacji internetowych wykorzystujących technologię XXX.XXX
13. Możliwość dystrybucji ruchu sieciowego HTTP pomiędzy kilka serwerów.
14. Wbudowana zapora internetowa (firewall) z obsługą definiowanych reguł dla ochrony połączeń internetowych i intranetowych.
15. Dostępne dwa rodzaje graficznego interfejsu użytkownika:
a. Klasyczny, umożliwiający obsługę przy pomocy klawiatury i myszy,
b. Dotykowy umożliwiający sterowanie dotykiem na monitorach dotykowych.
16. Zlokalizowane w języku polskim, co najmniej następujące elementy: menu, przeglądarka internetowa, pomoc, komunikaty systemowe,
17. Możliwość zmiany języka interfejsu po zainstalowaniu systemu, dla co najmniej 10 języków poprzez wybór z listy dostępnych lokalizacji.
18. Mechanizmy logowania w oparciu o:
a. Login i hasło,
b. Karty z certyfikatami (smartcard),
c. Wirtualne karty (logowanie w oparciu o certyfikat chroniony poprzez moduł TPM),
19. Możliwość wymuszania wieloelementowej dynamicznej kontroli dostępu dla: określonych grup użytkowników, zastosowanej klasyfikacji danych, centralnych polityk dostępu w sieci, centralnych polityk audytowych oraz narzuconych dla grup użytkowników praw do wykorzystywania szyfrowanych danych..
20. Wsparcie dla większości powszechnie używanych urządzeń peryferyjnych (drukarek, urządzeń sieciowych, standardów USB, Plug&Play).
21. Możliwość zdalnej konfiguracji, administrowania oraz aktualizowania systemu.
22. Dostępność bezpłatnych narzędzi producenta systemu umożliwiających badanie i wdrażanie zdefiniowanego zestawu polityk bezpieczeństwa.
23. Pochodzący od producenta systemu serwis zarządzania polityką dostępu do informacji w dokumentach (Digital Rights Management).
24. Wsparcie dla środowisk Java i .NET Framework 4.x – możliwość uruchomienia aplikacji działających we wskazanych środowiskach.
25. Możliwość implementacji następujących funkcjonalności bez potrzeby instalowania dodatkowych produktów (oprogramowania) innych producentów wymagających dodatkowych licencji:
a. Podstawowe usługi sieciowe: DHCP oraz DNS wspierający DNSSEC,
b. Usługi katalogowe oparte o LDAP i pozwalające na uwierzytelnianie użytkowników stacji roboczych, bez konieczności instalowania dodatkowego oprogramowania na tych stacjach, pozwalające na zarządzanie zasobami w sieci (użytkownicy, komputery, drukarki, udziały sieciowe), z możliwością wykorzystania następujących funkcji:
i. Podłączenie do domeny w trybie offline – bez dostępnego połączenia sieciowego z domeną,
ii. Ustanawianie praw dostępu do zasobów domeny na bazie sposobu logowania użytkownika – na przykład typu certyfikatu użytego do logowania,
iii. Odzyskiwanie przypadkowo skasowanych obiektów usługi katalogowej z mechanizmu kosza.
iv. Bezpieczny mechanizm dołączania do domeny uprawnionych użytkowników prywatnych urządzeń mobilnych opartych o iOS i Windows 8.1.
c. Zdalna dystrybucja oprogramowania na stacje robocze.
d. Praca zdalna na serwerze z wykorzystaniem terminala (cienkiego klienta) lub odpowiednio skonfigurowanej stacji roboczej
e. Centrum Certyfikatów (CA), obsługa klucza publicznego i prywatnego) umożliwiające:
i. Dystrybucję certyfikatów poprzez http
ii. Konsolidację CA dla wielu lasów domeny,
iii. Automatyczne rejestrowania certyfikatów pomiędzy różnymi lasami domen,
iv. Automatyczne występowanie i używanie (wystawianie) certyfikatów PKI X.509.
f. Szyfrowanie plików i folderów.
g. Szyfrowanie połączeń sieciowych pomiędzy serwerami oraz serwerami i stacjami roboczymi (IPSec).
h. Możliwość tworzenia systemów wysokiej dostępności (klastry typu fail-over) oraz rozłożenia obciążenia serwerów.
i. Serwis udostępniania stron WWW.
j. Wsparcie dla protokołu IP w wersji 6 (IPv6),
k. Wsparcie dla algorytmów Suite B (RFC 4869),
l. Wbudowane usługi VPN pozwalające na zestawienie nielimitowanej liczby równoczesnych połączeń i niewymagające instalacji dodatkowego oprogramowania na komputerach z systemem Windows,
m. Wbudowane mechanizmy wirtualizacji (Hypervisor) pozwalające na uruchamianie do 1000 aktywnych środowisk wirtualnych systemów operacyjnych. Wirtualne maszyny w trakcie pracy i bez zauważalnego zmniejszenia ich dostępności mogą być przenoszone pomiędzy serwerami klastra typu failover z jednoczesnym zachowaniem pozostałej funkcjonalności. Mechanizmy wirtualizacji mają zapewnić wsparcie dla:
i. Dynamicznego podłączania zasobów dyskowych typu hot-plug do maszyn wirtualnych,
ii. Obsługi ramek typu jumbo frames dla maszyn wirtualnych.
iii. Obsługi 4-KB sektorów dysków
iv. Nielimitowanej liczby jednocześnie przenoszonych maszyn wirtualnych pomiędzy węzłami klastra
v. Możliwości wirtualizacji sieci z zastosowaniem przełącznika, którego funkcjonalność może być rozszerzana jednocześnie poprzez oprogramowanie kilku innych dostawców poprzez otwarty interfejs API.
vi. Możliwości kierowania ruchu sieciowego z wielu sieci VLAN bezpośrednio do pojedynczej karty sieciowej maszyny wirtualnej (tzw. trunk mode)
26. Możliwość automatycznej aktualizacji w oparciu o poprawki publikowane przez producenta wraz z dostępnością bezpłatnego rozwiązania producenta serwerowego
systemu operacyjnego umożliwiającego lokalną dystrybucję poprawek zatwierdzonych przez administratora, bez połączenia z siecią Internet.
27. Wsparcie dostępu do zasobu dyskowego poprzez wiele ścieżek (Multipath).
28. Możliwość instalacji poprawek poprzez wgranie ich do obrazu instalacyjnego.
29. Mechanizmy zdalnej administracji oraz mechanizmy (również działające zdalnie) administracji przez skrypty.
30. Możliwość zarządzania przez wbudowane mechanizmy zgodne ze standardami WBEM oraz WS-Management organizacji DMTF.
31. Zorganizowany system szkoleń i materiały edukacyjne w języku polskim.
1.3. Prace instalacyjno–konfiguracyjne dla dostarczonego rozwiązania
1.3.1. Wymagania wstępne
Celem prac jest przygotowanie środowiska backupu dla istniejącego rozwiązania wirtualizacji zasobów - zbudowanego w oparciu o dwa istniejące serwery, macierz produkcyjną, oprogramowanie do wirtualizacji, oraz dostarczone oprogramowanie do wirtualizacji pełnych maszyn wirtualnych.
Środowisko wirtualne powinno zostać zabezpieczone poprzez dostarczony, zainstalowany i skonfigurowany system backupu i archiwizacji danych.
Ruch sieciowy powinien zostać odseparowany poprzez sieci VLAN i zabezpieczony poprzez dostarczony i skonfigurowany firewall/UTM.
Zamawiający wymaga odseparowania składowania danych backupu od danych produkcyjnych.
Zamawiający wymaga wykorzystania istniejącej infrastruktury sieciowej tj. przełączniki, celem podłączenia dostarczonych elementów sprzętowych oraz oprogramowania.
Zamawiający umożliwi Wykonawcy dostęp do infrastruktury w ustalonym wcześniej terminie w celu dokonania analizy i przygotowania procedur wdrożenia, migracji do nowego środowiska. Dostęp do infrastruktury będzie możliwy pod nadzorem Zamawiającego i po spełnieniu warunków wynikających z Polityki Bezpieczeństwa.
Zamawiający udzieli Wykonawcy wszelkich niezbędnych informacji niezbędnych do przeprowadzenia wdrożenia.
Lista sprzętu sieciowego będącego na wyposażeniu Urzędu:
• Serwer SRVI – szt.1 - Dell R310 – wirtualizacja VMware Essentials v5.0
• Serwer SRVII – szt.1 - Dell R410- wirtualizacja VMware Essentials v5.0
• Serwer DC – szt.1 - HP 380 G5 – Windows Server 2008 Standard
• Xxxxxx Xxxxxxx – szt. 1 – IBM xSeries 346 – Windows Server 2003 for Small Business Server
• Serwer PULS – szt. 1 - HP ML 350 – Novell Netware
• Macierz dyskowa MDI – szt.1 - Dell 3800i
• Przełącznik sieciowy – szt. 3 - HP seria 2900
• UTM firewall – szt.1
W ramach oferty Zamawiający wymaga przeprowadzenia wdrożenia na zasadach projektowych z pełną dokumentacją wdrożeniową. Zamawiający w tym celu wyznaczy ze swojej strony Szefa Projektu z odpowiednimi kompetencjami.
Zamawiający wymaga następującego zakresu usług w ramach prowadzonego projektu realizowanego w porozumieniu z Zamawiającym:
a) Sporządzenia Planu Wdrożenia uwzględniającego fakt wykonania wdrożenia bez przerywania bieżącej działalności Zamawiającego oraz przewidującego rozwiązania dla sytuacji kryzysowych wdrożenia.
b) Sporządzenia Dokumentacji Wykonawczej, według której nastąpi realizacja. Dokumentacja Wykonawcza musi być uzgodniona z Zamawiającym i zawierać wszystkie aspekty wdrożenia. W szczególności:
• testy systemu uwzględniające sprawdzenie wymaganych niniejszą specyfikacją funkcjonalności
• sposób odbioru uzgodniony z Zamawiającym
• listę i opisy procedur, wypełnianie których gwarantuje Zamawiającemu prawidłowe działanie systemu
• opis przypadków, w których projekt dopuszcza niedziałanie systemu
c) Realizacja wdrożenia nastąpi według Planu Wdrożenia, po zakończeniu którego Wykonawca sporządzi Dokumentację Powykonawczą.
d) Odbiór wdrożenia nastąpi na podstawie zgodności stanu faktycznego z Dokumentacją Powykonawczą.
Wykonawca powinien zapewnić możliwość wykonania kopii zapasowej maszyn oraz innych migrowanych danych obecnych na posiadanych przez Zamawiającego serwerach na zewnętrzny zasób dyskowy o parametrach nie gorszych niż wykorzystywane obecnie przez Zamawiającego. Dopiero po wykonaniu takowej kopii zapasowej – nie wcześniej - Wykonawca może rozpocząć przeprowadzanie wszystkich opisywanych prac instalacyjnych i konfiguracyjnych.
Konieczność wykonania kopii zapasowej dotyczy również wszystkich urządzeń sieciowych Zamawiającego, których parametry konfiguracji będą w czasie wdrożenia modyfikowane.
1.3.2. Montaż i fizyczne uruchomienie systemu
a) Wniesienie, ustawienie i fizyczny montaż wszystkich dostarczonych urządzeń w szafach rack w pomieszczeniach (miejscach) wskazanych przez zamawiającego z uwzględnieniem wszystkich lokalizacji.
b) Urządzenia, które nie są montowane w szafach teleinformatycznych powinny zostać zamontowane w miejscach wskazanych przez Zamawiającego.
c) Usunięcie opakowań i innych zbędnych pozostałości po procesie instalacji urządzeń.
d) Podłączenie całości rozwiązania do infrastruktury Zamawiającego (zapewniając redundancje połączeń).
e) Wykonanie procedury aktualizacji firmware dostarczonych elementów do najnowszej wersji oferowanej przez producenta sprzętu.
f) Dla urządzeń modularnych wymagany jest montaż i instalacja wszystkich podzespołów.
g) Wykonanie połączeń kablowych pomiędzy dostarczonymi urządzeniami w celu zapewnienia komunikacji – Wykonawca musi zapewnić niezbędne okablowanie (np.: patchordy miedziane min. kat. 6 UTP lub światłowodowe uwzględniające typ i model interfejsu w urządzeniu sieciowym).
h) Wykonawca musi zapewnić niezbędne okablowanie potrzebne do podłączenia urządzeń aktywnych do sieci elektrycznej (np.: listwy zasilające).
i) Demontaż „starych” urządzeń IT z szafy teleinformatycznej, które nie będą już wykorzystywane.
j) Wykonania projektu rozmieszczenia i połączenia lokalnych i odległych urządzeń sieciowych.
k) Wykonania projektu struktury adresacji urządzeń sieciowych lokalnych i w oddziałach.
l) Wykonania projektu architektury sieci VLAN – sieci wirtualne.
m) Wykonania projektu podłączenia i wykorzystania systemu macierzowego oraz backupowego do systemu serwerowego.
n) Określenie wymagań związanych z polityką bezpieczeństwa.
o) Opracowanie dokumentacji wykonawczej i powykonawczej.
1.3.3. Rekonfiguracja środowiska wirtualizacyjnego
Zamawiający wymaga zaplanowania, uruchomienia oraz przetestowania środowiska wirtualizacyjnego, co najmniej w zakresie:
a) Instalacja oprogramowania do zarzadzania środowiskiem wirtualizacyjnym na dedykowanym dostarczonym serwerze.
b) Instalacja najnowszych poprawek do środowiska wirtualizacyjnego oferowanych przez producenta oprogramowania wirtualizacyjnego oraz przez producenta serwerów.
c) Konfiguracja i podłączenie serwerów wirtualizacyjnych do zasobu dyskowego (rozbudowa o dostarczone dyski). Zamawiający wymaga takiego skonfigurowania dostępu do zasobu dyskowego, aby każdy wolumen dyskowy zasobu dyskowego był widziany przez każdy z serwerów wirtualizacyjnych poprzez wszystkie ścieżki (porty) udostępniane przez zasób dyskowy. Każdy wolumen dyskowy musi być dostępny dla każdego serwera wirtualizacyjnego w przypadku niedostępności (awarii) n-(n-1) ścieżek, gdzie n oznacza liczbę wszystkich dostępnych ścieżek (portów) udostępnianych przez zasób dyskowy.
d) Konfiguracja i podłączenie serwerów wirtualizacyjnych do sieci LAN Zamawiającego. Zamawiający wymaga, aby każdy z serwerów wirtualizacyjnych był podłączony do sieci LAN Zamawiającego, co najmniej taką liczbą portów, by w przypadku niedostępności (awarii) n-(n-1) ścieżek, gdzie n oznacza liczbę wszystkich dostępnych ścieżek (portów) był zachowany dostęp do sieci LAN.
e) Konfiguracja sieci w infrastrukturze wirtualnej - konieczna jest konfiguracja wspierająca wirtualne sieci LAN w oparciu o protokół 802.1q.
f) Przygotowanie koncepcji wirtualizacji fizycznych maszyn.
g) Instalacja i konfiguracja oprogramowania zarządzającego środowiskiem wirtualnym.
h) Konfiguracja uprawnień w środowisku wirtualizacyjnym - integracja z usługą katalogową
i) Konfiguracja powiadomień o krytycznych zdarzeniach (email).
1.3.4. Uruchomienie usługi katalogowej oraz niezbędnych komponentów, migracja danych z obecnej usługi katalogowej
Migracja istniejącej infrastruktury fizycznej do środowiska wirtualnego:
• Zamawiający posiada obecnie Usługę katalogową - Active Directory, zrealizowaną na oprogramowaniu firmy Microsoft - Windows Serwer 2008 wersja 64bit.
• Zamawiający wymaga w ramach realizacji zadań, migracji serwera domenowego na modernizowane środowisko wirtualne wraz ze wszystkimi obecnie wykorzystywanymi rolami i usługami zainstalowanymi na serwerze (x.xx. centrum certyfikacji).
• Zamawiający wymaga podniesienie wersji istniejącej usługi katalogowej Windows Serwer 2008 do wersji Windows serwer 2012 R2 (licencja na stanie Urzędu).
Zamawiający wymaga utrzymania istniejących funkcjonalności a w szczególności:
Taka liczba serwerów, aby w przypadku awarii pojedynczego serwera był zapewniony ciągły dostęp do usługi katalogowej, a w szczególności mechanizmy uwierzytelniania oraz rozwiązywania nazw oraz serwera plików. Zamawiający dopuszcza wykorzystanie serwerów wirtualnych uruchomionych na środowisku wirtualizacyjnym.
Instalacja systemu operacyjnego serwerów w taki sposób, aby w łatwy sposób możliwe było włączenie funkcji szyfrowania partycji systemowej za pomocą wbudowanych w system operacyjny mechanizmów. Po instalacji systemy operacyjne muszą zostać prawidłowo aktywowane. Następnie należy zainstalować niezbędne aktualizacje oraz poprawki związane z bezpieczeństwem udostępnione przez producenta systemu operacyjnego.
Uruchomienie usługi katalogowej, komponentów odpowiedzialnych za rozwiązywanie nazw. Usługa katalogowa oraz komponenty odpowiedzialne za rozwiązywanie nazw muszą być uruchomiona na wszystkich serwerach, które są wykosztowane przez zamawiającego. Należy zweryfikować poprawność działania usługi katalogowej oraz komponentów odpowiedzialnych za rozwiązywanie nazw. Należy szczególną uwagę zwrócić na poprawne funkcjonowanie mechanizmów replikacji. Usługę katalogową należy skonfigurować w taki sposób, aby możliwe było wykorzystanie możliwie wszystkich funkcjonalności oferowanych przez zastosowane systemy operacyjne, a w szczególności możliwość skonfigurowania różnych polityk haseł dla różnych grup zabezpieczeń, logowanie użytkowników za pomocą kart inteligentnych (smartcard) wykorzystywanych przez Zamawiającego, możliwość łatwego odzyskania usuniętego obiektu usługi katalogowej wraz ze wszystkimi danymi, jakie były z nimi związane przed usunięciem.
1.3.4.1.Utworzenie struktury jednostek organizacyjnych na podstawie schematu organizacyjnego dostarczonego przez Zamawiającego.
Zamawiający wymaga skonfigurowania delegacji uprawnień do zadanych jednostek organizacyjnych dla administratorów niższego poziomu. Administratorzy niższego poziomu powinni mieć uprawnienia do:
a) Resetowania haseł użytkowników
b) Odblokowywania kont użytkowników
c) Zmiany atrybutów „Display Name” oraz „Last name”
Zamawiający wymaga skonfigurowania parametrów audytu dla usługi katalogowej umożliwiających między innymi:
a) Śledzenie zmian obiektów usługi katalogowej z dostępem do informacji o dotychczasowej wartości
b) Śledzenie zmian dotyczących tworzenia, usuwania obiektów
Zamawiający wymaga skonfigurowania dwóch stacji zarządzających. Zarządzanie środowiskiem będzie się odbywać z poziomu stacji zarządzających (usługa katalogowa, wszystkie możliwe do zarządzania z poziomu stacji zarządzającej komponenty serwerów).
1.3.4.2. Konfiguracja globalnej polityki haseł dla domeny:
a) Hasło musi zawierać minimum 8 znaków
b) Maksymalny czas ważności hasła: 30 dni
c) Minimalny czas, po którym możliwa jest zmiana hasła: 180 dni
d) Xxxxx musi spełniać zasady złożoności Konfiguracja polityki haseł dla kadry zarządzającej:
a) Hasło musi zawierać minimum 10 znaków
b) Maksymalny czas ważności hasła: 30 dni
c) Minimalny czas, po którym możliwa jest zmiana hasła: 240 dni
d) Xxxxx musi spełniać zasady złożoności
Po 3 nieudanych próbach uwierzytelniania konto powinno być blokowane na 30 minut. Automatyczne anulowanie blokady ma następować po 480 minutach.
1.3.4.3.Konfiguracja centrum certyfikacji:
Zamawiający wymaga migracji/skonfigurowania centrum certyfikacji, umożliwiającego użytkownikom autoryzację za pomocą kart chipowych. Rozwiązanie jest obecnie wykorzystywane przez Zamawiającego.
1.3.4.4.Stworzenie skryptów służących do tworzenia struktury usługi katalogowej
Po oddaniu wdrożonego systemu do eksploatacji konieczne będzie tworzenie nowych kont użytkowników, grup zabezpieczeń oraz jednostek organizacyjnych. Zamawiający oczekuje stworzenia przez Wykonawcę skryptów ułatwiających te zadania.
Założenia skryptu tworzącego nowe jednostki organizacyjne oraz grupy:
1. Możliwość skonfigurowania za pomocą zmiennych w skrypcie, co najmniej:
a) ścieżki i nazwy pliku wejściowego
b) ścieżki i nazwy pliku logującego
c) ścieżki i nazwy pliku wyjściowego (właściwego skryptu)
d) nazwy FQDN domeny
e) nazwy NetBIOS domeny
f) nadrzędnej jednostki organizacyjnej, w której będą tworzone nowe obiekty
g) ścieżek do udziałów dyskowych SHARE1 oraz SHARE2
2. Skrypt ma pobierać z pliku wejściowego listę jednostek organizacyjnych
3. Skrypt tworzy nowe jednostki organizacyjne w jednostce organizacyjnej nadrzędnej zdefiniowanej w części konfiguracyjnej skryptu
4. Skrypt tworzy nowe grupy zabezpieczeń o nazwie G_Nazwa_Jednoski_Organizacyjnej
5. Skrypt tworzy foldery:
a) \\DOMENA\Public\SHARE1
b) \\DOMENA\Public\SHARE2
Foldery muszą posiadać tak ustawione parametry zabezpieczeń, aby użytkownicy nie mogli samodzielnie tworzyć nowych katalogów ani plików w lokalizacjach \\DOMENA\SHARE1 oraz \\DOMENA\SHARE2.
6. Skrypt tworzy podkatalogi:
\\DOMENA\Public\SHARE1\Nazwa_Jednostki_Organizacyjnej oraz
\\DOMENA\Public\SHARE2\Nazwa_Jednostki_Organizacyjnej
7. Skrypt nadaje uprawnienia do utworzonych podkatalogów według założeń:
a) \\DOMENA\Public\SHARE1\Nazwa_Jednostki_Organizacyjnej:
i. Administratorzy Domeny – Pełna kontrola
ii. Grupa G_Nazwa_Jednostki_Organizacyjnej – Pełna kontrola z wyłączeniem uprawnień: Zmiana uprawnień, Przejęcie na własność, usuwanie katalogu Nazwa_Jednostki_Organizacyjnej
iii. Wyłączenie dziedziczenia uprawnień z katalogu nadrzędnego poziomu
iv. Włączenie propagacji uprawnień do katalogów i plików znajdujących się poniżej w strukturze
a) \\DOMENA\Public\Share2\Nazwa_Jednostki_Organizacyjnej:
v. Administratorzy Domeny – Pełna kontrola
vi. Grupa G_Nazwa_Jednostki_Organizacyjnej – Pełna kontrola z wyłączeniem uprawnień: Zmiana uprawnień, Przejęcie na własność, usuwanie katalogu Nazwa_Jednostki_Organizacyjnej
vii. Użytkownicy Uwierzytelnieni - Odczyt
viii. Wyłączenie dziedziczenia uprawnień z katalogu nadrzędnego poziomu
ix. Włączenie propagacji uprawnień do katalogów i plików znajdujących się poniżej w strukturze
8. Każde uruchomienie skryptu ma skutkować odczytaniem pliku wejściowego i wygenerowaniem właściwego skryptu (na końcu nazwy właściwego skryptu musi być dołączona bieżąca data i godzina)
9. Działanie skryptu właściwego musi być w całości logowane do pliku tekstowego, opatrzonego bieżącą datą i godziną w celu umożliwienia każdorazowego zweryfikowania poprawności działania
Założenia skryptu tworzącego nowe konta użytkowników:
1. Możliwość skonfigurowania za pomocą zmiennych w skrypcie co najmniej:
a) ścieżki i nazwy pliku wejściowego
b) ścieżki i nazwy pliku logującego
c) ścieżki i nazwy pliku wyjściowego (właściwego skryptu)
d) nazwy FQDN domeny
e) nazwy NetBIOS domeny
f) nadrzędnej jednostki organizacyjnej, w której będą tworzone nowe obiekty
g) ścieżki do udziału sieciowego HOME
h) litery dysku katalogu domowego
2. Skrypt ma pobierać z pliku wejściowego listę kont użytkowników w formacie:
NazwaUzytkownika;Imie;Nazwisko:Haslo;Dzial;NumerTelefonu
3. Skrypt tworzy nowe konta użytkowników w jednostce organizacyjnej nadrzędnej zdefiniowanej w części konfiguracyjnej skryptu pobierając wszystkie niezbędne dane z pliku wejściowego
4. Nowo utworzone konta użytkowników muszą mieć jednorazowo ustawione hasła – użytkownik nie ma możliwości zmiany hasła. Logowanie na końcówki odbywać się ma za pomocą kart inteligentnych posiadanych przez Zamawiającego.
5. Skrypt tworzy katalog \\DOMENA\HOME\NazwaUzytkownika
6. Skrypt nadaje uprawnienia do utworzonych katalogów użytkowników według założeń:
a) Administratorzy Domeny – Pełna kontrola
b) Użytkownik – Pełna kontrola z wyłączeniem uprawnień: Zmiana uprawnień, Przejęcie na własność, usuwanie katalogu NazwaUzytkownika
c) Wyłączenie dziedziczenia uprawnień z katalogu nadrzędnego poziomu
d) Włączenie propagacji uprawnień do katalogów i plików znajdujących się poniżej w strukturze
7. Skrypt ma ustawić dla każdego konta użytkownika literę dysku domowego oraz poprawną ścieżkę sieciową
8. Każde uruchomienie skryptu ma skutkować odczytaniem pliku wejściowego i wygenerowaniem właściwego skryptu (na końcu nazwy właściwego skryptu musi być dołączona bieżąca data i godzina)
9. Działanie skryptu właściwego musi być w całości logowane do pliku tekstowego, opatrzonego bieżącą datą i godziną w celu umożliwienia każdorazowego zweryfikowania poprawności działania
10. Skrypt ma wygenerować dla każdego zakładanego konta osobny plik tekstowy zawierający między innymi: Nazwę użytkownika, Imię, Nazwisko, Hasło. Tak utworzone pliki mogą zostać wydrukowane i przekazane użytkownikom.
Powyżej opisane skrypty muszą posiadać w treści kodu stosowne komentarze opisujące działanie skryptów. Skrypty zostanę przekazane Wnioskodawcy w wieczyste użytkowanie bez dodatkowych opłat wraz ze stosowną dokumentacją użytkownika oraz szczegółową instrukcja obsługi.
Zamawiający wymaga wygenerowania kont użytkowników, katalogów domowych użytkowników, jednostek organizacyjnych, grup zabezpieczeń za pomocą opracowanych skryptów.
1.3.4.5.Skonfigurowanie mechanizmów mapowania dysków sieciowych dla systemów Windows XP Professional, Windows Vista, Windows 7, Windows 8. Windows 10
Mapowane mają być między innymi zasoby:
\\DOMENA\Public\SHARE1
\\DOMENA\Public\SHARE2
Oraz określone przez Zamawiającego drukarki sieciowe.
Zamawiający wymaga skonfigurowanie mapowania dysków sieciowych za pomocą zasad grup na dwa sposoby:
1. Z wykorzystaniem skryptów logowania
2. Z wykorzystaniem mechanizmów zaimplementowanych w systemach Microsoft Windows Vista i nowszych (Wymagane jest także skonfigurowanie automatycznej instalacji niezbędnych składników na stacjach klienckich. Zamawiający nie dopuszcza instalacji wymaganych składników ręcznie).
1.3.4.6. Uruchomienie i skonfigurowanie serwera plików oraz wydruków
Zamawiający wymaga uruchomienie oraz skonfigurowanie serwerów plików oraz serwerów wydruków tak, aby były spełnione poniższe założenia:
Serwery plików muszą być skonfigurowane z wykorzystaniem dostępnych w zaoferowanych systemach operacyjnych serwerów mechanizmów zwiększających dostępność danych poprzez zastosowanie technologii replikacji systemu plików. Konieczność taka podyktowana jest zapewnieniem ciągłości dostępu do krytycznych danych Wnioskodawcy w przypadku awarii jednego z serwera plików. Zastosowane mechanizmy replikacji systemu plików muszą zapewniać:
• Replikację multi-master z rozwiązywaniem konfliktów
• Wykorzystanie algorytmów kompresji danych wykrywających zmiany na poziomie bloków danych w obrębie plików – replikacji podlegają tylko zmienione bloki danych, a nie całe pliki.
Serwery plików muszą być skonfigurowane w taki sposób, aby ograniczać ekspozycję danych dla użytkowników oraz grup, które nie mają do nich dostępu.
Na serwerach plików muszą być skonfigurowana przydziały dyskowe dla użytkowników i grup. Zamawiający wymaga także skonfigurowania przydziałów dyskowych dla wskazanych folderów.
Zamawiający wymaga włączenia i skonfigurowania mechanizmów uniemożliwiających przechowywanie niedozwolonych typów plików. Konieczne jest także skonfigurowanie mechanizmów raportujących.
Zamawiający wymaga skonfigurowania mechanizmów przekierowania lokalnych folderów „Moje Dokumenty” oraz „Pulpit” ze stacji roboczych na serwery plików. Funkcjonalność ta musi poprawnie działać dla systemów: Windows XP Professional, Windows Vista, Windows 7.
Zamawiający wymaga stworzenie domyślnego, obowiązującego profilu wędrującego dla różnych systemów operacyjnych tj. Windows XP/SP3, Windows Vista, Windows 7. Domyślny profil ma uwzględniać opracowanie i wykonanie grafiki na pulpit komputera klienta. Grafika będzie akceptowana przez Zamawiającego. Zamawiający wymaga stworzenia i przypisania odpowiednich polityk globalnych dla wymuszenia stosowania obowiązkowych (niemodyfikowalnych) profili mobilnych.
Zamawiający wymaga opracowania koszyka dozwolonych aplikacji wraz z implementacją polityk globalnych ograniczających dostęp do aplikacji z wykorzystaniem np.: dedykowanych ustawień związanych z polityką kontroli uruchomienia aplikacji.
Zamawiający wymaga skonfigurowania parametrów audytu dla serwerów plików umożliwiających między innymi:
a) Określenie daty, czasu, nazwy użytkownika, który usunął / próbował usunąć plik/folder
b) Określenie daty, czasu, nazwy użytkownika, który zapisał / próbował zapisać plik/folder
c) Określenia daty, czasu, nazwy użytkownika, który próbował uzyskać nieuprawniony dostęp do zasobów, do których nie ma uprawnień.
Zamawiający wymaga uruchomienia serwera wydruków oraz podłączenia i skonfigurowania drukarek sieciowych. Zamawiający wymaga opracowania i skonfigurowania odpowiednich polityk globalnych mapujących odpowiednie drukarki użytkownikom. Niedopuszczalne jest przyłączenie wszystkim użytkownikom wszystkich dostępnych drukarek. Użytkownicy powinni mieć przyłączone drukarki znajdujące się najbliżej jego komputera.
1.3.4.7. Serwery uwierzytelniające
• Zamawiający wymaga uruchomienia serwerów uwierzytelniających współpracujących z infrastrukturą AD, realizujących funkcję uwierzytelniania urządzeń sieciowych.
• Zamawiający wymaga uruchomienia co najmniej dwóch instancji serwera uwierzytelniania w celu zachowania redundancji na dwóch niezależnych serwerach.
• Instancja serwera może być uruchomiona na serwerach domenowych z zastrzeżeniem, że będzie ona kompatybilna z usługami uruchomionymi na tych serwerach i nie będzie wpływać negatywnie na ich pracę.
• Zamawiający wymaga skonfigurowania odpowiednich polityk bezpieczeństwa na zainstalowanych serwerach uwierzytelniających bazujących na utworzonych w strukturze usługi katalogowej Zamawiającego grupach.
• Jeżeli jest potrzeba, Zamawiający wymaga dostarczenia licencji na instalowane serwery uwierzytelniające oraz ujęcia ich ceny w ofercie.
1.3.4.8. Dołączenie stacji roboczych do domeny
Zamawiający wymaga dołączenia wszystkich stacji roboczych do domeny. W procesie dołączania stacji roboczych do domeny konieczne jest przeprowadzenie migracji profili użytkowników mająca na celu zachowanie specyficznych ustawień lokalnych kont użytkowników (miedzy innymi zachowanie ustawień aplikacji oraz poczty elektronicznej). Po zalogowaniu się użytkownika na konto domenowe użytkownik nie powinien zauważyć znaczących różnic w wyglądzie profilu (zachowane tapety oraz ustawienia pulpitu, dotychczas działające aplikacje powinny działać jak dotychczas bez potrzeby ponownej konfiguracji).
1.3.4.9.Uruchomienie usług umożliwiającą instalację i zarządzanie aktualizacjami stacji roboczych Windows
Zamawiający wymaga uruchomienia i skonfigurowania usług dostępnych w dostarczonych systemach operacyjnych serwerów umożliwiających zarządzanie aktualizacjami stacji roboczych i serwerów Windows według założeń:
1. Aktualizacje i poprawki mają być pobierane na serwer instalacyjny za pośrednictwem sieci Internet
2. Administrator zatwierdza aktualizacje do instalacji
3. Stacje robocze i serwery pobierają i automatycznie instalują zatwierdzone przez Administratora aktualizacje według określonego harmonogramu
Zamawiający wymaga skonfigurowania co najmniej następujących parametrów:
1. Systemów operacyjnych, aplikacji oraz wersji językowych, dla których będą pobierane aktualizacje
2. Kategorii aktualizacji
3. Grup komputerów (KOMPUTERY, SERWERY, KOMPUTERY- TEST, SERWERY-TEST)
4. Polityk globalnych przypisujących komputery znajdujące się w określonych jednostkach organizacyjnych do odpowiednich grup komputerów
5. Zasad automatycznego zatwierdzania nowych aktualizacji.
6. Mechanizmów raportowania (email)
1.3.5. Uruchomienie oprogramowania do wykonywania kopii zapasowych środowiska wirtualnego.
• Instalacja oraz uruchomienie dostarczonego środowiska wykonywania kopii zapasowych.
• Aktywacja wymaganych licencji
Konfiguracja zadań wykonywania kopii zapasowych wirtualnych maszyn według poniższych wymagań:
• kopie wirtualnych maszyn muszą być wykonywane przy użyciu mechanizmów oferowanych przez dostarczone środowisko wirtualizujące;
• kopie wirtualnych maszyn muszą być wykonywane na dedykowany zasób dyskowy;
• kopie maszyn wirtualnych muszą być replikowane na wskazany przez Xxxxxxxxxxxxx zasób dyskowy
• kopie wirtualnych maszyn muszą być wykonywane automatycznie wg zadanego harmonogramu;
• kopie zapasowe muszą być wykonywane z zastosowaniem mechanizmów deduplikacji danych w celu zapewnienia inteligentnego zarządzania przestrzenią dyskową;
• musi istnieć możliwość odtworzenia:
o całej wirtualnej maszyny;
o dysku wirtualnej maszyny;
o pojedynczych plików wirtualnej maszyny (zamontowanie pliku z kopią zapasową w systemie operacyjnym gościa);
• konfiguracja powiadomień o wykonaniu kopii zapasowej (e-mail).
1.3.6. Uruchomienie lokalnego serwera SMTP
Zamawiający wymaga zainstalowania oraz uruchomienia i skonfigurowania dedykowanego serwera SMTP. Serwer SMTP powinien być uruchomiony na dedykowanym wirtualnym serwerze pracującym pod kontrolą systemu Linux.
Serwer SMTP będzie wykorzystywany na potrzeby wysyłania powiadomień systemowych między innymi z:
• Urządzeń sieciowych
• Serwerów
• Macierzy dyskowej
• Systemu zarządzania kopiami zapasowymi
• Systemu wirtualizacji serwerów
Zamawiający wymaga zabezpieczenia serwera w taki sposób, aby uniemożliwić przesyłanie wiadomości z nieautoryzowanych źródeł. Zamawiający wymaga, aby wysyłane powiadomienia były poprawnie dostarczane na zewnętrzne konta email.
1.3.7. Rekonfiguracja sieci LAN
Obecnie serwery oraz stacje robocze oraz serwery znajdują się w jednej sieci VLAN. Zamawiający wymaga zaplanowania oraz przeprowadzenia rekonfiguracji sieci LAN w sposób umożliwiający separację oraz filtrowanie ruchu pomiędzy serwerami a stacjami roboczymi. Rekonfiguracja powinna objąć posiadane przez Zamawiającego przełączniki sieciowe (VLAN) oraz dostarczone urządzenie bezpieczeństwa firewall UTM (polityki bezpieczeństwa).
Zamawiający wymaga zaplanowania oraz przeprowadzenia rekonfiguracji urządzenia bezpieczeństwa w celu zapewnienia możliwości wykorzystania polityk bazujących na poświadczeniach użytkownika w oparciu o wykorzystywaną usługę katalogową Active Directory.
1.3.8. Konfiguracja elementów bezpieczeństwa sieciowego.
1. Aktualizacja oprogramowania układowego do najnowszej stabilnej wersji oferowanej przez producenta urządzenia.
2. Aktywacja (jeśli wymagana) urządzenia na stronie internetowej producenta.
3. Aktywacja (jeśli wymagana) funkcjonalności oferowanych przez urządzenia (AV, IPS, Kontrola Aplikacji, Filtrowanie WWW, Filtrowanie Email)
4. Przygotowanie projektu włączenia urządzenia do sieci LAN urzędu
5. Konfiguracja dostarczonego systemu Firewall:
a. Konfiguracja podstawowych parametrów
b. Konfiguracja translacji adresów NAT
c. Konfiguracja mechanizmów ochrony wybranych sieci VLAN, do których przyłączone zostaną np. serwery, serwery komunikacyjne telefonii IP, itp.
d. Konfiguracja inspekcji określonych protokołów sieciowych;
e. Konfiguracja reguł dostępu do określonych podsieci, chronionych przez moduł Firewall;
f. Konfiguracja zarządzania Firewall przez dedykowaną stację zarządzającą bezpieczeństwem sieciowym;
g. Testowanie działania bramy
6. Konfiguracja modułów należących do systemu wykrywania włamań IPS:
a. Konfiguracja podstawowych parametrów
b. Konfiguracja mechanizmów ochrony określonych sieci VLAN przez moduł wykrywania włamań;
c. Konfiguracja reguł kontroli ruchu sieciowego przez moduły oraz sposobów reakcji na pojawienie się niepożądanego ruchu sieciowego;
d. Konfiguracja zarządzania modułami przez dedykowaną stację zarządzającą bezpieczeństwem sieciowym;
e. Konfiguracja wirtualnego sensora,
f. Dostosowywanie (strojenie) wirtualnego sensora do specyfiki architektury sieciowej,
g. Testowanie działania ochrony IPS
7. Konfiguracja modułu ochrony antywirusowej, antyspyware, blokowania transferu plików, antyspamowa, filtrowania i blokowania odwołań do niepożądanych adresów URL.
a. Przypisanie adresu IP do zarządzania.
b. Konfiguracja inspekcji protokołów HTTP, SMTP, FTP, POP3
c. Definicja reguł filtrowania/blokowania
d. Integracja z systemem domenowym w celu weryfikacji nawiązywania połączenia poprzez nazwę użytkownika z domeny.
8. Konfiguracja tuneli SSL VPN celem zapewnienia bezpiecznego dostępu do sieci wewnętrznej.
9. Konfiguracja uwierzytelniania w oparciu o wykorzystywaną przez Zamawiającego usługę katalogową – Active Directory
10. Uruchomienie i skonfigurowanie dedykowanych oddzielnych instancji systemów bezpieczeństwa dla:
a. VLAN’y Pracownicze (odzwierciedlające strukturę organizacyjną)
b. VLAN Klient
c. VLAN Serwer
d. VLAN Public
e. VLAN DMZ
f. VLAN SAN – dla ruchu do systemu macierzowego SAN.
W miarę możliwości polityki dostępu powinny być budowane w oparciu
o poświadczenia użytkowników (Active Directory), nie zaś o adresy IP, czy MAC
11. W każdej instancji systemu bezpieczeństwa należy skonfigurować co najmniej 3 profile (wytyczne przekaże Zamawiający) dla każdej z poniższych funkcjonalności:
a. kontrola dostępu - zapora ogniowa klasy Stateful Inspection
b. ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS) umożliwiający skanowanie wszystkich rodzajów plików, w tym zip, rar
c. ochrona przed atakami - Intrusion Prevention System [IPS/IDS]
d. kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM.
e. kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP)
f. kontrola pasma oraz ruchu [QoS, Traffic shaping]
g. Kontrola aplikacji oraz rozpoznawanie ruchu P2P
h. Ochrona przed wyciekiem poufnej informacji (DLP)
i. Filtra WWW (w oparciu o kategorie stron WWW oraz własną bazę URL)
j. Inspekcja ruchu SSL
k. Ochrony przez atakami na stacje klienckie
l. Kontrola pasma
m. Integracja z - System centralnego logowania i korelacji
12. Konfiguracja szyfrowanych tuneli VPN (GRE over IPSec) pomiędzy lokalizacjami zdalnymi a istniejącym urządzeniem (połączenie zapasowe). Podczas normalnej pracy tunele VPN powinny być terminowane na routerze dostarczonych urządzeniach. W przypadku awarii lub niedostępności urządzenia podstawowego ruch powinien zostać przełączony bez ingerencji administratora. Automatyczne przełączenie powinno trwać poniżej 5 minut.
13. Konfiguracja logowania i raportowania w oparciu do dostarczone Urządzenie System centralnego logowania i korelacji
14. Konfiguracja logowania i raportowania do alternatywnego serwera SYSLOG (instalacja i konfiguracja serwera SYSLOG spoczywa na Wykonawcy). Zamawiający na potrzeby instalacji serwera SYSLOG udostępnia infrastrukturę wirtualizacyjną. Jeśli dla zapewnienia tej funkcjonalności wymagane są jakiekolwiek licencje – ich dostarczenie spoczywa na Wykonawcy.
1.3.9. Termin wykonania prac instalacyjno-wdrożeniowych. Oddanie systemu do eksploatacji.
Wszystkie wymienione prace wdrożeniowe muszą zostać wykonane wspólnie z przedstawicielem Zamawiającego, z każdego etapu prac powinien zostać sporządzony protokół. Powyższe czynności należy wykonać w okresie realizacji Zamówienia, w ramach jednego weekendu (piątek godz. 16:00 - sobota godz. 22:00) po wcześniejszym uzgodnieniu harmonogramu wdrożenia z Zamawiającym. Wykonawca jest zobowiązany do zapewnienia wsparcia technicznego w postaci jednej osoby w siedzibie Zamawiającego w ciągu pierwszych dwóch dni roboczych następujących po pracach wdrożeniowo – instalacyjnych w godzinach od 7.00 do 16.00.
W tym czasie przedstawiciele Wykonawcy zobowiązani są do rozwiązywania problemów technicznych, które wystąpią na etapie oddawania systemu do eksploatacji. W tym czasie przedstawiciele Wykonawcy dokonają także przeszkolenia dwóch pracowników Zamawiającego z zakresu zastosowanych technologii oraz poprawnej eksploatacji wdrożonych rozwiązań.
1.3.10. Szkolenie z zakresu wdrożonego rozwiązania
Po wykonaniu wdrożenia, nie później niż w ciągu kolejnych 7 dni roboczych, powinno odbyć się szkolenie wyznaczonego przez Zamawiającego pracownika w zakresie konfiguracji i zarządzania wdrożonym rozwiązaniem. Szkolenie powinno trwać nie mniej niż 8 godzin i zakończyć się wystawieniem przez Wykonawcę stosownego zaświadczenia o odbytym szkoleniu. Szkolenie powinno odbyć w siedzibie Zamawiającego. Zamawiający zapewni salę do szkolenia.
1.3.11. Opracowanie dokumentacji powykonawczej
Zamawiający wymaga opracowania szczegółowej dokumentacji technicznej użytkownika (w formie papierowej i elektronicznej) obejmującej wszystkie etapy
wdrożenia całości systemu. Zamawiający jest zobowiązany do przygotowania w formie papierowej i elektronicznej procedur eksploatacyjnych systemu.
1.3.12. Opieka serwisowa
Zamawiający wymaga świadczenia opieki serwisowej przez okres 12 miesięcy, od momentu podpisania protokołu odbioru, z czasem reakcji na zaistniałe problemy wynoszącym 4 godziny, z zakresu realizowanego wdrożenia oraz powstałego sytemu teleinformatycznego. Czas reakcji jest rozumiany jako podjęcie działań mających na celu rozwiązanie zaistniałych problemów technicznych.
Zamawiający nie dopuszcza możliwości pracy zdalnej.
Wykonawca zapewni przyjmowanie zgłoszeń w Godzinach Roboczych, przez które rozumie się godziny od 7.00 do 17.00 w Dni Robocze.
Prace serwisowe mogą być realizowane po godzinach pracy Urzędu w tym również w dni wolne. Termin realizacji prac wyznacza Zamawiający, a Wykonawca je przyjmuje.
W ramach opieki serwisowej Zamawiający wymaga dwóch wizyt serwisowych w siedzibie Urzędu. Czas pojedynczej wizyty serwisowej 8 godz. – jeden dzień roboczy.
W przypadku jeżeli producent Standardowego Oprogramowania Systemowego, Standardowego Oprogramowania Aplikacyjnego lub sprzętu komputerowego udostępni jakiekolwiek aktualizacje, nowe wersje, patche, zmiany itp. (dalej łącznie zwane aktualizacjami), Wykonawca w ramach Usług Serwisu zapewni Zamawiającemu takie aktualizacje niezwłocznie po ich udostępnieniu.
W przypadku stwierdzenia, że przyczyna Wady leży w Standardowym Oprogramowaniu Systemowym, Standardowym Oprogramowaniu Aplikacyjnym lub oprogramowaniu dostarczanym przez Wykonawcę w ramach Infrastruktury Technicznej, Wykonawca w Czasie Naprawy jest zobowiązany do wykonania Obejścia, a do usunięcia Wady jest zobowiązany niezwłocznie po zapewnieniu odpowiedniej poprawki przez producenta Standardowego Oprogramowania Systemowego lub Standardowego Oprogramowania Aplikacyjnego. W celu uniknięcia wątpliwości w takim przypadku wykonanie Obejścia w Czasie Naprawy stanowi należyte wykonanie Umowy i nie jest podstawą do naliczenia kar umownych z tytułu niedochowania Czasu Naprawy, co nie zwalnia Wykonawcy z obowiązku usunięcia Wady po udostępnieniu odpowiedniej poprawki przez producenta oprogramowania.
Łączny wymiar usług związanych z opieką serwisową nie przekroczy 240 godzin.
Wraz z ofertą, Wykonawca powinien wykazać, że w ciągu ostatnich dwóch lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy, to w tym okresie, wykonał co najmniej 3 wdrożenia podobnych rozwiązań o wartości minimum 150.000,00 zł brutto każda, z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane oraz załączeniem dowodów, czy zostały wykonane lub są wykonywane należycie.
Wykonawca powinien wykazać, że dysponuje osobami posiadającymi certyfikat z posiadanego przez Zamawiającego oprogramowania do wirtualizacji oraz certyfikat MCSA on Microsoft Windows Server.
Terminy:
- termin składania ofert – 02.12.2016r. do godz. 9:00 (decyduje data wpływu).
- termin dostawy/wykonania przedmiotu zamówienia – 28.12.2016r.
- sposób płatności – przelew 7 dni.