Szacowanie wartości zamówienia dla zadania:
Szacowanie wartości zamówienia dla zadania:
: dostawa infrastruktury teleinformatycznej dla projektu eCareMed - rozwój cyfrowych usług medycznych w Wojewódzkim Szpitalu Specjalistycznym nr 5 im. św. Barbary w Sosnowcu”
Wirtualizacja
1. Zaoferowane oprogramowanie do wirtualizacji musi być instalowane bezpośrednio na sprzęcie fizycznym i nie może być ono częścią innego systemu operacyjnego
2. W zaoferowanym oprogramowaniu warstwa wirtualizacji nie może dla własnych celów alokować więcej niż 200MB pamięci operacyjnej RAM serwera fizycznego
3. Zaoferowane oprogramowanie do wirtualizacji zainstalowane na serwerze fizycznym musi potrafić obsłużyć i wykorzystać procesory fizyczne tego serwera wyposażone w 768 logicznych wątków, 24TB pamięci fizycznej RAM tego serwera oraz 16 procesorów fizycznych tego serwera
4. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość skonfigurowania maszyn wirtualnych z ilością od 1 do 768 procesorów wirtualnych
5. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość skonfigurowania maszyn wirtualnych z możliwością przydzielenia do 24 TB pamięci operacyjnej RAM
6. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość skonfigurowania maszyn wirtualnych z możliwością przydzielenia od 1 do 10 wirtualnych kart sieciowych dla każdej z nich. Dodatkowo, oprogramowanie musi posiadać możliwość utworzenia maszyny wirtualnej bez przydzielonej wirtualnej karty sieciowej.
7. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość skonfigurowania maszyn wirtualnych, z których każda może mieć 32 porty szeregowe, 3 porty równoległe i 20 urządzeń USB
8. Zaoferowane oprogramowanie musi wspierać następujące systemy operacyjne: Windows XP, Windows Vista, Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows 7, Windows 8, SLES 12, SLES 11, SLES 10, SLES 9, RHEL 8, REHL 7, RHEL 6, RHEL 5, RHEL 4, RHEL 3, RHEL Atomic 7, Solaris 11, Solaris 10, Debian, CentOS, FreeBSD, Asianux, Ubuntu, SCO OpenServer, SCO Unixware, Mac OS X, Photon OS, eCommStation 1/2/2.1, Oracle Linux , CoreOS, NeoKylin, Amazon Linux 2,
9. W celu osiągnięcia maksymalnego współczynnika konsolidacji, zaoferowane oprogramowanie musi umożliwiać przydzielenie łącznie większej ilości pamięci RAM dla maszyn wirtualnych niż fizyczne zasoby RAM serwera, na którym maszyny te są posadowione
10. Rozwiązanie musi umożliwiać udostępnienie maszynie wirtualnej większej ilości zasobów dyskowych niż jest fizycznie dostępne na zasobach dyskowych
11. Zaoferowane oprogramowanie musi zapewniać sprzętowe wsparcie dla wirtualizacji zagnieżdżonej, w szczególności w zakresie możliwości zastosowania trybu XP mode w Microsoft Windows 7 a także instalacji wszystkich funkcjonalności w tym Microsoft Hyper-V pakietu Microsoft Windows Server 2012 na maszynie wirtualnej
12. Zaoferowane oprogramowanie musi umożliwiać integrację z rozwiązaniami antywirusowymi firm trzecich w zakresie skanowania maszyn wirtualnych z poziomu warstwy wirtualizacji bez ingerencji w systemy operacyjne maszyn wirtualnych (bezagentowość)
13. Zaoferowane oprogramowanie musi zapewniać zdalny i lokalny dostęp administracyjny do wszystkich serwerów fizycznych poprzez protokół SSH, z możliwością nadawania uprawnień do takiego dostępu nazwanym użytkownikom bez konieczności wykorzystania konta „root”
14. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość powielania maszyn wirtualnych wraz z ich pełną konfiguracją i danymi
15. Zaoferowane oprogramowanie do wirtualizacji musi zapewnić możliwość wykonywania kopii migawkowych instancji systemów operacyjnych na potrzeby tworzenia kopii zapasowych bez przerywania ich pracy z możliwością konieczności zachowania stanu pamięci pracującej maszyny wirtualnej.
16. Konsola zarządzająca zaoferowanego oprogramowania musi posiadać możliwość przydzielania i konfiguracji uprawnień z możliwością integracji z usługami katalogowymi, minimalnie z: Microsoft Active Directory i Open LDAP oraz umożliwiać federacyjne zarządzanie tożsamością w oparciu o Microsoft Active Directory Federation Services (ADFS).
17. Zaoferowane oprogramowanie musi zapewniać możliwość dodawania zasobów w czasie pracy maszyny wirtualnej, w szczególności w zakresie ilości procesorów, pamięci operacyjnej i przestrzeni dyskowej
18. Zaoferowane oprogramowanie musi posiadać funkcjonalność tworzenia wirtualnego przełącznika (virtual switch) umożliwiającego tworzenie sieci wirtualnej w obszarze hosta (hypervisora wirtualizacyjnego) i pozwalającego połączyć tym przełącznikiem maszyny wirtualne w obszarze jednego hosta, a także na zewnątrz sieci fizycznej. Pojedynczy przełącznik wirtualny powinien mieć możliwość konfiguracji minimum 4000 portów
19. Pojedynczy wirtualny przełącznik w zaoferowanym oprogramowaniu, w celu zapewnienia bezpieczeństwa połączenia ethernetowego w razie awarii fizycznej karty sieciowej, musi posiadać możliwość przyłączania do niego minimum dwóch fizycznych kart sieciowych
20. Wirtualne przełączniki w zaoferowane oprogramowaniu muszą posiadać funkcjonalność obsługi wirtualnych sieci lokalnych (VLAN)
21. Zaoferowane oprogramowanie musi zapewniać możliwość konfigurowania polityk separacji sieci w warstwie trzeciej, tak aby zapewnić oddzielne grupy wzajemnej komunikacji pomiędzy maszynami wirtualnymi
22. Zaoferowane oprogramowanie musi umożliwiać wykorzystanie technologii przepustowości sieci komputerowych do 200GbE w tym agregację połączeń fizycznych do minimalizacji czasu przenoszenia maszyny wirtualnej pomiędzy serwerami fizycznymi
23. Zaoferowane oprogramowanie do wirtualizacji musi obsługiwać przełączenie ścieżek LAN (bez
utraty komunikacji) w przypadku awarii jednej ze ścieżek
24. Zaoferowane oprogramowanie musi zapewnić możliwość zdefiniowania alertów informujących o przekroczeniu wartości progowych
25. Zaoferowane oprogramowanie, w przypadku działania pod zarządcą klastra VMware vCenter,
musi zapewniać możliwość replikacji maszyn wirtualnych z dowolnej pamięci masowej w tym z dysków
wewnętrznych serwerów fizycznych na dowolną pamięć masową w tym samym lub oddalonym ośrodku przetwarzania. Replikacja musi gwarantować współczynnik RPO (ang Recovery Point Objective) na poziomie minimum 5 minut
26. Zaoferowane oprogramowanie do wirtualizacji musi obsługiwać przełączenie ścieżek SAN (bez utraty komunikacji) w przypadku awarii jednej ze ścieżek
27. Zaoferowane oprogramowanie, w przypadku działania pod zarządcą klastra VMware vCenter, musi mieć możliwość przenoszenia maszyn wirtualnych pomiędzy serwerami fizycznymi bez przerywania pracy usług na przenoszonych maszynach wirtualnych. Wymaga się wsparcia natywnego szyfrowania ruchu sieciowego dla maszyn wirtualnych podczas ich przenoszenia między serwerami fizycznymi
28. Zaoferowane oprogramowanie, w przypadku działania pod zarządcą klastra VMware vCenter, oraz w środowisku z więcej niż pojedynczym wirtualizatorem, musi umożliwiać automatyczne, ponowne uruchomienie maszyn wirtualnych w przypadku awarii jednego z wirtualizatorów na kolejnym, działającym w tym samym klastrze wirtualizatorze (funkcjonalność HA) (ang. high availability)
29. Zaoferowane oprogramowanie musi posiadać co najmniej 2 niezależne mechanizmy wzajemnej komunikacji między serwerami z zainstalowanym wirtualizatorem oraz z serwerem zarządzającym, gwarantujące właściwe działanie mechanizmów wysokiej dostępności na wypadek izolacji sieciowej serwerów fizycznych lub partycjonowania sieci
30. Zaoferowane oprogramowanie do wirtualizacji musi zapewniać możliwość stworzenia dysku maszyny wirtualnej o wielkości 62 TB
31. Zaoferowane oprogramowanie musi posiadać wbudowany interfejs programistyczny (API) zapewniający pełną integrację zewnętrznych rozwiązań wykonywania kopii zapasowych z istniejącymi mechanizmami warstwy wirtualizacyjnej
32. Zaoferowane oprogramowanie musi wspierać TPM 2.0. Minimalne wymaganie Zamawiającego dla TPM oznacza, że TPM zapewnia mechanizm gwarantujący, że serwer fizyczny, na którym zainstalowane jest zaoferowane oprogramowanie, uruchomił się z włączoną opcją Secure Boot. Po potwierdzeniu, że Secure Boot jest włączone, system gwarantuje, poprzez weryfikację podpisu cyfrowego, że hypervisor uruchomił się w niezmienionej formie
33. Wirtualizator w zaoferowanym oprogramowaniu musi mieć możliwość włączenia funkcji “Microsoft virtualization-based security”, tzw. Microsoft VBS dla systemów operacyjnych maszyn wirtualnych opartych o system operacyjny Microsoft Windows 10 oraz Microsoft Windows Server 2016.
34. Zaoferowane oprogramowanie musi posiadać certyfikację FIPS-140-2 min. dla modułu jądra wirtualizatora odpowiedzialnego za szyfrowanie danych
35. Zaoferowane oprogramowanie musi posiadać funkcjonalność wirtualnego TPM 2.0 dla maszyn wirtualnych z zainstalowanym Microsoft Windows 10 oraz Microsoft Windows 2016. Zamawiający wymaga, aby z punktu widzenia maszyny wirtualnej z systemem operacyjnym Microsoft Windows 10 lub Microsoft Windows 2016 wirtualny TPM widziany był jako standardowy TPM, gdzie można przechowywać bezpiecznie wrażliwe dane np. certyfikaty. Zawartość wirtualnego TPM musi być przechowywana w pliku przynależnym do maszyny wirtualnej oraz musi być szyfrowana.
36. Zaoferowane oprogramowanie musi posiadać funkcjonalność szybkiego uruchamiania wirtualizatora po przeprowadzonym procesie jego aktualizacji. Zamawiający wymaga aby w procesie aktualizacji wirtualizatora, jeśli wymagany jest jego restart, funkcjonalność szybkiego uruchamiania powodowała eliminację czasochłonnej fazy inicjalizacji serwera fizycznego
37. Zaoferowane oprogramowanie musi posiadać możliwość aktualizacji i kontroli wersji oprogramowania do wirtualizacji w ramach klastra serwerów z poziomu centralnej konsoli zarządzającej. Dodatkowo centralna konsola zarządzająca musi posiadać funkcjonalność aktualizacji firmware komponentów serwera fizycznego (dyski, kontrolery, karty sieciowe) z poziomu konsoli zarządzającej wirtualizatora. Konsola zarządzająca musi mieć możliwość automatycznej weryfikacji, czy zainstalowane komponenty serwera posiadają rekomendowaną wersję sterowników i firmware, eliminując ryzyko pracy na nieaktualnych wersjach. Taka funkcjonalność powinna być dostępna dla minimum dwóch producentów serwerów obecnych na rynku
38. Zaoferowane oprogramowanie musi wspierać protokół precyzyjnej synchronizacji czasu PTP
(ang. Precision Time Protocol)
39. Zaoferowane oprogramowanie, w przypadku działania pod zarządcą klastra VMware vCenter, musi posiadać mechanizm, który ogranicza dostęp do indywidualnego zarządzania warstwą wirtualizacji na serwerach fizycznych w ramach klastra serwerów w celu utwardzenia/hardening (maksymalnego zwiększenia bezpieczeństwa dostępu) systemu wirtualizacji.
40. Zaoferowane oprogramowanie zapewnia podstawowe funkcje serwera zarządzania kluczami
(KMS), które upraszcza włączenie szyfrowania i zaawansowanych funkcji bezpieczeństwa.
Kopie zapasowe
Wymagania ogólne
Zamawiający oczekuje dostarczenia kompletu licencji systemu backupowego wraz z pięcioletnim wsparciem producenta dla dwóch środowisk o parametrach poniższych lub równoważnych:
- środowisko Oracle (2 hosty, w sumie 4 procesory po 12 rdzeni każdy)
- środowisko VMware (3 hosty, w sumie 6 procesorów po 8 rdzeni każdy)
Zamawiający wyraża zgodę na obsługiwanie backupu tych środowisk z dwóch oddzielnych konsoli.
Wymagania ogólne
Oprogramowanie musi być produktem przeznaczonym do obsługi środowisk DataCenter. Oferowany produkt musi znajdować się w kwadracie liderów Gartner Magic Quadrant for Data Center Backup and Recovery Solutions oraz na ogólnie dostępnej liście referencyjnej Gartner: xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xxxxxx/xxxx-xxxxxx-xxxxxx-xxx-xxxxxxxx-xxxxxxxxx i spełniać minimalne wymaganie : - minimalna liczba referencji 150, - minimalna ocena z referencji 4,5,
Oprogramowanie musi współpracować z infrastrukturą VMware w wersji 5.5, 6.0, 6.5, 6.7 and 7.0 oraz
Microsoft Hyper-V 2008R2SP1, 2012, 2012 R2 i 2019. Wszystkie funkcjonalności w specyfikacji muszą
być dostępne na wszystkich wspieranych platformach wirtualizacyjnych, chyba, że wyszczególniono
inaczej
Oprogramowanie musi współpracować z hostami zarządzanymi przez VMware vCenter oraz pojedynczymi hostami.
Oprogramowanie musi współpracować z hostami zarządzanymi przez System Center Virtual Machine Manger, klastrami hostów oraz pojedynczymi hostami.
Oprogramowanie musi zapewniać tworzenie kopii zapasowych z sieciowych urządzeń plikowych NAS
opartych o SMB, CIFS i/lub NFS oraz bezpośrednio z serwerów plikowych opartych o Windows i Linux. Całkowite koszty posiadania
Oprogramowanie musi być niezależne sprzętowo i umożliwiać wykorzystanie dowolnej platformy
serwerowej i dyskowej
Oprogramowanie musi tworzyć “samowystarczalne” archiwa do odzyskania których nie wymagana jest
osobna baza danych z metadanymi deduplikowanych bloków
Oprogramowanie musi pozwalać na tworzenie kopii zapasowych w trybach: Pełny, pełny syntetyczny,
przyrostowy i odwrotnie przyrostowy (tzw. reverse-inremental)
Oprogramowanie musi mieć mechanizmy deduplikacji i kompresji w celu zmniejszenia wielkości archiwów. Włączenie tych mechanizmów nie może skutkować utratą jakichkolwiek funkcjonalności wymienionych w tej specyfikacji
Oprogramowanie nie może przechowywać danych o deduplikacji w centralnej bazie. Utrata bazy danych używanej przez oprogramowanie nie może prowadzić do utraty możliwości odtworzenia backupu. Metadane deduplikacji muszą być przechowywane w plikach backupu.
Oprogramowanie musi zapewniać warstwę abstrakcji nad poszczególnymi urządzeniami pamięci masowej, pozwalając utworzyć jedną wirtualną pulę pamięci na kopie zapasowe. Wymagane jest wsparcie dla nieograniczonej liczby pamięci masowych to takiej puli.
Oprogramowanie musi pozwalać na rozszerzenie lokalnej przestrzeni backupowej poprzez integrację z Microsoft Azure Blob, Amazon S3 oraz z innymi kompatybilnymi z S3 macierzami obiektowymi. Proces migracji danych powinien być zautomatyzowany. Jedynie unikalne bloki mogą być przesyłane w celu oszczędności pasma oraz przestrzeni na przechowywane dane. Funkcjonalność ta nie może mieć wpływu na możliwości odtwarzania danych.
Oprogramowanie nie może instalować żadnych stałych agentów wymagających wdrożenia czy upgradowania wewnątrz maszyny wirtualnej dla jakichkolwiek funkcjonalności backupu lub odtwarzania
Oprogramowanie musi mieć możliwość uruchamiania dowolnych skryptów przed i po zadaniu backupowym lub przed i po wykonaniu zadania snapshota.
Oprogramowanie musi oferować portal samoobsługowy, umożliwiający odtwarzanie użytkownikom wirtualnych maszyn, obiektów MS Exchange i baz danych MS SQL oraz Oracle (w tym odtwarzanie point-in-time)
Oprogramowanie musi zapewniać możliwość delegacji uprawnień do odtwarzania na portalu
Oprogramowanie musi mieć możliwość integracji z innymi systemami poprzez wbudowane RESTful API
Oprogramowanie musi mieć wbudowane mechanizmy backupu konfiguracji w celu prostego
odtworzenia systemu po całkowitej reinstalacji
Oprogramowanie musi mieć wbudowane mechanizmy szyfrowania zarówno plików z backupami jak i transmisji sieciowej. Włączenie szyfrowania nie może skutkować utratą jakiejkolwiek funkcjonalności wymienionej w tej specyfikacji
Oprogramowanie musi posiadać mechanizmy chroniące przed utratą hasła szyfrowania
Oprogramowanie musi wspierać backup maszyn wirtualnych używających współdzielonych dysków VHDX na Hyper-V (shared VHDX)
Oprogramowanie musi posiadać architekturę klient/serwer z możliwością instalacji wielu instancji
konsoli administracyjnych.
Wymagania RPO
Oprogramowanie musi wykorzystywać mechanizmy Change Block Tracking na wszystkich wspieranych platformach wirtualizacyjnych. Mechanizmy muszą być certyfikowane przez dostawcę platformy wirtualizacyjnej
Oprogramowanie musi wykorzystywanać mechnizmy śledzenia zmienionych plików przy zabezpieczaniu udziałów plikowych.
Oprogramowanie musi oferować możliwość sterowania obciążeniem storage'u produkcyjnego tak aby nie przekraczane były skonfigurowane przez administratora backupu poziomy latencji. Funkcjonalność ta musi być dostępna na wszystkich wspieranych platformach wirtualizacyjnych
Oprogramowanie musi oferować ten mechanizm z dokładnością do pojedynczego datastoru
Oprogramowanie musi automatycznie wykrywać i usuwać snapshoty-sieroty (orphaned snapshots), które mogą zakłócić poprawne wykonanie backupu. Proces ten nie może wymagać interakcji administratora
Oprogramowanie musi zapewniać tworzenie kopii zapasowych z bezpośrednim wykorzystaniem snapshotów macierzowych. Musi też zapewniać odtwarzanie maszyn wirtualnych z takich snapshotów. Proces wykonania kopii zapasowej nie może wymagać użycia jakichkolwiek hostów tymczasowych. Opisana funkcjonalność powinna działać w środowisku VMware i być dostępna dla następujących macierzy: HPE, Dell EMC, NetApp, Cisco, IBM, Lenovo, Fujitsu, Huawei, INFINIDAT, Pure Storage.
Oprogramowanie musi posiadać wsparcie dla VMware vSAN potwierdzone odpowiednią certyfikacją
VMware.
Oprogramowanie musi wspierać kopiowanie backupów na taśmy wraz z pełnym śledzeniem
wirtualnych maszyn
Oprogramowanie musi posiadać wsparcie dla NDMP
Oprogramowanie musi mieć możliwość tworzenia retencji GFS (Grandfather-Father-Son)
Oprogramowanie musi umieć korzystać z protokołu DDBOOST w przypadku, gdy repozytorium backupów jest umiejscowione na Dell EMC DataDomain. Funkcjonalność powinna wspierać łącze sieciowe lub FC.
Oprogramowanie musi umieć korzystać z protokołu Catalyst (w tym Catalyst Copy) w przypadku, gdy repozytorium backupów jest umiejscowione na HPE StoreOnce. Funkcjonalność powinna wspierać łącze sieciowe lub FC.
Oprogramowanie musi wspierać BlockClone API w przypadku użycia Windows Server 2016 lub 2019 z systemem pliku ReFS jako repozytorium backupu. Podobna funkcjonalność musi być zapewniona dla repozytoriów opartych o linuxowy system plików XFS.
Repozytoria oparte o XFS muszą pozwalać na niezmienność danych przez określoną ilość czasu (tzw Immutability)
Oprogramowanie musi mieć możliwość kopiowania backupów oraz replikacji wirtualnych maszyn z
wykorzystaniem wbudowanej akceleracji WAN.
Oprogramowanie musi mieć możliwość replikacji asynchronicznej włączonych wirtualnych maszyn bezpośrednio z infrastruktury VMware vSphere pomiędzy hostami ESXi oraz pomiędzy hostami Hyper-
V. Dodatkowo oprogramowanie musi mieć możliwość użycia plików kopii zapasowych jako źródła
replikacji.
Oprogramowanie musi mieć możliwość replikacji ciągłej, opartej o VMware VAIO, włączonych wirtualnych maszyn bezpośrednio z infrastruktury VMware vSphere. Dla replikacji ciągłej musi być możliwość zdefiniowania dziennika pozwalającego na odzyskanie danych z dowolnego punku w ramach ustalonego parametru RPO.
Oprogramowanie musi umożliwiać przechowywanie punktów przywracania dla replik
Oprogramowanie musi umożliwiać wykorzystanie istniejących w infrastrukturze wirtualnych maszyn
jako źródła do dalszej replikacji (replica seeding)
Oprogramowanie musi wykorzystywać wszystkie oferowane przez hypervisor tryby transportu (sieć,
hot-add, LAN Free-SAN)
Wymagania RTO
Oprogramowanie musi umożliwiać jednoczesne uruchomienie wielu maszyn wirtualnych bezpośrednio ze zdeduplikowanego i skompresowanego pliku backupu, z dowolnego punktu przywracania, bez potrzeby kopiowania jej na storage produkcyjny. Funkcjonalność musi być oferowana dla środowisk VMware oraz Hyper-V niezależnie od rodzaju storage’u użytego do przechowywania kopii zapasowych.
Dodatkowo dla środowiska vSphere i Hyper-V powyższa funkcjonalność powinna umożliwiać uruchomianie backupu z innych platform (inne wirtualizatory, maszyny fizyczne oraz chmura publiczna)
Oprogramowanie musi pozwalać na migrację on-line tak uruchomionych maszyn na storage produkcyjny. Migracja powinna odbywać się mechanizmami wbudowanymi w hypervisor. Jeżeli licencja na hypervisor nie posiada takich funkcjonalności - oprogramowanie musi realizować taką migrację swoimi mechanizmami
Oprogramowanie musi pozwalać na zaprezentowanie pojedynczego dysku bezpośrednio z kopii
zapasowej do wybranej działającej maszyny wirtualnej vSpehre
Oprogramowanie musi umożliwiać pełne odtworzenie wirtualnej maszyny, plików konfiguracji i dysków
Oprogramowanie musi umożliwiać pełne odtworzenie wirtualnej maszyny bezpośrednio do Microsoft Azure, Microsoft Azure Stack oraz Amazon EC2.
Oprogramowanie musi umożliwić odtworzenie plików na maszynę operatora, lub na serwer produkcyjny bez potrzeby użycia agenta instalowanego wewnątrz wirtualnej maszyny. Funkcjonalność ta nie powinna być ograniczona wielkością i liczbą przywracanych plików
Oprogramowanie musi mieć możliwość odtworzenia plików bezpośrednio do maszyny wirtualnej poprzez sieć, przy pomocy VIX API dla platformy VMware i PowerShell Direct dla platformy Hyper-V.
Oprogramowanie musi wspierać odtwarzanie pojedynczych plików z następujących systemów plików:
o Linux: ext2, ext3, ext4, XxxxxxXX, JFS, XFS, Btrfs
o BSD: UFS, UFS2
o Solaris: ZFS, UFS
o Mac: HFS, HFS+
o Windows: NTFS, FAT, FAT32, ReFS
o Novell OES: NSS
Oprogramowanie musi wspierać przywracanie plików z partycji Linux LVM oraz Windows Storage Spaces.
Oprogramowanie musi umożliwiać szybkie granularne odtwarzanie obiektów aplikacji bez użycia jakiegokolwiek agenta zainstalowanego wewnątrz maszyny wirtualnej.
Oprogramowanie musi wspierać granularne odtwarzanie obiektów Active Directory takich jak konta
komputerów, konta użytkowników oraz pozwalać na odtworzenie haseł.
Oprogramowanie musi wspierać granularne odtwarzanie dowolnych atrybutów, rekordów DNS zintegrowanych z AD, Microsoft System Objects, certyfikatów CA oraz elementów AD Sites.
Oprogramowanie musi wspierać granularne odtwarzanie Microsoft Exchange 2010 i nowszych (dowolny obiekt w tym obiekty w folderze "Permanently Deleted Objects"),
Oprogramowanie musi wspierać przywracanie danych Exchange do oryginalnego środowiska
Oprogramowanie musi wspierać granularne odtwarzanie Microsoft SQL 2005 i nowszych
Oprogramowanie musi wspierać odtworzenie point-in-time wraz z możliwością przywrócenia bazy do
oryginalnego środowiska
Oprogramowanie musi wspierać granularne odtwarzanie Microsoft Sharepoint 2010 i nowszych
Oprogramowanie musi wspierać odtworzenia elementów, witryn, uprawnień dla witryn Sharepoint.
Oprogramowanie musi wspierać granularne odtwarzanie baz danych Oracle z opcją odtwarzanie point- in-time wraz z włączonym Oracle DataGuard. Funkcjonalność ta musi być dostępna dla baz uruchomionych w środowiskach Windows oraz Linux.
Oprogramowanie musi pozwalać na zaprezentowanie oraz migrację online baz MS SQL oraz Oracle
bezpośrednio z pliku kopii zapasowej do działającego serwera bazodanowego
Oprogramowanie musi posiadać natywną integrację dla backupów wykonywanych poprzez Oracle
RMAN
Oprogramowanie musi posiadać natywną integrację dla backupów wykonywanych poprzez SAP HANA
Oprogramowanie musi wspierać także specyficzne metody odtwarzania w tym "reverse CBT" oraz odtwarzanie z wykorzystaniem sieci SAN
Ograniczenie ryzyka
Oprogramowanie musi dawać możliwość stworzenia laboratorium (izolowane środowisko) dla vSphere i Hyper-V używając wirtualnych maszyn uruchamianych bezpośrednio z plików backupu.
Dla VMware’a oprogramowanie musi pozwalać na uruchomienie takiego środowiska bezpośrednio ze
snapshotów macierzowych stworzonych na wspieranych urządzeniach.
Oprogramowanie musi umożliwiać weryfikację odtwarzalności wielu wirtualnych maszyn jednocześnie z dowolnego backupu według własnego harmonogramu w izolowanym środowisku. Testy powinny uwzględniać możliwość uruchomienia dowolnego skryptu testującego również aplikację uruchomioną na wirtualnej maszynie. Testy muszą być przeprowadzone bez interakcji z administratorem
Oprogramowanie musi mieć podobne mechanizmy dla replik w środowisku vSphere
Oprogramowanie musi umożliwiać integrację z oprogramowaniem antywirusowym w celu wykonania skanu zawartości pliku backupowego przed odtworzeniem jakichkolwiek danych. Integracja musi być zapewniona minimalnie dla Windows Defender, Symantec Protection Engine oraz ESET NOD32.
Oprogramowanie musi umożliwiać dwuetapowe, automatyczne, odtwarzanie maszyn wirtualnych z możliwością wstrzyknięcia dowolnego skryptu przed odtworzeniem danych do środowiska produkcyjnego.
Monitoring
System musi zapewnić możliwość monitorowania środowiska wirtualizacyjnego opartego na VMware
vSphere i Microsoft Hyper-V bez potrzeby korzystania z narzędzi firm trzecich
System musi umożliwiać monitorowanie środowiska wirtualizacyjnego VMware w wersji 5.5, 6.0, 6.5,
6.7 and 7.0 – zarówno w bezpłatnej wersji ESXi jak i w pełnej wersji ESX/ESXi zarządzane przez konsole vCenter Server lub pracujące samodzielnie
System musi umożliwiać monitorowanie środowiska wirtualizacyjnego Microsoft Hyper-V 2008 R2 SP1, 2012, 2012 R2, 2016 oraz 2019 zarówno w wersji darmowej jak i zawartej w płatnej licencji Microsoft Windows Server zarządzane poprzez System Center Virtual Machine Manager lub pracujące samodzielnie.
System musi mieć status „VMware Ready” i być przetestowany i certyfikowany przez VMware
System musi umożliwiać kategoryzacje obiektów infrastruktury wirtualnej niezależnie od hierarchii
stworzonej w vCenter
System musi umożliwiać tworzenie alarmów dla całych grup wirtualnych maszyn jak i pojedynczych
wirtualnych maszyn
System musi dawać możliwość układania terminarza raportów i wysyłania tych raportów przy pomocy
poczty elektronicznej w formacie HTML oraz Excel
System musi dawać możliwość podłączenia się do kilku instancji vCenter Server i serwerów Hyper-V jednocześnie, w celu centralnego monitorowania wielu środowisk
System musi mieć wbudowane predefiniowane zestawy alarmów wraz z możliwością tworzenia własnych alarmów i zdarzeń przez administratora
System musi mieć wbudowane połączenie z bazą wiedzy opisującą problemy z predefiniowanych
alarmów
System musi mieć centralną konsolę z sumarycznym podglądem wszystkich obiektów infrastruktury
wirtualnej (ang. Dashboard)
System musi mieć możliwość monitorowania platformy sprzętowej, na której jest zainstalowana
infrastruktura wirtualna
System musi zapewnić możliwość podłączenia się do wirtualnej maszyny (tryb konsoli) bezpośrednio z
narzędzia monitorującego
System musi mieć możliwość integracji z oprogramowaniem do tworzenia kopii zapasowych tego samego producenta
System musi mieć możliwość monitorowania obciążenia serwerów backupowych, ilości zabezpieczanych danych oraz statusu zadań kopii zapasowych, replikacji oraz weryfikacji odzyskiwalności maszyn wirtualnych.
System musi oferować inteligentną diagnostykę rozwiązania backupowego poprzez monitorowanie logów celem wykrycia znanych problemów oraz błędów konfiguracyjnych w celu wskazania rozwiązania bez potrzeby otwierania zgłoszenia suportowego oraz bez potrzeby wysyłania jakichkolwiek danych diagnostycznych do producenta oprogramowania backupu.
System musi mieć możliwość granularnego monitorowania infrastruktury, zależnego od uprawnień nadanym użytkownikom dla platformy VMware
System musi mieć możliwość monitorowania instancji VMware vCloud Director w wersji 8.x i 9.x
Raportowanie
System raportowania musi umożliwić tworzenie raportów z infrastruktury wirtualnej bazującej na VMware ESX/ESXi 5.5, 6.0, 6.5, 6.7 and 7.0 vCenter Server 5.x oraz 6.x jak również Microsoft Hyper-V 2008 R2 SP1, 2012, 2012 R2, 2016 oraz 2019
System musi wspierać wiele instancji vCenter Server i Microsoft Hyper-V jednocześnie bez konieczności
instalowania dodatkowych modułów.
System musi być certyfikowany przez VMware i posiadać status „VMware Ready”
System musi być systemem bezagentowym. Nie dopuszcza się możliwości instalowania przez system agentów na monitorowanych hostach ESXi i Hyper-V
System musi mieć możliwość eksportowania raportów do formatów Microsoft Word, Microsoft Excel, Microsoft Visio, Adobe PDF
System musi mieć możliwość ustawienia harmonogramu kolekcji danych z monitorowanych systemów jak również możliwość tworzenia zadań kolekcjonowania danych ad-hoc
System musi mieć możliwość ustawienia harmonogramu generowania raportów i dostarczania ich do odbiorców w określonych przez administratora interwałach
System w raportach musi mieć możliwość uwzględniania informacji o zmianach konfiguracji monitorowanych systemów
System musi mieć możliwość generowania raportów z dowolnego punktu w czasie zakładając, że informacje z tego czasu nie zostały usunięte z bazy danych
System musi posiadać predefiniowane szablony z możliwością tworzenia nowych jak i modyfikacji wbudowanych
System musi mieć możliwość analizowania „przeszacowanych” wirtualnych maszyn wraz z sugestią
zmian w celu optymalnego wykorzystania fizycznej infrastruktury
System musi mieć możliwość generowania raportów na podstawie danych uzyskanych z oprogramowania do tworzenia kopii zapasowych tego samego producenta
System musi mieć możliwość generowania raportu dotyczącego zabezpieczanych maszyn, zdefiniowanych zadań tworzenia kopii zapasowych oraz replikacji jak również wykorzystania zasobów serwerów backupowych.
System musi mieć możliwość generowania raportu planowania pojemności (capacity planning) bazującego na scenariuszach ‘what-if’.
System musi mieć możliwość granularnego raportowania infrastruktury, zależnego od uprawnień nadanym użytkownikom dla platformy VMware
System musi mieć możliwość generowania raportów dotyczących tzw. migawek-sierot (orphaned snapshots)
System musi mieć możliwość generowania personalizowanych raportów zawierających informacje z
dowolnych predefiniowanych raportów w pojedynczym dokumencie
Biblioteka, serwery
Biblioteka taśmowa
Parametr | Charakterystyka (wymagania minimalne) |
Obudowa | Do zamontowania w szafie rack, maksymalnie 3U, wbudowany czytnik kodów kreskowych, redundantne zasilanie wraz z kablami zasilajacymi. |
Napęd | 2 x LTO8 z możliwością instalacji do min. 21 napędów LTO |
Intefrejs | 2 x FC min. 8Gb/s |
Liczba slotów | 40 w tym minimum pięć slotów we/wy, jeżeli licencjonowana jest liczba slotów - wymagane aktywowanie wszystkich slotów W komplecie etykiety LTO8 1-200, 1 x taśma czyszcząca. |
Dodatkowe | • wsparcie dla nośników LTO WORM (Write Once, Read Many), umożliwiających spełnienie norm prawnych dotyczących odpowiednio długiego przechowywania nienaruszonych danych (archiwizacja) • Wsparcie dla technologii szyfrowania backupowanych danych. |
Warunki gwarancji dla autoloadera | Pięć lat gwarancji realizowanej w miejscu instalacji sprzętu, z czasem reakcji do następnego dnia roboczego od przyjęcia zgłoszenia, możliwość zgłaszania awarii w trybie 365x7x24 poprzez ogólnopolską linię telefoniczną producenta. • Dostawca ponosi koszty napraw gwarancyjnych, włączając w to koszt części i transportu. • W czasie obowiązywania gwarancji dostawca zobowiązany jest do udostępnienia Zamawiającemu nowych wersji BIOS, firmware i sterowników (na płytach CD lub stronach internetowych). |
• Wymagana instalacja urządzenia w szafie serwerowej rack. • Firma serwisująca musi posiadać ISO 9001:2015 na świadczenie usług serwisowych oraz posiadać autoryzacje producenta serwera – dokumenty potwierdzające załączyć do oferty. • Oświadczenie producenta biblioteki, że w przypadku nie wywiązywania się z obowiązków gwarancyjnych oferenta lub firmy serwisującej, przejmie na siebie wszelkie zobowiązania związane z serwisem. |
2 x serwer – środowisko bazodanowe
Parametr | Charakterystyka (wymagania minimalne) | Parametr oferowany |
Obudowa | Obudowa Rack o wysokości max. 1U możliwiającą instalację min. 8 dysków 2,5” z kompletem wysuwanych szyn umożliwiających montaż w szafie rack i wysuwanie serwera do celów serwisowych. Obudowa z możliwością wyposażenia w kartę umożliwiającą dostęp bezpośredni poprzez urządzenia mobilne - serwer musi posiadać możliwość konfiguracji oraz monitoringu najważniejszych komponentów serwera przy użyciu dedykowanej aplikacji mobilnej min. (Android/ Apple iOS) przy użyciu jednego z protokołów BLE/ WIFI. | |
Płyta główna | Płyta główna z możliwością zainstalowania minimum dwóch procesorów. Płyta główna musi być zaprojektowana przez producenta xxxxxxx i oznaczona jego znakiem firmowym. | |
Chipset | Dedykowany przez producenta procesora do pracy w serwerach dwuprocesorowych | |
Procesor | Zainstalowane dwa procesory min. dwunasto- rdzeniowe klasy x86 do pracy z zaoferowanym serwerem umożliwiające osiągnięcie wyniku min. 141 punktów w teście SPECrate2017_int_base dostępnym na stronie xxx.xxxx.xxx dla dwóch procesorów. | |
RAM | Min. 512GB DDR4 RDIMM 3200MT/s w kościach 32GB, na płycie głównej powinno znajdować się minimum 24 slotów przeznaczonych do instalacji pamięci. Płyta główna powinna obsługiwać do 3TB pamięci RAM. | |
Zabezpieczenia pamięci RAM | Memory Rank Sparing, Memory Mirror | |
Gniazda PCI | - minimum trzy sloty PCIe x16 generacji 3. | |
Interfejsy sieciowe/FC/SAS | Wbudowane cztery interfejsy sieciowe 10Gb Ethernet w standardzie BaseT. Możliwość instalacji wymiennie modułów udostępniających: - cztery interfejsy sieciowe 10Gb Ethernet w standardzie BaseT |
- cztery interfejsy sieciowe 10Gb Ethernet w standardzie SFP+ - cztery interfejsy sieciowe 1Gb Ethernet w standardzie BaseT - dwa interfejsy sieciowe 25Gb Ethernet ze złączami SFP28. - dwa interfejsy sieciowe 1Gb Ethernet w standardzie BaseT oraz dwa interfejsy sieciowe 10Gb Ethernet ze złączami w standardzie BaseT. - dwa interfejsy sieciowe 1Gb Ethernet w standardzie BaseT oraz dwa interfejsy sieciowe 10Gb Ethernet ze złączami w standardzie SFP+ Dodatkowo zainstalowane: - jedna karta dwuportowa FC 16Gb/s | ||
Napęd optyczny | Brak | |
Dyski twarde | Zainstalowane 2 x 480GB SSD SATA, DWPD min. 3. Możliwość zainstalowania dedykowanego modułu dla hypervisora wirtualizacyjnego, wyposażonego w nośniki typu flash o pojemności min. 64GB, z możliwoscią konfiguracji zabezpieczenia synchronizacji pomiędzy nośnikami z poziomu BIOS serwera, rozwiązanie nie może powodować zmiejszenia ilości wnęk na dyski twarde. Możliwość instalacji dwóch dysków M.2 SATA o pojemności min. 480GB z możliością konfiguracji RAID 1. | |
Kontroler RAID | Sprzętowy kontroler dyskowy, możliwe konfiguracje poziomów RAID: 0,1,5,10,50. | |
Wbudowane porty | min. 2 porty USB 2.0 oraz 2 porty USB 3.0, 4 porty RJ45, 1 port VGA, min. 1 port RS232. | |
Video | Zintegrowana karta graficzna umożliwiająca wyświetlenie rozdzielczości min. 1600x900 | |
Wentylatory | Redundantne | |
Zasilacze | Min. dwa zasilacze Hot-Plug maksymalnie 750W. | |
Bezpieczeństwo | Zatrzask górnej pokrywy oraz blokada na ramce panela zamykana na klucz służąca do ochrony nieautoryzowanego dostępu do dysków twardych. Możliwość wyłączenia w BIOS funkcji przycisku zasilania. BIOS ma możliwość przejścia do bezpiecznego trybu rozruchowego z możliwością zarządzania blokadą zasilania, panelem sterowania oraz zmianą hasła Wbudowany czujnik otwarcia obudowy współpracujący z BIOS i kartą zarządzającą |
Karta Zarządzania | Niezależna od zainstalowanego na serwerze systemu operacyjnego posiadająca dedykowane port RJ-45 Gigabit Ethernet umożliwiająca: • zdalny dostęp do graficznego interfejsu Web karty zarządzającej • szyfrowane połączenie (TLS) oraz autentykacje i autoryzację użytkownika • możliwość podmontowania zdalnych wirtualnych napędów • wirtualną konsolę z dostępem do myszy, klawiatury • wsparcie dla IPv6 • wsparcie dla SNMP; IPMI2.0, VLAN tagging, SSH • możliwość zdalnego monitorowania w czasie rzeczywistym poboru prądu przez serwer, dane historyczne powinny być dostępne przez min. 7 dni wstecz. • możliwość zdalnego ustawienia limitu poboru prądu przez konkretny serwer • integracja z Active Directory • możliwość obsługi przez ośmiu administratorów jednocześnie • Wsparcie dla automatycznej rejestracji DNS • wsparcie dla LLDP • wysyłanie do administratora maila z powiadomieniem o awarii lub zmianie konfiguracji sprzętowej • możliwość podłączenia lokalnego poprzez złącze RS-232. • możliwość zarządzania bezpośredniego poprzez złącze microUSB umieszczone na froncie obudowy. • Monitorowanie zużycia dysków SSD • możliwość monitorowania z jednej konsoli min. 100 serwerami fizycznymi, • Automatyczne zgłaszanie alertów do centrum serwisowego producenta • Automatyczne update firmware dla wszystkich komponentów serwera • Możliwość przywrócenia poprzednich wersji firmware • Możliwość eksportu eksportu/importu konfiguracji (ustawienie karty zarządzającej, BIOSu, kart sieciowych, HBA oraz konfiguracji kontrolera RAID) serwera do pliku XML lub JSON • Możliwość zaimportowania ustawień, poprzez bezpośrednie podłączenie plików konfiguracyjnych • Automatyczne tworzenie kopii ustawień serwera w opraciu o harmonogram. | |
Certyfikaty | Serwer musi być wyprodukowany zgodnie z normą ISO-9001:2008 oraz ISO-14001. |
Serwer musi posiadać deklaracja CE. Oferowany serwer musi znajdować się na liście Windows Server Catalog i posiadać status „Certified for Windows” dla systemów Microsoft Windows 2012, Microsoft Windows 2012 R2 x64, Microsoft Windows 2016, Microsoft Windows 2019 x64. | ||
Warunki gwarancji | Pięć lat gwarancji producenta czasem reakcji do następnego dnia roboczego od przyjęcia zgłoszenia, możliwość zgłaszania awarii w trybie 365x7x24 poprzez ogólnopolską linię telefoniczną producenta. Wymagane dołączenie do oferty oświadczenia Producenta potwierdzając, że Serwis urządzeń będzie realizowany bezpośrednio przez Producenta i/lub we współpracy z Autoryzowanym Partnerem Serwisowym Producenta. | |
Dokumentacja użytkownika | Zamawiający wymaga dokumentacji w języku polskim lub angielskim. Możliwość telefonicznego sprawdzenia konfiguracji sprzętowej serwera oraz warunków gwarancji po podaniu numeru seryjnego bezpośrednio u producenta lub jego przedstawiciela. |
3 x serwer - wirtualizacja
Parametr | Charakterystyka (wymagania minimalne) | Parametr oferowany |
Obudowa | Obudowa Rack o wysokości max. 1U możliwiającą instalację min. 8 dysków 2,5” z kompletem wysuwanych szyn umożliwiających montaż w szafie rack i wysuwanie serwera do celów serwisowych. Obudowa z możliwością wyposażenia w kartę umożliwiającą dostęp bezpośredni poprzez urządzenia mobilne - serwer musi posiadać możliwość konfiguracji oraz monitoringu najważniejszych komponentów serwera przy użyciu dedykowanej aplikacji mobilnej min. (Android/ Apple iOS) przy użyciu jednego z protokołów BLE/ WIFI. | |
Płyta główna | Płyta główna z możliwością zainstalowania minimum dwóch procesorów. Płyta główna musi być zaprojektowana przez producenta xxxxxxx i oznaczona jego znakiem firmowym. | |
Chipset | Dedykowany przez producenta procesora do pracy w serwerach dwuprocesorowych | |
Procesor | Zainstalowane dwa procesory min. ośmio-rdzeniowe klasy x86 do pracy z zaoferowanym serwerem umożliwiające osiągnięcie wyniku min. 120 punktów w teście SPECrate2017_int_base dostępnym na stronie |
xxx.xxxx.xxx dla dwóch procesorów. Wynik nie musi pochodzić dla oferowanego serwera. | ||
RAM | Min. 512GB DDR4 RDIMM 3200MT/s w kościach 32GB, na płycie głównej powinno znajdować się minimum 24 slotów przeznaczonych do instalacji pamięci. Płyta główna powinna obsługiwać do 3TB pamięci RAM. | |
Zabezpieczenia pamięci RAM | Memory Rank Sparing, Memory Mirror | |
Gniazda PCI | - minimum trzy sloty PCIe x16 generacji 3. | |
Interfejsy sieciowe/FC/SAS | Wbudowane cztery interfejsy sieciowe 10Gb Ethernet w standardzie BaseT. Możliwość instalacji wymiennie modułów udostępniających: - cztery interfejsy sieciowe 10Gb Ethernet w standardzie BaseT - cztery interfejsy sieciowe 10Gb Ethernet w standardzie SFP+ - cztery interfejsy sieciowe 1Gb Ethernet w standardzie BaseT - dwa interfejsy sieciowe 25Gb Ethernet ze złączami SFP28. - dwa interfejsy sieciowe 1Gb Ethernet w standardzie BaseT oraz dwa interfejsy sieciowe 10Gb Ethernet ze złączami w standardzie BaseT. - dwa interfejsy sieciowe 1Gb Ethernet w standardzie BaseT oraz dwa interfejsy sieciowe 10Gb Ethernet ze złączami w standardzie SFP+ Dodatkowo zainstalowane: - jedna karta dwuportowa FC 16Gb/s | |
Napęd optyczny | Brak | |
Dyski twarde | Zainstalowane 2 x 480GB SSD SATA, DWPD min. 3. Możliwość zainstalowania dedykowanego modułu dla hypervisora wirtualizacyjnego, wyposażonego w nośniki typu flash o pojemności min. 64GB, z możliwoscią konfiguracji zabezpieczenia synchronizacji pomiędzy nośnikami z poziomu BIOS serwera, rozwiązanie nie może powodować zmiejszenia ilości wnęk na dyski twarde. Możliwość instalacji dwóch dysków M.2 SATA o pojemności min. 480GB z możliością konfiguracji RAID 1. | |
Kontroler RAID | Sprzętowy kontroler dyskowy z pojemnością cache 2GB, możliwe konfiguracje poziomów RAID: 0,1,5,6,10,50,60. |
Wbudowane porty | min. 2 porty USB 2.0 oraz 2 porty USB 3.0, 4 porty RJ45, 1 port VGA, min. 1 port RS232. | |
Video | Zintegrowana karta graficzna umożliwiająca wyświetlenie rozdzielczości min. 1600x900 | |
Wentylatory | Redundantne | |
Zasilacze | Min. dwa zasilacze Hot-Plug maksymalnie 750W. | |
Bezpieczeństwo | Zatrzask górnej pokrywy oraz blokada na ramce panela zamykana na klucz służąca do ochrony nieautoryzowanego dostępu do dysków twardych. Możliwość wyłączenia w BIOS funkcji przycisku zasilania. BIOS ma możliwość przejścia do bezpiecznego trybu rozruchowego z możliwością zarządzania blokadą zasilania, panelem sterowania oraz zmianą hasła Wbudowany czujnik otwarcia obudowy współpracujący z BIOS i kartą zarządzającą | |
System Operacyjny | Należy dostarczyć Oprogramowanie Systemowe zwanego dalej SSO. Licencja musi uprawniać do uruchamiania SSO w środowisku fizycznym i nielimitowanej ilości wirtualnych środowisk SSO za pomocą wbudowanych mechanizmów wirtualizacji. SSO musi posiadać następujące, wbudowane cechy: a) możliwość wykorzystania, co najmniej 320 logicznych procesorów oraz co najmniej 4 TB pamięci RAM w środowisku fizycznym, b) możliwość wykorzystywania 64 procesorów wirtualnych oraz 1TB pamięci RAM i dysku o pojemności min. 64TB przez każdy wirtualny serwerowy system operacyjny, c) możliwość budowania klastrów składających się z 64 węzłów, z możliwością uruchamiania do 8000 maszyn wirtualnych, d) możliwość migracji maszyn wirtualnych bez zatrzymywania ich pracy między fizycznymi serwerami z uruchomionym mechanizmem wirtualizacji (hypervisor) przez sieć Ethernet, bez konieczności stosowania dodatkowych mechanizmów współdzielenia pamięci, e) wsparcie (na umożliwiającym to sprzęcie) dodawania i wymiany pamięci RAM bez przerywania pracy, f) wsparcie (na umożliwiającym to sprzęcie) dodawania i wymiany procesorów bez przerywania pracy, g) automatyczna weryfikacja cyfrowych sygnatur sterowników w celu sprawdzenia, czy sterownik przeszedł testy jakości przeprowadzone przez producenta systemu operacyjnego, możliwość dynamicznego obniżania poboru energii przez rdzenie procesorów niewykorzystywane w bieżącej pracy (mechanizm ten musi uwzględniać specyfikę |
procesorów wyposażonych w mechanizmy Hyper- Threading), i) wbudowane wsparcie instalacji i pracy na wolumenach, które: I. pozwalają na zmianę rozmiaru w czasie pracy systemu, II. umożliwiają tworzenie w czasie pracy systemu migawek, dających użytkownikom końcowym (lokalnym i sieciowym) prosty wgląd w poprzednie wersje plików i folderów, III. umożliwiają kompresję "w locie" dla wybranych plików i/lub folderów, IV. umożliwiają zdefiniowanie list kontroli dostępu (ACL), j) wbudowany mechanizm klasyfikowania i indeksowania plików (dokumentów) w oparciu o ich zawartość, k) wbudowane szyfrowanie dysków l) możliwość uruchamiania aplikacji internetowych wykorzystujących technologię XXX.XXX, m) możliwość dystrybucji ruchu sieciowego HTTP pomiędzy kilka serwerów, n) wbudowana zapora internetowa (firewall) z obsługą definiowanych reguł dla ochrony połączeń internetowych i intranetowych, o) graficzny interfejs użytkownika, p) zlokalizowane w języku polskim, co najmniej następujące elementy: menu, przeglądarka internetowa, pomoc, komunikaty systemowe, r) wsparcie dla większości powszechnie używanych urządzeń peryferyjnych (drukarek, urządzeń sieciowych, standardów USB, Plug&Play), s) możliwość zdalnej konfiguracji, administrowania oraz aktualizowania systemu, t) dostępność bezpłatnych narzędzi producenta systemu umożliwiających badanie i wdrażanie zdefiniowanego zestawu polityk bezpieczeństwa, u) możliwość implementacji następujących funkcjonalności bez potrzeby instalowania dodatkowych produktów (oprogramowania) innych producentów wymagających dodatkowych licencji: I. podstawowe usługi sieciowe: DHCP oraz DNS wspierający DNSSEC, II. usługi katalogowe oparte o LDAP i pozwalające na uwierzytelnianie użytkowników stacji roboczych, bez konieczności instalowania dodatkowego oprogramowania na tych stacjach, pozwalające na zarządzanie zasobami w sieci (użytkownicy, komputery, drukarki, udziały sieciowe), z możliwością wykorzystania następujących funkcji: 1) podłączenie SSO do domeny w trybie offline – bez dostępnego połączenia sieciowego z domeną, 2) ustanawianie praw dostępu do zasobów domeny na bazie sposobu logowania użytkownika – na przykład typu certyfikatu użytego do logowania, 3) odzyskiwanie przypadkowo skasowanych obiektów usługi katalogowej z mechanizmu kosza, |
III. zdalna dystrybucja oprogramowania na stacje robocze, IV. praca zdalna na serwerze z wykorzystaniem terminala (cienkiego klienta) lub odpowiednio skonfigurowanej stacji roboczej, V. centrum Certyfikatów (CA), obsługa klucza publicznego i prywatnego) umożliwiające: 1) dystrybucję certyfikatów poprzez http, 2) konsolidację CA dla wielu lasów domeny, 3) automatyczne rejestrowania certyfikatów pomiędzy różnymi lasami domen, VI. szyfrowanie plików i folderów, VII. szyfrowanie połączeń sieciowych pomiędzy serwerami oraz serwerami i stacjami roboczymi (IPSec), VIII.możliwość tworzenia systemów wysokiej dostępności (klastry typu fail-over) oraz rozłożenia obciążenia serwerów, IX. serwis udostępniania stron WWW, X. wsparcie dla protokołu IP w wersji 6 (IPv6), XI. wbudowane mechanizmy wirtualizacji (Hypervisor) pozwalające na uruchamianie min. 1000 aktywnych środowisk wirtualnych systemów operacyjnych. Wirtualne maszyny w trakcie pracy i bez zauważalnego zmniejszenia ich dostępności mogą być przenoszone pomiędzy serwerami klastra typu failover z jednoczesnym zachowaniem pozostałej funkcjonalności. Mechanizmy wirtualizacji mają zapewnić wsparcie dla: 1) dynamicznego podłączania zasobów dyskowych typu hot-plug do maszyn wirtualnych, 2) obsługi ramek typu jumbo frames dla maszyn wirtualnych, 3) obsługi 4-KB sektorów dysków, 4) nielimitowanej liczby jednocześnie przenoszonych maszyn wirtualnych pomiędzy węzłami klastra, 5) możliwości wirtualizacji sieci z zastosowaniem przełącznika, którego funkcjonalność może być rozszerzana jednocześnie poprzez oprogramowanie kilku innych dostawców poprzez otwarty interfejs API, 6) możliwości kierowania ruchu sieciowego z wielu sieci VLAN bezpośrednio do pojedynczej karty sieciowej maszyny wirtualnej (tzw. trunk model), v) możliwość automatycznej aktualizacji w oparciu o poprawki publikowane przez producenta wraz z dostępnością bezpłatnego rozwiązania producenta SSO umożliwiającego lokalną dystrybucję poprawek zatwierdzonych przez administratora, bez połączenia z siecią Internet, w) wsparcie dostępu do zasobu dyskowego SSO poprzez wiele ścieżek (Multipath), x) możliwość instalacji poprawek poprzez wgranie ich do obrazu instalacyjnego, y) mechanizmy zdalnej administracji oraz mechanizmy (również działające zdalnie) administracji przez skrypty, |
z) możliwość zarządzania przez wbudowane mechanizmy zgodne ze standardami WBEM oraz WS- Management organizacji DMTF. | ||
Karta Zarządzania | Niezależna od zainstalowanego na serwerze systemu operacyjnego posiadająca dedykowane port RJ-45 Gigabit Ethernet umożliwiająca: • zdalny dostęp do graficznego interfejsu Web karty zarządzającej • szyfrowane połączenie (TLS) oraz autentykacje i autoryzację użytkownika • możliwość podmontowania zdalnych wirtualnych napędów • wirtualną konsolę z dostępem do myszy, klawiatury • wsparcie dla IPv6 • wsparcie dla SNMP; IPMI2.0, VLAN tagging, SSH • możliwość zdalnego monitorowania w czasie rzeczywistym poboru prądu przez serwer, dane historyczne powinny być dostępne przez min. 7 dni wstecz. • możliwość zdalnego ustawienia limitu poboru prądu przez konkretny serwer • integracja z Active Directory • możliwość obsługi przez ośmiu administratorów jednocześnie • Wsparcie dla automatycznej rejestracji DNS • wsparcie dla LLDP • wysyłanie do administratora maila z powiadomieniem o awarii lub zmianie konfiguracji sprzętowej • możliwość podłączenia lokalnego poprzez złącze RS-232. • możliwość zarządzania bezpośredniego poprzez złącze microUSB umieszczone na froncie obudowy. • Monitorowanie zużycia dysków SSD • możliwość monitorowania z jednej konsoli min. 100 serwerami fizycznymi, • Automatyczne zgłaszanie alertów do centrum serwisowego producenta • Automatyczne update firmware dla wszystkich komponentów serwera • Możliwość przywrócenia poprzednich wersji firmware • Możliwość eksportu eksportu/importu konfiguracji (ustawienie karty zarządzającej, BIOSu, kart sieciowych, HBA oraz konfiguracji kontrolera RAID) serwera do pliku XML lub JSON • Możliwość zaimportowania ustawień, poprzez bezpośrednie podłączenie plików konfiguracyjnych |
• Automatyczne tworzenie kopii ustawień serwera w opraciu o harmonogram. | ||
Certyfikaty | Serwer musi być wyprodukowany zgodnie z normą ISO- 9001:2008 oraz ISO-14001. Serwer musi posiadać deklaracja CE. Oferowany serwer musi znajdować się na liście Windows Server Catalog i posiadać status „Certified for Windows” dla systemów Microsoft Windows 2012, Microsoft Windows 2012 R2 x64, Microsoft Windows 2016, Microsoft Windows 2019 x64. | |
Warunki gwarancji | Pięć lat gwarancji producenta czasem reakcji do następnego dnia roboczego od przyjęcia zgłoszenia, możliwość zgłaszania awarii w trybie 365x7x24 poprzez ogólnopolską linię telefoniczną producenta. Wymagane dołączenie do oferty oświadczenia Producenta potwierdzając, że Serwis urządzeń będzie realizowany bezpośrednio przez Producenta i/lub we współpracy z Autoryzowanym Partnerem Serwisowym Producenta. | |
Dokumentacja użytkownika | Zamawiający wymaga dokumentacji w języku polskim lub angielskim. Możliwość telefonicznego sprawdzenia konfiguracji sprzętowej serwera oraz warunków gwarancji po podaniu numeru seryjnego bezpośrednio u producenta lub jego przedstawiciela. |
Macierz
Centralny System Pamięci Masowej – wymagania techniczne
Wymagane jest dostarczenie wydajnego, skalowalnego centralnego systemu pamięci masowej (dalej: CSPM), którego zadaniem będzie zapewnienie niezbędnych zasobów dyskowych dla Szpitala. CSPM ma być zbudowany z dwóch powiązanych ze sobą mechanizmem zdalnej replikacji macierzy dyskowych, które docelowo posadowione będą w dwóch serwerowniach odległych od siebie o 700 - 800 m.
Dostarczone urządzenia mają być jednolite technologicznie, pochodzić od jednego dostawcy i nie mogą być efektem konfiguracji różnych produktów, takich jak dodatkowe głowice, serwery itp.
Wymogi ogólne:
1.1. Oferowane rozwiązanie ma spełniać dwie role:
- podstawowej przestrzeni dyskowej dla systemu AMMS i jego bazy danych Oracle – działającej w oparciu o protokół FC
– dodatkowej przestrzeni dyskowej dla systemów diagnostycznych (PACS) dostępnych
plikowo (NFS, SMB), obiektowo (kompatybilnie z S3/swift) lub blokowo (FC, iSCSI)
1.2. Dostarczony system pamięci masowej musi spełniać następujące wymagania:
1.2.1. Być podłączony do infrastruktury informatycznej Szpitala za pomocą następujących interfejsów:
1.2.1.1. Sieć LAN – 10/ 40 Gb/s, łącze optyczne
1.2.1.2. Sieć SAN (Fibre Channel) – 16 / 32 Gb/s, łącze optyczne
1.2.1.3. Podłączenia muszą być nadmiarowe, realizowane za pomocą osobnych kart fizycznych w każdej z macierzy w obu serwerowniach
1.2.2. Obie macierze muszą umożliwiać obsługę następujących protokołów plikowych i
obiektowych:
- NFS v3/v4,
- CIFS/SMB v2/v3,
- HTTP,
- WebDAV,
- FTP/SFTP/FTPS,
- Obiekty (REST)
- NDMP
Jeżeli uruchomienie którejkolwiek z ww. funkcjonalności wymaga dodatkowych licencji, to muszą być one dostarczone dla dwukrotności całej oferowanej przestrzeni dyskowej brutto (RAW)
1.3. Przynajmniej jedna z macierzy CSPM musi być dostarczona w zestawie z szafą/szafami RACK 19” o wysokości maksymalnej 42U i głębokości maksymalnej 1200mm. Szafa musi zawierać komplet przyłączy, zasilaczy itp. wymaganych do realizacji zasilania z dwóch w pełni niezależnych źródeł
1.4. zdefiniowane niżej minimalne wymagania.
1.5. Kontrolery podsystemu pamięci masowej muszą obsługiwać całą zarządzaną przestrzeń dyskową, jej konfigurację, obsługę RAID i wszystkie wymienione w zapytaniu serwisy danych oraz zaawansowane funkcje monitoringu.
1.6. Wymagane jest aby kontrolery oferowanego urządzenia były rozwiązaniem jednolitym technologicznie - wszystkie wymagane zapytaniem funkcjonalności myszą być możliwe do uruchomienia bez konieczności instalacji dodatkowych "głowic" czy urządzeń lub modułów zewnętrznych tego samego producenta lub firm trzecich. Ten sam wymóg dotyczy wymaganych zapytaniem interfejsów, w tym w szczególności: Ethernet
40Gb/s, Fibre Channel. Zamawiający nie dopuszcza spełnienia wymogu poprzez użycie wszelkiego typu wirtualizatorów i urządzeń warstw pośrednich.
1.7. W celu zapewnienia odpowiedniej wydajności, pojedynczy kontroler systemu pamięci masowej musi posiadać sumarycznie nie mniej niż 2 jednostki CPU, a sumaryczna liczba rdzeni obliczeniowych w jednym kontrolerze nie może być mniejsza niż 34
1.8. Kontrolery systemu pamięci masowej muszą być wyposażone w szybką pamięć cache w oparciu o pamięć DRAM, a ilość pamięci cache dla pojedynczego kontrolera nie może być mniejsza niż 0,5 TB z możliwością jej podwojenia na drodze rozbudowy.
1.9. Centralny system pamięci masowej (CSPM) musi umożliwiać rozbudowę pamięci DRAM o pamięć Cache L2 typu flash SSD. Wymagana jest, aby w ramach dostarczonego systemu znajdowało się co najmniej 15 TB szybkiej pamięci SSD dla każdej z macierzy w każdej lokalizacji. Wymagane jest też, aby dostarczony CSPM zapewniał możliwość jej rozbudowy do co najmniej 350TB na jedną macierz.
2. Interfejsy. System pamięci masowej musi być wyposażony w następujące interfejsy w obu macierzach:
2.1. minimum 4 porty 40Gb, optyczne
2.2. minimum 4 interfejsy 16/32Gb FC. Wymagana jest obsługa protokołu NDMP
3. Serwisy danych:
Centralny system pamięci masowej musi spełniać wszystkie poniższe wymagania:
3.1. - posiadać funkcjonalność oraz licencje umożliwiające wykonanie kompresji danych za
pomocą wymienionych niżej mechanizmów:
3.1.1. - LZJB
3.1.2. – LZ4
3.1.3. – Gzip
3.1.4. – Gzip - 2
3.1.5. - Gzip – 9
3.2. Dodatkowo wymagane jest wspieranie kompresji Oracle HCC. W przypadku braku wsparcia dla tej kompresji w oferowanym produkcie – dostawca zobowiązany jest dostarczyć podwojoną przestrzeń dla bazy danych Oracle – czyli 300 TB netto dla każdej z oferowanych macierzy
3.3. Oferowane macierze CSPM muszą umożliwiać tworzenie kopii chwilowych (snapshot) dla całej przestrzeni dyskowej określonej zakresem skalowalności obu oferowanych macierzy a w szczególności: mieć możliwość wykonywania cienkich (ang. thin clone / thin copy) kopii danych w trybie odczytu i zapisu. Jeżeli funkcjonalność ta wymaga licencji -powinna być ona zawarta w ofercie dla pełnej pojemności macierzy wyznaczonej jej zakresem skalowalności;
W wypadku braku tej funkcjonalności wymagane jest rozszerzenie pakietu wsparcia macierzy o dodatkową opcję pozwalającą na zatrzymanie uszkodzonych dysków w przypadku konieczności ich wymiany serwisowej (opcja: disk retention)
3.4. – umożliwiać zdalną replikację danych w trybie asynchronicznym pomiędzy dwoma
serwerowniami Szpitala
3.5. – posiadać możliwość bezpośredniego zapisu danych na systemy taśmowe za pomocą protokołu NDMP
4. Szczegółowe wymagania techniczne.
Oferowany system pamięci masowej musi spełniać poniższe wymagania:
4.1. - umożliwiać równoczesną obsługę wielu poziomów RAID tj. co najmniej RAID 0, 1, 5, 6
i 10 lub równoważnych;
4.2. - być wyposażony w minimum 1500 GB pamięci na dyskach flash SSD dla danych, pełniącej funkcję akceleratora (pamięci cache L2) dla klasycznych dysków obrotowych w każdej z oferowanych macierzy
4.3. - być wyposażony w minimum 1,7 PB przestrzeni dyskowej netto przy założeniu użycia konfiguracji RAID 5 na dyskach, nie mniejszych niż 14TB (poj. dysku brutto). Przestrzeń ta ma być liczona po odjęciu wymaganej rezerwy na zapasowe dyski systemowe (hot spare) . Równocześnie wymagane jest, aby ilość dostarczonych fizycznych dysków obrotowych sumarycznie w obu macierzach nie był mniejsza niż 190.
4.4. - umożliwiać rozbudowę przestrzeni dyskowej poprzez dołożenie dodatkowych dysków twardych / dodatkowych półek dyskowych, do wielkości 4 PB przestrzeni surowej każdej z macierzy, przy wykorzystaniu dysków nie większych niż 14 TB oraz bez konieczności zmiany jej architektury i generacji
4.5. - Pojedyncza półka dyskowa do oferowanego podsystemu pamięci masowej musi mieć możliwość obsługi min. 24 napędów dyskowych
4.6. – połącznie pomiędzy półkami a kontrolerem musi być realizowane za pomocą łącza
SAS-3 lub wydajniejszego
4.7. - dyski przeznaczone na dane muszą znajdować się w półkach dyskowych. W kontrolerach macierzowych mogą znajdować się jedynie pamięć cache oraz dyski przeznaczone na system operacyjny modułu pamięci masowej
5. Zarządzanie
Podsystem pamięci masowej musi spełniać poniższe wymagania:
5.1. - umożliwiać zarządzanie zarówno z poziomu linii komend (CLI), jak również poprzez interfejs graficzny (GUI). Dostęp do urządzenia bezpośrednio z poziomu standardowych przeglądarek internetowych oraz klientów SSH. Wymagane jest wsparcie dla następujących metod zarządzania macierzą: HTTPS, SSH, SNMP v1/v2c, IPMI, RESTful API, OpenStack Cinder;
5.2. - posiadać narzędzie umożliwiające obserwację danych wydajnościowych oraz ich graficzną prezentację w postaci wykresów. Monitorowanie wydajności macierzy musi być możliwe na podstawie parametrów takich jak: przepustowość sieci, przepustowość dysków, liczba operacji I/O dla dysków oraz kontrolerów, opóźnienia zapisów/odczytów. Statystyki pracy elementów urządzenia muszą być widoczne w czasie rzeczywistym. Jeżeli uruchomienie takiej funkcjonalność wymaga licencji lub oprogramowania, taka licencja/oprogramowanie musi zostać dostarczona;
5.3. - mieć możliwość gromadzenia oraz prezentowania graficznego bieżących oraz
historycznych danych wydajnościowych w postaci wykresów w GUI urządzenia
6. Wsparcie / Gwarancja
6.1. Wykonawca udzieli minimum 5 lat gwarancji producenta na sprzęt oraz oprogramowanie od momentu dostawy
6.2. Wymagany jest gwarantowany czas reakcji 1h w trybie 7/365
6.3. W ramach serwisu gwarancyjnego sprzętu Wykonawca zobowiązany jest przyjmować zgłoszenia awarii sprzętu w dni robocze w godzinach 9 – 17 w języku polskim
6.4. Usunięcie awarii sprzętu w okresie serwisu gwarancyjnego na sprzęt powinno nastąpić najpóźniej w następnym dniu roboczym po dniu, w którym nastąpiło zgłoszenie
6.5. Wykonawca udostępni niezbędne oprogramowanie (np. aktualizacje oprogramowania) przez stronę internetową producenta lub serwery www. Wykonawcy. Nowe wersje oprogramowania mają być udostępniane niezwłocznie po ukazaniu się u producenta i mają być dostępne przez cały okres obowiązywania umowy
7. Wymagane usługi instalacji i wstępnej konfiguracji.
Wymaga się wykonania usług instalacji i konfiguracji wstępnej, zawierających minimum:
7.1. - instalację fizyczną,
7.2. - podłączenie do sieci LAN/SAN,
7.3. - podłączenie do istniejącego infrastruktury Szpitala
7.4. - aktualizację oprogramowania systemowego urządzenia,
7.5. – konfigurację wstępną systemu monitoringu
7.6. - instalację 5 pooli dyskowych i ich prezentacja za pomocą protokołu FC lub NFS do min. 4 serwerów
7.7. – przeprowadzenie dwudniowego instruktażu stanowiskowego dla czterech administratorów z zakresu architektury i zarządzania oferowanym Systemem Pamięci Masowej
7.8. – przeprowadzenie dwudniowych warsztatów stanowiskowych z zakresu zarządzania oferowanym Systemem Pamięci Masowej
Przełączniki SAN
1. Urządzenie musi być wyposażone w nie mniej niż 16 aktywnych portów Fibre Channel
w standardzie SFP pracujących w trybie 4/8/16/32 Gbps.
2. Musi istnieć możliwość zwiększenia liczby aktywnych portów urządzenia do co najmniej 32 portów 4/8/16/32G FC np. poprzez dołożenie odpowiedniego modułu(ów) i opcjonalną aktywację na podstawie licencji.
3. 12 portów musi zostać obsadzonych wkładkami optycznymi wyposażonymi w
interfejsy optyczne FC 16 Gbps (shortwave)
4. 2 porty musi zostać obsadzonych wkładkami optycznymi wyposażonymi w interfejsy
optyczne FC 16 Gbps (Longwave)
5. Każdy port musi być wyposażony w minimum 500 buffer credits
6. Urządzenie musi wspierać możliwość stworzenia wirtualnych sieci (fabryk) SAN;
7. Urządzenie musi umożliwiać routing między VSAN (Inter VSAN Routing). Jeśli funkcjonalność wymaga licencji to NIE jest wymagane dostarczenie jej na tym etapie postępowania.
8. Urządzenie musi umożliwiać agregację nie mniej niż 16 portów fizycznych w jedno połączenie logiczne („trunk”, „channel“). Jeśli opisany mechanizm wymaga licencji NIE jest wymagane dostarczenie jej na tym etapie postępowania.
9. Urządzenie musi wspierać wymiane oprogramowania bez przerwy w działaniu urządzenia (tzw. nondisruptive software upgrades);
7.9. Urządzenie musi posiadać możliwość wsparcia dla mechanizmów gwarancji jakości usług (QoS). Jeśli funkcjonalność do pracy potrzebuje dodatkowej licencji NIE jest wymagane dostarczenie jej na tym etapie postępowania.
10. Urządzenie musi posiadać wsparcie dla następujących mechanizmów:
a. Sprzętowo implementowany zoning,
b. N-Port ID Virtualization (NPIV),
c. Zarządzanie/monitorowanie SNMPv3,
d. Dostęp administracyjny SSHv2,
e. Transfer za pomocą SFTP,
f. Autoryzacja dostępu administracyjnego do przełącznika za pomocą RADIUS i TACACS+, LDAP, Microsoft Active Directory;
g. Protokół FC-SP (Fibre Channel Security Protocol) Jeśli funkcjonalność do pracy potrzebuje dodatkowej licencji NIE jest wymagane dostarczenie jej na tym etapie postępowania.
h. Mechanizmy ochrony warstwy control planel
i. Szyfrowanie łącza na wszystkich portach Jeśli funkcjonalność do pracy potrzebuje dodatkowej licencji NIE jest wymagane dostarczenie jej na tym etapie postępowania.
11. Urządzenie musi posiadać możliwość konfiguracji poprzez terminal i linię komend CLI, interfejs graficzny GUI oraz RESTful API. Oprogramowanie do konfiguracji i monitorowania przełącznika, musi być wyposażone w graficzny interfejs użytkownika oparty o HTML, o co najmniej następujących funkcjonalnościach:
a. Konfiguracja parametrów pracy w wielu urządzeniach jednocześnie w obrębie
pojedynczej sieci SAN,
b. Wyświetlanie stanu poszczególnych portów i modułów,
c. Wizualizacja fizycznych połączeń miedzy urządzeniami z podaniem informacji o
łączach (przynajmniej stan, prędkość, typ),
d. Wizualizacja statystyk poszczególnych portów i modułów;
e. Konfiguracja zoningu
12. Urządzenie musi posiadać wbudowane sprzętowe mechanizmy analityki, które w czasie rzeczywistym, sumarycznie i per flow ITL/ITN (Initiator-Target LUN/Namespace ID) zbierają z ramek FC/NVMe takie dane jak:
a. czas wykonania operacji (ECT - exchange completion time)
b. opóźnienie dostępu do danych
c. maksymalna liczba niezakończonych transakcji (maximum number of outstanding exchanges)
d. ilość operacji I/O na sekundę (IOPS)
e. ilość oczekujących operacji I/O na sekundę (IOPS)
f. ilość retransmisji
g. rodzaj dostępu do LUN/Namespace ID access pattern (sequential or random))
h. wielkość bloków I/O
i. Statystyki blędów (Abort, Reject, Timeout etc)
Jeśli funkcjonalność opisane w pkt.13 do pracy potrzebują dodatkowej licencji to
NIE jest wymagane dostarczenie jej na obecnym etapie postępowania.
13. Urządzenie musi posiadać możliwość szyfrowania danych przesyłanych. Jeśli funkcjonalność do pracy potrzebuje dodatkowej licencji NIE jest wymagane dostarczenie jej na tym etapie postępowania.
14. Urządzenie posiada możliwość wykrywania i eliminacji ramek FC z błędnym kodem CRC
na portach wej-wyj.
15. Urządzenie musi być wyposażone w szeregowy port konsoli oraz port USB (ten ostatni do procedury automatycznej konfiguracji przy pierwszym uruchomieniu)
16. Oprogramowanie do konfiguracji i monitorowania przełącznika, jest wyposażone w graficzny interfejs użytkownika, o co najmniej następujących funkcjonalnościach:
a. Konfiguracja parametrów pracy w wielu urządzeniach jednocześnie w obrębie
pojedynczej sieci SAN,
b. Wyświetlanie stanu poszczególnych portów i modułów,
c. Wizualizacja fizycznych połączeń między urządzeniami z podaniem informacji o łączach (przynajmniej stan, prędkość, typ),
d. Wizualizacja statystyk poszczególnych portów i modułów;
e. integracja z VMWare vCenter wraz z wizualizacją ścieżek SAN dla maszyn VM
f. integracja z macierzami poprzez protokoły SMI-S
g. Gromadzenie i analizowanie danych historycznych (performance trending)
h. Archiwizacja konfiguracji
i. Raportowanie mechanizmu Slow Drain (wraz ze statystyka reagowania na nie)
j. Wizualizacja analityki z p.16
17. Urządzenie musi być wyposażone w następujące narzędzia diagnostyczne
a. Rejestrowanie zdarzeń poprzez mechanizm „syslog”,
b. Możliwość bezzakłóceniowego monitorowania ruchu na portach przez kopiowanie ruchu z określonego portu na wybrany port monitorujący (z dołączonym zewnętrznym analizatorem),
c. Narzędzia dla Fibre Channel odpowiadające fukcjonalnie poleceniom
sieciowym „ping” i „traceroute”,
18. Urządzenie musi posiadać redundantne zasilacze i wentylatory z możliwością ich
wymiany w czasie pracy
19. Urządzenie musi posiadać obudowę o maksymalnej wysokości 1RU (rack unit),
przystosowaną do montażu w szafie 19” i wykonaną z metalu;
Gwarancja i serwis
Zamawiający wymaga aby wszystkie urządzenia zostały objęte serwisem/gwarancją na okres 5 lat.
Zamawiający wymaga aby wszystkie licencje oraz funkcje oferowane w modelu subskrypcyjnym były dostarczone na okres 5 lat.
Warunki serwisu/gwarancji (minimalne):
• dostarczenie urządzenia/części zamiennego na następny dzień roboczy od zgłoszenia
• zgłoszenia muszą być przyjmowane w dni robocze w godzinach 9:00 – 16:00 (dopuszcza się aby zgłoszenia przesłane po godz. 15-tej były traktowane jak przesłane dnia następnego)
• przez cały okres serwisu/gwarancji prawo do najnowszych wersji oprogramowania systemowego
• przez cały okres serwisu/gwarancji prawo do zgłaszania spraw serwisowych (service case) o błędnym działaniu urządzeń/oprogramowania
• Zamawiający wymaga gwarancji/serwisu w oparciu o bezpośrednie usługi Producenta (Zamawiający musi mieć możliwość bezpośredniego kontaktu z Producentem (w tym zgłaszania tzw. service case) z pominięciem Wykonawcy). Powyższe nie zwalnia Wykonawcy z odpowiedzialności (gwarancji/rękojmi) na zasadach opisanych w umowie.
• Zamawiający zastrzega sobie prawo do weryfikacji wykupienia odpowiednich usług po stronie Producentów sprzętu i oprogramowania.
Urządzenie sieciowe
Wymagania ogólne:
Dostarczone urządzenia muszą być fabrycznie nowe (nie dopuszcza się rozwiązań
„odnowionych”, demonstracyjnych, powystawowych itp.).
Dostarczone urządzenia muszą być wyprodukowane nie wcześniej niż 9 miesięcy przed datą
dostarczenia.
Dostarczone rozwiązania muszą istnieć w chwili składania oferty, tzn. mysi być do nich dostępna dokumentacja przynajmniej w zakresie kart katalogowych oraz instrukcja obsługi.
Karty katalogowe muszą być dostępne na stronach Producentów. Dostarczone rozwiązania muszą być produktami komercyjnymi.
Oferowane produkty będą pochodziły z oficjalnego kanału dystrybucyjnego producentów na terenie Unii Europejskiej.
Przełączniki rdzeniowe (2 kpl)
1. Urządzenie o architekturze modularnej - 7-slotowa obudowa (w tym 5 slotów
przeznaczonych na karty liniowe, 2 sloty na moduły zarządzające),
2. Obudowa urządzenia musi umożliwiać w przyszłości uzyskanie przepustowości 480 Gbps na slot urządzenia,
3. Urządzenie musi umożliwiać instalację następujących kart liniowych oraz kart zarządzająco-przełączających:
Karta liniowa wyposażona w 48 portów Gigabit Ethernet 10/100/1000 (RJ45),
Karta liniowa wyposażona w 48 portów Gigabit Ethernet 10/100/1000BaseT RJ-45 UPoE IEEE 802.3at, IEEE 802.3af (do 60W per port),
Karta liniowa wyposażona w 48 portów Gigabit Ethernet 10/100/1000BaseT RJ-45 UPoE+ IEEE 802.3bt, IEEE 802.3at, IEEE 802.3af (do 90W per port),
Karta liniowa wyposażona w:
24 porty mGIG 100M/1G/2.5G/5G oraz 10G-BaseT RJ-45 UPoE IEEE 802.3at, IEEE 802.3af (do 60W per port) oraz
24 porty Gigabit Ethernet 10/100/1000BaseT RJ-45 UPoE IEEE 802.3at, IEEE 802.3af (do 60W per port),
Karta liniowa wyposażona w 48 portów Gigabit Ethernet 10/100/1000 (RJ45) UPoE+ (zgodność z IEEE 802.3bt)
Karta liniowa wyposażone w 24 porty 10GigabitEthernet SFP/SFP+,
Karta liniowa wyposażone w 24 porty 1GigabitEthernet SFP, Karta liniowa wyposażone w 48 portów 1GigabitEthernet SFP,
Karta zarządzająco-przełączająca wyposażona w 8 portów 10Gigabit Ethernet SFP/SFP+ i 2 porty 40GigabitEthernet QSFP (pasmo dla jednocześnie wykorzystanych portów na jednej lub na dwóch kartach zarządzająco-przełączających jednocześnie zainstalowanych w urządzeniu nie może być mniejsze niż 80 Gb/s; Karta zarządzająco- przełączająca musi się charakteryzować następującymi parametrami minimalnymi:
Pasmo minimum 120Gb/s per slot (dla obudowy zgodnie z wymaganiami)
Zagregowana przepustowość min.1,3 Tb/s,
Szybkość przełączania/routingu 900 Mpps dla IPv4 i 780 Mpps dla IPv6 (dla pakietów 95B);
Bufor pakietów – 96MB, Pamięć DRAM – 16GB, Pamięć FLASH – 10GB,
Obsługa:
64 000 adresów MAC,
64 000 tras IPv4,
32 000 tras IPv6,
VLAN ID 4000
1000 interfejsów SVI,
Ilość wpisów w listach kontroli dostępu Security ACL –
18 000,
ilość wpisów w listach kontroli dostępu QoS ACL – 18 000;
6. Redundantne i wymienne moduły wentylatorów,
7. Możliwość wymiany modułów interfejsowych „na gorąco” – ang. hot swap;
9. Obsługa protokołu NTP,
11. Przełącznik wspiera następujące mechanizmy związane z zapewnieniem ciągłości pracy
sieci:
IEEE 802.1w Rapid Spanning Tree,
Per-VLAN Rapid Spanning Tree (PVRST+), IEEE 802.1s Multi-Instance Spanning Tree,
12. Obsługa protokołu LLDP i LLDP-MED,
13. Realizacja funkcji 802.1Q tunneling,
14. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o zadanym źródłowym i docelowym adresie MAC,
15. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu
głosowego,
16. Możliwość uruchomienia funkcji serwera DHCP,
17. Mechanizmy związane z bezpieczeństwem sieci:
Wiele poziomów dostępu administracyjnego poprzez konsolę. Przełącznik umożliwia zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level),
Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN,
Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania listy ACL,
Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X,
Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC,
Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez
suplikanta 802.1X,
Możliwość uwierzytelniania wielu użytkowników na jednym porcie oraz możliwość jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem,
Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176,
Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania – 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie w oparciu o portal www),
Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source
Guard,
Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard) i ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard),
Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS i TACACS+,
Wbudowane mechanizmy ochrony warstwy kontrolnej przełącznika (CoPP – Control Plane Policing),
Obsługa list kontroli dostępu (ACL) następujących typów:
Port ACL umożliwiające kontrolę ruchu na poziomie portów L2 przełącznika,
VLAN ACL umożliwiające kontrolę ruchu pomiędzy stacjami znajdującymi się w tej samem sieci VLAN w obrębie przełącznika,
Routed ACL umożliwiające kontrolę ruchu routowanego pomiędzy sieciami
VLAN,
Możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych
godzinach i dniach tygodnia);
• Realizacja funkcji Private VLAN
18. Obsługa mechanizmów zapewaniających autentyczność uruchamianego oprogramowania oraz hardware urządzenia w tym:
sprawdzanie autentyczności oprogramowania (w tym firmware, BIOS i system
operacyjny urządzenia) przed uruchomieniem urządzenia,
sprzętowy układ umożliwiający sprawdzenie autentyczności urządzenia;
19. Mechanizmy związane z zapewnieniem jakości usług w sieci:
Implementacja 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o
różnej klasie obsługi,
Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym
priorytetem w stosunku do innych (Strict Priority),
Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP
Kontrola sztormów dla ruchu broadcast/multicast/unicast
Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet
lub pakiecie IP – poprzez zmianę pola 802.1p (CoS)
20. Obsługa protokołów i mechanizmów routingu:
Routing statyczny, RIP, BGP, HSRP lub VRRP, IS-IS, OSPF Policy-based routing (PBR),
Obsługa tuneli GRE (Generic Routing Encapsulation),
21. Przełącznik umożliwia lokalną i zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego – mechanizmy SPAN, RSPAN,
23. Przełącznik posiada wzorce konfiguracji portów zawierające prekonfigurowane ustawienia rekomendowane zależnie od typu urządzenia dołączonego do portu (np. telefon IP, radiowy punkt dostępowy WiFi, stacja sieciowa, router itp.),
25. Zarządzanie
Port konsoli,
Dedykowany port Ethernet do zarządzania out-of-band,
Plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line (możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej możliwość uruchomienia urządzenia z nową konfiguracją,
• Możliwość realizacji dostępu do konsoli znakowej lub wbudowanego graficznego interfejsu zarządzającego poprzez połączenie bezprzewodowe Bluetooth przy pomocy dodatkowego adaptera usb Bluetooth podłączanego do portu USB przełącznika. Funkcjonalność umożliwia kontrolę dostępu do konsoli poprzez mechanizm lokalnego konta logowania lub mechanizm AAA,
Obsługa protokołów XXXXx0, XXXx0, SCP, https,
Możliwość konfiguracji za pomocą protokołu NETCONF (RFC 6241) i modelowania YANGa (RFC 6020) oraz eksportowania zdefiniowanych według potrzeb danych do zewnętrznych systemów,
Wsparcie dla protokoły RESTCONF,
Przełącznik posiada diodę umożliwiającą identyfikację konkretnego urządzenia
podczas akcji serwisowych,
Przełącznik posiada wbudowany tag RFID w celu łatwiejszego zarządzania infrastrukturą,
• Urządzenie musi być wyposażone w pamięć przeznaczoną np. do wykorzystania przez aplikacje uruchomiane w kontenerach Docker w postaci dysku M2 SATA o pojemności min 240 GB,
26. Wbudowany graficzny interfejs zarządzania przełącznikiem
27. Wsparcie dla protokołu LISP zgodnie z RFC 6830,
28. Urządzenie realizuje następujące funkcjonalności z zakresu MPLS:
• L2VPN - Ethernet over MPLS (EoMPLS)
• L2VPN - Virtual Private LAN Services (VPLS)
• L3 VPN - MPLS Virtual Private Network (VPN),
• MPLS over GRE,
29. Obsługa wirtualnych instancji routingu (VRF),
30. Obsługa zaawansowanych protokołów routingu
• Routing multicastów - PIM-SM,
• Multicast Source Discovery Protocol (MSDP),
31. Obsługa protokołu BFD (Bidirectional Forwarding Detection) umożliwiającego szybkie wykrywanie awarii połączeń w sieci dla potrzeb protokołów routingu,
32. Możliwość enkapsulacji ruchu w pakiety VXLAN,
33. Możliwość tworzenia bezpośrednio na przełączniku polityki kontroli ruchu i segmentacji logicznej w oparciu o znaczniki bezpieczeństwa (secure tag) z możliwością przypisywania znaczników:
• Statycznie w oparciu o port do którego podłączona jest stacja,
• Statycznie w oparciu o VLAN, w którym pracuje stacja,
• Statycznie w oparciu o adres IP stacji,
• Dynamicznie w oparciu o autoryzację użytkownika / stacji przy pomocy 802.1X;
34. Możliwość dynamicznego załadowania do przełącznika polityki kontroli ruchu pracującej w oparciu o znaczniki bezpieczeństwa (secure tag) z centralnego systemu zarządzania kontrolą dostępu,
35. Propagacja informacji o przypisaniu stacji danego znacznika bezpieczeństwa (secure tag) bezpośrednio w ramce Ethernet (metoda in-line) lub za pomocą mechanizmu out-of-band,
który przekazuje do urządzeń dokonujących wymuszenia polityki mapowania aktualnych adresów IP stacji i przypisanego im znacznika bezpieczeństwa,
36. Funkcjonalność sondy IP SLA do aktywnego generowania ruchu testowego i mierzenia parametrów ruchu w celu oceny jakości działania sieci dla następujących protokołów sieciowych: dhcp, dns, ftp, http, icmp-echo, tcp-connect, udp-echo, udp-jitter,
37. Urządzenie wyposażone w jedną kartę zarządzająco-przełączającą musi być przygotowane sprzętowo do łączenia w klaster z drugim takim samym urządzeniem (tzw. wirtualne stakowanie). Urządzenia w klastrze będą zachowywać się jak jedno urządzenie w punktu widzenia protokołów L2 i L3. Klastrowanie wspiera funkcję eliminacji przesyłania ruchu BUM (Broadcast, unknown-unicast and multicast traffic) poprzez połączenie realizujące klaster pomiędzy przełącznikami. Jeżeli dla uruchomienia funkcji potrzebna jest licencja należy ją dostarczyć.
Funkcje dodatkowe – Zamawiający dopuszcza aby funkcje te były dostarczone w modelu
subskrypcyjnych (tzn. na określony okres czasu).
38. Możliwość próbkowania (bez samplowania) i eksportu statystyk ruchu do zewnętrznych kolektorów danych ze wsparciem sprzętowym dla protokołu NetFlow (lub równoważnego)
39. Realizacja rozszerzenia protokołu NetFlow (lub równoważnego), który umożliwia monitorowanie większej ilości informacji zawartej w pakiecie danych od warstw 2 do 7, bardziej granularne monitorowanie ruchu i definiowanie monitorowanych przepływów (flow) poprzez elastyczne definiowanie pól kluczowych,
40. Możliwość tworzenia skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie,
41. Możliwość tworzenia i uruchamiania skryptów Python bezpośrednio na przełączniku,
42. Możliwość zdalnej obserwacji ruchu z określonych portów lub sieci VLAN polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego poprzez sieć IP (XXXXXX),
43. Przełącznik zapewnia widoczność i kontrolę ruchu na poziomie aplikacji (klasyfikowanie
ruchu w warstwach 4-7),
44. System operacyjny umożliwiający wgrywanie poprawek bez konieczności restartowania
platformy;
45. Możliwość realizacji funkcji kontrolera dla radiowych punktów dostępowych WiFi z obsługą do 200 AP oraz 4000 klientów bezprzewodowych – jeżeli dla realizacji funkcji jest wymagana licencja nie stanowi ona przedmiotu postępowania (Zamawiający nie wymaga dostarczenia licencji dla tej funkcjonalności)
46. Urządzenie musi umożliwiać uruchamianie dodatkowych aplikacji w kontenerach Docker,
Wymagane do dostarczenia wyposażenie urządzenia - (przełącznik rdzeniowy) – 2 kpl.
Wyposażenie urządzenia
Obudowa z 4-ma zasilaczami o mocy 3200W (każdy) AC
Karta zarządzająco-przełączającą - zgodnie z powyższą specyfikacją – 1 szt.
Karta liniowa wyposażona w 48 portów z czego: 24 porty mGIG 100M/1G/2.5G/5G oraz 10G-BaseT RJ-45 UPoE IEEE 802.3at, IEEE 802.3af
(do 60W per port); 24 porty Gigabit Ethernet 10/100/1000BaseT RJ-45 UPoE IEEE 802.3at, IEEE 802.3af (do 60W per port); karta sprzętowo przygotowana do obsługi MACsec-256 - 2 szt.
Karta liniowa wyposażone w 24 porty 10GigabitEthernet SFP/SFP+, karta sprzętowo przygotowana do obsługi MACsec-256 – 3 szt.
Przełącznik należy dostarczyć z modułami optycznymi pochodzącymi od Producenta
przełącznika (nie dopuszcza się zamienników):
QSFP 40G-LR4, - 2 szt.
Przełączniki dostępowe (50 kpl)
1. Typ i liczba portów:
48 portów 10/100/1000BaseT RJ-45 PoE+ (zgodne z IEEE 802.3at) + uplink 4x10G SFP
2. Moc dostępna dla PoE:
• 370W (możliwość podwojenia budżetu mocy po zainstalowaniu redundantnego
zasilacza)
3. Porty SFP/SFP+ możliwe do obsadzenia następującymi rodzajami wkładek:
• Gigabit Ethernet 1000Base-SX,
• Gigabit Ethernet 1000Base-LX
• 10Gigabit Ethernet 10GBase-SR,
• 10Gigabit Ethernet 10GBase-LR,
• 10Gigabit Ethernet 10GBase-ER,
• 10Gigabit Ethernet 10GBase-ZR,
• 10Gigabit Ethernet typu twinax (SFP+ - SFP+)
4. Możliwość stackowania przełączników z zapewnieniem następujących funkcjonalności:
• Przepustowość w ramach stosu – min. 80Gb/s,
• do 8 urządzeń w stosie,
• Zarządzanie poprzez jeden adres IP,
• Możliwość tworzenia połączeń cross-stack Link Aggregation (czyli dla portów
należących do różnych jednostek w stosie) zgodnie z IEEE 802.3ad,
• Porty przewidziane do stakowania mogą być rozwiązaniem dedykowanym lub portami ogólnego przeznaczenia. Zestawienie stosu z pełną przepustowością nie może zajmować portów określonych w pkt 1.
5. Zasilanie i chłodzenie:
• Możliwość instalacji zasilacza redundantnego AC 230V. Zasilacze wymienne (możliwość instalacji/wymiany „na gorąco” – ang. hot swap),
• Przełącznik musi umożliwiać podtrzymanie zasilania z portów PoE podczas restartu urządzenia,
• Redundantne wentylatory,
6. Parametry wydajnościowe:
• Przepustowość przełącznika (switching capacity):
• 176 Gb/s (bez podłączenia do stosu), 256 Gb/s (z podłączeniem do stosu)
• Prędkość przesyłania (forwarding rate):
• 130 Mpps
• Bufor pakietów – 6MB
• Pamięć DRAM – 2GB
• Pamięć flash – 4GB
• Obsługa:
• 500 aktywnych sieci VLAN
• 16000 adresów MAC
• 3000 tras IPv4
• 1500 tras IPv6
• Ilość wpisów w listach kontroli dostępu Security ACL – 1000
• ilość wpisów w listach kontroli dostępu QoS ACL – 1000
• Jumbo frame 9198B
7. Obsługa protokołu NTP
8. Obsługa IGMPv1/2/3 i MLD Snooping
9. Przełącznik wspiera następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci:
• IEEE 802.1w Rapid Spanning Tree
• IEEE 802.1s Multi-Instance Spanning Tree
• Wsparcie dla protokołu REP (Resilient Ethernet Protocol)
10. Obsługa protokołu LLDP i LLDP-MED
11. Realizacja funkcji 802.1Q tunneling
12. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy pakietu o
zadanym źródłowym i docelowym adresie MAC
13. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu
głosowego
14. Możliwość uruchomienia funkcji serwera DHCP
15. Mechanizmy związane z bezpieczeństwem sieci:
• Wiele poziomów dostępu administracyjnego poprzez konsolę. Przełącznik
umożliwia zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level),
• Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN,
• Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego
przypisania listy ACL,
• Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X,
• Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC,
• Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów
bez suplikanta 802.1X,
• Możliwość uwierzytelniania wielu użytkowników na jednym porcie oraz możliwość jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem,
• Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176,
• Funkcjonalność flexible authentication (możliwość wyboru kolejności uwierzytelniania – 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www),
• Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard,
• Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard) i ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard),
• Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS i TACACS+,
• Obsługa list kontroli dostępu (ACL) następujących typów:
• Port ACL umożliwiające kontrolę ruchu wchodzącego (inbound) na poziomie portów L2 przełącznika,
• VLAN ACL umożliwiające kontrolę ruchu pomiędzy stacjami znajdującymi się w tej samem sieci VLAN w obrębie przełącznika,
• Routed ACL umożliwiające kontrolę ruchu routowanego pomiędzy sieciami
VLAN,
• Możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych
godzinach i dniach tygodnia);
• Możliwość szyfrowania ruchu zgodnie z IEEE 802.1ae (MACSec) dla wszystkich portów przełącznika (dla połączeń switch-switch) kluczami o długości 128-bitów (gcm-aes-128) z mechanizmem MACsec Key Agreement (MKA),
• Wbudowane mechanizmy ochrony warstwy kontrolnej przełącznika (CoPP –
Control Plane Policing),
• Funkcja Private VLAN;
16. Obsługa mechanizmów zapewaniających autentyczność uruchamianego oprogramowania oraz hardware urządzenia w tym:
• sprawdzanie autentyczności oprogramowania (w tym firmware, BIOS i system
operacyjny urządzenia) przed uruchomieniem urządzenia,
• bezpieczna sekwencja uruchamiania,
• sprzętowy układ umożliwiający sprawdzenie autentyczności urządzenia.
17. Mechanizmy związane z zapewnieniem jakości usług w sieci:
• Implementacja 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi,
• Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym
priorytetem w stosunku do innych (Strict Priority),
• Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP,
• Kontrola sztormów dla ruchu broadcast/multicast/unicast,
• Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet
lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP DSCP;
18. Obsługa protokołów i mechanizmów routingu:
• Routing statyczny dla IPv4 i IPv6,
• Routing dynamiczny – RIP, OSPF do 1000 routes, PIM Stub do 1000 routes
• Policy-based routing (PBR),
• Obsługa protokołu redundancji bramy (VRRP),
19. Przełącznik umożliwia lokalną i zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego – mechanizmy SPAN, RSPAN,
21. Przełącznik posiada wzorce konfiguracji portów zawierające prekonfigurowane ustawienia rekomendowane zależnie od typu urządzenia dołączonego do portu (np. telefon IP, radiowy punkt dostępowy WiFi, stacja sieciowa, router itp.),
22. Funkcjonalność IP SLA Responder,
23. Zarządzanie
• Port konsoli,
• Dedykowany port Ethernet do zarządzania out-of-band,
• Możliwość realizacji dostępu do konsoli znakowej lub wbudowanego graficznego interfejsu zarządzającego poprzez połączenie bezprzewodowe Bluetooth przy pomocy dodatkowego adaptera usb Bluetooth podłączanego do portu USB przełącznika. Funkcjonalność umożliwia kontrolę dostępu do konsoli poprzez mechanizm lokalnego konta logowania lub mechanizm AAA,
• Plik konfiguracyjny urządzenia możliwy do edycji w trybie off-line (możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej możliwość uruchomienia urządzenia z nową konfiguracją,
• Obsługa protokołów XXXXx0, XXXx0, SCP, sftp, https, syslog,
• Możliwość konfiguracji za pomocą protokołu NETCONF (RFC 6241) i modelowania YANGa (RFC 6020) oraz eksportowania zdefiniowanych według potrzeb danych do zewnętrznych systemów,
• Wsparcie dla protokoły RESTCONF,
• Przełącznik posiada diodę umożliwiającą identyfikację konkretnego urządzenia
podczas akcji serwisowych,
• Przełącznik posiada wbudowany tag RFID w celu łatwiejszego zarządzania infrastrukturą,
• Port USB umożliwiający podłączenie zewnętrznego nośnika danych. Urządzenie ma możliwość uruchomienia z nośnika danych umieszczonego w porcie USB,
• Funkcja programowego resetu urządzenia do ustawień fabrycznych wraz z
całkowitym i nieodwracalnym (3-krotne nadpisanie) wyczyszczeniem takich danych jak: konfiguracja urządzenia, pliki logów, zmienne bootowania (startowe), dane uwierzytelniające (tzw. credentials), obrazy oprogramowania, klucze szyfrujące,
1. Wbudowany graficzny interfejs zarządzania przełącznikiem.
24. Parametry fizyczne:
• Możliwość montażu w szafie rack 19”,
• Wysokość urządzenia 1 RU,
Funkcje dodatkowe – Zamawiający dopuszcza aby funkcje te były dostarczone w modelu
subskrypcyjnych (tzn. na określony okres czasu).
25. Możliwość próbkowania (bez samplowania) i eksportu statystyk ruchu do zewnętrznych kolektorów danych ze wsparciem sprzętowym dla protokołu NetFlow .
26. Realizacja rozszerzenia protokołu NetFlow w postaci tzw. Flexible NetFlow, który umożliwia monitorowanie większej ilości informacji zawartej w pakiecie danych od warstw
2 do 7, bardziej granularne monitorowanie ruchu i definiowanie monitorowanych
przepływów (flow) poprzez elastyczne definiowanie pól kluczowych,
27. Możliwość tworzenia skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie,
Wymagane do dostarczenia wyposażenie urządzenia (przełącznik dostępowy) – 50 kpl
Wyposażenie urządzenia
• Przełącznik wyposażony w pojedynczy zasilacz wraz z kablem zasilającym.
Moduły/kable/licencje do łączenia w stos (20 kpl)
Jeżeli dostarczone przełączniki dostępowe nie posiadają w standardowym wyposażeniu wszystkich niezbędnych elementów do łączenia w stos należy je dostarczyć w ilości zgodnej z zestawieniem ilościowym pkt 3.
Moduł do łączenia w stos musi:
• być kompatybilny/przewidziany do instalacji w oferowanym zgodnie z pkt 2
przełącznikiem dostępowym
• zawierać wszystkie niezbędne elementy do zestawienia stosu (np.: moduł
interfejsowy/okablowanie/licencje)
• posiadać okablowanie o długości min 50cm
Zasilacz zapasowy do przełączników dostępowych (3 kpl)
Zasilacz musi pasować i być przewidziany przez Producenta do przełączników dostępowych
opisanych w pkt 2
Wkładki optyczna typ I (100 szt)
Wkładka optyczna typu 10Gigabit Ethernet 10GBase-LR SFP+ kompatybilna za przełącznikiem dostępowym
Wkładki optyczna typ II (100 szt)
Wkładka optyczna typu 10Gigabit Ethernet 10GBase-LR SFP+ kompatybilna z przełącznikiem
rdzeniowym w zakresie gniazd SFP+.
Oprogramowanie do zarządzania (1 kpl)
Należy dostarczyć oprogramowanie zarządzania infrastrukturą wraz z stosownymi licencjami na wszystkich przełączników dostępowych, rdzeniowych i przemysłowych.
W celu spójności zarządzania oraz dostępności jak największej ilości funkcji Zamawiający wymaga aby Przełączniki dostępowe, rdzeniowe, przemysłowe oraz oprogramowanie do zarządzania pochodziły od tego samego Producenta.
Zamawiający dopuszcza dostarczenie rozwiązania zarówno w postaci maszyny wirtualnej na platformę Vmware jak i całego urządzenia (appliance).
System musi posiadać następujące funkcjonalności:
- w zakresie zarządzania siecią przewodową:
• zarządzanie i zbieranie statystyk z wykorzystaniem co najmniej SNMP
• narzędzia automatycznej identyfikacji i wyszukiwania urządzeń instalowanych w sieci: możliwość manualnego dodawania urządzeń oraz automatycznego za pośrednictwem protokołów takich jak: LLDP, ARP, OSPF, BGP
• narzędzia wyświetlania urządzeń sieciowych wraz z dynamiczną prezentacją zmiany
stanu
• mapa topologii urządzeń z połączeniami oraz wizualizacja alarmów na urządzeniach
• narzędzia do konfiguracji urządzeń w zakresie przynajmniej interfejsów, list kontroli dostępu, wybranych protokołów routingu na routerach
• wbudowane przykładowe wzorce konfiguracji urządzeń, takie jak: konfiguracja usług bezpieczeństwa, agregacji linków, konfiguracji: NTP, SNMP, NAT, itp.
• narzędzie do tworzenia wzorców konfiguracji na urządzenia
• funkcje archiwizacji konfiguracji, przeglądania zmian konfiguracji, automatyzacji zbierania konfiguracji urządzeń
• narzędzie do przeprowadzania inwentaryzacji komponentów używanych w sieci w tym sprzętu i oprogramowania systemowego urządzeń sieciowych
• narzędzie do zarządzania obrazami oprogramowania urządzeń
• narzędzie umożliwiające zbieranie informacji o parametrach urządzeń, przynajmniej takich jak: zajętość CPU, zajętość pamięci, dostępność, ilość portów, utylizacja portów, itp.
• mechanizmy wspomagające wyszukiwanie, izolację problemów i ich rozwiązywanie
• monitoring wydajności sieci wraz z możliwością zbierania informacji o aplikacjach w sieci i parametrach ich działania pozwalające na analizę (np.: ilość ruchu, czas odpowiedzi, czas transakcji oraz opóźnienie)
• monitoring, którzy użytkownicy generują najwięcej ruchu, z jakich korzystają
aplikacji oraz jakie jest ich wykorzystanie
• narzędzie do generowania raportów, które mogą być uruchamiane natychmiastowo lub w określonych odstępach czasu i być przeglądane na bieżąco lub wysyłane do pliku
• narzędzie do zbierania alarmów pochodzących z urządzeń, kategoryzacji alarmów
• informowanie o alarmach/incydentach przez notyfikację email
• narzędzie do konfiguracji, monitoringu i optymalizacji usług WAN (technologia VPN,
polityka routingu oraz polityka QoS z podziałem na aplikacje)
- w zakresie zarządzania siecią bezprzewodową:
• graficzne planowanie i zarządzanie siecią bezprzewodową (hierarchiczne mapy
lokalizacji, mapy zasięgu) z wykorzystaniem własnych planów budynków
• zarządzenie punktami dostępowymi i kontrolerami
• monitorowanie autonomicznych punktów dostępowych
• monitorowanie informacji takich jak: poziom szumu, poziom sygnału, interferencje sygnału, pochodzących z punktów dostępowych
• monitorowanie parametrów pracy kontrolerów bezprzewodowych, w tym również parametrów pracy (zasilacze, wentylatory) zapasowych kontrolerów w parze HA
• raportowanie i statystyka, min.: wydajności urządzeń, obciążenia sieci, alarmów pochodzących z urządzeń
• wbudowane formularze do tworzenia polityki bezpieczeństwa, polityki QoS dla wielu punktów dostępu radiowego, a także możliwość tworzenia własnych
• automatyczne wykrywanie nowych punktów dostępowych w sieci radiowej
• obsługa sieci kratowych
• narzędzie do zbierania ruchu z określonego punktu dostępowego oraz klienta bezprzewodowego do pliku pcap z możliwością określenia filtrów i czasu zbierania ruchu
• wykrywanie nieautoryzowanych punktów dostępowych z określeniem ich
lokalizacji na żądanie
• narzędzie do wykrywania czy nie autoryzowany punkt dostępowy podłączony jest
do naszej infrastruktury przewodowej
• zarządzanie wersjami oprogramowania urządzeń
• mechanizmy tworzenia kopii zapasowych
• obsługa dostępu bezprzewodowego dla gości
• narzędzie do planowania radiowego w oparciu o zadane plany budynku i potencjalne usługi sieci bezprzewodowej pozwalające na automatyczne lub manualne rozmieszczenie punktów dostępowych
• narzędzie do inspekcji poprawności rozmieszczenia punktów dostępowych pod
kątem usług głosowych oraz usług lokalizacji
• narzędzie do stopniowej aktualizacji oprogramowania na punktach dostępowych w
celu minimalizacji przerw w pracy sieci
• współpraca z analizatorami widma częstotliwościowego
• współpraca z systemami lokalizacji urządzeń radiowych z prezentacją graficzną na
mapie (punktów dostępowych, klientów, itp.)
- w ogólnym zakresie funkcjonalności:
• praca w trybie przeglądarkowym pozwalając administratorowi na dostęp z
dowolnego (po uzyskaniu odpowiednich uprawnień) miejsca w sieci
• interfejs bazujący na HTML5
• budowanie widoków przez użytkownika
• funkcje szybkiej nawigacji wraz z szybkim wyświetlaniem informacji przy zbliżeniu kursora myszy do interesującego obiektu
• hierarchizacja zarządzania – możliwość określenia domen administracyjnych dla administratorów, możliwość wykorzystania wbudowanej bazy administratorów lub zewnętrznego serwera uwierzytelniającego
• narzędzia pozwalające na podział urządzeń w logiczne grupy reprezentujące oddziały, lokalizacje, budynki i inne definiowalne podgrupy
• widok pozwalający na rozmieszczenie urządzeń/grup urządzeń na mapie geograficznej wraz z dynamiczną zmianą stanu ikony reprezentującej daną lokalizację w zależności od alarmów i ogólnej kondycji sieci w danej lokalizacji
• współpraca z serwerami czasu (NTP)
• wbudowane formularze do konfiguracji usług na nowych urządzeniach
• wbudowane formularze do weryfikacji możliwości urządzeń pod kątem uruchomienia nowych usług (np. IEEE 802.1X)
• narzędzie do generowania raportów, które mogą być uruchamiane natychmiastowo lub w określonych odstępach czasu i być przeglądane na bieżąco lub wysyłane do pliku
• tworzenie raportów dotyczących urządzeń sieciowych, urządzeń klienckich oraz wydajności sieci
• narzędzie pozwalające na monitoring wydajności sieci wraz z możliwością zbierania informacji o aplikacjach w sieci i parametrach ich działania, pozwalające na analizę, którzy użytkownicy generują najwięcej ruchu, z jakich korzystają aplikacji oraz jakie jest ich wykorzystanie, itp.
• narzędzie pozwalające na diagnostykę działania urządzenia przez wykonanie ping,
traceroute, połączenie się z urządzeniem przez telnet, ssh, http, https
• wyświetlanie wykresów korelujących zmiany w konfiguracji ze zdarzeniami na urządzeniu w celu lepszej i szybszej diagnostyki problemów
• narzędzie pozwalające na analizę połączenia urządzeń klienckich i użytkowników podłączonych w sposób przewodowy oraz bezprzewodowy do infrastruktury; narzędzie powinno pozwalać na x.xx.: zbieranie informacji o parametrach podłączenia i umożliwiać administratorowi szybką analizę problemów związanych z podłączeniem urządzenia do infrastruktury
• współpraca z systemem od uwierzytelniania i autoryzacji urządzeń klienckich i użytkowników w celu zbierania informacji o polityce dostępowej nałożonej na urządzenie oraz w celu generowania raportów dotyczących statystyk AAA
• API REST do integracji z innymi narzędziami/systemami
• otwieranie i zarządzanie zgłoszeniami dotyczącymi problemów ze sprzętem lub jego konfiguracją do wsparcia producenta bezpośrednio w systemie do zarządzania
• narzędzie umożliwiające przeszukiwanie forum producenta w celu otrzymania
informacji dotyczących problemu lub pomocy diagnostycznej
Oprogramowanie do budowy systemu uwierzytelniania użytkowników (1 kpl)
System musi zapewniać pełne zarządzanie cyklem życiowym dostępu do zasobów sieciowych, niezależnie od miejsca uzyskiwanego dostępu. System realizuje wsparcie dla dostępu gościnnego w sieci, identyfikację stacji, rejestrację urządzeń. System może obejmować kontrolą dostęp wszystkich urządzeń podłączonych do sieci IP w tym terminali, komputerów PC, smartfonów i tabletów, telefonii IP, terminali video i innych podłączonych urządzeń.
1.1. Podstawowe cechy systemu
• System musi umożliwiać instalację rozproszoną na wielu maszynach (serwerach)
fizycznych lub wirtualnych.
• System musi umożliwiać elastyczną rozbudowę poprzez dodawanie licencji dla podstawowych i zaawansowanych funkcjonalności w ramach wzrostu liczby obsługiwanych stacji końcowych.
• System musi umożliwiać wysoką skalowalność i rozbudowę w miarę wzrostu liczby
urządzeń.
• System musi umożliwiać instalację na maszynie wirtualnej (VM) przynajmniej dla
Vmware
• System musi umożliwiać wydzielenie określonych elementów funkcjonalnych,
instalowanych jako oddzielne maszyny wirtualne, w tym:
a) Wydzielenie podsystemu zarządzania (Administration), umożliwiającego administratorowi dostęp do interfejsu graficznego (GUI) za pomocą przeglądarki web i zmianę konfiguracji systemu oraz jego monitorowanie
b) Wydzielenie podsystemu monitoringu, logowania i rozwiązywania
problemów, umożliwiającego gromadzenie wiadomości logowania z:
- przełączników dostępowych
- sesji uwierzytelniania 802.1X
- zdarzeń kontroli dostępu (autoryzacji)
- zdarzeń związanych z błędami
- zdarzeń związanych z alarmami systemowymi
c) Wydzielenie serwerów usługowych realizujących funkcje:
- serwera RADIUS dla infrastruktury sieciowej
- serwera polityk uwierzytelniania i kontroli dostępu 802.1X
- serwera WWW (HTTP/HTTPS) dla uwierzytelnienia gościnnego
- serwera profilowania stacji końcowych
• System musi umożliwiać realizację wysokiej dostępności elementów
funkcjonalnych, w tym:
a) zapewnienie redundancji 1:1 podsystemu zarządzania i podsystemu
monitoringu
b) zapewnienie redundancji przynajmniej N+1 dla serwerów usługowych
• System musi umożliwiać aktualizację oprogramowania za pomocą interfejsu graficznego z repozytoriów umieszczonych na dysku lokalnym oraz zasobach zdalnych – co najmniej przez serwer TFTP, serwer FTP/SFTP, serwer HTTP/HTTPS, udział NFS
• System musi umożliwiać zarządzanie łatkami (patch management), w tym operację
powrotu do poprzedniej wersji (rollback).
• System musi umożliwiać tworzenie kopii zapasowej na życzenie (on demand) i w regularnych odstępach czasowych (scheduled).
• System musi umożliwiać uwierzytelnianie administratorów za pomocą wewnętrznej bazy użytkowników.
• System musi umożliwiać wymuszenie reguł złożoności haseł dla administratorów, w tym co najmniej minimalną długość hasła oraz wymuszenie hasła zawierającego małą literę, wielką literę, cyfrę, znak niealfanumeryczny. System wymusza hasło
różne od trzech poprzednich haseł i jego zmianę co określoną ilość dni
• System musi umożliwiać kontrolę dostępu do poszczególnych elementów menu
interfejsu graficznego administratora:
a) dostęp do interfejsu konfiguracji usług tożsamości 802.1X
b) dostęp do interfejsu konfiguracji urządzeń sieciowych
c) dostęp do interfejsu konfiguracji polityk
d) dostęp do interfejsu konfiguracji kontroli dostępu gościnnego
e) dostęp do interfejsu monitorowania, rozwiązywania problemów i
raportowania
1.2. Mechanizmy uwierzytelniania 802.1x (funkcje podstawowe)
• System musi wspierać następujące protokoły uwierzytelniania i standardy:
a) RADIUS, zgodnie z dokumentami:
- RFC 2138 — Remote Authentication Dial In User Service (RADIUS)
- RFC 2139 — RADIUS Accounting
- RFC 2865 — Remote Authentication Dial In User Service (RADIUS)
- RFC 2866 — RADIUS Accounting
- RFC 2867 — RADIUS Accounting for Tunnel Protocol Support
- RFC 2868 — RADIUS Attributes for Tunnel Protocol Support
- RFC 2869 — RADIUS Extensions
b) RADIUS Proxy dla zewnętrznego serwera RADIUS
• System musi wspierać protokół Windows Active Directory, w tym następujące
repozytoria AD:
- Microsoft Windows Active Directory 2012
- Microsoft Windows Active Directory 2012 R2
- Microsoft Windows Active Directory 2016
• System musi wspierać protokół Lightweight Directory Access Protocol (LDAP)
• System musi wspierać serwery Radius Token OTP, w tym co najmniej każdy serwer
tokenowy RADIUS zgodny z dokumentem RFC 2865
• System musi wspierać następujące protokoły uwierzytelniania:
a) PAP/ASCII
b) CHAP
c) MS-CHAPv1
d) MS-CHAPv2
e) EAP-MD5
f) LEAP
g) EAP-TLS
h) Protected Extensible Authentication Protocol (PEAP) z metodami
wewnętrznymi:
- EAP-MS-CHAPv2
- EAP-GTC
- EAP-TLS
• System musi umożliwiać konfigurację mechanizmów PEAP Session Resume, PEAP Session Timeout i Fast Reconnect
• System musi wspierać implementację 802.1X z przynajmniej następującymi
suplikantami:
a) wbudowanym klientem 802.1X dla Windows 10
b) wbudowanym klientem 802.1X dla Windows 8 i 8.1
c) Apple Mac OS X Supplicant
d) Apple iOS Supplicant
e) Google Android Supplicant
• System musi umożliwiać tworzenie polityk uwierzytelniania 802.1X opartych
złożone o reguły (rule-based).
• System musi umożliwiać uwierzytelnianie 802.1X maszyn i użytkowników.
• System musi umożliwiać tworzenie polityk kontroli dostępu (authorization) 802.1X opartych o reguły.
• System musi posiadać lokalną bazę użytkowników. Lokalną bazę użytkowników można tworzyć per użytkownik lub dodać w postaci zbiorczego pliku w formacie CSV (lub innym edytowalnym)
• System musi posiadać lokalną bazę stacji końcowych. Lokalna baza stacji końcowych jest tworzona per stacja końcowa na podstawie unikalnego adresu MAC.
• System musi wspierać uwierzytelnienie stacji końcowych na podstawie zawartych
w lokalnej bazie adresów MAC
• System musi wspierać zaawansowane funkcjonalności 802.1X realizowane na urządzeniach dostępowych (NAD - Network Access Devices), w tym:
a) tryb uwierzytelniania 802.1X, w którym dozwolony jest jeden host per port
b) tryb uwierzytelniania 802.1X, w którym dozwolonych jest wiele urządzeń per port fizyczny, ale wymagane jest uwierzytelnienie jedynie pierwszego urządzenia
c) tryb uwierzytelniania 802.1X, w którym dozwolone jest jedno urządzenie telefonii IP w domenie głosowej (Voice VLAN) i jeden w host w domenie danych (Data VLAN) na jednym porcie fizycznym
d) tryb uwierzytelniania 802.1X dozwalający wiele hostów na jednym porcie
fizycznym
e) mechanizm umożliwiający przeniesienie uwierzytelnionego hosta w obrębie przełącznika z jednego portu fizycznego na inny
f) mechanizm umożliwiający poprawną obsługę sytuacji w której nowy host podłącza się do portu na którym uprzednio było uwierzytelnione urządzenie, w tym w VLANie głosowym
g) mechanizm umożliwiający wysłanie informacji o reloadzie urządzenia (przełącznika) dostępowego do serwera AAA. Dzięki temu uwierzytelnione aktywne sesje związane z tym konkretnym urządzeniem zostaną usunięte z listy na serwerze AAA.
h) mechanizm przypisania VLANu w procesie uwierzytelnienia i kontroli
dostępu 802.1X
i) mechanizm przypisania listy kontroli dostępu per użytkownik dla ruchu IP (ACL) w procesie uwierzytelnienia i kontroli dostępu 802.1X
j) obsługa przypisania listy kontroli dostępu dla przekierowania ruchu web w procesie uwierzytelnienia i kontroli dostępu 802.1X, w celu realizacji uwierzytelniania za pomocą przeglądarki
k) mechanizm 802.1x umożliwiający realizację dostępu gościnnego w
dedykowanym VLANie (Guest VLAN) dla użytkowników gościnnych
l) mechanizm 802.1x umożliwiający przypisanie urządzenia telefonii IP do
dedykowanego VLANu w sytuacji, gdy serwer AAA jest niedostępny
m)przypisanie przez serwer AAA dla uzytkownika nie jednego, lecz grupy VLANów dla użytkownika, z których przełącznik wybiera jeden, w którym jest najmniej użytkowników
n) uwierzytelnienie 802.1X urządzenia telefonii IP znajdującego sie w VLANie
głosowym
o) współpraca mechanizmu 802.1X z urządzeniami używającymi mechanizmu
Wake-on-LAN
p) możliwość elastycznej konfiguracji kolejności metod 802.1X użytych do uwierzytelnienia stacji, w tym uwierzytelnienia względem centralnej bazy MAC, metod EAP dla 802.1X i uwierzytelnienia web
q) możliwość uwierzytelnienia przełącznika dostępowego do dystrybucyjnego, jako stacji końcowej w celu zapobiegnięcia przed podłączeniem do sieci nieuprawnionego przełącznika
• System musi wspierać uwierzytelnianie nazwą użytkownika i hasłem przez portal web, jako jedną z metod uwierzytelniania do sieci, (dotyczy x.xx. w sytuacji, gdy
stacja ma niepoprawnie skonfigurowane lub niedziałające oprogramowanie
suplikanta 802.1X)
• System musi wspierać dostarczone przełączniki sieciowe (dystrybucyjne oraz
rdzeniowe)
1.3. Realizacja dostępu gościnnego
• System musi umożliwiać realizację dostępu gościnnego dla stacji końcowych wyposażonych w przeglądarkę internetową, w tym, między innymi dla:
a) Microsoft Windows 10, Windows 8.1, Windows 8
b) Apple Mac OS X 10.x
c) Apple iOS 8.0, 7.x,
d) Google Android
e) Linux
• System musi umożliwiać dodawanie kont gościnnych przez wybrane osoby
(sponsor).
• System musi zapewniać uwierzytelnienie sponsora, które musi odbywać sekwencyjnie się w oparciu o:
a) wewnętrzną bazę użytkowników
b) zewnętrzne repozytorium użytkowników
• System musi umożliwiać konfigurację uprawnień sponsora, w tym uprawnienia do:
a) logowania się do systemu
b) tworzenia pojedynczego konta gościnnego
c) tworzenia wielu kont gościnnych
d) importowania kont gościnnych z pliku CSV
e) wysyłania wiadomości email po utworzeniu konta gościnnego
f) wysyłania wiadomości SMS po utworzeniu konta gościnnego
g) wyświetlenia hasła konta gościnnego
h) wydrukowania danych konta gościnnego
i) wyświetlenia danych stworzonych kont gościnnych
j) zawieszenia (suspend) i reinicjacji kont gościnnych
• System musi umożliwiać personalizację wyglądu portalu sponsora i gościa, w tym:
a) zmianę logo strony logowania
b) zmianę obrazu tła strony logowania
c) zmianę logo bannera
d) zmianę obrazu tła bannera
e) zmianę koloru tła strony z treścią
• System musi umożliwiać zmianę konfiguracji portów portalu administratora, gościa
i sponsora, w tym portu HTTP i portu HTTPS
• System musi umożliwiać zmianę adresu URL i FQDN strony sponsora.
• System musi umożliwiać automatyczne kasowanie wygasłych kont gościnnych: na żądanie i okresowo co zadaną liczbę dni i o określonej godzinie. System umożliwia wyświetlenie czasu ostatniego kasowania wygasłych kont gościnnych i następnego kasowania wygasłych kont gościnnych
• System musi posiadać wbudowane, wspierane przez producenta wzorce językowe dla stron sponsora i gościa, co najmniej w językach polskim, angielskim, francuskim, niemieckim i hiszpańskim
• System musi umożliwiać stworzenie własnego wzorca językowego dla stron sponsora i gościa, w tym w języku polskim.
• System musi umożliwiać wymuszenie wpisania w formularz rejestracyjny
następujących danych gościa w trakcie tworzenia konta przez sponsora:
a) Imienia
b) Nazwiska
c) Firmy
d) adresu e-mail
e) numeru telefonu
f) danych opcjonalnych (nie mniej niż 5 dodatkowych pól)
• System musi umożliwiać konfigurację dla użytkowników gościnnych:
a) wyświetlenia im informacji o polityce akceptowalnego użycia sieci (AUP)
b) zezwolenia gościom na zmianę hasła
c) samoobsługi przez gościa, czyli możliwości utworzenia konta gościnnego
bez sponsora
• System musi umożliwiać honorowanie ustawień locale przeglądarki internetowej dla zastosowania odpowiedniego wzorca językowego.
• System musi umożliwiać konfigurację maksymalnej ilości nieudanych logowań do konta gościnnego.
• System musi umożliwiać konfigurację maksymalnej liczby urządzeń per konto gościnne i obsługuje co najmniej 20 urządzeń per konto gościnne.
• System musi umożliwiać konfigurację czasu ważności hasła w dniach w przedziale zadanym w dniach.
• System musi umożliwiać określenie profilu czasowego dla dostępu gościnnego, czyli domyślnego czasu ważności konta gościnnego z dokładnością do daty i godziny
• System musi umożliwiać konfigurację polityki złożoności haseł użytkowników gościnnych
• System musi umożliwiać konfigurację polityki nazwy (login) użytkownika gościnnego w tym co najmniej tworzenie nazwy użytkownika z adresu e-mail i minimalnej długości nazwy użytkownika
• System musi umożliwiać tworzenie portalu typu Hotspot bez konieczności uwierzytelniania się gościa nazwą użytkownika i hasłem z opcjonalną akceptacją AUP (Acceptable Use Policy) i z koniecznością podania kodu dostępu.
• System musi umożliwiać przypisanie do każdego portalu gościnnego niezależnego wzorca językowego, interfejsu IP, portu HTTPS i certyfikatu SSL dla FQDN.
• System musi umożliwiać udostępnienie danych logowania gościnnego za pomocą email przez konfigurację bramy SMTP i poprzez SMS,
• System musi wspierać API dla masowych operacji CRUD (Create, Read, Update,
Delete) na kontach gościnnych.
1.4. Profilowanie urządzeń
• System musi umożliwiać dokonanie profilowania (profiling) urządzenia końcowego dołączanego do sieci i realizację zróżnicowanego dostępu na podstawie jej zidentyfikowanego typu.
• System musi umożliwiać wykorzystanie danych z procesu profilowania do zdefiniowania polityk bezpieczeństwa. W szczególności zapewnia możliwość stworzenia polityk np. dla wszystkich drukarek, dla wszystkich urządzeń mobilnych, dla wszystkich stacji z Windows, etc.
• System musi umożliwiać dokonanie profilowania stacji końcowych poprzez analizę informacji pochodzących z następujących źródeł:
a) DHCP
b) DHCP SPAN
c) HTTP
d) RADIUS
e) DNS
f) SNMP
g) Network Scan (NMAP lub inne narzędzie profilowania aktywnego)
• System musi umożliwiać wysłanie wiadomości RADIUS CoA (Reauth, Port Bounce) zgodnych z RFC 5176, po dokonaniu profilowania urządzenia końcowego w celu zmiany profilu autoryzacji.
• System musi umożliwiać dodawanie sprofilowanych stacji końcowych do lokalnej
bazy stacji końcowych wraz z przypisaniem do grupy.
• System musi posiadać dostarczony przez producenta zestaw profili urządzeń, w tym
przynajmniej dla:
a) Stacji robocznych pracujących z systemami FreeBSD, Linux, Macintosh, Microsoft Windows, Sun,
b) Urządzeń mobilnych: Android, Apple, Blackberry
c) Telefonów IP
d) Drukarek sieciowych
e) Systemów wideokonferencyjnych w tym terminali i urządzeń z nimi powiązanych
f) Routerów
g) Punktów dostępu bezprzewodowego
• System musi umożliwiać subskrypcyjne, regularne i automatyczne pobieranie nowych profili urządzeń ze strony producenta, w tym następujących informacji:
a) reguł identyfikacji nowych i uaktualnionych profili urządzeń końcowych w
sieci
• System musi umożliwiać włączenie funkcjonalności regularnej (z częstotliwością dobową) i automatycznej subskrypcji nowych profili urządzeń ze strony producenta o zadanej godzinie lub jej całkowite wyłączenie w dowolnym momencie.
• System musi wspierać raportowanie zmian w bazie danych profili powstałych w wyniku pobrania uaktualnienia profili urządzeń końcowych ze strony producenta.
1.5. Analiza stacji końcowej (Posture Assessment)
• System musi umożliwiać pobranie bazy wiedzy reguł analizy stacji końcowej (Posture) dla wspieranych systemów Antywirusowych (AV) i Antispyware (AS) ze strony producenta.
• System musi umożliwiać kontrolę zachowania dla stacji końcowych, które nie posiadają zainstalowanego agenta głębokiej analizy stacji końcowej (Posture).
• System musi umożliwiać regularne ponawianie głębokiej analizy stacji końcowej
(periodic reassessment) w przedziale od 1 do 24 godzin.
• System musi umożliwiać przedstawienie użytkownikowi dokumentu Polityki Akceptowalnego Użycia (AUP). Polityka AUP jest prezentowana w postaci strony web po procesie głębokiej analizy stacji. Zawartość dokumentu AUP jest konfigurowalna.
• System musi umożliwiać głęboką analizę stacji końcowej Windows pod kątem plików (File Condition), w tym:
a) istnienia pliku na stacji końcowej
b) wersji pliku na stacji końcowej (równa, wcześniejsza niż, późniejsza niż)
c) daty utworzenia i modyfikacji pliku na stacji końcowej (równa, wcześniej niż, później niż)
• System musi umożliwiać głęboką analizę stacji końcowej z systemem:
a) Windows 8 i 8.1
b) Windows 10
pod kątem wpisów w rejestrze (Registry Condition), w tym:
a) kluczy rejestru z kluczem root: HKLM, HKCC, HKCU, HKU, HKCR z zadanym podkluczem pod kątem:
- istnienia lub nieistnienia klucza
- wartości klucza rejestru
- istnienia i wartości domyślnej wartości klucza rejestru typu
Number, String, Version
• System musi umożliwiać głęboką analizę stacji końcowej z systemem:
a) Windows 8 i 8.1
b) Windows 10
pod kątem uruchomionych aplikacji (Application Condition), w tym:
a) nazwy uruchomionego lub nieuruchomionego procesu
• System musi umożliwiać głęboką analizę stacji końcowej z systemem:
a) Windows 8 i 8.1
b) Windows 10
pod kątem uruchomionych usług systemowych (Service Condition), w tym:
a) nazwy uruchomionej lub nieuruchomionej procesu
• System musi umożliwiać tworzenie słownika prostych i złożonych warunków (Simple i Compound Condition) dla głębokiej analizy stacji końcowej za pomocą
wyrażeń logicznych AND, OR, NOT, w tym z uwzględnieniem:
a) parametrów dostępu do sieci, w tym:
b) lokalizacji stacji końcowej
c) nazwy użytkownika
d) adresu IP stacji
e) metody uwierzytelnienia
f) statusu uwierzytelnienia
g) repozytorium użytkowników użytych dla uwierzytelnienia
h) atrybutów RADIUS, w tym:
- Calling-Station-ID
- Framed-IP-Address
- NAS-Identifier
- NAS-IP-Address
- NAS-Port-Type
- Service-Type
- User-Name
i) parametrów sesji w tym:
j) typu żądania agenta na stacji końcowej (początkowe/initial lub
reassessment)
k) architektury systemu operacyjnego na stacji końcowej (32-bit lub 64-bit)
l) adresu URL, z którego nastąpiło przekierowanie
• System musi umożliwiać głęboką analizę stacji końcowej z systemem:
a) Windows 8 i 8.1
b) Windows 10
c) Mac OS-X
pod kątem zainstalowanych aplikacji Antywirusowych (AV Compound Condition),
w tym:
d) stwierdzenia czy system AV jest obecny na stacji
e) stwierdzenia czy definicje sygnatur AV są nie starsze niż zadana ilość dni
od:
- daty ostatniego pliku definicji
- aktualnego czasu systemowego
• System umożliwia głęboką analizę stacji końcowej z systemem:
a) Windows 8 i 8.1
b) Mac OS-X
pod kątem zainstalowanych aplikacji AntiSpyware (AS Compound Condition), w
tym:
a) stwierdzenia czy system AS jest obecny na stacji
b) stwierdzenia czy definicje sygnatur AS są nie starsze niż zadana ilość dni
od:
c) daty ostatniego pliku definicji
d) aktualnego czasu systemowego
1.6. Obsługa serwerów certyfikatów CA.
• System musi posiadać funkcję zintegrowanego centrum certyfikacji, Certificate Authority (CA) lub zapewniać współpracę z zewnętrznym centrum CA.
• Funkcja CA umożliwia wystawianie certyfikatów dla urządzeń, które uzyskują dostęp do sieci w procesie BYOD, dla realizacji bezpiecznego uwierzytelniania przy pomocy EAP-TLS.
• System musi wspierać hierarchiczność CA dla rozproszonego wdrożenia w dużej skali. W sytuacji rozproszenia systemu na wiele serwerów, serwery nadrzędne oferują funkcję Root CA, zaś serwery przetwarzające wspierają funkcję Subordinate CA (SCEP RA) dla wystawiania certyfikatów.
• Funkcja CA zapewnia przynajmniej następujące funkcjonalności:
a) Certificate Issuance: sprawdzenie i podpisywanie Certificate Signing Request (CSR) dla stacji końcowych, które chcą uzyskać dostęp do sieci za pomocą bezpiecznej metody uwierzytelniania EAP-TLS
b) Key Management: generacja i bezpieczne przechowywanie kluczy i
certyfikatów w modelu rozproszonym
c) Certificate Storage: bezpieczne przechowywanie certyfikatów użytkowników i stacji
d) Online Certificate Status Protocol (OCSP): wsparcie dla sprawdzenia ważności certyfikatów za pomocą protokołu OCSP wraz ze wsparciem dla wysokiej dostępności, przynajmniej dwóch serwerów OCSP per CA
Należy dostarczyć stosowny zestaw licencji tak aby można było osiągnąć wymagany zakres funkcjonalności dla:
• 1500 użytkowników (funkcje podstawowe)
• 100 urządzeń podlegających profilowaniu (profilowanie urządzeń)
• 200 użytkowników podlegających kontroli (Analiza stacji końcowej (Posture
Assessment))
Baza systemu musi się składać z dwóch serwerów: maszyn wirtualnych dla systemu Vmware
lub dedykowanych urządzeń zawierających hardware i software tzw.” appliance”.
Zamawiający dopuszcza aby cały system został dostarczony jako zbiór licencji subskrypcyjnych.
Firewall (2 urządzenia pracujące w układzie wysokiej niezawodności HA)
Wymagania Ogólne
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje sieciowe i bezpieczeństwa niezależnie od dostawcy łącza. Dopuszcza się aby poszczególne elementy wchodzące w skład systemu bezpieczeństwa były zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub komercyjnych aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji programowej dostawca musi zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym.
System realizujący funkcję Firewall musi dawać możliwość pracy w jednym z trzech trybów: Routera z funkcją NAT, transparentnym oraz monitorowania na porcie SPAN.
W ramach dostarczonego systemu bezpieczeństwa musi być zapewniona możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów w zakresie: Routingu, Firewall’a, IPSec VPN, Antywirus, IPS, Kontroli Aplikacji. Powinna istnieć możliwość dedykowania co najmniej 3 administratorów do poszczególnych instancji systemu.
System musi wspierać IPv4 oraz IPv6 w zakresie:
• Firewall.
• Ochrony w warstwie aplikacji.
• Protokołów routingu dynamicznego. Redundancja, monitoring i wykrywanie awarii
• W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz
IPS – musi istnieć możliwość łączenia w klaster Active-Active lub Active-Passive. W obu trybach powinna istnieć funkcja synchronizacji sesji firewall.
• Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych.
• Monitoring stanu realizowanych połączeń VPN.
• System musi umożliwiać agregację linków. Powinna istnieć możliwość tworzenia interfejsów redundantnych.
Interfejsy, Dysk, Zasilanie:
• System realizujący funkcję Firewall musi dysponować minimum:
c) 18 portami Gigabit Ethernet RJ-45.
d) 8 gniazdami SFP 1 Gbps.
e) 4 gniazdami SFP+ 10 Gbps.
• System Firewall musi posiadać wbudowany port konsoli szeregowej oraz gniazdo USB umożliwiające podłączenie modemu 3G/4G oraz instalacji oprogramowania z klucza USB.
• W ramach systemu Firewall powinna być możliwość zdefiniowania interfejsów
wirtualnych - definiowanych jako VLAN’y w oparciu o standard 802.1Q.
• System musi być wyposażony w zasilanie AC. Parametry wydajnościowe:
• W zakresie Firewall’a obsługa nie mniej niż 3 mln. jednoczesnych połączeń oraz 250
tys. nowych połączeń na sekundę.
• Przepustowość Stateful Firewall: nie mniej niż 27 Gbps dla pakietów 512 B.
• Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 12 Gbps.
• Wydajność szyfrowania IPSec VPN nie mniej niż 12 Gbps.
• Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) dla ruchu Enterprise Traffic Mix - minimum 5 Gbps.
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS,
Application Control, Antywirus - minimum 3 Gbps.
• Wydajność systemu w zakresie inspekcji komunikacji szyfrowanej SSL dla ruchu http
– minimum 3,5 Gbps.
Funkcje Systemu Bezpieczeństwa:
W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie poniższe funkcje. Mogą one być zrealizowane w postaci osobnych, komercyjnych platform sprzętowych lub programowych:
• Kontrola dostępu - zapora ogniowa klasy Stateful Inspection.
• Kontrola Aplikacji.
• Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN.
• Ochrona przed malware – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP,
FTP, HTTPS.
• Ochrona przed atakami - Intrusion Prevention System.
• Kontrola zawartości poczty – Antyspam dla protokołów SMTP, POP3.
• Zarządzanie pasmem (QoS, Traffic shaping).
• Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP).
• Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach postępowania powinny zostać dostarczone co najmniej
2 tokeny sprzętowe lub programowe, które będą zastosowane do dwu- składnikowego uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site.
• Analiza ruchu szyfrowanego protokołem SSL.
Polityki, Firewall
• Polityka Firewall musi uwzględniać adresy IP, użytkowników, protokoły, usługi sieciowe, aplikacje lub zbiory aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń.
• System musi zapewniać translację adresów NAT: źródłowego i docelowego, translację PAT oraz:
a) Translację jeden do jeden oraz jeden do wielu.
b) Dedykowany ALG (Application Level Gateway) dla protokołu SIP.
• W ramach systemu musi istnieć możliwość tworzenia wydzielonych stref
bezpieczeństwa np. DMZ, LAN, WAN.
• Element systemu realizujący funkcję Firewall musi integrować się z następującymi rozwiązaniami SDN w celu dynamicznego pobierania informacji o zainstalowanych maszynach wirtualnych po to aby użyć ich przy budowaniu polityk kontroli dostępu.
a) Amazon Web Services (AWS).
b) Microsoft Azure
c) Cisco ACI.
d) Google Cloud Platform (GCP).
e) OpenStack.
f) VMware vCenter (ESXi).
Połączenia VPN
• System musi umożliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej
funkcji musi zapewniać:
a) Wsparcie dla IKE v1 oraz v2.
b) Obsługa szyfrowania protokołem AES z kluczem 128 i 256 bitów w trybie
pracy Galois/Counter Mode(GCM).
c) Obsługa protokołu Diffie-Xxxxxxx grup 19 i 20.
d) Wsparcie dla Pracy w topologii Hub and Spoke oraz Mesh, w tym wsparcie dla dynamicznego zestawiania tuneli pomiędzy SPOKE w topologii HUB and SPOKE.
e) Tworzenie połączeń typu Site-to-Site oraz Client-to-Site.
f) Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności.
g) Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np.
OSPF) oraz routingu statycznego.
h) Obsługa mechanizmów: IPSec NAT Traversal, DPD, Xauth.
i) Mechanizm „Split tunneling” dla połączeń Client-to-Site.
• System musi umożliwiać konfigurację połączeń typu SSL VPN. W zakresie tej funkcji
musi zapewniać:
a) Pracę w trybie Portal - gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną działającą w oparciu o HTML 5.0.
b) Pracę w trybie Tunnel z możliwością włączenia funkcji „Split tunneling”
przy zastosowaniu dedykowanego klienta.
c) Producent rozwiązania musi dostarczać oprogramowanie klienckie VPN, które umożliwia realizację połączeń IPSec VPN lub SSL VPN.
Routing i obsługa łączy WAN
• W zakresie routingu rozwiązanie powinno zapewniać obsługę:
a) Routingu statycznego.
b) Policy Based Routingu.
c) Protokołów dynamicznego routingu w oparciu o protokoły: RIPv2, OSPF,
BGP oraz PIM.
Zarządzanie pasmem
• System Firewall musi umożliwiać zarządzanie pasmem poprzez określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu ruchu.
• Musi istnieć możliwość określania pasma dla poszczególnych aplikacji.
• System musi zapewniać możliwość zarządzania pasmem dla wybranych kategorii
URL.
Ochrona przed malware
• Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021).
• System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR.
• System musi dysponować sygnaturami do ochrony urządzeń mobilnych (co
najmniej dla systemu operacyjnego Android).
• System musi współpracować z dedykowaną platformą typu Sandbox lub usługą typu Sandbox realizowaną w chmurze. W ramach postępowania musi zostać dostarczona platforma typu Sandbox wraz z niezbędnymi serwisami lub licencja upoważniająca do korzystania z usługi typu Sandbox w chmurze.
• System musi umożliwiać usuwanie aktywnej zawartości plików PDF oraz Microsoft Office bez konieczności blokowania transferu całych plików.
Ochrona przed atakami
• Ochrona IPS powinna opierać się co najmniej na analizie sygnaturowej oraz na analizie anomalii w protokołach sieciowych.
• System powinien chronić przed atakami na aplikacje pracujące na
niestandardowych portach.
• Baza sygnatur ataków powinna zawierać minimum 4000 wpisów i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora.
• Administrator systemu musi mieć możliwość definiowania własnych wyjątków oraz własnych sygnatur.
• System musi zapewniać wykrywanie anomalii protokołów i ruchu sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS.
• Mechanizmy ochrony dla aplikacji Web’owych na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity, Roboty) oraz możliwość kontrolowania długości nagłówka, ilości parametrów URL, Cookies.
• Wykrywanie i blokowanie komunikacji C&C do sieci botnet. Kontrola aplikacji
• Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie
głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP.
• Baza Kontroli Aplikacji powinna zawierać minimum 1500 sygnatur i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora.
• Aplikacje chmurowe (co najmniej: Facebook, Google Docs, Dropbox) powinny być kontrolowane pod względem wykonywanych czynności, np.: pobieranie, wysyłanie plików.
• Baza powinna zawierać kategorie aplikacji szczególnie istotne z punktu widzenia bezpieczeństwa: proxy, P2P.
• Administrator systemu musi mieć możliwość definiowania wyjątków oraz własnych
sygnatur.
Kontrola WWW
• Moduł kontroli WWW musi korzystać z bazy zawierającej co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne.
• W ramach filtra www powinny być dostępne kategorie istotne z punktu widzenia bezpieczeństwa, jak: malware (lub inne będące źródłem złośliwego oprogramowania), phishing, spam, Dynamic DNS, proxy.
• Filtr WWW musi dostarczać kategorii stron zabronionych prawem: Xxxxxx.
• Administrator musi mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków – białe/czarne listy dla adresów URL.
• Funkcja Safe Search – przeciwdziałająca pojawieniu się niechcianych treści w wynikach wyszukiwarek takich jak: Google, oraz Yahoo.
• Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł filtrowania.
• W ramach systemu musi istnieć możliwość określenia, dla których kategorii url lub
wskazanych ulr - system nie będzie dokonywał inspekcji szyfrowanej komunikacji.
Uwierzytelnianie użytkowników w ramach sesji
• System Firewall musi umożliwiać weryfikację tożsamości użytkowników za pomocą:
a) Haseł statycznych i definicji użytkowników przechowywanych w lokalnej
bazie systemu.
b) Haseł statycznych i definicji użytkowników przechowywanych w bazach
zgodnych z LDAP.
c) Haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne
bazy danych.
• Musi istnieć możliwość zastosowania w tym procesie uwierzytelniania dwu- składnikowego.
• Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On przy integracji ze środowiskiem Active Directory oraz zastosowanie innych mechanizmów: RADIUS lub API.
Zarządzanie
• Elementy systemu bezpieczeństwa muszą mieć możliwość zarządzania lokalnego z wykorzystaniem protokołów: HTTPS oraz SSH, jak i powinny mieć możliwość współpracy z dedykowanymi platformami centralnego zarządzania i monitorowania.
• Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.
• Powinna istnieć możliwość włączenia mechanizmów uwierzytelniania dwu- składnikowego dla dostępu administracyjnego.
• System musi współpracować z rozwiązaniami monitorowania poprzez protokoły SNMP w wersjach 2c, 3 oraz umożliwiać przekazywanie statystyk ruchu za pomocą protokołów netflow lub sflow.
• System musi mieć możliwość zarządzania przez systemy firm trzecich poprzez API, do którego producent udostępnia dokumentację.
• Element systemu pełniący funkcję Firewal musi posiadać wbudowane narzędzia diagnostyczne, przynajmniej: ping, traceroute, podglądu pakietów, monitorowanie procesowania sesji oraz stanu sesji firewall.
• Element systemu realizujący funkcję firewall musi umożliwiać wykonanie szeregu zmian przez administratora w CLI lub GUI, które nie zostaną zaimplementowane zanim nie zostaną zatwierdzone.
Logowanie
• Elementy systemu bezpieczeństwa muszą realizować logowanie do dostarczonej aplikacji (logowania i raportowania) tego samego producenta co system firewall.
Licencje/Subskrypcje
W ramach postępowania powinny zostać dostarczone licencje upoważniające do korzystania z aktualnych baz funkcji ochronnych producenta i serwisów. Muszą one obejmować:
• Kontrola Aplikacji, IPS, Antywirus (z uwzględnieniem sygnatur do ochrony urządzeń mobilnych - co najmniej dla systemu operacyjnego Android), Analiza typu Sandbox, Antyspam, Web Filtering, bazy reputacyjne adresów IP/domen.
Punkty dostępowe sieci bezprzewodowej (38 kpl)
Urządzenie musi być tzw. cienkim punktem dostępowym zarządzanym z poziomu kontrolera sieci bezprzewodowej.
Urządzenie musi poprawnie pracować z firewallem opisanym w pkt 10, który będzie pełnił role
kontrolera sieci bezprzewodowej
• Obudowa urządzenia musi umożliwiać montaż na suficie lub ścianie wewnątrz budynku i zapewniać prawidłową pracę urządzenia w następujących warunkach klimatycznych:
a) Temperatura 0–50°C,
b) Wilgotność 5–90%.
• Urządzenie musi być dostarczone z elementami mocującymi. Obudowa musi być fabrycznie przystosowana do zastosowania linki zabezpieczającej przed kradzieżą i być wyposażone w złącze typu Kensington.
• Urządzenie musi być wyposażone w trzy niezależne moduły radiowe pracujące w
podanych poniżej pasmach i obsługiwać następujące standardy:
a) 2.4 GHz 802.11b/g/n,
b) 5 GHz 802.11a/n/ac/ax,
c) Skaner 2.4GHz i 5GHz
• Urządzenie musi pozwalać na jednoczesne rozgłaszanie co najmniej 16 SSID.
• Urządzenie musi być wyposażone w dwa interfejsy Ethernet 10/100/1000 Base-TX,
• Urządzenie powinno być zasilane poprzez interfejs ETH w standardzie 802.3at lub zewnętrzny zasilacz.
• Punkt dostępowy musi umożliwiać następujące tryby przesyłania danych:
a) Tunnel,
b) Bridge,
c) Mesh.
• Wsparcie dla QoS: 802.11e, konfigurowalne polityki QoS per użytkownik/aplikacja.
• Wsparcie dla poniższych metod uwierzytelnienia: WPA-PSK, WPA-TKIP, WPA2-AES, Web Captive Portal, MAC blacklist & whitelist, 802.11i, 802.1X (EAP-TLS, EAP- TTLS/MSCHAPv2, PEAP, EAP-FAST, EAP-SIM, EAP-AKA).
• Interfejs radiowy urządzenia powinien wspierać następujące funkcje:
a) MIMO – 2x2,
b) Maksymalna przepustowość dla poszczególnych modułów radiowych:
i. Min 570 Mbps;
ii. Min 1200 Mbps;
c) Wsparcie dla 802.11n 20/40Mhz HT,
d) Wsparcie dla kanałów 80MHz,
• Anteny – wbudowane dla nadajników standardu 802.11 o zysku min. 4dBi dla
pasma 2.4GHz, 5dBi dla pasma 5GHz.
• Nieużywany moduł radiowy może zostać wyłączony programowo w celu obniżenia
poboru mocy,
• Maksymalna deklarowana liczba klientów(min): 512
• Funkcje dodatkowe:
a) OFDMA
b) Spatial Reuse (BSS Coloring)
c) UL-MU-MIMO 802.11ax
d) DL-MU-MIMO
e) Enhanced Target Wake Time (TWT)
System logowania dla firewall (1 kpl)
Wymagania Ogólne
W ramach postępowania wymaganym jest dostarczenie centralnego systemu logowania, raportowania i korelacji, pochodzącego od tego samego Producenta co platforma Firewall opisana w pkt 10, umożliwiającego centralizację procesu logowania zdarzeń sieciowych, systemowych oraz bezpieczeństwa w ramach całej infrastruktury zabezpieczeń.
Rozwiązanie musi zostać dostarczone w postaci komercyjnej platformy działającej w środowisku wirtualnym lub w postaci komercyjnej platformy działającej na bazie linux w środowisku wirtualnym, z możliwością uruchomienia na co najmniej następujących hypervisorach: VMware ESX/ESXi werje: 6.0, 6.5, 6.7; Microsoft Hyper-V wersje: 2012 R2, 2016; Citrix XenServer, KVM, Amazon Web Services (AWS), Microsoft Azure, Google Cloud (GCP).
Parametry wydajnościowe:
• System musi być w stanie przyjmować minimum 5 GB logów na dzień i obsługiwać przestrzeń danych o pojemności przynajmniej 2,5 TB
W ramach centralnego systemu logowania, raportowania i korelacji muszą być realizowane co najmniej poniższe funkcje:
Logowanie
• Podgląd logowanych zdarzeń w czasie rzeczywistym.
• Możliwość przeglądania logów historycznych z funkcją filtrowania.
• System musi oferować predefiniowane (lub mieć możliwość ich konfiguracji) podręczne raporty graficzne lub tekstowe obrazujące stan pracy urządzenia oraz ogólne informacje dotyczące statystyk ruchu sieciowego i zdarzeń bezpieczeństwa. Muszą one obejmować co najmniej:
a) Listę najczęściej wykrywanych ataków.
b) Listę najbardziej aktywnych użytkowników.
c) Listę najczęściej wykorzystywanych aplikacji.
d) Listę najczęściej odwiedzanych stron www.
e) Listę krajów , do których nawiązywane są połączenia.
f) Listę najczęściej wykorzystywanych polityk Firewall.
g) Informacje o realizowanych połączeniach IPSec.
• Rozwiązanie musi posiadać możliwość przesyłania kopii logów do innych systemów logowania i przetwarzania danych. Musi w tym zakresie zapewniać mechanizmy filtrowania dla wysyłanych logów.
• Komunikacja systemów bezpieczeństwa (z których przesyłane są logi) z oferowanym systemem centralnego logowania musi być możliwa co najmniej z wykorzystaniem UDP/514 oraz TCP/514.
• System musi realizować cykliczny eksport logów do zewnętrznego systemu w celu ich długo czasowego składowania. Eksport logów musi być możliwy za pomocą protokołu SFTP lub na zewnętrzny zasób sieciowy.
Raportowanie
W zakresie raportowania system musi zapewniać:
• Generowanie raportów co najmniej w formatach: PDF, CSV.
• Predefiniowane zestawy raportów, dla których administrator systemu może modyfikować parametry prezentowania wyników.
• Funkcję definiowania własnych raportów.
• Możliwość „spolszczenia” raportów.
• Generowanie raportów w sposób cykliczny lub na żądanie, z możliwością automatycznego przesłania wyników na określony adres lub adresy email.
Korelacja logów
W zakresie korelacji zdarzeń system musi zapewniać:
• Korelowanie logów z określeniem urządzeń, dla których ten proces ma być
realizowany.
• Konfigurację powiadomień poprzez: e-mail, SNMP w przypadku wystąpienia określonych zdarzeń sieciowych, systemowych oraz bezpieczeństwa.
• Wybór kategorii zdarzeń, dla których tworzone będą reguły korelacyjne. System musi korelować zdarzenia co najmniej dla następujących kategorii zdarzeń:
Zarządzanie
a) Malware.
b) Aplikacje sieciowe.
c) Email.
d) IPS.
e) Traffic.
f) Systemowe: utracone połączenie vpn, utracone połączenie sieciowe.
• System logowania i raportowania musi mieć możliwość zarządzania lokalnego z wykorzystaniem protokołów: HTTPS oraz SSH lub producent rozwiązania musi dostarczać dedykowanej konsoli zarządzania, która komunikuje się z rozwiązaniem przy wykorzystaniu szyfrowanych protokołów.
• a. Proces uwierzytelniania administratorów musi być realizowany w oparciu o: lokalną bazę, Radius, LDAP, PKI.
• System musi umożliwiać zdefiniowanie co najmniej 3 administratorów z możliwością określenia praw dostępu do logowanych informacji i raportów z perspektywy poszczególnych systemów, z których przesyłane są logi.
Licencja/Subskrypcja
1. Zamawiający dopuszcza aby rozwiązanie zostało dostarczone w modelu subskrypcyjnej
licencji.
System do kontroli, monitoringu i zarządzania dostępem uprzywilejowanym (1 kpl)
• Rozwiązanie działające jako PROXY, bez potrzeby instalacji przez administratora agentów na systemach chronionych rozwiązaniem PAM.
• Rejestracja i podgląd sesji uprzywilejowanych użytkowników (polecenia i zrealizowane działania) umożliwiając funkcje bezpieczeństwa niezaprzeczalności wykonanych działań i zabezpieczenie materiału dla celów sądowych.
• Rozwiązanie powinno wspierać platformy chmurowe Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, platformy wirtualne Kernel-based Virtual Machine (KVM), Microsoft Hyper-V, OpenStack, VMware vSphere oraz platformę sprzętową.
• Rozwiązanie powinno być dostarczone jako jednolity System (maszyna wirtualna lub gotowy appliance sprzętowy. Bez potrzeby instalacji na wskazanym systemie operacyjnym. Cały System powinien być wspierany przez dostawcę, to jest zarówno warstwa systemu operacyjnego, jak i aplikacji.
• Rozwiązanie powinno wspierać natywnie połączenia dla protokołów SSH i RDP do PROXY, oraz SSH/TELNET/RLOGIN/RDP/VNC od PROXY do systemów chronionych.
• Dla niestandardowych protokołów (nie wspieranych natywnie przez rozwiązanie dostawcy) powinna istnieć możliwość wywołania klienta, wspierającego taki protokół, na stacji przesiadkowej, w taki sposób, aby jedynie klient i przypisane mu zasoby były widoczne dla użytkownika.
• Dla niestandardowych protokołów i wywołania ich klienta, rozwiązanie powinno wspierać technologie dla Microsoft RemoteApp.
• Możliwość przydzielania uprawnień administracyjnych, dostępowych dla użytkowników na podstawie profili ustawień.
• W przypadku dostępu audytora profil użytkownika powinien co najmniej oferować możliwość ograniczenia dostępu do nagrań wybranych grup użytkowników i grup systemów docelowych wraz z konfigurowanymi dla nich kontami uprzywilejowanymi.
• Konfiguracja profilu użytkownika powinna zawierać możliwość filtrowania połączeń przychodzących w oparciu o adres źródłowy IP. Tworząc tym samym listy kontroli dostępu (ACL) dla użytkowników z przypisanym profilem użytkownika. Definicja ograniczenia powinna dopuszczać format: adres IP, adres sieci i maska sieci lub FQDN.
• Rozwiązanie powinno pozwalać na określenie polityki dostępu przez przypisanie wybranej grupy użytkowników do wskazanej grupy systemów docelowych.
• Podgląd zarejestrowanych danych musi uwzględniać zapis video sesji oraz transkrypcje nagrania przedstawiającą wszystkie metadane dotyczące sesji (RDP) oraz pełny zapis wyświetlanych danych dla konsoli (SSH).
• Monitorowanie połączeń w czasie rzeczywistym, w tym możliwość podglądu sesji w
czasie rzeczywistym z możliwością jej natychmiastowego zakończenia.
• Zarządzanie zbiorami reguł (polityką) haseł lokalnych użytkowników i administratorów.
• Możliwość włączenia/wyłączenia rejestrowania sesji dla wybranych grup
użytkowników.
• Możliwość ustawienia dostępu przez portal internetowy, przeglądarkę, co najmniej dla sesji SSH i RDP, bez potrzeby instalacji dedykowanej wtyczki w przeglądarce.
• Rozwiązanie umożliwia integracje z Microsoft Active Directory bez potrzeby synchronizacji informacji o użytkownikach. To znaczy, że użytkownik Active Directory dodany do grupy użytkowników automatycznie, w tej samej chwili jest rozpoznany przez rozwiązanie do zarządzania dostępem.
• Możliwość definiowania systemów docelowych przez określenie adresu IP, nazwy DNS lub możliwość określania przez adres IP sieci i maski.
• Dla sesji RDP „meta-dane” powinny zawierać informację na temat:
a) zmiany aktywnego okna,
b) operacji wyboru danego przycisku w oknie systemu Windows,
c) operacji wyboru przycisków typu „radio button” lub zaznaczenie
opcji typu „check box” w oknie,
d) zmiany treści w polu tekstowym w oknie systemu Windows,
e) rozpoczęcia i zakończenia procesu,
f) wymiany plików przez schowek systemu Windows,
g) wymiany plików przez przekierowane zasoby sieciowe systemu
Windows.
• Dla sesji RDP możliwość blokowania połączeń TCP wychodzących na stacji
docelowej, serwera Microsoft Windows.
• Dla sesji RDP możliwość blokowania wybranych procesów na stacji docelowej,
serwer Microsoft Windows.
• Dla sesji SSH i RDP możliwość tworzenia wzorców regex dla wykonywanych
poleceń, a w przypadku wykrycia takiego wzorca możliwość ustawienia jednej z akcji: zakończenie sesji lub powiadomienie o wykryciu wzorca.
• Określanie wzorców wykonywanych poleceń dla SSH i RDP powinno odbywać się na poziomie tworzenia grup użytkowników, dla których kreowany jest dostęp lub na poziomie grupy systemów docelowych, do których dostęp jest chroniony i monitorowany przez rozwiązanie PAM.
• Wsparcie funkcjonalności współdzielenia co najmniej sesji RDP nawiązanej przez użytkownika Systemu z Audytorem, rozumianej jako pełna interakcja - wprowadzanie znaków z klawiatury oraz ruchów myszką.
• Rozwiązanie powinno umożliwiać uwierzytelnienie użytkownika Systemu certyfikatem oraz użycie tego samego certyfikatu przy logowaniu do docelowego systemu.
• Możliwość integracji Systemu z rozwiązaniami AV/DLP przez zastosowanie protokołu ICAP.
• Ochrona haseł wprowadzanych do sesji poprzez wykrycie kursora wejściowego w polach wprowadzania hasła lub w oknie kontrola konta użytkownika UAC (User Account Control).
• Uwierzytelnienie użytkownika przez login/hasło, certyfikat X.509, klucz w SSH.
• Wsparcie dla protokołów, uwierzytelniania: KERBEROS, RADIUS, Microsoft Active Directory, LDAP, TACACS+.
• Możliwość ustawienia dodatkowego zatwierdzenia dostępu dla połączeń do wybranej grupy serwerów przez wskazaną liczbę użytkowników do tego wskazanych.
• Możliwość ustawienia dodatkowego zatwierdzania dostępu w zależności od czasu logowania, np. nie wymagać zatwierdzania dostępu od Poniedziałku do Piątku, w godzinach 8:00-16:00, a we wszystkich pozostałych dniach i godzinach jej wymagać.
• System musi zapewnić dwuskładnikowe uwierzytelnianie dla co najmniej 50 użytkowników.
• System w procesie uwierzytelniania dwuskładnikowego musi obsługiwać aplikację, która będzie zainstalowana na urzadzeniu typu: komputer lub smartphone.
• Aplikacja do uwierzytelniania dwuskładnikowego musi umożliwiać generowanie haseł jednorazowego użycia.
• System powienien zapewnić nielimitowaną obsługę jednoczesnych połączeń
pomiędzy Systemem a chronionymi systemami.
• System musi mieć możliwość ochrony nie mniej niż 25 systemów np. serwerów typu Linux, Windows, aktywnych urządzeń sieciowych, jak przełączniki, rutery oraz aplikacje np. konsole do zarządzania.
System analizy ruchu sieciowego oraz analizy behawioralnej (1 kpl)
• System analizy ruchu sieciowego gromadzący, przechowujący i analizujący pakiety sflow, jflow, Netstream, NetFlow oraz IPFIX (wirtualna maszyna na platformę VMware lub gotowe rozwiązanie sprzętowe (appliance)).
• System do zbierania i przechowywania statystyk flow musi umożliwiać zbieranie danych z urządzeń (‘netflow sources’) z wydajnością na dzień rozpoczęcia wdrożenia 70 tys. flows/ sek
• System do zbierania i przechowywania statystyk Flow musi posiadać wsparcie dla następujących protokołów i elementów:
a) NetFlow (wersje 5, oraz 9);
b) IPFIX;
c) sFlow;
d) jFlow;
e) Netstream
f) Elementy IPFIX innych producentów, minimum VmWare NSX, Cisco:
AVC, http, Gigamon: http, dns, ssl
g) Elementy Netflow V9: Cisco NSEL, NEL
• Maszyna wirtualna będąca kolektorem IPFIX musi posiadać 2 interfejsy do zarządzania 10/100/1000 MbE, na których będzie odbierany Netflow z urządzeń zewnętrznych
• Kolektor musi mieć natywną możliwość zbierania kopii ruchu przynajmniej z 2
standardowych switchy wirtualnych
• Kolektor IPFIX musi zapewniać możliwość zebrania min 2TB danych
• System musi udostępniać funkcję aktywnego tworzenia próbek ruchu z analizowanej kopii ruchu sieciowego. Musi istnieć możliwość aktywnego tworzenia próbek ruchu w formatach co najmniej Netflow wersji 5 i 9, IPFIX. System musi posiadać funkcję wysyłania aktywnie tworzonych próbek ruchu do systemu kolektora statystyk Netflow tego samego producenta oraz do innych systemów zbierających takie statystyki.
• System musi posiadać funkcję selektywnego nagrywania ruchu na portach
odbierających kopię ruchu i przedstawienia wyniku jako plik wyjściowy PCAP
• Funkcja nagrywania pakietów musi dawać administratorowi możliwość zdefiniowania alertów po których nagrywanie uruchomi się automatycznie
• Funkcja nagrywania pakietów musi mieć jeden centralny interfejs do konfigurowania, uruchamiania, zarządzania i pobierania nagranych plików pcap. Nie jest dopuszczalna konieczność łączenia się na poszczególne elementy osobno aby wykonać i pobrać nagranie.
• Nagrywanie pakietów musi być w stanie przechwytywać cały ruch sieciowy począwszy od Warstwy 2 skończywszy na warstwie 7
• Funkcja nagrywania pakietów musi mieć możliwość zdefiniowania nagrywania z rozróżnieniem po etykietach MPLS, adresach MAC, tagach VLAN, adresie IP, porcie TCP/UDP
• System musi posiadać wbudowaną analizę nagranych pakietów oraz plików pcap razem z prezentację wykrytych nieprawidłowości i wbudowaną wiedzą ekspercką odnośnie ich naprawy
• System analizy pakietów musi znajdować problemy związane minimum z: DHCP, DNS, FTP, IMAP, IMF, POP, SIP, SLAAC, SMB, SMTP, IP, TCP, SSL, HTTP
• System musi wykrywać nowe hosty pojawiające się w sieci teleinformatycznej.
• System musi zbierać i przechowywać informacje o MAC adresach komputerów oraz
o przypisanych do nich adresów IPv4 i IPv6.
• System musi utrzymywać centralne repozytorium informacji o analizowanym ruchu sieciowym otrzymywanych z innych urządzeń sieciowych lub własnych komponentów.
• System musi udostępniać graficzny interfejs użytkownika do przetwarzania zebranych danych, w tym wyliczania statystyk i generowania raportów. Statystyki i raporty muszą być dostępne na bieżąco w czasie rzeczywistym.
• System kolekcjonowania danych musi przechowywać informacje o czasie rozpoczęcia i zakończenia strumienia analizowanych danych z dokładnością do 1 milisekundy.
• System musi posiadać funkcje tworzenia profili i widoków analizowanych danych, aktualizowanych na bieżąco, na podstawie kryteriów zdefiniowanych przez administratora.
• System musi generować raporty pokazujące dane w formie graficznej (wykresy) jak i tabelarycznej, w oparciu o kryteria wprowadzane przez użytkowników w formie filtrów. Raporty muszą obejmować również informacje o wszystkich konwersacjach pomiędzy monitorowanymi hostami.
• System musi mieć możliwość wyświetlenia wszystkich hostname oraz url w
zadanym przedziale czasu dla danego użytkownika, grupy użytkowników, sieci.
• System musi pozwalać na wyświetlenie listy połączeń SIP, dając informacje o stronach biorących udział w połączeniu, pomiar wydajności oraz identyfikację ruchu powiązanego z danym połączeniem
• System musi zbierać z kopii ruchu i udostępniać za pomocą protokołu IPFIX przynajmniej następujące informacje o sieci:
a) adresy i sieci IP (źródłowe i docelowe),
b) aplikacje (protokoły, porty źródłowe, docelowe oraz NBAR2),
c) kraje rozpoznawane na podstawie sieci IP (dla adresów źródłowych i docelowych)
d) ruch z określonymi flagami TCP,
e) protokoły IPv4 oraz IPv6,
f) system operacyjny i przeglądarkę hosta korzystającego z http,
g) hostname’y, URLe, method, result code
h) DHCP minimum: oferowany adres IP, typ wiadomości , długość dzierżawy, nazwa serwera, nazwa hosta, wymagany/wybrany adres IP
i) DNS minimum: flagi DNS, odpytywana nazwa, odpowiedź serwera
na dane zapytanie, kod odpowiedzi
j) SAMBA: minimum dla SMB2: nazwa I typ pliku , ścieżka do pliku,
typ operacji,
k) VoIP: call ID, SIP called party, SIP calling party, SIP VIA, SIP ringing time, SIP RTP IP, SIP RTP audio i video, packet type, RTP jitter, RTP codec type,
l) Metryki RTT i SRT (min, max, średnie), opóźnienie, jitter,
retransmisje
m) SMTP: nadawca email, błędy uwierzytelnienia
n) MSSQL: sql query, error code, response type
o) ARP
p) TLS: wersja SSL, TLS, algorytm szyfrowania, długość klucza, data wystawienia i koniec ważności certyfikatu, urząd certyfikacji, nazwa usługi na jaką jest wystawiony certyfikat, JA3
• System musi posiadać możliwość filtrowania wyników według różnych kryteriów dostępnych w zbieranych danych oraz raportowania obciążenia sieci dla elementów minimum
a) użytkowników (UID, adresy źródłowe, docelowe),
b) aplikacje (protokoły, porty źródłowe, docelowe),
c) klasy ruchu QoS (ToS/DSCP),
d) systemy autonomiczne (AS),
e) protokoły,
f) podsieci,
g) ruch z określonymi flagami TCP,
h) IPv4 oraz IPv6
• System musi generować raporty zgodnie z kryteriami ustalanymi przez administratorów oraz na podstawie predefiniowanych wzorców. Raporty muszą być tworzone w różnych formatach – minimum PDF i CSV. Użytkownik musi posiadać wpływ na układ raportu poprzez dobór ilości i rodzaju informacji, z których raport będzie się składał.
• System musi posiadać funkcję automatycznego rozwiązywania adresów IP do nazw
domenowych.
• System musi posiadać funkcję nadawania nazw własnych następującym
zaobserwowanym obiektom:
a) Interfejsom,
b) aplikacjom (adresom IP i portom),
c) systemom autonomicznym BGP (AS).
• System musi udostępniać zbiorcze dane statystyczne zawierające sumaryczną liczbę otrzymanych eksportów próbek ruchu określonego typu zebranych przez każdy interfejs monitorujący, wraz z informacjami na temat średniej oraz szczytowej liczby otrzymywanych eksportów od każdego z urządzeń.
• System musi pozwalać na definiowanie alarmów, które będą powiadamiać administratora o ruchu sieciowym (globalnym oraz z wybranych sieci, protokołów i aplikacji) przekraczającym zdefiniowane wartości progowe wyrażone w jednostkach ilości danych (pakietach oraz bajtach), a także w jednostkach prędkości transmisji (bitach/sekundę, pakietach/sekundę).
• Alarmy muszą być wysyłane przy wykorzystaniu co najmniej następujących metod:
syslog, e-mail, SNMP trap
• System musi dawać możliwość zdefiniowania własnej reguły określającej anomalie
ruchu sieciowego
• System musi posiadać funkcję Network Behavior Anomaly Detection (NBAD) tego
samego producenta
• System wykrywania anomalii musi mieć możliwość zasilania poprzez syslog lub
SNMP systemów typu SIEM
• System NBA musi mieć możliwość automatycznego nagrania pakietów związanych z wykrytym zdarzeniem i udostępniać je w postaci pcap xxxxx ze szczegółami dotyczącymi zdarzenia.
• System NBA musi mieć możliwość analizy statystyk do 1 kfps
• System musi posiadać możliwość wykrywania ataków Denial of Service i innych ataków sieciowych, takich jak ataki słownikowe na SSH, RDP, telnet oraz skanowanie portów
• System NBA musi wykrywać anomalie związane z ruchem DNS, DHCP, SMTP,
multicast i nietypową komunikacją
• System musi posiadać predefiniowane priorytety zdarzeń z opcją konfiguracji własnych priorytetów zdarzeń bazujących na zakresach adresów IP, lokalizacji, typie zdarzenia
• System musi mapować wykryte zdarzenia do modelu MITRE ATT&CK
• System musi działać w architekturze zcentralizowanej – kluczowe funkcje, czyli zbieranie danych, analiza zdarzeń, raportowanie oraz wykrywanie anomalii muszą być wykonywane na tym samym urządzeniu
• System musi posiadać możliwość wykrywania anomalii w działaniu sieci teleinformatycznej za pomocą analizy statystycznej i behawioralnej. W tym celu system musi na bieżąco budować profile normalnego stanu i zachowania sieci oraz identyfikować odchylenia od stanu normalnego – poprzez zaobserwowanie zwiększenia lub zmniejszenie natężenia ruchu sieciowego oraz przekraczanie zdefiniowanych wartości progowych
• System detekcji anomalii musi mieć zaimplementowane mechanizmy maszynowego uczenia się
• System do analizy anomalii musi wykonywać deduplikację analizowanych przepływów
• System NBA musi mieć możliwość próbkowania przepływów przyjmowanych do
analizy
• System NBA musi wyświetlać informacje o użytkownikach jako element uzupełniający wykryte zdarzenia
• System NBA musi posiadać predefiniowane reguły i algorytmy używane do
wykrywania nieprawidłowości w ruchu sieciowym
• System NBA musi dawać administratorowi możliwość dostosowania predefiniowanych reguł pod specyfikę własnej sieci jako zmiana parametrów wykorzystywanych przez reguły i algorytmy
• System musi dać możliwość konfiguracji przez interfejs webowy false positives jako prostą regułę wykluczenia
• System musi posiadać listę reputacyjną hostów dostarczaną przez producenta sytemu, aktualizowaną przynajmniej raz na 6h
• System musi udostępniać REST API dające możliwość minimum:
a) utworzenia, modyfikowania, kasowania i pobrania nowego wykresu/widoku,
b) utworzenia i skasowania użytkownika oraz modyfikowania uprawnień dla użytkowników
c) pobranie pojedynczych flowów zdefiniowanych filtrem
d) pobranie statystyk dotyczących danego rodzaju ruchu sieciowego
e) pobranie listy zdefiniowanych raportów
f) tworzenie, modyfikowanie, usunięcie raportu
• System musi być dostarczony jako rozwiązanie gotowe do użytku, pochodzące od tego samego producenta. Nie jest dopuszczalna sytuacja, w której funkcje wymagane dla systemu realizowane są przez zestaw programów pochodzących od różnych producentów, działających na tej samej platformie sprzętowej ogólnego przeznaczenia lub jak GNU open source.
• System musi być kompletny tzn. zawierać wszystkie licencje i zezwolenia, niezbędne do poprawnego funkcjonowania zgodnie z niniejszą specyfikacją, bez konieczności wnoszenia dodatkowych opłat.
• Pełne zarządzanie systemem, analiza danych oraz raportowanie musi odbywać się poprzez graficzny interfejs użytkownika dostępny za pomocą standardowych przeglądarek WWW. Nie jest dopuszczalne zarządzanie przy pomocy dodatkowych aplikacji klienckich.
• System musi pozwalać na definiowanie kont administratorów o zróżnicowanym poziomie uprawnień w zakresie co najmniej: pełnej kontroli nad systemem, kontroli na poszczególnymi modułami funkcjonalnymi systemu, kont uprawnionych tylko do odczytu. Ponadto musi istnieć funkcja ograniczania uprawnień kont użytkowników do poszczególnych źródeł informacji tj. konkretnych aplikacji, podsieci, grupy urządzeń (danych definiowanych na podstawie kryteriów z warstwy 3 i 4 modelu OSI). Tożsamość administratorów musi być weryfikowana w lokalnej bazie danych użytkowników, a także przy pomocy zewnętrznych serwerów uwierzytelniania – co najmniej LDAP, TACACS+.
• System musi posiadać możliwość nadawania uprawnień administracyjnych na konkretne źródło pochodzenia danych flow.
• Musi być dostępna funkcja zapisywania i odtwarzania pełnej konfiguracji systemu
oraz jedynie wybranych jego komponentów.
• System musi posiadać narzędzia do:
a) informowania o statusie systemu, zajętości pamięci, dostępności
przestrzeni dyskowej,
b) konfiguracji interfejsów sieciowych,
c) zapisywania pełnego dziennika zdarzeń (logów) związanych z działaniem systemu i uruchomionym na nim usług.
• System musi pozwalać na backup wybranych baz danych na zewnętrzny storage
• System musi mieć możliwość parsowania informacji zawartych w syslogu pochodzących od systemów uwierzytelniania użytkowników w celu powiązania w czasie adresu IP z nazwą użytkownika.
• Wykonywanie statystyk i generowanie graficznych/ tabelarycznych wyników, powinno odbywać się w czasie rzeczywistym (na bieżąco wobec spływających danych NetFlow).
• System musi posiadać możliwość automatycznego odczytywania nazw urządzeń, listy interfejsów wraz z nazwami, opisami i prędkościami poprzez protokół SNMP w wersjach 1,2c,3.
• System musi udostępniać informacje zbiorcze oraz dla każdego urządzenia niezależnie, zawierającą sumaryczną liczbę otrzymanych eksportów określonego typu wysłanych przez każde z urządzeń, wraz z informacjami na temat średniej oraz szczytowej liczby otrzymywanych eksportów od każdego z urządzeń.
• System musi posiadać funkcję raportowania dzienników zdarzeń (log) serwera i usług.
• System musi posiadać funkcję konfiguracji portów nasłuchujących na dany typ eksportów.
System powinien zostać dostarczony jako maszyna wirtualna na paltrormę Vmware lub fizyczne urządzenie (appliance). Licencja pozwalająca na dostęp do oprogramowania powinna być licencją niewygasającą. Elementy dostarczane jak aktualizacje np.: sygnatur itp. mogą być dostarczone jako subskrypcje.
Gwarancja i serwis
Zamawiający wymaga aby wszystkie urządzenia zostały objęte serwisem/gwarancją na okres 5 lat.
Zamawiający wymaga aby wszystkie licencje oraz funkcje oferowane w modelu subskrypcyjnym były dostarczone na okres 5 lat.
Warunki serwisu/gwarancji (minimalne):
• dostarczenie urządzenia/części zamiennego na następny dzień roboczy od zgłoszenia
• zgłoszenia muszą być przyjmowane w dni robocze w godzinach 9:00 – 16:00 (dopuszcza się aby zgłoszenia przesłane po godz. 15-tej były traktowane jak przesłane dnia następnego)
• przez cały okres serwisu/gwarancji prawo do najnowszych wersji oprogramowania systemowego
• przez cały okres serwisu/gwarancji prawo do zgłaszania spraw serwisowych (service case) o błędnym działaniu urządzeń/oprogramowania
• Zamawiający wymaga gwarancji/serwisu w oparciu o bezpośrednie usługi Producenta (Zamawiający musi mieć możliwość bezpośredniego kontaktu z Producentem (w tym zgłaszania tzw. service case) z pominięciem Wykonawcy). Powyższe nie zwalnia Wykonawcy z odpowiedzialności (gwarancji/rękojmi) na zasadach opisanych w umowie.
• Zamawiający zastrzega sobie prawo do weryfikacji wykupienia odpowiednich usług po stronie Producentów sprzętu i oprogramowania.
Instruktaż stanowiskowy
Oferent przeprowadzi warsztaty wdrożeniowe (dokładny zakres zostanie ustalony na etapie wdrożenia):
• min 2 dni (16h) z Oprogramowania do zarządzania
• min 2 dni (16h) z Oprogramowania do budowy systemu uwierzytelniania
użytkowników
• min 2 dni (16h) z podsystemu Firewall
• min 2 dni (16h) z Systemu do kontroli, monitoringu i zarządzania dostępem
uprzywilejowanym
• min 2 dni (16h) z Systemu logowania dla firewall
• min 2 dni (16h) z Systemu analizy ruchu sieciowego oraz analizy behawioralnej
Wdrożenie
Oferent wykona wdrożenie rozwiązania w zakresie:
• przygotuje pełny projekt wdrożenia uwzględniający całość dostarczanego sprzętu i oprogramowania
• dokona instalacji fizycznej urządzeń fizycznych w miejscach wskazanych przez Zamawiającego z uwzględnieniem podłączenia zasilania oraz okablowania sygnałowego
• dokona instalacji oprogramowania na maszynach serwerowych należących do
Zamawiającego
• dokona konfiguracji urządzeń sieciowych zapewniających komunikację zgodnie z
projektem
• doda urządzenia do oprogramowania zarządzającego
• skonfiguruje mechanizm przekazywania informacji typu Flow do systemu analizy ruchu sieciowego oraz analizy behawioralnej (nie więcej niż 5 źródeł)
• skonfiguruje mechanizm przekazywania kopii ruchu (SPAN/RSPAN) do systemu analizy ruchu sieciowego oraz analizy behawioralnej (nie więcej niż 2 źródła)
• wykona podstawową konfigurację systemu analizy ruchu sieciowego oraz analizy behawioralnej pozwalającą na poprawne przyjmowanie ruchu przez rozwiązanie wraz z gotowością do przystąpienia do dostrajania narzędzi analitycznych
• skonfiguruje w pełni mechanizm uwierzytelniania użytkowników /urządzeń dla przykładowych:
- 100 użytkowników z funkcjonalnością podstawową
- 10 urządzeń podlegających profilowaniu
- 10 użytkowników podlegających sprawdzaniu stanu stacji (posture)
• skonfiguruje system do kontroli, monitoringu i zarządzania dostępem uprzywilejowanym przynajmniej dla 10 przykładowych urządzeń/podsystemów podlegających kontroli
• skonfiguruje podsystem dostępu gościnnego
• skonfiguruje sieć bezprzewodową
• skonfiguruje mechanizm przesyłania logów do podsystemu logowania dla firewalla
• przygotuje dokumentację powykonawczą
• przeprowadzi testy działania