OPIS PRZEDMIOTU UMOWY
Załącznik nr 2
do umowy nr …………..………….
z dnia ……………………..…………..
OPIS PRZEDMIOTU UMOWY
I. Przedmiot zamówienia
Przedmiotem umowy jest dostawa i wdrożenie systemu zabezpieczeń typu Next- Generation Firewall wraz z usługami towarzyszącymi, obejmujące w szczególności:
1. Dostawę, instalację, konfigurację i integrację dwóch identycznych urządzeń typu Next-Generation Firewall w konfiguracji wysokiej dostępności ze środowiskiem informatycznym Zamawiającego.
2. Opracowanie i dostarczenie dokumentacji powykonawczej, szczegółowo opisującej elementy wdrożenia i konfiguracji.
3. Świadczenie usług wsparcia technicznego w zakresie wdrożenia.
4. Przeprowadzenie szkoleń w zakresie wdrażanego rozwiązania.
II. Kod Wspólnego Słownika Zamówień CPV
Przedmiot zamówienia sklasyfikowany jest w następujących kodach i nazwach Wspólnego Słownika Zamówień:
32420000-3 – Urządzenia sieciowe, 32260000-3 – Urządzenia do przesyłu danych,
72224100-2 – Usługi w zakresie planowania wdrażania systemu.
III. Ogólne wymagania dotyczące realizacji przedmiotu zamówienia
1. Całość dostarczanego sprzętu wraz z zainstalowanym oprogramowaniem, licencje oraz kontrakty serwisowe muszą pochodzić z autoryzowanego kanału sprzedaży.
2. Dostarczony sprzęt musi być fabrycznie nowy (w szczególności: nieużywany, nieregenerowany, nienaprawiany, nierefabrykowany i wyprodukowane nie dawniej, niż na 6 miesięcy przed ich dostarczeniem) i pochodzić z bieżącej produkcji. Zamawiający dopuszcza, by urządzenia były rozpakowane i uruchomione przed ich dostarczeniem wyłącznie przez Wykonawcę w celu weryfikacji działania urządzenia, przy czym jest zobowiązany do poinformowania Zamawiającego o zamiarze rozpakowania sprzętu, a Zamawiający ma prawo inspekcji sprzętu przed jego rozpakowaniem.
3. Dostarczony sprzęt musi współpracować z siecią energetyczną o parametrach: 230 V, 50 Hz.
4. Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego z dostarczonych produktów nie będzie stanowić naruszenia majątkowych praw autorskich osób trzecich.
5. Oferowane urządzenia w dniu składania ofert nie mogą być przeznaczone przez producenta do wycofania z produkcji lub sprzedaży.
6. Wykonawca dostarczy wszystkie niezbędne elementy do zamontowania i uruchomienia urządzeń w posiadanych przez Zamawiającego szafach RACK 19”.
7. Realizowane prace nie mogą w żaden sposób zakłócić lub uniemożliwić prawidłowego funkcjonowania innych systemów informatycznych Zamawiającego. Prace o podwyższonym poziomie ryzyka muszą być wykonywane poza godzinami pracy obowiązującymi u Zamawiającego.
8. Wszelkie prace wymagające wyłączenia urządzeń pracujących w sieci komputerowej
wymagają wcześniejszego uzgodnienia z Zamawiającym.
9. Wykonywane prace nie mogą spowodować jakiejkolwiek utraty danych.
10. Zamawiający wymaga, by serwis był autoryzowany przez producenta urządzeń i oprogramowania, to jest by zapewniona była naprawa lub wymiana urządzeń lub ich części, na części nowe i oryginalne, zgodnie z metodyką i zaleceniami producenta.
11. Zamawiający wymaga, aby obsługa gwarancyjna świadczona była bezpośrednio przez producenta sprzętu lub oprogramowania. Oznacza to, że w razie niemożności wywiązania się przez Dostawcę ze zobowiązań serwisowych, obsługę tych zobowiązań mógł bezzwłocznie przejąć producent. W takim przypadku Zamawiający wymaga zapewnienia wsparcia producenta umożliwiającego dostarczenie sprzętu zastępczego przez producenta w ciągu następnego dnia roboczego od zgłoszenia awarii, a także umożliwiającego Zamawiającemu bezpośredniego zgłaszania problemów technicznych w centrum pomocy technicznej producenta.
12. Zamawiający wymaga, aby pomoc techniczna świadczona była w języku polskim.
13. Serwis gwarancyjny świadczony ma być w miejscu instalacji sprzętu.
14. Zamawiający wymaga, aby dostarczone urządzenia były kompatybilne z urządzeniami już istniejącymi w Urzędzie.
15. Wykonawca dostarczy zestawienie zawierające wszystkie pozycje zamówienia
z przypisanymi odpowiednio kontraktami serwisowymi.
16. Całość sprzętu, oprogramowania i jego składników musi być dostarczana i wspierana
przez jednego producenta.
17. System zabezpieczeń typu Next-Generation Firewall musi być dostarczony jako specjalizowane urządzenia zabezpieczeń sieciowych. Sprzęt i oprogramowanie musi być dostarczone i wspierane przez jednego producenta.
18. W ramach umowy Wykonawca dostarczy licencje, kontrakty serwisowe oraz urządzenia, gotowe do pracy, dokona montażu, instalacji, konfiguracji i integracji ze środowiskiem informatycznym Zamawiającego.
IV. Dostawa, instalacja, konfiguracja i integracja urządzeń typu Next-Generation Firewall w konfiguracji wysokiej dostępności ze środowiskiem informatycznym Zamawiającego
Zamawiający posiada funkcjonujący system zaporowy, składający się z klastra urządzeń Juniper SSG, które mają zostać wymienione na dwa nowe urządzenia typu firewall nowej generacji (Next-Generation Firewall) działające w klastrze niezawodnościowym Active/Passive, tj. w konfiguracji analogicznej do obecnej, rozszerzonej o uruchomioną funkcję kontroli aplikacji i przejmujących pełnienie roli podstawowego składnika infrastruktury zabezpieczeń sieci.
Wykonawca zaoferuje rozwiązanie, które będzie klasyfikowane jako Enterprise Network Firewall i zakwalifikowane w niezależnym opracowaniu firmy badawczej Gartner jako rozwiązanie Leaders lub Challengers w raportach nie starszych niż z września 2019 r.
Wdrożenie powinno uwzględniać:
1. Dostarczenie, montaż i instalację kompletnych urządzeń w szafie typu RACK Zamawiającego z uwzględnieniem okablowania i licencji niezbędnych do uruchomienia urządzeń, zintegrowania ich ze środowiskiem informatycznym Zamawiającego, zapewniających spełnienie wymaganych funkcjonalności.
2. Uruchomienie, konfigurację i redundantne włączenie urządzeń w istniejącą infrastrukturę informatyczną Zamawiającego, zgodnie z rekomendacjami producenta.
3. Aktualizację oprogramowania układowego oraz wgranie dostarczonych licencji.
4. Przeniesienie konfiguracji i ustawień z posiadanych urządzeń na nowo dostarczone w porozumieniu z Zamawiającym, w możliwie analogiczny sposób, z uwzględnieniem.:
a) ok. 400 polityk bezpieczeństwa (w warstwie 3 i 4 modelu OSI), w tym polityki NAT,
b) 6 interfejsów fizycznych na urządzenie,
c) 4 subinterfejsów sieciowych na urządzenie,
d) 2 interfejsy tunelowe typu Unnumbered,
e) 4 aktywne tunele IPSec VPN site-to-site.
5. Uruchomienie kontroli aplikacji (na podstawie raportu dot. wykorzystania każdej z reguł polityk bezpieczeństwa przygotowanym przez Wykonawcę) z uwzględnieniem i konfiguracją określonego we współpracy z Zamawiającym postępowania dla aplikacji, w tym nieznanych – kontrola aplikacji oparta na bazie aplikacji udostępnionej przez producenta, bez definiowania nowych lub niestandardowych aplikacji.
6. Uaktywnienie pozostałych mechanizmów bezpieczeństwa (x.xx. deszyfrowanie i inspekcja protokołu SSL/TLS, filtrowanie treści, ochrona przed złośliwym oprogramowaniem itp.).
7. Przełączenie ruchu sieciowego na nowy klaster urządzeń.
8. Wszelkie czynności konfiguracyjne zapewniające prawidłowy dostęp do obecnych zasobów, które muszą zostać wykonane dodatkowo w środowisku Zamawiającego.
Wymagania minimalne dla urządzeń typu Next-Generation Firewall – 2 szt. (identyczne)
A. Platforma sprzętowa i systemowa |
1. Urządzenie pełniące rolę ściany ogniowej śledzącej stan połączeń z funkcją weryfikacji informacji charakterystycznych dla warstwy sieciowej, transportowej oraz aplikacji (w warstwie 3, 4 i 7 modelu OSI) oraz proaktywnej ochrony przed atakami. 2. Dostarczane jako dedykowane urządzenie sieciowe przeznaczone do montażu w szafie typu RACK 19” wraz z kompletem mocowań. 3. Maksymalna wysokość 1U (wraz ze wszystkimi elementami niezbędnymi do zamontowania). 4. Urządzenie powinno spełniać wszelkie normy, certyfikaty i być dopuszczone do użytku w ramach swojej funkcjonalności na terenie Unii Europejskiej z uwzględnieniem prawa polskiego. 5. Możliwość konfigurowania w parach wysokiej dostępności w trybie Active/Passive i Active/Active. Wymagane jest dostarczenie okablowania niezbędnego do uruchomienia klastra oraz odpowiednich licencji, jeżeli są wymagane dla realizacji tej funkcjonalności . 6. Wyposażone w redundantne zasilanie, którego wymiana nie zakłóca pracy urządzenia. 7. Brak ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej ani ilości jednocześnie pracujących użytkowników w chronionej sieci. |
B. Interfejsy sieciowe |
1. Wszystkie interfejsy sieciowe umieszczone z przodu urządzenia. 2. Dedykowany port 1GbE do zarządzania out-of-band. 3. Dedykowany port 1GbE dla podłączenia konsoli oraz port USB. 4. Min. 4 porty 1GbE dla połączeń miedzianych. 5. Min. 4 porty 1GbE dla wkładek optycznych SFP. Niezbędne jest obsadzenie po jednym porcie 1GbE każdego urządzenia odpowiednią wkładką SFP (SM duplex/1310µm/LC). 6. Min. 2 porty 10GbE dla wkładek optycznych SFP+. |
C. Zarządzanie |
1. Interfejs administracyjny musi być w języku polskim lub angielskim. 2. Linia komend CLI dla połączenia terminalowego oraz SSH. 3. Zdalne zarządzanie w konsoli graficznej szyfrowanym połączeniem HTTPS poprzez przeglądarkę WWW, bez konieczność instalacji dodatkowego oprogramowania na stacji administratora. 4. Możliwość zarządzania przez systemy firm trzecich poprzez API, do którego producent udostępnia dokumentację i za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii komend. Jeżeli dla realizacji tej funkcjonalności wymagane są odpowiednie licencje, muszą one zostać dołączone. 5. Integracja z zewnętrznymi serwerami SNMP v.2 oraz SYSLOG. 6. Przekazywanie statystyk ruchu za pomocą protokołu NETFLOW. 7. Możliwość zdefiniowania wielu kont administratorów o różnych poziomach uprawnień. 8. Uwierzytelnianie za pomocą haseł statycznych oraz dynamicznych, definiowanie użytkowników w bazie lokalnej oraz na serwerach zewnętrznych: a) RADIUS, b) LDAP/Active Directory, c) uwierzytelnianie wieloskładnikowe MFA. |
9. W przypadku konfiguracji nadmiarowych – spójne zarządzanie z jednej konsoli administracyjnej wieloma urządzeniami. 10. Logi przechowywane lokalnie na dysku SSD o pojemności nie mniejszej niż 240 GB. 11. Obecność wbudowanego narzędzia typu monitor stanu, mogącego prezentować x.xx.: a) obciążenie procesora, b) stopień wykorzystania pamięci operacyjnej, c) zajętość przestrzeni dyskowej, d) wersja oprogramowania układowego, e) status mechanizmu wysokiej dostępności HA, 12. Obecność wbudowanego narzędzia typu monitor połączeń, prezentującego x.xx.: a) adresy (źródłowy i docelowy), b) porty (źródłowy i docelowy), c) strefy (źródłowa i docelowa), d) oznaczenie aplikacji/usługi sieciowej. 13. Możliwość tworzenia skategoryzowanych zestawień, x.xx.: najczęstsze zagrożenia, źródła ataków, statystyki ruchu sieciowego, aktywność wybranego użytkownika. 14. Możliwość zapisywania raportów do pliku w formacie csv. 15. Obecność wbudowanych narzędzi diagnostycznych, przynajmniej: ping, traceroute, analiza pakietów, monitorowanie procesowania sesji oraz stanu sesji firewall. |
D. Tryby pracy oraz obsługiwane protokoły i mechanizmy sieciowe |
1. Możliwość pracy w trybie: a) przełącznika (2 warstwa modelu OSI), b) routera (3 warstwa modelu OSI), c) transparentnym (bez konfiguracji adresów warstwy 2 oraz 3 ani wprowadzania segmentacji sieci na odrębne domeny kolizyjne), 2. Obsługa routingu statycznego i routingu opartego na regułach (Policy-Based Routing) dla wybranych aplikacji i wskazanych użytkowników. 3. Obsługa protokołu routingu dynamicznego: a) RIPv2, b) OSPF v2 i v3, c) BGP. 4. Obsługa protokołu Ethernet z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q i rozpoznawanie 4094 znaczników VLAN. 5. Obsługa ruchu multicast: PIM Sparse Mode, IGMP. 6. Wsparcie dla IPv6 poprzez: a) pracę w sieci z adresacją IPv6, b) definiowanie list kontroli dostępu dla ruchu IPv6, c) zarządzanie urządzeniem poprzez SSH i HTTPS w sieci IPv6. 7. Możliwość uruchomienia min. 5 wirtualnych routerów posiadających odrębne tabele routingu. 8. Translacja adresów NAT adresu źródłowego i NAT adresu docelowego realizowane statycznie i dynamicznie. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z użyciem jednego publicznego adresu IP przy jednoczesnym zapewnieniu dostępu wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP. Urządzenie musi posiadać osobny zestaw polityk definiujący reguły translacji adresów NAT odrębny od reguł definiujących polityki bezpieczeństwa. |
9. Obecność dedykowanego komponentu ALG zapewniającego poprawną obsługę protokołów SIP i FTP. 10. Możliwość tworzenia wydzielonych stref bezpieczeństwa, między którymi definiowane są reguły (polityki) bezpieczeństwa. 11. Możliwość zarządzanie pasmem sieci (QoS) oraz ustawiania pasma maksymalnego i gwarantowanego. |
E. Funkcjonalność zapory ogniowej i mechanizmy bezpieczeństwa |
⮚ FIREWALL 1. Możliwość tworzenia polityk bezpieczeństwa z uwzględnieniem stref bezpieczeństwa, adresów IP klientów i serwerów, protokołów i usług sieciowych, użytkowników, aplikacji, reakcji zabezpieczeń i rejestrowaniem zdarzeń. 2. Możliwość tworzenia obiektów z przypisanymi adresami IP i wykorzystania tak zbudowanych obiektów adresowych w politykach bezpieczeństwa. 3. Możliwość tworzenie polityk bezpieczeństwa w oparciu o reguły czasowe (harmonogram). 4. Możliwość konfigurowania osobnego zestawu polityk definiujących ruch SSL, który należy poddać lub wykluczyć z operacji deszyfrowania i głębokiej inspekcji, rozdzielny od polityk bezpieczeństwa. 5. Obecność mechanizmu zapewniającego inspekcję oraz bezpieczne rozszyfrowanie i skanowanie ruchu szyfrowanego protokołem SSL/TLS, tj. poddawanie takiej transmisji deszyfracji, skanowaniu i ponownemu zaszyfrowaniu z możliwością wyboru predefiniowanych kategorii stron internetowych (URL) oraz definiowania kategorii wyjątków dla ruchu wychodzącego do serwerów zewnętrznych oraz ruchu przychodzącego do serwerów wewnętrznych. Inspekcja powinna obejmować wykrywanie i blokowanie ataków typu exploit, skanowanie antywirusowe, filtrowanie plików, danych i adresów URL dla ruchu HTTP oraz innego. 6. Obecność mechanizmu zapewniającego możliwość transparentnego ustalenia tożsamości użytkowników sieci wewnętrznej poprzez integrację z Active Directory, LDAP oraz serwerami usług terminalowych i wykorzystywania jej przy budowaniu polityk bezpieczeństwa. 7. Obecność mechanizmu wykrywającego anomalie związane z ruchem w monitorowanym segmencie sieci, w tym aktywności sieci typu Botnet, a także funkcji podstawowej ochrony przed atakami DoS. 8. Bazy sygnatur (x.xx. ataków, aplikacji, wirusów i robaków internetowych) udostępniane przez producenta muszą być na bieżąco aktualizowane na urządzeniu w sposób automatyczny. 9. Polityka kontroli dostępu (bezpieczeństwa) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci niezależnie od lokalizacji i adresu IP, jakim posługuje się użytkownik. 10. Działanie mechanizmu zabezpieczeń ma funkcjonować zgodnie z zasadą blokowania całego ruchu sieciowego poza tym, który jest zdefiniowany w regułach polityk bezpieczeństwa i wskazany jako dozwolony 11. Administrator systemu musi mieć możliwość definiowania i przydzielanie różnych profili ochrony (antywirusowa AV, przed atakami IPS, filtrowanie URL, blokowanie plików) dla każdej dostępnej aplikacji. 12. Mechanizm rozpoznawania plików musi bazować na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia. |
⮚ KONTROLA APLIKACJI 1. Mechanizm identyfikujący aplikacje musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania. Identyfikacja aplikacji musi odbywać się co najmniej poprzez dostarczone przez producenta sygnatury, przechowywane na urządzeniu. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów na których dokonywana jest identyfikacja aplikacji. 2. Baza dostępnych definicji aplikacji, podzielonych na kategorie i określone skalą poziomu ryzyka, powinna zawierać minimum 2000 sygnatur (x.xx. Google Drive, Gadu- Gadu, Skype, Microsoft Office 365, BitTorrent) i być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez administratora. Lista musi być weryfikowalna w bazie dostępnej na urządzeniu bądź on-line. 3. Aplikacje chmurowe (co najmniej: Facebook, Google Docs, WeTransfer) powinny być kontrolowane pod względem wykonywanych czynności, np.: pobieranie plików. 4. Baza dostępnych kategorii powinna pozwalać na rozpoznawanie aplikacji szczególnie istotnych z punktu widzenia bezpieczeństwa, w tym tunelowanych w ruchu HTTP i HTTPS: proxy, P2P, komunikatory internetowe. 5. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki bezpieczeństwa poprzez jej zdefiniowanie w dedykowanym polu. Nie dopuszcza się definiowania aplikacji poprzez dodatkowe profile. 6. Administrator systemu musi mieć możliwość definiowania wyjątków oraz własnych sygnatur aplikacji bezpośrednio na urządzeniu, bez użycia zewnętrznych narzędzi i bez wsparcia producenta. ⮚ KONTROLA WWW I OCHRONA PRZED ATAKAMI (IPS) 1. Obecność działającego modułu filtrowania stron WWW wywoływanych przez użytkowników umożliwiającego blokowanie adresów URL oraz wybranych kategorii (x.xx. hazard) stron WWW w oparciu o dostarczone i regularnie aktualizowane przez producenta sygnatury, przechowywane na urządzeniu. Dopuszcza się, aby jedynym dodatkowym wymogiem niezbędnym do aktywnego funkcjonowania modułu było posiadanie subskrypcji, którą w takim przypadku należy dostarczyć. 2. Moduł filtrowania stron WWW uruchamiany z poziomu reguł polityk bezpieczeństwa. Nie dopuszcza się, aby funkcja filtrowania stron WWW uruchamiana była globalnie dla urządzenia lub jego części (np. interfejs sieciowy, strefa bezpieczeństwa). 3. Administrator systemu musi mieć możliwość definiowania własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa, bez użycia zewnętrznych narzędzi i bez wsparcia producenta. 4. Mechanizm kategoryzujący strony WWW musi pozwalać na przypisanie konkretnej strony do więcej niż jednej kategorii, w tym do utworzonej przez administratora, która może opierać się na skali poziomu ryzyka bezpieczeństwa danej strony. 5. Możliwość automatycznego blokowania dostępu do potencjalnie niebezpiecznych stron internetowych zawierających złośliwe oprogramowanie oraz stron szpiegujących. 6. Obecność działającego modułu wykrywania i przeciwdziałania atakom w warstwie 7 modelu OSI (IPS) w oparciu o dostarczone i regularnie aktualizowane przez producenta sygnatury, przechowywane na urządzeniu. Dopuszcza się, aby jedynym dodatkowym wymogiem niezbędnym do aktywnego funkcjonowania modułu było posiadanie subskrypcji, którą w takim przypadku należy dostarczyć. |
7. Moduł ochrony IPS uruchamiany z poziomu reguł polityk bezpieczeństwa. Nie dopuszcza się, aby moduł ochrony IPS uruchamiana była globalnie dla urządzenia lub jego części (np. interfejs sieciowy, strefa bezpieczeństwa). 8. Administrator systemu musi mieć możliwość definiowania własnych sygnatur IPS bezpośrednio na urządzeniu i używania ich w politykach bezpieczeństwa, bez użycia zewnętrznych narzędzi i bez wsparcia producenta. 9. Obecność działającego modułu automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji. 10. Włączenie filtrowania treści stron WWW i zapobieganie atakom nie może wymagać korzystania z dodatkowego serwera. ⮚ OCHRONA ANTYWIRUSOWA 1. Obecność działającego modułu ochrony przed wirusami komputerowymi oraz wykrywającego robaki internetowe, dokonującego inspekcji w oparciu o dostarczone i regularnie aktualizowane przez producenta sygnatury, przechowywane na urządzeniu. Dopuszcza się, aby jedynym dodatkowym wymogiem niezbędnym do aktywnego funkcjonowania modułu było posiadanie subskrypcji, którą w takim przypadku należy dostarczyć. 2. Moduł ochrony antywirusowej uruchamiany z poziomu reguł polityk bezpieczeństwa. Nie dopuszcza się, aby funkcja ochrony antywirusowej uruchamiana była globalnie dla urządzenia lub jego części (np. interfejs sieciowy, strefa bezpieczeństwa). 3. Inspekcja popularnych protokołów: HTTP, HTTPS, FTP, SMTP oraz podstawowych rodzajów plików. 4. Skanowanie ruchu odbywającego się w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach. |
F. Funkcjonalność VPN |
1. Możliwość zestawiania zabezpieczonych kryptograficznie tuneli VPN opartych o standard IPSec z IKE dla konfiguracji site-to-site. Konfiguracja VPN musi odbywać się w oparciu o ustawienia routingu routing-based VPN. 2. Możliwość zestawiania co najmniej 100 jednoczesnych zabezpieczonych kryptograficznie tuneli na bazie technologii SSL-VPN, gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki web. Jeżeli dla realizacji tej funkcjonalności wymagane są odpowiednie licencje, muszą one zostać dołączone. 3. Tworzone sieci VPN muszą działać poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT dzięki zaimplementowanemu mechanizmowi IPSec NAT Traversal. 4. Możliwość uruchomienia mechanizmu monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje zestawienie zerwanego połączenia). 5. Możliwość korzystania z parametrów IKE/IPsec opartych na: XXX-000, 0XXX, XXX-000, XXX-000, MD5 |
G. Wydajność |
1. Przepustowość firewall’a w ruchu full-duplex z włączoną funkcją kontroli aplikacji: min. 2 Gbps. 2. Przepustowość z włączoną funkcją IPS + antivirus + anti-malware: min. 900 Mbps. 3. Przepustowość IPsec VPN: min. 1.6 Gbps. 4. Liczba obsługiwanych sesji: min. 190 000. |
5. Liczba obsługiwanych nowych sesji na sekundę: min. 10 000. 6. Liczba obsługiwanych tuneli IPsec VPN (site-to-site): min. 2 000. 7. Liczba obsługiwanych polityk bezpieczeństwa: min. 1 500. |
H. Gwarancja |
1. Opieka techniczna świadczona przez producenta oraz polskiego autoryzowanego partnera serwisowego bądź dystrybutora sprzętu z 4-godzinnym czasem reakcji, licząc od daty zgłoszenia awarii przez Zamawiającego, dla zdarzeń obejmujących błędne funkcjonowania produktu. Naprawa lub wymiana wadliwego podzespołu bądź urządzenia w trybie NBD - do końca następnego dnia roboczego. 2. Wsparcie techniczne dostępne telefonicznie i poprzez automatyczny system obsługi zgłoszeń w trybie 24/7. 3. Serwis gwarancyjny obejmuje dostęp do poprawek i nowych wersji oprogramowania, a także dostęp do baz wiedzy, przewodników konfiguracyjnych i narzędzi diagnostycznych. 4. Koszty związane z wysyłką podzespołu lub urządzenia nie mogą dodatkowo obciążyć Zamawiającego. 5. Dopuszcza się dostarczenie sprzętu zastępczego o tej samej funkcjonalności na czas naprawy. 6. Wsparcie techniczne obejmujące dostarczone licencje i subskrypcje. |
I. Okablowanie LAN |
1. Okablowanie niezbędne do uruchomienia klastra wysokiej dostępności HA. 2. Patchcord prosty UTP RJ-45 CAT. 6A z osłonką zalewaną o dł. 2m – 4 sztuki. 3. Patchcord prosty UTP RJ-45 CAT. 6A z osłonką zalewaną o dł. 1m – 4 sztuki. 4. Patchcord LC/UPC-LC/UPC SM duplex o dł. 2m – 2 sztuki. 5. Patchcord LC/UPC-LC/UPC SM duplex o dł. 1m – 2 sztuki. |
Wykonawca dostarczy kompletne okablowanie i/lub moduły i licencje niezbędne do
uruchomienia urządzeń i zintegrowania ich ze środowiskiem informatycznym Zamawiającego.
Zamawiający wymaga, aby wszelkie czynności konfiguracyjne, które są działaniami pośrednimi w celu osiągnięcia wymaganej funkcjonalności, były wykonane w sposób zalecany przez producenta posiadanych oraz dostarczanych urządzeń i oprogramowania.
V. Opracowanie i dostarczenie dokumentacji powykonawczej, szczegółowo opisującej wszystkie elementy wdrożenia i konfiguracji
W ramach dostawy i wdrożenia systemu zabezpieczeń typu Next-Generation Firewall, Wykonawca w terminie do 5 dni roboczych przed przystąpieniem do montażu i instalacji urządzeń opracuje i przedłoży Zamawiającemu do akceptacji koncepcję wdrożenia (uwzględniającą zaoferowany sprzęt) opisującą założenia, etapy oraz proces przeprowadzenia wdrożenia w infrastrukturze informatycznej Zamawiającego wraz z założeniami konfiguracyjnymi, która poprzedzona będzie obustronnym ustaleniem wymagań i warunków technicznych i obejmującą x.xx.:
a) charakterystykę ogólną dokumentacji, przedmiot opracowania, podstawę
opracowania, zakres opracowania, itp.,
b) sposób podłączenia urządzeń do infrastruktury sieciowej, ich umiejscowienie w strukturze sieciowej, schematy połączeń wraz z adresacją IP i nazewnictwem obiektów,
c) założenia podstawowej konfiguracji, w tym uprawnienia dla dostępu
administracyjnego, synchronizacji czasu i odkładania logów,
d) założenia wykorzystania i konfiguracji funkcji wysokiej dostępności,
e) założenia polityk routingu, NAT, migracji polityk bezpieczeństwa i wprowadzenia polityki bezpieczeństwa i funkcji kontroli aplikacji oraz polityki certyfikatów wykorzystywanych przez wdrażany system,
f) założenia konfiguracyjne obejmujące istotne zmiany konfiguracji pozostałych urządzeń i systemów w infrastrukturze Zamawiającego, niezbędnych do przeprowadzenia wdrożenia,
g) założenia testów akceptacyjnych.
Wykonawca na 3 dni przed upływem terminu wykonania przedmiotu umowy przedstawi do zatwierdzenia dokumentację powykonawczą, rozszerzającą przygotowaną koncepcję wdrożenia x.xx. o:
a) opis czynności konfiguracyjnych wykonanych podczas wdrożenia, zobrazowanych
zrzutami ekranu, fragmentami skryptów itp.,
b) opis techniczny zawierający informacje dotyczące zastosowanych urządzeń, parametrów i wykorzystanych rozwiązań technologicznych,
c) specyfikacje urządzeń użytych we wdrożeniu,
d) procedury monitorowania pracy urządzeń i oprogramowania,
e) procedury okresowych czynności administracyjnych dotyczących sprzętu
i oprogramowania.
Wykonawca zobowiązuje się dostarczyć przegotowaną przez siebie dokumentację oraz wszystkie dokumenty odbiorowe do siedziby Zamawiającego w formie elektronicznej z wykorzystaniem jednego lub kilku z następujących formatów zapisu plików:
a) MS Word (wersje ostateczne dokumentów oraz ich wersje robocze),
b) PDF (wersje ostateczne dokumentów),
c) MS Excel (w przypadku dużych zestawień tabelarycznych),
d) HTML,
e) JPG, GIF, PNG,
f) oraz innych za zgodą Zamawiającego.
VI. Przeprowadzenie szkoleń w zakresie wdrażanego rozwiązania
W ramach dostawy i wdrożenia systemu zabezpieczeń typu Next-Generation Firewall przeprowadzone szkolenia dla określonej liczby pracowników wskazanych przez Zamawiającego - liczba osób odbywających określone szkolenie w danym terminie może być swobodnie dobierana przez Zamawiającego.
1. Instruktarz stanowiskowy – 3 osoby
W ramach instruktarzu stanowiskowego, w siedzibie Zamawiającego przeprowadzone zostanie szkolenie powdrożeniowe dla 3 operatorów, w zakresie wdrożonych funkcjonalności w minimalnym wymiarze 1 dnia, którego celem będzie poznanie architektury wdrożonego rozwiązania i zdobycie podstawowych umiejętności, niezbędnych do samodzielnego używania wdrożonego systemu.
2. Warsztaty szkoleniowe – 6 osoby
W ramach co najmniej 2-dniowych warsztatów szkoleniowych dla administratorów, obejmujących w swoim zakresie wykłady i ćwiczenia praktyczne, grupa wskazanych pracowników Zamawiającego weźmie udział w szkoleniu z zarządzania i konfiguracji wdrożonego systemu zabezpieczeń typu Next-Generation Firewall, którego celem będzie dokładane poznanie wdrożonego rozwiązania, niezbędne do samodzielnego zarządzania urządzeniami aktywnymi i oprogramowaniem zarządzającym i przeprowadzone będą:
a) przez inżyniera posiadającego wiedzę i doświadczenie w obszarze wdrożonego systemu zabezpieczeń typu Next-Generation Firewall
b) dowolnie wybranym terminie, dla którego przekazany zostanie pełen zakres
tematyczny szkolenia,
c) nie później niż w ciągu 6-ciu miesięcy od podpisania protokołu odbioru końcowego – termin zostanie uzgodniony pomiędzy Stronami,
d) na terytorium RP,
e) na sprzęcie udostępnionym przez organizatora szkoleń – nie dopuszcza się wykorzystania urządzeń stanowiących przedmiot wdrożenia,
f) w formie, gdzie minimum czasu zajmą warsztaty praktyczne,
g) w języku polskim,
h) w warunkach zgodnych z przepisami bezpieczeństwa i higieny pracy,
i) w trakcie szkolenia musi być dostarczony min. jeden ciepły posiłek dla
każdego z uczestników szkolenia danego dnia.
W przypadku organizacji warsztatów szkoleniowych poza miastem Opole, Wykonawca lub organizator szkoleń zabezpieczy we własnym zakresie i na własny koszt zakwaterowanie (całodobowe, w hotelu min. **) oraz zapewnieni wyżywienie uczestnikom szkolenia (śniadanie, obiad, kolacja). Xxxxxx powinien być zapewniony od dnia poprzedzającego termin rozpoczęcie szkolenia.
Minimalny zakres warsztatów szkoleniowych obejmuje:
a) konfigurację podstawową urządzeń,
b) konfigurację interfejsów sieciowych, polityk bezpieczeństwa oraz NAT i routingu,
c) kontrolę aplikacji, identyfikację użytkowników sieci i użytych we wdrożeniu mechanizmów bezpieczeństwa warstwy 7 modelu OSI,
d) konfigurację dostępu administracyjnego i zarządzanie uprawnieniami
administratorów,
e) deszyfrację ruchu szyfrowanego SSL,
f) konfigurację tuneli VPN i zdalnego dostępu,
g) konfigurację klastra niezawodnościowego HA,
h) monitorowanie pracy i wydajności oraz tworzenie raportów,
i) diagnostykę i rozwiązywanie problemów,
j) aktualizacja firmware’u i oprogramowania układowego, backup i odtworzenie konfiguracji,
k) najlepsze praktyki konfiguracyjne.
Wykonawca, na co najmniej 7 dni przed rozpoczęciem warsztatów, przedstawi Zamawiającemu do akceptacji zakres tematyczny szkolenia.