Szczegółowy opis przedmiotu zamówienia „Dostawa dwóch

ZNP/15/23
Załącznik nr 1 z dn. 07.01.2016 r.
Szczegółowy opis przedmiotu zamówienia
części 1 zadania nr 12.8 programu pn. „Rozbudowa Portu Lotniczego Łódź
im. Władysława Reymonta” („Podniesienie bezpieczeństwa i ciągłości pracy systemu
informatycznego lotniska”) pn.:
„Dostawa dwóch urządzeń typu UTM i analizatora logów zdarzeń w
systemie informatycznym”
1. Przedmiot zamówienia.
Zamówienie dotyczy zakupu i dostawy niżej wskazanych urządzeń (wraz z wdrożeniem i szkoleniem) oraz wszelkich
niezbędnych licencji na użytkowanie opisanych niżej funkcjonalności.
Urządzenia będące przedmiotem zamówienia:
a) Dwa urządzenia UTM Fortigate 300D (firmy Fortinet), działających docelowo jako klaster (ang. cluster) urządzeń.
b) FortiAnalyzer 200D (firmy Fortinet) – urządzenie zbierające i analizujące dane pozyskiwane z w/w urządzeń UTM.
Zamawiający dopuszcza zaproponowanie rozwiązania równoważnego spełniające minimum niżej opisane parametry
techniczne i funkcjonalno-użytkowe.
W przypadku dostarczenia wskazanych powyżej urządzeń (UTM Fortigate 300D i FortiAnalyzer) Wykonawca musi
również spełnić niżej wymienione wymagania techniczne i funkcjonalno-użytkowe.
2. Minimalne wymagania techniczne i funkcjonalno-użytkowe:
a) Dwa urządzenia UTM Fortigate 300D (firmy Fortinet) lub dwa równoważne urządzenia spełniające następujące
wymagania:
Lp.
1.
Parametr
Architektura systemu
ochrony
Minimalne wymagania techniczne i funkcjonalno-użytkowe.
1) urządzenia nie mogą posiadać dysku twardego.
2) urządzenia mają używać pamięci FLASH o pojemności nie mniejszej niż 120 GB.
3) podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo
przy użyciu specjalizowanego układu ASIC.
4) urządzenia mają posiadać minimum 6 portów GigaEthernet Base-TX wspieranych
przez dedykowane układy sprzętowe ASIC.
5) urządzenia mają posiadać minimum 4 porty GigaEthernet Base-SX SFP
wspieranych przez dedykowane układy sprzętowe ASIC.
6) urządzenia mają być dostarczone z licencją producenta „na urządzenie” - bez limitu
chronionych użytkowników i urządzeń w sieci wewnętrznej.
7) wszystkie funkcje ochronne oraz zastosowane technologie, w tym system
operacyjny mają pochodzić od jednego producenta.
8) połączenie dwóch identycznych urządzeń w klaster typu Active-Active.
2.
System operacyjny
Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia
muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie
1
dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego
przeznaczenia.
System ochrony musi obsługiwać w ramach jednego urządzenia minimum następujące
funkcjonalności podstawowe:
a) kontrolę dostępu - zaporę ogniową klasy Stateful Inspection,
b) ochronę przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP,
HTTP, HTTPS, FTP, IM),
c) poufność danych - IPSec VPN oraz SSL VPN,
d) ochronę przed atakami - Intrusion Prevention System [IPS/IDS]
e) oraz funkcjonalności uzupełniających:
f) kontrolę treści – Web Filter [WF],
g) kontrolę zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP),
h) kontrolę pasma oraz ruchu [QoS i Traffic shaping],
i) kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P),
j) zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Prevention).
k) monitoring, wykrywanie i alarmowanie o uszkodzeniu elementów sprzętowych i
programowych systemu zabezpieczeń oraz łączy sieciowych.
3.
Funkcjonalności
podstawowe i
uzupełniające
4.
Zasada działania
(tryby)
Urządzenia ma dawać możliwość ustawienia jednego z dwóch trybów pracy:
a) jako router/NAT (3.warstwa ISO-OSI),
b) jako most/transparent bridge - tryb przezroczysty umożliwiający wdrożenie
urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu.
5.
Polityka
bezpieczeństwa
1)
Polityka bezpieczeństwa systemu zabezpieczeń (firewall) musi uwzględniać:
a) adresy IP,
b) interfejsy,
c) protokoły i usługi sieciowe,
d) użytkowników sieci,
e) reakcje zabezpieczeń,
f) rejestrowanie zdarzeń i alarmowanie o nich,
g) zarządzanie pasmem (m.in. pasmo gwarantowane i maksymalne, priorytety,
oznaczenia DiffServ).
2) Urządzenia muszą obsłużyć nie mniej niż 10,000 polityk firewall.
3) Urządzenia muszą wykrywać i blokować ataki/techniki ataków stosowanych przez
hakerów/krakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port
Scan, DDoS) i niebezpiecznych komponentów (m.in. Java/ActiveX).
4) Urządzenia muszą posiadać funkcjonalność weryfikowania obecności na stacji
roboczej działającego oprogramowania typu Firewall i badania stanu
oprogramowania antywirusowego (weryfikacja aktualności bazy sygnatur wirusów).
5) Urządzenia muszą zapewnić ochronę sieci VPN przed atakami Replay Attack oraz
limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP.
6) Urządzenia muszą zawierać minimum 4000 sygnatur ataków.
7) Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie.
8) Ma być zapewniona możliwość wykrywania anomalii protokołów i ruchu.
9) System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości
użytkowników za pomocą co najmniej następujących parametrów:
a) haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie
urządzenia,
b) haseł statycznych i definicji użytkowników przechowywanych w bazach
zgodnych z LDAP,
c) haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy
danych.
10) Rozwiązanie ma umożliwiać budowę logowania Single Sign On w środowisku
Active Directory oraz eDirectory bez dodatkowych opłat licencyjnych.
2
6.
Translacja adresów
1)
2)
Ma być dostępna statyczna i dynamiczna translacja adresów (NAT);
Ma być dostępna translacja NAPT;
7.
Wirtualizacja i routing
dynamiczny
1)
Ma być dostępna możliwość definiowania w jednym urządzeniu bez dodatkowych
licencji co najmniej 10 wirtualnych firewalli, gdzie każdy z nich posiada
indywidualne ustawienia wszystkich funkcji bezpieczeństwa i dostęp
administracyjny.
Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu
IP źródłowego oraz docelowego.
Protokoły routingu dynamicznego – co najmniej obsługa RIPv2, OSPF, BGP-4 i
PIM.
2)
3)
8.
Połączenia VPN
1)
2)
3)
4)
5)
6)
9.
Wydajność
1)
2)
3)
4)
10.
Konfiguracja i
zarządzanie
1)
2)
3)
4)
5)
6)
Urządzenia muszą umożliwiać tworzenie połączeń w topologii Site-to-site oraz
Client-to-site,
Urządzenia muszą umożliwiać poprzez klienta VPN dostarczonego przez
Wykonawcę (klient VPN produkcji Producenta urządzenia) następujące
mechanizmy ochrony końcówki:
a) firewall,
b) antywirus,
c) web filtering,
d) antyspam.
Klient VPN musi być produkcji producenta urządzenia oraz być w pełni
kompatybilny z urządzeniem i być wspieranym przez producenta.
Urządzenia mają zapewniać monitorowanie stanu tuneli VPN i stałego
utrzymywania ich aktywności.
Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele
routingu (interface based VPN).
Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth.
Zapewnienie możliwości obsługi 6 000 000 jednoczesnych połączeń i 200 000
nowych połączeń na sekundę.
Przepływność nie mniejsza niż 8 Gbps (dla pakietow UDP o wielkosci 1518 / 512 /
64) dla ruchu nieszyfrowanego i 4,5 Gbps dla VPN (3DES).
Wydajnośc ruchu dla IPS nie mniejsza niż 2,8 Gbps, dla ruchu poddawanego
skanowaniu antywirusowego nie mniej niż 1,4 Gbps w trybie Proxy.
Umożliwienie obsługi 10 000 jednoczesnych tuneli VPN IPSec w trybie Client to
Gateway oraz 500 w trybie SSL VPN.
Ma być umożliwiona konfiguracja systemu poprzez terminal i linię komend oraz
wbudowaną konsolę graficzną (GUI).
Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez
szyfrowanie komunikacji.
Musi być zapewniona możliwość definiowania wielu administratorów o różnych
uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą:
a) haseł statycznych,
b) haseł dynamicznych (RA),
c) RADIUS, RSA SecureID).
System ma umożliwiać aktualizację oprogramowania oraz zapisywanie i
odtwarzanie konfiguracji z pamięci USB.
Dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa
platforma centralnego zarządzania pochodząca od tego samego producenta.
System/urządzenia powinny mieć możliwość współpracy z zewnętrznym,
sprzętowym i kompatybilnym modułem centralnego zarządzania umożliwiającym co
najmniej:
3
11.
Możliwość rozbudowy
a) przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup
urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej,
b) wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć
konfigurację z dowolnego punktu w przeszłości,
c) zarządzanie wersjami firmware’u na urządzeniach oraz zdalne uaktualnienia,
d) zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia,
e) monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM),
f) zapis i zdalne wykonywanie skryptów na urządzeniach.
g)
System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem
raportowania
i korelacji logów umożliwiającym:
a) zbieranie logów z urządzeń bezpieczeństwa,
b) generowanie raportów,
c) skanowanie podatności stacji w sieci,
d) zdalną kwarantannę dla modułu antywirusowego.
W/w funkcjonalności powinny być zarządzane poprzez jedną wspólną konsolę do kontroli
obu podsystemów.
12.
Moduły
W przypadku dostarczenia rozwiązania opartego na urządzeniach producenta Fortinet
wymaga się dostarczenia ramach zadania 4 (cztery) moduły nadawczo-odbiorcze z
interfejsem GE RJ45 na mini-GBIC zgodny z producentem Fortinet lub zgodny z MSA
(Multi-Sourcing Agreement) standard o parametrach:
a) Standardy: IEEE 802.3 10 BASE-T, IEEE 802.3u 100BASE-TX, IEEE 802.3ab
1000BASE-T,
b) Auto MDIX,
c) Maksymalna odległość transferu - 100 m,
d) Maksymalny transfer danych – 1,25 Gbps,
e) Złącze – RJ45 GE Żeńskie,
f) Wilgotność: 30-70%
g) Temperatura pracy: 0°C to 70°C
Wymiary: 13 mm [H] x 70 mm [L] x 13 mm [W]
13.
Centralne rejestrowanie Urządzenia UTM muszą umożliwiać pełną współpracę z dostarczanym w ramach tego
i raportowanie
postępowania urządzeniem gromadzenia i korelacji logów. Opis minimalnych parametrów
urządzenia do analizy logów znajduje się w pkt. 2 lit. b.
b) Forti Analyzer 200D (z najnowszym oprogramowaniem) lub urządzenie równoważne spełniające co najmniej
następujące minimalne wymagania:
Lp.
1.
Parametr
Opis:
Minimalne wymagania techniczne i funkcjonalno-użytkowe.
Urządzenie do zcentralizowanego rejestrowania, analizowania i raportowania danych
dotyczących bezpieczeństwa sieci, zebranych z dostarczonego klastra urządzeń i
kompatybilnych urządzeń Syslog innych producentów (tj. Cisco, Microsoft, HP, OKI,
Canon), którego zadaniem jest dostarczenie istotnej wiedzy na temat zdarzeń
bezpieczeństwa w całej sieci lotniska. Dane sieciowe mają dotyczyć m.in. zdarzeń
bezpieczeństwa ruchu sieciowego, zawartości sieci Web, wiadomości email, protokołu
FTP, protokołu VPN, etc.
4
2.
Wymagane
funkcjonalności
urządzenia:
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
15)
16)
17)
18)
19)
20)
21)
22)
Urządzenie ma zapewniać możliwość przetwarzania co najmniej 5 GB danych na
dzień.
Urządzenie ma posiadać dysk co najmniej o pojemności 1TB.
Urządzenie ma posiadać co najmniej 4 interfejsy Gigabitowe GE.
Urządzenie ma mieć obudowę 1 RU Rackmount.
Urządzenie ma posiadać następujące certyfikaty: FCC Part 15 Class A,
C-Tick, VCCI, CE, UL/cUL, CB.
Urządzenie ma zapewniać możliwość obsługi przez przeglądarkę internetową – po
zalogowaniu do urządzenia, strona robocza (pulpit) powinna zawierać:
- Część informacyjna o systemie - informacje o systemie i licencjach,
- zasoby systemowe, komunikaty i ostrzeżenia, konsolę CLI (wiersz
- poleceń), monitor logów, otrzymane dane, statystyki, monitor zadań,
- Część konfiguracji systemu – zarządzanie podstawową konfiguracją (nazwa
urządzenia, serwer czasu NTP, zapasowa konfiguracja),
- zarządzanie kontami użytkowników (w tym konfiguracji zewnętrznego serwera
uwierzytelniania LDAP i serwera RADIUS i TACACS+),
- zarządzanie rejestrowanymi urządzeniami sieciowymi,
- zarządzanie dyskiem,
- zarządzanie interfejsem sieciowym,
- zarządzanie certyfikatami (urządzenie ma posiadać własne CA - Certificate
Authority),
- zarządzanie serwerem logów.
Urządzenie ma zapewniać możliwość pracy w dwóch trybach – analizowania danych
i zbierania danych.
Urządzenie ma obsługiwać język SQL – wszystkie dane powinny być umieszczane w
bazie SQL, z której będzie generowany raport oraz będą wyszukiwane interesujące
dane przez administratora systemu (dostęp przez przeglądarkę internetową).
Urządzenie ma obsługiwać protokół SNMP (wraz z aktualizacjami MIB).
Urządzenie ma wspierać Jednostki Organizacyjne w raportach z filtrem LDAP.
Urządzenie ma wspierać konfigurację serwera SMTP.
Urządzenie ma zapewniać możliwość konfiguracji obsługiwanych protokołów (np.
http, https, ssh, telnet, etc).
Urządzenie ma zapewniać możliwość konfigurowania użytkowników wraz z
możliwością generowania reportów zdefiniowanych dla tych użytkowników
(możliwość konfiguracji definiowanych raportów przez XML).
Urządzenie ma zapewniać możliwość zdefiniowania urządzeń (hostów)., które będą
mieć dostęp do urządzenia.
Urządzenie ma zapewniać możliwość zdefiniowania czasu wylogowania z
urządzenia, w przypadku braku aktywności użytkownika systemu.
Urządzenie ma zapewniać możliwość obsługi tablicy dziennika tj. dane dziennika z
klastra urządzeń będą widoczne jak z jednego obiektu.
Urządzenie ma zapewniać możliwość generowania (na żądanie) graficznych.
Raportów podsumowujących dotyczących wydarzeń takich jak aktywność
użytkowników, działających aplikacji, miejsc docelowych połączeń, źródła połączeń,
przeglądanych stron internetowych – listy stron jak i również listy użytkowników
generujących ten ruch, zaistniałych zagrożeń, wykorzystania sieci VPN, wysyłanych
emaili, analizy ruchu sieciowego.
Urządzenie ma zapewniać możliwość wykonania kopi zapasowej jak i przywrócenia
logów i raportów.
Urządzenie ma zapewniać możliwość przygotowania wykresów za pomocą kreatora
wykresów.
Urządzenie ma zapewniać możliwość regularnych analiz profilu bezpieczeństwa
m.in. wzorców ruchu / przepustowości, etc, i generowania raportu o ruchu
sieciowym.
5
3.
Raporty
23) Urządzenie ma zapewniać możliwość monitowania (na email) zdefiniowanych
zdarzeń (potencjalnych anomalii) do administratora sieci w zdefiniowanych
przedziałach czasowych (1h, 12h, 24h).
24) Urządzenie ma w 100% współpracować z klasterem urządzeń.
25) Urządzenie ma zapewniać możliwość zarządzania z panelu administracyjnego
klastra urządzeń.
26) Urządzenie ma zapewniać możliwość eksportowania, jak i importowania ustawień z
innych urządzeń tego samego typu (od tego samego producenta).
27) Urządzenie ma zapewniać możliwość ustawiania harmonogramów generowania i
dostarczania raportów (na email) w formie plików PDF.
28) Urządzenie ma zapewniać możliwość wyświetlenia kalendarza raportów.
29) Urządzenie ma zapewniać możliwość wykonania raportów grupowych.
30) Urządzenie ma zapewniać możliwość generowania raportów o wbudowane gotowe
szablony, jak i mieć możliwość dodawania nowych i modyfikowania istniejących
szablonów.
Urządzenie ma zawierać przygotowane wcześniej szablony raportów, co najmniej takie
jak:
1) Raport logowań przez administratorów
2) Raport zdarzeń systemowych.
3) Raport aktywności systemu.
4) Raport analizy ryzyka aplikacji.
5) Raport statystyki ruchu.
6) Raport o aplikacje wysokiego ryzyka.
7) Raport podsumowujący wykorzystanie serwera DHCP.
8) Raport o historii ruchu generowanego przez najaktywniejszych użytkowników.
9) Raport o użytkownikach z największą aktywnością w sieci Web.
10) Raport o aplikacje wykorzystujących protokół HTTP.
11) Raport o co najmniej 30 najaktywniejszych użytkownikach, urządzeniach,
aplikacjach (z największym wykorzystaniem pasma i rozpoczynających najwięcej
sesji).
12) Raport o najczęściej odnotowanych zdarzeniach IPS (Intrusion Protection System) z
podziałem na poziom bezpieczeństwa (niskim, średnim, wysokim, krytycznym
współczynniku).
13) Raport o odkrytych zagrożeniach (zestawienie co najmniej 20 zagrożeń).
14) Raport o wykorzystaniu pasma przez aplikacje posortowany według kategorii.
15) Raport wykorzystania pasma przez aplikacje.
16) Raport o najczęściej odwiedzanych stronach, domenach webowych i odwiedzanych
krajach docelowych, zajmujących najwięcej czasu, wykorzystujących najwięcej
pasma i rozpoczynających najwięcej sesji.
17) Raport o najaktywniejszych użytkownikach i urządzeniach (ocena pod katem
reputacji).
18) Raport o użytkownikach i urządzeniach z największą zmianą (ocena pod katem
reputacji).
19) Raport o użytkownikach o największej ilości wysłanych i otrzymanych emaili.
20) Raport o użytkownikach wysyłających i otrzymujących emaile z dużymi
załącznikami.
21) Raport o popularnych i odkrytych wirusach (zestawienie co najmniej 20 wirusów).
22) Raport o najczęstszym występowaniu i ofiarach wirusów.
23) Raport o użytkownikach z największa liczbą wirusów posortowanych według nazwy
(w tym uzyskanych z sieci Web).
24) Raport o użytkownikach z największą liczbą otrzymanych za pomocą emaila
wirusów.
25) Raport o najczęstszym źródle Malware.
26) Raport o wykrytych źródłach botnetu i jego ofiarach.
6
27) Raport o najczęstszych wykrytych atakach i ich ofiarach (analiza pod katem włamań
i ilości tych włamań).
28) Raport o najczęstszym źródle ataku (włamania).
29) Raport o największej liczbie zablokowanych ataków (włamania).
30) Raport o zdarzeniach dotyczących włamań z ostatnich 7 dni.
31) Raport o użytkownikach najczęściej atakowanych (również w kategorii w sieci Web).
32) Raport o użytkownikach z największą liczbą najniebezpieczniejszych ataków (w tym
poprzez www).
33) Raport o użytkownikach z największą liczbą zablokowanych stron i kategorii sieci
Web.
34) Raport o użytkownikach z największą liczbą dozwolonych stron i kategorii sieci Web
również pod katem wykorzystania przepustowości i czasu przeglądania.
35) Raport o najczęściej blokowanych użytkownikach, witrynach i kategoriach sieci Web.
36) Raport o najczęściej dozwolonych witrynach i kategoriach sieci Web i ich czasie
przeglądania i wykorzystania przepustowości.
37) Raport o trendach ruchu dla wykorzystanych połączeń VPN.
38) Raport o najdłuższych połączenia VPN.
39) Raport o najczęstszych źródłach połączeń VPN SSL, zabierających najwięcej
pasma.
40) Raport o użytkownikach korzystających z tuneli VPN SSL pod katem wykorzystania
pasma.
41) Raport o użytkownikach korzystających z Web portal VPN SSL z największym
wykorzystaniem pasma.
42) Raport o użytkownikach tuneli VPN, zabierających najwięcej pasma.
43) Raport o użytkownikach portali Web VPN, zabierających najwięcej pasma.
44) Raport o użytkownikach połączeń VPN Dial-up, zabierających najwięcej pasma.
45) Raport o użytkownikach tuneli Dial-up IPSec, zabierających najwięcej pasma.
46) Raport o najczęstszych tunelach Site-to-Site IPSec, zabierających najwięcej pasma
oraz wykorzystaniu wszystkich tuneli według przepustowości.
47) Raport o incydentach z ostatnich 7 dni.
48) Raport o wykorzystaniu pasma i ilości sesji w ciągu ostatnich 7 dni.
49) Raport podsumowujący liczbę obsługiwanych sesji i wykorzystanie przepustowości
w ciągu ostatnich 7 dni.
50) Raport o najaktywniejszych użytkownikach, aplikacjach, urządzeniach w ciągu
ostatnich 7 dni.
51) Raport podsumowujący aktywność, czas przeglądania, wykorzystanie
przepustowości w sieci Web w ciągu ostatnich 7 dni.
52) Raport podsumowujący działanie sieci WIFI – ilość przekazanych danych.
53) Raport podsumowujący działanie sieci WIFI – ilość klientów WIFI.
54) Raport o Access Point AP, które powodują największe wykorzystanie pasma.
55) Raport o SSID, które powodują największe wykorzystanie pasma.
56) Raport o aplikacjach, które powodują największe wykorzystanie pasma.
57) Raport o systemem operacyjnym OS, które powodują największe wykorzystanie
pasma.
58) Raport o typach urządzeń, które powodują największe wykorzystanie pasma.
59) Raport o Access Point AP, z największą liczbą użytkowników.
60) Raport o SSID, z największą liczbą użytkowników.
61) Raport o liczbie użytkowników sieci WIFI z największym wykorzystaniem pasma.
62) Raport o liczbie użytkowników sieci WIFI z najczęstszym systemem operacyjnym
OS.
63) Raport o liczbie użytkowników sieci WIFI z najczęstszym typem urządzeń.
c) Zasady licencjonowania i gwarancji dostarczonych urządzeń oraz szkolenie z ich administracji:
7
1.
Gwarancja, pomoc
techniczna, licencje i
aktualizacje
1)
2)
3)
4)
5)
6)
7)
2.
Wdrożenie i instalacja
Wykonawca ma dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na
okres co najmniej 2 lat pozwalające co najmniej na używanie funkcji: Antivirus, IPS,
Web Content Filtering & Antispam (pozostałe wskazane funkcje bezpieczeństwa
mają być możliwe do aktywacji w przyszłości po rozszerzeniu licencji).
System powinien być objęty serwisem gwarancyjnym producenta przez okres co
najmniej 2 lat.
Serwis powinien być realizowany przez Producenta rozwiązania lub
Autoryzowanego Dystrybutora Producenta, mającego swoją lokalizację serwisową
na terenie Polski, posiadającego certyfikat ISO 9001 w zakresie usług serwisowych
(należy dołączyć go do oferty). Zgłoszenia serwisowe przyjmowane w trybie 8x5
przez dedykowany serwisowy moduł internetowy (należy podać adres www) oraz
infolinię (należy podać numer infolinii).
Wykonawca ma zapewnić wsparcie techniczne (telefoniczne lub poprzez e-mail) w
języku polskim w trybie 8 godzin 5 dni w tygodniu (w przypadku dostawy UTM
FortiGate 300D należy dostarczyć wariant serwisowy co najmniej FortiCare 8x5 (8h
dziennie w dni robocze od poniedziałku do piątku, z wyjątkiem dni ustawowo
wolnych od pracy) na okres 2 lat od dnia dostawy lub aktywacji licencji przez
Zamawiającego.
Wykonawca wyraża zgodę na możliwość przesłania uszkodzonego urządzenia
objętego serwisem do naprawy do dystrybutora na terenie Polski.
Wszystkie dostarczone urządzenia muszą być fabrycznie nowe oraz pochodzić z
oficjalnej linii dystrybucyjnej producenta sprzętu, a także zawierać oryginalne i
aktualne oprogramowanie.
Urządzenia nie mogą być przewidziane w najbliższym czasie (przez 6 miesięcy od
dostawy) do wycofania ze sprzedaży. W przypadku dostarczenia takiego sprzętu
Wykonawca zobowiązany jest dostarczyć (wymienić) - i wdrożyć inny nowy sprzęt
tego samego producenta (o co najmniej nie gorszych parametrach) zgodnie z
zasadami opisanymi w niniejszej specyfikacji.
1) Wdrożenie urządzeń UTM i sprzętu do zarządzania logami należy dokonać w
przeciągu maksymalnie 21 dni od dnia dostawy lub aktywacji licencji przez
Zamawiającego.
2) Wykonawca urządzenia ma zapewnić jego wdrożenie u Zamawiającego, które
zawierać ma co najmniej:
a) instalację we wskazanym miejscu w obecnej infrastrukturze informatycznej,
b) przeniesienie konfiguracji z obecnego urządzenia FortiGate 300C do nowo
zakupionych urządzeń, które mają być skonfigurowane w postaci klastra
urządzeń w trybie Active – Acitve (należy odwzorować obecną konfigurację z
ewentualnymi uwagami Zamawiającego), tj.:
 skonfigurowanie interfejsów logicznych i fizycznych w wymiarze co najmniej
40,
 skonfigurowanie 2 łączy WAN wraz ze wskazaniem usług dla
poszczególnych łączy – ok. 20 reguł,
 skonfigurowanie reguł Firewall – ok. 200 reguł,
 skonfigurowanie reguł NAT – ok. 50 reguł,
 skonfigurowanie uwierzytelnienia opartego o LDAP,
 skonfigurowanie klas QoS – ok. dla 25 grup,
c) testy wydajnościowe oraz funkcjonalne.
3) Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego
inżyniera posiadającego aktualny certyfikat producenta na poziomie przynajmniej
średnim w hierarchii ważności certyfikatów.
4) Etap konfiguracji urządzeń może odbywać się w dowolnych uzgodnionych z
Zamawiającym godzinach (między 6 a 23). Etap wdrożenia polegający na przepięciu
8
3.
Szkolenie
infrastruktury na nowe urządzenie musi być przeprowadzony poza godzinami pracy
portu – pomiędzy 23:00 a 6:00 rano. Jeśli przepięcie urządzeń nie zakłóci
prawidłowej pracy sieci komputerowej, w tym dostępu do sieci Internet,
funkcjonowania systemów odpraw lotniskowych i nie obniży bezpieczeństwa sieci
oraz sam proces przepięcia będzie nie dłuższy niż 15 minut, to dopuszcza się
wdrażanie w innych uzgodnionych godzinach.
5) W ramach zadania Wykonawca zapewni dodatkowo w terminie do dnia 29.02.2016r.
40h doradztwa oraz wsparcia technicznego realizowanego przez email/telefon/zdalny dostęp.
6) Po pomyślnym przejściu zaplanowanych testów wykonawca ma dostarczyć
dokumentacje techniczną rozwiązania w 3 kopiach papierowych oraz elektronicznej.
7) Zamawiający zastrzega sobie prawo uszczegółowienia wymagań konfiguracji, w
zakresie niesprzecznym z warunkami określonymi w niniejszym dokumencie, na
etapie realizacji przedmiotu umowy.
Wykonawca zamawianych urządzeń UTM i urządzenia do zarządzania logami zapewni
przeszkolenie w uzgodnionym z Zamawiającym terminie (nie później jednak niż do dnia
29.02.2016 r.) dla trzech osób (szkolenie co najmniej 8h) z obsługi i zaawansowanej
konfiguracji dostarczonych urządzeń. Szkolenie powinno odbyć się w siedzibie
Zamawiającego i zakończyć się przekazaniem dokumentu potwierdzającego odbycie
szkolenia (certyfikatu lub zaświadczenia). Dopuszcza się szkolenie na terenie Łodzi, poza
siedzibą Zamawiającego.
9