Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis
Transkrypt
Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis
Część III SIWZ Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis przedmiotu zamówienia. 1. Przedmiotem zamówienia jest: a. dostarczenie do siedziby Zamawiającego sprzętu i oprogramowania zgodnego ze Specyfikacją Techniczną , b. instalacja dostarczonego sprzętu w szafie c. udzielenie niezbędnych licencji na oprogramowanie, d. skonfigurowanie dostarczanego urządzenia oraz wdrożenie systemu w siedzibie Zamawiającego, (adresacja IP, routing, konfiguracja polityk firewall, konfiguracja profili UTM, testy, włączenie urządzenia UTM do środowiska produkcyjnego, monitoring, szkolenie instruktażowe dla administratorów) e. dostarczenie instrukcji obsługi przedmiotu zamówienia, w języku polskim lub angielskim, f. udzielenie gwarancji na dostarczony sprzęt komputerowy (dostarczenie kart gwarancyjnych), g. zapewnienie usługi wsparcia technicznego oraz uaktualnień oprogramowania i sygnatur przez okres zgodny ze złożoną ofertą, jednak nie krótszy niż zawarty w Specyfikacji Technicznej h. przeszkolenie w autoryzowanym ośrodku producenta urządzenia, dwóch osób personelu technicznego Zamawiającego. 2. Oferowany sprzęt i oprogramowanie musi być objęty gwarancją producenta przez okres zgodny ze złożoną ofertą, jednak nie krótszy niż zawarty w Specyfikacji Technicznej. Okres gwarancji będzie liczony od daty podpisania protokołu odbioru sprzętu. a) Naprawy będą dokonywane w miejscu użytkowania sprzętu. b) Wszelkie koszty usunięcia usterki (usług, części, sprzętu zastępczego i transportu) ponosi producent sprzętu lub autoryzowana przez niego firma serwisująca. c) Podjęcie naprawy nastąpi najpóźniej następnego dnia roboczego. d) W razie konieczności naprawy trwającej ponad jeden dzień roboczy, firma serwisująca zapewni na czas naprawy sprzęt o parametrach nie gorszych, niż sprzęt naprawiany. Sprzęt zastępczy zostanie skonfigurowany przez firmę serwisującą zgodnie z konfiguracją sprzętu uszkodzonego. e) Czas usunięcia usterki wyniesie maksymalnie 14 dni kalendarzowych od chwili zgłoszenia awarii, w przypadku niedotrzymania ww. terminu Wykonawca zobowiązany jest wymienić uszkodzony sprzęt na nowy o wydajności i funkcjonalności nie gorszej niż sprzęt uszkodzony. 3. Producent oferowanego sprzętu musi zapewnić wysoki poziom wsparcia technicznego, co zostanie potwierdzone przez: a) Udostępnienie na witrynie producenta pełnej dokumentacji użytkowej i technicznej sprzętu, co najmniej w języku angielskim. b) Udostępnienie na witrynie producenta wszystkich sterowników, oprogramowania i uaktualnień. Do oferty należy dołączyć adres właściwej strony. c) Zapewnienie podjęcia napraw gwarancyjnych i pogwarancyjnych na terenie całej Polski, najpóźniej w następnym dniu roboczym. 4. Oferowane produkty muszą spełniać wszystkie parametry określone w niniejszym załączniku oraz być fabrycznie nowe, oznakowane symbolem CE, pochodzić z legalnego źródła, muszą być dostarczone przez autoryzowany kanał sprzedaży producenta na terenie kraju i objęte standardowym pakietem usług gwarancyjnych zawartych w cenie urządzenia i oprogramowania świadczonych przez sieć serwisową producenta na terenie Polski. Zamawiający zastrzega sobie prawo do żądania potwierdzenia źródła pochodzenia urządzenia w postaci oświadczenia producenta. 5. Wymaga się aby elementy wchodzące w skład systemu ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej. 6. Wykonawca winien przedstawić nazwę, producenta i model oferowanego sprzętu i oprogramowania w poszczególnych jego rodzajach. 7. Wszystkie opisane parametry wymagane są wymaganiami minimalnymi. SPECYFIKACJA TECHNICZNA Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności niezależnie od dostawcy łącza: 1. Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów systemu. 2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 3. Monitoring stanu realizowanych połączeń VPN oraz automatyczne przekierowanie pakietów zgodnie z trasą definiowaną przez protokół OSPF. 4. System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparent. 5. System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet 10/100/1000 Base-TX 6. Możliwość tworzenia min 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q. 7. W zakresie Firewall’a obsługa nie mniej niż 500 tysięcy jednoczesnych połączeń oraz 15 tys. nowych połączeń na sekundę 8. Przepustowość Firewall’a: nie mniej niż 5 Gbps Wydajność szyfrowania AES lub 3DES: nie mniej niż 2 Gbps 9. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcjonalności. - kontrola dostępu - zapora ogniowa klasy Stateful Inspection - ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS). W celu zapewnienia wysokiej skuteczności mechanizmu antywirusowego wymaga się aby mechanizm skanowania działał w oparciu o technologię Proxy umożliwiającą analizę dowolnego typu załączników - poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN - ochrona przed atakami - Intrusion Prevention System [IPS] - 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM. - kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP) - kontrola pasma oraz ruchu [QoS, Traffic shaping] - Kontrola aplikacji oraz rozpoznawanie ruchu P2P - Możliwość analizy ruchu szyfrowanego protokołem SSL - Ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji na lokalnym dysku Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 500 Mbps Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi funkcjami: Antivirus, WebFilter, min. 90 Mbps W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż: - Tworzenie połączeń w topologii Site-to-site oraz Client-to-site - Producent oferowanego rozwiązania VPN powinien dostarczać klienta VPN współpracującego z proponowanym rozwiązaniem. - Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności - Praca w topologii Hub and Spoke oraz Mesh - Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF - Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły routingu powinny funkcjonować w ramach terminowanych na urządzeniu połączeniach IPSec VPN. Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie routingu, Firewall’a, Antywirus’a, IPS’a, Web Filter’a. Translacja adresów NAT adresu źródłowego i NAT adresu docelowego. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i maksymalne, priorytety) Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków powinna zawierać co najmniej 6500 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP Baza filtra WWW o wielkości co najmniej 45 milionów adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra WWW. Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL. System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: - Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu - haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP - haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych - Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania na kontrolerze domeny. 24. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: - ICSA dla funkcjonalności SSLVPN, IPS, Antywirus - ICSA lub EAL4 dla funkcjonalności Firewall 25. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i współpracować z dedykowanymi do centralnego zarządzania i monitorowania platformami wchodzącymi w skład systemu. Komunikacja systemów zabezpieczeń z platformami zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. 26. Wykonawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 12 miesięcy. 27. Gwarancja oraz wsparcie 1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres 24 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. 2) Serwis powinien być realizowany przez producenta rozwiązania lub autoryzowanego przedstawiciela producenta w zakresie serwisu gwarancyjnego (oferent winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Polski), mających swoją siedzibę na terenie Polski. Wsparcie techniczne producenta przyjmowane w trybie 8h dziennie w dni robocze. 3) W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Wykonawca winien przedłożyć dokument pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn zm.) oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. 4) Wykonawca winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iż posiada autoryzację producenta w zakresie sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych. 5) W związku ze specyfiką wdrożenia Zamawiający wymaga, aby wykonawca posiadał aktualny certyfikat ISO 9001 oraz ISO 27001 bądź równoważny (dostarczyć przed podpisaniem umowy). 6) Wdrożenie systemu u Zamawiającego powinno być wykonane przez producenta lub certyfikowanego przez producenta partnera. Osoby biorące udział we wdrożeniu systemu w siedzibie Zamawiającego, powinny posiadać aktualne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji o klauzuli 'poufne' zgodnie z art. 29 ustawy z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010r. Nr 182, poz. 1228) 28. Szkolenie Autoryzowane dla 2 osób (każda osoba odbywająca szkolenie w innym terminie) z zakresu konfiguracji i zarządzania dla dostarczonego sprzętu opisanego w powyższym załączniku, prowadzone przez trenera certyfikowanego przez producenta sprzętu oraz przeprowadzone w autoryzowanym przez producenta centrum szkoleniowym w Gdańsku lub w Warszawie. W przypadku wyboru lokalizacji Warszawa, Wykonawca zobowiązany jest pokryć koszty dojazdu, zakwaterowania (minimum kategoria dwugwiazdkowa) i wyżywienia uczestników szkolenia. Po zakończeniu szkolenia uczestnicy otrzymają certyfikat ukończenia sygnowany przez producenta oferowanego rozwiązania szczegółowo opisanego w niniejszym załączniku. Oferowane szkolenia umożliwią uczestnikom przystąpienie do egzaminu na uzyskanie statusu inżyniera. Szkolenie powinno obejmować poniższą tematykę: - Logowanie i monitoring - Lokalne uwierzytelnianie użytkowników - Konfiguracja firewalla - Skanowanie antywirusowe - SSL-VPN, IPSec-VPN - Filtracja Antyspamowa - Filtr stron WWW - Kontrola aplikacji