DZ 2711-2/16-zał.nr 1 do SIWZ

Załącznik nr 1 do SIWZ
Nr sprawy: DZ 2711-2/16
ROZBUDOWA INFRASTRUKTURY TELEINFORMATYCZNEJ
INSTYTUTU NAFTY I GAZU - PAŃSTWOWEGO INSTYTUTU
BADAWCZEGO, POPRZEZ DOSTAWĘ URZĄDZEŃ WRAZ Z
NIEZBĘDNYMI LICENCJAMI ORAZ ICH WDROŻENIEM
Zamówienie dofinansowywane przez Ministerstwo Nauki i Szkolnictwa Wyższego
w ramach przyznanej dotacji – Decyzja Nr 6607/II-LAN/2016
0/16
SPIS TREŚCI
1. Opis przedmiotu zamówienia……………………………………………………………….2
2. Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami ...3
3. Wirtualne urządzenie do ochrony poczty elektronicznej wraz z licencjami dla 600
kont pocztowych……………………………………………………………………………...4
4. Wirtualne urządzenie do ochrony ruchu WWW/ FTP wraz z licencjami dla 500
użytkowników …………………………………………………………………………………9
5. Opis wdrożenia …………………………………………………………………………..….14
1/16
1. Opis przedmiotu zamówienia:
Przedmiotem zamówienia jest rozbudowa infrastruktury teleinformatycznej Instytutu Nafty i Gazu –
Państwowego Instytutu Badawczego (INiG-PIB), poprzez dostawę, instalację i konfigurację jednego
urządzenia, pełniącego funkcję zapory sieciowej oraz dwóch urządzeń wirtualnych, jednego do ochrony poczty
elektronicznej i drugiego do ochrony ruchu WWW /FTP. Urządzenia te powinny posiadać wymagane przez
Zamawiającego licencje i gwarancje oraz muszą zostać, w ramach ich wdrożenia, zintegrowane z innymi
urządzeniami pracującymi w sieci Zamawiającego,. Po zakończeniu wdrożenia w/w urządzeń Wykonawca
zobowiązany będzie do przeprowadzenia instruktażu. Instruktaż musi się odbyć w siedzibie Zamawiającego.
Zamówienie zostało podzielone na trzy następujące zadania:
Zadanie 1: Urządzenie pełniące funkcję zapory sieciowej wraz z odpowiednimi licencjami
Dostawa, instalacja i konfiguracja w/w urządzenia wraz z niezbędnymi licencjami. Wymagania dotyczące tego
urządzenia zawarte są w specyfikacji technicznej - w punktach od 1 do 4 włącznie.
Zadanie 2: Wirtualne urządzenie do ochrony poczty elektronicznej wraz z licencjami, dla 600 kont
pocztowych
Dostawa, instalacja i konfiguracja w/w urządzenia wirtualnego wraz z niezbędnymi licencjami. Wymagania
dotyczące tego urządzenia zawarte są w specyfikacji technicznej, niniejszego załącznika - w punktach od 1 do
13 włącznie.
Zadanie 3 Wirtualne urządzenie do ochrony ruchu WWW i FTP wraz z licencjami, dla 500 użytkowników
Dostawa, instalacja i konfiguracja oprogramowania wraz z niezbędnymi licencjami. Wymagania dotyczące
tego urządzenia zawarte są w specyfikacji technicznej, niniejszego załącznika - w punktach od 1 do 4
włącznie.
Opis wdrożenia (dostawa, instalacja, konfiguracja i instruktaż) znajduje się na str.14, niniejszego
załącznika.
Zamawiający nie dopuszcza składania ofert częściowych.
Zaproponowane urządzenia oraz licencje muszą:
- być objęte min. 36-miesięcznym (3 lata) serwisem opartym na serwisie producenta urządzenia,
zapewniającym wymianę uszkodzonego sprzętu najpóźniej w następnym dniu roboczym po dniu zgłoszenia
awarii, jeżeli zgłoszenie wpłynęło w dniu roboczym do godziny 12:00, lub kolejnego dnia w pozostałych
przypadkach i zapewniać w tym okresie możliwość bezpłatnej aktualizacji oprogramowania do nowych
wersji, i dostępu do wsparcia technicznego producenta,
- być fabrycznie nowe i nieużywane wcześniej w żadnych innych projektach. Nie dopuszcza się urządzeń typu
refurbished lub odnowionych (zwróconych do producenta i później odsprzedawanych ponownie przez
producenta),
- pochodzić z legalnego kanału sprzedaży producenta. Zamawiający zastrzega sobie możliwość weryfikacji
numerów seryjnych dostarczonej platformy sprzętowej u producenta, w celu sprawdzenia czy pochodzi ona z
legalnego kanału sprzedaży,
- końcowym właścicielem oferowanego sprzętu, licencji i oprogramowania musi być Zamawiający.
W ramach składanej oferty Wykonawca winien wypełnić Formularz Ofertowy – zgodnie z załączonym wzorem
i wymaganiami zawartymi w SIWZ.
Rozbudowa istniejącej infrastruktury teleinformatycznej, musi być oparta na aktualnej infrastrukturze
Zamawiającego, stąd nie dopuszcza się wymiany żadnego z elementów jego obecnej infrastruktury (sprzęt,
licencje i oprogramowanie). Zaoferowane urządzenia, muszą być w 100% kompatybilne z aktualnymi
elementami i możliwymi do uruchomienia na nich funkcjonalnościami. Elementami aktualnej infrastruktury
teleinformatycznej (rdzeń sieci), na których zostanie oparta jej rozbudowa są:
- firewalle Cisco ASA-X 5545,
- routery Cisco ISR G2 3945 i 2951,
2/16
-
przełączniki Cisco Nexus 5672UP oraz Catalyst 3850,
macierz EMC VNXe 3150,
Dwa Serwery kasetowe typu “blade” – UCS Blade Server
Oprogramowanie do wirtualizacji VMware ESXi
Oferowane urządzenia muszą umożliwiać integrację z posiadanymi przez Zamawiającego firewallami serii
Cisco ASA 5500 co najmniej w zakresie przekierowania ruchu z wykorzystaniem WCCP oraz przenoszenia
informacji o tożsamości użytkowników łączących się z wykorzystaniem kanałów szyfrowanych (Remote
Access VPN).
Oferowane rozwiązanie ochrony poczty elektronicznej i ruchu WWW/FTP musi być zrealizowane w postaci
dwóch dedykowanych urządzeń dostarczanych przez producenta systemu oraz dwóch instancji wirtualnych.
Rozwiązanie to musi posiadać możliwość przeniesienia systemu na inne serwery będące w posiadaniu
Zamawiającego bez ponoszenia dodatkowych kosztów oraz musi posiadać opcję skalowania w celu uzyskania
większej wydajności na kolejne maszyny wirtualne będące w posiadaniu Zamawiającego, również bez
ponoszenia dodatkowych kosztów. Urządzenia wirtualne muszą zostać posadowione w postaci instancji
maszyn wirtualnych. Proponowane rozwiązanie musi dać się w przyszłości uruchomić na redundantnych
maszynach potrafiących pracować zarówno w trybie aktywny -zapasowy jak i aktywny -aktywny bez
dodatkowych licencji wymaganych do uruchomienia tych funkcjonalności.
2.Urządzenie pełniące funkcję zapory sieciowej wraz z
odpowiednimi licencjami
Wymagania dotyczące urządzenia:
1. Wydajność:
Urządzenie musi:
- Oferować co najmniej 2 Gbps maksymalnej wydajności dla ruchu IPv4 i IPv6,
- Oferować co najmniej 600 Mbps maksymalnej wydajności z włączoną funkcjonalnością ściany ogniowej
(firewall) i systemu wykrywania włamań (IPS),
- Oferować co najmniej 300 Mbps maksymalnej wydajności dla szyfrowania VPN algorytmami 3DES/AES,
- Wspierać co najmniej 750 tuneli IPSec VPN (peers) site-to-site,
- Wspierać co najmniej 750 tuneli SSL/VPN z użyciem klienta lub w trybie clientless,
- Oferować przynajmniej 20,000 nowych połączeń na sekundę
- Oferować przynajmniej 500,000 równoczesnych translacji NAT lub PAT,
- Wspierać ramki Ethernet typu Jumbo (9216 bajtów),
- Posiadać konsumpcję energii nie większą niż 400W.
2. Parametry:
Urządzenie musi:
- Posiadać przynajmniej 8 GB pamięci RAM,
- Pracować w oparciu o 64-bitowy system operacyjny,
- Posiadać przynajmniej 8 GB pamięci flash,
- Umożliwiać realizację dostępu administracyjnego do interfejsu zarządzania opartego o role (RBAC),
- Posiadać dedykowany interfejs do wprowadzania zmian w trybie out-of-band (konsola),
- Posiadać 2 porty USB ze wsparciem systemu plików na kluczach USB,
- Mieć rozmiar 1U i umożliwiać instalację w szafie 19".
3. Interfejsy:
Urządzenie musi:
- Posiadać przynajmniej 8 zintegrowanych interfejsów Gigabit Ethernet 10/100/1000BASE-T,
- Wspierać przynajmniej 200 VLANów per kontekst w trybie pracy jako firewall warstwy 3 (routed) dla protokołu
IPv4 i IPv6,
- Wspierać przynajmniej 8 grup po 4 VLANy per kontekst w trybie pracy jako firewall warstwy 2 (transparent)
dla protokołu IPv4 i IPv6,
- Posiadać moduł rozszerzeń, umożliwiający obsadzenie dodatkowej karty z interfejsami sieciowymi,
3/16
posiadającej przynajmniej dodatkowych 6 interfejsów Gigabit Ethernet 10/100/1000BASE-T lub przynajmniej
dodatkowych 6 interfejsów Gigabit Ethernet SFP 1000BASE-SX lub -LX/LH,
- Umożliwiać realizację wysokiej dostępności dla ruchu IPv4 i IPv6 poprzez mechanizmy:
a. failover active-standby,
b. failover active-active,
c. wsparcia dla routingu asymetrycznego w trybie active-active.
4.Wymagania dodatkowe:
Urządzenie musi:
- Umożliwiać przenoszenie konfiguracji “1 do 1” z aktualnego urządzenia Cisco ASA-X 5545 (nie dopuszcza
się użycia do tego celu żadnych dodatkowych skryptów i narzędzi),
- Wspierać funkcjonalność równoważną do znajdującej się na obecnych Cisco ASA-X 5545 funkcji Botnet
Traffic Filter i zostać dostarczone z licencjami umożliwiającymi korzystanie z niej przez okres 3 lat,
UWAGA: W chwili zamówienia, nie jest wymagana funkcjonalność IPS.
3. Wirtualne urządzenie do ochrony poczty elektronicznej wraz
z licencjami - dla 600 kont pocztowych
Wymagania dotyczące wirtualnego urządzenia:
1.Wirtualne urządzenie musi:
- dać się uruchomić w środowisku wirtualnym VMware ESXi – producent tego rozwiązania (urządzenia) musi
wspierać to środowisko
- dać się uruchomić w środowisku serwerowym Cisco Unified Computing System™ (Cisco UCS®),
- umożliwić obsługę minimum 600 użytkowników i dać się w przyszłości rozszerzyć do 999,
- zostać dostarczone z licencjami umożliwiającymi korzystanie z wymienionych funkcji na okres minimum 3 lat,
- pochodzić z legalnego kanału dystrybucji producenta na terenie UE,
- zostać dostarczone z serwisem producenta rozwiązania (urządzenia) umożliwiającym aktualizację systemu w
okresie minimum 3 lat,
- obsługiwać tzw. Outbreak Filters, które są w stanie blokować, tymczasowo wstrzymać lub wypuścić
wiadomość w oparciu o parametry takie jak: typ pliku, jego nazwa i rozmiar oraz lista URL, na podstawie
informacji otrzymywanych okresowo z centrum bezpieczeństwa producenta rozwiązania. Outbreak Filter
muszą także umożliwiać nadpisanie URL prowadzących do podejrzanych miejsc w celu przeskanowania
zawartości poprzez wirtualne urządzenie ochrony ruchu WWW,
- obsługiwać system antywirusowy, który aktualizuje się samoczynnie co 5 minut,
- zostać dostarczony z co najmniej jednym silnikiem antywirusowym i obsługiwać możliwość wykorzystania co
najmniej dwóch,
- obsługiwać system antyspamowy wykorzystujący reputację nadawcy oraz badanie kontekstu wiadomości i jej
treści z włączeniem URL,
- obsługiwać filtrowanie wiadomości z wykorzystaniem tzw. whitelist i blacklist.
- umożliwiać w przyszłości licencyjne rozszerzenie funkcjonalności o zaawansowaną ochronę malware,
kontrolę wiadomości wychodzących, DLP (Data Loss Prevention) i Envelope Service umożliwiające wysyłanie
szyfrowanych wiadomości oraz ich unieważnianie w określonym czasie w oparciu o portal producenta
rozwiązania.
2.Wymagania ogólne:
W ramach tego zamówienia Zamawiający będzie wymagał realizacji ochrony dla poczty przychodzącej.
Wirtualne urządzenie musi:
- Umożliwiać realizację następujących funkcji – jako całościowe rozwiązanie ochrony poczty elektronicznej:
a. ochronę przed szkodliwą treścią (m.in. malware, wirusy etc.)
b. ochronę przed spamem
c. filtrowanie treści przesyłanej w poczcie elektronicznej (w tym załączniki)
d. ochronę przed utratą informacji wrażliwych (wbudowany system DLP)
- Umożliwiać kontrolę protokołu SMTP w tym szyfrowane wersje tego protokołu: SSL i TLS
4/16
- Zapewniać filtrowanie poczty przychodzącej i wychodzącej, przy czym musi istnieć możliwość przypisana
odrębnych polityk dla każdego z kierunków przesyłania poczty elektronicznej
- Zapewniać ochronę dla komunikacji z wykorzystaniem protokołu IPv4 i IPv6
- Pracować jako gateway dla poczty elektronicznej (jako MTA - Mail Transfer Agent)
3.Architektura rozwiązania:
Urządzenie musi:
- Być dedykowanym MTA (Mail Transfer Agent) pracującym w trybie bramy dla ruchu SMTP
- Umożliwiać tworzenie klastrów w trybie active -active z rozkładem obciążenia
- Składać się z co najmniej dwóch redundantnych urządzeń potrafiących pracować zarówno w trybie aktywny zapasowy jak i aktywny -aktywny bez dodatkowych licencji wymaganych do uruchomienia tych funkcjonalności
- wspierać protokoły SMTP, ESMTP, Secure SMTP over TLS jako protokoły Mail Injection i Mail Delivery
- posiadać system operacyjny, który musi mieć specjalnie zaprojektowany mechanizm do obsługi I/O,
zoptymalizowany do obsługi poczty elektronicznej
4.Konfiguracja urządzenia musi być możliwa poprzez:
a. Interfejs Web: HTTP i HTTPS
b. CLI: przez SSH i telnet
5.Mechanizmy kryptograficzne:
Urządzenie musi wspierać następujące mechanizmy kryptograficzne:
a. TLS: 56-bit DES, 168-bit 3DES, 128-bit RC4, 128-bit AES i 256-bit AES
b. DomainKeys Signing: 512-, 768-, 1024-, 1536-, and 2048-bit RSA
6.Definiowanie polityk:
System zarządzania politykami musi umożliwiać:
- Wielokrotne wykorzystywanie w regułach predefiniowanych elementów takich jak filtry i akcje
- Definiowanie co najmniej następujących akcji (w ramach polityki):
a. dostarczenie wiadomości z wykonaniem dodatkowych akcji:
- zmodyfikowanie tematu przesyłki
- usunięcie i/lub dodanie nagłówka X-header
- wysłanie kopii wiadomości pod wskazany adres lub adresy email
b. zablokowanie wiadomości
c. zapisanie wiadomości do wskazanej kolejki
d. wysłanie powiadomienia
- Budowanie polityk i wyjątków od polityk, obejmujących wszystkie funkcjonalności produktu, niezależnie dla
ruchu wychodzącego i przychodzącego z zastosowaniem co najmniej:
a. domen email i pojedynczych adresów
b. obiektów z Microsoft AD
c. adresów pojedynczych użytkowników
- Tworzenie odrębnych polityk i wyjątków dla różnych użytkowników
7. System ochrony antyspamowej:
System ochrony antyspamowej musi:
- Posiadać rozbudowane narzędzia zapobiegania przesyłaniu SPAM do serwera pocztowego. W tym celu
system musi zapewniać mechanizmy ochrony oparte co najmniej o:
a. sygnatury
b. słowniki
c. heurystykę, dla której musi być możliwa regulacja czułości (kontrola ilości False-Positives)
- Posiadać wbudowane mechanizmy metody wykrywania wiadomości komercyjnych typu „Newsletters” i
umożliwiać traktowanie tych wiadomości w zależności od ustalonej polityki organizacji jako SPAM lub jako
wiadomość dopuszczona
- Zapewnić opcję definiowania wyjątków od stosowanych polityk
- Posiadać mechanizm antyspamowy, który musi być realizowany dwufazowo:
a. Pierwsza faza musi opierać się na sprawdzeniu reputacji adresu IP nadawcy w ogólnoświatowej bazie
reputacji, która z kolei musi:
- Otrzymywać dane z co najmniej 100.000 źródeł z całego świata
5/16
10
- Analizować co najmniej 150 parametrów dotyczących ruchu poczty elektronicznej i
protokołu WWW (w tym co najmniej 90 dla poczty)
- Używać do komunikacji z rozwiązaniem protokołu DNS
- Zwracać wynik reputacji dla adresu IP w skali co najmniej 20 stopniowej czyli np. od -10 do
- Ustalać rezultat reputacji jedynie na podstawie zbieranych danych, nie dopuszczając
jednorazowych interwencji ze strony wysyłających pocztę mających na celu manualne
podwyższenie ich reputacji
- Umożliwiać wykorzystanie, co najmniej dwóch systemów badania reputacji nadawców dla
poczty przychodzącej. Jeden z nich oparty o publiczny serwis Real-Time Blacklist (RBL), drugi
musi być systemem własnym producenta zaimplementowanym w rozwiązaniu
b. Druga faza działania mechanizmu antyspamowego musi następować, wtedy, gdy wiadomość
przejdzie pomyślnie fazę pierwszą i musi opierać się na silniku antyspamowym, korzystającym z reguł
wysyłanych od producenta . Przy czym, reguły muszą być tworzone dynamicznie na podstawie
informacji z co najmniej trzech źródeł:
- Reguły muszą weryfikować informację na temat adresów IP pojawiających się w mailach
jako linki do stron, strukturę wiadomości, czyli sposób w jaki została wysłana, treść
wiadomości oraz reputację nadawcy.
- Reguły powinny być uaktualniane automatycznie, nie rzadziej niż co 5 minut przez Internet
System ochrony antyspamowej dodatkowo musi:
- Posiadać możliwość skorzystania z funkcji reverse DNS lookup do określenia nazwy domeny dla adresu IP
nadawcy wiadomości przychodzącej, wykonanie weryfikacji, oraz odrzucenie połączenia w przypadku:
- Braku rekordu PTR
- Niezgodności nazwy domeny przesłanej w komunikacie SMTP HELO/EHLO z nazwą
domeny w rekordzie DNS
- Niezgodności rekordu PTR z rekordem A
- Umożliwiać weryfikację nadawcy wiadomości w oparciu o mechanizm SPF (Sender Policy Framework)
- Umożliwiać, co najmniej:
- Odrzucenie lub przyjęcie wiadomości jeżeli rekord SPF nie istnieje
- Odrzucenie wiadomości jeżeli rekord SPF nie pasuje do domeny nadawcy
-Umożliwiać:
- Monitorowanie i ograniczanie ilości połączeń z jednego adresu IP w określonym przedziale
czasu oraz musi zapewniać:
- opcję definicji przedziału czasowego
- opcję ograniczenia maksymalnej ilości połączeń i wiadomości
- Monitorowanie i ograniczanie Ilości równoczesnych połączeń SMTP dla jednego adresu IP
- Ograniczanie maksymalnej liczby wiadomości przekazywanych za pomocą pojedynczego
połączenia SMTP
- Wskazanie timeout’u dla niewykorzystywanego połączenia
- Pozwalać na blokowanie na określony czas przyjmowania poczty z adresów IP, dla których odnotowano
wiadomości zawierające zdefiniowaną liczbę niewłaściwych adresatów z chronionej domeny
8. System ochrony antywirusowej
System ochrony antywirusowej musi:
a. Zapewniać blokowanie złośliwych i niebezpiecznych treści:
 z wykorzystaniem tradycyjnego skanowania antywirusowego opartego o co najmniej jeden komercyjny
silnik antywirusowy oraz bazy sygnatur kodów złośliwych
6/16

b.
c.
d.
e.
z wykorzystaniem zaawansowanych technik wykrywania zagrożeń jak metody oparte o heurystykę i
analizy w czasie rzeczywistym
 typu ActiveX, Javascript lub VB script
Umożliwić uruchomienie mechanizmu bezpieczeństwa (sandboxingu) dla plików (reputacja i sandboxing) oraz
sprawdzenia informacji o przesyłanych obiektach w chmurze w celu wykrywania i blokowania zagrożeń
poprzez dodanie stosownej licencji
Umożliwiać definiowanie wyjątków od stosowanych polityk
Silniki antywirusowe muszą korzystać z następujących metod skanowania wiadomości:
 dopasowanie wzorców binarnych do sygnatur antywirusowych
 analizy heurystycznej
 emulacji uruchomienia kodu (w celu zapobiegania infekcji wirusami polimorficznymi)
Mechanizm musi mieć do dyspozycji oddzielną od dedykowanej dla spamu kwarantannę, do której dostęp ma
tylko administrator
System musi zapewniać mechanizmy dynamicznej ochrony przed epidemią złośliwego kodu (ang. Outbreak)
Mechanizm antywirusowy musi posiadać technologię umożliwiającą automatyczną kwarantannę wiadomości,
które pomimo, że nie są wskazane przez powyższe metody skanowania (z powodu np. braku odpowiednich
sygnatur antywirusowych), mogą jednak zawierać złośliwy kod. Informacje o takim podejrzeniu powinny być
wysyłane przez bazę reputacji, o parametrach opisanych w wymogach modułu antyspamowego.
Podejrzane wiadomości powinny pozostać w kwarantannie, aż do wypuszczenia przez producentów silników
antywirusowych odpowiednich sygnatur i automatycznie wypuszczane i skanowane ponownie po ściągnięciu
odpowiednich sygnatur.
9. Filtrowanie i kontrola treści
System ochrony poczty elektronicznej musi umożliwiać kontrolę treści wiadomości co najmniej w zakresie:
a. słowa kluczowe
b. słowniki
c. wyrażenia regularne
d. typ załączników
Kontrola musi obejmować co najmniej następujące elementy wiadomości:
a. tytuł,
b. treść
c. nagłówki
d. adres nadawcy
e. adres odbiorcy
Proponowane rozwiązanie musi posiadać mechanizmy analizy i flitrowania oraz zarządzania treścią
wiadomości poczty elektronicznej (zarówno treści samej wiadomości jak i jej załączników).
System ochrony musi mieć możliwość:
- Zdefiniowania polityki zarządzania treścią wiadomości w oparciu o wynik reputacji pobrany z bazy
reputacji o parametrach opisanych w module antyspamowym.
- Zdefiniowania polityki zarządzania treścią wiadomości w oparciu o wynik uwierzytelnienia DKIM,
funkcjonalności opisanej w wymaganiach dotyczących zastosowania kryptografii w proponowanym
urządzeniu
- Filtrowania treści za pomocą integracji z zewnętrznymi słownikami
Oferowany system ochrony poczty musi umożliwiać zarządzanie kolejkami (folderami) dla blokowanych
wiadomości w zakresie zarządzania predefiniowanymi oraz tworzenia nowych. Wiadomości kierowane do
określonych kolejek powinny móc być przechowywane w ramach urządzenia (appliance) lub poza nim na
zasobie dostępnym przez NFS lub Samba. System ten musi zawierać moduł DLP umożliwiający identyfikację
chronionych informacji z użyciem mechanizmów takich, jak:
a. słowa kluczowe
b. słowniki
c. wyrażenia regularne
7/16
d. właściwości przesyłanych plików takie, jak prawdziwy typ pliku, jego nazwa lub rozmiar
System ochrony poczty musi zapewniać kwarantannę dla zablokowanych wiadomości. Dla kolejki
kwarantanny musi być możliwe zdefiniowanie jej maksymalnej wielkości oraz czasu, po którym wiadomości
będą usuwane.
10. Kryptografia
Oferowane rozwiązanie (urządzenie) musi:
- Posiadać mechanizmy oznaczania poczty wychodzącej (Bounce Address Tag Validation (BATV)) oraz
weryfikacji tego oznaczenia w przypadku otrzymania wiadomości odbitej od odbiorcy (tzw. Bounce) w celu
ochrony przed atakami typu „misdirected bounce spam”
- Obsługiwać standard DKIM (Domain Keys Identified Messages) używany w celu uwierzytelnienia poczty,
za pomocą szyfrowania asymetrycznego
- Umożliwiać opcjonalnie, oddzielnie licencjonowane, szyfrowanie symetryczne poczty dla wybranych
wiadomości, wykonywane bez potrzeby jakiejkolwiek ingerencji w klienta pocztowego oraz bez potrzeby
implementacji PKI.
- Udostępniać szyfrowanie za pomocą algorytmów AES orz ARC.
11. Moduł raportujący i zarządzający:
Konfiguracja urządzenia musi być możliwa poprzez:
a. Interfejs Web: HTTP i HTTPS
b. CLI: przez SSH i telnet (w przypadku dedykowanego rozwiązania sprzętowego)
Oferowane rozwiązanie (urządzenie) musi być wyposażone w system raportujący umożliwiający:
a. generowanie predefiniowanych oraz własnych raportów na żądanie oraz zgodnie z harmonogramem,
przy czym harmonogram powinien umożliwiać generowanie raportów codziennie, co tydzień lub co
miesiąc
b. dostarczanie raportów w postaci plików pdf i csv
c. dostosowanie tematu i treści automatycznie wysyłanego maila zawierającego generowane raporty
Zarządzanie, przeglądanie aktywności użytkowników oraz raportowanie musi być dostępne przez
zintegrowaną webową konsolę administracyjną. Dostęp do webowej konsoli zarządzającej musi odbywać
się w bezpiecznym połączeniu https. Konsola zarządzająca musi zawierać ekran przedstawiający wykres
sumarycznej aktywności z ostatnich 24 godzin oraz podstawowe statystyki. Oferowane rozwiązanie
(urządzenie) musi udostępniać mechanizm pozwalający na przeglądanie przez chronionych użytkowników
wiadomości umieszczonych w kwarantannie, umożliwiając im również zwolnienie wybranych wiadomości z
kwarantanny.
12. Wymagania sprzętowe – instancja wirtualna:
Urządzenie wirtualne musi:
a. Być urządzeniem dedykowanym MTA (Mail Transfer Agent) pracującym w trybie bramy dla wchodzącego i
wychodzącego ruchu SMTP
b. Umożliwiać pracę w postaci instancji wirtualnych
c. Posiadać opcję skalowania w celu uzyskania większej wydajności na kolejne maszyny wirtualne będące w
posiadaniu Zamawiającego bez ponoszenia dodatkowych kosztów
d. Zostać posadowione na platformie wirtualnej w konfiguracji umożliwiającej obsługę 600 skrzynek pocztowych
e. Dać się w przyszłości uruchomić na redundantnych maszynach potrafiących pracować zarówno w trybie
aktywny -zapasowy jak i aktywny -aktywny bez dodatkowych licencji wymaganych do uruchomienia tych
funkcjonalności
13. Wymagane licencje:
Urządzenie wirtualne musi:
a. Być zaoferowane z możliwością instalacji systemu na nieograniczonej liczbie maszyn wirtualnych
b. Posiadać licencje dla 600 skrzynek pocztowych z minimum 3-letnią subskrypcją (z możliwością
przedłużenia) na następujące funkcjonalności:
 Antyspam
8/16
 Antywirus
 Outbreak
c. Posiadać funkcjonalności dostępne dla poczty przychodzącej
4. Wirtualne urządzenie do ochrony ruchu WWW /FTP wraz z
licencjami – dla 500 użytkowników
Wymagania dotyczące wirtualnego urządzenia:
1. Wymagania ogólne:
Wirtualne urządzenie do ochrony ruchu WWW i FTP musi:
- dać się uruchomić w środowisku wirtualnym VMware ESXi – producent tego rozwiązania (urządzenia) musi
wspierać to środowisko
- dać się uruchomić w środowisku serwerowym Cisco Unified Computing System™ (Cisco UCS®),
- umożliwić obsługę minimum 500 użytkowników i dać się w przyszłości rozszerzyć do 999,
- zostać dostarczone z licencjami umożliwiającymi korzystanie z wymienionych funkcji na okres minimum 3 lat,
- pochodzić z legalnego kanału dystrybucji producenta na terenie UE,
- zostać dostarczone z serwisem producenta rozwiązania umożliwiającym aktualizację systemu w okresie
minimum 3 lat,
- obsługiwać tzw. Application Visibility and Control (AVC), monitorowanie ruchu L4 i URL Filtering,
- obsługiwać skanowanie treści strony w oparciu o reputację,
- zostać dostarczony z minimum dwoma różnymi silnikami Anti-malware (np. Sophos Anti-malware i Webroot
Anti-malware),
- umożliwiać w przyszłości licencyjne rozszerzenie funkcjonalności o zaawansowaną ochronę malware, DLP
(Data Loss Prevention), integrację z zakupionym już oprogramowaniem Cisco AnyConnect i Cisco ISE w celu
zapewnienia obsługi Roaming-User Protection.
Rozwiązanie (urządzenie wirtualne) ochrony komunikacji webowej musi monitorować i kontrolować ruch
WWW analizować treści przesyłane tym kanałem komunikacji i zapewniać ochronę przed pobraniem
złośliwych treści.
2.Wymagania szczegółowe:
Dostarczone urządzenie wirtualne musi:
-Zapewniać ochronę dla komunikacji z wykorzystaniem protokołu IPv4 i IPv6
-Umożliwiać tworzenie klastra pracującego w trybie active-active z równoważeniem obciążenia, z
wykorzystaniem, co najmniej WCCP oraz zewnętrznych sprzętowych load balancer’ów
-Posiadać możliwość działania jako proxy dla HTTP, HTTPS, FTP (ftp over http, ftp active, ftp passive)
-Zapewniać możliwość działania jako:
a. proxy dedykowane (explicit proxy)
b. proxy transparentne (transparent proxy), z wykorzystaniem routingu opartego o polityki (PBR policy based routing) lub przekierowania z wykorzystaniem protokołu WCCP v2,
-Zapewniać możliwość współpracy z innymi serwerami proxy w konfiguracji hierarchicznych łańcuchów proxy
(proxy chaining):
a. jako serwer nadrzędny, w trybie „upstream proxy” (parent proxy)
b. musi zapewniać możliwość użycia nagłówków informujących o prawdziwym żródle połączenia
(X-Auth-User oraz X-Forwarded-For)
c. jako serwer podrzędny, w trybie „downstream proxy” (child proxy)
d. musi zapewniać możliwość dodania nagłówków informujących o prawdziwym żródle
połączenia do zapytania URL (X-Auth-User oraz X-Forwarded-For)
-Zapewniać możliwość nasłuchiwania obsługiwanych protokołów, na portach innych niż standardowe
-Umożliwiać uwierzytelnienie użytkowników z wykorzystaniem mechanizmów NTLM, LDAP,
9/16
-Posiadać możliwość integracji z Microsoft Active Directory w celu możliwości definiowania polityk dla
użytkowników oraz innych elementów AD (grupy, OU, itp)
-Zapewniać możliwość lokalnego uwierzytelnienia użytkownika w przypadku braku informacji go
identyfikujących
- Zapewniać cache’owanie obiektów pobieranych przez użytkowników (zmniejszenie wykorzystania pasma do
Internetu)
- Zapewniać wiele warstw ochrony. Przy czym pierwszą warstwą ochrony musi być sprawdzenie reputacji
adresu IP bądź domeny, z którymi łączą się użytkownicy strefy chronionej, za pomocą danych zgromadzonych
w globalnej bazie reputacji, która ustala reputację co najmniej w 20 stopniowej skali np. w zakresie od -10 do
+10. Ocena reputacji musi być określana na podstawie analizy co najmniej 50 różnych parametrów
dotyczących adresów WWW co najmniej, takich jak:










Weryfikacja czy strona znajduje się na tzw. internetowych „Czarnych listach” stron WWW
Weryfikacja czy strona znajduje się na tzw. Internetowych „Białych listach” stron WWW
Określenie w jakiej kategorii jest skatalogowana
Określenie treści strony
Sprawdzenia zachowania się URL podczas połączenia
Sprawdzenie danych dotyczących globalnego ruchu sieciowego dotyczącego tej strony
Sprawdzenie danych podmiotu na który domena jest zarejestrowana
Określenie czy adres IP strony pochodzi z puli adresów przydzielanych dynamicznie
Sprawdzenie czy adres znajduje się na liście serwerów na które się włamano
Sprawdzenie danych właścicieli sieci, w których strona jest hostowana
3. Wymagania dodatkowe:
Dodatkowo urządzenie wirtualne do ochrony ruchu WWW i FTP musi:
- Umożliwiać rozróżnienie reputacji - oddzielnie dla obiektów na stronie www np. dla plików graficznych, java,
flash itp.
- Umożliwiać kontrolę ruchu użytkowników wewnętrznych do zasobów zewnętrznych na podstawie
zdefiniowanych uprawnień.
- Zapewniać możliwość definiowania uprawnień dotyczących:
a. Obiektu docelowego w oparciu o:
- Kategorię URL do której przypisany jest dany adres URL,
- Adres IP zasobu
- Wykorzystywany protokół lub aplikację.
b. Użytkowników wewnętrznych w oparciu o
- Obiekty w Active Directory
- Adresację IP.
- Zapewniać ochronę przed niebezpieczną treścią w obu kierunkach ruchu pomiędzy siecią wewnętrzną i
zewnętrzną
- Umożliwiać blokowanie złośliwej treści z wykorzystaniem:
- Skanowania antywirusowego
- Zaawansowanych heurystycznych technik wykrywania
- Umożliwiać blokowanie dostępu do zasobów związanych z zagrożeniami (malware, phishing, etc)
- Posiadać możliwość wykrywania i blokowania ruchu pochodzącego od zainfekowanych hostów
wewnętrznych wychodzącego do Internetu (ruch PhoneHome do Botnet Command&Control).
- Umożliwiać definiowanie granularnej polityki dostępu do zasobów w określonych kategoriach URL z
wykorzystaniem taki atrybutów jak
a. Nazwa użytkownika,
b. Grupa użytkowników do której przynależy użytkownik,
c. adres IP stacji,
d. zakres adresów IP,
e. dzień tygodnia,
f. pora dnia,
10/16
- Pozwalać na tworzenie własnych stron z komunikatami dla użytkowników
- Umożliwiać warunkowe udostępnianie użytkownikom, stron blokowanych przez aktualną politykę, przy czym:
a. Warunkowy dostęp może odbywać się poprzez wyświetlenie strony na której użytkownik będzie
mógł potwierdzić wolę skorzystania ze strony pomimo iż jest to niezgodne z polityką.
b. Warunkowy dostęp musi być definiowany przez administratora dla wybranych stron, adresów IP i
obiektów na stronach
c. Informacja o decyzjach użytkowników muszą być zapisywane w logach z dokładnością do
informacji o:
- Czasie,
- Stronie do której dostęp był blokowany,
- Użytkowniku
- Decyzji podjętej przez użytkownika.
- Umożliwiać deszyfrację i inspekcję szyfrowanych połączeń HTTPS.
- Zapewniać możliwość granularnej konfiguracji skanowania połączeń HTTPS w szczególności
a. Wyłączenie deszyfracji dla określonych kategorii stron internetowych,
b. Wyłączenie deszyfracji dla wskazanych stron,
c. Wyłączenie deszyfracji dla wskazanych adresów IP
4. System ochrony ruchu WWW /FTP musi ponadto:
- Pracując w modelu proxy musi mieć możliwość kontroli atrubutów związanych z certyfikatem,
przedstawianym przez serwer docelowy, w szczególności system musi:
a. Weryfikować zgodność adresu zawartego w certyfikacie i żądanego przez użytkownika,
b. Sprawdzać datę ważności certyfikatu,
c. Zapewniać kontrolę łańcucha certyfikacji,
d. Weryfikować unieważnienie certyfikatu z wykorzystaniem CRL oraz OCSP.
- Zapewniać zarządzanie listą Trusted Root CA wykorzystywaną przy weryfikowaniu certyfikatów serwerów
docelowych.
- Umożliwiać ostrzeganie użytkowników przed naruszeniem reguł z opcją kontynuacji. Zdarzenia takie muszą
być logowane celem umożliwienia rekonfiguracji systemu i zdefiniowania dla nich domyślnych akcji w
przyszłości. System musi umożliwiać zdefiniowanie co najmniej następujących akcji:
a. Blokowanie
b. Blokowanie z możliwością kontynuacji,
c. Wyłączenie inspekcji https dla danej strony,
- Umożliwiać kategoryzację odwiedzanych przez użytkowników stron internetowych na podstawie ich bieżącej
zawartości.
- Zapewniać możliwość zdefiniowania procesu dynamicznej kategoryzacji dla stron, które nie są już
skategoryzowane. Jednocześnie strony, które zostały uprzednio skategoryzowane nie będą podlegały
ponownie temu procesowi
- Umożliwiać tworzenie polityki dostępu do zasobów internetowych w oparciu o:
a. Słowa kluczowe zawarte w adresie URL,
b. Typy plików,
c. Zajętość pasma sieciowego dla streaming media.
- Umożliwiać kontrolę nad działaniami użytkowników wykonywanych w ramach portali społecznościowych w
tym korzystaniem z mikro-aplikacji. Kontrola musi być możliwa z granularnością dla funkcji w obrębie portali
np. publikowanie komentarzy, zamieszczanie zdjęć, korzystanie z chat, etc.
- Umożliwiać blokowanie aktywnych treści - ActiveX, JavaScript, oraz VBScript z treści dostarczanej
użytkownikowi.
- Umożliwiać tworzenie wyjątków dla poszczególnych stron internetowych, od obowiązującej polityki kontroli
ruchu, niezależnie dla protokołów http, https i ftp lub aplikacji. Definicja wyjątków musi uwzględniać:
a. Kategoryzację danej treści,
b. Skanowanie zagrożeń
c. Usuwania treści aktywnych
11/16
d. dostęp do protokołu i/lub aplikacji.
- Pozwalać na elastyczne definiowanie ról administratorów z możliwością rozgraniczenia uprawnień. W
szczególności system musi pozwalać na stworzenie roli z dostępem w trybie Read-Only
- Umożliwiać przechowywać logi dotyczące aktywności użytkowników przez okres zdefiniowany przez
administratora
- Zapewniać narzędzie raportujące pozwalające na manualne oraz zautomatyzowane generowanie
raportów w zakresie wszystkich parametrów monitorowanych i kontrolowanych przez system W
szczególności raporty muszą obejmować:
a. Analizę ruchu do konkretnych zewnętrznych adresów IP,
b. Analizę ruchu do witryn internetowych oraz ich elementów,
c. Analizę aktywności użytkowników wewnętrznych
d. Analizę aktywności wewnętrznych adresów IP.
- Posiadać możliwość eksportowania raportów, co najmniej w formatach PDF oraz CSV.
- Zapewniać możliwość informowania administratorów o wystąpieniu określonych zdarzeń i incydentów w
postaci wiadomości email wysyłanych na prekonfigurowane adresy poczty elektronicznej,
- Zapewniać możliwość kontroli dostępu użytkowników do poszczególnych raportów
- Umożliwiać filtrowanie protokołów wykrytych w ruchu sieciowym innym niż http https, ftp oraz
tunelowanych w HTTP/HTTPS
- Wykrywać i umożliwiać definiowanie reguł dla następujących działań w sieci
a. Wykrywanie i kontrola nad transferem plików w sieci;
b. Wykrywanie komunikatorów internetowych umożliwiających wymianę wiadomości w czasie
rzeczywistym oraz przesyłanie plików/załączników
c. Wykrywanie i kontrola ruchu pomiędzy hostami w Botnet
d. Wykrywanie ominięcia lub podmiany serwera proxy.
e. Wykrywanie streamingu plików audio/wideo.
- Posiadać możliwość filtrowania adresów URL.
- Posiadać wbudowaną bazę adresów URL, z podziałem na kategorie związane z treścią stron,. Baza
musi być utrzymywana przez producenta, aktualizowana i weryfikowana pod kątem poprawności
zastosowanej dla stron www kategoryzacji
- Umożliwiać tworzenie własnych kategorii stron i umieszczanie w nich stron nieskategoryzowanych jak
też przynależących do innych kategorii
- Pozwalać na zmiana przynależności określonych URL do kategorii
- Umożliwiać kategoryzację w czasie rzeczywistym witryn nieskategoryzowanych w bazie danych URL lub
witryn należących do kategorii dynamicznych (Social Networking i inne)
- Umożliwiać analizę witryn internetowych z dokładnością do poszczególnych obiektów w szczególności w
przypadku naruszenia polityki przez obiekt na stronie, wówczas użytkownikowi powinna zostać
wyświetlona strona z pominięciem obiektów naruszących reguły.
- Umożliwiać definiowanie następujących akcji w ramach filtrowania URL:
a. Blokowanie
b. Dopuszczenie
c. Blokowanie z możliwością wejścia na stronę poprzez decyzję użytkownika o kontynuacji
(wyświetlenie ostrzeżenia o naruszeniu polityki)
- Umożliwiać definiowanie reguł dotyczących filtrowania URL z dokładnością do:
a. Kategorii URL
b. Wskazanych URL w ramach dowolnej kategorii
c. Stron www
d. Określonych obiektów na stronie www
e. Treści typu ActiveX, Javascript lub VB script.
- Zapewniać możliwość blokowania treści typu ActiveX, Javascript lub VB script.
- Zapewniać stosowanie filtracji opartych o reputację witryn i adresów IP
- Zapewniać blokowanie złośliwej zawartości jak szkodliwe oprogramowanie i wirusy z wykorzystaniem
skanowania antywirusowego (silnik antywirusowy oraz bazy sygnatur malware)
12/16
- Umożliwiać blokowanie złośliwej treści z wykorzystaniem zaawansowanych technik wykrywania
zagrożeń jak metody behawioralne i analizy w czasie rzeczywistym
- Umożliwiać zastosowanie trzech komercyjnych silników anti-malware jednocześnie
- Posiadać funkcję automatycznego wyboru i wykorzystania najlepszego silnika antymalware w zależności
od rodzaju i typu treści przesyłanej w ramach strony www. System musi umożliwiać inspekcję równoległą
– jednocześnie różnymi silnikami różnych obiektów strony
- Posiadać funkcję mechanizmu bezpieczeństwa (sandboxingu) lub badania w chmurze w celu
wykrywania i blokowanie zagrożeń
- Zapewniać mechanizmy zaawansowanej ochrony antimalware obejmujące
a. Sprawdzenie reputacyjne dla plików przesyłanych przez urządzenie
b. Kontrolę przesyłanych plików przez mechanizm sandboxingu
c. Monitorowanie wsteczne dla plików już przesłanych
Kontrola reputacji dla plików musi odbywać się w ogólnoświatowej bazie reputacji i na podstawie
unikalnych danych własnościowych pliku. Nie jest dopuszczalne, aby sprawdzenie reputacyjne wymuszało
przesłanie pliku na zewnątrz systemu ochrony www.
Funkcja sandboxingu musi być realizowana bezpośrednio przez system ochrony www, niedopuszczalne
jest stosowanie zewnętrznych systemów firm trzecich.
Funkcja monitorowania wstecznego musi umożliwiać informowanie administratora o zmianie decyzji
dotyczących plików uprzednio przesłanych przez urządzenie. W szczególności dotyczy to sytuacji gdy we
wskazanym pliku wykryto złośliwy kod.
Wymagane jest zapewnienie możliwości definiowania wyjątków od stosowanej polityki, niezależnie dla
każdego protokołu http, https, ftp
Oferowany system (urządzenie) musi być wyposażony w centralną webową konsolę zarządzającą
umożliwiającą:
a. Zarządzanie systemem,
b. Przeglądanie aktywności użytkowników
b. Raportowanie
Oferowany system zarządzania urządzeniem wirtualnym do ochrony ruchu WWW /FTP musi:
- Zapewniać możliwość delegacji uprawnień do administrowania poszczególnymi składnikami i
opcjami systemu.
- Umożliwiać zintegrowane zarządzanie rozwiązaniami tego samego producenta, również do ochrony
poczty elektronicznej
- Umożliwiać delegowanie uprawnień do zarządzania i raportowania
- Udostępniać aktualne oraz historyczne dane dotyczące działania systemu
Dostęp do konsoli zarządzającej musi odbywać się z wykorzystaniem https i z weryfikacją uprawnień
dostępu.Konfiguracja systemu ochrony www musi być przetrzymywana w pliku XML lub innym
pozwalającym na jego przeglądanie w trybie offline
Dodatkowo oferowany system musi być wyposażony w moduł raportujący, umożliwiający:
a. Generowanie raportów z podziałem na pojedynczych użytkowników, grupy użytkowników
adresów IP i ich aktywności
b. Generowanie raportów ukryciem danych pozwalających zidentyfikować użytkownika
c. Bieżący wgląd w aktywność użytkowników.
Oferowany system musi umożliwiać monitorowanie aktywności użytkowników co najmniej w oparciu o
następujące kryteria:
a. Adres URL
b. Kategoria adresu URL
c. Źródłowy adres IP
d. Docelowy adres IP
e. Port
f. Domena
g. Użytkownik
13/16
h. Akcja
i. Dzień
j. Wolumen przesłanych danych
- System operacyjny urządzenia musi posiadać specjalnie zaprojektowany mechanizm do obsługi I/O,
zoptymalizowany do obsługi ochrony www.
- Oferowany system (urządzenie) powinien być przygotowany do pełnej obsługi 10 000 użytkowników.
Oferowane rozwiązanie (urządzenie) musi zapewniać możliwość instalacji na nieograniczonej liczbie
maszyn wirtualnych
Oferowane rozwiązanie (urządzenie wirtualne) musi mieć licencje dla 500 użytkowników na 3 lata z
możliwością przedłużenia i obsługiwać w ramach dostarczonych licencji następujące
funkcjonalności:
a. Filtracja reputacyjna
b. Filtracja URL
c. Wykrywanie aplikacji i kontrola korzystania z www
d. Antymalware z wykorzystaniem co najmniej dwóch silników komercyjnych z
licencyjną możliwością uruchomienia trzeciego w przyszłości
Proponowane rozwiązanie (urządzenie) musi dać się w przyszłości zintegrować z dedykowaną konsolą
zarządzającą umożliwiającą centralne zarządzanie wszystkimi instancjami systemu ochrony www /ftp i
poczty elektronicznej (wirtualnymi i posadowionymi na dedykowanych urządzeniach) z jednego miejsca i
spełniać szczegółowe wymagania dotyczące raportowania i zarządzania opisane dla systemów ochrony
poczty elektronicznej i www /ftp.
5. Opis wdrożenia:
Wdrożenie obejmować będzie dostawę, instalację i konfigurację zakupionych urządzeń oraz instruktaż.
Jednakże, oprócz konfiguracji nowo dostarczonych urządzeń, Wykonawca będzie zobowiązany do
rekonfiguracji urządzeń i serwerów pracujących już w systemie teleinformatycznym Zleceniodawcy w zakresie
wymaganym wdrożeniem nowych urządzeń. Całość prac powinna przebiegać w sposób płynny i jak najmniej
inwazyjny. Oznacza to, iż nowa konfiguracja powinna zostać przygotowana i zweryfikowana przed
rozpoczęciem wdrożenia. Proces konfiguracji powinien odbyć się w siedzibie Wykonawcy i obejmować swoim
zakresem tematy prac ustalone wcześniej ze Zleceniodawcą. Dla zapewnienia ciągłości działania systemu
teleinformatycznego Zamawiającego, niektóre prace wdrożeniowe będą możliwe do wykonania wyłącznie
poza regulaminowym czasem pracy, np. w godzinach wieczornych/nocnych lub w weekendy.
Wymagania dotyczące osób prowadzących wdrożenie:
Od Wykonawcy wymaga się oddelegowania do prac wdrożeniowych personelu posiadającego następujące
certyfikaty:
- CCDP (Cisco Certified Design Professional),
- CCNP R&S (Cisco Certified Network Professional Routing&Switching),
- CCNP-S (CCNP Security, formerly known as CCSP).
Uwaga: Listę osób jaka zostanie wydelegowana do tych prac, wraz z listą posiadanych przez nich certyfikatów
należy załączyć razem z ofertą.
Opis wdrożenia urządzenia pełniącego funkcję zapory sieciowej:
Dostawa i instalacja urządzenia w Oddziale Terenowym INiG – PIB w Krośnie, ul. Armii Krajowej 3.
Konfiguracja urządzenia pełniącego funkcję zapory sieciowej, swoim zakresem będzie obejmować między
innymi technologie/protokoły: Botnet Traffic Filter, Stateful Firewall, SSL VPN, IPsec VPN/IKEv2, uRPF,
NetFlow, OSPF, QoS, ACL, Role-Based CLI Access, NTP i SSH.
Opis wdrożenia urządzenia wirtualnego do ochrony poczty:
14/16
Dostawa i instalacja urządzenia w Krakowie.
Konfiguracja wirtualnego urządzenia ochrony poczty swoim zakresem będzie obejmować:
- Integrację nowo dostarczonego urządzenia z pracującymi w sieci Zleceniodawcy urządzeniami i serwerami,
- Konfiguracja systemu antywirusowego i antyspamowego,
- Weryfikacja poprawności działania obsługi poczty przychodzącej i wychodzącej.
Opis wdrożenia urządzenia wirtualnego do ochrony ruchu WWW i FTP:
Dostawa i instalacja urządzenia w Krakowie .
Konfiguracja wirtualnego urządzenia ochrony ruchu WWW /FTP swoim zakresem będzie obejmować:
- Integrację dostarczonego urządzenia z pracującymi w sieci Zleceniodawcy urządzeniami i serwerami,
- Konfigurację polityk ochrony ruchu WWW /FTP na brzegu sieci,
- Weryfikację poprawności działania ruchu WWW /FTP.
Na zakończenie prac wdrożeniowych Wykonawca musi:
1.Przeprowadzić instruktaż z zakresu obsługi wdrożonych urządzeń i systemów. Instruktaż, po 2 godziny
lekcyjne dla każdego urządzenia (systemu), w sumie 6 godzin, musi odbyć się w siedzibie Zamawiającego, na
terenie Krakowa w terminie wcześniej uzgodnionym z Zamawiającym
2. Dostarczyć dokumentację powdrożeniową, zawierającą schemat aktualnej sieci, z uwzględnieniem nowych
urządzeń wraz z plikami konfiguracyjnymi.
3. Przekazać wszelkie materiały z przeprowadzonych instruktaży oraz instrukcje do wszystkich
zainstalowanych systemów i urządzeń. Materiały muszą być w języku polskim.
4. Przekazać Zamawiającemu pełny dostęp do wdrożonych urządzeń wraz z wszystkimi loginami i hasłami.
Wykonawca zobowiązany jest to zapewnienia gwarancji na wdrożoną konfigurację i przeprowadzenia
niezbędnych aktualizacji oprogramowania, przez okres minimum 3 miesięcy, po zamknięciu
wdrożenia.
15/16