Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę

Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem
administratorów oraz opieką serwisową
Numer ogłoszenia: 100949 - 2008; data zamieszczenia: 14.05.2008
OGŁOSZENIE O ZAMÓWIENIU - dostawy
Zamieszczanie ogłoszenia: obowiązkowe.
Ogłoszenie dotyczy: zamówienia publicznego.
SEKCJA I: ZAMAWIAJĄCY
I. 1) NAZWA I ADRES: Powiat Nowosądecki, Zarząd Powiatu Nowosądeckiego, ul. Jagiellońska 33, 33-300 Nowy Sącz, woj. małopolskie, tel. 018
4141600, fax 018 4141700.
•
Adres strony internetowej zamawiającego: www.starostwo.nowy-sacz.pl
I. 2) RODZAJ ZAMAWIAJĄCEGO: Administracja samorządowa.
SEKCJA II: PRZEDMIOT ZAMÓWIENIA
II.1) OPIS
II.1.1) Nazwa nadana zamówieniu przez zamawiającego: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz
z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową.
II.1.2) Rodzaj zamówienia: dostawy.
II.1.3) Określenie przedmiotu oraz wielkości lub zakresu zamówienia: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń
klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową.
Urządzenia
Wymogi odnośnie urządzeń:
Urządzenia dostarczone wraz z opcją 3 letniego serwisu gwarantującego dostarczanie nowych wersji oprogramowania, nowych sygnatur dla systemu
IPS/IDS oraz antywirusa przez 36 miesięcy od momentu dostarczenia urządzenia. W ramach serwisu dostawca zobowiązany jest do wymiany
urządzenia w przypadku jego uszkodzenia w terminie do 14 dni od daty zgłoszenia awarii.
Urządzenie musi posiadać zintegrowaną architekturę bezpieczeństwa obejmującą następujące funkcje:
ZAPORA KORPORACYJNA (Firewall)
1) Firewall klasy Stateful Inspection.
2 )Urządzenie obsługuje translacje adresów NAT, PAT, 1-PAT.
3 )Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł na firewallu.
4) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł na firewallu określający dzień tygodnia,
godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu.
5) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł na firewallu.
6) Urządzenie daje możliwość ustawienia trybu pracy jako router warstwy trzeciej lub jako bridge warstwy drugiej lub hybrydowo (część jako router a
część jako bridge).
7) Narzędzie do konfiguracji firewalla powinno umożliwiać tworzenie odpowiednich reguł przy użyciu prekonfigurowanych obiektów. Przy
zastosowaniu takiej technologii osoba administrująca ma możliwość określania parametrów pojedynczej reguły (adres źródłowy, adres docelowy etc.)
przy wykorzystaniu obiektów określających ich logiczne przeznaczenie.
8) Edytor reguł na firewallu posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie
nieistniejących elementów (obiektów).
9) W domyślnej konfiguracji urządzenie (a dokładniej Firewall) powinien blokować wszystkie połączenia poza połączeniami administracyjnym od
strony sieci lokalnej (LAN).
10) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł dla translacji adresów (NAT).
11) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla NAT określający dzień tygodnia, godzinę
w jakich nastąpi automatyczne uruchomienie konkretnego zestawu.
12) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł dla NAT.
13) Edytor reguł dla NAT posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie
nieistniejących elementów (obiektów).
14) Firewall umożliwia uwierzytelnienie i autoryzację użytkowników w oparciu o bazę lokalną, zewnętrzny serwer RADIUS lub LDAP (wewnętrzny i
zewnętrzny) lub przy współpracy z uwierzytelnieniem Windows NT4.0 (NTLM) i Windows 2k (Kerberos).
INTRUSION PREVENTION SYSTEM (IPS)
1) System detekcji i prewencji włamań (IPS) jest zaimplementowany w jądrze systemu i wykrywa włamania oraz anomalia w ruchu sieciowym przy
pomocy analizy protokołów, analizy heurystycznej oraz analizy w oparciu o sygnatury kontekstowe.
2) Administrator musi mieć możliwość wyłączenia analizy protokołów oraz analizy w oparciu o sygnatury kontekstowe dla wybranych połączeń.
3) IPS powinien być konfigurowalny na poziomie reguł dla firewalla. Cecha ta ma umożliwiać wykorzystanie harmonogramu dla firewalla w celu
użycia tego samego harmonogramu dla IPS.
4) Dla ustawień IPS możliwe jest skonfigurowanie co najmniej 4 profili ustawień. Przy czym w domyślnej konfiguracji jeden profil jest ustawiony
automatycznie dla połączeń wychodzących, a drugi dla połączeń przychodzących.
KSZTAŁTOWANIE PASMA (Traffic Shapping)
1 )Urządzenie ma możliwość kształtowania pasma w oparciu o priorytezację ruchu.
2) Urządzenie ma możliwość kształtowania pasma w oparciu o minimalną i maksymalną wartość dostępnego pasma.
3) W przypadku określania minimum lub maksimum pasma administrator może określić żądane wartości podając je w kb, Mb lub wartości
procentowe.
4 )Ograniczenie pasma lub priorytezacja określana jest względem reguły na firewallu w odniesieniu do pojedynczego połączenia, adresu IP lub
autoryzowanego użytkownika.
5) Rozwiązanie ma umożliwiać tworzenie tzw. kolejki nie mającej wpływ na kształtowanie pasma a jedynie na śledzenie konkretnego typu ruchu
(monitoring).
6) Kształtowanie pasma powinno odbywać się na poziomie reguł dla Firewalla. Cecha ta ma umożliwiać wykorzystanie harmonogramu dla firewalla w
celu użycia tego samego harmonogramu dla kształtowania pasma.
OCHRONA ANTYWIRUSOWA
1) Rozwiązanie pozwala na zastosowanie jednego z co najmniej dwóch skanerów antywirusowych dostarczonych przez firmy trzecie (innych niż
producent rozwiązania).
2) Co najmniej jeden z dwóch skanerów antywirusowych dostarczony jest w ramach podstawowej licencji.
3) Skaner antywirusowy skanuje ruch poprzez mechanizm Proxy. Skanowane są protokoły HTTP, POP3, SMTP.
4) Dla każdego z trzech Proxy (HTTP, POP3, SMTP) administrator ma możliwość stworzenia minimum 4 profili ustawień.
OCHRONA ANTYSPAM
1) Producent udostępnia mechanizm klasyfikacji poczty elektronicznej określający czy jest pocztą niechcianą (SPAM).Ochrona antyspam działa w
oparciu o:
Białe/czarne listy
DNS RBL
Moduł analizy heurystycznej
2) W przypadku ochrony w oparciu o DNS RBL administrator może modyfikować listę serwerów RBL lub skorzystać z domyślnie wprowadzonych
przez producenta serwerów.
3) Dla każdego z serwerów RBL można określić jeden z 3 poziomów reputacji.
4) W przypadku określenia poczty jako SPAM administrator może określić tekst (Tag), który zostanie dodany do tematu wiadomości.
5) Urządzenie powinno mieć możliwość dodawania własnego wpisu do nagłówka wiadomości zawierającego informację o tym czy wiadomość została
zaklasyfikowana jako spam.
6) Wpis w nagłówku wiadomości powinien być w formacie zgodnym z formatem programu Spamassassin.
WIRTUALNE SIECI PRYWANTE (VPN)
1) Urządzenie powinno posiadać wbudowany serwer VPN umożliwiający budowanie połączeń VPN typu client-to-site (klient mobilny - lokalizacja) lub
site-to-site (lokalizacja-lokalizacja).
2) Odpowiednio kanały VPN można budować w oparciu o:
PPTP VPN
IPSec VPN
SSL VPN
3) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł dla VPN.
4) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla VPN określający dzień tygodnia, godzinę
w jakich nastąpi automatyczne uruchomienie konkretnego zestawu.
5) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł na VPN.
FILTR ADRESÓW URL
1) Urządzenie powinno posiadać wbudowany filtr URL.
2) Filtr URL powinien działać w oparciu o:
klasyfikacje adresów URL dostarczoną przez producenta.
klasyfikacje adresów stworzoną przez administratora.
klasyfikacje firmy trzeciej (opcjonalnie)
3) Moduł filtra URL, wspierany przez HTTP PROXY, musi być zgodny z protokołem ICAP.
4) Baza adresów URL musi być przechowywana lokalnie w pamięci urządzenia.
5) Administrator posiada możliwość zdefiniowania akcji w przypadku zaklasyfikowania danej strony do konkretnej kategorii. Do wyboru jest jedna z
trzech akcji:
Blokowanie dostępu do adresu URL.
Zezwolenie na dostęp do adresu URL.
Blokowanie dostępu do adresu URL oraz wyświetlenie strony HTML zdefiniowanej przez administratora.
6) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguła dla filtrowania URL.
7) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla filtrowania URL określający dzień
tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu.
8) Harmonogram filtrowania adresów URL powinien być niezależny od harmonogramu dla firewalla.
9) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł dla filtra URL.
10) Edytor reguł dla filtra URL posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie
nieistniejących elementów (obiektów).
UWIERZYTELNIANIE
1) Urządzenie powinno pozwalać na uruchomienie systemu uwierzytelniania użytkowników w oparciu o:
lokalną bazę użytkowników (wewnętrzny LDAP),
zewnętrzną bazę użytkowników (zewnętrzny LDAP) ,
integracje z serwerem Microsoft Active Directory.
2) rozwiązanie pozwala na uruchomienie specjalnego portalu, który umożliwia
autoryzacje w oparciu o protokoły:
SSL
Radius
NTLM
Kerberos
3) Autoryzacja może zostać włączona na:
Zewnętrznym interfejsie (od strony sieci Internet)
Wewnętrznym interfejsie (od strony sieci LAN)
Jednocześnie na wewnętrznym jak i zewnętrznym interfejsie.
ADMINISTRACJA ŁĄCZAMI OD DOSTAWCÓW USŁUG INTERNETOWYCH (ISP).
1) Urządzenie musi posiadać wsparcie dla mechanizmów równoważenia obciążenia łączy do sieci Internet (tzw. Load Balancing).
2) Mechanizm równoważenia obciążenia łącza internetowego musi działać w oparciu o następujące dwa mechanizmy:
równoważenie względem adresu źródłowego.
równoważenie względem adresu docelowego.
3) Urządzenie musi posiadać mechanizm przełączenia na łącze zapasowe w przypadku awarii łącza podstawowego.
4 )Administrator ma możliwość zdefiniowania minimalnej liczby aktywnych łączy podstawowych poniżej której nastąpi przełączenie na łącza
zapasowe.
5) Urządzenie posiada możliwość definiowania przynajmniej 4 rodzajów połączeń typu Dial-up włączając w to: PPPoE, PPTP, PPP, L2TP.
ADMINISTRACJA URZĄDZENIEM
1) Producent dostarcza w podstawowej licencji oprogramowania narzędziowe, które umożliwia:
lokalną oraz zdalną konfigurację i administrację,
lokalny oraz zdalny podgląd pracy urządzenia (tzw. monitoring w trybie rzeczywistym),
umożliwiający zarządzanie, analizę i prostą interpretację logów,
zarządzanie więcej niż jednym urządzeniem (centralna administracja).
2) Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi być szyfrowana.
3) Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi odbywać się po porcie innym niż tcp 80, tcp 443 (http, https).
4) Urządzenie może być zarządzane przez dowolną liczbę administratorów, którzy posiadają rozłączne lub nakładające się uprawnienia
5) Urządzenie musi być w pełni zarządzane przez oprogramowanie stworzone i dostarczone przez producenta (Windows 2000/XP/2003/Vista).
Dodatkowo administracja musi być możliwa przy wykorzystaniu linii poleceń (przez SSH lub przy wykorzystaniu portu SERIAL).
6) Urządzenie jest dostępne wraz z konsolą do centralnej administracji pozwalającą na zarządzanie przynajmniej 5 urządzeniami w różnych
lokalizacjach w podstawowej cenie urządzenia.
7) Urządzenie ma możliwość eksportowania logów na zewnętrzny serwer (syslog).
8) Urządzenie dostarczane jest z oprogramowaniem do generowania kompleksowych raportów z jego działania. Program generujący raporty
powinien tworzyć pliki HTML oraz mieć możliwość stworzenia pliku index.html zawierającego łącza do wszystkich dotychczas stworzonych raportów.
Powinien również mieć możliwość składowania raportu lokalnie na dysku twardym, wysyłania przy użyciu poczty elektronicznej lub przesłania na
serwer FTP.
9) W przypadku wysyłania raportów przy użyciu poczty elektronicznej oprogramowanie powinno dawać możliwość spakowania raportu do
pojedynczego archiwum.
10) Instalacja całego pakietu oprogramowania, w którego skład wchodzą:
aplikacja do konfiguracji urządzenia,
aplikacja do podglądu stanu w trybie rzeczywistym
aplikacja do zarządzania logami
moduł automatycznego generowania raportów
serwer syslog (dla systemu operacyjnego Microsoft Windows 2000/XP/2003)
serwer bazodanowy (preferowany PostgreSQL)
powinna odbywać się przy użyciu jednego pliku instalacyjnego.
POZOSTAŁE USŁUGI I FUNKCJE ROZWIĄZANIA
1) System operacyjny urządzenia powinien być oparty o jeden ze znanych systemów operacyjnych (preferowany system operacyjny z rodziny BSD).
2) Urządzenie posiada wbudowany serwer DHCP z możliwością przypisywania adresu IP do adresu MAC karty sieciowej stacji roboczej w sieci bez
żadnych ograniczeń co do ilości klientów.
3) Urządzenie powinno być wyposażone w klienta usługi SNMP w wersji 1,2 i 3.
4) Restart urządzenia może być zabezpieczony poprzez zastosowanie fizycznego tokena USB.
5) Urządzenie oferuje możliwość skonfigurowania usługi dynamicznego DNS dzięki czemu klienci z dynamicznym adresem IP mogą korzystać ze
stałej nazwy hosta/domeny.
6) Urządzenie powinno posiadać usługę klienta NTP.
7) Urządzenie powinno posiadać DNS Proxy.
PARAMETRY SPRZĘTOWE
1) Urządzenie powinno być wyposażone w dysk twardy o pojemności co najmniej 40 Gb. Dysk powinien być podzielony na co najmniej 3 partycje. W
tym dwie systemowe (umożliwiając tym samym start urządzenia z jednej z dwóch partycji) oraz jedną przeznaczoną na logi.
2) Liczba portów Ethernet 10/100 - 4.
3) Przepustowość Firewall-a wraz z włączonym systemem IPS wynosi 192 Mbps.
4) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi 33 Mbps.
5)Maksymalna liczba tuneli VPN IPSec nie powinna być mniejsza niż 1000.
6) Możliwość zdefiniowania co najmniej 2 048 reguł filtrujących
7) Obsługa 64 VLAN-ów
8) Maksymalna liczba równoczesnych sesji wynosi 65 000.
9) Maksymalna ilość sesji WebVPN 256
10) Urządzenie jest nielimitowane na użytkowników.
CERTYFIKATY
Urządzenie posiada certyfikaty niezależnych organizacji min ICSA Lab i Common Cryteria EAL 2+
Wdrożenie
Dostawca zobowiązany jest w terminie najpóźniej do 30 dni od momentu dostawy urządzeń do wykonania usługi wdrożenia, polegającej na
skonfigurowaniu urządzeń zgodnie z wymogami Zamawiającego, w taki sposób aby zapewnić co najmniej taką funkcjonalność jak obecnie
wykorzystywana przez Zamawiającego.
Szkolenie administratorów
Dostawca zobowiązany jest w terminie najpóźniej do 30 dni od momentu dostawy urządzeń, do wykonania usługi szkolenia 2 osób (administratorów)
dostarczonych urządzeń wdrożonego systemu. Szkolenie musi obejmować kompleksową wiedzę z zakresu konfiguracji, administracji i monitoringu
urządzeń w pełnym zakresie, ze szczególnym naciskiem na wdrożone funkcje. Szkolenie w wymiarze minimum 16 godzin zegarowych. Szkolenie
może być przeprowadzone w siedzibie zamawiającego, dostawcy lub dystrybutora urządzeń (na terenie Polski). Szkolenie musi być prowadzone
przez autoryzowanego przez producenta inżyniera. Dostawca zobowiązany jest do zapewnienia odpowiednich rozwiązań technicznych i
organizacyjnych umożliwiających przeprowadzenie szkolenia. W przypadku szkolenia w siedzibie dostawcy lub dystrybutora koszty związane z
transportem, ewentualnymi noclegami oraz koszty delegacji dla szkolonych pracowników pokrywa Zamawiający
Opieka serwisowa
Dostawca zobowiązany jest w terminie od momentu dostawy do dnia 31 grudnia 2008 roku zapewnić opiekę serwisową polegającą na świadczeniu
wsparcia technicznego w zakresie obsługi, konfiguracji i administracji, w zależności od rodzaju wymaganej pomocy: telefonicznie, poprzez email,
poprzez zdalny dostęp do urządzeń lub poprzez wizytę w miejscu instalacji urządzeń. Wsparcie realizowane będzie przez 7 dni w tygodniu.
Zgłoszenia przyjmowanie będą w godzinach od 7:00 do 20:00 telefonicznie. Czas reakcji na zgłoszenie (podjęcie działań przez dostawcę) najpóźniej
do 4 godzin od momentu zgłoszenia. Czas wykonania zleconych działań w zakresie konfiguracji: niezwłocznie, a w przypadku problemów
konfiguracyjnych wymagających ingerencji producenta sprzętu - maksymalnie do 48 godzin w przypadku zgłoszeń od poniedziałku do czwartku i 72
godzin w przypadku zgłoszeń w piątki, soboty i niedziele.
Termin realizacji zamówienia :
- dostawa urządzeń - 7 dni od dnia podpisania umowy z wybranym Wykonawcą
- wdrożenie (konfiguracja urządzeń) - 30 dni od dnia dostawy urządzeń stanowiących przedmiot postępowania,
- szkolenie administratorów - 30 dni od dnia dostawy urządzeń stanowiących przedmiot postępowania,
- opieka serwisowa do 31 grudnia 2008 r.
II.1.4) Wspólny Słownik Zamówień (CPV): 32.42.00.00-3, 72.26.50.00-0, 80.42.10.00-1, 72.26.70.00-4.
II.1.5) Czy dopuszcza się złożenie oferty częściowej: Nie.
II.1.6) Czy dopuszcza się złożenie oferty wariantowej: Nie.
II.2) CZAS TRWANIA ZAMÓWIENIA LUB TERMIN WYKONANIA: data zakończenia: 31.12.2008.
SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM
III.1) WARUNKI DOTYCZĄCE ZAMÓWIENIA
•
Informacja na temat wadium: Z uwagi na wartość przedmiotu zamówienia Zamawiający nie wymaga wniesienia wadium..
III.2) WARUNKI UDZIAŁU
•
•
Opis warunków udziału w postępowaniu oraz opis sposobu dokonywania oceny spełniania tych warunków: 1. O udzielenie
zamówienia mogą ubiegać się Wykonawcy, którzy:
1) spełniają warunki określone w art. 22 ust. 1 oraz nie zostaną wykluczeni z postępowania na postawie art. 24 ust.1 i 2 ustawy Prawo
zamówień publicznych,
2) spełniają wymagania określone w specyfikacji istotnych warunków zamówienia.
Warunki udziału w postępowaniu spełnią Wykonawcy, którzy przedłożą ważną ofertę wraz z oświadczeniem o spełnianiu warunków udziału w
postępowaniu, dołączą do oferty dokumenty wskazane w pkt 12 ppkt 3 i 4, specyfikacji.
Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełniania warunków udziału
w postępowaniu: Oferta musi zawierać:
1. Wypełniony formularz oferty, według wzoru stanowiącego zał. nr 1 do specyfikacji.
2. Oświadczenie Wykonawcy potwierdzające spełnianie wymagań określonych w art. 22 ust. 1, treść oświadczenia zawarta jest w zał. nr 2 do
specyfikacji.
3. Oryginał lub kopię potwierdzoną za zgodność z oryginałem aktualnego odpisu z właściwego rejestru albo aktualnego zaświadczenia o
wpisie do ewidencji działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub zgłoszenia do ewidencji działalności
gospodarczej, wystawionego nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert.
4. W celu potwierdzenia, że oferowane urządzenia odpowiadają wymaganiom określonym przez Zamawiającego, Wykonawca musi
dostarczyć opis parametrów technicznych i funkcji oferowanych urządzeń.
SEKCJA IV: PROCEDURA
IV.1) TRYB UDZIELENIA ZAMÓWIENIA
IV.1.1) Tryb udzielenia zamówienia: przetarg nieograniczony.
IV.2) KRYTERIA OCENY OFERT
IV.2.1) Kryteria oceny ofert: najniższa cena.
IV.2.2) Wykorzystana będzie aukcja elektroniczna: Nie.
IV.3) INFORMACJE ADMINISTRACYJNE
IV.3.1) Adres strony internetowej, na której dostępna jest specyfikacja istotnych warunków zamówienia: www.starostwo.nowy-sacz.pl
Specyfikację istotnych warunków zamówienia można uzyskać pod adresem: Starostwo Powiatowe w Nowym Sączu
Wydział Administracyjny
ul. Jagiellońska 33, (pok. 320)
33-300 Nowy Sącz.
IV.3.4) Termin składania wniosków o dopuszczenie do udziału w postępowaniu lub ofert: 26.05.2008 godzina 10:00, miejsce: Starostwo
Powiatowe w Nowym Sączu
Wydział Administracyjny
IV.3.5) Tremin związania ofertą : okres w dniach : 30 (od ostatecznego terminu skladania ofert).