Formularz cenowo-techniczny

Nr referencyjny: TI/11/2013
Załącznik nr 2 do SIWZ
Załącznik nr 1 do Umowy
Formularz cenowo-techniczny
A.
1.
2.
3.
4.
5.
6.
7.
Przedmiotem zamówienia jest dostawa systemu UTM wraz w wdrożeniem
Oferowane produkty muszą spełniać wszystkie parametry określone w niniejszym załączniku oraz być
fabrycznie nowe, oznakowane symbolem CE, pochodzić z legalnego źródła, muszą być dostarczone
przez autoryzowany kanał sprzedaży producenta na terenie kraju i objęte standardowym pakietem usług
gwarancyjnych zawartych w cenie urządzenia i oprogramowania świadczonych przez sieć serwisową
producenta na terenie Polski. Zamawiający zastrzega sobie prawo do żądania potwierdzenia źródła
pochodzenia urządzenia w postaci oświadczenia producenta.
Wykonawca powinien przedstawić nazwę producenta i model oferowanego sprzętu i oprogramowania
w poszczególnych jego rodzajach.
Wszystkie opisane parametry wymagane są wymaganiami minimalnymi. Zamawiający akceptuje
rozwiązania o parametrach równoważnych lub lepszych, bez utraty funkcjonalności i wydajności.
Wszystkie urządzenia stanowiące przedmiot zamówienia powinny być gotowe do pracy, fabrycznie
nowe i pochodzić z bieżącej produkcji oraz posiadać gwarancję producenta umożliwiającą realizację
uprawnień z tytułu gwarancji na terytorium Polski.
Wykonawca oświadcza, że dostarczone zamawiającemu urządzenia oraz oprogramowanie spełniać będą
właściwe, ustalone w obowiązujących przepisach prawa wymagania odnośnie dopuszczenia do
użytkowania przedmiotowych wyrobów na terytorium Rzeczypospolitej Polski
Wykonawca zapewnia, że na potwierdzenie stanu faktycznego, o którym mowa w pkt 2 i 6 posiada
stosowne dokumenty, które zostaną przekazane zamawiającemu na jego pisemny wniosek.
B.
Wykonawca gwarantuje, że przedmiot zamówienia spełniać będzie poniższe wymagania
Urządzenie UTM o minimalnych wymaganiach:
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa
oraz funkcjonalności niezależnie od dostawcy łącza. Dopuszcza się aby elementy wchodzące w skład systemu
ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej lub w postaci komercyjnej aplikacji
instalowanej na platformie ogólnego przeznaczenia. W przypadku implementacji programowej dostawca
powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem
operacyjnym.
Str.1 z 6
Nr referencyjny: TI/11/2013
W ramach dostawy urządzenia UTM powinny być realizowane przynajmniej poniższe funkcjonalności:
Tabela 1
Parametry oferowane
– opis lub potwierdzenie [tak-nie]
(wypełnia wykonawca)
LP
Parametry wymagane (minimum)
1
Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z
elementów systemu. W ramach postępowania dostawca powinien dostarczyć
system w formie redundantnej w postaci klastra urządzeń.
2
System realizujący funkcję Firewall powinien dysponować minimum - 16
portami Ethernet 10/100/100 BaseTX oraz 2 portami SFP
3
System realizujący funkcję Firewall powinien dawać możliwość pracy w
jednym z dwóch trybów: Routera z funkcją NAT lub transparent.
4
Monitoring i wykrywanie uszkodzenia elementów sprzętowych
programowych systemów zabezpieczeń oraz łączy sieciowych.
5
Monitoring stanu realizowanych połączeń VPN.
6
Dostarczony system musi zarządzać minimum 500 aplikacjami klienckimi
chroniącymi stacje robocze.
7
Możliwość tworzenia min 250 interfejsów wirtualnych definiowanych jako
VLANy w oparciu o standard 802.1Q.
8
W zakresie Firewall’a obsługa nie mniej niż 3 miliony jednoczesnych połączeń
oraz 70 tys. nowych połączeń na sekundę
9
Przepustowość Firewall’a: nie mniej niż 15 Gbps
10
Wydajność szyfrowania 3DES: nie mniej niż 5 Gbps
11
System realizujący funkcję Firewall powinien być wyposażony w lokalny dysk
o pojemności minimum 64 GB do celów logowania i raportowania. W
przypadku kiedy system nie posiada dysku do poszczególnych lokalizacji musi
być dostarczony system logowania w postaci dedykowanej, odpowiednio
zabezpieczonej platformy sprzętowej lub programowej.
12
i
W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z
poniższych funkcjonalności. Poszczególne funkcjonalności systemu
bezpieczeństwa mogą być realizowane w postaci osobnych platform
sprzętowych lub programowych:
a) kontrola dostępu - zapora ogniowa klasy Stateful Inspection
b) ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3,
IMAP, HTTP, FTP, HTTPS). Rozwiązanie powinno realizować kontrolę
dowolnego typu załączników.
c) ochrona przed atakami - Intrusion Prevention System [IPS]
d) ochrona przed wyciekiem
archiwizowania informacji
poufnej informacji (DLP) z funkcją
e) kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3,
IMAP)
f) kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie
niebezpiecznych:
zawierających
złośliwe
oprogramowanie,
stron
szpiegujących oraz udostępniających treści typu SPAM.
g) kontrola aplikacji oraz rozpoznawanie ruchu P2P
h) kontrola pasma oraz ruchu [QoS, Traffic shaping]
i) poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN
Str.2 z 6
Nr referencyjny: TI/11/2013
j) możliwość analizy ruchu szyfrowanego protokołem SSL
k) funkcja kontrolera sieci bezprzewodowych z możliwością zarządzania 16
urządzeniami typu Access Point
13
Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 3 Gbps
14
Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia
danych z włączoną funkcją: Antivirus min. 1,2 Gbps.
W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
a) praca w topologii Hub and Spoke oraz Mesh
15
b) tworzenie połączeń w topologii Site-to-site oraz Client-to-site
c) obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
d) monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
e) możliwość wyboru tunelu przez protokół dynamicznego routiongu, np.
OSPF
16
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i
dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły
routingu powinny funkcjonować w ramach terminowanych na urządzeniu
połączeniach IPSec VPN.
17
Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji
systemów bezpieczeństwa w zakresie routingu, Firewall’a, Antywirus’a, IPS’a,
Web Filter’a.
18
Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
19
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP,
interfejsy, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń,
rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo
gwarantowane i maksymalne, priorytety)
20
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
21
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu
kierunkach komunikacji dla protokołów działających na niestandardowych
portach (np. FTP na porcie 2021)
22
Ochrona IPS powinna opierać się co najmniej na analizie protokołów i
sygnatur. Baza wykrywanych ataków powinna zawierać co najmniej 6500
wpisów. Ponadto administrator systemu powinien mieć możliwość
definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być
możliwość wykrywania anomalii protokołów i ruchu stanowiących
podstawową ochronę przed atakami typu DoS oraz DDos.
23
Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie
głębokiej analizy pakietów, nie bazując jedynie na wartościach portów
TCP/UDP
24
Baza filtra WWW o wielkości co najmniej 40 milionów adresów URL
pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być
dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance.
Administrator powinien mieć możliwość nadpisywania kategorii oraz
tworzenia wyjątków i reguł omijania filtra WWW.
25
Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek
antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL.
26
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania
tożsamości użytkowników za pomocą nie mniej niż:
Str.3 z 6
Nr referencyjny: TI/11/2013
a) haseł statycznych i definicji użytkowników przechowywanych w lokalnej
bazie systemu
b) haseł statycznych i definicji użytkowników przechowywanych w bazach
zgodnych z LDAP
c) haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy
danych
d) rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania
typu Single Sign On w środowisku Active Directory bez konieczności
instalowania jakiegokolwiek oprogramowania na kontrolerze domeny.
Poszczególne elementy oferowanego systemu bezpieczeństwa powinny
posiadać następujące certyfikaty:
27
a) ICSA lub EAL4 dla funkcjonalności Firewall
b) ICSA dla funkcjonalności SSLVPN, IPS, Antywirus
28
Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS,
SSH) jak i współpracować z dedykowanymi do centralnego zarządzania i
monitorowania platformami. Komunikacja systemów zabezpieczeń z
platformami zarządzania musi być realizowana z wykorzystaniem
szyfrowanych protokołów.
29
Obudowa musi mieć możliwość zamontowania w szafie 19''
30
Zasilanie z sieci 230V/50HZ
31
Licencje dla wszystkich funkcji bezpieczeństwa i funkcjonalności na okres 36
miesięcy od dnia zakończenia wdrożenia całego systemu.
System centralnego logowania i raportowania
Elementy systemu bezpieczeństwa odpowiedzialne za zarządzanie i monitoring mają umożliwiać
centralizację procesów zarządzania wszystkimi funkcjonalnościami elementów realizujących funkcje
bezpieczeństwa w ramach całej infrastruktury zabezpieczeń.
W ramach systemu logowania i raportowania dostawca powinien dostarczyć spójny system monitorujący,
gromadzący logi, korelujący zdarzenia i generujący raporty na podstawie danych ze wszystkich elementów
systemu bezpieczeństwa.
Platforma powinna dysponować predefiniowanym zestawem przykładów raportów, dla których administrator
systemu będzie mógł modyfikować parametry prezentowania wyników.
System centralnego logowania i raportowania powinien być dostarczony w postaci komercyjnej platformy
sprzętowej lub programowej. W przypadku implementacji programowej dostawca powinien zapewnić
niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym.
W ramach centralnego systemu logowania, raportowania i korelacji powinny być realizowane przynajmniej
poniższe funkcjonalności:
Tabela 2
LP
Parametry wymagane (minimum)
1
Konfigurowalne opcje powiadamiania o zdarzeniach jak. email, SNMP
2
Podgląd logowanych zdarzeń w czasie rzeczywistym.
Str.4 z 6
Parametry oferowane – opis lub
potwierdzenie [tak-nie]
(wypełnia wykonawca)
Nr referencyjny: TI/11/2013
3
Możliwość generowania raportów w zakresie wszystkich funkcjonalności
bezpieczeństwa realizowanych przez system - na żądanie oraz w trybie cyklicznym,
w postaci popularnych formatów min: PDF, DOC, HTML. Raporty powinny
obejmować zagadnienie dotyczące całej sfery bezpieczeństwa.
4
Zastosowane systemy logowania powinny umożliwiać cykliczny eksport
zgromadzonych logów do zewnętrznych systemów przechowywania danych w celu
ich długo czasowego składowania.
5
Na podstawie analizy przeprowadzonych testów w zakresie ilości logów w ciągu
sekundy, zastosowany system centralnego logowania powinien umożliwiać zapis
oraz analizę co najmniej 350 nowych logów/sekundę.
6
System powinien dysponować co najmniej 4 interfejsami Ethernet 10/100/1000 oraz
powierzchnią dyskową min. 1 TB
7
Licencje dla wszystkich funkcji systemu na okres 36 miesięcy od dnia zakończenia
wdrożenia całego systemu.
Gwarancja:
W okresie gwarancyjnym Wykonawca zobowiązuje się zapewnić Zamawiającemu naprawy dostarczonego
systemu na następujących warunkach:
− System UTM powinien być objęty serwisem gwarancyjnym producenta przez okres 36 miesięcy,
polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości.
− naprawy wykonywane będą przez Producenta sprzętu lub Autoryzowanego Partnera Serwisowego
Producenta.
− gwarancja będzie liczona od daty podpisania protokołu odbioru końcowego systemu UTM bez braków i
wad.
− wszystkie dostarczane urządzenia powinny być objęte serwisem gwarantującym naprawę uszkodzonego
urządzenia w ciągu 14 dni od daty zgłoszenia awarii przez Zamawiającego. W przypadku gdy naprawa
sprzętu nie jest możliwa w tym okresie Wykonawca zobowiązuje się do dostarczenia sprzętu
zastępczego o parametrach nie gorszych niż sprzęt uszkodzony.
− Zamawiający zgłasza Wykonawcy konieczność naprawy sprzętu telefonicznie (pod numerem:
………………………), faksem (pod numerem: ………………………) lub pocztą elektroniczną (email: …………………………………). Wykonawca niezwłocznie potwierdza przyjęcie zgłoszenia
faksem
(pod
numerem:
………………………)
lub
pocztą
elektroniczną
(e-mail:
…………………………………).
Usługa wdrożenia
Wdrożenie nastąpi w siedzibie Zamawiającego.
Termin oraz godziny wykonywanych prac muszą być uprzednio uzgodnione z Zamawiającym i nie mogą
wpływać na pracę Szpitala.
Zakres usługi wdrożenia systemu UTM:
1. instalacja zamówionego sprzętu w szafie
2. wstępna konfiguracja zamówionego sprzętu (adresacja IP, routing, klaster UTM-ów - HA, przeniesienie
konfiguracji z posiadanego urządzenia FG300A)
3. konfiguracja profili UTM
4. konfiguracja polityk firewall
5. integracja z domeną ActiveDirectory oraz zdefiniowanie zasad zgodnych z obowiązującą Polityką
Bezpieczeństwa.
Str.5 z 6
Nr referencyjny: TI/11/2013
6. instalacja oraz konfiguracja centralnego systemu logowania i raportowania
7. konfiguracja raportów
8. testy
9. włączenie urządzenia UTM do środowiska produkcyjnego
10.
zapewnienie bezpłatnych dwudniowych szkoleń dla dwóch administratorów, przeprowadzonych w
autoryzowanym centrum szkoleniowym producenta zakończonych uzyskaniem certyfikatu - lub
dostarczenie stosownego opłaconego vouchera, ważnego minimum przez 6 miesięcy od daty podpisania
umowy, na wyżej wymienione szkolenia.
Szkolenie powinno dotyczyć obsługi oraz konfiguracji dostarczonego systemu UTM
W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego
postępowania (tzw. produkty podwójnego zastosowania), Wykonawca powinien przedłożyć dokument
pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na terytorium Polski, zostały
dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z
zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a
także dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn
zm.) oraz dokument potwierdzający, że importer posiada certyfikowany przez właściwą jednostkę system
zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli
wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania,
lub informację, o braku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego
postępowania.
Wykonawca powinien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na
terenie Polski, iż posiada autoryzację producenta w zakresie sprzedaży oferowanych rozwiązań oraz
świadczenia usług z nimi związanych.
C. Wykonawca zapewnia, że na potwierdzenie stanu faktycznego, o którym mowa w pkt B posiada stosowne
dokumenty, które zostaną niezwłocznie przekazane zamawiającemu, na jego pisemny wniosek.
Oferujemy następujący system UTM (zawierający ….... urządzenia) spełniający wszystkie wymagania
określone w niniejszej SIWZ:
Model: ………………………………
Producent: ……………………………..
Model: ………………………………
Producent: ……………………………..
Model: ………………………………
Producent: ……………………………..
Model: ………………………………
Producent: ……………………………..
Wykonawca oferuje realizację przedmiotu zamówienia za cenę …………………………..…….złotych,
słownie złotych ……................………...............................................................................…………….
…….............…………….., dnia ...............r.
......................…………………………
podpis osoby lub osób upoważnionych
do reprezentowania wykonawcy
Str.6 z 6