257643 / 2012-12-05 - Administracja samorzÄ…dowa / Powiat NowosÄ…decki, ZarzÄ…d Powiatu NowosÄ…deckiego (Nowy SÄ…cz)
ZP.272.36.2012 Zamówienie na dostawę dwóch urządzeń UTM dla Starostwa
Powiatowego w Nowym Sączu
Opis zamówienia
Przedmiotem zamówienia dostawa dwóch urządzeń UTM dla Starostwa Powiatowego
w Nowym Sączu.
I. Licencja do każdego z urządzeń zapewnia przez okres 3 lat
- aktualizacje do wszystkich modułów urządzenia
- wsparcie techniczne od poniedziałku do piątku od 8.00 do 18.00
- wymianę urządzenia na nowe w przypadku awarii w ciągu 14 dni
II. Urządzenia muszą posiadać zintegrowaną architekturę bezpieczeństwa wraz z poniższymi
funkcjami (minimalnie):
ZAPORA KORPORACYJNA (Firewall)
1) Firewall klasy Stateful Inspection.
2) Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.
3) Urządzenie ma dawać możliwość ustawienia trybu pracy jako router warstwy trzeciej, jako
bridge warstwy drugiej oraz hybrydowo (część jako router, a część jako bridge).
4) Interface (GUI) do konfiguracji firewalla ma umożliwiać tworzenie odpowiednich reguł przy
użyciu prekonfigurowanych obiektów. Przy zastosowaniu takiej technologii osoba
administrująca ma mieć możliwość określania parametrów pojedynczej reguły (adres
źródłowy, adres docelowy etc.) przy wykorzystaniu obiektów określających ich logiczne
przeznaczenie.
5) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł na firewallu.
6) Edytor reguł na firewallu ma posiadać wbudowany analizator reguł, który eliminuje
sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów).
7) Firewall ma umożliwiać uwierzytelnienie i autoryzację użytkowników w oparciu o bazę lokalną,
zewnętrzny serwer RADIUS, LDAP (wewnętrzny i zewnętrzny) lub przy współpracy z
uwierzytelnieniem Windows 2k (Kerberos).
INTRUSION PREVENTION SYSTEM (IPS)
8) System detekcji i prewencji włamań (IPS) ma być zaimplementowany w jądrze systemu i ma
wykrywać włamania oraz anomalia w ruchu sieciowym przy pomocy analizy protokołów, analizy
heurystycznej oraz analizy w oparciu o sygnatury kontekstowe.
9) Moduł IPS musi być opracowany przez producenta urządzenia. Nie dopuszcza się aby moduł
IPS pochodził od zewnętrznego dostawcy.
10) Moduł IPS musi zabezpieczać przed co najmniej 10 000 ataków i zagrożeń.
11) Moduł IPS ma nie tylko wykrywać ale również usuwać szkodliwą zawartość w kodzie HTML oraz
Javascript żądanej przez użytkownika strony internetowej.
12) Urządzenie ma mieć możliwość inspekcji ruchu tunelowanego wewnątrz protokołu SSL, co
najmniej w zakresie analizy HTTPS, FTPS, POP3S oraz SMTPS.
13) Administrator urządzenia ma mieć możliwość konfiguracji jednego z trybów pracy urządzenia,
to jest: IPS, IDS lub Firewall dla wybranych adresów IP (źródłowych i docelowych),
użytkowników, portów (źródłowych i docelowych) oraz na podstawie pola DSCP.
KSZTAŁTOWANIE PASMA (Traffic Shapping)
14) Urządzenie ma mieć możliwość kształtowania pasma w oparciu o priorytezację ruchu oraz
minimalną i maksymalną wartość pasma.
15) Ograniczenie pasma lub priorytezacja ma być określana względem reguły na firewallu w
odniesieniu do pojedynczego połączenia, adresu IP lub autoryzowanego użytkownika oraz pola
DSCP.
16) Rozwiązanie ma umożliwiać tworzenie tzw. kolejki nie mającej wpływu na kształtowanie pasma
a jedynie na śledzenie konkretnego typu ruchu (monitoring).
OCHRONA ANTYWIRUSOWA
17) Rozwiązanie ma zezwalać na zastosowanie jednego z co najmniej dwóch skanerów
antywirusowych dostarczonych przez firmy trzecie (innych niż producent rozwiązania).
18) Co najmniej jeden z dwóch skanerów antywirusowych ma być dostarczany w ramach
podstawowej licencji.
19) Administrator ma mieć możliwość określenia maksymalnej wielkości pliku jaki będzie
poddawany analizie skanerem antywirusowym.
20) Administrator ma mieć możliwość zdefiniowania treści komunikatu dla użytkownika o wykryciu
infekcji, osobno dla infekcji wykrytych wewnątrz protokołu POP3, SMTP i FTP. W przypadku
SMTP i FTP ponadto ma być możliwość zdefiniowania 3-cyfrowego kodu odrzucenia.
OCHRONA ANTYSPAM
21) Producent ma udostępniać mechanizm klasyfikacji poczty elektronicznej określający czy jest
pocztą niechcianą (SPAM).
22) Ochrona antyspam ma działać w oparciu o:
a. białe/czarne listy,
b. DNS RBL,
c. heurystyczny skaner.
23) W przypadku ochrony w oparciu o DNS RBL administrator może modyfikować listę serwerów
RBL lub skorzystać z domyślnie wprowadzonych przez producenta serwerów. Może także
definiować dowolną ilość wykorzystywanych serwerów RBL.
24) Wpis w nagłówku wiadomości zaklasyfikowanej jako spam ma być w formacie zgodnym z
formatem programu Spamassassin.
WIRTUALNE SIECI PRYWANTE (VPN)
25) Urządzenie ma posiadać wbudowany serwer VPN umożliwiający budowanie połączeń VPN typu
client-to-site (klient mobilny - lokalizacja) lub site-to-site (lokalizacja-lokalizacja).
26) Odpowiednio kanały VPN można budować w oparciu o:
a. PPTP VPN,
b. IPSec VPN,
c. SSL VPN.
27) Urządzenie ma posiadać funkcjonalność przełączenia tunelu na łącze zapasowe na wypadek
awarii łącza dostawcy podstawowego (VPN Failover).
28) Urządzenie ma posiadać wsparcie dla technologii XAuth, Hub n Spoke oraz modconf.
FILTR ADRESÓW URL
29) Urządzenie ma posiadać wbudowany filtr URL.
30) Filtr URL ma działać w oparciu o klasyfikację URL dostarczaną przez producenta rozwiązania
zawierającą co najmniej 50 kategorii tematycznych stron internetowych.
31) Administrator musi mieć możliwość dodawania własnych kategorii URL.
32) Urządzenie nie jest limitowane pod względem kategorii URL dodawanych przez administratora.
33) Moduł filtra URL, wspierany przez HTTP PROXY, musi być zgodny z protokołem ICAP co
najmniej w trybie REQUEST.
34) Administrator posiada możliwość zdefiniowania akcji w przypadku zaklasyfikowania danej
strony do konkretnej kategorii. Do wyboru jest jedna z trzech akcji:
a. blokowanie dostępu do adresu URL,
b. zezwolenie na dostęp do adresu URL,
c. blokowanie dostępu do adresu URL oraz wyświetlenie strony HTML zdefiniowanej
przez administratora.
35) Filtrowanie URL musi uwzględniać także komunikację po protokole HTTPS.
36) Możliwość identyfikacji oraz blokowanie przesyłanych danych z wykorzystaniem typu MIME.
37) Możliwość stworzenia białej listy stron dostępnych poprzez HTTPS, które nie będą
deszyfrowane.
UWIERZYTELNIANIE
38) Urządzenie ma zezwalać na uruchomienie systemu uwierzytelniania użytkowników w oparciu o:
a. lokalną bazę użytkowników (wewnętrzny LDAP),
b. zewnętrzną bazę użytkowników (zewnętrzny LDAP) ,
c. integracje z serwerem Microsoft Active Directory.
39) Rozwiązanie ma zezwalać na uruchomienie specjalnego portalu, który umożliwia
autoryzacje w oparciu o protokoły:
a. SSL,
b. Radius,
c. Kerberos.
40) Autoryzacja użytkowników z wykorzystaniem użytkowników Microsoft Active Directory nie
wymaga instalacji agenta na serwerze AD ani modyfikacji schematu domeny.
ADMINISTRACJA ŁĄCZAMI OD DOSTAWCÓW USŁUG INTERNETOWYCH (ISP).
41) Urządzenie ma posiadać wsparcie dla mechanizmów równoważenia obciążenia łączy do sieci
Internet (tzw. Load Balancing).
42) Mechanizm równoważenia obciążenia łącza internetowego ma działać w oparciu o następujące
dwa mechanizmy:
a. równoważenie względem adresu źródłowego,
b. równoważenie względem adresu źródłowego i docelowego (połączenia).
43) Urządzenie ma posiadać mechanizm przełączenia na łącze zapasowe w przypadku awarii łącza
podstawowego.
POZOSTAŁE USŁUGI I FUNKCJE ROZWIĄZANIA
44) Urządzenie posiada wbudowany serwer DHCP z możliwością przypisywania adresu IP do adresu
MAC karty sieciowej stacji roboczej w sieci
45) Urządzenie musi pozwalać na przesyłanie zapytań DHCP do zewnętrznego serwera DHCP -
DHCP Relay
46) Urządzenie musi być wyposażone w klienta usługi SNMP w wersji 1,2 i 3.
47) Urządzenie musi posiadać usługę klienta NTP.
48) Urządzenie musi posiadać DNS Proxy.
ADMINISTRACJA URZĄDZENIEM
49) Producent musi dostarczać w podstawowej licencji narzędzie administracyjne pozwalające na
podgląd pracy urządzenia, monitoring w trybie rzeczywistym stanu urządzenia.
50) Konfiguracja urządzenia ma być możliwa z wykorzystaniem polskiego interfejsu graficznego.
51) Interfejs konfiguracyjny musi być dostępny poprzez przeglądarkę internetową a komunikacja
musi być zabezpieczona za pomocą protokołu https.
52) Komunikacja może odbywać się na porcie innym niż https (443 TCP).
53) Urządzenie może być zarządzane przez dowolną liczbę administratorów z różnymi (także
nakładającymi się) uprawnieniami.
54) Urządzenie ma mieć możliwość eksportowania logów na zewnętrzny serwer (syslog).
RAPORTOWANIE
55) Urządzenie ma być dostarczone wraz z dedykowanym systemem do raportowania.
56) Narzędzie raportujące musi być oparte o darmowy system np. system z rodziny Linux.
57) Interfejs użytkownika musi być dostępny poprzez przeglądarkę internetową.
58) Interfejs użytkownika narzędzia raportującego ma być dostępny co najmniej w językach
Polskim i Angielskim.
59) Przesyłanie logów pomiędzy urządzeniem a narzędziem raportującym musi odbywać się za
pomocą protokołu syslog.
60) Narzędzie raportujące musi posiadać możliwość automatycznej aktualizacji swoich
komponentów z Internetu bez ingerencji użytkownika.
61) Rozwiązanie musi posiadać możliwość wygenerowania raportów graficznych, na podstawie
zebranych logów, w tym co najmniej:
a. raporty WEB zawierające informacje o co najmniej: odwiedzanych stronach WWW,
ilości połączeń do tych stron, ilości pobranych danych, kategoriach tematycznych (do
których należą odwiedzane strony), użytkownikach, którzy łączyli się z danymi adresami
oraz adresach IP z których wchodzono na owe strony,
b. raporty pasywnego skanera sieci, zawierające informacje o co najmniej: wykrytych
zagrożeniach, aplikacjach, w których zostały wykryte podatności, typach programów, w
których wykryto podatności, poziomie ważności wykrytych zagrożeń,
c. raporty IPS zawierające informacje o co najmniej: wykrytych przez IPS zagrożeniach,
adresach źródłowych i adresach docelowych hostów, których te zagrożenia dotyczą.
62) Raporty graficzne muszą oferować możliwość:
a. przeszukiwania zgromadzonych informacji,
b. wyświetlenia zgromadzonych informacji, dla wybranego: dnia, tygodnia, miesiąca,
c. eksportu do zewnętrznych plików obsługujących format PDF oraz CSV.
63) Narzędzie raportujące musi umożliwiać przeglądanie zgromadzonych logów, oraz dawać
możliwość ich filtrowania po parametrach co najmniej takich jak: protokół, źródłowy adres IP,
docelowy adres IP, port docelowy, nazwa docelowa, czas (od-do), nazwa użytkownika, akcja.
64) Przeglądarka logów musi dawać możliwość ukrycia kolumn z informacjami zbędnymi dla
administratora.
65) Narzędzie raportujące musi posiadać możliwość tworzenia wielu kont użytkowników.
66) Narzędzie raportujące musi umożliwiać pracę wielu użytkowników jednocześnie.
67) Narzędzie raportujące musi być dostarczane w ramach podstawowej licencji na urządzenie, bez
dodatkowych opłat.
III. MINIMALNE PARAMETRY SPRZĘTOWE URZĄDZEŃ UTM:
URZĄDZENIE PIERWSZE:
1) Urządzenie musi być pozbawione dysku twardego, a oprogramowanie wewnętrzne musi
działać z wbudowanej pamięci flash.
2) Liczba portów Ethernet 10/100/1000 - min. 5 w tym min. 3 routowalne.
3) Urządzenie musi posiadać funkcjonalność budowania połączeń z Internetem za pomocą
modemu 3G.
4) Urządzenie pozwala na użycie nie mniej niż 4 niezależnych łączy WAN.
5) Przepustowość Firewalla wraz z włączonym systemem IPS - min. 400 Mbps.
6) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi min. 100 Mbps.
7) Maksymalna liczba tuneli VPN IPSec nie może być mniejsza niż 50.
8) Obsługa min. 64 VLAN-ów.
9) Maksymalna liczba równoczesnych sesji wynosi min. 75 000.
10) Urządzenie jest nielimitowane na użytkowników.
URZĄDZENIE DRUGIE:
1) Urządzenie musi być pozbawione dysku twardego, a oprogramowanie wewnętrzne musi
działać z wbudowanej pamięci flash.
2) Liczba portów Ethernet 10/100/1000 - min. 8.
3) Urządzenie musi posiadać funkcjonalność budowania połączeń z Internetem za pomocą
modemu 3G.
4) Urządzenie pozwala na użycie nie mniej niż 4 niezależnych łączy WAN.
5) Przepustowość Firewalla wraz z włączonym systemem IPS - min. 800 Mbps.
6) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi min. 200 Mbps.
7) Maksymalna liczba tuneli VPN IPSec nie może być mniejsza niż 100.
8) Obsługa min. 64 VLAN-ów.
9) Maksymalna liczba równoczesnych sesji wynosi min. 150 000.
10) Urządzenie musi dawać możliwość budowania klastrów wysokiej dostępności HA co najmniej w
trybie Active-Passive.
11) Urządzenie jest nielimitowane na użytkowników
Numer biuletynu: 1
Pozycja w biuletynie: 257643
Data publikacji: 2012-12-05
Nazwa:
Powiat Nowosądecki, Zarząd Powiatu Nowosądeckiego
Ulica: ul. Jagiellońska 33
Numer domu: 33
Miejscowość: Nowy Sącz
Kod pocztowy: 33-300
Województwo / kraj: małopolskie
Numer telefonu: 18 4141600
Numer faxu: 18 4141700
Adres strony internetowej: www.starostwo.nowy-sacz.pl
Regon: 49189330000000
Typ ogłoszenia: ZP-400
Czy jest obowiązek publikacji w biuletynie: Tak
Ogłoszenie dotyczy: 1
Rodzaj zamawiającego: Administracja samorządowa
Nazwa nadana zamówieniu przez zamawiającego:
ZP.272.36.2012 Zamówienie na dostawę dwóch urządzeń UTM dla Starostwa
Powiatowego w Nowym Sączu
Rodzaj zamówienia: D
Przedmiot zamówienia:
Przedmiotem zamówienia dostawa dwóch urządzeń UTM dla Starostwa Powiatowego
w Nowym Sączu.
I. Licencja do każdego z urządzeń zapewnia przez okres 3 lat
- aktualizacje do wszystkich modułów urządzenia
- wsparcie techniczne od poniedziałku do piątku od 8.00 do 18.00
- wymianę urządzenia na nowe w przypadku awarii w ciągu 14 dni
II. Urządzenia muszą posiadać zintegrowaną architekturę bezpieczeństwa wraz z poniższymi
funkcjami (minimalnie):
ZAPORA KORPORACYJNA (Firewall)
1) Firewall klasy Stateful Inspection.
2) Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.
3) Urządzenie ma dawać możliwość ustawienia trybu pracy jako router warstwy trzeciej, jako
bridge warstwy drugiej oraz hybrydowo (część jako router, a część jako bridge).
4) Interface (GUI) do konfiguracji firewalla ma umożliwiać tworzenie odpowiednich reguł przy
użyciu prekonfigurowanych obiektów. Przy zastosowaniu takiej technologii osoba
administrująca ma mieć możliwość określania parametrów pojedynczej reguły (adres
źródłowy, adres docelowy etc.) przy wykorzystaniu obiektów określających ich logiczne
przeznaczenie.
5) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł na firewallu.
6) Edytor reguł na firewallu ma posiadać wbudowany analizator reguł, który eliminuje
sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów).
7) Firewall ma umożliwiać uwierzytelnienie i autoryzację użytkowników w oparciu o bazę lokalną,
zewnętrzny serwer RADIUS, LDAP (wewnętrzny i zewnętrzny) lub przy współpracy z
uwierzytelnieniem Windows 2k (Kerberos).
INTRUSION PREVENTION SYSTEM (IPS)
8) System detekcji i prewencji włamań (IPS) ma być zaimplementowany w jądrze systemu i ma
wykrywać włamania oraz anomalia w ruchu sieciowym przy pomocy analizy protokołów, analizy
heurystycznej oraz analizy w oparciu o sygnatury kontekstowe.
9) Moduł IPS musi być opracowany przez producenta urządzenia. Nie dopuszcza się aby moduł
IPS pochodził od zewnętrznego dostawcy.
10) Moduł IPS musi zabezpieczać przed co najmniej 10 000 ataków i zagrożeń.
11) Moduł IPS ma nie tylko wykrywać ale również usuwać szkodliwą zawartość w kodzie HTML oraz
Javascript żądanej przez użytkownika strony internetowej.
12) Urządzenie ma mieć możliwość inspekcji ruchu tunelowanego wewnątrz protokołu SSL, co
najmniej w zakresie analizy HTTPS, FTPS, POP3S oraz SMTPS.
13) Administrator urządzenia ma mieć możliwość konfiguracji jednego z trybów pracy urządzenia,
to jest: IPS, IDS lub Firewall dla wybranych adresów IP (źródłowych i docelowych),
użytkowników, portów (źródłowych i docelowych) oraz na podstawie pola DSCP.
KSZTAŁTOWANIE PASMA (Traffic Shapping)
14) Urządzenie ma mieć możliwość kształtowania pasma w oparciu o priorytezację ruchu oraz
minimalną i maksymalną wartość pasma.
15) Ograniczenie pasma lub priorytezacja ma być określana względem reguły na firewallu w
odniesieniu do pojedynczego połączenia, adresu IP lub autoryzowanego użytkownika oraz pola
DSCP.
16) Rozwiązanie ma umożliwiać tworzenie tzw. kolejki nie mającej wpływu na kształtowanie pasma
a jedynie na śledzenie konkretnego typu ruchu (monitoring).
OCHRONA ANTYWIRUSOWA
17) Rozwiązanie ma zezwalać na zastosowanie jednego z co najmniej dwóch skanerów
antywirusowych dostarczonych przez firmy trzecie (innych niż producent rozwiązania).
18) Co najmniej jeden z dwóch skanerów antywirusowych ma być dostarczany w ramach
podstawowej licencji.
19) Administrator ma mieć możliwość określenia maksymalnej wielkości pliku jaki będzie
poddawany analizie skanerem antywirusowym.
20) Administrator ma mieć możliwość zdefiniowania treści komunikatu dla użytkownika o wykryciu
infekcji, osobno dla infekcji wykrytych wewnątrz protokołu POP3, SMTP i FTP. W przypadku
SMTP i FTP ponadto ma być możliwość zdefiniowania 3-cyfrowego kodu odrzucenia.
OCHRONA ANTYSPAM
21) Producent ma udostępniać mechanizm klasyfikacji poczty elektronicznej określający czy jest
pocztą niechcianą (SPAM).
22) Ochrona antyspam ma działać w oparciu o:
a. białe/czarne listy,
b. DNS RBL,
c. heurystyczny skaner.
23) W przypadku ochrony w oparciu o DNS RBL administrator może modyfikować listę serwerów
RBL lub skorzystać z domyślnie wprowadzonych przez producenta serwerów. Może także
definiować dowolną ilość wykorzystywanych serwerów RBL.
24) Wpis w nagłówku wiadomości zaklasyfikowanej jako spam ma być w formacie zgodnym z
formatem programu Spamassassin.
WIRTUALNE SIECI PRYWANTE (VPN)
25) Urządzenie ma posiadać wbudowany serwer VPN umożliwiający budowanie połączeń VPN typu
client-to-site (klient mobilny - lokalizacja) lub site-to-site (lokalizacja-lokalizacja).
26) Odpowiednio kanały VPN można budować w oparciu o:
a. PPTP VPN,
b. IPSec VPN,
c. SSL VPN.
27) Urządzenie ma posiadać funkcjonalność przełączenia tunelu na łącze zapasowe na wypadek
awarii łącza dostawcy podstawowego (VPN Failover).
28) Urządzenie ma posiadać wsparcie dla technologii XAuth, Hub n Spoke oraz modconf.
FILTR ADRESÓW URL
29) Urządzenie ma posiadać wbudowany filtr URL.
30) Filtr URL ma działać w oparciu o klasyfikację URL dostarczaną przez producenta rozwiązania
zawierającą co najmniej 50 kategorii tematycznych stron internetowych.
31) Administrator musi mieć możliwość dodawania własnych kategorii URL.
32) Urządzenie nie jest limitowane pod względem kategorii URL dodawanych przez administratora.
33) Moduł filtra URL, wspierany przez HTTP PROXY, musi być zgodny z protokołem ICAP co
najmniej w trybie REQUEST.
34) Administrator posiada możliwość zdefiniowania akcji w przypadku zaklasyfikowania danej
strony do konkretnej kategorii. Do wyboru jest jedna z trzech akcji:
a. blokowanie dostępu do adresu URL,
b. zezwolenie na dostęp do adresu URL,
c. blokowanie dostępu do adresu URL oraz wyświetlenie strony HTML zdefiniowanej
przez administratora.
35) Filtrowanie URL musi uwzględniać także komunikację po protokole HTTPS.
36) Możliwość identyfikacji oraz blokowanie przesyłanych danych z wykorzystaniem typu MIME.
37) Możliwość stworzenia białej listy stron dostępnych poprzez HTTPS, które nie będą
deszyfrowane.
UWIERZYTELNIANIE
38) Urządzenie ma zezwalać na uruchomienie systemu uwierzytelniania użytkowników w oparciu o:
a. lokalną bazę użytkowników (wewnętrzny LDAP),
b. zewnętrzną bazę użytkowników (zewnętrzny LDAP) ,
c. integracje z serwerem Microsoft Active Directory.
39) Rozwiązanie ma zezwalać na uruchomienie specjalnego portalu, który umożliwia
autoryzacje w oparciu o protokoły:
a. SSL,
b. Radius,
c. Kerberos.
40) Autoryzacja użytkowników z wykorzystaniem użytkowników Microsoft Active Directory nie
wymaga instalacji agenta na serwerze AD ani modyfikacji schematu domeny.
ADMINISTRACJA ŁĄCZAMI OD DOSTAWCÓW USŁUG INTERNETOWYCH (ISP).
41) Urządzenie ma posiadać wsparcie dla mechanizmów równoważenia obciążenia łączy do sieci
Internet (tzw. Load Balancing).
42) Mechanizm równoważenia obciążenia łącza internetowego ma działać w oparciu o następujące
dwa mechanizmy:
a. równoważenie względem adresu źródłowego,
b. równoważenie względem adresu źródłowego i docelowego (połączenia).
43) Urządzenie ma posiadać mechanizm przełączenia na łącze zapasowe w przypadku awarii łącza
podstawowego.
POZOSTAŁE USŁUGI I FUNKCJE ROZWIĄZANIA
44) Urządzenie posiada wbudowany serwer DHCP z możliwością przypisywania adresu IP do adresu
MAC karty sieciowej stacji roboczej w sieci
45) Urządzenie musi pozwalać na przesyłanie zapytań DHCP do zewnętrznego serwera DHCP -
DHCP Relay
46) Urządzenie musi być wyposażone w klienta usługi SNMP w wersji 1,2 i 3.
47) Urządzenie musi posiadać usługę klienta NTP.
48) Urządzenie musi posiadać DNS Proxy.
ADMINISTRACJA URZĄDZENIEM
49) Producent musi dostarczać w podstawowej licencji narzędzie administracyjne pozwalające na
podgląd pracy urządzenia, monitoring w trybie rzeczywistym stanu urządzenia.
50) Konfiguracja urządzenia ma być możliwa z wykorzystaniem polskiego interfejsu graficznego.
51) Interfejs konfiguracyjny musi być dostępny poprzez przeglądarkę internetową a komunikacja
musi być zabezpieczona za pomocą protokołu https.
52) Komunikacja może odbywać się na porcie innym niż https (443 TCP).
53) Urządzenie może być zarządzane przez dowolną liczbę administratorów z różnymi (także
nakładającymi się) uprawnieniami.
54) Urządzenie ma mieć możliwość eksportowania logów na zewnętrzny serwer (syslog).
RAPORTOWANIE
55) Urządzenie ma być dostarczone wraz z dedykowanym systemem do raportowania.
56) Narzędzie raportujące musi być oparte o darmowy system np. system z rodziny Linux.
57) Interfejs użytkownika musi być dostępny poprzez przeglądarkę internetową.
58) Interfejs użytkownika narzędzia raportującego ma być dostępny co najmniej w językach
Polskim i Angielskim.
59) Przesyłanie logów pomiędzy urządzeniem a narzędziem raportującym musi odbywać się za
pomocą protokołu syslog.
60) Narzędzie raportujące musi posiadać możliwość automatycznej aktualizacji swoich
komponentów z Internetu bez ingerencji użytkownika.
61) Rozwiązanie musi posiadać możliwość wygenerowania raportów graficznych, na podstawie
zebranych logów, w tym co najmniej:
a. raporty WEB zawierające informacje o co najmniej: odwiedzanych stronach WWW,
ilości połączeń do tych stron, ilości pobranych danych, kategoriach tematycznych (do
których należą odwiedzane strony), użytkownikach, którzy łączyli się z danymi adresami
oraz adresach IP z których wchodzono na owe strony,
b. raporty pasywnego skanera sieci, zawierające informacje o co najmniej: wykrytych
zagrożeniach, aplikacjach, w których zostały wykryte podatności, typach programów, w
których wykryto podatności, poziomie ważności wykrytych zagrożeń,
c. raporty IPS zawierające informacje o co najmniej: wykrytych przez IPS zagrożeniach,
adresach źródłowych i adresach docelowych hostów, których te zagrożenia dotyczą.
62) Raporty graficzne muszą oferować możliwość:
a. przeszukiwania zgromadzonych informacji,
b. wyświetlenia zgromadzonych informacji, dla wybranego: dnia, tygodnia, miesiąca,
c. eksportu do zewnętrznych plików obsługujących format PDF oraz CSV.
63) Narzędzie raportujące musi umożliwiać przeglądanie zgromadzonych logów, oraz dawać
możliwość ich filtrowania po parametrach co najmniej takich jak: protokół, źródłowy adres IP,
docelowy adres IP, port docelowy, nazwa docelowa, czas (od-do), nazwa użytkownika, akcja.
64) Przeglądarka logów musi dawać możliwość ukrycia kolumn z informacjami zbędnymi dla
administratora.
65) Narzędzie raportujące musi posiadać możliwość tworzenia wielu kont użytkowników.
66) Narzędzie raportujące musi umożliwiać pracę wielu użytkowników jednocześnie.
67) Narzędzie raportujące musi być dostarczane w ramach podstawowej licencji na urządzenie, bez
dodatkowych opłat.
III. MINIMALNE PARAMETRY SPRZĘTOWE URZĄDZEŃ UTM:
URZĄDZENIE PIERWSZE:
1) Urządzenie musi być pozbawione dysku twardego, a oprogramowanie wewnętrzne musi
działać z wbudowanej pamięci flash.
2) Liczba portów Ethernet 10/100/1000 - min. 5 w tym min. 3 routowalne.
3) Urządzenie musi posiadać funkcjonalność budowania połączeń z Internetem za pomocą
modemu 3G.
4) Urządzenie pozwala na użycie nie mniej niż 4 niezależnych łączy WAN.
5) Przepustowość Firewalla wraz z włączonym systemem IPS - min. 400 Mbps.
6) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi min. 100 Mbps.
7) Maksymalna liczba tuneli VPN IPSec nie może być mniejsza niż 50.
8) Obsługa min. 64 VLAN-ów.
9) Maksymalna liczba równoczesnych sesji wynosi min. 75 000.
10) Urządzenie jest nielimitowane na użytkowników.
URZĄDZENIE DRUGIE:
1) Urządzenie musi być pozbawione dysku twardego, a oprogramowanie wewnętrzne musi
działać z wbudowanej pamięci flash.
2) Liczba portów Ethernet 10/100/1000 - min. 8.
3) Urządzenie musi posiadać funkcjonalność budowania połączeń z Internetem za pomocą
modemu 3G.
4) Urządzenie pozwala na użycie nie mniej niż 4 niezależnych łączy WAN.
5) Przepustowość Firewalla wraz z włączonym systemem IPS - min. 800 Mbps.
6) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi min. 200 Mbps.
7) Maksymalna liczba tuneli VPN IPSec nie może być mniejsza niż 100.
8) Obsługa min. 64 VLAN-ów.
9) Maksymalna liczba równoczesnych sesji wynosi min. 150 000.
10) Urządzenie musi dawać możliwość budowania klastrów wysokiej dostępności HA co najmniej w
trybie Active-Passive.
11) Urządzenie jest nielimitowane na użytkowników
Kody CPV:
357100004 (Systemy dowodzenia, kontroli, łączności i systemy komputerowe)
Kod CPV drugiej częsci zamówienia: 300000001
Czy zamówienie jest podzielone na części: Nie
Czy dopuszcza się złożenie oferty wariantowej: Nie
Czy przewiduje się udzielenie zamówień uzupełniających: Nie
Czas: O
Okres trwania zamówienia w dniach: 7
Informacja na temat wadium:
Z uwagi na wartość przedmiotu zamówienia Zamawiający nie wymaga wniesienia wadium
Zaliczka: Nie
Uprawnienia:
Zgodnie z art. 22 ust. 1 ustawy Prawo zamówień publicznych o udzielenie zamówienia mogą
ubiegać się Wykonawcy, którzy spełniają warunki dotyczące posiadania uprawnień do
wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek
ich posiadania. Zamawiający na potwierdzenie spełniania tego warunku udziału w postępowaniu
wymaga złożenia oświadczenia w trybie art. 22 ust 1 ustawy Prawo zamówień publicznych -
(oświadczenie to stanowi załącznik nr 2 do specyfikacji). Zamawiający dokona oceny spełniania
warunków zgodnie z formułą spełnia - nie spełnia na podstawie informacji zawartych w
dostarczonych dokumentach i oświadczeniach wymaganych w specyfikacji
Wiedza i doświadczenie:
Zgodnie z art. 22 ust. 1 ustawy Prawo zamówień publicznych o udzielenie zamówienia mogą
ubiegać się Wykonawcy, którzy spełniają warunki dotyczące posiadania wiedzy i doświadczenia.
Zamawiający na potwierdzenie spełniania tego warunku udziału w postępowaniu wymaga
złożenia oświadczenia w trybie art. 22 ust 1 ustawy Prawo zamówień publicznych -
(oświadczenie to stanowi załącznik nr 2 do specyfikacji). Zamawiający dokona oceny spełniania
warunków zgodnie z formułą spełnia - nie spełnia na podstawie informacji zawartych w
dostarczonych dokumentach i oświadczeniach wymaganych w specyfikacji
Potencjał techniczny:
Zgodnie z art. 22 ust. 1 ustawy Prawo zamówień publicznych o udzielenie zamówienia mogą
ubiegać się Wykonawcy, którzy spełniają warunki dotyczące dysponowania odpowiednim
potencjałem technicznym. Zamawiający na potwierdzenie spełniania tego warunku udziału w
postępowaniu wymaga złożenia oświadczenia w trybie art. 22 ust 1 ustawy Prawo zamówień
publicznych - (oświadczenie to stanowi załącznik nr 2 do specyfikacji). Zamawiający dokona
oceny spełniania warunków zgodnie z formułą spełnia - nie spełnia na podstawie informacji
zawartych w dostarczonych dokumentach i oświadczeniach wymaganych w specyfikacji
Osoby zdolne do zrealizowania zamówienia:
Zgodnie z art. 22 ust. 1 ustawy Prawo zamówień publicznych o udzielenie zamówienia mogą
ubiegać się Wykonawcy, którzy spełniają warunki dotyczące dysponowania osobami zdolnymi do
wykonania zamówienia. Zamawiający na potwierdzenie spełniania tego warunku udziału w
postępowaniu wymaga złożenia oświadczenia w trybie art. 22 ust 1 ustawy Prawo zamówień
publicznych - (oświadczenie to stanowi załącznik nr 2 do specyfikacji). Zamawiający dokona
oceny spełniania warunków zgodnie z formułą spełnia - nie spełnia na podstawie informacji
zawartych w dostarczonych dokumentach i oświadczeniach wymaganych w specyfikacji
Sytuacja ekonomiczna:
Zgodnie z art. 22 ust. 1 ustawy Prawo zamówień publicznych o udzielenie zamówienia mogą
ubiegać się Wykonawcy, którzy spełniają warunki dotyczące sytuacji ekonomicznej i finansowej.
Zamawiający na potwierdzenie spełniania tego warunku udziału w postępowaniu wymaga
złożenia oświadczenia w trybie art. 22 ust 1 ustawy Prawo zamówień publicznych -
(oświadczenie to stanowi załącznik nr 2 do specyfikacji). Zamawiający dokona oceny spełniania
warunków zgodnie z formułą spełnia - nie spełnia na podstawie informacji zawartych w
dostarczonych dokumentach i oświadczeniach wymaganych w specyfikacji
Oświadczenie wykluczenia nr 1: Tak
Oświadczenie wykluczenia nr 2: Tak
Dokumenty podmiotów zagranicznych: Tak
III.7 osoby niepełnosprawne: Nie
Kod trybu postepowania: PN
Czy zmiana umowy: Nie
Kod kryterium cenowe: A
Czy wykorzystywana będzie aukcja: Nie
Adres strony internetowej specyfikacji i warunków zamówienia: www.bip.powiat.nowy-sacz.pl
Adres uzyskania specyfikacji i warunków zamówienia:
Starostwo Powiatowe w
Nowym Sączu, Zespół ds. Zamówień Publicznych, pok. 320 ul. Jagiellońska 33, 33-300 Nowy Sącz
Data składania wniosków, ofert: 13/12/2012
Godzina składania wniosków, ofert: 10:15
Miejsce składania:
Starostwo Powiatowe w Nowym Sączu Kancelaria Administracyjna, pok. 113, ul.
Jagiellońska 33, 33-300 Nowy Sącz
On: O
Termin związania ofertą, liczba dni: 30
Czy unieważnienie postępowania: Nie
Podobne przetargi
270343 / 2012-12-21 - Administracja samorzÄ…dowa
Powiat Nowosądecki, Zarząd Powiatu Nowosądeckiego - Nowy Sącz (małopolskie)
CPV: 357100004 (Systemy dowodzenia, kontroli, łączności i systemy komputerowe)
ZP.272.36.2012 Zamówienie na dostawę
dwóch urządzeń UTM dla Starostwa Powiatowego w Nowym Sączu