ást 2 zadávací dokumentace Technická dokumentace a specifikace pedmtu koup Úvod k technickému zadání Zadavatel požaduje nabídku na níže specifikované ešení. Specifikace ešení se skládá ze ty ástí (kapitol): A. První ást popisuje ešení síového zabezpeení na L2/L3 pomocí stavového firewallu v. IPS (ást A). B. Druhá ást popisuje požadavky na bezpený vzdálený uživatelský pístup pomocí technologie SSL VPN (ást B). C. Tetí ást popisuje technologické prostedí, do nhož bude plnní poskytnuto (ást C). D. tvrtá ást popisuje akceptaní testy (ást D). Souástí jednotlivých ástí je textový popis a pípadn detailnjší specifikace dílích komponent. Údaje uvedené v jednotlivých ástech této technické dokumentace a specifikace vymezují závazné požadavky zadavatele na plnní této veejné zakázky. Tyto požadavky musí uchaze pln respektovat pi tvorb své nabídky. Plnní veejné zakázky je vetn dodávky, instalace, zprovoznní (uvedení do ádného provozu), otestování a odzkoušení a základní konfigurace potebného software (licencí), potebného specifikovaného zaškolení IT personálu a dalšího potebného píslušenství, dále pak poskytnutí technických konzultací, rozšíené záruky a servisu. Zadavatel požaduje dodání originálních a nových zaízení, licencovaných na jméno zákazníka (zadavatele), a podle pravidel výrobce tak, aby bylo možné eskalovat pípadné závady pímo na technickou podporu výrobce. Pokud jsou v technické specifikaci obsaženy požadavky nebo odkazy na jednotlivá obchodní jména, zvláštní oznaení podniku, zvláštní oznaení výrobk, výkon anebo obchodních materiál, která platí pro uritý podnik nebo organizaní jednotku za píznané, pop. patenty a užitné vzory, jsou uvedeny pouze pro upesnní a piblížení technických parametr a zadavatel umožuje použití i kvalitativn a technicky obdobného ešení s pln srovnatelnými nebo i pevyšujícími parametry. V pípad poteby mže chtít zadavatel doložit (vyžádat si) oficiální potvrzení zastoupení výrobce o urení dodávaného HW (resp. seznam sériových ísel všech dodávaných zaízení) pro eský trh nebo trh EU a koncového zákazníka Biotechnologické a biomedicínské centrum Akademie vd a Univerzity Karlovy ve Vestci (BIOCEV). Zadavatel požaduje pístup s plnými (maximálními) administrátorskými právy na všechny zaízení dodané v rámci tohoto ešení a všech jeho ástí. Zadavatel v rámci nabídky uchazee požaduje dodat kompletní technický popis (specifikaci) všech komponent (zaízení) u všech ástí ešení. K veškeré funkcionalit požadované v zadávací dokumentaci musí v dob podání nabídky existovat uživatelská dokumentace, kterou uchaze na vyžádání zadavatele neprodlen pedloží, a která tuto funkcionalitu jednoznan deklaruje (popisuje). Definice záruních skupin dle délky záruky U všech ástí tohoto ešení požaduje zadavatel záruku v trvání 3 let na všechny dodané komponenty.
Definice servisních skupin dle rychlosti reakce a opravy: Popis: Servis je pedpokládán v míst plnní, tj. tam, kde jsou ešení instalována. Použité termíny (zkratky) jsou NBD (Next business day), tj. "další pracovní den". Servis dodaného hardware je požadován pro všechny ásti ešení podle následující specifikace: dostupnost 5x9 (po-pá, od 8-17h) + reakce do 8 hodin + oprava do NBD. Technické konzultace Souástí ešení jsou také technické konzultace, jejichž pedmtem je níže uvedené. Dodavatel bude pipraven poskytovat tyto konzultace od pedání ešení (podepsání akceptaního protokolu) do provozu po dobu min. 12 následujících msíc. Definice konzultací je následující: a) Provádní konzultaních a poradenských služeb technicky vysoce odborného charakteru na dodaných technologických celcích na základ požadavk zadavatele v rozsahu cca 20 hodin za msíc (celkem 240 hodin za 12 msíc) v míst instalace nebo prostednictvím vzdáleného pístupu. b) Poskytování služby hot-line dodavatelem formou telefonické podpory pro hlášení požadavk na technickou podporu, poradenství a konzultace v režimu 24x7x365 (24 hodin + po-ne + po celý kalendání rok) + reakce do 2 hodin od hlášení požadavku. c) Poskytování služby helpdesk dodavatelem v režimu 24x7x365 (24 hodin + po-ne + po celý kalendání rok) + reakce do 2 hodin od hlášení závad a požadavk na technickou podporu, poradenství a konzultace. d) U výše specifikovaných bod b) a c) požaduje zadavatel dostupnost služby (obnovení funkcionality) do 24 hodin od reakce na danou událost (požadavek zadavatele). ást A Základní popis Pro implementaci síového firewallu v. IPS (Intrusion Prevention System) se vyžaduje dodávka dvou kus hardwarových zaízení, poskytujícího služby bezpenostní brány (dále jen firewall ), které budou sloužit jako centrální kontrolní bod k ízení a zabezpeování síového provozu mezi vnitními sítmi (LAN) s rznou úrovní bezpenosti a mezi vnitními sítmi a sítí Internet (WAN). Jsou požadovány firewally s následujícími níže specifikovanými požadavky. Požadované parametry níže jsou uvedeny (platné) pro jeden kus firewallu (zaízení), konfigurace obou zaízení je požadována identická (stejná) : Požadované výkonnostní a HW parametry propustnost firewallu: až 30 Gb/s IPS výkon: až 10 Gb/s (podle metodologie NSS Labs, http://www.nsslabs.com nebo ekvivalentní) IPSec VPN výkon: až 10 Gb/s (AES256+SHA-1 / 3DES+SHA-1) HW platforma, specificky vyvinutá a urená pro provoz firewallu Integrované úložišt / pam: pouze technologie FLASH nebo SSD Výchozí konektivita: o min. 8x 10/100/1000 Base-T RJ45 o min. 4x 1000 Base-F SFP o min. 4x 10G Base-F Možnosti rozšíení konektivity v budoucím období (vetn umožnní kombinace min. dvou libovolných variant souasn): o min. 16x 10/100/1000 Base-T RJ45 o min. 16x 1000 Base-F SFP o min. 2x 10G Base-F
Funkní požadavky Dynamický routing protokoly OSPF, BGP, RIP, IS-IS Funkce IPSec VPN koncentrátoru Podpora NAT/PAT Škálovatelný výkon systému formou HW modul Podpora IPv4 a IPv6 pro všechny zde zmínné relevantní funkní požadavky Podpora multicast IGMP v3 Podpora virtuálních instancí Popdora QoS Podpora HW clusteru pro vysokou dostupnost: o režim active/passive i v režimu active/active o synchronizace spojení mezi uzly clusteru pro firewall a VPN Podpora agregovaných rozhraní dle standardu IEEE 802.1ax (nap. LACP). Možnost vytváet agregovaná rozhraní pes více uzl HW clusteru Požadavky na aplikaní firewall Možnost definice vlastních aplikací / vzork Dostupné výrobcem definované pravideln (za provozu) aktualizované aplikaní vzorky / signatury Aplikaní ochrana se nenasazuje plošn na celý datový provoz; aktivuje se per-rule v rámci bezpenostní politiky firewallu na vybraný provoz Možnost souasného provozu aplikaního firewallu a IDP Podpora min. 300 aplikací Požadavky na IDP Dostupné výrobcem definované pravideln (za provozu) aktualizované IDS/IDP vzorky / signatury Podpora dešifrovaní a kontroly SSL provozu Možnost sbru obsahu dat (traffic dump) útok Možnost definice vlastních vzork / signatur Možné režimy nasazení: inline nebo tap IDP ochrana se aktivuje pouze per-rule v rámci bezpenostní politiky firewallu na vybraný provoz Definované vzorky / signatury rozlišují závažnost útok a obsahují doporuení na provádnou akci Požadavky na management Možnost napojení na rzné autentizaní zdroje (minimáln LDAP/Radius) Dostupné lokální ádkové (CLI) a webové rozhraní pro kompletní konfiguraci firewallu (vetn bezpenostních politik) Možnost vytváení a udržování záloh / verzí konfigurací firewallu s funkcí snadného rollbacku a možností automatického porovnání (vizualizace) rozdíl v jednotlivých verzích konfigurací Možnost vytváení rzných administrátorských rolí s definovanými pístupovými právy odpovídajících správc Dostupnost centrálního management systému pro více zaízení (firewall), založeného na standardním webovém rozhraní. Možnost spravovat systém z lokálního prostedí firewallu nezávisle na centrálním management systému s možností následné synchronizace zmn s centrálním managementem. Dostupnost programovatelných-komunikaních rozhraní (nap.: NETCONF, RFC 4741) pro lokální systémy i centrální management (v. potebné dokumentace), poskytujících možnost automatizace konfiguraních i monitorovacích proces.
Upesující požadavky na základní konfiguraci Zadavatel poskytne dodavateli potebné informace pro požadované provedení základní konfigurace. Základní konfigurace v této ásti, která je požadována v rámci ešení, je mínna vetn: Realizace HW clusteru. L2/L3 základní konfigurace, tj. nastavení potebných virtuálních síových segment (VLAN) a IP-L3 konfigurace daných síových rozhraní. Konfigurace bezpenostních logických segmentu (zón nap.: untrust, trust, DMZ apod.), zadavatel pedpokládá max. 70 VLAN. NAT konfigurace. Konfigurace DHCP-relay. Konfigurace základních bezpenostních pravidel (politik, pedpokládá se ádov 200-300 základních pravidel). Konfigurace IPsec VPN spojení (max. 10 spoj). Požadavky na zaškolení IT personál zadavatele Zadavatel požaduje výrobcem certifikované zaškolení dvou osob (IT specialist) v základní architektue a správ zaízení. Školení je požadováno v rozsahu minimáln tí pracovních dn. Obsahem školení jsou produkty popsané v této ásti specifikace ešení. Požadavky na záruku a servis Zadavatel požaduje pro tuto ást ešení (ást A) záruku a souasn servis podle specifikace v úvodu tohoto dokumentu. Zadavatel požaduje, aby všechny licence, které budou dodány v rámci tohoto ešení, byly asov neomezené (bez exspirace). Záruku je nutné v této ásti chápat i jako požadavek zadavatele na maintenance, tj. pímý support dodavatele, a bezplatný nárok na nové verze firmware (operaních systém, software) výše specifikovaných produkt po dobu minimáln tí let. ást B Základní popis Pro implementaci bezpeného vzdáleného uživatelského pístupu pomocí technologie SSL VPN se vyžaduje dodávka jednoho zaízení, poskytujícího funkci vzdáleného šifrovaného pístupu koncovým uživatelm za použití pístupu bez instalovaného VPN klienta (clientless) nebo snadno (s minimálními nároky na uživatele, user friendly) nasaditelného VPN klienta (instalovaného na zaízení uživatele). V pípad použití VPN klienta je dležitá podpora více platforem a souasn podpora na mobilních zaízeních. Jsou požadovány zaízení s následujícími požadavky. Obecné požadavky Možnost souasn pipojit souasn až 100 uživatel Možnost rozšíení souasného pipojení uživatel až na 400 Možnost realizace clusteru pro vysokou dostupnost: o možnost režimu active/passive i active/active o možnost synchronizace konfigurací a dalších stavových informací mezi uzly clusteru
Podpora AAA nebo Single Sign-On systém dle: Radius, Active Directory, LDAP, NIS, RSA SecurId, SiteMinder, ovování certifikátem X509, SAML Podpora pístupu anonymních uživatel Možnost napojení na IDP/IPS systém pro kontrolu uživatelské komunikace Možnost úpravy uživatelského rozhraní Detailní logy aktivit uživatel a správc Funkní požadavky s ohledem na klientské systémy Podpora klientských OS: Windows, MacOS, Linux, Android, ios atd. Možnost kontrolovat / ídit úrove zabezpeení klientských stanic vetn kontroly aktivních (bezpenostních) program a jejich stavu (nap. lokální antivirus, antimalware, personální firewall apod.), min. požadované verze OS (servis pack) apod. Možnost ídit použitou sílu šifrování mezi systémem a klientem (pedevším v clientless režimu) Možnost vynutit smazání veškerých informací z prbhu spojení na klientském systému po ukonení spojení uživatele. Možnost navázat klientské spojení v chránném režimu / virtuálním desktopu. Možnost clientless (webový portál nebo Java aplikace) pístupu ke službám: o Webové aplikace o Sdílené síové složky protokoly CIFS nebo NFS o terminálové služby RDP, ICA, SSH a Telnet Možnost pístupu explicitním lokálním VPN klientem, bez nutnosti konfigurace ze strany uživatele. Dostupná funkce sdílení plochy a aplikací pro úely podpory. Požadavky na záruku a servis Zadavatel požaduje pro tuto ást ešení (ást B) záruku a souasn servis podle specifikace v úvodu tohoto dokumentu. Zadavatel požaduje, aby všechny licence, které budou dodány v rámci tohoto ešení, byly asov neomezené (bez exspirace). Záruku je nutné v této ásti chápat i jako požadavek zadavatele na maintenance, tj. pímý support dodavatele, a bezplatný nárok na nové verze firmware (operaních systém, software) výše specifikovaných produkt po dobu minimáln tí let. ást C ešení musí splovat a respektovat následující omezení daná technologickým prostedím stavby (projektem) a dále zadavatelem. 1. Rozmry jednotlivých dále nedlitelných technologických celk a prostor stavby. 2. V rámci areálu je navržen kabelážní systém založený na technologii kabel se 4 stínnými páry cat.6a. Dále je využito opt. kabel pro pátení spoje v provedení MM a SM. 3. V rámci areálu bude více než jeden samostatný subjekt, rzné subjekty budou pipojeny v logicky oddlených sítích (VLAN), fyzické oddlení sítí pro tyto subjekty není požadováno. 4. Propojení hlavní serverovna záložní serverovna bude optickými kabely MM a SM. 5. Topologie pátení sít areálu (mezi datovými rozvadi, serverovnami a jednotlivými budovami) je znázornna na následujícím obrázku:
6. Dodavatel musí provést transport zaízení (aktivních prvk) do daných technologických prostor (nap.: serverovny) takovým zpsobem, který neporuší záruní podmínky výrobce tchto zaízení. 7. Plošná nosnost podlahy v hlavní serverovn pod racky je 1800 kg/m 2. 8. Dále jsou uvedeny plány serveroven. Dodaná zaízení lze umisovat jen do rack skíní s následujícími parametry: V prostoru serveroven budou instalovány 19 stojany, které budou sloužit pro umístní a provoz technologií IT. Použity budou stojany s výškou 42U, hloubkou 120 cm, variantn 107 cm a šíkou 60 cm, variantn 75 cm.
Obr. Plán hlavní serverovny
Obr. Plán záložní serverovny 9. Souástí nabídky musí být pedbžný návrh rozmístní komponent v serverovn. Detailní umístní komponent bude nicmén upesnno ped realizací dohodou zadavatele a uchazee. ást D Akceptaní testy Po dodávce a instalaci ešení požaduje zadavatel v rámci zkušebního provozu provést akceptaní testy. Zkušební provoz musí být zahájen nejpozdji 10 pracovních dn ped skonením stanovené doby plnní podle l. IV. odst. 1 kupní smlouvy. Tyto testy budou minimáln zahrnovat: a) Ovení funkcí a vlastností všech dodaných zaízení a komponent v souladu s deklarovanými parametry v nabídce. b) Skenování síových port (port scanning) ve veejném IPv4 prostoru BIOCEV (tento síový rozsah sdlí zadavatel), ze zaízení umístného mimo vnitní sí (LAN) BIOCEV, tj. z prostoru sít Internet (vnjší sít).
Zadavatel požaduje provést minimáln následující typy skenování síových port (doporueno je využít software nmap - http://nmap.org/): b.10.1.1.1.1.1.1 b.10.1.1.1.1.1.2 SYN skenování (TCP SYN scan), ACK skenování (TCP ACK scan). Zadavatel souasn požaduje pipravit akceptaní protokol ke všem výše uvedeným akceptaním bodm - a) a b) (zpracuje dodavatel). Tento protokol bude obsahovat mimo jiné: a. výstupy jednotlivých bod (test), b. oficiální potvrzení zastoupení výrobce o urení dodávaného HW (resp. seznam sériových ísel všech dodávaných zaízení) pro eský trh nebo trh EU a koncového zákazníka Biotechnologické a biomedicínské centrum Akademie vd a Univerzity Karlovy ve Vestci (BIOCEV), c. v podob pílohy k tomuto akceptanímu protokolu výpis všech pípadných licencí dodaných k daným zaízením nebo samostatn (název, popis-úel, poet). Nedostatky a jejich ešení V pípad prokazatelných nedostatk vzniklých v dob zkušebního provozu je uchaze povinen je odstranit, a to nejpozdji do 5 pracovních dní od okamžiku, kdy tyto nedostatky zadavatel, prostednictvím osoby oprávnné za nj jednat dle l. VIII. kupní smlouvy, písemn uplatnil. Zkušební provoz bude v pípad úspchu zakonen podpisem akceptaního protokolu.