Technická specifikace IT vybavení

Příloha č. 1 kupní smlouvy „Klatovská nemocnice, a.s. – vytvoření centrálního datového úložiště“

Technická specifikace IT vybavení Popis současného stavu Popis lokalit V současné době zadavatel provozuje IT infrastrukturu ve dvou oddělených lokalitách v jednom areálu. Lokality jsou propojeny optikou. Datová úložiště: disková pole a páskové knihovny Zadavatel v současnosti provozuje diskové pole HP 3PAR F400, o kapacitě cca 4,5 TB na rychlých FC discích a cca 30 TB na NL discích. Pole slouží hlavně jako datové úložiště pro virtuální infrastrukturu na bázi VMware Vsphere. Páskovou mechaniku v současnosti zadavatel neprovozuje žádnou. Zálohování - Data Protector Pro zálohování používá zadavatel software HP DataProtector v aktuální verzi s komponentami Starter Pack, 2x Online Backup a 1x Advanced Backup to Disk. Dohledové systémy Zadavatel provozuje dohledové systémy na bázi HP Insight Remote SW a HP SIM. Infrastruktura Zadavatel provozuje cca 40 virtuálních serverů na platformě VMware Vsphere ve verzi 5.5 v edici Enterprise Plus. Hardwarové vybavení pro VMware je tvořeno jednou HP BladeSystem c7000 Enclosure na primární lokalitě ve které jsou osazeny 4 dvousocketové Blade servery ProLiant BL460c G7. Na sekundární lokalitě je instalovaná HP BladeSystem c3000 Enclosure osazená třemi dvousocketovými servery ProLiant BL460c G6. Vše je řízeno jedním managementem VMware Virtual Center Standard 5.5. Obě lokality obsahují dostatečnou prostorovou kapacitu ve stávajících RACK. Napájení je řešeno redundantně pomocí dieselovaných UPS. Lokality obsahují dostatečnou kapacitu pro LAN připojení.


Níže uvedené konfigurace IT vybavení jsou minimální, uchazeč může nabídnout stejné nebo výhodnější parametry.

2 ks Diskové pole Zadavatel požaduje dodávku dvou kusů diskových polí podle následující specifikace. Jedno bude sloužit jako primární, druhé jako sekundární. Zadavatel plánuje použít stávající pole pro zálohování a je nutné, aby nově dodávaná pole byla schopná replikace po FC do stávajícího pole. Pokud takovou funkcionalitu nabízená technologie nepodporuje, požaduje zadavatel dodat třetí pole o adekvátní kapacitě a výkonu stávajícího pole F400 tj. o kapacitě cca 4,5 TB na rychlých SAS discích a cca 30 TB na NL SAS discích. Hardware Hardware musí splňovat následující požadavky – platí pro obě pole, není li zvlášť rozlišeno primární a sekundární: a)

Diskové pole musí být vybaveno minimálně 2 řadiči v režimu vysoké dostupnosti.

b)

Každý řadič diskového pole musí být vybaven minimálně čtyřmi 16 Gb FC porty pro připojení hostů.

c)

Diskové pole musí být možné rozšířit o další dva takové řadiče v rámci jednoho systému.

d)

Každý řadič diskového pole musí být vybaven minimálně dvěma porty pro vzdálenou replikaci po FC a jedním portem pro replikaci po IP.

e)

Řadiče musí být osazeny dostatečnou cache pamětí (min. 32 GB RAM na řadič) do této kapacity se nezapočítávají SSD ala Cache

f)

Cache paměť musí být zálohována a chráněna proti ztrátě dat v případě výpadku napájení.

g)

Diskové pole musí podporovat funkcionalitu SSD/Flash cache, které umožní dále rozšířit cache diskového pole až na 768 GB. Pokud nelze SSD takto použít, musí mít diskové pole minimálně 512 GB RAM cache

h)

Veškeré upgrady pole (včetně upgrade FW řadičů i disků a přidávání diskových polic) musí být realizovatelné on-line.

i)

Je požadována následující kapacita primárního diskového pole:

o

Minimálně 4x 480GB SSD pro použití flash cache, včetně 5ti-leté záruky/garance na vyčerpání zápisu do disku

o

32x 1.2TB SAS 10k

o

12x 6TB SAS HDD 7,2k

j)

Je požadována následující kapacita sekundárního diskového pole:


o

32x 1.2TB SAS 10k

o

12x 6TB SAS HDD 7,2k.

Model diskového pole nesmí být zvolen tak, aby úvodní konfigurace vyčerpala možnosti dalšího kapacitního a výkonového rozšíření. Proto musí umožňovat rozšíření na minimálně čtyřnásobek kapacitních a výkonových možností. k)

Pro optimalizaci výkonu a rovnoměrné zatížení všech zdrojů požadujeme, aby diskové pole fungovalo plně v Active-Active režimu. Přístup obou řadičů ke každému danému LUNu musí být plně symetrický/rovnocenný tj. ne podle standardu ALUA. Nepřipouštíme nabídku diskového pole, kde LUN je vlastněn a ovládán jen jedním kontrolérem.

l)

Pole musí podporovat souborový přístup pro ukládání nestrukturovaných dat přes protokoly specifikované níže. Pokud pole nativně nepodporuje souborový přístup, je možné tuto funkcionalitu řešit samostatným HW, který ale musí být integrován s managementem pole (plně unifikovaný management). Souborové služby (ať už nativní formou pole, nebo samostatným HW) musí být v režimu vysoké dostupnosti a to i v rámci každé lokality a musí umožnovat automatický failover.

Software a funkcionality V oblasti software a funkcionalit požadujeme splnění následujících požadavků: a)

Předpokládáme, že diskové pole bude vnitřně virtualizováno pro celkové usnadnění administrace a efektivní zacházení s výkonovými a kapacitními rezervami tj. na stejných fyzických discích musí být možné vytvářet logické disky s různými RAID geometriemi. Požadujeme podporu RAID10, RAID5, RAID6 a RAID0.

b)

Výpočet RAID zabezpečení musí být vykonáván samostatným HW obvodem, aby výpočet parity neovlivňoval výkon CPU a celého pole. Pokud řešení nemá samostatný HW obvod, požadujeme minimálně 6-ti jádrové CPU na řadiči pole.

c)

Požadujeme funkcionalitu automatického tieringu mezi SSD a SAS disky – diskové pole musí být schopné analyzovat zatížení jednotlivých segmentů logického disku a jejich automatické průběžné přesouvání mezi SSD a SAS vrstvami podle zatížení.

d)

Nabízené řešení musí podporovat funkce Quality of Service, kde je možné definovat a garantovat minimální a maximální hodnoty IOPs a propustnost MB/s, latence (ms) a priority na úrovni jednotlivých disků a jejich skupin. (licence není vyžadována)

e)

Pro potřeby optimalizace výkonu musí pole umožňovat migraci mezi různými RAID zabezpečeními, storage tiery a různými typy provisiongu (Thick, Thin Provisioning) za chodu bez dopadu na připojené servery.

f)

Plná podpora Thin Provisioning s reklamací uvolněného prostoru do poolu přístupného všem serverům. Pokud reklamace vyžaduje speciální nástroje, musí být součástí nabídky. Nabízené


řešení musí podporovat lokální i vzdálené synchronní a asynchronní replikace prostředky pole přes FibreChannel a IP. g)

Obě disková pole a nadřazené servery budou konfigurovány jako Metrocluster tj. řešení musí podporovat synchronní replikaci mezi poli a umožňovat transparentní automatický failover mezi lokalitami. Pro řešení split-brain syndromu požadujeme podporu arbitra na třetí lokalitě. Řešení musí podporovat automatický transparentní failover minimálně pro tyto OS: VMware ESXi 5.5 a vyšší a MS Windows 2012R2 včetně Hyper-V. (licence pro synchronní replikace a storage metrocluster je vyžadována)

Požadujeme certifikovaná disková pole pro režim FC Metro Storage Cluster, která jsou dohledatelné na webových stránkách VMwaru. h)

Uvažujeme o nasazení v režimu replikace dat mezi třemi datovými centry (nové primární pole vs. nové sekundární pole synchronně po FC a zároveň nové primární pole vs stávající pole F400 asynchronně po FC).

i)

Požadujeme integrace diskových polí do prostředí VMware vCenter. Technologie pro vytváření datově konzistentních snapshotů musí být prointegrovaná s prostředím virtualizace a umožňovat vytvářet z prostředí VMware vCenter snapshoty, které je možné využívat jak pro zálohování, tak pro ladění a vývoj aplikací. (případná licence pro VMware není vyžadována)

Nabízené řešení musí být možné v budoucnu rozšířit o integraci pro vytváření aplikačně konzistentních snapshotů pro Oracle, SAP, MS SQL, MS Exchange a Hyper-V. (licence není vyžadována) j)

Nabídka musí obsahovat funkcionalitu pro kompletní monitoring a reporting výkonu a kapacity, včetně práce s historickými daty. (licence je vyžadována)

k)

Vyžadujeme plně on-line migraci dat ze stávajícího pole HP 3PAR F400 na nové řešení. (případný HW/licence je vyžadována)

l)

NAS vrstva musí podporovat přístup přes tyto protokoly: SMB/CIFS 3.0 a nižší, NFS 4.0 a nižší, REST API, OpenStack Object Storage API, NDMP.

m)

NAS vrstva splňuje minimálně tyto požadavky: integrace s MS Active Directory, lokalní snapshoty a vzdálená replikace na úrovni diskového pole, transparentní tiering podle nastavených politik, kvóty, reporting.

n)

Vzhledem k dynamické povaze celého prostředí nechceme být licenčně omezeni počtem připojených serverů - požadované funkcionality musí být nabídnuty pro neomezený počet připojených serverů/hostů.

o)

Nabídka musí obsahovat licenční podmínky pro případné rozšíření pro všechny dodávané funkcionality/software.

p)

Diskové pole musí podporovat protokol T10 DIF pro kontrolu integrity dat i mimo diskové pole


q)

Je vyžadována virtualizace front-end portů pole tak, aby při výpadku portů na řadiči došlo k automatickému přesunu identity portů na přeživší porty bez nutnosti multipath failoveru. Diskové pole musí nabízet funkcionalitu persistentních portů

Podpora OS a)

Certifikovaná podpora VMware ESXi 5.5 a novější, MS Windows 2008 a novější, RHEL a SUSE Linux.

b)

Požadujeme plnou podporu Microsoft ODX a VMware VAAI a VASA protokolů

Podpora, implementace a další služby pro diskové pole a)

Požadujeme proaktivní podporu na celé řešení v režimu 24x7, s dobou reakce do 4 hodin na dobu 3 let. Požadujeme technickou podporu/support pod garancí výrobce daného zařízení.

b)

Podpora musí zahrnovat 4x report incidentů ročně, 2x ročně report o tom zda zařízení fungují, jak mají (správné propojení, stabilita prostředí, výkonnostní charakteristiky atd.), 2x ročně report o nových firmwarech (co konkrétně řeší a čeho se týkají) a bezplatný nárok na nové verze firmware a veškerých SW titulů spojených s požadovanou funkcionalitou.

c)

Disková pole musí umožňovat vzdálený monitoring a automatické založení servisního případu v servisním středisku výrobce zařízení v případě jakékoliv poruchy některé z komponent. Tuto funkcionalitu požadujeme zprovoznit.

d)

Nabídka musí obsahovat plnou migraci současného řešení do nového prostředí, potřebné úpravy a otestování funkčnosti:

•

Návrh změn diskových prostor spojených s přechodem na novou platformu a s ohledem na optimalizaci výkonu a dostupnosti.

•

On-line migrace veškerých dat na nové prostředí

•

Další činnosti potřebné ke zprovoznění nového řešení.

•

Požadujeme předání celého díla do 2 měsíců od podpisu smlouvy. Součástí předání budou testy funkčnosti všech požadovaných funkcionalit s hlavním důrazem na test vysoké dostupnosti (FC Metro Storage Cluster). V případě nedodržení termínu bude zadavatel uchazeči účtovat dle kupní smlouvy za každý započatý den do doby akceptace díla zadavatelem.

Technické předpoklady Nabídka musí obsahovat následující údaje:


•

Jasnou a vyčerpávající odpověď na každý z uvedených požadavků s rozlišením, zda je součástí nabídky, či zda je možné požadovanou funkcionalitu v budoucnu aktivovat a za jakých podmínek

•

Pro nabízenou konfiguraci musí být upřesněny následující informace

a)

Napájení a chlazení (W a BTUh)

b)

Počty a typy napájecích kabelů

c)

Počty FC a/nebo IP portů

d)

Hmotnost

e)

Rozměry v Rack Units (U) a omezení pro případ využití racku třetí strany

1 ks Blade server Zadavatel požaduje dodávku jednoho kusu serveru podle následující specifikace


Hardware •

Dvousocketový server poloviční velikosti pro osazení do Blade police HP BLc7000 z důvodu rozšíření stávajícího systému

•

Minimální výkon serveru požadujeme alespoň 476 bodů v benchmarku SPECfp®_rate2006 ve sloupci Result

•

8x 16GB RAM DDR3 RDIMM o frekvenci alespoň 2133MHz

•

Server musí umožňovat odstavení vadného ranku paměti za chodu a alokování na jiný bank anebo požadujeme dvojnásobný počet DIMM modulů o stejné kapacitě s funkcionalitou memory mirroring

•

2 ks interních HDD typu 6Gbit SAS o kapacitě 146Gb a rychlosti 15K

•

HW RAID řadič s alespoň 1GB cache a podporou až 12Gb SAS HDD

•

Interní USB 3.0 konektor pro aplikační klíče

•

Slot pro interní MicroSD flash kartu pro boot hypervizoru

•

Dual Port síťovou kartu min. 20Gbps Converged Network Adapter s podporou partitioning až 3* Ethernet and 1* FC/iSCSI HBA porty na 20Gbps port

•

Dual Port kartu minimálně 16Gb FC pro připojení do SAN

•

Certifikace pro MS Windows, RedHat, Citrix XenServer, Oracle Solaris a Canonical Ubuntu

•

Záruka serveru minimálně 3 roky s reaktivní odezvou následující pracovní den

Operační systém Operační systém kompatibilní s Windows 2012 R2 Datacentrum. Operační systém musí umožnovat licenčně neomezený běh virtuálních stanic a musí být přenositelný i na jiný HW i v případě obnovy HW

Virtualizační platforma Virtualizační platforma musí být kompatibilní s VMWare VSphere 6 v Edici Enterprice Plus s podporou v úrovni 24x7 a nárokem na aktualizace po dobu 3 let.

1 ks Pásková knihovna


•

Zálohovací pásková knihovna velikosti max. 2U, kterou lze osadit až dvěma mechanikami LTO6

•

Minimálně 2 mechaniky LTO 6 se SAS připojením

•

Pásky LTO-6 pro osazení plné knihovny + jedna páska čistící

•

Kabel pro připojení páskové knihovny k backup serveru

•

Minimálně 24 slotů pro pásky

•

Záruka minimálně 3 roky s odezvou následující pracovní den on-site

1 ks DataProtector •

Rozšíření stávající licence o 1x Drive pro Windows

•

Rozšíření o 8x Online licenci

•

Rozšíření o možnost zálohování na Disk s kapacitou min 10Tb

•

Záruka minimálně 3 roky s možností bezplatných upgradů

1 ks Firewall Požadavky na nové řešení Nově navržené firewally musí v HA konfiguraci podporovat variantu Active/Active. Musí umožnovat správu vlastních politik a ukládání událostí Reporting by měl být od vlastních firewallových bran oddělen. Ideálním řešením se jeví provozovat management software ve virtuálním prostředí (VMware vSphere). Nedostupnost management software nesmí omezovat vlastní funkci firewalových bran. Firewallové brány musí mít zabudovanou IPS technologii a poskytovat ochranu před novými typy útoků. Kromě antivirových ochran by měly umět pracovat s technologií, která dokáže určit, zdali se ve stahovaných souborech nemůže objevit riziková aktivita při běžném prohlížení uživatelem. Firewally musí splňovat následující: a)

Navržené řešení musí obsahovat bezpečnostní řešení (firewally) od výrobce, jehož produkty procházejí pravidelným testováním a kontrolou ze strany auditorské společnosti Gartner.

b)

Firewallové řešení by mělo být koncipováno jako UTM (Unified threat management). Toto řešení v sobě integruje kromě samotného firewallu i antivirovou ochranu, systém pro detekci/prevenci průniků a filtrování obsahu webové komunikace. UTM firewall umožňuje filtrování na úrovni 3. a 7. vrstvy modelu OSI.


c)

Firewalové řešení musí mít plnou integraci s AD a hardwarovou topologii (topologie připojení jednotlivých větví sítě může být částečně realizována agregací VLAN na jednom fyzickém portu).

d)

Řešení musí umožňovat přidat nové prvky reagující na aktuální bezpečnostní hrozby zejména IPS funkcionalitu a ochranu Zero-Day a před neznámými útoky.

e)

Firewalové řešení musí mít funkcionalitu a být v režimu vysoké dostupnosti

f)

Řešení musí být dostatečně dimenzované pro budoucí použití další bezpečnostních prvků.

g)

Externích subjekty jsou připojeny gigabitovou sítí, firewall musí mít dostatečnou propustnost pro tyto subjekty.

h)

Řešení musí umožňovat bezpečné připojení z prostředí internetu do sítě LAN (VPN).

j)

Řešení musí mít podporu protokolu IP verze 6.

k)

Řešení musí být dimenzováno pro minimálně 600 aktivních uživatelů.

Parametry nového firewallového řešení Zde jsou uvedeny základní požadavky, upřesnění a technologické vlastnosti jednotlivých modulů. a) b) c) d) e)

f) g) h) i) j) k) l) m) n) o)

Propustnost Stateful Packet Inspection, min. 6 Gbps. Propustnost IDS/IPS systému, minimálně 2 Gbps. Dimenzování a licencování pro minimálně 600 aktivních, současně pracujících uživatelů. Fyzická síťová rozhraní - jednotlivé porty musí být použitelné pro připojení jakéhokoli typu síťového provozu - LAN, WAN, DMZ, připojení externího subjektu Počet fyzických síťových rozhraní, minimálně šest 10/100/1000BaseT (bez SFP, pokud obsahuje nedostatečný počet fyzických rozhraní 10/100/1000BaseT, doplnit 10/100/100BaseT SFP tak, aby byl minimální počet 10/100/1000BaseT portů šest). Počet fyzických síťových rozhraní – možnost rozšíření o minimálně 2x 1Gb SFP. Minimální velikost interní diskové kapacity 64 GB (doporučeno 100 GB a více), pro dočasné ukládání logů v případě nedostupnosti management serveru. Podpora agregace portů (802.3ad - zvýšení propustnosti propojovací linky) spolu s technologii 802.1q. Minimální počet VLAN 1024. Podpora Active-Active (A-A), Active-Passive (A-P) clusteru, se stavovou synchronizací, požadována dodávka HA řešení v režimu Active/Active. Stavová synchronizace TCP, UDP a NAT spojení. Autentizace uživatelů, podpora LDAP (MS AD), RADIUS, TACACS. Musí být implementován systém ochrany proti síťovým útokům – systém IDS/IPS. Detekce a řízení síťových aplikací. Minimální počet rozpoznávaných aplikací: 3000+ Ochrana proti aktivitě botnetů - reputace IP adres, DNS a URL záznamů. Blokování komunikace na IP adresy řídících center botnetů. Detekce aktivit botnetů pomocí


p) q) r) s) t) u) v) w) x) y) z)

behavior analýzy. Prevence zero-day utoků na základě typu a obsahu komunikace. Možnost rozšíření o řešení pro emulaci hrozeb ve virtuálním sandbox prostředí. Podporované typy emulovaných souborů: exe, pdf, archivy. Filtrace webových stránek dle kategorií a uživatelských identit. Ochrana proti virům, spamu a malware. Konfigurace bezpečnostní politiky prostřednictvím GUI rozhraní. Vzdálené připojení pomocí protokolů SSH a HTTPS. Podpora debuggování problémových scénářů na úrovni L2 - L7. Podpora pravidelného automatického zálohováni konfigurace (na základě časového rozvrhu), s možností automatického (zabezpečeného) nahrání na vzdálený server. Bezpečnostní logy musí být ukládány na fyzicky oddělenou management platformu (centrální management). Dodávaná firewall platforma musí být ve formě samostatné hardware appliance. Možnost dvoufaktorové autentifikace pro VPN klienty (ověření AD + token, ideálně ještě certifikát v PC). Monitoring firewallů, reporting provozu až na ověřeného uživatele atd. (SW pro monitoring a reporting bude umístěn ve virtuální platformě VMware vSphere).

Firewall Firewall musí detekovat nové bezpečnostní hrozby, mezi které patří cílené i obecně zaměřené útoky na aplikace typu klient/server a jejich data. Tyto útoky se rozšiřují i na aplikační vrstvě a mohou zahrnovat sofistikované pokusy o narušení v rámci protokolů a metod přístupu k datům jako je HTTP, XML, XSS, přetečení bufferu nebo SQL injection. Firewall musí být schopen detekovat jednotlivé typy aplikací a posuzovat, jestli datový tok v těchto aplikacích nevykazuje nějaké anomálie, které by mohly být součástí nějakého útoku. Firewall musí být schopen definovat jednotlivá pravidla, ideálně na objektové úrovni. Musí být schopen ve svých politikách používat odkazy na jednotlivé aplikace nejen definované pomocí TCP a UDP portů, ale hlavně rozlišovat aplikace například zapouzdřené v http provozu (např. Skype, torrenty atd.). V pravidlech musí umožňovat použití uživatelských skupin definovaných v MicroSoft Active Directory. Musí být schopen jednotlivá pravidla omezovat na časové úseky, měl by mít možnost pravidla dočasně deaktivovat. Požadavky a)

Povolování jednotlivých toků.

b)

Tvoření pravidel s použitím identit uživatelů a počítačů v MicroSoft Active Directory doméně.

c)

Vynucení si autentizace před povolením toku v rámci jednotlivých pravidel.

d)

Překlad adres s plnou stavovou kontrolou mezi jednotlivými porty firewallu.


WEB Security Je požadována Unified Security nad všemi prvky webové komunikace ideálně s plnou integrací detekce aplikací v http provozu. Web security funkcionalita by měla umožnit omezovat pásmo pro použití jednotlivých pravidel (aplikací) a měla by umožňovat i časové rámce na povolování jednotlivých kategorií. Reportovací nástroje musí umožnit vytvořit přehledy o jednotlivých uživatelích a jeho aktivitách v síťovém provozu procházejícím firewallem. Požadavky a)

AD autentizace

b)

Reporty aktivit uživatelů

c)

Pravidla na bázi uživatelů a skupin

d)

Blokování obsahu podle kategorií

e)

Bezpečnost, skenování obsahu a souborů

Email Security Navržené firewally musí poskytnout komplexní ochranu v oblasti emailové komunikace (antivirové, antispamové řešení atd.). Požadavky a) b) c) d) e) f)

Rozšířená anti-spam ochrana, včetně kontroly obsahu a posouzení reputace IP adres Antivirovou ochrana jak na bázi zero-hour technologie tak i s běžnou detekcí na základě signatur Ochrana E-mail komunikace na bázi IPS před Denial of Service (DoS) a buffer overflow útoky Zjednodušená konfigurace a správa zabezpečení E-mailů Kontrola na bázi jednotlivých uživatelů Detekce a aktualizace v reálném čase poskytující okamžitou ochranu před hromadnými útoky

IPS - Intrusion Detection/Prevention System IPS v navržených firewallech musí mít následující funkce: identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následné blokování této činnosti a také její nahlašování. Požadavky a) b)

IPS s detekcí založenou na signaturách, ale i na anomáliích v síťovém provozu Zároveň s detekcí konkrétních typů aplikací je možné dále zvyšovat efektivitu IPS systému


c) d)

Pro active/active topologii je důležité, aby IPS fungovalo jako distribuovaný systém Vytváření a aplikace různých politik IPS systému

SANDBOX a vzdálené testování Nové řešení musí umožňovat zasílat podezřelé soubory do SANDBOXu. SANDBOX může být provozován jako samostatný HW nebo může být použita virtuální platforma v cloudu. Toto řešení pomáhá odhalovat hrozby ze zatím neobjevených exploitů, zero-day a cílených útoků. V SANDBOXu dojde k otestování chování souboru v reálném prostředí a následně dochází k vyhodnocení škodlivosti. V případě objevení nové hrozby může být její signatura zahrnuta do aktuálních databází hrozeb. Nový firewall by měl chránit před novými a neznámými útoky, tím, že : a) b) c) d) e)

Objevuje nové hrozby a zero-day útoky pomocí emulace ve virtuální sandboxu. Zabrání stažení škodlivých e-mailových příloh a souborů. Ochrání proti hrozbám v Adobe PDF, spustitelných .EXE a zip souborech. Zabraňuje útokům, které mají vliv na funkci Windows OS. Odhaluje hrozby skryté v SSL a TLS šifrované komunikaci.

Vzdálený přístup (VPN) Nové řešení musí poskytovat VPN jako bezpečné a jednoduché řešení pro připojení k podnikovým aplikacím přes internet z chytrých telefonů (smartphone a tabletů (hlavně iOS, Android, Windows Phone nebo Windows Mobile) nebo počítačů. Nové řešení musí poskytovat ucelený vzdálený přístup přes Layer-3 VPN i SSL VPN. Požadováno je, aby VPN klient uměl komunikovat i za pomocí WEB SSL (443) portů, z důvodu možných omezení na straně poskytovatele internetového připojení (webový provoz je většinou povolen). Výhodou je, pokud firewall umožňuje bezklientskou VPN přímo ze stránky otevřené v prohlížeči. Je žádoucí, aby se portálový přístup dal přizpůsobovat jednotlivým skupinám i uživatelům. Součástí implementace firewallů je nastavení a otestování přístupu do VPN pro minimálně 5 uživatelů. VPN musí splňovat následující požadavky: a) b) c) d) e) f)

SW licence pro neomezený počet VPN uživatelů Bezpečné připojení pro chytré telefony, tablety, počítače a notebooky Poskytovat klient-based a Web-based připojení VPN Snadný přístup pro mobilní pracovníky využívajících zařízení pod správou administrátorů ale i bez ní Bezpečnou komunikaci s osvědčenou šifrovací technologií Podpora ověření oprávněných uživatelů s dvoufaktorovou autentizací, ale i párování typu


g) h)

uživatel-zařízení Jednotné řízení pro jednoduché nasazení a správu Použití uživatelských certifikátů

Management Zařízení musí poskytovat plnohodnotný lokální management pomocí web GUI a SSH CLI. U zařízení musí být možnost kombinace lokálního a centrálního managementu (např. v době výpadku management serveru nebo konektivity k němu, včetně možnosti později importovat lokálně provedenou konfiguraci do centrálního management serveru). Centrální management, loging a reporting tools musí splňovat: a) b) c) d) e) f) g) h) i) j) k) l) m) n)

Management by měl být fyzicky oddělený od firewall platformy - na samostatném hardware / virtuálním VMware serveru. Podpora různých profilů administrátorů, možnost definice úrovně přístupů na různé management komponenty s privilegiem: čtení / zápis a čtení / žádná práva. Podpora tvorby revizí jednotlivých verzí bezpečnostní politiky. Podpora vyhledávaní v pravidlech, vyhledávaní textových výrazů/objektů/IP adres nebo prohledávaní všech objektů. Management musí být schopen dohledat pro každý objekt, jeho výskyt v aktivních i neaktivních pravidlech, nebo jiných objektech (např. ve skupinách) Možnost segmentace politik do samostatných logických oddílů. Musí umožňovat vkládání a definici uživatelských notifikací v případě, že se klient chová v rozporu s bezpečnostní politikou. Musí umožnit konfiguraci detekce anomálního chování sítě (detekce spammerů, aktivity botnetů, reputace koncových stanic). Hit count statistiky pro jednotlivá pravidla za účelem optimalizace bezpečnostní politiky Integrovaný monitoring musí poskytovat grafické rozhraní pro sledování parametrů v reálném čase (využití paměti, CPU, počet navázaných spojení, propustnost, atd. …). Centrální ukládaní logů z firewall platforem. Práce s bezpečnostními logy a to zejména filtrace a prohledávaní logů, export do souboru, definování vlastních filtrů. Podpora pravidelného automatického zálohováni konfigurace (na základě časového rozvrhu), s možností nahrání zálohy na vzdálený server. Minimální podporovaná velikost diskové kapacity pro dlouhodobé ukládaní log záznamů je 64 GB.

Analýza a korelace bezpečnostních událostí / logů


Požadavky a) b) c) d) e) f) g) h)

Podpora korelace bezpečnostních logů a incidentů Možnost vytváření vlastních pravidel pro vzájemnou korelaci bezpečnostních událostí Výrobce musí poskytovat pravidelné updaty pro nové verze logů nabízeného firewall řešení Musí graficky zobrazovat jednotlivé kategorie událostí ve formě interaktivních koláčových a časových grafů Musí implementovat vyhledávání zadané hodnoty skrze celou databázi událostí (bez nutnosti definice prohledávaných atributů) Musí umožnit seskupovaní výsledků vyhledávaní dle jednotlivých atributů (typ incidentu, zdroje, uživatelské jméno …) Musí umožnit definici a permanentního ukládání vlastních filtrů událostí pro jednotlivé uživatele Musí podporovat automatické reakce na definované bezpečnostní události – minimální akce: poslat e-mail,poslat SNMP trap do interního systému

Zajištění podpory od výrobce pro Firewall Veškerý dodaný HW a SW musí obsahovat podporu HW od výrobce minimálně na tři kalendářní roky od dodávky (včetně SW subscription). Požadovaná úroveň podpory je 8x5 NBD (nahlášení poruchy v pracovní době v pracovní dny, řešení poruchy započne nejpozději následující pracovní den). V ceně podpory musí být zahrnuta jak podpora a nárok na nové verze SW (včetně AV, IPS, antispam a dalších signatur), tak podpora a záruka na HW části řešení.

Celková předpokládaná hodnota veřejné zakázky je 8.677.685,95 Kč bez DPH, 10.500.000,včetně DPH. Uvedené částky jsou maximální pro celý předmět veřejné zakázky – dodávka IT vybavení, software, instalace, implementace, rozšíření stávající síťové infrastruktury a napojení všech dodávaných komponent na stávající infrastrukturu zadavatele. V případě, že uchazeč ve své nabídce předloží celkovou cenu vyšší, než v této zadávací dokumentaci a jejích přílohách uvedenou, bude jeho nabídka vyřazena pro nesplnění požadavků zadavatele a uchazeč bude následně vyloučen ze zadávacího řízení příslušné veřejné zakázky.

Technická specifikace IT vybavení

Recommend Documents