pobierz

Umowa częściowo współfinansowana ze środków Unii Europejskiej
Szczegółowy Opis Przedmiotu Zamówienia
PRZEDMIOT ZAMÓWIENIA
1.
Przedmiotem zamówienia jest
a) upgrade posiadanych przez Zamawiającego licencji systemu kontroli dostępu do sieci
i urządzeń - Cisco Secure ACS 4.2 do systemu Cisco Identity Services Engine (ISE)
w wersji 1.4 ( lub równoważny )
b) wdrożenie i konfiguracja zaoferowanego systemu;
c) usługa wsparcia technicznego producenta przez okres 36 miesięcy dla systemu
Cisco Identity Services Engine (ISE) w wersji 1.4 (lub do zaoferowanego systemu
równoważnego).
2.
Zamawiający dopuszcza zaoferowanie produktów równoważnych. Warunki oraz zakres
równoważności zostały opisane w pkt. 7 SOPZ.
Zamawiający posiada aktualnie licencje na system Cisco Secure ACS 4.2. Zaoferowany system
musi umożliwiać obsługę co najmniej 3500 urządzeń równocześnie podłączonych do sieci
lokalnej LAN, sieci bezprzewodowej WLAN i w trybie zdalnego dostępu VPN.
Zamawiający wymaga wykonania następujących usług wdrożeniowych:
a. Instalacja zaoferowanego systemu na 2 maszynach wirtualnych ( w infrastrukturze
Zamawiającego na platformie VMware lub Hyper-V) zapewniających redundantność
rozwiązania.
b. Opracowanie polityk dostępu do zasobów sieci lokalnej LAN przy użyciu
uwierzytelnienia użytkowników i urządzeń z wykorzystaniem:
• Standardu 802.1X;
• Adresu MAC urządzenia;
• Formularza webowego;
c. Opracowanie procedur wdrożenia suplikanta 802.1X oraz przeprowadzenia wdrożenia
suplikanta na urządzeniach końcowych Zamawiającego.
d. Integracja z Microsoft Active Directory, która będzie umożliwiać uwierzytelnienie
802.1X na konto maszyny oraz konto użytkownika.
e. Uruchomienie i konfiguracja:
• funkcjonalności logowania, gromadzenia i przetwarzania wiadomości
wysyłanych przez infrastrukturę sieciową (LAN, WLAN), zdarzeń związanych
z sesjami 802.1X, kontrolą dostępu, błędami systemowymi,
• węzła administracyjnego, odpowiedzialnego za zarządzanie konfiguracją
całego systemu i monitorowanie działania systemu,
• funkcjonalności serwera RADIUS odpowiedzialnego za realizację polityki
dostępu do sieci,
• funkcjonalność serwera HTTP/HTTPS dla realizacji dostępu gościnnego i
uwierzytelnienia webowego.
f. Konfiguracja replikacji pomiędzy dwoma instancjami systemu.
g. Przygotowanie dokumentacji powdrożeniowej w wersji papierowej i elektronicznej.
3.
4.
1
Umowa częściowo współfinansowana ze środków Unii Europejskiej
5.
Wykonawca w ramach zamówienia dostarczy dokument potwierdzający dokonanie upgrade’u
do systemu wymienionego w pkt 1a w przypadku zaoferowania systemu Cisco Identity Services
Engine (ISE) w wersji 1.4.
6.
W ramach świadczenia usług wsparcia technicznego producenta zostanie zapewnione:
1)
dostęp do poprawek, aktualizacji i instalacji oprogramowania;
2)
wsparcie przy procesie aktualizacji systemu;
3)
wsparcie procesów zwiększenia wydajności działania systemu;
4)
pomoc przy instalacji przez Zamawiającego poprawek umożliwiających przywrócenie
systemu do pracy produkcyjnej po wystąpieniu awarii;
5)
gwarantowany czas naprawy od momentu zgłoszenia – nie dłużej niż 24 godziny;
6)
obsługę zgłoszeń w języku polskim;
7)
8)
w przypadku zgłoszenia przez Zamawiającego problemu lub incydentu, Wykonawca
zobowiązuje się do podjęcia działań zmierzających do usunięcia przyczyn i skutków
zgłoszonych incydentów/problemów. Wykonawca jest zobowiązany do podjęcia reakcji na
zgłoszony incydent/problem w ciągu 4 h od zgłoszenia. Podjęcie reakcji oznacza kontakt
telefoniczny z Zamawiającym;
zgłoszenia przez Zamawiającego problemów i incydentów dokonywane będą poprzez:
a) dedykowany przez Wykonawcę elektroniczny system zgłoszeń, umożliwiający
dokonywanie zgłoszeń w trybie 24/7;
b) wskazany przez Wykonawcę adres poczty elektronicznej,
c) wskazany przez Wykonawcę numer telefoniczny;
9) usługa wsparcia technicznego musi być świadczona za pośrednictwem telefonu oraz
poczty elektronicznej w dni robocze (poniedziałek – piątek) w godzinach 8-16;
7.
System równoważny do systemu Cisco Identity Services Engine (ISE) w wersji 1.4 musi
zapewnić co najmniej następujące funkcjonalności:
2
Umowa częściowo współfinansowana ze środków Unii Europejskiej
Architektura i wymagania funkcjonalne
1) Autoryzacja użytkowników sieciowych oraz bezprzewodowych zgodnie z protokołem 802.1x,
MBA, auth bypass, web-based auth.
2) Przypisanie użytkowników na podstawie parametrów autoryzacji do odpowiednich sieci VLAN
lub WLAN (poprzez pojedyncze SSID).
3) System musi obsługiwać co najmniej następujące protokoły uwierzytelnienia 802.1X:
a. EAP-PEAP z metodami wewnętrznymi EAP-MS-CHAPx2, EAP-GTC oraz EAP-TLS
b. EAP-TLS
c. EAP-FASTv1 i EAP-FASTv2
d. EAP-MD5.
4) Funkcjonalność portalu gościnnego wspólnego dla sieci przewodowej oraz bezprzewodowej
zapewniającego autentykację przez sieć Web, zapewniającego funkcjonalność kont
czasowych oraz kont sponsorów. Możliwość jednoczesnego uruchomiania co najmniej 3
portali gościnnych dla różnych sieci.
5) System musi posiadać wewnętrzną bazę użytkowników oraz wewnętrzną bazę urządzeń
końcowych umożliwiających wprowadzanie danych ręcznie przez administratora, import
danych z pliku w formacie CSV.
6) System musi umożliwiać organizację użytkowników i urządzeń w wewnętrznej bazie przy
pomocy przypisania do grupy.
7) Zintegrowany system raportowania w postaci portalu typu Dashboard, umożliwiający bieżący
monitoring stanu systemu oraz autoryzacji użytkowników.
8) System musi współpracować, z co najmniej następującymi zewnętrznymi repozytoriami
użytkowników:
a. Usługa katalogowa dostępna przy pomocy LDAP lub LDAPS.
b. Usługa katalogowa Active Directory 2008, 2012.
c. Zewnętrzny serwer proxy, gdzie system występuje w roli RADIUS Proxy.
9) System musi umożliwiać określenie kolejności, w jakiej sprawdzane będą repozytoria
użytkowników i urządzeń końcowych.
10) Wsparcie dla technologii MacSec na urządzeniach sieciowych oraz stacjach klienckich
(wymuszenie polityki).
11) System musi umożliwiać instalację rozporoszoną na wielu serwerach wirtualnych w celu
zapewnienia wysokiej niezawodności i możliwości stopniowego zwiększania wydajności
systemu.
12) Możliwość profilowania urządzeń na podstawie uaktualnianej na bieżąco bazy danych
identyfikacyjnych zintegrowanej z produktem zarówno dla sieci przewodowej,
bezprzewodowej oraz VPN.
13) Współpraca z systemem IOS Profiler w urządzeniach przełączających Cisco w zakresie
profilowania podłączonych użytkowników.
14) Możliwość implementacji polityk dostępu do sieci w zależności od typu urządzenia, miejsca i
medium podłączenia, czasu podłączenia, stanu systemu końcowego.
15) Identyfikacja stanu systemu końcowego w oparciu o mechanizm AnyConnect 4.0 NAC.
16) Możliwość samorejestracji urządzeń mobilnych (Device Onboarding).
17) Wsparcie dla technologii oznaczania ruchu SGT w całej ścieżce.
18) System musi umożliwiać przyrostowy wzrost skalowalności do przynajmniej 5000
równocześnie obsługiwanych urządzeń bez potrzeby rozbudowy systemu o dodatkowe
serwery wirtualne. System musi umożliwiać dodawanie licencji w ramach wzrostu liczby
równocześnie obsługiwanych urządzeń
19) System musi współpracować z kontrolerem WLAN Cisco 2504 oraz z przełącznikami Cisco
Catalyst 3560G/2960S/4500.
3
Umowa częściowo współfinansowana ze środków Unii Europejskiej
20) Integracja z zewnętrznymi systemami klasy MDM.
Zarządzanie dostępem gościnnym
1) System musi umożliwiać realizację dostępu gościnnego do sieci lokalnej LAN i sieci
bezprzewodowej WLAN przy pomocy portalu webowego. Formularz musi obsługiwać, co
najmniej następujące przeglądarki: Microsoft IE, Mozilla Firefox, Safari.
2) System musi udostępniać portal webowy, który wybranym użytkownikom będzie umożliwiać
tworzenie kont dostępu gościnnego.
3) Uwierzytelnienie wybranego użytkownika musi się odbywać sekwencyjnie w oparciu o
wewnętrzną bazę użytkowników i zewnętrzne repozytorium użytkowników.
4) Dla każdego konta dostępu gościnnego wybrany użytkownik musi posiadać możliwość
określenia, co najmniej następujących parametrów:
a. okres ważności konta od konkretnej daty i godziny do konkretnej daty i godziny;
b. okres ważności konta od momentu zalogowania się użytkownika gościnnego lub
od momentu stworzenia konta dostępu gościnnego;
c. profil poziomu dostępu do zasobów sieciowych po zalogowaniu;
d. imię i nazwisko, adres email, numer telefonu, nazwa firmy.
5) System musi umożliwiać definiowanie uprawnień wybranym użytkownikom w zakresie
następujących możliwości:
a. logowania się do systemu;
b. tworzenia pojedynczego konta gościnnego;
c. tworzenia wielu kont gościnnych;
d. tworzenia zadanej liczby kont losowych;
e. importowania kont gościnnych z pliku CSV;
f. wysyłania wiadomości e-mail po utworzeniu konta gościnnego;
g. wysyłania wiadomości SMS po utworzeniu konta gościnnego;
h. wyświetlenia hasła konta gościnnego;
i. wydrukowania danych konta gościnnego;
j. wyświetlenia danych stworzonych kont gościnnych;
k. zawieszenia kont gościnnych.
6) System musi umożliwiać dopasowanie wyglądu portalu wybranym użytkownikom i portalu
logowania gościnnego, w tym co najmniej zmianę logo strony logowania i zmianę koloru tła.
7) System musi umożliwiać zmianę adresu URL, pod którym dostępny jest portal wybranego
użytkownika.
8) System musi umożliwiać automatyczne kasowanie wygasłych kont gościnnych na żądanie
oraz okresowo co zadaną liczbę dni i o określonej godzinie.
9) System musi posiadać wzorce językowe lub umożliwiać ich dodanie dla portalu wybranego
użytkownika i portalu dostępu gościnnego co najmniej dla języka polskiego i angielskiego,.
10) Portal wybranego użytkownika i portal dostępu gościnnego muszą umożliwiać honorowanie
preferencji językowych przeglądarki internetowej przy wyborze właściwego wzorca
językowego.
11) System musi umożliwiać konfigurację maksymalnej liczby nieudanych logowań do konta
gościnnego.
12) System musi umożliwiać konfigurację polityki złożoności haseł kont gościnnych w zakresie:
a. znaków alfabetu, które mogą występować w haśle i ich liczby
b. znaków numerycznych, które mogą występować w haśle i ich liczby
c. znaków specjalnych, które mogą występować w haśle i ich liczby
13) System musi umożliwiać konfigurację polityki nazwy konta gościnnego:
4
Umowa częściowo współfinansowana ze środków Unii Europejskiej
a. tworzenie nazwy użytkownika z adresu e-mail
b. tworzenie nazwy użytkownika z imienia i nazwiska
c. minimalnej długości nazwy użytkownika
14) System w zakresie obsługi dostępu gościnnego musi umożliwiać:
a. wyświetlenie regulaminu korzystania z sieci;
b. zmianę hasła konta gościnnego;
c. samodzielne tworzenie konta gościnnego przez użytkownika gościnnego bez
udziału wybranego użytkownika.
Zarządzanie systemem
1) System musi posiadać graficzny interfejs zarządzania współpracujący z co najmniej
następującymi przeglądarkami internetowymi Microsoft IE i Mozilla Firefox.
2) Dla administratorów zdefiniowanych w wewnętrznej bazie użytkowników system musi
umożliwiać wymuszenie reguł złożoności haseł.
3) System musi umożliwiać definiowanie zróżnicowanego poziomu dostępu do interfejsu
zarządzania (ang. Role Based Access Control).
4) System musi umożliwiać zdalny dostęp przy pomocy SSH.
5) Dostęp do graficznego interfejsu zarządzania systemem musi być zabezpieczony przy
pomocy HTTPS.
6) System musi umożliwiać kontrolę dostępu do interfejsu zarządzania na podstawie adresu IP
stacji zarządzającej.
7) System musi umożliwiać obsługę certyfikatów X.509 typu wildcard, czyli takich, które są
ważne dla wszystkich serwerów w ramach danej domeny DNS.
8) System musi umożliwiać wykorzystanie oddzielnych certyfikatów X.509 dla HTTPS i dla
protokołów uwierzytelnienia 802.1X.
9) System musi umożliwiać import certyfikatów zaufanych urzędów certyfikacji.
10) System musi wspierać protokół OCSP oraz listy CRL.
11) System musi umożliwiać aktualizację oprogramowania za pomocą interfejsu graficznego z
repozytoriów umieszczonych na dysku lokalnym, serwerze TFTP, serwerze FTP/SFTP,
udziale NFS, serwerze HTTP/HTTPS.
12) System musi umożliwiać zarządzanie łatkami (patch management), w tym operację powrotu
do poprzedniej wersji (rollback).
13) System musi umożliwiać tworzenie kopii zapasowej na życzenie i w regularnych odstępach
czasu.
14) System musi umożliwiać generowanie alarmów systemowych w sytuacjach krytycznych za
pomocą wiadomości email i protokołu SYSLOG.
15) System musi umożliwiać wysyłanie powiadomień mailowych z wykorzystaniem protokołu
SMTP.
16) System musi posiadać możliwość synchronizacji zegara systemowego przy pomocy protokołu
NTP.
17) System musi posiadać zintegrowany z graficznym interfejsem zarządzania zestaw narzędzi
diagnostycznych do rozwiązywania i diagnostyki problemów obejmujący co najmniej:
a. badanie łączności IP za pomocą ping, nslookup, traceroute;
b. wyszukiwanie zdarzeń RADIUS z uwzględnieniem nazwy użytkownika, adresu
MAC, adresu IP urządzenia dostępowego, numeru portu urządzenia
dostępowego, statusu uwierzytelnienia (udane/nieudane), zakresu czasowego co
do dnia, godziny i minuty oraz przyczyny nieudanego uwierzytelnienia;
c. ewaluację zgodności konfiguracji dostępowego urządzenia sieciowego;
d. wykonanie zrzutu ruchu sieciowego docierającego do systemu w celu analizy
5
Umowa częściowo współfinansowana ze środków Unii Europejskiej
pakietowej.
Raportowanie
1) System musi umożliwiać generowanie raportów za zadany okres czasu w trybie na żądanie i
automatycznie w określonym odstępie czasu z opcją wysyłki cyklicznie generowanych
raportów na wskazane przez Zamawiającego adresy email.
2) System musi posiadać co najmniej następujące wbudowane raporty:
a. Raport udanych i nieudanych prób uwierzytelnienia i autoryzacji.
b. Raport błędów RADIUS.
c. Raport dotyczący logowań administratorów do interfejsu zarządzania.
d. Raport dotyczący zmian w konfiguracji wprowadzanych przez administratorów.
e. Raport obciążenia procesora i pamięci.
f. Raport aktywnych sesji (zalogowanych urządzeń/użytkowników).
g. Raport aktywności użytkowników gościnnych.
h. Raport aktywności wybranego użytkownika kont dostępu gościnnego.
i. Raport podsumowujący rozpoznany rodzaj urządzeń podłączonych do sieci.
Profilowanie
1) System musi umożliwiać rozpoznawanie rodzaju urządzeń podłączonych do sieci lokalnej LAN
i sieci bezprzewodowej WLAN poprzez analizę informacji pochodzących z co najmniej
następujących źródeł: DHCP, HTTP, RADIUS, Network Scan (NMAP), DNS, SNMP.
2) System musi umożliwiać dodawanie rozpoznanych urządzeń do lokalnej bazy urządzeń wraz
z przypisaniem do grupy.
3) System musi rozpoznawać co najmniej następujące rodzaje urządzeń:
a. urządzenia z systemem Android;
b. Apple iPad, Apple iPhone;
c. drukarki;
d. telefony IP;
e. stacja robocza z systemem Microsoft Windows;
f. stacja robocza z systemem MAC OS;
g. stacja robocza z systemem Linux.
4) System musi automatycznie aktualizować bazę sygnatur na podstawie, której wykonywany
jest proces rozpoznawania rodzaju podłączonego urządzenia.
5) System na podstawie rodzaju rozpoznanego urządzenia musi umożliwiać różnicowanie
poziomu dostępu.
8.
W przypadku zaoferowania produktów i usługi równoważnej, muszą one spełniać co najmniej
warunki wymienione w pkt. 7.
9.
W celu potwierdzenia, że oferowane produkty równoważne odpowiadają wymaganiom
określonym przez Zamawiającego, Wykonawca musi dostarczyć wraz z ofertą
A. dokumentację techniczną potwierdzającą
wymagań opisanych w pkt 7:
spełnianie
przez zaoferowany
system
6
Umowa częściowo współfinansowana ze środków Unii Europejskiej
B. zestawienie wymagań opisanych w pkt 7 wraz ze wskazaniem miejsc w dokumentacji
technicznej (numery stron), w których znajduje się potwierdzenie spełniania tych
wymagań;
C. pełne postanowienia licencji systemu równoważnego;
D. wykaz pełnej funkcjonalności systemu równoważnego.
TERMIN REALIZACJI ZAMÓWIENIA
1.
Zamówienie w zakresie pkt 1a i 1b zostanie zrealizowane w zakresie zgodnym ze
Szczegółowym Opisem Przedmiotu Zamówienia w terminie 30 dni od podpisania Umowy.
2.
Usługa o której mowa w pkt 1c będzie świadczona przez okres 36 miesięcy.
7