Pořízení HW a SW pro oddělení REMIT
Základní informace
Název zadávacího postupu
Pořízení HW a SW pro oddělení REMIT
Zadavatel
Energetický regulační úřadSystémové číslo NEN
N006/20/V00023656
Aktuální stav ZP
Neukončen
Rozdělení na části
Ne
Identifikátor ZP na profilu zadavatele
P20V00023656
Režim VZ dle volby zadavatele
Veřejná zakázka malého rozsahu
Druh zadávacího postupu
Otevřená výzva
Specifikace zadávacího řízení
Zakázka malého rozsahu
Druh
Veřejná zakázka na dodávky
Datum uveřejnění ZP na profil
15. 09. 2020 10:48
Specifikace podání
Lhůta pro podání nabídek
24. 09. 2020 09:00
Kontaktní osoba zadavatele
Jméno
Pavel
Příjmení
Kutiš
pavel.kutis@eru.cz
Telefon 1
+420 564578668
Předmět
Popis předmětu
A) Serverová skříň B) Firewall C) Elektronický zabezpečovací systém do racku D) Kamera E) Nástroj pro prevenci ztráty dat - DLP + roční podpora F) Nástroj pro řízení privilegovaných účtů - PAM/PIM + roční podpora
Kód z číselníku NIPEZ
48730000-4
Název z číselníku NIPEZ
Balík programů pro zabezpečení
Hlavní místo plnění
Kraj Vysočina
Kód z číselníku CPV
48730000-4
Název z číselníku CPV
Balík programů pro zabezpečení
Textové pole pro popis místa plnění
Tolstého 15, 586 01 Jihlava
Položky předmětu
| Zobrazit detail | Popis položky | |||
|---|---|---|---|---|
| A) Serverová skříň | 48821000-9 | Síťové servery | Serverová skříň – 1 kus • 19" datový rozvaděč s celosvařovanou konstrukcí • výška 42U • rozměr 800 (šířka) x 1000 (hloubka) mm • nosnost 1500kg • 2 páry posuvných 19" vertikálních lišt • Přední dveře o Dveře s perforací – míra perforace 86 % o Výklopná páková klika – profil DIN, univerzální klíč 333, vícebodový o Úhel otevření dveří 180° o Možnost změny zavěšení pro pravé nebo levé • Zadní dveře o Dveře s perforací – míra perforace 86 % o Výklopná páková klika – profil DIN, univerzální klíč 333, vícebodový • Boční panely odnímatelné, se zámky • Horní a dolní kryt odnímatelný, s otvory pro kabely krytými odnímatelnými záslepkami • Výškově nastavitelné nohy • 100 ks montážní materiál M5 do racku | |
| B) Firewall | 32420000-3 | Síťová zařízení | Firewall – 1 kus • HW appliance • Porty: o 5x síťové rozhraní copper RJ45 10/100/1000 o Konzolový port pro management o USB 3.0 port pro zálohu konfigurace • Výkonnostní parametry: o Propustnost FW (stavové filtrování, UDP paket) paket o velikosti 1518 B, 512 B, 64 B- min 4500 Mbps, 4500 Mbps, 4500 Mbps o Latence firewallu (64 B UDP paket) - max 5 mikro sec o Výkon firewall – 700000 paketů / s o Počet naráz otevřených spojení – min 650 000 o Počet nových spojení za sekundu - min. 32 000 o Počet firewall pravidel až 5 000 o Podpora virtualizace (min 10 virtuálních kontextů) • Funkce Networking a High Availibility o Podpora režimu vysoké dostupnosti, L2, Active Active, Active Passive, full mesh HA, VRRP, synchronizace stavové tabulky a IPsec SAs mezi nódy v clusteru o Režim fungování L2 – transparentní režim, L3 – NAT/Router o Podpora VLAN o Podopora multicast, vytváření politiky pro multicast routování o Podpora 802.3ad link aggregation o Funkce Load Balancing – možnost rozdělování zátěže směrující na virtuální IP na reálně servery, podpora health check funkcí, podpora SSL offloading o Podpora centrální NATovácí tabulky, stavová inspekce SCTP komunikace o Podpora dynamických routovacích protokolů BGP, OSPF, ISIS, RIP o Policy-based routing o Funkce SD WAN – možnost rozkládání provozu mezi více linek na základě aplikačních signatur, IP adres a portů u známých aplikací, kvality linky včetně automatické detekce nefunkčnosti linky • Funkce SSL VPN o Podpora klientského i bezklientského (portálového) režimu o Minimální počet současně navázaných SSL VPN tunelů: 180 o Minimální propustnost SSL VPN: 450Mbps • Funkce IPSEC VPN o podpora site-to-site VPN o podpora klientských VPN o dostupnost VPN klienta pro koncové stanice (Windows, MacOS) o funkce klientských IPSec VPN nesmí být licencovaná na počet uživatel. V opačném případě požadujeme dodání neomezené licence. o Minimální počet IPSEC VPN tunelů typu lokalita-lokalita: 180 o Minimální počet klientských IPSEC VPN tunelů: 220 o propustnost IPSec VPN min. 4 Gbps (měřeno při AES256-SHA256) o podpora konfigurace redundatních IPSec VPN tunelů za pomoci statického směrování o podpora konfigurace redundatních IPSec VPN tunelů za pomoci dynamického směrování o podpora funkce dynamického navazování IPsec tunelů dle potřeby komunikace • Podpora VXLAN • podpora dynamických routovací protokolů OSPF, BGP ve VPN IPsec • Aplikace firewall policy na známé internetové služby, kde databáze těchto služeb je pravidelně aktualizována výrobcem • Podpora Identity based policy – nastavení bezpečnosti uživateli na základě členství ve skupině na doménovém kontroléru • Viditelnost do provozu na aplikační úrovni • Možnost definice FW pravidel v tzv. NGFW režimu (tj. součástí základní definice FW pravidla je kromě zdroje/cíle také typ aplikace (definované v rámci funkce application control, nikoliv pouhý TCP/UDP port) resp. kategorie URL filteringu (nikoliv jako AppCtrl resp URL filtering profil aplikovaný na dané pravidlo). • Ověřování uživatelů LDAP, Active Directory, Single Sign On, Radius, TACACS+, Ověřování na základě certifikátu • Dynamické profily – možnost přiřadit konkrétní profil uživateli na základě jeho ověření. • Traffic Shaping, QoS s podporou priroritizace provozu na základě DSCP markování a ToS, aplikace traffic shaping na konkrétní aplikaci nebo webovou kategorii • Podpora funkce reverzní proxy • Podpora silné autentizace uživatelů – integrovaná podpora generátor jednorázových hesel (OTP) – pro dvoufaktorovou autentizaci, podpora certifikátů pro ověření uživatelů • Funkce detekce aplikací na L7 (Application Control) • Funkce detekce a potlačení narušení (IPS/IDS) • Funkce antivirové kontroly • Funkce kategorizace webových stránek • Funkce DNS filtru • Podpora SSL dekrypce/SSL inspekce s minimální propustností 300Mbps • DoS Policy prevence proti základním útokům typu DoS Záruka HW a licenční pokrytí všech požadovaných funkcionalit po dobu 5 let | |
| C) Elektronický zabezpečovací systém do racku | 32420000-3 | Síťová zařízení | EZS do racku – 1 ks • Zabezpečovací ústředna s 6-ti zónami na základní desce s možností rozšíření až do maximálního počtu 16 zón pomocí drátových zón a nebo bezdrátových zón, dělitelná na 2 podsystémy (bloky) • 2 PGM výstupy: rozšiřitelná až na 22 • Ovládání pomocí aplikace po IP a přes SMS, • Dodávka včetně akumulátoru a příslušenství pro připojení čidel. • Ústředna umístěna v samostatné krabici. • IP komunikátor + GSM/GPRS/3G, umožňuje přenos na PCO, vzdálené programování a dohled SG-System I, SG-System II nebo SG-System III s TCP/IP kartou • LCD alfanumerická klávesnice s krytem kláves, velký 32 znakový displej, 1 zónový vstup/výstup, zobrazení stavu 128 zón, v globálním režimu zobrazení stavu 8 bloků vč. ovládání zobrazení stavu systému, poruchové stavy, podporuje prohlížení paměti událostí, 5 prog. tlačítek, 3 tísňová tlačítka, podsvícení kláves, vestavěný piezo-elektrický bzučák s volbou tónů Součást dodávky: • 9 ks magnetický sběrnicový kontakt pro povrchovou montáž, skryté všechny šrouby, použití i na kovové dveře, bílá barva • 10 ks bezkontaktní přívěsky RFID • 1 ks Venkovní digitální zálohovaná siréna s blikačem, 104-106 dB (3 m), volba tónu, včetně baterie • 1 ks Otřesový detektor s autokalibrací a vizuální indikací a pamětí poplachu. | |
| D) Kamera | 30237240-3 | Webová kamera | IP kamera – 2 ks • Síťová bezpečnostní kamera • Pevné ohnisko • Rozlišení 1920 x 1080 • Videoformát: MPEG-4, MJPEG, H.264 • Rychlost snímků: 30 obr./s • Horizontální zobrazení pole (úhel): 110° • Vertikální zobrazení pole (úhel): 61° • Minimální osvětlení: o 0.25 lux - barevný - F2.0 - 50 IRE o 0.05 lux - ČB - F2.0 - 50 IRE o 0 lux – IR, dosah vestavěného IR min. 6m • Připojení Ethernet 10Base-T/100Base-TX (konektor RJ-45) • Napájení PoE+ (injektor součástí dodávky) • Funkce: nastavení ostrosti, vyrovnání bílé, ovládání automatické expozice, nastavení barev, nastavení jasu, nastavení kontrastu, Wide Dynamic Range (WDR), infračervený filtr (ICR), digitální funkce PTZ, ochrana heslem, objektiv IR-corrected • Síťové protokoly: DDNS, DHCP, DNS, FTP, HTTP, NTP, SMTP, TCP/IP, UDP/IP, ARP, ICMP, SNMP 1, SNMP2c, SNMP3, SOCKS, RTSP, RTP, HTTPS, UPnP, TLS, IPv4, IPv6, Bonjour, RTCP, SMB, IGMP, SSH, SSL, QOS, CIFS, SFTP • Provozní teplota 0°-40°C | |
| E) Nástroj pro prevenci ztráty dat - DLP + roční podpora | 72310000-1 | Zpracování dat | DLP systém Licence pro 10 uživatelů – předplatné na 1 rok Obecné požadavky • Integrace s MS Active Directory • Podpora pro MS SQL 2012 nebo novější • Podpora operačních systémů Windows 7, 8.1 a 10 • Podpora serverových operačních systémů Windows Server 2008 R2 nebo novějších. • Podpora terminálových prostředí • Centrální administrátorská konzole • Řízená uživatelská práva do nastavení konzole, k výsledným logům a administraci řešení • Skrytý režim na koncové stanici včetně procesů a složek, a to včetně lokálních i doménových administrátorů • Ochrana proti zastavení systému • Ochrana proti zastavení systému musí být aktivní u běžného uživatele, lokálního i doménového administrátora • Ochrana proti zastavení procesů; V případě vyšších uživatelských práv dojde k restartu zastavených procesů či k použití jiných způsobů pro obnovu služby • Ochrana proti odinstalaci řešení bez potřebné autorizace • Ochrana proti editaci registrů, systémových komponent či DLL knihoven • Ochrana proti změně nastavení na koncové stanici • Nutná možnost ochrany i u operačního systému v režimu “safe mode” • Všechny funkcionality musí být zachovány i v offline módu, např. když koncová stanice není připojena k firemní síti nebo k internetu • Možnost pracovat s historickými daty • Řešení musí podporovat možnost poskytnutí záloh vlastních komponent, převážně pak všech záznamů a nastavení • Automatické generování emailových varování v případě incidentů, možnost změnit citlivost a specifikace incidentu • Automatické generování emailových reportů s možností úprav obsahu (množství informací, množina uzlů, frekvence odesílání, příjemci) • Možnost zasílání reportů do SIEM systémů Datový Audit Všeobecně: • Detailní informace o aplikacích, jako čas spuštění a jejich aktivním využití. Aplikace jsou rozděleny do kategorií pro přehlednou správu • Detailní informace o webech, jako jejich aktivní využitím, informacích o URL, použitém protokolu, hlavičky webu, a to bez ohledu na použitý prohlížeč. Weby jsou rozděleny do kategorií pro přehlednou správu • Detailní informace o práci se soubory, jako přehled uživatelů a aplikací pracujících se soubory, souborové operace (otevření, přejmenování, kopírování, smazání, …), a informace o cestách (systémové, externí, webové, cloudové, …) • Lokální souborové operace – kopírování, přesouvání, stahování z webu, FTP, smazání, vytvoření, otevření, a to včetně zdrojové a cílové identifikace: cesta, typ zařízení, jedinečný identifikátor • Logování tiskových úloh • Možnost exportu reportů do XLS, PDF Zaznamenávání komunikace • Podpora POP3, IMAP, MAPI / Exchange protokolů včetně SSL šifrování • Podpora desktopových emailových klientů (Microsoft Outlook, Mozilla Thunderbird,…) - řešení je schopno zaznamenávat emaily nezávisle na použité aplikaci • Podpora zaznamenávání souborů odeslaných přes web mailové klienty • Podpora zaznamenávání souborů odeslaných přes IM komunikační nástroje Aktivita koncových stanic • Log ze zapnutí/vypnutí PC • Log z přihlášení/odhlášení uživatele • Log z uspání/probuzení PC Síťová aktivita: • Množství odeslaných/stažených dat Ochrana Dat Všeobecně: • Ochrana nezávisle na použitém SW, protokolu, včetně šifrovaných spojení • Řešení podporuje zabezpečení dat i v případě pokusu o porušení ochrany, např. Pomocí symbolických odkazů na složku s daty apod. Šifrování: • Šifrování celých disků včetně systémových • Šifrování externích USB disků Obecná ochrana • Definice kategorií citlivých dat dovoluje omezení pohybu a práce s těmito daty; určuje, která média mohou být použita pro přenos, které sítě mohou být použity pro upload, na které emailové adresy mohou být data odeslána, které aplikace mohou s daty pracovat • Možnost aplikace politik pro konkrétní aplikace – definice zdroje a cíle (přístup na externí zařízení, síť, tisk, virtuální tisk) a správa uživatelských operací (použití schránky, snímání obrazovky) • Možnost správy nepovolených cloudových úložišť • Možnost úplné blokace uživatelských akcí, informativní notifikace uživatele či pouhého logování uživatelských akcí • Ochrana citlivých dat • Možnost definice citlivých dat pomocí předdefinovaných slovníků a algoritmů • Možnost definice citlivých dat pomocí vlastních řetězců či regulárních výrazů • Možnost importu vlastních slovníků • Možnost nastavení počtu výskytů citlivých údajů • Dynamické restrikce nad soubory a aplikacemi, pokud je detekován citlivý obsah • Blokace odeslání dat s citlivým obsahem mimo koncovou stanici – správa běžných komunikačních kanálů: e-mail, web upload, externí zařízení, IM komunikační nástroje, synchronizace s cloudovými aplikacemi • Detekce dat obsahujících citlivý obsah, uložených na koncové stanici nebo na sdíleném síťovém disku • Možnost integrace s klasifikací třetích stran uložených v metadatech souborů Správce zařízení • Restrikce pro USB zařízení, paměťové karty, Bluetooth zařízení, optické disky či FireWire • Možnost vynucení režimu Pouze pro čtení u připojených zařízení • Zaznamenávání všech připojených zařízení včetně monitorů, myší a klávesnic • Správa mobilních zařízení – MDM (Android, iOS) | |
| F) Nástroj pro řízení privilegovaných účtů - PAM/PIM + roční podpora | 48730000-4 | Balík programů pro zabezpečení | PAM/PIM systém Licence pro 5 uživatelů a 50 zařízení nebo 5 souběžných připojení. Včetně SW maintenance výrobce na 1 rok • Systém podporuje instalaci v režimu vysoké dostupnosti. • Nástroj musí být dodán jako fully packaged software (obsahuje i OS) s podporou pro virtuální prostředí VMWARE. • Nástroj musí fungovat jako přístupová proxy s podporou minimálně SSH a RDP protokolů na primárním spojení (mezi privilegovaným uživatelem a proxy). • Nástroj musí podporovat sekundární připojení (mezi proxy a monitorovaným systémem) minimálně prostřednictvím protokolů SSH, RDP, VNC a TELNET. • Nástroj nesmí vyžadovat žádné instalace software (agentů) na monitorovaný systém. • Nástroj musí umožnit zaznamenávání administrativních relací jakožto síťového provozu a následně poskytnout prostřednictvím webového rozhraní možnost shlédnutí záznamu relace • Nástroj musí umožnit následný export videozáznamu do běžně podporovaného typu souboru (.mp4 či .flv) • Nástroj musí zaznamenávat a uchovávat všechny uživatelem zadané příkazy v průběhu SSH a RDP relací. • Nástroj musí umožnit zaznamenávat a uchovávat názvy všech oken otevřených v průběhu RDP relace • Nástroj musí umožnit sběr metadata v průběhu RDP relace alespoň v rozsahu: změna aktivního okna, operace s tlačítkem v okně, volba na radio buttonu či check boxu v okně, změna obsahu textového pole v okně, změna rozložení kláves, začátky a ukončení procesů, manipulace se soubory prostřednictvím clipboardu, manipulace se soubory prostřednictvím přesměrovaných lokálních diskových jednotek. • Nástroj musí podporovat integraci se SIEM/SYSLOG. • Nástroj musí umožnit nastavení blokace všech, či vybraných TCP spojení zahájených z monitorovaného RDP serveru za účelem navázání neautorizovaných spojení. • Nástroj musí poskytnout ochranu hesel zadávaných v průběhu RDP relace prostřednictvím detekce vstupu kurzoru do pole pro vyplnění hesla či UAC (User Account Control) okna. • Nástroj musí podporovat integraci s externím uživatelským adresářem v minimálním rozsahu LDAP/LDAPS/Microsoft Active Directory/RADIUS/KERBEROS/TACACS+ • Integrace s LDAP či Active Directory nesmí záviset na periodických synchronizacích. Systém musí mapovat schémata uživatelských skupin z LDAP/AD do lokálních PAM skupin. • Nástroj musí poskytovat různé metody autentizace privilegovaných uživatelů na monitorovaných systémech, minimáně: o Autentizace privilegovaného uživatele na monitorovaném systému pomocí stejných přihlašovacích údajů, které byly využity pro autentizaci na proxy. o Autentizace privilegovaného uživatele na monitorovaném systému pomocí statických a bezpečně uložených přihlašovacích údajů. (např. root, admin, privilegovaný lokální účet). o Vyzváním uživatele k opětovnému zadání přihlašovacích údajů k monitorovanému systému, bez jejich zaznamenání. • Nástroj musí umožnit nastavení časových rámců, ve kterých nebude možné navázat spojení (den/čas). • Nástroj musí umožňovat schvalování přístupu privilegovaného uživatele k určitým monitorovaným systémům. Schvalování přístupu musí fungovat minimálně v následujícím rozsahu: o Privilegovaný uživatel požádá o přístup. o Určitý počet PAM administrátorů obdrží žádost o přístupu. o Minimální definovaný počet PAM administrátorů schválí žádost. o Privilegovaný uživatel získá přístup k monitorovanému systému. • Nastroj musí umožňovat ukládání zaznamenaných relací lokálně či na externí úložiště CIFS/NFS. • Správce nástroje / auditor musí mít možnost pozorovat probíhající relace v reálném čase, včetně možnosti pozorovanou relaci uknočit. • Při auditu či kontrole proběhlé relace nástroj musí mít možnost zobrazit metadata a videozáznam relace na jedné stránce. • Licencování nástroje nesmí být omezeno na počet jeho instancí nainstalovaných v infrastruktuře zadavatele. • Systém musí podporovat shodu se standardy minimálně ISO 27001, HIPAA, SOX, PCI-DSS a další • Systém dokáže fungovat jako jednotný přístupový bod pro několik instancí v necentralizované infrastructure • Systém poskytuje schopnost pracovat se sdílenými účty • Systém je spravován pomocí jednotné centrální konzole |
Místo plnění
| CZ063 | Kraj Vysočina |
Doplňující informace
VZ zadávána na základě RS/RD
Ne
Zadávaná v DNS
Ne
Výsledkem ZP bude zavedení DNS
Ne
Jedná se o rámcovou dohodu
Ne
Importovaná VZ
Ne
Evidence uveřejnění v NEN
| Zobrazit detail | ||||
|---|---|---|---|---|
| 15. 09. 2020 10:48 | Uveřejnění zadávacích podmínek |