rczsiut.wp.mil.plrczsiut.wp.mil.pl/.../17_4_36_17/OPZ_-_wtsk.docx · Web viewUrządzenie musi...

Resortowe Centrum Zarządzania Sieciami i Usługami Teleinformatycznymisprawa nr 17/4/36/17

ZAŁĄCZNIK NR 1

OPIS PRZEDMIOTU ZAMÓWIENIA

CZĘŚĆ 1: Serwer czasu NTP

I. Intencją zamawiającego jest zakup 3 kompletnych sieciowych serwerów czasu NTP / SNTP, współpracujących z różnymi źródłami czasu, przeznaczonych do zabudowy w szafie RACK 19’.

Urządzenie proponowane przez Zamawiającego:

- Serwer NTP LANTIME M600/MRS – 3 szt.

Wymagane wyposażenie dodatkowe dla każdego z urządzeń:

- Antena GPS.

- Zestaw montażowy do szafy RACK 19’.

Zamawiający dopuszcza oferty zawierające produkty równoważne (bądź stanowiące następcę w/w modelu w przypadku jego wycofania z produkcji / sprzedaży) pod warunkiem spełnienia następujących wymagań:

1) Urządzenie przystosowane do montażu w szafie RACK 19’ o wysokości zabudowy nie więcej niż 3U (wymagane dostarczenie wraz z urządzeniem zestawu montażowego).

2) Zasilacz w urządzeniu przystosowany do zasilania napięciami co najmniej w zakresie 110-240VAC.

3) Pobór mocy nie więcej niż 25W.4) Urządzenie przystosowane do pracy przy temperaturach w zakresie co najmniej

0oC – 50oC przy wilgotności nie przekraczającej 85%.5) Urządzenie zapewniające obsługę następujących protokołów:

a) OSI Layer 4 : TCP, UDP;b) OSI Layer 7 : TELNET, FTP, SSH (SFTP, SCP), HTTP, HTTPS, SYSLOG,

SNMPc) IP : IPv4, IPv6d) Autokonfiguracja sieci : IPv4: DHCP (RFC2131), IPv6: AUTOCONFe) NTP : NTPv2 (RFC1119), NTPv3 (RFC1305), NTPv4, SNTPv3 (RFC1769),

SNTPv4 (RFC2030), uwierzytelnianie MD5 oraz zarządzanie automatyczną generacją klucza (AutoKey)

f) TIME : Time Protocol (RFC868)g) DAYTIME : Daytime Protocol (RFC867)

h) HTTP : HTTP, HTTPS (RFC2616)i) Secure Shell (SSH) : SSHv1.3, SSHv1.5, SSHv2 (OpenSSH)j) Telnet : Telnet (RFC854-861)k) SNMP : SNMPv1 (RFC1157), SNMPv2c (RFC1901-1908), SNMPv3

(RFC3411-3418)

6) Urządzenie wyposażone we wbudowany odbiornik GPS: C/A 12-kanałowy.

1


7) Urządzenie wyposażone we wbudowane źródło częstotliwości oparte

o oscylator kwarcowy: dokładność impulsu w stanie synchronizacji z GPS: lepsza

od 50ns (OCXO HQ, OCXO DHQ)

8) Urządzenie wyposażone w co najmniej następujące wejścia czasu i częstotliwości:a)GPS : antena GPS poprzez złącze BNCb)10MHz : wejście częstotliwości 10MHz poprzez złącze BNCc)1PPS, TTL : wejście Pulse Per Second poprzez złącze BNCd)IRIG DCLS : wejście poprzez złącze BNCe)IRIG AM : wejście poprzez złącze BNCf) akceptowane kody czasu IRIG B002, IRIG B122, IRIG B003, IRIG B123, IRIG

B006, IRIG B007, IRIF B126, IRIG B127, IEE1344, AFNOR NFS 87-500

9) Urządzenie wyposażone w co najmniej następujące wyjścia czasu i

częstotliwości:

a) 10MHz : wyjście częstotliwości 10MHz poprzez złącze BNCb) F.Synth Out : wyjście częstotliwości od 1/8Hz do 10MHz poprzez złącze BNCc) PPS : wyjście Pulse Per Second poprzez złącze BNCd) PPM : wyjście Pulse Per Minute poprzez złącze BNCe) TC DCLS : TTL (DCLS), złącze BNCf) TC mod.: IRIG AM, złącze BNCg) Generowane kody czasu : IRIG B002, IRIG B122, IRIG B003, IRIG B123,

IEE1344, AFNOR10) Urządzenie wyposażone w co najmniej 4 niezależne, konfigurowalne interfejsy

sieciowe, dostępne poprzez złącza RJ45, wykonane w standardzie co najmniej FastEthernet 10/100 Mb/s

11)Urządzenie wyposażone w co najmniej 2 niezależne, konfigurowalne porty szeregowe RS-232 dostępne poprzez złącza DB9, prędkości transferu: 300, 600, 1200, 2400, 4800, 9600, 19200, obsługiwane formaty danych: 7N2, 7E1, 7E2, 8E1, 8N1, 8N2, SAT, Uni Erlangen (NTP), SPA, NMEA0183 (RMC), COMPUTIME lub CAPTURE-TELEGRAM

12) Urządzenie wyposażone w co najmniej 1 port USB przeznaczony do aktualizacji oprogramowania, zachowania i przywracania konfiguracji, wykonywania kopii kluczy bezpieczeństwa, blokowania przycisków na płycie czołowej

13) Urządzenie wyposażone w co najmniej 4 dwukolorowe diody LED (reference time, time service, network, alarm) bądź inne rozwiązanie obrazujące w sposób równie widoczny status urządzenia

14) Urządzenie wyposażone w wyświetlacz VFD z podświetleniem o rozdzielczości co najmniej 256x64 punkty

15) Urządzenie wyposażone w co najmniej 8 przycisków do ustawiania podstawowych parametrów sieciowych oraz odbiornika GPS bądź inne rozwiązanie pozwalające na równie łatwe dokonanie w/w ustawień z poziomu panelu czołowego urządzenia.

16) Urządzenie wyposażone w przekaźnikowe wyjście alarmów.17) Parametry techniczne urządzenia:

Procesor jednoukładowy, zgodny z i386/500MHz lub lepszy Pamięć: co najmniej 256MB RAM ( parametr oceny ofert ) system operacyjny: Linux z nano kernel (zawiera PPSkit)

2


WYPOSAŻENIE DODATKOWE:

Zamawiający wymaga, aby do każdego z serwerów czasu dostarczyć w komplecie 1 sztukę anteny GPS z wbudowanym konwerterem częstotliwości, umożliwiającej pracę z kablem RG 58 o długości do 300 metrów lub kablem RG213 o długości do 600 metrów bez potrzeby instalowania dodatkowego wzmacniacza antenowego. Anteny powinny być przystosowane do pracy w zakresie temperatur od -40°C do +65°C.

Zamawiający wymaga dostarczenia do każdego serwera NTP kompatybilnego zestawu montażowego do szafy RACK. Jeżeli w/w zestaw stanowi w zaproponowanym przez Wykonawcę rozwiązaniu wyposażenie opcjonalne, należy dostarczyć zestaw wskazany i oferowany przez producenta urządzenia.

II. WYMAGANIA OGÓLNE DLA URZĄDZEŃ I WYPOSAŻENIA:1. Całość dostarczanego sprzętu musi pochodzić z autoryzowanego kanału sprzedaży producentów na rynek polski.

2. Całość dostarczanego sprzętu musi być fabrycznie nowa, pochodząca z bieżącej produkcji, nieużywana we wcześniejszych projektach. Pod pojęciem „nowy, pochodzący z bieżącej produkcji” zamawiający rozumie i uzna za spełniający w/w wymogi sprzęt wyprodukowany w roku 2016 lub 2017. Nie dopuszcza się urządzeń długotrwale magazynowanych, typu „refurbished”, „recertified”, „remanufactured”, „certified repaired” oraz pochodzących z programów wyprzedażowych producenta.

3. Zamawiający nie dopuszcza stosowania przejściówek, konwerterów, adapterów, dodatkowych urządzeń, itp. celem uzyskania zgodności oferowanego przez Wykonawcę urządzenia z w/w warunkami równoważności.

III. WARUNKI GWARANCJI I SERWISU:1. Całość dostarczonego sprzętu musi być objęta co najmniej 24-miesięczną

gwarancją producenta rozwiązania, liczoną od daty przekazania sprzętu Odbiorcy;

2. Serwis gwarancyjny musi być oparty o świadczenia gwarancyjne producenta sprzętu, musi być niezależny od statusu partnerskiego Wykonawcy;

3. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o objęciu w/w sprzętu gwarancją producenta, z wyszczególnionymi numerami seryjnymi urządzeń i datami ich produkcji.

4. Wszystkie dostarczane moduły urządzenia muszą pochodzić od producenta urządzenia i być objęte serwisem gwarancyjnym opartym na

3


świadczeniach producenta sprzętu.5. Serwis gwarancyjny świadczony będzie przez Wykonawcę w miejscu

instalacji sprzętu; 6. Czas reakcji na zgłoszony problem obowiązujący w dniach roboczych

(rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 24 godzin;

7. Usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu 5 dni roboczych od momentu zgłoszenia usterki;

8. W przypadku sprzętu, dla którego jest wymagany dłuższy czas na jego naprawę, Wykonawca jest zobowiązany na żądanie Użytkownika dostarczyć na czas naprawy sprzęt o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 10 dni roboczych od momentu zgłoszenia usterki.

9. Serwis musi być świadczony w godzinach pracy Użytkownika: w dni robocze przez 8 godzin na dobę, przez 5 dni w tygodniu.

10.Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Użytkownika), fax, e-mail lub WWW (przez całą dobę);

11.Wykonawca musi udostępnić pojedynczy punkt przyjmowania zgłoszeń serwisowych.

12.Warunki gwarancji muszą umożliwiać Zamawiającemu / Użytkownikowi możliwość bezpośredniego zgłoszenia awarii sprzętu do producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania gwarancji

13.W ramach wsparcia producenta Użytkownik otrzyma dostęp do zasobów umieszczonych na stronach www Producenta: aktualizacji oprogramowania, dokumentacji, itp (jeżeli dostęp do w/w zasobów jest ograniczony przez producenta).

14.Zarówno w przypadku wymiany pojedynczych elementów jaki całego urządzenia elementy zawierające jakiekolwiek nośniki pamięci pozostają u użytkownika i nie podlegają zwrotowi do wykonawcy lub producenta.

15.Wszelkie koszty związane z wykonaniem serwisu obciążają wykonawcę.

CZĘŚĆ 2: Urządzenia bezpieczeństwa sieciowego

I. Przedmiot zamówienia:A. Intencją Zamawiającego jest zakup wydajnego wielointerfejsowego urządzenia

bezpieczeństwa sieciowego.


- PALOALTO PA-5020 – 2 szt.


4




1. Urządzenie zabezpieczeń sieciowych musi być dostarczone jako dedykowany (appliance). W architekturze sprzętowej systemu musi występować separacja modułu zarządzania i modułu przetwarzania danych. Całość sprzętui oprogramowania musi być dostarczana i wspierana przez jednego producenta.

2. Urządzenie zabezpieczeń sieciowych musi zapewniać przepływność zapory nie mniej niż 5Gbit/s dla kontroli firewall z włączoną funkcją kontroli aplikacji(z funkcją App-ID), nie mniej niż 2 Gbit/s dla kontroli zawartości (w tym kontrola anty-wirus, anty-spyware, IPSec i web filtering) i obsługiwać nie mniej niż 1 mln jednoczesnych sesji.

3. Urządzenie musi posiadać funkcję zabezpieczeń opartych na App-ID, User-ID, Contener-ID, Global-ID, Global Protect i WildiFire

4. Urządzenie zabezpieczeń sieciowych musi być wyposażone w co najmniej 12 portów Ethernet 10/100/1000 Mb/s, z możliwością zamontowania 8 gigabitowych interfejsów optycznych.

5. Urządzenie zabezpieczeń sieciowych musi działać w trybie rutera (tzn.w warstwie 3 modelu OSI), w trybie przełącznika (tzn. w warstwie 2 modelu OSI), w trybie transparentnym oraz w trybie pasywnego nasłuchu (sniffer). Funkcjonując w trybie transparentnym, urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych.

6. Tryb pracy urządzenia musi być ustalany w konfiguracji interfejsu sieciowego, a system musi umożliwiać pracę we wszystkich wymienionych powyżej trybach jednocześnie na różnych interfejsach inspekcyjnych w pojedynczej logicznej instancji systemu (np. wirtualny system, wirtualna domena, itp.).

7. Urządzenie zabezpieczeń sieciowych musi obsługiwać protokół Ethernetz obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3.

8. Urządzenie zabezpieczeń sieciowych musi obsługiwać nie mniej niż 10 wirtualnych routerów posiadających odrębne tabele routingu i umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń. Urządzenie musi obsługiwać protokoły routingu dynamicznego, w zakresie co najmniej: BGP, RIP i OSPF.

9. Urządzenie zabezpieczeń sieciowych musi zgodnie z ustaloną polityką prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji.

10.Polityka zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, aplikacje, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (minimum priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ).

5


11.Urządzenie zabezpieczeń sieciowych musi działać zgodnie z zasadą bezpieczeństwa „The Principle of Least Privilege”, tzn. system zabezpieczeń blokuje wszystkie aplikacje, poza tymi, które w regułach polityki bezpieczeństwa firewall są wskazane jako dozwolone.

12.Urządzenie zabezpieczeń sieciowych musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną.

13. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów, na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich dostępnych portach.

14.Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall (tzn. reguła firewall musi posiadać oddzielne pole gdzie definiowane są aplikacje i oddzielne pole gdzie definiowane są protokoły sieciowe, nie jest dopuszczalne definiowane aplikacji przez dodatkowe profile). Nie jest dopuszczalna kontrola aplikacji w modułach innych jak firewall (np. w IPS lub innym module UTM).

15.Nie jest dopuszczalne, aby blokownie aplikacji (P2P, IM, itp.) odbywało się poprzez inne mechanizmy ochrony niż firewall.

16.Nie jest dopuszczalne rozwiązanie, gdzie kontrola aplikacji wykorzystuje moduł IPS, sygnatury IPS ani dekodery protokołu IPS.

17.Urządzenie zabezpieczeń sieciowych musi wykrywać co najmniej 1500 różnych aplikacji (takich jak np. Skype, Tor, BitTorrent, eMule, UltraSurf) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS.

18.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

19.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość definiowaniai przydzielania różnych profili ochrony (AV, IPS, AS, URL, blokowanie plików) per aplikacja. Musi istnieć możliwość przydzielania innych profili ochrony (AV, IPS, AS, URL, blokowanie plików) dla dwóch różnych aplikacji pracujących na tym samym porcie.

20.Urządzenie zabezpieczeń sieciowych musi umożliwiać blokowanie transmisji plików, nie mniej niż: bat, cab, dll, doc, szyfrowany doc, docx, ppt, szyfrowany ppt, pptx, xls, szyfrowany xls, xlsx, rar, szyfrowany rar, zip, szyfrowany zip, exe, gzip, hta, mdb, mdi, ocx, pdf, pgp, pif, pl, reg, sh, tar, text/html, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia.

21.Urządzenie zabezpieczeń sieciowych musi umożliwiać analizę i blokowanie plików przesyłanych w zidentyfikowanych aplikacjach. W przypadku gdy kilka aplikacji pracuje na tym samym porcie UDP/TCP (np. tcp/80), musi istnieć możliwość przydzielania innych, osobnych profili analizujących i blokujących dla każdej aplikacji.

22.Urządzenie zabezpieczeń sieciowych musi umożliwiać ochronę przed atakami typu „Drive-by-download” poprzez możliwość konfiguracji strony blokowaniaz dostępną akcją „kontynuuj” dla funkcji blokowania transmisji plików.

23.Urządzenie zabezpieczeń sieciowych musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników

6


surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPSi poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL.

24.Urządzenie zabezpieczeń sieciowych musi zapewniać inspekcję komunikacji szyfrowanej protokołem SSL dla ruchu innego niż HTTP. System musi mieć możliwość deszyfracji niezaufanego ruchu SSL i poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL.

25.Urządzenie zabezpieczeń sieciowych musi umożliwiać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH.

26.Urządzenie zabezpieczeń sieciowych musi mieć możliwość transparentnego ustalenia tożsamości użytkowników sieci (integracja z Active Directory, Ms Exchange, LDAP i serwerami Terminal Services). Polityka kontroli dostępu powinna precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizacjęi adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie.

27.Urządzenie zabezpieczeń sieciowych musi mieć możliwość zbieraniai analizowania informacji Syslog z urządzeń sieciowych i systemów innych niż MS Windows (np. Linux, Android, MacOS lub Unix) w celu łączenia nazw użytkowników z adresami IP hostów, z których ci użytkownicy nawiązują połączenia.

28.Urządzenie zabezpieczeń sieciowych musi odczytywać oryginalne adresy IP stacji końcowych z nagłówka X-Forwarded-For i wykrywać na tej podstawie użytkowników z domeny Windows Active Directory generujących daną sesjew przypadku gdy analizowany ruch przechodzi wcześniej przez serwer Proxy ukrywający oryginalne adresy IP zanim dojdzie on do urządzenia.

29.Urządzenie zabezpieczeń sieciowych musi posiadać moduł filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza web filtering musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i posiadać nie mniej niż 15 milionów rekordów URL.

30.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu filtrowania stron WWW per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność filtrowania stron WWW uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

31.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ichw politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta.

32.Urządzenie zabezpieczeń sieciowych musi posiadać moduł inspekcji antywirusowej per aplikacja oraz wybrany dekoder taki jak http, smtp, imap, pop3, ftp, smb kontrolującego ruch bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-wirus musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób

7


automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

33.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu inspekcji antywirusowej per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby modułu inspekcji antywirusowej uruchamiany był per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

34.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI IPS/IDS bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur IPS/IDS musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

35.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu IPS/IDS per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność IPS/IDS uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

36.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur IPS bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

37.Urządzenie zabezpieczeń sieciowych musi posiadać moduł anty-spyware bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-spyware musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

38.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu anty-spyware per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność anty-spyware uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

39.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur anty-spyware bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

40.Urządzenie zabezpieczeń sieciowych musi posiadać sygnatury DNS wykrywające i blokujące ruch do domen uznanych za złośliwe.

41.Urządzenie zabezpieczeń sieciowych musi posiadać funkcjonalność podmiany adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem (tzw. DNS Sinkhole).

42.Urządzenie zabezpieczeń sieciowych musi posiadać funkcję wykrywania aktywności sieci typu Botnet na podstawie analizy behawioralnej.

43.Urządzenie zabezpieczeń sieciowych musi zapewniać możliwość przechwytywania i przesyłania do zewnętrznych systemów typu „Sand-Box” plików różnych typów (exe, dll, pdf, msofffice, java, jpg, swf, apk) przechodzących przez firewall z wydajnością modułu anty-wirus czyli nie mniej niż 1 Gbit/s w celu ochrony przed zagrożeniami typu zero-day. Systemy zewnętrzne, na podstawie przeprowadzonej analizy, muszą aktualizować system firewall sygnaturami nowo wykrytych złośliwych plików i ewentualnej komunikacji zwrotnej generowanej przez złośliwy plik po zainstalowaniu na komputerze końcowym.

44. Integracja z zewnętrznymi systemami typu "Sand-Box" powinna pozwalać administratorowi na podjęcie decyzji i rozdzielenie plików, przesyłanych

8


konkretnymi aplikacjami, pomiędzy publicznym i prywatnym systemem typu "Sand-Box".

45.Administrator musi mieć możliwość konfiguracji rodzaju pliku (exe, dll, pdf, msofffice, java, jpg, swf, apk), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”.

46.Urządzenie zabezpieczeń sieciowych musi generować raporty dla każdego analizowanego pliku tak aby administrator miał możliwość sprawdzenia które pliki i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki pobierali.

47.Urządzenie zabezpieczeń sieciowych musi wykonywać statycznąi dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.

48.Urządzenie zabezpieczeń sieciowych musi posiadać funkcję ochrony przed atakami typu DDoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP.

49.Urządzenie zabezpieczeń sieciowych musi umożliwiać zestawianie minimum 2000 zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE v1 w konfiguracji site-to-site. Konfiguracja VPN musi odbywać się w oparciu o ustawienia rutingu (tzw. routing-based VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Wykorzystanie funkcji VPN (IPSec i SSL) nie wymaga zakupu dodatkowych licencji.

50.Urządzenie zabezpieczeń sieciowych musi wykonywać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnegoi gwarantowanego. System musi umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego.

51.Urządzenie zabezpieczeń sieciowych musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników.

52.Urządzenie zabezpieczeń sieciowych musi mieć możliwość kształtowania ruchu sieciowego (QoS) per sesja na podstawie znaczników DSCP. Musi istnieć możliwość przydzielania takiej samej klasy QoS dla ruchu wychodzącego i przychodzącego.

53.Urządzenie zabezpieczeń sieciowych musi umożliwiać integracjęw środowisku wirtualnym VMware w taki sposób, aby firewall mógł automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystał z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla.

54.Zarządzanie urządzeniem musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli.

55.Urządzenie zabezpieczeń sieciowych musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji

9


urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu.

56.Urządzenie zabezpieczeń sieciowych musi pozwalać na blokowanie wprowadzania i zatwierdzania zmian w konfiguracji systemu przez innych administratorów w momencie edycji konfiguracji.

57.Urządzenie zabezpieczeń sieciowych musi być wyposażony w interfejs XML API będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI).

58.Dostęp do urządzenia i zarządzanie z sieci musi być zabezpieczony kryptograficznie (poprzez szyfrowanie komunikacji). Urządzenie musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach.

59.Urządzenie zabezpieczeń sieciowych musi umożliwiać uwierzytelnianie administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS i Kerberos.

60.Urządzenie zabezpieczeń sieciowych musi umożliwiać stworzenie sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS).

61.Platforma sprzętowa musi posiadać wbudowany twardy dysk lub pamięć flash do przechowywania logów i raportów o pojemności nie mniejszej niż 120GB. Wszystkie narzędzia monitorowania, analizy logów i raportowania muszą być dostępne lokalnie na urządzeniu zabezpieczeń. Nie jest wymagany do tego celu zakup zewnętrznych urządzeń, oprogramowania ani licencji.

62.Urządzenie zabezpieczeń sieciowych musi umożliwiać usuwanie logówi raportów przetrzymywanych na urządzeniu po upływie określonego czasu.

63.Urządzenie zabezpieczeń sieciowych musi umożliwiać sprawdzenie wpływu nowo pobranych aktualizacji sygnatur (przed ich zatwierdzeniem na urządzeniu) na istniejące polityki bezpieczeństwa.

64.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość konfigurowania różnych serwerów Syslog per polityka bezpieczeństwa.

65.Urządzenie zabezpieczeń sieciowych musi mieć możliwość korelowania zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o ruchu sieciowym, aplikacjach, zagrożeniach i filtrowaniu stron www.

66.Urządzenie zabezpieczeń sieciowych musi mieć możliwość tworzenia wielu raportów dostosowanych do wymagań Zamawiającego, zapisania ichw systemie i uruchamiania w sposób ręczny lub automatyczny w określonych przedziałach czasu. Wynik działania raportów musi być dostępny w formatach co najmniej PDF, CSV i XML.

67.Urządzenie zabezpieczeń sieciowych musi mieć możliwość stworzenia raportu o aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni kilku ostatnich dni.

68.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość pracyw konfiguracji odpornej na awarie w trybie Active-Passive lub Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych.

69. Urządzenie zabezpieczeń sieciowych musi posiadać aktywne (w okresie trwania gwarancji na dostarczone urządzenie) wsparcie techniczne producenta dla posiadanych funkcjonalności.

10


B. Intencją Zamawiającego jest zakup wydajnego urządzenia bezpieczeństwa sieciowego.


- PALOALTO PA-3050 – 12 szt.




1. Urządzenie zabezpieczeń sieciowych musi być dostarczone jako dedykowany (appliance). W architekturze sprzętowej systemu musi występować separacja modułu zarządzania i modułu przetwarzania danych. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta.

2. Urządzenie zabezpieczeń sieciowych musi posiadać przepływność w ruchu full-duplex nie mniej niż 2 Gbit/s dla kontroli firewall z włączoną funkcją kontroli aplikacji, nie mniej niż 1 Gbit/s dla kontroli zawartości (w tym kontrola anty-wirus, anty-spyware, IPS i web filtering) i obsługiwać nie mniej niż 250 000 jednoczesnych połączeń.

3. Urządzenie zabezpieczeń sieciowych musi być wyposażone w co najmniej8 portów Ethernet 10/100/1000, z możliwością zamontowania 8 interfejsów optycznych (SFP).

4. Urządzenie zabezpieczeń sieciowych musi działać w trybie rutera (tzn.w warstwie 3 modelu OSI), w trybie przełącznika (tzn. w warstwie 2 modelu OSI), w trybie transparentnym oraz w trybie pasywnego nasłuchu (sniffer). Funkcjonując w trybie transparentnym, urządzenie nie mogą posiadać skonfigurowanych adresów IP na interfejsach sieciowych.

5. Tryb pracy urządzenia musi być ustalany w konfiguracji interfejsu sieciowego, a system musi umożliwiać pracę we wszystkich wymienionych powyżej trybach jednocześnie na różnych interfejsach inspekcyjnych w pojedynczej logicznej instancji systemu (np. wirtualny system, wirtualna domena, itp.).

6. Urządzenie zabezpieczeń sieciowych musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3.

7. Urządzenie zabezpieczeń sieciowych musi obsługiwać nie mniej niż 10 wirtualnych routerów posiadających odrębne tabele routingu i umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń. Urządzenie musi obsługiwać protokoły routingu dynamicznego, w zakresie co najmniej: BGP, RIP i OSPF.

11


8. Urządzenie zabezpieczeń sieciowych musi zgodnie z ustaloną polityką prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji.

9. Polityka zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, aplikacje, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (minimum priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ).

10.Urządzenie zabezpieczeń sieciowych musi działać zgodnie z zasadą bezpieczeństwa „The Principle of Least Privilege”, tzn. system zabezpieczeń blokuje wszystkie aplikacje, poza tymi które w regułach polityki bezpieczeństwa firewall są wskazane jako dozwolone.

11.Urządzenie zabezpieczeń sieciowych musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną.

12. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów, na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich 65 535 dostępnych portach. Wydajność kontroli firewall i kontroli aplikacji musi być taka sama i wynosić w ruchu full-duplex nie mniej niż 2 Gbit/s.

13.Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall (tzn. reguła firewall musi posiadać oddzielne pole gdzie definiowane są aplikacje i oddzielne pole gdzie definiowane są protokoły sieciowe, nie jest dopuszczalne definiowane aplikacji przez dodatkowe profile). Nie jest dopuszczalna kontrola aplikacji w modułach innych jak firewall (np. w IPS lub innym module UTM).

14.Nie jest dopuszczalne, aby blokownie aplikacji (P2P, IM, itp.) odbywało się poprzez inne mechanizmy ochrony niż firewall.

15.Nie jest dopuszczalne rozwiązanie, gdzie kontrola aplikacji wykorzystuje moduł IPS, sygnatury IPS ani dekodery protokołu IPS.

16.Urządzenie zabezpieczeń sieciowych musi wykrywać co najmniej 1500 różnych aplikacji (takich jak np. Skype, Tor, BitTorrent, eMule, UltraSurf) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS.

17.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

18.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość definiowaniai przydzielania różnych profili ochrony (AV, IPS, AS, URL, blokowanie plików) per aplikacja. Musi istnieć możliwość przydzielania innych profili ochrony (AV, IPS, AS, URL, blokowanie plików) dla dwóch różnych aplikacji pracujących na tym samym porcie.

19.Urządzenie zabezpieczeń sieciowych musi umożliwiać blokowanie transmisji plików, nie mniej niż: bat, cab, dll, doc, szyfrowany doc, docx, ppt, szyfrowany ppt, pptx, xls, szyfrowany xls, xlsx, rar, szyfrowany rar, zip, szyfrowany zip, exe, gzip, hta, mdb, mdi, ocx, pdf, pgp, pif, pl, reg, sh, tar, text/html, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia.

12


20.Urządzenie zabezpieczeń sieciowych musi umożliwiać analizę i blokowanie plików przesyłanych w zidentyfikowanych aplikacjach. W przypadku gdy kilka aplikacji pracuje na tym samym porcie UDP/TCP (np. tcp/80) musi istnieć możliwość przydzielania innych, osobnych profili analizujących i blokujących dla każdej aplikacji.

21.Urządzenie zabezpieczeń sieciowych musi umożliwiać ochronę przed atakami typu „Drive-by-download” poprzez możliwość konfiguracji strony blokowaniaz dostępną akcją „kontynuuj” dla funkcji blokowania transmisji plików.

22.Urządzenie zabezpieczeń sieciowych musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPSi poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL.

23.Urządzenie zabezpieczeń sieciowych musi zapewniać inspekcję komunikacji szyfrowanej protokołem SSL dla ruchu innego niż HTTP. System musi mieć możliwość deszyfracji niezaufanego ruchu SSL i poddania go właściwej inspekcji, nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL.

24.Urządzenie zabezpieczeń sieciowych musi umożliwiać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH.

25.Urządzenie zabezpieczeń sieciowych musi mieć możliwość transparentnego ustalenia tożsamości użytkowników sieci (integracja z Active Directory, MS Exchange, LDAP i serwerami Terminal Services). Polityka kontroli dostępu powinna precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizacjęi adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie.

26.Urządzenie zabezpieczeń sieciowych musi mieć możliwość zbieraniai analizowania informacji Syslog z urządzeń sieciowych i systemów innych niż MS Windows (np. Linux lub Unix) w celu łączenia nazw użytkownikówz adresami IP hostów, z których ci użytkownicy nawiązują połączenia.

27.Urządzenie zabezpieczeń sieciowych musi odczytywać oryginalne adresy IP stacji końcowych z nagłówka X-Forwarded-For i wykrywać na tej podstawie użytkowników z domeny Windows Active Directory generujących daną sesjew przypadku gdy analizowany ruch przechodzi wcześniej przez serwer Proxy ukrywający oryginalne adresy IP zanim dojdzie on do urządzenia.

28.Urządzenie zabezpieczeń sieciowych musi posiadać moduł filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza web filtering musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i posiadać nie mniej niż 15 milionów rekordów URL.

29.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu filtrowania stron WWW per reguła polityki bezpieczeństwa firewall. Nie jest

13


dopuszczalne, aby funkcjonalność filtrowania stron WWW uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

30.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta.

31.Urządzenie zabezpieczeń sieciowych musi posiadać moduł inspekcji antywirusowej per aplikacja oraz wybrany dekoder taki jak http, smtp, imap, pop3, ftp, smb kontrolującego ruch bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-wirus musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

32.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu inspekcji antywirusowej per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby modułu inspekcji antywirusowej uruchamiany był per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

33.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI IPS/IDS bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur IPS/IDS musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

34.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu IPS/IDS per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność IPS/IDS uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

35.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur IPS bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

36.Urządzenie zabezpieczeń sieciowych musi posiadać moduł anty-spyware bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur anty-spyware musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń.

37.Urządzenie zabezpieczeń sieciowych musi umożliwiać uruchomienie modułu anty-spyware per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcjonalność anty-spyware uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

38.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość ręcznego tworzenia sygnatur anty-spyware bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta.

39.Urządzenie zabezpieczeń sieciowych musi posiadać sygnatury DNS wykrywające i blokujące ruch do domen uznanych za złośliwe.

40.Urządzenie zabezpieczeń sieciowych musi posiadać funkcjonalność podmiany adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem (tzw. DNS Sinkhole).

41.Urządzenie zabezpieczeń sieciowych musi posiadać funkcję wykrywania aktywności sieci typu Botnet na podstawie analizy behawioralnej.

14


42.Urządzenie zabezpieczeń sieciowych musi zapewniać możliwość przechwytywania i przesyłania do zewnętrznych systemów typu „Sand-Box” plików różnych typów (exe, dll, pdf, msofffice, java, jpg, swf, apk) przechodzących przez firewall z wydajnością modułu anty-wirus czyli nie mniej niż 1 Gbit/s w celu ochrony przed zagrożeniami typu zero-day. Systemy zewnętrzne, na podstawie przeprowadzonej analizy, muszą aktualizować system firewall sygnaturami nowo wykrytych złośliwych plików i ewentualnej komunikacji zwrotnej generowanej przez złośliwy plik po zainstalowaniu na komputerze końcowym.

43. Integracja z zewnętrznymi systemami typu "Sand-Box" powinna pozwalać administratorowi na podjęcie decyzji i rozdzielenie plików, przesyłanych konkretnymi aplikacjami, pomiędzy publicznym i prywatnym systemem typu "Sand-Box".

44.Administrator musi mieć możliwość konfiguracji rodzaju pliku (exe, dll, pdf, msofffice, java, jpg, swf, apk), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”.

45.Urządzenie zabezpieczeń sieciowych musi generować raporty dla każdego analizowanego pliku tak aby administrator miał możliwość sprawdzenia które pliki i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki pobierali.

46.Urządzenie zabezpieczeń sieciowych musi wykonywać statycznąi dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.

47.Urządzenie zabezpieczeń sieciowych musi posiadać funkcję ochrony przed atakami typu DoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP.

48.Urządzenie zabezpieczeń sieciowych musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSeci IKE w konfiguracji site-to-site. Konfiguracja VPN musi odbywać się w oparciu o ustawienia rutingu (tzw. routing-based VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Wykorzystanie funkcji VPN (IPSec i SSL) nie wymaga zakupu dodatkowych licencji.

49.Urządzenie zabezpieczeń sieciowych musi wykonywać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnegoi gwarantowanego. System musi umożliwiać stworzenie co najmniej 4 klas dla różnego rodzaju ruchu sieciowego.

50.Urządzenie zabezpieczeń sieciowych musi mieć możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników.

51.Urządzenie zabezpieczeń sieciowych musi mieć możliwość kształtowania ruchu sieciowego (QoS) per sesja na podstawie znaczników DSCP. Musi istnieć możliwość przydzielania takiej samej klasy QoS dla ruchu wychodzącego i przychodzącego.

52.Urządzenie zabezpieczeń sieciowych musi umożliwiać integrację w środowisku wirtualnym VMware w taki sposób, aby firewall mógł automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystał z tych informacji do budowy polityk bezpieczeństwa.

15


Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla.

53.Zarządzanie urządzeniem musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli.

54.Urządzenie zabezpieczeń sieciowych musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu.

55.Urządzenie zabezpieczeń sieciowych musi pozwalać na blokowanie wprowadzania i zatwierdzania zmian w konfiguracji systemu przez innych administratorów w momencie edycji konfiguracji.

56.Urządzenie zabezpieczeń sieciowych musi być wyposażony w interfejs XML API będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI).

57.Dostęp do urządzenia i zarządzanie z sieci musi być zabezpieczony kryptograficznie (poprzez szyfrowanie komunikacji). Urządzenie musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach.

58.Urządzenie zabezpieczeń sieciowych musi umożliwiać uwierzytelnianie administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS i Kerberos.

59.Urządzenie zabezpieczeń sieciowych musi umożliwiać stworzenie sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS).

60.Platforma sprzętowa musi posiadać wbudowany twardy dysk lub pamięć flash do przechowywania logów i raportów o pojemności nie mniejszej niż 120GB. Wszystkie narzędzia monitorowania, analizy logów i raportowania muszą być dostępne lokalnie na urządzeniu zabezpieczeń. Nie jest wymagany do tego celu zakup zewnętrznych urządzeń, oprogramowania ani licencji.

61.Urządzenie zabezpieczeń sieciowych musi umożliwiać usuwanie logówi raportów przetrzymywanych na urządzeniu po upływie określonego czasu.

62.Urządzenie zabezpieczeń sieciowych musi umożliwiać sprawdzenie wpływu nowo pobranych aktualizacji sygnatur (przed ich zatwierdzeniem na urządzeniu) na istniejące polityki bezpieczeństwa.

63.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość konfigurowania różnych serwerów Syslog per polityka bezpieczeństwa.

64.Urządzenie zabezpieczeń sieciowych musi mieć możliwość korelowania zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o ruchu sieciowym, aplikacjach, zagrożeniach i filtrowaniu stron www.

65.Urządzenie zabezpieczeń sieciowych musi mieć możliwość tworzenia wielu raportów dostosowanych do wymagań Zamawiającego, zapisania ich w systemie i uruchamiania w sposób ręczny lub automatyczny w określonych przedziałach czasu. Wynik działania raportów musi być dostępny w formatach co najmniej PDF, CSV i XML.

66.Urządzenie zabezpieczeń sieciowych musi mieć możliwość stworzenia raportu o aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni kilku ostatnich dni.

16


67.Urządzenie zabezpieczeń sieciowych musi posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive lub Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych.

68.Urządzenie zabezpieczeń sieciowych musi posiadać aktywne (w okresie trwania gwarancji na dostarczone urządzenie) wsparcie techniczne producenta dla posiadanych funkcjonalności.

II. WYMAGANIA OGÓLNE DLA URZĄDZEŃ:1. Całość dostarczanego sprzętu musi pochodzić z autoryzowanego kanału sprzedaży producentów na rynek polski.


3. Całość rozwiązania musi pochodzić od jednego producenta.


III. WARUNKI GWARANCJI I SERWISU:1. Całość dostarczonego sprzętu musi być objęta co najmniej 24-miesięczną

gwarancją producenta rozwiązania, liczoną od daty przekazania sprzętu Odbiorcy;

2. Serwis gwarancyjny musi być oparty o świadczenia gwarancyjne producenta sprzętu, musi być niezależny od statusu partnerskiego Wykonawcy;

3. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o objęciu w/w sprzętu gwarancją producenta, z wyszczególnionymi numerami seryjnymi urządzeń i datami ich produkcji.

4. Wszystkie dostarczane moduły urządzenia muszą pochodzić od producenta urządzenia i być objęte serwisem gwarancyjnym opartym na świadczeniach producenta sprzętu.

5. Urządzenia zabezpieczeń sieciowych muszą posiadać aktywne (w okresie trwania gwarancji na dostarczone urządzenia) wsparcie techniczne producenta dla posiadanych funkcjonalności. Zamawiający / Użytkownik musi otrzymać dostęp do pomocy technicznej Producenta (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Zamawiającego / Użytkownika.

6. Serwis gwarancyjny świadczony będzie przez Wykonawcę w miejscu instalacji sprzętu;

17


7. Czas reakcji na zgłoszony problem obowiązujący w dniach roboczych (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 24 godzin;


9. W przypadku sprzętu, dla którego jest wymagany dłuższy czas na jego naprawę, Wykonawca jest zobowiązany na żądanie Użytkownika dostarczyć na czas naprawy sprzęt o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 10 dni roboczych od momentu zgłoszenia usterki. Serwis musi być świadczony w godzinach pracy Użytkownika: w dni robocze przez 8 godzin na dobę, przez 5 dni w tygodniu.

10.Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Użytkownika), fax, e-mail lub WWW (przez całą dobę);

11.Wykonawca musi udostępnić pojedynczy punkt przyjmowania zgłoszeń serwisowych.

12.Warunki gwarancji muszą umożliwiać Zamawiającemu / Użytkownikowi możliwość bezpośredniego zgłoszenia awarii sprzętu do producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania gwarancji

13.W ramach wsparcia producenta Użytkownik otrzyma dostęp do zasobów umieszczonych na stronach www Producenta: aktualizacji oprogramowania, dokumentacji, itp (jeżeli dostęp do w/w zasobów jest ograniczony przez producenta).

14.Zarówno w przypadku wymiany pojedynczych elementów jaki całego urządzenia elementy zawierające jakiekolwiek nośniki pamięci pozostają u użytkownika i nie podlegają zwrotowi do wykonawcy lub producenta.

15.Wszelkie koszty związane z wykonaniem serwisu obciążają wykonawcę.CZĘŚĆ 3: Przełączniki

I. Intencją Zamawiającego jest rozbudowa istniejącej w środowisku IT Zamawiającego sieci LAN / MAN, opartej o sprzęt sieciowy Cisco, o kolejne przełączniki, z zachowaniem obecnie wykorzystywanych funkcjonalności a także procedur i metodyki zarządzania systemem.

3A: 12-portowy przełącznik w standardzie 10Gb/s

Intencją zamawiającego jest zakup 8 sztuk 12-portowego przełącznika z obsługą trzeciej warstwy modelu OSI (routing), wyposażonego porty SFP+ wykonane w standardzie 10Gb/s


- Cisco WS-C3850-12XS-S – 8 szt.

Wymagane wyposażenie (dla każdego przełącznika):

a) Zestaw montażowy do szafy RACK 19’ – 1 sztb) Przewód zasilający – 2 szt

18


c) Wkładki multimode SFP-10G-SR-S= - 6 sztd) Władki miedziane SFP-H10GB-CU3M= - 6sztuke) Zasilacz podstawowy oraz zasilacz redundantny o parametrach identycznych

jak zasilacz podstawowy (komplet) – obydwa przystosowane do zasilania napięciem 230VAC.

f) objęcie urządzenia pakietem serwisowym CON-SNT-WSC3851X – co najmniej 24 m-ce


Rodzaj urządzenia:

1. Przełącznik sieciowy wyposażony w minimum 12 portów SFP+ 10Gb/s Ethernet

2. Przełącznik musi posiadać dodatkowo możliwość instalacji modułu z co najmniej 4 portami 10Gigabit Ethernet z wkładkami SFP+. Porty modułu muszą pozwalać na obsadzenie dowolną kombinacją wkładek SFP (Gigabit Ethernet) i SFP+ (10Gigabit Ethernet)

3. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-BX, 10GBase-SR, 10GBase-LR, 10GBase-LRM oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH)

Architektura

4. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów

5. Urządzenie musi posiadać możliwość instalacji zasilacza redundantnego. Zamawiający nie dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne

6. Przełącznik musi posiadać możliwość rozszerzenia funkcjonalności o funkcję kontrolera sieci bezprzewodowej Wi-Fi (poprzez zakup odpowiedniej licencji lub wersji oprogramowania – bez konieczności dokonywania zmian sprzętowych) z zachowaniem następujących parametrów:

a. Centralne zarządzanie punktami dostępowymi zgodnie z protokołem CAPWAP (RFC 5415), w tym zarządzane politykami bezpieczeństwa i zarządzanie pasmem radiowym (RRM)

b. Przepustowość dla sieci Wi-Fi nie mniejsza niż 20Gb/sc. Obsługa co najmniej 100 punktów dostępowychd. Obsługa minimum 2000 klientów sieci Wi-Fie. Możliwość terminowania tuneli CAPWAP na przełączniku f. Elastyczne mechanizmy QoS dla sieci Wi-Fi w tym możliwość

definiowania parametrów usług per punkt dostępowy/SSID/klient sieci Wi-Fi

Oczekiwana wydajność

7. Szybkość przełączania zapewniająca pracę z pełną wydajnością wszystkich interfejsów – również dla pakietów 64-bajtowych (przełącznik line-rate)

8. Minimum 8GB pamięci DRAM i 4GB pamięci flash

19


9. Obsługa minimumg. 1000 sieci VLANh. 32.000 adresów MACi. 24.000 tras IPv4

Oprogramowanie/funkcjonalność

10.Obsługa protokołu NTP11.Obsługa IGMPv1/2/3 12.Przełącznik musi wspierać następujące mechanizmy związane

z zapewnieniem ciągłości pracy sieci:j. IEEE 802.1w Rapid Spanning Treek. IEEE 802.1s Multi-Instance Spanning Treel. Obsługa minimum 128 instancji protokołu STP

13.Obsługa protokołu LLDP i LLDP-MED14.Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i

ruchu głosowego.15.Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP.16.Urządzenie musi wspierać następujące mechanizmy związane z

zapewnieniem bezpieczeństwa sieci:a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę.

Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)

b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN

c. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania listy ACL

d. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu do sieci dla użytkowników bez suplikanta 802.1X

e. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MACf. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla

klientów bez suplikanta 802.1X g. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu

użytkowników na jednym porcie oraz możliwości jednoczesnego uwierzytelniania na porcie telefonu IP i komputera PC podłączonego za telefonem

h. Możliwość obsługi żądań Change of Authorization (CoA) zgodnie z RFC 5176

i. Minimum 3000 wpisów dla list kontroli dostępu (ACE)j. Funkcjonalność flexible authentication (możliwość wyboru kolejności

uwierzytelniania – 802.1X/uwierzytelnianie w oparciu o MAC adres/uwierzytelnianie oparciu o portal www)

k. Obsługa funkcji Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard

l. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+

m. Obsługa list kontroli dostępu (ACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)

20


17.Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci:

a. Implementacja co najmniej 8 kolejek dla ruchu wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi

b. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi kolejek

c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority)

d. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP

e. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, rate limiting). Możliwość skonfigurowania do 2000 ograniczeń per przełącznik

f. Kontrola sztormów dla ruchu broadcast/multicast/unicastg. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w

ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP

18.Urządzenie musi zapewniać możliwość routingu statycznego i dynamicznego dla IPv4 i IPv6 (minimum protokół RIP). Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o wsparcie dla zaawansowanych protokołów routingu IPv4 (OSPF, BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based routingu i routingu multicast (PIM-SM, PIM-SSM) poprzez zakup odpowiedniej licencji lub wersji oprogramowania – bez konieczności dokonywania zmian sprzętowych.

Zarządzanie i konfiguracja

19.Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN)

20.Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow

21.Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.)

22.Dedykowany port Ethernet do zarządzania out-of-band23.Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika

danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB

24.Urządzenie musi być wyposażone w port konsoli USB25.Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line

(tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją

26.Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie

27.Urządzenie musi posiadać wbudowany analizator pakietów

21


28.Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6

Obudowa

29.Możliwość montażu w szafie rack 19”. Wysokość urządzenia nie może przekraczać 1 RackUnit

Wyposażenie

30.Oferowany przełącznik musi być wyposażony w:a. Wkładki multimode o funkcjonalności identycznej z SFP-10G-SR-S= w

ilości 6 sztukb. Władki miedziane o funkcjonalności identycznej z SFP-H10GB-CU3M=

w ilości 6sztukc. Zasilacz redundantny o parametrach identycznych jak zasilacz

podstawowy 31.Wymagane jest, aby moduły SFP/SFP+/QSFP+ oferowane wraz z

urządzeniem pochodziły od tego samego producenta co przełącznik celem uniknięcia problemów z serwisowaniem urządzeń

Serwis

32.Pakiet serwisowy świadczony na zasadach nie gorszych niż CON-SNT-WSC3851X – co najmniej 24 miesiące

3B: 24-portowy przełącznik w standardzie 1Gb/s / 10Gb/s

Intencją zamawiającego jest zakup 3 sztuk 24-portowego stackowalnego przełącznika z obsługą trzeciej warstwy modelu OSI (routing), wyposażonego porty GigabitEthernet SFP oraz slot na moduły rozszerzeń obsługujący wkładki w standardzie10Gb/s, a także wkładek SFP i modułów transcieverów 10Gb/s (ilość wg wykazu) zgodnych z w/w przełącznikami oraz z przełącznikami obecnie posiadanymi przez Zamawiającego.

Urządzenie i ukompletowanie proponowane przez Zamawiającego:

Symbol produktu Opis Ilość

WS-C3850-24S-S Cisco Catalyst 3850 24 Port GE SFP IP Base 3

CAB-TA-EU Europe AC Type A Power Cable 6

GLC-SX-MMD= 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM

140

SFP-10G-LRM 10G BASE-SR transceiver module 10

CON-SNT-WSC3851X co najmniej 24 miesiące, dla w/w urządzeń

22


Z uwagi na wymóg redundantnego zasilania Zamawiający oczekuje, iż w/w przełącznik wyposażony będzie w zasilacz podstawowy oraz zasilacz redundantny o parametrach identycznych jak zasilacz podstawowy – obydwa przystosowane do zasilania napięciem 230VAC.


Rodzaj urządzenia

1. Przełącznik Gigabit Ethernet , stakowalny wyposażony w minimum 24 porty Gigabit Ethernet SFP

2. Przełącznik musi posiadać minimum jeden dodatkowy slot na moduł rozszerzeń z możliwością jego wymiany „na gorąco” (ang. hot swap). Wśród dostępnych modułów rozszerzeń muszą być dostępne co najmniej następujące moduły:a. Minimum 4-portowy moduł Gigabit Ethernet z gniazdami interfejsów do

obsadzenia optycznymi modułami SFPb. Minimum 2-portowy moduł 10GBaseT (porty muszą umożliwiać pracę

zarówno jako 10GE, jak i GE)c. Minimum 2-portowy moduł 10Gigabit Ethernet SFP+, przy czym wymagane

jest, aby w przypadku wykorzystanie pojedynczego łącza 10GE istniała możliwość instalacji dodatkowych 2 portów Gigabit Ethernet SFP lub 4 portów Gigabit Ethernet SFP jeśli połącznia 10GE nie są wykorzystywane

3. Porty SFP przełącznika i modułów (o których mowa w pkt. 2) muszą umożliwiać ich obsadzenie modułami 1000Base-T, 1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX oraz CWDM i DWDM zależnie od potrzeb Zamawiającego. Porty SFP+ muszą umożliwiać ich obsadzenie modułami 10GBase-SR, 10GBase-LR, 10GBase-LRM, 10GBase-ER oraz modułami optycznymi GE (1000Base-SX, 1000Base-LX/LH, 1000Base-ZX, 1000Base-BX)

Architektura

1. Urządzenie musi być wyposażone w redundantne i wymienne moduły wentylatorów

2. Urządzenie musi być wyposażone w redundantny zasilacz. Zamawiający nie dopuszcza stosowania zewnętrznych systemów zasilania redundantnego w celu realizacji tego zadania. Zasilacze muszą być wymienne

3. Przełącznik musi posiadać możliwość instalacji zasilacza prądu stałego. Wymagane jest, aby w przełączniku można było jednocześnie instalować zarówno zasilacze prądu zmiennego, jak i stałego. W momencie dostawy przełącznik ma być wyposażony w zasilacz prądu zmiennego 230V

4. Wsparcie sprzętowe i obsługa standardu IEEE 802.1AE szyfrowania ruchu na portach dostępowych GE SFP

5. Przełącznik musi zapewniać możliwość budowania stosów (stackowanie) z zapewnieniem następujących parametrów:a. Przepustowość w ramach stosu min. 480Gb/sb. Min. 4 urządzenia w stosiec. Zarządzanie poprzez jeden adres IP

23


d. Możliwość tworzenia połączeń cross-stack link aggregation (czyli dla portów należących do różnych jednostek w stosie) zgodnie z 802.3ad

e. W ofercie producenta muszą istnieć przełączniki 24 i 48-portów z obsługą standardu 802.3at, które można zestakować z oferowanym przełącznikiem

f. Przełączniki w ramach stosu muszą umożliwiać współdzielenie mocy zasilaczy tzn. zasilacze muszą stanowić zasób wspólny dla wszystkich jednostek w stosie (redundancja zasilania bez konieczności instalacji zasilaczy zapasowych w każdym przełączniku, możliwość „pożyczania” mocy dla innych jednostek w stosie, w tym dla przełączników wymagających większej mocy dla PoE, jeśli takowe są zainstalowane w stosie)

g. Przełącznik musi być wyposażony we wszystkie niezbędne komponenty (w tym moduły i kable) do realizacji tego zadania

Oczekiwana wydajność

1. Przełącznik musi zapewniać obsługę wszystkich portów z pełną wydajnością (wirespeed). Szybkość przełączania minimum 90,0 Gbps dla pakietów 64-bajtowych.

2. Minimum 4 Gb pamięci DRAM i 2Gb pamięci Flash.3. Jednoczesna obsługa min. 32.000 adresów MAC, 24.000 tras w tablicy routingu

i 4.000 sieci VLAN.

Oprogramowanie/funkcjonalność

1. Obsługa protokołu NTP2. Obsługa IGMPv3 i MLDv1/2 Snooping3. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s

Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 128 instancji protokołu STP

4. Obsługa protokołu LLDP i LLDP-MED.5. Funkcjonalność Layer 2 traceroute umożliwiająca śledzenie fizycznej trasy

pakietu o zadanym źródłowym i docelowym adresie MAC6. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa

mechanizmów bezpieczeństa typu Port Security i IP Source Guard na interfejsach link aggregation

7. Obsługa funkcji Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego

8. Przełącznik musi posiadać możliwość uruchomienia funkcji serwera DHCP9. Urządzenie musi wspierać następujące mechanizmy związane z zapewnieniem

bezpieczeństwa sieci:a. Minimum 5 poziomów dostępu administracyjnego poprzez konsolę.

Przełącznik musi umożliwiać zalogowanie się administratora z konkretnym poziomem dostępu zgodnie z odpowiedzą serwera autoryzacji (privilege-level)

b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACLa. Obsługa funkcji Guest VLAN umożliwiająca uzyskanie gościnnego dostępu

do sieci dla użytkowników bez suplikanta 802.1Xc. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC

24


d. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X (bez konieczności stosowania zewnętrznego serwera www)

e. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie

f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www

g. Możliwość wdrożenia uwierzytelniania w oparciu o 802.1X w trybie monitor (niezależnie od tego czy uwierzytelnianie się powiedzie, czy nie użytkownik ma prawo dostępu do sieci) – jako element sprawdzenia gotowości instalacji na pełne wdrożenie 802.1X

h. Przełącznik musi posiadać funkcję supplicanta 802.1X (możliwość podłączenia przełącznika do innego switcha z uruchomionym mechanizmem uwierzytelniania 802.1X)

i. Obsługa funkcji bezpieczeństwa sieci LAN: Port Security, DHCP Snooping, Dynamic ARP Inspection i IP Source Guard

j. Możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny) do serwerów RADIUS lub TACACS+

k. Obsługa list kontroli dostępu (ACL)na poziomie portów (PACL), VLAN-ów (VACL), interfejsów routera L3 (RACL), możliwość konfiguracji tzw. czasowych list ACL (aktywnych w określonych godzinach i dniach tygodnia)

l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) – w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprwanionych serwerów DHCPv6 do sieci (DHCPv6 Guard) oraz ochronę przed fałszowaniem źródłowych adresów IPv6 (IPv6 Source Guard)

m. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6

10.Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci:a. Implementacja co najmniej czterech kolejek sprzętowych dla ruchu

wyjściowego na każdym porcie dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek

b. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (StrictPriority)

c. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP

d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi z dokładnością do 8 Kbps (policing, ratelimiting). Wymagana jest możliwość skonfigurowania minimum 64 różnych ograniczeń per port, każde odpowiednio dla różnej klasy obsługi ruchu

e. Możliwość zmiany przez urządzenie kodu wartości QoS zawartego w ramce Ethernet lub pakiecie IP – poprzez zmianę pola 802.1p (CoS) oraz IP ToS/DSCP

11.Obsługa funkcji DHCP Relay.12.Możliwość konfiguracji list ACL i usług QoS dla IPv6.

25


13.Funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym.

14.Routing multicastów (PIM-SM) oraz policy-based routing.15.Urządzenie musi zapewniać możliwość rozszerzenia funkcjonalności o obsługę:

a. zaawansowanych protokołów routingu dynamicznego dla IPv4 (w tym OSPFv2, BGP4, IS-IS) i IPv6 (co najmniej OSPFv3, IS-ISv6, BGPv6)

b. minimum 25 prywatnych domen routingu (funkcjonalność VRF Lite)c. monitorowania parametrów usług dla ruchu IP (IP SLA), w tym również dla

usług wideo (wbudowany symulator ruchu). Wymagana jest możliwość monitorowania parametrów takich jak opóźnienie, jitter, utrata pakietów

16.Obsługa protokołu VRRP lub mechanizmu równoważnego dla usług redundancji bramy dla IPv4 i IPv6.

Zarządzanie i konfiguracja

1. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN).

2. Urządzenie musi zapewniać możliwość tworzenia statystyk ruchu w oparciu o NetFlow/J-Flow lub podobny mechanizm, przy czym wielkość tablicy monitorowanych strumieni nie może być mniejsza niż 24.000. Wymagane jest sprzętowe wsparcie dla gromadzenia statystyk NetFlow/J-Flow.

3. Przełącznik musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP, kamera itp.).

4. Dedykowany port Ethernet do zarządzania out-of-band.5. Minimum jeden port USB umożliwiający podłączenie zewnętrznego nośnika

danych. Urządzenie musi mieć możliwość uruchomienia z nośnika danych umieszczonego w porcie USB.

6. Urządzenie musi być wyposażone w port konsoli USB.7. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn.

konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych.

8. Obsługa protokołów SNMPv3, SSHv2, SCP, https, syslog – z wykorzystaniem protokołów IPv4 i IPv6.

9. Urządzenie musi umożliwiać tworzenie skryptów celem obsługi zdarzeń, które mogą pojawić się w systemie.

Obudowa

Możliwość montażu w szafie RACK 19”. Wysokość urządzenia nie może przekraczać 1 RU.

Wyposażenie

Oferowane przełączniki należy dostarczyć z kompatybilnymi modułami SFP/SFP+/QSFP+ oraz transcieverami o funkcjonalności identycznej jak wskazano dla proponowanego przez Zamawiającego urządzenia (ilości zgodne z tabelą).

26


Wymagane jest, aby moduły SFP/SFP+/QSFP+ oferowane wraz z urządzeniem pochodziły od tego samego producenta co przełącznik celem uniknięcia problemów z serwisowaniem urządzeń

Serwis

Pakiet serwisowy świadczony na zasadach nie gorszych niż CON-SNT-WSC3851X – co najmniej 24 miesiące.

II. WYMAGANIA OGÓLNE DLA URZĄDZEŃ:1. Całość dostarczanego sprzętu musi pochodzić z autoryzowanego kanału sprzedaży producentów na rynek polski.


3. Całość rozwiązania musi pochodzić od jednego producenta


III. WARUNKI GWARANCJI I SERWISU: 1. Serwis gwarancyjny musi być oparty na świadczeniach gwarancyjnych

producenta.2. Serwis gwarancyjny musi być niezależny od statusu partnerskiego

Wykonawcy3. Na dostarczany sprzęt musi być udzielony co najmniej 24 miesięczny serwis

gwarancyjny od daty odbioru sprzętu, oparty na gwarancji producenta rozwiązania.

4. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o wykupieniu przez Wykonawcę wymaganych przez Zamawiającego pakietów serwisowych na dostarczony sprzęt;

5. Serwis gwarancyjny świadczony ma być w miejscu instalacji sprzętu przez Wykonawcę.

6. Czas reakcji na zgłoszony problem obowiązujący w dniach roboczych (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 4 godzin.

27


7. Usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu 2 dni roboczych od momentu zgłoszenia usterki.

8. W przypadku sprzętu, dla którego jest wymagany dłuższy czas na jego naprawę, Wykonawca jest zobowiązany na żądanie Użytkownika dostarczyć na czas naprawy sprzęt o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 10 dni roboczych od momentu zgłoszenia usterki

9. Serwis musi być świadczony przez 8 godzin na dobę przez 5 dni w tygodniu. 10. Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez

telefon (w godzinach pracy Zamawiającego 7:00-15:00), fax, e-mail lub WWW (przez całą dobę).

11. Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń serwisowych. Zaproponowany pakiet serwisowy musi zapewniać Wykonawcy możliwość bezpośredniego zgłoszenia awarii sprzętu do Producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania serwisu.

12. Zaproponowany pakiet serwisowy musi zapewniać Zamawiającemu bezpośredni dostęp do kontraktu serwisowego, możliwość bezpośredniego zgłoszenie awarii sprzętu do producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania gwarancji, ponadto zapewniać dostęp do stron Producenta, dostęp do oprogramowania i jego aktualizacji

13. Zamawiający w zaproponowanych pakietach serwisowych producenta musi otrzymać dostęp do pomocy technicznej Producenta (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Zamawiającego

14. Wszystkie dostarczane moduły (np. typu SFP) muszą pochodzić od producenta urządzeń sieciowych i być objęte jednolitym serwisem gwarancyjnym opartym na świadczeniach Producenta sprzętu.

15. Zarówno w przypadku wymiany pojedynczych elementów jaki całego terminala elementy zawierające jakiekolwiek nośniki pamięci pozostają u użytkownika i nie podlegają zwrotowi do wykonawcy lub producenta.

16. Wszelkie koszty związane z wykonaniem serwisu obciążają wykonawcę.

CZĘŚĆ 4: Notebooki

4A: Notebook – stacja graficzna (NBSG)

I. Intencją zamawiającego jest zakup 10 sztuk notebooków o parametrach

28


umożliwiających ich wykorzystanie do celów związanych z realizacją zaawansowanych prac graficznych 2D i 3D. Zamawiający wymaga, aby w skład każdego zestawu wchodziły co najmniej:

- notebook

- torba do w/w notebooka

- myszka

Zestaw nie zawiera oprogramowania antywirusowego i biurowego Office

Zamawiający stawia następujące MINIMALNE wymagania dla w/w notebooków – stacji graficznych:

Notebook NBSG (parametry minimalne):

Typ: Komputer przenośny typu notebook z ekranem o przekątnej minimum 17" o rozdzielczości minimum 3840x2160 pikseli (FullHD), przeciwodblaskowy, podświetlenie LED.Wymagane jest jawne wyspecyfikowanie w ofercie wszystkich użytych podzespołów (procesora, dysków twardych, kart graficznych) poprzez podanie typu/nazwy handlowej (oznaczenie/kod producenta) w szczegółowej specyfikacji technicznej zał. Nr 2b do SIWZ.

Procesor: ProcesorArchitektura zgodna z x86, wielordzeniowy, wykonany w technologii mobilnej, osiągający w teście Passmark 8.0 CPU Mark nie m n iej n iż 8 5 00 p u nk t ó w . Na etapie składania oferty Zamawiający wymaga oświadczenia ze strony Wykonawcy zawierającego wynik w/w testu dla oferowanej konfiguracji. W stosunku do Wykonawcy, którego oferta została najwyżej oceniona na żądanie Zamawiającego - potwierdzeniem spełnienia tego wymogu powinien być dostarczony przez Wykonawcę wydruk z przeprowadzonych testów potwierdzający, że procesor w oferowanym modelu komputera osiągnął wymagany wynik. Testy powinny być potwierdzone przez przedstawiciela Producenta komputera w Polsce.

Pamięć RAM: 32 GB, DDR4, 4 sloty DIMM.

Dyski HDD: Dysk twardy1000 GB SSD, konstrukcja obudowy notebooka musi umożliwiać instalację minimum 3 dysków SSD oraz umożliwiać skonfigurowania dysków minimum w RAID 0 lub 1.

Karta graficzna: Karta graficznaGrafika musi osiągać w teście Passmark 8.0 G3D Mark minimum 2100 punktów, minimum 2 GB własnej (nie współdzielonej pamięci RAM). Karta graficzna musi znajdować się na stronie ht t p: / / w w w .vid e o c ar d benchmark. n e t /g p u _ l i s t.php

Multimedia: Karta dźwiękowa zgodna z HD Audio 24-bit, wbudowane głośniki stereo o mocy minimum 2 x 1 W.

Bateria i zasilacz: Umożliwiająca szybkie naładowanie do poziomu 80% w czasie 60 minut i do poziomu 100%w czasie 120 minut.

System operacyjny: System operacyjny 64-bit, zgodny z pkt. 4.5.1, Klucz zaszyty trwale w BIOS na etapie produkcji komputera I automatycznie pobierany przez Instalowane oprogramowanie. Dołączony nośnik z oprogramowaniem.

Funkcje BIOS: BIOS zgodny ze specyfikacją UEFI.

29


Pełna obsługa BIOS za pomocą klawiatury i myszy lub touchpad’a.Możliwość, bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego urządzeń zewnętrznych odczytania z BIOS informacji o: wersji BIOS; numeru seryjnego komputera, wraz z datą jego wyprodukowania, ilości i sposobu

obłożenia slotów pamięciami RAM; typie procesora wraz z informacją o ilości rdzeni, wielkości pamięci cache L2 i L3; pojemności zainstalowanego dysku twardego; rodzaju napędu optycznego (w przypadku oferowania laptopa z wbudowanym napędem

optycznym); MAC adresie zintegrowanej karty sieciowej; zintegrowanej grafice.Funkcja blokowania/odblokowania BOOT-owania notebooka z zewnętrznych urządzeń. Funkcja blokowania/odblokowania BOOT-owania notebooka z USB.Możliwość ustawienia hasła administratora oraz hasła dysku twardego na poziomie systemu oraz możliwość ustawienia następujących zależności pomiędzy nimi: brak

możliwości zmiany hasła pozwalającego na uruchomienie systemu bez podania hasła administratora. Wszystkie opcje dostępne bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego urządzeń zewnętrznych. Funkcja ustawienia zależności pomiędzy hasłem administratora a hasłem systemowym tak, aby nie było możliwe wprowadzenie zmian w BIOS wyłącznie po podaniu hasła systemowego. Funkcja ta ma wymuszać podanie hasła administratora przy próbie zmiany ustawień BIOS w sytuacji, gdy zostało podane hasło systemowe.Funkcja wyłączenia/włączenia: zintegrowanej karty sieciowej, portów USB, czytnika kart multimedialnych, mikrofonu, kamery, systemu, Intel TurboBoost (pod warunkiem obsługiwania jej przez procesor), pracy wielordzeniowej procesora, modułów: WWAN, WLAN i Bluetooth z poziomu BIOS, bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego, urządzeń zewnętrznych.Funkcja włączenia/wyłączenia szybkiego ładownia baterii. Funkcja włączenia/wyłączenia funkcjonalności Wake On LAN. Funkcja włączenia/wyłączenia hasła dla dysku twardego. Funkcja przypisania w BIOS numeru nadawanego przez Administratora/Użytkownika oraz możliwość weryfikacji tego numeru w oprogramowaniu diagnostyczno-zarządzającym Producenta komputera.

Dodatkowe oprogramowanie:

Oprogramowanie dostarczone przez Producenta komputera pozwalające na zdalną inwentaryzację komputerów w sieci, lokalną i zdalną inwentaryzację komponentów komputera, umożliwiające co najmniej:- informowanie administratora o otwarciu obudowy;- zdalne zablokowanie portów USB;- zdalne uaktualnianie BIOS zarówno na pojedynczym komputerze a także na grupie

komputerów w tym samym czasie;- zdalną konfigurację BIOS w czasie rzeczywistym, w tym co najmniej ustawienie

hasła, wpisanie unikalnego numeru nadanego przez użytkownika, sekwencji startowej, włączenia/wyłączenia portów USB, włączenia/wyłączenia karty dźwiękowej;

- zdalne wyłączanie oraz restart komputera w sieci;- otrzymywanie informacji WMI – Windows Management Interface;- monitorowanie stanu komponentów: CPU, pamięć RAM, HDD, wersje BIOS;- monitorowanie i alertowanie parametrów termicznych, wolnego miejsca na dyskach

twardych;- monitorowanie stanu komponentów: CPU, pamięć RAM, HDD, wersje BIOS przy

wyłączonym komputerze lub nieobecnym/uszkodzonym systemie operacyjnym;- ustawienie sposobu informowania o zaistnieniu zdarzenia poprzez (po stronie

serwera) automatyczne uruchomienie zaplanowanej wcześniej akcji, wysłanie raportu zawierającego między innymi numer seryjny komputera i opis błędu na wskazany adres

30


poczty elektronicznej;Powyżej opisane oprogramowanie musi być wyprodukowane przez jednego Producenta, nie dopuszcza się zaoferowania oprogramowania składającego się z kilku różnych programów wyprodukowanych przez różnych producentów, które sumarycznie spełniałyby ww. wymagania.

Certyfikaty i standardy:

W stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego należy dostarczyć:- Certyfikat ISO 9001:2000 dla Producenta sprzętu obejmujący proces projektowania i produkcji.- Certyfikat ISO 14001 dla Producenta sprzętu.- Oferowane produkty muszą zawierać informacje dotyczące ponownego użycia i recyklingu. Wszystkie baterie i akumulatory (wewnętrzne) nie mogą zawierać kadmu, rtęci i ołowiu ponad śladowe ilości, zgodnie z dyrektywą 91/157/EWG. We wszystkich produktach części tworzyw sztucznych większe niż 25-gramowe powinny zawierać nie więcej niż śladowe ilości środków zmniejszających palność, sklasyfikowanych w dyrektywie RE 67/548/EEC. Usunięcie materiałów i komponentów powinno odbywać się zgodnie z wymogami Dyrektywy WEEE 2002/96/EC. Wymagane jest dołączenie dokumentu potwierdzającego spełnienie powyższych warunków, wystawionego przez niezależną jednostkę badawczą. Dopuszcza się wydruk strony internetowej potwierdzającej spełnienie normy np. Epeat Gold.- Potwierdzenie kompatybilności komputera na stronie Windows Logo'd Products List na daną platformę systemową (wydruk ze strony).- Potwierdzenie spełnienia kryteriów środowiskowych, w tym zgodności z dyrektywą RoHS Unii Europejskiej o eliminacji substancji niebezpiecznych w postaci oświadczenia Producenta jednostki.- Certyfikat EnergyStar 5.0 – komputer musi znajdować się na liście zgodności dostępnej na stronach: www.energystar.gov oraz www.eu-energystar.org

Ergonomia: Głośność jednostki centralnej mierzona zgodnie z normą ISO 7779 oraz wykazana zgodnie z normą ISO 9296 w pozycji operatora w trybie pracy dysku twardego (WORK) wynosząca maksymalnie 28 dB (w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego należy dostarczyć oświadczenie Producenta wraz z raportem badawczym wystawionym przez niezależną akredytowaną jednostkę w zakresie ISO 7779).

Waga: Waga maksymalnie 4,2 kg z oferowaną baterią.

Warunki gwarancji: Gwarancja Producenta świadczona na miejscu u klienta.Gwarancja „zero martwych pikseli” na matrycę LCD.Czas reakcji serwisu - do końca następnego dnia roboczego od chwili zgłoszenia. Firma serwisująca musi posiadać ISO 9001:2000 na świadczenie usług serwisowych oraz posiadać autoryzacje Producenta komputera – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego należy dostarczyć dokumenty potwierdzające spełnienie w/w kryterium.

Serwis urządzeń musi być realizowany przez Producenta lub Autoryzowanego Partnera Serwisowego Producenta – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego wymagane dostarczenie oświadczenia Wykonawcy, że serwis będzie realizowany przez Producenta lub Autoryzowanego Partnera Serwisowego Producenta.

W przypadku awarii dysków twardych, dysk pozostaje u Zamawiającego – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego wymagane jest dostarczenie oświadczenia podmiotu realizującego lub Producenta sprzętu o spełnieniu tego warunku.

Wymagania Wbudowane porty i złącza: nie mniej niż 4 x USB 3.0 w tym min. 1 x USB typu C,

31


dodatkowe: 1 x RJ 45, 1 x złącze słuchawkowe i 1 x złącze mikrofonowe , lub współdzielone jako 1 port combo, 1 x HDMI, 1 x DisplayPort lub mini DisplayPort, 1 czytnik SmartCard, 1 czytnik kart multimedialnych (SD, SDHC, SDXC), 1 gniazdo blokady Kensington.

Pozostałe wymagane porty i złącza wbudowane w obudowę notebooka: 1 kontaktowy czytnik SmartCard, kamera wbudowana w obudowę ekranu komputera HD, 1 czytnik linii papilarnych, dedykowane złącze replikatora portów nie zajmujące złącza USB, karta sieciowa LAN 10/100/1000 Ethernet RJ 45, zintegrowana z płytą główną, karta sieciowa bezprzewodowa WLAN 802.11 ac, zintegrowany z płytą główną lub

w postaci wewnętrznego modułu PCI Express z antenami pracującymi w konfiguracji 2x2 lub 3x3, obsługa szyfrowania WPS/WPA2/WEP, karta WLAN musi zapewniać możliwość bezpośredniego bezprzewodowego

podłączenia do komputera dodatkowego monitora lub projektora wyposażonego w odpowiedni adapter (lub natywną obsługę takiej funkcji) z wykorzystaniem standardu IEEE 802.11ac w pasmie 2,4 GHz lub 5 GHz – z obsługą wyświetlania w trybie klonowania ekranu, rozszerzenia pulpitu oraz wyświetlania ekranu jedynie na dodatkowym monitorze lub projektorze. Wymagane jest przesyłanie dowolnej treści ekranu oraz dźwięku z parametrami nie gorszymi niż:

- rozdzielczość 1920 x 1080 px, 30 fps, kompresja H.264, - dźwięk HD z Surround Audio AC3 5.1, klawiatura z powłoką antybakteryjną, podświetlana z regulacją poziomu podświetlenia

(minimum 3 stopniowa). W układzie US-QWERTY, z wydzieloną klawiaturą numeryczną. touchpad ze strefą przewijania w pionie i w poziomie wraz z obsługą gestów, wbudowany moduł Bluetooth 4.0, napęd optyczny DVD+/-RW 8x, wewnętrzny lub zewnętrzny na USB, mysz optyczna, 2-przyciskowa, z rolką, podkładka materiałowa pod mysz (max 260 x 220 mm, powierzchnia robocza z

tkaniny, spód antypoślizgowy z gumy). torba transportowa, dołączony nośnik ze sterownikami.

Sprzęt musi obligatoryjnie spełniać Warunki zawierania umowy określone w punkcie 1.2 oraz Oprogramowanie i kryteria środowiskowe punkty 4.5 oraz 4.6 „WYKAZU OBOWIĄZUJĄCYCH STANDARDÓW SPRZĘTU INFORMATYKI I OPROGRAMOWANIA DO STOSOWANIA W RESORCIE OBRONY NARODOWEJ”

4B: Notebook (NB)

Intencją zamawiającego jest zakup 300 sztuk notebooków o parametrach umożliwiających ich wykorzystanie do pracy biurowej

Zamawiający wymaga, aby w skład każdego zestawu wchodziły co najmniej:

- notebook

- torba do w/w notebooka

- myszka

32


Zestaw nie zawiera oprogramowania antywirusowego i biurowego Office

Zamawiający stawia następujące MINIMALNE wymagania dla w/w notebooków:

NOTEBOOK NB (parametry minimalne):

Typ: Komputer przenośny typu notebook z ekranem o przekątnej z przedziału od 15" do 16" o rozdzielczości min. 1920x1080 px z podświetleniem LED i powłoką przeciwodblaskową, jasność 300 nitów, kontrast 300:1, rozmiar plamki: max. 0,19 mm.Wymagane jest jawne wyspecyfikowanie w ofercie wszystkich użytych podzespołów (procesora, dysków twardych, kart graficznych) poprzez podanie typu/nazwy handlowej (oznaczenie/kod producenta) w szczegółowej specyfikacji technicznej zał. Nr 2b do SIWZ.

Procesor: ProcesorKomputer powinien osiągać w teście wydajności MobileMark2014 Office Productivity Performance Qualification Rating: nie mniej niż w y ni k 1500 pk t . o raz Battery Life 360 minut (przy natywnej rozdzielczości wyświetlacza i włączonych wszystkich zainstalowanych urządzeniach).Na etapie składania oferty Zamawiający wymaga oświadczenia ze strony Wykonawcy zawierającego wynik w/w testu dla oferowanej konfiguracji. W stosunku do Wykonawcy, którego oferta została najwyżej oceniona na żądanie Zamawiającego - potwierdzeniem spełnienia tego wymogu będzie załączony przez Wykonawcę wydruk z przeprowadzonych testów potwierdzający, że procesor w oferowanej konfiguracji komputera osiągnął wymagany wynik. Testy powinny być potwierdzone przez przedstawiciela Producenta komputera w Polsce.

Pamięć RAM: 16 GB, DDR4.

Dyski HDD: Dysk twardy500 GB, SSD;

Karta graficzna: Karta graficznaGrafika zintegrowana z procesorem ze wsparciem dla HDMI v1.4, ze sprzętowym wsparciem dla kodowania H.264 oraz MPEG2, DirectX 12, OpenGL 4.x, OpenCL 1.2, Shader 5 posiadająca min. 16 EU (Graphics Execution Units) oraz Dual HD HW Decode.

Multimedia: Karta dźwiękowa zgodna z HD Audio, wbudowane głośniki.

Bateria i zasilacz: Szybko ładowalna do poziomu 80% w czasie 1 godziny i do poziomu 100% w czasie 2 godzin.

System operacyjny: System operacyjny 64-bit, zgodny z pkt. 4.5.1, Klucz zaszyty trwale w BIOS na etapie produkcji komputera I automatycznie pobierany przez Instalowane oprogramowanie. Dołączony nośnik z oprogramowaniem.

Funkcje BIOS: BIOS zgodny ze specyfikacją UEFI pełna obsługa BIOS za pomocą klawiatury i myszy lub touchpad’a.Możliwość, bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego urządzeń zewnętrznych odczytania z BIOS informacji o: wersji BIOS; nr seryjnego komputera wraz z datą jego wyprodukowania; ilości i sposobu obłożenia slotów pamięciami RAM; typie procesora wraz z informacją o ilości rdzeni, wielkości pamięci cache L2 i L3; zainstalowanym dysku twardym; rodzaju napędu optycznego – w przypadku oferowania notebooka

z wbudowanym napędem optycznym); MAC adresie zintegrowanej karty sieciowej;

33


zintegrowanej grafice.Funkcja blokowania/odblokowania BOOT-owania notebooka z zewnętrznych urządzeń. Funkcja blokowania/odblokowania BOOT-owania notebooka z USB.Możliwość ustawienia hasła administratora oraz hasła dysku twardego na poziomie systemu oraz możliwość ustawienia następujących zależności pomiędzy nimi: brak możliwości zmiany hasła pozwalającego na uruchomienie systemu bez podania hasła administratora.Wszystkie opcje dostępne bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego urządzeń zewnętrznych.Funkcja ustawienia zależności pomiędzy hasłem administratora a hasłem systemowym tak, aby nie było możliwe wprowadzenie zmian w BIOS, wyłącznie po podaniu hasła systemowego. Funkcja ta ma wymuszać podanie hasła administratora przy próbie zmiany ustawień BIOS w sytuacji, gdy zostało podane hasło systemowe.Funkcja wyłączenia/włączenia: zintegrowanej karty sieciowej, portów USB,czytnika kart multimedialnych, mikrofonu, kamery, systemu Intel TurboBoost (jeżeli obsługiwana przez procesor), pracy wielordzeniowej procesora, modułów: WW AN, WLAN i Bluetooth z poziomu BIOS, bez uruchamiania systemu operacyjnego z dysku twardego komputera lub innych, podłączonych do niego, urządzeń zewnętrznych.Funkcja włączenia/wyłączenia funkcjonalności Wake On LAN. Funkcja włączenia/wyłączenia hasła dla dysku twardego.Funkcja przypisania w BIOS numeru nadawanego przez Administratora/Użytkownika oraz możliwość weryfikacji tego numeru w oprogramowaniu diagnostyczno-zarządzającym Producenta komputera.

Dodatkowe oprogramowanie:

Oprogramowanie dostarczone przez Producenta komputera pozwalające na zdalną inwentaryzację komputerów w sieci, lokalną i zdalną inwentaryzację komponentów komputera, umożliwiające, co najmniej:- informowanie administratora o otwarciu obudowy;- zdalne zablokowanie portów USB;- zdalne uaktualnianie BIOS zarówno na pojedynczym komputerze a także na grupie komputerów w tym samym czasie;-zdalną konfigurację BIOS w czasie rzeczywistym, w tym, co najmniej ustawienie hasła, wpisanie unikalnego numeru nadanego przez użytkownika, sekwencji startowej, włączenia/wyłączenia portów USB, włączenia/wyłączenia karty dźwiękowej;

- zdalne wyłączanie oraz restart komputera w sieci;- otrzymywanie informacji W MI – W indows Management Interface;- monitorowanie stanu komponentów: CPU, pamięć RAM, HDD, wersje BIOS;- monitorowanie i alertowanie parametrów termicznych, wolnego miejsca na dyskach

twardych;- monitorowanie stanu komponentów: CPU, pamięć RAM, HDD, wersje BIOS przy

wyłączonym komputerze lub nieobecnym/uszkodzonym systemie operacyjnym;- ustawienie sposobu informowania o zaistnieniu zdarzenia poprzez (po stronie serwera)

automatyczne uruchomienie zaplanowanej wcześniej akcji, wysłanie raportu zawierającego między innymi numer seryjny komputera i opis błędu na wskazany adres poczty elektronicznej;

Powyżej opisane oprogramowanie musi być wyprodukowane przez jednego Producenta, nie dopuszcza się zaoferowania oprogramowania składającego się z kilku różnych programów wyprodukowanych przez różnych producentów, które sumarycznie spełniałyby ww. wymagania.

Certyfikaty i standardy:

W stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego należy dostarczyć:- Certyfikat ISO 9001:2000 dla Producenta sprzętu obejmujący proces projektowania i produkcji.- Certyfikat ISO 14001 dla Producenta sprzętu.- Oferowane produkty muszą zawierać informacje dotyczące ponownego użycia

34


i recyklingu. Wszystkie baterie i akumulatory (wewnętrzne) nie mogą zawierać kadmu, rtęci i ołowiu ponad śladowe ilości, zgodnie z dyrektywą 91/157/EWG. We wszystkich produktach części tworzyw sztucznych większe niż 25-gramowe powinny zawierać nie więcej niż śladowe ilości środków zmniejszających palność, sklasyfikowanych w dyrektywie RE 67/548/EEC. Usunięcie materiałów i komponentów powinno odbywać się zgodnie z wymogami Dyrektywy WEEE 2002/96/EC. Wymagane jest dołączenie dokumentu potwierdzającego spełnienie powyższych warunków, wystawionego przez niezależną jednostkę badawczą. Dopuszcza się wydruk strony internetowej potwierdzającej spełnienie normy np. Epeat Gold.- Potwierdzenie kompatybilności komputera na stronie Windows Logo'd Products List na daną platformę systemową (wydruk ze strony).- Potwierdzenie spełnienia kryteriów środowiskowych, w tym zgodności z dyrektywą RoHS Unii Europejskiej o eliminacji substancji niebezpiecznych w postaci oświadczenia Producenta jednostki.

Ergonomia: Głośność jednostki centralnej w oferowanej konfiguracji mierzona zgodnie z normą ISO 7779 oraz wykazana zgodnie z normą ISO 9296 w pozycji operatora w trybie pracy dysku twardego (WORK) wynosząca maksymalnie 21 dB (załączyć oświadczenie Producenta wraz z raportem badawczym wystawionym przez niezależną akredytowaną jednostkę w zakresie ISO 7779 - składany na żądanie Zamawiającego w stosunku do Wykonawcy, którego oferta została najwyżej oceniona.

Waga i wymiary: Waga max 2,75 kg.

Bezpieczeństwo: Zintegrowany z płytą główną dedykowany układ sprzętowy służący do tworzenia i zarządzania wygenerowanymi przez komputer kluczami szyfrowania. Zabezpieczenie to musi posiadać możliwość szyfrowania poufnych dokumentów przechowywanych na dysku twardym przy użyciu klucza sprzętowego.Weryfikacja wygenerowanych przez komputer kluczy szyfrowania musi odbywać się w dedykowanym chipsecie na płycie głównej.Czujnik spadania zintegrowany z płytą główną działający nawet przy wyłączonymnotebooku oraz konstrukcja absorbująca wstrząsy.Czytnik linii papilarnych.Złącze typu Kensington Lock.

Warunki gwarancji: Gwarancja Producenta świadczona na miejscu u klienta.

Czas reakcji serwisu - do końca następnego dnia roboczego od chwili zgłoszenia. Firma serwisująca musi posiadać ISO 9001:2000 na świadczenie usług serwisowych oraz posiadać autoryzacje Producenta komputera – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego należy dostarczyć dokumenty potwierdzające spełnienie w/w kryterium.

Serwis urządzeń musi być realizowany przez Producenta lub Autoryzowanego Partnera Serwisowego Producenta – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego wymagane dostarczenie oświadczenia Wykonawcy, że serwis będzie realizowany przez Producenta lub Autoryzowanego Partnera Serwisowego Producenta.W przypadku awarii dysków twardych, dysk pozostaje u Zamawiającego – w stosunku do Wykonawcy, którego oferta została najwyżej oceniona, na żądanie Zamawiającego wymagane jest dostarczenie oświadczenia podmiotu realizującego lub Producenta sprzętu o spełnieniu tego warunku.

Wymagania dodatkowe:

Wbudowane porty i złącza:- 1 x VGA,- 1 x HDMI lub DisplayPort (w przypadku wyjścia DP dołączyć przejściówkę na HDMI),- nie mniej niż 3 x USB 3.0,- karta sieciowa 10/100/1000 RJ-45, zintegrowana z płytą główną, wspierająca obsługę

35


WoL (funkcja włączana przez użytkownika), PXE 2.1,- współdzielone złącze słuchawkowe stereo i złącze mikrofonowe tzw. combo- czytnik kart multimedialnych,- czytnik linii papilarnych,- wbudowana kamera HD nie mniej niż 1280x720 px (rozdzielczość nieinterpolowana) w obudowę ekranu komputera,- mikrofon z funkcjami redukcji szumów i poprawy mowy,- zintegrowana w postaci wewnętrznego modułu PCI Express, karta sieci WLAN obsługująca łącznie standardy IEEE 802.11 ac w konfiguracji anten 2 x 2 lub 3 x 3.

- karta WLAN musi obsługiwać jednoczesną pracę w trybie połączenia do punktu dostępowego WLAN AP (Infrastructure) dla dostępu do sieci firmowej/sieci Internet oraz trybie MS Windows 7 VirtualWiFi - tworzyć własny punkt dostępowy (Soft Access Point) dla połączenia z urządzeniami pomocniczymi (aparat komórkowy, itp.) zapewniając możliwość udostępniania połączenia internetowego dla urządzeń pomocniczych. Obsługa szyfrowania WPS/WPA2/WEP.

- zintegrowana karta WLAN musi zapewniać możliwość bezprzewodowego bezpośredniego (to jest bez pośrednictwa punktu dostępowego lub sieci LAN) podłączenia do komputera dodatkowego monitora lub projektora wyposażonego w odpowiedni adapter (lub natywną obsługę takiej funkcji) z wykorzystaniem standardów IEEE 802.11 ac w pasmie 2,4 Ghz lub 5 GHz, w trybie ekranu systemowego – z obsługa wyświetlania w trybie klonowania ekranów, rozszerzonego desktopu oraz wyświetlania ekranu systemu jedynie na dodatkowym monitorze lub projektorze (Clone, Extended Desktop, Remote Only).

- Wymagana jest obsługa przesyłania dowolnej treści ekranu oraz dźwięku systemu operacyjnego z parametrami nie gorszymi niż :a) rozdzielczość 1920x1080 px - 30 fps - kompresja H.264,b) dźwięk with AC3 5.1 Surround Audio,

- port zasilania,- wbudowany moduł Bluetooth 4.0,- klawiatura odporną na zalanie cieczą, wbudowane podświetlenie, (układ US-QWERTY),

min 102 klawisze, wydzielona klawiatura numeryczna,- touchpad z strefą przewijania w pionie i w poziomie wraz z obsługą gestów,- napęd optyczny DVD-RW, wbudowany lub zewnętrzny na USB,- komplet sterowników umożliwiający instalację systemu operacyjnego min. Windows 7

za pomocą System Center Configuration Manager 2012 firmy Microsoft (pakiet sterowników pod SCCM 2012) oraz sterowniki obsługujące kartę sieciową i dostęp do dysku w środowisku Windows PE, co najmniej 3.0 lub nowszym (pakiet sterowników do WinPE dla OSD SCCM 2012),

- mysz optyczna, 2-przyciskowa, z rolką;- podkładka materiałowa pod mysz (max 260 x 220 mm, powierzchnia robocza z

tkaniny, spód antypoślizgowy z gumy). - torba: dwukomorowa, nylonowa.

Sprzęt musi obligatoryjnie spełniać Warunki zawierania umowy określone w punkcie 1.2 oraz Oprogramowanie i kryteria środowiskowe punkty 4.5 oraz 4.6 „WYKAZU OBOWIĄZUJĄCYCH STANDARDÓW SPRZĘTU INFORMATYKI I OPROGRAMOWANIA DO STOSOWANIA W RESORCIE OBRONY NARODOWEJ”

Treść punktów 4.5 oraz 4.6: Oprogramowanie i kryteria środowiskowe

4.5 Cechy równoważności i funkcjonalności oprogramowania systemowego i dołączanego do sprzętu informatyki

System operacyjny dla stacji roboczych, stacji graficznych i notebooków Dla stacji roboczych, stacji graficznych i notebooków system w wersji 64-bitowej. System operacyjny klasy PC musi spełniać następujące wymagania poprzez natywne dla

niego mechanizmy, bez użycia dodatkowych aplikacji:

36


1. Możliwość dokonywania aktualizacji i poprawek systemu przez Internet z możliwością wyboru instalowanych poprawek.

2. Możliwość dokonywania uaktualnień sterowników urządzeń przez Internet – witrynę Producenta systemu.

3. Darmowe aktualizacje w ramach wersji systemu operacyjnego przez Internet (niezbędne aktualizacje, poprawki, biuletyny bezpieczeństwa muszą być dostarczane bez dodatkowych opłat) – wymagane podanie nazwy strony serwera WWW.

4. Internetowa aktualizacja zapewniona w języku polskim.5. Wbudowana zapora internetowa (firewall) dla ochrony połączeń internetowych; zintegrowana

z systemem konsola do zarządzania ustawieniami zapory i regułami IP v4 i v6. 6. Zlokalizowane w języku polskim, co najmniej następujące elementy: menu, odtwarzacz

multimediów, pomoc, komunikaty systemowe.7. Wsparcie dla większości powszechnie używanych urządzeń peryferyjnych (drukarek, urządzeń

sieciowych, standardów USB, Plug&Play, Wi-Fi).8. Funkcjonalność automatycznej zmiany domyślnej drukarki w zależności od sieci, do której

podłączony jest komputer.9. Interfejs użytkownika działający w trybie graficznym z elementami 3D, zintegrowana z interfejsem

użytkownika interaktywna część pulpitu służącą do uruchamiania aplikacji, które użytkownik może dowolnie wymieniać i pobrać ze strony Producenta.

10. Możliwość zdalnej automatycznej instalacji, konfiguracji, administrowania oraz aktualizowania systemu.

11. Zabezpieczony hasłem hierarchiczny dostęp do systemu, konta i profile użytkowników zarządzane zdalnie; praca systemu w trybie ochrony kont użytkowników.

12. Zintegrowany z systemem moduł wyszukiwania informacji (plików różnego typu) dostępny z kilku poziomów: poziom menu, poziom otwartego okna systemu operacyjnego; system wyszukiwania oparty na konfigurowalnym przez użytkownika module indeksacji zasobów lokalnych.

13. Zintegrowane z systemem operacyjnym narzędzia zwalczające złośliwe oprogramowanie; aktualizacje dostępne u Producenta nieodpłatnie bez ograniczeń czasowych.

14. Funkcje związane z obsługą komputerów typu TABLET PC, z wbudowanym modułem „uczenia się” pisma użytkownika – obsługa języka polskiego.

15. Funkcjonalność rozpoznawania mowy, pozwalającą na sterowanie komputerem głosowo, wraz z modułem „uczenia się” głosu użytkownika.

16. Zintegrowany z systemem operacyjnym moduł synchronizacji komputera z urządzeniami zewnętrznymi.

17. Wbudowany system pomocy w języku polskim.18. Certyfikat (dokument) Producenta oprogramowania potwierdzający poprawność pracy systemu

operacyjnego z dostarczanym sprzętem. 19. Możliwość przystosowania stanowiska dla osób niepełnosprawnych (np. słabo widzących). 20. Możliwość zarządzania stacją roboczą poprzez polityki – przez politykę rozumiemy zestaw reguł

definiujących lub ograniczających funkcjonalność systemu lub aplikacji.21. Wdrażanie IPSEC oparte na zestawach reguł definiujących ustawienia zarządzanych w sposób

centralny.22. Automatyczne występowanie i używanie (wystawianie) certyfikatów PKI X.509.23. Wsparcie dla logowania przy pomocy smartcard.24. Rozbudowane polityki bezpieczeństwa – polityki dla systemu operacyjnego i dla wskazanych

aplikacji.25. Narzędzia służące do administracji, do wykonywania kopii zapasowych polityk i ich odtwarzania

oraz generowania raportów z ustawień polityk.26. Wsparcie dla Sun Java i .NET Framework 1.1 i 2.0 i 3.0 – możliwość uruchomienia aplikacji

działających we wskazanych środowiskach.27. Wsparcie dla JScript i VBScript – możliwość uruchamiania interpretera poleceń.28. Zdalna pomoc i współdzielenie aplikacji – możliwość zdalnego przejęcia sesji zalogowanego

użytkownika celem rozwiązania problemu z komputerem.29. Rozwiązanie służące do automatycznego zbudowania obrazu systemu wraz z aplikacjami. Obraz

systemu służyć ma do automatycznego upowszechnienia systemu operacyjnego inicjowanego i wykonywanego w całości poprzez sieć komputerową.

30. Rozwiązanie umożliwiające wdrożenie nowego obrazu poprzez zdalną instalację.31. Graficzne środowisko instalacji i konfiguracji.32. Transakcyjny system plików pozwalający na stosowanie przydziałów (ang. quota) na dysku dla

użytkowników oraz zapewniający większą niezawodność i pozwalający tworzyć kopie zapasowe.

37


33. Zarządzanie kontami użytkowników sieci oraz urządzeniami sieciowymi tj. drukarki, modemy, woluminy dyskowe, usługi katalogowe.

34. Udostępnianie modemu.35. Oprogramowanie dla tworzenia kopii zapasowych (Backup); automatyczne wykonywanie kopii

plików z możliwością automatycznego przywrócenia wersji wcześniejszej.36. Możliwość przywracania plików systemowych.37. Funkcjonalność pozwalająca na identyfikację sieci komputerowych, do których jest system

podłączony, zapamiętywanie ustawień i przypisywanie do min. 3 kategorii bezpieczeństwa (z predefiniowanymi odpowiednio do kategorii ustawieniami zapory sieciowej, udostępniania plików itp.).

38. Możliwość blokowania lub dopuszczania dowolnych urządzeń peryferyjnych za pomocą polityk grupowych (np. przy użyciu numerów identyfikacyjnych sprzętu).

39. Możliwość, w ramach posiadanej licencji, do używania co najmniej dwóch wcześniejszych wersji oprogramowania systemowego.

Wszystkie wymienione cechy spełnione są przez system Windows 10 PL Professional (z opcją aktualizacji wstecznej do systemu Windows 7 PL Professional). Ponadto, jest on preferowany ze względu na dotychczasowe używanie systemów rodziny Windows, a tym samym:

przystosowanie środowiska informatycznego pod ten system (narzędzia sieciowe, stosowane specjalistyczne oprogramowanie);

przeszkolenie administratorów systemów i zwykłych użytkowników; opracowanie zasad organizacyjnych (z uwzględnienie systemów niejawnych).

Jeżeli oferent zaproponuje inne rozwiązanie niż Windows 10 PL Professional (z opcją aktualizacji wstecznej do systemu Windows 7 PL Professional) zgodny z wymienionymi kryteriami równoważności musi zapewnić pełne wdrożenie oferowanego rozwiązania, przeszkolenie użytkowników i administratorów systemu oraz zapewnić współpracę z używanym obecnie środowiskiem informatycznym.

Kryteria środowiskowe dla sprzętu informatyki (stacje robocze, stacje graficzne i notebooki)

Lp. Kryteria

1Komputer z wewnętrznym zasilaniem charakteryzują się min. 80 % sprawności przy 20 %, 50 % i 100 % wydajności znamionowej.

2 Współczynnik mocy > 0.9 przy 100% wydajności znamionowej.

3

Komputer z zewnętrznym zasilaczem spełnia obowiązujące wymagania efektywności energetycznej EnergyStar dla podłączeń, do źródeł zasilania typu prąd zmienny/prąd zmienny i prąd zmienny/prąd stały (http://w w w .e n er g vstar . org/po w er s u p p l ies ) - oświadczenie Producenta sprzętu lub jego przedstawiciela na Polskę.

4 Tryb czuwania dostępny także w pracy sieciowej.

5Zastosowanie Zaawansowanego Interfejsu Zarządzania Konfiguracją i Energią (ACPI) lub innego równoważnego systemu.

6

Wymagania odnośnie części wykonanych z tworzyw sztucznych:• nie zawierają ołowiu i kadmu;• są zbudowane z jednego polimeru lub wielu kompatybilnych;• nie zawierają elementów z metalu, których nie dałoby się wydzielić przy użyciu prostych narzędzi;• nie zawierają polibromowanego bifenylu ani polibromowanych środków zmniejszających palność

wymienionych artykule 4 Dyrektywy 2002/95/WE;• nie zawierają chloroparafinowych środków zmniejszających palność zbudowanych z substancji

zawierających 10-17 atomów węgla i o zawartości chloru przekraczającej 50% masowych;• elementy cięższe n i ż 25 g, nie zawierają substancji zmniejszających palność;• nie zawierają substancji niebezpiecznych d l a zdrowia i środowiska zdefiniowanych w Dyrektywie

67/548/EWG;• posiadają trwałe oznakowanie umożliwiające identyfikację składu, zgodną z normą ISO 11469:

2000.

7 Substancje niebezpieczne są łatwe do wydzielenia.

38


Baterie zawierają nie więcej niż 0.0001 % rtęci, 0.001 % kadmu l u b 0.01 % ołowiu (% masowe).

8

Dodatkowe kryteria jakościowe.Łatwa wymiana takich elementów systemu jak pamięć, twardy dysk, karta graficzna, napędy CD-ROM i DVD.

Standardowe i ł a t w o dostępne połączenia podzespołów.

CZĘŚĆ 5: Sprzęt wideokonferencyjny

I. Intencją Zamawiającego jest rozbudowa istniejącego w środowisku IT Zamawiającego systemu wideokonferencyjnego HD, opartego o rozwiązanie Cisco TMS, VCS i mostki Video HD / MediaServer, działające w integracji ze środowiskiem VoIP opartym o rozwiązanie Cisco CallManager, o kolejne zestawy wideokonferencyjne klasy HD, z zachowaniem obecnie

39


wykorzystywanych funkcjonalności, a także procedur i metodyki zarządzania systemem.5A: Stacjonarny zestaw wideokonferencyjny

Przedmiotem zamówienia jest zakup i dostawa 5 sztuk kompletnych zestawów wideokonferencyjnych w następującym ukompletowaniu:

Symbol urządzenia Opis

CTS-MX300-K9 Cisco TelePresence MX300 55 Gen 2, PHD 1080p 8x , Touch, Mic

PWR-CORD-EUR-E MX - Pwr cable Euro 5mCTS-MX300-FSK Cisco TelePresence MX300 Gen 2 Floor Stand Kit

CAB-HDMI-MULT-9M Cisco Multi-Connector Presentation Cable (HDMI to Multi)

LIC-TC-CRYPTO-K9 License key to activate sw encryption module

LIC-MX300-PR Cisco MX300 Gen 2 Premium Resolution SW Feature Option

Zamawiający dopuszcza oferty zawierające produkty równoważne (bądź stanowiące następcę w/w modelu w przypadku jego wycofania z produkcji /sprzedaży) pod warunkiem spełnienia następujących wymagań:

1. Urządzenie musi pełnić funkcję grupowego terminala wideo przeznaczonego do instalacji w sali konferencyjnej.

2. Urządzenie musi zawierać zintegrowane w jednej obudowie monitor LCD, system nagłośnienia, mikrofon, ruchomą kamerę i kodek wideokonferencyjny.

3. Urządzenie musi być wyposażone w ekran LCD lub LED o przekątnej co najmniej 55 cali i rozdzielczości nie mniejszej niż 1920x1080 pixeli.

4. Urządzenie musi posiadać dotykowy panel sterujący o przekątnej ekranu co najmniej 10 cali i rozdzielczości nie mniejszej niż 1280x800 pixeli.

5. Urządzenie musi obsługiwać połączenia wideo realizowane w oparciu o następujące protokoły i następujące kodeki video:

a. H.323,b. SIP,c. H.263,d. H.263+,e. H.264,f. H.245,g. H.460.18,h. H.460.19,i. H.239,j. BFCP,

6. Urządzenie musi obsługiwać połączenia wideo o przepustowości do 6Mb/s włącznie lub wyższej.

7. Urządzenie musi i zapewniać wysyłanie i odbieranie (encoding i decoding) obrazu co najmniej w następujących rozdzielczościach:

a. 176x144 z odświeżaniem 30Hz (QCIF) – dekodowanie,b. 352x288 z odświeżaniem 30Hz (CIF),c. 512x288 z odświeżaniem 30Hz (w288p),d. 576x448 z odświeżaniem 30Hz (448p),e. 768x448 z odświeżaniem 30Hz (w448p),f. 704x576 z odświeżaniem 30Hz (4CIF),g. 1024x576 z odświeżaniem 30Hz (w576p),

40


h. 640x480 z odświeżaniem 30Hz (VGA),i. 800x600 z odświeżaniem 30Hz (SVGA),j. 1024x768 z odświeżaniem 30Hz (XGA),k. 1280x1024 z odświeżaniem 30Hz (SXGA),l. 1280x720 z odświeżaniem 30Hz (720p30),m. 1280x768 z odświeżaniem 30Hz (WXGA),n. 1920 x 1080 z odświeżaniem 30 Hz (1080p30),o. 1440 x 900 z odświeżaniem 30 Hz (WXGA+),p. 1680 x 1050 z odświeżaniem 30 Hz (WSXGA+),q. 512 x 288 z odświeżaniem 60 Hz (w288p60),r. 768 x 448 z odświeżaniem 60 Hz (w448p60),s. 1024 x 576 z odświeżaniem 60 Hz (w576p60),t. 1280 x 720 z odświeżaniem 60 Hz (720p60).

8. W połączeniach punkt–punkt urządzenie musi obsługiwać drugi strumień wideo w protokołach H.239 i BFCP z minimalną rozdzielczością 1080p.

9. Urządzenie musi i zapewnić możliwość wyświetlenia strumienia prezentacyjnego w trybie pełnoekranowym na drugim, dodatkowym wyświetlaczu lub projektorze.

10. Urządzenie musi obsługiwać następujące kodeki audio:a. G.711,b. G.722,c. G.722.1,d. G.729 AB,e. MPEG4 AAC-LD .

11. Urządzenie musi posiadać system audio o następujących cechach:a. minimum dwa głośniki pracujące w trybie stereo stanowiące integralną część

terminala,b. możliwość dołączenia co najmniej dwóch zewnętrznych mikrofonów,c. funkcjonalność automatycznej kasacji echa ,d. funkcjonalność automatycznej redukcji szumów.

12. W zestawie wraz z urządzeniem dostarczone zostaną co najmniej dwa zewnętrzne mikrofony dookólne wraz z niezbędnym do ich podłączenia okablowaniem.

13. Urządzenie musi obsługiwać szyfrowanie połączeń:a. w protokole H.323,b. w protokole SIP,c. z wykorzystaniem protokołów H.239 i BFCP,d. standardem H.235,e. standardem AES,f. z automatyczną wymianą klucza.

14. Urządzenie musi posiadać wsparcie dla funkcjonalności i protokołów z rodziny IP:a. DNS,b. DiffServ (Differentiated Services),c. Automatyczne odnajdowanie gatekeepera H.323,d. Dzwonienie URI i ENUM,e. TCP/IP,f. DHCP,g. Pobieranie czasu i daty z serwera NTP,h. HTTP i HTTPS,i. SOAP,j. XML,k. SSH,l. Dostęp do webowego interfejsu zarządzania terminalem zabezpieczony

hasłem,m. Możliwość wyłączenia usług IP: HTTP, HTTPS, SSH, telnet (jeżeli posiada).

15. Urządzenie musi posiadać obsługę następujących standardów:a. 802.1q,

41


b. 802.1p,c. Uwierzytelniania 802.1x.

16. Urządzenie musi wspierać następujące funkcje książki adresowej:a. Lokalna książka adresowa przechowywana w pamięci terminala dla minimum

200 wpisówb. Obsługa dostępu do centralnej książki adresowej z nieograniczoną ilością

wpisówc. Obsługa LDAP i H.350d. Historia połączeń przychodzących, wychodzących i nieodebranych wraz datą i

godziną17. Urządzenie musi posiadać zintegrowaną, ruchomą kamerę o następujących cechach:

a. zoom optyczny nie mniej niż 4x,b. zoom cyfrowy nie mniej niż 2x,c. obsługa rozdzielczości 1920x1080 z odświeżaniem 60 klatek na sekund ,d. zakres ruchu w poziomie nie mniej niż +/-90°,e. zakres ruchu w pionie nie mniej niż +15/-25°,f. automatyczna regulacja ostrości,g. maksymalny kąt widzenia w poziomie nie mniej niż 72°,h. obiektyw kamery – przysłona w skali F nie więcej niż 1.7 dla największej

średnicy otworu przysłony.18. Urządzenie musi posiadać zasilacz i przewód zasilający przystosowany do zasilenia

prądem zmiennym 230V.19. Urządzenie musi posiadać:

a. co najmniej jedno wyjście wideo DVI-I,b. co najmniej jedno wyjście HDMI umożliwiające dołączenie drugiego

zewnętrznego wyświetlacza,c. co najmniej jedno wejście wideo HDMI,d. co najmniej jeden port LAN w standardzie Ethernet (RJ-45) 10/100/1000 Mb/s

oraz jeden port LAN w standardzie Ethernet (RJ-45) 10/100 Mb/s oferujący zasilanie PoE,

e. dedykowany port serwisowy – złącze USB (Zamawiający akceptuje również porty w standardzie: micro USB, mini USB).

20. Urządzenie musi być wyposażone w podstawę na kółkach, pozwalającą na swobodne przemieszczanie terminala.

21. Wszystkie elementy w/w rozwiązania muszą pochodzić od jednego producenta i być objęte wspólną gwarancją i serwisem producenta.

22. Nie dopuszcza się stosowania przejściówek w celu spełnienia wymagań.23. Wszystkie wymagane porty i interfejsy urządzeń muszą być dostępne dla

użytkownika i nie mogą być wykorzystywane przez urządzenie do jego działania.24. Urządzenie musi posiadać możliwość centralnego zarządzania z wykorzystaniem

posiadanego przez Zamawiającego systemu w zakresie co najmniej:a. Rejestracji do Cisco CallManager w sposób umożliwiający wykorzystywanie

funkcji telefonicznych i wideo w/w urządzenia w posiadanym przez Zamawiającego systemie VoIP.

b. Rejestracji do Cisco TMS w trybie AKTYWNYM (niedopuszczalny jest tryb unmanaged device), co pozwoli na zdalną zmianę podstawowych ustawień terminala a także aktywne monitorowanie jego stanu, realizowane z poziomu centralnego systemu zarządzania terminalami funkcjonującego w ramach posiadanego przez Zamawiającego środowiska wideokonferencyjnego.

c. Możliwości zdalnej zmiany ustawień urządzenia - co najmniej: numerówi opisów linii, uprawnień abonenckich dla danych linii urządzenia, przypisania do właściwych elementów infrastruktury (bramy i mostki MCU).

d. Pobierania oraz wymiany plików konfiguracyjnych oraz oprogramowaniaz serwerów komunikacyjnych Zamawiającego.

42


e. Obsługi oprogramowania (firmware), które jest podpisane cyfrowo przez producenta oraz plików konfiguracyjnych zaszyfrowanych przez serwery komunikacyjne Zamawiającego.

f. Możliwości zdalnego restartu urządzenia.g. Możliwości dystrybucji certyfikatów dla urządzeń z serwerów komunikacyjnych

Zamawiającego.25. Urządzenie musi wspierać przekazywanie kodów DTMF w połączeniu z mostkami

wideokonferencyjnymi i systemem poczty głosowej posiadanym przez Zamawiającego (np.: wprowadzenie PIN, numeru konferencji, wybór opcji).

26. W przypadku zaoferowania rozwiązania równoważnego należy również zaoferować odpowiednią liczbę niezbędnych licencji, stanowiących różnicę między rozwiązaniem proponowanym przez Zamawiającego i dostarczonym przez Wykonawcę, umożliwiającą dołączenie urządzeń do systemu telefonicznego użytkowanego przez zamawiającego.

27. W przypadku zaoferowania rozwiązania równoważnego Zamawiający zastrzega sobie prawo do przeprowadzenia testów zgodności zaproponowanego urządzenia z eksploatowanym obecnie systemem w zakresie powyższych wymagań a także procedur eksploatacyjnych i administracyjnych. W tym celu Zamawiający wezwie Wykonawcę do dostarczenia w terminie 10 dni od dnia wysłania pisemnego powiadomienia jednego egzemplarza urządzenia w pełnym wymaganym ukompletowaniu celem przeprowadzenia testów zgodności. Wykonawca będzie również zobowiązany do udzielenia na żądanie zamawiającego nieodpłatnego wsparcia inżynierskiego w zakresie uruchomienia i przetestowania w/w urządzenia w środowisku zamawiającego. Pod pojęciem „udzielenie wsparcia inżynierskiego” zamawiający rozumie oddelegowanie do siedziby Zamawiającego na czas niezbędny do uruchomienia urządzenia i/lub uruchomienia funkcji i/lub przeprowadzenia testów co najmniej jednego inżyniera z kompetencjami w zakresie znajomości oferowanego produktu i jego integracji ze środowiskiem Cisco Call Manager oraz Cisco TMS / VCS. Powyższe wymaganie ma na celu rzetelne przetestowanie urządzenia w środowisku zamawiającego, w przypadku gdyby brak znajomości w/w produktu stanowił istotną przeszkodę w jego uruchomieniu bądź uruchomieniu określonych jego (a wymaganych przez Zamawiającego) funkcjonalności.

28. Niedostarczenie urządzenia do testów a także negatywny wynik testów zgodności dyskwalifikuje ofertę jako niezgodną z opisem przedmiotu zamówienia. W przypadku odmowy udzielenia wsparcia inżynierskiego Zamawiający dołoży wszelkich starań, aby w ramach posiadanych zasobów i wiedzy testy zostały przeprowadzone w sposób miarodajny i powtarzalny a ich wynik traktowany będzie na równi z wynikiem testów przeprowadzonych przy wsparciu oddelegowanych przez Wykonawcę inżynierów.

5B: Kancelaryjny zestaw wideokonferencyjny

Przedmiotem zamówienia jest zakup i dostawa 25 sztuk kancelaryjnych zestawów wideokonferencyjnych w następującym ukompletowaniu:

Symbol urządzenia OpisCP-DX80-K9= Cisco DX80CP-PWR-CORD-CE Power Cord, Central Europe


43


1. Urządzenie musi pełnić funkcję personalnego terminala wideo przeznaczonego do pracy na biurku

2. Musi posiadać zintegrowany w jednej obudowie dotykowy monitor LCD, mikrofony, nagłośnienie, kamerę, podstawę do ustawienia terminala na biurku oraz kodek wideokonferencyjny

3. Monitor musi posiadać rozdzielczość co najmniej 1920 x 1080 pikseli4. Urządzenie musi wspierać kodek audio szerokopasmowy zgodnie ze specyfikacją ISO

AAC-LD (Advanced Audio Coding - Low Delay) oraz ze standardem G.722, przy czym mikrofony oraz głośnik urządzenia powinny umożliwiać wykorzystanie możliwości tego kodeka tak by zapewnić wysoką jakość rozmowy telefonicznej.

5. Urządzenie musi wspierać kodeki audio co najmniej określone przez standardy G.711a, G.711µ i G.729a, G.729ab tak by umożliwić współpracę z telefonami IP starszych generacji, nie obsługującymi kodeków szerokopasmowych, a także rozwiązaniami systemów telekomunikacyjnych innych producentów

6. Urządzenie musi wspierać kodek audio wąskopasmowy działający zgodnie ze standardami Internet Speech Audio Codec (iSAC) oraz Internet Low Bitrate Codec (iLBC) – dla zapewnienia możliwości wykorzystywania telefonów w placówkach objętych łączami o słabych lub niegwarantowanych parametrach jakościowych QoS.

7. Urządzenie musi realizować połączenia wideo na bazie standardu H.264 Advanced Video Coding (AVC) i umożliwiać kodowanie oraz dekodowanie obrazu wideo z prędkością nie mniejszą niż 30 ramek na sekundę dla rozdzielczości co najmniej:

a. CIF (352 x 288 pikseli)b. VGA (640 x 480 pikseli)c. 240p (432 x 240 pikseli)d. 360p (640 x 360 pikseli)e. 480p (848 x 480 pikseli)f. WSVGA (1024 x 600 pikseli)g. 720p (1280 x 720 pikseli)h. 1080p (1920 x 1080 pikseli)

8. Urządzenie musi umożliwiać jednoczesne przesyłanie i odbieranie równolegle do strumienia wideo drugiego strumienia prezentacyjnego, na bazie standardowego protokołu SIP Binary Floor Control Protocol (BFCP) w rozdzielczości 1080p (1920 x 1080 pikseli).

9. Urządzenie musi posiadać wbudowany dotykowy monitor LCD, umożliwiający jego wygodną obsługę, odczytywanie informacji i wywoływanie funkcji urządzenia oraz musi obsługiwać wyświetlanie na nim ruchomego strumienia wideo. Monitor musi posiadać minimalne parametry:

a. rozdzielczość 1920 x 1080, 1080p w układzie 16:9, b. przekątna min. 23 calec. kontrast 1000:1d. kąt widzenia 178 stopnie. zmiana kąta położenia monitoraf. czas reakcji 5msg. jasność 215 cd/mkwh. paleta kolorów 24-bitowa (16.7 millionów kolorów)i. obsługa funkcji multi-touch dla 10-punktowego multi-touchj. musi pokazywać podgląd z kamery (self-view)k. musi wyświetlać obraz z dołączonego PCl. musi wyświetlać obraz strony zdalnej z połączenia wideo

10. Urządzenie musi posiadać wbudowaną kamerę wideo o parametrach co najmniej:a. rozdzielczość i tryb pracy co najmniej 1080p30b. kąt widzenia 63 stopniec. tryb pracy kamery dokumentowej z automatycznym odwróceniem obrazud. manualna regulacja kąta kamery względem prostopadłej do ekranu w zakresie od

-5 stopni do 70 stopni

44


e. mechaniczna zasłona obiektywu kamery dla zachowania prywatności11. Urządzenie musi posiadać płynną regulację umożliwiającą ustawienie ekranu w co

najmniej 3 pozycjach, w zakresie od 11 stopni do 50 stopni względem pionu, dopasowując kąt wyświetlacza do preferencji użytkownika

12. W zakresie bezpieczeństwa urządzenie musi pozwalać na: a. zabezpieczenie komunikacji z serwerem sterującym za pomocą TLS b. zabezpieczenie strumienia audio oraz wideo za pomocą SRTPc. obsługa protokołu HTTPSd. obsługa protokołów EAP-FAST, EAP-TLS dla LANe. obsługa WPA2 (EAP-FAST) dla komunikacji WLANf. obsługa EAP-TLS dla komunikacji WLANg. obsługa PEAP-GTC dla komunikacji WLANh. obsługa certyfikatów cyfrowych fabrycznych oraz certyfikatów cyfrowych

lokalnychi. obsługa protokołu X.509 Digital Certificates (DER encoded binary), DER oraz

Base-64. Obsługa certyfikatów z kluczami 1024, 2048, 4096.j. możliwość administracyjnego wyłączenia interfejsów urządzenia: USB, slot na

kartę SD, WLAN, Bluetoothk. blokowanie urządzenia z wymuszeniem podania PIN lub hasła dostępowegol. możliwość całkowitego usunięcia wszystkich danych z urządzenia w kilku trybach:

samodzielnie przez użytkownika, zdalnie przez administratora oraz automatycznie po nieudanych próbach zalogowania.

m. musi posiadać Kensington Security Slot13. Urządzenie musi posiadać dedykowane gniazda, co najmniej:

a. 3 porty USB do dołączenia urządzeń peryferyjnych (klawiatura, mysz, słuchawki) zapewniające zasilanie 500 mA przy 5V (moc 2.5W)

b. 1 port wejściowy HDMI do dołączenia komputera PCc. 1 gniazdo na kartę Micro Secure Digital (SD) z obsługą co najmniej 32GB

14. Urządzenie musi posiadać posiadać co najmniej następujące dedykowane przyciski:a. przycisk wyciszenia (mute)b. przycisk zmiany głośności

15. Urządzenie musi dawać dostęp do systemowej książki telefonicznej oraz historii połączeń16. Urządzenie musi obsługiwać co najmniej 1 linię (numer telefoniczny) 17. Urządzenie musi współpracować z systemem zarządzania połączeniami w celu realizacji

funkcji co najmniej:a. definiowania numeru E.164 oraz adresu URI przypisanego do terminala,

zapewniając obsługę zarówno połączeń wideo wraz z kanałem prezentacyjnym, jak i połączeń głosowych

b. definiowania uprawnień oraz ograniczeń abonenckich poprzez możliwość blokowania połączeń na numery wysokopłatne oraz międzynarodowe

c. definiowania uprawnień w zakresie dopuszczenia połączeń wideo poprzez sieć WAN za pomocą mechanizmów Call Admission Control

d. możliwości tworzenia linii współdzielonych z terminalami telefonicznymi w systemie przetwarzania połączeń, w tym także z telefonami GSM zdefiniowanymi w systemie w profilach użytkowników

e. funkcje abonenckie takie jak: skrócone wybieranie, oddzwonienie (call back), przekierowanie (call forward), parkowanie połączeń (call park), oczekiwanie na połączenie (call waiting), przekazanie połączenia (call transfer), funkcja przechwytywania połączenia (Pickup oraz Group Pickup)

f. funkcja nie przeszkadzać (do not disturb DND)g. kody autoryzacyjne wymagane do wykonania połączenia oraz kody do opisu

połączenia (Client Matter Code)h. zawieszenie połączenia (Hold) oraz obsługa zawieszonych połaczeń poprzez

Music on Hold oraz Video on Hold przez systemi. centralna oraz prywatna książka telefoniczna

45


18. Urządzenie musi posiadać wbudowany przełącznik Ethernet, z dwoma portami 10/100/1000 Mbps

19. Port przełącznika urządzenia w kierunku przełącznika sieciowego powinien wspierać trunking 802.1Q celem odseparowania ruchu głosu i ruchu danych

20. Transmisja głosu/obrazu oraz danych z komputera PC dołączonego do urządzenia muszą być przesyłane w dwóch różnych sieciach VLAN

21. Urządzenie musi zapewniać wsparcie dla standardowego protokołu sterującego SIP22. Urządzenie musi posiadać wbudowany interfejs bezprzewodowy WLAN zgodny ze

standardami 802.11 a/b/g/n, umożliwiający użytkowanie go w miejscach, gdzie z powodów technologicznych lub estetycznych byłoby niemożliwe lub niewskazane dołączanie do sieci LAN

23. Urządzenie musi posiadać wbudowany interfejs bezprzewodowy Bluetooth 3.0 z Enhanced Data Rate (EDR) do obsługi urządzeń peryferyjnych co najmniej:

a. zestawy słuchawkoweb. klawiatura i mysz

24. Urządzenie musi mieć możliwość pracy jako terminal typu „thin client”, umożliwiający dostęp do usług terminalowych na podstawie dodatkowych aplikacji do urządzenia. W tym trybie pracy urządzenie musi obsługiwać dołączone peryferia, co najmniej klawiaturę i mysz.

25. Urządzenie musi mieć wbudowane aplikacje funkcjonalne, co najmniej:a. przeglądarkę webowąb. klienta VPNc. komunikator czat z funkcją wymiany i prezentacji informacji na temat statusów

dostępności innych użytkowników systemud. moduł wizualizujący wiadomości obecne w osobistej skrzynce systemu poczty

głosowej26. Urządzenie musi mieć możliwość zalogowania się na nim użytkownika z przypisanym

profilem. Wraz z zalogowaniem do urządzenia zostają do niego przypisane parametry profilu zalogowanego abonenta takie, jak: numer linii, uprawnienia abonenckie, ustawienia obsługi połączeń, które zdefiniowane są centralnie w systemie zarządzania połączeniami.

27. Menu urządzenia powinno być zrealizowane w języku polskim oraz angielskim, przy czym wymagane jest, aby możliwa była zmiana rodzaju języka menu w zależności od ustawień w profilu zalogowanego na nim użytkownika

28. Urządzenie musi być dostarczone wraz z zasilaczem AC 230V29. Urządzenie musi być przystosowane do montażu VESA, do zastosowania np. przy

montażu urządzenia do ściany lub do konstrukcji mobilnych30. Wraz z urządzeniem powinien być zapewniony patchcord o długości co najmniej 2.5

metra, umożliwiający dołączenie go do gniazda sieci LAN oraz kabel HDMI do dołączenia PC o długości co najmniej 1.5 metra

31. Urządzenie musi posiadać możliwość centralnego zarządzania z wykorzystaniem posiadanego przez Zamawiającego systemu w zakresie co najmniej:a. Rejestracji do Cisco CallManager w sposób umożliwiający wykorzystywanie funkcji

telefonicznych i wideo w/w urządzenia w posiadanym przez Zamawiającego systemie VoIP.




46









5C: Kancelaryjny zestaw wideokonferencyjny (2)

Przedmiotem zamówienia jest zakup i dostawa 30 sztuk kancelaryjnych zestawów wideokonferencyjnych w następującym ukompletowaniu:

Symbol urządzenia OpisCP-DX70-W-K9= Cisco DX70 (White)CP-PWR-CORD-CE Power Cord, Central EuropeCAB-DX-2HDMI-3M HDMI to HDMI cable 3M


47


1. Urządzenie musi pełnić funkcję personalnego terminala wideo przeznaczonego do pracy na biurku

2. Musi posiadać zintegrowany w jednej obudowie dotykowy monitor LCD, mikrofony, nagłośnienie, kamerę, podstawę do ustawienia terminala na biurku oraz kodek wideokonferencyjny

3. Monitor musi posiadać rozdzielczość co najmniej 1920 x 1080 pikseli4. Urządzenie musi wspierać kodek audio szerokopasmowy zgodnie ze specyfikacją ISO

AAC-LD (Advanced Audio Coding - Low Delay) oraz ze standardem G.722, przy czym mikrofony oraz głośnik urządzenia powinny umożliwiać wykorzystanie możliwości tego kodeka tak by zapewnić wysoką jakość rozmowy telefonicznej.

5. Urządzenie musi wspierać kodeki audio co najmniej określone przez standardy G.711a, G.711µ i G.729a, G.729ab tak by umożliwić współpracę z telefonami IP starszych generacji, nie obsługującymi kodeków szerokopasmowych, a także rozwiązaniami systemów telekomunikacyjnych innych producentów

6. Urządzenie musi wspierać kodek audio wąskopasmowy działający zgodnie ze standardami Internet Speech Audio Codec (iSAC) oraz Internet Low Bitrate Codec (iLBC) – dla zapewnienia możliwości wykorzystywania telefonów w placówkach objętych łączami o słabych lub niegwarantowanych parametrach jakościowych QoS.

7. Urządzenie musi realizować połączenia wideo na bazie standardu H.264 Advanced Video Coding (AVC) i umożliwiać kodowanie oraz dekodowanie obrazu wideo z prędkością nie mniejszą niż 30 ramek na sekundę dla rozdzielczości co najmniej:

a. CIF (352 x 288 pikseli)b. VGA (640 x 480 pikseli)c. 240p (432 x 240 pikseli)d. 360p (640 x 360 pikseli)e. 480p (848 x 480 pikseli)f. WSVGA (1024 x 600 pikseli)g. 720p (1280 x 720 pikseli)h. 1080p (1920 x 1080 pikseli)

8. Urządzenie musi umożliwiać jednoczesne przesyłanie i odbieranie równolegle do strumienia wideo drugiego strumienia prezentacyjnego, na bazie standardowego protokołu SIP Binary Floor Control Protocol (BFCP) w rozdzielczości 1080p (1920 x 1080 pikseli).

9. Urządzenie musi posiadać wbudowany kolorowy dotykowy monitor LCD, umożliwiający jego wygodną obsługę, odczytywanie informacji i wywoływanie funkcji urządzenia oraz musi obsługiwać wyświetlanie na nim ruchomego strumienia wideo. Monitor musi posiadać minimalne parametry:

a. rozdzielczość 1920 x 1080, 1080p w układzie 16:9, b. przekątna min. 14 calic. kontrast 700:1d. zmiana kąta położenia monitorae. czas reakcji 25msf. jasność 300 cd/mkwg. obsługa funkcji multi-touch dla 10-punktowego multi-touchh. musi pokazywać podgląd z kamery (self-view)i. musi wyświetlać obraz z dołączonego PCj. musi wyświetlać obraz strony zdalnej z połączenia wideo

10. Urządzenie musi posiadać wbudowaną kamerę wideo o parametrach co najmniej:a. rozdzielczość i tryb pracy co najmniej 1080p30b. kąt widzenia 63 stopniec. tryb pracy kamery dokumentowej z automatycznym odwróceniem obrazud. manualna regulacja kąta kamery względem prostopadłej do ekranu w zakresie od

-5 stopni do 70 stopnie. mechaniczna zasłona obiektywu kamery dla zachowania prywatności

48


11. Urządzenie musi posiadać płynną regulację umożliwiającą ustawienie ekranu w co najmniej 3 pozycjach, w zakresie od 11 stopni do 50 stopni względem pionu, dopasowując kąt wyświetlacza do preferencji użytkownika

12. W zakresie bezpieczeństwa urządzenie musi pozwalać na: a. zabezpieczenie komunikacji z serwerem sterującym za pomocą TLS b. zabezpieczenie strumienia audio oraz wideo za pomocą SRTPc. obsługa protokołu HTTPSd. obsługa protokołów EAP-FAST, EAP-TLS dla LANe. obsługa WPA2 (EAP-FAST) dla komunikacji WLANf. obsługa EAP-TLS dla komunikacji WLANg. obsługa PEAP-GTC dla komunikacji WLANh. obsługa certyfikatów cyfrowych fabrycznych oraz certyfikatów cyfrowych

lokalnychi. obsługa protokołu X.509 Digital Certificates (DER encoded binary), DER oraz

Base-64. Obsługa certyfikatów z kluczami 1024, 2048, 4096.j. możliwość administracyjnego wyłączenia interfejsów urządzenia: USB, slot na

kartę SD, WLAN, Bluetoothk. blokowanie urządzenia z wymuszeniem podania PIN lub hasła dostępowegol. możliwość całkowitego usunięcia wszystkich danych z urządzenia w kilku trybach:

samodzielnie przez użytkownika, zdalnie przez administratora oraz automatycznie po nieudanych próbach zalogowania.

m. musi posiadać Kensington Security Slotn. możliwość administracyjnego wyłączenia głośników oraz słuchawek

13. Urządzenie musi posiadać dedykowane gniazda, co najmniej:a. 3 porty USB do dołączenia urządzeń peryferyjnych (klawiatura, mysz, słuchawki)

zapewniające zasilanie 500 mA przy 5V (moc 2.5W) b. 1 port wejściowy HDMI do dołączenia komputera PCc. 1 gniazdo na kartę Micro Secure Digital (SD) z obsługą co najmniej 32GB

14. Urządzenie musi posiadać posiadać co najmniej następujące dedykowane przyciski:a. przycisk wyciszenia (mute)b. przycisk zmiany głośności

15. Urządzenie musi dawać dostęp do systemowej książki telefonicznej oraz historii połączeń16. Urządzenie musi obsługiwać co najmniej 1 linię (numer telefoniczny) 17. Urządzenie musi współpracować z systemem zarządzania połączeniami w celu realizacji

funkcji co najmniej:a. definiowania numeru E.164 oraz adresu URI przypisanego do terminala,

zapewniając obsługę zarówno połączeń wideo wraz z kanałem prezentacyjnym, jak i połączeń głosowych

b. definiowania uprawnień oraz ograniczeń abonenckich poprzez możliwość blokowania połączeń na numery wysokopłatne oraz międzynarodowe

c. definiowania uprawnień w zakresie dopuszczenia połączeń wideo poprzez sieć WAN za pomocą mechanizmów Call Admission Control

d. możliwości tworzenia linii współdzielonych z terminalami telefonicznymi w systemie przetwarzania połączeń, w tym także z telefonami GSM zdefiniowanymi w systemie w profilach użytkowników

e. funkcje abonenckie takie jak: skrócone wybieranie, oddzwonienie (call back), przekierowanie (call forward), parkowanie połączeń (call park), oczekiwanie na połączenie (call waiting), przekazanie połączenia (call transfer), funkcja przechwytywania połączenia (Pickup oraz Group Pickup)

f. funkcja nie przeszkadzać (do not disturb DND)g. kody autoryzacyjne wymagane do wykonania połączenia oraz kody do opisu

połączenia (Client Matter Code)h. zawieszenie połączenia (Hold) oraz obsługa zawieszonych połaczeń poprzez

Music on Hold oraz Video on Hold przez systemi. centralna oraz prywatna książka telefoniczna

49


18. Urządzenie musi posiadać wbudowany przełącznik Ethernet, z dwoma portami 10/100/1000 Mbps

19. Port przełącznika urządzenia w kierunku przełącznika sieciowego powinien wspierać trunking 802.1Q celem odseparowania ruchu głosu i ruchu danych

20. Transmisja głosu/obrazu oraz danych z komputera PC dołączonego do urządzenia muszą być przesyłane w dwóch różnych sieciach VLAN

21. Urządzenie musi zapewniać wsparcie dla standardowego protokołu sterującego SIP22. Urządzenie musi posiadać wbudowany interfejs bezprzewodowy WLAN zgodny ze

standardami 802.11 a/b/g/n, umożliwiający użytkowanie go w miejscach, gdzie z powodów technologicznych lub estetycznych byłoby niemożliwe lub niewskazane dołączanie do sieci LAN

23. Urządzenie musi posiadać wbudowany interfejs bezprzewodowy Bluetooth 3.0 z Enhanced Data Rate (EDR) do obsługi urządzeń peryferyjnych co najmniej:

a. zestawy słuchawkoweb. klawiatura i mysz

24. Urządzenie musi mieć możliwość pracy jako terminal typu „thin client”, umożliwiający dostęp do usług terminalowych na podstawie dodatkowych aplikacji do urządzenia. W tym trybie pracy urządzenie musi obsługiwać dołączone peryferia, co najmniej klawiaturę i mysz.

25. Urządzenie musi mieć wbudowane aplikacje funkcjonalne, co najmniej:a. przeglądarkę webowąb. klienta VPNc. komunikator czat z funkcją wymiany i prezentacji informacji na temat statusów

dostępności innych użytkowników systemud. moduł wizualizujący wiadomości obecne w osobistej skrzynce systemu poczty

głosowej26. Urządzenie musi mieć możliwość zalogowania się na nim użytkownika z przypisanym

profilem. Wraz z zalogowaniem do urządzenia zostają do niego przypisane parametry profilu zalogowanego abonenta takie, jak: numer linii, uprawnienia abonenckie, ustawienia obsługi połączeń, które zdefiniowane są centralnie w systemie zarządzania połączeniami.

27. Menu urządzenia powinno być zrealizowane w języku polskim oraz angielskim, przy czym wymagane jest, aby możliwa była zmiana rodzaju języka menu w zależności od ustawień w profilu zalogowanego na nim użytkownika.

28. Urządzenie musi być dostarczone wraz z zasilaczem AC 230V29. Urządzenie musi być przystosowane do montażu VESA, do zastosowania np. przy

montażu urządzenia do ściany lub do konstrukcji mobilnych30. Wraz z urządzeniem powinien być zapewniony patchcord o długości co najmniej 2.5

metra, umożliwiający dołączenie go do gniazda sieci LAN oraz kabel HDMI do dołączenia PC o długości co najmniej 2.5 metra

36. Urządzenie musi posiadać możliwość centralnego zarządzania z wykorzystaniem posiadanego przez Zamawiającego systemu w zakresie co najmniej:a. Rejestracji do Cisco CallManager w sposób umożliwiający wykorzystywanie funkcji

telefonicznych i wideo w/w urządzenia w posiadanym przez Zamawiającego systemie VoIP.




50









II. Wymagania ogólne dla urządzeń (5A, 5B, 5C):

1. Całość dostarczanego sprzętu musi pochodzić z autoryzowanego kanału sprzedaży producentów na rynek polski. Podczas dostawy należy dołączyć oświadczenie producenta sprzętu (lub jego polskiego przedstawicielstwa) o spełnieniu tego wymogu.

2. Całość dostarczanego sprzętu musi być fabrycznie nowa, pochodząca z bieżącej produkcji, nieużywana we wcześniejszych projektach. Pod pojęciem „nowy, pochodzący z bieżącej produkcji” zamawiający rozumie i uzna za spełniający w/w wymogi sprzęt wyprodukowany w roku 2016 lub 2017. Nie dopuszcza się urządzeń długotrwale magazynowanych, typu „refurbished”, „recertified”, „remanufactured”, „certified repaired” oraz pochodzących z programów wyprzedażowych producenta. Wraz z dostawą należy dostarczyć oświadczenie producenta sprzętu (lub jego polskiego przedstawicielstwa) potwierdzające datę produkcji urządzeń oraz spełnienie powyższego wymogu.

3. Całość rozwiązania musi pochodzić od jednego producenta

51



III. WARUNKI GWARANCJI I SERWISU: 1. Całość dostarczonego sprzętu musi być objęta co najmniej 24-miesięczną gwarancją

producenta rozwiązania, liczoną od daty przekazania sprzętu Odbiorcy;2. Serwis gwarancyjny musi być oparty o świadczenia gwarancyjne producenta sprzętu,

musi być niezależny od statusu partnerskiego Wykonawcy;3. Przy dostawie sprzętu Wykonawca dostarczy oświadczenie producenta lub

przedstawiciela producenta w Polsce (oficjalnego biura producenta w Polsce) o objęciu w/w sprzętu gwarancją producenta, z wyszczególnionymi numerami seryjnymi urządzeń i datami ich produkcji.

4. Wszystkie dostarczane moduły urządzenia muszą pochodzić od producenta urządzenia i być objęte serwisem gwarancyjnym opartym na świadczeniach producenta sprzętu.

5. Serwis gwarancyjny świadczony będzie przez Wykonawcę w miejscu instalacji sprzętu;

6. Czas reakcji na zgłoszony problem obowiązujący w dniach roboczych (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 24 godzin;


8. W przypadku sprzętu, dla którego jest wymagany dłuższy czas na jego naprawę, Wykonawca jest zobowiązany na żądanie Użytkownika dostarczyć na czas naprawy sprzęt o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 10 dni roboczych od momentu zgłoszenia usterki.

9. Serwis musi być świadczony w godzinach pracy Użytkownika: w dni robocze przez 8 godzin na dobę, przez 5 dni w tygodniu.

10. Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Użytkownika), fax, e-mail lub WWW (przez całą dobę);

11. Wykonawca musi udostępnić pojedynczy punkt przyjmowania zgłoszeń serwisowych. 12. Warunki gwarancji muszą umożliwiać Zamawiającemu / Użytkownikowi możliwość

bezpośredniego zgłoszenia awarii sprzętu do producenta sprzętu (a nie tylko u Wykonawcy) przez cały okres trwania gwarancji

13. W ramach wsparcia producenta Użytkownik otrzyma dostęp do zasobów umieszczonych na stronach www Producenta: aktualizacji oprogramowania, dokumentacji, itp (jeżeli dostęp do w/w zasobów jest ograniczony przez producenta).

14. Zarówno w przypadku wymiany pojedynczych elementów jaki całego urządzenia elementy zawierające jakiekolwiek nośniki pamięci pozostają u użytkownika i nie podlegają zwrotowi do wykonawcy lub producenta.

15. Wszelkie koszty związane z wykonaniem serwisu obciążają wykonawcę.

52

rczsiut.wp.mil.plrczsiut.wp.mil.pl/.../17_4_36_17/OPZ_-_wtsk.docx · Web viewUrządzenie musi...

Documents

Transcript of rczsiut.wp.mil.plrczsiut.wp.mil.pl/.../17_4_36_17/OPZ_-_wtsk.docx · Web viewUrządzenie musi...