pk.gov.plpk.gov.pl/wp-content/uploads/2017/10/1d60cd79cd7ffec… · Web viewDostarczone dokumenty...

Znak sprawy: PK XF 261.19.2017

Zmodyfikowany Załącznik nr 1 do SIWZ – 12.10.2017(Załącznik nr 1 do Umowy)

OPIS PRZEDMIOTU ZAMÓWIENIA

Zakup usług transmisji danych dla jednostek organizacyjnych prokuratury.

Objaśnienia użytych skrótów:

Lp. Skrót Opis1. PK Prokuratura Krajowa2. RP Prokuratura Regionalna3. PO Prokuratura Okręgowa4. PR Prokuratura Rejonowa5. OPDK Ośrodek Przetwarzania Danych Prokuratury Krajowej6. OPDR Ośrodek Przetwarzania Danych Prokuratury Regionalnej7. OPDO Ośrodek Przetwarzania Danych Prokuratury Okręgowej 8. POPD PK Podstawowy Ośrodek Przetwarzania Danych Prokuratury

Krajowej9. POPD MS Podstawowy Ośrodek Przetwarzania Danych Ministerstwa

Sprawiedliwości10. ISO/OSI ISO Open Systems Interconnection Reference Model

11. PE Provider Edge Router

12. CE Customer Edge Router

13. QoS Quality of Service

14. SLA Service Level Agreement

15. UDP User Datagram Protocol

16. VPN Virtual Private Network

17. RTD Round Trip Delay

Spis treściSpis rysunków:............................................................................................................................2I. Definicje..............................................................................................................................3II. Zakres świadczonych usług................................................................................................6

Wymagania ogólne na Produkty typu Dokument ................................................................ 7 Opracowanie Dokumentu Inicjującego Projekt ................................................................... 8 Opracowanie Projektu Technicznego ................................................................................... 9 Opis aktualnie eksploatowanej sieci WAN-PROK ............................................................ 10

III. Struktura fizyczna sieci.....................................................................................................16IV. Struktura logiczna sieci.....................................................................................................19V. Monitorowanie Łączy oraz SLA.......................................................................................21VI. QoS...................................................................................................................................25VII. Bezpieczeństwo teleinformatyczne Usługi typu A oraz infrastruktura Zamawiającego w celu podłączenia do Usługi typu A...........................................................................................25VIII.Bezpieczeństwo teleinformatyczne Usługi typu B oraz Infrastruktura Wykonawcy dla realizacji Usługi typu B............................................................................................................25IX. Usługa DNS oraz Anty DDoS w ramach realizacji Usługi typu B...................................32X. Testy..................................................................................................................................35XI. Szkolenia...........................................................................................................................38XII. Dokumentacja...................................................................................................................41

1 Dokumentacja powykonawcza ................................................................................... 41 2 Dokumentacja administracyjna .................................................................................. 42

Spis rysunków:Rysunek 1 - Usługa typu A – diagram ........................................................................................ 6 Rysunek 2 - Usługa typu B - diagram ......................................................................................... 7 Rysunek 3 Architektura sieci WAN-PROK ............................................................................ 12 Rysunek 4 Wariant 1 instalacji routerów CE ............................................................................ 13 Rysunek 5 Wariant 2 instalacji Routerów CE ........................................................................... 14 Rysunek 6 Wariant 3 instalacji Routerów CE ........................................................................... 15 Rysunek 7 Wariant 4 instalacji Routerów CE ........................................................................... 15 Rysunek 8 Wariant 5 instalacji Routerów CE ........................................................................... 16 Rysunek 9 Redundancja łącza w układzie 2PE-2CE ................................................................ 17 Rysunek 10 Redundancja łącza w układzie 2PE-1CE .............................................................. 18

2

I. Definicje

Użytkownik - Zamawiający i jednostki Zamawiającego wskazane w Załączniku nr 2 do Umowy - adresy miejsca instalacji łączy oraz przepustowość,

Łącze dostępowe – Podstawowe i/lub Zapasowe Łącze Dostępowe

Podstawowe łącze dostępowe (Łącze podstawowe) - łącze transmisji danych, które pozwala na połączenie lokalizacji Zamawiającego z węzłem dostępowym sieci transmisji danych Wykonawcy. Łącze to musi być zakończone w każdej lokalizacji Zamawiającego urządzeniem dostępowym (CE) oraz ewentualnie innymi urządzeniami niezbędnymi do realizacji łącza (np.: modemy kablowe, multipleksery, itp.),

Zapasowe łącze dostępowe (Łącze zapasowe) - łącze transmisji danych, które pozwala na połączenie lokalizacji Zamawiającego z węzłem dostępowym sieci transmisji danych Wykonawcy. Łącze to musi być zakończone w każdej lokalizacji Zamawiającego urządzeniem dostępowym (CE) w przypadku wymagania jego realizacji w układzie 2PE-2CE lub może być zakończone na urządzeniu dostępowym CE razem z Łączem podstawowym w przypadku jego realizacji w układzie 2PE-1CE oraz ewentualnie innymi urządzeniami niezbędnymi do realizacji łącza (np.: modemy kablowe, multipleksery, itp.),

Urządzenie dostępowe, Router CE – urządzenie/a w lokalizacji Zamawiającego, dostarczone, zainstalowane we wskazanym przez Zamawiającego miejscu i zarządzane przez Wykonawcę. Urządzenie to stanowi zakończenie łącza dostępowego oraz udostępnia interfejs przyłączeniowy lub interfejsy przyłączeniowe zapewniające podłączenie do urządzeń i sieci lokalnej Zamawiającego oraz realizuje funkcjonalności opisane w OPZ,

OPZ – Załącznik nr 1 do Umowy,

Urządzenie – sprzęt i/lub oprogramowanie dostarczane przez Wykonawcę w ramach realizacji umowy w celu realizacji wymagań zawartych w OPZ,

Interfejs przyłączeniowy - interfejs w standardzie FastEthernet 10/100 (Eth 10/100) lub GigabitEthernet 10/100/1000 (Eth 10/100/1000) zlokalizowany w urządzeniu dostępowym CE, za pomocą którego Użytkownik w danej Lokalizacji ma dostęp do usługi transmisji danych. Interfejs przyłączeniowy w urządzeniu dostępowym CE jest punktem, w którym świadczona jest usługa transmisji danych o zdefiniowanych przez Zamawiającego parametrach,

Router PE – router brzegowy sieci Wykonawcy umieszczony w węźle sieci Wykonawcy, do którego dołączone jest urządzenie dostępowe (CE) za pomocą łącza dostępowego,

DDoS - (ang. Distributed Denial of Service), rozproszona odmowa usługi – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów

3

IP - protokół transmisji danych używany przez systemy informatyczne (ang. Internet Protocol),

LAN - lokalna sieć transmisji danych obejmująca swym zasięgiem pojedynczą jednostkę Zamawiającego (ang. Local Area Network),

Lokalizacja - adres zakończenia łącza transmisji danych wskazany w Załączniku nr 2 do Umowy - adresy miejsca instalacji łączy oraz przepustowość,

Okno serwisowe – uzgodniony z Zamawiającym przedział czasu przeznaczony na wykonywanie prac konserwacyjno-modernizacyjnych w sieci Wykonawcy mogący skutkować brakiem dostępu Zamawiającego do usługi transmisji danych; przerwy w dostarczaniu usługi spowodowane oknami serwisowymi Zamawiający traktuje jako zachowanie ciągłości usługi,

Pasmo transmisyjne IP - dostępna dla Zamawiającego przepustowość łącza wyrażona w kbps lub Mbps, określająca szybkość przesyłania danych w ramach świadczonej usługi transmisji danych mierzona w warstwie 2 modelu ISO/OSI,

QoS - parametry definiujące wymagania jakościowe względem łączy telekomunikacyjnych realizowane przez: kształtowanie ruchu, ograniczanie przepustowości, nadawanie priorytetów, zarządzanie parametrami jakościowymi, unikanie przeciążeń w sieci, itp. (ang. Quality of Service),

SLA - parametry określające niezawodność i jakość usługi transmisji danych (ang. Service Level Agreement),

Brak dostępności usługi - Awaria lub Usterka; w przypadku występowania wielości Awarii

lub Usterek w krótkich odstępach czasu, brakiem dostępności usługi są również okresy pomiędzy nimi

Awaria - okres przerwy w świadczeniu usługi transmisji danych trwający od chwili wykrycia przez Wykonawcę lub dokonania zgłoszenia przez Zamawiającego, do chwili przywrócenia świadczenia usługi zgodnej z warunkami SLA.

Usterka - okres obniżenia parametrów usługi poniżej SLA, trwający od chwili wykrycia przez Wykonawcę lub dokonania zgłoszenia przez Zamawiającego, do chwili przywrócenia świadczenia usługi zgodnej z warunkami SLA.

Gwarantowana dostępność usługi – gwarantowana przez Wykonawcę określona procentowo liczba godzin w ciągu miesiąca kalendarzowego podczas których Wykonawca zapewnia działanie łącza bez wystąpienia braku dostępności usługi.

Czas reakcji – okres od wykrycia przez Wykonawcę lub zgłoszenia przez Zamawiającego braku dostępności usługi do podjęcia przez Wykonawcę działań naprawczych,

Czas naprawy - okres od wykrycia przez Wykonawcę lub zgłoszenia przez Zamawiającego braku dostępności usługi do przywrócenia SLA,

4

WAN - rozległa sieć transmisji danych Wykonawcy obejmująca swym zasięgiem wszystkich zdefiniowanych Umową Użytkowników Zamawiającego (ang. Wide Area Network),

VPN - struktura logiczna sieci kreowana w ramach fizycznej infrastruktury sieci rozległej Wykonawcy, zapewniająca możliwości zestawiania połączeń pomiędzy użytkownikami sieci transmisji danych w warstwie trzeciej modelu OSI (ang. Virtual Private Network),

Usługa TD – zapewnienie Zamawiającemu możliwości transmisji danych o parametrach SLA w oparciu o zestawione i utrzymywane przez Wykonawcę łącza dostępowe wraz z niezbędnymi urządzeniami teletransmisyjnymi.

System Monitorowania i Weryfikacji Jakości Świadczonych Usług Zamawiającego (SMZ)– sprzęt i oprogramowanie dostarczone przez Wykonawcę w ramach realizacji umowy o funkcjonalnościach wyszczególnionych w OPZ w celu monitorowania udostępnionej sieci transmisji danych dla Usługi typu A oraz Usługi typu B.

System Monitorowania Sieci Wykonawcy (SMW)– rozwiązanie służące monitorowaniu udostępnionej sieci Wykonawcy o funkcjonalnościach wyszczególnionych w OPZ zarządzane i utrzymywane przez Wykonawcę

System Bezpieczeństwa Usługi typu B (SBUB)– kompleksowe rozwiązanie dostarczone przez Wykonawcę w ramach realizacji umowy zawierające niezbędny sprzęt instalowany w punktach styku z siecią Internet oraz w lokalizacjach POPD PK, OPDR, OPDO w celu realizacji wymaganych w OPZ funkcjonalności oraz rozproszonego DMZ w Lokalizacjach POPD PK, OPDR, OPDO.

System Zarządzania Usługi typu B (SZUB)– rozwiązanie umożliwiające scentralizowane kreowanie polityk bezpieczeństwa w ramach Usługi typu B.

System Monitorowania i Korelacji Logów Usługi typu B (SMLB)– rozwiązanie służące gromadzeniu, przeszukiwaniu i korelacji logów z urządzeń utrzymujących odpowiedni poziom zabezpieczeń w ramach Usługi typu B.

2PE-2CE – układ niezwodnościowy pracy instalowanych w Lokalizacjach Routerów CE oraz Routerów PE w którym dwa Routery CE w Lokalizacji podłączone są do dwóch różnych Routerów PE Wykonawcy i udostępniają wspólny wirtualny interfejs w kierunku sieci LAN Zamawiającego.

2PE-1CE - układ niezwodnościowy pracy instalowanych w Lokalizacjach Routerów CE oraz Routerów PE w którym Router CE w Lokalizacji podłączony jest do dwóch różnych Routerów PE Wykonawcy.

Projekt – realizowana Umowa zawarta pomiędzy Zamawiającym i Wykonawcą.

5

II. Zakres świadczonych usług

1. Zamawiający wymaga uruchomienia dwóch niezależnych usług odseparowanych od siebie logicznie: Usługa typu A – WAN-PROK czyli zestawienie dostępowych łączy do jednostek organizacyjnych prokuratury w technologii IP VPN MPLS oraz Usługa typu B – scentralizowany odseparowany od sieci WAN-PROK dostęp do sieci Internet dla wszystkich jednostek organizacyjnych prokuratury. W tym celu Zamawiający wymaga utworzenia dwóch odseparowanych VRF: jeden na potrzeby usługi WAN-PROK (Usługa typ A), drugi na potrzeby dostępu do sieci Internet (Usługa typ B). Wszystkie jednostki organizacyjne prokuratury wskazane w Załączniku nr 2 do Umowy - adresy miejsca instalacji łączy oraz przepustowość będą posiadać możliwość korzystania z Usługi typu A i Usługi typu B. Zestawione łącza transmisji danych muszą umożliwić korzystanie z dwóch niezależnych i odseparowanych od siebie sieci wykreowanych w chmurze MPLS Wykonawcy.

Rysunek 1 - Usługa typu A – diagram

6

Rysunek 2 - Usługa typu B - diagram2. Zakres świadczonych usług został opisany w §2 Umowy.

Wymagania ogólne na Produkty typu Dokument

1. Zamawiający wymaga, aby wszystkie dokumenty tworzone w ramach realizacji przedsięwzięcia charakteryzowały się wysoką jakością, na którą będą miały wpływ, takie czynniki jak:

a) Struktura dokumentu, rozumiana jako podział danego dokumentu na rozdziały, podrozdziały i sekcje, w czytelny i zrozumiały sposób;

b) Zachowanie standardów dokumentowania, a także sposób pisania, rozumianych jako zachowanie spójnej struktury, formy i sposobu pisania dla poszczególnych dokumentów oraz fragmentów tego samego dokumentu;

c) Kompletność dokumentu, rozumiana jako pełne, bez wyraźnych, ewidentnych braków przedstawienie omawianego problemu obejmujące całość z danego zakresu rozpatrywanego zagadnienia;

d) Spójność i niesprzeczność dokumentu, rozumianych jako zapewnienie wzajemnej zgodności pomiędzy wszystkimi rodzajami informacji umieszczonymi w dokumencie, jak i brak logicznych sprzeczności pomiędzy informacjami zawartymi we wszystkich przekazanych dokumentach oraz we fragmentach tego

7

samego dokumentu.

2. Zamawiający wymaga, aby wszystkie dokumenty podlegały odbiorowi. Odbiór będzie przebiegał według następujących zasad:

a) wykonany dokument przekazywany będzie w formie elektronicznej do Zamawiającego,

b) Zamawiający naniesie uwagi w dostarczonym dokumencie w ciągu 5 dni roboczych i dołączy arkusz uwag,

c) Zamawiający zorganizuje naradę na której zostaną omówione zgłoszone uwagi i na arkuszu uwag zostaną odnotowane ustalenia do uwzględnienia przez Wykonawcę,

d) Wykonawca w ciągu 3 dni roboczych naniesie poprawki w dokumencie i przekaże poprawiony dokument do Zamawiającego do ponownej oceny,

e) Pozytywny wynik ponownej ocena dokumentu będzie zakończeniem procedury odbioru wykonania dokumentu. Data przekazania dokumentu nie może przekraczać daty przyjętej w zatwierdzonym harmonogramie.

f) W przypadku przekroczenia terminu wykonania dokumentu określonego w harmonogramie będą naliczane kary umowne zgodnie z zapisami w Umowie.

3. Dostarczone dokumenty muszą być opracowane w języku polskim, w wersji elektronicznej w niezabezpieczonym/edytowalnym formacie Word, PDF (na płycie CD-ROM lub innym równoważnym nośniku danych) i drukowanej (papierowej), co najmniej w 3 egzemplarzach (dopuszcza się inne formaty zapisu dokumentacji lub formaty wektorowe jak DWG, DXF, należy jednak dołączyć przeglądarkę obsługującą wykorzystane formaty). Dopuszczalne jest dostarczenie dokumentacji technicznej urządzeń oraz oprogramowania systemowego w języku angielskim, o ile producent nie dostarcza jej w wersji polskiej.

4. Harmonogramy należy dostarczyć jako wykresy Gantta w formacie MPP lub w formacie XLS umożliwiającym import do MS Project. W przypadku innego formatu pliku wykonawca jest zobligowany do dostarczenia oprogramowania umożlwiającego co najmniej: odczyt, zapis oraz edycję harmonogramów.

5. Całość dostarczanych w ramach niniejszego projektu dokumentów musi:a) być wersjonowana (oznaczona numerem wersji oraz datą wytworzenia),b) posiadać wskazanego autora,c) posiadać krótkie streszczenie kierownicze,d) dla plików *.pdf. *.rtf oraz *.doc (*.docx) musi być zapisana w sposób

pozwalający na wyszukiwanie w niej dowolnej frazy.

Opracowanie Dokumentu Inicjującego Projekt

Wykonawca zobowiązany jest do przygotowania Dokumentu Inicjującego Projekt (DIP) obejmującego co najmniej:

1. Organizację projektu (strukturę organizacyjną po obu stronach, role, obsadę ról przez osoby).

2. Definicję produktów Projektu.

3. Strategię realizacji wdrożeń Usług TD we wskazanych w Załączniku nr 2 do Umowy lokalizacjach Zamawiającego objętych wdrożeniem.

8

4. Harmonogram realizacji projektu uwzględniający zapisy niniejszego OPZ oraz uwzględniający strategię wdrożenia Usług w tym Urządzeń CE we wszystkich lokalizacjach Zamawiającego objętych projektem.

5. Harmonogram musi zawierać terminy realizacji zobowiązań Wykonawcy wynikających z Umowy, w tym opracowanie projektu i scenariuszy testów, harmonogramu dostaw, instalacji, konfiguracji, testów z uwzględnieniem miejsc lokalizacji Zamawiającego, odbioru przedmiotu Umowy, przeprowadzenie Szkoleń, z uwzględnieniem wszelkich terminów zastrzeżonych w zakresie procedury odbioru dla Zamawiającego lub Wykonawcy.

6. Komunikację w projekcie (spotkania Kierowników projektów, przepływ informacji w projekcie, raportowanie).

7. Zarządzanie ryzykiem w projekcie (w tym analizę ryzyka aktualizowaną przynajmniej raz w miesiącu).

Opracowanie Projektu Technicznego

1. Projekt Techniczny musi być wykonany zgodnie z wymaganiami Produktu typu Dokument.

2. Wykonawca w terminie określonym w zatwierdzonym harmonogramie przedstawi Projekt Techniczny Usługi typu A i Projekt Techniczny Usługi typu B które muszą zawierać co najmniej:

a. wprowadzenie opisujące cele i zakres przedmiotu zamówienia;

b. ograniczenia rozwiązania, założenia i zależności;

c. opis architektury fizycznej i logicznej udostępnianej sieci transmisji danych;

d. opis zastosowanych technologii i protokołów telekomunikacyjnych;

e. wykaz dostarczanych Urządzeń dostępowych i oprogramowania, zasady nazewnictwa urządzeń,

f. opis instalacji dostarczanych urządzeń zawierający co najmniej:

i. rozmieszczenie dostarczanych urządzeń w szafach dystrybucyjnych, udostępnionych przez Zamawiającego,

ii. schemat połączeń sieciowych LAN (przedstawiający topologię fizyczną i logiczną).

iii. wymagania na zasilanie dla instalowanych urządzeń,

iv. ilości i typy złączy elektrycznych wykorzystanych do zasilania,

v. konfigurację oprogramowania.

g. opis instalacji dostarczanych systemów monitorowania i bezpieczeństwa udostępnianej usługi transmisji danych,

i. rozmieszczenie dostarczanych Urządzeń w szafach dystrybucyjnych, udostępnionych przez Zamawiającego,

9

ii. schemat połączeń sieciowych LAN (przedstawiający topologię fizyczną i logiczną).

iii. wymagania na zasilanie dla instalowanych urządzeń,

iv. ilości i typy złączy elektrycznych wykorzystanych do zasilania,

v. konfigurację oprogramowania.

h. adresację IP instalowanych Urządzeń która musi być uzgodniona z Zamawiającym,

i.konfigurację QoS,

j.konfigurację eksportu statystyk do SMZ i SMW,

k. procedury instalacji urządzeń oraz zasady przeprowadzenia testów.

l.słownik skrótów i pojęć.

Opis aktualnie eksploatowanej sieci WAN-PROK

Świadczona obecnie usługa transmisji danych WAN-PROK, w oparciu o udostępnioną przez Wykonawcę infrastrukturę techniczną, umożliwia połączenie wszystkich powszechnych jednostek organizacyjnych prokuratury na terenie kraju dla wymiany danych pomiędzy nimi jak również w celu połączenia z Prokuraturą Krajową w której uruchomione są centralne systemy informatyczne prokuratury.

Sieć WAN-PROK składa się z dwóch warstw:

1. Warstwa pierwsza jest Siecią Operatora w oparciu o którą wykreowano prywatną sieć WAN w technologii IP VPN MPLS dla połączenia powszechnych jednostek organizacyjnych prokuratury. Topologia zbudowanej sieci umożliwia realizację połączeń pomiędzy lokalizacjami każdy z każdym. Sieć Operatora składa się z następujących elementów:

a. routerów dostępowych CE które instalowane są w lokalizacjach powszechnych jednostkach organizacyjnych prokuratury. Zainstalowany w jednej lokalizacji, jeden router CE może obsługiwać kilka jednostek prokuratury mieszczących się w tej lokalizacji. Routery dostępowe CE są własnością Operatora i zarządzane są przez Operatora,

b. routery brzegowe PE umieszczone są w węzłach sieci szkieletowej Operatora. Routery brzegowe PE są własnością Operatora i zarządzane przez Operatora,

c. łączy dostępowych, które łączą router CE zainstalowany w lokalizacji Zamawiającego z routerem PE zainstalowanym w najbliższym węźle sieci szkieletowej Operatora,

d. systemu monitorowania sieci Wykonawcy

e. stacji monitorowania zainstalowanej w Prokuraturze Krajowej umożliwiającej kontrolę jakości usług świadczonych przez Operatora.

2. Warstwa druga, zapewnia bezpieczeństwo sieci WAN-PROK. Zbudowana jest w oparciu o Urządzenia Bezpieczeństwa umożliwiające połączenia przy zachowaniu wymaganego poziomu bezpieczeństwa sieci LAN lub VLAN danej jednostki prokuratury z routerem dostępowym CE. Urządzenia Bezpieczeństwa funkcjonujące w sieci WAN-PROK są

10

własnością Zamawiającego i są przez niego administrowane i zarządzane.

3. Routing pomiędzy routerami PE-CE jest zgodny z protokołem eBGP.

4. Routery CE są własnością aktualnego Wykonawcy.

5. W przypadku gdy dana lokalizacja jest siedzibą kilku jednostek organizacyjnych (np. prokuratury regionalnej i prokuratury okręgowej) wówczas w tej lokalizacji jest tylko jeden router CE do którego podłączonych jest kilka urządzeń bezpieczeństwa Zamawiającego.

6. Routing pomiędzy routerami CE a urządzeniami bezpieczeństwa Zamawiającego jest routingiem statycznym. Istnieje możliwość uruchomienia routingu dynamicznego.

7. Pomiędzy routerami CE a urządzeniem bezpieczeństwa Zamawiającego zastosowana jest adresacja point-to-point. Szczegółowa adresacja zostanie przekazana Wykonawcy po podpisaniu umowy.

8. Wszystkie routery CE podlegają wewnętrznej polityce bezpieczeństwa Operatora, która uwzględnia m.in.:

a. bezpieczny dostęp przez konsolę,

b. bezpieczny dostęp przez VTY uwzględniający AAA + RSA (wyłącznie jeśli użytkownik ma mieć dostęp do CE),

c. enkrypcję haseł,

d. wyłączanie niewykorzystywanych serwisów,

e. włączone snmp traps,

f. baner przy logowaniu,

g. włączony NTP w celu dokładnych korelacji wydarzeń.

11

IP VPN MPLS

Sieć Szkieletowa Operatora

Routr CEOperatora

Urządzenie Bezpieczeństwa B

Zamawiającego

Urządzenie SPrzełącznik LANZamawiającego

VLAN 1 VLAN N

Lokalizacja L1

Routr CEOperatora


VLAN 1 VLAN N

Lokalizacja Ln

Routr PEOperatora

Routr PEOperatora

Routr PEOperatora

Routr CEOperatora


Zamawiającego

Urządzenie S Przełącznik LANZamawiającego

VLAN NVLAN 1

Lokalizacja Prokuratury Krajowej

Urządzenie S Przełącznik LANZamawiającego


Zamawiającego

Stacja monitorowania sieci Operatora

Łącza dostępowe

WAN-PROK

Sieć Operatora

Rysunek 3 Architektura sieci WAN-PROK

Warianty instalacji Routerów CE

1. Ze względów organizacyjnych występują trzy przypadki umiejscowienia jednostek prokuratury w lokalizacjach:

a. jedna jednostka prokuratury mieści się w jednej lokalizacji,

b. dwie lub więcej jednostek prokuratury mieszczą się w jednej lokalizacji,

c. jedna jednostka prokuratury mieści się w dwóch lub więcej lokalizacjach.

2. Zgodnie z umową podpisaną pomiędzy Zamawiającym a Operatorem Routery dostępowe CE zainstalowane są w każdej lokalizacji w której może być jedna lub kilka jednostek prokuratury.

12

W dalszej części przedstawionych zostanie pięć wariantów podłączenia urządzeń bezpieczeństwa Zamawiającego do Routerów CE Wykonawcy. Zakłada się, że w wyjątkowych przypadkach mogą wystąpić odstępstwa od przedstawionych rozwiązań wariantowych.

Wariant 1 instalacji Routerów CE

1. W Wariancie 1 jedna jednostka prokuratury mieści się w jednej lokalizacji.

2. W tym przypadku do Routera Operatora CE dołączone jest jedno urządzenie bezpieczeństwa do którego będzie podłączony jeden lub kilka przełączników LAN.

3. W jednostce prokuratury na przełącznikach LAN może być utworzonych kilka sieci VLAN. Do sieci VLAN podłączane są serwery oraz stacje robocze. Zakłada się, że nie będzie zmieniana adresacja urządzeń dołączonych do sieci LAN (VLAN).

Lokalizacja LxRoutr CE

Operatora

Jednostka Prokuratury x


Zamawiającego


Wariant 1

Rysunek 4 Wariant 1 instalacji routerów CE

1.1.1 Wariant 2 instalacji Routerów CE

1. W Wariancie 2 dwie lub kilka jednostek prokuratury mieści się w jednej lokalizacji.

2. W tym przypadku do Routera CE dołączone są urządzenia bezpieczeństwa do których podłączone są jeden lub kilka przełączników LAN.

3. W każdej jednostce prokuratury na przełącznikach LAN może być utworzonych kilka sieci VLAN. Do sieci VLAN podłączane są serwery oraz stacje robocze. Zakłada się, że nie będzie zmieniana adresacja urządzeń dołączonych do sieci LAN (VLAN).

13


Operatora



Zamawiającego


Jednostka Prokuratury y


Zamawiającego


Wariant 2

Rysunek 5 Wariant 2 instalacji Routerów CE


1. W Wariancie 3 kilka jednostek prokuratury mieści się w jednej lokalizacji.

2. W tym przypadku do Routera CE dołączone jest jedno urządzenie bezpieczeństwa zainstalowane w jednej z jednostek prokuratury. Do urządzenia bezpieczeństwa dołączone są przełączniki LAN, które zainstalowane są w jednostkach prokuratury znajdujących się w danej lokalizacji.

3. W każdej z jednostce prokuratury znajdującej się w danej lokalizacji na przełącznikach LAN może być utworzone kilka sieci VLAN. Do sieci VLAN podłączane są serwery oraz stacje robocze. Zakłada się, że nie będzie zmieniana adresacja urządzeń dołączonych do sieci LAN (VLAN).

Lokalizacja Lx

Routr CEOperatora



Zamawiającego




Wariant 3

14



1. W Wariancie 4 dwie lub kilka jednostek prokuratury mieści się w jednej lokalizacji.

2. W tym przypadku do Routera CE dołączone jest jedno urządzenie bezpieczeństwa do którego jest podłączony jeden lub kilka przełączników LAN obsługujących kilka jednostek prokuratury w danej lokalizacji.

3. Na przełącznikach LAN może być utworzonych kilka sieci VLAN obsługujących jednostki prokuratury w danej lokalizacji. Do sieci VLAN podłączane są serwery oraz stacje robocze. Zakłada się, że nie będzie zmieniana adresacja urządzeń dołączonych do sieci LAN (VLAN).

Lokalizacja Lx

Routr CEOperatora



Zamawiającego



Wariant 4



1. W Wariancie 5 jedna jednostka prokuratury rozlokowana jest w kilku lokalizacjach.

2. W tym przypadku w każdej lokalizacji znajduje się Router CE do którego w każdej lokalizacji dołączone jest jedno urządzenie bezpieczeństwa do którego jest podłączony jeden lub kilka przełączników LAN.

3. W każdej lokalizacji zainstalowane są przełączniki LAN, które umożliwią utworzenie kilku sieci VLAN. Do sieci VLAN podłączane są serwery oraz stacje robocze. Zakłada się, że nie będzie zmieniana adresacja urządzeń dołączonych do sieci LAN (VLAN).

15


Operatora



Zamawiającego


Lokalizacja LyRoutr CE

Operatora



Zamawiającego


Wariant 5


III. Struktura fizyczna sieci

1. Łącza TD muszą być łączami symetrycznymi o gwarantowanej przepustowości bez jakichkolwiek ograniczeń przesyłanych danych. Zamawiający dla Usługi typu B dla Lokalizacji innych niż POPD PK, POPD MS, OPDR i OPDO, dopuszcza realizację Łączy jako łącza asymetryczne x/0,25x.

2. Usługa IP VPN (MPLS) dla obydwu Usług typu A i Usługa typu B powinna być skalowalna, tzn. Zamawiający ma prawo żądania zwiększenia przepustowości ruchu do wartości dwukrotne większej od określonej w Załączniku nr 2 do Umowy w każdej Lokalizacji, w której Wykonawca będzie w stanie technicznie zagwarantować usługę o żądanych przez Zamawiającego parametrach przepustowości łączy. Powyższe skutkować będzie zmianą wysokości abonamentu miesięcznego za dane łącze nie zaś dodatkowymi kosztami ponoszonymi przez Zamawiającego w związku z koniecznością modernizacji infrastruktury Wykonawcy.

3. Zamawiający przy budowie łączy dostępowych dopuszcza następujące rodzaje mediów:1) łącza światłowodowe zakończone dedykowanymi urządzeniami teletransmisyjnymi

lub jako ciemne włókno bezpośrednio łączące router PE Wykonawcy z routerem CE w lokalizacji Zamawiającego,

2) łącza radiowe punkt-punkt lub punkt-wielopunkt pracujące w paśmie koncesjonowanym,

4. Podstawowe łącze transmisji danych w danej lokalizacji nie może być zrealizowane za pomocą tego samego fizycznego łącza, na którym zrealizowane będzie łącze zapasowe w tej lokalizacji.

16

5. W przypadku, jeżeli Wykonawca zdecyduje o instalacji w danej Lokalizacji Łączy Podstawowego i Zapasowego za pomocą dwóch światłowodów, to w takim wypadku pierwszy taki światłowód przeznaczony dla Podstawowego Łącza transmisji danych musi być ciągnięty fizycznie innymi studzienkami telekomunikacyjnymi na odcinku od węzła Wykonawcy do siedziby Zamawiającego niż światłowód przeznaczony dla Łącza Zapasowego. Zniszczenie (awaria) ciągu komunikacyjnego (studzienki telekomunikacyjnej) dla jednego światłowodu nie może powodować awarii drugiego z tych światłowodów. Mapy projektowe (inwentaryzacyjne) wskazujące trasy obu światłowodów muszą być dołączone do dokumentacji powykonawczej.

6. W przypadku, jeżeli Wykonawca zdecyduje o instalacji w danej Lokalizacji Łączy Podstawowego i Zapasowego realizowanych w technologii bezprzewodowej, to w takim wypadku łącza muszą być skierowane w różnych kierunkach. Awaria w węźle dostępowym Wykonawcy obsługującym Łącze Podstawowe nie może powodować awarii węzła dostępowego Wykonawcy obsługującego Łącze Zapasowe i odwrotnie. Mapy projektowe (inwentaryzacyjne) wskazujące lokalizacje węzłów dostępowych muszą być dołączone do dokumentacji powykonawczej.

7. Wykonawca zaprojektuje i wykona udostępnianą infrastrukturę w taki sposób aby awaria pojedynczego Routera PE nie powodowała Awarii Podstawowego i Zapasowego Łącza transmisji danych w żadnej z Lokalizacji. Mapy projektowe (inwentaryzacyjne) wskazujące podłączenia do Routerów PE muszą być dołączone do dokumentacji powykonawczej

8. Dla lokalizacji POPD PK, POPD MS, OPDR Zamawiający wymaga realizacji łączy w schemacie 2PE-2CE. Wariant realizacji Łącza Podstawowego i Zapasowego dla poszczególnych Lokalizacji został wskazany w Załączniku nr 2 do Umowy.

Rysunek 9 Redundancja łącza w układzie 2PE-2CE

17

Rysunek 10 Redundancja łącza w układzie 2PE-1CE

9. Łącze transmisji danych Wykonawca wprowadzi do wskazanej przez upoważnionego w danej Lokalizacji pracownika Zamawiającego szafy typu rack 19" w serwerowni i zakończy w montowanym przez Wykonawcę w tej szafie patchpanelem lub w przypadku światłowodu - patchpanelem światłowodowym. Wszelkie urządzenia niezbędne do realizacji przedmiotu umowy zostaną również zamontowane w szafie typu rack 19". W przypadku urządzeń nie posiadających fabrycznych uchwytów lub mniejszej wielkości, Wykonawca zapewni odpowiednie półki do montażu w szafach. Wykonawca zapewni również wszelkie inne niezbędne elementy w tym śruby montażowe, uchwyty itp.

10. Dla lokalizacji POPD PK, POPD MS, OPDR oraz OPDO Zamawiający obligatoryjnie wymaga wykonania Podstawowego Łącza transmisji danych za pomocą światłowodu jednomodowego.

11. Wszystkie węzły sieci operatora do których będą budowane łącza dostępowe jednostek prokuratury powinny być połączone z siecią operatora co najmniej dwiema niezależnymi drogami (dwa niezależne łącza w górę sieci).

12. Dla zapewnienia odpowiedniej skalowalności infrastruktury sieciowej i bezpieczeństwa transmisji danych oraz zapewnienia prywatności konfigurowanych przez dostawcę usług telekomunikacyjnych, łącza dostępowe nie mogą być budowane:1) na bazie zasobów publicznej sieci Internet,2) łączy z wykorzystaniem infrastruktury znajdującej się poza terytorium Polski,3) łączy asymetrycznych w technologii DSL,4) łączy satelitarnych,5) telefonicznych łączy komutowanych,6) łączy technologii radiowych w paśmie niepodlegającym koncesjonowaniu, 7) technologii Wi-Fi, 8) w oparciu o sieci komórkowe, tj. w szczególności technologii GPRS, EDGE, UMTS,

HSPA, HSDPA, CDMA, LTE.

13. Zamawiający wymaga, aby Łącza TD użyte do realizacji sieci były na całej relacji (od danej Lokalizacji do routera PE w sieci Wykonawcy) budowane z zastosowaniem łączy odseparowanych od publicznej sieci Internet.

14. Podstawowe i Zapasowe Łącza TD przeznaczone dla usługi transmisji danych w ramach

18

Usługi typu A i Usługi typu B na odcinku od węzła Wykonawcy do Routera CE (tzw. ostatnia mila) nie mogą być wykorzystywane do świadczenia przez Wykonawcę jakichkolwiek usług dla klientów innych niż Zamawiający. Od węzła Wykonawcy do Routera PE ruch musi być odseparowany przynajmniej logicznie.

15. Każde Podstawowe i Zapasowe Łącze TD musi być zakończone dedykowanym dla tego Łącza Routerem CE, będącym stykiem infrastruktury fizycznej Wykonawcy z infrastrukturą fizyczną Zamawiającego.

16. Zamawiający wymaga, aby Wykonawca wykorzystał jako Routery CE routery IP dostarczone wraz z niezbędnym okablowaniem, osprzętem i oprogramowaniem umożliwiającym realizowanie założonych funkcjonalności opisanych w SIWZ. Nie dopuszcza się wykorzystywania jako urządzeń dostępowych CE wyłącznie mostów lub modemów oraz innych urządzeń pracujących w warstwie drugiej modelu ISO/OSI.

17. Routery CE muszą komunikować się z wykorzystaniem protokołu TCP/IP z urządzeniami bezpieczeństwa posiadanymi przez Zamawiającego w ramach Usługi typu A. Routery CE Wykonawcy i urządzenia Zamawiającego muszą być połączone bezpośrednio ze sobą za pomocą skrętki przynajmniej kat.6 i z wykorzystaniem interfejsu RJ45 GigabitEthernet 10/100/1000 (1000Base TX). Wszystkie kable połączeniowe muszą być oznaczone i opisane przez Wykonawcę.

18. Routery CE muszą zapewnić odpowiednią ilość interfejsów przyłączeniowych:

a. co najmniej sześć elektrycznych interfejsów przyłączeniowych Eth 10/100/1000 dla lokalizacji POPD PK, OPDR, OPDO, POPD MS,

b. co najmniej cztery elektryczne interfejsy przyłączeniowe Eth 10/100/1000 dla pozostałych lokalizacji Zamawiającego,

c. jeżeli w celu realizacji funkcjonalności wymaganych w OPZ konieczne jest wykorzystanie interfejsów Routerów CE przez Wykonawcę, należy zapewnić odpowiednio większą ich ilość w dostarczanych Urządzeniach.

19. Zamawiający wymaga, aby Wykonawca obsługiwał adresy IP używane przez Zamawiającego w dotychczas eksploatowanych sieciach rozległych z puli określonej w dokumencie RFC 1918 (ang. Requests For Comments). Szczegółowy plan adresacji sieci dla obsługi poszczególnych systemów aplikacyjnych Zamawiającego zostanie przekazany Wykonawcy po podpisaniu Umowy.

20. W celu wykonania instalacji łączy transmisji danych, Wykonawca zobowiązany jest dla każdej Lokalizacji uzyskać w imieniu Zamawiającego wymagane pozwolenia, decyzje i zgody, w szczególności konserwatora zabytków jeżeli są wymagane, oraz wykonać konieczne projekty, roboty budowlane, w tym prace wykończeniowe, porządkowe i inne. Dokumentacja projektowa oraz prace podlegają kontroli i odbiorom przez inspektora nadzoru inwestorskiego.

21. Wszystkie prace i roboty budowlane, a także instalacje, w szczególności trasy kablowe, prowadzone poza terenem Zamawiającego dla każdej Lokalizacji, nie mogą obciążać kosztami prawnymi i ekonomicznymi Zamawiającego.

IV. Struktura logiczna sieci

19

1. Struktura logiczna udostępnianej usługi transmisji danych w sieci operatora telekomunikacyjnego musi umożliwiać konfigurację dostępu użytkowników do usług i uwzględniać korzystanie danej jednostki z określonych centralnych oraz rozproszonych zasobów bazodanowych czy aplikacji,

2. Udostępniona sieć MPLS będzie podzielona logicznie na niezależne sieci przy wykorzystaniu mechanizmu VRF (Virtual Routing and Forwarding), z możliwością zwiększania przez Zamawiającego ilości tych sieci niezależnie do każdej Lokalizacji.

3. W ramach struktury logicznej sieci Zamawiającego musi zostać zdefiniowany:1) WAN-PROK: obejmujący swoim zasięgiem wszystkie lokalizacje wyszczególnione w

Załączniku nr 2 do Umowy - adresy miejsca instalacji łączy oraz przepustowość; Zamawiający wymaga aby w ramach tej struktury możliwa była komunikacja „każdy z każdym” (topologia full-mesh).

2) WAN-INT-PROK obejmujący swoim zasięgiem wszystkie lokalizacje wyszczególnione w Załączniku nr 2 do Umowy - adresy miejsca instalacji łączy oraz przepustowość; Zamawiający wymaga aby w ramach tej struktury możliwa była komunikacja w topologii hierarchicznej.

3) sieć zarządzająca, w której zostanie umiejscowiona Stacja Monitorowania i weryfikacji jakości świadczonych usług Zamawiającego.

4. Przełączenie transmisji danych z Łącza Podstawowego na Łącze Zapasowe i odwrotnie nie może powodować przerw w pracy poza wymaganą na odpowiednie rozgłoszenie tras routingu lub wyzwolenia mechanizmów niezawodnościowych.

5. Domyślnie transmisja danych (dla wszystkich VRF) będzie odbywać się poprzez Łącze Podstawowe. W momencie utraty łączności w tym medium transmisyjnym Router CE w Lokalizacji musi, bez zbędnej zwłoki, w sposób automatyczny przełączyć transmisję danych na Łącze Zapasowe. Po ustaniu Awarii, transmisja danych musi ponownie, bez zbędnej zwłoki, przełączyć się automatycznie na Łącze Podstawowe.

6. Przełączanie transmisji danych w Routerze PE nie może wymagać i pociągać za sobą zmiany adresacji IP w jakimkolwiek VRF dla urządzeń podłączanych do Routera CE od strony sieci LAN w każdej Lokalizacji.

7. Wykonawca dokona dla Usługi typu A odpowiedniej konfiguracji urządzeń w celu umożliwienia migracji z obecnie eksploatowanej sieci WAN-PROK.

8. Zakres uprawnień w dostępie dla każdej lokalizacji zostanie zdefiniowany indywidualnie na etapie uruchomienia usług i eksploatacji po podpisaniu umowy.

9. W ramach realizacji Usługi typu B Wykonawca wykreuje w swojej infrastrukturze co najmniej dwa rozproszone geograficznie (znajdujące się w różnych miastach na terenie Polski) punkty styku z siecią Internet. Punkty styku muszą mieć zagwarantowaną przepustowość co najmniej 2 Gbps wraz z uruchomioną usługą AntyDDoS.

10. Punkty styku z siecią Internet muszą być aktywne w tym samym czasie tzn. Wykonawca tak skonfiguruje Usługę typu B aby ruch z sieci Internet do zasobów udostępnianych przez Zamawiającego oraz wychodzący do sieci Internet generowany przez użytkowników Zamawiającego, kierowany był dynamicznie z/do obu punktów w zależności od preferencji ustawień protokołu routingu dynamicznego.

20

11. W ramach realizacji Usługi typu B, Zamawiający wymaga dostarczenia podsieci z przynajmniej 512 stałymi publicznymi adresami IP (maska o wartości /23), przy czym adresy te nie mogą zostać wykorzystane w celu konfiguracji łączy dla usługi dostępu do Internetu od strony Wykonawcy.

12. W ramach realizacji Usługi typu B, Wykonawca utworzy na dostarczanych Routerach CE lub innym dostarczonym przez Wykonawcę rozwiązaniu, strefy DMZ dla rozproszonych zasobów znajdujących w POPD PK, POPD MS, OPDR, OPDO (mi.in strony WWW, serwery pocztowe) w celu umożliwienia serwowania ich w sieci Internet (z adresami publicznymi) oraz w celu udostępnienia zasobów pracownikom wszystkich prokuratur bez zapętlania ruchu przez publiczną sieć Internet.

13. Kierowanie ruchu przez jedno lub dwa łącza dla dostępu do Internetu nie może powodować zmian publicznej adresacji IP przydzielonej Zamawiającemu.

V. Monitorowanie Łączy oraz SLA

1. Zamawiający wymaga zapewnienia następujących, minimalnych parametrów usług SLA, jakie muszą być gwarantowane przez operatora telekomunikacyjnego w ramach świadczenia usług transmisji danych dla Usługi typu A i Usługi typu B:1) gwarancja przepustowości na poziomie 100% dostarczonego pasma,2) gwarantowana dostępność usługi na poziomie co najmniej 99,44% dla Lokalizacji

POPD PK, POPD MS, OPDR oraz 98,88% miesięcznie dla pozostałych Lokalizacji,

3) czas reakcji na Awarię nie dłużej niż 60 minut, liczonych od chwili wykrycia/zgłoszenia,

4) czas usunięcia Awarii nie dłużej niż:a) dla lokalizacji POPD PK, POPD MS, OPDR, OPDO - 4 godziny, liczone od

chwili wykrycia/zgłoszenia Awarii,b) dla pozostałych lokalizacji - 6 godzin, liczone od chwili wykrycia/zgłoszenia

Awarii,5) czas usunięcia Usterki nie dłużej niż 24 godziny liczone od chwili

wykrycia/zgłoszenia Usterki,6) gwarantowane opóźnienie w obu kierunkach (RTD - Round Trip Delay) - nie więcej

niż 40 ms,7) gwarancja straty pakietów (PLR - Packet Loss Ratio) - nie więcej niż 0,1%.

2. Parametry jakościowe będą mierzone z użyciem 10 pakietów ICMP (lub datagramów UDP) o wielkości 128 bajtów wysyłanych w okresach nie dłuższych niż co 5 minut pomiędzy urządzeniem dostępowym CE w danej lokalizacji a stacją monitorowania jakości świadczonych usług; wyniki pomiarów będą uśredniane w okresach 30 minutowych. Do pomiarów brane będą pomiary wykonane w warunkach obciążenia poszczególnych kolejek danych Routera CE w danej lokalizacji nieprzekraczającego wartości 90% dostępnego pasma dla kolejki. W przypadku, gdy warunki obciążenia nie są respektowane dla jednego z dwóch portów IP, których pomiar dotyczy, pomiar będzie odrzucany.

3. Wymagane szybkości transmisji danych (dalej zamiennie: przepustowości Łączy) są to gwarantowane przez Wykonawcę minimalne szybkości łączy transmisji danych w

21

warstwie aplikacji modelu ISO/OSI dostępne w ramach jednej uruchomionej sesji dla danej aplikacji Zamawiającego działającej w ramach Usługi typu A oraz Usługi typu B.

4. Szybkość transmisji danych dla Usługi typu A będzie sprawdzana pomiędzy interfejsem Routera CE od strony sieci WAN-PROK w siedzibie Zamawiającego w Warszawie, a Routerem CE w każdej Lokalizacji przy zastosowaniu usługi FTP. Niedotrzymanie parametru minimalnej gwarantowanej szybkości transmisji danych przez strony Umowy traktowane jest jako Awaria.

5. Szybkość transmisji danych dla Usługi typu B będzie sprawdzana na interfejsie każdego z Routerów CE od strony sieci Zamawiającego, w stosunku do serwera referencyjnego udostępniającego co najmniej usługę FTP umiejscowionego wewnątrz infrastruktury telekomunikacyjnej Wykonawcy i wskazanego w momencie przeprowadzania testów akceptacyjnych. Dane serwera referencyjnego będą wpisane do dokumentacji powykonawczej. Serwer referencyjny będzie dostępny dla Zamawiającego przez cały okres świadczenia Usługi typu B. Zmiana serwera referencyjnego musi być protokolarnie potwierdzona przez obie strony Umowy i wymaga wykonania przez Wykonawcę modyfikacji dokumentacji powykonawczej.

6. Dla Usługi typu B kontrola łączności odbywać się będzie poprzez generowanie ruchu z przynajmniej z dwoma referencyjnymi stałymi adresami IP dostępnymi w Internecie i nie będącymi w sieci telekomunikacyjnej należącej do Wykonawcy lub kontrolowanej przez Wykonawcę oraz nie będącymi w sieci jednego operatora (właściciela). Adresy IP zostaną uzgodnione z Wykonawcą na etapie wdrożenia.

7. Wszelkie prace serwisowe wymagające dostępu do routerów i modemów, powinny być dokonywane przez operatora zdalnie po wcześniejszym uzgodnieniu terminu i zakresu prac. W przypadkach, gdy zdalny dostęp z przyczyn technicznych nie będzie możliwy, odpowiednie działania mające na celu przywrócenie poprawnej pracy urządzeń i łącza powinny być wykonywane w lokalizacji Zamawiającego.

8. Wykonawca dostarczy i skonfiguruje SMZ wraz z niezbędnym oprogramowaniem umiejscowiony w infrastrukturze Zamawiającego. System będzie zlokalizowany w Prokuraturze Krajowej. Zamawiający wymaga zapewnienia synchronizacji czasu zdarzeń pomiędzy Systemem Monitorowania Sieci Wykonawcy oraz Systemem Monitorowania i weryfikacji jakości świadczonych usług Zamawiającego oraz skonfigurowania co najmniej następujących funkcjonalności dla udostępnianej struktury sieciowej:1) monitorowanie parametrów SLA dla całej udostępnianej sieci na potrzeby Usługi typu

A oraz Usługi typu B, w szczególności parametrów łączy dostępowych, gwarantowanej przepustowości i obciążenia łączy dla poszczególnych klas ruchu QoS, z poziomu jednej konsoli monitorującej,

2) automatyczne odkrywanie urządzeń znajdujących się w monitorowanej sieci i dodawanie ich do bazy urządzeń podlegających monitorowaniu,

3) graficzna wizualizacja odpowiedzi monitorowanych urządzeń na pakiety ICMP, ECHO wysyłane przez stację monitorującą,

4) dynamiczne (w czasie rzeczywistym ), graficzne wyświetlanie mapy logicznej i fizycznej topologii sieci (z routerem w każdej lokalizacji włącznie),

5) monitorowanie w czasie rzeczywistym (uwzględniając prędkość sieci komputerowej i częstotliwość odpytywania) parametrów pracy urządzeń sieciowych,

22

6) testowanie poprawności zdalnych połączeń,7) gromadzenie bieżących parametrów pracy monitorowanych urządzeń sieciowych

dzięki wykorzystaniu protokołu SNMP oraz graficzna wizualizacja całej topologii sieci na podstawie zgromadzonych danych,

8) graficzna prezentacja zebranych danych w postaci wykresów tygodniowych, miesięcznych, rocznych wraz z odpowiednim wyskalowaniem w jednostkach Mbps,

9) generowanie komunikatów w wyniku zdarzeń i symptomów potencjalnych zagrożeń oraz reagowanie na nie za pomocą zdefiniowanych przez użytkownika akcji takich jak wysłanie powiadomienia poprzez email, wysłanie trapów SNMP lub uruchomienie lokalnego/zdalnego programu lub skryptu.

10) generowanie automatycznych raportów miesięcznych dotyczących spełnienia przez Wykonawcę wymaganych przez Zamawiającego parametrów SLA dla wszystkich uruchomionych łączy dostępowych z uwzględnieniem okien serwisowych w danym okresie z możliwością prezentacji lokalizacji przekraczających zadane wartości SLA, lokalizacji w których wystąpiła Awaria i/lub Usterka, wszystkich lokalizacji.

11) wizualizacja udostępnionej infrastruktury na mapie konturowej Polski wraz z bieżącą sygnalizacją stanu łącza sprawne/niesprawne/okno serwisowe (np. poprzez zmianę koloru zielony/czerwony/żółty).

12) dostęp do konsoli zarządzającej stacji SLA powinien być możliwy poprzez przeglądarkę internetową dla minimum 60 administratorów Zamawiającego.

9. Wykonawca zapewni z Systemu Monitorowania i weryfikacji jakości świadczonych usług Zamawiającego stały dostęp SSH do konsoli Routerów CE Wykonawcy (w trybie tylko do odczytu - ang. read-only) w zakresie minimum:

a) poleceń służących do sprawdzenia stanu interfejsów, routingu, statystyk kolejek QoS, dopasowań pakietów do poszczególnych klas CoS;

b) narzędzi diagnostycznych ping i traceroute;

10. Wykonawca zapewni dostęp do SMW w trybie „tylko do odczytu”, wraz z zapewnieniem ewentualnych niezbędnych licencji:

1) do całej sieci, z podziałem na PK i 11 segmentów według właściwości terytorialnej poszczególnych prokuratur regionalnych (dla minimum 3 zdefiniowanych administratorów Zamawiającego) wraz z prezentacją i przeszkoleniem w zakresie użytkowania, w formie warsztatów praktycznych w siedzibie Zamawiającego,

2) do części sieci - łącza należące do danego obszaru prokuratury regionalnej (dla minimum 5 zdefiniowanych administratorów z danego obszaru prokuratury regionalnej),

Wykonawca przekaże Zamawiającemu, do wykorzystania przez administratorów wszystkich regionów, instrukcję użytkowania udostępnionego systemu nadzorowania sieci Wykonawcy,

3) SMW powinien zapewniać dostęp do statystyk właściwych Łączy dla danej lokalizacji:

a) w widoku dziennym (z ostatnich 24 godzin),

b) w widoku historia z możliwością wyboru widoku z konkretnych dni (ostatnie 90 dni kalendarzowych) oraz widoku w ujęciu miesięcznym lub rocznym (dane

23

archiwalne za okres 12 miesięcy),

c) z jednoczesną możliwością wyboru określonych godzin i/lub dni tygodnia (np. statystyki wyłącznie dla godzin dziennych w dni robocze w widoku dziennym i widoku historia).

11. SMW musi wykrywać w czasie rzeczywistym przynajmniej następujące zdarzenia, które mają charakter ciągły i nie krótszy niż 10 sekund, oraz rejestrować datę i godzinę (na podstawie serwerów czasu dla instytucji publicznych), w której dane zdarzenie zostało zarejestrowane dla Łączy realizujących Usługi typu A i Usługi typu B:

a) po którym Łączu, tj. czy Podstawowym czy Zapasowym, przebiega transmisja danych w danej Lokalizacji Zamawiającego

b) status każdego, zarówno Podstawowego jak i Zapasowego, Łącza, tj. czy łącze jest aktywne czy uległo Awarii

c) przekroczenie i powrót do wymaganych parametrów zarówno dla Łącza Podstawowego jak i Zapasowego w każdej Lokalizacji dla każdej klasy QoS, tj.:

• utraty pakietów;

• opóźnienia (RTD);

• jitteru.Jeżeli sposób wykonywania danego pomiaru nie został wskazany wówczas podlega on uzgodnieniu w momencie wdrożenia.

d) brak komunikacji poprzez dane Łącze.

e) przeciążenie procesora dowolnego z Routerów CE.

12. Informacje historyczne zbierane przez SMW muszą być dostępne przez cały okres obowiązywania umowy.

13. Informacja o każdym zdarzeniu wykrytym przez system monitoringu musi być wysyłana zarówno do Zamawiającego jak i Wykonawcy, przy czym musi być możliwe wysłanie na przynajmniej 60 adresów email nie później niż 1 minutę od chwili wykrycia zdarzenia z możliwością przypisania zakresu Lokalizacji i administratora/ów który powinien otrzymać powiadomienie. Informacje o wybranych zdarzeniach (lub grupie zdarzeń) muszą być także wysyłane poprzez bramkę SMS z możliwością powiadamiania przynajmniej 60 odbiorców nie później niż 10 minut od chwili wykrycia zdarzenia.

14. Szczegóły związane z klasyfikacją, ilością zdarzeń i ustaleniem progów po przekroczeniu których wysyłane będą informacje mailem lub SMS podlegają ustaleniu w czasie wdrożenia.

15. Bramka SMS musi być fizycznym urządzeniem przeznaczonym do wysyłania takich komunikatów, tj. SMS musza być wysyłane poprzez sieć operatora telefonii komórkowej bez limitów ilościowych.

16. Wykonawca musi zaprojektować i wykonać odpowiednią konfigurację korelacji zdarzeń rejestrowanych przez SMW w taki sposób, żeby zminimalizować ilość reakcji na te zdarzenia do niezbędnego minimum, wskazującego pierwotną/najważniejszą przyczynę sekwencji zarejestrowanych zdarzeń.

24

VI. QoS

1. Zamawiający wymaga zapewnienia możliwości skonfigurowania dla Usługi typu A oraz Usługi typu B co najmniej 4 klas QoS tj. data, video, voice, best-effort.

2. Zamawiający wymaga skonfigurowania priorytetyzacji ruchu na każdym Podstawowym i Zapasowym Łączu transmisji danych. Podział na poszczególne klasy ruchu oraz podział procentowy do każdej z klas ruchu, w ramach przepustowości Łącza zostanie ustalony na etapie opracowywania Projektu Technicznego Usługi typu A i Usługi typu B.

VII. Bezpieczeństwo teleinformatyczne Usługi typu A oraz infrastruktura Zamawiającego w celu podłączenia do Usługi typu A

1. Zamawiający we wszystkich lokalizacjach posiada jako urządzenia brzegowe do sieci WAN-PROK firewalle Cisco ASA oraz Juniper SRX 240. W zależności od wielkości Lokalizacji i generowanego wolumenu ruchu są to urządzenia Cisco ASA 5506-X, Cisco ASA 5516-X oraz Cisco ASA 5545-X. W lokalizacjach OPDR, OPDO zainstalowane są urządzania Juniper 240 SRXH2. W lokalizacji POPD PK zainstalowany jest klaster urządzeń Juniper SRX550.

Na powyższych urządzeniach uruchomione są typowe funkcjonalności jakie posiadają urządzenia typu UTM (tunele VPN ,NAT , IPS, firewall itd.).

2. Zamawiający wymaga aby Usługa typu A była całkowicie odseparowana od sieci Internet oraz za pomocą mechanizmu VRF od Usługi typu B.

3. Zamawiający dla Usługi typu A posiada Centralny System Monitorowania i Korelacji Logów oraz Centralny System Zarządzania urządzeniami wskazanymi w pkt 1 powyżej.

4. Wykonawca w celu umożliwienia konfiguracji dostępu do Usługi typu A, opracuje konieczne zmiany konfiguracyjne niezbędne do przeprowadzenia w danej Lokalizacji na danym typie urządzenia posiadanego przez Zamawiającego w tej Lokalizacji.

5. Wykonawca na bieżąco będzie aktualizował oprogramowanie systemowe dostarczanych Urządzeń CE do rekomendowanych przez producenta wersji.

VIII. Bezpieczeństwo teleinformatyczne Usługi typu B oraz Infrastruktura Wykonawcy dla realizacji Usługi typu B

1. Wykonawca zobowiązany jest dostarczyć Urządzenia do dwóch głównych lokalizacji rozproszonych geograficznie pełniących funkcję punktów styków z siecią Internet o funkcjonalnościach opisanych poniżej oraz umożliwić z jednego panelu administracyjnego zdalną konfiguracje polityk bezpieczeństwa dla wszystkich Lokalizacji Zamawiającego. Zamawiający nie przewiduje w tych lokalizacjach własnych urządzeń bezpieczeństwa na potrzeby usługi Internet.

25

Wykonawca dostarczy rozwiązanie umożliwiające scentralizowane zarządzanie politykami bezpieczeństwa dostępu do sieci Internet dla wszystkich Lokalizacji.

2. W celu realizacji Usługi typu B, Wykonawca dostarczy do wskazanych Lokalizacji Zamawiającego wszelkie niezbędne urządzenia umożliwiające uruchomienie dostępu do Usługi typu B oraz realizacji funkcjonalności opisanych w OPZ. Zamawiający nie dysponuje w Lokalizacjach własnymi urządzeniami przeznaczonymi na te potrzeby.

3. Wykonawca dostarczy SZUB który obejmie wszystkie Lokalizacje posiadające dostęp do Usługi typu B.

4. Wykonawca dostarczy SMLB który obejmie wszystkie Lokalizacje posiadające dostęp do Usługi typu B.

5. SZUB oraz SMLB obejmą również punkty styku z siecią Internet.

6. Dostarczane do dwóch rozproszonych geograficznie punktów styku z siecią Internet oraz do poszczególnych Lokalizacji Urządzenia tworzące SBUB muszą posiadać następujące funkcjonalności:

a) SBUB w punktach styku z siecią Internet musi składać się z dwóch dedykowanych urządzeń zabezpieczeń sieciowych (ang. appliance) dla każdego punktu styku z siecią Internet.

b) Każde z urządzeń wchodzące w skład SBUB musi być wyposażone w minimum dwa zasilacze zapewniające redundancję zasilania, typu hot-plug.

c) Urządzenia SBUB muszą obsługiwać agregowanie interfejsów fizycznych ramach pojedynczego urządzenia pracującego samodzielnie lub dwóch urządzeń w klastrze typu active/standby lub w klastrze typu active/active.

d) SBUB musi składać się z co najmniej 2 fizycznych Urządzeń wykonujących kontrolę ruchu sieciowego oraz pozwalających na centralne zarządzanie oraz centralne logowanie i raportowanie zdarzeń z wykorzystaniem SZUB oraz SMLB. Dla urządzeń musi występować sprzętowa separacja modułu zarządzania i modułu przetwarzania danych.

e) Urządzenia SBUB muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active.

f) Każde z urządzeń tworzących SBUB w punktach styku z siecią Internet musi posiadać następujące parametry wydajnościowe dla przetwarzanego ruchu sieciowego:

i. Całkowita wydajność urządzenia w trybie stateful inspection, rozumianym jako filtracja pakietów firewall w warstwie 4 modelu OSI - nie mniejsza niż 5 Gbps.

ii. Całkowita wydajność urządzenia w trybie inspekcji Threat Prevention – rozumianym jako filtracja pakietów przy włączonych modułach bezpieczeństwa min. firewall, ochrona antywirusowa, system IPS, kontrola aplikacji– nie mniejsza niż 2 Gbps.

iii. Maksymalna liczba obsługiwanych jednoczesnych połączeń - nie mniejsza niż 1 000 000.

26

iv. Maksymalna liczba obsługiwanych nawiązywanych połączeń - nie mniejsza niż 120 000 / sek.

v. Całkowita wydajność ruchu IPSec VPN (3DES/AES) - nie mniejsza niż 2 Gbps.

g) Minimalne funkcjonalności oraz parametry techniczne dla rozwiązania zastosowanego w poszczególnych jednostkach prokuratur powszechnych w celu realizacji funkcjonalności DMZ (Zamawiający dopuszcza do realizacji tego celu zarówno urządzenie fizyczne jak i urządzenie zwirtualizowane):

i. Całkowita wydajność urządzenia w trybie stateful inspection, rozumianym jako filtracja pakietów Firewall w warstwie 4 modelu OSI - nie mniejsza niż 900 Mbps

ii. Całkowita wydajność urządzenia w trybie inspekcji Threat Prevention – rozumianym jako filtracja pakietów przy włączonych modułach bezpieczeństwa min. System Zabezpieczeń Firewall, System IPS, Kontrola Aplikacji– nie mniejsza niż 600 Mbps

iii. Maksymalna liczba obsługiwanych jednoczesnych połączeń - nie mniejsza niż 100 000

iv. Maksymalna liczba obsługiwanych nawiązywanych połączeń - nie mniejsza niż 8000 / sek.

v. Całkowita wydajność ruchu IPSec VPN (3DES/AES) - nie mniejsza niż 400 Mbps

h) SBUB musi realizować zadania kontroli ruchu (filtracji ruchu), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji za pomocą modułów bezpieczeństwa: firewall, system IPS, kontrola aplikacji, ochrona antywirusowa, URL Filtering.

i) SBUB musi wspierać funkcjonalności/mechanizmy co najmniej: realizacja połączeń VPN IPsec (Site-to-Site) i VPN SSL, inspekcja komunikacji szyfrowanej, identyfikacja użytkowników, translacja adresów, protokoły routingu dynamicznego, mechanizmy QoS, sieci VLAN.

j) SBUB zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa) na poziomie warstwy sieciowej, transportowej oraz aplikacji.

k) Polityka zabezpieczeń firewall musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, moduły kontroli ruchu sieciowego, aplikacje, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń, zarządzanie pasmem sieci (minimum priorytet, pasmo gwarantowane, pasmo maksymalne, oznaczenia DiffServ).

l) SBUB musi pozwalać na blokowanie transmisji plików, nie mniej niż: bat, cab, dll, doc, szyfrowany doc, docx, ppt, szyfrowany ppt, pptx, xls, szyfrowany xls, xlsx, rar, szyfrowany rar, zip, szyfrowany zip, exe, gzip, pdf, reg, sh, tar, text/html, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia.

27

m) SBUB musi posiadać moduł wykrywania i blokowania ataków intruzów opartego o sygnatury i zdefiniowane wzorce ruchu sieciowego oraz parametry protokołów sieciowych.

n) Baza systemu IPS musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi w okresie obowiązywania Umowy.

o) SBUB musi posiadać moduł IPS/IDS uruchamiany per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcja IPS/IDS uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

p) SBUB musi obsługiwać mechanizm wykrywania aplikacji w ruchu sieciowym.

q) SBUB musi automatycznie identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania. Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury i analizę heurystyczną.

r) Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall.

s) SBUB musi wykrywać co najmniej 2400 3000 różnych aplikacji (takich jak Skype, Tor, BitTorrent, eMule itd) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS.

t) SBUB musi obsługiwać inspekcję ruchu pozwalającą na ochronę antywirusową i antymalware przynajmniej dla protokołów: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików – PDF,DOC,XLS, pliki wykonywalne oraz archiwa.

u) Baza modułu antywirusowego musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi w okresie obowiązywania Umowy.

v) SBUB musi umożliwiać sprawdzenie reputacji plików widzianych w ruchu sieciowym na podstawie ich sumy kontrolnej.

w) SBUB musi umożliwiać dokonanie statycznej analizy struktury całego pliku pod kątem charakterystycznych elementów używanych w złośliwym oprogramowaniu.

x) SBUB musi umożliwiać automatyczne przesłanie pliku do zewnętrznego rozwiązania sandbox celem dokonania analizy dynamicznej pliku.

y) SBUB musi umożliwiać zapisanie na dysk twardy kopii analizowanych plików w tym plików podejrzanych, plików zawierających wrogi kod, plików spełniających kryteria własne (zdefiniowane przez administratora)

z) SBUB musi umożliwiać zablokowanie transferu plików w oparciu o ich rodzaj, protokół transmisji, kierunek transferu, zdefiniowaną kategorię własną oraz zawierających wrogi/złośliwy kod.

aa) SBUB musi posiadać modułu inspekcji antywirusowej uruchamiany per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby modułu inspekcji

28

antywirusowej uruchamiany był per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

bb) SBUB musi obsługiwać mechanizm filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów, poza subskrypcją.

cc) Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi w okresie obowiązywania Umowy.

dd) SBUB musi zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL.

ee) SBUB musi posiadać moduł filtrowania stron WWW który można uruchomić per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby funkcja filtrowania stron WWW uruchamiana była per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa).

ff) SBUB musi obsługiwać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site.

gg) SBUB musi umożliwiać obsługę co najmniej 1000 użytkowników SSL VPN. Użytkownicy autoryzują się za pomocą: RADIUS, LDAP, certyfikatów, dwu-składnikowego uwierzytelniania bądź lokalnej bazy użytkowników.

hh) Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN.

ii) SBUB musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego z sieci Internet do serwerów wewnętrznych.

jj) SBUB musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL.

kk) SBUB musi posiadać osobny zestaw polityk definiujący ruch SSL który należy poddać lub wykluczyć z operacji deszyfrowania i głębokiej inspekcji rozdzielny od polityk bezpieczeństwa.

ll) SBUB musi zapewniać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH.

mm) Mechanizm głębokiej inspekcji ruchu musi dopuszczać analizę ruchu w trybie monitorowania (bez reakcji).

nn) SBUB musi transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP.

29

oo) SBUB nie może posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów i użytkowników w sieci wewnętrznej.

pp) SBUB musi odczytywać oryginalne adresy IP stacji końcowych z pola X-Forwarded-For w nagłówku http i wykrywać na tej podstawie użytkowników z domeny Windows Active Directory generujących daną sesje w przypadku gdy analizowany ruch przechodzi wcześniej przez serwer Proxy ukrywający oryginalne adresy IP zanim dojdzie on do urządzenia.

qq) SBUB musi mieć możliwość wykorzystania portalu do uwierzytelniania użytkowników tzw. Captive Portal.

rr) Captive Portal musi mieć możliwość wykorzystania bazy użytkowników opartej o co najmniej: bazę lokalną, LDAP, RADIUS lub Active Directory.

ss) SBUB musi mieć możliwość wykorzystania Captive Portal dla użytkowników, których ruch przychodzący pochodzi ze zdalnej lokalizacji połączonej z Systemem poprzez Tunel IPsec VPN

tt) SBUB musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.

uu) SBUB musi posiadać osobny zestaw polityk definiujący reguły translacji adresów NAT rozdzielny od polityk bezpieczeństwa.

vv) SBUB musi obsługiwać protokoły routingu dynamicznego BGP, RIP i OSPF

ww) SBUB zapewnia klasyfikację ważności ruchu pakietów na bazie: Protokołu sieciowego, źródłowego i docelowego adresu IP, numeru portu TCP lub UDP, znacznika DSCP/TOS

xx) SBUB musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez znakowanie zgodne z IEEE 802.1q. subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3.

yy) SBUB musi posiadać sygnatury DNS wykrywające i blokujące ruch do domen uznanych za złośliwe.

zz) SBUB musi posiadać funkcję podmiany adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem (tzw. DNS Sinkhole).

aaa) SBUB musi umożliwiać przesyłanie logów do SMLB.

bbb)Zarządzanie urządzeniami SBUB musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli Web GUI dostępnej przez przeglądarkę WWW oraz z SZUB. Interfejs systemu musi być w języku polskim lub angielskim.

ccc) Dostęp do urządzeń systemu i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach.

30

ddd)Konsola zarządzająca musi zapewniać różnicowanie dostępu dla administratorów, oraz musi istnieć możliwość ograniczenia możliwości konfiguracyjnych dla administratorów w zależności od ich roli.

eee) Logowanie aktywności administratora musi odbywać się lokalnie oraz w SZUB.

fff) Zamawiający wymaga aby możliwe było zakładanie zgłoszeń pomocy technicznej bezpośrednio u producenta Urządzeń wchodzących w skład SBUB,

ggg)W okresie obowiązywania Umowy Zamawiający wymaga zapewnienia dostępu do aktualizacji wersji oprogramowania dla Urządzeń wchodzących w skład SBUB.

hhh)Urządzenia wchodzące w skład SBUB muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta i jednocześnie nie mogą znajdować się na liście „end-of-sale” oraz „end-of-support” producenta.

iii) Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim w autoryzowanym ośrodku edukacyjnym.

jjj) Urządzenia tworzące SBUB muszą być urządzeniami o uznanej na rynku pozycji i muszą znajdować się w kwadracie „Leaders” lub „Chellengers” raportu Gartnera pt. „Magic Quadrant of Network Enterprise Firewalls – Kwiecień 2016”.

7. Całość dostarczonej infrastruktury przeznaczonej na potrzeby styku z siecią Internet oraz realizacji funkcjonalności DMZ w Lokalizacjach, podlegają monitorowaniu przez Wykonawcę. Zarządzanie urządzeniami będzie prowadzone przez wskazanych administratorów Zamawiającego – 25 osób (po 2 administratorów z obszaru każdej prokuratury regionalnej oraz 3 administratorów z PK).

8. SZUB musi umożliwić grupowanie Urządzeń tworzących SBUB odpowiadające podziałowi organizacyjnemu Zamawiającego i nadawanie uprawnień do zarządzania poszczególnymi grupami urządzeń dla wskazanych administratorów. Administratorzy PK muszą mieć dostęp do wszystkich zarządzanych urządzeń zaimplementowanych na potrzeby świadczenia Usługi typu B.

9. SZUB oraz SMLB możne zostać zaimplementowany w postaci sprzętowej (appliance) lub w postaci maszyny wirtualnej (VM), w lokalizacji Zamawiającego lub w infrastrukturze Wykonawcy. W przypadku instalacji w postaci maszyny wirtualnej Wykonawca zapewni niezbędny sprzęt serwerowy wraz odpowiednią pojemnością przestrzeni dyskowej i licencjami na oprogramowanie.

10. SZUB musi pozwalać na centralne zarządzanie wszystkimi urządzeniami dostarczonymi na potrzeby realizacji tej usługi zaimplementowanymi w udostępnianej sieci.

11. SMLB musi realizować co najmniej następujące funkcjonalności:

a. zarządzanie co najmniej wszystkimi urządzeniami zaimplementowanymi w SBUB.

31

b. zbieranie logów zdarzeń z SBUB. Zbierane dane będą zawierać informacje co najmniej o: ruchu sieciowym, użytkownikach, aplikacjach, zagrożeniach i filtrowanych stronach WWW.

c. korelacja logów zdarzeń z SBUB.

d. przeszukiwanie skorelowanych logów zebranych z SBUB.

e. tworzenie, zapisywanie i ponowne wykorzystywanie filtrów służących do wyszukiwania informacji w zebranych danych.

f. tworzenie statycznych raportów dopasowanych do wymagań Zamawiającego. Musi istnieć możliwość zapisania stworzonych raportów i uruchamianie ich w sposób ręczny lub automatyczny w określonych przedziałach czasu oraz wysyłania ich w postaci wiadomości e-mail do wybranych osób.

g. tworzenie dynamicznych raportów (w czasie rzeczywistym) dopasowanych do wymagań Zamawiającego z funkcjonalnością „drill-down”.

12. SZUB musi realizować co najmniej następujące funkcjonalności:

h. centralne budowanie i dystrybucja polityk bezpieczeństwa o różnym zasięgu. Lokalnych (dla wybranych urządzeń SBUB) i globalnych (dla grup urządzeń SBUB).

i. umożliwi przechowywanie i zarządzanie obiektami używanymi przez wszystkie urządzenia SBUB w jednym, centralnym repozytorium. SZUB umożliwi tworzenie obiektów o różnym zasięgu (lokalne, globalne).

j. umożliwi odseparowanie konfiguracji urządzeń i ich ustawień sieciowych od konfiguracji reguł bezpieczeństwa i obiektów w nich użytych.

k. umożliwi dystrybucję i zdalną instalację nowych sygnatur.

l. umożliwi dystrybucję i zdalną instalację nowych wersji systemu oraz poprawek.

m. umożliwi tworzenie kopii zapasowych konfiguracji zarządzanych firewalli.

n. będzie informować o zmianach konfiguracji systemu.

o. umożliwi audytowanie/sprawdzanie poprawności konfiguracji urządzenia/logicznego systemu przed jej zatwierdzeniem.

p. umożliwi zapisywanie różnych wersji konfiguracji zarządzanych firewalli/logicznych systemów.

13. Zamawiający zastrzega sobie możliwość rozbudowy SBUB o kolejne elementy zwiększające poziom bezpieczeństwa Usługi typu B, zakupionych w ramach innych postępowań przetargowych, po uzgodnieniach technicznych z Wykonawcą.

IX. Usługa DNS oraz Anty DDoS w ramach realizacji Usługi typu B

1. W ramach realizacji Usługi typu B, Wykonawca uruchomi usługę AntyDDoS czyli przeciwdziałanie atakom typu DDoS. Usługa nie może posiadać ograniczeń w ilości analizowanych danych i musi być świadczona w ramach Usługi typu B bez naliczania dodatkowych opłat. Wymagany czas reakcji na zdarzenia nie może być dłuższy niż 20 minut od wykrycia zdarzenia.

32

2 W celu poprawnego świadczenia usługi AntyDDoS Wykonawca musi posiadać we własnej infrastrukturze i strukturze organizacyjnej:

a. system monitorowania w czasie rzeczywistym Routerów PE lub innych urządzeń w infrastrukturze, w celu sporządzenia profilu typowego ruchu w kierunkach od i do Zamawiającego;

b. system wykrywania anomalii ruchu przynajmniej za pomocą sygnatur, przekroczenia zdefiniowanych progów ruchu dla określonego typu pakietów i protokołów, analizy profilu ruchu w oparciu o profil standardowego ruchu;

c. system usuwania ataku (filtrowania) przy możliwie jak najmniejszym wpływie na pozostały ruch w kierunkach od i do Zamawiającego;

d. specjalistów dedykowanych do obsługi AntyDDoS w sposób ciągły, przez 24 godziny na dobę.

3 System wykrywania anomalii ruchu musi obejmować przynajmniej:e. wykrywanie anomalii polegających na przekroczeniu wartości uważanych za

normalne w ruchu w sieci Internet, w szczególności pakietów TCP SYN, TCP RST, TCP Null, ICMP, IP Null, IP Fragmented, DNS;

f. wyznaczanie oczekiwanej wartości ruchu w kierunkach do i od Zamawiającego, o danej porze dnia w danym dniu tygodnia;

g. wykrywanie anomalii polegających na znaczącym przekroczeniu wolumenu ruchu w stosunku do wcześniej wyznaczonych wartości oczekiwanych tego ruchu.

4 System usuwania ataku musi obejmować przynajmniej:

a. filtrowanie ruchu z błędnymi nagłówkami IP/TCP/UDP;b. odrzucanie lub przepuszczanie na bazie zdefiniowanych dla Zamawiającego

filtrów operujących na informacjach w nagłówkach L3 i L4 modelu ISO/OSI;c. filtrowanie ruchu na określonych portach UDP na podstawie zawartości pola

danych w oparciu o wyrażenia regularne;d. filtrowanie ruchu na określonych portach TCP na podstawie zawartości pola

danych w oparciu o wyrażenia regularne;e. ochronę przed atakami z udawanymi adresami źródłowymi IP (spoofing)

poprzez autentykację sesji TCP, zapytań DNS oraz zapytań http;f. filtrowanie nieprawidłowych zapytań DNS;g. ograniczenie zapytań DNS do zadanej wartości zapytań na sekundę;h. filtrowanie oparte o wyrażenia regularne definiujące zakres stosowania

autentykacji DNS oraz ograniczania liczby zapytań DNS;i. filtrowanie nieprawidłowych zapytań HTTP;j. blokowanie ruchu od stacji Zamawiającego przekraczających progi dla

operacji HTTP na sekundę na dany serwer lub na dany URL;k. filtrowanie oparte o wyrażenia regularne definiujące zakres stosowania

autentykacji HTTP lub ograniczania liczby zapytań http;l. filtrowanie ruchu w oparciu o wyrażenia regularne dotyczące nagłówków

HTTP;m. ochronę przez atakami typu Slow Lories poprzez resetowanie połączeń, które

pozostają nieaktywne przez zadany okres czasu;

33

n. ochronę przez atakami typu Slow Lories poprzez resetowanie sesji TCP, której aktywność jest poniżej zadanej liczby bajtów przesyłanej w zadanym okresie czasu;

o. wykrywanie ruchu kierowanego z serwerów CDN proxy i stosowanie algorytmów filtrowania na podstawie oryginalnego źródła ruchu;

p. wykrywanie i filtrowanie pakietów z nieprawidłowymi nagłówkami SSL/TLS lub nagłówkami SSL/TLS, które są poza sekwencją;

q. blokowane sesji jeżeli podczas negocjacji SSL/TLS klient zarządza nadmiernej ilości metod kryptograficznych lub rozszerzeń użytkownika. Próg dla tych wartości musi być definiowalny;

r. wykrywanie i rozłączanie sesji jeżeli negocjacja SSL/TLS nie zakończy się w zadanym czasie;

s. blokowanie ruchu ze stacji, dla których występuje nadmierna liczba nieprawidłowych, nadmiarowych lub niekompletnych sesji SSL;

t. monitorowanie negocjacji SSL dla wszystkich portów, na których można stosować aplikacje zabezpieczone protokołem TLS, przynajmniej: HTTPS, SMTP, IMAP4, POP, LDAP, NNTP, TELNET, FTP i SIP;

u. ochronę przed atakami pochodzącymi od sieci botnetowych (komputerów zainfekowanych w sposób umożliwiające zdalne sterowanie przez hackerów) poprzez filtrowanie na podstawie na bieżąco aktualizowanych sygnatur zawierających listę adresów IP;

v. ochronę przed atakami pochodzącymi z sieci botnetowych poprzez wykrywanie źródeł ataku o wolumenie przekraczającym zadane wartości. Wartości progowe muszą być definiowalne zarówno dla całości ruchu jak i do części ruchu zdefiniowanego za pomocą filtru.

5 Ze względu na wymaganą poufność, monitoring i obróbka ruchu pod kątem ataków DDoS musi odbywać się wyłączenie w infrastrukturze Wykonawcy.

6 Personel techniczny Wykonawcy dedykowany do obsługi AntyDDoS będzie odpowiadał za:

a. analizę ruchu w celu identyfikacji typu i natury ataku;b. powiadamianie Zamawiającego o podejrzeniu wystąpienia ataku;c. rozpoczęcie usuwania ataku w porozumieniu z Zamawiającym, przy czym

musi być możliwe automatyczne uruchamianie obrony dla alarmów o wysokim poziomie zagrożenia;

d. modyfikację zestawu użytych mechanizmów przeciwdziałania tak, aby uzyskać maksymalny poziom filtracji ruchu niepożądanego przy minimalnym wpływie na ruch prawidłowy;

e. klasyfikację alarmów typu DDoS jako: atak prawdziwy - zweryfikowany, atak fałszywy - zweryfikowany, nagły wzrost ruchu - zweryfikowany (pożądany).

7 Szczegółowy sposób powiadamiania Zamawiającego, inicjowania, awaryjnego przerwania i zakończenia procedury filtrowania w przypadku wykrycia ataku zostanie uzgodniony na etapie wdrożenia.

8 Po zakończeniu operacji filtrowania ruchu po zaistniałym ataku DDoS każdorazowo wymaga się sporządzania przez Wykonawcę i przekazywania Zamawiającemu raportu z wykrytego ataku. Raport musi zawierać przynajmniej następujące informacje:

34

a. rozmiar ataku, liczniki pakietów, procent całości ruchu wyrażony także w Gb/s;

b. czas trwania ataku;c. główne źródła ataku wraz z geograficznym położeniem tych źródeł;d. typ i naturę ataku;e. wdrożone metody eliminacji ataku;f. wielkość oczyszczonego ruchu;g. czasy związane z wykonywaniem usługi AntyDDoS, tj.: godzina początku

ataku, godzina powiadomienia Zamawiającego, godzina wdrożenia procedur obronnych, godzina zakończenia ataku, godzina przywrócenia normalnej pracy sieci.

9 Wykonawca sporządzi i przekaże Zamawiającemu w każdym Miesiącu Rozliczeniowym, do 10 dnia danego Miesiąca Rozliczeniowego, raport za poprzedni Miesiąc Rozliczeniowy zawierających przynajmniej:

a. statystykę ruchu w kierunkach od i do Zamawiającego;b. maksymalne wartości ruchu;c. listę zarejestrowanych ataków wraz z ich klasyfikacją;d. listę usuniętych ataków

10 Zamawiający wymaga, aby Wykonawca skonfigurował w swojej infrastrukturze przynajmniej dwa publiczne serwery DNS:

a. typu primary dla domen prostych i odwrotnych wykorzystywanych obecnie przez jednostki prokuratury, wraz ze zdalnym systemem dostępowym umożliwiającym Zamawiającemu pełną modyfikację stref 24 godziny na dobę;

b. typu secondary dla domen prostych i odwrotnych wykorzystywanych obecnie przez jednostki prokuratury, wraz ze zdalnym systemem dostępowym umożliwiającym Zamawiającemu pełną modyfikację stref 24 godziny na dobę;

11 Serwery muszą być skonfigurowane w trybie wskazującym dodatkowo na serwer pracujący w trybie secondary dla domen prostych i odwrotnych znajdujących się w infrastrukturze wewnętrznej Zamawiającego. Wykonawca odpowiednio skonfiguruje strefy tego serwera DNS.

12 Serwery muszą być dostępne w ramach VRF realizującego Usługę typu B oraz umożliwiać rozwiązywanie nazw lokalnych adresów w DMZ poszczególnych Lokalizacji tak aby zapytania DNS o zasoby lokalne nie wychodziły poza VRF realizujący Usługę typu B.

13 Zmiana wpisu dla domen prostych lub odwrotnych dokonana przez Zamawiającego musi spowodować automatyczną aktualizację wpisów w serwerach typu secondary oraz rozpropagowanie się aktualizacji domen w całej sieci Internet.

14 Zmiana delegacji domen wykorzystywanych obecnie przez jednostki prokuratury na adresację IP wskazującą na serwery DNS i adresację IP przydzieloną przez Wykonawcę leży po stronie Zamawiającego.

X. Testy

35

1. Wykonawca przygotuje plan testów w którym określona będzie organizacja przeprowadzenia testów oraz harmonogram przeprowadzenia testów.

2. Plan testów oraz scenariusze testów podlegają odbiorowi przez Zamawiającego zgodnie z procedurą odbioru Produktu typu Dokument.

3. W ramach planowanych Testów Zamawiający wymaga przygotowania Scenariuszy testowych dla co najmniej następującego zakresu Testów:

a. testy funkcjonalne przeprowadzane w każdej Lokalizacji. Testy będą miały na celu sprawdzenie zgodności z Projektem Technicznym oraz wymaganiami określonymi w Umowie,

b. testy akceptacyjne - po wdrożeniu całego rozwiązania. Testy będą miały na celu sprawdzenie zgodności wykonania z Projektem Technicznym oraz wymaganiami określonymi w Umowie,

4. Testy akceptacyjne muszą zostać tak przygotowane przez Wykonawcę, aby było możliwe ich przeprowadzenie z siedziby Zamawiającego w Warszawie.

5. Scenariusze dla testów muszą być tak przygotowane, aby na życzenie Zamawiającego mogły być wykonane przez osoby spoza personelu Wykonawcy a wskazane przez Zamawiającego.

6. Sposób przygotowania scenariuszy testowych musi pozwolić na zweryfikowanie spełnienia wymagań określonych w niniejszym zamówieniu. W szczególności musi istnieć możliwość łatwego:

a. zidentyfikowania wymagań OPZ weryfikowanych przez scenariusz,b. zidentyfikowania wymagań zawartych w Projekcie Technicznym.

7. Scenariusz testowy musi zawierać:a. numer scenariusza – umożliwiający jego łatwą i bezbłędną identyfikację,b. wskazanie testowanego zakresu oraz odniesienia do dokumentacji,c. warunki wejściowe – lista warunków, jakie muszą być spełnione, aby można

było rozpocząć wykonanie scenariusza,d. oczekiwane wyniki testu, e. zawierać opis działań osoby realizującej test w postaci kolejnych kroków, ze

wskazaniem danych, których należy użyć. Opis winien być wyrażony w sposób prosty, przystępny dla osoby w ograniczonym stopniu zapoznanej z urządzeniami,

f. umożliwiać realizację scenariusza testowego w krótkim czasie, bez konieczności czasochłonnej lektury dużych fragmentów tekstu, lub odwoływania się do dokumentacji technicznej, przed jego wykonaniem,

g. prezentować oczekiwany wynik wykonania – opis pozwalający na jednoznaczną ocenę, czy przypadek testowy zakończył się sukcesem lub czy błędem,

h. jeżeli dla sprawdzenia wyniku przypadku testowego konieczne jest wykonanie pewnej sekwencji działań, to musi być ona również opisana w postaci kolejnych kroków,

i. każdy scenariusz w zbiorze scenariuszy musi cechować:i. prostota opisu – scenariusz powinien być opisany w sposób prosty,

zrozumiały dla osoby nie znającej urządzeń lub zapoznanej z nim w ograniczony sposób,

36

ii. powtarzalność – powinno być możliwe wielokrotne wykonanie scenariusza w identyczny sposób na podstawie jego opisu,

iii. jednoznaczność – scenariusz przy spełnieniu wymagań wejściowych oraz realizacji wg. opisu powinien mieć ten sam przebieg oraz identyczny wynik,

iv. możliwość automatyzacji – w przypadku scenariuszy, w których automatyzacja jest możliwa.

8. Zamawiający będzie uważał Test za zaliczony, jeżeli rzeczywiste wyniki pomiarowe nie będą przekraczały parametrów granicznych wskazanych w spodziewanych wynikach pomiarowych dla tego testu.

9. Kierownik Projektu Wykonawcy w sposób pisemny lub pocztą elektroniczną poinformuje kierownika projektu Zamawiającego o przełączeniu rozgłaszania lokalnych sieci Zamawiającego do Routerów CE we wszystkich Lokalizacjach i o gotowości do przeprowadzenia drugiej części Testów – testów akceptacyjnych.

10. Przeprowadzanie testów akceptacyjnych rozpocznie się w terminie uzgodnionym z kierownikiem projektu Zamawiającego jednak nie później niż 5 Dnia Roboczego od dnia wpłynięcia zawiadomienia od Wykonawcy.

11. W przypadku jeżeli chociaż jeden test z grupy testów przeprowadzonych przez Wykonawcę w ramach Testów nie zostanie zaliczony, Wykonawca bez zbędnej zwłoki usunie przyczyny związane z niepowodzeniem danego testu lub testów i ponownie zgłosi gotowość do przeprowadzenia Testów. Przeprowadzanie Testów rozpocznie się w terminie uzgodnionym z kierownikiem projektu Zamawiającego jednak nie później niż 3 Dnia Roboczego od dnia wpłynięcia ponownego zawiadomienia od Kierownika Projektu Wykonawcy.

12. W ramach Testów funkcjonalnych, Wykonawca musi zmierzyć przynajmniej:a. minimalną przepustowość w obu kierunkach w każdej Lokalizacji dla Usługi

typu A i Usługi typu B;b. maksymalną utratę pakietów dla każdej klasy QoS w każdej Lokalizacji dla

Usługi typu A i Usługi typu B;c. maksymalne opóźnienie (RTD) dla każdej klasy QoS w każdej Lokalizacji dla

Usługi typu A i Usługi typu B;d. maksymalny Jitter dla klas QoS: w każdej Lokalizacji dla Usługi typu A i

Usługi typu B;

13. Testy parametrów łączy, tj. RTD, utratę pakietów i Jitter, a także testy przepustowości łączy w Lokalizacjach Zamawiającego dla Usługi typu A i Usługi typu B należy wykonać miernikiem zgodnie ze standardem RFC 2544, przy następujących założeniach:

a. dla minimum trzech zdefiniowanych długości ramki, tj. dla minimum 256, 512 i 1518 bajtów;

b. parametr „throughput” ustawiony w taki sposób, aby wykonać pomiar dla 100% wymaganej przepustowości łączy;

c. warstwa modelu ISO/OSI: L3;d. tolerancja pomiaru: nie większa niż 1 %;e. czas prowadzenia każdego testu: minimum 5 minut;f. ilość prób przeprowadzenia danego testu: 1 próba.

37

14. Miernik pomiarowy użyty do pomiarów łączy musi posiadać certyfikację organu upoważnionego aktualną na dzień prowadzenia pomiaru. Z certyfikacji musi wynikać, że miernik pracuje poprawnie, oraz że został on prawidłowo skalibrowany. Kopię takiego dokumentu Wykonawca zobowiązany jest przedstawić Zamawiającemu do wglądu przed rozpoczęciem wykonywania testów, a także zobowiązany jest dołączyć ją do dokumentacji powykonawczej.

15. Wykonawca może przystąpić do wykonywania Testów akceptacyjnych jeżeli jednocześnie spełni następujące trzy warunki:

a. uzyska odbiór wyników Testów funkcjonalnych;b. uzyska odbiór propozycji Testów akceptacyjnych;c. w przypadku Usługi typu A we wszystkich Lokalizacjach dokona migracji

obecnie eksploatowanej sieci WAN-PROK Zamawiającego do udostępnianej Usługi typu A.

16. W ramach Testów akceptacyjnych Wykonawca musi przeprowadzić przynajmniej:a. weryfikację poprawności konfiguracji i działania routingu dla każdego VRF na

Routerze CE w każdej Lokalizacji;b. weryfikację poprawności konfiguracji i działania polityk bezpieczeństwa dla

Usługi typu B w każdej Lokalizacji;c. weryfikację poprawności konfiguracji i działania usługi Anty DDoS w

przypadku Usługi typu B;d. weryfikację poprawności konfiguracji i kierowania określonego ruchu do danej

klasy QoS;e. weryfikację poprawności konfiguracji i działania automatycznego

przełączania ruchu pomiędzy Podstawowym i Zapasowym Łączem transmisji danych w przypadku Awarii;

f. weryfikację poprawności konfiguracji i działania automatycznego przełączania ruchu pomiędzy węzłami dostępowymi dla Usługi typu B tj. dostępu do sieci Internet;

g. weryfikację poprawności konfiguracji i działania systemu monitoringu w zakresie wykrywania Awarii, zbierania i eksportowania statystyk, korelacji zdarzeń, wysyłania email i SMS z powiadomieniami o Awariach;

h. weryfikację poprawności konfiguracji i działania głównego oraz zapasowego DNS i revDNS;

17. Szczegółowy zakres Testów akceptacyjnych Wykonawca zaproponuje oraz uzgodni z Kierownikiem Projektu Zamawiającego podczas realizacji Projektu.

18. Poprawna realizacja testów funkcjonalnych będzie podstawą do podpisania Protokołu Odbioru Lokalizacji.

19. Poprawna realizacja testów akceptacyjnych będzie podstawą do podpisania Protokołu Odbioru Końcowego.

XI. Szkolenia

1. Wykonawca w ramach umowy przeprowadzi szkolenia:

a. szkolenie wstępne z zakresu realizacji Usługi typu B,

38

b. szkolenia administratorów-instruktorów z zakresu SBUB, SZUB SMLB,

c. szkolenie specjalistyczne w formie voucherów.

2. Wykonawca przeprowadzi szkolenie wstępne personelu technicznego Zamawiającego - 60 osób w postaci warsztatów technicznych z zakresu wdrażanej Usługi typu B. Szkolenie przeprowadzone będzie w maksymalnie 20 osobowych grupach. Szkolenie trwać będzie 3 dni robocze. Szkolenie będzie prowadzone w języku polskim. Szkolenie wstępne powinno rozpocząć się w terminie do 10 dni od zaakceptowania przez Zamawiającego Projektu Technicznego Usługi typu B i musi obejmować zagadnienia organizacyjne realizacji projektu oraz informacje techniczne z zakresu obsługi SBUB, SZUB, SMLB.

3. Wykonawca przeprowadzi dla 32 administratorów-instruktorów (wytypowanych przez Zamawiającego) szkolenie w zakresie administracji, użytkowania, utrzymania i obsługi urządzeń realizujących Usługę typu B obejmujące SBUB, SZUB, SMLB. Szkolenia muszą obejmować wprowadzenie teoretyczne oraz informacje praktyczne. Szkolenie zostanie przeprowadzone w grupach 8 osobowych. Szkolenia będą przeprowadzone w sesjach po 5 dni roboczych pomiędzy którymi będzie 5 dni roboczych przerwy dla każdej grupy. Szkolenia będą prowadzone w języku polskim.

4. Szkolenia administratorów-instruktorów mają przygotować personel techniczny Zamawiającego do samodzielnej eksploatacji wdrażanego rozwiązania i muszą mieć charakter warsztatów obejmujących ćwiczenia praktyczne z zakresu konfiguracji i rozwiązywania problemów eksploatacyjnych z dostępem do konsoli zarządzania poszczególnymi Urządzeniami SBUB, SZUB, SMLB.

5. Zakres i szczegółowy plan szkoleń Wykonawca przedstawi Zamawiającemu do akceptacji minimum 10 dni roboczych przed rozpoczęciem pierwszego szkolenia.

6. Dla każdego typu szkoleń Wykonawca przygotuje materiały szkoleniowe, które zostaną przekazane Zamawiającemu do akceptacji minimum na 10 dni przed rozpoczęciem szkolenia.

7. Szkolenia określone w pkt 1 ppkt a-b Wykonawca przeprowadzi przed terminem odbioru zestawienia i uruchomienia łączy realizujących Usługę typu B (nie dotyczy to voucherów na szkolenia specjalistyczne).

8. Szkolenie specjalistyczne obejmują szkolenia z zakresu administracji, użytkowania, utrzymania i obsługi urządzeń SBUB, SZUB, SMLB.

9. Szkolenie specjalistyczne muszą odbyć się w autoryzowanych przez producenta rozwiązania centrach szkoleniowych na terenie Polski.

10. Szkolenie specjalistyczne Wykonawca dostarczy w formie voucherów dla 32 administratorów wskazanych przez Zamawiającego. Vouchery muszą być ważne przez co najmniej 18 miesięcy z możliwością zmiany szkolenia lub osoby szkolonej, w zakresie cenowym szkolenia zamienianego.

11. Wykonawca zapewni prowadzenie szkoleń przez wykwalifikowaną kadrę posiadającą wiedzę teoretyczną i praktyczną z zakresu przedmiotu zamówienia.

12. Przeprowadzane szkolenia zostaną potwierdzone protokołem odbioru szkolenia sporządzonym w dwóch jednobrzmiących egzemplarzach, po jednym dla Zamawiającego i Wykonawcy, zawierającym:

39

a) nazwę, tematykę i czas trwania warsztatów,

b) datę i miejsce warsztatów,

c) imienną listę osób uczestniczących w szkoleniu/warsztatach,

d) imię i nazwisko oraz specjalizację osób prowadzących warsztaty,

e) materiały szkoleniowe.

13. Protokół z przeprowadzenia szkoleń podlegać będzie zatwierdzeniu przez Zamawiającego. Załącznikiem do protokołu będą ankiety ewaluacyjne wypełnione przez uczestników szkolenia. Wzór ankiety ewaluacyjnej zostanie uzgodniony z Wykonawcą na etapie realizacji umowy.

14. Wykonawca zapewni zakwaterowanie oraz wyżywienie dla uczestników szkoleń i zapewnieni zaplecze techniczno-dydaktyczne, w tym infrastrukturę sprzętową niezbędną do przeprowadzenia warsztatów.

15. Uczestnicy szkoleń powinni zostać zakwaterowani w hotelu o standardzie minimum 3*.

16. Każdy z uczestników szkoleń będzie posiadał samodzielny dostęp do konsoli Urządzeń SBUB lub interfejsu graficznego (w zależności od konfigurowanych parametrów). Zamawiający dopuszcza podłączenia zdalne z miejsca szkolenia do środowiska szkoleniowego Wykonawcy. Wykonawca zapewni co najmniej po 1 sztuce poszczególnych Urządzeń SBUB w miejscu szkolenia w celach demonstracyjnych. Każdy z uczestników szkolenia będzie miał do dyspozycji własną stację roboczą umożliwiającą dostęp do konsoli zarządzającej Urządzeń realizujących Usługę typu B oraz do sieci Internet. Zamawiający dopuszcza użycie sprzętu własnego przez poszczególnych administratorów.

17. Wszystkie szkolenia Wykonawca przeprowadzi w języku polskim, zapewniając materiały szkoleniowe (w języku polskim lub angielskim jeżeli nie są dostępne materiały szkoleniowe w języku polskim) dla uczestników warsztatów. Powyższe dotyczy voucherów i warsztatów realizowanych przez Wykonawcę. W przypadku warsztatów organizowanych przez Wykonawcę, Wykonawca przeniesie na Zamawiającego prawa autorskie do opracowanych materiałów szkoleniowych.

18. Wykonawca dostarczy Zamawiającemu multimedialne materiały szkoleniowe w postaci zapisu na płycie CD-ROM (lub innym równoważnym nośniku). Powyższe dotyczy voucherów i szkoleń realizowanych przez Wykonawcę.

19. Przeszkoleni administratorzy-instruktorzy otrzymają potwierdzenie ukończenia szkoleń. Powyższe dotyczy zarówno dostarczanych voucherów jak i warsztatów realizowanych przez Wykonawcę.

20. Zarówno szkolenia realizowane przez Wykonawcę jak i szkolenia dostarczone w postaci voucherów muszą być realizowane w formie stacjonarnej.

21. W ciągu 3 dni po zakończeniu Szkolenia, Wykonawca dostarczy Zamawiającemu listę obecności ze Szkolenia.

22. Odbiór szkoleń odbędzie się na podstawie wyników ankiet wypełnionych przez uczestników szkolenia oraz raportu Wykonawcy z przeprowadzonego szkolenia wraz z dołączoną listą obecności uczestników. Wzór ankiety ewaluacyjnej zostanie uzgodniony na etapie realizacji umowy. Zamawiający dokonuje odbioru szkolenia poprzez

40

potwierdzenie odbioru na raporcie z przeprowadzonego szkolenia przekazanym przez Wykonawcę. W przypadku gdy średnia ocen ankiet ewaluacyjnych nie osiągnie 50% ocen pozytywnych Wykonawca zobowiązany jest powtórzyć szkolenie w wyznaczonym przez Zamawiającego terminie, pod rygorem naliczenia kar umownych.

23. Zamawiający odmówi podpisania protokołu odbioru szkolenia określonego w ust. 13 w przypadku gdy Wykonawca przy organizacji danego szkolenia naruszy postanowienia Umowy lub SIWZ, w tym:

a. gdy Wykonawca nie zrealizuje szkolenia w odpowiednim terminie,

b. gdy trener nie zrealizuje szczegółowego planu szkolenia.

XII. Dokumentacja

1 Dokumentacja powykonawcza

1. Wykonawca opracuje i przekaże Zamawiającemu Dokumentację Powykonawczą opracowaną na podstawie Projektu Technicznego z uwzględnionymi zmianami oraz uzupełnieniami wynikającymi z przeprowadzenia instalacji i konfiguracji Usługi typu A i Usługi typu B.

2. Wszystkie kopie dokumentów dołączane do dokumentacji powykonawczej muszą mieć pieczęć i podpis 'za zgodność z oryginałem' osoby uprawnionej do weryfikacji dokumentów.

3. Dokumentację powykonawczą dotyczącą robót budowlanych Wykonawca opracuje zgodnie z obowiązującymi przepisami prawa. W ramach dokumentacji dotyczącej robót budowlanych dla każdej Lokalizacji w obrębie budynków, na, i w budynkach Zamawiającego muszą znajdować się przynajmniej:

a. mapy projektowe z naniesionymi trasami przyłączy i studzienek rewizyjnych - jeżeli wykonano lub użyto istniejących;

b. projekty wykonawcze instalacji;c. projekty wykonawcze budowlano-konstrukcyjne;d. wszelkie zgody i decyzje wynikające z przepisów Prawo budowlane i

pokrewnych uzyskane przez Wykonawcę w imieniu Zamawiającego;e. wszelką korespondencję i decyzje konserwatora zabytków uzyskane przez

Wykonawcę w imieniu Zamawiającego, jeżeli wymagane;f. zgoda na użytkowanie pasma koncesjonowanego, zgodnie z wymaganiami

przepisów prawa - dla każdego zamontowanego bezprzewodowego łącza telekomunikacyjnego;

g. dokumenty stwierdzające dopuszczenie użytych materiałów do stosowania w budownictwie;

h. oświadczenie Wykonawcy o wykonaniu robót budowlanych w Lokalizacjach zgodnie z aktualnymi przepisami;

i. dokumenty potwierdzające utylizację odpadów powstałych w toku wykonywanych w Lokalizacjach robót.

41

4. Dokumentacja dotycząca robót budowlanych złożona u Zamawiającego musi zawierać wymagane pieczęcie i podpisy osób uprawnionych do przygotowania tej dokumentacji, w szczególności oświadczenie, podpis i pieczęć osoby uprawnionej stwierdzające wykonanie robót zgodnie z projektem.

5. Jeden egzemplarz dokumentacji dotyczącej robót budowlanych musi pozostać w Lokalizacji, której dotyczy ta dokumentacja, a drugi Wykonawca dostarczy do siedziby Zamawiającego w Warszawie i dołączy do Protokołu Odbioru Końcowego Usługi typu A i Protokołu Odbioru Końcowego Usługi typu B.

6. Dokumentacja Powykonawcza powinna dodatkowo zawierać co najmniej:a. podania typu i parametrów katalogowych producenta Routerów CE oddzielnie

dla każdego rodzaju routera;b. podania rzeczywistych parametrów łączy Wykonawcy i fizycznego rodzaju

każdego z Łączy dla każdej Lokalizacji;c. podania spisu oraz wartości księgowej brutto na dzień instalacji

zainstalowanych w każdej Lokalizacji urządzeń Wykonawcy podlegających zwrotowi po zakończeniu Umowy, w szczególności Routerów CPE;

d. dołączenia kopii licencji na oprogramowanie - jeżeli zostanie takowe wykorzystane w urządzeniach Wykonawcy, w szczególności w systemie monitoringu;

e. dokumentacji (wraz z wynikami pomiarów) wykonanych testów akceptacyjnych;

f. dołączenia certyfikatów, instrukcji obsługi i eksploatacji, haseł, kart gwarancyjnych i innych koniecznych;

g. podania dostępu do baz wiedzy dotyczących obsługi i konfiguracji dostarczonego Routera CE oraz informacji

h. producenta na temat bezpieczeństwa oprogramowania i aktualizacji oprogramowania routera;

i. podania dokładnego opisu i rysunku topologii dla udostępnianianej sieci dla Usługi typu A i B

j. podania dokładnego opisu systemu monitoringu, w szczególności instrukcji jego użytkowania w zakresie historycznych danych oraz komunikatów wysyłanych przez ten system;

k. podania danych kontaktowych serwisu Wykonawcy;l. podania innych danych nie wymienionych powyżej, a koniecznych do

kompletacji dokumentacji powykonawczej.

7. Dokumentacja powykonawcza musi być każdorazowo aktualizowana przez Wykonawcę w okresie świadczenia Usługi TD w przypadku dokonywania zmian.

2 Dokumentacja administracyjna

1. Wykonawca opracuje dokumentację administracyjną dla administratorów:i. Prokuratury Krajowej oraz OPDR w zakresie administrowania SBUB,

SZUB, SMLB,

42

ii. jednostek prokuratury do których dostarczono Urządzenia SBUB w zakresie administrowania lokalnie Urządzeniami SBUB w jednostkach prokuratury.

2. Dokumentacja administratorów musi być każdorazowo aktualizowana w okresie świadczenia Usługi TD w przypadku dokonywania zmian.

43

pk.gov.plpk.gov.pl/wp-content/uploads/2017/10/1d60cd79cd7ffec… · Web viewDostarczone dokumenty...

Documents

Transcript of pk.gov.plpk.gov.pl/wp-content/uploads/2017/10/1d60cd79cd7ffec… · Web viewDostarczone dokumenty...