CAPITOLATO TECNICO PER L`ACQUISIZIONE DI UN SISTEMA DI
Transcript
CAPITOLATO TECNICO PER L`ACQUISIZIONE DI UN SISTEMA DI
Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti ALLEGATO CAPITOLATO TECNICO PER L’ACQUISIZIONE DI UN SISTEMA DI SICUREZZA PER LA CORTE DEI CONTI Capitolato tecnico Pagina 1 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti INDICE 1 OGGETTO ......................................................................................................................................... 3 2 QUANTITATIVI................................................................................................................................ 4 3 CARATTERISTICHE DEL SISTEMA........................................................................................... 5 3.1 ARCHITETTURA DI RIFERIMENTO................................................................................................. 6 3.1.1 Il sistema Firewall................................................................................................................... 6 3.1.2 Il sistema di Intrusion Detection ............................................................................................. 7 3.2 SISTEMA FIREWALL-VPN............................................................................................................ 8 3.2.1 Nodi Firewall (Appliance) ...................................................................................................... 8 3.2.2 Firewall Management ............................................................................................................. 9 3.2.3 Console Firewall / IDS.......................................................................................................... 10 3.3 INTRUSION DETECTION SYSTEM................................................................................................ 11 3.3.1 Intrusion Detection Appliance .............................................................................................. 11 3.3.2 Intrusion Detection Mangement Console.............................................................................. 12 3.4 COMPONENTI DI RETE E ACCESSORI .......................................................................................... 14 3.4.1 Hub........................................................................................................................................ 14 3.4.2 Armadio Rack........................................................................................................................ 14 3.5 AFFIDABILITÀ DEI SISTEMI ........................................................................................................ 15 3.5.1 Caratteristiche Generali ....................................................................................................... 15 3.5.2 Sistema Firewall.................................................................................................................... 15 3.5.3 Sistema Intrusion Detection .................................................................................................. 15 3.6 SOFTWARE SUBSCRIPTIONS ....................................................................................................... 15 4 PROGETTO TECNICO.................................................................................................................. 16 4.1 DOCUMENTAZIONE TECNICA..................................................................................................... 16 5 SERVIZI DI GESTIONE DEI SISTEMI FORNITI .................................................................... 17 5.1 SERVIZIO DI MONITOR REMOTO ................................................................................................. 17 5.2 SERVIZIO DI TROUBLESHOOTING ............................................................................................... 17 5.3 SERVIZIO DI CHANGE MANAGEMENT ......................................................................................... 18 5.4 SERVIZIO DI REPORT SUI SERVIZI EROGATI ................................................................................ 19 5.5 SERVIZI DI MANUTENZIONE DEL SISTEMA ................................................................................ 19 5.5.1 Manutenzione ........................................................................................................................ 19 5.5.2 Manutenzione preventiva ...................................................................................................... 20 5.5.3 Manutenzione correttiva ....................................................................................................... 20 5.6 SERVIZI DI PERSONALIZZAZIONE E SUPPORTO SPECIALISTICO .................................................. 20 6 CONSEGNA, INSTALLAZIONE, CONFIGURAZIONE E COLLAUDO............................... 21 6.1 CONSEGNA ................................................................................................................................. 21 6.2 INSTALLAZIONE HARDWARE E SOFTWARE ................................................................................ 21 6.3 CONFIGURAZIONE ...................................................................................................................... 21 6.4 COLLAUDO ................................................................................................................................. 21 6.5 AVVIO IN ESERCIZIO ................................................................................................................... 22 7 REQUISITI DI CONFORMITÀ .................................................................................................... 23 Capitolato tecnico Pagina 2 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 1 OGGETTO Il presente capitolato contiene le specifiche tecniche relative alla: fornitura di un sistema informatico per la Corte dei Conti; prestazione dei servizi di consegna, installazione, configurazione, manutenzione per 24 mesi; Nel corpo del capitolato, ai termini di cui appresso, viene attribuito il significato riportato a fianco di ciascuno di essi: Capitolato tecnico, il presente documento; Sistema, l’insieme delle componenti hardware, dei relativi sistemi operativi, delle licenze software applicative, delle software subscriptions, e dei servizi connessi; Committente, la CONSIP S.p.A.; Amministrazione, la Corte dei Conti; Impresa, l’Impresa aggiudicataria. Capitolato tecnico Pagina 3 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 2 QUANTITATIVI Dovranno essere forniti i seguenti quantitativi relativi al Sistema, corredate dalle licenze software indicate comprensive di CD di installazione: Descrizione fornitura Tipologia bene/servizio Hardware Sistema Software Software subscriptions Servizi Servizi di gestione Capitolato tecnico Descrizione bene/servizio Quantità minima Appliance per Firewall VPN certificata Checkpoint Appliance IDS con ISS Real Secure Desktop (Console Firewall/IDS) Server MNG Firewall Server MNG IDS Hub 8 o 12 porte 10/100 Hub 24 porte 10/100 Armadio rack con alimentazione ridondata, cavi e accessori Checkpoint Enterprise Pro (CPMP-VEPRO) Additional VPN-1 Pro gateway for Load Sharing and HA (CPMP-HVPG unlimted users) CheckPoint Secure Remote client per VPN-1 ISS Real Secure Network ISS Real Secure Site Protector S.O. appliance FW1-VPN1 S.O. appliance IDS S.O. console FW/IDS S.O. MNG FW S.O. MNG IDS CheckPoint Enterprise Pro (CPMP-VEPRO) Additional VPN-1 Pro gateway for Load Sharing and HA (CPMP-HVPG unlimted users) 200 Secure Remote client per VPN-1 ISS Real Secure Site Protector ISS Real Secure Network Assistenza e manutenzione del sistema Supporto specialistico Servizio di monitor remoto Servizio di troubleshooting Servizio di change management Servizio di reporting Pagina 4 di 23 2 1 1 1 1 5 2 1 1 1 200 2 1 2 1 1 1 1 24 mesi 24 mesi 24 mesi 24 mesi 24 mesi 20 gg/persona 24 mesi 24 mesi 24 mesi 24 mesi Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 3 CARATTERISTICHE DEL SISTEMA Il progetto prevede l’acquisto di un’infrastruttura di sicurezza perimetrale composto da: a) Un sistema Cluster Firewall-VPN costituito da due nodi (di tipo appliance), da una stazione di management e una console di controllo b) Un sistema di Network Intrusion Detection di tipo appliance (1 o più apparati) che consenta il controllo di almeno 2 zone e una stazione di management c) Un armadio RACK d) 7 Hub Tutte le verifiche funzionali, di compatibilità ed interoperabilità tra i diversi prodotti che compongono i sistemi saranno a cura ed a completo carico del fornitore, il quale dovrà adottare le migliori soluzioni tecniche atte a garantire il completo e robusto funzionamento di tutte le componenti dei sistemi di sicurezza oggetto della presente fornitura. Il Cluster Firewall sarà inserito fra le reti esterne (Interoperabilità e Interdominio) e la rete interna della Corte dei Conti su infrastruttura di trasporto Ethernet/Fast-Ethernet e dovrà prevedere una DMZ, una zona di management del firewall e del sistema di Intrusion Detection, una zona dedicata al servizio RAS. Il Cluster Firewall dovrà inoltre incorporare funzionalità che consentano di stabilire connessioni sicure (VPN-IPSEC) per accedere a servizi interni della CdC avvalendosi della rete Internet. A tal fine dovranno essere fornite 200 licenze client che dovranno poter essere installate sui device più diffusi (notebook con S.O. Windows, palmari con S.O. Palm e Pocket PC 2002). Il sistema di Intrusion Detection sarà costituito da 1 o più appliance che consentono il controllo al livello di rete di 2 distinti segmenti di rete (2 sensori) e una stazione di management che dovrà essere in grado di interagire in modo diretto ed automatico con il Firewall, modificandone le politiche, consentendo così di inibire eventuali intrusioni o attacchi.. Data la criticità dell’applicazione, tali apparecchiature dovranno garantire alti livelli di affidabilità, disponibilità ed elevate performance. A corredo dell’infrastruttura di sicurezza perimetrale sopra descritta, si prevede l’erogazione dei seguenti servizi: Capitolato tecnico • consegna, installazione, configurazione, collaudo; • assistenza e manutenzione dell’intera fornitura; • gestione dei sistemi; • Supporto specialistico (20gg) Pagina 5 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 3.1 ARCHITETTURA DI RIFERIMENTO Interdominio Interoperabilità Interdominio RAS 7 1 0 0 heartbeat Firewall - A 6 5 4 3 Internet Interoperabilità 1 7 Firewall - B 2 6 5 4 3 FW Management 2 IDS Management RAS server hub RAS hub (riserva) hub interno hub DMZ hub mgt IDS intrusion detection console FW /IDS RUPA Interna WEB Mail server Switch core Proxy server zona esterna zona DMZ C.d.C. Infrastruttura di Sicurezza Firewall - IDS zona interna zona RAS WEB server zona management Schema04 - 09/09/2003 3.1.1 Il sistema Firewall Il sistema Firewall sarà costituito da: • • • un cluster di 2 nodi di tipo appliance in alta affidabilità (HA) una stazione di management; una console di controllo. Il sistema in alta affidabilità è in grado di effettuare automaticamente la commutazione del sistema in esercizio da un nodo all’altro in caso di guasto o indisponibilità anche di una sola interfaccia collegata. Il firewall, che sarà del tipo stateful inspection, consentirà di applicare regole di assenso o restrizione sui singoli servizi sia al livello di network sia a livello di singolo indirizzo IP. Il firewall analizzerà tutti i pacchetti prima che essi raggiungano il sistema operativo del gateway, inoltre verificherà la compatibilità di ogni pacchetto con le politiche di sicurezza prima processare i livelli alti della comunicazione. La tecnologia definita stateful inspection consente di esaminare i dati di tutti i sette livelli della comunicazione e di confrontarne lo stato con quelli della precedente comunicazione, controllando indirizzo IP, numero della porta e altre informazioni in modo tale da determinare se i pacchetti sono conformi alle regole definite nelle politiche di sicurezza. Il sistema determinerà sette zone (network) distinte ed indipendenti con diverso grado di protezione: 1. Zona esterna di Interoperabilità (RED) Capitolato tecnico Pagina 6 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 2. Zona esterna di Interdominio (RED) 3. Zona demilitarizzata (DMZ) 4. Zona interna (reti interne del CED Baiamonti ed Uffici Periferici) 5. Zona RAS 6. Zona libera per future espansioni 7. Zona di management del sistema di sicurezza 3.1.2 Il sistema di Intrusion Detection Il sistema di Intrusion Detection sarà costituito da: • • • 1 o 2 sonde di tipo appliance con 2 sensori di rete una stazione di management; una console di controllo. I sensori, collegati alle reti su cui si vuole effettuare l’intrusion detection, consentiranno di effettuate l’analisi del traffico, determinare l’allarme ed il log, ed eventualmente bloccare le connessioni nelle seguenti condizioni: • • • • • • • Attacco tipo probing Attacco di tipo Denial of Service Exploit di servizi come DNS FTP SMTP http ecc. Traffico di rete da Backdoors Attacco di rete su sistemi Windows e Unix Attività variamente sospette Tentativi di accesso non autorizzati Le posizioni delle sonde saranno stabilite in base a specifiche esigenze di traffico e di protezione e saranno oggetto di analisi di dettaglio e idonei test per la configurazione delle relative politiche di sicurezza. Saranno presenti anche una stazione di management con database relazionale ed una console con interfaccia grafica Capitolato tecnico Pagina 7 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti SISTEMA FIREWALL-VPN 3.2 Il sistema Firewall prevede una configurazione di 2 appliance, in alta affidabilità che garantisca elevate caratteristiche di continuità del servizio. Tali appliance dovranno essere certificati Checkpoint (Secured by Checkpoint Appliance), con il software CheckPoint pre-installato, verificato e certificato con le seguenti caratteristiche: hardened operating system, che assicura l’appliance contro gli attacchi a livello di sistema operativo; amministrazione locale e remota crittografata, che assicura l’integrità delle comunicazioni amministrative dei moduli; verifica della invulnerabilità dagli attacchi di tipo “denial of service” (DoS); verifica della funzionalità nelle condizioni di carico previste dal throughput richiesto. Dovrà inoltre essere fornito un server per la management ed un desktop per la console di gestione. 3.2.1 Nodi Firewall (Appliance) Requisiti Hardware Minimi Tipologia Richiesto appliance si Certificazione CheckPoint Firewall Throughput 600 Mbps VPN Throughput 90 Mbps Formato Rack 4U Altezza massima appliance Memoria di sistema Offerto 512 MB Porte ethernet 10/100 8 High Availability features si Porte di console ausiliarie si GUI per HW management si Requisiti Software preinstallato richiesto Offerto CheckPoint Enterprise Pro (CPMP-VEPRO) Additional VPN-1 Pro Gateway for Load Sharing and HA (CPMP-HVPG unlimited users) Sistema operativo: Hardened Unix/Linux (ultima stabile disponibile) Capitolato tecnico Pagina 8 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti Documentazione Per ogni installazione dovrà essere fornita tutta la documentazione relativa alle apparecchiature hardware (hardware technical reference, operator & service guide, installation guide, etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua inglese, e dovrà essere fornita su supporto cartaceo (manuali) e CD-ROM o DVD-ROM. Requisiti In caso di caduta di 1 apparato deve essere assicurata la piena operatività dell’apparato secondario. 3.2.2 Firewall Management Requisiti Hardware Minimi Formato Altezza massima Tipo di processore Frequenza del processore Richiesto Offerto Rack 5U CISC o RISC CISC 2,4 GHz o RISC 650MHz Numero processori 1 Memoria RAM - Quantità 2GB - Protezione ECC Unità nastro 1 - Tipo Interna o esterna - Tecnologia - Nastri (4mm) da 20 GB Drive CD-ROM RW / DVD ROM - Velocità - Interfaccia - Formati supportati Controller dischi interni - Interfaccia - Modalità RAID supportate Dischi interni - Hot-swap - Velocità di rotazione Capitolato tecnico DAT/AIT 5 1 24x EIDE / SCSI CD-R, CD-ROM, CD-RW , DVD ROM 1 SCSI RAID 0,1,5 2 SI 10K rpm Pagina 9 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti - Interfaccia SCSI - Capacità singolo disco 36GB Interfaccie di rete 1 - Tipo Connettore RJ45 - Tipo interfaccia 100BASE-TX Requisiti Software CheckPoint SmartCenter Sistema operativo - CD di installazione 3.2.3 Richiesto Offerto Ultima stabile disponibile Famiglia UNIX Si Console Firewall / IDS Requisiti Hardware Minimi - Formato - Frequenza del processore - Numero processori Richiesto Offerto Tower o Minitower 2,4 GHz - 1 - Memoria RAM - Quantità 2GB - Protezione ECC Unità nastro - Tecnologia - Nastri (4mm) da 20 GB Drive floppy 1 DAT/AIT 5 1 - Formato 3,5” - Capacità 1,44MB Drive CD-ROM RW/ DVD ROM - Velocità - Interfaccia - Formati supportati Controller dischi interni - Interfaccia Dischi interni Capitolato tecnico 1 24x EIDE / SCSI CD-R, CD-ROM, CD-RW , DVD ROM 1 EIDE / SCSI 1 Pagina 10 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti - Velocità di rotazione - Capacità singolo disco Interfaccie di rete 10K rpm 40 GB 1 - Tipo Connettore RJ45 - Tipo interfaccia 100BASE-TX Interfaccia dispositivo di puntamento PS2 Interfaccia video VGA Tipo Monitor LCD TFT Dimensione Monitor 17” Luminosità Monitor 230 cd/mq Contrasto Monitor Layout Tastiera 300:1 Italiano Mouse 2/3 pulsanti Requisiti Software Richiesto Sistema operativo Microsoft Windows - CD di installazione 3.3 Offerto Si INTRUSION DETECTION SYSTEM Dovranno essere forniti 1 o più appliance IDS della stessa marca e modello con software Real Secure (ISS) atti a controllare almeno 2 distinti segmenti di rete per un throughput complessivo di almeno 200 Mbps. Dovrà inoltre essere fornito un server con il software Real Secure Site Protector (base pack) per la gestione/amministrazione dei sensori. 3.3.1 Intrusion Detection Appliance Requisiti Hardware Minimi appliance IDS Richiesto Tipologia appliance Formato Rack Altezza massima appliance Throughput 3U 200 Mbps quantità segmenti di rete controllati 2 Stealth mode si Capitolato tecnico Offerto Pagina 11 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti Requisiti Software ISS Real Secure Network Sensor Richiesto Offerto ultima stabile disponibile Documentazione Per ogni installazione dovrà essere fornita tutta la documentazione relativa alle apparecchiature hardware (hardware technical reference, operator & service guide, installation guide, etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua inglese e dovrà essere fornita su supporto cartaceo (manuali) e CD-ROM. 3.3.2 Intrusion Detection Mangement Console Per la gestione delle sensori ed il controllo delle attività di intrusione dovrà essere fornito un server con le seguenti caratteristiche minime: Requisiti Hardware Minimi Formato Altezza massima Frequenza del processore Numero processori Richiesto Offerto Rack 3U 2,4 GHz 2 Memoria RAM - Quantità 2GB - Protezione ECC Unità nastro - Tecnologia - Tipo - Capacità - Nastri (4mm) da 20 GB Drive floppy 1 DAT/AIT interno 20 GB non compressi 5 1 - Formato 3,5” - Capacità 1,44MB Drive CD-ROM RW / DVD ROM - Velocità - Interfaccia Capitolato tecnico 1 24x EIDE / SCSI Pagina 12 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti - Formati supportati Controller dischi interni - Interfaccia - Modalità RAID supportate Dischi interni - Hot-swap - Velocità di rotazione CD-R, CD-ROM, CD-RW , DVD ROM 1 SCSI RAID1 2 SI 10K rpm - Interfaccia SCSI - Capacità singolo disco 36GB Interfaccie di rete 2 - Tipo Connettore RJ45 - Tipo interfaccia 100BASE-TX Console - Monitor - Luminosità Monitor - Contrasto Monitor - Layout tastiera - Dispositivo di puntamento LCD TFT 15” 230 cd/mq 300:1 Italiano Integrato su tastiera - Interfaccia tastiera PS2 - Formato console Rack - Altezza massima console completa Requisiti Software Real Secure SiteProtector 2U Richiesto Ultima stabile disponibile Sistema operativo Windows 2000 server / adv.server – (ult. Stab.disp.) Prodotto Antivirus Symantec Norton Antivirus Corporate Edition for Desktop and File Servers - Versione - Lingua - CD di installazione Capitolato tecnico Offerto 8.0 Italiana Si Pagina 13 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti Compatibilità con la piattaforma Tivoli per il Systems & Network Management DB SI SQL Server 2000 (ultima stab. Disp) 3.4 COMPONENTI DI RETE E ACCESSORI 3.4.1 Hub L’impresa dovrà fornire gli apparati di rete di seguito indicati necessari alla messa in funzione del cluster firewall, quali: Requisiti Minimi 5 Hub Ethernet/Fast Ethernet 7 Hub Ethernet/Fast Ethernet 3.4.2 Richiesto Offerto 8 o 12 porte 10/100Mbps autosensitive 24 porte 10/100Mbps autosensitive Armadio Rack L’Impresa dovrà fornire un armadio rack standard (altezza 42 U e larghezza 19”), dove installare: 2 appliance Firewall/VPN 1 o più appliance IDS 7 Hub 1 Management Firewall 1 Management IDS Tale armadio dovrà essere completo di tutti gli accessori necessari al buon funzionamento del sistema tra cui: Requisiti Minimi Alimentazione elettrica Richiesto 10 prese a norma IMQ Interruttori 2 bipolari Ventilazione 1 Ventola Sportelli Cavi elettrici Cavi dati Supporti e slitte Capitolato tecnico Offerto Con chiusura a chiave A norma IMQ UTP 5 con connettori RJ45 Per il montaggio di tutte le apparecchiature Pagina 14 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti Vassoi scorrevoli 3.5 Per tastiere e mouse in rack AFFIDABILITÀ DEI SISTEMI 3.5.1 Caratteristiche Generali Le seguenti caratteristiche si intendono applicabili a tutti i sistemi oggetto del presente capitolato. Non sono ammessi, per questa fornitura, server classificabili come prototipi, versioni pre-serie o costruite ad-hoc per l’occasione, per i quali manca qualsiasi riscontro di mercato sulla validità in generale e sull’affidabilità in particolare. In merito all’affidabilità di alcuni componenti specifici del Server ritenuti fondamentali, si richiede che i chip-set per la scheda madre di sistema siano consolidati e collaudati, e siano effettivamente in produzione da almeno quattro mesi. Si richiede che ciascun server abbia un "Availability Index", inteso come percentuale di tempo di disponibilità del servizio rispetto al tempo totale di erogazione (7x24) pari almeno al 99,99% su base annua. 3.5.2 Sistema Firewall In considerazione della criticità degli apparati del sistema Firewall-VPN in funzione del servizio di connettività con gli uffici periferici e della C.d.C e con le altre Amministrazioni, ed in considerazione della possibilità che il sistema debba funzionare anche in condizioni ambientali sfavorevoli è preferibile la certificazione NEBS livello 3 degli apparati che costituiscono tale infrastruttura: • i due nodi del firewall • il server di management la presenza di questa certificazione sarà considerata come base valutativa tecnica della bontà della soluzione proposta. 3.5.3 Sistema Intrusion Detection Per il sistema di Intrusion Detection, che non presenta un elevato livello di criticità in funzione della connettività con gli uffici periferici, non è richiesta la certificazione NEBS livello 3 degli apparati, comunque la presenza di questa certificazione sarà considerata come base valutativa tecnica della bontà della soluzione proposta. 3.6 SOFTWARE SUBSCRIPTIONS Dovranno essere fornite le seguenti sottoscrizioni per gli aggiornamenti software: Software Subcriptions Richiesto CheckPoint Enterprise Pro (CPMP-VEPRO) 2 anni Additional VPN-1 Pro Gateway for Load Sharing and HA (CPMP-HVPG unlimited users) 2 anni ISS Real Secure Subscription 2 anni Capitolato tecnico Offerto Pagina 15 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 4 PROGETTO TECNICO Le soluzioni tecniche proposte saranno descritte in un documento di progetto che sarà considerato come base valutativa tecnica della bontà della soluzione proposta. Per l’intero sistema di sicurezza, dovrà essere prodotto un documento completo illustrante in dettaglio, il progetto del sistema e le modalità di funzionamento, ed in particolare dovrà contenere: a) Progetto generale: • Dimensionamento; • Livelli di servizio previsti; • Schema e descrizione dettagliata dei collegamenti; • Descrizione e funzionalità del Registro di Configurazione. b) Migliori caratteristiche delle apparecchiature Hardware offerte rispetto al minimo richiesto, con dettagliata descrizione tecnica; c) Piano operativo di installazione con la descrizione delle operazioni e del relativo piano temporale; d) Piano di collaudo con la descrizione delle prove da eseguire e del relativo piano temporale. 4.1 DOCUMENTAZIONE TECNICA Per ogni installazione dovrà essere fornita tutta la documentazione prodotta dal costruttore, relativa alle apparecchiature hardware, ai sistemi software, di base ed applicativi, oggetto della fornitura (technical reference, operator & service guide, installation guide, tuning guide etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua inglese, e dovrà essere fornita su supporto cartaceo (manuali) ed elettronico (CD-ROM). Dovrà essere prodotta, inoltre a cura del fornitore/installatore, una completa e circostanziata documentazione di fornitura, installazione, collaudo e configurazione relativa a: • Alle operazioni d’installazione effettuate; • Alle operazioni di configurazione effettuate; • Agli eventuali problemi incontrati; • Alle soluzioni adottate. Tale documentazione dovrà essere redatta in lingua italiana e dovrà essere fornita su supporto cartaceo (relazioni) ed elettronico (CD-ROM). Capitolato tecnico Pagina 16 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 5 SERVIZI DI GESTIONE DEI SISTEMI FORNITI A corredo della fornitura sono richiesti i seguenti servizi di gestione dei sistemi offerti: • Servizio di monitor remoto; • Servizio di troubleshooting; • Servizio di change management; • Servizio di reporting sui servizi erogati. L’erogazione di tali servizi potrà avvenire da remoto, in tale caso il fornitore dovrà utilizzare una connessione di rete sicura e cifrata (Virtual Private Network) fra la propria sede e quella del CED della Corte dei Conti. Tale connessione sarà ad esclusivo onere del fornitore. Per le caratteristiche dei servizi offerti, dovrà essere prodotto un documento completo illustrante nel dettaglio le modalità di erogazione per ognuno dei servizi offerti secondo il seguente schema: • Descrizione del servizio; • Copertura del servizio; • Canali di comunicazione; • Livelli di servizio (SLA); Di seguito sono descritte le caratteristiche minime dei servizi richiesti, le soluzioni migliorative offerte rispetto alle caratteristiche minime richieste e la completezza della descrizione del servizio e delle modalità di erogazione ed i livelli di servizio del medesimo saranno considerate come base valutativa tecnica della bontà della soluzione proposta. 5.1 SERVIZIO DI MONITOR REMOTO Descrizione del servizio Il servizio è volto al controllo del corretto funzionamento dei sistemi, dei servizi applicativi e della rete nell’ambito dei sistemi di sicurezza oggetto del presente capitolato. Il controllo avverrà remotamente e le eventuali anomalie saranno segnalate secondo i canali di Comunicazione e Livelli di servizio di seguito descritti. Copertura del servizio La copertura del servizio sarà di 5 giorni a settimana di tipo Business Time (da Lunedì a Venerdì lavorativi dalle ore 9:00 alle ore 18:00). Canali di comunicazione In funzione della gravità del guasto saranno previste le seguenti forme di segnalazione: • E-mail; • Telefono rete fissa; • Telefono rete mobile o SMS. Livelli di servizio (SLA) Segnalazione del guasto entro 15 minuti dall’evento. 5.2 SERVIZIO DI TROUBLESHOOTING Descrizione del servizio Il servizio di troubleshooting è volto all’analisi ed alla risoluzione delle problematiche a carico Capitolato tecnico Pagina 17 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti dei sistemi di sicurezza oggetto del presente capitolato. Il servizio può essere attivato sia su richiesta telefonica del cliente, sia a seguito di una segnalazione derivata dal servizio di monitor remoto. Copertura del servizio La copertura del servizio sarà di 5 giorni a settimana di tipo Business Time (da Lunedì a Venerdì lavorativi dalle ore 9:00 alle ore 18:00). Canali di comunicazione Le comunicazioni avverranno a mezzo: • E-mail; • Telefono; • Fax. Livelli di servizio (SLA) I livelli di servizio richiesti per il servizio di troubleshooting sono: 5.3 • 5 minuti per la acquisizione della segnalazione di guasto • 1 ora per la presa in carico e la prima analisi del problema • 4 ore lavorative per intervento on-site in caso di impossibilità di risolvere il problema da remoto ed eventualmente per attivare il servizio di manutenzione per il ripristino del sistema. Il ripristino del sistema dovrà comunque avvenire entro 8 (otto) ore dalla segnalazione del guasto SERVIZIO DI CHANGE MANAGEMENT Descrizione del servizio Il servizio di Change Management copre le necessità di modifica dei dati di configurazione ed applicativi di un servizio nell’ambito di un sistema funzionante (p.e. aggiunta/modifica di una regola sul firewall o sul sistema di Intrusion Detction). Il servizio viene attivato solo su richiesta del cliente. Ogni attività di Change Management dovrà essere riportata su un idoneo Registro di Configurazione il cui formato e modalità di utilizzo dovranno essere proposti unitamente al Progetto generale (rif. Capitolo4, punto a) Copertura del servizio La copertura del servizio sarà di 5 giorni a settimana di tipo Business Time (da Lunedì a Venerdì lavorativi dalle ore 9:00 alle ore 18:00). Canali di comunicazione Le comunicazioni avverranno a mezzo: • E-mail; • Telefono; • Fax. Livelli di servizio (SLA) I livelli di servizio richiesti per il servizio di change management sono: • 5 minuti per la acquisizione della segnalazione della richiesta. • 1 ora per la presa in carico e la realizzazione della modifica. Capitolato tecnico Pagina 18 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 5.4 SERVIZIO DI REPORT SUI SERVIZI EROGATI Descrizione del servizio Il servizio consiste nella preparazione di relazioni dettagliate sullo stato dei servizi erogati, sulle problematiche trattate, sulle problematiche risolte e su quelle non risolte. Ad ogni problematica o chiamata saranno associati i dati temporali di accettazione e di risoluzione del problema o della modifica richiesta e saranno verificati gli SLA contrattuali. Copertura del servizio I report avranno cadenza mensile e saranno trasmessi in normale orario lavorativo. Canali di comunicazione Le trasmissioni dei report avverranno a mezzo: • E-mail; • Fax. Livelli di servizio (SLA) I report saranno trasmessi entro la prima settimana del mese successivo a quello a cui il report si riferisce. 5.5 SERVIZI DI MANUTENZIONE DEL SISTEMA Agli effetti del presente Capitolato, il servizio di Manutenzione del Sistema si intenda effettuato con interventi on-site. 5.5.1 Manutenzione L’Impresa è obbligata, in caso di malfunzionamento delle apparecchiature – intendendosi per malfunzionamento qualsiasi anomalia funzionale che, indirettamente, provochi l’interruzione o la non completa disponibilità del servizio all’utenza e, in ogni caso, ogni difformità del prodotto in esecuzione dalla relativa documentazione tecnica e manualistica d’uso – ad intervenire entro 4 (quattro) ore dalla notifica del problema e a ripristinare, in loco, la piena funzionalità delle apparecchiature entro 8 (otto) ore lavorative dal ricevimento della notifica (a mezzo FAX o e-mail). A tal proposito l’Impresa dovrà fornire un numero di telefono ed un indirizzo e-mail al quale indirizzare le richieste di assistenza. Dal computo delle ore sono esclusi i sabati, le domeniche ed i festivi. Tale servizio dovrà essere garantito per un periodo di 24 mesi a decorrere dalla data di accettazione del collaudo, dalle 08:00 alle 18:00, esclusi sabato e festivi, per tutti i giorni feriali dell’anno. A seguito del malfunzionamento e/o del fermo delle apparecchiature, qualora il ripristino della loro funzionalità non intervenga entro il termine precedentemente descritto, la Consip applicherà le penali disciplinate nel contratto, salvo in ogni caso il risarcimento al maggior danno. Le parti di ricambio - che dovranno essere identiche alle parti sostituite - verranno fornite dall’Impresa senza alcun onere aggiuntivo per la Consip; le parti sostituite verranno ritirate dall’Impresa stessa che ne acquisisce la proprietà. La manutenzione dovrà essere estesa anche alle parti di ricambio. Ove il ripristino del malfunzionamento e/o del fermo delle apparecchiature richieda un tempo superiore alle 8 (otto) ore lavorative, ovvero comporti il trasferimento delle stesse, in luogo diverso dai locali dell’Amministrazione, l’Impresa, previa comunicazione alla Consip, dovrà provvedere, a propria cura e spese e per l’intero periodo del ripristino, alla sostituzione delle apparecchiature stesse con altre aventi le medesime caratteristiche tecniche e funzionali, ferma restando l’applicazione delle penali disciplinate nel contratto, sino al momento della sostituzione delle Capitolato tecnico Pagina 19 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti apparecchiature. La Ditta dovrà adoperarsi, per quanto possibile, al recupero degli archivi presenti sulle apparecchiature da sostituire. Per ogni intervento di manutenzione dovrà essere redatta da un incaricato della Consip e/o dell’Amministrazione e da un incaricato dell’Impresa una apposita nota di ripristino, in formato cartaceo od elettronico, nella quale dovranno essere registrati l’ora della chiamata e quella dell’avvenuto ripristino, nonché le prestazioni effettuate. Il servizio di manutenzione concernerà sia la manutenzione preventiva che quella correttiva del sistema. 5.5.2 Manutenzione preventiva L’Impresa si impegna a proporre e concordare con il Committente interventi (regolazioni, controlli, sostituzioni) finalizzati all’ottimizzazione ed all’aggiornamento del Sistema; tali interventi dovranno essere effettuati periodicamente, con cadenza mensile al fine di consentire la perfetta funzionalità del sistema e prevenirne i malfunzionamenti anche tramite servizi di assistenza tecnica preventivi miranti a ridurre i costi di gestione dei sistemi mediante l’eliminazione delle possibili fonti di problemi. 5.5.3 Manutenzione correttiva La manutenzione correttiva consiste sia nella riparazione dei guasti, blocco o altro inconveniente che dovesse verificarsi, sia nella messa a disposizione di tutte le parti di ricambio in sostituzione e nell’esecuzione delle prove e dei controlli necessari a garantire il ripristino del pieno funzionamento del sistema. Per entrambi i tipi di manutenzione su indicati, l’Impresa dovrà utilizzare parti di ricambio di primaria qualità e nuove di fabbrica, ove esistenti prodotte dallo stesso costruttore del sottosistema. Il servizio comprenderà altresì, a totale carico dell’Impresa, l’effettuazione delle modifiche tecniche, consistenti nei miglioramenti e/o aggiornamenti (es. installazione patch o nuove release software), al fine di elevare il grado di affidabilità del sistema, di migliorare il funzionamento e di aumentare la sicurezza. 5.6 SERVIZI DI PERSONALIZZAZIONE E SUPPORTO SPECIALISTICO Dovranno essere compresi nella fornitura almeno 20 giorni di servizi di personalizzazione e supporto specialistico, da fruire nell’arco di 24 mesi, per servizi quali: ottimizzazione delle configurazioni dei sistemi forniti; evoluzione dei prodotti installati e delle modalità di configurazione; test di funzionamento sistemistico e applicativo dei sistemi; tuning dei sistemi; miglioramento nella supportabilità delle tecnologie; raffinato utilizzo dei prodotti; identificazione delle operazioni che minimizzano il carico di lavoro dedicato al supporto da parte dell’organizzazione preposta del Committente. Capitolato tecnico Pagina 20 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 6 CONSEGNA, INSTALLAZIONE, CONFIGURAZIONE E COLLAUDO Il sistema andrà consegnato, installato, configurato e personalizzato presso il CED della Corte dei Conti in ROMA – Via Baiamonti, 25 entro 20 giorni lavorativi dalla data di stipula del contratto. 6.1 CONSEGNA L’Impresa dovrà provvedere, a proprio esclusivo onere: a consegnare contestualmente alla data di stipula del contratto, un piano delle attività di consegna, installazione e configurazione della fornitura; a richiedere ed ottenere eventuali permessi o autorizzazioni che si rendessero necessari per consegnare il sistema; ad acquisire la disponibilità di mezzi speciali e/o di quanto altro necessario a trasportare, scaricare e a collocare il sistema nei siti prescelti; alla consegna, posa in opera, del Sistema e le eventuali componenti accessorie. allo sgombero e all’asporto, a lavoro ultimato, delle attrezzature e dei materiali residui, ivi compresi quelli di imballaggio in conformità alle norme vigenti in materia di smaltimento dei rifiuti. 6.2 INSTALLAZIONE HARDWARE E SOFTWARE L’Impresa dovrà provvedere, a proprio esclusivo onere: All’Installazione di tutte le componenti Hardware fornite secondo le specifiche indicate dal Committente; all’installazione e configurazione di Sistemi Operativi prescelti secondo le specifiche indicate dal Committente; all’installazione, configurazione e personalizzazione dei prodotti software applicativi indicati nel presente Capitolato, secondo le specifiche indicate dal Committente; alla verifica e la messa in funzione del Sistema in tutte le sue componenti Hardware e Software; 6.3 CONFIGURAZIONE L’Impresa dovrà provvedere, a proprio esclusivo onere provvedere alla iniziale configurazione dei sistemi secondo le indicazioni concordate con il Committente. Tali configurazioni dovranno essere conformi alle reali condizioni di esercizio e saranno utilizzate come ambiente per il collaudo Entro il medesimo termine di 20 giorni lavorativi dalla data di stipula del contratto l’impresa dovrà consegnare le “specifiche di installazione” aggiornate recanti le seguenti indicazioni: tipo, modello e numero seriale di ciascuna apparecchiatura, identificativi del software installato, contenente la piattaforma di installazione e la versione del prodotto installato, la configurazione adottata, nonché la dichiarazione di rispondenza dei prodotti alle specifiche tecniche di cui al Capitolato Tecnico ed i suoi allegati; nonché il “piano di collaudo” contenente l’articolazione delle prove proposte per il collaudo. 6.4 COLLAUDO Il collaudo dovrà essere effettuato e superato con esito positivo entro 30giorni lavorativi dalla data di consegna del piano di collaudo. Capitolato tecnico Pagina 21 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti L’Impresa dovrà accettare che il collaudo comprenda, come parte integrante, le prove indicate dal Committente. Il collaudo si svolgerà sia sulle singole apparecchiature, che sul software di base e sulle licenze d’uso dei software. Successivamente al superamento del collaudo, si procederà al collaudo integrato dell’intero Sistema al fine di accertare il corretto funzionamento dello stesso. Il collaudo integrato dovrà essere superato con esito positivo entro 30 giorni lavorativi dalla data di consegna del piano di collaudo. 6.5 AVVIO IN ESERCIZIO L’Impresa dovrà fornire, a proprio esclusivo onere, assistenza tecnica specialistica, e training on the job per l’avvio in esercizio dei sistemi installati per un periodo di 15 (quindici) giorni lavorativi. Tale assistenza dovrà essere svolta presso la sede dell’Amministrazione durante il normale orario di lavoro (Lunedì-Venerdì dalle 9.00 alle 18.00) con la presenza di un sistemista con provata esperienza dei prodotti hardware e software oggetto della fornitura. Capitolato tecnico Pagina 22 di 23 Consip S.p.A. Gara a procedura aperta ai sensi del D.LGS 358/92 e s.m.i., per l’acquisizione dell’infrastruttura hardware e software per la sicurezza perimetrale da installare presso il CED della Corte dei conti 7 REQUISITI DI CONFORMITÀ Dovranno essere rispettate tutte le disposizioni attualmente vigenti, ad esempio: requisiti per i videoterminali indicati nella circolare 71911/10.0.296; requisiti indicati dal D.Lgs. 19 settembre 1994 N. 626; requisiti di ergonomia riportati nella direttiva CEE 90/270 recepita dalla legislazione italiana nella legge N. 142 del 19 febbraio 1992; requisiti di sicurezza I.M.Q. (Istituto Marchio di Qualità) e di emissione elettromagnetica FCC (Federal Communications Commission); in alternativa dovranno almeno rispettare analoghi requisiti certificati da altri Enti riconosciuti a livello europeo, nel qual caso la Società dovrà allegare una descrizione delle prove effettuate e dei risultati ottenuti; norme di sicurezza CEI 74/2 (EN 60950/IEC 950); norme di sicurezza CEI 110/5 (EN 55022 / CISPR 22); norme di sicurezza EN 50091-1; cavi UTP rispondenti a ISO/IEC 11801 categoria 5; misure dei parametri elettrici e trasmissivi secondo la norma IEC 1156; guaine secondo norme IEC 332-3 C. Dovrà essere prodotta tutta la certificazione (o autocertificazione) circa la sussistenza dei suddetti requisiti per le apparecchiature fornite. Capitolato tecnico Pagina 23 di 23