31947000
Kancelária Ústavného súdu Slovenskej republiky
Hlavná 110, Košice - Staré mesto, 04265, SVK
36585203
TCX s.r.o.
Tomášikova 1, Košice, 040 01, SVK
Náhrada súčasného perimetrického clustra Firewallu
FireWall, kybernetická bezpečnosť, VPN, konfigurácia LAN, bezpečnosť informačných systémov, bezpečnosť počítačových sietí, security gateway, manažment zariadení.
Tovar, Služba
1. Firewall
|
|
---|---|
Funkcia |
Riadenie a zabezpečenie sieťovej prevádzky |
Technické vlastnosti |
Jed |
Mi |
Ma |
Pres |
Hardvér | ks | 2 |
Technické vlastnosti | Hodnota / charakteristika |
Firewallové bezpečnostné zariadenia (ďalej len FW) musia byť zložené z komponentov jedného výrobcu, vrátane všetkých poskytovaných funkcií, ako sú IPS, AV, ako podpisy, databázy pre kategorizáciu URL, definície izolovaného priestoru, atď. | |
Výrobca FW musí byť v kvadrante "Lídri" správy brán firewall Gartner Enterprise Network Firewalls v najnovšej aktuálnej správe a najmenej 2 roky pred aktuálnou správou | |
Požiadavky na HW architektúru: - Všetky parametre priepustnosti musí dodávateľ špecifikovať v reálnych mix paketoch, tzv. "application mix"; - FW musí byť typu HW zariadenie; - Modul spracovania dát musí byť hardvérovo oddelený od ostatných podporných modulov (riadiaci modul na správu zariadení a riadiaci modul | |
na podporu sieťových aktivít) v architektúre firewallu, aby sa zabránilo ich rušeniu; - FW musí obsahovať aspoň jeden vyhradený port pre administráciu cez konzolu pre prístup CLI; - FW musí minimálne obsahovať porty - 10/100/1000 (8), 1/2.5/5 Gb (4)/PoE, gigabit SFP (2), 10 Gigabit SFP+ (8) porty; | |
- FW musí byť schopný ukladať logy na interné úložisko s veľkosťou minimálne 240 GB; - FW musí podporovať agregáciu portov pomocou 802.3ad (LACP); - FW musí byť rozmerovo kompatibilný s 19" rozvádzačom; - FW musí podporovať dva nezávislé redundantné napájacie zdroje AC 230V | |
Požiadavky na vysokú dostupnosť (HA): - FW musí podporovať režim HA v active-active režime pozostávajúcom aspoň z dvoch zariadení; - FW musí podporovať režim HA v active-passive režime pozostávajúcom aspoň z dvoch zariadení; - FW musí podporovať klastrový režim, použiteľný pre prípadné dodatočné zvýšenie priepustnosti aj v geograficky oddelených lokalitách; | |
- FW musí podporovať klastrový režim, použiteľný pre prípadné dodatočné zvýšenie priepustnosti aj v geograficky oddelených lokalitách - V oboch typoch HA musia byť všetky informácie o prebiehajúcej prevádzke synchronizované tak, aby sa v prípade poruchy jedného zo zariadení nestratili informácie NAT a neprerušili sa aktívne spojenia TCP a UDP prevádzky prechádzajúcej cez FW | |
- FW musí byť schopný vykonať HA failover na základe stavu rozhrania (up/down), nedostupnosti druhého FW v HA, nedostupnosti zadanej IP adresy | |
Všeobecné výkonnostné parametre: - Priepustnosť FW na aplikačnej úrovni musí dosiahnuť aspoň 9,3 Gbps (app mix) - Priepustnosť FW pri úplnom zapnutí všetkých dostupných bezpečnosntných funkcií ako IPS, AV, Sandboxing, ochrana DNS a pod. musí byť aspoň 4,7 Gbps (app mix) | |
- Minimálny počet súčasných spojení musí byť aspoň 1 300 000 - Minimálny počet nových spojení za sekundu musí byť aspoň 135 000 | |
Sieťová funkcionalita: - FW musí podporovať IPv4 aj IPv6 - FW musí podporovať pripojenie v L2 (s virtuálnym rozhraním L3), L3, transparentnom a TAP režime | |
- FW musí podporovať preklady názvov Static NAT, Dynamic NAT, PAT, NAT64 - FW musí podporovať smerovanie typu Static route, RIP, OSPFv2, OSPFv3, BGP, PIM, IGMP a PBR (Policy Based Routing) - PBR musí byť konfigurovateľná na základe všetkých dostupných metrík, ako je rozhranie, zóna, IP adresa, používateľ | |
VPN: - FW musí podporovať sieť VPN typu site-to-site pomocou protokolu IPSec. Počet tunelov sa na základe licencie neobmedzuje - FW musí podporovať Remote Access VPN pomocou protokolov IPSec a SSL (min. TLS v1.2) - Počet súčasne pripojených používateľov nesmie byť obmedzený licenciou | |
- Počet súčasne pripojených používateľov nesmie byť obmedzený licenciou - FW musí poskytovať pripojenia minimálne z klientskych operačných systémov Windows a macOS pre Remote Access VPN - Priepustnosť IPSec musí byť aspoň 6 Gbps | |
Manažment: - Jednotlivé HW zariadenia musia obsahovať plnohodnotné grafické rozhranie (GUI) pre správu sieťových a bezpečnostných funkcií bez nutnosti použitia centrálneho riadiaceho servera - Grafické používateľské rozhranie musí podporovať čítanie logov bez potreby centrálneho riadiaceho servera. | |
- Pripojenie k grafickému používateľskému rozhraniu musí podporovať šifrovanie - Grafické používateľské rozhranie musí obsahovať offline kontextového pomocníka. - Jednotlivé HW zariadenia musia obsahovať plnohodnotné textové rozhranie (CLI) na správu a čítanie logov bez nutnosti použitia centrálneho riadiaceho servera. Vzdialené pripojenie k CLI musí podporovať šifrovanie | |
- Jednotlivé HW zariadenia musia obsahovať plnohodnotné API rozhranie na čítanie a konfiguráciu sieťových nastavení, bezpečnostných a iných pravidiel, nastavení sieťového rozhrania a smerovania. - Jednotlivé HW zariadenia musia umožňovať automatickú konfiguráciu nového FW pomocou konfiguračných šablón na pripojenom USB kľúči. | |
- FW musí podporovať LDAP, Radius, TACACS+, Kerberos a osobný certifikát pre autentifikáciu a autorizáciu administrátorov -FW musí obsahovať natívne nástroje na odladenie problémových situácií na úrovni L2 – L7 modelu ISO/OSI - FW musí podporovať natívny nástroj na zachytávanie prevádzky | |
- FW musí byť možné spravovať z administrátorských staníc s OS Windows a macOS (vrátane hardvéru s čipom Apple Silicon) - Správa FW musí podporovať prácu viacerých administrátorov súčasne, vrátane aplikácie politík a nastavení vytvorených len konkrétnym administrátorom | |
- Dodávka musí obsahovať nástroj určený na analýzu a zjednodušenie konverzie pravidiel L3/L4 na pravidlá L7. Tento nástroj nemusí byť súčasťou FW | |
Aplikačná kontrola: - FW musí podporovať detekciu a správu aplikácií ako svoju vstavanú funkcionalitu - Priradenie povolenej alebo zakázanej aplikácie musí byť natívnou súčasťou vytvorenia štandardného bezpečnostného pravidla | |
- Definovaná aplikácia musí predstavovať "kritérium zhody" pri policy lookup - FW musí podporovať identifikáciu aplikácií naprieč všetkými portami/protokolmi - FW musí podporovať identifikáciu aplikácií na neštandardných portoch - Identifikácia aplikácie sa musí prebiehať priamo v FW | |
- FW musí detekovať a zabrániť aplikácii v zmene portov, tzv. port-hopping - FW musí podporovať riadenie neznámej prevádzky - FW musí umožňovať vytváranie plnohodnotných, užívateľsky definovaných aplikácií bez potreby externého nástroja alebo zásahu výrobcu/dodávateľa | |
Kontrola na úrovni užívateľských identít: - FW musí podporovať tvorbu bezpečnostných pravidiel na základe identít používateľov - Výber identity používateľa musí byť natívnou súčasťou vytvorenia štandardného bezpečnostného pravidla - Identita používateľa musí byť "kritériom zhody" pri policy lookup | |
- FW musí umožňovať automatický presun používateľa do inej skupiny na základe bezpečnostného incidentu súvisiaceho s daným užívateľom, bez nutnosti manuálneho zásahu - FW musí podporovať získanie väzby IP adresa-užívateľské meno bez inštalácie klienta na koncové zariadenie - FW musí podporovať získanie väzby IP adresa-užívateľské meno bez inštalácie klienta na doménový kontrolér - FW musí podporovať získanie väzby IP adresa-užívateľské meno bez nutnosti inštalácie iných komponentov | |
mimo samotného HW zariadenia - FW musí podporovať získanie väzby IP adresa-užívateľské meno z Active Directory pomocou doménového účtu s najnižšími možnými právami na čítanie bezpečnostných protokolov bez toho, aby bolo potrebné mať rizikové úrovne povolení (napr. Domain Admins). - FW musí podporovať získanie väzby | |
IP adresa-užívateľské meno z terminálových serverov MS (možné s pomocou nainštalovaného agenta) - FW musí podporovať získanie väzby IP adresa-užívateľské meno prostredníctvom webového formulára - Captive Portal - FW musí podporovať získanie väzby IP adresa-užívateľské meno z agenta VPN | |
- FW musí podporovať získanie väzby IP adresa-užívateľské meno z NAC riešení (cez XML alebo API) - FW musí podporovať získanie väzby IP adresa-užívateľské meno z hlavičiek X-Forwarded-For (XFF) - FW musí podporovať kontrolu klientskych staníc v pravidelých intervaloch prostredníctvom Windows Management Instrumentation (WMI) alebo NetBIOS, aby sa zistilo, či je väzba IP adresa-užívateľské meno stále platná | |
Dešifrovanie: - FW musí podporovať dešifrovanie odchádzajúcej SSL/TLS prevádzky - FW musí podporovať dešifrovanie prichádzajúcej SSL/TLS prevádzky pomocou importovaného súkromného kľúča interného servera | |
- FW musí podporovať dešifrovanie Secure Shell (SSH proxy) a kontrtolovať tunelované aplikácie - Dešifrovaný prenos musí byť možné definovať na základe kategórií adries URL, ako aj všetkých ostatných typických parametrov, ako je zdrojová a cieľová IP adresa, port, identita používateľa - FW musí podporovať dešifrovanie pomocou ECC (kryptografia eliptickej krivky) vrátane DHE a ECDHE pre prichádzajúcu aj odchádzajúcu prevádzku | |
- FW musí podporovať dešifrovanie TLS verzie 1.3 - FW musí podporovať presmerovanie dešifrovanej prevádzky na iné skenovacie zariadenia tretích strán, napr. DLP, analýzu prenosu a súborov atď. 3-stranové zariadenie potom presmeruje čisto filtrované údaje späť do FW. (tzv. Decryption broker) | |
Bezpečnostné funkcionality: - FW musí podporovať zavedenie tzv. pozitívneho bezpečnostného modelu – povoľovať len vybrané aplikácie a zakazovať všetky ostatné aplikácie vrátane neznámej prevádzky - FW musí obsahovať integrovaný systém ochrany pred zraniteľnosťami (virtual patching) a sieťovými útokmi (IPS). Databáza podpisov IPS musí byť uložená priamo v FW. | |
Použitie profilu IPS musí byť podporované na úrovni bezpečnostného pravidla - FW musí umožňovať vytváranie užívateľsky definovaných IPS signatúr bez potreby externého nástroja alebo zásahu výrobcu/dodávateľa - FW musí obsahovať integrovaný systém ochrany pred prítomnosťou vírusov a škodlivého kódu. Databáza AV | |
signatúr musí byť uložená priamo vo FW. Použitie AV profilu musí byť podporované na úrovni bezpečnostného pravidla - Antivírus musí byť schopný skenovať prevádzku aspoň v nasledujúcich aplikáciách - SMTP, POP3, IMAP, HTTP, HTTPS, HTTP/2, FTP a SMB | |
- FW musí umožňovať vytváranie užívateľsky definovaných spyware signatúr bez potreby externého nástroja alebo zásahu výrobcu/dodávateľa - FW musí podporovať možnosť blokovania útoku pomocou známych C&C centier aj v prípade, že je prevádzka šifrovaná a SSL dešifrovanie nie je možné | |
- FW musí podporovať používanie externých dynamických zoznamov v bezpečnostných pravidlách; FW musí poskytovať možnosť overiť pravosť týchto dynamických zoznamov na základe certifikátov - FW musí podporovať import SNORT signatúr - Na prístup ku kritickým aplikáciám musí FW poskytnúť možnosť presadzovania viacfaktorovej autentifikácie prostredníctvom webového portálu bez ohľadu na to, či cieľová aplikácia podporuje | |
viacfaktorovú autentifikáciu; Táto vlastnosť musí byť konfigurovateľná - FW musí poskytnúť možnosť zabrániť odosielaniu doménových prihlasovacích údajov používateľa na nepovolené adresy URL, aby sa zabránilo phishingu - FW musí poskytovať funkciu na ochranu pred drive-by downloadom; Spôsob ochrany musí byť pre používateľa interaktívny, s výberom akceptovania rizika a sťahovania súborov | |
- FW musí podporovať analýzu DNS dotazu takzvanou funkciou sinkhole, ktorá vracia sfalšovanú IP adresu pre podrobnejšiu analýzu, keď DNS dotaz na škodlivú doménu a zároveň sa stanica nedostane na pôvodnú stránku malvéru. - FW musí obsahovať natívnu službu na ochranu pred útokom odmietnutia služby (DoS) obmedzením počtu pripojení na úrovni zdrojovej a cieľovej IP adresy a identity používateľa | |
QoS: - FW musí poskytovať možnosť prioritizácie prevádzky a využitia šírky pásma na základe zdrojovej a cieľovej IP adresy, portu, identity používateľa, aplikácie a času (od – do, deň v týždni + čas atď.) - FW musí podporovať prioritizáciu prevádzky na základe DSCP | |
- FW musí podporovať prioritizáciu prevádzky na základe identifikovanej aplikácie | |
Filtrovanie adries URL: - FW musí obsahovať natívnu podporu pre používanie databázy URL - Adresa URL databázy musí byť od toho istého výrobcu ako FW - FW musí byť schopný použiť kategóriu URL v definícii bezpečnostného pravidla | |
- FW musí podporovať vytváranie užívateľsky definovaných kategórií, bez nutnosti použitia externého nástroja a bez nutnosti zásahu výrobcu/dodávateľa - Adresa URL databázy sa musí dynamicky aktualizovať na základe novo zistených adries URL vedúcich k škodlivému obsahu alebo centrám C&C | |
- Adresy URL databázy musia podporovať možnosť priradiť aspoň dve kategórie naraz pre jednu adresu URL - FW musí mať možnosť požiadať o rekategorizáciu nevhodne kategorizovaných URL adries priamo v grafickom rozhraní FW bez toho, aby musel kontaktovať technickú podporu | |
Logovanie a reportovanie: - FW musí obsahovať lokálne úložisko logov - FW musí obsahovať nástroj na analýzu log bez nutnosti použitia iného systému mimo grafického používateľského rozhrania- FW musí podporovať agregované zobrazovanie logov na základe jediného pravidla filtrovania naprieč rôznymi typmi logov, | |
- FW musí podporovať agregované zobrazovanie logov na základe jediného pravidla filtrovania naprieč rôznymi typmi logov, ako sú prevádzkové logy, logy bezpečnostných incidentov a logy prístupu k url adresám - FW musí podporovať preposielanie logov na zariadenia tretích strán - FW musí umožňovať výber preposlaných logov na úrovni bezpečnostného pravidla | |
- Preposlané logy FW musia byť automaticky rozpoznané najbežnejšie používanými typmi SIEM (uvedenými v kvadrante lídrov aktuálneho MQ spoločnosti Gartner) - FW musí umožňovať vytváranie vlastných reportov priamo z FW grafického rozhrania | |
Servisná podpora: - FW musí podporovať licenčný model nezávislý od počtu chránených koncových bodov - Požadovaná dĺžka podpory a platnosť licencií je 3 roky od nasadenia zariadenia do siete klienta |
2. Podpora výrobcu
|
|
---|---|
Funkcia |
Podpora výrobcu |
Technické vlastnosti |
Jed |
Mi |
Ma |
Pres |
Podpora na 3 roky | ks | 2 |
3. Advanced Threat Prevention
|
|
---|---|
Funkcia |
Zabezpečenie sieťovej prevádzky |
Technické vlastnosti |
Jed |
Mi |
Ma |
Pres |
Licencia na 3 roky | ks | 2 |
4. Advanced URL Filtering
|
|
---|---|
Funkcia |
Zabezpečenie sieťovej prevádzky |
Technické vlastnosti |
Jed |
Mi |
Ma |
Pres |
Licencia na 3 roky | ks | 2 |
5. Inštalácia, konfigurácia a migrácia FW z platformy PaloAlto 3020, PAN-OS 9.1.x na novú platformu
|
|
---|---|
Funkcia |
Inštalácia, konfigurácia a migrácia FW |
Technické vlastnosti |
Jed |
Mi |
Ma |
Pres |
Služby implementácie | ks | 1 |
Názov |
Dodávateľ je povinný do 3 kalendárnych dní odo dňa nadobudnutia účinnosti zmluvy písomne predložiť objednávateľovi kontaktné údaje osoby oprávnenej rokovať vo veciach plnenia zmluvy. |
Dodávateľ je povinný dodať všetky položky predmetu zákazky nové, nepoužívané, nerepasované a v neporušenom originálnom balení ako celok. |
Ak sa v opisnom formulári uvádzajú údaje alebo odkazy na konkrétneho výrobcu, výrobný postup, značku, obchodný názov, patent alebo typ, umožňuje sa dodávateľovi predloženie ponuky s ekvivalentným riešením s porovnateľnými, respektíve lepšími parametrami. Ekvivalent je možné dodať v rovnakej alebo vyššej kvalite podľa Technickej špecifikácie predmetu zákazky. |
Vrátane inštalácie a dopravy na miesto plnenia , ktorým je adresa sídla objednávateľa, priamo zodpovednej osobe objednávateľa. |
Pre všetky dodávky platí nasledovné: - na dohodnuté miesto plnenia (Hlavná 110, 042 65 Košice), - v pracovný deň od 9 00 do 15 00, - s dodacím listom/akceptačným protokolom, ktorý musí obsahovať okrem povinných náležitostí číslo zmluvy, jednotkovú cenu bez DPH, jednotkovú cenu s DPH, sadzbu DPH, celkovú cenu bez DPH a celkovú cenu s DPH. |
Požadovaná lehota dodania do 15.10.2023 |
Preddavok sa neposkytuje. Faktúry budú vystavené Dodávateľom a doručené do miesta sídla Objednávateľa v písomnej forme. Úhrada Objednávateľa za predmet zákazky sa uskutoční formou bezhotovostného platobného styku. Lehota splatnosti faktúry je dvadsaťjeden (21) dní od jej doručenia Objednávateľovi. |
Dodávateľ (vrátane jeho zamestnancov alebo subdodávateľov) sa zaväzuje zachovávať mlčanlivosť o všetkých skutočnostiach, o ktorých sa dozvie na základe plnenia tejto Zmluvy alebo zo Zmluvy vyplývajúcich; predmetná povinnosť trvá aj po ukončení platnosti a účinnosti Zmluvy. V prípade porušenia tejto povinnosti dodávateľ zodpovedá za škodu, ktorá v tejto súvislosti vznikla objednávateľovi. |
Objednávateľ si vyhradzuje právo neprevziať predmet zákazky v prípade, ak dodaný predmet zákazky nebude v súlade s opisom predmetu zákazky a tým odstúpiť od zmluvy. |
Zmluvné strany sa dohodli, že Dodávateľ aj Objednávateľ sú oprávnení odstúpiť od Zmluvy, ak druhá Zmluvná strana podstatným spôsobom poruší ustanovenia tejto Zmluvy. V prípade odstúpenia od zmluvy je takýto prejav vôle voči druhej Zmluvnej strane účinný dňom doručenia písomného oznámenia o odstúpení od zmluvy. Odstúpením od zmluvy zanikajú všetky práva a povinnosti Zmluvných strán vyplývajúce z tejto Zmluvy, okrem nárokov na náhradu škody a nárokov na zmluvné alebo zákonné sankcie. |
V prípade odstúpenia od Zmluvy dôsledkom podstatného porušenia ustanovení tejto Zmluvy, Dodávateľ si nebude uplatňovať v súvislosti s ukončením Zmluvy voči Objednávateľovi žiadne sankcie. |
Nedodržanie ktorejkoľvek podmienky a požiadavky objednávateľa uvedenej v Objednávkovom formulári sa bude považovať za podstatné porušenie zmluvných podmienok pričom objednávateľ: 1. ukončí s dodávateľom zmluvný vzťah v súlade s OPEP z dôvodu, že dodávateľ podstatne porušil svoje povinnosti; 2. vystaví dodávateľovi negatívnu referenciu v EKS; 3. vystaví dodávateľovi negatívnu referenciu pre úrad pre verejné obstarávanie, v ktorej objednávateľ Úradu pre verejné obstarávanie oznámi, že došlo k predčasnému ukončeniu zmluvného vzťahu z dôvodu podstatného porušenia povinností dodávateľa. |
Ak dôjde k zrušeniu zmluvy odstúpením Objednávateľa od zmluvy z dôvodu, že Dodávateľ riadne nesplní svoju povinnosť vyplývajúcu zo zmluvy (t.j. nedodá, neposkytne alebo nevykoná plnenie), môže si Objednávateľ voči Dodávateľovi uplatniť zmluvnú pokutu vo výške dohodnutej hodnoty plnenia. |
Na úhradu takto uplatnenej zmluvnej pokuty sa primerane použije ustanovenie Čl. XIII. bod 13.4. Všeobecných zmluvných podmienok uvedených v OPEP. |
Prehlásenie: Dodávateľ potvrdzuje, že sa pred uzavretím tejto zmluvy riadne oboznámil s funkčnou a technickou špecifikáciou predmetu zákazky a osobitnými požiadavkami na plnenie predmetu zákazky. Dodávateľ čestne vyhlasuje, že spĺňa podmienku účasti v zmysle § 32 ods. 1 písm. e) zákona č. 343/2015 Z.z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov (ďalej len ZVO) a nemá uložený zákaz účasti vo verejnom obstarávaní potvrdený konečným rozhodnutím v Slovenskej republike alebo v štáte sídla, |
miesta podnikania alebo obvyklého pobytu podľa § 32 ods. 1 písm. f) ZVO, nie je v konflikte záujmu v zmysle § 23 ZVO a v prípade, že by došlo k zmene vyššie uvedených skutočností, bezodkladne to oznámi verejnému obstarávateľovi |
Hlavná 110, 042 65 Košice, Košice - mestská časť Staré Mesto, Košice I, Košický, Slovenská republika
01.10.2023 08:00 — 15.10.2023 16:00
1,00 zákazka
137 505,60
114 588,00
Súčasťou vlastného návrhu plnenia zákazky musí byť uvedená konkrétna výrobná značka, typ dodávaného tovaru a uvedené technické parametre dodávaného tovaru, tak aby bolo preukázané splnenie technických parametrov požadovaných verejným obstarávateľom.
Názov | Merná jednotka | Výhodnejšia hodnota | Váha |
---|---|---|---|
Cena s DPH | € | Menšia | 100 |
02.08.2023 14:31
11.08.2023 10:20
11.08.2023 10:35
20 min.
2 min.
Dátum predloženia | Hodnota | MJ | Kritérium |
---|---|---|---|
10.08.2023 14:32 - Vstupná ponuka | 132 173,38 | € | Cena s DPH |
10.08.2023 14:32 - Najvýhodnejšia ponuka | 132 173,38 | € | Cena s DPH |
Vážený používateľ,
v súvislosti s povinnosťou elektronizácie verejného obstarávania od 18.10.2018 a zároveň s cieľom vylepšenia používateľského komfortu sme pre vás pripravili novú verziu systému EKS, ktorá so sebou prináša: