S E R V I Z I A I C I T T A D I N I E A L L E P U B B L I C H E A M M I N I S T R A Z I O N I

Transcript

1 S E R V I Z I A I C I T T A D I N I E A L L E P U B B L I C H E A M M I N I S T R A Z I O N I Data di Pubblicazione Frascati, 8 Maggio 2010 GARA INFORMALE BANDO E LETTERA DI INVITO Oggetto: Richiesta di fornitura dei servizi e apparecchiature informatiche per la realizzazione del Sistema di Sicurezza Informatica e per l installazione e configurazione di un Dominio presso la sede della S.T.S. srl. Premessa: Visto il recente cambio di fornitura della connettività Internet della sede della S.T.S. dalla precedente gestione ad una linea Vodafone, e vista l attuale conformazione del sistema informatico della sede, si riscontra l urgente necessità di un aggiornamento delle politiche di sicurezza nonché delle apparecchiatura utilizzate. Attualmente la sede dispone di un Server HP Proliant DL380 con 6x80GB SCSI. I PC Client sono connessi tra loro tramite una rete locale LAN che permette di condividere e scambiare informazioni tra loro. In questa rete non è presente un Server di dominio, ma un File Server (con funzione di DHCP Server), quindi i pc fanno parte di un gruppo di lavoro unico chiamato STS ed i dati vengono salvati su di un area libera da restrizioni ed autorizzazioni particolari AREA SCAMBIO, dove gli utenti possono eseguire operazioni di backup e di condivisione. Il salvataggio giornaliero dei dati viene eseguito in automatico dal server, che effettua il backup dell intero contenuto dell AREA SCAMBIO, creando un file compresso e copiandolo in un altro hard disk dello stesso. Il file server è strutturato in RAID 5. Suddetto file server opera con Sistema Operativo Linux/Debian customizzata dal precedente gestore. La rete è cablata mediante uno Switch HP Procure 2124; Collegamento ad Internet: Attualmente il collegamento avviene tramite provider Vodafone, con una ADSL da 4Mbps collegata alla rete LAN mediante un router Cisco 2800 Series. Il collegamento con l esterno è diretto, non sono presenti ne Firewall ne Server Proxy. RIORGANIZZAZIONE DELLE INFRASTRUTTURE Al fine di strutturare opportunamente il sistema informatico, le principali operazioni necessarie sono: Società Tuscolana Servizi s.r.l Frascati Via S. Lucia Filippini, 7 Tel Fax sts@poste.it Codice Fiscale, Iscriz. Reg. Imprese di Roma, Partita Iva: N

2 L implementazione di un sistema di sicurezza che comprenderà: a. L implementazione e la gestione di un sistema Firewall Hardware con un sistema automatizzato di Reporting avanzato e un sistema di Web Filtering; b. La predisposizione di una DMZ comprendente Firewall e Router Internet; c. La redazione e l aggiornamento costante di tutta la documentazione inerente sicurezza informatica e privacy con redazione del D.P.S.. La realizzazione del sistema di sicurezza rappresenta un intervento di estrema importanza. L implementazione di un Dominio mediante l attuale File Server con procedura di Backup mediante NAS; Funzioni del Dominio: Autenticazione personale degli utenti con Profilo su Server, per consentire agli impiegati l accesso al proprio profilo da qualsiasi postazione indipendente dall hardware del Client; Presenza di una cartella personale sul Server (collegata al profilo) per lo storage dei dati personali; Architettura a Gruppi (speculari agli Uffici che compongono la sede) con accesso limitato; Presenza di una area comune a tutti gli utenti del dominio per la condivisione dei dati; Server configurato utilizzato in modalità Raid 5 con un sistema automatizzato di backup su supporto esterno (da definire). Il Dominio dovrà essere compatibile con Windows Vista/Windows Seven; Il dettaglio delle apparecchiature e delle attività nel Capitolato Tecnico. Forme della procedura Per la presente fornitura verrà adottata la forma del cottimo fiduciario mediante affidamento con procedura negoziata a imprese o persone fisiche esterne all Amministrazione. Condizioni di fornitura Le apparecchiature e il software richiesti elencati nel capitolato tecnico allegato devono essere forniti attenendosi alle specifiche tecniche del capitolato stesso. Modalità di esecuzione Tutte le apparecchiature descritte nel Capitolato dovranno essere di nuova fabbricazione, collaudate e perfettamente funzionanti al momento dell installazione. Nel caso si riscontrassero difetti di qualsiasi natura, la Ditta aggiudicataria della fornitura si dovrà impegnare a sostituire al più presto (entro max cinque gg) le apparecchiature difettose. Si intende che tutto il materiale oggetto della fornitura dovrà essere consegnato presso la sede della S.T.S. Srl in Via Santa Lucia Filippini n.7 Frascati (RM), installato e collaudato alla presenza di un responsabile dell Ufficio interessato e del consulente tecnico. Tutto il Software di sistema dovrà essere corredato di regolare licenza d uso rilasciata dal produttore ove necessaria.

3 Garanzie Tutte le apparecchiature descritte nel Capitolato dovranno essere coperte da garanzia totale almeno per un periodo di 36 mesi dalla data d installazione. Inoltre i sistemi oggetto della fornitura dovranno essere corredati di certificazione di conformità alle norme europee ISO/CE relative alla sicurezza e alla qualità. Criteri di aggiudicazione Le forniture richieste nel presente bando saranno aggiudicate alla Ditta che avrà presentato l offerta economicamente più vantaggiosa così come previsto dall Art. 83 del D.Lgs. 163 del Parametri di Valutazione In funzione dei criteri di aggiudicazione sopra descritti, l Amministrazione, per affidare le forniture si avvale dei seguenti parametri di valutazione: Max 30% al prezzo offerto Max 70% al valore del progetto Al fine di stabilire i punteggi riferiti all offerta economica, la commissione adotterà la seguente formula: Po = (30 x Pzm) / Pz Dove: Po = Punteggio dell offerta Pzm = Prezzo offerta minima Pz = Prezzo offerta in esame Al fine di stabilire i punteggi di merito riferiti al valore del progetto, la commissione esaminatrice prenderà in esame i seguenti parametri: a) la qualità e garanzia delle soluzioni b) il pregio tecnico c) le caratteristiche funzionali d) l assistenza successiva alla vendita e) le referenze in ambito di sicurezza informatica Importo a base d asta e modalità di pagamento L importo a base d asta è stabilito a ,00 (ventinovemila/00) iva esclusa. Non sono ammesse offerte oltre l importo a base d asta. Il pagamento sarà liquidato dall Amministrazione entro 60 giorni dalla presentazione della fattura che verrà emessa dalla Ditta dopo il collaudo positivo delle forniture. Modalità di presentazione dell offerta Le Ditte interessate alla fornitura di quanto descritto nel Capitolato, dovranno fare pervenire la propria offerta entro e non oltre 20 giorni dalla data di pubblicazione del Bando sul Sito della S.T.S. (società tuscolana servizi) srl all indirizzo

4 S.T.S. Società Tuscolana Servizi S.r.l. Via S. Lucia Filippini Frascati (RM) Sulla busta del plico, debitamente chiuso, dovrà essere riportata la seguente dicitura: Offerta economica per Sicurezza Informatica e Dominio oltre al nome della Ditta partecipante. All Interno il plico dovrà contenere: A) N. 1 busta debitamente chiusa con l indicazione del Nome della Ditta partecipante e con la dicitura OFFERTA ECONOMICA. All interno di questa busta dovranno essere indicati i prezzi così suddivisi: Prezzi dell hardware iva esclusa; Prezzi del software iva esclusa; Prezzi dei servizi iva esclusa; B) Il progetto tecnico in cui verranno descritte le caratteristiche dell hardware proposto e le soluzioni sistemistiche indicate nel Capitolato Tecnico. Il presente documento dovrà chiarire in modo esaustivo le metodologie impiegate, il livello dei servizi proposti e le soluzioni per l assistenza per i successivi 36 mesi; Una dichiarazione, sottoscritta dal rappresentante legale della Ditta, in cui si elencano le referenze in particolar modo nel settore della sicurezza dei sistemi; Certificato Camerale con l evidenza del settore in cui la ditta opera; Lettera di invito ed il capitolato tecnico dovranno essere firmati su ogni singola pagina e inseriti nel plico insieme al progetto tecnico. L Amministrazione della società si riserva la facoltà insindacabile di aggiudicare o meno le offerte pervenute. Di contro l aggiudicazione della fornitura potrà essere disposta anche a fronte di una sola offerta valida. Le spese contrattuali, bolli, spese di registrazione, diritti di segreteria ecc sono a totale carico dell aggiudicataria. Per opportuna norma si avverte che qualsiasi, anche minima, irregolarità dell offerta, sia nel contenuto, sia rispetto le prescrizioni del presente invito, sarà ragione di annullamento dell offerta stessa. Per informazioni tecniche contattare il numero ; L occasione ci è gradita per porgervi distinti saluti. Il Responsabile del Servizio Dott. Paride Pizzi

5 1 HARDWARE requisiti minimi: a) n.1 Firewall Hardware: Requisiti Generali CAPITOLATO TECNICO Il sistema proposto deve supportare una licenza senza alcuna restrizione relativa al numero di indirizzi IP Requisiti Sistema Operativo e Management Il Sistema Operativo proprietario; Essere aggiornabile via interfaccia Web o TFTP La configurazione sul device deve poter essere salvata o ripristinata attraverso interfaccia Web e linea commando da un PC locale, attraverso sistema di gestione centralizzato o supporto USB; Firmware aggiornabile attraverso USB; Fornire un file di configurazione che sia in formato testo (leggibile da Windows Notepad); Requisiti di Sistema Il sistema deve garantire la presenza di almeno 10 sistemi virtuali (virtual domain) senza necessita di una licenza aggiuntiva. Il sistema deve essere in grado di virtualizzare i seguenti componenti: Firewall; IPSEC & SSLVPN; IPS settings; Antivirus settings; Antispam settings; Web content Filtering Settings; Application Control; Data Leak Prevention; Wan Optimization; SSL Inspection; User Group settings; Routing Requisiti Firewall Il firewall deve come minimo aver ottenuto la certificazione Internet Computer Security Association (ICSA) Firewall Product Criteria 4.1. Le politiche di firewall devono essere configurabili per indirizzi IPv4 e IPv6. Il firewall deve essere in grado di gestire in modo sicuro il traffico VoIP Firewall Stateful Inspection proposto deve includere: Network Address Translation (dynamic and static NAT) su base policy NAT e map uno-a-uno, IP pools for dynamic NAT, Port Forwarding

6 Requisiti VPN Il sistema proposto deve essere conforme/supportare i seguenti standard, senza ulteriori soluzioni esterne, o ulteriore hardware o moduli aggiuntivi: IPSEC VPN PPTP VPN L2TP VPN SSL VPN Il sistema proposto deve supportare 2 differenti configurazioni di VPN site to site: Route based IPSec tunnel, Policy based IPSec tunnel; Il sistema proposto deve supportare VPN IPSEC site to site e remote access in transparent mode. Il sistema proposto deve supportare il protocollo IPv6 per garantire la sicurezza del traffico IPv6 con tunnel IPSec. Il sistema proposto deve supportare due modalita di VPN SSL: Web-only mode e Tunnel mode. Il sistema proposto deve supportare l identificazione in SSL-VPN del tipo di browser al fine di effettuare il download del corretto client Java or ActiveX. Il sistema proposto deve fornire un client SSL-VPN in tunnel mode in grado di supportare Windows Vista anche a 64 bit. La funzionalita SSL VPN deve essere disponibile senza alcuna licenza addizionale. Requisiti di bilanciamento Il sistema deve consentire di definire dei server virtuali per implementare meccanismi di bilanciamento su più server. Le impostazioni dei server virtuali devono consentire la verifica dello stato dei server reali. Il sitema proposto deve poter utilizzare algoritmi di bilanciamento del traffico. Il sistema proposto deve supportare la persistenza. Il sistema proposto deve essere provvisto di un proxy http. Requisiti SSL Offloading Il sistema proposto deve essere in grado di effettuare l attivita di SSL offloading nelle seguenti topologie: Tra Client e Appliance, Tra Client, Appliance e Server. Deve supportare: SSL 3.9, TLS 1.0 e TLS 1.1. Requisiti WAN Optimizzation Il sistema proposto deve supportare la topologia di Wan Optimization Active- Passive Il sistema proposto deve supportare la topologia di Wan Optimization peer to peer. Il sistema proposto deve supportare la protocol optimization al fine di ottimizzare la banda sul link WAN.

7 Il sistema proposto deve supportare la tecnica di ottimizzazione della banda detta Byte Caching, La soluzione proposta deve supportare la Wan Optimization verso un client remoto L apparato proposto deve memorizzare statistiche in locale. Dovra presentare tali dati statistici in formato grafico al fine di evidenziare l andamento del traffico di rete e del processo di ottimizzazione. Requisiti Data Leakage Prevention Le caratteristiche del DLP dovranno essere configurate creando regole single, combinando tali regole in sensori ed in seguito associare tali sensori a profile che saranno attivati all interno delle regole di firewall. Il sistema proposto deve permettere all amministratore di evitare che dati importanti possano lasciare la rete. Requisiti SSL content scanning e inspection Il sistema proposto deve essere in grado di intercettare ed analizzare il contenuto del traffico cifrato via SSL, per i seguenti protocolli: HTTPS, IMAPS, POP3S, SMTPS. Il sistema proposto deve essere in grado di effettuare le seguenti operazioni sul traffico cifrato via SSL: AV Scannino, Antispam, Web content Filtering, Data leakage prevention. Requisiti Web Caching e Proxy Il sistema proposto deve avere la capacita di effettuare web caching, attraverso la memorizzazione degli oggetti, al fine di accelerare le applacazioni web ed i web server riducendo in questo modo : l utilizzo di banda, il carico del server e il ritardo percepito L amministratore deve essere in grado di definire in modo specifico il traffico che deve essere sottoposto al web cache. Il sistema proposto deve essere in grado di supportare parametri di configurazione del web caching basati sullo standard RFC Requisiti User Authentication Il firewall proposto deve essere in grado di supportare diverse tipologie di autenticazione degli utenti simultaneamente. L amministratore deve avere la possibilita di creare gruppi che contengono l elenco dell identita degli utenti. Il sistema proposto deve essere in grado di erogare il single sign-on in ambiente Windows AD per mezzo di agenti di raccolta che operano da intermediari tra gli utenti quando accedono al dominio e l apparato. Requisiti IPS

8 La funzionalita IPS deve aver ottenuto la certificazione Internet Computer Security Association (ICSA) NIPS Il sistema proposto deve permettere agli amministratori di creare signature IPS personalizzate. La componente IPS deve avere almeno 4000 signature. Le signature IPS devono poter essere aggiornate in 3 modalita differenti: manualmente, attraverso tecnologia pull o attraverso tecnologia push. L amministratore puo pianificare la verifica di disponibilita di nuove signature. Requisiti Antivirus La funzionalita Antivirus deve aver ottenuto la certificazione Internet Computer Security Association (ICSA) AV Il sistema proposto deve essere in grado di garantire la possibilita di permettere, bloccare o intercettare (cioe consentire ma mettere in quarantena) i file allegati o scaricati in base alle estensioni e/o il file type., includendo le seguenti tipologie. Il sistema proposto deve grantire la possibilita di abilitare/disabilitare il motore euristico, e bloccare i file in allegato sospetti. Requisiti Web Content Il sistema proposto deve integrare una soluzione di Web Content Filtering senza l utilizzo di soluzioni esterne, o altri apparati o ulteriori moduli hardware. Il sistema proposto deve essere in grado di abilitare o disabilitare la funzionalita di Web Filtering per semplice regola di firewall o regola di firewall associata ad autenticazione dei gruppi di utente sia per il traffico HTTP che HTTPS. Requisiti Application Control Il sistema proposto deve essere in grado di identificare e controllare applicazioni senza preoccuparsi della porta o del protocollo. Inoltre deve essere in grado di bloccare o far passare le seguenti applicazioni: Le signature delle applicazioni possono essere aggiornate manualmente o automaticamente. L amministratore deve essere in grado di definire una lista delle applicazioni da controllare, basandosi su categorie e/o singole applicazioni e associando una particolare azione. Requisiti Antispam Il sistema proposto deve essere in grado di garantire funzionalita Antispam per i protocolli SMTP, POP3 e IMAP senza utilizzare soluzioni esterne, o altri apparti o moduli hardware aggiuntivi. Requisiti High Availability

9 Il sistema proposto deve includere funzionalità di alta affidabilità (HA) senza che siano richiesti costi aggiuntivi, licenze, o componenti hardware. Il sistema deve supportare il mantenimento dello stato delle sessioni attive nell evento di un fail-over su una unità in stand-by. Il sistema deve poter spedire log, trap SNMP, e di alert, quando avviene un fail-over. La funzionalità di alta affidabilità deve essere supportata per tutte le modalità: routing, trasparente, ibrida. Il sistema deve supportare collegamenti multipli di controllo per il canale di heartbeat del sistema di alta affidabilità. Il sistema di HA deve consentire di configurare fino a quattro unità hardware in un unico cluster. Devono essere disponibili almeno i seguenti algoritmi di bilanciamento di carico: Round robin, Least connections Weighted round robin. Il sistema deve supportare l aggiornamento automatizzato del firmware con minimo tempo di downtime Requisiti Log e Report Il sistema deve poter registrare log sia internamente che esternamente con le seguenti possibilità: Apparato dedicato per log centralizzato Memoria Server syslog esterno Hard disk interno I report devono poter essere generati istantaneamente o in maniera pianificata, da un apparato esterno dedicato alla reportistica. Per supportare le ricerche, il sistema centralizzato di log e report, deve fornire: Un visualizzatore dei log in tempo reale, per qualsiasi tipologia di log prodotta. Strumenti di ricerca e filtro dei log Un correlatore di log Uno strumento di visualizzazione in tempo reale dei log collezionati dai dispositivi IPS. Altre funzionalità e requisiti hardware: Maximum Firewall Throughput: 1 Gbps; Maximum Firewall Throughput: 500 Mbps; Maximum IPSec VPN Throughput: 100 Mbps; Maximum Antivirus Throughput: 65 Mbps; Maximum IPS Throughput: 200 Mbps; Maximum Concurrent Sessions: 400,000; Network Interfaces: - 2 Copper GigE 10/100/1000 Base-T /100 Base-T Il sistema proposto deve avere le seguenti certificazioni : FCC Class A/B, CE, VCCI, RoHS compliant; Incluso kit di montaggio a rack;

10 Garanzia 3anni con supporto tecnico 8x5 con download degli aggiornamenti; b) n.1 Sistema hardware di Reporting avanzato: Funzioni: logging\troubleshoting a supporto delle compliance Garante3\Brunetta; Report personalizzabili; Velocità di logging: ~200logs/sec; Data receive rate: 800kbps; Licenze: 100 dispositivi; Network Interfaces: 4 ethernet 10/100; Capacità Hard Disk: 250GB; Garanzia 3anni con supporto tecnico 8x5; c) n.1 Sistema NAS Small Business: Connettività: Numero porte Lan RJ45: 1; Velocità Lan: 10/100/1000; Porte usb: 1; Porte console: 1; Conformità lan IEEE 802.3; Unità di memoria: HDD SATA; Numero bay totali: 4; Numero dischi inclusi: 4; Capacità storage totale dischi inclusi: 4 TB; Livelli Raid: raid 0/1; Formato chassis: tower o desk; Porta RPS (redundant power supply): Si. 2 - Servizi accessori e di installazione: a. Rete Lan: La predisposizione di una DMZ comprendente Firewall e Router Internet; Configurazione dello switch HP già presente per segmentare la rete in VLAN; Installazione e posa in opera nel sistema Rack preesistente dei prodotti forniti; Installazione e posa in opera dei sistemi non-rack; Installazione e configurazione di tutti i servizi del Firewall Hardware e del Sistema hardware di Reporting avanzato; Configurazione iniziale delle policy; Test di funzionamento con training on the job con durata minima di 5gg. b. Sicurezza: Realizzazione dettagliata del documento programmatico di sicurezza (DPS) per l'infrastruttura di rete con redazione conforme alle normative attuali.

11 c. Dominio: Caratteristiche: - Autenticazione personale degli utenti con Profilo su Server, per consentire agli impiegati l accesso al proprio profilo da qualsiasi postazione indipendente dall hardware del Client; - Presenza di una cartella personale sul Server (collegata al profilo) per lo storage dei dati personali; - Architettura a Gruppi (speculari agli Uffici che compongono la sede) con accesso limitato; - Presenza di una area comune a tutti gli utenti del dominio per la condivisione dei dati; - Server configurato utilizzato in modalità Raid 5 con un sistema automatizzato di backup su supporto esterno (Sistema NAS Small Business sopraindicato). - Il Dominio dovrà essere compatibile con Windows Vista/Windows Seven; Le attività di installazione, configurazione e posa in opera del Dominio dovranno prevedere: - Installazione e configurazione Server di Dominio (Debian 5.0); - Rivisitazione e ottimizzazione attuale rete Lan; - Inserimento di tutti i PC Client all interno del Dominio; - Copia del Profilo locale (comprensivi dei Preferiti del Browser) di ciascun utente all interno del nuovo profilo sul Server; - Creazione dei Gruppi con relativa copia dei dati individuati; - Ripristino dei Client di Posta Elettronica dove necessario; - Altre attività che si renderanno necessarie in fase di implementazione. - Installazione e configurazione di un sistema di Backup dei dati del Dominio mediante il Sistema NAS Small Business fornito.