Centro nazionale per l informatica nella pubblica amministrazione

Centro nazionale per l informatica nella pubblica amministrazione SERVIZIO DI REALIZZAZIONE DELLA RETE INTERNAZIONALE DELLE P.A. Allegato C CAPITOLATO DI GARA

INDICE DEI CONTENUTI 1 PREMESSA... 4 2 DEFINIZIONI E ACRONIMI... 4 3 OGGETTO DEL SERVIZIO... 4 3.1 I CLIENTI DEI SERVIZI DI RETE INTERNAZIONALE... 5 3.2 ESIGENZE DELLE AMMINISTRAZIONI... 5 3.2.1 Ministero degli Affari Esteri (MAE)... 5 3.2.2 Istituto per il Commercio con l Estero (ICE)... 6 3.2.3 ENIT... 6 3.2.4 Agenzia delle Dogane... 6 3.2.5 MIUR... 6 3.2.6 Altre amministrazioni... 6 3.3 DISTRIBUZIONE GEOGRAFICA DELLE SEDI... 7 3.4 ARCHITETTURA DELLA RETE INTERNAZIONALE... 7 3.5 CLASSIFICAZIONE DEI SERVIZI... 8 3.6 SERVIZI DI BASE... 8 3.6.1 Connettività IP-BE... 8 3.6.2 I servizi di supporto... 9 3.7 SERVIZI EVOLUTI... 9 3.7.1 Trasporto IP-QoS... 9 3.7.2 Servizi Internet... 9 3.7.3 I servizi di Sicurezza di rete... 9 3.7.4 Servizio Voice-over-IP... 10 3.8 VARIANTI ALLE MODALITÀ DI EROGAZIONE... 10 3.9 SERVIZI ADDIZIONALI... 10 3.10 RUOLO E FUNZIONI DEL CNIPA... 11 4 SPECIFICHE TECNICHE DEI SERVIZI... 12 4.1 REQUISITI GENERICI... 12 4.2 SERVIZIO DI BASE DI CONNETTIVITÀ IP (IP-BE)... 12 4.3 SERVIZI EVOLUTI... 14 4.3.1 Trasporto IP-QoS... 14 4.3.2 Servizio Internet... 14 4.3.3 Servizi di sicurezza di rete... 15 4.3.4 Voice over IP... 20 4.4 SERVIZI ADDIZIONALI... 23 4.5 VARIANTI ALLE MODALITÀ DI EROGAZIONE DEI SERVIZI CONTRATTUALIZZATI... 24 4.6 SERVIZI DI SUPPORTO... 24 4.6.1 Centro di Gestione... 24 4.6.2 Sistema di Monitoraggio della qualità... 25 4.6.3 Servizio di Call Center... 25 5 PRESCRIZIONI GENERALI RIGUARDANTI LA SICUREZZA... 27 5.1 PRINCIPI GENERALI... 27 5.2 ORGANIZZAZIONE DELLA SICUREZZA... 27 5.3 SICUREZZA NELLA GESTIONE DEL PERSONALE... 28 5.4 SPECIFICHE TECNICHE DI SICUREZZA... 28 6 VERIFICHE E COLLAUDI... 29 6.1 PRESCRIZIONI GENERALI... 29 6.2 COLLAUDO DEI SERVIZI SU PIATTAFORMA TECNICA (TEST BED)... 29 6.3 COLLAUDO DELLA DOCUMENTAZIONE DI RISCONTRO... 30 6.4 COLLAUDO DEGLI ACCESSI... 30 7 REQUISITI RELATIVI ALLA QUALITÀ... 32 7.1 REQUISITI GENERALI... 32 7.2 DOCUMENTAZIONE DI RISCONTRO... 32 Pagina 2 di 52

8 MONITORAGGIO... 35 APPENDICE C.1 PIANO DEI FABBISOGNI DEL MAE... 36 APPENDICE C.2 PIANO DEI FABBISOGNI DELL ICE... 46 APPENDICE C.3 PIANO DEI FABBISOGNI DELL ENIT... 48 APPENDICE C.4 PIANO DEI FABBISOGNI AGENZIA DELLE DOGANE... 49 APPENDICE C.5 PIANO DEI FABBISOGNI DEL MIUR... 50 Pagina 3 di 52

1 Premessa Il presente documento formula i requisiti minimi dei servizi della Rete Internazionale delle Pubbliche Amministrazioni e le modalità con le quali tali servizi dovranno essere erogati. La descrizione del contesto di gara in cui si inquadra il presente capitolato di gara è riportato nell Allegato B. Il Prestatore dovrà presentare al momento dell'offerta un Progetto Tecnico che descriva nel dettaglio le modalità e le caratteristiche realizzative dei servizi offerti e delle infrastrutture necessarie per la loro erogazione. Il progetto costituirà la componente tecnica dell offerta e sarà valutato dalla Commissione di aggiudicazione della gara. In particolare l oggetto del servizio riguarda: servizi di connettività IP e di accesso ad Internet servizi di sicurezza di rete servizi a valore aggiunto La sezione 3 del presente documento descrive l'oggetto del servizio, i clienti della Rete ed i fabbisogni in termini di servizi a gara e le modalità di acquisizione dei servizi. Le sezioni 4, 5, 6, 7 e 8 definiscono le specifiche applicabili al servizio, articolate in punti. La numerazione delle specifiche segue il formato [X-Y-N], dove Y è il numero della sezione che raggruppa i requisiti secondo l argomento specifico cui si riferiscono, N è un numero progressivo e X indica la classe del requisito. La classificazione adottata è la seguente: punti di natura definitoria, indicati con il carattere D ; punti di natura interpretativa, indicati con il carattere I ; prescrizioni che devono essere soddisfatte obbligatoriamente nell offerta, con specifico impegno da parte dell offerente, indicati con i caratteri P (per servizi di base 1 ), O (per servizi evoluti, opzionali per le Amministrazioni) e V (varianti). I punti indicati con i caratteri D e I hanno lo scopo di agevolare la corretta interpretazione delle specifiche illustrate nel documento stesso. Nel seguito si indicherà con il termine "Prestatore" la Società o il RTI che formulerà l'offerta e sottoscriverà il contratto quadro. Nei casi in cui il presente documento non specifichi in modo univoco le modalità di prestazione di un particolare servizio o di un suo elemento, l offerente dovrà evidenziare nell offerta le modalità che intende adottare per la fornitura del servizio o del suo elemento. 2 Definizioni e Acronimi Le definizioni generali e gli acronimi applicabili a tutti i documenti di gara sono riportati nell'allegato H. 3 Oggetto del servizio In questa sezione è definito l'oggetto del servizio in termini di: definizione dei "clienti" dei servizi, ossia dei soggetti che potranno stipulare singoli contratti con i Prestatori dei servizi di Rete Internazionale; identificazione delle esigenze manifestate dalle Amministrazioni clienti ; individuazione delle tipologie di servizi di Rete Internazionale e di servizi a supporto, atti a soddisfare il fabbisogno delle Amministrazioni clienti; modalità di acquisizione dei servizi da parte delle singole Amministrazioni. 1 Si rimanda al Paragrafo 3.5 per la classificazione dei servizi oggetto del bando. Pagina 4 di 52

3.1 I Clienti dei servizi di Rete Internazionale I fruitori dei servizi di Rete Internazionale sono in linea di principio le Amministrazioni Centrali dello Stato. Questi soggetti saranno tenuti anche a seguito della sottoscrizione di una lettera di pre-adesione concordata con l allora Centro Tecnico e sulla base di quanto previsto dall'art. 15, comma 1, della legge 15 marzo 1997, n. 59, ad acquisire i servizi di Rete Internazionale delle P.A. per soddisfare le esigenze di connettività delle proprie sedi estere. Tutte le altre Amministrazioni avranno facoltà di aderire ai servizi di Rete Internazionale secondo quanto indicato nella stessa legge. Di seguito si indicherà con il termine generico di "Amministrazione" il cliente dei servizi di Rete Internazionale. Le Amministrazioni interessate ad acquisire i servizi oggetto del bando sin dalla fase iniziale sono il Ministero degli Affari Esteri (MAE), l Istituto per il Commercio con l Estero (ICE), l Ente Nazionale Italiano per il Turismo (ENIT),l Agenzia delle Dogane del Ministero delle Finanze ed il Ministero per l Istruzione, l Università e la Ricerca (MIUR). Il Ministero della Difesa si riserva di aderire in una fase successiva, dopo una valutazione dei costi che scaturiranno dalla gara. Il Ministero della Salute (MDS) ha manifestato un emergente fabbisogno, che potrebbe tradursi nella richiesta di servizi in una seconda fase. 3.2 Esigenze delle Amministrazioni Il fabbisogno di servizi che la Rete Internazionale dovrà soddisfare nel breve periodo è stato individuato nelle esigenze espresse dal MAE, dall ICE, dall ENIT, dall Agenzia delle Dogane e dal MIUR. Sulla base di tali fabbisogni sono stati individuati i requisiti dei servizi a gara. Le sedi all estero complessivamente da servire nella fase iniziale risultano oltre 500, di cui circa 339 del MAE, 80 dell ICE, 21 dell ENIT, 3 sedi dell Agenzia delle Dogane e 66 del MIUR. Alcune sedi di MAE ed ICE risultano co-locate presso uno stesso sito: l elenco completo dei siti presso cui erogare i servizi a gara è riportato in Appendice al presente documento, suddiviso per zone. 3.2.1 Ministero degli Affari Esteri (MAE) Il Ministero degli Affari Esteri (MAE), che conta 338 sedi nel mondo (tra Farnesina, Ambasciate, Consolati, Rappresentanze ed Istituti Italiani di Cultura), è attualmente impegnato nel realizzare una maggior integrazione dei diversi sistemi di comunicazione in dotazione (fonia, dati, fax, messaging, etc.) e mira ad intraprendere una graduale evoluzione al fine di rendere operativi ulteriori servizi, che migliorino le relazioni tra le proprie rappresentanze e la sede centrale del Ministero. Gli interessi di traffico sono baricentrati sulla Farnesina (le esigenze di comunicazione diretta tra siti esteri sono limitatissime se non inesistenti). Un requisito ritenuto indispensabile è rappresentato dall elevato livello di protezione delle informazioni (spesso critiche) scambiate sulla rete, atto a garantire la confidenzialità e l integrità delle comunicazioni. Le sedi estere del MAE hanno quindi principalmente l esigenza di comunicare su canali sicuri con la Sede Centrale del Ministero. È possibile identificare due tipologie di sedi: sedi a grandi volumi di traffico, per le quali è tipicamente richiesta una connettività di tipo always-on (ove possibile), con garanzia di disponibilità e di banda media del collegamento endto-end (la banda del collegamento di accesso varia tra 256kb/s e 2Mb/s). sedi a limitato volume di traffico in cui è richiesta connettività di tipo commutato con garanzia di disponibilità del collegamento al POP. In ogni caso (anche per le sedi con connessione in modalità dial-up) deve essere possibile attivare una sessione di comunicazione dalla sede centrale verso la sede periferica e viceversa. La particolare enfasi posta sui requisiti di sicurezza rende necessario che il transito attraverso reti condivise avvenga mediante l impiego di tunnel crittografici. Il presidio della sicurezza perimetrale dovrà essere articolato in modo da offrire un adeguata protezione nei confronti di terze parti. Pagina 5 di 52

3.2.2 Istituto per il Commercio con l Estero (ICE) L'Istituto Nazionale per il Commercio con l'estero ha circa 80 sedi in tutto il mondo, che si approvvigionano di beni e servizi informatici e di telecomunicazioni sulla base di standard e direttive vincolanti ed omogenee definite dalla sede centrale, che autorizza ogni nuovo bene e/o servizio dopo aver verificato l'aderenza alle direttive ed agli standard suddetti. Ogni sede è strutturata, dal punto di vista informatico, in modo omogeneo sia per quanto riguarda l'hardware che il software di base ed applicativo. La tipologia di applicazioni, che prevede l'aggiornamento on line delle basi dati centrali, concentrate nella sede centrale dell'ice in Roma, nonché la disponibilità continua del servizio di posta elettronica e di accesso ad internet per consultazione, configura un accesso ai servizi di rete basato fondamentalmente su accesso ad Internet in modalità always-on (traffico sostenuto e continuativo con esigenze di sicurezza tipiche di informazioni a criticità limitata). Attualmente quindi l'aggiornamento delle banche dati centrali (e comunque tutti gli scambi con la sede centrale) avviene attraverso connessioni a diversi Internet Service Provider, opportunamente securizzate end-to-end (servizio di VPN sicura su Internet realizzato con VPN terminator presso le sedi). La banda media d'accesso garantita per le varie sedi, verso gli ISP, è di 256 kb/s always-on con garanzia della disponibilità del collegamento verso l'isp stesso. Il trasporto IP tra le sedi estere e quella centrale richiede la garanzia della confidenzialità della comunicazione. 3.2.3 ENIT L Ente Nazionale Italiano per il Turismo (ENIT) ha necessità di collegare le sue 21 sedi dislocate in tutto il mondo con la sede centrale e di dotare tutti i suoi uffici della funzionalità Internet. La banda media di accesso richiesta per le varie sedi è di 2 Mb/s always-on con garanzia della disponibilità del collegamento verso l'isp. Il trasporto IP tra le sedi estere e quella centrale richiede la garanzia della confidenzialità della comunicazione. 3.2.4 Agenzia delle Dogane L Agenzia delle Dogane ha necessità di collegare tre delle sue sedi dislocate all estero con la sede centrale. La banda media di accesso richiesta per le tre sedi è di 256 Kb/s always-on con garanzia della disponibilità del collegamento verso l'isp. Il trasporto IP tra le sedi estere e quella centrale richiede la garanzia della confidenzialità della comunicazione. 3.2.5 MIUR Il Ministero dell Istruzione ha circa 170 scuole operative nei vari gradi di istruzione, molte delle quali sono dislocate all interno della stessa struttura organizzativa. Ciò consente di accorpare le esigenze di connettività di alcune scuole. Sono stati individuati 66 diversi siti con una omogenea esigenza di accesso (banda trasmissiva). Le sedi estere del MIUR hanno principalmente l esigenza di accedere ad Internet. È possibile identificare due tipologie di sedi: sedi dial-up con vel. 128 Kb/s dislocate perlopiù in zone A e B. sedi always-on con vel. 64 Kb/s distribuite in zona C. 3.2.6 Altre amministrazioni Il Ministero della Difesa ha manifestato il proprio interesse al progetto per collegare circa 65 sedi degli Addetti Militare in seno alle Ambasciate e 14 sedi delle rappresentanze militari italiane all estero; si riserva però di aderire in una fase successiva, dopo una valutazione dei costi che scaturiranno dalla gara. Il Ministero della Salute potrebbe essere interessato in una seconda fase alla fornitura di servizi di connettività per 21 ospedali e 21 centri di cura italiani presenti all estero. Non sono noti al momento i requisiti dei servizi di interesse. Pagina 6 di 52

3.3 Distribuzione geografica delle sedi In considerazione dell elevato numero di stati da servire, è stata introdotto un livello di astrazione mediante la classificazione delle sedi delle Amministrazioni su base geografica, in modo da consentire una trattazione aggregata per aree omogenee. Zona A: include gli stati contraddistinti da un rilevante fabbisogno delle Amministrazioni e da un mercato delle telecomunicazioni maturo. Include 30 paesi : AUSTRIA, BELGIO, CANADA, COREA DEL SUD, DANIMARCA, FINLANDIA, FRANCIA, GERMANIA, GIAPPONE, GRAN BRETAGNA, IRLANDA, ITALIA, LUSSEMBURGO, NORVEGIA, PAESI BASSI, PORTOGALLO, SPAGNA, SVEZIA, SVIZZERA, USA CALIFORNIA, USA FLORIDA, USA GEORGIA, USA ILLINOIS, USA MASSACHUSETTS, USA MICHIGAN, USA NEW YORK, USA NEWARK, USA PENNSYLVANIA,,USA TEXAS, USA WASHINGTON Zona C: include stati per i quali le Amministrazioni hanno manifestato limitate esigenze di comunicazione e contraddistinti da una modesta disponibilità di infrastrutture. Include 35 paesi: ANGOLA, AFGHANISTAN, ARABIA SAUDITA, BAHREIN, BANGLADESH, CAMERUN, CONGO, COSTA D'AVORIO, CUBA, ERITREA, ETIOPIA, GABON, GHANA, IRAN, IRAQ, KENYA, LIBIA, MAROCCO, MOZAMBICO, MYANMAR, NIGERIA, OMAN, QATAR, REP. DEM. CONGO, SENEGAL, SIRIA, SUDAN, TANZANIA, TUNISIA, UGANDA, UZBEKISTAN, VIETNAM, YEMEN, ZAMBIA, ZIMBABWE Zona B: include tutti gli stati non appartenenti alle Zone A e C 3.4 Architettura della Rete Internazionale La figura di seguito riportata descrive l architettura della rete internazionale. Al fine di consentire alle Amministrazioni l accesso alle migliori condizioni tecniche ed economiche a servizi atti a soddisfare le esigenze sopra descritte, il progetto della Rete Internazionale si articola in due ambiti di intervento complementari: CONNETTIVITÀ INTERNAZIONALE Disponibilità di connettività IP tra sedi estere delle Amministrazioni e sede centrale ed accesso diretto ad Internet, con un adeguato livello di prestazioni (in termini di disponibilità e banda del collegamento). SICUREZZA Implementazione di servizi di presidio della sicurezza perimetrale, in grado di garantire ai siti serviti protezione da tentativi di intrusione e la confidenzialità delle comunicazioni tra le sedi connesse. NOC/ SOC INTERNET Rete internazionale ISP2 del Fornitore R R R R R VPN gw VPN gw VPN gw VPN gw VPN gw CONNETTIV ITÀ INTE RNAZ ION ALE SICUREZZ A Sede 1 Sede 2 Sede 3 Sede 4 Sede N amministr azione Pagina 7 di 52

Figura 1 - Schema di principio del servizio di realizzazione della Rete Internazionale. 3.5 Classificazione dei servizi Sulla base delle esigenze di breve periodo raccolte presso le Amministrazioni interessate, sono state individuate alcune tipologie di servizi atti a soddisfare i fabbisogni manifestati. I servizi oggetto dell appalto sono classificati come segue: Servizi di base Costituiscono il nucleo dei servizi di connettività e di supporto che le Amministrazioni dovranno utilizzare secondo le proprie necessità per connettere le sedi estere e per migrare le eventuali sedi già in esercizio. Tali servizi sono specificati nel seguito con requisiti di tipo P. Servizi evoluti Oltre ai servizi di base, il Prestatore dovrà mettere a disposizione una serie di servizi evoluti, specificati dai requisiti di tipo "O". Tali servizi potranno essere eventualmente richiesti dalle Amministrazioni sede per sede, sulla base delle proprie esigenze. Varianti di esercizio Sono varianti applicabili alla totalità dei servizi contrattualizzati per singola sede inerenti la finestra di erogazione e il livello di qualità di servizio atteso (ad esempio, in termini di disponibilità unitaria, tempi di ripristino, ). Le varianti di esercizio sono specificate da requisiti di tipo V. Servizi Addizionali Sono gli ulteriori servizi, non specificati nel capitolato, che il Prestatore potrà proporre in sede di offerta. Per tutti i servizi, il Prestatore dovrà formulare i prezzi unitari dei servizi secondo le prescrizioni contenute nell'allegato F. Il contatto quadro avrà per oggetto i servizi di base, i servizi evoluti e le varianti di esercizio. 3.6 Servizi di base 3.6.1 Connettività IP-BE Il servizio di connettività IP consiste nella realizzazione, gestione ed evoluzione di servizi IP, resi disponibili dal Prestatore per tutte le sedi estere delle Amministrazioni. Il Servizio di base, identificato di seguito come IP best effort (IP-BE), è un servizio di connettività IP alla rete del Prestatore, con garanzia sul rispetto di livelli di servizio esclusivamente riferiti alla disponibilità ed alla banda della connessione alla rete del Prestatore, con monitoraggio e reportistica degli SLA offerti. Le sedi di una Amministrazione dovranno essere organizzate in "gruppi chiusi di accessi" (VPN), che consentano l'instradamento del traffico IP solo tra sedi appartenenti allo stesso gruppo chiuso. Il servizio di base di connettività IP-BE non consente quindi lo scambio di traffico con host IP esterni al gruppo chiuso: i relativi datagrammi dovranno quindi essere filtrati dal PoP del Prestatore. Ogni Amministrazione potrà, all'interno delle proprie sedi adottare indifferentemente uno spazio di indirizzamento IP privato piuttosto che una classe di indirizzi IP pubblici già in suo possesso. In ogni caso, in accordo con i meccanismi tipici di una VPN, la soluzione di rete implementata dal Prestatore dovrà essere completamente trasparente al piano di indirizzamento dell'amministrazione Resta completamente a carico del Prestatore l'implementazione di politiche di "natting" e di filtraggio degli indirizzi sugli apparati. Qualora l Amministrazione ne faccia richiesta, il Prestatore dovrà mettere a disposizione della stessa uno o più indirizzi pubblici e fornire il supporto necessario nell'implementazione del piano di indirizzamento. Devono essere previste modalità di collegamento dial-up e always-on. Il Prestatore dovrà proporre per ciascun sito la modalità di accesso più efficiente (tenendo conto delle opportunità consentite dalle infrastrutture tecnologiche localmente disponibili) che allo stesso tempo soddisfi i requisiti minimi specificati dal capitolato. Pagina 8 di 52

3.6.2 I servizi di supporto Nell ambito dei servizi di supporto sono compresi: i servizi di System Management; il customer care. Per servizi di System Management si intendono tutte le attività di gestione dei sistemi e della rete finalizzate a controllare ed intervenire a fronte di anomalie su tutte le componenti dei servizi offerti. L'attività deve essere svolta dal Centro di Gestione (di seguito indicato con l acronimo NOC, Network Operating Center), in modo integrato con le strutture di supporto utenti del proprio Call Center, in modo da assicurare, nel complesso, i livelli di servizio contrattualizzati. I servizi di gestione devono essere basati sul protocollo Simple Network Management Protocol (SNMP) e devono prevedere la registrazione del traffico applicativo, dei malfunzionamenti e dei tempi di ripristino in un apposita base dati. I servizi di Systems Management sono classificati come segue: gestione degli apparati; network monitoring; supporto tecnico alla gestione dei malfuzionamenti; gestione centralizzata delle configurazioni e distribuzione del software; analisi delle prestazioni del servizio. Nel caso in cui un Amministrazione richieda servizi evoluti per una determinata sede, il Prestatore dovrà prevedere il coerente adeguamento di tutti i servizi di supporto applicabili. 3.7 Servizi evoluti 3.7.1 Trasporto IP-QoS Il servizio di trasporto IP a qualità garantita (IP-QoS) prevede, ad estensione del servizio IP-BE offerto, un livello di disponibilità ed una banda garantita end-to-end tra due sedi indicate dall Amministrazione. Il Prestatore dovrà effettuare un adeguato monitoraggio e produrre reportistica sugli SLA offerti. 3.7.2 Servizi Internet I servizi Internet dovranno essere messi a disposizione dal Prestatore come opzioni della connettività IP- BE. Il servizio prevede l offerta di connettività verso Internet direttamente attraverso la rete del Prestatore e potrà essere attivato dalle Amministrazioni su base singola sede. Il Prestatore dovrà rendere disponibili due set di servizi: la semplice connettività ad Internet, raggiungibile dalla sede estera connessa direttamente tramite la rete del Prestatore (senza transitare per altre sedi dell Amministrazione): il servizio deve consentire in particolare il convenzionale accesso ai server WWW raggiungibili da Internet mediante protocollo http; la fornitura di servizi gestiti, quale la posta elettronica (con funzionalità di controllo antivirus), l accesso ai news-server del Prestatore, 3.7.3 I servizi di Sicurezza di rete I servizi inclusi in tale categoria comprendono la gestione ed evoluzione di servizi di sicurezza di rete, disponibili per tutte le sedi per le quali le Amministrazioni ne faranno richiesta. Tali servizi prevedono fornitura, installazione e manutenzione di opportuni elementi architetturali al punto di accesso al servizio della singola sede, atti a implementare funzionalità di firewall, intrusion detection, VPN IPSec e NAT (collettivamente definiti Porta di Rete). Tali servizi dovranno essere erogati in modalità outsourcing mediante l attivazione della funzionalità di SOC (Security Operating Center), unica e centralizzata per tutte le Amministrazioni. I servizi dovranno essere resi disponibili secondo due modalità alternative: Pagina 9 di 52

Profilo high: richiede il presidio della sicurezza di rete mediante l implementazione delle funzionalità di Porta di Rete, con livelli di servizio coerenti con la limitata criticità della sede da proteggere. Profilo strong: richiede un presidio della Porta di Rete con monitoraggio proattivo real-time degli allarmi di sicurezza, in modo da consentire l adozione tempestiva di adeguate contromisure in caso di tentativi di intrusione o di attacchi alla sicurezza. Le sedi dell Amministrazione saranno organizzate in "gruppi chiusi di accessi" (VPN-IPSec): l'instradamento dei datagrammi IP tra sedi appartenenti allo stesso gruppo chiuso avverrà attraverso un tunnel crittografico, il cui end-point sarà posto nella sede di destinazione. I datagrammi destinati ad indirizzi IP esterni al gruppo chiuso saranno instradati in chiaro verso il PoP del Prestatore. 3.7.4 Servizio Voice-over-IP Il servizio Voice-over-IP (VoIP) consente, alle sedi di un amministrazione per le quali è stato attivato il servizio, reso in modalità trasparente per l utente finale, di effettuare chiamate telefoniche utilizzando il medesimo accesso attraverso il quale viene approvvigionata la connettività IP. Il Prestatore dovrà rendere disponibile il servizio VoIP nella sede indicata dall Amministrazione secondo due modalità realizzative: realizzazione da green-field (completamente svincolate dall infrastruttura di telefonia esistente); integrazione con l esistente infrastruttura di telefonia. Il Prestatore dovrà considerare tutti gli eventuali adeguamenti necessari all erogazione del servizio VoIP (ivi inclusi eventuali upgrade della velocità della linea d accesso e della banda garantita end-to-end). Inoltre, le soluzioni proposte dovranno essere aperte alla progressiva introduzione di funzionalità che consentano l integrazione di tutti i servizi di telefonia dell Amministrazione sulla stessa infrastruttura VoIP. 3.8 Varianti alle modalità di erogazione Nella modalità di erogazione STANDARD, i servizi di base ed evoluti dovranno essere resi disponibili 24 ore su 24 per tutti i giorni della settimana. L aderenza ai livelli di servizio contrattualizzati verrà verificata durante le ore diurne (dalle ore 8 alle ore 20, local time) sia in relazione a parametri medi misurati su tutte sedi dell Amministrazione per le quali sono stati attivati i servizi, sia su base singola sede. Al fine di soddisfare esigenze di servizio diverse, il Prestatore dovrà rendere disponibili modalità di erogazione dei servizi migliorative, attivabili in alternativa a quella standard sede per sede: finestra di erogazione estesa, che presuppone la misurazione dei livelli di servizio con riferimento ad un utilizzo 24 ore su 24 per tutti i giorni della settimana, per un set di servizi contrattualizzati definito dall Amministrazione per una determinata sede; livelli di servizio per sedi a criticità elevata, per le quali deve essere previsto il rispetto di livelli di servizio stringenti e su base singola sede. 3.9 Servizi addizionali Oltre ai servizi di base ed evoluti, sopra definiti, coerentemente con quanto specificato nel relativo paragrafo, il Prestatore potrà mettere a disposizione, a propria discrezione, servizi accessori quali ad esempio: servizi di videoconferenza, gestione del DNS per lo spazio dei nomi interni all amministrazione,... I suddetti servizi saranno erogati secondo le modalità descritte dal Prestatore, comprensivi delle attività di approvvigionamento, installazione, attivazione, formazione, manutenzione e collaudo delle risorse necessarie per l erogazione degli stessi. Per i servizi addizionali proposti, il Prestatore dovrà indicare la quotazione economica, in accordo con quanto previsto dall Allegato F. I prezzi indicati dal Prestatore saranno oggetto di una valutazione di congruità tecnico economica del CNIPA a seguito dei quali potranno essere inseriti a listino. Pagina 10 di 52

Le Amministrazioni potranno accedere a loro discrezione a tale listino, che in ogni caso costituirà un riferimento economico per eventuali approvvigionamenti. 3.10 Ruolo e funzioni del CNIPA Il Centro Nazionale per l Informatica nella Pubblica Amministrazione oltre ad essere parte contraente del contratto quadro, svolgerà i seguenti compiti: Partecipare congiuntamente al Prestatore e le Amministrazioni al CORI (Comitato Operativo della Rete Internazionale). Formulare il piano di avvio con la singola Amministrazione ed il Prestatore. Esaminare con cadenza semestrale lo stato di avanzamento del Piano dei fabbisogni delle singole Amministrazioni e del piano di migrazione degli applicativi delle precedenti reti in esercizio delle Amministrazioni. Coordinare, controllare e analizzare le prestazioni ed i livelli di servizio contrattuali erogati dal Prestatore; a tal fine il CNIPA avrà pieno accesso al sistema di monitoraggio della rete (NOC e SOC) e riceverà i report periodici aggiornati secondo quanto stabilito nell'allegato E. Fornire il supporto alle singole Amministrazioni nell'analisi dei livelli di servizio e nell'applicazione delle eventuali penali previste a livello contrattuale. Assumere ogni altra iniziativa ritenuta necessaria per rendere pienamente operativi i servizi di base e evoluti specificati nel presente capitolato. Assistere le Amministrazioni nella definizione dei contratti di fornitura. Effettuare i collaudi dei servizi su una piattaforma appositamente predisposta dal Prestatore. Coordinare, controllare e analizzare congiuntamente con le Amministrazioni coinvolte, la politica e lo stato della sicurezza. Supportare le procedure di revisione prezzi previste dal contratto e di competenza del CORI. Supervisionare il Prestatore nella gestione del piano di indirizzamento IP di tutte le Amministrazioni e nella definizione di eventuali politiche di filtraggio degli indirizzi o di NAT. Monitorare la fornitura secondo quanto stabilito dai requisiti inerenti la qualità e la relativa documentazione di riscontro. Pagina 11 di 52

4 Specifiche tecniche dei servizi 4.1 Requisiti generici [P-4.1-1] Il Prestatore è responsabile dell erogazione dei servizi previsti dal bando, ivi compresa l'installazione e la gestione di tutti gli apparati funzionali all offerta dei servizi, del Centro di Gestione, del Call Center, l implementazione delle politiche di Sicurezza, ecc. [P-4.1-2] Il Prestatore dovrà dimostrare di possedere le capacità tecniche ed organizzative per attivare, gestire e mantenere i servizi di base ed evoluti previsti dalla gara. [P-4.1-3] I servizi oggetto dell appalto sono specificati in termini di caratteristiche del servizio e di parametri che caratterizzano la qualità del servizio (allegato E). [P-4.1-4] I servizi dovranno essere aperti all'utenza e cioè dovranno essere accessibili secondo caratteristiche di qualità definite e formalizzate nel presente capitolato di gara allegato al contratto quadro. [P-4.1-5] I servizi dovranno essere aperti al cambiamento, e cioè dovranno essere erogati in modo tale da consentire una facile introduzione di elementi innovativi risultanti dall evoluzione della tecnologia o dalle mutazioni dei processi amministrativi. [P-4.1-6] La fornitura dei servizi dovrà essere indipendente dalla tecnologia, cioè dovrà essere garantita la trasparenza dei servizi rispetto all'evoluzione tecnologica. [P-4.1-7] La modalità di fornitura dei servizi dovrà essere scalabile: cioè dovrà essere garantita l espandibilità della Rete Internazionale sia per estensione geografica, sia per numero e tipologia di utenze e sia per numero e tipologia di servizi supportati (anche riferibili al singolo sito). [P-4.1-8] Le interfacce di accesso ad ogni servizio dovranno essere conformi ai relativi standard de jure e de facto, in modo da rendere possibile l interlavoro di sottoreti basate su tecnologie diverse. [P-4.1-9] Dovranno essere previsti meccanismi di rendicontazione d'uso finalizzati al controllo della qualità del servizio, ai controlli di sicurezza, alla pianificazione dell evoluzione del servizio e ad una funzione di fatturazione di tipo analitico e centralizzata, se richiesto dall Amministrazione interessata. [I-4.1-10] Nella gara sarà dato particolare rilievo alle caratteristiche funzionali e ai conseguenti parametri prestazionali riguardanti i punti di accesso ai servizi (PAS) della Rete Internazionale. [P-4.1-11] La definizione delle caratteristiche strutturali, architetturali e prestazionali della sezione interna della Rete Internazionale è di esclusiva responsabilità del Prestatore. Si richiede, tuttavia, che la descrizione di tali caratteristiche sia adeguatamente documentata nell offerta e che ne sia dimostrata la conformità ai requisiti dei servizi richiesti. [P-4.1-12] Il Prestatore dovrà realizzare il collegamento tra la Rete Internazionale ed il Sistema Pubblico di Connettività (SPC) secondo le modalità tecniche che saranno indicate dal CNIPA, non appena le relative attività di aggiudicazione saranno concluse. Il dimensionamento di tale collegamento sarà concordato con il CNIPA e dovrà tener conto delle esigenze delle Amministrazioni interconnesse. 4.2 Servizio di base di connettività IP (IP-BE) [I-4.2-1] In questa sezione sono raggruppati i requisiti applicabili ai servizi di connettività IP indipendentemente dalla modalità di erogazione o dal livello di servizio. [D-4.2-2] Il servizio di connettività IP è definito come servizio di rete basato sul protocollo IP. Pagina 12 di 52

[P-4.2-3] [P-4.2-4] [D-4.2-5] [P-4.2-6] [P-4.2-7] [P-4.2-8] [D-4.2-9] [P-4.2-10] [P-4.2-11] [P-4.2-12] [P-4.2-13] [P-4.2-14] [P-4.2-15] [P-4.2-16] Si richiede la conformità alle normative di riferimento IETF applicabili. Il Prestatore dovrà fornire soluzioni aggiornate dal punto di vista tecnologico in relazione all evoluzione degli standard e del mercato. Il servizio di base di connettività IP di tipo best effort (IP-BE) è riferibile ad una sede presso la quale sia richiesta connettività IP verso le altre sedi connesse dell amministrazione, con livelli di servizio esclusivamente riferiti alla disponibilità ed alla banda della connessione alla rete del Prestatore. Il servizio potrà opzionalmente includere la connettività verso Internet, offerta direttamente attraverso la rete del Prestatore. Il servizio di connettività IP sarà erogato alle Amministrazioni attraverso l impiego di un idoneo apparato di accesso dotato di due interfacce: una lato Amministrazione (I_CLIENT) ed una lato Prestatore (I_PROVIDER). Tale apparato sarà messo a disposizione, gestito e configurato dal Prestatore, in accordo con quanto contrattualizzato con la singola Amministrazione. Gli apparati di accesso debbono essere allo stato dell arte della tecnologia e del mercato e debbono implementare protocolli allo stato dell arte. Sarà facoltà della singola Amministrazione richiedere l assegnazione di pool di indirizzi IP pubblici, che il Prestatore dovrà rendere disponibili, nella quantità di almeno due classi C di indirizzi IP pubblici per tutte le Amministrazioni che hanno già rappresentato la propria adesione di cui ai Piani dei Fabbisogni in Appendice C. In relazione alle modalità di collegamento, per il servizio IP-BE sono definite le seguenti tipologie: Accesso di tipo always-on Accesso di tipo dial-up Il servizio IP-BE con modalità always-on sarà erogato alle Amministrazioni con collegamenti di tipo permanente, ossia l accesso al servizio sarà realizzato attraverso risorse di rete che saranno dedicate allo scopo per il periodo di erogazione contrattualizzato. Nel caso di accessi dial-up, il Prestatore dovrà offrire la possibilità di attivare su richiesta connessioni al PoP del Prestatore a velocità di 64 kb/s (su un canale B) ed a 128 kb/s (su due canali B). Il servizio IP-BE, se di tipo dial-up, dovrà fornire una funzione di autenticazione dell utente basata su tecniche allo stato dell arte proposte dall IETF (quali, ad esempio, CHAP, EAP, RADIUS, TACACS, ecc). Il Prestatore dovrà specificare quali tecniche intende utilizzare. In caso di assoluta indisponibilità di infrastrutture di rete per l accesso in modalità dial-up di una sede, si prenderà in considerazione l attivazione di accessi always-on con banda nominale di accesso equivalente o immediatamente superiore rispetto al fabbisogno dell Amministrazione. Il Prestatore dovrà proporre per ciascuna sede accessi di tipo always-on con velocità nominale in accesso pari a 256 kb/s, 512 kb/s, 2048 kb/s per le zone A e B. per la zona C il Prestatore dovrà proporre per ciascuna sede accessi di tipo always-on con velocità nominale in accesso pari a 64 kb/s, 128 kb/s, 256 kb/s. Per qualsiasi tipologia di accesso la banda garantita all accesso (BGA), ossia il throughput garantito verso il PoP del Prestatore, dovrà essere pari ad almeno il 50% della velocità nominale della linea. La garanzia di banda si intende tra la sede dell Amministrazione ed il primo POP del Prestatore aggiudicatario. Per qualsiasi tipologia di accesso (inclusi gli accessi dial-up), dovrà essere possibile, sulla base di una richiesta di apertura di una sessione di comunicazione proveniente dalla sede centrale dell Amministrazione, attivare la connessione dal PoP del Prestatore verso la sede estera. Pagina 13 di 52

[P-4.2-17] [P-4.2-18] [P-4.2-19] [P-4.2-20] [P-4.2-21] Il servizio dovrà essere erogato attraverso infrastrutture di rete terrestre (via cavo o radio); solo in caso di indisponibilità di reti terrestri per il collegamento di una sede, sarà presa in considerazione l eventualità di collegamenti via satellite. In particolare, soluzioni di connettività via satellite saranno prese in considerazione solo per sedi collocate in stati classificati in Zona C. In caso di utilizzo di connettività via satellite, il Prestatore dovrà rendere disponibile il servizio di connettività IP in modo tale da ottimizzare l utilizzo dello spettro (sulla base delle esigenze di trasmissione istantanee di una determinata sede). Le soluzioni satellitari dovranno comportare l installazione (a carico del Prestatore), presso la sede dell Amministrazione, di antenne di diametro non superiore a 120 cm. Nel caso in cui la legislazione locale non consenta al Prestatore di realizzare a proprio carico il local loop, l Amministrazione provvederà a dotarsi del rilegamento di accesso a sue spese. Il Prestatore dovrà proporre una modalità di fatturazione che consenta lo storno automatico degli oneri sostenuti direttamente dall Amministrazione. Sugli apparati di accesso in sede cliente dovrà essere disponibile, a scelta e senza differenze di prezzo, un'interfaccia I_CLIENT di tipo LAN 802.3 a 10 e a 100 Mbit/s. 4.3 Servizi evoluti 4.3.1 Trasporto IP-QoS [O-4.3.1-1] Il trasporto IP a qualità garantita (IP-QoS) rappresenta un estensione al servizio IP- BE, e prevede livelli di disponibilità e di banda garantita end-to-end tra due sedi indicate dall Amministrazione / verso la sede centrale indicata dall Amministrazione. Il Prestatore dovrà effettuare un adeguato monitoraggio e produrre la reportistica dei parametri misurati in relazione agli SLA contrattualizzati. [O-4.3.1-2] Oltre agli SLA indicati per il servizio IP-BE, il servizio IP-QoS prevede i seguenti ulteriori parametri di qualità banda garantita sul trasporto end-to-end (BGT), ossia il throughput garantito end-to-end tra la sede connessa ed un altra sede specificata dalla singola amministrazione; ritardo garantito sul trasporto end-to-end (RGT): il round-trip-time (ritardo di andata e ritorno) garantito tra la sede connessa ed un altra sede specificata dalla singola amministrazione; packet loss: frazione dei pacchetti IP trasmessi attraverso l interfaccia I- CLIENT che non giungono a destinazione. 4.3.2 Servizio Internet [O-4.3.2-1] Relativamente ai servizi IP-BE, il Prestatore dovrà per essi prevedere l accesso alla rete Internet direttamente tramite la propria rete (senza transitare per altre sedi dell Amministrazione). [O-4.3.2-2] L'accesso alla rete Internet deve essere fornito senza limitazioni temporali. [O-4.3.2-3] Il Servizio Internet dovrà consentire alla singola sede l utilizzo sulla rete Internet dei protocolli http, ftp, smtp, pop, imap e nntp. Nel caso in cui nella sede sia stato attivato un servizio evoluto di sicurezza di rete (cfr. Par. 4.3.3), eventuali limitazioni all utilizzo di protocolli Internet dovranno eventualmente essere implementati sulla Porta di Rete (di concerto con l Amministrazione). [O-4.3.2-4] Il servizio deve includere funzionalità di accesso a server WWW raggiungibili tramite Internet, basato sul protocollo applicativo standard HTTP (HyperText Transfer Protocol). Pagina 14 di 52

[O-4.3.2-5] Il servizio deve consentire lo scambio di file dati con qualsiasi formato attraverso Internet, secondo lo standard FTP (File Transfer Protocol). Si richiede al Prestatore di indicare se sui dati scambiati attraverso Internet viene realizzato il controllo antivirus. [O-4.3.2-6] Il livello minimale di sicurezza del collegamento alla rete Internet (indipendentemente dall attivazione di servizi di sicurezza di rete presso la sede) deve essere garantita attraverso apposite barriere tecnologiche (proxy applicativi) per i protocolli HTTP, FTP e NNTP, che controllino e regolino l'accesso a livello applicativo da e verso l esterno. [O-4.3.2-7] Il Servizio Internet prevede inoltre la gestione di posta elettronica per almeno 10 mailbox per ogni sede richiesta dall Amministrazione. [O-4.3.2-8] Gli account di posta dovranno essere assegnati e gestiti nello spazio di naming concordato con le amministrazioni. In ogni caso dovrà essere supportato il dominio reteinternazionale.it. [O-4.3.2-9] Ogni client potrà accedere al server di posta elettronica del Prestatore in accordo con le modalità previste dagli standard SMTP (outgoing), POPv3 e IMAPv4 (incoming). [O-4.3.2-10] Deve essere previsto il supporto agli standard applicabili per lo scambio di messaggi non puramente testuali. [O-4.3.2-11] Il servizio di posta elettronica deve includere controlli sui messaggi ricevuti come antivirus, ecc. [O-4.3.2-12] Il Prestatore deve fornire accesso ai principali news groups locali ed internazionali attraverso un proprio news server, mediante il protocollo standard NNTP (Network News Transfer Protocol). 4.3.3 Servizi di sicurezza di rete [I-4.3.3-1] In questo paragrafo vengono definiti i requisiti tecnici relativi ai servizi di sicurezza di rete, che possono essere opzionalmente richiesti dall Amministrazione per le sedi di interesse. 4.3.3.1 Architettura di sicurezza [I-4.3.3.1-1] Il Prestatore deve definire l architettura di sicurezza da implementare sulla rete internazionale dell Amministrazione in base ai seguenti requisiti. [O4.3.3.1-2] In ciascuna sede connessa per la quale sia stato richiesto un servizio di sicurezza di rete dovrà essere ubicato un opportuno elemento funzionale di presidio della sicurezza di rete (definito come Porta di Rete, nel seguito PdR), secondo modalità e requisiti successivamente definiti. [O-4.3.3.1-3] La PdR è definita come elemento logico che include almeno le funzionalità di: Firewall Intrusion detection VPN IPsec NAT [O-4.3.3.1-4] Su richiesta dell Amministrazione, le funzionalità di porta di rete dovranno essere implementate da un sistema diverso da quello di accesso alla rete. [O-4.3.3.1-5] In base alle esigenze dell Amministrazione, il Prestatore si impegna ad elaborare, entro un mese dalla richiesta, un progetto che descriva nel dettaglio la politica di sicurezza implementata su ciascuna PdR interessata nel rispetto delle prescrizioni di sicurezza vigenti. [O-4.3.3.1-6] Il Prestatore dovrà acquisire il Tempo Ufficiale di Rete per utilizzarlo come riferimento, allineando ad esso tutti i dispositivi forniti. Firewall Pagina 15 di 52

[I-4.3.3.1-7] [O-4.3.3.1-8] [O-4.3.3.1-9] [I-4.3.3.1-10] [O-4.3.3.1-11] [O-4.3.3.1-12] [O-4.3.3.1-13] [O-4.3.3.1-14] [O-4.3.3.1-15] [O-4.3.3.1-16] [O-4.3.3.1-17] [O-4.3.3.1-18] [O-4.3.3.1-19] [O-4.3.3.1-20] [O-4.3.3.1-21] [O-4.3.3.1-22] [O-4.3.3.1-23] [O-4.3.3.1-24] Per firewall si intende un sistema che permette di controllare le comunicazioni che lo attraversano, bloccando i pacchetti di rete che appartengono a collegamenti non permessi, secondo le regole di protezione definite dal Prestatore sulla base delle esigenze espresse dall amministrazione. Il firewall deve avere specifiche funzionalità che ne consentano la gestione da remoto, le attività di amministrazione remota del sistema firewall dovranno essere cifrate. Non viene richiesta una particolare modalità di realizzazione delle funzioni di controllo, ma il Prestatore deve specificare le tecnologie usate nel prodotto offerto, indicando per ciascuna di esse in quale delle seguenti categorie ricade: - controlli a livello 3 (es. packet filter e sue evoluzioni) ossia controlli basati su indirizzi ed altri dati degli header di livello 3 e 4 - controlli a livello 4 (es. TCP relay) ossia sistemi in cui il firewall interrompe il canale logico end-to-end a livello trasporto - controlli a livello 7 (es. application gateway) ossia sistemi in cui il firewall funge da proxy per uno o più protocolli, interpretando i comandi applicativi ed eseguendo lui stesso le operazioni richieste La valutazione dei meccanismi di protezione offerti sarà oggetto di valutazione tecnica. Il Prestatore dovrà indicare nel progetto i servizi/protocolli supportati dal firewall (es. H.323, Realaudio, LDAP, SNMP, DNS, HTTPS, IPSEC, ecc.). Il firewall deve implementare meccanismi antispoofing e dovrà supportare meccanismi di autenticazione utente quali, ad esempio, Radius, certificati X.509 ecc. Il firewall deve realizzare funzioni di NAT secondo la specifica RFC-3022, sia di tipo statico (uno a uno) sia di tipo dinamico (N a uno). La modalità di realizzazione del NAT deve essere compatibile almeno con i protocolli di cui al punto 3.7.2. Il firewall deve essere sincronizzato con l ora ufficiale di rete di riferimento e propagata dal Prestatore. Il firewall deve essere configurato in modo che il flusso dati tra la rete interna dell Amministrazione (intesa come l insieme dei segmenti LAN protetti) e la rete del Prestatore transiti esclusivamente attraverso di esso. Il sistema firewall della sede centrale dell Amministrazione deve essere predisposto per ospitare una zona de-militarizzata (DMZ) nella quale collocare gli eventuali server dell amministrazione. L accesso al sistema firewall deve essere consentito attraverso un meccanismo di autenticazione robusto; nel caso di utilizzo di password deve essere almeno implementato un meccanismo di tipo one time password. Il firewall deve essere dotato di meccanismi per impedire l utilizzo dei dati di autenticazione da parte di utenti ostili. Il firewall deve implementare meccanismi di protezione almeno per attacchi di tipo Denial of Service semplici quali ad esempio il SYN-Attack. Il firewall non deve ospitare dati pubblici accessibili mediante servizi quali il filesharing, ftp, http etc. Il firewall deve rilevare e registrare i tentativi di accesso non autorizzato al sistema. Il firewall deve essere in grado di generare un record di audit almeno con le seguenti informazioni: data, ora evento, tipo evento, identità del soggetto, successo/fallimento dell evento. Sono da ritenersi inclusi nel tipo di evento anche quelli riguardanti le attività di amministrazione. I dati registrati dal sistema dovranno essere disponibili per l uso da parte degli utenti abilitati. Pagina 16 di 52

[O-4.3.3.1-25] [O-4.3.3.1-26] [O-4.3.3.1-27] I file dei log dovranno essere protetti da modifiche o cancellazioni non autorizzate. Il sistema deve controllare la capacità di modificare, abilitare, disabilitare il comportamento delle seguenti funzioni: gestione delle registrazioni di audit backup e restore dei dati relativi alla configurazione del firewall (incluso le politiche di sicurezza) ed alle registrazioni di audit collegamento di utenti esterni con il sistema Il Prestatore dovrà indicare nel progetto tecnico eventuali funzionalità opzionali del sistema firewall, quali ad esempio: supporto per content security proxy (command-blocking, URL blocking, supporto antivirus ecc.) alta disponibilità/bilanciamento del carico su più sistemi Intrusion Detection [O-4.3.3.1-28] Le funzioni di rilevamento degli attacchi, dovranno essere implementate da sistemi di tipo Network Intrusion Detection System (NIDS) con un architettura distribuita che preveda moduli remoti (sensori) in grado di rilevare gli attacchi ed un sistema di raccolta ed analisi dati centralizzato. O-4.3.3.1-29] Il sistema deve essere in grado di riconoscere le tracce tipiche di un determinato attacco, secondo il metodo definito attack signature O-4.3.3.1-30] Per il riconoscimento dei potenziali attacchi, devono essere utilizzate almeno informazioni presenti in una banca dati centrale costantemente aggiornata e compatibile con le le Common Vulnerabilities and Exposures (CVE-compatible) [O-4.3.3.1-31] Le attività di amministrazione remota del sistema dovranno essere cifrate. [O-4.3.3.1-32] Le comunicazioni tra sensori e stazione centralizzata di gestione dovranno essere cifrate. [I-4.3.3.1-33] La possibilità di individuare potenziali attacchi attraverso analisi di alterazione statistica è una caratteristica opzionale che sarà oggetto di valutazione tecnica. VPN IPsec [I-4.3.3.1-34] Nel seguito sono indicati i requisiti minimi per i prodotti oggetto di gara. [O-4.3.3.1-35] Il Prestatore si impegna ad erogare il servizio IPSEC utilizzando certificati X.509v3 emessi esclusivamente da una propria Certification Authoritiy di rete, situata sul territorio italiano. [O-4.3.3.1-36] Il formato per le richieste dei certificati dovrà essere conforme allo standard PKCS#10. [O-4.3.3.1-37] Dovranno essere adottati adeguati meccanismi di protezione della chiave privata e delle chiavi di sessione memorizzate nel dispositivo. [O-4.3.3.1-38] I sistemi offerti dovranno realizzare i protocolli AH (Authentication Header) e ESP (Encapsulating Security Payload) secondo quanto descritto rispettivamente nelle specifiche pubbliche RFC-2402 e RFC-2406 [O-4.3.3.1-39] Per le operazioni di cifratura in modalità ESP deve essere supportato l algoritmo triplo DES in modalità CBC (DES-EDE3) secondo quanto descritto nella specifica RFC- 2451. [I-4.3.3.1-40] E possibile fornire prodotti con ulteriori tipi di supporto per algoritmi di cifratura come AES, Blowfish, ecc. La disponibilità di ulteriori algoritmi verrà considerata migliorativa e quindi oggetto di valutazione tecnica. [O-4.3.3.1-41] Dovrà essere possibile utilizzare il formato ESP anche per la sola autenticazione. A tal fine deve essere garantito il supporto per l algoritmo NULL secondo quanto descritto nella specifica pubblica RFC-2410. Pagina 17 di 52

[O-4.3.3.1-42] La creazione e la negoziazione delle associazioni di sicurezza (SA, Security Association) del sistema IPSec devono essere garantite attraverso i meccanismi identificati da IKE secondo la specifica RFC-2409. [O-4.3.3.1-43] Deve essere possibile sia l autenticazione mediante segreto condiviso (pre-shared keys) che quella mediante certificati digitali conformi allo standard ISO/IEC 9594-8 (X.509v3). [O-4.3.3.1-44] I dispositivi dovranno implementare la funzione anti-replay. [O-4.3.3.1-45] Deve essere garantita la conformità agli standard applicabili. [O-4.3.3.1-46] Prima dell apertura di un nuovo tunnel crittografico, i dispositivi dovranno verificare lo stato di validità del certificato fornito dal peer, accedendo alle liste di revoca dei certificati (CRL) [I-4.3.3.1-47] Il supporto del protocollo Online Certificate Status Protocol (OCSP) secondo la specifica RFC-2560 è considerato elemento migliorativo e sarà oggetto di valutazione tecnica. [O-4.3.3.1-48] Deve essere fornito il supporto per IPSEC Tunnel Mode e Transport Mode. [O-4.3.3.1-49] Deve essere fornito il supporto di tunnel multipli definiti in base alle esigenze dell Amministrazione aderente. Si ipotizzano per le sedi periferiche un numero massimo di 15 tunnel contemporanei. Per la sede centrale si ipotizza un numero di tunnel tale da poter gestire contemporaneamente i tunnel attivati verso ciascuna delle sedi periferiche. [O-4.3.3.1-50] Il dispositivo che realizza le funzionalità IPSEC dovrà essere adeguato alla velocità di accesso richiesta dall amministrazione al fine di trattare flussi di traffico cifrati senza apportare un degrado (significativo) delle prestazioni complessive della PdR. Certification Authority di rete (CA) [I-4.3.3.1-51] Nel seguito sono indicati i requisiti minimi per la Certification Authority di rete, messa a disposizione a supporto del servizio VPN IPSec. [O-4.3.3.1-52] La CA dovrà essere di proprietà del Prestatore e sarà situata in territorio italiano. [O-4.3.3.1-53] La CA dovrà emettere certificati X.509v3. [O-4.3.3.1-54] Dovranno essere accettate richieste di certificati nel formato conforme allo standard PKCS#10. [O-4.3.3.1-55] La CA dovrà fornire supporto in tutte le fasi del ciclo di vita dei certificati (emissione di certificati per nuove chiavi pubbliche, rinnovo, revoca, archiviazione di certificati scaduti, logging). [O-4.3.3.1-56] Il processo di generazione delle chiavi di identificazione digitale di un dispositivo IPsec e di emissione del certificato per la chiave pubblica da parte della CA dovrà essere opportunamente codificato dal Prestatore ed approvato dal CNIPA. [O-4.3.3.1-57] Le chiavi di identificazione digitale di un dispositivo IPsec devono avere lunghezza minima di 1024 bit e devono essere generate in modo equiprobabile nello spazio disponibile. [O-4.3.3.1-58] L Amministrazione potrà richiedere che l emissione di un nuovo certificato avvenga solo a seguito di un esplicita richiesta da parte della stessa Amministrazione. Inoltre, il Prestatore dovrà prevedere che l emissione di un nuovo certificato sia possibile solo ed esclusivamente alla presenza di un funzionario dell Amministrazione, dotato delle opportune credenziali. [O-4.3.3.1-59] Tutti i certificati emessi avranno validità massima di un anno. [O-4.3.3.1-60] I certificati in corso di validità emessi dalla CA dovranno essere memorizzati in un repository, accessibile via LDAP (versione 2 o successiva). Il server di repository dei certificati deve essere replicato: il repository di back-up deve essere mantenuto costantemente allineato al master. Pagina 18 di 52

[O-4.3.3.1-61] Il servizio deve prevedere la Certificate Revocation List (CRL). Un certificato dovrà essere revocato su richiesta dell Amministrazione interessata o del CNIPA. Dovrà essere mantenuta l informazione temporale inerente l istante di revoca del certificato. [O4.3.3.1-62] Un certificato dovrà essere revocato dalla CA al verificarsi di eventi che possano in qualsiasi modo compromettere la chiave privata di un dispositivo o sistema. [O-4.3.3.1-63] La CA dovrà rendere disponibili al CNIPA ed all Amministrazione (per quanto di propria pertinenza) i log di tutte le richieste pervenute e di eventi inerenti anomalie o tentativi di manomissione verificatisi. [O-4.3.3.1-64] Dovranno essere adottati adeguati meccanismi di protezione delle chiavi private e delle chiavi di sessione memorizzate nei dispositivi e nei sistemi. [O-4.3.3.1-65] Tutti i servizi offerti dalla CA dovranno garantire una disponibilità prossima al 100%. Security Operating Center (SOC) [O-4.3.3.1-66] Il Prestatore dovrà rendere disponibile un SOC (Security Operating Center), con idonea struttura di controllo centralizzata dotata degli appositi tool applicativi per lo svolgimento delle attività previste. Tale sistema dovrà avere funzionalità di reportistica avanzata, registrazione degli eventi e capacità di monitoraggio real-time per gli eventi riguardanti la sicurezza. [O-4.3.3.1-67] Il Prestatore, attraverso gli strumenti in dotazione al SOC, dovrà poter gestire in modalità remota tutti i servizi ed i sistemi di sicurezza dispiegati in ciascuna Amministrazione, provvedendo altresì a tutte le operazioni di configurazione remota degli apparati di sicurezza contrattualmente previste. [O4.3.3.1-68] Il Prestatore dovrà gestire il SOC utilizzando proprio personale con competenze professionali verificabili ed indicate esplicitamente. Il Prestatore dovrà produrre inoltre una descrizione del SOC disponibile per la gestione dei servizi di sicurezza (VPN-IPsec, firewalling, intrusion detection), specificando per ciascuno di essi l organizzazione interna prevista, nonché le risorse hardware e software utilizzate. [O-4.3.3.1-69] Il sistema di gestione della sicurezza, così come i dispositivi forniti alle Amministrazioni, dovranno essere basati sullo standard SNMP. [O-4.3.3.1-70] Il Prestatore dovrà prevedere la produzione mensile di report opportuni, tesi a documentare lo stato del servizio, in termini di servizi di sicurezza attivati, di incidenti eventualmente verificatisi nonché delle relative operazioni di correzione effettuate. [O-4.3.3.1-71] Il SOC dovrà essere realizzato con struttura che rispetti le normative vigenti in tema di sicurezza fisica e logica, oltre alla sicurezza di connessione in rete. [O-4.3.3.1-72] Al CNIPA saranno forniti con frequenza semestrale i report di sicurezza relativi a tutte le Amministrazioni contrattualizzate. 4.3.3.2 Opzioni per la gestione della sicurezza di rete Gestione con profilo high [O-4.3.3.2-1] Il SOC dovrà giornalmente procedere all analisi dei log degli eventi di sicurezza registrati alla PdR, in modo da evidenziare eventuali incidenti verificatisi. [O-4.3.3.2-2] La gravità dell incidente di sicurezza sarà valutata dal SOC sulla base di una lista di signature (intesa come sequenza di allarmi ed eventi di sicurezza), aggiornata a cura del Prestatore e approvata dall Amministrazione interessata e dal CNIPA, delle caratteristiche della sede coinvolta e della sua configurazione in termini di rete e sistemi informativi. [O-4.3.3.2-3] Nel caso in cui si riscontri un incidente di sicurezza, dovrà esserne fornita adeguata reportistica all Amministrazione interessata ed al CNIPA entro il giorno lavorativo successivo. Pagina 19 di 52

[O-4.3.3.2-4] Eventuali modifiche alle policy di sicurezza da adottare a seguito di un incidente di sicurezza dovranno essere validate e implementate entro un giorno lavorativo dalla richiesta di modifica. Gestione con profilo strong [O-4.3.3.2-5] Il SOC dovrà fornire un servizio di monitoraggio in tempo reale degli eventi di sicurezza, in modo da rilevare tempestivamente eventuali tentativi di intrusione o attacchi di sicurezza alla sede per la quale è stato attivato il servizio. [O-4.3.3.2-6] La classificazione della gravità dell attacco di sicurezza sarà effettuata dal SOC sulla base di una lista di signature (intesa come sequenza di allarmi ed eventi di sicurezza), aggiornata a cura del Prestatore e approvata dall Amministrazione interessata e dal CNIPA, delle caratteristiche della sede coinvolta e della sua configurazione in termini di rete e sistemi informativi. [O-4.3.3.2-7] In caso di rilevazione di un attacco di gravità elevata (tale da compromettere potenzialmente la sicurezza dell Amministrazione), il SOC dovrà dare opportuna notifica ai Responsabili della Sicurezza indicati dall Amministrazione e dal CNIPA. [O-4.3.3.2-8] In caso di attacco ad elevata gravità, il Prestatore dovrà adottare tutte le contromisure previste dal codice di comportamento concordato preventivamente con l Amministrazione. [O-4.3.3.2-9] Eventuali modifiche alle policy di sicurezza richieste dall Amministrazione a seguito un tentativo di intrusione o attacco dovranno essere validate e implementate entro 60 minuti dalla richiesta di modifica. [O-4.3.3.2-10] Per ogni incidente di sicurezza dovrà essere fornita idonea reportistica che descriva la tipologia di attacco subito e documenti la sequenza temporale degli eventi verificatisi e delle contromisure adottate. 4.3.4 Voice over IP [I-4.3.4-1] In questa sezione sono identificati i requisiti dei servizi di voice over IP (VoIP) che il Prestatore dovrà rendere disponibili alle Amministrazioni che ne faranno richiesta. [O-4.3.4-2] Il servizio VoIP dovrà consentire, tra l altro, la trasmissione della voce da proprie sedi indicate dall Amministrazione, facendo uso dei servizi di connettività IP-BE già acquisiti dall Amministrazione. [O-4.3.4-3] Il Prestatore dovrà considerare come inerenti al servizio VoIP tutti gli eventuali adeguamenti necessari alla sua erogazione (ivi inclusi eventuali upgrade della velocità della linea d accesso e della banda garantita end-to-end), nel rispetto dei parametri di qualità indicati nell Allegato E. [O-4.3.4-4] Le soluzioni proposte dovranno essere aperte alla progressiva introduzione di funzionalità di IP Telephony, che consentano l integrazione di tutti i servizi di telefonia dell Amministrazione sulla stessa infrastruttura VoIP. [O-4.3.4-5 Deve essere garantita la conformità agli standard applicabili. [O-4.3.4-6] Deve essere previsto il supporto degli standard di codifica audio ITU G.729. [O-4.3.4-7] Deve essere garantita la conformità a tutte le norme applicabili in vigore presso lo stato in cui è situata la sede dell Amministrazione nella quale viene attivato il servizio VoIP. [O-4.3.4-8] Dovrà essere fornita mensilmente idonea documentazione del traffico VoIP sviluppato. Tale documentazione deve essere sviluppata per ogni sede, per tutti i flussi e deve contenere almeno le seguenti informazioni: data e ora di inizio della chiamata; n.ro chiamante; n.ro chiamato; n.ro di pacchetti scambiati in VoIP differenziati dal traffico dati; Pagina 20 di 52