| Требования к потенциальному поставщику | характеристика |
1 | Лицензии / сертификаты / свидетельства на проведение работ
| - Право на поставку должно быть подтверждено оригиналом авторизационного письма производителя оборудования с приложением документа, подтверждающего право подписывающего уполномоченного лица.
|
2 | Гарантийное и сервисное обслуживание | - На все телекоммуникационное оборудование должны быть представлены сервисные контракты от производителя сроком на 1 год;
- Потенциальный поставщик должен обеспечить годовую сервисную поддержку конфигураций оборудования;
- Потенциальный поставщик должен обеспечить прибытие на место инсталляции для проведения сервисных работ сертифицированного специалиста не позднее 2-х часов с момента принятия заявки.
|
3 | Требования к квалификации | - Все работы по монтажу и наладке телекоммуникационного оборудования должны быть выполнены инженерами, сертифицированными производителем оборудования. Поставщик должен в своём штате сертифицированных специалистов по закупаемому оборудованию. При заключении договора Поставщик должен предоставить нотариально заверенные сертификаты специалистов.
|
4 | Требования к документированию | Потенциальный поставщик должен представить монтажно-инсталляционный план по результатам выполненных работ.
|
Коммутатор ядра сети (включая работы по монтажу и настройке) – 1 шт. |
№ | Требования к техническим характеристикам | характеристики |
1 | Изготовление | Должен быть представлен высокопроизводительный коммутатор. Коммутатор должен быть собран (в сборку включаются все компоненты, оговоренные данной технической спецификацией) и протестирован на заводах фирмы-изготовителя. Должны быть представлены модели и модификации оборудования с идентификационными номерами (part numbers). |
2 | Требования к шасси коммутатора | - Количество -1 ед.
- Тип исполнения – модульный, количество платомест 6 или более в зависимости от модели шасси;
- Конструктивная возможность подачи не менее 2 кВт на слот, не менее 12 кВт на шасси.
- Возможность установки резервного источника питания переменного (та же или разные фазы питающего напряжения, источник бесперебойного питания) и постоянного тока; возможность электропитания системы от одного источника (резервирование 1+1).
- Мощность блока питание не менее 3000W;
- Резервированные системные генераторы тактовых частот и модули хранения системных MAC-адресов на пассивной объединительной панели, с возможностью замены.
- Модульный (6 или более вентиляторов) съёмный через переднюю панель без специальных инструментов и приспособлений блок вентиляторов производительностью не менее 10 м3; возможность продолжения нормальной работы системы при отказе одного из вентиляторов блока с уведомлением обслуживающего персонала; возможность продолжения нормальной работы системы при изъятом блоке вентиляторов в течение не менее 3 минут.
|
3 | Требования к внутренней архитектуре коммутатора | Архитектура коммутатора должна позволять его оснащение следующими типами интерфейсов: - Gigabit Ethernet;
- 10 Gigabit Ethernet;
- Сервисные модули;
- Устройства должны быть модульными.
- Устройства должны быть построены на принципе распределенной коммутации.
- Устройства должны быть построены на базе распределенной неблокируемой архитектуры. Неблокируемая шина коммутации
- Возможность установки резервного блока управления/коммутации; автоматическое (с возможностью принудительного ручного) переключение на резервный блок управления/коммутации и возобновление передачи IP-пакетов через систему за время не более 100 мс при отказе основного; сохранение состояния L2/3/4-протоколов при переключении.
- Сохранение заявленных скоростных и функциональных характеристик коммутатора при наличии в шасси одного (основного) блока управления/коммутации.
- Диагностические тесты блоков, модулей, подсистем коммутатора, исполняемые по включению электропитания и установке модулей, по заданному расписанию, по команде обслуживающего персонала; возможность запуска тестов в фоновом режиме без остановки обработки полезного трафика.
- Выделенные соединения на объединительной панели шасси с пропускной способностью не менее 40 Gbps между каждым (основной и резервный) блоком управления/коммутации и слотами шасси; возможность как минимум двухкратного (80 Gbps и более) наращивания в будущем (допустима замена блоков управления/коммутации и модулей на приборы нового поколения с сохранением шасси).
- Пиковая производительность коммутации трафика IPv4 – не менее 400 Mpps, IPv6 – не менее 200 Mpps; пиковая агрегированная пропускная способность не менее 720 Gbps;
- Аппаратная поддержка GRE, NAT, MPLS (не менее 500 VPN);
- Для повышения надежности коммутатора трансиверные модули должны выпускаться тем же производителем, что и сам коммутатор.
- Реализация сервисных функций блоком управления/коммутации либо устанавливаемыми в шасси сервисными модулями:
- межсетевого экранирования и трансляции адресов (5 Gbps и более);
- обнаружения и предотвращения вторжений;
- балансировки трафика;
- сбор L1/2/3/4/7-статистики о трафике (SFF-8472 DOM, SNMP, RMON1/RMON2) мониторинга анализа потоков трафика;
- модулей обнаружения и предотвращения распределенных атак типа "отказ в обслуживании";
- голосовых шлюзов, подключения аналоговых телефонных аппаратов и конференц - ресурсов;
- поддержка модуля контроллера беспроводной сети.
- Горячее резервирование (Stateful Switchover, SSO) модулей управления/коммутации на случай аппаратного или программного отказа, или ручного переключения модулей оператором (напр., плановое обслуживание, обновление ПО, прочее).
|
4 | Требования по поддержке отказоустойчивых топологий сети:
| В целях обеспечения отказоустойчивости коммутатор должен соответствовать следующим требованиям: - устройство должно быть построено на базе пассивного шасси;
- устройство должно иметь возможность установки резервного блока управления:
- устройство должно обеспечивать сохранение заявленных скоростных и функциональных характеристик устройства при наличии в шасси одного (основного) блока управления;
- устройство должно быть оснащено резервированными блоками питания;
- устройство должно обеспечивать замену без перезагрузки любого используемого компонента, за исключением шасси;
- переключение с активного на резервный модуль управления не должно приводить к потере трафика, проходящего через коммутатор. Для этого коммутатор должен поддерживать стандартные Graceful Restart расширения протоколов:
- BGP (draft-ietf-mpls-bgp-mpls-restart);
- OSPF (RFC 3623);
- IS-IS (RFC 3846);
- LDP (RFC 3478);
- поддержка RSVP Fast Reroute Bypass в вариантах Node Protection и Link Protection (RFC 4090);
- поддержка BFD для протоколов IS-IS и OSPF (draft-ietf-bfd-base, draft-ietf-bfd-generic);
- BFD-процесс должен работать на тех компонентах оборудования, которые непосредственно коммутируют пакеты (Data Plane).
- Поддержка резервированных топологий ЛВС с использованием протокола Spanning Tree (IEEE 802.1d);
- Поддержка протокола Rapid Spanning Tree (IEEE 802.1w);
- Поддержка протокола Per VLAN Rapid Spanning Tree;
- Поддержка механизма обнаружения односторонних соединений на оптических портах;
- Поддержка протокола IEEE 802.1s Multiple Spanning Tree Protocol (MSTP) и не менее 64 STP процессов;
- Поддержка протоколов VLAN Trunking Protocol (VTP) и Dynamic Trunking Protocol (DTP);
- Поддержка протокола Link Aggregation Control Protocol (LACP) IEEE 802.3ad;
- Поддержка протоколов резервирования шлюза по умолчанию GLBP, HSRP, VRRP.
|
5 | Требования по наличию встроенных средств защиты:
| - Поддержка функций защиты работы протокола STP(spanning-tree) Root Guard и BPDU Guard;
- Поддержка функций фильтрации фреймов BPDU (BPDU Filtering);
- Поддержка функциональности private VLAN и private VLAN edge;
- Поддержка 802.1x;
- Поддержка функциональности выделенных голосовых VLAN (voice VLAN);
- Поддержка функциональности привязки MAC-адресов к порту (Port Security);
- Поддержка функциональности информирования администратора о подключении новых пользователей к сети (MAC Address Notification);
- Поддержка функциональности зеркалирования трафика с произвольного порта на произвольный порт (SPAN) с поддержкой обратного трафика.
|
6 | Требования по поддержке приоритезации трафика и обеспечению качества обслуживания (QoS):
| Коммутатор должен поддерживать следующие функции QoS: - поддержка до 8 классов трафика;
- классификация трафика по следующим признакам:
- IP Precedence;
- Differential Services Code point;
- MPLS Exp;
- функции Congestion Management c поддержкой не менее 8 очередей для каждого интерфейса. Должен поддерживаться Modified Deficit Round-Robin алгоритм обработки очередей с возможностью приоритетного обслуживания для одной из очередей;
- коммутатор должен поддерживать алгоритмы типа Weighted Random Early Detection для предотвращения перегрузок. Параметры этих алгоритмов должны конфигурироваться раздельно для разных классов трафика;
- коммутатор должен поддерживать следующие протоколы:
- RFC 2474, Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers;
- RFC 2475, An Architecture for Differentiated Services;
- RFC 2597, Assured Forwarding PHB Group;
- RFC 2598, An Expedited Forwarding PHB;
- RFC5127;
- RFC4594;
- Legacy маркировка пакетов;
- H-QOS (Иерархический QOS).
- Поддержка классификации и реклассификации фреймов на основании стандарта 802.1p class-of-service (CoS) или на основе значений CoS для конкретного порта коммутатора, назначаемые администратором;
- Поддержка протокола управления очередями The Weighted Round Robin (WRR), Deficit Weighted Round Robin (DWRR), Shaped Round Robin (SRR);
- Поддержка механизма предотвращения заторов Weighted Random Early Discard (WRED);
- Поддержка приоритетной очереди для высокоприоритетного трафика;
- Возможность ограничения трафика по пользователям User Based Rate Limiting (UBRL).
|
7 | Требования к системе управления коммутатора | Требования к операционной системе и интерфейсу управления коммутатора: - операционная система коммутатора должна допускать использование модульного принципа. Программное обеспечение, управляющее устройством (Control Plane), должно быть реализовано в виде совокупности независимых процессов операционной системы. Эти процессы должны иметь возможность перезапуска во время работы без перезагрузки устройства;
- протоколы маршрутизации и сигнализации меток (OSPF, BGP, LDP и т.п.) должны быть реализованы в виде отдельных процессов;
- операционная система должна включать в себя элементы архитектуры, позволяющие менять исполняемый код ее компонентов без перезагрузки.
- Коммутатор должен поддерживать следующие способы управления:
- управление при помощи RS232 интерфейса;
- управление через выделенный Ethernet-интерфейс, не предназначенный для передачи пользовательских данных (out of band);
- управление через сеть передачи данных (in band);
- должны поддерживаться следующие протоколы управления:
- - Telnet;
- - SSH;
- - SNMP
- устройства должны поддерживать транзакционный режим изменения конфигурации с сохранением старых ее версий и возможностью возврата к ним. Возврат к старым версиям может инициироваться оператором при помощи команд CLI. Должен быть предусмотрен такой режим, при котором устройство автоматически без перезагрузки возвращается к предыдущей конфигурации при потере оператором управления устройством;
- коммутатор должен поддерживать аутентификацию пользователей, пытающихся получить доступ к интерфейсу управления при помощи:
- локальной базы данных;
- RADIUS;
- TACACS+;
- гибкий механизм безопасности должен позволять администратору устанавливать несколько уровней привилегий, а также различные права доступа для операторов сети в зависимости от их местонахождения и функций;
- коммутатор должен поддерживать сохранение журнала событий на удаленном сервере при помощи протокола SYSLOG и передачу SNMP Trap на станцию управления, информирующих об изменении состояний протоколов маршрутизации, параметров окружающей среды и т.п.
- Требования к безопасности:
- коммутатор должен поддерживать фильтрацию трафика управления с помощью списков доступа;
- для протоколов маршрутизации должны поддерживаться расширения, обеспечивающие аутентификацию их сообщений.
|
8 | Требования к функциям обеспечения сетевой безопасности и функциям контроля трафика:
| - Административное и автоматическое создание списка «разрешённых» MAC-адресов на портах коммутатора. Количество «разрешённых» MAC-адресов не менее 4096 на коммутатор, с возможностью использования пула одним или несколькими портами в любой пропорции; как минимум один «разрешённый» MAC-адрес на каждый (любой) порт коммутатора. Сохранение списка «разрешённых» MAC-адресов при горячем и холодном рестарте устройства.
- При нарушении режима безопасности блокирование порта с последующим вмешательством оператора, либо блокирования на предопределённый промежуток времени (от 1 минуты до 24 часов, с дискретностью не хуже 1 минуты) с последующим возобновлением нормальной работы, либо продолжение нормальной работы с фильтрацией трафика от «неразрешённых» MAC-адресов.
- При превышении количества «разрешённых» MAC-адресов на конкретный порт блокирование unicast flooding этим портом.
- Административное создание списка «запрещённых» MAC-адресов, работа которых невозможно с любого порта коммутатора.
- Защита от переполнения таблицы динамических MAC-адресов коммутатора посредством автоматического мониторинга степени её наполнения. Интервал мониторинга от 5 с до 30 с; не менее двух административно устанавливаемых пороговых значений наполнения таблицы от 5 до 32000 MAC-адресов, индивидуально для порта или VLAN-а. По превышению каждого из пороговых значений уведомление оператора, либо отключение динамического обучения по данному порту, либо отключение порта на предопределённый промежуток времени.
- Инспекция DHCP-трафика на портах коммутатора и блокирование пакетов DHCPACK, DHCPNAK, DHCPRELEASE, DHCPDECLINE, поступающих с неавторизованных на это портов для предотвращения DoS-атак на VLAN.
- Предотвращение спуфинга IP-адресов путём инспекции IP-адресов входящих пакетов и фильтрации тех из них, адреса источников которых были не соответствуют выданным легитимными серверами DHCP.
- Инспекция ARP-трафика и сопоставление его с таблицей инспекции DHCP для предотвращения DoS-атак и несанкционированного съёма/подмены информации при обмене пакетами в сети.
- 802.1x-аутентификация хостов и/или пользователей на портах коммутатора.
- 802.1x-аутентификация по MAC-адресу хостов, не имеющих 802.1x supplicant-а (напр., принтеры, телефоны, проч.)
- Динамическая настройка машинного/пользовательского VLAN-а по результатам аутентификации путём получения RADIUS-атрибутов с именем VLAN-а. Динамическое равномерное распределение машин/пользователей по группе VLAN-ов на коммутаторе доступа для управления размерами VLAN-ов и IP-подсетей.
- Динамическая настройка машинного/пользовательского пакетного фильтра (Access Control List, ACL) по результатам аутентификации путём получения RADIUS-атрибутов с именем ACL-а.
- Включение коммутатором информации об authenticated user identity в запросы DHCP для последующего выделения адресов из предопределённых блоков, учёта работы машин/пользователей в сети, привязки к машине/пользователю индивидуальных QoS- и security-настроек.
- Поддержка 802.1x-аутентификации и полноценного режима безопасности при включении/отключении машин/пользователей в порты коммутатора через IP-телефон и подобные устройства.
- Помещение машин/пользователей, не имеющих 802.1 supplicant-а или не прошедших аутентификацию в гостевой (Guest) либо карантинный (Auth Failure) VLAN.
- Индивидуальная аутентификация каждого источника трафика на портах с множественным доступом; селективная фильтрация неавторизованных источников на таких портах.
- Интеграция 802.1x-аутентификации со списком «разрешённых» MAC-адресов и с инспекцией ARP-трафика.
|
9 | Требования к управляющим модулям коммутатора | - Количество установленных модулей управления на каждое шасси -2 ед.
- Установленные порты на управляющем модуле коммутатора: 2 SFP based gigabit, 1 10/100/1000.
- Производительность IPv4 – до 400 Mpps, IPv6 – до 200 Mpps.
- Аппаратная поддержка MPLS для организации L3 VPN и ЕoMPLS туннелирование, поддержка до 1024 VRF с общим количеством маршрутов 256000 на систему.
- Аппаратная поддержка GRE, NAT.
- Поддерживаемое количество записей MAC адресов – 64000, маршрутов на IPv4/IPv6 256000/128000
- Флэш-память для хранения конфигурации не менее 512 Mb
- Оперативная память не менее 512 Mb, DRAM
|
10 | Требования к линейным картам Ethernet | - Количество линейных карт Ehternet на шасси – 2 ед.
- Количество портов Ethernet тип разъема RJ-45– не менее 48
- Порты должны поддерживать скорость 10/100/1000 mbps
- Поддержка jumbo frames не менее 9126 bytes
- Размер буфера на каждом порту не менее 1,3 Mb
- Максимальная пропускная способность с коммутирующей фабрикой шасси – 40 Gbps в режиме полного дуплекса.
- Возможность последующей установки дочерней карты по ускоренной распределенной обработке пакетов, совместимой с поставляемым модулем управления.
|
11 | Требования к линейным картам оптическим | - Количество линейных карт оптических на шасси – 2 ед.
- Количество портов тип разъема SFP– не менее 48
- Порты должны поддерживать скорость 10/100/1000 mbps
- Поддержка jumbo frames не менее 9126 bytes
- Размер буфера на каждом порту не менее 1,3 Mb
- Максимальная пропускная способность с коммутирующей фабрикой шасси – 40 Gbps в режиме полного дуплекса.
- Возможность последующей установки дочерней карты по ускоренной распределенной обработке пакетов, совместимой с поставляемым модулем управления.
|
12 | Требования к функциональным возможностям программного обеспечения коммутатора | - Коммутаторы должны поддерживать следующие телекоммуникационные протоколы передачи данных:
- IPv4;
- IPv6;
- MPLS коммутацию.
- Коммутатор должны поддерживать следующие протоколы IP маршрутизации:
- OSPFv2 (RFC 2328);
- OSPFv3 (RFC 2740);
- IS-IS (RFC1195);
- BGPv4 с поддержкой мультипротокольных расширений (RFC 4271, RFC 2858).
- Коммутатор должны поддерживать следующие протоколы и технологии коммутации по меткам (MPLS):
- функции LSR (MPLS Р- коммутатора) (RFC 3031);
- функции LER (MPLS PE-коммутатора) (RFC 3031);
- протокол LDP для распространения меток (RFC 3036);
- синхронизация между LDP и протоколами IGP-маршрутизации;
- MPLS Traffic Engineering (MPLS-TE);
- протокол RSVP с расширениями для MPLS-TE (RFC 3209);
- Diffserv aware MPLS-TE (RFC 4124, RFC 4125, RFC 4126, RFC 4127, RFC 4128);
- MPLS-TE-расширения для протоколов OSPF и IS-IS, в том числе стандартных расширений для Diffserv-aware MPLS-TE (RFC 3630, RFC 3784);
- возможность работы протоколов IGP-маршрутизации поверх MPLS-TE-тоннелей. MPLS TE Forwarding Adjacency;
- GMPLS (RFC 3945);
- технология IP over DWDM, поддержка транспондеров, встроенных в оптические модули коммутатора.
- Протоколы, обеспечивающие работоспособность IPv4 Multicast:
- PIM-SMv2 (RFC 2362);
- PIM-SSM;
- MSDP (RFC 3618);
- функциональность PIM-SM RP;
- Bidirectional-PIM;
- устройства должны проводить репликацию Multicast-трафика в матрице коммутации.
- Прочие протоколы и функции:
- Link bundling для Ethernet и STM POS интерфейсов.
- Все протоколы и технологии, описанные в пунктах должны поддерживаться без установки дополнительных аппаратных модулей.
|
13 | Требования к оптическим адаптерам | - Должны быть представлены высокопроизводительные оптические трансиверы. Оптические трансиверы должны быть протестированы на заводах фирмы-изготовителя.
- Количество – 40 ед.
- Исполнение - SFP, 1000BASE-SX short wavelength
- Для модулей работающих на скорости 1Gb длинна волны WWDM 850 nm, соответствие стандарту IEEE 802.3z, максимальная дальность передачи данных в зависимости от типа кабеля до 220 метров (1000BASE-SX 850 nm MMF)
|
14 | Требование к техподдержке | - Гарантия не менее 1 года, обслуживание 8 часов * 5 дней в неделю с реакцией на следующий рабочий день (8 x 5 x NBD).
- Обучение не менее двух технических специалистов РГКП ИАЦ основным навыкам администрирования данного оборудования.
|
15 | Требование к монтажу и настройке | - Монтаж и подключение в 19” серверную стойку каб. 707 Здания дом Министерств (5 подъезд – 1 помещение).
- Настройка основных стартовых настроек. Настройка удаленного управления по сети. Настройка основного шлюза сети. Настройка VLAN по IP не менее 15 шт. Настройка контроля доступа access листов для VLAN согласно требованиям информационной безопасности МТСЗН.
- Настройка контроля доступа устройств в сеть по MAC адресу.
- Настройка сбора и передачи логов их на внешний сервер для последующего анализа по протоколу syslog.
- Дополнительные настройки, связанные с требованиями информационной безопасности МТСЗН.
|
Коммутатор рабочей группы – 10 шт. (включая работы по монтажу и настройке) |
№ | Требования к техническим характеристикам | характеристики |
1 | Изготовление | Должны быть представлены высокопроизводительные коммутаторы ведущих производителей (Brand name). Коммутаторы должны быть собраны (в сборку включаются все компоненты, оговоренные конкурсным заданием) и протестированы на заводах фирмы-изготовителя. Должны быть представлены модели и модификации оборудования с идентификационными номерами (part numbers). |
2 | Требования к коммутатору | - Организация доступа к локальной вычислительной сети со скоростью не менее 1GBs;
- Корпус устройства должен предусматривать монтаж в стандартную 19" стойку.
|
3 | Коммутация | Не менее 32 Gbps |
4 | Кол-во пакетов в секунду | Не менее 39 Mpps |
5 | Число поддерживаемых MAC адресов | Не менее 8000 |
6 | Память ОЗУ | Не менее 64 МБ |
7 | Память ПЗУ | Не менее 32 МБ |
8 | Плотность портов Gigabit, GBIC/SFP | Не менее 4 |
9 | Требования к шасси коммутатора: | Тип исполнения – фиксированная конфигурация; |
10 | Требования к портам коммутатора:
| - Количество портов не менее 48 с пропускной способностью портов 10/100/1000 mbs;
- Поддержка динамических протоколов маршрутизации;
- Распределённая L2-коммутация трафика интерфейсными модулями;
- Поддержка Jumbo frame размером до 9000 байт на интерфейсах 1GE;
- Поддержка двунаправленного (full duplex) режима передачи на всех портах;
- Поддержка на каждом порту механизмов предотвращения broadcast, multicast и unicast storm с индивидуальной настройкой параметров;
- Механизмы дифференцированного обслуживания (QoS).
|
11 | Требование к техподдержке | - Гарантия не менее 1 года, обслуживание 8 часов * 5 дней в неделю с реакцией на следующий рабочий день (8x5xNBD).
- Обучение не менее двух технических специалистов РГКП ИАЦ основным навыкам администрирования данного оборудования.
|
12 | Требование к монтажу и настройке | - Установка и подключение в 19” стойки в технических помещениях на 1, 7, 8, 9 этажах здания Дома Министерств (5,6,7 подъезды – 10 помещений).
- Настройка основных стартовых настроек. Настройка удаленного управления по сети. Настройка доступа рабочих станций к VLAN по физическим портам коммутатора согласно требованиям информационной безопасности МТСЗН.
- Настройка контроля доступа в сеть по MAC адресу для рабочих станций.
- Дополнительные настройки, связанные с требованиями информационной безопасности МТСЗН.
|
Межсетевой экран (включая работы по монтажу и настройке) – 1 шт. |
№ | Требования к техническим характеристикам | характеристики |
1 | Изготовление | Должны быть представлены высокопроизводительные устройства ведущих производителей (Brand name). Оборудование должно быть собрано (в сборку включаются все компоненты, оговоренные конкурсным заданием) и протестирвано на заводах фирмы-изготовителя. |
2 | Требования к аппартной части системы контентной защиты | - Корпус устройства должен предусматривать монтаж в стандартную 19" стойку. Устройство должен занимать не более двух монтажных единиц (2 rack unit).
- Система предотвращения атак должна иметь производительность не менее 300 Мbps в режиме Firewall
- Производительность в режиме межсетевого экрана должна быть не меньше 300 Mbps
- Производительность VPN концентратора е менее 170 Mbps, количество IPsec VPN сессий не менее 250
- Количество поддерживаемых соединений не менее 50000 сессий
- Устройство должно иметь стандартный интерфейс мониторинга 10/100/100BASE-TX
- Устройство должно иметь стандартный интерфейс управления 10/100/100BASE-TX
- Поддержка не менее 50 вирутальных интерфейсов (VLAN);
- Устройство должно быть оснащено дополнительными интерфейсами мониторинга:
- 2 * 10/100/1000BASE-TX
- 3 * 10/100BASE-TX
|
3 | Требования к функциональным возможностям межсетевого экрана | - осуществление фильтрации с учетом параметров состояния. Инспектирование протоколов: DNS, FTP, GTP, H.323, RAS, HTTP, ICMP, LDAP, MGCP, NetBIOS, PPTP, RSH, RTSP, SIP, SCCP, SMTP, ESMTP, SQL*Net, Sun RPC, TFTP
- поддержка виртуальных и прозрачных МСЭ
- поддержка до 1000 VLAN
- использование концепции уровней безопасности интерфейсов для облегчения настройки
- поддержка отказоустойчивых конфигураций (Активный/Резервный и Активный/Активный) в том числе с сохранением параметров состояния при осуществлении переключения
- поддержка различных видов списков доступа (стандартные, расширенные, WebType, EtherType) с возможностью использования групп объектов и организации доступа по расписанию
- осуществление трансляции сетевых адресов (статическая, динамическая)
- аутентификация и авторизация пользователей при попытке доступа к командному интерфейсу самого устройства;
- возможность задания ролевого доступа к командному интерфейсу устройства с возможностью задания списка доступных команд и их параметров для каждой роли;
- поддержка протоколов централизованного управления аутентификацией, авторизацией и учетом. Поддержка локальной базы данных и следующих централизованных серверов: RADIUS, TACACS+
- Аутентификация и авторизация транзитных пользователей по протоколам HTTP, HTTPS, FTP;
- Поддержка протокола IP v6;
- поддержка протокола маршрутизации многоадресных рассылок PIM для передачи видеоинформации
- поддержка протоколов динамической маршрутизации OSPF и RIP v2;
- фильтрация объектов ActiveX и Java в передаваемом коде HTML
- фильтрация запросов URL и FTP с помощью внешнего сервера
- Определение и блокирование маскировки протоколов внутри протокола HTTP;
- выделение классов трафика на основании параметров в заголовках пакетов и регулярных выражений в заголовках или теле пакетов и выполнение действий над трафиком в зависимости от класса (осуществление сервисов качества обслуживания, блокирование трафика, закрытие соединений и т.д.)
- регистрация событий, как локально, так и с возможностью передачи их на внешний сервер для последующего анализа по протоколу syslog;
- управление с помощью командной строки, графического интерфейса, посредством передачи файлов конфигурации (в том числе по протоколу SCP), наличие опционального централизованного управления
|
4 | Требование к техподдержке | - Гарантия не менее 1 года, обслуживание 8 часов * 5 дней в неделю с реакцией на следующий рабочий день (8x5xNBD).
- Обучение не менее двух технических специалистов РГКП ИАЦ основным навыкам администрирования данного оборудования.
|
5 | Требование к монтажу и настройке | - Установка и подключение в 19” стойки в каб. 707 Дома Министерств (5 подъезд – 1 помещение).
- Настройка основных стартовых настроек. Настройка удаленного управления по сети. Настройка маршрутизации с внешними локальными внутренними сетями (не Интернет). Настройка access листов фильтрации доступа к определенным хостам из внешних локальных сетей (не Интернет) по протоколам. Настройка доступа VLAN к внешним локальным сетям согласно требованиям информационной безопасности МТСЗН.
- Настройка контроля трафика. Настройка сбора и передачи логов их на внешний сервер для последующего анализа по протоколу syslog.
- Дополнительные настройки, связанные с требованиями информационной безопасности МТСЗН.
|
Контентный фильтр и шлюз доступа к сети Интернет (включая работы по монтажу и настройке) – 1 шт. |
№ | Требования к техническим характеристикам | характеристики |
1 | Изготовление | Должны быть представлены высокопроизводительные устройства ведущих производителей (Brand name). Оборудование должно быть собрано (в сборку включаются все компоненты, оговоренные конкурсным заданием) и протестирвано на заводах фирмы-изготовителя. |
2 | Требования к аппартной части системы контентной защиты | - Корпус устройства должен предусматривать монтаж в стандартную 19" стойку. Устройство должен занимать не более двух монтажных единиц (2 rack unit).
- Система предотвращения атак должна иметь производительность не менее 375 Мbps в режиме Firewall + IPS
- Производительность в режиме межсетевого экрана должна быть не меньше 450 Mbps
- Производительность VPN концентратора е менее 225 Mbps, количество IPsec VPN сессий не менее 750
- Количество поддерживаемых соединений не менее 280000 сессий
- Устройство должно иметь стандартный интерфейс мониторинга 10/100/1000BASE-TX
- Устройство должно иметь стандартный интерфейс управления 10/100/1000BASE-TX
- Устройство должно быть оснащено дополнительными интерфейсами мониторинга:
- 4 * 10/100/1000BASE-TX
- 1 * 10/100BASE-TX
|
3 | Требования к системе контентной защиты | - Модуль системы контентной защиты должен иметь оперативную память не менее 1 Gb и флэш-память не менее 256 Mb
- Модуль должен быть выполнен в виде модуля, устанавливаемого в шасси устройства, обладающего функциональностью межсетевого экрана и построения VPN
- Модуль должен представлять из себя программно-аппаратный комплекс, работающий под управлением специализированной UNIX-системы.
- В модуле не должны использоваться жесткие диски.
- Модуль должен иметь выделенный интерфейс управления 10/100/1000 Base-Tx.
- Система контентной защиты должна обеспечивать защиту от широкого спектра угроз информационной безопасности, реализация которых возможна в сетевом трафике протоколов HTTP, FTP, SMTP, POP3.
- Система контентной фильтрации сетевого трафика должна:
- Функционировать в прозрачном режиме, как устройство второго уровня согласно модели OSI/ISO;
- Иметь возможность интеграции на аппаратном уровне с устройством межсетевого экранирования;
- Определять истинный тип файла, передаваемого по протоколам HTTP, FTP, SMTP и POP3, вне зависимости от расширения файла;
- Иметь возможность блокирования передаваемых по протоколам SMTP и POP3 файлов в зависимости от их типа;
- Иметь возможность блокирования передаваемых по протоколам HTTP и FTP файлов в зависимости от их размера и типа;
- Иметь возможность блокирования передаваемых файловых архивов в зависимости от суммарного размера и кол-ва файлов внутри архива, кол-ва уровней вложенности файлового архива, наличия парольной защиты архива;
- Обнаруживать вирусы, тело которых внедрено в файлы, в т.ч. содержащиеся в файловых архивах;
- Иметь возможность удалять тело вируса из зараженного файла;
- Иметь возможность фильтрации принимаемых и отправляемых сообщений электронной почты в зависимости от их размера;
- Обеспечивать детектирование и фильтрацию Спама на основании репутации IP-адреса отправителя сообщения;
- Обеспечивать детектирование и фильтрацию Спама на основании анализа различных параметров полученного электронного сообщения;
- Обеспечивать защиту от распространения шпионского ПО;
- Иметь возможность блокирования доступа к Web-сайтам, на основании принадлежности сайта к определенной категории (новости, спорт, эротика и т.д.);
- Иметь возможность блокирования доступа к Web-сайтам злоумышленников с целью защиты от Интернет-мошенничества (Phishing),
- Иметь возможность интеграции с системой восстановления рабочих станций и серверов от последствий вирусной активности;
- Иметь возможность организации отказоустойчивого решения на основе двух устройств контентной фильтрации;
- Выполнять синхронизацию настроек между двумя устройствами контентной фильтрации, функционирующими в отказоустойчивой связке.
|
4 | Требования к функциональным возможностям межсетевого экрана | - осуществление фильтрации с учетом параметров состояния. Инспектирование протоколов: DNS, FTP, GTP, H.323, RAS, HTTP, ICMP, LDAP, MGCP, NetBIOS, PPTP, RSH, RTSP, SIP, SCCP, SMTP, ESMTP, SQL*Net, Sun RPC, TFTP
- поддержка виртуальных и прозрачных МСЭ
- поддержка до 1000 VLAN
- использование концепции уровней безопасности интерфейсов для облегчения настройки
- поддержка отказоустойчивых конфигураций (Активный/Резервный и Активный/Активный) в том числе с сохранением параметров состояния при осуществлении переключения
- поддержка различных видов списков доступа (стандартные, расширенные, WebType, EtherType) с возможностью использования групп объектов и организации доступа по расписанию
- осуществление трансляции сетевых адресов (статическая, динамическая)
- аутентификация и авторизация пользователей при попытке доступа к командному интерфейсу самого устройства;
- возможность задания ролевого доступа к командному интерфейсу устройства с возможностью задания списка доступных команд и их параметров для каждой роли;
- поддержка протоколов централизованного управления аутентификацией, авторизацией и учетом. Поддержка локальной базы данных и следующих централизованных серверов: RADIUS, TACACS+
- Аутентификация и авторизация транзитных пользователей по протоколам HTTP, HTTPS, FTP;
- Поддержка протокола IP v6;
- поддержка протокола маршрутизации многоадресных рассылок PIM для передачи видеоинформации
- поддержка протоколов динамической маршрутизации OSPF и RIP v2;
- фильтрация объектов ActiveX и Java в передаваемом коде HTML
- фильтрация запросов URL и FTP с помощью внешнего сервера
- Определение и блокирование маскировки протоколов внутри протокола HTTP;
- выделение классов трафика на основании параметров в заголовках пакетов и регулярных выражений в заголовках или теле пакетов и выполнение действий над трафиком в зависимости от класса (осуществление сервисов качества обслуживания, блокирование трафика, закрытие соединений и т.д.)
- регистрация событий, как локально, так и с возможностью передачи их на внешний сервер для последующего анализа по протоколу syslog;
- управление с помощью командной строки, графического интерфейса, посредством передачи файлов конфигурации (в том числе по протоколу SCP), наличие опционального централизованного управления
|
5 | Требование к техподдержке | - Гарантия не менее 1 года, обслуживание 8 часов * 5 дней в неделю с реакцией на следующий рабочий день (8x5xNBD).
- Обучение не менее двух технических специалистов РГКП ИАЦ основным навыкам администрирования данного оборудования.
|
6 | Требование к монтажу и настройке | - Установка и подключение в 19” стойки в каб. 707 Дома Министерств (5 подъезд – 1 помещение).
- Настройка основных стартовых настроек. Настройка удаленного управления по сети. Настройка маршрутизации с внешними сетями( Интернет). Настройка DMZ зон для серверов. Настройка маршрутизации запросов к серверам, опубликование серверов во внешнюю сеть Интернет.
- Настройка access листов фильтрации доступа к серверам по протоколам. Настройка доступа VLAN к серверам согласно требованиям информационной безопасности МТСЗН.
- Настройка аунтификации пользователей по протоколу http для доступа к онлайн серверам БД из сети Интернет.
- Настройка фильтрации трафика на удаление вирусов для протоколов http, pop3, smtp, ftp для прокси сервера и почтового сервера.
- Настройка фильтров доступа на веб сайты для прокси сервера.
- Настройка фильтров спама для почтового сервера.
- Настройка контроля, учета трафика. Настройка системы обнаружения вторжений, обновление сигнатур. Настройка сбора и передачи логов их на сервер для последующего анализа по протоколу syslog.
- Дополнительные настройки, связанные с требованиями информационной безопасности МТСЗН.
|
Характеристика | Требование |
| На конкурс должно быть представлено оборудование ведущих мировых производителей. Оборудование должно быть протестировано на заводах фирмы-изготовителя. Право на поставку должно быть подтверждено оригиналом авторизационного письма производителя оборудования с приложением документа, подтверждающего право подписывающего уполномоченного лица. Наличие авторизованных сервисных центров производителя (c письменным подтверждением производителя). Техническая поддержка на все оборудование не менее 3 лет. Наличие 2-х сертифицированных специалистов у поставщика оборудования. При поставке оборудования потенциальный поставщик должен предоставить сертификат соответствия специальным требованиям информационной безопасности. |
Сервер |
|
Форм фактор | Не более 4U |
Процессор | не менее E7-8837 8 Core 2,67 GHz 24MB L3 |
Установленное количество процессоров | не менее 2 |
Кол-во процессоров | Не менее 4 |
Оперативная память | Не менее 64 GB. |
Максимально поддерживаемый Объем оперативной памяти | Не менее 1TB. |
Тип оперативной памяти | PC3-10600R DIMM DDR3-1333 МГц, ECC-коррекция многобитовых ошибок, зеркалирование памяти, горячее резервирование. |
Внутренние диски | Не менее 8-ми 146GB SFF HDD. |
Скорость вращения жесткого диска | Не менее 15 000 rpm. |
Поддержка RAID | SAS, не менее 8 портов, поддержка уровней RAID 0, 1+0, 5; 1 ГБ кэш-памяти, отказоустойчивый ROM, online миграция между уровнями RAID, увеличение емкости без остановки работы, online увеличение размера существующих логических томов/. |
Графический чипсет | Интегрированный, видео-память - не менее 64MB. |
Сетевой контроллер | не менее 4-х интегрированных сетевых интерфейсов с поддержкой 100/1000 Mbit/s |
SAN контроллер | Не менее одного двухпортового Fibre Channel Adapter 8 Gbit/с. |
Система ввода-вывода | не менее 11-ти слотов, PCI-X и PCI-E. |
Оптическое устройство | DVD ROM |
Порты | USB – 6 портов, Video – 2 порта, Serial – 1 порт, SD – 1 порт. |
Средства для дистанционного управления и мониторинга сервера | Независимая от состояния ОС удаленная текстовая консоль, виртуальный CD, флоппи и USB флэш-накопитель, поддержка скриптов для автоматизации обновлений ПО, управление электропитанием, командная строка и web-интерфейс, выделенный порт 10/100, поддержка SSH, SSL для защищенного соединения с сервером, настройка привилегий доступа пользователей. поддержка DHCP/DNS/WINS. |
Блоки питания | Не менее 4-х 1200 В |
Гарантия | Не менее 3 лет |
Система резервного копирования |
|
Интерфейс | SAS |
Кол-во слотов | Не менее 24, на оба магазина должна быть лицензия (чтобы задействовать все 24 слота) |
Кол-во стримеров | Установлено 1. |
Емкость ленточной библиотеки | Не менее 72 TB (с компрессией).
|
Тип ленточного привода | LTO-4. |
Надежность | MTBF 100000 ч. |
Шифрование | AES 256 bit |
Ленточные носители | Не менее 1,6TB - 20 шт. не менее 3 чистящих картриджей и набор бар кодов. |
Гарантия | Не менее 3 лет |
Программное обеспечения для резервного копирования на ленточные носители | Программное обеспечение должно поддерживать работу с ОС Windows Server 2003-2008, должна поддерживать работу с стримерами и ленточными библиотеками, уметь работать с Lotus Domino 8, иметь возможность создания автоматических заданий для автоматического выполнения , иметь возможность создания резервной копии без остановки Lotus Domino 8 уметь проводить верификацию созданных копий. |
Программное обеспечения для серверного оборудования | Windows Server 2008 64 bit |