Gara a procedura aperta per l'acquisto di Hardware e Servizi di assistenza dell'AGENZIA Capitolato Tecnico
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Gara a procedura aperta per
l'acquisto di Hardware e Servizi di assistenza
dell’AGENZIA
Capitolato Tecnico
Agenzia Autonoma per la Gestione dell’Albo dei Segretari Comunali e ProvincialiIndice
1. PREMESSA.................................................................................................................................... 3
1.1 ACRONIMI ...................................................................................................................................... 3
1.2 TIPOLOGIA DI GARA......................................................................................................................... 3
1.3 DECORRENZA E DURATA DELLA FORNITURA .................................................................................. 3
2. DEFINIZIONE DEL PERIMETRO DI GARA......................................................................... 3
3. OGGETTO DELLA FORNITURA ............................................................................................ 3
3.1 ATTIVITÀ PROGETTUALI E D’IMPIANTO .......................................................................................... 4
3.1.1 Configurazione Attuale della Server Farm RTI........................................................................ 4
3.1.1.1 Componenti infrastrutturali server Farm SSPAL: ...................................................................... 4
3.1.1.2 Componenti infrastrutturali server Farm AGES: ........................................................................ 4
3.1.1.3 Altre componenti infrastrutturali da virtualizzare nella architettura oggetto della
fornitura che al momento non sono site nella server farm RTI (ma che sono comunque a
disposizione per l'ispezione):............................................................................................................... 5
3.1.2 Nuova Implementazione Hardware Server Farm. ...................................................................... 5
3.1.2.1 Virtualizzazione. ......................................................................................................................... 5
3.1.2.2 Benefici Attesi............................................................................................................................. 5
3.1.2.3 Requisiti Hardware ..................................................................................................................... 6
3.1.2.3.1 Componenti...............................................................................................................................6
3.1.2.3.2 Affidabilità dell'Hardware ........................................................................................................7
3.1.2.3.3 Compatibilità ............................................................................................................................8
3.1.2.3.4 Scalabilità dei sistemi di elaborazione......................................................................................8
3.1.2.3.5 Tolleranza alle condizioni ambientali.......................................................................................9
3.1.2.3.6 Documentazione Tecnica dei Sistemi.......................................................................................9
3.1.2.3.7 Documentazione Gestione del Sistema ....................................................................................9
3.1.3 Implementazione del Sottosistema di Sicurezza........................................................................ 10
3.1.3.1 Considerazioni generali............................................................................................................. 10
3.1.3.2 URL Filtering e Intrusion Prevention System (IPS) ................................................................. 10
3.1.3.2.1 Componenti.............................................................................................................................10
3.1.3.3 Log Management ...................................................................................................................... 13
3.1.3.3.1 Caratteristiche minime............................................................................................................14
3.1.4 Principio di Trasparenza .......................................................................................................... 14
3.2 CLONAZIONE E VIRTUALIZZAZIONE DEI SERVERS .......................................................................... 15
3.3 MIGRAZIONE SERVER DI POSTA SSPAL. ...................................................................................... 15
3.4 FORMAZIONE ................................................................................................................................. 15
3.5 ASSISTENZA .................................................................................................................................. 15
4. DISPONIBILITÀ PARTE AGENZIA - SOPRALLUOGHI................................................... 15
21. Premessa
L’Agenzia Autonoma per la Gestione dell’Albo dei Segretari Comunali e Provinciali intende
acquisire l'hardware necessario per poter replicare mediante virtualizzazione quanto già presente
nell'attuale Server Farm. Il processo da attualizzare dovrà essere trasparente sia per l'utente
utilizzatore sia per gli attuali sistemi di connettività (Infrastruttura di rete).
1.1 Acronimi
Nel capitolato si intende:
Agenzia: Agenzia Autonoma per la gestione dell’Albo dei segretari
comunali e provinciali
SSPAL Scuola Superiore della Pubblica Amministrazione
Imprese partecipanti Le imprese che partecipano alla gara
Aggiudicatario: Impresa, o raggruppamento di imprese, aggiudicataria della
Fornitura
CC Codice Civile
1.2 Tipologia di gara
Procedura aperta, ai sensi dell’art. 54 del D.Lgs. n. 163/2006.
1.3 Decorrenza e Durata della fornitura
Quanto riportato nel documento come “richiesto” dovrà essere disponibile all'esercizio entro e non
oltre il 30 giugno 2010 e dovrà essere coperto da un contratto di assistenza di tre anni con scadenza
30 giugno 2013.
2. DEFINIZIONE DEL PERIMETRO DI GARA
Ai fini della fornitura l’Agenzia richiede la gestione in sede, per tutta la durata del contratto, dei
seguenti sistemi, sottosistemi e servizi:
1. sistema centrale di elaborazione e di storage (Server Farm);
2. sottosistema della sicurezza (Server Farm);
3. clonazione dell'esistente e virtualizzazione su nuovo ambiente;
4. formazione personale (addetto alla gestione della Server Farm).
5. assistenza tecnico – sistemistica.
3. OGGETTO DELLA FORNITURA
L’Agenzia/SSPAL, di seguito, per comodità, indicata come “Agenzia”, intende acquisire le
soluzioni necessarie per gestire congiuntamente in sede quanto già esistente in forma separata
(AGES / SSPAL) nell'attuale Server Farm. A tal fine le Imprese partecipanti devono predisporre
un’Offerta che preveda la fornitura di:
A. una struttura Hardware capace di supportare a livello tecnologico/prestazionale gli applicativi
attualmente utilizzati dall'Agenzia, dalla SSPAL e dalle loro sezioni regionali (SIID);B. un servizio di access security capace di inibire (bloccare) e registrare eventuali accessi
indesiderati (attacchi esterni);
C. un sistema capace di attualizzare i servizi richiesti dal Garante ma non ancora a disposizione
dell'Agenzia. Servizi individuati in URL Filtering e Log Management;
D. un servizio di saving/restoring capace di dare continuità alle attività di tutte le strutture operanti,
eliminando totalmente i rischi dovuti ad eventuali situazioni di disaster;
3.1 Attività progettuali e d’impianto
Le Imprese partecipanti nella propria Offerta Tecnica devono illustrare in modo chiaro e sintetico:
A. L’Architettura Tecnica proposta;
B. Il Piano delle Attività d’Impianto, che costituisce impegno contrattuale per il Fornitore
Aggiudicatario, nel quale devono essere evidenziate come milestones le date di:
Disponibilità della infrastruttura hardware
Disponibilità della infrastruttura software
Disponibilità per il collaudo d’accettazione
L’Agenzia, pur lasciando piena libertà alle Imprese partecipanti di strutturare il piano di cui sopra in
base alle proprie necessità organizzative, richiede:
a) la disponibilità in esercizio di tutti i propri sistemi (Attualmente suddivisi in sistemi Ages e
sistemi SSPAL) sulla nuova infrastruttura entro il 30 giugno 2010.
3.1.1 Configurazione Attuale della Server Farm RTI.
I paragrafi sottostanti riportano in forma sintetica la struttura di massima delle componenti le attuali
server farm di Ages e di SSPAL. Quanto indicato ha il solo scopo di fornire un dato numerico di
base circa le componenti che dovranno essere replicate nella infrastruttura oggetto della fornitura. I
dettagli riguardanti i dati tecnici delle singole componenti saranno consultabili in sede di
sopralluogo tecnico.
3.1.1.1 Componenti infrastrutturali server Farm SSPAL:
• 1 server HP Proliant DL380 con funzioni PDC (Active Directory, DNS, WINS)
• 1 server HP Proliant DL380 con funzioni BDC (Active Directory, DNS, WINS, Antivirus
TrendMicro, Sicef – Amministrazione)
• 1 storage HP MSA500 per le funzioni di data-storage. Tale storage è acceduto in Cluster dai
due server su citati
• 1 server HP Proliant CL380 per la gestione di Backup
• 1 server HP Proliant CL380 per il software Halley (Amministrazione, protocollo e
personale)
• 1 server HP Proliant CL360 G5 con funzioni di Web Server
• 1server HP Proliant CL360 G5 con funzioni WSUS – Spiceworks OTRS
3.1.1.2 Componenti infrastrutturali server Farm AGES:
• 1 server HP ProLiant DL 380 G5 dedicato all’Openshare
• 2 server HP ProLiant DL 380 G5 dedicati ai servizi di posta elettronica, Web e File.
• 1 server HP ProLiant DL 360 G5 dedicato al backup.
• 1 storage HP Modular Smart Array 2000 (Storage ) contenente il Data Base.• 1 HP Tape Autoloader 1/8 dedicato alla memorizzazione dei dati salvati nell’operazione di
Backup.
3.1.1.3 Altre componenti infrastrutturali da virtualizzare nella architettura oggetto della fornitura
che al momento non sono site nella server farm RTI (ma che sono comunque a disposizione per
l'ispezione):
• 1 Server Oracle (Application Server + Data Base)
• 1 Server JET (Application Server)
• 1 Server NET (File Server)
• 1 Server Stratos (Application/File Server)
• 1 Server CCNL (Application/File Server)
3.1.2 Nuova Implementazione Hardware Server Farm.
Di seguito si forniscono linee guida e requisiti minimi per la realizzazione della infrastruttura
hardware componente la Server Farm.
3.1.2.1 Virtualizzazione.
La soluzione individuata per il ripristino della attuale Server Farm prevede l'utilizzo della
tecnologia di virtualizzazione. La virtualizzazione è una tecnica di implementazione dei sistemi
IT per il consolidamento, l'affidabilità e il maggior sfruttamento delle risorse di un sistema.
Permette mediante un hypervisor (conosciuto anche come virtual machine monitor) di prendere
possesso dell'hardware (host fisici, storage, switch, ecc) di un sistema IT e renderlo disponibile
per la creazione e amministrazione di server virtuali. Nello specifico tale tecnologia sarà applicata
su tre macchine fisiche (una log dell'altra) da allocare su sito AGES.
3.1.2.2 Benefici Attesi
La virtualizzazione nonché l'architettura applicata per il ripristino della Server Farm dovrà
permettere di usufruire dei seguenti benefici:
• Riduzione dei costi legati a:
• manutenzione hardware
• alimentazione
• raffreddamento sala macchine
• introduzione nuovi server (semplificando lo sviluppo ed i test);
• Semplificazione del provisioning infrastrutturale o degli aggiornamenti eliminando a priori la
possibilità di errori in eccesso o in difetto;
• Gestione dei crash di sistema. La struttura virtualizzata dovrà permettere di mettere in
sicurezza i server lasciando all'infrastruttura di contorno l'onere di ridondare l'ambiente. Ciò
comporta la piena copertura operativa nel caso di rottura di un server fisico. Il tutto si
traduce in:
• minimizzazione dei tempi di disservizio eliminando la necessità di avere un server in
stand-by dedicato;• fruizione di un sistema di alta disponibilità per tutta l'infrastruttura virtuale, senza la
necessità di dovere implementare soluzioni di failover specifiche dei sistemi
operativi virtualizzati;
• Possibilità di aggiungere o modificare hardware sulle “Virtual Machines” velocemente
senza interruzione del servizio;
• Possibilità di migrare Virtual Machines istantaneamente da un server fisico ad un altro senza
interruzione del servizio;
• Possibilità di effettuare manutenzione all'hardware senza interruzione del servizio migrando
macchine virtuali da un server fisico ad un altro senza interrompere le sessioni utente;
• Possibilità di bilanciare il carico di lavoro attraverso i data center per usare con maggiore
efficienza le risorse in base alle richieste ricevute.
3.1.2.3 Requisiti Hardware
La fornitura disciplinata tecnicamente da questo capitolato dovrà soddisfare i requisiti progettuali
riportati nei paragrafi successivi.
I sistemi di elaborazione oggetto della presente fornitura, dovranno appartenere alla più recente
generazione rilasciata dal produttore e deve essere costituita esclusivamente da elementi nuovi di
fabbrica.
Nel prosieguo del presente Capitolato Tecnico, laddove vengano riportate caratteristiche tecniche
per l’hardware richiesto, tali caratteristiche sono sempre da intendersi come minime se non
diversamente specificato.
3.1.2.3.1 Componenti
Di seguito vengono riportate le caratteristiche tecniche delle componenti da installare per la
realizzazione della Server Farm di Agenzia/SSPAL. La fornitura dovrà comprendere:
• Server Rack - tre (3) Server rack di ultima generazione con le caratteristiche minime
riportate nella tabella sottostante:
Tipo Server
Fattore di forma Montabile in rack - 2U
Scalabilità server A 2 vie
Processore 1 x 64 bit 2.6 GHz minimo six core
Memoria cache 6 MB L3
Cache per processore 6 MB
RAM 32 GB (installati) / 128 MB (max) - DDR2 SDRAM -
ECC avanzato - 800 MHz - PC2-6400
Storage controller RAID ( Serial ATA-150 / SAS ) - PCI Express x8 ( Smart
Array P410 ) ; IDE
Alloggiamenti per Server Hot-swap 2.5"
Storage
Disco rigido Almeno 2 dischi da 146 gb
Controller grafico ATI ES1000
Memoria video 32 MBNetworking Scheda di rete - Ethernet, Fast Ethernet, Gigabit Ethernet -
Porte Ethernet almeno 6
Alimentazione 120/230 V c.a. ( 50/60 Hz )
Ridondanza Si
alimentazione
Software a corredo: Ogni server deve essere corredato da una licenza di
virtualizzazione avente come componente full tollerance,
data recovery, thin Provisioning, storage vMotion,
distributed switck nonché di tutte le licenze windows
necessarie per poter installare le macchine virtuali.
• La SAN dovrà avere le seguenti caratteristiche minime:
o Storage (Esercizio) di ultima generazione con le
caratteristiche minime indicate di seguito:
o Storage Area Network Dual Controller
o Interfaccia Host – 4GB Fibre Channel
o Capacità storage – n° 8 HDD 300 GB SATA 15k espandibile fino a 12 TB
o Switch in fibra per la connessione tra la SAN e i server in
alta disponibilità
• Server NAS per Backup con le caratteristiche minime riportate nella tabella sottostante:
Tipo di dispositivo Server NAS
Connettività host Gigabit Ethernet
Tipo rivestimento Montabile in rack - 2U
Capacità totale di memorizzazione 2.4 TB
Qtà moduli/dispositivi installati 8 (installati) / 12 (max)
Processore 1 x Quad-Core 2.2 GHz
Storage controller RAID - PCI Express x8 - Serial ATA-150 / SAS - RAID 0,
1, 5, 6, 10
Disco rigido 8 x 300 GB hot-swap Serial Attached SCSI
Memorizzazione ottica 1 x DVD-ROM
Networking Scheda di rete - Ethernet, Fast Ethernet, Gigabit Ethernet
Ridondanza alimentazione Sì
Sistema operativo di archiviazione Microsoft Windows Storage Server 2003 R2 Standard
(storage) Edition
Software di backup Capace di copiare sia i dati che le immagini dei server
virtuali
3.1.2.3.2 Affidabilità dell'Hardware
Le apparecchiature richieste nell’ambito del presente Capitolato Tecnico dovranno presentare
caratteristiche intrinseche di robustezza ed affidabilità tali da limitare le possibilità di
malfunzionamento delle apparecchiature stesse, ed in maniera più generale, dell’intera
infrastruttura.
L’affidabilità di una singola apparecchiatura è normalmente misurata utilizzando il parametro
MTBF (Mean Time Between Failure).
In configurazioni ed architetture complesse, non è però immediatamente e linearmente definibile un
requisito di MTBF dell’infrastruttura complessiva in funzione degli MTBF delle singole
apparecchiature o addirittura del singolo componente costituente l’apparecchiatura.La misura indiretta dell’affidabilità di una apparecchiatura può essere peraltro valutata dalla sua
presenza stabile e collaudata sul mercato, dato che i produttori, a fronte di problemi ripetitivi che
scaturiscano da una insufficiente affidabilità di componenti o apparecchiature, normalmente
provvedono ad un ritiro dal mercato ed a politiche di richiamo e sostituzione.
Al fine di ridurre i problemi di affidabilità dovuti a vizi costruttivi non immediatamente
identificabili a fronte dello start-up commerciale, le apparecchiature richieste nella fornitura oggetto
del presente Capitolato Tecnico, dovranno essere presenti in maniera dimostrabile sul mercato
(commercializzate, installate e/o operative presso altre installazioni) da un periodo di tempo
(variabile per ogni apparecchiatura) almeno sufficiente a garantire che l’apparecchiatura stessa e le
sue componenti possano essere esenti da vizi costruttivi, progettuali, di compatibilità o di altro
genere.
Verranno escluse dalla gara le Imprese che proporranno, per questa fornitura, apparecchiature
classificabili come prototipo, versioni pre-serie o costruite ad-hoc per l’occasione, per i quali manca
qualsiasi riscontro di mercato sulla validità in generale e sull’affidabilità in particolare.
3.1.2.3.3 Compatibilità
Nell’evidenza della criticità di questo requisito, i sistemi di elaborazione succitati, ovvero:
• Web Server;
• Application Server;
• DB Server;
dovranno essere compatibili (anche in termini di driver e di utility di configurazione e gestione) con
il sistema operativo Windows 2003 server / linux Red Hat Enterprise Server e la Suite Oracle nella
release 10g R1 Form and Report services.
3.1.2.3.4 Scalabilità dei sistemi di elaborazione
In merito alla scalabilità dei suddetti sistemi di elaborazione, vengono definiti i seguenti requisiti
minimi:
• possibilità di incremento della memoria;
• possibilità di sostituzione del processore con un altro nell’ambito della stessa serie di
processori ed avente una frequenza di lavoro maggiore.
Al fine di garantire anche un significativo ritorno degli investimenti effettuati dall’Agenzia, i tipi di
scalabilità precedentemente descritti devono poter avvenire:
• senza la necessità di sostituzione della scheda madre di sistema;
• senza la necessità di sostituzione dei già esistenti banchi di memoria, se l’ampliamento
determina il passaggio fino a 128 GB complessivi di memoria installata.
Vengono invece ammessi i seguenti interventi:
• sostituzione dei già esistenti banchi di memoria RAM, se l’ampliamento determina il
passaggio a più di 128 GB complessivi di memoria installata;
• aggiornamento del BIOS (se necessario alla corretta configurazione del nuovo processore) e
la normale configurazione della frequenza di lavoro e della tensione di alimentazione del
processore.
Inoltre, al fine di garantire la massima capacità di espandibilità delle apparecchiature offerte, queste
devono rispettare i seguenti requisiti minimi:
• possibilità di futura sostituzione delle unità disco esistenti con altre più capienti;
• predisposizione all’aggiunta di altre schede di rete all’interno dello stesso chassis;• predisposizione all’aggiunta di altri controller per unità disco all’interno dello stesso chassis.
3.1.2.3.5 Tolleranza alle condizioni ambientali
Al fine di stabilire i limiti di utilizzo dei sistemi elaborativi oggetto della fornitura, si definiscono
i limiti minimo e massimo di temperatura ed umidità ambientale.
• temperatura ambientale, min-max: 10-35°C
• umidità ambientale relativa, min-max: 20-80%
Tutto l’hardware della fornitura dovrà dunque essere in grado, nei limiti sopra esposti, di operare in
sicurezza e senza subire malfunzionamenti di qualsiasi natura.
3.1.2.3.6 Documentazione Tecnica dei Sistemi
Allo scopo di consentire un eventuale adeguamento dell’ambiente in cui verranno ospitati i
sistemi, l’Aggiudicatario dovrà fornire, in allegato alla documentazione di gara, le seguenti
informazioni:
• progettazione sala CED che contenga le seguenti voci minime:
• componenti e caratteristiche tecniche;
• dimensioni volumetriche dei singoli oggetti;
• specifiche di assorbimento elettrico di ogni dispositivo;
• disposizione nel rack dei dispositivi installati;
• tolleranza ambientale (temperatura/umidità minima e massima di esercizio);
• documentazione relativa al rispetto delle norme di sicurezza e delle direttive europee di tutti
i dispositivi.
3.1.2.3.7 Documentazione Gestione del Sistema
Al termine della consegna e dell’implementazione dei materiali, l’Aggiudicatario dovrà rilasciare
dettagliata documentazione relativa a:
• Schema dell’impianto:
• Schemi di rete;
• Indirizzi IP degli apparati;
• Configurazione di rete ed applicativa;
• Particolari implementativi;
• Procedure di start-up dei sistemi:
• Ordine di accensione delle macchine;
• Password di accesso amministrativo ai sistemi;
• Criteri di verifica corretta inizializzazione degli applicativi;
• Procedure di back-up e recupero dati:
• Indicazione dei dati da avviare al back-up (dati di configurazione e applicazione)
• Indicazione della pianificazione delle copie di sicurezza
• Lista delle operazioni da seguire per il recupero delle attività a fronte di evento
origine di avaria;
• Procedure per la conduzione del sistema:• Lista operazioni importanti per la corretta gestione del sistema;
• Indicazione delle attività critiche di gestione;
• Procedure di shut-down;
• Procedure operative da seguire in caso di fault di uno o più sistemi:
• Criteri di valutazione del fault;
• Elenco procedure di risoluzione di possibili guasti di facile gestione da parte del
personale del CED;
• Procedure da attuare in caso di guasti più gravi
• Elenco contatti.
3.1.3 Implementazione del Sottosistema di Sicurezza
3.1.3.1 Considerazioni generali.
La sicurezza, come già avviene, sarà garantita, in questa prima parte, dal gestore della connettività
(Wind). Ad eccezione però di quanto predisposto da regolamento ma attualmente non fornito. Il
sistema dovrà garantire quindi i servizi di URL Filtering e Log Management.
3.1.3.2 URL Filtering e Intrusion Prevention System (IPS)
La soluzione che si vuole adottare prevede l'istallazione di una protezione gateway per gestire gli
accessi al web da parte del personale impiegato. Nella fattispecie dovrà essere in grado di
rafforzare le policy aziendali relative alla navigazione in Internet e Antispam.
3.1.3.2.1 Componenti
Di seguito vengono riportate le caratteristiche tecniche minime delle componenti da installare per
la realizzazione del servizio di URL Filtering con appliance in HA:
URL Filtering
Blocco/permesso di URL categorizzati in base all'utente o gruppi di utenti;
Blocco di URL in base alla "reputetion" in caso di siti NON categorizzati;
Categorizzazione dinamica dei siti in base al contenuto olistico/semantico
e/o attraverso una valutazione real-lime da parte dei laboratori;
Blocco automatico degli utenti con ripetuti tentativi di accesso ai siti vietati;
Possibilità di definire delle white/black URL list utente;
Prevenzione da attacchi di tipo "phishing" e "pharming" anche
se contenuti all'interno di pagine web attendibili;
Possibilità di blocco delle navigazioni anonime a volte
utilizzate per bypassare il controllo dell’URL filtering
E faccia uso delle seguenti tecnologie:
SmartScript Filtering
XploitStopper
Controllo di Applicazioni
Controllo delle applicazioni (bloccare/permettere/tracciare), tipo 1M, P2P,
Skype, Web2, streaming, ecc;
Riconoscimento e gestione del traffico TCP/IP il cui formato non corrisponde
alle specifiche RFC per quel particolare protocollo (es. tunnel sulla porta 80); Possibilità di intervento su alcuni tipi applicazioni (es. bloccare il
trasferimento file con 1M);
Controllo (bloccare/permettere/tracciare) degli accessi ai siti di Socia/-Networking;
Possibilità di filtrare il traffico SSL in base a vari discriminanti (es. sempre, mai, per
categoria, per utenti/gruppi, ecc.);
Validazione dei certificati SSL garantendo che siano autentici.
Funzioni di sicurezza
Analisi dei file sulla reale tipologia degli stessi (esempio: .exe, .vs, .doc,
ecc.), e non basandosi semplicemente sull'estensione, che potrebbe essere volutamente
modificata, anche all'interno di file compressi;
Individuazione del virus/ma/ware attraverso più tecniche (es. Behavior
B/ocking), oltre all'analisi basata sulle signature;
Identificazione e blocco del traffico ma/ware di tipo outbound (esempio:
"phone home");
Policy
Definizione delle policy semplice ed intuitiva, su base giornaliera e/o oraria,
con possibilità di funzioni integrate per la selezione degli utenti/gruppi da Active Directory
e/o da LDAP eventualmente correlabili tra loro tramite operatori booleani;
Sincronizzazione automatica/manuale delle policy (tra apparati/sistemi);
Tracciatura delle modifiche apportate alle policy comprensive dell'account;
Invio di pagine html di block/warning nazionalizzate in italiano contenenti
l'identificazione della violazione riscontrata con la possibilità di segnalazione e
rivalutazione della categorizzazione del sito non autorizzato;
Reporting, Auditing e Alerting
Reportlauditing delle attività real-time e storiche, del tipo "quali utenti
utilizzano la risorsa" ovvero "quali risorse utilizza l'utente", nel pieno rispetto delle vigenti
normative relative alla privacy;
Possibilità di avere una statistica di quelle che sono le policy più "battute";
Funzionalità di alert in caso di superamento di soglie prestabilite (active
sessions, new-sessionlsec, bandwidth ùtilizeiion, ecc) o in caso di violazione di una policy
definita, attraverso i vari strumenti standard (e-mai/, SMS, Trap SNMP, altro);
Generazione di grafici "Top Categories Matched/Blocked' con la
visualizzazione anche di siti NON categorizzati;
Possibilità di esportare i logldati per l'analisi e/o la produzione di grafici su
altro dispositivo fisico, o per la conservazione per lunghi periodi di tempo;
Pubblicazione in formato html/xml/pdf automatica di grafici definiti
dall'amministratore con frequenza giornaliera/settimanale/mensile ovvero invio degli stessi
via e-mail;
Report dei tentativi di infezione viruslmalware bloccati, se inbount o
outbound, e verso quali utenti.
Caratteristiche Tecniche e Scalabilità Soluzione in "High Availability" (no single point of failure);
Sincronizzazione automatica delle configurazioni in caso di apparati multipli;
Aggiornamento automatico e sicuro delle signature e del URL DataBase;
limitazione dell'utilizzo della banda trasmissiva in base alla tipologia di
traffico (Streaming,URL, protocol, ecc);
Possibilità, in caso di appliance Hw, di avere una soluzione condivisa tra più
sotto reti distinte, senza che la stessa rappresenti una "bridge-head' tra Vlan, bypassando
l'area di firewall interna;
Console di gestione centralizzata nel caso di più boxes o componenti
software installate;
Possibilità di accesso differenziato alla console per utenti amministratori,
operatori, helpdesk;
Aggiornamento del firmware o del software con la possibilità di roll-back in
caso di problemi;
Funzionalità di backup/restore delle configurazioni utente;
In caso di appliance Hw gli apparati dovranno essere installabili su rack 19";
IPS: Intrusion Detection Avanzata con risposta attiva.
L’Intrusion Prevention System (IPS) deve proteggere il Ced, fornendo il complemento
ideale alla protezione perimetrale già preesistente.
La soluzione deve essere caratterizzata da:
Elevate performance del motore di ispezione, altamente scalabile e che
permette di minimizzare il numero dei device necessari;
Supporto per modalità di funzionamento attiva (IPS) e passiva (IDS su
porta mirror o wire-tap); permettendo l’uso della funzionalità desiderata senza
moltiplicare i device e senza costringere a duplicare;
Configurazione flessibile e accurata gestione delle minacce;
Eccellente gestione di log e alert;
Funzionalità avanzate di monitoraggio in tempo reale e reporting integrate;
Soluzione di sicurezza completamente integrata;
Supporto di clustering sia in modalità IDS che IPS (implementazione “in line”
rispetto al traffico) con elevata scalabilità orizzontale grazie a tecniche di
clustering seriale.
Obiettivo principe della soluzione deve essere la minimizzazione di una serie di eventi
catalogati come falsi positivi e falsi negativi tramite i seguenti criteri:
Metodi di ispezione multipli:
o Fingerprinting con supporto di Regular Expressiono Validazione protocollo
o Controllo anomalie protocollo con istanze multiple
Correlazione eventi nel tempo (sequenze) e nello spazio (gruppi)
Controllo tecniche di IDS evasion con considerazione delle connessioni e non
dei soli pacchetti
In seguito a un rilevamento, il sistema deve attuare i seguenti metodi di risposta:
Registrazione nel Log;
Alert, con escalation progressiva multicanale e rule-based;
Record connection per analisi forense;
IP Blacklist (vedi descrizione più avanti nel capitolo);
TCP Reset;
Drop (per la modalità inline).
Il prodotto deve ispezionare ed eventualmente terminare il traffico ethernet, segmentare
la rete in diversi settori e segmenti in modalità trasparente, senza intervenire sulla
topologia o sul piano di indirizzamento e mantenendo la piena trasparenza per le VLAN
in essere.
L’IPS deve includere anche la protezione da attacchi di flood tipo:
Rate-based DoS;
SYN flood protection;
UDP flood protection;
Non rate based DoS;
Attacchi DoS basati su “Illegal input”: Bonk, Jolt, Land, Nestea, Newtear,
Syndrop, Teardrop.
In caso di attacco di tipo SYN Flood, IPS deve implementare una reazione “proxy-like”
che aumenta il livello di protezione dei server nei segmenti interni con gestione delle
connessioni “half-open” residue dell’inizio dell’attacco.
3.1.3.3 Log Management
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di
un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenzaalle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste
dalle norme vigenti.
La soluzione da fornire dovrà essere composta da sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema. Le registrazioni (access log) dovranno avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità adeguata al raggiungimento
dello scopo di verifica per cui sono richieste.
Le registrazioni dovranno comprendere i riferimenti temporali e la descrizione dell'evento che le ha
generate e dovranno essere conservate per un congruo periodo, non inferiore a sei mesi.
La soluzione dovrà rispondere agli obblighi previsti dal Provvedimento "Amministratori di sistema"
del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008).
3.1.3.3.1 Caratteristiche minime
La soluzione Log Management dovrà essere composta da sistemi idonei alla registrazione degli
accessi degli amministratori di sistema con le seguenti caratteristiche minime:
Elabora i dati di registro a velocità che raggiungono i 1.500 messaggi al secondo
per appliance;
Rapporto di compressione Fino a 12:1;
Consente di generare report dinamici esportabili nei formati CSV, PDF e HTML;
I registri vengono analizzati, standardizzati, indicizzati e segnalati in tempo reale;
Identifica automaticamente nuove origini di dati di registro;
Supporta l'autenticazione RADIUS e TACACS;
Può essere implementata in architetture distribuite o stand-alone;
Service Oriented Architecture e utilizzo delle API SOAP e XML;
Trasferimento dei dati di registro protetto fino agli archivi a lungo termine.
Alloggiamento in Rack 19”.
3.1.4 Principio di Trasparenza
Il principio fa riferimento all'inserimento della nuova architettura all'interno dell'infrastruttura di
rete e connettività già esistente:
• i nuovi server virtualizzati dovranno mantenere inalterati i loro indirizzi IP rispetto alla
configurazione precedente. Il tutto al fine di minimizzare l'impatto sulla configurazione
degli attuali DNS, Tabelle di Routing, Firewalls e quant'altro già operante nella
infrastruttura di rete e connettività.3.2 Clonazione e virtualizzazione dei servers
L'Aggiudicatario dovrà garantire la Clonazione, la Virtualizzazione e la successiva ri-messa in
Esercizio di tutti gli attuali server (sia quelli di proprietà Agenzia/SSPAL che quelli ospitati nella
Server Farm dell'attuale fornitore).
Il mancato o parziale ripristino delle funzionalità erogate anche da una sola delle componenti citate
ai paragrafi 3.1.1.1, 3.1.1.2 e 3.1.1.3 costituisce condizione di risoluzione dell'intero contratto di
fornitura.
3.3 Migrazione Server di Posta SSPAL.
Particolare attenzione deve essere dedicata alla migrazione del dominio di posta della SSPAL.
Tutte le email, gli accounts e gli aliases al momento definiti nel mail-server di SSPAL dovranno
essere esportati dall'ambiente DOMINO ® (su cui ora risiedono presso CED esterno erogatore del
servizio), per essere importati nell'ambiente MS-Exchange server su cui risiede già la posta di
AGES. Sarà cura dell'aggiudicatario verificare la congruità delle licenze MS_Exchange del server
di destinazione. Il tutto per consentire ad Ages/SSPAL di modificare per tempo i relativi contratti di
licenza d'uso.
3.4 Formazione
L'Aggiudicatario dovrà garantire la formazione di almeno 4 figure professionali. Al termine della
formazione le risorse coinvolte dovranno essere in grado di:
• monitorare il sistema;
• effettuare interventi di primo livello (start & stop delle macchine; creazione di nuove
virtualizzazioni; ecc);
• fare da filtro ad un secondo livello di assistenza specialistica che l'Aggiudicatario dovrà
fornire per un periodo non inferiore ai 3 anni.
A tal fine l'Aggiudicatario dovrà fornire un piano dettagliato degli argomenti trattati in sede di
formazione.
3.5 Assistenza
Data per scontata la copertura in garanzia prevista dal CC (2 anni), l'Aggiudicatario dovrà garantire
tramite contratto di assistenza specialistica hardware e software, l'intervento on site entro le 4 ore
lavorative dalla segnalazione e la risoluzione entro le 8 ore lavorative (dalla segnalazione) di
eventuali issues che comportino la totale perdita di servizio. I tempi riportati nel paragrafo sono da
intendersi come tempi massimi d'intervento.
4. Disponibilità parte Agenzia - Sopralluoghi
Sarà fatto obbligo ai partecipanti di effettuare i sopralluoghi necessari per la corretta valutazione
della richiesta e la successiva formulazione dei punti riportati al paragrafo 3.1.2.3.6 (progettazione
sala CED).
.Puoi anche leggere
