INTERNET Edital de Licitação Anexo I Termo de Referência PREGÃO CONJUNTO Nº. 39/2007 PROCESSO N° 14761/2007
Índice
1. OBJETIVO ... 3
2. VISÃO GERAL DO ESCOPO DO SERVIÇO ... 3
3. ENDEREÇOS DAS UNIDADES... 4
4. REQUISITOS TÉCNICOS E FUNCIONAIS... 5
4.1. REQUISITOS GERAIS... 5
4.2. REQUISITOS ESPECÍFICOS... 5
4.2.1. Provimento de banda de acesso à INTERNET... 5
4.2.2. Gerenciamento de Segurança... 7
4.2.2.1. Implementação da solução na UNIDADE DF04 ... 8
4.2.2.2. Implementação da solução na UNIDADE RJ02... 9
5. ACORDO DE NÍVEL DE SERVIÇO ... 10
5.1. DISPONIBILIDADE BÁSICA NA UNIDADEDF04 ... 10
5.2. DISPONIBILIDADE INTEGRAL NA UNIDADEDF04... 10
1. Objetivo
O objetivo deste ANEXO é definir os requisitos técnicos e funcionais e os níveis de serviço que deverão ser atendidos pelo CONTRATADO ao prestar o serviço de provimento e gerenciamento de acesso à INTERNET aos CONTRATANTES.
2. Visão geral do escopo do serviço
As interconexões dos CONTRATANTES com a INTERNET serão feitas a partir das UNIDADES DF04, em Brasília, e RJ02, no Rio de Janeiro.
Deverá ser implantada uma arquitetura de segurança, mostrada de forma simplificada na figura 1, formada por:
• Roteadores; • Firewalls;
• Dispositivos para Detecção e Prevenção de Ataques e Invasões (IPS); • Switches de rede local e cabos para interligação dos equipamentos acima. O escopo do serviço objeto deste ANEXO, que será detalhado no item 4, inclui entre as obrigações do CONTRATADO:
• provimento de bandas de acesso à Internet para as UNIDADES DF04 e RJ02;
• fornecimento, instalação nas UNIDADES DF04 e RJ02 e manutenção de todo hardware/software necessário para a implementação da arquitetura de segurança acima referida;
• configuração, suporte técnico e administração integral desses recursos; • provimento de circuito dedicado entre o Centro de Segurança de Redes
(SOC) do CONTRATADO e a UNIDADE DF04, para gerenciamento remoto desses recursos;
• gerenciamento pró-ativo, on-line, 24x7, da disponibilidade e da segurança dos acessos dos CONTRATANTES à INTERNET.
FIGURA 1
3. Endereços das UNIDADES
UNIDADE DF04
CNI/SESI/SENAI/IEL/IEL
Setor Bancário Norte - Quadra 1 - Bloco C – 11º andar Edifício Roberto Simonsen
Brasília - DF - 70.040-903
Contato: Julio Johnson – telefone (61) 3317-9071
UNIDADE RJ02
SENAI - Departamento Regional do Rio de Janeiro/CNI/CIET Rua Mariz e Barros, 678 – Bloco 1 – 1º andar - Tijuca - Rio de Janeiro – RJ - 20.270-002
Contato: Carlos José Geraldo – telefone (21) 2204-9545 DMZ Rede Interna IPS IPS IPS IPS Internet
INFOVIA SISTEMA INDÚSTRIA
(MPLS) DF04 RJ02 IPS IPS IPS IPS SOC IPS IPS IPS IPS
Recursos a serem providos pelo CONTRATADO
Service Desk
4. Requisitos técnicos e funcionais
4.1. Requisitos gerais
É de responsabilidade do CONTRATADO o fornecimento, a instalação nas UNIDADES DF04 e RJ02, a configuração, os testes, a administração, a execução de
backups, a manutenção, a recuperação em caso de falhas e a atualização de
software de todos os recursos especificados no Item 4 deste ANEXO.
O gerenciamento on-line, em tempo integral (24x7), da disponibilidade e da segurança dos acessos dos CONTRATANTES à INTERNET deverá ser feito por pessoal qualificado do CONTRATADO, a partir de seu Centro de Segurança de Redes (SOC), localizado fora das instalações dos CONTRATANTES.
O gerenciamento remoto dos recursos de hardware e de software instalados pelo CONTRATADO nas UNIDADES dos CONTRATANTES, deverá ser feito “out of
band”, isto é, não deverá usar a INTERNET, mas sim um circuito dedicado, de
banda adequada, terminado na UNIDADE DF04, cuja responsabilidade de provimento será integralmente do CONTRATADO. O CONTRATADO também será responsável por prover qualquer equipamento adicional necessário para interligar esse circuito aos equipamentos a serem gerenciados remotamente.
Em caso de falha nesse circuito dedicado, a INTERNET poderá ser usada como contingência. Em qualquer situação, o acesso remoto deverá ser feito através de conexões seguras, com o emprego de criptografia e de autenticação.
O CONTRATADO deverá dispor de um Centro de Atendimento, disponível em tempo integral (24 x 7), de modo que os CONTRATANTES possam registrar ocorrências e obter esclarecimentos sobre eventos, falhas e registros abertos pelo próprio CONTRATADO ou pelos CONTRATANTES.
Mesmo que não haja paralisação do serviço, o CONTRATADO deverá registrar em seu sistema e notificar aos CONTRATANTES, por e-mail, qualquer falha detectada nos equipamentos sob sua responsabilidade ou nos circuitos de acesso à INTERNET.
4.2. Requisitos específicos
4.2.1. Provimento de banda de acesso à INTERNET
O CONTRATADO deverá fornecer, para uso exclusivo dos CONTRATANTES, as seguintes bandas de acesso dedicado à INTERNET, bi-direcionais e com possibilidade de expansão ao longo do período contratual:
• 2 x 8 Mbps para a UNIDADE DF04; • 2 Mbps para a UNIDADE RJ02.
Para a UNIDADE DF04, o CONTRATADO deverá prover uma solução de alta disponibilidade, utilizando dois circuitos de acesso ao seu backbone INTERNET por meios físicos completamente independentes, isto é, que não usem os mesmos
equipamentos, cabos, dutos, torres ou antenas. A solução do CONTRATADO deverá prover o balanceamento do tráfego, tanto sainte quanto entrante, entre esses dois circuitos.
O backbone INTERNET do CONTRATADO deverá estar diretamente conectado a, pelo menos, dois outros sistemas autônomos (AS – Autonomous System) nacionais e a, pelo menos, um sistema autônomo internacional.
O CONTRATADO deverá fornecer um bloco de 256 endereços IP públicos para uso dos CONTRATANTES na UNIDADE DF04 e, pelo menos, 8 endereços IP públicos para uso em RJ02.
Os acessos deverão permitir qualquer tipo de aplicação através da INTERNET, inclusive VoIP, não podendo o CONTRATADO impor restrições ao uso de quaisquer protocolos, endereços, portas ou URLs.
Para a UNIDADE DF04, o CONTRATADO deverá prover dois roteadores, cada um deles com os seguintes requisitos mínimos:
• capacidade de comutação de 40.000 pps;
• portas WAN e LAN compatíveis, em tipo e quantidade, com a solução de acesso ao backbone definida pelo CONTRATADO;
• suporte aos mecanismos de:
classificação, marcação e fragmentação de pacotes; policiamento e suavização de tráfego;
priorização e reserva de banda por classe de serviço; protocolos BGP-4, OSPF e VRRP (ou similar);
listas de controle de acesso;
roteamento baseado no endereço de origem do pacote (policy based
routing).
Para a UNIDADE RJ02, o CONTRATADO deverá prover um roteador, com os seguintes requisitos mínimos:
• capacidade de comutação de 15.000 pps; • suporte aos mecanismos de:
classificação, marcação e fragmentação de pacotes; policiamento e suavização de tráfego;
priorização e reserva de banda por classe de serviço; listas de controle de acesso.
O CONTRATADO será responsável:
• pela configuração (ou re-configuração) dos roteadores por ele fornecidos, conforme as regras de roteamento, classificação/priorização de tráfego e segurança definidas em conjunto com os CONTRATANTES;
• pela supervisão automática de falhas, 24 x 7, dos circuitos de acesso à INTERNET e dos roteadores por ele fornecidos;
• pela manutenção, atualização de software e atuação remota sobre os roteadores por ele fornecidos para resolução imediata de problemas.
4.2.2. Gerenciamento de Segurança
O CONTRATADO será responsável:
• pelo fornecimento, instalação nas UNIDADES DF04 e RJ02, configuração, testes, administração, execução de backups, manutenção, recuperação em caso de falhas e atualização de software de todos os recursos especificados nos sub-itens 4.2.2.1 e 4.2.2.2;
• pela implementação e gerenciamento, em tempo real, das políticas de segurança definidas em conjunto com os CONTRATANTES;
• pela atualização das políticas de segurança, em função de necessidades identificadas, tanto pelos CONTRATANTES, como, principalmente, pelo próprio CONTRATADO;
• pela atualização dos recursos fornecidos em função de novos ataques ou de ameaças identificados pelo CONTRATADO;
• pela monitoração pró-ativa do ambiente, buscando identificar e neutralizar violações de segurança;
• pela notificação dos CONTRATANTES, via e-mail e/ou telefone, sempre que uma ameaça de alto risco for identificada;
• pela disponibilização de relatórios mensais de segurança on-line, através de portal gerenciado pelo CONTRATADO, a que os CONTRATANTES deverão ter acesso permanente, através de conexões seguras;
• pela realização periódica (mensal), em dia e horário acordados, de uma varredura, em até 128 hosts dos CONTRATANTES acessíveis via INTERNET, para detecção de vulnerabilidades de segurança; essa varredura deverá explorar:
• a vulnerabilidades dos sistemas operacionais;
• a vulnerabilidades dos serviços que dependam de autenticação;
• a robustez dos recursos dos CONTRATANTES em relação a ataques do tipo DoS.
• pela disponibilização para os CONTRATANTES de relatórios mensais com os resultados da varredura executada, indicando as vulnerabilidades encontradas, seus riscos potenciais e as soluções para contorno ou eliminação dessas vulnerabilidades.
A solução de Firewall do CONTRATADO deverá :
• suportar tradução de endereçamento (NAT), estática e dinamicamente; • poder priorizar aplicações de missão-crítica (QoS);
• implementar o mecanismo de Stateful Inspection, tanto para protocolos orientados à conexão, quanto para protocolos não-orientados à conexão; • permitir a inspeção granular de tráfego baseada na origem e destino dos
pacotes;
• permitir a criação de regras de segurança, que:
o suportem os serviços HTTP, HTTPS, FTP, SMTP, POP, SSH, DNS, H.323 e SIP;
o façam o bloqueio de aplicações peer-to-peer e Instant Messaging; o possam ser aplicadas com determinada periodicidade (uma vez por
mês, uma vez por semana) e em horários pré-estabelecidos;
• ter proteção contra ameaças do tipo DoS, SYN floods, IP spoofing e pacotes IP fragmentados ou mal formados;
• disponibilizar informações de logs de forma consolidada;
• suportar logs de auditoria de administração, através dos quais seja possível identificar a atividade realizada por cada administrador.
A solução de Detecção e Prevenção de Ataques e Invasões (IPS) do CONTRATADO deverá funcionar em modo “in-line” nos segmentos de rede especificados nos Itens 4.2.2.1 e 4.2.2.2.
Ela deverá efetuar a identificação e o bloqueio de ataques, através do reconhecimento de padrões e/ou comportamentos típicos dessas ameaças. Para tanto, é responsabilidade do CONTRATADO manter permanentemente atualizada a base de dados de padrões e/ou comportamentos da solução utilizada.
4.2.2.1. Implementação da solução na UNIDADE DF04
O CONTRATADO deverá prover os equipamentos necessários para implementar as soluções de Firewall e de Detecção e Prevenção de Ataques e Invasões (IPS), descritas em 4.2.2, para uma quantidade ilimitada de usuários.
A solução de Firewall deverá ser implementada através de dois equipamentos com igual configuração, funcionando em modo de alta disponibilidade, de modo que uma falha em um deles não provoque queda de conexão ou degradação de desempenho no acesso à INTERNET.
Cada um desses equipamentos deverá:
• possuir 4 portas Ethernet UTP 10/100/1000 Mbps e 2 portas Ethernet UTP 10/100 Mbps;
• ser compatível com instalação em rack padrão 19"; • ter desempenho de Firewall de, no mínimo, 1 Gbps;
• ser ligado a 5 segmentos de rede: INTERNET, DMZ, Rede Interna, Service Desk e INFOVIA SISTEMA INDÚSTRIA (uma porta está reservada para uso
futuro).
A solução de Detecção e Prevenção de Ataques e Invasões (IPS) deverá: • ser implementada em modo “in-line”;
• monitorar os segmentos ligados à INTERNET e os segmentos ligados à INFOVIA SISTEMA INDÚSTRIA, conforme ilustrado na figura 1;
• ter desempenho de IPS de 40 Mbps por segmento monitorado.
O CONTRATADO poderá implementar a solução de Detecção e Prevenção de Ataques e Invasões (IPS) utilizando:
a) os mesmos equipamentos utilizados para a solução de Firewall, desde que sejam garantidos os desempenhos de Firewall e de IPS acima especificados; b) equipamentos específicos para IPS, desde que tenham capacidade de
bypass em hardware, para conexões em UTP, de modo a evitar interrupções
na rede em caso de falha do dispositivo.
O CONTRATADO deverá prover também dois switches de rede local, cada um deles com os seguintes requisitos mínimos:
• suporte aos mecanismos de:
classificação e marcação de pacotes; 4 filas de transmissão por porta; strict priority queuing;
access control lists; espelhamento de portas;
• 24 portas Ethernet 10/100 Mbps full duplex; • gerenciamento via SNMP.
4.2.2.2. Implementação da solução na UNIDADE RJ02
O CONTRATADO deverá prover o(s) equipamento(s) necessário(s) para implementar as soluções de Firewall e de Detecção e Prevenção de Ataques e Invasões (IPS), descritas em 4.2.2, para até 50 usuários.
O equipamento usado para Firewall deverá:
• possuir, no mínimo, 4 portas Ethernet 10/100 Mbps; • ter desempenho de Firewall de, no mínimo, 20 Mbps.
A solução para Detecção e Prevenção de Ataques e Invasões (IPS) deverá: • ser implementada em modo “in-line”;
• monitorar os segmentos ligados à INTERNET e à INFOVIA SISTEMA INDÚSTRIA, conforme ilustrado na figura 1.
O CONTRATADO poderá implementar a solução de Detecção e Prevenção de Ataques e Invasões (IPS) através do mesmo equipamento utilizado para a solução de Firewall.
5. Acordo de Nível de Serviço
A seguir, são definidas as metas mínimas de qualidade de serviço que o CONTRATADO deverá garantir.
5.1. Disponibilidade Básica na UNIDADE DF04
O serviço será considerado DISPONÍVEL na UNIDADE DF04 (disponibilidade básica) quando permitir, cumulativamente:
• acesso de estações da Rede Interna dos CONTRATANTES a hosts da INTERNET;
• acesso, a partir da INTERNET, a hosts da Rede Interna e da DMZ;
• acesso, via INFOVIA SISTEMA INDÚSTRIA, a hosts da Rede Interna e da DMZ.
No entanto, mesmo que haja conectividade, o serviço não será considerado disponível caso os tempos de carregamento da página inicial dos serviços de busca do Google, Yahoo e MS Live Search sejam, todos, superiores a 20 segundos. Uma falha em apenas um dos circuitos de acesso da UNIDADE DF04 ao backbone INTERNET do CONTRATADO não afeta a Disponibilidade Básica do serviço nessa UNIDADE.
A Disponibilidade Básica do serviço será apurada mensalmente, do 1o ao último dia
do mês, considerando-se o horário de 0:00 às 24:00, de 2a feira a domingo, através da seguinte fórmula:
] [ ] [ Total Tempo Disponível Serviço de Tempo Disp = onde:
• Disp= Disponibilidade Básica no mês;
• [Tempo de Serviço Disponível] = (43.200 – [total de minutos no mês em que o serviço NÃO esteve DISPONÍVEL]);
• [Tempo Total] = 43.200 minutos
As falhas e paralisações que não sejam imputáveis ao CONTRATADO serão expurgadas, assim como os tempos de paralisação em que o CONTRATADO não puder atuar por motivo atribuível aos CONTRATANTES.
A Disponibilidade Básica mínima mensal na UNIDADE DF04 deverá ser de 99,9%.
5.2. Disponibilidade Integral na UNIDADE DF04
O serviço será considerado INTEGRALMENTE DISPONÍVEL na UNIDADE DF04 quando, cumulativamente:
• atender aos requisitos de Disponibilidade Básica definidos no Item 5.1 deste ANEXO;
• não houver falha em nenhum dos acessos do CONTRATADO ao backbone Internet;
• não houver falha em nenhum dos equipamentos instalados pelo CONTRATADO em DF04.
A Disponibilidade Integral do serviço será apurada mensalmente, do 1o ao último dia
do mês, considerando-se o horário de 0:00 às 24:00, de 2a feira a domingo, através da seguinte fórmula:
] [ ] [ Total Tempo Disponível nte Integralme Serviço de Tempo Disp = onde:
• Disp= Disponibilidade Integral no mês;
• [Tempo de Serviço Integralmente Disponível] = (43.200 – [total de minutos no mês em que o serviço NÃO esteve INTEGRALMENTE DISPONÍVEL]);
• [Tempo Total] = 43.200 minutos
As falhas e paralisações que não sejam imputáveis ao CONTRATADO serão expurgadas, assim como os tempos de paralisação em que o CONTRATADO não puder atuar por motivo atribuível aos CONTRATANTES.
A Disponibilidade Integral mínima mensal na UNIDADE DF04 deverá ser de 99,1%.
5.3. Disponibilidade na UNIDADE RJ02
O serviço será considerado DISPONÍVEL na UNIDADE RJ02 quando permitir o acesso de estações desta UNIDADE a hosts da INTERNET.
No entanto, mesmo que haja conectividade, o serviço não será considerado disponível caso os tempos de carregamento da página inicial dos serviços de busca do Google, Yahoo e MS Live Search sejam, todos, superiores a 20 segundos. A disponibilidade do serviço será apurada mensalmente, do 1o ao último dia do mês,
considerando-se o horário de 0:00 às 24:00, de 2a feira a domingo, através da
seguinte fórmula: ] [ ] [ Total Tempo Disponível Serviço de Tempo Disp = onde: • Disp= Disponibilidade no mês;
• [Tempo de Serviço Disponível] = (43.200 – [total de minutos no mês em que o serviço NÃO esteve DISPONÍVEL]);
As falhas e paralisações que não sejam imputáveis ao CONTRATADO serão expurgadas, assim como os tempos de paralisação em que a CONTRATADO não puder atuar por motivo atribuível aos CONTRATANTES.