ANEXO I - TERMO DE REFERÊNCIA

Transcrição

1 ANEXO I - TERMO DE REFERÊNCIA Obs: 1. Os itens 03 (switch 10 gigabit) do Grupo 01 e o 01 do Grupo 04 (Nobreak de 15 kvas) não serão licitados pois não consta estimativa de preço nos autos do processo. 26

2 SECRETARIA DE PORTOS - SEP COMPANHIA DOCAS DO RIO GRANDE DO NORTE CODERN DIRETORIA DA PRESIDÊNCIA - DP COORDENAÇÃO DE TÉCNOLOGIA DA INFORMAÇÃO COORTI FORMULÁRIO DE ESPECIFICAÇÃO TÉCNICA DE PRODUTO PROCESSO Nº: 1265/2014 SOLICITAÇÃO DE LICITAÇÃO: PREGÃO ELETRÔNICO 038/2014 DIREXE RESOLUÇÃO: Nº 116/2014 1) UNIDADE SOLICITANTE: COORDENAÇÃO DE TECNOLOGIA DA INFORMÁTICA - COORTI GRUPO 01 LOTE 01 Especificação 1. SWITCH ETHERNET Gigabit 1.1. CARACTERÍSTICAS TÉCNICAS Permitir instalação em rack padrão 19 polegadas; portas de comutação 10/100/1000BASE-T auto-sensing Gigabit Ethernet; Deve suportar empilhamento com pelo menos um outro equipamento; Deve suportar uplink de 10 Gigabit Ethernet; Capacidade de no mínimo 128 Gbps; Taxa de encaminhamento de no mínimo 95 Mpps; Suporte a no mínimo endereços MAC e no mínimo VLANs; Possuir uma interface de gerenciamento isolada (out of band) baseada em WEB (HTTP) que permita aos usuários configurar e gerenciar switches através de um browser padrão; Mb de Memória Flash; Suporte a Link Agregation; Suporte a no mínimo o padrão Layer 3 com: IEEE 802.1AB; IEEE 802.1D; IEEE 802.1Q; IEEE 802.1p; IEEE 802.1w; IEEE 802.1x; IEEE 802.3; IEEE 802.3u; IEEE 802.3x; IEEE 802.ab; IEEE 802.3ad; Equipamento deve vir acompanhado de porcas, trilhos, parafusos e demais acessórios 27

3 necessários para sua instalação em rack padrão 19 ; Faixa de tensão de entrada de VCA, 50-60Hz, capaz de sustentar a configuração máxima do equipamento; 1.2. GARANTIA E SUPORTE Os equipamentos devem possuir garantia por um período mínimo de 36 (trinta e seis) meses com um período de disponibilidade para chamada de manutenção de 24 (vinte e quatro) horas por dia, 07 (sete) dias por semana; A contratada deve possuir Central de Atendimento tipo (0800) para abertura dos chamados de garantia, comprometendo-se a manter registros dos mesmos constando a descrição do problema; Durante o prazo de garantia será substituída sem ônus para o contratante, a parte ou peça defeituosa, salva quando o defeito for provocado por uso inadequado dos equipamentos; Os serviços de reparo dos equipamentos especificados serão executados onde se encontram (on-site) ou na impossibilidade, no centro de manutenção da contratada; O prazo máximo para atendimento é de 04 (quatro) horas; O prazo máximo para reparo/solução que ocasionou(aram) o chamado dos equipamentos, contado a partir da abertura do chamado e dentro do período de disponibilidade para atendimento, é de 03 (três) dias úteis. 2. SWITCH ETHERNET 10Gigabit 2.1. CARACTERÍSTICAS TÉCNICAS MÍNIMAS Switch Ethernet concentrador com pelo menos 24 (vinte e quatro) portas 10 Gigabit Ethernet 10GBaseT; Deve possuir adicionalmente pelo menos 01 (uma) porta QFP+ de 40 Gbps ou 04 (quatro) portas SFP+ 10 Gigabit, com detecção automática do modo de operação ( auto-sensing ); As portas adicionais devem vir acompanhados dos seus respectivos transceivers; Possuir no mínimo uma matriz de comutação com 480 Gbps; Possuir capacidade de processamento de pelo menos 320 milhões de pps (pacotes por segundo) em nível 2 e nível 3 (modelo OSI); Possuir capacidade para no mínimo endereços MAC; Possuir LEDs, por porta, que indiquem a integridade e atividade do link, a velocidade de conexão e também o modo de operação (half/full duplex); Suporte ao modo de comutação "store and forward" e Cut-Through configurável via linha de comando; Ser fornecido com configuração de CPU e memória (RAM e Flash) suficiente para implementação de todas as funcionalidades descritas nesta especificação; Possuir fonte de alimentação interna redundante ao equipamento com ajuste automático de tensão 110 e 220 volts; Instável em rack padrão de 19, sendo que deverão ser fornecidos os respectivos Kit s de 28

4 fixação FUNCIONALIDADES GERAIS Possuir porta de console para gerenciamento e configuração via linha de comando. O conector deve ser RJ-45 ou padrão RS-232. (os cabos e eventuais adaptadores necessários para acesso à porta de console devem ser fornecidos); Possuir uma interface de gerenciamento isolada (out of band) baseada em WEB (HTTP) que permita aos usuários configurar e gerenciar switches através de um browser padrão; Gerenciável via Telnet e SSH; Permitir o espelhamento de uma porta e de um grupo de portas para uma porta especificada; Deve ser gerenciável via SNMP (v1, v2 e v3) ; Implementar nativamente 4 grupos RMON (History, Statistics, Alarms e Events) conforme RFC 1757; Implementar o protocolo Syslog para funções de logging de eventos; Implementar o protocolo NTP (Network Time Protocol); Suportar autenticação via RADIUS ou TACACS; Possuir suporte a protocolo de autenticação para controle do acesso administrativo ao equipamento; Implementar controle de acesso por porta (IEEE 802.1x); Implementar listas de controle de acesso (ACLs) baseadas em endereço IP de origem e destino, portas TCP e UDP de origem e destino e endereços MAC de origem e destino; Possuir controle de broadcast, multicast e unicast por porta; Promover análise do protocolo DHCP e permitir que se crie uma tabela de associação entre endereços IP atribuídos dinamicamente, MAC da máquina que recebeu o endereço e porta física do switch em que se localiza tal MAC; Implementar pelo menos oito filas de saída por porta; Implementar pelo menos uma fila de saída com prioridade estrita por porta e divisão ponderada de banda entre as demais filas de saída; Implementar classificação, marcação e priorização de tráfego baseada nos valores de classe de serviço do frame ethernet (IEEE 802.1p CoS); Implementar classificação, marcação e priorização de tráfego baseada nos valores do campo Differentiated Services Code Point (DSCP) do cabeçalho IP, conforme definições do IETF; Implementar classificação de tráfego baseada em endereço IP de origem/destino, portas TCP e UDP de origem e destino, endereços MAC de origem e destino; Funcionalidades de Camada 2 (VLAN, Spanning Tree): Implementar LANs Virtuais (VLANs) conforme definições do padrão IEEE 802.1Q; Permitir a criação de no mínimo VLANs ativas baseadas em portas; Permitir a criação de subgrupos dentro de uma mesma VLAN com conceito de portas isoladas e portas promíscuas, de modo que portas isoladas não se comuniquem com outras 29

5 portas isoladas, mas tão somente com as portas promíscuas de uma dada VLAN; Deve suportar VLANs dinâmicas. Deve permitir a criação, remoção e distribuição de VLANs de forma dinâmica através de portas configuradas como tronco IEEE 802.1Q; Implementar VLAN Trunking conforme padrão IEEE 802.1Q nas portas Fast Ethernet e Gigabit Ethernet. Deve ser possível estabelecer quais VLANs serão permitidas em cada um dos troncos 802.1Q configurados; Implementar a funcionalidade de Port Trunking conforme padrão IEEE 802.3ad; Implementar o Protocolo Spanning-Tree conforme padrão IEEE 802.1d; Implementar o padrão IEEE 802.1s ( Multiple Spanning Tree ), com suporte a no mínimo 128 instâncias simultâneas do protocolo Spanning Tree; Implementar o padrão IEEE 802.1w ( Rapid Spanning Tree ); Implementar mecanismo de proteção da root bridge do algoritmo Spanning-Tree para prover defesa contra ataques do tipo Denial of Service no ambiente nível 2; Deve permitir a suspensão de recebimento de BPDUs (Bridge Protocol Data Units ) caso a porta esteja colocada no modo fast forwarding (conforme previsto no padrão IEEE 802.1w). Sendo recebido um BPDU neste tipo de porta deve ser possível desabilitá-la automaticamente 2.3. Funcionalidades de Camada 3 (Multicast e Roteamento) Implementar IP multicast; Implementar roteamento multicast PIM (Protocol Independent Multicast) nos modos sparse-mode (RFC 2362) e dense-mode ; Implementar o protocolo IGMP v1, v2, v3; Implementar em todas as interfaces do switch o protocolo IGMP Snooping (v1, v2, v3) conforme as RFC s 1112 e 2236; Possuir roteamento nível 3 entre VLANs; Implementar roteamento estático; Implementar os protocolos de roteamento RIPv1 e RIPv2; Implementar protocolo de roteamento dinâmico OSPF v1, v2 e v3; Implementar o protocolo VRRP (Virtual Router Redundancy Protocol) GARANTIA E SUPORTE Os equipamentos devem possuir garantia por um período mínimo de 36 (trinta e seis) meses com um período de disponibilidade para chamada de manutenção de 24 (vinte e quatro) horas por dia, 07 (sete) dias por semana; A contratada deve possuir Central de Atendimento tipo (0800) para abertura dos chamados de garantia, comprometendo-se a manter registros dos mesmos constando a descrição do problema; Durante o prazo de garantia será substituída sem ônus para o contratante, a parte ou peça defeituosa, salva quando o defeito for provocado por uso inadequado dos equipamentos; Os serviços de reparo dos equipamentos especificados serão executados onde se encontram (on-site) ou na impossibilidade, no centro de manutenção da contratada; O prazo máximo para atendimento é de 04 (quatro) horas; 30

6 O prazo máximo para reparo/solução que ocasionou(aram) o chamado dos equipamentos, contado a partir da abertura do chamado e dentro do período de disponibilidade para atendimento, é de 03 (dois) dias úteis. 3. MODULOS DE EXPANSÃO PARA O SWITCH ETHERNET Gigabit CARACTERÍSTICAS TÉCNICAS MÍNIMAS 3.1. Módulo de empilhamento de no mínimo 40 Gbps com cabo e licenciamento de empilhamento incluído; 3.2. Módulo de expansão com 2 uplinks 10G SFP+ incluindo os transceiver SFP+ para conexão de fibras ópticas multimodo e licenciamentos necessários para seu pleno funcionamento; Deve ser compatível com o padrão 10GBASE-SR para fibras ópticas de até 400m; Deve possuir conector LC; Velocidade de 10Gbps; 3.3. Garantia e Suporte Deve ter garantia total do tipo co-therminus, considerando a garantia do switch gigabit onde o mesmo será instalado: item 01 deste grupo; 3.4. Exigências Comerciais e de Qualificação do Fornecedor Conforme disposto no item I do artigo 15 da lei 8.666, de 21 de junho de 1993 (I - Atender ao princípio de padronização, que imponha compatibilidade técnica e de desempenho, observadas, quando for o caso, as condições de manutenção, assistência técnica e garantia oferecidas), este equipamento, por questões de compatibilidade, gerencia, suporte e garantia, deve ser do mesmo fabricante dos demais equipamentos de rede deste grupo; 4. RACK PARA SERVIDORES E ATIVOS CARACTERISTICAS TÉCNICAS DO RACK: 4.1. Padrão de 19 polegadas; 4.2. A estrutura deverá ser em alumínio ou aço de cor preta; 4.3. Deverá possuir 42Us de altura; 4.4. Deverá ser do mesmo fabricante dos servidores; 4.5. Deverá garantir fluxo suficiente de ventilação para todos os equipamentos que forem instalados dentro do rack (portas frontal e traseira perfuradas); 4.6. Deverá ser informado qual o tipo da tomada que ligará o RACK à rede elétrica. Deve-se informar se a solução exige circuito trifásico. A solução deverá ser ligada em rede 220V; 4.7. Tampas frontais e traseiras deverão possuir fechaduras e deverão ser removíveis; 4.8. Deverá ter pelo menos 02 (dois) pares de módulos de distribuição de força (PDU), para conexão a circuitos elétricos independentes provendo redundância. Estas PDUs devem possuir réguas com tomadas compatíveis as dos equipamentos ofertados, sendo aceito somente PDUs de 31

7 altura completa; 4.9. Deve possuir pelo menos 750mm de largura e 1070mm de profundidade Deve possuir organizador de cabos verticais em ambos os lados, em todo o rack CARACTERÍSTICAS TÉCNICAS DO SWITCH KVM Console SWITCH para interligação de no mínimo 08 (oito) portas; (oito) cabos KVM para conexão entre servidores e o switch Os servidores ofertados deverão ser gerenciados através deste switch Deverá possibilitar a montagem em rack padrão de 19 polegadas; Alimentação Elétrica compatível com a fornecida no rack; Suportar conexões USB nas entradas e saídas ACESSÓRIOS: MONITOR, MOUSE, TECLADO: Monitor de Vídeo LED retrátil de no mínimo 18,5 padrão widescreen, acompanhado dos cabos de força e lógico; Teclado e Mouse ou touchpad para serem integrados ao rack, sendo obrigatoriamente compatíveis com os servidores ofertados e compatível com o Switch KVM console ofertado no tópico anterior; Solução deve ser integrada ao rack e ocupar no máximo 1U no Rack; O rack e os acessórios devem ser do mesmo fabricante GARANTIA E SUPORTE Os equipamentos devem possuir garantia por um período mínimo de 36 (trinta e seis) meses com um período de disponibilidade para chamada de manutenção de 24 (vinte e quatro) horas por dia, 07 (sete) dias por semana; Os serviços de reparo dos equipamentos especificados serão executados onde se encontram (on-site) ou na impossibilidade, no centro de manutenção da contratada; O prazo máximo para atendimento do(s) problema(s) que ocasionou(aram) o chamado destes equipamentos, contado a partir da abertura do chamado e dentro do período de disponibilidade para atendimento, é de 03 (três) dias úteis; 5. SERVIDOR PARA VIRTUALIZAÇÃO 5.1. GABINETE Gabinete para instalação em rack de 19 através de sistema de trilhos deslizantes; Altura máxima de 1U; Deve possuir botão liga/desliga com proteção para prevenir o desligamento acidental; Possuir display ou leds embutido no painel frontal do gabinete para exibição de alertas de funcionamento dos componentes internos, tais como falhas de processador, memória RAM, fontes de alimentação, disco rígido e ventilador; Deve possuir suporte de no mínimo 4 baias para instalação de discos rígidos de 2.5 polegadas; 32

8 Deverá ser entregue junto com o servidor, um kit de fixação para rack, do tipo retrátil, permitindo o deslizamento do servidor a fim de facilitar sua manutenção; Possuir projeto tool-less, ou seja, não necessita de ferramentas para abertura do gabinete e instalação/desinstalação de placas de expansão; Deve possuir sistema de ventilação redundante e hot- pluggable para que a CPU suporte a configuração máxima e dentro dos limites de temperatura adequados para o perfeito funcionamento do equipamento, e que permita a substituição mesmo com o equipamento em funcionamento FONTE DE ALIMENTAÇÃO Mínimo de 2 (duas) fontes, suportando o funcionamento do equipamento em sua configuração máxima; As fontes deverão ser redundantes e hot-pluggable, para automaticamente permitir a substituição da fonte principal em caso de falha, mantendo assim o funcionamento do equipamento; A fonte deve ter potência máxima de 750 watts e suportar a configuração máxima do equipamento, com certificado 80 Plus Platinium (94% de eficiência a 50% de carga em 220 Volts); fontes devem possuir tensão de entrada de 100VAC a 127VAC e de 200VAC a 240VAC a 60Hz, com ajuste manual ou automático de tensão; Deverá acompanhar cabo de alimentação para cada fonte de alimentação fornecida PROCESSADOR Equipado com 2 (dois) processadores de 8 (oito) núcleos, com arquitetura x86; Deverá implementar mecanismos de redução de consumo de energia compatível com o padrão ACPI e controle automático para evitar superaquecimento que possa danificálo; Consumir no máximo 95W; Tecnologia de 32nm; Frequência de clock interno de no mínimo 2.00GHz; Controladora de memória com suporte a DDR3 de no mínimo 1600MHz, oferecendo no mínimo 2 canais de memória; Link de comunicação do processador com o restante do sistema de 8.0 GT/s; Memória cache de 20MB DESEMPENHO O processador ofertado deverá ter índice SPECINT_RATE2006 (BASE) auditado de no mínimo 515 para 2 processadores. Os índices SPECINT_RATE2006 (BASE) utilizados como referência serão validados junto ao site da Internet 33

9 Standard Performance Evaluation Corporation. Não serão aceitas estimativas para modelos / famílias de processadores não auditados pelo SPEC, resultados obtidos com a utilização de servidores em cluster, bem como estimativas em resultados inferiores ao mínimo especificado; 5.5. MEMÓRIA RAM Módulos de memória RAM tipo DDR3 RDIMM (Registered DIMM) com tecnologia de correção ECC (Error Correcting Code) e velocidade de 1600MHz; Possuir 128 GB (cento e vinte e oito gigabytes) de memória RAM instalada em pentes de no mínimo 16GB (dezesseis gigabytes); Suportar expansão de memória RAM para até 768 GB (setecentos e sessenta e oito gigabytes) CIRCUITOS INTEGRADOS (CHIPSET) E PLACA MÃE O chipset deve ser da mesma marca do fabricante do processador, com suporte ao barramento de comunicação com o processador de, no mínimo, 1333MHz; , no mínimo, 2 (dois) slots PCI Express 3.0; Placa mãe da mesma marca do fabricante do equipamento, desenvolvida especificamente para o modelo ofertado. Não serão aceitas placas de livre comercialização no mercado; Deve suportar tecnologia de gerenciamento remoto por hardware fora de banda ou Out of Band com firmware (chip) integrado para armazenar e disponibilizar informações sobre configuração e status do equipamento, mesmo quando este estiver totalmente desligado ou com o sistema operacional hibernado ou inoperante CONTROLADORA DE VÍDEO Tipo: On board ou placa de vídeo; Barramento compatível: PCI ou PCI Express; Capacidade da memória cache de vídeo ou da placa de vídeo: mínimo de 08 MB (oito megabytes); Resolução gráfica de 1280 x 1024 pixels ou superior BIOS E SEGURANÇA BIOS desenvolvida pelo mesmo fabricante do equipamento ou ter direitos copyright sobre essa BIOS, comprovados através de atestados fornecidos pelo fabricante do equipamento, não sendo aceitas soluções em regime de OEM ou customizadas; A BIOS deve possuir o número de série do equipamento e campo editável que permita inserir identificação customizada podendo ser consultada por software de gerenciamento, como número de propriedade e de serviço; A BIOS deve possuir opção de criação de senha de acesso, senha de 34

10 administrador ao sistema de configuração do equipamento; Atualizável por software; Estar apta a direcionar a inicialização do sistema por uma imagem em um servidor da rede PORTAS DE COMUNICAÇÃO Todos os conectores das portas de entrada/saída devem ser identificados pelos nomes ou símbolos; Possuir, no mínimo, 4 (quatro) interfaces USB versão 2.0, sendo no mínimo 2 (duas) na parte frontal; Possuir, no mínimo, 2 (duas) portas de vídeo padrão VGA (DB-15), uma localizada na parte frontal do gabinete e outra na parte traseira do gabinete; Possuir, no mínimo, 01 (uma) porta serial (DB-9) integrada INTERFACES DE REDE Possuir 04 (quatro) interfaces de rede Ethernet, sendo 02 (duas) 10/100/1000 BASE-T e 02 (duas) 10 Gb BASE-T; Capacidade de suportar boot iscsi; Suportar boot através de PXE; Suportar TCP/IP Offload Engine (TOE); Suportar Receive Side Scaling (RSS); Suportar Load Balancing, Jumbo Frames e Link aggregation CONTROLADORA RAID Controladora RAID, compatível com discos rígido padrão SAS e SATA com Interface de 6Gb/s; Memória cache de no mínimo, 512MB (quinhentos e doze megabytes) Suportar e implementar RAID 0, 1, 5, 6, 10, 50 e 60, DDR3-800MHz; Suportar expansão de capacidade de formatação on- line; Permita detecção e recuperação automática de falhas e reconstrução, também de forma automática, dos volumes de RAID sem impacto para as aplicações e sem necessidade de reiniciar o equipamento; Suporte a recursos de hot swap para as unidades de disco rígido; Suportar implementação de disco Global Hot-spare; Suportar migração de nível de RAID; Suportar Self-Monitoring Analysis and Reporting Technology (SMART) ARMAZENAMENTO Armazenamento bruto (raw) composto por, no mínimo, 02 (dois) unidades de discos rígidos tipo SAS (Serial Attached SCSI) de 300 GB (seiscentos gigabytes),

11 rpm, hot pluggable, de 2,5 polegadas e interface de 6Gb/s; Hot plug e hot swap, que permita sua substituição sem necessidade de desligar o equipamento, garantindo a continuidade das operações sem impacto para as aplicações; Não serão aceitos discos em gabinetes externos ao servidor; Compatível com a controladora RAID descrita acima UNIDADE ÓPTICA Possuir 01 (uma) unidade óptica leitora e escrita CD/DVD interna ao gabinete; Interface SATA; Velocidade mínima de leitura 8X; SISTEMA OPERACIONAL O servidor deverá ser ofertado SEM sistema operacional; Acompanhar mídia de inicialização e configuração do equipamento contendo todos os drivers de dispositivos de forma a permitir a fácil instalação do equipamento; O fabricante deve disponibilizar no seu respectivo web site, download gratuito de todos os Drivers dos dispositivos, BIOS e Firmwares para o equipamento ofertado; Apresentar declaração do fabricante informando que todos os componentes do objeto são novos (sem uso, reforma ou recondicionamento) e que não estão fora de linha de fabricação; O modelo do equipamento ofertado deverá suportar o sistema operacional Windows Server 2008 versões x86, x64 e R2 x64. Esse item deverá ser comprovado através do HCL (Hardware Compatibility List) da Microsoft no link: O modelo do equipamento ofertado deverá suportar o sistema operacional Red Hat Enterprise Linux 6.1 ou posterior. Esse item deverá ser comprovado através do HCL (Hardware Compatibility List) da Red Hat no link: O modelo do equipamento ofertado deverá suportar o sistema de virtualização VMware ESXi 4.1 ou posterior. Esse item deverá ser comprovado através do Compatibility Guide da VMware no link: GERENCIAMENTO E INVENTÁRIO Deve permitir que administradores de suporte a TI possam executar tarefas de gerenciamento remoto por hardware fora de banda ou out of band no parque instalado de máquinas, totalmente independente do estado de operação do hardware e do sistema operacional, inclusive com os mesmos ou inoperantes ou desligados; O fabricante do equipamento deve disponibilizar software de gerenciamento e inventário que permita o gerenciamento centralizado dos equipamentos ofertados através da rede LAN por meio de console de gerenciamento WEB. A solução deve ser do mesmo 36

12 fabricante dos equipamentos ofertados, não sendo aceitos soluções em regime de OEM ou customizadas; Deve possuir as seguintes funcionalidades/recursos: Inventário de hardware, versão de BIOS, configuração e atualização de BIOS; Relatórios de inventário de hardware e configuração de BIOS. Permitir a customização desses relatórios através da utilização de filtros; Atualização de BIOS, individual ou por grupo gerenciado, de forma remota; Monitoramento da saúde do equipamento e emissão de alertas de falhas de hardware e abertura do gabinete. Encaminhamento dos alertas por ao responsável; Permitir ligar e reiniciar os equipamentos remotamente; Monitoramento de temperatura; Monitoramento da velocidade e funcionamento dos ventiladores; Monitoramento da tensão de alimentação; Suportar os padrões SNMP e DMI ACESSÓRIOS Devem ser fornecidos junto com o equipamento, todos os acessórios e cabos necessários para o pleno funcionamento do mesmo DOCUMENTAÇÃO TÉCNICA Deverão ser fornecidos manuais técnicos do usuário e de referência contendo todas as informações sobre os produtos com as instruções para instalação, configuração, operação e administração CERTIFICADOS Deve ser entregue certificação comprovando que o equipamento está em conformidade com a norma IEC 60950, para segurança do usuário contra incidentes elétricos e combustão dos materiais elétricos OUTROS Quando o Licitante não for o próprio fabricante dos equipamentos ofertados, deverá apresentar declaração do Fabricante específica para o edital, autorizando a empresa licitante a comercializar e prestar os serviços de garantia exigidos; O equipamento deverá pertencer a linha corporativa do fabricante, não sendo aceito equipamentos destinados ao uso doméstico; Os componentes do equipamento deverão ser homologados pelo fabricante. Não será aceita a adição ou subtração de qualquer componente não original de fábrica para adequação do equipamento; GARANTIA 37

13 Deve possuir garantia padrão por um período mínimo de 36 (trinta e seis) meses para reposição de peças danificadas, mão-de- obra de assistência técnica e suporte; Os serviços de reparo dos equipamentos especificados serão executados somente e exclusivamente onde se encontram (ON-SITE); A CONTRATADA deve possuir Central de Atendimento tipo (0800) para abertura dos chamados de garantia, comprometendo- se à manter registros dos mesmos constando a descrição do problema; O atendimento deve ser realizado em regime 24x7; O prazo máximo para resolução do chamado deve ser de até 72 horas após a sua abertura; A CONTRATADA também deve oferecer canais de comunicação e ferramentas adicionais de suporte online como chat, e página de suporte técnico na Internet com disponibilidade de atualizações e hotfixes de drivers, BIOS, firmware, sistemas operacionais e ferramentas de troubleshooting, no mínimo; Durante o prazo de garantia será substituída sem ônus para o CONTRATANTE, a parte ou peça defeituosa, após a conclusão do respectivo analista de atendimento de que há a necessidade de substituir uma peça ou recolocá-la no sistema, salvo-se quando o defeito for provocado por uso inadequado; Esta modalidade de cobertura de garantia deverá, obrigatoriamente, entrar em vigor a partir da data de comercialização dos equipamentos e não serão aceitos, em hipótese alguma, outros condicionantes para o início da mesma como auditorias, estudos ou avaliações técnicas prévias, aplicações de recomendações por parte da contratada, etc; Possuir recurso disponibilizado via web, site do próprio fabricante (informar url para comprovação), que permita verificar a garantia do equipamento através da inserção do seu número de série; Oferecer serviço e ferramentas de diagnóstico e troubleshooting remotos na qual os técnicos da CONTRATADA se conectam diretamente ao sistema do usuário através de uma conexão de Internet segura para agilizar e melhorar o processo de solução de problemas; A substituição de componentes ou peças decorrentes da garantia não gera quaisquer ônus para a contratante. Toda e qualquer peça ou componente consertado ou substituído, fica automaticamente garantido até o final do prazo de garantia do objeto; Caso a Comissão de Licitação considere necessário, o licitante deverá em cinco dias úteis após solicitado, instalar um objeto deste lote a fim de comprovar sua adequação aos requisitos/especificações. 6. SERVIDOR DE REDE 6.1. GABINETE Gabinete para instalação em rack de 19 através de sistema de trilhos deslizantes; 38

14 Altura máxima de 1U; Deve possuir botão liga/desliga com proteção para prevenir o desligamento acidental; Possuir display ou leds embutido no painel frontal do gabinete para exibição de alertas de funcionamento dos componentes internos, tais como falhas de processador, memória RAM, fontes de alimentação, disco rígido e ventilador; Deve possuir suporte de no mínimo 4 baias para instalação de discos rígidos de 2.5 polegadas; Deverá ser entregue junto com o servidor, um kit de fixação para rack, do tipo retrátil, permitindo o deslizamento do servidor a fim de facilitar sua manutenção; Possuir projeto tool-less, ou seja, não necessita de ferramentas para abertura do gabinete e instalação/desinstalação de placas de expansão; Deve possuir sistema de ventilação redundante e hot- pluggable para que a CPU suporte a configuração máxima e dentro dos limites de temperatura adequados para o perfeito funcionamento do equipamento, e que permita a substituição mesmo com o equipamento em funcionamento FONTE DE ALIMENTAÇÃO Mínimo de 2 (duas) fontes, suportando o funcionamento do equipamento em sua configuração máxima; As fontes deverão ser redundantes e hot-pluggable, para automaticamente permitir a substituição da fonte principal em caso de falha, mantendo assim o funcionamento do equipamento; A fonte deve ter potência máxima de 750 watts e suportar a configuração máxima do equipamento, com certificado 80 Plus Platinium (94% de eficiência a 50% de carga em 220 Volts); As fontes devem possuir tensão de entrada de 100VAC a 127VAC e de 200VAC a 240VAC a 60Hz, com ajuste manual ou automático de tensão; Deverá acompanhar cabo de alimentação para cada fonte de alimentação fornecida PROCESSADOR Equipado com 1 (um) processador de 6 (seis) núcleos, com arquitetura x86; Deverá implementar mecanismos de redução de consumo de energia compatível com o padrão ACPI e controle automático para evitar superaquecimento que possa danificálo; Consumir no máximo 95W; Tecnologia de 32nm; Frequência de clock interno de no mínimo 2.00GHz; Controladora de memória com suporte a DDR3 de no mínimo 1600MHz, 39

15 oferecendo no mínimo 4 canais de memória; Link de comunicação do processador com o restante do sistema de 7.2 GT/s; Memória cachê de 15MB DESEMPENHO O processador ofertado deverá ter índice SPECINT_RATE2006 (BASE) auditado de no mínimo 375 para 2 processadores. Os índices SPECINT_RATE2006 (BASE) utilizados como referência serão validados junto ao site da Internet Standard Performance Evaluation Corporation. Não serão aceitas estimativas para modelos / famílias de processadores não auditados pelo SPEC, resultados obtidos com a utilização de servidores em cluster, bem como estimativas em resultados inferiores ao mínimo especificado; 6.5. MEMÓRIA RAM Módulos de memória RAM tipo DDR3 RDIMM (Registered DIMM) com tecnologia de correção ECC (Error Correcting Code) e velocidade de 1600MHz; Possuir 32 GB (Trinta e dois) de memória RAM instalada em pentes de no mínimo 8GB (quatro gigabytes); Suportar expansão de memória RAM para até 768 GB (setecentos e sessenta e oito gigabytes) CIRCUITOS INTEGRADOS (CHIPSET) E PLACA MÃE O chipset deve ser da mesma marca do fabricante do processador, com suporte ao barramento de comunicação com o processador de, no mínimo, 1333MHz; Possuir, no mínimo, 2 (dois) slots PCI Express 3.0; Placa mãe da mesma marca do fabricante do equipamento, desenvolvida especificamente para o modelo ofertado. Não serão aceitas placas de livre comercialização no mercado; Deve suportar tecnologia de gerenciamento remoto por hardware fora de banda ou Out of Band com firmware (chip) integrado para armazenar e disponibilizar informações sobre configuração e status do equipamento, mesmo quando este estiver totalmente desligado ou com o sistema operacional hibernado ou inoperante CONTROLADORA DE VÍDEO Tipo: On board ou placa de vídeo; Barramento compatível: PCI ou PCI Express; Capacidade da memória cache de vídeo ou da placa de vídeo: mínimo de 08 MB (oito megabytes); Resolução gráfica de 1280 x 1024 pixels ou superior. 40

16 6.8. BIOS E SEGURANÇA BIOS desenvolvida pelo mesmo fabricante do equipamento ou ter direitos copyright sobre essa BIOS, comprovados através de atestados fornecidos pelo fabricante do equipamento, não sendo aceitas soluções em regime de OEM ou customizadas; A BIOS deve possuir o número de série do equipamento e campo editável que permita inserir identificação customizada podendo ser consultada por software de gerenciamento, como número de propriedade e de serviço; A BIOS deve possuir opção de criação de senha de acesso, senha de administrador ao sistema de configuração do equipamento; Atualizável por software; Estar apta a direcionar a inicialização do sistema por uma imagem em um servidor da rede PORTAS DE COMUNICAÇÃO Todos os conectores das portas de entrada/saída devem ser identificados pelos nomes ou símbolos; Possuir, no mínimo, 4 (quatro) interfaces USB versão 2.0, sendo no mínimo 2 (duas) na parte frontal; Possuir, no mínimo, 2 (duas) portas de vídeo padrão VGA (DB-15), uma localizada na parte frontal do gabinete e outra na parte traseira do gabinete; Possuir, no mínimo, 01 (uma) porta serial (DB-9) integrada INTERFACES DE REDE Possuir 04 (quatro) interfaces de rede Ethernet 10/100/1000 BASE-T integradas; Capacidade de suportar boot iscsi; Suportar boot através de PXE Suportar TCP/IP Offload Engine (TOE); Suportar Receive Side Scaling (RSS); Suportar Load Balancing, Jumbo Frames e Link aggregation CONTROLADORA RAID Controladora RAID, compatível com discos rígido padrão SAS e SATA com Interface de 6Gb/s; Memória cache de no mínimo, 512MB (quinhentos e doze megabytes) Suportar e implementar RAID 0, 1, 5, 6, 10, 50 e 60, DDR3-800MHz; Suportar expansão de capacidade de formatação on-line; Permita detecção e recuperação automática de falhas e reconstrução, também de forma automática, dos volumes de RAID sem impacto para as aplicações e sem necessidade de reiniciar o equipamento; Suporte a recursos de hot swap para as unidades de disco rígido; 41

17 Suportar implementação de disco Global Hot-spare; Suportar migração de nível de RAID; Suportar Self-Monitoring Analysis and Reporting Technology (SMART) ARMAZENAMENTO Armazenamento bruto (raw) composto por, no mínimo, 02 (dois) unidades de discos rígidos tipo SAS (Serial Attached SCSI) de 600 GB (seiscentos gigabytes), rpm, hot pluggable, de 2,5 polegadas e interface de 6Gb/s; Hot plug e hot swap, que permita sua substituição sem necessidade de desligar o equipamento, garantindo a continuidade das operações sem impacto para as aplicações; Não serão aceitos discos em gabinetes externos ao servidor; Compatível com a controladora RAID descrita acima UNIDADE ÓPTICA Possuir 01 (uma) unidade óptica leitora e escrita CD/DVD interna ao gabinete; Interface SATA; Velocidade minima de leitura 8X; SISTEMA OPERACIONAL O servidor deverá ser ofertado SEM sistema operacional; Acompanhar mídia de inicialização e configuração do equipamento contendo todos os drivers de dispositivos de forma a permitir a fácil instalação do equipamento; O fabricante deve disponibilizar no seu respectivo web site, download gratuito de todos os Drivers dos dispositivos, BIOS e Firmwares para o equipamento ofertado; Apresentar declaração do fabricante informando que todos os componentes do objeto são novos (sem uso, reforma ou recondicionamento) e que não estão fora de linha de fabricação; O modelo do equipamento ofertado deverá suportar o sistema operacional Windows Server 2008 versões x86, x64 e R2 x64. Esse item deverá ser comprovado através do HCL (Hardware Compatibility List) da Microsoft no link: O modelo do equipamento ofertado deverá suportar o sistema operacional Red Hat Enterprise Linux 6.1 ou posterior. Esse item deverá ser comprovado através do HCL (Hardware Compatibility List) da Red Hat no link: O modelo do equipamento ofertado deverá suportar o sistema de virtualização VMware ESXi 4.1 ou posterior. Esse item deverá ser comprovado através do Compatibility Guide da VMware no link: GERENCIAMENTO E INVENTÁRIO 42

18 Deve permitir que administradores de suporte a TI possam executar tarefas de gerenciamento remoto por hardware fora de banda ou out of band no parque instalado de máquinas, totalmente independente do estado de operação do hardware e do sistema operacional, inclusive com os mesmos ou inoperantes ou desligados; O fabricante do equipamento deve disponibilizar software de gerenciamento e inventário que permita o gerenciamento centralizado dos equipamentos ofertados através da rede LAN por meio de console de gerenciamento WEB. A solução deve ser do mesmo fabricante dos equipamentos ofertados, não sendo aceitos soluções em regime de OEM ou customizadas; Deve possuir as seguintes funcionalidades/recursos: Inventário de hardware, versão de BIOS, configuração e atualização de BIOS; Relatórios de inventário de hardware e configuração de BIOS. Permitir a customização desses relatórios através da utilização de filtros; Atualização de BIOS, individual ou por grupo gerenciado, de forma remota; Monitoramento da saúde do equipamento e emissão de alertas de falhas de hardware e abertura do gabinete. Encaminhamento dos alertas por ao responsável; Permitir ligar e reiniciar os equipamentos remotamente; Monitoramento de temperatura; Monitoramento da velocidade e funcionamento dos ventiladores; Monitoramento da tensão de alimentação; Suportar os padrões SNMP e DMI ACESSÓRIOS Devem ser fornecidos junto com o equipamento, todos os acessórios e cabos necessários para o pleno funcionamento do mesmo DOCUMENTAÇÃO TÉCNICA Deverão ser fornecidos manuais técnicos do usuário e de referência contendo todas as informações sobre os produtos com as instruções para instalação, configuração, operação e administração CERTIFICADOS Deve ser entregue certificação comprovando que o equipamento está em conformidade com a norma IEC 60950, para segurança do usuário contra incidentes elétricos e combustão dos materiais elétricos OUTROS Quando o Licitante não for o próprio fabricante dos equipamentos ofertados, deverá apresentar declaração do Fabricante específica para o edital, autorizando a empresa licitante a comercializar e prestar os serviços de garantia exigidos; 43

19 O equipamento deverá pertencer a linha corporativa do fabricante, não sendo aceito equipamentos destinados ao uso doméstico; Os componentes do equipamento deverão ser homologados pelo fabricante. Não será aceita a adição ou subtração de qualquer componente não original de fabrica para adequação do equipamento; Apresentação de no mínimo um atestado emitido por pessoa jurídica de direito público ou privado, comprovando que a proponente fornece/forneceu bens compatíveis com os objetos da licitação emitidos em papel timbrado, com assinatura, identificação e telefone do emitente GARANTIA Deve possuir garantia padrão por um período mínimo de 36 (trinta e seis) meses para reposição de peças danificadas, mão-de- obra de assistência técnica e suporte; Os serviços de reparo dos equipamentos especificados serão executados somente e exclusivamente onde se encontram (ON-SITE); A CONTRATADA deve possuir Central de Atendimento tipo (0800) para abertura dos chamados de garantia, comprometendo-se à manter registros dos mesmos constando a descrição do problema; O atendimento deve ser realizado em regime 24x7; O prazo máximo para resolução do chamado deve ser de até 72 horas após a sua abertura; A CONTRATADA também deve oferecer canais de comunicação e ferramentas adicionais de suporte online como chat, e página de suporte técnico na Internet com disponibilidade de atualizações e hotfixes de drivers, BIOS, firmware, sistemas operacionais e ferramentas de troubleshooting, no mínimo; Durante o prazo de garantia será substituída sem ônus para o CONTRATANTE, a parte ou peça defeituosa, após a conclusão do respectivo analista de atendimento de que há a necessidade de substituir uma peça ou recolocá-la no sistema, salvo-se quando o defeito for provocado por uso inadequado; Esta modalidade de cobertura de garantia deverá, obrigatoriamente, entrar em vigor a partir da data de comercialização dos equipamentos e não serão aceitos, em hipótese alguma, outros condicionantes para o início da mesma como auditorias, estudos ou avaliações técnicas prévias, aplicações de recomendações por parte da contratada, etc; Possuir recurso disponibilizado via web, site do próprio fabricante (informar url para comprovação), que permita verificar a garantia do equipamento através da inserção do seu número de série; Oferecer serviço e ferramentas de diagnóstico e troubleshooting remotos na qual os técnicos da CONTRATADA se conectam diretamente ao sistema do usuário através de uma conexão de Internet segura para agilizar e melhorar o processo de solução de problemas; 44

20 A substituição de componentes ou peças decorrentes da garantia não gera quaisquer ônus para a contratante. Toda e qualquer peça ou componente consertado ou substituído, fica automaticamente garantido até o final do prazo de garantia do objeto; Caso a Comissão de Licitação considere necessário, o licitante deverá em cinco dias úteis após solicitado, instalar um objeto deste grupo a fim de comprovar sua adequação aos requisitos/especificações. 45

21 GRUPO 02 LOTE 02 Especificação 1. SISTEMA DE ARMAZENAMENTO DE DADOS NAS 1.1. Caso o licitante não seja o próprio fabricante dos equipamentos deverá anexar os seguintes documentos: Declaração do fabricante de que o licitante é revendedor autorizado; 1.2. Suporte Técnico e Garantia: A garantia contemplada deverá ser de 03 anos para Hardware e Software, na modalidade 24x7. Para Hardware, o tempo máximo de solução deverá ser de 3 dias úteis, contado a partir da abertura do chamado. Para Software, as análises poderão ser remotas para diagnóstico das ocorrências; A empresa fabricante deverá possuir site em português do Brasil, de modo a oferecer informações sobre seus produtos, bem como suporte remoto em nosso idioma. Da mesma forma, o fabricante deverá possuir telefone para suporte e abertura de chamados do tipo 0800(DDG); É obrigatório que a solução possua recurso de auto-monitoramento, com abertura automática de chamado no fabricante. Esta funcionalidade poderá operar a partir de uma estação externa ou máquina virtual; 1.3. Detalhes gerais: A solução deverá ser nova e sem uso, constante do portfólio atual e oficial da fabricante, não sendo admitidos produtos usados, remanufaturados, protótipos ou com data de descontinuidade anunciada quando da abertura do presente certame; O fabricante do Storage deverá ser membro do SNIA (Storage Networking Industry Association) na categoria Large Voting Member; Deverá ser fornecido com todos os materiais e softwares necessários ao seu funcionamento e desempenho das funcionalidades, incluindo, mas não se limitando, a todos os cabos para conexão dos diversos componentes, mídias com drivers, trilhos, porcas, parafusos e enclosures suficientes para acomodar os discos solicitados; Deverá possuir a capacidade de permitir a manutenção, corretiva ou preventiva, para substituição, adição ou remoção de controladoras, discos, fontes de alimentação e ventiladores, sem interromper o funcionamento do mesmo; 1.4. Especificações gerais A solução deverá ser inteiramente redundante e implementada para atender a ambientes Block (SAN) e File (NAS), de maneira unificada ou através do uso de 46

22 gateways externos. Deve possuir os seguintes protocolos, já habilitados e licenciados para uso: Ambiente SAN: FC e iscsi Ambiente NAS: CIFS (SMB 1, 2 e 3) e NFS v Deverá possuir no mínimo, duas controladoras que trabalhem de maneira redundante com as seguintes conectividades: No mínimo, 4 (duas) portas front-end, padrão FC 8Gb, por controladora No mínimo, 4 (quatro) portas front-end, padrão IP 1/10Gb, por controladora No mínimo, 2 (duas) portas back-end, padrão SAS 6Gb, por controladora A solução de armazenamento deve ser compatível com sistemas operacionais Windows 2008/2012, Red Hat Enterprise Linux, e VMware vsphere O cache total bruto, nas controladoras, deverá ser de, no mínimo, 32GB, composto unicamente por memória RAM. O equipamento deve, ainda, possuir expansão de cache por meio de placas Flash PCI-E ou discos SSD, no valor mínimo de 100GB total líquido (retirando-se hotspare e componentes de redundância), e deve acompanhar recurso de software responsável pelo trabalho de expansão, sendo obrigatório que o cache expandido suporte leituras e escritas (Read and Write) A memória cache RAM de escrita deve ser espelhada entre as controladoras Deverá suportar os níveis de RAID a seguir: 1 ou 10, 5 e 6. Por serem padrões básicos de mercado, não serão aceitas alternativas em caso de ausência de quaisquer dos níveis aqui exigidos Deve suportar, no mínimo, 120 discos A solução deve suportar discos SSD, SAS e NLSAS. As dimensões poderão ser tanto de 2.5 quanto de O equipamento deve conter: Tipo SAS: No mínimo, 06 discos de 600GB SAS 10K Tipo NLSAS: No mínimo, 10 discos de 2TB NLSAS Deve possuir software de administração do equipamento por meio de interface Web Deve possuir software que permita o uso do recurso de thin provisioning Deve possuir software que efetue, na camada Block, a tierização automática (auto-tiering) de dados em nível sub-lun. Este software deve suportar movimentação de blocos entre 03 tipos de disco (SSD, SAS e NLSAS) num único pool, classificando-os como 03 camadas (tiers) diferentes dentro do mesmo pool de dados. Não serão aceitas implementações cuja granularidade trabalhe em nível de arquivos ou volumes inteiros Deve possuir software para cópias locais na camada Block e File por meio da modalidade snapshot Deve possuir software para compressão e desduplicação de dados na camada File. 47

23 Deve possuir software que forneça informações de desempenho e tendência de capacidade. Esta funcionalidade deverá abranger as camadas Block e File do storage ofertado, possibilitando a coleta automática de estatísticas e dados de configuração, a fim de permitir consultas em formato de relatórios ou dashboards. O software aqui descrito poderá ser executado a partir de uma estação externa ou máquina virtual Deve possuir software na camada File capaz de prevenir modificação ou exclusão de arquivos mediante retenção por período de tempo especificado, impossibilitando que usuários e administradores alterem ou apaguem dados durante a vigência da regra Deverá possuir integração com servidores Antivírus externo, conectado via rede ao NAS. A funcionalidade deve garantir que qualquer arquivo que estiver sendo manipulado pelos usuários do sistema NAS seja verificado por um processo de scan para a verificação de vírus. Deverá suportar os seguintes softwares de Antivírus : Symantec Norton, McAfee, CA, TrendMicro, Kaspersky e Sophos; Se o licenciamento para quaisquer das funcionalidades descritas nos itens a for determinado por volumetria, discos ou gavetas, já deverá o equipamento estar licenciado para toda a quantidade que estiver sendo entregue. 2. GAVETA DE DISCO P/ SISTEMA DE ARMAZ. DE DADOS NAS 2.1. Gaveta de discos com, no mínimo, 12 (doze) baias para os discos de 3,5 suportados no item 07; 2.2. Deverá ser novo sem uso e estar em linha de produção; 2.3. Deverá ser compatível e do mesmo fabricante do Subsistema de storage do item 07; 2.4. Deverão ser fornecidos todos os elementos necessários ao seu perfeito funcionamento integrado ao equipamento do item anterior; 2.5. Deve ter garantia total do tipo co-therminus, considerando a garantia do Storage onde o mesmo será instalado: item 07 deste grupo. 3. UNIDADE DE DISCO RÍGIDO TIPO 1 P/ SISTEMA DE ARMAZ. DE DADOS NAS 3.1. Disco de 2 TB (um terabytes) com interface NL-SAS de RPM (rotações por minuto); 3.2. Deverá permitir a instalação na gaveta do item 08; 3.3. Deverão ser fornecidos todos os elementos necessários ao seu perfeito funcionamento Deve ter garantia total do tipo co-therminus, considerando a garantia do Storage onde o mesmo será instalado: item 07 deste grupo. 4. UNIDADE DE DISCO RÍGIDO TIPO 2 P/ SISTEMA DE ARMAZ. DE DADOS NAS 48

24 4.1. Discos de 600GB (seiscentos gigabytes), RPM (rotações por minuto) e com interface SAS; 4.2. Deve permitir a instalação na gaveta do item 08; 4.3. Deverão ser fornecidos todos os elementos necessários ao seu perfeito funcionamento Deve ter garantia total do tipo co-therminus, considerando a garantia do Storage onde o mesmo será instalado: item 07 deste grupo. 5. UNIDADE DE DISCO RÍGIDO TIPO 3 P/ SISTEMA DE ARMAZ. DE DADOS NAS 5.1. Disco de 200 GB (duzentos gigabytes) eletrônico (Flash); 5.2. Deverá permitir a instalação na gaveta do item 08; 5.3. Deverão ser fornecidos todos os elementos necessários ao seu perfeito funcionamento Deve ter garantia total do tipo co-therminus, considerando a garantia do Storage onde o mesmo será instalado: item 07 deste grupo. 6. SOLUÇÃO DE VIRTUALIZAÇÃO DE SERVIDORES E GERENCIAMENTO 6.1. Caso o licitante não seja o próprio fabricante dos equipamentos deverá anexar os seguintes documentos: Declaração do fabricante de que o licitante é revendedor autorizado; 6.2. A solução de infraestrutura de virtualização abaixo deverá ser licenciada para até 03 (quatro) hosts com 02 (dois) processadores físicos cada, independentemente do número de núcleos (core) dos processadores ou da quantidade de servidores virtuais instalados (em execução) ou gerenciados; 6.3. Características Gerais Deverá suportar o uso de até 160 núcleos por servidor físico Deverá suportar até 2TB de memória RAM por servidor físico "Deverá suportar por servidor físico: TB localizados em uma SAN ( Storage Area Network) portas Gigabit Ethernet portas 10 Gigabit Ethernet HBA s (Host Bust Adapter) CPU s Virtuais por core não excedendo quantidade máxima de 2048 CPU virtuais por servidor Até 320 máquinas virtuais Possuir sistema operacional próprio executando diretamente no hardware sem a necessidade de instalação de Sistema Operacional adicional para execução do software de virtualização Permitir a criação de máquinas virtuais com mais de 1 processador, isto é, máquinas 49

25 virtuais multiprocessadas com até 64 (sessenta e quatro) processadores em todos os sistemas operacionais suportados Permitir a criação de máquinas virtuais com até 1 TB de memória Permitir configurar o número de CPU's virtuais por Virtual socket, ou seja, permite que uma VM tenha CPU's virtuais com mais de 1 core Ser compatível com as seguintes tecnologias: x86_64 ; multicore ; hyperthreading ; "Intel EPT"; "AMD-V RVI"; "Large Memory pages"; "FCoE"; "Arquitetura NUMA"; 6.9. Permitir a criação de máquinas virtuais coexistindo no mesmo hardware físico com, no mínimo, os seguintes sistemas operacionais: Windows Server Windows Server Windows Windows NT Server Windows XP Professional Windows Vista RedHat Enterprise Linux 5.x RedHat Enterprise Linux 4.x RedHat Enterprise Linux 3.x RedHat Enterprise Linux Suse Linux Enterprise Server Suse Linux Enterprise Server Suse Linux Enterprise Server Suse Linux Enterprise Server Ubuntu Ubuntu Ubuntu Ubuntu Ubuntu 8.04 LTS Ubuntu Linux Ubuntu Linux CentOS CentOS Debian 4 50

26 Debian Debian FreeBSD 6.x FreeBSD 7.x FreeBSD Netware 6.5 Server Netware 6.0 Server Netware 5.1 Server Solaris 8 for x Solaris 9 for x Solaris 10 for x SCO Openserver SCO Unixware A solução deverá ser fornecida por um único fabricante Permitir a conversão ilimitada de um sistema físico existente com sistema operacional Windows para uma máquina virtual Suportar o clone de máquinas virtuais Deverá possuir recurso de compartilhamento de páginas de memória entre múltiplas máquinas virtuais, ou seja, consolidação de páginas de memórias idênticas de múltiplas máquinas virtuais em um mesmo servidor em apenas uma página Possuir paginação do hypervisor Permitir compressão de memória em momentos de alta utilização para retardar a utilização da área de swap e melhorar o desempenho Características de rede Permitir a criação de máquinas virtuais com até 10 placas de rede Políticas de segurança de rede na camada 2: Não permitir mudança de MAC address; Não permitir sniffing do trafego de rede; Suportar tecnologias para melhoria de perfomance de rede como jumbo frames Deverá suportar a criação de VLANS nas redes virtuais Permitir o isolamento total das máquinas virtuais, impedindo a comunicação entre as máquinas a não ser pelo ambiente de rede em que serão inseridas, evitando assim que o uso de uma máquina virtual interfira na segurança de outra máquina virtual Permitir que cada máquina virtual tenha endereço IP e MAC address próprio Permitir a criação através de interface gráfica de switches virtuais, comunicação local, não necessitando de placas de redes físicas, permitindo que redes complexas sejam construídas e as aplicações sejam desenvolvidas, testadas e distribuídas, tudo em um único computador físico Permitir a criação através de interface gráfica de switches virtuais 51

27 centralizados, que gerenciam de forma centralizada, todos os switches virtuais locais de cada servidor físico. Dessa forma a configuração de rede do ambiente virtual poderá ser feito uma única vez e replicada para todo o ambiente Possuir tecnologia que permita tomar vantagem das redes 10Gb Ethernet, tirando a carga de roteamento de pacotes da camada de virtualização para ser executada direto na placa de rede física reduzindo ciclos de CPU e latência Os switches virtuais centralizados deverão ter funcionalidades similares aos de um switch físico, tais como: Suporte a VLAN privada; Suportar pelo menos 350 (trezentos e cinquenta) servidores físicos configurados em um único switch de rede virtual distribuído; Permitir adicionar e remover placas de rede a uma máquina virtual sem parada de produção Permitir o controle de I/O de rede por tipo de trafego de dados (gerenciamento, dados, iscsi, NFS) Permitir definir limites de utilização de I/O por máquina virtual independente do servidor em que esteja rodando Suporte a Netflow permitindo coletar tráfego de informações IP e enviar para ferramentas de terceiros Características de Storage Permitir o acesso por mais de um caminho (multipath) e tolerante a falha (failover) ao SAN ( Storage Area Network ) Possuir sistema de arquivo que permita ser configurado em storage compartilhado e que mais de um servidor físico consiga acessar o mesmo compartilhamento simultaneamente Permitir conexões com tecnologias de storage SAN, iscsi e NAS Permitir a instalação em um servidor físico sem disco físico local, podendo ser iniciado através de uma SAN ( Storage Area Network ) Fiber Channel, utilizando o conceito de diskless Permitir a instalação em um servidor físico sem disco físico local, podendo ser iniciado através de uma SAN ( Storage Area Network ) iscsi, utilizando o conceito de diskless Suportar a extensão do tamanho do disco virtual enquanto a máquina virtual permanecer ligada Permitir adicionar disco virtual sem interrupção da máquina virtual A solução deverá ser capaz de otimizar a utilização de disco da máquina virtual, armazenando em Storage somente o que a máquina virtual estiver utilizando, ou seja, não alocando todo o conteúdo do disco virtual quando não for necessário A solução deverá possuir relatórios e alertas da alocação total dos discos 52

28 das máquinas virtuais se estivessem sendo totalmente utilizados Permitir QoS de I/O de Storage por máquina virtual, ou seja, controle de I/O por máquina virtual em momentos de contenção, permitindo estabelecer limites e percentuais, independente do servidor físico Suportar a migração dos discos das máquinas virtuais entre um uma LUN em um storage FC ou iscsi para outra LUN em um storage FC ou iscsi sem afetar a disponibilidade dos serviços, ou seja, sem parar a máquina virtual Permitir criar grupos de LUN s e monitorar cada LUN de forma inteligente para o balanceamento dos discos das máquinas virtuais considerando espaço alocado e performance de I/O. Por exemplo se uma máquina virtual precisar de mais espaço em disco e a LUN onde ela esta executando na possua recurso necessário, os discos de máquinas virtuais serão migrados automáticamente para uma outra LUN para adequar essa nova necessidade Permitir criar perfis de storage de acordo com a sua performance e qualificar as máquinas virtuais de acordo com estes perfis, garantindo a utilização e gestão adequada de recursos de storage Suportar características de segurança de SAN tais como "LUN Zoning" e "LUN masking" Gerenciamento da infraestrutura virtual Capacidade de gestão de pelo menos dez mil máquinas virtuais em funcionamento simultâneo Suportar pelo menos cem conexões administrativas simultâneas Deverá permitir a gerência centralizada de todo o parque virtualizado, a partir de uma única console A Console de gerência centralizada deverá permitir a criação de workflows para automação e orquestração dos processo de virtualização Permite criar ambiente de alta disponibilidade para a console, ou seja, no caso de falha de uma console de gerenciamento, a outra assume automaticamente, sem parada de produção Permitir criar o ambiente de alta disponibilidade para a console de gerenciamento em uma WAN O ambiente de alta disponibilidade para console de gerenciamento deve proteger contra falha de hardware, sistema operacional, aplicação e rede Deverá permitir o compartilhamento dos recursos físicos do servidor entre as máquinas virtuais, com a possibilidade de definir a quantidade mínima e máxima de CPU e memória para cada máquina virtual Deverá permitir o compartilhamento dos recursos físicos do servidor entre as máquinas virtuais, com a possibilidade de definir a quantidade mínima e máxima de CPU e memória para um grupo de máquinas virtuais. 53

29 Deverá permitir o compartilhamento dos recursos físicos do servidor entre as máquinas virtuais, com a possibilidade de definir a saída de banda de rede para cada máquina virtual Permitir a criação de ambiente de alta disponibilidade (cluster ou tecnologia equivalente ou superior) entre as máquinas virtuais, independente se estas estão em servidores físicos diferentes ou não A solução deverá ser capaz de monitorar de forma inteligente os servidores físicos e virtuais, fazendo o balanceamento de carga das máquinas virtuais de forma automática, ou seja, movendo as máquinas virtuais entre os servidores físicos de acordo com a necessidade de recursos de CPU e memória Permitir configurar regras de afinidade que definam em quais hosts dentro de um cluster, uma máquina virtual poderá rodar A solução deverá ser capaz de realocar máquinas virtuais entre servidores físicos de forma automática, em horários de baixa utilização dos servidores, possibilitando que a carga total de máquinas virtuais, seja executada em um número menor de servidores físicos, permitindo que os outros servidores físicos sejam colocados em stand-by e dessa forma consumindo menos energia. Além disso, a solução deverá ser capaz de iniciar novamente os servidores em stand by e automáticamente realocar a carga de servidores virtuais. Para realizar essa tarefa a solução deverá suportar no mínimo os protocolos WOL (Wake-on- LAN), ILO (Integrated lights-out), IPMI (Intelligent platform management interface) Permitir agendar quando a funcionalidade descrita no tópico acima deverá estar funcionando Permitir a funcionalidade de migração de uma máquina virtual de uma máquina física para outra máquina física, sem necessidade de interrupção dos serviços da máquina virtual Permitir a migração de máquinas virtuais entre diferentes servidores físicos para fins de manutenção, balanceamento de carga e ou upgrades, sem desligamento da máquina virtual e sem interrupção do serviço Permitir no mínimo 4 migrações simultâneas de máquinas virtuais entre dois servidores físicos simultâneamente Possuir funcionalidades de detecção de falha de uma máquina física, migrando automaticamente as máquinas virtuais afetadas para controle de outra máquina física e procedendo, sua ativação automaticamente. Deverá suportar um grupo de até 32 servidores simultaneamente Definir prioridades na reativação das VMs Possuir funcionalidades de detecção de falha de uma máquina física, migrando automaticamente as máquinas virtuais afetadas para controle de outra máquina física e procedendo, sua ativação automaticamente sem parada de produção, ou seja, com zero de tempo de inatividade. 54

30 Possuir funcionalidades de detecção de falha do sistema operacional de uma máquina virtual, procedendo, sua ativação automaticamente após um período pré definido Permitir priorizar automaticamente determinado recurso (CPU e memória) a determinada máquina virtual no caso de concorrência de recurso sem necessidade de desligar a máquina virtual Permitir que ferramentas de backup, tais como, Tivoli, Netbackup realizem backup e recuperação incrementais, diferenciais e de imagem completa de máquinas virtuais para os sistemas operacionais Windows e Linux centralizado sem agentes. O backup passa a ser feito na camada de virtualização, o gerenciamento é feito por serviço de backup eliminando o peso do backup sobre os servidores físicos ou máquinas virtuais Permitir realizar o backup de imagens de múltiplas máquinas virtuais simultaneamente sem a necessidade de desligá- las Permitir a criação de novas máquinas virtuais através de modelos já criados (biblioteca de templates), e prontos para serem instalados em qualquer servidor físico que componha o ambiente de servidores consolidados Permitir a visualização gráfica da topologia da infra- estrutura virtual Permitir criar modelos de configurações para Hosts físicos e replicá-los para outros hosts da solução de virtualização Permitir o monitoramento em tempo real e otimizar a utilização dos recursos não utilizados pelos hardwares Permitir monitoramento da utilização individual de cada servidor físico e de cada máquina virtual criada Permitir configurar faixas de alarme para monitoração de CPU, memória, rede e disco que alertem após um período de tempo pré-definido no estado de alerta Permitir a monitoração e notificação de alertas parametrizados através de e- mail, traps SNMP e scripts Permitir exportar dados de performance no formato de Excel e HTML Permitir agendamento de tarefas tais como desligar, mover, criar, ligar máquinas virtuais Permitir parar, iniciar, suspender, reiniciar máquinas virtuais Permitir o ajuste de uso de CPU e memória por máquina virtual Permitir adicionar CPU e memória a uma máquina virtual sem parada de produção Permitir o armazenamento dos dados e estatísticas de monitoração da console central em um SGBD (Sistema de gerenciamento de banco de dados) ORACLE, Microsoft SQL Server ou DB Permitir armazenar dados e estatísticas de monitoração Permitir a criação de recursos de alta disponibilidade para toda infraestrutura 55

31 virtual. No caso de perda de um servidor físico, isto deve significar, apenas, menos recursos e não indisponibilidade de servidores. As máquinas virtuais serão reiniciadas automaticamente, onde houver recursos Permitir coletar informações de performance de servidores físicos, analizar e sugerir cenários para a consolidação dos servidores físicos em máquinas virtuais. A consolidação sugerida pode ser feita com servidores físicos existente ou adicionando novos servidores com suas respectivas configurações de hardware Ser capaz de configurar através de interface gráfica a associação de uma ou mais placas de rede a uma máquina virtual, permitindo a distribuição de carga entre as placas de rede e configuração de tolerância a falhas Permitir múltiplos snapshots de uma máquina virtual a quente Possuir API para integração com a console de gerenciamento das máquins virtuais Permitir a integração com a console de gerenciamento através de Web Service Permitir que máquinas virtuais conectem a dispositvos USB conectados ao servidor físico Segurança Permitir a integração com o sistema de diretório MICROSOFT ACTIVE DIRECTORY, possibilitando integrar a estrutura de usuários com a hierarquia de segurança dos grupos de servidores e máquinas virtuais sem precisar alterar o esquema do serviço de diretório Possuir funcionalidade para automatização da aplicação de atualizações no sistema operacional utilizado para virtualização Possuir funcionalidade para automatização da aplicação de atualizações nas máquinas virtuais com sistema operacional Microsoft Windows de maneira centralizada e sem interrupção de serviço Permitir gerenciar o acesso a console de administração de forma granular. Dessa forma, cada usuário ou grupo terá uma quantidade de ações que ele pode executar na console de adminstração A console de gerenciamento deverá permitir no mínimo a granularidade de acesso para as seguintes ações: Ligar uma ou mais máquinas virtuais Desligar uma ou mais máquinas virtuais Criar máquinas virtuais Remover máquinas virtuais Criar templates de máquinas virtuais Criação de cluster de máquinas virtuais Adicionar e remover um servidor físico à console de gerenciamento. 56

32 Criar grupos de permissão e associar a usuários Deverá possuir granularidade de permissão a nível de cluster, servidor físico e máquina virtual Gerenciamento da operação da infraestrutura virtualizada Solução analítica pró-ativa e em tempo real de performance do ambiente; A solução deve usar sistema analítico e dinâmico para detecção de anomalias e problemas de performance A solução NÃO deve ser baseada em threshold. Uma vez que eles são muito trabalhosos de se criar e manter A solução deve ser completamente data agnostic, ou seja, deve poder analisar qualquer tipo de dado que seja enviado a ela de forma temporal A solução deve ter um processo automático de análise e identificação próativa de anomalias no ambiente e possíveis causa raiz da anomalia antes que a mesma afete o usuário final A solução deve possuir dashboard integrados para análise de performance, capacidade e configuração do ambiente em tempo real A solução deve se integrar totalmente com o ambiente de virtualização sem a necessidade de instalação de agentes nos servidores virtualizados A solução deve ser capaz de entender as peculiaridades do ambiente virtual como ballooning, funcionalidades de over comiting, funcionalidades de movimentação de máquinas virtuais entre servidores físicos, etc.. em sua análise de performance e capacidade para que não se ocorram falsos positivos A solução de análise de performance deve possuir uma integração nativa com a plataforma de virtualização proposta A solução deve ser implementada em arquitetura WEB A solução deve conseguir mostrar em um único dashboard os Data Centers da organização, os hosts que os mesmos possuem, as máquinas virtuais e desses hosts, além de mostrar o impacto que uma máquina virtual pode ocasionar em seu host A solução deve possuir a capacidade de através de seu sistema analítico, avisar proativamente sobre problemas de performance antes que os mesmos ocorram sem se basear em thresholds estáticos A ferramenta de análise de performance da solução deve possuir a característica de aprender o comportamento do ambiente e sua sazonalidade A solução deve conseguir demonstrar um health score de todo seu ambiente, como também separado por Data Center, cluster, servidor host, e máquina virtual, em tempo real das operações da organização de forma gráfica A solução deve possuir uma arquitetura flexível, podendo ser implementada totalmente de forma virtual A solução deve ser capaz de contabilizar e analisar em 57

33 tempo real todas as anomalias que estão ocorrendo no ambiente A solução deve ser capaz de demonstrar o estado do ambiente da organização através de heatcharts. Que é a forma mais fácil de se visualizar muitas máquinas de forma simultânea A solução deve possuir a habilidade de se fazer analises what-if do ambiente se criando vários cenários. Na criação desses cenários a solução deve levar em conta todas as funcionalidades e métricas intrínsecas a um ambiente virtual como ballooning, e outras funcionalidades de overcommit A solução deve ser capaz de identificar as máquinas virtuais que nunca foram ligadas A solução deve identificar quais máquinas virtuais estão super dimensionadas e também sugerir a configuração ideal das mesmas A solução deve identificar quais máquinas virtuais estão sub dimensionadas e também sugerir a configuração ideal das mesmas A solução deve ter a capacidade de projetar no tempo quando o ambiente estará sofrendo de contenção e qual sera a mesma contenção: Memória, processamento, disco, rede, storage A solução deve ser capaz de fazer uma análise histórica do uso de recursos A solução deve ser capaz de criar gráficos para fácil entendimento de forma automática A solução deve ser capaz de identificar hosts estressados e subutilizados da plataforma de virtualização A solução deve ser capaz de identificar a capacidade restante em seu ambiente virtualizado. 7. SERVIÇO EM SOLUÇÃO DE VIRTUALIZAÇÃO DE SERVIDORES, REDES DE COMPUTADORES E CONFIGURAÇÃO DO SISTEMA DE ARMAZENAMENTO DE PRODUÇÃO (EM HORAS) 7.1. Hora de serviços Profissionais em (i) solução de virtualização de servidores do item 12 (ii) serviços de rede LAN e SAN e (iii) configuração do sistema de armazenamento de produção do item 07 a serem contratados em pacotes mínimos de 20 horas A empresa licitante deverá ser parceira das fabricantes dos itens 07 e 12 mediante declaração do fabricante A contratante terá flexibilidade na utilização destas horas, que serão utilizadas de acordo com a conveniência, sem necessidade de elas serem prestadas por período ininterrupto, mas com possibilidade de usá-las por etapa, a seu critério, durante o período de 01 ano; 7.4. As despesas de viagem, hospedagem, alimentação e locomoção ficaram por conta da empresa contratada; 58

34 7.5. As atividades a serem realizadas podem compreender, no mínimo, os seguintes itens: 7.6. Solução de virtualização de servidores: A Contratada deverá executar os serviços de configuração dos sistemas de virtualização, através de técnico capacitado e certificado pelo fabricante, no local designado pela contratante. As atividades a serem realizadas podem compreender, no mínimo, os seguintes itens: Planejamento do ambiente e validação dos parâmetros e requisitos técnicos; Instalação e utilização de ferramentas de análise de performance de servidores físicos, visando colher dados para elaboração de cenários de virtualização dos servidores físicos; Instalação e configuração dos servidores com o software de infraestrutura de virtualização em servidores; Instalação e configuração da interface de gerenciamento centralizado; Configuração de acesso a SAN - Storage Area Network iscsi ou Fibre Channel; Configuração do recurso de balanceamento de entre os servidores instalados; Configuração do recurso de alta disponibilidade entre as máquinas virtuais e entre os servidores instalados; Configuração do recurso de movimentação a quente de máquinas virtuais entre servidores físicos instalados; Migração dos servidores físicos existentes para o ambiente virtual utilizando a ferramenta de conversão automática de servidores físicos para servidores virtuais; Validação e testes do novo ambiente e realização de ajustes conforme a necessidade; Migração dos servidores para ambiente de produção em horário extraexpediente; Acompanhamento do ambiente em produção nos dias úteis após a migração; Ajustes do ambiente após primeiros dias de produção para melhor utilização dos recursos do software de infraestrutura de virtualização; Documentação técnica do ambiente; Realização de treinamento operacional da ferramenta de software ofertada na proposta, sobre o ambiente implementado; Workshops e discussões com a equipe técnica do cliente sobre melhores práticas de utilização e administração do software de infraestrutura de virtualização; Requisitos para a contratada referente aos profissionais que realizarão os serviços profissionais: Atestado ou certidão de capacidade técnico-operacional que comprove a execução de serviços Profissionais em clientes que possuam ambientes de 59

35 virtualização equivalente; Pelo menos 1 (um) técnicos constituintes da equipe deverão possuir o nível de certificação oficial do fabricante em implantação da solução, com apresentação do correspondente documento de certificação em versão original ou cópia autenticada Serviços de redes de computadores: Planejamento e projeto de rede lógica do data center Planejamento e projeto de rede física do data center Planejamento e projeto de rede SAN (Storage Area Network) Configuração de equipamentos de rede, incluindo: Roteamento; Redundância; VLANs; ACLs; QoS; Stacking Master; Link Aggregation Control Protocol (LACP); Multicast VLAN Registration (MVR): Broadcast, Multicast, e Unicast Storm Control; 802.1x com Voice VLAN, integrado com LDAP/AD; Remote Switch Port Analyzer (RSPAN) com o Switch Central; Network Timing Protocol (NTP); Port Security; DHCP Snooping; IP Source Guard; 802.1x com VLAN Dinâmica e portal Web para usuários visitantes; Multidomain Authentication para os PCs conectados nos Telefones IP; Private VLAN Edge; Bridge Protocol Data Unit (BPDU) Guard; Spanning Tree Root Guard (STRG); QoS e Rate Limiting Documentação técnica do ambiente Realização de treinamento 7.8. Configuração do sistema de armazenamento de produção: A Contratada ou fabricante deverá executar os serviços de configuração de todo o hardware, software e licenças dos sistemas de armazenamento do Item 07, através do técnico capacitado e certificado pelo fabricante, no local designado pelo órgão Serviço de consultoria para desenvolvimento da política de armazenamento de dados através de análises coletadas de utilização de recursos e desenvolvimento de capacity planner das aplicações; Avaliação das instalações elétricas e de refrigeração do ambiente destinado à instalação do equipamento, fornecendo um laudo técnico em momento prévio à instalação; Avaliação do ambiente proposto, pré-requisitos, compatibilidade e interoperabilidade do NAS/SAN com o legado; Classificação dos tipos de dados, níveis de desempenho, níveis de disponibilidade, segurança de acesso ao Storage etc; Definição do ciclo de vida dos dados e definição das granularidades e estruturas de armazenamentos suplementares para replicação de informações; Definição da estratégia de implementação da solução e conexão com os servidores; Definição de LUNs, Volume de discos, Nível de RAID, Zoning, LUNMasking etc. 60

36 Definição da estratégia de implementação da solução de NAS incluindo particularidades de cada aplicação que fará uso do storage para armazenar as informações, tais como: Provisionamento de novos espaços; Apoio na definição e implementação da política de cotas; Apoio na definição e implementação dos filtros de extensões de arquivos e perfis de uso; Implementação de snapshots dos sistemas de arquivos; Integração com o Microsoft Active Directory; Integração com sistema de anti-vírus; 7.9. Implementação Implementação SAN e storage SAN/NAS segundo as definições; Testar todos os dispositivos redundantes da solução como fontes, discos, controladoras, fans, servidores, etc Realização de treinamento operacional da ferramenta de software ofertada na proposta, sobre o ambiente implementado; Workshops e discussões com a equipe técnica do cliente sobre melhores práticas de utilização e administração do software de infraestrutura de virtualização; Documentação da solução implementada contendo todas as configurações realizadas no ambiente para registro e consulta futura em cópia eletrônica. 61

37 GRUPO 3 LOTE 03 Especificação 1. SOLUÇÃO AVANÇADA DE BACKUP EM DISCO COM DESDUPLICAÇÃO NA ORIGEM E REPLICAÇÃO 1.1. Caso o licitante não seja o próprio fabricante dos equipamentos deverá anexar os seguintes documentos: Declaração do fabricante de que o licitante é revendedor autorizado; 1.2. A solução a ser proposta deve obrigatoriamente fazer uso de sistemas inteligentes de armazenamento de backup em disco, baseado em appliance, que se entende como um subsistema composto de hardware e software com o propósito específico de ingestão dos dados de backup, desduplicação e replicação dos dados desduplicados; 1.3. O appliance, composto de hardware e software, deve ser do mesmo fabricante, não sendo aceito o regime de OEM no fornecimento dos componentes da solução; 1.4. O appliance deve constar no site do fabricante como uma solução de backup em disco com desduplicação; 1.5. O appliance deve ser composto, de processamento e armazenamento integrado, dedicado única e exclusivamente, à execução das atividades de ingestão, desduplicação e replicação dos dados enviados diretamente pelos clientes de backup; 1.6. O hardware da solução não poderá ser compartilhado com nenhum outro software; 1.7. O hardware deve ser novo, sem uso e constar da linha de produção do fabricante, não sendo aceito gateways e/ ou composições feitas exclusivamente para atendimento ao presente edital; 1.8. O hardware do appliance deverá possuir fontes de alimentação redundantes; 1.9. Os discos do appliance devem ser hot-swappable; A solução de backup deverá possuir tecnologia de desduplicação de dados, ou seja, não armazenar mais de uma vez dados que sejam duplicados; A desduplicação deve acontecer no nível de blocos de tamanho variável, ajustado automaticamente pelo próprio algoritmo do applicance de forma a atingir melhores taxas de desduplicação; Caso a solução ofertada não possua desduplicação no nível de blocos de tamanho variável como descrito no item anterior, deverá ser ofertado 70% a mais de área útil ao especificado no tópico 21 deste equipamento; A desduplicação deve acontecer nos clientes de backup, na origem dos dados, antes dos dados serem enviados e gravados no disco do appliance ; A desduplicação deve ser global, ou seja, identificar dados duplicados no mesmo servidor e em servidores diferentes, armazenando na solução somente blocos de dados 62

38 únicos. Caso a desduplicação não seja global, deverá ser ofertado 70% a mais de área útil ao especificado no tópico 21 deste equipamento; Deve suportar backup via LAN e WAN, sem a necessidade de adquirir outros appliances para as localidades remotas; O appliance deve armazenar os dados de backup em disco; O subsistema deve possuir checkpoints ou snapshots internos que permitam melhorar a segurança dos dados armazenados e permitir a recuperação dos dados para um momento anterior; Replicação Deve suportar a replicação dos dados desduplicados através de link IP para outro equipamento do mesmo tipo. Caso esta funcionalidade seja licenciável, o(s) respectivo(s) hardwares e softwares (licenças) não precisam estar incluídos neste momento; Deve suportar replicaçao 1 para 1, N para 1 (várias origens e 1 destino) e 1 para N (1 origem replicando para vários destinos); Somente os dados já desduplicados devem ser replicados de forma a consumir menos banda de rede; A replicação deverá ser assíncrona ou ocorrer em horário pré-determinado; Deve possuir critptografia a ser utilizada no processo de backup, de no mínimo AES256- SHA; Deve receber dados de backup via ethernet (IP) 1Gb; A área de backup em disco deve possuir no mínimo 3,5 (três e meio) TB úteis sem considerar ganhos com desduplicação e compressão de dados; Deve estar licenciado toda a capacidade ofertada para backup; A solução de backup deverá verificar diariamente de forma automática (sem necessidade de qualquer agendamento, ou script) a integridade dos dados armazenados com algoritmos de checksum e autocorreção em caso de corrupção dos dados O gerenciamento das políticas de backup deve ser centralizado e via interface gráfica; A solução deve permitir o agendamento de jobs de backup, sem utilização de utilitários de agendamento dos hosts; Deve prover acesso a interface de gerenciamento via browser e linha de comando; Deve permitir a definição de níveis de acesso ao sistema, suportando no mínimo usuários do tipo Administrador (que pode criar e alterar configurações) e Operador; Deve prover relatórios gerenciais de backup com no mínimo as seguintes informações: backups com sucesso, backups com falha, volume de backup realizado, restores com sucesso, restores com falha, volume de restore realizado, clientes de backup configurados, ocupação no destino de backup; Deve suportar operações de backup e restore em paralelo; Deve prover monitoramento via interface gráfica e em tempo real dos jobs sendo executados; 63

39 1.31. Deve possuir logs dos jobs; Suportar backup e restore máquina virtual VMware e Hyper-V, suportando backup de guest e backup de imagem com restore individual de arquivos e diretórios; Suportar integração com VMware através do vstorage API; Deverá fazer uso da funcionalidade CBT (Change Block Tracking) da Vmware para as operações de backup e restore A solução deverá ser compatível e possuir clientes e módulo de backup para os ambientes Netware 6.5, Solaris (8, 9, 10), Windows 2003/2008, vsphere 5.x, MS-SQL, Oracle, Oracle RAC, IBM DB2, IBM Notes, MS-Exchange, NDMP, SharePoint, SAP em Oracle, Sybase; A solução deve contemplar número ilimitado de clientes e módulos para backup para todos os ambientes descritos; Deve possuir funcionalidade que permita migrar clientes de backup para outro appliance de mesma marca e modelo; Deve possuir funcionalidade que permita com que usuários de desktop/laptop realizem backup e restore de forma automática ou on- demand ; Deve permitir que restore de dados das estações desktop/laptop seja executado pelo próprio usuário, sem a necessidade de envolver a operação ou o administrador do backup A solução deve possuir função de acesso remoto para diagnóstico remoto em caso de falhas ou defeitos A solução deve possuir função de call-home através de linha telefônica comum ou para diagnóstico remoto em caso de erros/defeitos, para a central do fabricante. 2. LICENCIAMENTO DE REPLICAÇÃO PARA SOLUÇÃO AVANÇADA DE BACKUP EM DISCO COM DESDUPLICAÇÃO NA ORIGEM 2.1. Deverá ser compatível com o item 14; 2.2. Deverá ser do mesmo fabricante do item 14; 2.3. Composto de um segundo equipamento de igual modelo e capacidade ao Item 14 somente para receber dados de replicação; 2.4. Deve estar licenciado para replicar toda a capacidade ofertada; 3. EXPANSÃO DE CAPACIDADE PARA SOLUÇÃO AVANÇADA DE BACKUP EM DISCO COM DESDUPLICAÇÃO NA ORIGEM 3.1. Deverá ser compatível com o item 14; 3.2. Deverá ser do mesmo fabricante do item 14; 3.3. Deve ser composto de licença e/ou componentes de hardware necessários para expandir a capacidade da área de backup em disco do item 14 para, no mínimo, 7 (sete) TB úteis sem considerar ganhos com desduplicação e compressão de dados; 64

40 3.4. Deve estar licenciado para replicar toda a capacidade ofertada; 4. SERVIÇO EM SOLUÇÃO AVANÇADA DE BACKUP EM DISCO COM DESDUPLICAÇÃO NA ORIGEM 4.1. Hora de serviços Profissionais em solução avançada de backup em disco com desduplicação na origem do item 14 a serem contratado em pacotes mínimos de 20 horas A empresa licitante deverá ser parceira das fabricantes do item 14, mediante declaração do fabricante A contratante terá flexibilidade na utilização destas horas, que será utilizada de acordo com a conveniência, sem necessidade de elas serem prestadas por período ininterrupto, mas com possibilidade de usá-las por etapa, a seu critério, durante o período de 01 ano; 4.4. As despesas de viagem, hospedagem, alimentação e locomoção ficaram por conta da empresa contratada; 4.5. As atividades a serem realizadas podem compreender, no mínimo, os seguintes itens: Serviço de consultoria para desenvolvimento da política de armazenamento de dados Avaliação do ambiente proposto, pré-requisitos, compatibilidade e interoperabilidade do NAS/SAN com o legado Classificação dos tipos de dados, níveis de disponibilidade, segurança de acesso ao Storage Definição do ciclo de vida dos dados e possibilidade para replicação de informações Definição da estratégia de implementação da solução, instalação dos agentes e conexão com os servidores Implementar e documentar a política de backup de todo o ambiente Proceder com teste de restauração Avaliação da capacidade de acordo com as métricas pré- estabelecidas Verificação do desempenho geral da implementação. 65

41 GRUPO 04 LOTE 04 Especificação 1. NO-BREAK DE 15 KVAS 1.1. Potência: Potência: 15kVA / 12kW Tensão de Entrada: 380V +/- 15% - Trifásico; Tensão de Saída: 110 / 220V +/- 1% - Monofásico ou Bifásico (Saída Dupla) Mínimo de 32 baterias internas de 18Ah / 12V Autonomia Total de 25 a 30 minutos em meia carga Tensão de Barramento de no mínimo 192Vcc; Baterias seladas - Chumbo-ácidas VRLA (sem exalação de gases) 1.2. CARACTERÍSTICAS ELÉTRICAS DO NOBREAK: Nobreak On-Line Senoidal e Dupla Conversão Inversor 100% sincronizado com a rede Fator de Potência de saída 0,8; Rendimento a plena carga ( DC / AC ): 90%; Frequência de rede: 60Hz +/- 4% Fator de crista 3:1; Nível de Ruído Máximo: 60db Inversor sincronizado com a rede; Em caso de falha no inversor, a carga é transferida para o BYPASS Acionamento do BYPASS automaticamente em caso de falha ou sobrecarga: Acionamento do BYPASS manual: Relatório de eventos: registrar e apresentar no display do nobreak a sequência de eventos (até 1000 registros) relacionados com a rede elétrica e o equipamento Alarme audiovisual intermitente: para queda de rede, fim do tempo de autonomia e condições anormais de funcionamento Display inteligente: com informações sobre o STATUS do sistema, como valores de tensão de saída por fase, tensão do banco de baterias, autonomia, frequências de entrada e de saída, potência consumida por fase, log de eventos, etc Recarga automática das baterias: Comunicação inteligente: true serial RS-232, RS Contato seco para sinalização de falhas Interação com o display através de teclado: as mensagens mostradas no display Proteção do inversor contra sobrecarga; Sobrecarga: 100 a 130% por 10 minutos, 130 a 150% por 30 segundos Display inteligente mostrando informações sobre o status do sistema. 66

42 Acionamento do By-pass em caso de falha ou sobrecarga no inversor (automático) By-pass manual (manutenção) Saída Isolada de rede (isolação galvânica) Proteção contra descarga total das baterias Alarmes Audiovisuais; Recarga automática de baterias Proteção contra surtos de tensão Interação com o display através do teclado Comunicação através de Contato Seco: Resumo de Falhas; Falha de Inversor; Falha Retificador; By pass manual; Carga reserva; Falha de bateria 1.3. SOFTWARE PARA GERENCIAMENTO LOCAL E REMOTO: Gerenciamento local e remoto via internet Visualização em qualquer navegador com suporte JAVA Mensagens de alerta Fechamento automático de arquivos e do sistema operacional (shutdown) Relatório completo de dados e eventos Funções shutdown e restore permitem que o nobreak seja ligado e desligado em horários pré-programados Envio de Agendamento de testes Compatível com os sistemas Windows e Linux Permitir que todas as informações do Nobreak seja armazenado e visualizado em site especifico do fabricante, disponibilizando login e senha para no mínimo 1 (um) funcionário do Centro responsável pela manutenção do IFMT Garantia e Suporte Garantia mínima de 03 (três) anos para o Nobreak e mínima de 01 (um) ano on site para as baterias; O licitante do equipamento deverá informar as assistências técnicas credenciadas e autorizadas a prestar o serviço de garantia no Rio Grande do Norte. A declaração deve estar inclusa na proposta. 67

43 GRUPO 05 LOTE 05 COMPANHIA DOCAS DO RIO GRANDE DO NORTE Especificações ITEM ÚNICO: FORNECIMENTO DE SOLUÇÃO DE SEGURANÇA DE PERÍMETRO UTM CONTRA MULTI-AMEAÇAS, COMPOSTO DE UM CONJUNTO DE COMPONENTES DE SEGURANÇA BASEADO EM APPLIANCE DE HARDWARE E SOFTWARE INTEGRADOS DE MESMO FABRICANTE. 1. RESUMO DOS EQUIPAMENTOS / SOFTWARES PARA AQUISIÇÃO / SERVIÇOS DESCRIÇÃO QTD* Firewall TIPO 1 Solução de Appliance de Firewall contra multiameaças, hardware e 02 software devidamente licenciado. Firewall TIPO 2 Solução de Appliance de Firewall contra multiameaças, hardware e 01 software devidamente licenciado. Solução de armazenamento de logs e relatórios Appliance. 01 Serviços: Implantação da solução Onsite. 1 Serviços: Serviços de suporte da solução. 1 Exigências para participação do pregão, e comprovante de - capacidade técnica. * Referencia para número mínimo de equipamentos a serem entregues. Projeto para 36 meses de atualizações. Probabilidade máxima de 30% de crescimento nos próximos 03 anos, o hardware e software deve contemplar o crescimento previsto sem necessidade de troca do aparelho. Não serão aceitos equipamentos com softwares montados em servidores. Não será aceita solução não homologada no mercado e que não tenha certificados de qualidade e segurança de entidades reconhecidas internacionalmente e governamentais se for o caso, conforme exigência do presente edital. Não será aceito equipamentos que não possuam o recurso exigido do edital, mesmo que tenha promessa que venha a ser lançado em um futuro release. Todos os recursos e especificações técnicas precisam ser atendidos integralmente na data de publicação deste edital. O projeto busca a máxima segurança e relação custo benefício com equipamentos que permitem evolução tecnológica. Todos os equipamentos devem contemplar a exigência do presente edital, conforme especificado nos itens a seguir. Toda a solução ofertada deste edital composto de, Appliances, hardwares e software devem ser de único fabricante, não sendo aceito produtos que dependem de software ou hardware de terceiros para funcionar como ferramenta integrada, ou comprometendo um determinado recurso. Devem obrigatoriamente ser fornecidos como Appliance com finalidade especificada e dedicada. O projeto contempla uma solução integrada, com gerenciamento centralizado por único console de WEB. Todos os Firewalls devem suportar ser gerenciados pelo browser de WEB (HTTPS e HTTP), não será aceito gerenciamento por console instalado em desktop ou servidor. Deve permitir ser gerenciado por console WEB único através do Appliance de gerencia de rede; 68

44 A empresa vencedora devera fornecer toda a infraestrutura e pessoal devidamente certificado conforme presente edital para implementação e suporte de todo o projeto, sendo obrigatoriamente autorizado do fabricante para a venda e execução dos serviços deste edital; Não será aceito subcontratação por se tratar de uma solução complexa, que envolve muitos elementos técnicos e de muita complexidade, a subcontratação com certeza acarreta prejuízo a segurança e gerenciamento da solução; O suporte será prestado exclusivamente pela empresa vencedora, sendo que o contato por parte do cliente para busca de suporte será feito a empresa vencedora; A empresa vencedora devera disponibilizar um site para abertura de chamado e gerenciamento de todas as OS; A empresa vencedora devera apresentar documentos comprovando que atende a todos os itens do presente edital. O cliente a seu critério poderá chamar o licitante para homologação do projeto e comprovação que atende as exigências do presente edital. 2. ESPECIFICAÇÃO TÉCNICA 2.1 REQUISITOS DE PERFORMANCE E LICENCIAMENTO DE UTM Appliance Firewall TIPO 1 UTM baseado em appliance. Para maior segurança, não serão aceito equipamentos de propósito genérico (PCs ou servidores) sobre os quais podem instalar-se e/ou executar um sistema operacional regular como Microsoft Windows, FreeBSD, SUN solaris, Apple OS-X o GNU/Linux. Deve-se ser entregue único equipamento com todas as funcionalidades requisitadas. Possuir as seguintes funcionalidades listadas anteriormente neste documento: Firewall, Traffic Shapping e QoS, Filtro de Conteúdo Web, Antivírus, AntiSpam, Filtro de Conteúdo Web, Detecção e Prevenção de Intrusos (IPS), VPN IPSec e SSL, Controle de Aplicações, Otimização Wan, DLP Data Leak Prevention, Controladora Wireless, Virtualização e Controle de Endpoints Cada equipamento deve possuir Fonte de alimentação com chaveamento automático 110/220 V 50-60Hz. A fonte fornecida deve suportar sozinha a operação da unidade com todos os módulos de interface ativos Firewall com capacidade de processamento de 8Gbps IPS com capacidade de processamento de 2.8Gbps Suportar pelo menos 500 usuários ativos na rede com todas as funcionalidades solicitadas nesta especificação habilitadas e funcionais; VPN com capacidade de pelo menos 7Gbps de tráfego IPSec; VPN SSL com capacidade de pelo menos 350Mbps de tráfego; Suporte a 6 milhões de conexões simultaneas; Permitir a criação de 250 VLANS no padrão IEEE 802.1q Devem ser licenciados para controlar pelo menos 600 endpoints; Devem ser licenciados para suportar pelo menos 500 usuários de VPN SSL Suporte a pelo menos novas conexões por segundo; Suporte a pelo menos 2000 túneis de VPN Site-Site; Suporte a pelo menos túneis de VPN Client-Site; Possuir ao menos 6 interfaces 1GbE RJ45; Possuir ao menos 4 interfaces SFP. Possuir porta USB para conexão de modem 3G/4G 69

45 Possuir ao menos 120 GB SSD de disco Todos os equipamentos que componham a solução devem ser licenciados e operar em modo de alta disponibilidade Possuir licença para número ilimitado de usuários e endereços IP Possuir licença para atualização de firmware e atualização automática de bases de dados de todas as funcionalidades de UTM pelo período de 36 meses Deve ser capaz de gerenciar, via funcionalidade de controladora wireless, ao menos 512 Pontos de Acesso sem fio Deve estar licenciado para permitir número ilimitado de estações de rede e usuários Incluir licença para a funcionalidade de VPN SSL Incluir licença para atualização de vacina de antivírus/anti-spyware Incluir licença de atualização para filtro de conteúdo web Incluir licença de atualização do IPS e da lista de aplicações detectadas Fornecer documentação técnica, bem como manual de utilização, em inglês ou português do Brasil Appliance TIPO 2 UTM baseado em appliance. Para maior segurança, não serão aceito equipamentos de propósito genérico (PCs ou servidores) sobre os quais podem instalar-se e/ou executar um sistema operacional regular como Microsoft Windows, FreeBSD, SUN solaris, Apple OS-X o GNU/Linux. Deve-se ser entregue único equipamento com todas as funcionalidades requisitadas. Possuir as seguintes funcionalidades listadas anteriormente neste documento: Firewall, Traffic Shapping e QoS, Filtro de Conteúdo Web, Antivírus, AntiSpam, Filtro de Conteúdo Web, Detecção e Prevenção de Intrusos (IPS), VPN IPSec e SSL, Controle de Aplicações, Otimização Wan, DLP Data Leak Prevention, Controladora Wireless, Virtualização e Controle de Endpoints Cada equipamento deve possuir Fonte de alimentação com chaveamento automático 110/220 V 50-60Hz. A fonte fornecida deve suportar sozinha a operação da unidade com todos os módulos de interface ativos Firewall com capacidade de processamento de 3.5Gbps IPS com capacidade de processamento de 275Mbps Suportar pelo menos 70 usuários ativos na rede com todas as funcionalidades solicitadas nesta especificação habilitadas e funcionais; VPN com capacidade de pelo menos 1Gbps de tráfego IPSec; VPN SSL com capacidade de pelo menos 35Mbps de tráfego; Suporte a 2 milhões de conexões simultaneas; Permitir a criação de 250 VLANS no padrão IEEE 802.1q Devem ser licenciados para controlar pelo menos 200 endpoints; Devem ser licenciados para suportar pelo menos 200 usuários de VPN SSL Suporte a pelo menos novas conexões por segundo; Suporte a pelo menos 200 túneis de VPN Site-Site; Suporte a pelo menos túneis de VPN Client-Site; Possuir ao menos 16 interfaces 1GbE RJ45; Possuir porta USB para conexão de modem 3G/4G Possuir ao menos 32GB de disco Todos os equipamentos que componham a solução devem ser licenciados e operar em modo de alta disponibilidade Possuir licença para número ilimitado de usuários e endereços IP Possuir licença para atualização de firmware e atualização automática de bases de dados de todas as funcionalidades de UTM pelo período de 36 meses 70

46 Deve ser capaz de gerenciar, via funcionalidade de controladora wireless, ao menos 32 Pontos de Acesso sem fio Deve estar licenciado para permitir número ilimitado de estações de rede e usuários Incluir licença para a funcionalidade de VPN SSL Incluir licença para atualização de vacina de antivírus/anti-spyware Incluir licença de atualização para filtro de conteúdo web Incluir licença de atualização do IPS e da lista de aplicações detectadas Incluir licença de uso e gerência de 200 endpoints Fornecer documentação técnica, bem como manual de utilização, em inglês ou português do Brasil 2.2 REQUISITOS DE FUNCIONALIDADES UTM Funcionalidade de Firewall Possuir controle de acesso à internet por endereço IP de origem e destino Possuir controle de acesso à internet por sub-rede Suporte a tags de VLAN (802.1q) Possuir ferramenta de diagnóstico do tipo tcpdump Possuir integração com Servidores de Autenticação RADIUS, LDAP e Microsoft Active Directory. Possuir integração com tokens para autenticação de dois fatores Suportar single-sign-on para Active Directory, Novell edirectory, Citrix e RADIUS Possuir métodos de autenticação de usuários para qualquer aplicação que se execute sob os protocolos TCP ( HTTP, HTTPS, FTP e Telnet). Possuir a funcionalidade de tradução de endereços estáticos NAT (Network Address Translation), um para um, N-para-um, vários para um, NAT64, NAT46, PAT, STUN e Full Cone NAT Permitir controle de acesso à internet por períodos do dia, permitindo a aplicação de políticas por horários e por dia da semana Permitir controle de acesso à internet por domínio, exemplo: gov.br, org.br, edu.br Possuir a funcionalidade de fazer tradução de endereços dinâmicos, muitos para um, PAT. Suporte a roteamento estático e dinâmico RIP V1, V2, OSPF, ISIS e BGPv4 Possuir funcionalidades de DHCP Cliente, Servidor e Relay. Suportar aplicações multimídia como: H.323, SIP. Tecnologia de firewall do tipo Statefull Possuir alta disponibilidade (HA), trabalhando no esquema de redundância do tipo ativopassivo e também Ativo-Ativo com divisão de carga, com todas as licenças de software habilitadas para tal sem perda de conexões. Deve permitir o funcionamento em modo transparente tipo bridge sem alterar o endereço MAC do tráfego Deve suportar PBR - Policy Based Routing Permitir a criação de VLANS no padrão IEEE 802.1q Possuir conexão entre estação de gerencia e appliance criptografada tanto em interface gráfica quanto em CLI (linha de comando) Permitir filtro de pacotes sem controle de estado stateless para verificação em camada 2. Permitir forwarding de camada 2 para protocolos não IP. Suportar forwarding multicast. Suportar roteamento multicast PIM Sparse Mode e Dense Mode Permitir criação de serviços por porta ou conjunto de portas dos seguintes protocolos, 71

47 TCP, UDP, ICMP e IP Permitir o agrupamento de serviços Permitir o filtro de pacotes sem a utilização de NAT Permitir a abertura de novas portas por fluxo de dados para serviços que requerem portas dinâmicas. Possuir mecanismo de anti-spoofing Permitir criação de regras definidas pelo usuário Permitir o serviço de autenticação para tráfego HTTP e FTP Deve permitir IP/MAC binding, permitindo que cada endereço IP possa ser associado a um endereço MAC gerando maior controle dos endereços internos e impedindo o IP spoofing Possuir a funcionalidade de balanceamento e contingência de links Suporte a sflow O dispositivo deverá ter técnicas de detecção de programas de compartilhamento de arquivos (peer-to-peer) e de mensagens instantâneas, suportando ao menos: Yahoo! Messenger, MSN Messenger, ICQ, AOL Messenger, BitTorrent, edonkey, GNUTella, KaZaa, Skype e WinNY. Deve ter a capacidade de permitir a criação de regras de firewall específicas para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Deve ter a capacidade de criar e aplicar políticas de reputação de cliente para registrar e pontuar as seguintes atividades: tentativas de conexões más, pacotes bloqueados por política, detecção de ataques de intrusão, detecção de ataques de malware, atividades web em categorias de risco, proteção de aplicação, locais geográficos que os clientes estão tentando se comunicar Permitir autenticação de usuários em base local, servidor LDAP, RADIUS e TACACS Permitir a criação de regras baseada em usuário, grupo de usuários, endereço IP, FQDN, tipo de dispositivo, horário, protocolo e aplicação Suportar certificados X.509, SCEP, Certificate Signing Request (CSR) e OCSP Permitir funcionamento em modo bridge, router, proxy explícito, sniffer e/ou vlan-tagged Possuir interface USB que permita a adição de modem 3G/4G Possuir mecanismo de tratamento (session-helpers ou ALGs) para os protocolos ou aplicações dcerpc, dns-tcp, dns-udp, ftp, H.245 I, H.245 0, H.323, MGCP, MMS, PMAP, PPTP, RAS, RSH, SIP, TFTP, TNS Suportar SIP/H.323/SCCP NAT Traversal Permitir a criação de objetos e agrupamento de objetos de usuários, redes, FQDN, protocolos e serviços para facilitar a criação de regras Possuir porta de comunicação serial ou USB para testes e configuração do equipamento, com acesso protegido por usuário e senha Funcionalidade de Traffic Shaping e Priorização Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (Shaping), criação de filas de prioridade, gerência de congestionamento e QoS. Permitir modificação de valores DSCP para o DiffServ Permitir priorização de tráfego e suportar TOS Limitar individualmente a banda utilizada por programas tais como peer-to-peer, streaming, chat, VoIP, web, etc. Deverá integrar-se ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo grupos de usuários cadastrados Deverá prover funcionalidade de identificação transparente de usuários cadastrados no 72

48 Microsoft Active Directory e LDAP Deverá controlar (limitar ou expandir) individualmente a banda utilizada por grupo de usuários do Microsoft Active Directory e LDAP Deverá permitir definir banda máxima e banda garantida para um usuário, IP, grupo de IPs, protocolo e aplicação Deverá controlar (limitar ou expandir) individualmente a banda utilizada por sub-rede de origem e destino Deverá controlar (limitar ou expandir) individualmente a banda utilizada por endereço IP de origem e destino Deve ter a capacidade de permitir a criação de perfis de controle de banda específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Funcionalidade de Antivírus Possuir funções de Antivírus e Anti-spyware Possuir antivírus em tempo real, para ambiente de gateway internet integrado a plataforma de segurança para os seguintes protocolos: HTTP, SMTP, IMAP, POP3, SMB e FTP Possuir verificação de vírus para aplicativos de mensagens instantâneas (AIM, MSN, Yahoo Messenger, ICQ) Permitir o bloqueio de malwares (adware, spyware, hijackers, keyloggers, etc.) Possuir proteção contra conexões a servidores Botnet Permitir o bloqueio de download de arquivos por extensão, nome do arquivo e tipo de arquivo. Permitir o bloqueio de download de arquivos por tamanho Deve ter a capacidade de permitir a criação de perfis de antivírus específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Funcionalidade de Anti-spam Possuir verificação na funcionalidade de anti-spam da verificação do cabeçalho SMTP do tipo MIME Possuir filtragem de por palavras chaves Permitir adicionar rótulo ao assunto da mensagem quando classificado como SPAM Possuir para a funcionalidade de Anti-Spam o recurso de RBL Permitir a checagem de reputação da URL no corpo mensagem de correio eletrônico Deve ter a capacidade de permitir a criação de perfis de antispam específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Funcionalidade de Filtro de conteúdo Web Possuir solução de filtro de conteúdo web integrado a solução de segurança Possuir pelo menos 70 categorias para classificação de sites web Possuir base mínima contendo, 100 milhões de sites internet web já registrados e classificados Possuir a funcionalidade de cota de tempo de utilização por categoria Possuir categoria exclusiva, no mínimo, para os seguintes tipos de sites web como: o Proxy Anônimo; o Webmail; o Instituições de Saúde; o Notícias; 73

49 o Phishing; o Hackers; o Pornografia; o Racismo; o Websites Pessoais; o Compras; Permitir a monitoração do tráfego internet sem bloqueio de acesso aos usuários Permitir a criação de pelo menos 5 (cinco) categorias personalizadas Permitir a re-classificação de sites web, tanto por URL quanto por endereço IP Prover termo de Responsabilidade on-line para aceite pelo usuário, a ser apresentado toda vez que houver tentativa de acesso a determinado serviço permitido ou bloqueado Integrar-se ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo contas e grupos de usuários cadastrados Prover funcionalidade de identificação transparente de usuários cadastrados no Microsoft Active Directory Possuir integração com tokens para autenticação de dois fatores Exibir mensagem de bloqueio customizável pelos Administradores para resposta aos usuários na tentativa de acesso a recursos proibidos pela política de segurança Permitir a filtragem de todo o conteúdo do tráfego WEB de URLs conhecidas como fonte de material impróprio e códigos (programas/scripts) maliciosos em applets Java, cookies, activex através de: base de URL própria atualizável. Permitir o bloqueio de páginas web através da construção de filtros específicos com mecanismo de busca textual Permitir a criação de listas personalizadas de URLs permitidas lista branca e bloqueadas lista negra Deverá permitir o bloqueio de URLs inválidas cujo o campo CN do certificado SSL não contém um domínio válido Filtro de conteúdo baseado em categorias em tempo real Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços de filtragem de conteúdo web Deverá permitir a criação de regras para acesso/bloqueio por grupo de usuários do serviço de diretório LDAP Deverá permitir a criação de regras para acesso/bloqueio por endereço IP de origem Deverá permitir a criação de regras para acesso/bloqueio por sub-rede de origem Deverá ser capaz de categorizar a página web tanto pela sua URL como pelo seu endereço IP Deverá permitir o bloqueio de redirecionamento HTTP Deverá permitir o bloqueio de páginas web por Classificação como páginas que facilitam a busca de Audio, Video e URLs originadas de Spam Possuir Proxy Explícito e Transparente Implementar roteamento WCCP e ICAP Deverá permitir a criação de listas personalizadas de URLs permitidas lista branca e bloqueadas lista negra Deve ter a capacidade de permitir a criação de perfis de filtragem web específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Funcionalidade de Detecção de Intrusão Permitir que seja definido, através de regra por IP origem, IP destino, protocolo e porta, qual tráfego será inspecionado pelo sistema de detecção de intrusão. Possui base de assinaturas de IPS com pelo menos 3500 ameaças conhecidas. 74

50 O Sistema de detecção e proteção de intrusão deverá estar orientado à proteção de redes. Deverá permitir funcionar em modo transparente, sniffer e router Possuir tecnologia de detecção baseada em assinaturas que sejam atualizadas automaticamente Deverá permitir a criação de padrões de ataque manualmente O sistema de detecção e proteção de intrusão deverá possuir integração à plataforma de segurança. Possuir capacidade de remontagem de pacotes para identificação de ataques Deverá possuir capacidade de agrupar assinaturas para um determinado tipo de ataque. Exemplo: agrupar todas as assinaturas relacionadas a web-server para que seja usado para proteção específica de Servidores Web; Deverá possuir capacidade de análise de tráfego para a detecção e bloqueio de anomalias como Denial of Service (DoS) do tipo Flood, Scan, Session e Sweep; Deve ter a capacidade de permitir a criação de perfis de inspeção específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Mecanismos de detecção/proteção de ataques Reconhecimento de padrões Análise de protocolos Detecção de anomalias Detecção de ataques de RPC (Remote procedure call) Proteção contra ataques de Windows ou NetBios Proteção contra ataques de SMTP (Simple Message Transfer Protocol) IMAP (Internet Message Access Protocol, Sendmail ou POP (Post Office Protocol) Proteção contra ataques DNS (Domain Name System) Proteção contra ataques a FTP, SSH, Telnet e rlogin Proteção contra ataques de ICMP (Internet Control Message Protocol) Métodos de notificação de detecção de ataques Alarmes na console de administração. Alertas via correio eletrônico. Monitoração do comportamento do appliance mediante SNMP, o dispositivo deverá ser capaz de enviar traps de SNMP quando ocorrer um evento relevante para a correta operação da rede Capacidade de resposta/logs ativa a ataques Terminação de sessões via TCP resets. Armazenamento de logs de sessões Atualizar automaticamente as assinaturas para o sistema de detecção de intrusos O Sistema de detecção de Intrusos deverá mitigar os efeitos dos ataques de negação de serviços. Deverá permitir a criação de assinaturas personalizadas. Possuir filtros de ataques por anomalias Permitir filtros de anomalias de tráfego estatístico de: flooding, scan, source e destinationsessionlimit Permitir filtros de anomalias de protocolos Suportar reconhecimento de ataques de DoS, reconnaissance, exploits e evasion Suportar verificação de ataque nas camada de aplicação Suportar verificação de tráfego em tempo real, via aceleração de hardware Possuir as seguintes estratégias de bloqueio: pass, drop, reset, Funcionalidade de VPN 75

51 Possuir algoritmos de criptografia para túneis VPN: AES, DES, 3DES. Suporte a certificados PKI X.509 para construção de VPNs Possuir suporte a VPNs IPSeC site-to-site, VPNs IPSec client-to-site. Possuir suporte a VPN SSL. Possuir capacidade de realizar SSL VPNs utilizando certificados digitais A VPN SSL deve possibilitar o acesso a toda infra-estrutura de acordo com a política de segurança, através de um plug-in ActiveX e/ou Java. Possuir hardware acelerador criptográfico para incrementar o desempenho da VPN. A VPN SSL deverá suportar cliente para plataforma Windows, Linux e Mac OS X Deve permitir a arquitetura de vpn hub and spoke Suporte a VPN do tipo PPTP, L2TP Suporte a inclusão em autoridades certificadoras (enrollment) mediante SCEP (Simple Certificate Enrollment Protocol) e mediante arquivos Funcionalidade de Controle de Aplicações Deverá reconhecer no mínimo 2000 aplicações; Deverá possuir pelo menos 10 categorias para classificação de aplicações; Deverá possuir categoria exclusiva, no mínimo, para os seguintes tipos de aplicações como: o P2P; o Instant Messaging; o Web; o Transferência de arquivos; o VOIP; Deverá permitir a monitoração do tráfego de aplicações sem bloqueio de acesso aos usuários Deverá ser capaz de controlar aplicações independente do protocolo e porta utilizados, identificando-a apenas pelo comportamento de tráfego da mesma Deverá integrar-se ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo grupos de usuários cadastrados; Deverá prover funcionalidade de identificação transparente de usuários cadastrados no Microsoft Active Directory; Deverá permitir a criação de regras para acesso/bloqueio de aplicações por grupo de usuários do Microsoft Active Directory; Deverá permitir a criação de regras para acesso/bloqueio de aplicações por grupo de usuários do serviço de diretório LDAP; Deverá permitir a criação de regras para acesso/bloqueio por endereço IP de origem; Possuir integração com tokens para autenticação de dois fatores Deverá permitir a criação de regras para acesso/bloqueio por sub-rede de origem e destino; Deverá permitir a inspeção/bloqueio de códigos maliciosos para no mínimo as seguintes categorias: Instant Messaging; Transferência de arquivos Deverá garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços de controle de aplicações Deverá permitir criação de padrões de aplicação manualmente Deve ter a capacidade de permitir a criação de perfis de controle de aplicações específicos para tipos de dispositivos identificados automaticamente (funcionalidade esta conhecida como BYOD Bring Your Own Device), como por exemplo tablets, celulares e PCs, sistemas operacionais Android, Apple, Blackberry, Linux e Windows Funcionalidade de Cache e Otimização WAN Deverá implementar otimização do tráfego entre dois equipamentos Deverá possuir capacidade de armazenamento local 76

52 Deverá implementar, no mínimo, as seguintes técnicas de otimização: o Otimização de protocolos; o Byte caching; o Web caching. Deverá otimizar no mínimo os seguintes protocolos: CIFS, FTP, HTTP, MAPI e TCP. Deverá permitir criptografar a comunicação entre os appliances envolvidos na otimização do tráfego através de protocolos IPSEC ou SSH Deverá implementar alta disponibilidade no mínimo ativo-passivo Deverá possuir Cache de páginas web (HTTP) Deverá apresentar gráfico ou relatório que indique a quantidade de tráfego que está sendo otimizada, em porcentagem ou bytes Funcionalidade de DLP (Data Leak Prevention) O sistema de DLP (Proteção contra Vazamento de Informações) de gateway deve funcionar de maneira que consiga parar que dados sensíveis saiam da rede e também deve funcionar de modo que previna que dados não requisitados entrem na sua rede. O sistema de DLP deverá inspecionar no mínimo os tráfegos de , HTTP, NNTP e de Mensageiros Instantâneos. Sobre o tráfego de , deverá inspecionar no mínimo os protocolos SMTP, POP3 e IMAP; Sobre o tráfego de Mensageiros instantâneos, deverá inspecionar no mínimo os protocolos AIM, ICQ, MSN e Yahoo!. Deverá realizar buscas para a aplicação de regras de DLP em arquivos do tipo PDF e MS-Word; Deverá fazer a varredura no conteúdo de um Cookie HTTP buscando por determinado texto. Deverá aplicar regras baseadas em usuários autenticados, isto é, fazendo buscas pelo tráfego de um específico usuário. Deverá verificar para aplicações do tipo , se o anexo das mensagens de correio entrantes/saintes possuí um tamanho máximo especificado pelo administrador. Deverá utilizar expressões regulares para composição das regras de verificação dos tráfegos. Deverá tomar minimamente as ações de bloquear, banir usuário e quarentenar a interface sobre as regras que coincidirem com o tráfego esperado pela regra. Deverá permitir o armazenamento em solução específica de armazenamento de logs, o conteúdo do tráfego que coincidir com o tráfego esperado pela regra de DLP para minimamente os protocolos de , HTTP e Mensageiros Instantâneos. Deverá permitir a composição de múltiplas regras de DLP formando uma regra única mais específica que usa lógica booleana para fazer a comparação com o tráfego que atravessa o sistema Funcionalidade de Balanceamento de Carga Permitir a criação de endereços IPs virtuais Permitir balanceamento de carga entre pelo menos 4 servidores reais Suportar balanceamento ao menos para os seguintes serviços: HTTP, HTTPS, TCP e UDP Permitir balanceamento ao menos com os seguintes métodos: hash do endereço IP de origem, Round Robin, Weighted, First alive e HTTP host Permitir persistência de sessão por cookie HTTP ou SSL session ID Permitir que seja mantido o IP de origem Suportar SSL offloading Deve ter a capacidade de identificar, através de health checks, quais os servidores que 77

53 estejam ativos, removendo automaticamente o tráfego dos servidores que não estejam. Permitir que o health check seja feito ao menos via icmp, TCP em porta configurável e HTTP em URL configurável Funcionalidade de Virtualização Deve suportar a criação de ao menos 10 instâncias virtuais no mesmo hardware Deve permitir a criação de administradores independentes para cada uma das instâncias virtuais Deve permitir a criação de um administrador global que tenha acesso à todas as configurações das instâncias virtuais criadas Funcionalidade de Controle de Endpoint Deve possuir software endpoint para instalação em máquinas de usuários e que sejam gerenciados de forma centralizada Deve possuir antivírus no endpoint com capacidade de analisar arquivos locais e copiados da rede Deve possuir filtro de conteúdo web no endpoint capaz de controlar o acesso a sites na web baseado nas mesmas categorias existentes no filtro de conteúdo da rede Deve possuir cliente de VPN IPSec no endpoint Deve possuir capacidade de identificar aplicações instaladas nas máquinas dos usuários O endpoint deve enviar os logs de bloqueio ocorridos à plataforma de gerência Deve permitir integração com o firewall de rede de forma que seja possível bloquear o acesso aos endpoints que não estejam atualizados Deve permitir integração com o firewall de rede de forma que seja possível bloquear o acesso aos usuários que não possuam endpoints instalados Deve permitir integração com o firewall de rede de forma que seja possível bloquear o acesso aos usuários que possuam determinadas aplicações instaladas tais como clientes P2P, proxies anônimos, malwares, entre outros Funcionalidade de Controladora Wireless e WiFi Ser capaz de gerenciar centralizadamente outros Pontos de Acesso do mesmo fabricante Suporte ao serviço de servidor DHCP por SSID para prover endereçamento IP automático para os clientes wireless Suporte a monitoração e supressão de Ponto de Acesso indevido Prover autenticação para a rede wireless através de bases externas como LDAP, RADIUS ou TACACS+ Deverá permitir a visualização dos clientes conectados Deverá prover suporte a Fast Roaming Ajustar automaticamente os canais de modo a otimizar a cobertura de rede e mudar as condições de RF Possuir Captive Portal por SSID Permitir configurar o bloqueio de tráfego entre SSIDs Deverá suportar Wi-Fi Protected Access (WPA) e WPA2 por SSID, utilizando-se de AES e/ou TKIP. Deve suportar os seguintes métodos de autenticação EAP: - EAP-TLS, LEAP, EAP-TTLS/MSCHAPv2, - PEAPv0/MSCHAPv2, PEAPv1/EAP-GTC, - EAP-SIM, EAP-AKA, EAP-FAST, EAP-TTLS Deverá suportar 802.1x através de RADIUS Deverá suportar filtro baseado em endereço MAC por SSID Permitir configurar parâmetros de rádio como: banda e canal Possuir método de descoberta de novos Pontos de Acesso baseados em Broadcast ou Multicast 78

54 Possuir mecanismo de identificação e controle de Rogue APs, suportando supressão automática e bloqueio por endereço MAC de APs e usuários ofensores Possuir lista contendo Pontos de Acesso Aceitos e Pontos de Acesso Indevidos (Rogue); Possuir WIDS com ao menos os seguintes perfis: - Unauthorized Device Detection - Rogue/Interfering AP Detection - Ad-hoc Network Detection and Containment - Wireless Bridge Detection - Misconfigured AP Detection - Weak WEP Detection - Multi Tenancy Protection - MAC OUI Checking Permitir o uso de voz e dados sobre um mesmo SSID; A controladora deverá oferecer Firewall integrado, baseado em identidade do usuário Possuir controle baseado em política de firewall para acesso entre as Wlans Deverá permitir a criação de políticas de traffic shaping Deverá permitir a criação de políticas de firewall baseadas em horário Deverá permitir NAT nas políticas de firewall Possibilitar definir número de clientes por SSID Permitir e/ou bloquear o tráfego entre SSIDs Possuir mecanismo de criação automática de usuários visitantes e senhas auto-geradas e/ou manual, que possam ser enviadas por ou SMS aos usuários, e com capacidade de definição de horário da expiração da senha A comunicação entre o Access Point e a controladora wireless deve poder ser efetuada de forma criptografada Deve possuir mecanismo de ajuste de potência do sinal de forma a reduzir interferência entre canais entre dois access points gerenciados Possuir mecanismo de balanceamento de tráfego/usuários entre Access Points Possuir mecanismo de balanceamento de tráfego/usuários entre frequências e/ou radios Toda a configuração do Ponto de Acesso deve ser executada através da Controladora Wireless Deve permitir a identificação de APs com firmware desatualizado e efetuar o upgrade via interface gráfica Possuir console de monitoramento dos usuários conectados, indicando em que Access Point, em que radio, em que canal, endereço IP do usuário, tipo de dispositivo e sistema operacional, uso de banda, potência do sinal e relação sinal/ruído A controladora deverá oferecer Firewall integrado, baseado em identidade do usuário, entre todas as redes cujo tráfego seja tunelado até a controladora Possuir controle baseado em política de firewall para acesso entre as Wlans cujo tráfego seja tunelado até a controladora Deverá permitir a criação de políticas de firewall baseadas em horário Deverá permitir NAT nas políticas de firewall Deverá permitir a criação de políticas de traffic shaping entre todas as redes cujo tráfego seja tunelado até a controladora Deve permitir aplicar políticas de filtro de conteúdo Web, que seja baseado em categorias de sites automaticamente atualizadas, para todas as redes cujo tráfego seja tunelado até a controladora Deve permitir aplicar políticas de antivírus, com detecção e bloqueio de malwares e redes botnet, entre todas as redes cujo tráfego seja tunelado até a controladora Deve permitir aplicar políticas de IPS, bloqueando e/ou monitorando tentativas de ataques, com base de assinatura de ataques atualizada automaticamente, entre todas as 79

55 redes cujo tráfego seja tunelado até a controladora Deve permitir aplicar políticas controle antispam para todas as redes cujo tráfego seja tunelado até a controladora Deve permitir controlar, identificar e bloquear tráfego de aplicações do tipo P2P, IM, Chat, Redes Sociais, Skype, Proxies Anônimos, Streaming de áudio e vídeo, Jogos entre outros, e que seja baseado no padrão de comunicação de tais aplicações, entre todas as redes cujo tráfego seja tunelado à controladora. Possuir certificação WiFi Alliance Certificações necessárias Certificação ICSA para Firewall Certificação ICSA para Antivírus Certificação ICSA para VPN SSL Certificação ICSA para VPN IPSec Certificação ICSA para IPS O equipamento de firewall e/ou IPS deve ter sido aprovado nos testes da NSS Labs e deve estar na lista de recomendados. 2.3 REQUISITOS DE PERFORMANCE DE RELATÓRIOS CENTRALIZADOS Equipamento de Relatórios Centralizados Suportar receber logs de ao menos 150 dispositivos Deve possuir espaço mínimo de 4 TB de armazenamento Possuir pelo menos 4 interfaces 10/100/1000; Capacidade de receber até 5GB de logs por day Funcionalidades Interface gráfica de usuário (GUI) via HTTPS para fazer administração das políticas de segurança e que forme parte da arquitetura nativa da solução, por segurança, ou ainda, a solução pode ter interface proprietária, desde que a mesma seja fornecida com todos os componentes de hardware e software necessários e em alta-disponibilidade; Deve ser fornecido no modo Appliance com função dedicada para gerencia de relatórios centralizados dos Appliances de Firewall TIPO 1 e TIPO 2. Interface baseada em linha de comando para administração da solução. Comunicação cifrada e autenticada com usuário e senha, tanto como para a interface gráfica de usuário como a console de administração de linha de comandos (SSH) Possuir comunicação entre os componentes de forma criptografada Possuir perfis administrativos com capacidade de criar ao menos 2 (dois) perfis para administração e monitoração do Firewall. Suportar SNMP versão 2 Possuir notificação via Permitir a visualização dos dados de todos os equipamentos envolvidos Suportar log remoto no formato syslog Deve ser capaz de receber logs de vários dispositivos simultaneamente Possuir a visualização de log em tempo real de tráfegos de rede Permitir a visualização de logs de histórico dos acessos de tráfegos de rede Permitir o envio dos logs a outro centralizador de log externo à solução Relatórios Possuir relatórios pré-definidos na solução Possuir relatórios customizados na solução Permitir geração de relatórios agendados ou sob-demanda Permitir integração com base de dados SQL externa Permitir o envio dos relatórios através de para usuários pré-definidos 80

56 Possuir relatórios de acessos autorizados demonstrando a quantidade de acessos autorizados, bem como a quantidade de bytes trafegados, sendo possível sua visualização detalhada por, IP de origem, URL acessada Possuir relatório de utilização da internet por protocolo Possuir relatório dos 10 (dez) sites web mais acessados Possuir relatório das 10 (dez) categorias de sites web mais acessados Possuir relatório dos 10 (dez) usuários mais ativos Permitir customização dos relatórios, incluindo logotipo do Órgão Possuir relatórios pré-configurados para os seguintes tipos: o Máquinas mais acessadas o Serviços mais utilizados o Usuários que mais utilizaram serviços, o URLs mais visualizadas, o Categorias Web mais acessadas o Maiores emissores e receptores de ; o Vírus mais detectados 2.4 SERVIÇOS DE IMPLANTAÇÃO, TREINAMENTO E SUPORTE - PLANEJAMENTO DE IMPLANTAÇÃO DA INFRA-ESTRUTURA DE SEGURANÇA DE PERÍMETRO INTERNET Definição de políticas e regras de proteção do Perímetro Internet, visando estar em Console de gerenciamento; Regras de Firewall, visando portar as regras e configurações do firewall atual do cliente para o novo ambiente a ser implantado; Regras e ações de IDS/IPS; Antivírus de Gateway e Filtro de Conteúdo; Ferramenta de logs e archive; Configuração do monitor gráfico de link WAN e LAN; Obs.: Nesta fase, deverão ser identificados os possíveis riscos e impactos da implantação da solução IMPLANTAÇÃO DA SOLUÇÃO DE SEGURANÇA DE FIREWALL UTM A implantação deverá ser executada Onsite pelo Fornecedor, com configuração das funcionalidades contratadas e migração do firewall atual. Execução dos seguintes serviços referentes à implantação da solução: 1. Instalação física dos equipamentos firewall de rede; 2. Testes de compatibilidade com o ambiente atual do cliente; 3. Firewall: 4. NAT, endereçamento IP e roteamento. 5. DNS, Alarmes e Relatórios. 6. Regras para SMTP, WEB, FTP, Telnet, conexões de banco de dados e outros serviços solicitados pelo cliente durante a fase de planejamento. 7. Autenticação de usuários integrada ao domínio da rede Windows, via ferramenta nativa de integração da solução. 8. IDS/IPS: 9. Configuração do IDS/IPS para monitoramento dos seguimentos de rede definidos na fase de planejamento. 10. Análise de Falsos/Positivos. 11. Adequações pós-implantação. 12. Antivírus de Gateway e Filtro de Conteúdo: 13. Configuração do antivírus de gateway HTTP, FTP, SMTP e POP3; 14. Configuração do Filtro de conteúdo HTTP / FTP; 81

57 15. Alta Disponibilidade e Balanceamento de Carga 16. Configuração de IPs virtuais, políticas de balanceamento de carga, roteamento simétrico/assimétrico e sincronismo das configurações dos firewalls de rede. 17. Migrar, adequar e definir, juntamente com a equipe do CLIENTE, as políticas para o controle de tráfego de entrada e saída de dados; 18. Instalar e distribuir as políticas de segurança garantindo a proteção em todos os níveis da pilha de rede; 19. Configurar NAT, DHCP, endereçamento IP, roteamento, DNS, alarmes, relatórios, regras para SMTP, WEB, FTP, Telnet, conexões de banco de dados e outros serviços solicitados pela equipe do CLIENTE durante a fase de projeto; 20. Proporcionar uma alta segurança inicial e constante dos sistemas e da rede;; 21. Implantar um segmento DMZ para provimento de serviços via Web, configurando o acesso ao servidor e devidas regras de acesso à rede Internet e rede Interna para banco de dados; Proteger a rede e os sistemas do CLIENTE contra ataques de negação de serviço (DoS, Denial of Service) e ameaças diversificadas e integradas; 23. Configurar a VPN com a criação de túneis seguros, através da Internet, permitindo acesso via cliente de VPN ou conexão padrão dos sistemas operacionais Windows, configurar SSL-VPN; 24. Integrar o acesso VPN ao Active Directory 25. Configurar a autenticação de usuários integrada ao domínio Active Diretory; 26. Criar assinaturas customizadas para ataques específicos; 27. Estabelecer proteção contra intrusão com respostas customizadas para incidentes através de regras customizadas; 28. Configurar a solução de redundância. 29. Efetuar testes de segurança através de Análise de Vulnerabilidades completa do perímetro Internet; 30. Documentar as configurações realizadas; 31. Repassar tecnologia nas instalações da equipe do CLIENTE para atualização das informações quanto às tarefas de administração e operação do serviço de firewall implantado. 32. Testar completamente e certificar a solução. 33. Instalação e configuração da solução e centralização de logs, archive e relatórios; 34. Instalação e configuração da solução de prevenção e de detecção de intrusões (IDS/IPS). 35. Instalação e configuração da solução de ANTISPAM e ANTIVÍRUS para GATEWAY SMTP: 36. Definir, juntamente com a equipe do CLIENTE, as políticas para gerenciamento e filtragem de SPAM; 37. Definir, juntamente com a equipe do CLIENTE, as de políticas de combate a vírus; 38. Definir, juntamente com a equipe do CLIENTE, uma política de controle de conteúdo de , (Blocking Policy); 39. Instalar as políticas de gerenciamento de conteúdo visando melhorar o fluxo, disponibilidade e segurança da rede, assim como a maximização da produtividade do usuário eliminando qualquer SPAM; 40. Testar completamente e certificar a solução. Execução dos seguintes serviços referentes à homologação da solução: 1. Certificação final e otimização da solução; 2. Documentação AS-BUILT de todo o projeto; 3. Repasse de tecnologia para a operação e gerência da solução por parte da equipe do CLIENTE; 82

58 2.4.2 SERVIÇOS DE SUPORTE DA SOLUÇÃO Disponibilização de suporte ilimitado Remoto regime 24x7 durante o período contratado Requisitos dos Serviços de Suporte Os seguintes requisitos mínimos devem ser atendidos: Forma de atendimento: Os trabalhos serão desenvolvidos por Consultores da contratada, sob demanda dos técnicos indicados pela CONTRATANTE, preferencialmente através de instruções telefônicas para operação dos componentes tecnológicos ou da intervenção remota através da Internet, utilizando para isto de ferramentas de VPN (Virtual Private Network) visando preservar a confidencialidade das informações. Atendimento no local: Caso o fornecedor esteja fora da sede da CONTRATANTE o atendimento local é dispensado, o atendimento local será realizado em interação com a equipe da CONTRATANTE. Abertura de chamados: Os chamados de suporte poderão ser feitos via telefone ou sistema de Help Desk via Internet, com interface WEB. O sistema WEB de HelpDesk, deverá permitir o controle, por parte da CONTRATANTE, de todos os chamados e atendimentos realizados, em aberto ou fechados, além de permitir a emissão de relatórios estatísticos. Horário de atendimento: Os serviços de suporte serão executados em regime de 5x9 (dias uteis comerciais). Tempo de resposta aos chamados: Os chamados de suporte realizados, deverão ser respondidos em um prazo compatível com o nível de urgência especificado pela CONTRATANTE no momento da abertura do chamado, conforme descrito a seguir: Tempo de solução: o tempo de solução de problemas dependerá de sua extensão, gravidade, disponibilidade de recursos de hardware e software. A empresa contratada deverá fornecer uma estimativa de tempo para solução do problema dentro da primeira hora de atendimento. Nível do Problema Crítico Severo Alerta Normal Descrição Serviço completamente indisponível. Serviço operando parcialmente. Serviço com degradação de performance ou funcionalidade. Aplicação de patches e hot fixes. -Resolução de dúvidas. Horário Comercial Horários Alternativos Remoto In-Loco Remoto In-Loco 1h 2h 2h 4h 2h 4h 4h 8h 4h 4h 8h 16h Agendamento com 48 horas 83

59 Em caso de defeito de equipamentos, (contanto que não acarrete o risco de paralisação dos serviços), o equipamento danificado deverá ser substituído em no máximo 30 (trinta.) dias. Nos casos em que o defeito acarretar a paralisação dos serviços, o equipamento deverá ser substituído em no máximo 48 (quarenta e oito) horas. Os equipamentos quando danificados, deverão ser substituídos por outros com iguais características ou superior com capacidade de atender ao ambiente do CLIENTE. Quando acontecer de problema físico da CLIENTE, o deslocamento de equipamentos vai se dá através de transporte de mercado (aéreo ou terrestre) o que for mais rápido, sendo o custo por conta do CONTRATADO. Sistema informatizado para controle e atendimento do suporte: Deverá ser utilizado um sistema informatizado, disponibilizado via Internet, para controle dos serviços de suporte, que funcionará como gerenciador de demandas, devendo possuir registro, acompanhamento e formação de estatísticas sobre a evolução das operações dos atendimentos de suporte. A EMPRESA CONTRATADA deverá disponibilizar este sistema para o cliente pelo tempo de duração do contrato. A EMPRESA CONTRATADA devera instalar os equipamentos na CLIENTE, sem nenhum custo adicional, todas as despesas vão correr por conta da CONTRATADA. Durante o período de suporte os casos que tiver deslocamento para a CLIENTE, o custo vai correr exclusivamente por conta da CONTRATADA. 2.5 EXIGENCIAS PARA PARTICIPAÇÃO DO PREGÃO DA QUALIFICAÇÃO TÉCNICA A. Comprovação de que a licitante executa ou executou, sem restrição, serviço de natureza semelhante ao indicado no edital e seus respectivos anexos, para empresa publica ou privada. A comprovação será feita por meio de apresentação de atestado(s), devidamente assinado(s), carimbado(s) e em papel timbrado da empresa ou órgão tomador do serviço, com contato, telefone e compatível com o objeto desta licitação. B. Apresentar declaração do fabricante, certificando a capacitação técnica do licitante para participação. O fabricante devera declarar que o licitante é revenda técnica autorizada do fabricante a fornecer suporte e comercializar suas soluções. C. Apresentação de Certificação Técnica FCNSA emitida pelo fabricante ou instituto autorizado pelo respectivo fabricante dos softwares e hardware integrantes da solução ofertada neste edital de no mínimo 03 (três) profissionais certificados a pelo menos 12 (doze) meses e que pertencem ao quadro permanente do licitante a pelo menos 12 (doze) meses, indicando sua habilitação técnica na tecnologia ofertada. Estes profissionais irão realizar a consultoria, projeto e implementação da solução de toda a infraestrutura do presente edital; D. Apresentação de Certificação Técnica FCNSP, emitida pelo fabricante ou instituto autorizado pelo respectivo fabricante dos softwares e hardware integrantes da solução ofertada neste edital de no mínimo 02 (dois) profissionais certificados a pelo menos 12 (doze) meses e que pertencem ao quadro permanente do licitante a pelo menos 12 (doze) meses, indicando sua habilitação técnica na tecnologia ofertada. Estes profissionais irão realizar a consultoria, projeto e implementação da solução de toda a infraestrutura do presente edital; E. Certificação técnica Microsoft Certified System Engineer MCSE em Microsoft 84

60 Windows Server 2003/2008, emitida pelo fabricante ou instituto autorizado pela Microsoft, de no mínimo 01 (um) profissional pertencente ao quadro permanente do licitante, indicando sua habilitação técnica na tecnologia ofertada. Este profissional deverá executar in loco os serviços especificados de integração da solução com a rede Microsoft do CLIENTE; F. Apresentação de certificação técnica Microsoft Certified System Engineer MCSE + Security em Microsoft Windows Server 2003/2008, emitida pelo fabricante ou instituto autorizado pela Microsoft, de no mínimo 01 (um) profissional pertencente ao quadro permanente do licitante, indicando sua habilitação técnica na tecnologia ofertada. Este profissional deverá executar in loco os serviços especificados de integração da solução com a rede Microsoft do CLIENTE; G. Apresentação de certificação técnica Comptia Security+ de no mínimo 01 (um) profissional pertencente ao quadro permanente do licitante, indicando sua habilitação técnica na tecnologia ofertada. Este profissional deverá participar do projeto para implementação e integração das melhores praticas de segurança; H. Catálogos e documentos com todas as características técnicas dos produtos propostos, de forma a comprovar atendimento às características técnicas mínimas desta especificação; I. Documentação, manuais, folhetos, sites impressos da WEB, com suas respectivas URL s para conferência, ou qualquer outro tipo de documento técnico, que efetivamente comprove a existência e aderência ao quesito ou padrão exigido ao longo dessas especificações; J. Não será aceito equipamentos que não atenda a todos os itens do edital nem mesmo promessa que venha a fornecer determinado recurso em um release, upgrade ou versão nova. Obs.: As letras H e I podem ser fornecidos em um CD em formato PDF. DOC ou HTML para pesquisa mais fácil. 85

61 Especificação GRUPO 06 LOTE 06 (SOLUÇÃO DE SISTEMA OPERACIONAL PARA SERVIDORES, DESKTOP; LICENÇA DE ACESSO PARA CLIENTES EM SERVIDORES; PACOTE OFFICE). 1. Sistema Operacional para Servidores 1.1. Sistema Operacional Windows Server Standard 2012 R2 Nome técnico: WinSvrStd 2012R2 SNGL MVL 2Proc Part-Number: P Licença de Acesso para Cliente em Servidores 2.1 Windows Server CAL 2012 Nome técnico: WinSvrCAL 2012 SNGL MVL UsrCAL Part-Number: R Sistema Operacional para Desktop 3.1 Sistema Operacional Windows 8.1 Profissional Nome técnico: WinPro 8.1 SNGL Upgrd MVL Part-Number: FQC Solução de Pacote Office 4.1 Office Standard ESPECIFICAÇÕES TÉCNICAS Ferramenta de criação e edição de textos; Ferramenta de criação e edição de planilhas eletrônica; Ferramenta de criação e edição de slides para apresentações; Ferramenta de gerenciamento de ; Ferramenta de anotações de recados; Ferramenta de publicação de imagens e textos; CÓDIGOS DE REFERÊNCIA Nome técnico: OfficeStd 2013 SNGL MVL Part-Number:

62 87