CAPITOLATO TECNICO Lotto 1 - Aggiornamento della rete per ... · HLD High Level Design HTTP...

MINISTERO DELL’INTERNO

CAPITOLATO TECNICO

Lotto 1 - Aggiornamento della rete per il per il Sistema di Indagine (SDI) e per il NUE 112

Fornitura in opera del cablaggio strutturato, degli apparati di rete, Next Generation Firewall, bilanciatori di carico e servizi di

installazione, migrazione e configurazione, manutenzione, supporto e formazione

UFFICIO TECNICO E ANALISI DI MERCATO – Settore II

Aggiornamento della rete per il per il Sistema di Indagine (SDI) e per il NUE 112 - Fornitura in opera del cablaggio strutturato, degli apparati di rete, Next Generation Firewall, bilanciatori di carico e servizi di installazione, configurazione, migrazione,manutenzione, supporto e formazione

2/79

Sommario 1 PREMESSA .............................................................................................................................................. 5

1.1 Sigle e acronimi .................................................................................................................................... 5

1.2 Definizioni ............................................................................................................................................. 6

2 OGGETTO DELLA FORNITURA .......................................................................................................... 7

2.1 Sedi ....................................................................................................................................................... 8

3 SOPRALLUOGHI .................................................................................................................................... 8

4 INFRASTRUTTURA RETE ..................................................................................................................... 9

4.1 Architettura di rete per il Sistema di Indagine (SDI) ............................................................................. 9

4.1.1 Architettura esistente per il Sistema di Indagine (SDI) ................................................................ 9

4.1.2 Architettura da realizzare per il Sistema di Indagine (SDI) .......................................................... 9

4.2 Architettura di rete per il Sistema NUE 112 ......................................................................................... 9

4.2.1 Architettura di rete esistente per il Sistema NUE 112 ................................................................. 9

4.2.2 Architettura di rete da realizzare per il Sistema NUE 112 ........................................................... 9

5 CABLAGGIO STRUTTURATO ............................................................................................................ 10

5.1 Cablaggio in fibra ottica ...................................................................................................................... 12

5.2 Fornitura in opera armadi rack ........................................................................................................... 14

5.3 Lavori di posa in opera della fornitura ............................................................................................... 15

5.4 Lavori di realizzazione di opere accessorie alla fornitura ................................................................... 16

6 FORNITURA IN OPERA DI APPARATI DI RETE ............................................................................. 16

6.1 Fornitura in opera di apparati di rete per il sistema SDI-DNA............................................................ 17

6.2 Fornitura in opera di apparati di rete per il sistema 112 NUE ........................................................... 18

7 FORNITURA IN OPERA DI APPARATI DI NEXT GENERATION FIREWALL ............................. 20

7.1 Funzionalità di base ............................................................................................................................ 23

7.1.1 Alta Affidabilità (HA) .................................................................................................................. 23

7.1.2 Virtualizzazione .......................................................................................................................... 24

7.1.3 Stateful inspection ..................................................................................................................... 24

7.1.4 Network Address Traslation ...................................................................................................... 24

7.1.5 Routing ....................................................................................................................................... 24

7.1.6 Virtual Private Network ............................................................................................................. 24

7.1.7 Quality of Service ....................................................................................................................... 25

7.1.8 SSL Inspection ............................................................................................................................ 25

7.1.9 Application Control .................................................................................................................... 25

7.1.10 User identification ................................................................................................................. 25



3/79

7.2 Funzionalità evolute ........................................................................................................................... 25

7.2.1 Antivirus ..................................................................................................................................... 25

7.2.2 Intrusion Prevention System ..................................................................................................... 25

7.2.3 AntiMalware .............................................................................................................................. 26

7.2.4 URL Filtering ............................................................................................................................... 26

7.3 Funzionalità di gestione ...................................................................................................................... 27

7.3.1 Autenticazione ........................................................................................................................... 27

7.3.2 Monitoraggio e Logging ............................................................................................................. 27

7.3.3 Management ............................................................................................................................. 27

7.3.4 Ulteriori Requisiti premianti ...................................................................................................... 27

7.4 Fornitura in opera di apparati di Next Generation Firewall per il Sistema di Indagine ..................... 28

7.4.1 Performance ed equipaggiamento dei NGFW di distribuzione per il Sistema di Indagine ....... 28

7.4.2 Performance ed equipaggiamento dei NGFW di accesso per il Sistema di Indagine ................ 30

7.5 Fornitura in opera di apparati di Next Generation Firewall per il NUE 112 ...................................... 32

7.5.1 Performance ed equipaggiamento dei NGFW di distribuzione per il NUE112 .......................... 32

7.5.2 Performance ed equipaggiamento dei NGFW di accesso per il NUE112 .................................. 34

7.6 Fornitura in opera di NGFW per la gestione del traffico da/verso le reti Internet e SPC ................... 36

7.6.1 Performance ed equipaggiamento del NGFW a protezione del traffico da/verso la rete Internet

36

7.6.2 Performance ed equipaggiamento del NGFW a protezione del traffico da/verso la rete SPC . 37

7.7 Sistema di Gestione ............................................................................................................................ 38

8 FORNITURA IN OPERA DI BILANCIATORI DI CARICO ............................................................... 40

8.1 Caratteristiche dei due Bilanciatori di carico per il sistema SDI-DNA ................................................ 41

8.2 Caratteristiche dei due Bilanciatori di carico per il NUE112 .............................................................. 43

8.3 Sistema di gestione ............................................................................................................................. 44

9 CERTIFICAZIONI E CONFORMITÀ ................................................................................................... 46

10 SERVIZI ............................................................................................................................................. 47

10.1 Progettazione ................................................................................................................................. 47

10.1.1 HLD ........................................................................................................................................ 47

10.1.2 LLD ......................................................................................................................................... 48

10.2 Consegna ........................................................................................................................................ 48

10.3 Disinstallazione degli apparati esistenti e Installazione, migrazione e configurazione dei nuovi

apparati e sistemi previsti in fornitura ........................................................................................................ 48

10.3.1 Figure professionali impiegate .............................................................................................. 49



4/79

10.4 Manutenzione ................................................................................................................................ 50

10.4.1 Gestione e manutenzione dei sistemi ................................................................................... 50

10.4.2 Manutenzione hardware e software ..................................................................................... 51

10.4.3 Modalità di esecuzione.......................................................................................................... 51

10.5 Supporto specialistico .................................................................................................................... 52

10.6 Reportistica sui servizi di assistenza e manutenzione ................................................................... 53

10.7 Corsi di Formazione ....................................................................................................................... 53

11 TEMPISTICHE E LIVELLI DI SERVIZIO ...................................................................................... 55

12 VERIFICA DI CONFORMITÀ ......................................................................................................... 59

13 CRITERIO DI AGGIUDICAZIONE ................................................................................................. 59

13.1 Valutazione dell’offerta tecnica ..................................................................................................... 60

13.2 Valutazione dell’offerta economica ............................................................................................... 76

14 MODALITÀ DI PRESENTAZIONE DELL’OFFERTA .................................................................. 77

14.1 Offerta Tecnica ............................................................................................................................... 77

14.2 Offerta Economica ......................................................................................................................... 78

Indice delle Tabelle Tabella 1 - Sigle e acronimi ................................................................................................................................................ 5 Tabella 2 – Indicatore di qualità relativo al Personale inadeguato ................................................................................... 56 Tabella 3 – indicatore di qualità relativo alla Formazione ................................................................................................ 57 Tabella 4 - Tempistiche e livelli di servizio ...................................................................................................................... 58 Tabella 5 – Parametri e Calcolo punteggio tecnico .......................................................................................................... 76 Tabella 6 - Offerta economica .......................................................................................................................................... 79



5/79

1 PREMESSA Il presente lotto definisce gli aspetti tecnici della fornitura di sistemi hardware e software e dei relativi servizi necessari per l’aggiornamento dell’infrastruttura di sicurezza dei CED del Servizio per il Sistema Informativo Interforze del Dipartimento della Pubblica Sicurezza. La fornitura prevede l’acquisizione di apparati di rete, di Next Generation Firewall, di bilanciatori di carico, di uno o più sistemi di gestione centralizzati per i Next Generation Firewall e per i bilanciatori di carico e dei relativi servizi di installazione, migrazione, configurazione e manutenzione. Inoltre dovrà essere erogato un periodo di formazione del personale dell’Amministrazione per poter mettere in condizioni gli amministratori del sistema di essere autonomi nella gestione quotidiana dell’infrastruttura. Nel seguente capitolato i capoversi indicati da un numero con il prefisso "O" ed evidenziati in grassetto identificano i requisiti obbligatori; mentre i capoversi indicati da un numero con il prefisso "R" ed evidenziati in grassetto identificano i requisiti premianti. Ad ogni modo, l’impiego dei termini “deve” o “dovrà” indica requisiti obbligatori ai quali all’Offerente deve rispondere in maniera puntuale ed esaustiva.

1.1 Sigle e acronimi

Nell'ambito del presente Capitolato Tecnico sono stati usati i seguenti acronimi:

Tabella 1 - Sigle e acronimi

ACRONIMO DESCRIZIONE

AS AntiSpyware

AV AntiVirus

AM AntiMalware

DNS Domain Name System

FTP File Transfer Protocol

FW Firewall

HLD High Level Design

HTTP HyperText Transfer Protocol

IPS Intrusion Prevention System

LdS Livello/i di Servizio

LLD Low Level Design

NAT Network Address Traslation

QoS Quality of Service

RDP Remote Desktop Protocol

RTI Raggruppamento Temporaneo di Impresa

SAL Stato Avanzamento Lavori

SMB Server Message Block

SMTP Simple Mail Transfer Protocol

SSH Secure Shell

SSL Secure Sockets Layer

TCP Transmission Control Protocol



6/79

UDP User Datagram Protocol

URL Uniform Resource Locator

VPN Virtual Private Network

1.2 Definizioni

Nel corpo del presente documento i termini e le espressioni di seguito indicati devono essere interpretati secondo le seguenti definizioni:

− Fornitore: l’offerente o l’Impresa aggiudicataria della gara, eventualmente mandataria di un RTI;

− Manutenzione: l’insieme delle operazioni volte a mantenere in efficienza e/o ripristinare la piena funzionalità dei sistemi richiesti nel Capitolato Tecnico;

− Guasto bloccante: Si intende per guasto bloccante un malfunzionamento per cui è impedito l'uso di tutto il sistema o di una o più funzioni essenziali.

− Guasto non bloccante: Si intende per guasto non bloccante un malfunzionamento per cui è impedito l'uso di funzionalità non essenziali o critiche del sistema in alcune condizioni per cui non si ha un effetto penalizzante sull'operatività degli utenti.

− Incidente: evento che non è parte delle operazioni standard di un servizio, e che causa, o potrebbe causare, un interruzione o una riduzione della qualità del servizio stesso

− Malfunzionamento: è un impedimento all’esecuzione dell’applicazione /funzione o gli effetti che un errore ha causato o il riscontro di differenze fra l’effettivo funzionamento dell’hardware/software applicativo e quello atteso, come previsto dalla relativa documentazione.



7/79

2 OGGETTO DELLA FORNITURA L’oggetto della fornitura è rappresentato dal complesso degli apparati, dei servizi e delle attività come descritti nel presente capitolato:

- Attività di progettazione per garantire il funzionamento corretto dell’intero sistema con l’individuazione e la fornitura in opera di tutte le necessarie interfacce ottiche della tipologia adeguata e di tutto quanto necessario per la realizzazione delle architetture di rete indicate del presente capitolato;

- Realizzazione di cablaggio strutturato per garantire collegamenti in fibra ottica tra il Sito Primario, il Sito Secondario e la Palazzina di Core di Campus, dove sono installati gli apparati, ed eventuali opere accessorie alla fornitura per consentire la corretta installazione di tutti gli apparati e sistemi previsti in fornitura, come descritto nel capitolo 5;

- Fornitura in opera di apparati di rete per il sistema SDI-DNA e per il sistema NUE112, come descritto nel capitolo 6;

- Fornitura in opera di nr. quattro coppie di apparati di Next Generation Firewall e di nr. 2 apparati di Next Generation Firewall, di cui uno per la gestione del traffico da/verso la rete Internet e uno per la gestione del traffico da/verso la rete SPC, come descritto nel capitolo 7;

- Fornitura di due coppie di bilanciatori di carico, come descritto nel capitolo 8; - Fornitura di un sistema di gestione centralizzato per ogni insieme di Next Generation Firewall

richiesti in fornitura di un medesimo Produttore, come descritto nel paragrafo 7.7; - Fornitura di un sistema di gestione centralizzato per tutti i Bilanciatori di carico previsti in

fornitura, come descritto nel paragrafo 8.3; - Realizzazione di tutti i collegamenti tra gli apparati e delle architetture di rete indicate nei

paragrafi 4.1.2 e 4.2.2 rispettivamente per il Sistema SDI-DNA e per il NUE112; - Attività di disinstallazione degli apparati esistenti, attività di installazione di tutti gli apparati

e sistemi previsti in fornitura; - Attività di migrazione e configurazione; - Servizio di manutenzione su tutti gli apparati e sistemi previsti in fornitura, compresa la

manutenzione sul cablaggio strutturato, per la durata di almeno 36 mesi, come descritto nel paragrafo 10.4;

- Supporto specialistico, come descritto nel paragrafo 10.5; - Servizi di reportistica sui servizi di assistenza e manutenzione; - Formazione come descritto nel paragrafo 10.7.

La fornitura dovrà conformarsi ai requisiti di base di seguito indicati:

- tutti i componenti dovranno soddisfare i requisiti indicati e presentare caratteristiche tecniche non inferiori a quanto riportato nel presente capitolato tecnico;

- i componenti, laddove di pertinenza, dovranno essere forniti secondo le quantità, indicate nel presente capitolato tecnico;

- Alla data di presentazione dell’offerta, nessuna delle componenti hardware e software della soluzione proposta in fornitura può essere stata dichiarata in End of Life e/o in End of Support dal produttore;

- Il fornitore deve garantire che tutti gli apparati, materiali e sistemi software proposti in fornitura abbiano il pieno supporto da parte del produttore di tutte le parti hardware e software e dei sistemi operativi per almeno 5 anni dalla data di esito positivo delle verifiche di conformità.

- l’infrastruttura di sicurezza nel suo complesso ed i servizi ad essa correlati dovranno rispettare le normative vigenti in materia di sicurezza dell’informazione, di privacy, emissioni elettromagnetiche e sicurezza sul lavoro specificati nel capitolo 9.



8/79

Il fornitore dovrà individuare un Responsabile della Fornitura, che costituirà il singolo punto di contatto nei confronti dell’Amministrazione. Il Responsabile della Fornitura dovrà coordinare tutte le attività e produrre resoconti periodici, che saranno presentati durante i SAL di progetto.

- per ciascun prodotto il fornitore fornirà una copia della manualistica tecnica completa, edita dal produttore; la documentazione dovrà essere in lingua italiana, oppure, se non prevista, in lingua inglese;

- il Fornitore e i produttori degli apparati e e dei sistemi in fornitura, attraverso il progetto esecutivo composto dal progetto di alto (HLD) e basso livello (LLD), dovranno garantire l’interoperabilità e la compatibilità di tutti i sistemi che costituiscono la soluzione proposta e l’integrazione con l’ambiente esistente.

2.1 Sedi

Le attività saranno svolte presso i CED del Sistema Informativo Interforze della Polizia di Stato, siti in via di Torre di Mezzavia 9, Roma secondo le modalità indicate nel presente documento. I CED di riferimento sono due:

• CED del Sistema di Indagine (SDI), distribuito sul sito Primario (Palazzina B) e sul Sito Secondario (Palazzina A)

• CED del Sistema NUE112, distribuito sul sito Primario (Palazzina B) e sul Sito Secondario (Palazzina A).

3 SOPRALLUOGHI Al fine di prendere visione dell’architettura di rete esistente, dello stato dei luoghi, della possibilità di utilizzare canaline esistenti e della lunghezza dei collegamenti in fibra ottica ai fini della realizzazione del cablaggio strutturato, l’Offerente dovrà effettuare dei sopralluoghi obbligatori presso i siti interessati dall’appalto in modo da presentare un’offerta tecnica coerente rispetto alle effettive esigenze dell’Amministrazione. Le date e le modalità di tali sopralluoghi saranno indicati nel disciplinare di gara. Al termine del sopralluogo, il funzionario incaricato dall’Amministrazione, rilascerà una copia della certificazione attestante l’avvenuto sopralluogo. La mancata esecuzione dei sopralluoghi solleva l’Amministrazione da ogni responsabilità, qualora dovessero insorgere problematiche derivanti dalla mancata visione dei luoghi e dell’architettura di rete esistente.



9/79

4 INFRASTRUTTURA RETE Nel presente capitolo sono riportati le architetture di rete esistenti e da realizzare per il Sistema di Indagine (SDI) e per il sistema NUE 112. La soluzione proposta dal fornitore deve essere composta da:

• apparati di rete per il sistema SDI-DNA e per il sistema NUE112, • quattro coppie di apparati Next Generation Firewall, di cui due coppie per il Sistema di

Indagine e due coppie per il Sistema NUE112, • un Next Generation Firewall per la gestione del traffico da/verso la rete Internet, • un Next Generation Firewall per la gestione del traffico da/verso la rete SPC, • due coppie di bilanciatori di carico, di cui una coppia per il Sistema di Indagine e una coppia

per il Sistema NUE112, da installare e configurare presso i CED primario e secondario della Polizia di Stato indicati nei paragrafi 4.1 e 4.2.

4.1 Architettura di rete per il Sistema di Indagine (SDI)

4.1.1 Architettura esistente per il Sistema di Indagine (SDI)

Nell’Allegato 1 – Architettura di rete esistente per il Sistema di Indagine è riportata l’architettura esistente per il Sistema di Indagine per quanto riguarda il Sito Primario e il Sito Secondario.

4.1.2 Architettura da realizzare per il Sistema di Indagine (SDI)

Nell’Allegato 2 – Architettura di rete da realizzare per il Sistema di Indagine è riportata l’architettura di rete da realizzare per il Sistema di Indagine (SDI). Gli apparati dovranno essere distribuiti nelle due sale CED che costituiscono il Data Center, di cui un sito Primario (Palazzina B) e un Sito Secondario (Palazzina A).

4.2 Architettura di rete per il Sistema NUE 112

4.2.1 Architettura di rete esistente per il Sistema NUE 112

Nell’Allegato 3 – Architettura di rete esistente per il Sistema NUE112 è riportata l’architettura esistente del data center del NUE112 per quanto riguarda il Sito Primario, in Palazzina B, ed il sito Secondario, in palazzina A.

4.2.2 Architettura di rete da realizzare per il Sistema NUE 112

Nell’Allegato 4 – Architettura di rete da realizzare per il Sistema NUE112 è riportata l’architettura di rete da realizzare per il Sistema NUE 112. Gli apparati dovranno essere distribuiti nelle due sale CED che costituiscono il Data Center, di cui un sito Primario (Palazzina B) e un Sito Secondario (Palazzina A).



10/79

5 CABLAGGIO STRUTTURATO O1[obbligatorio]. Ai fini di realizzare le architetture di rete indicate nei paragrafi 4.1 e 4.2, il Fornitore deve provvedere alla realizzazione del cablaggio strutturato tra le Palazzine A (Sito Secondario di Business Continuity) e Palazzina B (Sito Primario) presso i CED SDI-DNA e NUE112 del Sistema Informativo Interforze della Polizia di Stato e alla realizzazione del collegamento in fibra ottica tra entrambe le palazzine e la Palazzina A di Core di Campus. È richiesta la certificazione di conformità del cablaggio strutturato. Il fornitore potrà utilizzare laddove possibile le canaline esistenti. Laddove questo non sarà possibile sarà cura del fornitore provvedere alla realizzazione di nuove canaline. Qualora sia necessario realizzare nuove canaline, i cavi ottici dovranno essere di opportune dimensioni in modo da contenere il numero minimo di coppie di fibre ottiche richieste. Devono essere a carico del Fornitore gli accessori di fissaggio e ogni altro onere ed accessorio per la realizzazione del lavoro secondo le normative e gli standard vigenti di riferimento. In particolare deve essere realizzato:

• un collegamento in fibra ottica tra la Palazzina B (Sito Primario SDI-DNA, piano -1) e la Palazzina A Core Campus (piano terra) per un totale di circa 230 metri, con almeno 30 coppie di fibra ottica, di cui:

o Nr. 20 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125), per consentire una banda di trasferimento di almeno 10Gbps;

o Nr. 10 coppie di fibra ottica Monomodale (9/125) per consentire una banda di trasferimento di almeno10Gbps;

• Un collegamento in fibra ottica tra la Palazzina A (sito secondario di Business Continuity per lo SDI –piano terra) e la Palazzina A Core Campus (piano terra) per un totale di circa 80 metri, con almeno 30 coppie di fibra ottica, di cui :

o Nr. 20 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) , per consentire una banda di trasferimento di almeno 10Gbps ;

o Nr. 10 coppie di fibra ottica Monomodale (9/125) per consentire una banda di trasferimento di almeno 10Gbps;

• Un collegamento in fibra ottica tra la Palazzina B (NUE 112, piano -1) e la Palazzina A Core Campus (piano terra) per un totale di circa 230 metri, con almeno 15 coppie di fibra ottica, di cui:

o Nr. 10 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125), per consentire una banda di trasferimento di almeno 10Gbps

o Nr. 5 coppie di fibra ottica Monomodale (9/125) per consentire una banda di trasferimento di almeno 10Gbs;

• Un collegamento in fibra ottica tra la Palazzina A (sito secondario - Business Continuity Sistema NUE 112, piano -1) e la Palazzina A Core di Campus (piano terra) per un totale di circa 200 metri con almeno 15 coppie di fibra ottica, di cui:



• Un collegamento in fibra ottica tra la Palazzina B (Sito Primario SDI-DNA – piano -1) e la Palazzina A (Sito secondario - SDI Business Continuity, piano terra) per un totale di circa 180 metri, con almeno 100 coppie di fibra ottica, di cui:



11/79



• Un collegamento in fibra ottica tra la Palazzina B (Sito Primario NUE112, piano -1) e la Palazzina A (Sito Secondario - NUE112 Business Continuity, piano -1) per un totale di circa 200 metri con almeno 50 coppie di fibra ottica, di cui:

o Nr. 40 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per consentire una banda di trasferimento di almeno 40Gbps;

o Nr. 10 coppie di fibra ottica Monomodale (9/125) per consentire una banda di trasferimento di almeno 10Gbps ;

• Un collegamento in fibra ottica tra la Palazzina A (Sito secondario - SDI Business Continuity, piano terra) e la Palazzina A (sito secondario - NUE112 Business Continuity, piano -1) per un totale di circa 200 metri, con almeno 50 coppie di fibra ottica, di cui:

o Nr. 40 coppie di fibra ottica multimodale almeno di tipo OM4 (50/125) o superiore oppure di fibra ottica monomodale (9/125) per consentire una banda di trasferimento di almeno 40Gbps;


• In fase di sopralluogo, il fornitore deve verificare le lunghezze effettive dei collegamenti sopra indicati, in modo da fornire la fibra ottica più appropriata per garantire le bande di trasferimento richieste.

• E’ richiesta la certificazione dei cavi per consentire l’utilizzo della bande di trasferimento sopra indicate.

• Si fa presente che il Fornitore deve progettare e dimensionare correttamente l’intero sistema e farsi carico di fornire in opera, in ciascun apparato in fornitura (sia negli apparati di rete di cui al paragrafo 6, sia negli apparati di next generation firewall di cui al paragrafo 7, sia nei bilanciatori di carico di cui al paragrafo 8), tutte le opportune e necessarie interfacce ottiche della tipologia adeguata (quale ad esempio “Long Range” piuttosto che “Short range” o viceversa), in funzione delle fibre ottiche utilizzate nel cablaggio strutturato (monomodali o multimodali), ai fini di garantire la realizzazione delle architetture di rete indicate nei paragrafi 4.1.2 e 4.2.2 e ai fini di garantire la compatibilità con le fibre ottiche utilizzate ed il corretto funzionamento del sistema.

O2[obbligatorio] Deve essere previsto in offerta: • Cablaggio in fibra ottica per assicurare tutti i collegamenti indicati nel requisito obbligatorio

O1, con le caratteristiche dei cavi, della fibra ottica e del cablaggio descritte nel paragrafo 5.1, se non migliorative;

• Fornitura in opera di armadi rack, laddove necessario, come descritto nel paragrafo 5.2; • Lavori di posa in opera della fornitura, come descritto nel paragrafo 5.3; • Lavori di realizzazione di opere accessorie, come descritto nel paragrafo 5.4, con

l’ adeguamento dell’impianto elettrico esistente, laddove necessario, per assicurare la corretta installazione di tutti gli apparati e materiali richiesti in fornitura;

• Fornitura in fase esecutiva del contratto di tutta la documentazione con lo schema e i dettagli del cablaggio strutturato realizzato e la certificazione di conformità dello stesso.



12/79

Tutte le forniture e le attività relative alla predisposizione ed alla realizzazione/integrazione dell’infrastruttura di rete dovranno essere svolte in modo conforme alla normativa tecnica di riferimento, ed in particolare alle norme e agli standard internazionali alla base dell'impiantistica di reti per la trasmissione dati, e cioè le ANSI/EIA/TIA 568, ISO/IEC 11801, EN 50173 e/o loro successive evoluzioni o integrazioni, a cui l'infrastruttura dovrà essere conforme. O3[obbligatorio] Il cablaggio strutturato dell’intera infrastruttura dovrà essere terminato e completato entro i termini definiti nel paragrafo 11.

5.1 Cablaggio in fibra ottica

In funzione della velocità di trasmissione richiesta e della lunghezza effettiva dei collegamenti e di quanto sopra indicato, il Fornitore dovrà fornire in opera Fibre Ottiche di tipo:

• Multimodale (50/125) MMF almeno di tipo OM4 o superiore • Monomodale (9/125) SMF di tipo OS2

Di seguito i requisiti minimi richiesti:

• il cablaggio in fibra deve essere conforme allo standard ISO/IEC 11801‐2 • tutti i cavi in fibra, trunk, bretelle, connettori, patch panel, frutti, cassetti e accessori dovranno

essere dello stesso produttore • tutti i cavi in fibra devono essere di tipo loose con rinforzi in fibre aramidiche • tutti i cavi in fibra offerti devono essere dotati di guaina LSZH (conforme allo standard IEC

60332‐1) • tutti i cavi in fibra devono prevedere una protezione antiroditore e devono mantenere

l'integrità dei circuiti in caso di incendio • Deve essere previsto l’uso di cavi con caratteristiche di:

o Resistenza al fuoco o Non propagazione della fiamma – richiesta per evitare che la combustione dei cavi si

propaghi soprattutto verticalmente nell’edificio; o Bassa emissione di fumi e zero gas alogenidrici – questa caratteristica è richiesta al

materiale con cui vengono realizzate le guaine esterne dei cavi, che devono essere marcate LSZH (Low Smoke Zero Halogen), in conformità alle norme per l’emissione di fumi CEI 20-37, IEC 61034 e IEC 60754

• Durante la manipolazione e la posa dovranno essere evitate brusche piegature, ammaccature, abrasioni, ecc.; non sono ammesse giunzioni all’interno della pezzatura.

• Una adeguata scorta di cavo deve essere lasciata per ogni tratta posata. La scorta di cavo dovrà essere opportunamente sistemata e dovrà essere opportunamente protetta.

• Nel cablaggio, i cavi di interconnessione devono essere alloggiati in canaline predisposte in maniera da escludere raccordi di curvatura o percorsi con curvatura tanto spinta da rendere disagevole il passaggio dei cavi sia in fase di installazione che per i successivi interventi di manutenzione e di ampliamento.

• I cavi dovranno essere connettorizzati ed attestati alle rispettive prese e pannelli di permutazione di pertinenza; dovranno essere posati nelle eventuali canalizzazioni di distribuzione dedicate che verranno implementate, all’interno dei locali, fino all’armadio di attestazione.

• All’interno dell’armadio i cavi devono essere ospitati nelle apposite canaline passacavi installate ai montanti del rack, provvedendo inoltre a dividerli a gruppi, fino a raggiungere il permutatore di attestazione. In fase di raggruppamento dei cavi, si dovrà avere particolare cura a non fascettarli in modo stretto, per non incorrere nelle problematiche di degradamento.



13/79

• I permutatori dovranno essere alloggiati all’interno dell’armadio rack 19”, dovranno avere una struttura modulare, altezza pari ad una unità Rack (1U) o 2U e larghezza di 19”. Sulla parte frontale, in corrispondenza di ogni connettore dovrà essere posizionata un’etichetta identificativa della fibra connettorizzata. La dicitura riportata sull’etichetta dovrà identificare i due punti di attestazione del cavo. La stessa dicitura dovrà essere riportata anche ai due estremi del cavo. A corredo di ogni modulo permutatore ottico dovrà essere presente un pannello guida permute e le bretelle necessarie e adatte all’attestazione dei cavi agli apparati, secondo la configurazione di progetto effettuata. I pannelli di permuta devono consentire l’alloggiamento del numero minimo di connettori per il collegamento di tutte le fibre ottiche indicate nel requisito obbligatorio O1, gli alloggiamenti non utilizzati devono essere chiusi da coperchio rimovibile; inoltre i pannelli di permuta devono possedere un alloggiamento per cavo di scorta. I patch cord in fibra ottica destinati alla permutazione in armadio devono avere guaina esterna di tipo LSZH. I connettori per fibra ottica da installare sui relativi pannelli di permuta devono essere del tipo Duplex e devono avere caratteristiche tecniche e fisiche compatibili con le fibre sopra indicate.

• Ogni tratta di cavo dovrà essere attestata su pannelli di permutazione che ne consentiranno il collegamento, tramite bretelle, ad altre tratte di cavo o ad apparati attivi.

• Allo scopo di avere un chiaro quadro dell’impianto si richiede che vengano prodotte, tra la documentazione tecnica di impianto, le tabelle di permutazione.

• I sistemi offerti devono possedere la “Garanzia di Componente” gratuita, per una durata non inferiore ai 20 anni dalla data di installazione, emessa direttamente del produttore dei componenti di cablaggio, comprensiva della fornitura in sostituzione gratuita di componenti difettosi e dei costi di manodopera necessari al ripristino della piena funzionalità della rete.

Di seguito i parametri standard di riferimento dei cavi in fibra: Cavi in fibra ottica multimodale - Fibra ottica (50/125) OM4:

• Attenuazione @850nm (dB/km): 3,5 • Attenuazione@1300nm (dB/km): 1,5 • Banda@850nm (MHz*Km): 3500 • Banda@1300nm (MHz*Km): 500 • Banda EMB@850nm (MHz*km): 4700

Cavi in fibra ottica monomodale - Fibra ottica (9/125) OS2: • Attenuazione@1300nm (dB/km): 0,5 • Attenuazione@1550nm (dB/km): 0,4 • Dispersione cromatica@1310 nm (ps/nm*Km): 3,5 • Dispersione cromatica@1550 nm (ps/nm*Km):20,0

Deve essere prevista:

• la fornitura e posa in opera di cassetti ottici, ove necessario, per la terminazione dei cavi da montare in armadi rack da 19”, inclusi adattatori, piastre di giunzione, piastre di chiusura fori non utilizzati;

• la fornitura in opera di bretelle ottiche di tipo LC/LC per la connessione delle fibre ottiche posate alle apparecchiature in esercizio e di quelle previste in fornitura con il presente capitolato;

• la fornitura in opera di pannelli di permutazione (patch panel) distinti per tipologia di attestazione di cavo in fibra ottica. Questi pannelli sono composti da un contenitore di spessore e larghezza adeguata per la corretta installazione negli armadi forniti predisposti per gli adattatori ST, SC o LC. I pannelli saranno utilizzati per la commutazione e l’attestazione delle fibre ottiche e dovranno contenere un numero adeguato di connettori passanti dotati di



14/79

etichette riscrivibili per l’identificazione delle porte. Il patch panel di permutazione dovrà avere le seguenti caratteristiche minimali:

o Equipaggiabile con almeno 48 posizioni o Comprensivo di sistemi di fissaggio dei cavi e di connessione a terra diretta dei

connettori all’interno del pannello o Utilizzo del numero di connettori necessari;

• In particolare, oltre al numero di patch panel necessari e alle bretelle in fibra ottica multimodale e monomodale necessarie per la perfetta realizzazione e posa in opera del cablaggio strutturato, si richiede la fornitura di ulteriori bretelle come di seguito indicato

o Almeno nr. 200 Bretelle in rame cat 6 da 2mt o Almeno nr. 200 Bretelle in fibra OM4 SC/SC da 2 metri;

• la fornitura delle patch cord di permutazione lato armadio e collegamento con gli apparati di rete;

• la fornitura in opera di quanto altro necessario per la perfetta realizzazione e posa in opera del cablaggio strutturato.

Nella certificazione del sistema dovranno essere usate le metodologie e le indicazioni previste dalle Normative vigenti e dagli Standard in essere. Di ogni misura effettuata dovrà essere rilasciata la relativa stampa fornita dallo strumento utilizzato o valore riscontrato dall’Operatore. Quanto sopra dovrà essere effettuato per ogni singola tratta.

5.2 Fornitura in opera armadi rack

Qualora gli armadi rack non siano già presenti o comunque quelli presenti non siano in grado di ospitare tutti i materiali necessari per il cablaggio strutturato e per alloggiare gli apparati in fornitura, deve essere prevista la fornitura in opera di Armadi rack 19” in ogni piano sprovvisto relativo a ciasun Data Center (SDI palazzina B, SDI Palazzina A, NUE112 Palazzina B, NUE112 Palazzina A, Core di campus), completo di accessori (striscia alimentazione, patch panel, etc). Le caratteristiche di riferimento dell’armadio da impiegare nel piano sono di seguito indicate:

• tutti gli armadi rack dovranno essere dello stesso produttore; • realizzati in conformità alle norme IEC 297‐2 e le DIN 41494 parte 1 per il montaggio di

apparati elettrici ed elettronici, e la DIN 41488 per le dimensioni esterne ed EIA 310 per le caratteristiche generali;

• struttura portante in acciaio, costituita da profilati verticali di spessore adeguato; • doppio montante anteriore e posteriore a multipli di 1U, con posizione regolabile in modo da

garantire una distanza adeguata tra i pannelli di distribuzione e la porta anteriore; • trattamento contro l’ossidazione con verniciatura e polvere epossidica; • copertura laterale e posteriore realizzata con pannelli in lamiera del tipo rimovibile; • porta anteriore con foratura a rete magliata fissata alla struttura con almeno tre cerniere,

serratura maniglia e chiavi; • adeguate feritoie di aerazione; • base di messa a terra per la connessione permanente al conduttore di massa delle parti

dell’armadio; • canaline di passaggio dei cavi di alimentazione, di collegamento e di permuta, con dimensioni

tali da garantire la raccolta ordinata di tutti i cavi; • guide patch orizzontale di altezza 1U; • gruppo di ventilazione forzata sulla parte superiore adeguatamente dimensionato in funzione

degli apparati attivi che verranno alloggiati e dell’ambiente dove verrà installato l’armadio; • pareti asportabili;



15/79

• anelli passacavi verticali; • completo di telaio 19” ; • altezza minima 42U; • fornitura in opera delle necessarie striscie d'alimentazione, comprensive delle prese idonee e

necessarie per la corretta installazione del cablaggio strutturato e di tutti gli apparati e materiali previsti in fornitura da alloggiare nell’armadio in questione, con interruttore bipolare magnetotermico, quale sezionatore unico di tutti gli apparati asserviti;

• Il dimensionamento degli armadi di piano viene lasciato alla perizia dell’installatore che dovrà attenersi alle normative in materia di cablaggio strutturato (standard EIA/TIA 568 e ISO/IEC IS 11801.

Si precisa che il montaggio, l’installazione e l’opera di allacciamento e di alimentazione di ogni rack sono a cura dell’Aggiudicatario che, a suo totale carico, dovrà predisporre la messa a terra degli apparati, in rispondenza alle norme contenute nel DM n.37 2008 per quanto in esso riportato nello specifico. L’Aggiudicatario dovrà definire e concordare con l’Amministrazione il numero e posizione degli armadi, nei locali appositamente individuati.

5.3 Lavori di posa in opera della fornitura

Devono essere previsti lavori di posa in opera della fornitura relativa a: • cavi in fibra • eventuali prese e scatole laddove necessarie • patch panel e accessori in fibra ottica

Tale attività include tutto quello che è necessario, compresi i materiali, per la posa in opera della fornitura di cui sopra. Tra tali opere si riporta a titolo puramente esemplificativo:

• attestazioni di qualsiasi tipo, includenti i connettori ottici; • fornitura e posa di torrette di attestazione per cablaggio in fibra; • posa di canalizzazioni, sia verticali che per corridoi o per stanze incluso il relativo materiale

(tubi, canaline ecc.). Questi lavori comprendono l’apertura e la chiusura di pannelli rimovibili per controsoffitti e eventuali pavimenti flottanti, laddove necessari, dopo aver introdotto le nuove canalizzazioni;

• fornitura e posa in opera di strisce/pannelli di permutazione; • ripristino della qualità e dell’aspetto delle strutture alla situazione pre‐lavori; • quant’altro necessario per il completamento del cablaggio strutturato.

Sono a carico dell’Aggiudicatario gli oneri relativi all’utilizzo di tutte le dotazioni di cui l’impresa specializzata necessita nell’esecuzione delle attività di realizzazione degli impianti e comprendono altresì l’eventuale uso dei ponteggi, trabattelli o scale. Sono a carico dell’Aggiudicatario i costi relativi alla sicurezza dei dipendenti e delle persone che si trovano presso la sede dell’Amministrazione. Devono essere effettuate tutte le verifiche previste dalle vigenti normative di settore, l’effettuazione delle verifiche funzionali, la garanzia e i disegni finali esecutivi. Le opere di cui al presente paragrafo dovranno avvenire nel pieno rispetto dello standard ISO/IEC 11801 e pertinenti estensioni. Lo svolgimento delle attività di realizzazione del cablaggio deve necessariamente avvenire senza recare pregiudizio alle normali attività lavorative degli uffici. Resta inteso che tutte le modalità di



16/79

esecuzione dei lavori (durata, orari, …) andranno concordate precedentemente con l’Amministrazione. È a carico dell’Aggiudicatario eseguire anche la certificazione di tutti i cavi e le terminazioni del sistema di cablaggio. Ogni componente del cablaggio che risulti erroneamente installato (quali cavi, connettori, accoppiatori, pannelli e blocchetti) dovrà essere sostituito senza alcun aggravio per l’Amministrazione, neanche di natura economica.

5.4 Lavori di realizzazione di opere accessorie alla fornitura

Contestualmente ai lavori di posa in opera della fornitura, il Fornitore, dovrà prevedere la possibilità di realizzare opere accessorie alla fornitura stessa, laddove necessarie, quali ad esempio:

• realizzazione di pannellature contro soffitto, laddove necessarie; • realizzazione di pavimenti flottanti nei locali dove verranno installati gli apparati attivi o gli

armadi a rack, laddove necessario; • l’adeguamento dell’impianto elettrico solo ed esclusivamente quando questo si intenda mirato

a soddisfare le esigenze della fornitura elettrica per la corretta installazione di tutti gli apparati previsti in fornitura e del cablaggio struturato. Sono compresi in tale servizio lavori quali:

o prese; o scatole; o placche; o cavi; o canalizzazioni; o QEG (quadro elettrico generale), opportunamente dimensionato sulla base delle

potenze nominali delle apparecchiature da alimentare; o quant’altro sia necessario per rendere l’architettura di rete da realizzare pienamente

operativa.

6 FORNITURA IN OPERA DI APPARATI DI RETE Si riporta di seguito il dettaglio degli apparati di rete da fornire in opera rispettivamente per il sistema SDI (paragrafo 6.1) e per il sistema NUE112 ( paragrafo 6.2). O4[obbligatorio]. Alla data di presentazione dell’offerta, nessuna delle componenti hardware e software della soluzione proposta in fornitura può essere stata dichiarata in End of Life e/o in End of Support dal produttore. Qualora gli apparati richiesti in fornitura di seguito riportati siano dichiarati in End of Life e/o in End of Support dal produttore al momento dell’offerta, il Fornitore dovrà provvedere a fornire apparati equivalenti con caratteristiche ed equipaggiamento equivalenti o superiori a quelli richiesti nel presente capitolato. O5[obbligatorio]. Tutti gli apparati di rete richiesti in fornitura nel presente paragrafo dovranno essere del produttore Cisco, in quanto vi è la necessità di utilizzare il protocollo OTV per garantire l’estensione di livello 2 e quindi la connettività tra gli apparati già esistenti (Nexus 7710) del sito di Disaster Recovery di Bari e gli apparati del sito primario. Pertanto deve essere fornita la licenza per l’utilizzo di OTV su tutti i Nexus 7k previsti in fornitura (Licenza Transport Services N7K-TRS1K9). O6[obbligatorio] Per tutti gli apparati di rete del produttore Cisco si richiede:

• Sistema di management Cisco Nexus (Cisco Prime DCNM – Datacenter Network Management): tale licenza deve essere prevista per tutti gli apparati Cisco in fornitura e deve essere attivata per tutta la durata contrattuale ovvero per almeno 36 mesi a partire dalla data di approntamento al collaudo.

• Corso di formazione Cisco Nexus per almeno 5 utenti, come specificato nel paragrafo 10.7.



17/79

• Garantire all’Amministrazione l’accesso autonomo al portale Cisco per l’aggiornamento delle versioni IOS

• Aggiornamento della licenza attuale ISE1 per 500 device alla Licenza ISE2 • Si fa presente che il Fornitore deve progettare e dimensionare correttamente l’intero sistema

e farsi carico di fornire in opera, in ciascun apparato di rete in fornitura di cui al presente paragrafo, tutte le opportune e necessarie interfacce ottiche della tipologia adeguata (quali ad esempio SX/LX o Short Range piuttosto che Long Range, anche se di tipologia diversa a quanto indicato nel presente capitolato), in funzione delle fibre ottiche utilizzate nel cablaggio strutturato (monomodali o multimodali), ai fini di garantire la realizzazione delle architetture di rete indicate nei paragrafi 4.1.2 e 4.2.2 e ai fini di garantire la compatibilità con le fibre ottiche utilizzate ed il corretto funzionamento del sistema.

O7[obbligatorio] Inoltre si richiede: • Fornitura in opera di Nr. 8 schede ciascuna da 6x10GB per i Cisco Catalyst 4507E • Fornitura in opera di apposito armadio rack di almeno 42 RU, dalle caratteristiche minime

indicate nel paragrafo 5.2, da installare in Palazzina A, e dalle opportune dimensioni, in grado di alloggiare tutti gli apparati attivi e passivi di cui si richiede la fornitura per il sistema di Indagine (SDI) di seguito elencati:

o Nr. 1 Cisco Nexus 7k o Nr. 1 Next Generation Firewall di accesso o Nr. 1 Next Generation Firewall di distribuzione, o Nr. 1 Bilanciatore di carico, o patch panel di permutazione in fibra

6.1 Fornitura in opera di apparati di rete per il sistema SDI-DNA

O8[obbligatorio]. Si richiede la fornitura in opera di:

• Nr. 2 Cisco Nexus 7710 in configurazione di alta affidabilità, da installare rispettivamente uno presso il sito Primario (Palazzina B) e l’altro presso il sito Secondario (Palazzina A) secondo lo schema architetturale riportato nel paragrafo 4.1.2. Entrambi gli apparati devono essere dotati delle seguenti caratteristiche minime ed interfacce:

o alimentazione ridondata ed in corrente alternata o Licenze attive per l’utilizzo di Nr. 8 VDC fin dalla data di comunicazione di

approntamento al collaudo o doppia supervisor o gestione SSH o almeno 20 porte 10/100/1000 Rj45 in rame equipaggiate con le rispettive interfacce o almeno 8 porte da 1 GbE in fibra ottica equipaggiate con le rispettive interfacce ottiche

da 1 GbE di tipo SX o almeno 53 porte a 10 GbE in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 10 GbE di tipo Short Range. o almeno 4 porte a 40 GbE, equipaggiate con le rispettive interfacce ottiche da 40 GbE

di tipo Short Range o almeno 16 porte a 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE

di tipo Long Range o Espandibilità dell’apparato per supportare almeno nr. 15 ulteriori porte da 10 GbE e

almeno 4 ulteriori porte a 40 GbE rispetto a quelle sopra indicate.



18/79

• Nr. 6 apparati Cisco Nexus N5K-C5672UP-16G, di cui nr. 4 sono da installare presso il sito Primario (Palazzina B) e nr. 2 da installare presso il sito Secondario (Palazzina A), secondo lo schema architetturale riportato nel paragrafo 4.1.2. Ciascuno dei nr. 4 apparati Cisco Nexus 5672 da installare presso il sito Primario deve essere dotato delle seguenti interfacce minime:

o Almeno 20 porte a 10 GbE in fibra ottica, equipaggiate con le rispettive ottiche a 10 GbE di tipo Short Range

o Almeno 10 porte da 1 GbE in fibra, equipaggiate con le rispettive interfacce ottiche da 1 GbE in fibra ottica di tipo SX

o Almeno 8 porte Fiber Channel da 8 GbE, equipaggiate con le rispettive interfacce ottiche DS-SFP-FC8G-SW

o Almeno 1 porta da 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE-LR (Long Range)

o Almeno 3 porte da 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE-SR (Short Range)

o Espandibilità di ciascun apparato per supportare almeno nr. 10 ulteriori porte Fiber Channel (o 10 ulteriori porte da 10 GbE) e almeno 2 ulteriori porte a 40 GbE rispetto a quelle sopra richieste.

Ciascuno dei nr. 2 apparati Cisco Nexus 5672Up da installare presso il sito Secondario deve essere dotato delle seguenti interfacce minime:



o Almeno 4 porte Fiber Channel da 8 GbE, equipaggiate con le rispettive interfacce ottiche DS-SFP-FC8G-SW

o Almeno 1(una) porta da 40 GbE equipaggiata con la rispettiva interfaccia ottica da 40 GbE-LR (Long Range)

o Almeno 3 porte da 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE-SR (Short Range)

o Espandibilità di ciascun apparato per supportare almeno nr. 10 ulteriori porte Fiber Channel (o 10 ulteriori porte da 10 GbE) e almeno 2 ulteriori porte a 40 GbE rispetto a quelle sopra richieste.

• Nr. 8 apparati Cisco Nexus N9K-C9348GC-FXP, da installare rispettivamente nr. 4 presso il sito Primario e nr. 4 presso il sito secondario, secondo lo schema architetturale riportato nel paragrafo 4.1.2. Ciascun apparato Cisco Nexus N9K-C9348GC-FXP deve essere dotato delle seguenti interfacce e caratteristiche minime:

o Alimentazione ridondata o 48 porte a 10/100/1000 Rj45 in rame, equipaggiate con le rispettive interfacce o 4 porte a 10 GbE, equipaggiate con le rispettive interfacce a 10 GbE di tipo Short

Range

6.2 Fornitura in opera di apparati di rete per il sistema 112 NUE

O9[obbligatorio]Per il sistema 112 NUE Si richiede la fornitura in opera di: • Nr. 2 Cisco Nexus 7710 in configurazione di alta affidabilità, da installare e configurare

rispettivamente uno presso il sito Primario (Palazzina B) e l’altro presso il sito Secondario



19/79

(Palazzina A) secondo lo schema architetturale riportato nel paragrafo 4.2.2. Entrambi gli apparati devono essere dotati delle seguenti caratteristiche minime ed interfacce:

o alimentazione ridondata o doppia supervisor o Licenze attive per l’utilizzo di Nr. 8 VDC fin dalla data di comunicazione di

approntamento al collaudo o almeno 10 porte 10/100/1000 Rj45 in rame equipaggiate con le rispettive interfacce o almeno 4 porte a 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE

di tipo Short Range o almeno 10 porte a 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE

di tipo Long Range o almeno 10 porte da 1 GbE in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 1 GbE di tipo SX o almeno 12 porte a 10 GbE in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 10 GbE di tipo Short Range. o Espandibilità dell’apparato per supportare almeno nr. 10 ulteriori porte da 10 GbE e

almeno 4 ulteriori porte a 40 GbE rispetto a quelle sopra indicate.

• Nr. 4 apparati Cisco Nexus N5K-C5672UP-16G, di cui nr. 2 sono da installare e configurare presso il sito Primario (Palazzina B) e nr. 2 da installare e configurare presso il sito Secondario (Palazzina A), secondo lo schema architetturale riportato nel paragrafo 4.2.2. Ciascuno degli apparati Cisco Nexus 5672 deve essere dotato delle seguenti interfacce minime:



o Almeno 8 porte Fiber Channel, equipaggiate tutte con interfacce di tipo SFP-H10GB-CU3M

o almeno 2 porte a 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE di tipo Short Range

o almeno 2 porte a 40 GbE equipaggiate con le rispettive interfacce ottiche da 40 GbE di tipo Long Range

o Espandibilità dell’apparato per supportare almeno nr. 2 ulteriori porte da 10 GbE e almeno 2 ulteriori porte a 40 GbE rispetto a quelle sopra indicate.

• Nr. 4 apparati Cisco Nexus N9K-C9348GC-FXP, da installare rispettivamente nr. 2 presso il sito Primario e nr. 2 presso il sito secondario, secondo lo schema architetturale riportato nel paragrafo 4.2.2. Ciascun apparato Cisco Nexus N9K-C9348GC-FXP deve essere dotato delle seguenti interfacce e caratteristiche minime:

o Alimentazione ridondata o 48 porte a 1GbE in rame, equipaggiate con le rispettive interfacce o 4 porte a 10 GbE, equipaggiate con le rispettive interfacce a 10 GbE di tipo Short

Range



20/79

7 FORNITURA IN OPERA DI APPARATI DI NEXT GENERATION FIREWALL

O10[obbligatorio]Si richiede la fornitura in opera di quattro coppie di Next Generation Firewall e di ulteriori nr. 2 Next Generation Firewall di cui:

1) Una coppia di Next Generation Firewall di distribuzione all’interno del data center per il Sistema di Indagine (SDI), configurati in alta affidabilità, con le seguenti funzionalità:

o le funzionalità di base descritte nel paragrafo 7.1, o le funzionalità evolute descritte nel paragrafo 7.2, esclusa la funzionalità di URL

Filtering in quanto non richiesta in questa coppia di Next Generation Firewall, o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nei paragrafi 7.4 e paragrafo 7.4.1 o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti

precedenti e l’aggiornamento delle firme di tutte le licenze in questione per tutta la durata contrattuale ovvero per almeno 36 mesi a partire dalla data di comunicazione di approntamento al collaudo; inoltre deve essere garantito il servizio di assistenza su tutti gli apparati e licenze per almeno 36 mesi a partire dall’esito posito delle verifiche di conformità.

2) Una coppia di Next Generation Firewall di accesso alle diverse reti per il Sistema di Indagine (SDI), configurati in alta affidabilità, con le seguenti funzionalità:


Filtering in quanto non richiesta in questa coppia di Next Generation Firewall, o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nei paragrafi 7.4 e 7.4.2, o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti


3) Una coppia di Next Generation Firewall di distribuzione all’interno del data center per il NUE112, configurati in alta affidabilità, con le seguenti funzionalità:


Filtering in quanto non richiesta in questa coppia di Next Generation Firewall, o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nei paragrafi 7.5 e 7.5.1, o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti




21/79

4) Una coppia di Next Generation Firewall di accesso alle diverse reti per il NUE112, configurati in alta affidabilità, con le seguenti funzionalità:


Filtering in quanto non richiesta in questa coppia di Next Generation Firewall, o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nel paragrafi 7.5 e 7.5.2, o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti


5) Un Next Generation Firewall a protezione del flusso di traffico da/verso la rete Internet con le seguenti funzionalità:

o le funzionalità di base descritte nel paragrafo 7.1, esclusa la funzionalità di virtualizzazione,

o le funzionalità evolute descritte nel paragrafo 7.2, inclusa la funzionalità di URL Filtering,

o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nel paragrafi 7.6 e 7.6.1, o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti


6) Un Next Generation Firewall a protezione del traffico da/verso la rete SPC (Sistema Pubblico Connettività) con le seguenti funzionalità:

o le funzionalità di base descritte nel paragrafo 7.1, esclusa la funzionalità di virtualizzazione,

o le funzionalità evolute descritte nel paragrafo 7.2, inclusa la funzionalità di URL Filtering,

o le funzionalità di gestione descritte nel paragrafo 7.3, o le caratteristiche e le performance come descritto nel paragrafi 7.6 e 7.6.2, o sistema di gestione come descritto nel paragrafo 7.7, o è richiesta l’attivazione di tutte le licenze e/o funzionalità mandatorie indicate nei punti


O11[obbligatorio] Tutte le funzionalità richieste devono essere presenti su ognuno degli apparati proposti. Si precisa che tutti gli apparati di Next Generation Firewall previsti in fornitura nel



22/79

Paragrafo 7, dovranno disporre delle funzionalità base ed evolute descritte nei paragrafi 7.1 e 7.2, senza necessità di utilizzare alcun modulo software o hardware aggiuntivo o ulteriore apparato esterno. O12[obbligatorio]Tali apparati dovranno essere basati su macchine fisiche con hardware dedicato (non sarà possibile proporre apparati su macchine virtuali) e il piano di inoltro del traffico dovrà essere costituito da hardware dedicato (es. CPU, ASIC, FPGA). O13[obbligatorio]Gli apparati devono essere dotati di almeno un disco di tipo SSD. O14[obbligatorio]Gli apparati devono avere alimentazione e ventole di raffreddamento ridondate ed estraibili a caldo, inoltre devono poter operare a temperature tra 10° e 40°C con un tasso di umidità compreso tra 20% e 70%. O15[obbligatorio]Gli apparati dovranno avere larghezza adatta a rack standard 19”. O16[obbligatorio]Gli apparati di Next Generation Firewall di accesso di cui ai punti 2) e 4) elencati nel requisito obbligatorio O10 dovranno essere di diverso produttore rispetto agli apparati di Next Generation Firewall di distribuzione di cui ai punti 1) e 3) ai fini di assicurare maggiori garanzie dal punto di vista della sicurezza. Pertanto, tutti gli apparati di distribuzione richiesti in fornitura per il Sistema di Indagine, di cui al punto 1) del requisito O10, e tutti gli apparati di distribuzione richiesti in fornitura per il Sistema NUE 112, di cui al punto 3) del requisito O10, possono essere dello stesso produttore e gestiti tramite il medesimo sistema di gestione. Tutti gli apparati di accesso richiesti in fornitura per il Sistema di Indagine, di cui al punto 2) del requisito O10, e tutti gli apparati di accesso richiesti in fornitura per il Sistema NUE 112, di cui al punto 4) del requisito O10 , possono essere dello stesso produttore e gestiti tramite il medesimo sistema di gestione. Il fornitore potrà proporre al massimo due produttori diversi per tutti gli apparati di Next Generation Firewall previsti in fornitura, compresi gli apparati a protezione del traffico da/verso le reti Internet e SPC, per semplificare gli aspetti gestionali. Si precisa che il Fornitore deve fornire in opera, in ciascun apparato di next generation firewall, tutte le interfacce ottiche necessarie e della corretta tipologia (quali ad esempio SX/LX o Short Range piuttosto che Long Range, anche se di tipologia diversa a quanto indicato nel presente capitolato) in funzione delle fibre ottiche utilizzate nel cablaggio strutturato (monomodali o multimodali), ai fini di garantire la compatibilità con le fibre ottiche utilizzate, la realizzabilità delle architetture di rete di cui ai paragrafi 4.1.2 e 4.2.2 ed il corretto funzionamento del sistema. Inoltre i Vendor degli apparati di Next Generation Firewall devono apparire tra i Leaders nel Magic Quadrant pubblicato da Gartner nel 2018 relativamente alla categoria degli Enterprise Network Firewalls. Il Fornitore deve fornire in offerta tutta la documentazione necessaria che attesti i parametri prestazionali dichiarati e le funzionalità richieste nel presente capitolato (requisiti obbligatori e requisiti migliorativi offerti). In particolare, con riferimento ai parametri prestazionali dichiarati relativi ai requisiti migliorativi R7, R8, R11, R12, R15 e R16, il Fornitore deve fornire in offerta tutta la documentazione necessaria con il dettaglio dei test eseguiti dal produttore degli apparati di Next Generation Firewall, la procedura utilizzata per l’effettuazione dei test, lo scenario e l’ambiente in cui è stato effettuato il test, gli strumenti utilizzati per l’esecuzione dei test, i dati di input e l’output ottenuto. Inoltre, deve essere fornita in offerta una dichiarazione dei Produttori degli apparati in fornitura che, sotto la propria responsabilità, attestino la veridicità dei parametri prestazionali dichiarati nell’offerta tecnica relativi ai requisiti migliorativi R7, R8, R11, R12, R15 e R16 e la veridicità di tutti i parametri prestazionali dichiarati in offerta tecnica non presenti nei datasheet degli apparati. Nei paragrafi di seguito si descrivono le funzionalità di base, quelle evolute, le funzionalità di gestione e le performances per ciascuno degli apparati in fornitura.



23/79

7.1 Funzionalità di base

O17[obbligatorio]Il Sistema Operativo degli apparati oggetto della fornitura dovrà essere basato su un’architettura software proprietaria, opportunamente progettata. Gli apparati dovranno garantire le seguenti modalità di funzionamento:

- Livello 2 (trasparente): due interfacce, entrambe configurate per operare senza indirizzo IP, sono definite una di ingresso e l’altra di uscita. Il forwarding sarà effettuato inoltrando sull'interfaccia fisica di uscita ciò che viene ricevuto dall’interfaccia fisica di ingresso, previa verifica delle politiche di sicurezza;

- Livello 3: l’interfaccia è configurata per operare con indirizzo IP. Il forwarding sarà basato su modalità di inoltro al livello 3 della pila ISO/OSI (routing).

- Tutte modalità di funzionamento base di ciascun apparato di Next Generation Firewall, ovvero “Livello 2-Trasparente”, “Livello 3”, devono poter essere configurate contemporaneamente sull’apparato, su interfacce differenti, senza necessità di utilizzo/creazione di diverse partizioni amministrative e/o contesti virtuali distinti per ognuna delle modalità sopra citate.

Gli apparati dovranno garantire contemporaneamente le funzionalità base di del Next Generation Firewall, IPSec VPN, SSL VPN, Virtualizzazione, NAT, Routing, Quality of Service, SSL Ispection, Application Controll, User Identification, descritte nei paragrafi di seguito. R1[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 13.1, qualora, in tutti gli apparati di NGFW previsti in fornitura, tutte le modifiche alla configurazione effettuate e salvate non siano immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì qualora sia disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica. R2[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 13.1, qualora tutti gli apparati di Next Generation Firewall previsti in fornitura abbiano risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato. • Esecuzione di operazioni di ripristino (reboot del sistema o restart di servizi).

• Supporto una CLI.

7.1.1 Alta Affidabilità (HA)

O18[obbligatorio] Alta Affidabilità (HA) - L’architettura deve prevedere la ridondanza dei servizi almeno su due apparati, per assicurare l’alta affidabilità dei servizi stessi. I servizi non devono essere impattati nel caso di guasto di un singolo apparato o di un aggiornamento dell’architettura stessa. Deve essere possibile:

− Modalità’ operative tra gli apparati: Active/Passive, Active/Active (con condivisione del carico)

− Sincronizzazione delle configurazioni − Sincronizzazione delle sessioni − Failover del traffico tra gli apparati senza perdita di servizio



24/79

− Supporto del Link Aggregation Control Protocol (LACP), IEEE (802.3ad) su singolo apparato.

Deve essere possibile replicare le configurazioni su un cluster esterno sito in una località geografica diversa.

7.1.2 Virtualizzazione

O19[obbligatorio] Virtualizzazione - È richiesto che l’architettura supporti la separazione logica di ogni apparato in almeno 10 contesti virtuali: deve essere possibile partizionare ogni apparato in differenti apparati virtuali che agiscano in maniera indipendente. Gli apparati devono supportare le interfacce logiche con la separazione del traffico tramite 802.1q. Il requisito O19 è obbligatorio unicamente per i Next Generation Firewall di accesso e distribuzione di cui si richiede la fornitura per il Sistema di Indagine (SDI) e per i Next Generation Firewall di accesso e distribuzione di cui si richiede la fornitura per il Sistema NUE112, di cui ai pragrafi 7.4 e 7.5.

Il requisito O19 non è invece richiesto per i Next Generation Firewall a protezione del traffico da/verso le reti SPC e Internet, di cui al paragrafo 7.6.

7.1.3 Stateful inspection

O20[obbligatorio] Stateful Inspection - Gli apparati proposti dovranno essere in grado di riconoscere le applicazioni (livello 7 della pila ISO/OSI) indipendentemente dalla porta TCP/UDP utilizzata tenendo traccia delle connessioni attive. Le regole di sicurezza dovranno permettere la gestione completa del flusso di traffico, intesa come possibilità di gestione di differenti livelli della pila ISO/OSI. Dovrà essere possibile attivare o disattivare le regole a caldo, senza inficiare il funzionamento dell’apparato.

7.1.4 Network Address Traslation

O21[obbligatorio] Gli apparati proposti devono supportare i seguenti tipi di NAT: − Destinazione o sorgente − Statico o dinamico

7.1.5 Routing

O22[obbligatorio] Gli apparati dovranno essere in grado di supportare funzionalità di routing statico e routing dinamico (RIP, OSPF, BGP). Gli apparati dovranno garantire la funzionalità di inoltro del traffico in base a specifiche regole indipendentemente dai percorsi riportati in tabella di routing (funzionalità nota come Policy Based Routing).

7.1.6 Virtual Private Network

O23[obbligatorio] Gli apparati dovranno supportare funzionalità di IPSec VPN, in modalità Gateway-to-Gateway e in modalità Client-to-Gateway, e di SSL VPN. Inoltre devono supportare gli algoritmi riportati di seguito: Retrocompatibilità con algoritmi non raccomandati (fonte NSA e NIST)

- Algoritmi di cifratura DES, 3DES - Algoritmi di autenticazione MD5, SHA-1 - IKEv1 - Perfect forward secrecy (DH groups) – 1, 2

Altri algoritmi - Algoritmi di cifratura AES (128), AES (256) - Algoritmi di autenticazione SHA-256



25/79

- Manual key, IKEv2, PKI (X.509) - Perfect forward secrecy (DH) – 5 (1536 bits), 14 (2048 bits) - Perfect forward secrecy (ECDH) – 19 (256-bit elliptic curve), 20 (384-bit elliptic curve)

7.1.7 Quality of Service

O24[obbligatorio] E’ richiesto che l’architettura supporti le seguenti funzioni di QoS per la prioritizzazione del traffico.

- Configurazione di banda massima per indirizzo IP (Sorgente e destinazione) e servizio (Livello 4) e per applicazione (Livello 7);

- limitazione del traffico.

7.1.8 SSL Inspection

O25[obbligatorio] SSL Inspection - Gli apparati dovranno poter decifrare le sessioni SSL, in ingresso e uscita, per poter applicare le politiche e i controlli di sicurezza sul contenuto del traffico in transito.

7.1.9 Application Control

O26[obbligatorio] Application Control - Gli apparati devono permettere il controllo sui flussi applicativi per permettere o negare il traffico di una o di un gruppo di applicazioni mediante le specifiche politiche di sicurezza. Inoltre dovranno supportare la possibilità di controllare applicazioni sconosciute. In particolare dovrà essere possibile decidere se le applicazioni sconosciute possono attraversare l’apparato, da quali sorgenti oppure verso quali destinazioni possano essere abilitate.

7.1.10 User identification

O27[obbligatorio] Gli apparati devono permettere di identificare/riconoscere l’utente o il gruppo di utenti all’interno delle transazioni gestite.

7.2 Funzionalità evolute

O28[obbligatorio] Gli apparati oggetto della fornitura dovranno poter integrare le funzionalità di base, descritte nel paragrafo 7.1, con le seguenti funzionalità avanzate:

- Antivirus - Intrusion Prevention System - Anti Malware - URL Filtering

Tali funzionalità di sicurezza evolute devono essere erogate attraverso moduli integrati all’interno degli apparati di NGFW, senza utilizzo di moduli software o hardware aggiuntivi e/o esterni e/o terze-parti.

7.2.1 Antivirus

O29[obbligatorio] Antivirus - Gli apparati dovranno essere dotati di un motore di Antivirus proprietario e aggiornato per tutta la durata contrattuale.

7.2.2 Intrusion Prevention System

O30[obbligatorio] Gli apparati dovranno supportare funzionalità di IPS in modo da poter identificare minacce all’interno dei flussi di traffico che attraversano gli apparati stessi:

- Stateful protocol signatures: il traffico viene confrontato esclusivamente con le signature compatibili con il contesto del protocollo.



26/79

- Meccanismo di rilevazione degli attacchi: Stateful signatures, protocol anomaly detection e application identification

- Meccanismi di risposta agli attacchi: Drop connection, close connection, session packet log - Meccanismi di notifica degli attacchi: syslog - Protezione Worm: signature che rilevano il traffico generato dai sistemi compromessi da

Worm o il loro transito sulla rete - Protezione dai Trojan: rilevazione del traffico generato dai sistemi compressi da Trojan o il

loro transito sulla rete - Protezione da Spyware, Adware e Keylogger: rilevazione del traffico generato dai software

elencati o rilevazione del loro transito sulla rete. - Protezione contro la proliferazione dei sistemi infetti con integrazione automatica con sistemi

SIEM - Possibilità di realizzare signature personalizzate - Possibilità di configurare soglie di traffico per protocollo - Frequenza degli aggiornamenti giornaliera in caso di emergenza per la diffusione di una nuova

minaccia. L’aggiornamento delle signature deve avvenire sia in modalità automatica che manuale.

7.2.3 AntiMalware

O31[obbligatorio] Gli apparati dovranno: • supportare funzionalità di AntiMalware (AM) in modo da poter identificare minacce

all’interno dei contenuti del traffico che attraversa gli apparati stessi; • supportare la funzionalità sui seguenti protocolli: HTTPS, HTTP, FTP, SMTP e SMB; • essere in grado di analizzare il contenuto del traffico (es. file scaricati, file spediti, ecc.),

identificare eventuali elementi malevoli e in caso positivo generare un alert e/o bloccare gli stessi contenuti malevoli in maniera automatizzata;

• essere in grado di permettere, bloccare e controllare in maniera flessibile i tipi di file che vengono trasportati, attraverso la rete, tramite applicazioni;

• supportare funzionalità di antispyware per rilevare e bloccare spyware dal sistema e per prevenire eventuali attacchi e/o evasioni;

• supportare funzionalità di file bloking per bloccare l’eventuale trasferimento di file con estensioni non consentite dalle policy di sicurezza dell’Amministrazione;

• supportare funzionalità di data filtering per evitare l’accesso a dati sensibili e riservati a terze parti non autorizzate;

• L’aggiornamento delle signature deve avvenire sia in modalità automatica che manuale.

7.2.4 URL Filtering

O35[obbligatorio] Gli apparati devono essere dotati di un motore di URL filtering proprietario per l’indentificazione e per la categorizzazione su base URL del traffico applicativo benigno e malevolo. Tale funzionalità è obbligatoria unicamente per i Next Generation Firewall a protezione del traffico da/verso le reti SPC e Internet, di cui ai paragrafi 7 e 7.6.

Non è richiesta tale funzionalità per i Next Generation Firewall di accesso e distribuzione per il Sistema di Indagine né per i Next Generation Firewall di accesso e distribuzione per il Sistema NUE 112, di cui ai paragrafi 7.4 e 7.5.



27/79

7.3 Funzionalità di gestione

O36[obbligatorio] Gli apparati dovranno supportare il salvataggio di almeno due configurazioni di sistema per poterle richiamare nel caso si renda necessario ripristinare velocemente un servizio interrotto a causa di una configurazione errata (tale funzionalità può essere effettuata anche con il sistema di gestione centralizzato).

7.3.1 Autenticazione

O37[obbligatorio] Si chiede che sia obbligatoria l’autenticazione locale per la gestione degli apparati, tale autenticazione deve permettere la distinzione tra un profilo amministratore e un profilo utente (sola lettura). Gli apparati di next generation firewall dovranno supportare l'autenticazione degli utenti mediante integrazione nativa con server LDAP e RADIUS, senza necessità di impiego di ulteriori moduli software hardware aggiuntivi o apparati distinti. Il riconoscimento dell'utente dovrà essere utilizzato dall’apparato per selezionare il tipo di profilo e i permessi di accesso.

7.3.2 Monitoraggio e Logging

O38[obbligatorio] Gli apparati devono supportare i seguenti protocolli di monitoraggio e logging: - SNMP V2 e V3 - Syslog (Gli apparati dovranno disporre della funzionalità di inoltro dei log verso un Syslog

Server remoto, in caso di fault del sistema centrale di gestione i log devono essere memorizzati sugli apparati).

- NTP

7.3.3 Management

O39[obbligatorio] Tutti gli apparati di NGFW devono supportare almeno uno dei seguenti sistemi di management:

- Interfaccia Web per amministrazione del singolo nodo o del cluster accessibile in SSL/TLS - Interfaccia CLI per amministrazione del singolo nodo o del cluster accessibile in SSH

Si precisa che l’interfaccia di gestione degli apparati può essere alternativamente di tipo Web o alternativamente CLI e deve permettere la configurazione di rete, il monitoraggio e il troubleshooting del singolo apparato e del cluster. In particolare sul cruscotto dell’interfaccia grafica dovranno essere disponibili e riportate in maniera chiara le principali informazioni sulla stato del sistema.

7.3.4 Ulteriori Requisiti premianti

R3[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 13.1, qualora tutti gli apparati di Next Generation Firewall richiesti in fornitura nel presente capitolato dispongano della funzionalità di inoltro dei log verso più Syslog Server esterni.

R4[premiante] Verrà assegnato un punteggio aggiuntivo, come indicato nel paragrafo 13.1, qualora tutti gli apparati di Next Generation Firewall richiesti in fornitura nel presente capitolato siano capaci di importare feeds di Threat Intelligence di terze parti tramite opportuni formati allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale.



28/79

7.4 Fornitura in opera di apparati di Next Generation Firewall per il Sistema di Indagine

O40[obbligatorio] Per il Sistema di Indagine deve essere prevista la fornitura in opera di 1) una coppia di Next Generation Firewall di distribuzione nel data center, in

configurazione di alta affidabilità, di cui uno da installare nel sito Primario (palazzina B) e uno da installare nel sito Secondario (Palazzina A), ciascuno con le performance e le caratteristiche minime richieste in termini di equipaggiamento come indicato nel paragrafo 7.4.1

2) una coppia di Next Generation Firewall di accesso verso le altri reti (Internet, DWDM, CDN, SPC), in configurazione di alta affidabilità, di cui uno da installare nel sito Primario (palazzina B) e uno da installare nel sito Secondario (Palazzina A), ciascuno con le performance e le caratteristiche minime richieste in termini di equipaggiamento come indicato nel paragrafo 7.4.2

3) Gli apparati di Next Generation Firewall di distribuzione indicati nel punto 1) devono essere di diverso produttore rispetto agli apparati di Next Generation Firewall di accesso indicati nel punto 2).

Nel paragrafi di seguito si descrivono le performance e le caratteristiche minime richieste in termini di equipaggiamento per ciascuna tipologia degli apparati in fornitura (distribuzione e accesso).

7.4.1 Performance ed equipaggiamento dei NGFW di distribuzione per il Sistema di Indagine

O41[obbligatorio] Ciascuno dei due apparati di NGFW di distribuzione previsti in fornitura per il Sistema di Indagine dovrà raggiungere almeno i seguenti livelli di performance:

1. dovrà supportare un throughput di almeno 30Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico http e transaction size http 64KB b) o in alternativa con traffico http e con pacchetti http a 1024 byte c) o in alternativa con mix di protocolli e dimensioni medie dei pacchetti per simulare

un ambiente reale (in questo ultimo caso, tra i protocolli almeno il 30% del traffico deve essere http e almeno il 10% HTTPS);

2. dovrà supportare un throughput di almeno 13 Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus. Tale dato di throughput dovrà essere garantito:



3. dovrà supportare almeno 185000 nuove sessioni TCP per secondo e 8M di sessioni contemporanee complessive;

4. dovrà supportare almeno nr. 10.000 IPSEC Tunnel nella modalità Gateway to Gateway ed un throughput di almeno 14Gbps per la funzionalità di IPSec VPN con la seguente configurazione:

• IPSec site-to-site • Client to site – SSL client • IKEv1, IKEv2 • Pre-shared key • IKE & ESP encryption – AES(256) • IKE & ESP integrity – SHA1 • IKE Diffie-Hellman – Group 5



29/79

5. dovrà supportare ed avere attivi almeno 10 contesti virtuali fin dalla comunicazione di approntamento al collaudo;

6. deve essere montabile su rack e deve essere dotato di doppia alimentazione 7. dovrà essere dotato delle seguenti interfacce di rete (i transceiver devono essere inclusi nella

fornitura): • Almeno n.12 porte a 10 Gigabit in fibra ottica equipaggiate con le rispettive interfacce

ottiche a 10 GbE SFP+ di tipo Short Range • Almeno n.4 porte da 1 Gigabit in fibra ottica equipaggiate con i rispettivi tranceiver di

tipo 1GbE SFP SX • n.1 porta in rame Rj45 100/1000 per la gestione • n.1 porta Console.

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive in base al test richiesto e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 4 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato. R5 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 se gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema di Indagine supportano singolarmente un throughput superiore a 30Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB (R5-a) b) o in alternativa con traffico http e pacchetti http a 1024 bytes (R5-b) c) o in alternativa con un mix di protocolli e percentuali diverse tra i vari protocolli e dimensioni

dei pacchetti variabili per simulare un ambiente reale; in questo caso dovrà essere utilizzato almeno il protocollo http al 30% e il protocollo HTTPS al 10% (R5-c).

R6 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema di Indagine supportano singolarmente un throughput superiore a 13Gbps con tutte le funzionalità di seguito indicate abilitate: Firewall, Application Control, IPS, AntiMalware, An tivirus . Tale dato di throughput dovrà essere garantito:



R7 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• SMB 1% • RDP 10% • HTTPS 40% • HTTP 20%



30/79

• FTP 1% • SSH 5% • DNS 3% • SMTP 5% • DB2 15%

R8 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con tutte le funzionalità di seguito indicate abilitate (Firewall, Application Control, IPS, AntiMalware, Antivirus ) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• SMB 1% • RDP 10% • HTTPS 40% • HTTP 20% • FTP 1% • SSH 5% • DNS 3% • SMTP 5% • DB2 15%

7.4.2 Performance ed equipaggiamento dei NGFW di accesso per il Sistema di Indagine

O42[obbligatorio] Ciascuno dei due apparati di NGFW di accesso previsti in fornitura per il Sistema di Indagine dovrà raggiungere almeno i seguenti livelli di performance:

1. dovrà supportare un throughput di almeno 18 Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:



2. dovrà supportare un throughput di almeno 9 Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus . Tale dato di throughput dovrà essere garantito:




4. dovrà supportare almeno nr. 10.000 IPSEC VPN nella modalità gateway to gateway ed un throughput di almeno 5Gbps per la funzionalità di IPSec VPN con la seguente configurazione:

• IPSec site-to-site • Client to site – SSL client • IKEv1, IKEv2 • Pre-shared key



31/79

• IKE & ESP encryption – AES(256) • IKE & ESP integrity – SHA1 • IKE Diffie-Hellman – Group 5

5. dovrà supportare ed avere abilitati e attivi almeno 10 contesti virtuali fin dalla comunicazione di approntamento al collaudo;


fornitura): • almeno n.8 porte a 10 Gigabit in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 10 GbE SFP+ di tipo Short Range • almeno n.8 porte da 1 Gigabit in fibra ottica equipaggiate con i rispettivi transceiver ad 1

GbE di tipo SFP SX • almeno 4 porte a 40 GB, equipaggiate con i rispettivi tranceiver in fibra ottica da 40 GbE

di tipo Short Range • n.2 porte in rame Rj45 100/1000 per la gestione.

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive in base al test richiesto e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 4 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato. R9[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di accesso previsti in fornitura per il Sistema di Indagine supportano entrambi e singolarmente un throughput superiore a 18Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:



R10[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di accesso previsti in fornitura per il Sistema di Indagine supportano entrambi e singolarmente un throughput superiore a 9 Gbps con tutte le funzionalità di seguito indicate abilitate: Firewall, Application Control, IPS, AntiMalware, An tivirus . Tale dato di throughput dovrà essere garantito:



R11 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di accesso di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere garantito con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-



32/79

World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• HTTPS 60% • HTTP 30% • DNS 10%

R12 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di accesso di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere garantito con tutte le funzionalità di seguito indicate abilitate (Firewall, Application Control, IPS, AntiMalware, Antivirus ) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• HTTPS 60% • HTTP 30% • DNS 10%

7.5 Fornitura in opera di apparati di Next Generation Firewall per il NUE 112

O43[obbligatorio] Per il 112NUE deve essere prevista la fornitura in opera di 1) una coppia di Next Generation Firewall di distribuzione all’interno del data center, in

configurazione di alta affidabilità, di cui uno da installare nel sito Primario (palazzina B) e uno da installare nel sito Secondario (Palazzina A), ciascuno con le caratteristiche le performance indicate nel paragrafo 7.5.1

2) una coppia di Next Generation Firewall di accesso verso le altre reti (quali la VPN delle Emergenze), in configurazione di alta affidabilità, di cui uno da installare nel sito Primario (palazzina B) e uno da installare nel sito Secondario (Palazzina A), ciascuno con le caratteristiche e le performance indicate nel paragrafo 7.5.2.

3) gli apparati di Next Generation Firewall di distribuzione indicati nel punto 1) devono essere di produttore diverso rispetto agli apparati di Next Generation Firewall di accesso indicati nel punto 2).

Nel paragrafi di seguito si descrivono le performance e le caratteristiche minime richieste in termini di equipaggiamento per ciascuna tipologia degli apparati in fornitura (distribuzione e accesso).

7.5.1 Performance ed equipaggiamento dei NGFW di distribuzione per il NUE112

O44[obbligatorio] Ciascuno dei due apparati di NGFW di distribuzione previsti in fornitura per il Sistema NUE112 dovrà raggiungere almeno i seguenti livelli di performance:




2. dovrà supportare un throughput di almeno 9 Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus . Tale dato di throughput dovrà essere garantito:



33/79




4. dovrà supportare almeno nr. 10.000 IPSEC VPN nella modalità gateway to gateway ed un throughput di almeno 5Gbps per la funzionalità di IPSec VPN con la seguente configurazione:


5. dovrà supportare e avere abilitati almeno 10 contesti virtuali fin dalla comunicazione di approntamento al collaudo;


fornitura): • almeno n.8 porte 10 Gigabit SFP+ in fibra ottica equipaggiate con le rispettive

interfacce ottiche a 10 GbE SFP+ di tipo Short Range • almeno n.8 porte da 1 Gigabit in fibra ottica equipaggiate con i rispettivi transceiver

di tipo 1GbE SFP SX • n.1 porta in rame Rj45 100/1000 per la gestione • n.1 porta Console.

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive in base al test richiesto e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 4 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato. R13[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema NUE112 supportano entrambi e singolarmente un throughput superiore a 18Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:


dei pacchetti variabili per simulare un ambiente reale; in questo caso dovrà essere utilizzato almeno il protocollo HTTP al 30% e il protocollo HTTPS al 10% (R13-c).

R14[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema NUE112 supportano entrambi e singolarmente un throughput superiore a 9 Gbps con tutte le funzionalità abilitate di seguito



34/79

indicate: Firewall, Application Control, IPS, AntiMalware, An tivirus . Tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB (R14-a) b) o in alternativa con traffico http e pacchetti http a 1024 bytes (R14-b) c) o in alternativa, con un mix di protocolli e percentuali diverse tra i vari protocolli e

dimensioni dei pacchetti variabili per simulare un ambiente reale; in questo caso dovrà essere utilizzato almeno il protocollo HTTP al 30% e il protocollo HTTPS al 10% (R14-c).

R15[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il NUE112. Tale dato di throughput dovrà essere garantito con le sole funzionalità di firewall e application control abilitate e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema NUE112):

• HTTPS 60% • HTTP 30% • SQLNET/ORACLE 10%

R16 [premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1 in base al valore di throughput degli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il NUE112. Tale dato di throughput dovrà essere garantito con tutte le funzionalità di seguito indicate abilitate (Firewall, Application Control, IPS, AntiMalware, An tivirus ) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Il suddetto Test è volto a testare le performace in caso di Real-World Traffic Mixes. Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema NUE112):

• HTTPS 60% • HTTP 30% • SQLNET/ORACLE 10%

7.5.2 Performance ed equipaggiamento dei NGFW di accesso per il NUE112

O45[obbligatorio] Ciascuno dei due apparati di NGFW di accesso previsti in fornitura per il Sistema NUE112 dovrà raggiungere almeno i seguenti livelli di performance:




2. dovrà supportare un throughput di almeno 9Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus . Tale dato di throughput dovrà essere garantito:






35/79

4. dovrà supportare almeno 10.000 IPSEC Tunnel nella modalità Gateway to Gateway ed un throughput di almeno 5Gbps per la funzionalità di IPSec VPN con la seguente configurazione:


5. dovrà supportare ed avere attivi almeno 10 contesti virtuali fin dalla comunicazione di approntamento al collaudo;

6. deve essere montabile su rack e deve essere dotato di doppia alimentazione; 7. dovrà essere dotato delle seguenti interfacce di rete (i transceiver devono essere inclusi nella

fornitura): • almeno n.8 porte 10 Gigabit in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 10 GbE SFP+ di tipo Short Range • almeno n.8 porte da 1 Gigabit in fibra ottica equipaggiate con le rispettive interfacce

ottiche da 1 GbE di tipo SFP SX • n.1 porta in rame Rj45 100/1000 per la gestione • n.1 porta Console.

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive in base al test richiesto e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 4 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato. R17[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di accesso previsti in fornitura per il Sistema NUE112 supportano entrambi e singolarmente un throughput superiore a 18Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:



R18[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, se gli apparati di NGFW di accesso previsti in fornitura per il Sistema NUE112 supportano entrambi e singolarmente un throughput superiore a 9 Gbps con tutte le funzionalità di seguito indicate abilitate: Firewall, Application Control, IPS, AntiMalware, An tivirus . Tale dato di throughput dovrà essere garantito:





36/79

7.6 Fornitura in opera di NGFW per la gestione del traffico da/verso le reti Internet e SPC

O46[obbligatorio] Inoltre deve prevista la fornitura in opera di • un Next Generation Firewall a protezione del traffico da/verso la rete Internet in

sostituzione dell’Apparato Cisco ASA 5520, con le performance e le caratteristiche minime richieste in termini di equipaggiamento come indicato nel paragrafo 7.6.1

• un Next Generation Firewall a protezione del traffico da/verso la rete SPC in sostituzione dell’Apparato Cisco ASA 5550 con le performance e le caratteristiche minime richieste in termini di equipaggiamento come indicato nel paragrafo 7.6.2

Nel paragrafi di seguito si descrivono le performance e le caratteristiche minime richieste in termini di equipaggiamento per ciascuna tipologia di apparati in fornitura.

7.6.1 Performance ed equipaggiamento del NGFW a protezione del traffico da/verso la rete

Internet

O47[obbligatorio] L’apparato di Next Generation Firewall previsto in fornitura da installare a protezione del traffico da/verso la rete Internet dovrà raggiungere almeno i seguenti livelli di performance:

1. deve supportare un throughput di almeno 1,9Gbps con le sole funzionalità di firewall e di application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico http transaction size http 64KB b) o in alternativa con traffico http e con pacchetti http a 1024 byte c) o in alternativa con mix di protocolli e dimensioni medie dei pacchetti per simulare


2. deve supportare un throughput di almeno 780 Mbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate: Firewall, Application Control, IPS, AntiMalware, Antivirus . Tale dato di throughput dovrà essere garantito:


un ambiente reale (in questo ultimo caso, tra i protocolli almeno il 30% del traffico deve essere http e almeno il 10% HTTPS).

3. deve supportare almeno 8.000 nuove sessioni TCP per secondo e 120.000 sessioni contemporanee complessive e deve poter gestire almeno 1500 policies.

4. deve essere montabile su rack e deve essere dotato di doppia alimentazione 5. deve supportare un throughput di almeno 400Mbps per la funzionalità di IPSec VPN con la

seguente configurazione: • IPSec site-to-site • Client to site – SSL client • IKEv1, IKEv2 • Pre-shared key • IKE & ESP encryption – AES(128) • IKE & ESP integrity – SHA256 • IKE Diffie-Hellman – Group 5

6. deve essere dotato delle seguenti interfacce di rete (i transceiver devono essere inclusi nella fornitura):



37/79

• Almeno n.2 porte a 10 Gigabit SFP+equipaggiate con le rispettive interfacce ottiche a 10 GbE SFP+ di tipo Short Range

• Almeno n.2 porte da 1 Gigabit in fibra ottica equipaggiate con tranceiver di tipo 1 GbE SX

• Almeno n. 4 porte in rame 100/1000 Rj45 equipaggiate con le rispettive interfacce • n.1 porta in rame Rj45 100/1000 per la gestione out of band

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive indicate e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 5 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato.

7.6.2 Performance ed equipaggiamento del NGFW a protezione del traffico da/verso la rete SPC

O48[obbligatorio] L’apparato di Next Generation Firewall previsto in fornitura da installare a protezione del traffico da/verso la rete SPC deve raggiungere almeno i seguenti livelli di performance:

1. deve supportare un throughput di almeno 4Gbps con le sole funzionalità di firewall e application control abilitate. Tale dato di throughput dovrà essere garantito:

a) con traffico http transaction size http 64KB b) o in alternativa con traffico http e con pacchetti http a 1024 byte c) o in alternativa con mix di protocolli e dimensioni medie dei pacchetti per simulare


2. deve supportare un throughput di almeno 2 Gbps nell’ipotesi che tutte le funzionalità di seguito indicate vengano abilitate (Firewall, Application Control, IPS, AntiMalware, Antivirus ). Tale dato di throughput dovrà essere garantito:



3. deve supportare almeno 24.000 nuove sessioni TCP per secondo e 500.000 sessioni contemporanee complessive e deve poter gestire almeno 1500 policies.

4. deve essere montabile su rack e deve essere dotato di doppia alimentazione 5. deve supportare un throughput di almeno 500Mbps per la funzionalità di IPSec VPN con la

seguente configurazione: • IPSec site-to-site • Client to site – SSL client • IKEv1, IKEv2 • Pre-shared key • IKE & ESP encryption – AES(128) • IKE & ESP integrity – SHA256 • IKE Diffie-Hellman – Group 5

6. deve essere dotato delle seguenti interfacce di rete (i transceiver devono essere inclusi nella fornitura):

• Almeno n.2 porte a 10 Gigabit SFP+ equipaggiate con le rispettive interfacce ottiche da 10 GbE SFP+ di tipo Short Range



38/79

• Almeno n.2 porte da 1 Gigabit in fibra ottica equipaggiate con tranceiver di tipo 1GbE SFP SX

• Almeno n. 4 porte in rame 100/1000 Rj45 con le rispettive interfacce • n.1 porta in rame 100/1000 Rj45 per la gestione out of band

Il throughput dei punti 1 e 2 deve essere misurato considerando le funzionalità attive sopra indicate e un insieme di politiche di sicurezza composto da almeno 100 regole distribuite in maniera omogenea tra regole FW (access list), NAT e IPS/AM. Il throughput del punto 5 deve essere misurato considerando tutte le funzionalità attive e un insieme di politiche di sicurezza composto da almeno 100 regole. Tutte le regole devono avere il log attivato.

7.7 Sistema di Gestione

O49[obbligatorio] La soluzione di gestione centralizzata dovrà essere integrata con gli apparati di next generation firewall oggetto della fornitura. Il sistema di gestione potrà essere installato su una macchina fisica dedicata oppure su una macchina virtuale. Nel primo caso sarà onere del fornitore fornire l’intera soluzione mentre nel secondo caso sarà cura dell’Amministrazione fornire sia l’hardware che le licenze di virtualizzazione; il fornitore dovrà preoccuparsi della compatibilità con la soluzione di virtualizzazione presente nei CED del Servizio per il Sistema Informativo Interforze (VMware vCenter 6.5). Tale soluzione di gestione dovrà, nello specifico, abilitare:

- La gestione centralizzata delle configurazioni di sistema degli apparati (Configuration

Management) - La definizione centralizzata e la distribuzione delle politiche di sicurezza verso tutti gli

apparati gestiti. Il sistema deve essere in grado di distribuire le regole su più cluster parametrizzando gli oggetti, in modo tale che uno stesso oggetto abbia valori differenti su differenti cluster.

- Il sistema dovrà disporre di strumenti per la verifica delle politiche di sicurezza configurate. In particolare deve generare degli alert in caso di regole che sovrascrivono altre successive.

- La raccolta e la correlazione centralizzata delle informazioni (log) degli apparati gestiti - Logiche di autorizzazione di diversi profili di amministrazione basate su ruoli (RBAC - Role

Based Access Control) - Tutti gli alert generati dal sistema devono poter essere inviati anche tramite SMTP/SNMP v2

o v3 - La generazione di report predefiniti o personalizzati relativi agli apparati gestiti. I report

generati dovranno essere esportati nei formati CSV, PDF o XML. Per ogni singolo apparato dovranno essere disponibili e riportate in maniera chiara le principali informazioni sulla stato del sistema. Tali informazioni dovranno almeno comprendere tutte le seguenti voci: interfacce con relativo stato, quantità di risorse attualmente utilizzate, modello hardware, identificativo univoco dell’apparato (es. numero di serie), informazioni generali sui parametri IP di gestione del nodo (es. IP Address, Default Gateway, Subnet Mask), utenti loggati, log di sistema e di configurazione.

O50[obbligatorio] Qualora siano previsti in fornitura apparati di Next Generation Firewall (NGFW) di produttori diversi e non sia possibile la fornitura di un unico sistema di gestione che gestisca tutti gli apparati NGFW, dovrà essere prevista la fornitura di più sistemi di gestione, dalle caratteristiche sopra indicate, ciascuno dei quali dovrà gestire tutti apparati di NGFW del medesimo produttore. Al



39/79

massimo dovranno essere previsti in fornitura due sistemi di gestione per gestire tutti gli apparati di NGFW in fornitura. R19[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun sistema di gestione degli apparati di Next Generation Firewall proposto in fornitura disponga di un motore di correlazione di oggetti ed eventi relativi a tutte le diverse funzioni di sicurezza attive sugli apparati e garantisca una vista in tempo reale e aggregata delle attività sospette o eventi relativi ad attività malevole. Il motore di correlazione deve avere almeno le seguenti funzionalità relative a oggetti ed eventi:

• Raccolta: aggregazione, normalizzazione. • Analisi: correlazione e prioritizzazione. • Presentazione: reportistica e visualizzazione.

R20[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun sistema di gestione proposto in fornitura di gestione degli apparati di Next Generation Firewall supporti funzionalità di remediation automatiche e si integri con tool di vulnerability assessment. Inoltre deve fornire strumenti di controllo, risposta e gestione degli incidenti. R21[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun sistema di gestione proposto in fornitura di gestione degli apparati di Next Generation Firewall consenta di confrontare due configurazioni (sia di sistema che dell’insieme di regole di sicurezza) e di evidenziare le differenze. R22[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun sistema proposto in fornitura per gli apparati di Next Generation Firewall abbia integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che comprendano almeno 4 differenti categorie di informazioni. - La possibilità di creare report che evidenzino l’attività di un singolo specifico utente,

selezionando un intervallo di tempo. - La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti - Fornire report sugli eventuali “botnet” presenti in rete, che evidenzi i comportamenti anomali e

le azioni malevole quali utilizzo di DNS dinamici, accesso a siti di recente registrazione, siti di Malware, ecc.



40/79

8 FORNITURA IN OPERA DI BILANCIATORI DI CARICO O51[obbligatorio] Si richiede la fornitura in opera di due coppie di Bilanciatori di carico di rete di cui:

• Nr. 2 bilanciatori di carico per il sistema SDI-DNA in configurazione di alta affidabilità, dalle caratteristiche indicate nel paragrafo 8.1, da installare rispettivamente uno presso il sito primario (Palazzina B) e l’altro presso il sito secondario (Palazzina A).

• Nr. 2 bilanciatori di carico per il NUE112, in configurazione di alta affidabilità, dalle caratteristiche indicate nel paragrafo 8.2, da installare rispettivamente uno presso il sito primario (Palazzina B) e l’altro presso il sito secondario (Palazzina A).

• Si richiede che le due coppie di bilanciatori di carico previsti in fornitura di cui ai punti precedenti siano entrambi dello stesso produttore.

• Si precisa che il Fornitore deve fornire in opera, in ciascun apparato di bilanciamento di carico, tutte le interfacce ottiche necessarie e della corretta tipologia (quali ad esempio SX/LX o Short Range piuttosto che Long Range, anche se di tipologia diversa a quanto indicato nel presente capitolato) in funzione delle fibre ottiche utilizzate nel cablaggio strutturato (monomodali o multimodali), ai fini di garantire la compatibilità con le fibre ottiche utilizzate, la realizzabilità delle architetture di rete di cui ai paragrafi 4.1.2 e 4.2.2 ed il corretto funzionamento del sistema.

R23[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura è dotato della funzionalità di SSL Session Mirroring: deve essere possibile terminare direttamente traffico SSL ed eseguire il mirroring delle sessioni SSL ed il mirroring dei dati SSL al fine di preservare la stessa connessione dai failure in condizioni di failover dei sistemi. La gestione di questa funzionalità deve essere attivabile in modo selettivo per ogni applicazione. R24[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura consenta di regolare in maniera automatica e manuale il rateo di connessioni aperte verso il backend. Deve essere possibile aprire nuove sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di smaltire il traffico in eccesso. R25[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura sia dotato ed abbia attivate Funzionalità di Web Application Firewall compreso il servizio di aggiornamento delle firme per almeno 36 mesi dalla comunicazione di approntamento al collaudo; in questo caso deve essere previsto anche il servizio di assistenza sulla stessa funzionalità di Web Application Firewall per almeno 36 mesi dalla data di esito positivo delle verifiche di conformità. R26[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura supporti il protocollo RISE per permettere agli apparati Cisco Nexus 7K di vedere il bilanciatore di carico come un Virtual Blade almeno a livello L3.



41/79

R27[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura consente di monitorare il traffico sia in Real Time sia storicizzato e consente di storicizzare il traffico per almeno 60 giorni.

8.1 Caratteristiche dei due Bilanciatori di carico per il sistema SDI-DNA

O52[obbligatorio] Le caratteristiche tecniche minime della coppia di bilanciatori di carico da installare per il sistema SDI - DNA sono di seguito indicate:

• Tipo soluzione: fisica, non virtuale • Throughput di livello L4/L7 (L7): almeno 10 Gbps

• SSL throughput: almeno 10 Gbps • Transazioni SSL per secondo con 2K RSA: almeno 22K

• Transazioni SSL per secondo con ECC ECDHE-ECDSA/EC-P256: 10K • Throughput di compressione: almeno 3 Gbps

• Doppia alimentazione • Memoria RAM: almeno 32 Gb • Rack unit (RU): almeno 1 RU

• Contesti virtuali: almeno 7 constesti inclusi e attivi per almeno 36 mesi a partire dalla comunicazione di appprontamento al collaudo degli apparati; a ciascun contesto virtuale devono poter essere assegnate risorse dedicate in termini ad esempio di CPU, memoria, throughput, etc.

• L7 richieste per secondo: almeno 1,7 M • L4 connessioni per secondo: almeno 800K • Massimo numero di L4 connessioni concorrenti: almeno 20M

• Interfacce Ethernet: o almeno 4 porte da 10 Gbps equipaggiate con le rispettive interfacce di tipo Short

Range o almeno 6 porte 1 Gbps Rj45 equipaggiate con le rispettive interfacce o una porta 10/100/1000 Rj45per la gestione o una porta 10/100/1000 Rj45 Console port

• Supporto e attivazione di tutte le seguenti funzionalità per almeno 36 mesi dalla comunicazione di approntamento al collaudo:

o L4 Load balancing - bilanciamento del carico a livello 4 (L4): deve essere possibile indirizzare il traffico in base ai dati dei protocolli di rete e di livello di trasporto, come l'indirizzo IP e il protocollo TCP

o bilanciamento del carico a livello 7 e L7 content switching monitoring, monitoring delle applicazioni fino a livello 7: ciascun bilanciatore deve avere la capacità di prendere decisioni di routing basate su dati e attributi del livello dell'applicazione, come intestazione HTTP, identificativo di risorsa uniforme, ID sessione SSL e dati modulo HTML

o supporto delle funzionalità di link load balancing o Global server load balancing (GSLB) – supporto e attivazione della funzionalità di

bilanciamento a livello geografico: le funzionalità core L4 e L7 devono essere



42/79

applicabili a server farm distribuiti geograficamente; tale funzionalità deve essere supportata con Cookie based persistency in modo da consentire di mantenere la persistenza dei client e deve essere possibile eseguire HTTP redirection e Connection Proxy

o Supporto di protocolli di routing dinamico o SSL Offloading: deve essere possibile la chiusura SSL/TLS sul bilanciatore di carico

e successivo rilancio in chiaro o deve essere garantita la possibilità di instradare il traffico utilizzando, oltre al

destination address, anche source address e/o destination port o Local User DB: deve essere possibile configurare utenti esterni al dominio senza

utilizzare un server esterno, come ad esempio LDAP per le funzionalità di gestione e configurazione.

o Disponibilità di un connettore LDAP/LDAPS o Disponibilità di un connettore Radius o L4 DoS defenses o L7 DoS defenses o L7 rewrite e responder o Supporto e del protocollo SAML2 e disponibilità del connettore per autenticazione

SAML o AAA o Scalabilità: la soluzione deve scalare in termini di throughput, istanze, etc sempre sullo

stesso hardware fisico. o Deve essere possibile assegnare risorse hardware dedicate (core CPU, core SSL,

Memoria, oltre ovviamente alle interfacce) alle singole istanze virtuali in maniera libera e non vincolata

o Supporto del TCP multiplexing o Deve poter essere consentita l’autenticazione tramite Kerberos ticket (SSO su Intranet) o Deve essere supportata l’autenticazione Microsoft NTLM o Deve essere supportata l’autenticazione Client tramite Certificati digitali X509

R28[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura per il sistema SDI-DNA abbia un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O52. R29[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura per il sistema SDI-DNA abbia un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O52.



43/79

8.2 Caratteristiche dei due Bilanciatori di carico per il NUE112

O53[obbligatorio] Le caratteristiche tecniche minime della coppia di bilanciatori di carico da installare per il sistema NUE112 sono di seguito indicate:

• Tipo soluzione: fisica, non virtuale • Throughput di livello 7 (L7): almeno 5 Gbps

• SSL throughput: almeno 5 Gbps

• Doppia alimentazione • Memoria RAM: almeno 16 Gb • Rack unit (RU): almeno 1 RU • Throughput di livello 7 (L7): almeno 5 Gbps

• SSL throughput: almeno 5 Gbps • Transazioni SSL per secondo con 2K RSA: almeno 20K

• Transazioni SSL per secondo con ECC ECDHE-ECDSA/EC-P256: almeno 6K Throughput di compressione: almeno 3 Gbps

• Contesti virtuali: almeno 7 contesti virtuali inclusi e attivi per almeno 36 mesi a partire dalla comunicazione di approntamento al collaudo; a ciascun contesto virtuale devono poter essere assegnate risorse dedicate in termini ad esempio di CPU, memoria, throughput

• L7 richieste per secondo: almeno 850K

• L4 connessioni per secondo: almeno 600K • Massimo numero di L4 connessioni concorrenti: almeno 12M

• Interfacce Ethernet: o almeno 2 porte da 10 Gbps equipaggiate con le rispettive interfacce di tipo Short

Range o almeno 6 porte 1 Gbps Rj45 equipaggiate con le rispettive interfacce o una porta 10/100/1000 Rj45per la gestione o una porta 10/100/1000 Rj45 Console port

• Supporto e attivazione delle seguenti funzionalità per la durata di almeno 36 mesi a partire dalla comunicazione di approntamento al collaudo:

o L4 Load balancing - bilanciamento del carico a livello 4 (L4): deve essere possibile indirizzare il traffico in base ai dati dei protocolli di rete e di livello di trasporto, come l'indirizzo IP e il protocollo TCP

o L7 Load balancing (bilanciamento del carico a livello 7) e L7 content switching monitoring, monitoring delle applicazioni fino a livello 7: deve avere la capacità di prendere decisioni di routing basate su dati e attributi del livello dell'applicazione, come intestazione HTTP, identificativo di risorsa uniforme, ID sessione SSL e dati modulo HTML

o supporto delle funzionalità di link load balancing o Global server load balancing (GSLB) – supporto e attivazione della funzionalità di

bilanciamento a livello geografico: le funzionalità core L4 e L7 devono essere applicabili a server farm distribuiti geograficamente; tale funzionalità deve essere supportata in modo da consentire di mantenere la persistenza dei client e deve essere possibile eseguire HTTP redirection e Connection Proxy



44/79

o Supporto di protocolli di routing dinamico o SSL Offloading: deve essere possibile la chiusura SSL/TLS sul bilanciatore di carico

e successivo rilancio in chiaro o deve essere garantita la possibilità di instradare il traffico utilizzando, oltre al

destination address, anche source address e/o destination port o Local User DB: deve essere possibile configurare utenti esterni al dominio senza

utilizzare un server esterno, come ad esempio LDAP per le funzioalità di gestione e configurazione

o Disponibilità di un connettore LDAP/LDAPS o Disponibilità di un connettore Radius o L4 DoS defenses o L7 DoS defenses o L7 rewrite e responder o Supporto del protocollo SAML2 e disponibilità del connettore per autenticazione

SAML o AAA o Scalabilità: la soluzione deve scalare in termini di throughput, istanze, etc sempre sullo

stesso hardware fisico. o Deve essere possibile assegnare risorse hardware dedicate (core CPU, core SSL,

Memoria, oltre ovviamente alle interfacce) alle singole istanze virtuali in maniera libera e non vincolata

o Supporto del TCP multiplexing o Deve poter essere consentita l’autenticazione tramite Kerberos ticket (SSO su Intranet) o Deve essere supportata l’autenticazione Microsoft NTLM o Deve essere supportata l’autenticazione Client tramite Certificati digitali X509

R30[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura per il sistema NUE112 abbia un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O53. R31[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora ciascun bilanciatore di carico previsto in fornitura per il sistema NUE112 abbia un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O53.

8.3 Sistema di gestione

O54[obbligatorio] Deve essere prevista la fornitura in opera di un sistema di gestione per tutti i bilanciatori di carico oggetto della fornitura. Il sistema di gestione potrà essere installato su una macchina fisica dedicata oppure su una macchina virtuale. Nel primo caso sarà onere del fornitore fornire l’intera soluzione mentre nel secondo caso sarà cura dell’Amministrazione fornire sia l’hardware che le licenze di virtualizzazione, il fornitore dovrà preoccuparsi della compatibilità con la soluzione di virtualizzazione presente nei CED del Servizio per il Sistema Informativo Interforze (ad esempio VMware vCenter 6.5). Tale soluzione di gestione dovrà, nello specifico, consentire:



45/79

- La gestione centralizzata degli aspetti di configurazione, analisi del traffico, orchestrazione, controllo e monitoraggio degli apparati di bilanciamento di carico oggetto di fornitura

- La gestione centralizzata di task, change management, certificati digitali - La gestione di tutte le istanze configurate - L’analisi del traffico ai fini del troubleshooting. - Il monitoraggio dello stato dei servizi e dei processi - Il monitoraggio delle performance applicative (ad esempio latenze di rete, server processing

time, page rendering time) - Le percentuale di carico CPU/Memoria/Disco per ogni istanza - Tutti gli alert generati dal sistema devono poter essere inviati anche tramite SMTP e per e-

mail - La generazione di report predefiniti o personalizzati relativi agli apparati gestiti. I report

generati dovranno essere esportati nei formati CSV, PDF o XML - Per ogni singolo apparato dovranno essere disponibili e riportate in maniera chiara le

principali informazioni sulla stato del sistema. Tali informazioni dovranno almeno comprendere tutte le seguenti voci: interfacce con relativo stato, quantità di risorse attualmente utilizzate, modello hardware, identificativo univoco dell’apparato (es. numero di serie).

Deve essere previsto un unico sistema di gestione per tutti i bilanciatori di carico previsti in fornitura.



46/79

9 CERTIFICAZIONI E CONFORMITÀ Tutto il materiale, pezzi o componenti non esplicitamente indicati nel presente capitolato, ma necessari per integrare le apparecchiature fornite con l’infrastruttura esistente, dovrà essere fornito, senza nessun altro costo aggiuntivo dovuto a mancanza di parti non indicate esplicitamente. Sarà pertanto cura del fornitore evidenziare e inserire in offerta eventuali componenti aggiuntivi, ritenuti essenziali per il corretto montaggio e funzionamento degli apparati, anche laddove questi non siano stati esplicitamente citati nel presente documento. Tutte le apparecchiature e le opzioni eventualmente fornite dovranno essere nuove di fabbrica ed essere costruite utilizzando parti nuove. Le apparecchiature offerte dovranno possedere marchi di certificazione riconosciuti da tutti i Paesi dell'Unione Europea, essere conformi alle norme concernenti la compatibilità elettromagnetica, alle normative CEI e, in generale, alla vigente normativa che disciplina i componenti e le relative modalità di impiego delle apparecchiature medesime ai fini della sicurezza degli utilizzatori. A titolo esemplificativo e non esaustivo, le apparecchiature fornite dovranno rispettare i requisiti indicati nella Direttiva CEE 90/270 recepita dalla legislazione italiana con Legge 19 febbraio 1992, n. 142 e quelli relativi:

- alla riduzione dell'uso di sostanze pericolose previsto dalla normativa vigente, ed in particolare dalla direttiva 2011/65/UE del Parlamento europeo e del Consiglio, dell’ 8 giugno 2011, sulla restrizione dell’uso di determinate sostanze pericolose nelle apparecchiature elettriche ed elettroniche.

- ai requisiti di immunità definiti dalla EN55024; - alla conformità alle Direttive di Compatibilità Elettromagnetica (Direttiva 2014/30/UE del

Parlamento Europeo e del Consiglio del 26 febbraio 2014 - EMC) e conseguentemente essere marchiate e certificate CE;

- ai requisiti di sicurezza (es.: IMQ) e di emissione elettromagnetica (es.: FCC classe A) certificati da Enti riconosciuti a livello europeo.

Inoltre si richiede che i vendor degli apparati di Next Generation Firewal richiesti in fornitura nel paragrafo 7 siano accreditati NATO Information Assurance, ovvero siano presenti nella lista dei manufactor nel sito https://www.ia.nato.int/niapc.



47/79

10 SERVIZI O55[obbligatorio] Al fine di assicurare la continuità e l’efficienza del servizio reso, il fornitore deve garantire la consegna al piano, l’installazione, la configurazione e la migrazione dei sistemi (paragrafi 10.2 e 10.3) e l’assistenza tecnica necessaria (paragrafo 10.4) su tutti gli apparati, materiali e soluzioni software previsti in fornitura. L’Amministrazione organizzerà un primo incontro (kick-off meeting) con i responsabili del fornitore al fine di pianificare le attività successive. La data del kick-off meeting sarà assunta come data di inizio lavori. L’attività lavorativa non potrà essere interrotta se non per brevi intervalli di tempo e durante particolari orari, questo comporterà che tutte le attività che implicheranno fermi macchina dovranno essere preventivamente concordate con l’Amministrazione.

10.1 Progettazione

O56[obbligatorio] Il fornitore deve redigere il progetto esecutivo composto da: • il progetto di alto livello (HLD) con il cronoprogramma dettagliato di tutte le attività, • il progetto di basso livello (LLD) relativo alle attività di installazione, configurazione,

migrazione e rilascio della infrastruttura; • la documentazione relativa alle configurazioni di dettaglio di tutti i sottosistemi coinvolti

nonché alle specifiche tecniche, fornite e rilasciata dai produttori degli apparati. I progetti di HLD e LLD devono essere validati dai produttori degli apparati in fornitura per le parti di rispettiva competenza e dal Fornitore quale integratore dell’intera soluzione progettuale. Il Fornitore dovrà presentare all’Amministrazione una prima bozza del progetto di alto livello (HLD) durante la riunione di kick-off meeting. L’architettura e le configurazioni definite e documentate nel progetto esecutivo saranno oggetto di verifica da parte dell’Amministrazione. Il Fornitore si impegnerà ad apportare eventuali modifiche e integrazioni che l’Amministrazione potrà eventualmente richiedere al fine di approvare il progetto esecutivo. L’approvazione del progetto esecutivo sarà vincolante per il prosieguo delle attività. Qualora l’Amministrazione ritenga opportuno che il Fornitore implementi delle modifiche e/o integrazioni al progetto esecutivo, il Fornitore dovrà provvedere, oltre ad aggiornare i documenti, ad apportare le opportune modifiche implementative alla soluzione progettuale. I documenti finali di HLD e LLD e il progetto esecutivo dovranno essere allineati con l’effettiva implementazione della soluzione progettuale. Si riportano di seguito i livelli di dettaglio e le informazioni minime che devono essere contenute nei progetti HLD e LLD. Il progetto esecutivo dovrà essere presentato e consegnato all’Amministrazione entro e non oltre 45 giorni solari dal Kick-off meeting.

10.1.1 HLD

O57[obbligatorio] Questo documento deve descrivere la soluzione di alto livello in base ai vincoli dell’Amministrazione e ai requisiti fisici e logici. Il HLD deve contenere:

• una descrizione dei concetti chiave del progetto, • una panoramica della soluzione progettuale, • un cronoprogramma dettagliato con l’indicazione di tutte le attività e fasi progettuali,

l’indicazione dei tempi di completamento delle singole attività, le risorse impiegate e le interdipendenze tra le attività;

• inoltre deve evidenziare la topologia e l’architettura di rete che verrà utilizzata e quali protocolli saranno coinvolti.



48/79

10.1.2 LLD

O58[obbligatorio] Questo è un documento particolareggiato che verrà predisposto dal fornitore: esso dovrà contenere tutti i dettagli necessari ad implementare la soluzione progettuale e configurare tutti gli apparati e sistemi previsti in fornitura. In particolare il LLD dovrà contenere il seguente dettaglio:

- Architettura di rete - Topologia di rete - Servizi di rete - Considerazioni di progettazione - Naming Convention - Progetto fisico della rete - Progetto logico della rete.

Dovrà includere altresì un piano dettagliato e sarà composto almeno dalle seguenti attività: - Cablaggio strutturato con i dettagli e gli schemi dell’impianto - Installazione nuovo hardware e nuovo software - Configurazione hardware e software - Integrazione dei sistemi con gli apparati esistenti - Migrazione - Test di funzionamento di tutti i sistemi - Verifiche di conformità finali di tutti i sistemi

Per ciascuna delle fasi deve essere presentata una scheda dettagliata comprensiva delle seguenti informazioni:

- Obiettivo - Responsabilità - Prerequisiti e dipendenze - Tempi di esecuzione - Risorse impiegate - Potenziali disservizi e criticità - Rollback in caso di problemi.

10.2 Consegna

O59[obbligatorio] La consegna degli apparati, materiali e sistemi previsti in fornitura dovrà avvenire al piano dei Data Center presso le sedi indicate dall’Amministrazione al paragrafo 2.1, entro e non oltre 60 giorni solari dalla data di inizio esecutività del contratto; i materiali di risulta d’imballo saranno prelevati e smaltiti a cura del fornitore.

10.3 Disinstallazione degli apparati esistenti e Installazione, migrazione e

configurazione dei nuovi apparati e sistemi previsti in fornitura

O60[obbligatorio] Sarà cura del fornitore fornire in opera cavetteria, patch panel, cablaggi e quant’altro necessario per la posa in opera e l’installazione di tutte le apparecchiature al fine della loro corretta configurazione ed installazione. Inoltre dovrà essere consegnato all’Amministrazione il libro permute e gli schemi di connessione. Sarà altresì onere e a carico del Fornitore procedere con le attività di disinstallazione delle apparecchiature esistenti e di spostamento delle stesse nel locale che sarà indicato dall’Amministrazione, per le successive valutazioni di riutilizzo e/o fuori uso da parte dell’Amministrazione. Al completamento della fase di installazione il fornitore dovrà procedere alle attività di configurazione di tutti i sistemi previsti in fornitura e alla migrazione dei dati e delle regole di



49/79

sicurezza dall’ambiente esistente. Dovrà provvedere alla realizzazione di tutte le interconnessioni tra gli apparati e alla realizzazione delle architetture di rete indicate nei paragrafi 4.1.2 e 4.2.2. Il fornitore si impegna a nominare un responsabile tecnico incaricato di curare il coordinamento tecnico delle attività in fase di realizzazione e di migrazione, nonché di svolgere la funzione di unico referente nei confronti dell’Amministrazione. Per le attività di migrazione e configurazione dovrà esser impiegato personale specializzato e figure professionali con conoscenza dei sistemi in argomento. Nell’ambito delle prove finalizzate alla verifica funzionale, il fornitore dovrà redigere e consegnare, entro il termine delle attività di configurazione, un rapporto contenente l’articolazione delle prove per la verifica dei requisiti. L’Amministrazione si riserva la facoltà di rivedere e modificare l’articolazione ed il tipo dei test proposti. La fase di disinstallazione degli apparati esistenti e di installazione, configurazione di tutti gli apparati e sistemi previsti in fornitura e migrazione dei servizi dalla infrastruttura attuale a quella in fornitura si dovrà concludere entro e non oltre le tempistiche indicate nel paragrafo 11.

10.3.1 Figure professionali impiegate

O61[obbligatorio] Il personale impiegato per le attività di migrazione e configurazione deve essere composto da sistemisti esperti e specialisti di prodotto che abbiano almeno 5 anni di esperienza nell’ambito delle attività sistemistiche e di networking, di cui:

• almeno una figura professionale che abbia conseguito la più alta certificazione, in ambito sicurezza, di ciascun produttore degli apparati di Next Generation Firewall previsti in fornitura;

• almeno una figura professionale che abbia conseguito almeno due certificazioni in corso di validità, di livello professional o expert in ambito di networking e sicurezza, del produttore degli apparati di rete previsti in fornitura, tra le seguenti indicate:

o Certificazione “Cisco Certified Network Professional (CCNP) Routing and Switching”

o Certificazione “Cisco Certified Network Professional Security - CCNP Security” o Certificazione “” Cisco Certified CCIE Routing and Switching CCIE Security;

• almeno una figura professionale che abbia conseguito la più alta certificazione, in ambito networking e/o sicurezza, del produttore degli apparati di Bilanciatori di carico previsti in fornitura.

O62[obbligatorio] Le figure professionali impiegate devono avere conoscenze approfondite sulla soluzione di rete e sicurezza oggetto della fornitura. L’Offerente dovrà presentare il curriculum vitae e le referenze del personale tecnico incaricato per eseguire le attività di installazione e configurazione degli apparati. Le variazioni della composizione delle risorse professionali nel corso del progetto dovranno essere approvate dall’Amministrazione ed in ogni caso le nuove figure professionali impiegate non potranno essere di spessore inferiore a quanto offerto in sede di gara. L’amministrazione potrà richiedere la sostituzione delle figure professionali impiegate non ritenute adeguate per la mansione e l’attività svolta rispetto al ruolo richiesto, richiedendone la rimozione.



50/79

10.4 Manutenzione

O63[obbligatorio] Per tutte le apparecchiature, licenze, materiali, cablaggio strutturato e sistemi in fornitura deve essere fornito un servizio di assistenza e manutenzione per un periodo di trentasei mesi (36) dalla data di esito positivo delle verifiche di conformità. Il servizio di manutenzione consiste nel ripristino delle complete funzionalità e del corretto funzionamento degli apparati, materiali e sistemi oggetto della fornitura, nella messa a disposizione di tutte le parti di ricambio in sostituzione di quelle guaste, entro i livelli di servizio indicati nel capitolo 11. Il ripristino della corretta funzionalità degli apparati/materiali/sistemi deve avvenire a fronte di un guasto, blocco o altro inconveniente non bloccante, intendendosi per guasto qualsiasi anomalia funzionale che, direttamente o indirettamente, provochi l’interruzione o la non completa disponibilità delle funzionalità del sistema in questione o, in ogni caso, qualsiasi difformità del prodotto e del rispettivo funzionamento rispetto alla relativa documentazione tecnica e manualistica d’uso. I guasti e/o anomalie Hardware e/o Software riguardanti gli apparati e le soluzioni software in fornitura possono essere classificati secondo le definizioni di seguito riportate. Guasto Bloccante: Qualsiasi tipo di guasto Hardware e/o Software relativo al funzionamento degli apparati o dei sistemi software previsti in fornitura che provochi l’interruzione del servizio o la non completa disponibilità delle funzionalità del sistema in questione o, in ogni caso, qualsiasi difformità del prodotto e del rispettivo funzionamento rispetto alla relativa documentazione tecnica e manualistica d’uso. Guasto Non Bloccante: Qualsiasi tipo di guasto Hardware e/o anomalia Software relativo al funzionamento degli apparati o dei sistemi software previsti in fornitura che non comporti la totale interruzione del servizio e che degradi le prestazioni e il corretto funzionamento del sistema. Il fornitore dovrà effettuare il servizio di manutenzione hardware e software secondo le modalità descritte nei seguenti paragrafi. Tutti gli interventi devono essere effettuati on site e non da remoto. R32[premiante] Verrà assegnato un punteggio aggiuntivo come indicato nel paragrafo 13.1, qualora venga fornito un servizio di assistenza e manutenzione su tutti gli apparati, materiali e sistemi di nuova fornitura, compresa la manutenzione sul cablaggio strutturato, l’aggiornamento delle licenze ed il relativo servizio di assistenza su tutte le licenze richieste nel presente capitolato (comprese le licenze premianti che il Fornitore vorrà includere nell’offerta) per una durata superiore a quella indicata nel requisito obbligatorio O63.

10.4.1 Gestione e manutenzione dei sistemi

O64[obbligatorio] Devono essere comprese nel servizio di gestione e manutenzione tutte le attività di:

- Installazione dell’hardware e del software, la loro configurazione e personalizzazione. - Allineamento dei sistemi hardware e software alle più recenti innovazioni tecnologiche

rilasciate dal produttore, nonché attivazione di tutte le attività necessarie per prevenire potenziali guasti dei sistemi e ripristino del funzionamento a fronte di eventuali guasti al fine di assicurare la regolare erogazione del servizio. Va precisato che le attività di innovazione tecnologica, come pure quelle relative alle correzioni, si riferiscono essenzialmente alla capacità di mantenere aggiornato ed in regolare stato di funzionamento sia il software che il firmware dell’hardware. A seguito del rilascio, da parte del produttore, di un aggiornamento e/o di una correzione software, l‘attività di manutenzione deve essere svolta in sinergia con quella di gestione, per l’esecuzione ed il controllo delle operazioni di modifica e upgrade dei sistemi in esercizio.



51/79

Dovranno essere previste, quindi, attività di manutenzione preventiva (attività di manutenzione atta a prevenire l’occorrenza di errori, malfunzionamenti e guasti) e di manutenzione correttiva (attività di manutenzione a seguito di segnalazioni di malfunzionamenti o guasti). Sono comprese in queste anche le attività volte al miglioramento o arricchimento funzionale, a seguito di migliorie decise e introdotte dal fornitore stesso che non comportano oneri contrattuali. Tutti gli interventi di assistenza e manutenziono dovranno avvenire presso le sedi indicate nel paragrafo 2.1 e non potranno essere eseguiti da remoto.

10.4.2 Manutenzione hardware e software

O65[obbligatorio] Il fornitore deve garantire la fornitura in opera di patches e aggiornamenti durante il periodo di copertura del contratto, inoltre deve fornire informazioni su nuove versioni e aggiornamenti dei prodotti hardware e software installati. Il servizio di manutenzione deve garantire una copertura di 7 giorni la settimana con orario h24. Un tecnico provvederà ad una prima analisi del problema, a raccogliere le informazioni essenziali per poterlo gestire nel modo più efficiente e rapido ed infine a stimare i tempi di intervento.

10.4.3 Modalità di esecuzione

O66[obbligatorio] Il servizio di manutenzione dovrà prevedere l'attivazione da parte del fornitore di un numero telefonico di contatto, di un indirizzo email e di un Trouble Ticket System (TTS) per la gestione dei guasti e malfunzionamenti, attivo h24, sette giorni su sette, per 365 giorni l’anno. Entro la data di inizio di esecutività dei servizi di manutenzione l’Amministrazione comunicherà alla società aggiudicataria dell’appalto i nominativi abilitati all’apertura delle chiamate da parte dell’Amministrazione. Si precisa che, ai fini della misurazione dei livelli di servizio, l’orario di inoltro della chiamata via telefono o dell’email da parte dell’Amministrazione è considerato il riferimento temporale di apertura del ticket. Il fornitore inserirà tale richiesta nel proprio TTS evidenziandone il livello di servizio ed assegnando ad essa un identificativo che dovrà comunicare all’Amministrazione all’apertura del guasto. Il sistema di gestione dovrà garantire il tracciamento della richiesta (stato dell’intervento) in tutte le sue fasi, fino alla chiusura dell’intervento stesso. Il fornitore dovrà utilizzare parti di ricambio originali e nuove di fabbrica, identiche alle parti sostituite e, ove esistenti, prodotte dallo stesso costruttore delle apparecchiature. Le parti di ricambio, il ritiro e lo smaltimento dovranno essere fornite dalla società aggiudicataria dell’appalto senza alcun onere per l’Amministrazione. I livelli di servizio relativi al tempo di risposta dell’operatore al punto telefonico di contatto e relativi al Numero di chiamate senza risposta effettuate al punto di contatto telefonico sono indicati nel paragrafo 11. Nel caso in cui, a fronte di un guasto di un apparato, il fornitore non sia provvisto della parte di ricambio richiesta per la riparazione, potrà, al fine di ripristinare il servizio, operare la sostituzione con un altro sistema (o con un’altra componente) avente le medesime caratteristiche ed in grado di ristabilire la corretta e completa funzionalità. Tale soluzione è da considerarsi sempre e comunque provvisoria e non svincola il Fornitore dall’obbligo di fornire l’apparato (o la componente) necessario per la riparazione. Il fornitore dovrà quindi intervenire nuovamente per operare la corretta sostituzione entro e non oltre 15 giorni lavorativi dal ripristino temporaneo del servizio e dovrà assicurare e documentare la cancellazione sicura di tutte le informazioni/configurazioni e dati dall’apparato utilizzato temporaneamente per il ripristino del servizio.



52/79

10.5 Supporto specialistico

O67[obbligatorio] Per tutta la durata del contratto, l’Amministrazione potrà richiedere l’erogazione a consumo di un numero di giornate di supporto specialistico fino ad un massimo di 60 giornate, che potranno essere utilizzate per la realizzazione di diverse attività. A titolo esemplificativo ma non esaustivo, ne sono riportate di seguito alcune:

- implementazione di nuove funzionalità derivanti da specifiche esigenze di evoluzione dei sistemi di sicurezza o degli apparati di rete non note al momento;

- stesura di procedure e politiche di sicurezza inerenti il funzionamento in esercizio della nuova infrastruttura;

- realizzazione di integrazioni personalizzate tra i sistemi forniti e quelli presenti attualmente all’interno dell’infrastruttura di rete.

Il supporto specialistico potrà essere richiesto dall’Amministrazione mediante e-mail (e/o PEC) e/o mediante il numero telefonico di contatto attivato dal Fornitore (e richiesto nel paragrafo 10.4.3), dal lunedì al venerdì dalle ore 9.00 alle ore 18.00. Il supporto specialistico dovrà essere erogato con i seguenti livelli di servizio:

- tempo di presa in carico, 1 (uno) giorno lavorativo dalla ricezione della richiesta: il fornitore deve prendere in carico la chiamata inviando una email di conferma alla persona di riferimento indicata dall’Amministrazione;

- tempo di intervento 5 (cinque) giorni solari dalla presa in carico: per intervento s’intende la presenza fisica della risorsa nella sede indicata nella chiamata.

Per l’espletamento delle suddette attività il fornitore dovrà avvalersi di personale certificato nella tecnologia oggetto di intervento (e comunque compresa nell’ambito della fornitura), ed in possesso di competenza ed esperienza su tematiche inerenti sia aspetti tecnologici sia aspetti di sicurezza informatica. A seconda delle attività da svolgere, l’Amministrazione potrà richiedere che il personale sia in possesso di determinati requisiti e competenze professionali. A titolo esemplificativo ma non esaustivo di seguito vengono indicati alcuni dei requisiti professionali che di volta in volta potrebbero essere richiesti:

- almeno 5 anni di esperienza nella progettazione, e realizzazione di architetture di rete; - esperienza comprovata di configurazione e tuning relativa alle componenti dell’Infrastruttura

oggetto di fornitura; - almeno 5 anni di esperienza in materia di sicurezza informatica, con particolare riferimento

alla componente organizzativa, per la progettazione/realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni;

Il fornitore dovrà produrre, di volta in volta, quanto necessario per consentire all’Amministrazione di comprovare l’esistenza della suddetta certificazione e dei requisiti professionali richiesti. Tutte le attività e gli interventi richiesti ed erogati saranno consuntivati mediante apposita Relazione delle attività di Supporto Specialistico svolte, redatta a cura del fornitore ed accettata dall’Amministrazione, nella quale verranno indicati l’orario di inizio, l’oggetto e la durata dell’intervento stesso (mezza giornata o giornata intera a seconda della durata dell’intervento).



53/79

10.6 Reportistica sui servizi di assistenza e manutenzione

O68[obbligatorio] La valutazione dei livelli di servizio è fatta su base quadrimestrale, salvo laddove diversamente richiesto; pertanto, i parametri rilevati dovranno rimanere nei limiti indicati del quadrimestre di riferimento. Potranno essere richieste rilevazioni mensili, in modo da permettere il controllo preventivo delle prestazioni e richiedere, se necessario, interventi correttivi all’Aggiudicatario. L’Aggiudicatario dovrà produrre, su base quadrimestrale, una Relazione contenente la reportistica dei guasti e l’analisi dei livelli di servizio di assistenza erogati nel periodo. Nella suddetta relazione dovranno essere riportati tutti i guasti e malfunzionamenti che si sono verificati nel periodo. Per ciascun guasto o malfunzionamento dovranno essere indicati:

• L’identificativo dell’apparato e/o componente guasto • Sede e sistema in cui si è verificato il guasto (SDI o NUE112) • Data e ora dell’apertura/segnalazione del guasto e del ripristino del servizio • Breve descrizione del guasto • La diagnosi e la procedura di ripristino individuata • I valori di riferimento del livello di servizio previsto per il tempo di ripristino • Data e orario di arrivo sul sito del componente da sostituire • Data e orario di ripristino dell’eventuale nuovo componente • Durata del disservizio (fino al completo ripristino delle funzionalità) • Personale tecnico che ha effettuato l’intervento di ripristino.

L’Aggiudicatario dovrà rendere disponibili all’Amministrazione in formato elettronico i risultati delle misure effettuate, attraverso report quadrimestrali, con la misurazione dei livelli di servizio. Tali report dovranno essere trasmessi all’Amministrazione entro il giorno 20 (venti) successivo al quadrimestre di riferimento. Oltre ai report quadrimestrali, potrà essere richiesto anche un analogo report mensile che non sarà preso come riferimento contrattuale per il calcolo delle penali, ma permetterà il controllo sull’andamento delle prestazioni per prevenire eventuali criticità. L’Aggiudicatario dovrà corredare, ove richiesto, il report mensile dell’indicazione puntuale delle azioni intraprese o che intende intraprendere al fine di rimuovere le criticità rilevate.

10.7 Corsi di Formazione

O69[obbligatorio] Il fornitore dovrà erogare un servizio di formazione rivolto al personale tecnico dell’Amministrazione con lo scopo di fornire una adeguata conoscenza sulle nuove tecnologie offerte, tale da consentire la gestione delle apparecchiature e dei prodotti hardware e software previsti nell’ambito della fornitura. La formazione dovrà essere volta all’approfondimento di temi riguardanti l’utilizzo e la gestione dei nuovi prodotti oggetto di fornitura comprendendo le caratteristiche e le funzionalità salienti, con particolare riferimento alle configurazioni hardware e software adottate. Inoltre dovrà comprendere le comuni problematiche riscontrabili nell’implementazione della tecnologia nell’ambiente applicativo dell’Amministrazione. I corsi di formazione devono riguardare i nuovi apparati di rete previsti in fornitura, i Next Generation Firewall inseriti all’interno dell’infrastruttura e il relativo Sistema di gestione centralizzato, i nuovi apparati di Bilanciamento di carico inseriti all’interno dell’infrastruttura e il relativo Sistema di gestione centralizzato. In particolare, il fornitore dovrà erogare:



54/79

• una sessione di formazione della durata di 5 (cinque) giorni per 5 discenti sui Cisco Nexus, presso la sede del fornitore o una sede equivalente purché siano site a Roma;

• una sessione di formazione, della durata di 5 (cinque) giorni, per 5 discenti, presso la sede del fornitore o una sede equivalente purché siano site a Roma, su tutte le componenti del sistema oggetto di fornitura relativamente ai nuovi apparati di Bilanciamento di carico. La sessione dovrà riguardare tutte le funzionalità dei bilanciatori di carico in fornitura, le funzionalità del sistema di gestione, il troubleshooting e gli aspetti di installazione e configurazione degli apparati;

• tre sessioni di formazione, ciascuna della durata di 5 (cinque) giorni per 5 discenti, presso la sede del fornitore o una sede equivalente purché site a Roma, per tutti gli apparati di Next Generation Firewall oggetto di fornitura di ciascun produttore (pertanto al massimo sei sessioni complessive di formazione, ciascuna della durata di 5 giorni):

o la prima sessione dovrà riguardare tutte le funzionalità dei Next Generation Firewall in fornitura relativi a ciascun produttore;

o la seconda sessione dovrà riguardare nel dettaglio le funzionalità del sistema di gestione degli apparati relativi a ciascun produttore;

o la terza sessione verterà sul troubleshooting per gli apparati relativi a ciascun produttore.

Il fornitore, inoltre, dovrà provvedere alla fornitura della documentazione didattica per i discenti, sia su supporto cartaceo, sia su supporto elettronico. Le sessioni di formazione dovranno essere svolte da personale certificato sui prodotti offerti e dovranno essere tenute presso un apposito locale, adeguatamente attrezzato, messo a disposizione dal Fornitore. Le sessioni di formazione dovranno essere erogate, previo accordo con l’Amministrazione, entro un tempo massimo di 3 (tre) mesi dalla data di completamento delle attività di migrazione dei dati e configurazione. Il completo e corretto espletamento delle sessioni di formazione sarà certificato mediante apposita relazione sulla formazione svolta comprendente un questionario che indichi il livello di gradimento del corso da parte dei discenti, redatta a cura dell’Impresa di concerto con l’Amministrazione. Il fornitore al termine di ogni sessione rilascerà ai partecipanti un attestato di partecipazione. L’amministrazione potrà richiedere la sostituzione delle figure professionali impiegate per erogare i corsi di formazione non ritenute adeguate per la mansione e l’attività svolta, richiedendone la rimozione. Inoltre, come indicato nel paragrafo 11, sarà misurato l’indicatore di qualità relativo al livello di soddisfazione degli allievi per ciascuno dei corsi sopra indicati in base ai seguenti aspetti:

- materiale didattico; - qualità della docenza; - qualità dell’assistenza tutoring e della piattaforma didattica; - organizzazione del corso.

Inoltre il fornitore dovrà fornire un numero adeguato di CLC (Cisco Learning Credit) per consentirne l’utilizzazione in corsi di formazione ufficiali Cisco idonei alla Certificazione “CCNA Routing & Switch” e CCDA (Cisco Certified Design Associate) per 7 discenti. La quantità dei CLC da fornire dovrà includere il voucher degli esami di certificazione ed è indicato di seguito: Corsi per Certificazione CCNA Routing e Switch:

• ICND1 30 CLC incluso n.1 Voucher Esame per ciascun discente (complessivamente 210 CLC per 7 discenti)



55/79

• ICND2 30 CLC incluso n.1 Voucher Esame per ciascun discente ( complessivamente 210 CLC per 7 discenti)

Corsi per Certificazione CCDA (prerequisito CCNA R&S): • DESGN Voucher 30 CLC incluso n.1 Voucher Esame per ciascun discente

(complessivamente 210 CLC per 7 discenti).

I corsi per la Certificazione CCNA Routing e Switch e per la Certificazione CCDA dovranno essere erogati presso un Learning Partner Cisco tra quelli autorizzati dal Vendor come pubblicamente riportato sul sito ufficiale Cisco: https://learningnetwork.cisco.com/community/learning_center/expert-level-training/ccie-routing-switching/learning-partners?dtid=osscdc000283 Il Fornitore dovrà altresì provvedere alla fornitura della documentazione didattica per i discenti su supporto elettronico e accesso ai laboratori per le prove pratiche. Il Fornitore dovrà produrre, di volta in volta, quanto necessario per consentire all’Amministrazione di comprovare l’esistenza della suddetta certificazione. Le sessioni di formazione relative ai corsi CCNA e CCDA dovranno essere erogate, previo accordo con l’Amministrazione, entro un tempo massimo di 48 mesi dalla data di esecutività del contratto. Il fornitore al termine di ogni corso dovrà rilasciare ai partecipanti un attestato di partecipazione ufficiale Cisco.

11 TEMPISTICHE E LIVELLI DI SERVIZIO Si riepilogano di seguito le tempistiche caratterizzanti i servizi descritti nel presente capitolato.

- Kick off meeting: l’Amministrazione, nella persona del Direttore dell’Esecuzione Contrattuale, provvederà ad indire tale incontro entro 5 giorni lavorativi dalla data di inizio esecutività del contratto.

- Progetto esecutivo comprensivo dei progetti di High Level Design e Low Level Design: il progetto esecutivo dovrà essere presentato e consegnato all’Amministrazione entro e non oltre 45 giorni solari dal Kick-off meeting.

- La Consegna di tutti gli apparati, materiali e sistemi in fornitura: dovrà avvenire entro e non oltre 60 giorni solari dalla data di esecutività del contratto.

- Il completamento del cablaggio strutturato dell’intera infrastruttura e di tutte le attività di disinstallazione degli apparati esistenti, di installazione, migrazione e configurazione di tutti gli apparati e sistemi di nuova fornitura dovranno terminare entro e non oltre 120 giorni solari dalla data di approvazione del progetto esecutivo da parte dell’Amministrazione.

- Tempi di ripristino per guasti bloccanti: entro e non oltre 4 ore solari dalla richiesta di intervento con la segnalazione del guasto.

- Tempi di ripristino per guasti non bloccanti: entro e non oltre 8 ore solari dalla richiesta di intervento con la segnalazione del guasto.

- Presentazione della Relazione contenente la reportistica dei guasti e l’analisi dei livelli di servizio di assistenza erogati nel periodo/quadrimestre di riferimento: tali report dovranno essere trasmessi all’Amministrazione entro il giorno 20 (venti) successivo al quadrimestre di riferimento.

- Tempo di presa in carico della richiesta di supporto specialistico: entro 1 (uno) giorno lavorativo dalla ricezione della richiesta di supporto specialistico, il fornitore deve prendere in carico la chiamata inviando una email di conferma alla persona di riferimento indicata dall’Amministrazione;



56/79

- Tempo di intervento di supporto specialistico: entro 5 (cinque) giorni solari dalla presa in carico; per intervento s’intende la presenza fisica della risorsa nella sede indicata nella chiamata.

- Tempo di risposta dell’operatore al punto telefonico di contatto richiesto nel paragrafo 10.4.3: entro 20 secondi nel 90% dei casi, entro 60 secondi nel 10% dei casi nel quadrimestre di riferimento. Il tempo di risposta è il tempo (misurato in secondi) che trascorre dall’inizio dell’effettuazione della chiamata da parte dell’Amministrazione al tempo di risposta dell’operatore al punto di contatto telefonico.

- Numero di chiamate senza risposta effettuate al punto di contatto telefonico richiesto nel paragrafo 10.4.3: non superiore al 5% del totale delle chiamate nel quadrimestre di riferimento.

- Personale inadeguato nello svolgimento delle attività di installazione, configurazione e migrazione e nell’erogazione dei corsi di Formazione: l’indicatore misura la quantità di risorse/figure professionali non rispondenti ai requisiti richiesti o per le quali, pur aderendo formalmente ai requisiti, l’Amministrazione ha ritenuto non adeguata la mansione e l’attività svolta rispetto al ruolo richiesto, richiedendone la rimozione. In particolare, il valore soglia relativo al numero di risorse rimosse per inadeguatezza su richiesta dell’Amministrazione è pari a zero.

- Formazione: l’indicatore di qualità misura il livello di soddisfazione degli allievi per ciascuno dei seguenti aspetti:

o materiale didattico; o qualità della docenza; o qualità dell’assistenza tutoring e della piattaforma didattica; o organizzazione del corso.

Il livello di soddisfazione degli allievi per ciascun corso deve essere superiore all’80%. Nelle tabelle seguenti vengono indicati i valori soglia e le formule di calcolo per la valutazione degli indicatori relativi al Personale inadeguato e alla formazione (livello di soddisfazione degli allievi):

Caratteristica Efficienza – Personale inadeguato

Aspetto da valutare Numero di risorse ritenute inadeguate dall’Amministrazione e pertanto rimosse

Unità di misura Risorsa/figura professionale

inadeguata Fonte dati

E-mai

lettere

verbali

Periodo di riferimento Quadrimestre precedente la

rilevazione

Frequenze di

misurazione Quadrimestrale

Dati da rilevare N_ris_inad = Numero di risorse rimosse per inadeguatezza su richiesta

dell’Amministrazione

Formula PFIN = N_ris_inad

Regole di

arrotondamento nessuna

Valore di soglia PFIN = 0 Tabella 2 – Indicatore di qualità relativo al Personale inadeguato



57/79

Caratteristica Formazione - Soddisfazione degli allievi in merito ai corsi

Aspetto da valutare

La soddisfazione degli allievi che hanno frequentato il corso.

La valutazione avverrà utilizzando numeri positivi in scala da 1 a 10 in cui:

<=5 corrisponde a “non soddisfatto”;

=6 corrisponde a “appena soddisfatto”;

=7-8 corrisponde a “soddisfatto”;

=9-10 corrisponde a “pienamente soddisfatto”.

Unità di misura Percentuale Fonte dati Questionari

Periodo di riferimento al termine di ciascun

corso

Frequenze di

misurazione

al termine di ciascun

corso

Dati da rilevare

Per ciascun allievo dovranno essere valutate:

- Risp_pos = Numero di risposte positive (valore >=7)

- Risp_tot = Numero di risposte totali

- Ut_tot = Numero di utenti totali che hanno risposto alle domande

Formula SDAL =[(∑ �� )��_�� / (Risp_tot*Ut_tot) ]*100

Regole di

arrotondamento nessuna

Valore di soglia SDAL >= 80% Tabella 3 – indicatore di qualità relativo alla Formazione

Si riportano di seguito, suddivisi per le voci oggetto della fornitura e relativamente al periodo di erogazione del servizio riportato nel presente capitolato, i livelli di servizio minimi attesi.

INDICATORE DEL SERVIZIO VALORI DI SOGLIA PERIODO DI OSSERVAZIONE CONTESTO DI

MISURA

Presentazione e consegna

all’Amministrazione del

progetto esecutivo

comprensivo dei progetti di

High Level Design e di Low

Level Design

Entro 45 giorni solari dal Kick-off

meeting Una tantum

Chiamata/

email/PEC

Consegna degli apparati,

materiali e dei sistemi in

fornitura

Entro 60 giorni solari dalla data di

inizio esecutività del contratto Una tantum

Chiamata/

email/PEC

Completamento di tutte le

attività relative al cablaggio

strutturato e relative ai servizi

di disinstallazione degli

apparati esistenti,

installazione, migrazione e

configurazione di tutti gli

apparati e sistemi previsti in

fornitura

Entro 120 giorni solari dalla data

di approvazione del progetto

esecutivo da parte

dell’Amministrazione.

Una tantum Chiamata/

email/PEC

Servizi di assistenza e

manutenzione – Tempo di

rispristino dell’infrastruttura o

del servizio per guasti

bloccanti

Tempo di ripristino

dell’infrastruttura o del servizio:

≤ 4 ore solari dalla richiesta di

intervento con la segnalazione del

guasto

Quadrimestre Chiamata/

email/PEC



58/79

INDICATORE DEL SERVIZIO VALORI DI SOGLIA PERIODO DI OSSERVAZIONE CONTESTO DI

MISURA

Servizi di assistenza e

manutenzione – Tempo di

rispristino dell’infrastruttura o

del servizio per guasti non

bloccanti

Tempo di ripristino

dell’infrastruttura o del servizio:

≤ 8 ore solari dalla richiesta di

intervento con la segnalazione del

guasto

Quadrimestre Chiamata/

email/PEC

Presentazione della relazione

contenente la reportistica dei

guasti e l’analisi dei livelli di

servizio di assistenza erogati

nel periodo/quadrimestre di

riferimento

Tali report dovranno essere

trasmessi all’Amministrazione

entro il giorno 20 (venti)

successivo al quadrimestre di

riferimento.

Quadrimestre email/PEC

Tempo di presa in carico della

richiesta di supporto

specialistico

entro 1 (uno) giorno lavorativo

dalla ricezione della richiesta di

supporto specialistico

Una tantum email

Tempo di intervento di

supporto specialistico; per

intervento s’intende la

presenza fisica della risorsa

nella sede indicata nella

chiamata.

Entro 5 (cinque) giorni solari dalla

presa in carico Una tantum

Tempo di risposta

dell’operatore del punto di

contatto telefonico

entro 20 secondi nel 90% dei casi,

entro 60 secondi nel 10% dei casi,

nel quadrimestre di riferimento

Quadrimestre Chiamata

Numero di chiamate senza

risposta effettuate al punto di

contatto telefonico

non superiore al 5% del totale

delle chiamate nel quadrimestre di

riferimento.

Quadrimestre Chiamata

Personale inadeguato:

l’indicatore misura la quantità

di risorse/figure professionali

non rispondenti ai requisiti

richiesti o per le quali, pur

aderendo formalmente ai

requisiti, l’Amministrazione ha

ritenuto non adeguata la

mansione e l’attività svolta

rispetto al ruolo richiesto,

richiedendone la rimozione

Numero di figure

professionali/personale rimosso

perché ritenuto inadeguato = 0

Al termine di ciascun

corso di formazione o

nelle fasi di installazione,

configurazione e

migrazione

Chiamata/

email/PEC

Formazione: l’indicatore di

qualità misura il livello di

soddisfazione degli allievi per

ciascuno dei seguenti aspetti:

• materiale didattico,

• qualità della docenza

• qualità dell’assistenza

tutoring e della

piattaforma didattica

• organizzazione del

corso.

Per ogni corso di Formazione

erogato (ad eccezione dei corsi

sul CCNA e sul CCDA), va

misurato il livello complessivo

di soddisfazione degli allievi

Il livello complessivo di

soddisfazione degli allievi per

ciascun corso di Formazione deve

essere superiore all’ 80%.

Al termine del corso di

formazione

Chiamata/

email/PEC

Tabella 4 - Tempistiche e livelli di servizio



59/79

12 VERIFICA DI CONFORMITÀ Le operazioni di verifica di conformità saranno eseguite da una specifica commissione, a tal fine designata formalmente dall’Amministrazione, che dovrà verificare la piena funzionalità di tutti i sistemi in fornitura e la loro rispondenza ai requisiti mandatori e a quelli migliorativi proposti in offerta. Per dare avvio alle operazioni di verifica di conformità, l’Amministrazione dovrà ricevere da parte del Fornitore una formale comunicazione di approntamento al collaudo al termine della fase di migrazione e configurazione (Capitolo 10, paragrafo 10.3). Inoltre, ai fini dell’effettuazione della verifica di conformità, il Fornitore deve trasmettere all’Amministrazione entro 110 giorni solari dall’approvazione del Progetto Esecutivo un dettagliato Piano dei Test Funzionali per verificare tutte le funzionalità del sistema. Le verifiche saranno eseguite secondo le modalità previste nel piano, fatta salva la facoltà della Commissione di richiedere ulteriori accertamenti. Nel corso della verifica finale di conformità, la Commissione avrà la facoltà di eseguire verifiche anche differenti da quanto indicato nella documentazione fornita dal Fornitore nel Piano dei Test Funzionali. Inoltre, per facilitare le operazioni di verifica di conformità, la Commissione potrà richiedere la presenza del DEC e di personale inviato dal fornitore.

All’atto dell’accettazione della fornitura, in caso di esito positivo della verifica di conformità, verrà redatto e sottoscritto dall’Amministrazione il verbale di collaudo ed accettazione, cui sarà allegato il documento rapporto di collaudo in cui sono tracciate le attività svolte durante il collaudo stesso. La presenza di anomalie che, a giudizio dell’Amministrazione, per gravità o numerosità, non consentano lo svolgimento o la prosecuzione delle attività di collaudo provocherà la sospensione del collaudo stesso. La suddetta sospensione potrebbe comportare il mancato rispetto della data prevista di fine collaudo, per cause imputabili al fornitore. Le anomalie emerse in fase di collaudo devono essere rimosse entro il termine massimo di 15 giorni lavorativi.

13 CRITERIO DI AGGIUDICAZIONE

Le offerte presentate saranno valutate applicando il criterio dell’offerta economicamente più vantaggiosa con l’attribuzione di un punteggio complessivo massimo pari a 100 punti ripartiti come di seguito indicato:

• PT – Componente tecnica: 70 punti • PE – Componente economica: 30 punti

Il punteggio totale sarà determinato dalla somma algebrica del punteggio tecnico (PT) e del punteggio economico (PE), applicando la seguente formula:

Y = PT + PE

Saranno esclusi dalla gara i concorrenti che presentino:

- offerte nelle quali sono sollevate eccezioni e/o riserve di qualsiasi natura alle condizioni di fornitura specificate nel presente capitolato;

- offerte che sono sottoposte a condizione; - offerte incomplete e/o parziali;



60/79

- offerte di servizi che non possiedono le caratteristiche minime stabilite nel presente capitolato, ovvero proposte con modalità difformi, in senso peggiorativo.

La gara sarà aggiudicata all’offerta che avrà conseguito la massima valutazione totale. I calcoli del punteggio complessivo saranno troncati alla terza cifra decimale, senza alcun arrotondamento. A parità di punteggio complessivo si proporrà l’aggiudicazione a favore della società che avrà ottenuto il maggiore punteggio tecnico.

13.1 Valutazione dell’offerta tecnica

Il punteggio relativo all’offerta tecnica (PT) sarà attribuito secondo il metodo aggregativo compensatore, conformemente alle Linee Guida attuative ANAC del D. Lgs. 50/2016 (Nuovo Codice dei Contratti Pubblici). Il punteggio tecnico complessivo di ciascuna offerta sarà dato dalla formula:

�� = �(�) = �[� ∗ �(�) ��

��

dove:

• C(a) = indice di valutazione della singola offerta riferita al concorrente (a); • Σ = sommatoria dei punteggi associati a tutti i requisiti;

• n = numero totale dei parametri previsti nel capitolato che attribuiscono punteggio tecnico; • Wi = peso o punteggio massimo attribuito al requisito i-esimo;

• V(a)i = coefficiente del servizio offerto dal concorrente (a) rispetto al requisito i-esimo, variabile tra 0 ed 1 calcolato per i parametri prestazionali e qualitativi come di seguito riportato.

L’attribuzione del punteggio relativo a ciascun requisito migliorativo sulle performance, i= 7,8,11,12,15 e 16 verrà assegnato con la seguente formula:

Dove:

− W è il punteggio massimo attribuibile al parametro prestazionale/criterio i-esimo Pi; − MAX è il massimo del valore relativo al parametro prestazionale Pi tra tutte le offerte; − MIN è il minimo del valore relativo al parametro prestazionale Pi tra tutte le offerte; − Pi è il valore legato allo specifico parametro prestazionale dell’offerta presa in esame.

P"#$%&$# = [�� ∗ �(�)�� = �� ∗ (�� − ()*)(+, − ()*

Si specifica che se Pi =MIN=MAX, ovvero in presenza di una sola offerta, il punteggio sarà calcolato nel seguente modo:

P"#$%&$# = [�� ∗ �(�)�� = �� ∗ 1



61/79

Si precisa che saranno considerate le prime tre cifre dopo la virgola senza procedere a alcun arrotondamento (es. PE: 3,2345 punteggio attribuito 3,234)

I parametri di valutazione saranno determinati secondo i valori dei parametri prestazionali nella tabella seguente. Il punteggio Relativo all’offerta tecnica (PT), in base al valore V(a)i di ogni parametro, su cui attribuire il punteggio, va calcolato come indicato in tabella per i singoli parametri Pi:

Parametro Prestazionale di

riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi

RANGE DEI VALORI DEL

PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P1 = in tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, tutte le modifiche alla configurazione effettuate e salvate non dovranno essere immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì dovrà essere disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica

7.1 / R1 W1=0,5

P1 = in tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, tutte le modifiche alla configurazione effettuate e salvate non dovranno essere immediatamente operative, ovvero applicate alla configurazione “running” del dispositivo NGFW, bensì dovrà essere disponibile un comando di sistema che verifichi preventivamente l’effettiva funzionalità e consistenza delle modifiche (anche multiple) e applichi le modifiche stesse alla configurazione “running” solo se l’esito delle verifiche è positivio e in un'unica transazione di modifica.

V(a)1= 1 W1* V(a)1= 0,5



62/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P2 = tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, dovranno avere risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato.

• Esecuzione di operazioni di ripristino (reboot del sistema o restart di servizi).


7.1 / R2 W2 = 2

P2 = tutti gli apparati di Next Generation Firewall, di cui è richiesta la fornitura nel Paragrafo 7, dovranno avere risorse hardware distinte e dedicate per il piano di controllo (Management Plane) e per il piano di inoltro (Data Plane). Il traffico dovrà essere gestito esclusivamente sulle risorse hardware dedicate al piano di inoltro senza interessare il piano di controllo. Il piano di controllo deve essere indipendente dal piano di inoltro. In questo modo, anche in caso di fault del piano di inoltro, l’operatore deve essere in grado di effettuare le seguenti funzionalità accedendo al piano di controllo:

• Monitoraggio e controllo del corretto funzionamento dell’apparato.

• Esecuzione di operazioni di ripristino (reboot del sistema o restart di servizi).


V(a)2= 1

W2* V(a)2= 2

P3 = Tutti gli apparati di Next

Generation Firewall previsti in fornitura dovranno disporre della funzionalità di inoltro dei log verso più Syslog Server esterni

7.3.4 / R3 - W3= 0,5

P3= Tutti gli apparati di Next Generation Firewall

previsti in fornitura dispongono della funzionalità

di inoltro dei log verso più Syslog Server esterni

V(a)3= 1 W3* V(a)3= 0,5

P4 = Tutti gli apparati di Next Generation Firewall previsti in fornitura devono essere capaci di importare feeds di Threat Intelligence di terze parti tramite formati opportuni allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale

7.3.4 / R4

W4= 1

P4 = Tutti gli apparati di Next Generation Firewall previsti in fornitura devono essere capaci di importare feeds di Threat Intelligence di terze parti tramite formati opportuni allo scopo di incrementare l’efficacia della soluzione verso nuove minacce in tempo reale

V(a)4= 1 W4* V(a)4= 1



63/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P5 = throughput superiore a 30Gbps in tutti gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con le sole funzionalità di Firewalling e di Application Control abilitate e dovrà essere garantito: a) con traffico HTTP e

transaction size HTTP 64KB (R5-a)

b) o in alternativa con traffico http e pacchetti http a 1024 bytes (R5-b)

c) o in alternativa con un mix di protocolli e percentuali diverse tra i vari protocolli e dimensioni dei pacchetti variabili per simulare un ambiente reale; in questo caso dovrà essere utilizzato almeno il protocollo http al 30% e il protocollo HTTPS al 10% (R5-c).

7.4.1 / R5

30 Gbps/

O41

W5 = 1,5

P5 =30 Gbps

30 Gbps < P5 < 35 Gbps

35 Gbps ≤ P5 < 40 Gbps

P5 ≥ 40 Gbps

V(a)5= 0

V(a)5= 1/3

V(a)5= 2/3

V(a)5= 1

W5* V(a)5= 0

W5* V(a)5= 0,5

W5* V(a)5= 1

W5* V(a)5= 1,5

P6 = throughput superiore a 13Gbps, in tutti gli apparati di NGFW di distribuzione previsti in fornitura per il Sistema di Indagine Tale dato di throughput dovrà essere considerato con tutte le funzionalità di Next Generation Firewall abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus. Inoltre tale dato di throughput dovrà essere garantito:

a) con traffico HTTP e transaction size HTTP 64KB (R6-a)



7.4.1 / R6

13 Gbps/

O41

W6 = 2

P6 = 13 Gbps


P6 ≥ 14 Gbps

V(a)6= 0

V(a)6= 0,5

V(a)6= 1

W6* V(a)6= 0

W6* V(a)6= 1

W6* V(a)6= 2



64/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P7= throughput superiore a 18 Gbps per gli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):


7.4.1/ R7 W7= 2

P7 ≤ 18 Gbps

P7 > 18 Gbps

V(a)7= 0

V(a)7= (./#012)034#012

Dove: MAX è il

massimo del valore relativo al parametro P7 tra tutte le offerte;

MIN è il minimo del valore relativo al parametro P7 tra tutte le offerte;

P7 è il valore legato allo specifico parametro prestazionale dell’offerta presa in esame.

In caso di

una sola offerta ovvero se 56=MIN= MAX, allora V(a)7 = 1

W7* V(a)7 =0

W7* V(a)7



65/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P8= throughput superiore a 6 Gbps per gli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con tutte le funzionalità abilitate di seguito indicate (Firewall, Application Control, IPS, AntiMalware, Antivirus) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine


7.4.1/ R8 W8=3

P8 ≤ 6 Gbps

P8 > 6 Gbps

V(a)8= 0

V(a)8=

(.7#012)034#012

Dove: MAX è il




In caso di una sola offerta ovvero se 58=MIN= MAX, allora V(a)8 = 1

W8* V(a)8 =0

W8* V(a)8

P9 = Tutti gli apparati di NGFW di accesso previsti in fornitura per il Sistema di Indagine dovranno supportare singolarmente un throughput superiore a 18Gbps. Tale dato di throughput dovrà essere considerato con le funzionalità di Firewalling e di Application Control abilitate e dovrà essere garantito: a) con traffico HTTP e




7.4.2 /R9

18 Gbps

/O42

W9 = 2

P9 =18 Gbps

18 Gbps < P9 ≤ 24 Gbps



P9 > 36 Gbps

V(a)9= 0

V(a)9= 0,25

V(a)9= 0,5

V(a)9= 0,75

V(a)9= 1

W9* V(a)9= 0

W9* V(a)9= 0,5

W9* V(a)9= 1

W9* V(a)9= 1,5

W9* V(a)9= 2



66/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P10 = Tutti gli apparati di NGFW di accesso previsti in fornitura per il Sistema di Indagine dovranno supportare singolarmente un throughput superiore a 9Gbps. Tale dato di throughput dovrà essere garantito con tutte le funzionalità di Next Generation Firewall abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus ; inoltre tale dato di throughput dovrà essere garantito:




7.4.2/R10

9Gbps

/O42

W10 = 4

P10 =9 Gbps


12 Gbps < P10 ≤ 15 Gbps

15 Gbps < P10 ≤ 18 Gbps

P10 > 18 Gbps

V(a)10= 0

V(a)10= 0,25

V(a)10= 0,5

V(a)10= 0,75

V(a)10= 1

W10* V(a)10= 0

W10* V(a)10= 1

W10* V(a)10= 2

W10* V(a)10= 3

W10* V(a)10= 4



67/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P11= throughput superiore a 9 Gbps per gli apparati di Next Generation Firewall di accesso di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• HTTPS 60% • HTTP 30% • DNS 10%

7.4.2/ R11 W11= 1,5

P11 ≤ 9 Gbps

P11 > 9 Gbps

V(a)11 = 0

V(a)11= (.��#012)034#012

Dove: MAX è il




In caso di una sola offerta ovvero se P11=MIN= MAX, allora V(a)11 = 1

W11* V(a)11=0

W11* V(a)11



68/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P12 = throughput superiore a 4,5 Gbps per gli apparati di Next Generation Firewall di accesso di cui si richiede la fornitura per il Sistema di Indagine. Tale dato di throughput dovrà essere considerato con tutte le funzionalità abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus , e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine

• HTTPS 60% • HTTP 30% • DNS 10%

7.4.2/ R12 W12=3

P12 ≤ 4,5 Gbps

P12 > 4,5 Gbps

V(a)12= 0

V(a)12=

(.�9#012)034#012

Dove: MAX è il





W12* V(a)12=0

W12* V(a)12



69/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P13 = Tutti gli apparati di NGFW di distribuzione previsti in fornitura per il NUE112 dovranno supportare singolarmente un throughput superiore a 18Gbps. Tale dato di throughput dovrà essere considerato con le funzionalità di Firewalling e di Application Control abilitate, e dovrà essere garantito:




7.5.1 /R13

18 Gbps

/ O44

W13= 2

P13=18 Gbps

18 Gbps < P13 ≤ 25 Gbps

25 Gbps < P13 ≤ 32 Gbps

32 Gbps < P13 ≤ 39 Gbps

P13> 39 Gbps

V(a)13= 0

V(a)13= 0,25

V(a)13= 0,5

V(a)13= 0,75

V(a)13= 1

W13* V(a)13= 0

W13* V(a)13= 0,5

W13* V(a)13= 1

W13* V(a)13= 1,5

W13* V(a)13= 2

P14 = Tutti gli apparati di NGFW di distribuzione previsti in fornitura per il NUE112 dovranno supportare singolarmente un throughput superiore a 9Gbps. Tale dato di throughput dovrà essere considerato con tutte le funzionalità di Next Generation Firewall abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus . Inoltre, tale dato di throughput dovrà essere garantito:




7.5.1/R14

9 Gbps /

O44

W14 = 3

P14 =9 Gbps


12 Gbps ≤ P14 < 14 Gbps

P14 ≥ 14 Gbps

V(a)14= 0

V(a)14= 1/3

V(a)14= 2/3

V(a)14= 1

W14* V(a)14= 0

W14* V(a)14= 1

W14* V(a)14= 2

W14* V(a)14= 3



70/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P15= throughput superiore a 9 Gbps per gli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il NUE112. Tale dato di throughput dovrà essere considerato con le sole funzionalità di firewall e application control abilitate, e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine):

• HTTPS 60% • HTTP 30% • ORACLE/ SQLNET 10%

7.5.1/ R15 W15= 2

P15 ≤ 9 Gbps

P15 > 9 Gbps

V(a)15= 0

V(a)15= (.�:#012)034#012

Dove: MAX è il





W15* V(a)15=0

W15* V(a)15



71/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P16 = throughput superiore a 4,5 Gbps per gli apparati di Next Generation Firewall di distribuzione di cui si richiede la fornitura per il NUE112. Tale dato di throughput dovrà essere considerato con tutte le funzionalità abilitate di seguito indicate (Firewall, Application Control, IPS, AntiMalware, Antivirus ) e con il seguente MIX di protocolli (con pacchetti TCP a 1024 bytes) (Si precisa che il seguente mix di traffico è tipico del data center presso il Sistema di Indagine

• HTTPS 60%

• HTTP 30%

• SQLNET/ORACLE 10%

7.5.1/ R16 W16=3

P16 ≤ 4,5 Gbps

P16 > 4,5 Gbps

V(a)16= 0

V(a)16=

(.�;#012)034#012

Dove: MAX è il





W16* V(a)16 =0

W16* V(a)16

P17 = Tutti gli apparati di NGFW di accesso previsti in fornitura per il NUE112 dovranno supportare singolarmente un throughput superiore a 18Gbps. Tale dato di throughput dovrà essere considerato con le funzionalità di Firewalling e di Application Control abilitate e dovrà essere garantito:




7.5.2/ R17

18 Gbps

/ O45

W17= 2

P17=18 Gbps

18 Gbps < P17 ≤ 24 Gbps

24 Gbps < P17 ≤ 30 Gbps

30 Gbps < P17 ≤ 36 Gbps

P17 > 36 Gbps

V(a)17= 0

V(a)17= 0,25

V(a)17= 0,5

V(a)17= 0,75

V(a)17= 1

W17* V(a)17= 0

W17* V(a)17= 0,5

W17* V(a)17= 1

W17* V(a)17= 1,5

W17* V(a)17= 2



72/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P18 = Tutti gli apparati di NGFW di accesso previsti in fornitura per il NUE112 dovranno supportare singolarmente un throughput superiore a 9Gbps. Tale dato di throughput dovrà essere considerato con tutte le funzionalità di Next Generation Firewall abilitate di seguito indicate: Firewall, Application Control, IPS, AntiMalware, Antivirus.

Inoltre, tale dato di throughput dovrà essere garantito: a) con traffico HTTP e




7.5.2/R18

9 Gbps /

O45

W18= 4

P18 =9 Gbps


12 Gbps < P18 ≤ 15 Gbps

15 Gbps < P18 ≤ 18 Gbps

P18 > 18 Gbps

V(a)18= 0

V(a)18= 0,25

V(a)18= 0,5

V(a)18= 0,75

V(a)18= 1

W18* V(a)18= 0

W18* V(a)18= 1

W18* V(a)18= 2

W18* V(a)18= 3

W18* V(a)18= 4

P19 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di un motore di correlazione di oggetti ed eventi relativi a tutte le diverse funzioni di sicurezza attive sugli apparati e garantisce una vista in tempo reale e aggregata delle attività sospette o eventi relativi ad attività malevole. Il motore di correlazione deve avere almeno le seguenti funzionalità relative a oggetti ed eventi:

• Raccolta: aggregazione, normalizzazione.

• Analisi: correlazione e prioritizzazione.

• Presentazione: reportistica e visualizzazione.

7.7/R19 W19=1

P19 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di un motore di correlazione di oggetti ed eventi relativi a tutte le diverse funzioni di sicurezza attive sugli apparati e garantisce una vista in tempo reale e aggregata delle attività sospette o eventi relativi ad attività malevole. Il motore di correlazione deve avere almeno le seguenti funzionalità relative a oggetti ed eventi:

• Raccolta: aggregazione, normalizzazione.

• Analisi: correlazione e prioritizzazione.

• Presentazione: reportistica e visualizzazione.

V(a)19= 1 W19* V(a)19= 1



73/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P20 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall supporta funzionalità di remediation automatiche e si integra con tool di vulnerability assessment. Inoltre deve fornire strumenti di controllo, risposta e gestione degli incidenti.

7.7/R20 W20=1

P20 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall supporta funzionalità di remediation automatiche e si integra con tool di vulnerability assessment. Inoltre deve fornire strumenti di controllo, risposta e gestione degli incidenti.

V(a)20= 1 W20* V(a)20= 1

P21 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall proposti in fornitura consente di confrontare due configurazioni (sia di sistema che dell’insieme di regole di sicurezza) e di evidenziare le differenze.

7.7/R21 W21=0,5

P21 = ciascun sistema di gestione proposto in fornitura per gli apparati di Next Generation Firewall proposti in fornitura consente di confrontare due configurazioni (sia di sistema che dell’insieme di regole di sicurezza) e di evidenziare le differenze.

V(a)21= 1 W21* V(a)21= 0,5

P22 = Ciascun sistema di gestione

proposto in fornitura per gli apparati di Next Generation Firewall dispone di integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che comprendano almeno 4 differenti categorie di informazioni.

- La possibilità di creare report che evidenzino l’attività di un singolo specifico utente, selezionando un intervallo di tempo.

- La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti

- La fornitura di report sugli eventuali “botnet” presenti in rete, che evidenzino i comportamenti anomali e le azioni malevole quali utilizzo di DNS dinamici, accesso a siti di recente registrazione, siti di Malware, ecc.

7.7/R22

W22=0,5

P22 = Ciascun sistema di

gestione proposto in fornitura per gli apparati di Next Generation Firewall dispone di integrate funzionalità di reportistica evoluta; tali funzionalità dovranno prevedere:

- Almeno 30 report differenti che comprendano almeno 4 differenti categorie di informazioni.

- La possibilità di creare report che evidenzino l’attività di un singolo specifico utente, selezionando un intervallo di tempo.

- La possibilità di creare report (live) che si aggiornano con un refresh al più ogni 10 minuti

- La fornitura di report sugli eventuali “botnet” presenti in rete, che evidenzino i comportamenti anomali e le azioni malevole quali utilizzo di DNS dinamici, accesso a siti di recente registrazione, siti di Malware, ecc.

V(a)22= 1 W22* V(a)22= 0,5



74/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P23= = ciascun bilanciatore di carico previsto in fornitura è dotato della funzionalità di SSL Session Mirroring: deve essere possibile terminare direttamente traffico SSL ed eseguire il mirroring delle sessioni SSL ed il mirroring dei dati SSL al fine di preservare la stessa connessione dai failure in condizioni di failover dei sistemi. La gestione di questa funzionalità deve essere attivabile in modo selettivo per ogni Applicazione

8/ R23 W23=0,5

P23 = ciascun bilanciatore di

carico previsto in fornitura è dotato della funzionalità di SSL Session Mirroring: deve essere possibile terminare direttamente traffico SSL ed eseguire il mirroring delle sessioni SSL ed il mirroring dei dati SSL al fine di preservare la stessa connessione dai failure in condizioni di failover dei sistemi. La gestione di questa funzionalità deve essere attivabile in modo selettivo per ogni Applicazione

V(a)23= 1 W23* V(a) 23= 0,5

P24= ciascun bilanciatore di carico previsto in fornitura consente di regolare in maniera automatica e manuale il rateo di connessioni aperte verso il backend. Deve essere possibile aprire nuove sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di smaltire il traffico in eccesso

8/ R24 W24=0,5

P24= ciascun bilanciatore di

carico previsto in fornitura consente di regolare in maniera automatica e manuale il rateo di

connessioni aperte verso il backend. Deve essere possibile aprire nuove

sessioni verso i server di backend adottando un ritardo per permettere ai sistemi di

smaltire il traffico in eccesso

V(a) 24= 1 W24* V(a) 24= 0,5

P25 = ciascun bilanciatore di carico previsto in fornitura è dotato e avrà attivate Funzionalità di Web Application Firewall con l’aggiornamento delle firme per almeno 3 anni a partire dalla comunicazione di approntamento al collaudo; inoltre deve essere previsto il servizio di assistenza e manutenzione per la funzionalità di Web Application Firewall per almeno tre anni dalla data di esito positivo delle verifiche di conformità

8/ R25 W25=2

P25 = ciascun bilanciatore di carico previsto in fornitura è dotato e avrà attivate Funzionalità di Web Application Firewall con l’aggiornamento delle firme per almeno 3 anni a partire dalla comunicazione di approntamento al collaudo; inoltre deve essere previsto il servizio di assistenza e manutenzione per la funzionalità di Web Application Firewall per almeno tre anni dalla data di esito positivo delle verifiche di conformità

V(a)25= 1 W25* V(a)25= 2

P26= ciascun bilanciatore di carico previsto in fornitura supporta il protocollo RISE per permettere agli apparati Cisco Nexus di vedere il bilanciatore di carico come un Virtual Blade a livello L3

8/ R26 W26=0,5

P26 = ciascun bilanciatore di carico previsto in fornitura supporta il protocollo RISE per permettere agli apparati Cisco Nexus di vedere il bilanciatore di carico come un Virtual Blade a livello L3

V(a)26= 1 W26* V(a)26= 0,5



75/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P27 = ciascun bilanciatore di

carico previsto in fornitura consente di monitorare il traffico sia in Real Time sia il traffico storicizzato e consente di storicizzare il traffico per almeno 60 giorni.

8/ R27 W27=1

P27 = ciascun bilanciatore di carico previsto in fornitura consente di monitorare il traffico sia in Real Time sia storicizzato e consente di storicizzare il traffico per almeno 60 giorni.

V(a)27= 1 W27* V(a)27= 1

P28 = ciascun bilanciatore di carico previsto in fornitura per il sistema SDI-DNA ha un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O52.

8.1/R28 10 GB /

O52 W28=3

P28 = 10 Gbps

10 Gbps < P28≤ 20Gbps

20 Gbps< P28 ≤30 Gbps

P28 > 30 Gbps

V(a)28= 0

V(a)28= 1/3

V(a)28= 2/3

V(a)28 = 1

W28* V(a)28= 0

W28* V(a)28= 1

W28* V(a)28= 2

W28* V(a)28= 3

P29= ciascun bilanciatore di carico previsto in fornitura per il sistema SDI-DNA ha un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O52.

8.1/R29 10GB/ O52

W29=1

P29= 10 Gbps

10 Gbps < P29≤ 20 Gbps

P29> 20 Gbps

V(a)29= 0

V(a)29= 0,5

V(a)29= 1

W29* V(a)29= 0

W29* V(a)29= 0,5

W29* V(a)29= 1

P30= ciascun bilanciatore di carico previsto in fornitura per il sistema NUE112 ha un Throughput L7 superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O53.

8.2/R30 5GB / O53

W30=4

P30= 5 Gbps


10 Gbps< P30≤20 Gbps

20 Gbps< P30 ≤ 30 Gbps

P30 > 30 Gbps

V(a)30= 0

V(a)30= 0,25

V(a)30= 0,5

V(a)30= 0,75

V(a)30= 1

W30 * V(a)30= 0

W30 * V(a)30= 1

W30 * V(a)30= 2

W30 * V(a)30= 3

W30 * V(a)30= 4

P31= ciascun bilanciatore di carico previsto in fornitura per il sistema NUE112 ha un SSL Throughput superiore al valore minimo richiesto da capitolato nel requisito obbligatorio O53.

8.2/R31 5GB / O53

W31=1,5

P31= 5 Gbps



P31> 20 Gbps

V(a)31= 0

V(a)31= 1/3

V(a)31= 2/3

V(a)31= 1

W31* V(a)31= 0

W31* V(a)31= 0,5

W31* V(a)31= 1

W31* V(a)31= 1,5



76/79


riferimento Pi

Paragrafo/

Requisito

premiante Ri

Valore

Soglia –

Requisit

o

Obbligat

orio

Punteggio

Massimo,

Peso Wi


PARAMETRO Pi

COEFFICIENTE

V(a)i

PUNTEGGIO

ATTRIBUITO =

PRODOTTO Wi * Vi

P32= Estensione del servizio di

assistenza e manutenzione su

tutti gli apparati, materiali e

sistemi di nuova fornitura,

compresa la manutenzione sul

cablaggio strutturato,

estensione

dell’aggiornamento delle

licenze e del servizio di

assistenza su tutte le licenze

richieste nel presente

capitolato (comprese le

licenze premianti che il

Fornitore vorrà includere

nell’offerta) per una durata

superiore a quella indicata nel

requisito obbligatorio O63.

10.4/R32 36 mesi

/ O63 W32=14

P32= 36 mesi

P32= 48 mesi

P32= 60 mesi

V(a)32= 0

V(a)32=0,5

V(a) 32= 1

W32* V(a)32= 0

W32* V(a)32= 7

W32* V(a)32= 14

Tabella 5 – Parametri e Calcolo punteggio tecnico

Si sottolinea che l’assegnazione di ogni singolo punteggio deve essere il risultato degli eventuali elementi migliorativi presentati rispetto alle caratteristiche minime richieste. Il mancato rispetto, oggettivamente riscontrato, di una o più delle caratteristiche minime obbligatorie richieste deve portare ad una esclusione dell’offerta dalla procedura di gara e non, bensì, ad una discrezionale valutazione di inadeguatezza.

13.2 Valutazione dell’offerta economica

L’attribuzione dei punteggi relativi all’offerta economica (PE) saranno calcolati sulla base della seguente formula:

�<� = 30 × @ ��A�B

CD

Dove:

- �E punteggio economico definitivo attribuito all’offerta del concorrente i-simo; - � ribasso rispetto all’importo complessivo a Base d’Asta (BA), determinato in ragione del

prezzo complessivo offerto dal concorrente i-simo (Pi), mediante la seguente formula:

�� = (F+ − ��)F+

− �GHI è il massimo ribasso rispetto al prezzo a base d’asta tra tutte le offerte pervenute; − J un parametro pari a 0,4



77/79

Si precisa che nell’attribuzione dei punteggi dovranno essere considerate le prime tre cifre dopo la virgola senza procedere ad alcun arrotondamento (es. PE: 3,23456 punteggio attribuito 3,234).

14 MODALITÀ DI PRESENTAZIONE DELL’OFFERTA Si riportano di seguito i criteri che ciascuna società concorrente deve seguire nel redigere la propria offerta.

14.1 Offerta Tecnica

L’offerta tecnica deve essere prodotta in lingua italiana e priva di qualsiasi indicazione di carattere economico; dovranno evincersi in maniera dettagliata le caratteristiche del beni e servizi offerti. Lo schema di offerta tecnica richiesto dovrà avere la struttura del capitolato tecnico (rispettando la sequenza dei capitoli e paragrafi), in modo che si possano evincere in maniera diretta e dettagliata le caratteristiche di quanto offerto. Nell’offerta tecnica dovranno essere messe a confronto le caratteristiche tecniche richieste e quelle offerte; dovranno essere indicate le modalità di fornitura e di presentazione dei servizi oggetto del capitolato, con riferimento ai requisiti indicati nel presente documento. Inoltre dovrà essere allegato all’offerta tecnica:

• un cronoprogramma con tutte le attività previste; • i datasheet e le specifiche tecniche di tutti gli apparati e sistemi previsti in fornitura; • tutta la documentazione necessaria che attesti i parametri prestazionali dichiarati e le

funzionalità richieste nel presente capitolato (requisiti obbligatori e requisiti migliorativi offerti). In particolare, con riferimento ai parametri prestazionali dichiarati relativi ai requisiti migliorativi R7, R8, R11, R12, R15 e R16, il Fornitore deve fornire in offerta tutta la documentazione necessaria con il dettaglio dei test eseguiti dal produttore degli apparati di Next Generation Firewall, la procedura utilizzata per l’effettuazione dei test, lo scenario e l’ambiente in cui è stato effettuato il test, gli strumenti utilizzati per l’esecuzione dei test, i dati di input e l’output ottenuto.

• le dichiarazioni dei Produttori degli apparati in fornitura che, sotto la propria responsabilità, attestino la veridicità di tutti i parametri prestazionali dichi arati nell’offerta tecnica ed in particolare la veridicità dei parametri prestazionali relativi ai requisiti migliorativi R7, R8, R11, R12, R15 e R16 e la veridicità di tutti i parametri prestazionali dichiarati in offerta non presenti nei datasheet degli apparati in fornitura.

L’offerta tecnica dovrà: − essere presentata su fogli singoli di formato DIN A4, non in bollo, con una numerazione

progressiva ed univoca delle pagine; − essere fascicolata con rilegatura non rimovibile; − essere contenuta entro le 150 (centocinquanta) pagine; − rispettare lo schema di risposta proposto.

All’offerta tecnica in originale dovrà essere aggiunta una copia in formato elettronico non modificabile con la possibilità di eseguire ricerche di testo. Nella copia in formato elettronico deve essere contenuta l’offerta tecnica e tutta la documentazione allegata richiesta sopra.



78/79

14.2 Offerta Economica

L’offerta economica dovrà essere presentata mediante la compilazione della seguente tabella, ovvero, in qualsiasi altra forma stilistica purché rappresenti, a pena di esclusione, i medesimi livelli di dettaglio e di informazioni:

DESCRIZIONE QTA’ COSTO ANNUO/

COSTO UNITARIO

COSTO

COMPLESSIVO

Realizzazione cablaggio strutturato:

Fornitura di Materiali

Indicare le figure professionali impiegate (numero e tipologia), costi giornalieri e

numero dei giorni di attività

Fornitura apparati Hardware:

Fornitura apparati di rete

Fornitura Next Generation Firewall

Fornitura Bilanciatori di carico

Licenze (IPS – AntiMalware-Antispyware-Antivirus-URLFiltering etc) -

(Inserire il dettaglio dei servizi o licenze fornite)

Licenze contesti virtuali

Sistema di gestione

Sistema di gestione degli apparati Next Generation Firewall

Sistema di gestione dei bilanciatori di carico

Progettazione



Servizio di installazione, migrazione e configurazione degli apparati e dei

sistemi in fornitura



Servizio di manutenzione

Manutenzione sugli apparati di rete

Manutenzione sugli apparati di Next Generation Firewall

Manutenzione sui bilanciatori di carico

Supporto specialistico



Formazione



Altro (specificare le singole voci integrative ed i costi in dettaglio)



79/79

DESCRIZIONE QTA’ COSTO ANNUO/

COSTO UNITARIO

COSTO

COMPLESSIVO

TOTALE OFFERTA IVA ESCLUSA

Costi per la sicurezza

TOTALE IVA ESCLUSA

Tabella 6 - Offerta economica

CAPITOLATO TECNICO Lotto 1 - Aggiornamento della rete per ... · HLD High Level Design HTTP...

Documents

Transcript of CAPITOLATO TECNICO Lotto 1 - Aggiornamento della rete per ... · HLD High Level Design HTTP...