B.3 Локальная Вычислительная Сеть B.3.1.3.1Общие требования -
Необходимо создать Локальную вычислительную сеть, включая структурированную кабельную систему, в помещениях, где будет располагаться Вычислительный комплекс.
-
Должно быть обеспечено подключение к существующей ЛВС Получателя через четыре канала пропускной способностью 10 Gbps.
-
Активное оборудование ЛВС должно быть полностью совместимо с оборудованием Cisco Systems, на котором реализована существующая корпоративная сеть Получателя. Соответствующее подтверждение совместимости должно исходить от Cisco Systems.
-
Необходимо обеспечить полное взаимодействие с сетевыми протоколами и технологиями существующей ЛВС.
-
Необходимо использовать новые технологические принципы (модели) построения сетевых инфраструктур:
-
использовать распределенное объединение физических каналов в единый логический канал.
-
обеспечить возможность виртуализации (разбиение физического коммутатора на виртуальные маршрутизаторы с независимыми таблицами коммутации/маршрутизации и т.д.).
-
обеспечить возможность использования виртуальных выносных плат (расширителей).
-
Необходимо обеспечить интеграцию с ВСС Росгидромета по существующим каналам связи.
-
Необходимо установить в существующие коммутаторы ядра Получателя резервные блоки питания и вентиляторные модули.
-
Необходимо установить в существующие коммутаторы ядра Получателя дополнительные модули межсетевого экранирования и безопасности.
-
Необходимо установить на существующие коммутаторы ядра Получателя актуальные версии IOS.
-
Построить единую технологическую инфраструктуру распределенных программно-аппаратных средств системы инфраструктурных сервисов и обеспечить полную сетевую связность трех объектов автоматизации в соответствии с п.A.8.
-
Структурировать ЛВС по подсистемам\уровням передачи данных - транспорта ЛВС, информационной безопасности, управления и контроля сетевой среды.
-
Кроссовое оборудование кабельной системы и активное оборудование ЛВС должно размещаться в монтажных шкафах. После размещения в монтажных шкафах СКС должно быть обеспечено свободное пространство (не менее 30%).
-
На коммутаторах после организации всех подключений должно быть обеспечено наличие свободных портов и трансиверов (не менее 30%) каждого типа/скорости подключения.
-
Подробное описание требуемого активного сетевого оборудования приведено ниже.
-
Участник торгов должен включить в заявку все оборудование и материалы, которые необходимы для монтажа упомянутой ЛВС.
-
Участник торгов должен разработать и включить в заявку подробную схему предлагаемой структуры ЛВС, которая иллюстрирует все требуемые соединения.
-
Все функции, описанные в п. B.3, должны быть реализованы.
-
Должно быть предусмотрено все необходимое оборудование и программное обеспечение (в том числе явно не обозначенное в Технических требованиях) для реализации функций обозначенных в п. B.3
B.3.2.3.1Архитектура ЛВС -
Должна быть обеспечена следующая архитектура ЛВС, учитывающая принципы построения, дизайн, протоколы и технологии существующей сетевой инфраструктуры:
-
Уровни ядра, распределения, доступа и серверной фермы могут совмещаться в одном устройстве;
-
Уровень ядра полностью дублирован;
-
Коммутаторы ядра должны быть размещены на разных этажах здания.
-
Топология ЛВС должна включать следующие уровни:
-
Уровень ядра/распределения – 2 центральных модульных L3 коммутатора.
-
Подключение уровня ядра к существующей ЛВС 4-мя транковыми многомодовыми линиями на скорости не менее 10 Gbps. Для организации линий связи в существующем оборудовании предусмотреть соответствующие трансиверы;
-
Уровень доступа – необходимое число коммутаторов доступа, подключенных 2-мя транковыми соединениями к ядру ЛВС на скорости не менее 10 Gbps. Данные коммутаторы должны являться платами коммутаторов ядра.
-
Должно быть обеспечено подключение серверов СУД, серверов оперативной системы, сервера системы управления и мониторинга непосредственно к коммутаторам ядра через выносные платы (коммутаторы доступа) на скоростях 1Gbps и 10Gbps.
B.3.3.3.1Общие требования к коммутаторам -
На всех уровнях локальной сети должен поддерживаться протокол IP, а также следующие протоколы:
-
протоколы удаленного доступа, управления и мониторинга: Telnet, SSH, HTTP, HTTPS, SNMP (Simple Network Management Protocol), RMON (Remote Monitoring), ICMP (Internet Control Message Protocol);
-
технологические протоколы: DNS, NTP, DHCP (Dynamic Host Configuration Protocol);
-
протоколы аутентификации: TACACS+ (Terminal Access Controller Access Control System), RADIUS (Remote Authentication in Dial-In User Service), 802.1x.
-
Необходимо обеспечить дублирование блоков питания в каждом компоненте передачи данных ЛВС.
-
Необходимо обеспечить совместимость с системами управления, эксплуатируемыми Получателем. Подтверждение совместимости должно исходить от Производителя оборудования.
B.3.4.3.1Коммутатор #1 - уровень ядра
Коммутаторы #1 (уровень ядра ЛВС) должны удовлетворять, как минимум, следующим требованиям:
-
обеспечение необходимой пропускной способности каналов до уровня доступа не менее 10 Gbps;
-
обеспечение дублирования каналов для подключения уровня доступа;
-
наличие необходимого количества трансиверов SFP+ для подключения уровня доступа, подключения к существующей сети передачи данных и организации межкоммутаторного взаимодействия;
-
обеспечение требований масштабируемости: наличие не менее 2 (двух) свободных слотов для увеличения количества подключений к существующей сети коммутаторов уровня доступа/расширения ;
-
должны быть модульной архитектуры, не более 2U в высоту;
-
наличие неблокируемой матрицы коммутации на скорости не менее 1920 Gbps;
-
наличие функции коммутации и маршрутизации трафика на скорости не менее 160 Gbps;
-
наличие поддержки протоколов маршрутизации: OSPF, RIP, IS-IS, BGPv4, EIGRP;
-
наличие поддержки технологии FCoE и возможности установки Fiber Channel адаптеров в любой из портов коммутатора;
-
наличие не менее 8 трансиверов SFP+ 8Gbps Fiber Channel;
-
наличие функции образования распределенного агрегированного канала между коммутаторами;
-
наличие функции использования отдельных физических устройств в виде дополнительных плат коммутации.
B.3.5.3.1Коммутатор #2 – уровень доступа
Коммутатор #2 (уровень доступа) должен удовлетворять, как минимум, следующим требованиям:
-
наличие не менее 48 портов 1 Gbps для подключения серверного оборудования;
-
наличие не менее 4 (четырех) слотов SFP+ в каждом коммутаторе доступа;
-
наличие не менее 2 трансиверов 10 Gbps;
-
обеспечение объединения с коммутатором ядра в качестве виртуального модуля;
-
высота не более 1U;
-
обеспечение выдува воздуха в горячую зону.
B.3.6.3.1Коммутатор #3 – уровень доступа
Коммутатор #3 (уровень доступа) должен удовлетворять, как минимум, следующим требованиям:
-
наличие не менее 32 слотов SFP+ в каждом коммутаторе доступа;
-
наличие не менее 10 трансиверов 10 Gbps для подключения серверного оборудования;
-
наличие не менее 8 (восьми) слотов SFP+ в каждом коммутаторе доступа для связи с коммутаторами ядра;
-
наличие не менее 2 трансиверов 10 Gbps для связи с коммутаторами ядра;
-
обеспечение объединения с коммутатором ядра в качестве виртуального модуля;
-
высота не более 1U;
-
обеспечение выдува воздуха в горячую зону.
B.3.7.3.1Система информационной безопасности
Решения по информационной безопасности ЛВС должны удовлетворять, как минимум, следующим требованиям:
B.3.7.1Архитектура -
Архитектура информационной безопасности должна предусматривать многоуровневую модель защищенности базовой инфраструктуры IP-сети.
-
Необходимо использовать современные средства защиты от несанкционированного доступа.
-
Необходимо обеспечить межсетевое экранирование и создание защищенных сегментов (ДМЗ) на базе аппаратных средств п. B.3.7.3, а именно:
использовать кластерное решение в режиме Active/Active;
обеспечить функционал Statefull Failover;
использовать оборудование с дублированными блоками питания;
обеспечить возможность виртуализации (разбиения на виртуальные МСЭ), наличие не менее 5 (пяти) виртуальных МСЭ;
создать несколько зон безопасности с различными уровнями доступа.
-
Обеспечить безопасный доступ к информационным ресурсам за счет применяемых политик безопасности и разграничения зон безопасности;
-
Обеспечить применение интеллектуальных сетевых механизмов обеспечения защиты доступа к информации.
-
Обеспечить безопасное межсетевое взаимодействие по технологии VPN.
-
Использовать средства анализа защищенности сетевой инфраструктуры.
-
Использовать средства обнаружения и предотвращения вторжений.
-
Обеспечить резервирование существующей системы централизованной аутентификации, авторизации и аудита для обеспечения централизованной организации сетевой идентификации и упрощения управления пользователями на оборудовании с возможностью одновременной работы с 500 устройствами на базе программно-аппаратных средств п.B.3.7.5.
-
Разработать методы и способы защиты интерфейсов аппаратных средств сетевой инфраструктуры ЛВС, интерфейсов с внешними, смежными сетями и сетью Интернет на основе использования технологий информационной защиты нового поколения.
-
Разработать методы управления и мониторинга средствами информационной безопасности, а именно:
Использовать Единую систему управления правилами безопасности для управления всеми МСЭ, средствами обнаружения и предотвращения вторжений.
Реализовать централизованное решение (оборудование размещается у Получателя), управляющее распределенной инфраструктурой безопасности.
Обеспечить универсальный удаленный доступ к информационным ресурсам ЛВС, узлам ВСС Росгидромета, а именно:
-
Реализовать функционал VPN-концентратора для терминирования защищенных соединений с пользователями через сеть Интернет.
-
Обеспечить производительность VPN-концентратора не менее 400 Mbps.
B.3.7.2Разработка политик многоуровневой стратегии обеспечения безопасности ЛВС -
Учесть требования руководящих документов, положений, регламентов и инструкций по информационной безопасности ЛВС и ВСС.
-
Сформулировать задачи по обеспечению информационной безопасности и разработать средства для решения этих задач.
-
Учесть особенности построения сетевой инфраструктуры.
-
Разработать процедуры аутентификации пользователей на основе протоколов RADIUS/TACACS+.
-
Разработать правила разграничения доступа пользователей к информационным ресурсам сети на основе политик безопасности, списков доступа на МСЭ.
B.3.7.3Межсетевой экран #1
Межсетевой экран #1 предназначен для формирования защищенного отказоустойчивого узла доступа к информационным ресурсам, защиты сегментов локальной вычислительной сети (ЛВС) от несанкционированного доступа и деструктивных действий злоумышленников. (Защита сегментов ЛВС, Защита информационного взаимодействия по каналам связи Росгидромета и сети Интернет).
Как минимум, Межсетевой экран #1 должен удовлетворять следующим требованиям:
-
Объем оперативной памяти – не менее 12 ГБ
-
Объем Flash памяти – не менее 8 ГБ;
-
Встроенные порты – не менее 8 шт. 10/100/1000 Mbps;
-
Порты управления – не менее 1 шт. 10/100/1000 Mbps;
-
Наличие встроенного средства обнаружения и предотвращения вторжений, производительностью не менее 900 Mbps.
Программное обеспечение
-
Cisco Adaptive Security Appliance Software;
-
Cisco Adaptive Security Device Manager;
-
Поддержка работы в режимах Active/Standby и Active/Active;
-
Поддержка сервисов SSL и IPSec VPN;
-
Совместимость с существующей системой управления Получателя (CiscoWorks, включая весь функционал системы управления и контроля);
Производительность
-
Максимальная пропускная способность - не менее 1,5 Gbps;
-
Максимальное количество одновременно поддерживаемых соединений – не менее 750000;
-
Максимальное количество Site-to-Site и Remote Access VPN сессий – не менее 2500;
-
Максимальное количество SSL VPN сессий – не менее 2500;
-
Максимальная пропускная способность 3DES VPN – не менее 400 Mbps.
B.3.7.4Межсетевой экран #2
Межсетевой экран #2 предназначен разграничения доступа между зонами Вычислителя и существующей сети. Как минимум, Межсетевой экран #2 должен удовлетворять следующим требованиям:
-
Должен быть встраиваемым в существующие коммутаторы Cisco Catalyst 6500;
Программное обеспечение
-
Cisco Adaptive Security Appliance Software;
-
Cisco Adaptive Security Device Manager;
-
Поддержка работы в режимах Active/Standby и Active/Active;
-
Совместимость с существующей системой управления Получателя (CiscoWorks, включая весь функционал системы управления и контроля);
Производительность
-
Максимальная пропускная способность - не менее 16 Гб/с
-
Максимальное количество одновременно поддерживаемых соединений – не менее 10000000;
-
Максимальное количество установления новых соединений – не менее 300000 в секунду;
-
Максимальное количество виртуальных подсетей (VLAN) – не менее 1000;
-
Наличие не менее 5 (пяти) виртуальных МСЭ;
-
Максимальное количество записей в списках доступа – не менее 2000000.
B.3.7.5Система централизованной аутентификации, авторизации и аудита #1
Как минимум, Система должна удовлетворять следующим требованиям:
-
Cостоять из компонент: точки администрирования политики (PAP) и точек принятия решения (PDP).
-
Обеспечивать поддержку протоколов AAA: RADIUS и TACACS+;
-
Поддерживать протоколы аутентификации: PAP, MS-CHAP, Extensible Authentication Protocol (EAP)-MD5, Protected EAP (PEAP), EAP-Flexible Authentication via Secure Tunneling (FAST), and EAP-Transport Layer Security (TLS);
-
Возможность интеграции с Windows Active Directory and LDAP;
-
Ведение журналов аудита действий пользователя (в том числе попыток нарушения политик безопасности);
-
Возможность сбора информации для систем учета расхода сетевых ресурсов (трафика);
-
Поддерживать протокола SSL для web-интерфейса управления;
-
Возможность сохранения информации об учете и аудите в формате CSV для удобства ее импорта в системы тарификации;
-
Поддержка расширяемых пользовательских атрибутов Vendor Specific Attributes (VSA);
-
Возможность доступа на основе определяемых администратором политик, с ограничением доступа по устройствам, времени, протоколу аутентификации.
-
Возможность управления всеми настройками через Web интерфейс;
-
Гибко контролировать и разграничивать полномочия и функции администраторов на основе модели ролей;
-
Совместимость с существующей системой управления Получателя (CiscoWorks, включая весь функционал системы управления и контроля);
-
Форм-фактор – система должна иметь возможность монтажа в стойке, не более 1 RU.
-
Система должна иметь следующие порты ввода/вывода: 1 serial port, 4 USB 2.0, VGA Video.
-
Система должна иметь не менее 4 интерфейсов RJ-45 10/100/1000 Mbps.
-
Объем оперативной памяти не менее 16 ГБ.
B.3.8.3.1Система управления и мониторинга ЛВС
Система управления и мониторинга должна удовлетворять, как минимум, следующим требованиям:
Необходимо:
-
Реализовать централизованное управление и мониторинг всеми устройствами, функционирующими на сети, включая существующее оборудование.
-
Реализовать централизованное управление и мониторинг активного оборудования на базе системы управления элемент-менеджера.
-
Реализовать централизованное управление и мониторинг оборудования на базе системы управления энтерпрайз-менеджера.
-
Обеспечить возможность одновременного управления и мониторинга не менее 150 устройствами.
-
Обеспечить управление и конфигурирование технических средств.
-
Обеспечить контроль и отображение состояния технических средств.
-
Обеспечить оперативное обнаружение и локализацию аварийных и сбойных ситуаций.
-
Реализовать средства сбора статистической информации.
-
Обеспечить совместимость с системами управления различных производителей и существующими у Получателя системами.
-
Разработать методы контроля за информационными потоками.
-
Обеспечить наличие у подсистемы управления полного набора интегрированных приложений для управления с рабочего места администратора сети:
Разработать графический интерфейс и наглядное графическое представление топологии сети, включая активное сетевое оборудование и канальную инфраструктуру.
Обеспечить контроль работоспособности сети со станции управления сетью;
Обеспечить управление доступом любой станции пользователя к портам ЛВС с центральной консоли.
Обеспечить автоматическое обнаружение устройств в сети.
Обеспечить мониторинг загрузки каналов передачи данных, активности использования рабочих станций, серверов, информационных ресурсов сети.
Обеспечить выдачу предупреждений о близости критических событий в соответствии с настраиваемыми фильтрами и порогами.
Предоставить средства сбора статистической информации о потоках и данных в сети.
Предоставить средства анализа и декодирования протоколов.
Предоставить гибкий механизм составления отчетов.
Обеспечить информирование в случае обнаружения аварийных и сбойных ситуаций.
Реализовать журнализацию работы администратора и функционирования активного сетевого оборудования.
Реализовать средства и методы создания фильтров для обеспечения управления потоками данных.
Обеспечить возможность распределенного, удаленного контроля и управления инфраструктурой ЛВС.
B.3.9.3.1Система управления политиками безопасности ЛВС
Система централизованного управления политиками безопасности должна удовлетворять, как минимум, следующим требованиям:
Необходимо реализовать систему централизованного управления политиками безопасности, обладающую следующими свойствами:
-
Поддержка всех устройств производства компании Cisco, обеспечивающих безопасность в сети, включая существующее оборудование.
-
Мощный и удобный механизм управления объектами и правилами.
-
Возможность анализа соответствия существующих списков доступа необходимым правилам безопасности.
-
Возможность анализа системных сообщений с устройств Cisco ASA/ASASM/FWSM.
-
Возможность составления отчетов о прошедшем трафике.
-
Возможность добавления новых сигнатур на устройства предотвращения вторжений.
-
Возможность настройки VPN-соединений.
Поделитесь с Вашими друзьями: |