PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA SUMINISTRO DE EQUIPAMIENTO DE TELECOMUNICACIONES PARA GESTIÓN DE RED Y SEGURIDAD PERIMETRAL DE LA RED MUNICIPAL DE TELECOMUNICACIONES MULTISERVICIO 1 ANTECEDENTES Y OBJETIVOS Debido a la demanda de la sociedad de un mejor acceso a la información y establecer mejores formas de comunicación entre la administración pública y los ciudadanos, así como las mejoras técnicas de cara a la implantación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, se requiere una actualización de la arquitectura de telecomunicaciones y seguridad perimetral del Ayuntamiento de Huesca, aprovechando el equipamiento de red existente junto con la plataforma de gestión de políticas. El Ayuntamiento de Huesca aprueba mediante acuerdo de pleno de sesión del 1 de Febrero de 2010 el listado de proyectos que se presentan a la convocatoria del Fondo Estatal para el Empleo y la Sostenibilidad Local creada por el Real Decreto-ley 13/2009, de 26 de octubre. Dentro del listado de proyectos presentados se encuentra el proyecto consistente en el SUMINISTRO DE EQUIPAMIENTO DE TELECOMUNICACIONES PARA GESTIÓN DE RED Y SEGURIDAD PERIMETRAL DE LA RED MUNICIPAL DE TELECOMUNICACIONES MULTISERVICIO. Esta red permitirá integrar seguridad y capacidad de gestión tanto para la parte de acceso LAN y centralizar los servicios a un core con alta capacidad de proceso así como extenderlo a la red inalámbrica municipal. De esta forma, los objetivos que este proyecto plantea son: 1) Suministro, instalación y configuración de un nuevo core de red para el Ayuntamiento de Huesca 2) Suministro, instalación y configuración de un sistema de Seguridad Perimetral para el Ayuntamiento de Huesca 3) Centralización de las conexiones de diversas instalaciones municipales remotas a través de la Red Multiservicio. 4) Ampliación de la arquitectura Wi-Fi Municipal 5) Servicios profesionales para la mejora de la seguridad de la red municipal
2 OBJETO DEL CONTRATO Suministro de: - 1 core de red - Dispositivos de seguridad perimetral o 1 IDS/IDP de nivel 7 o 2 balanceadores en alta disponibilidad o 1 equipo de Inteligencia de Red y gestión de ancho de banda - 3 cortafuegos para VPN - 2 puntos de acceso Wi-Fi de exterior Servicios: - Auditoría de Red - Instalación, configuración del Core de Red - Instalación, configuración de dispositivos de seguridad perimetral - Centralización de las conexiones de diversas instalaciones municipales remotas a través de la Red Multiservicio - Tunning, actualización y traslado del actual controlador Wi-Fi (Hipath Wireless) - Tunning, configuración y traslado del appliance Nomadix - Servicios de asesoría y mejora de la configuración de la red municipal, para una segmentación adecuada por VLANs. - Servicios de asesoría y configuración de políticas a través de la plataforma de gestión de red actualmente desplegada en el Ayuntamiento de Huesca, Netsight suite. - Servicios de asesoría y configuración de VNS (Virtual Network Services) inalámbricas de capa 3 para dar servicio a nuevas zonas Wi-Fi de forma segura. - Traslados, movimientos en CPD, necesarios - Formación de los técnicos municipales - Otros servicios adicionales que el Ayuntamiento de Huesca requiera para la finalización completa del proyecto. 3 COMIENZO Y DURACIÓN DE LOS TRABAJOS El plazo de suministro e implantación de la totalidad del equipamiento es de CUATRO MESES, contados a partir de la firma del documento contractual. 4 PRECIO MÁXIMO DE LICITACIÓN: 120.000 (IVA no incluido) 139.200 (16 % - IVA incluido) 5 MODELO DE CONTRATATACIÓN Tipo de contrato: Contrato administrativo de suministros CPV: 32420000-3 Equipos de red Dado el tipo de licitación, la tramitación del expediente se lleva a cabo mediante un procedimiento abierto.
6 CARACTERÍSTICAS TÉCNICAS DE LOS SUMINISTROS REQUERIDOS 6.1 Core de red Requisitos mínimos: - 1 chasis con capacidad para 4 slots con capacidades de hasta 288 puertos Gigabit Ethernet o bien 64 puertos 10 Gigabit Ethernet - Arquitectura del equipamiento distribuida (sin necesidad de tarjeta supervisora) y no bloqueante. - Arquitectura con capacidad de backplane de 3 Tbps y conmutación de 640 Gbps - Fuente de alimentación redundante - Garantía de la disponibilidad de acceso a la red en caso de fallo de alguno de los componentes que la integran, estando todos redundados: Puertos. Tarjetas. Elementos pasivos, como fuentes de alimentación, ventiladores. - Sustitución de los componentes y módulos en caliente. - Las fuentes de alimentación pueden ser usadas en cualquier chasis de la misma familia para futuras ampliaciones - Posibilidad de ampliar el chasis, si fuese necesario, con fuentes adicionales de alimentación PoE sin necesidad de sustituir las placas de puertos de cobre. - Multiautenticación de usuarios: se deberá poder multiautenticar hasta 8 usuarios por puerto, permitiendo un total de 2560 usuarios por chasis. - Los puertos 10/100/1000BaseT suministrarán PoE+ (802.3at) - El chasis es capaz de ofrecer PoE+ (802.3at) sin necesidad de cambiar las tarjetas de puertos de cobre. - El chasis es totalmente pasivo. - El equipamiento tiene un rendimiento al menos 45Mpps por tarjeta, y de 120 Mpps por tarjeta en las tarjetas de alto rendimiento. - Soporta hasta 57.000 reglas de clasificación por chasis. - Los estándares que como mínimo debe soportar el equipo a ofertar son los siguientes: 802.3w (Control de flujo) 802.3ad (agregación de enlaces) 802.1q (VLANs) 802.1p (Prioridades) 802.1x (Autenticación) RFC 3580 - Los protocolos de routing que como mínimo debe soportar el equipo a ofertar son los siguientes: OSPF. RIPv1/v2. VRRP. DVMRP/PIM-SM Routing por políticas (Policy Based Routing). Listas de control de acceso básicas y extendidas. - Es importante que todos los protocolos de red sean basados en estándares. - Permite port-mirroring.
- Control de tráfico a nivel 2, 3 y 4. - Soporte de SNMPv1, SNMPv2, SNMPv3 y RMON. - IP única de gestión. - Redireccionamiento de logs. - Soporta la autentificación de un usuario mediante cualquiera de los siguientes protocolos o métodos (801.1X, MAC, Portal web cautivo) - Capacidad de asignar políticas de seguridad en la red en base a cualquiera de los métodos de autentificación nombrados en el punto anterior. Se entiende por política de red: Asignación del tráfico de usuario a una VLAN por defecto Asignación del tráfico de usuario a una prioridad (QoS) por defecto Filtrado del tráfico de usuario a nivel 2/3/4 Aplicación de Rate Limit de entrada y salida en base a patrones de tráfico de nivel 2/3/4 Aplicación de prioridades de tráfico de nivel 2 (802.1p) y nivel 3 (ToS) en base a patrones de tráfico de nivel 2/3/4-2 fuentes de alimentación - 96 puertos 10/100/1000Base-TX vía RJ45 con PoE+ (802.3at) - 24 puertos 1000Base-X vía SFP - 5 unidades LC SFP 1000Base-SX Multimodo - 5 unidades LC SFP 1000Base-LX Monomodo - Deberá integrarse con la plataforma de gestión de red actualmente desplegada en el Ayuntamiento de Huesca, Netsight suite - Cables y accesorios para su instalación en rack - Latiguillos de fibra óptica que se precisen para su instalación - Instalación y puesta en marcha 6.2 SISTEMA DE SEGURIDAD PERIMETRAL 6.2.1 IDS/IDP de nivel 7 Requisitos mínimos de la solución: - Un dispositivo tipo appliance - Debe identificar las aplicaciones que circulan por la red, ofreciendo total visibilidad sobre el tráfico de nivel 7 - detección y bloqueo de malware y exploits de vulnerabilidades (virus, spyware, gusanos, etc) sin penalización de la latencia. - Arquitectura hardware de alto rendimiento - Los entornos de datos y control deberán estar totalmente aislados entre sí, contando cada uno de ellos con sus propios recursos de procesamiento - Filtrado web, sin limitación de usuarios - Inspección de tráfico en una única pasada capaz de detectar y bloquear amenazas, malware, aplicar el filtrado web, etc, de forma que no se penalice el rendimiento (de forma que no sea necesario efectuar el análisis varias veces, una para cada tipo de amenaza) - Visibilidad e informes detallados - Creación de informes programada o manual con criterios de filtrado - QoS para poder priorizar las aplicaciones más críticas - Integración con Directorio Activo (incluido Active Directory 2008) - Rendimiento de Firewall de 500 Mbps
- Rendimiento de prevención de amenazas de 200 Mbps - Rendimiento de VPN IPSec de 200 Mbps - Nuevas sesiones por segundo 15.000 - Sesiones máximas 125.000 - Instalación y puesta en marcha 6.2.2 Dos Balanceadores de líneas en alta disponibilidad Se garantizará la alta disponibilidad de la salida a Internet, haciendo balanceo entre las diferentes líneas. Los dispositivos deberán permitir también el balanceo de entrada hacia los servidores situados en la DMZ desde los que se prestan diferentes servicios públicos a los ciudadanos (sede electrónica, servidor de correo, etc) Requisitos mínimos de la solución: - Dos balanceadores tipo appliance configurados en alta disponibilidad - Balanceo de salida - Balanceo de entrada - Rendimiento de 20 Mbps - Capacidad de ir creciendo hasta 100 Mbps por software en un futuro sin necesidad de cambiar el hardware - Soporte de DNS interno - Los algoritmos de balanceo que como mínimo debe soportar el equipo a ofertar son: balanceo fijo de servicio por WAN balanceo fijo de conexiones mediante Round Robin balanceo dinámico mediante carga de tráfico de subida o bajada balanceo dinámico mediante menor número de conexiones balanceo dinámico mediante la mejor ruta para llegar a destino balanceo en función de servicios/aplicaciones - Capacidad para gestionar hasta 25 WAN lógicas - Capacidad para soportar en un único puerto físico todas las WAN lógicas o a puertos virtuales (VLAN) - Capacidad de gestionar y monitorizar en tiempo real cada WAN y el tráfico entrante/saliente - Capacidad de puertos configurables por el usuario (WAN, LAN o DMZ) - Posibilidad de redundancia de los puertos LAN y DMZ. - Capacidad de Tunnel Routing y balanceo a nivel de paquetes dentro de los enlaces Multi- VPN. - Puestos WAN con soporte PPPoE y DHCP Client. - Instalación y puesta en marcha 6.2.3 Equipo de gestión de inteligencia de red y del ancho de banda Los objetivos que persigue este equipo son los siguientes: a) mejorar el ancho de banda de salida a Internet, optimizando el rendimiento de la red municipal y la infraestructura WAN b) monitorización en tiempo real del tráfico de salida c) visibilidad de las aplicaciones que salen por la red d) evitar o limitar el uso de aplicaciones no deseables en la red municipal
e) Calidad de Servicio (QoS) para establecer reglas que permitan, p. ej., garantizar anchos de banda mínimos a aplicaciones críticas o sensibles al retardo (VoIP, videoconferencia, etc...) f) Análisis de la evolución de la red municipal para adelantarse a futuras necesidades Los requisitos mínimos que ha de cubrir la solución de inteligencia de red y gestión de ancho de banda son los siguientes: - Un dispositivo tipo appliance - Rendimiento QoS de 10 Mbps - Capacidad de ir aumentando la gestión de QoS hasta 100 Mbps en un futuro sin necesidad de cambiar el hardware - El equipo a de soportar 4096 políticas (Virtual Channel) y al menos 1024 reglas de primer nivel (Pipes) - 96000 conexiones que equivalen a 192000 IP Flows. - Puerto de gestión independiente del de tráfico de manera que se pueda securizar tras una DMZ - Puertos de tráfico sin dirección IP, transparentes para evitar ataques de DoS - Control de número de conexiones simultaneas y de nuevo número de conexiones nuevos por segundo por servicio - Capacidad de soporte configuración redundante - Consola de gestión para labores de monitorización y creación de políticas con posibilidad de gestionar varios dispositivos simultáneamente - Posibilidad de ver históricos y tráfico en tiempo real de varios dispositivos desde una única consola de gestión - Los gráficos soportan funcionalidad de Drill-Down interactivo para ver más detalles del tráfico actual. - Posibilidad de monitorizar el tráfico más activo - Capacidad de medir las conexiones descartadas no deseadas - Capacidad de gestión por VLAN Tag - Posibilidad de distribución de políticas a varios equipos - Sistema de alertas - Posibilidad de planificación y generación de informes para ser enviado automáticamente por correo electrónico - Interfaz web basada en Java - El rendimiento del equipo no se degradará en función del número de flujos que atraviesan el equipo. - Clasificación de tráfico por dirección IP/MAC (con opción de rango de IP, subred o nombre de hosts) - Capacidad de clasificar el tráfico en función de la hora del día - Posibilidad de clasificar y marcar por el campo TOS de los paquetes IP y MPLS - Clasificación de tráfico SMTP por dominio - Clasificación de tráfico FTP por comandos y por nombre de fichero - Soporte avanzado de aplicaciones P2P - Gestión de Ancho de banda independiente en cada sentido de la comunicación - Clasificación de tráfico H.323 y codecs de VoIp - Posibilidad de definir Templates de reglas de QoS para poder generar un gran número de reglas iguales de una manera fácil y escalable
- Capacidad de controlar ancho de banda por cada conexión, definiendo garantías de tráfico y/o limitación - Capacidad de garantizar retardos para aplicaciones sensibles al retardo como video conferencia, VoIP - Actualización automática del catálogo de aplicaciones vía Web - Posibilidad de definir protocolos propietarios y por tanto poder gestionar el ancho de banda de las mismas. - MIBS propietarias que se pueden integrar en sistemas de gestión independientes. - Tolerancia a fallos, bypass pasivo - Optimización del rendimiento de red mediante políticas - Optimizar la infraestructura WAN - Maximizar el rendimiento de las aplicaciones - Monitorización de la actividad de la red - Priorización de URLs y clasificación de tráfico a varios niveles OSI - Protección contra ataques DoS y DDoS - Compatibilidad con LDAP - Capacidad de navegación en los informes y elaboración de los mismos de forma automatizada o en tiempo real. - Instalación y puesta en marcha 6.3 Tres CORTAFUEGOS VPN Los requisitos mínimos que han de cubrir los cortafuegos VPN para las zonas Wi-Fi son: 3 unidades de cortafuegos tipo appliance Rendimiento firewall 160 Mbps Rendimiento VPN (AES 256 + SHA-1) de 40 Mbps Nuevas sesiones/segundo: 2800 Sin restricción máxima de usuarios Soporte de capacidades de UTM: antivirus, antimalware, antispam, IPS, web- filtering. Mínimo de 25 túneles VPN concurrentes, pudiendo crecer en un futuro a 40 túneles mediante software sin cambiar la plataforma hardware. Soporte para VoIP Gestión por consola, web, telnet, ssh - Los estándares VPN que como mínimo debe soportar el equipo a ofertar son los siguientes: DES (56-bit) 3DES (168-bit) AES (256-bit) Autenticación MD5 y SHA-1 X.509 6.4 PUNTOS DE ACCESO WI-FI DE EXTERIOR Se requieren 2 puntos de acceso de exteriores con las siguientes: - Características generales (requerimientos mínimos): Punto de acceso dual 802.11a y 802.11b/g para operar en las bandas 2.4 y 5 Ghz
Soporte del estándar 802.3af La solución wireless es de tipo centralizada, es decir, con APs gestionados por controladores wireless. Los APs disponen de colas de prioridad para permitir QoS en el momento de la recepción de la señal de radiofrecuencia del cliente. Los APs son capaces de aplicar Rate Limit al tráfico del cliente Wireless. Los APs son capaces de aplicar políticas de seguridad La solución soporta al menos los siguientes modos de funcionamiento, ofreciendo la posibilidad de pasar de uno a otro sin necesidad de reemplazar ninguno de sus elementos: o Arquitectura centralizada: basada en controladores centrales para la gestión de los APs o Arquitectura centralizada con conmutación local en los APs: El tráfico, una vez establecida la sesión no necesita pasar por los controladores. Esta funcionalidad permite descargar de tareas a los controladores, a la vez que se minimiza la latencia, característica muy importante para despliegues de VoIP sobre Wi-Fi. Los APs se pueden controlar desde varios controladores, de forma que, si un AP está gestionado por un controlador y éste cae, otro controlador se encargará de gestionarlo de forma automática. Los controladores y APs se asocian entre ellos de forma automática, no es necesario configurar en los controladores los APs que debe gestionar. Permite realizar asociaciones entre la CoS y QoS. Permite crear diferentes perfiles Wifi para los usuarios. Permite balanceo de carga entre los diferentes APs. Si un AP está muy cargado, se facilitará la conexión con otro AP. Los APs deben soportar DFS2. Los APs con soporte 11n compatibles con la solución seleccionada son capaces de funcionar a pleno rendimiento a través de la alimentación PoE estándar 802.3af de un único puerto. Los APs con soporte 11n compatibles con la solución seleccionada funcionan con tecnología de antenas 3x3 MIMO, aún siendo alimentados con un solo puerto PoE 802.3af. No es recomendable soluciones en las que los APs 11n se alimenten con protocolos propietarios. Los APs ofrecen la posibilidad de trabajar como parte de la infraestructura de voz y datos, o como sensor IDS para la detección de rogue AP y otros problemas de seguridad a nivel de radiofrecuencia, pudiendo convertirlos de una función a otra según sea necesario. Los APs soportan mecanismos de WDS que permitan un mínimo de 6 saltos entre APs. El soporte de WDS no depende del modelo de AP elegido. Disponen de una aplicación para la gestión de credenciales temporales para acceso a la red WiFi. Esta aplicación es tan sencilla que puede ser manejada por personal sin conocimiento de la tecnología WiFi. La aplicación de gestión permite la localización aproximada de clientes WiFi mediante la triangulación de las señales recibidas desde los diferentes APs.
La aplicación de gestión permite llevar el control de los clientes wireless de la red, así como los APs a los que están asociados. La gestión permite configurar todos los AP s con la misma configuración, tanto para AP s indoor, como outdoor. Permite definir listas negras de clientes wifi y/o APs, de forma que no se permita la aceptación en la red de APs fraudulentos (rogue APs) Dispone de contramedidas para evitar la asociación de clientes Wireless a los APs detectados como Rogue APs. Permite la integración perfecta de herramientas de seguridad en wireless. Permite la integración con la plataforma de gestión de la LAN cableada del mismo fabricante. Permite la integración de la solución de NAC del mismo fabricante para dar el mismo servicio tanto en la red cableada, como en la red Wireless. La solución ofertada permite la incorporación del equipamiento necesario para la implantación de una solución de localización y tracking tanto de etiquetas RFID como de clientes Wireless AP de exteriores totalmente integrable con la plataforma de gestión Hipath Wireless que actualmente dispone el Ayuntamiento de Huesca - Características medioambientales y de cobertura (requerimientos mínimos): El AP debe disponer de todas las certificaciones necesarias para trabajar en entornos exteriores duros Rango de temperaturas extendido entre 40ºC y +70ºC y humedad 95% Nivel de protección IP65 y NEMA 4x Soporte para antenas de exterior de diverso tipo direccionales y omnidireccionales Suministro de 4 antenas directivas de 90º para incrementar la cobertura todo lo posible en las zonas de los parques Miguel Servet y Puerta del Pirineo de Huesca Se suministrarán los kits de montaje necesarios para su instalación Se suministrarán los inyectores de PoE y/o fuentes de alimentación de exterior que sean necesarios
7 REQUISITOS DE LA EJECUCIÓN DE LOS TRABAJOS 7.1 TRABAJOS REQUERIDOS El licitador prestará los siguientes servicios con uno o varios técnicos in situ en las instalaciones del Ayuntamiento de Huesca: 1. Auditoría y análisis de la Red municipal actual. Se realizará un análisis previo de la red, las conexiones a los centros, su segmentación, arquitectura de seguridad, etc... 2. Instalación, configuración del Core de Red (suministrado en el actual concurso) Se sustituirá el actual core de red situado en el Palacio Consistorial (Plaza de la Catedral, 1). 3. Instalación, configuración de dispositivos de seguridad perimetral Se pretende modernizar el actual sistema de seguridad perimetral del Ayuntamiento de Huesca para contar con una arquitectura de red lo suficientemente segura que pueda dar cumplimiento con garantías a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Arquitectura general a implantar: Firewall primer nivel en alta disponibilidad (no suministrados en el actual concurso): Actualmente el Ayuntamiento de Huesca cuenta con un cluster activo/pasivo de 2 cortafuegos. Estos cortafuegos puesto que están próximos a su EOL, se reubicarán en otras dependencias municipales para su uso como tunelizadores IPSec. Es objeto del concurso: a) en el Palacio Consistorial: el traslado, instalación y configuración de dos cortafuegos Juniper SSG140 en cluster activo/pasivo que actualmente ya posee el Ayuntamiento de Huesca en otras dependencias y serán reubicados en dicho Palacio Consistorial para sustituir a los obsoletos Juniper NS50. b) en el Palacio de Congresos y en el Centro Cívico Santiago Escartín Otín : el traslado, instalación y configuración de los Juniper NS50. IDS/IDP de nivel siete (suministrado en el actual concurso ) La colocación del IDS/IDP será por delante del cortafuegos con objeto de proteger a nivel de aplicación (capa 7) toda la red (LAN y DMZ), sin importar el puerto, protocolo, cifrado SSL o las técnicas evasivas que se puedan emplear. Balanceadores de líneas en alta disponibilidad (suministrado en el actual concurso ) Equipo de gestión de Inteligencia de red y del ancho de banda (suministrado en el actual concurso )
4. Centralización de las conexiones de diversas instalaciones municipales remotas a través de la Red Multiservicio. Actualmente existen varias instalaciones municipales (p.ej. Bibliotecas Municipales y Centros Cívicos) que tienen salidas propias e independientes a Internet, con cortafuegos propios. Este esquema obliga a contar con una suscripción (p.ej. de filtrado web) por cada cortafuegos de Biblioteca Municipal, lo que redunda en altos costes operativos. Con el objetivo de reducir dichos costes redundantes y aprovechar la infraestructura de Red Multiservicio, se busca el siguiente objetivo: El tráfico de salida de los centros remotos (Bibliotecas,...) se tunelice (VPN) y salga a través de una salida unificada y centralizada para todos, donde se apliquen las protecciones perimetrales descritas en los puntos anteriores. No entramos a detallar la tecnología de conexión subyacente, pudiendo existir dos opciones: a) en unos casos, los túneles VPN irán por Internet. b) en otros casos los túneles interesarán que vayan por la red interna Municipal debido a la situación concreta del centro. En este último caso en el que se comparta el mismo medio, se maximizará la seguridad para separar completamente el tráfico LAN y el tráfico externo a través de la encapsulación IPSec y creación de VLANs. Los túneles VPN serán montados contra el firewall de nivel 1 del Ayuntamiento, el cual hará de iniciador de túneles contra las diferentes ubicaciones. Este esquema tiene las siguientes ventajas: a) reducción de los costes de suscripciones b) centralización de políticas y gestión en un solo nodo de salida La siguiente tabla muestra los centros municipales donde se aplicará este esquema y el tipo de cortafuegos con el que se realizará la VPN. Centro Cortafuegos VPN Biblioteca Antonio Durán Gudiol Juniper SSG5 (*) Centro Cívico Santiago Escartín Otín Juniper NS50 (*) Palacio de Congresos de Huesca Juniper NS50 (*) Zona Wi-Fi Parque Miguel Servet A licitar Zona Wi-Fi Parque Puerta del Pirineo A licitar Zona Wi-Fi Centro Cultural del Matadero A licitar (*) NOTA: Estos cortafuegos ya son propiedad actual del Ayuntamiento de Huesca. 5. Tunning, actualización y traslado del actual controlador Wi-Fi (Hipath Wireless) (no suministrados en el actual concurso) Actualización del controlador Wi-Fi: Se requieren los servicios de actualización software del controlador Hipath Wireless, incluyendo soporte, durante 3 años.
6. Tunning, configuración y traslado del appliance Nomadix - (no suministrados en el actual concurso) Actualmente en el Palacio de Congresos al Palacio Consistorial, actualización del software y configuración para dar servicio a las nuevas zonas Wi-Fi municipales (creación portal web cautivo, etc...) 7. Servicios de asesoría y mejora de la configuración de la red municipal, para una segmentación adecuada por VLANs. 8. Servicios de asesoría y configuración de políticas a través de la plataforma de gestión de red actualmente desplegada en el Ayuntamiento de Huesca, Netsight suite. 9. Servicios de asesoría y configuración de VNS (Virtual Network Services) inalámbricas de capa 3 para dar servicio a nuevas zonas Wi-Fi de forma segura. 10. Formación de los técnicos municipales - Se realizará una formación específica en las diversas áreas que cubre este proyecto (core, IDS/IDP, balanceadores, etc...). Como mínimo se requieren 20 horas de formación. - Se incluirá formación específica en la plataforma de gestión de red actualmente desplegada en el Ayuntamiento de Huesca, Netsight suite. Como mínimo se requiere 10 horas de formación. 11. Otros servicios adicionales que el Ayuntamiento de Huesca requiera para la finalización completa del proyecto. Para lo cual el licitador habilitará una bolsa de horas adicionales a las actuaciones anteriores 12. Los trabajos que desarrolle el licitador durante el proyecto deberán ser siempre validados por técnicos del Ayuntamiento de Huesca. 7.2 DOCUMENTACIÓN Una vez finalizados los trabajos, la empresa adjudicataria deberá entregar al Ayuntamiento en soporte magnético: Documentación técnica de la aplicación que permita en la práctica ampliar y modificar las funcionalidades del sistema a los técnicos del Ayuntamiento Manuales de operación, administración y uso de los dispositivos suministrados 7.3 EQUIPO DE TRABAJO ADSCRITO AL PROYECTO Las empresas licitadoras deberán proponer un equipo de trabajo adecuado para la consecución óptima del proyecto. El Ayuntamiento de Huesca valorará el equipo de trabajo propuesto, atendiendo a su formación y, fundamentalmente, a su experiencia en proyectos similares, así como en la certificación en los dispositivos donde se requiere las actuaciones. Se
deberá incorporar a la propuesta curriculum vitae de cada uno de los recursos humanos que la empresa vaya a asignar al proyecto. El Ayuntamiento nombrará a un responsable de proyecto que asumirá la responsabilidad directa de la ejecución del proyecto. La empresa que resulte adjudicataria nombrará a su vez un coordinador que asumirá la responsabilidad de gestión de recursos asignados al proyecto y reporting, así como la resolución conjunta con el responsable del proyecto del Ayuntamiento de disconformidades que pudieran surgir en el transcurso de la ejecución del proyecto. 7.4 PLANIFICACIÓN Y ORGANIZACIÓN DE LOS TRABAJOS Se presentará una propuesta de plan de proyecto con el calendario propuesto desglosado por fases, de manera que se puedan marcar hitos de realización del mismo para ir realizando certificaciones de ejecución sobre los mismos. La propuesta presentada será valida por el Ayuntamiento de Huesca al inicio del proyecto. Se especificarán las jornadas de trabajo (presenciales y no presenciales) propuestas por los licitadores para llevar a cabo el proyecto. 8 GARANTÍAS Y MANTENIMIENTO La garantía de los equipos será como mínimo para toda la infraestructura suministrada de 1 año con tiempo de respuesta NBD ( Next Business Day ). Ésta incluirá los repuestos hardware, actualizaciones de software y firmware y soporte directo de fabricante. Adicionalmente, se requiere que el licitador preste un soporte remoto telefónico para toda la infraestructura suministrada durante 3 años, en horario 8x5. El licitador adjudicatario deberá registrar todos los elementos suministros a nombre del Ayuntamiento de Huesca para que, a efectos de garantía, el beneficiario final sea el Ayuntamiento de Huesca. 9 MEJORAS No se admitirán mejoras que modifiquen sustancialmente los objetivos del proyecto. Se admitirán exclusivamente las siguientes mejoras: Mejora 1: Periodo de garantía Mejora 2: Bolsa de horas en actuaciones no especificadas en el pliego 10 CONTENIDO DE LA PROPUESTA TÉCNICA 1. Proyecto de ejecución: Los licitadores presentarán una memoria con la planificación, equipo de trabajo, etc... 2. Oferta técnica: Los licitadores presentarán una memoria con la propuesta técnica. Se especificarán claramente las características técnicas de los equipos ofertados para que pueda comprobarse que cumplen con los requisitos mínimos exigidos. 3. Certificaciones: Los licitadores presentarán:
a) Las certificaciones oficiales del fabricante vigentes de las soluciones ofertadas. b) así como los perfiles (CV) y las certificaciones de los técnicos adscritos al proyecto en áreas relacionadas exclusivamente con este proyecto. 4. Mejoras que los licitadores quieran presentar: ampliación de garantías o bolsa de horas 5. Garantías y mantenimientos de los equipos 6. Cualquier otra documentación que el licitador considere que pueda ayudar a una mejor comprensión de la propuesta 11 CRITERIOS A TENER EN CUENTA EN LA ADJUDICACIÓN DEL CONCURSO Y PONDERACIÓN Los criterios a tener en cuenta a la hora de considerar cuál es la oferta más ventajosa serán los que a continuación se indican, de acuerdo con la ponderación que se detalla para cada uno de ellos CRITERIOS CUANTIFICABLES: Criterio Comentario Máximo Puntos Certificaciones Certificaciones oficiales del fabricante y de los técnicos adscritos al 12 y Equipo proyecto relacionadas con las soluciones de este proyecto: Técnico CERTIFICACIONES DEL LICITADOR: 1 puntos por certificación oficial del fabricante del core 1 puntos por certificación oficial del fabricante del IDS/IDP 1 puntos por certificación oficial del fabricante del equipo balanceador 1 puntos por certificación oficial del fabricante del equipo de inteligencia de red y gestión de red 1 puntos por certificación oficial del fabricante de los cortafuegos VPN 1 puntos por certificación oficial del fabricante de la solución WiFi Valoración económica Mejora 1: Ampliación periodo de Garantía CERTIFICACIONES DE LOS TÉCNICOS: 1 puntos por cada certificación oficial actualmente vigente de los de los técnicos adscritos al proyecto en las soluciones a implantar, hasta un máximo de 6 puntos (NOTA: si varios técnicos adscritos tienen la misma certificación oficial, sólo contará como 1 punto) Se calculará aplicando la siguiente fórmula: Puntuación oferta = 20 x (Importe oferta más ventajosa / Importe oferta) Por cada año de garantía directamente del fabricante para TODA la infraestructura suministrada, que se añada al periodo de garantía mínimo exigido en pliego (siempre con tiempo de respuesta NBD), se suman 8 puntos. Ésta incluirá los repuestos hardware, actualizaciones de software y firmware y soporte directo de fabricante. Es decir: 20 24
Mejora 2: Bolsa de horas segundo año de garantía directa fabricante NBD : 8 puntos tercer año de garantía directa fabricante NBD : 16 puntos cuarto año de garantía directa fabricante NBD : 24 puntos Se valora 1 punto cada 10 horas, hasta un máximo de 4 puntos (40 horas) 4 CRITERIOS NO CUANTIFICABLES: Criterio Comentario Máximo Puntos Proyecto de ejecución de los trabajos Calidad técnica de la oferta Adecuación de la oferta a los requerimientos de ejecución de los trabajos planteados en el pliego: planificación, equipo de trabajo (máx: 7 puntos) Claridad en la exposición de la propuesta (máx: 3 puntos) Adecuación de la oferta a los requerimientos tecnológicos y de 30 sistemas planteados TOTAL puntos 100 10 Si las ofertas no cumplen alguno de los requisitos considerados obligatorios del objeto del contrato serán desestimadas automáticamente y no se procederá a su valoración El Ayuntamiento de Huesca se reserva el derecho de solicitar defensa de la oferta a los licitadores a fin de demostrar de forma fehaciente el cumplimiento de los requerimientos identificados. Valorada la puntuación de todas las ofertas respecto a cada uno de los criterios, se sumará la puntuación total de cada una de ellas, resultando seleccionada la que obtenga mayor puntuación. En caso de producirse empate en la puntuación final, la adjudicación recaerá en la oferta que en su conjunto se considere más beneficiosa para el interés público, teniendo en cuenta el orden de prelación de los criterios de adjudicación y la ponderación de su incidencia en la valoración de las ofertas empatadas. En todo caso, el Ayuntamiento de Huesca se reserva la facultad de adjudicar el contrato a quien reúna, a su juicio, las condiciones más ventajosas de acuerdo con los criterios señalados, o declararlo desierto. Huesca, 14 de Mayo de 2010 EL ALCALDE Fdo. Fernando Elboj Broto