CONSEJERÍA DE JUSTICIA E INTERIOR DIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y SISTEMAS RENOVACION DE LA INFRAESTRUCTURA VPN DE LA RED JUDICIAL DE ANDALUCÍA PLIEGO DE PRESCRIPCIONES TÉCNICAS
ÍNDICE 1. ALCANCE...2 2. SUMINISTROS A REALIZAR Y CARACTERÍSTICAS TÉCNICAS...2 2.1 IPSEC...2 2.1.1 Compatibilidad IPSEC...2 2.1.2 Algoritmos de encriptación y autenticación...3 2.1.3 Autenticación de los dispositivos...3 2.1.4 NAT Transversal...3 2.1.5 Certificación...3 2.2 FIREWALL...3 2.3 TOPOLOGÍA...4 2.4 ALTA DISPONIBILIDAD...4 2.5 RENDIMIENTO...4 2.6 SOFTWARE DE ADMINISTRACIÓN...4 2.7 OTRAS CARACTERÍSTICAS...4 3. CONDICIONES GENERALES...5 3.1 RECEPCIÓN DE LOS ELEMENTOS...5 4. GARANTÍA Y MANTENIMIENTO...5 4.1 GASTOS DE TRANSPORTE...6 4.2 CONFIDENCIALIDAD DE LA INFORMACIÓN...6 4.3 INFORMACIÓN DE BASE...6 4.4 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL...6 4.5 PROPIEDAD DE LOS DOCUMENTOS, TRABAJOS E INFRAESTRUCTURA...6 4.6 ORGANIZACIÓN DEL PROYECTO...6 4.7 DOCUMENTACIÓN DEL PROYECTO...7
1. ALCANCE El objeto del presente contrato será el suministro e instalación de nuevos equipos VPN en sustitución de los existentes. La sustitución abarcará todos los dispositivos VPN existentes Alcatel- Lucent. Se suministrarán dos tipos de equipos VPN: 4 equipos Tipo 1: Sede de Alta Capacidad: alto throughput y alta disponibilidad. Previsión de crecimiento a 1Gbps de throughput de Firewall. Mínimo 200 túneles IPSEC. 210 equipos Tipo 2: Sede de Baja Capacidad: bajo throughput posibilidad de configuración en alta disponibilidad. Crecimiento a 100Mbps de Firewall y soportar un mínimo de 20 túneles IPSEC. 2. SUMINISTROS A REALIZAR Y CARACTERÍSTICAS TÉCNICAS. El contrato incluye los siguientes elementos: Suministro de 210 equipos VPN de tipo 2, e instalación de 181 de ellos en sus correspondientes sedes, dejando 29 equipos de reserva. La instalación de los 29 restantes deberán ser asumidas sin coste adicional en el caso necesario durante la duración del plazo de garantía del contrato, tal como se establece en el punto 4 de este pliego. Suministro e instalación 4 equipos VPN de tipo 1, para instalar en la sede de Servicios Centrales y en la Ciudad de la Justicia de Málaga; en cada sede se instalarían 2 equipos en alta disponibilidad. Suministro, instalación y configuración, del sistema de configuración centralizado. Integración de los equipos VPN suministrados en el sistema de gestión de red existente (NAGIOS). 3 jornadas de 6 horas de formación certificada por el fabricante, para los técnicos que el Servicio de Informática Judicial determine, sobre los equipos y su configuración, a impartir en la sede de los Servicios Centrales del Servicio de Informática Judicial, o en el lugar que proponga la empresa adjudicataria, si el Servicio de Informática Judicial lo estima conveniente.
2.1 IPSEC. 2.1.1 Compatibilidad IPSEC. Los dispositivos ofertados deberán cumplir con el estándar IPSEC desarrollado por la Internet Engineering Task Force (IETF) (Ver http://www.ietf.org/html.charters/ipsec-charter.html). En particular deberá implantar, entre otros, los siguientes protocolos: Internet Key Exchange IKE. 2.1.2 Algoritmos de encriptación y autenticación. Los dispositivos ofertados deberán implantar, como mínimo, los siguientes protocolos de encriptación y autenticación: Encriptación: 3DES obligatoriamente, valorándose el soporte AES. Autenticación: SHA-1 y MD5. 2.1.3 Autenticación de los dispositivos. Durante la fase inicial de verificación mutua de la identidad de los dispositivos, además de poder utilizar Pre-shared key, se valorará que los dispositivos ofertados sean capaces de manejar certificados X.509v3, método preferido de autenticación. Los certificados podrán ser emitidos por una Autoridad de Certificación de terceros (FNMT, VeriSign, etc...) o bien por una Autoridad de Certificación propia de los dispositivos (preferible). En el caso de ser emitidos por una Autoridad de Certificación de terceros, los certificados necesarios serán suministrados por la empresa ofertante. 2.1.4 NAT Transversal Se valorará que los dispositivos ofertados incluyan la funcionalidad NAT transversal para su uso en futuras aplicaciones dentro del ámbito de la Red Judicial de Andalucía. 2.1.5 Certificación. Se valorará que el módulo IPSEC/VPN se encuentre certificado por ICSA Labs, cómo mínimo contra la versión 1.0b de sus Program for IPSEC Product Certification Criteria.
2.2 FIREWALL. El cortafuegos deberá poseer una arquitectura de inspección de paquetes con estado ( Stateful Inspection Architecture ). Es necesario además que posea la capacidad de realizar inspección en el ámbito de aplicación ( Application Filter Architecture ) para protocolos estándares, permitiendo la apertura dinámica de canales de comunicación dependiendo de la semántica del protocolo correspondiente. La reglas de política del cortafuegos podrán ser aplicadas no sólo al tráfico que pueda viajar en claro, sino también al tráfico encauzado a través de los túneles cifrados. Otras características que serán valoradas: Certificación por ICSA Labs, cómo mínimo en la versión 3.0a de sus Modular Firewall Certification Criteria. Las características suministradas en el ámbito de la protección frente a ataques de red. 2.3 TOPOLOGÍA. Los equipos han de soportar, como mínimo, topologías de nivel 3 definidas mediante encaminamiento estático. Se valorará el soporte de protocolos de encaminamiento dinámicos. Asimismo se valorará el soporte de topologías de nivel 2, basadas en VLAN. 2.4 ALTA DISPONIBILIDAD. Los equipos de tipo 1 y 2 serán instalados por duplicado, en configuraciones de alta disponibilidad. Los equipos en configuración redundante deberán ser capaces de conmutar de uno a otro ante un fallo de manera totalmente transparente. 2.5 RENDIMIENTO. En la siguiente tabla se indican los anchos de bandas mínimos soportados para el tráfico encriptado y el tráfico VPN, así como para tráfico de Firewall: Tipo equipo VPN Mbps 3DES/AES128 Mbps Firewall Tipo 2 >= 60 Mbps >= 60 Mbps Tipo 1 >= 300 Mbps >= 300 Mbps
2.6 SOFTWARE DE ADMINISTRACIÓN. Los dispositivos VPN ofertados vendrán acompañados de un software de administración que permita al menos definir y mantener, de forma centralizada, la configuración de los equipos. Esta característica resulta muy importante dado el gran número de sedes y equipos existentes. En principio se requerirá la instalación de cualquier elemento de administración, de un repositorio donde almacenar las configuraciones de cada uno de los dispositivos, y de una o más consolas según la configuración de la solución lo requiere. 2.7 OTRAS CARACTERÍSTICAS. A continuación se indicarán otras características exigibles o valoradas: Número de túneles soportados: Tipo equipo VPN Nº mínimo de túneles VPN Tipo 1 200 Tipo 2 20 Los equipos de Tipo 2 deben ser tolerantes a las condiciones ambientales adversas, principalmente en el ámbito de la temperatura, humedad y alimentación eléctrica. Se valorará especialmente la capacidad de comprimir el tráfico antes de su encapsulamiento con el fin de evitar posibles fragmentaciones. Se valorarán las características en el ámbito de gestión de ancho de banda y calidad de los servicios (QOS). 3. CONDICIONES GENERALES 3.1 RECEPCIÓN DE LOS ELEMENTOS. La empresa adjudicataria realizará la entrega de todos los elementos solicitados en la/s sede/s que el Servicio de Informática Judicial de la Dirección General de Infraestructuras y Sistemas decida, en el plazo de 30 días naturales desde la firma del contrato.
4. GARANTÍA Y MANTENIMIENTO. Los equipos VPN suministrados contarán con una garantía mínima, completa e in-situ, de 3 AÑOS. La retirada de equipos averiados, así como la entrega de equipos sustitutos o reparados, incluidos los equipos de reserva suministrados, en las sedes judiciales será por cuenta de la empresa adjudicataria durante el periodo de garantía. El horario de atención mínimo ante averías será de tipo 9x5, es decir 9 horas al día de lunes a viernes laborables. El tiempo de resolución será inferior a 24 horas ante problemas graves que impidan la prestación de los servicios. Se considerarán problemas graves: La avería simultánea de los dos equipos Tipo 1 o Tipo 2 de una sede, configurados en alta disponibilidad. La avería de un equipo Tipo 2 si el número de equipos averiados de este tipo supera el número de equipos de reserva, y por tanto la Consejería no dispone de equipos sustitutos. Una vez efectuada la reparación o, en su caso, obtenido un equipo sustituto, la empresa adjudicataria remitirá el equipo a la sede origen o al lugar que indique el Servicio de Informática. Aunque la configuración de los equipos será efectuada por la Consejería, la empresa adjudicataria dejará los equipos sustitutos o reparados en un estado tal que permita la aplicación de la configuración correspondiente. Por otra parte, el software de configuración centralizada contará como mínimo de 3 AÑOS de mantenimiento. 4.1 GASTOS DE TRANSPORTE. Serán por cuenta del suministrador todos los gastos de transporte de los equipos al Servicio de Informática Judicial. Igualmente, serán por cuenta del suministrador los gastos generados por el envío para la reparación o sustitución de los elementos que se generen durante el periodo de garantía. 4.2 CONFIDENCIALIDAD DE LA INFORMACIÓN. No se podrá transferir información alguna sobre los trabajos a personas o entidades no explícitamente mencionados en este sentido en el contrato sin el consentimiento por escrito de la Dirección General de Infraestructuras y Sistemas.
4.3 INFORMACIÓN DE BASE La Junta de Andalucía facilitará al adjudicatario cuanta información disponga relacionada con las materias objeto del presente trabajo. Toda la información que se proporcione, es propiedad de la Junta de Andalucía y no podrá ser utilizada en futuros trabajos ya sea como referencia o como base de los mismos, a menos que se cuente con la autorización expresa, por escrito, de la Junta de Andalucía. 4.4 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. La empresa adjudicataria, en cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, únicamente tratará los datos de carácter personal a los que tenga acceso en el marco del presente contrato conforme a las instrucciones de la Consejería, y no los aplicará o utilizará con un fin distinto al estipulado, ni los comunicará, ni siquiera para su conservación, a otras personas. Además, deberá cumplir las medidas técnicas y organizativas estipuladas en el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la Ley anteriormente citada. En el caso de que la empresa, o cualquiera de sus miembros, destinen los datos a otra finalidad, los comuniquen o los utilicen incumpliendo las estipulaciones del contrato, serán responsables de las infracciones cometidas. 4.5 PROPIEDAD DE LOS DOCUMENTOS, TRABAJOS E INFRAESTRUCTURA Todos los documentos y trabajos realizados serán propiedad de la Consejería. Ésta podrá ejercer el derecho a explotación de los mismos, incluyendo la modificación, reproducción, divulgación o comunicación pública de los trabajos. La empresa adjudicataria podrá hacer uso de dichos trabajos, para su referencia o reutilización, siempre que cuente con autorización expresa y por escrito de la Consejería. Todos los elementos de infraestructura requeridos y proporcionados en el ámbito del contrato serán suministrados a la Consejería, en régimen de propiedad. 4.6 ORGANIZACIÓN DEL PROYECTO El Servicio de Informática determinará todos los aspectos concretos de este suministro, entendido globalmente como proyecto, y resolverá sobre aquellas cuestiones no suficientemente especificadas en este Pliego. A su vez, propondrá al Responsable del Proyecto con las funciones y cometidos detallados más adelante. La empresa adjudicataria aportará un equipo de trabajo integrado por un Jefe de Proyecto y cuantos técnicos, propios o ajenos, de adecuada calificación y nivel de dedicación sean necesarios para la realización de los trabajos derivados del presente proyecto. 4.7 DOCUMENTACIÓN DEL PROYECTO Descripción de la solución propuesta: componentes, arquitectura, etc.