1.) V bodě 3.4.4. Ochrana proti neoprávněnému přístupu na zařízení se uvádí:
Uchazeč se zaváže udržovat konfigurace AAA ve stavu, kdy každý pracovník
Uchazeče i Zadavatele bude mít přiřazeno osobní uživatelské jméno a heslo.
DOTAZ 1A: Znamená to tedy závazek Uchazeče spravovat AAA servery na úrovni administrátora?
2.) Dále se uvádí: Přístupové informace budou předávány proti podpisu v zapečetěných obálkách.
V konfiguracích AAA budou zohledněna autorizační pravidla.
Uchazeč bude udržovat konfigurace spravovaných zařízení ve stavu, kdy se
jednotliví pracovníci budou autentizovat osobním jménem a heslem a bude jim
umožněno provádění pouze těch činností, ke kterým jsou serverem AAA
autorizováni. Anonymní přístup na zařízení nebude umožněn, výjimkou bude
pohotovostní přístup, který bude použitelný pouze v případě výpadku všech
AAA serverů
Uchazeč se zaváže udržovat takovou strukturu oprávnění, kdy Zadavatel bude
mít trvale nejvyšší úroveň oprávnění.
DOTAZ 2A: Kdo je tedy odpovědný za konfiguraci síťových prvků – je to zadavatel (má-li mít nejvyšší úroveň oprávnění)?
DOTAZ 2B: Bude možné definovat jednoznačně kompetence a tomu odpovídající rozsah oprávnění na AAA serverech?
3.) V bodě 3.12. Služby řízení přístupu se uvádí:
Uchazeč zajistí poskytování AAA služeb na devíti instancích způsobem, který je
administrátory sítě dlouhodobě využíván a který respektuje hierarchii odpovědností
administrátorů v síti FINet.
DOTAZ 3A: Jedná se o závazek Uchazeče zajistit pouze síťovou konektivitu na těchto devět instancí AAA serverů, nebo je tím myšlena správa AAA serverů? DOTAZ 3B: Kdo má být odpovědný za celkovou správu a rozvoj AAA serverů (HW/SW podpora).
DOTAZ 3C: Je možné upřesnit lokality, síťovou architekturu připojení AAA serverů, verze stávajících AAA serverů.
DOTAZ 3D: Sdílí všech devět instancí jednu DB uživatelů?
DOTAZ 3E: Jedná se o HA řešení?
4.) Dále se uvádí:
Uchazeč zajistí, aby byly splněny následující požadavky:
• redundance provozu AAA služeb tak, aby každý síťový prvek mohl mít
nakonfigurovány dva nezávislé AAA servery, na které se může obracet s požadavky,
• možnost vytvářet skupiny zařízení s jednotnou správou (uživatelé, autorizační
pravidla) podle IP adresy,
• možnost používat odlišné sdílené klíče pro jednotlivá zařízení,
DOTAZ 4A: Znamená to, že má mít každé zařízení jedinečný klíč?
• zajištění průběžného ukládání všech informací o systému služeb AAA do
záznamových souborů, logování i neúspěšných pokusů o autentizaci včetně IP adresy
přistupujícího klienta.
Uchazeč se zavazuje zajistit správu konfiguračních souborů pro AAA servery, tj.:
• aktualizaci při změnách podle požadavků Zadavatele (zavádění a rušení
uživatelů nebo
skupin, změna parametrů jako jsou hesla, přístupová práva apod.),
• zabezpečení proti zneužití,
• archivaci.
DOTAZ 4B: Jak dlouho má být archivováno?
DOTAZ 4C: Je k dispozici řešení pro archivaci log souborů, nebo je nutné toto řešení vybudovat – kdo je odpovědný za správu syslog serverů?
5.) V bodě 3.16. Technické podmínky a požadavky na technologie používané k zajištění se uvádí:
Služby
Technické požadavky na technologie, na kterých bude Služba poskytována, vycházejí ze
stávajícího stavu uvedeného v kapitole 2. S ohledem na navýšenou a průběžně navyšovanou
kapacitu linek uvedených u seznamu lokalit v kapitole 5 musí zařízení výkonnostně odpovídat
kapacitě linek.
Veškerá používaná zařízení budou zajišťovat směrování a šifrování komunikace v celé WAN,
přičemž šifrování bude využívat klíčů o minimální délce 256 bitů (AES) a bude podporováno
na úrovni HW zařízení. Pro zajištění integrity bude využit algoritmus min. SHA2. K tomuto
účelu budou využívat stávající směrovací protokoly (EIGRP, OSPF), nebo protokoly jiné
odpovídající mezinárodním standardům. V případě změny směrovacích protokolů bude tato
změna součástí služby.
Služba umožní integraci a spolupráci se systémem řízení přístupů (AAA) TACACS+
DOTAZ 5A: Je potřeba upřesnit stávající řešení TACACS+ serveru (verze, platforma).
Zadavatele a v případě nekompatibility zařízení dodavatele bude jako součást služby
ekvivalentní systém na straně dodavatele v režimu HA s obdobnými funkcionalitami jako
TACACS+.
DOTAZ 5B: V případě použití síťových prvků podporujících pouze RADIUS, nelze tento požadavek splnit.
|