Beschreibung der Beschaffung
LOS 3 "OTP Token sowie eine Verwaltungsinstanz für diese Token mit inte-griertem Radius Server":
Derzeitig wird die Lösung "RSA SecurID" der Firma RSA Security LLC eingesetzt. Wird eine andere Lösung angeboten, obliegt es dem Auftragnehmer, die derzeit bei IT.NRW eingesetzte Struktur von zwei RSA SecureID Apliances 130 sowie vier RSA SecureID Apliances 250 jeweils im HA-Verbund sowie die derzeit ca. 53000 Tokens kostenneutral für IT.NRW durch die angebotenen Token und neue Verwaltungsinstanzen vor Ort auszutauschen. Hierbei ist zu beachten, dass auch die Übernahme der bereits konfigurierten Nutzer erfolgen muss sowie eine Anbindung der Verwaltungsinstanzen an die bereits konfigurierten VPN Server mit Software der Firma NCP und Access-Gateways der Firma Citrix. Die ausge-tauschten OTP Token sowie die Verwaltungsinstanzen sind der umweltgerechten Vernichtung zuzuführen.
1. Mindestanforderungen an die Verwaltungsinstanz der OTP-Token sowie deren Bereitstellung:
Es sind alle notwendigen Verwaltungsinstanzen des Herstellers als Appli-ances für den Rackmounteinsatz anzubieten. Reine Software-Lösungen sind nicht zulässig.
Die Hardware der Verwaltungsinstanz muss die Option bieten, mit internen Redundanzmechanismen ausgestattet zu werden, insbesondere mit redundanten Festplatten (RAID), redundanten Netzteilen, redundanten Netzwerkanschlüssen.
Das Betriebssystem der Verwaltungsinstanz muss auf Unix oder Linux ba-sieren. Da sie mit dem Internet kommuniziert, muss sie gegen Angriffe gehärtet sein. Der Auftragnehmer sichert zu, dass der Hersteller der Verwaltungsinstanz laufend Updates und Sicherheitspatches liefert.
Die Verwaltungsinstanz muss die Option bieten, mit mindestens drei räumlich getrennten und nur auf Layer 3 erreichbaren Backup-Verwaltungsinstanzen so zusammenzuarbeiten, dass ohne zusätzliche Software laufend oder zu einstellbaren Zeiten Daten und Statusinformationen ausgetauscht werden, so dass der Ausfall einer Verwaltungsinstanz zu keinen Beeinträchtigungen für die Funktion der Infrastruktur führt.
Der integrierte Radiusserver muss zwingend mit den VPN-Produkten der Firma NCP sowie mit Produkten (Terminalserver, Access-Gateway und wei-tere) der Firma Citrix kompatibel sein.
Die Verwaltung der einzelnen Verwaltungsinstanzen muss über WEB- und Script- Schnittstelle möglich sein. Letztere muss in Syntax und Semantik mit Python vergleichbar und in der Lage sein, über interne Mechanismen die konfigurierten Nutzerkonten auf weitere Geräte dieses Typs, über eine routingfähige Netzwerkverbindung (TCP/IP) zu synchronisieren. Des Weiteren muss über dieselbe Scriptsprache eine Schnittstelle bereitstehen, welche das automatisiertes Anlegen und Löschen von Nutzerdaten sowie deren zugewiesenen OTP-Token zulässt.
2. Mindestanforderungen an die OTP-Token sowie deren Bereitstellung:
Es müssen alle OTP-Hardwaretoken als auch Softtoken von demselben Hersteller wie die o.a. Verwaltungsinstanz angeboten werden.
Es kann im Hersteller-Preiskatalog eine Staffelung der Abnahmemengen erfolgen.
Es müssen im Hersteller-Preiskatalog mindestens die folgenden drei Typen von OTP-Token angeboten enthalten sein:
- ein Standard-Hardwaretoken
- ein Hardware-Token mit numerischer Tastatur
- ein Software-Token.
I) Die Laufzeit aller Token muss in unterschiedlichen Längen abrufbar sein, auf jeden Fall müssen Laufzeiten von 3, 4 oder 5 Jahre im Hersteller-Preiskatalog enthalten sein
II) Das Standardhardwaretoken muss folgende Voraussetzungen ohne Nut-zerinteraktion erfüllen:
Er muss einen genau sechsstelligen numerischen PIN automatisch ohne Nutzerinteraktion anzeigen
Dieser PIN muss ca. alle 60 Sekunden wechseln
Das Token mit numerischer Tastatur muss folgende Voraussetzungen erfüllen:
Er muss einen genau sechsstelligen numerischen Wert anzeigen, sobald über die numerische Tastatur eine Freigabe angefordert wird.
Die dann angezeigte PIN muss ca. 60 Sekunden sichtbar sein.
Soft-Token müssen die folgenden Voraussetzungen erfüllen:
Es muss mindestens für folgenden Typen Endgeräte eine Lösung bereitgestellt werden
1. Android
2. BlackBerry
3. iPhone and iPad
Ein zusätzlich verfügbares Software Development Kit (SDK) für die genannten Umgebungen ist von Vorteil, aber keine zwingende Voraussetzung
3. Mindestanforderungen an den Abruf von Personaldienstleistungen:
Der Bieter muss Unterstützungsleistungen vor Ort anbieten. Hierfür sind im Angebot entsprechende Personaldienstleistungspakete anzubieten. Diese Dienstleistungen unterteilen sich in zwei wesentliche Bereiche:
Unterstützung durch den Anbieter selbst, einerseits für technische Unterstützungsleistungen wie Installationen, größere Updates und Störungsanalyse bei schwierigen Fehlersituationen und andererseits für konzeptionelle Arbeiten.
Unterstützung durch den Hersteller des Produktes für ähnlich gelagerte Dienstleistungen.
Die beauftragte Dienstleistung muss spätestens vier Wochen nach Eingang eines Abrufes begonnen werden.
4. Mindestanforderungen an den Abruf von Softwarepflege:
Vom Anbieter wird verbindlich erwartet, dass er für die Appliances und für notwendige Software auf den Endgeräten grundsätzlich Softwarepflege zu den angebotenen Produkten bereitstellt. Sofern Verwaltungsinstanzen und Token der Firma RSA angeboten werden, wird zusätzlich erwartet, dass auch der Support für die vorhandenen Systeme übernommen wird.
5. Mindestanforderungen an den Abruf von Supportleistungen:
Vom Anbieter wird verbindlich erwartet, dass er den Behörden und Einrichtungen des Landes grundsätzlich
Support zu den angebotenen Produkten bereitstellt,
Sofern Verwaltungsinstanzen und Token der Firma RSA angeboten wer-den, Support zu bereits im Einsatz befindlichen Produkten anbietet.
Bezüglich des Supports wird gefordert:
Telefonischer Support durch die Herstellerfirma.