Echipamente de tip NGFW

20 Mar 2026, 14:06

Clarificare privind Aplicarea clauzei de echivalență

Specificațiile tehnice detaliate în Caietul de Sarcini indică parametri de performanță ce pot fi asociați unor arhitecturi hardware proprietare. În conformitate cu Legea nr. 131/2015 privind achizițiile publice și principiul tratamentului egal, vă rugăm să confirmați că Autoritatea Contractantă acceptă soluții echivalente care respectă cerințele funcționale, indiferent de producător, fără a limita participarea prin specificații restrictive.

20 Mar 2026, 14:08

Clarificare privind Suport tehnic și instruire personal

Solicităm clarificarea cerințelor privind: 1. Instruirea: Dacă se solicită cursuri oficiale de certificare (Vendor-led training) cu examinare pentru personalul STI. 2. SLA (Service Level Agreement): Regimul de înlocuire a componentelor defecte (NBD - Next Business Day) și durata totală a suportului tehnic post-implementare inclus în oferta financiară.

20 Mar 2026, 14:09

Clarificare privind Riscurile tehnice privind aplicarea autocolantului PVC

Cerința privind aplicarea unui autocolant PVC cu lustruire UV direct pe carcasă generează următoarele contradicții tehnice: 1. Regimul termic: Echipamentele de înaltă densitate (25 Gbps) sunt proiectate pentru o disipare termică specifică prin șasiu. Acoperirea acestuia cu materiale polimerice poate afecta coeficientul de transfer termic și durata de viață a componentelor (MTBF). 2. Integritatea garanției: Modificările fizice neautorizate pot duce la respingerea suportului hardware de către producător în caz de defecțiune. Vă rugăm să confirmați dacă sunt acceptate metode alternative de marcare (etichetare standard de inventar), care să nu contravină ghidurilor de instalare și întreținere ale producătorului.

20 Mar 2026, 14:10

Clarificare privind Specificații logistice și servicii de implementare

Pentru corelarea costurilor de logistică, solicităm următoarele detalii: - Punctul de livrare pentru cele 30 de unități NGFW (locație centrală sau distribuție la locațiile beneficiare). - Necesitatea serviciilor de instalare, configurare și integrare în infrastructura existentă pentru fiecare locație în parte.

20 Mar 2026, 14:10

Solicitarea clarificarilor

Referitor la cerința stabilită la punctul 1.2, care solicită o capacitate de stocare internă de minimum 480 GB la nivelul echipamentului, vă rugăm să clarificați dacă, în temeiul Articolului 37 (Specificații tehnice), alin. (6) din Legea nr. 131/2015 privind achizițiile publice, autoritatea contractantă acceptă o soluție tehnică bazată pe o arhitectură de management centralizat total on-premises, unde retenția, procesarea și analiza logurilor sunt realizate pe o platforma dedicata de management, logare si raportare. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Conformitate cu Principiul Eficienței (Art. 7, Legea 131/2015): Solicitarea unei capacități mari de stocare locală pe discuri fizice în interiorul echipamentului de securitate poate limita concurența, favorizând arhitecturi hardware rigide. O soluție care utilizează o platformă de management dedicată oferă o capacitate de stocare virtual nelimitată și scalabilă, optimizând utilizarea resurselor financiare. Integritatea Datelor și Audit (Forensics): Având în vedere specificul Ministerului Afacerilor Interne, integritatea logurilor este critică. Stocarea externă pe o platformă de management dedicată protejează datele de audit în cazul unui incident hardware critic la nivelul gateway-ului de securitate, asigurând conformitatea cu normele de securitate cibernetică și protecție a datelor (conform Legii nr. 133/2011). Performanță și Disponibilitate: Separarea planului de date de planul de management (management plane) asigură faptul că procesele intensive de scriere a logurilor pe disc nu afectează performanța de procesare a traficului de rețea. Această abordare garantează un debit (throughput) constant și o latență minimă, elemente esențiale pentru aplicațiile critice ale MAI. Vizibilitate și Corelare: Utilizarea unei platforme de management dedicate permite beneficiarului corelarea evenimentelor din întreaga infrastructură, oferind o vizibilitate holistică asupra incidentelor de securitate, spre deosebire de monitorizarea individuală la nivel de echipament.

20 Mar 2026, 14:12

Solicitarea clarificarilor Referitor la cerința 1.24

Referitor la cerința 1.24, care solicită o capacitate de filtrare a traficului de cel puțin 25 Gbps, vă rugăm să clarificați dacă această valoare reprezintă performanța echipamentului cu toate funcționalitățile de securitate active (Threat Prevention, App-ID, IPS, Antivirus și Inspecție de conținut), sau este o valoare brută de tip Firewall Throughput (L3/L4). În vederea asigurării principiului eficienței achizițiilor publice (Art. 7 din Legea 131/2015) și a obținerii unei soluții capabile să asigure protecția în condiții de producție, va rugam sa acceptati ca cerința să fie reformulată pentru a viza performanța de securitate reală (Threat Prevention Throughput), acceptând o valoare care să reflecte necesarul operațional al instituției, fără a limita participarea producătorilor care utilizează alte arhitecturi. In consecinta va rugam sa eliminati cerinta de trafic brut si sa o mentineti doar pe cea de trafic filtrat, avand in vedere ca firewall-ul nu va fi niciodata utilizat in exploatara fara a filtra traficul la Layer 7, pentru a putea implementa politici de tip Zero Trust, acesta fiind principalul lui scop.

20 Mar 2026, 14:12

Solicitarea clarificarilor Referitor la cerința 1.23 si 2.17

Referitor la cerința 1.23 si 2.17 prin care se solicită suport pentru protocoalele sFlow și Netflow, vă rugăm să clarificați dacă autoritatea contractantă acceptă furnizarea protocolului Netflow (sau echivalentul standardizat IPFIX) ca metodă principală și suficientă pentru exportul datelor de trafic, fără obligativitatea protocolului sFlow. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Superioritatea Analizei Datelor (Forensics): Protocolul sFlow utilizează o metodă de eșantionare statistică (packet sampling), ceea ce poate duce la omiterea unor fluxuri de date critice sau a unor atacuri de tip „low-and-slow”. În schimb, Netflow/IPFIX oferă o vizibilitate completă asupra tuturor fluxurilor de comunicație, aspect esențial pentru Ministerul Afacerilor Interne în vederea monitorizării securității și realizării auditului post-incident. Eficiența Resurselor și Relevanța în Securitate: sFlow este un protocol orientat mai degrabă către monitorizarea performanței rețelei la nivel de switch-uri (Layer 2), în timp ce Netflow este standardul industrial pentru vizibilitatea securității în firewall-uri Next-Generation. Implementarea Netflow permite corelarea datelor cu identitatea utilizatorului și aplicația utilizată, oferind o valoare adăugată net superioară față de datele sumare oferite de sFlow. Standardizarea și Interoperabilitatea (Art. 37, Legea 131/2015): Netflow (v9) și IPFIX (standardul IETF) sunt protocoalele moderne de telemetrie suportate de majoritatea platformelor de analiză a traficului (SIEM, Collector). Obligativitatea sFlow (un protocol mai vechi și mai limitat) poate restricționa participarea unor producători de tehnologie de vârf care au optimizat exportul de date pentru precizie maximă și analiză de securitate profundă. Reducerea Complexității Configurației: Utilizarea unui singur protocol robust (Netflow/IPFIX) simplifică administrarea rețelei de către specialiștii MAI și asigură o interpretare unitară a datelor de către sistemele de monitorizare centralizată

20 Mar 2026, 14:13

Solicitarea clarificarilor Referitor la cerința 1.25

Referitor la cerința 1.25, care solicită o capacitate de tunelare IPSec de cel puțin 25 Gbps, vă rugăm să clarificați dacă această valoare se referă la traficul VPN brut (fără procesare de securitate) sau dacă, în vederea asigurării unui nivel real de protecție pentru infrastructura MAI, autoritatea acceptă o valoare dimensionată pentru IPSec VPN Throughput cu toate serviciile de securitate active (Threat Prevention, IPS, Antivirus). Totodată, propunem eliminarea sau relaxarea pragului de 25 Gbps de trafic brut, considerând că acesta nu reflectă un indicator de securitate relevant pentru o instituție de importanță strategică. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Riscul „Traficului Orb” (Security Blind Spots): Criptarea IPSec fără inspecție de conținut (Deep Packet Inspection) transformă tunelurile VPN în vectori ideali pentru propagarea atacurilor malware și exfiltrarea datelor, acestea fiind „invizibile” pentru un firewall care doar criptează traficul fără a-l analiza. O arhitectură modernă, care inspectează amenințările în interiorul tunelului VPN în timp real, oferă o protecție superioară față de o soluție care raportează doar throughput brut. Eficiența Achiziției (Art. 7, Legea 131/2015): Solicitarea a 25 Gbps de trafic VPN brut forțează ofertarea unor soluții hardware supradimensionate și costisitoare, a căror capacitate de procesare rămâne neutilizată în contextul în care traficul real al instituției va fi limitat oricum de capacitatea de inspecție a amenințărilor. Concentrarea pe performanța inspectată asigură utilizarea judicioasă a fondurilor publice pentru tehnologie care aduce valoare adăugată de securitate, nu doar capacitate de transport. Performanță Predictibilă în Scenarii Operative: Într-o instituție precum MAI, unde conexiunile VPN sunt vitale pentru unitățile teritoriale, este esențial ca firewall-ul să poată identifica aplicațiile și utilizatorii în interiorul tunelului. O soluție optimizată pentru procesarea decriptării și inspecției asigură o latență scăzută pentru aplicațiile critice, evitând congestiile specifice arhitecturilor legacy care separă modulele de criptare de cele de securitate. Asigurarea Mediului Concurențial (Art. 37, Legea 131/2015): Menținerea unei cerințe de 25 Gbps pentru trafic brut poate limita participarea unor producători de top care prioritizează securitatea granulară și inspecția de conținut în detrimentul performanțelor teoretice pe hârtie, care nu au aplicabilitate practică într-un mediu cu cerințe înalte de securitate cibernetică.

20 Mar 2026, 14:14

Solicitarea clarificarilor Referitor la cerința 1.30

Referitor la cerința 1.30, care solicită capacitatea de a stabili până la 10 milioane de sesiuni simultane TCP, vă rugăm să clarificați dacă această valoare se referă la sesiuni de tip Layer 4 (fără inspecție de securitate). În vederea asigurării unui nivel maxim de protecție pentru infrastructura critică a MAI, vă rugăm să acceptați o valoare dimensionată pentru sesiuni simultane cu inspecție completă de conținut și aplicație (Full Layer 7 Inspection) de minimum 580.000, considerând această abordare ca fiind conformă cu principiul eficienței achizițiilor publice (Art. 7 din Legea 131/2015). Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Securitate Reală vs. Capacitate Teoretică: Un număr de 10 milioane de sesiuni procesate doar la nivel de Port/IP (Layer 4) nu oferă nicio protecție împotriva atacurilor moderne mascate în trafic legitim. Pentru MAI, este mult mai valoroasă capacitatea de a inspecta granular fiecare sesiune (Antivirus, IPS, App-ID). O arhitectură de tip Single-Pass care inspectează 580.000 de sesiuni simultan la nivel de aplicație (L7) este net superioară uneia care permite 10 milioane de conexiuni „oarbe”. Optimizarea Resurselor Hardware: Menținerea a 10 milioane de sesiuni în tabelul de stare (state table) fără inspecție consumă memorie RAM în mod nejustificat, fără a aduce un beneficiu de securitate. Prin acceptarea unui prag de sesiuni complet inspectate, autoritatea se asigură că resursele hardware sunt alocate pentru detecția amenințărilor și prevenirea breșelor de securitate, nu doar pentru simpla monitorizare a conexiunilor. Dimensionare Conformă cu Realitatea Operativă: Având în vedere numărul de utilizatori și servere din cadrul MAI, o capacitate de peste jumătate de milion de sesiuni simultane cu inspecție L7 activă acoperă cu o marjă largă de siguranță necesarul instituției, oferind în același timp o vizibilitate totală asupra traficului. Evitarea Restricționării Concurenței (Art. 37, Legea 131/2015): Cerința de 10 milioane de sesiuni este adesea utilizată pentru a favoriza echipamente de tip „carrier-grade” concepute pentru furnizorii de servicii internet (ISP), care nu sunt optimizate pentru securitate cibernetică profundă. Acceptarea unei valori bazate pe inspecția L7 permite participarea liderilor tehnologici din domeniul Next-Generation Firewall, oferind beneficiarului cea mai avansată tehnologie de protecție disponibilă.

20 Mar 2026, 14:15

Solicitarea clarificarilor Referitor la cerința 1.31

Referitor la cerința 1.31, prin care se solicită o capacitate de stabilire a sesiunilor noi de cel puțin 300.000 pe secundă, vă rugăm să clarificați dacă această valoare reprezintă conexiuni brute de tip Layer 4 (fără inspecție). Având în vedere necesitatea de a asigura protecția împotriva atacurilor complexe la nivel de aplicație, vă rugăm să acceptați o valoare de minimum 100.000 de sesiuni noi pe secundă cu inspecție completă Layer 7 (Application level și Threat Prevention active). Considerăm că această ajustare este în deplin acord cu Art. 37 din Legea 131/2015, asigurând un echilibru între performanța rețelei și securitatea efectivă a datelor Ministerului Afacerilor Interne. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Protecție Preventivă vs. Simpla Conectivitate: O rată de 300.000 de sesiuni noi/secundă (L4) indică doar capacitatea hardware de a număra conexiuni, fără a verifica dacă acestea transportă cod malformant sau atacuri de tip exploit. În schimb, capacitatea de a stabili 100.000 de sesiuni pe secundă, inspectându-le simultan pentru amenințări (Full Content Inspection), oferă o barieră de protecție activă, prevenind infectarea rețelei încă de la primul pachet al conexiunii. Arhitectură Optimizată pentru Securitate: Tehnologiile de ultimă generație utilizează un motor de procesare care identifică aplicația și scanează conținutul în momentul stabilirii sesiunii. O cerință bazată pe performanța cu inspecție L7 activă permite MAI să beneficieze de o arhitectură superioară, capabilă să facă față unor valuri de conexiuni legitime sau malițioase fără a compromite vizibilitatea asupra traficului. Rezistența la Atacuri de tip Session Flood: Prin concentrarea pe performanța cu servicii de securitate active, beneficiarul se asigură că echipamentul nu va fi copleșit de atacuri care încearcă să consume tabelul de sesiuni (resource exhaustion). Un firewall care procesează inteligent 100.000 de sesiuni inspectate este mult mai rezistent la atacuri de tip Denial of Service (DoS) decât unul care acceptă 300.000 de conexiuni neverificate. Eficiența Investiției (TCO): Solicitarea unei rate de 300.000 CPS (L4) limitează participarea la producători care livrează platforme hardware rigide, adesea supradimensionate și ineficiente în mediile unde inspecția de securitate este obligatorie. Reducerea pragului la 100.000 CPS, dar cu cerința de inspecție activă, deschide procedura către soluții software-optimized de înaltă performanță, garantând cea mai bună protecție raportată la bugetul investit.

20 Mar 2026, 14:15

Solicitarea clarificarilor Referitor la cerința 1.32 si 2.26

Referitor la cerința 1.32 si 2.26 în vederea elaborării unei oferte financiare corecte și conforme cu principiul utilizării eficiente a banilor publici (Art. 7, Legea 131/2015), vă rugăm să specificați numărul total de stații de lucru (endpoint-uri) pentru care trebuie prevăzută licențierea software-ului de securitate. Argumentație: Această informație este critică pentru dimensionarea corectă a resurselor hardware ale firewall-ului și pentru calcularea costului total de proprietate (TCO), evitând achiziția unui număr nejustificat de licențe sau supradimensionarea costisitoare a sistemului.

20 Mar 2026, 14:16

Solicitarea clarificarilor Referitor la cerința 1.32 si 2.26

Referitor la cerința 1.32 si 2.26 vă rugăm să clarificați dacă autoritatea acceptă eliminarea cerinței de filtrare web la nivel de stație de lucru, având în vedere că această funcționalitate este deja solicitată și asigurată nativ de către echipamentul de securitate (Firewall) prin reguli de Web Filtering. Argumentație: Dublarea aceleiași funcții pe stație și pe firewall consumă inutil resurse de procesare (CPU/RAM) ale stațiilor de lucru și complică administrarea politicilor de securitate. Într-o arhitectură modernă, firewall-ul asigură protecția unitară a traficului, inclusiv pentru utilizatorii la distanță prin tehnologii de tip Always-on VPN, garantând că aceleași politici de securitate se aplică indiferent de locația utilizatorului, fără a supraîncărca stația de lucru.

20 Mar 2026, 14:17

Solicitarea clarificarilor Referitor la cerința 1.32 si 2.26

Referitor la cerința 1.32 si 2.26 de 'Scanare Antivirus', vă rugăm să acceptați și să reformulați cerința în sensul solicitării unei tehnologii de detecție bazate pe Inteligență Artificială (AI), Machine Learning și Analiză Comportamentală, care să poată identifica și bloca amenințări necunoscute (Zero-Day), renunțând la obligativitatea detecției bazate exclusiv pe semnături. Argumentație: În contextul actual, în care atacatorii utilizează AI pentru a genera malware polimorfic (care își schimbă structura pentru a evita semnăturile), antivirusul tradițional a devenit ineficient. Pentru o instituție de importanță strategică precum MAI, este vitală o soluție de tip NGAV/EDR care nu se bazează pe baze de date statice de viruși, ci analizează comportamentul proceselor în timp real. Această abordare oferă o protecție proactivă, blocând tentativele de execuție ale codului malformant înainte ca acesta să producă daune, oferind un nivel de reziliență mult superior tehnologiilor legacy.

20 Mar 2026, 14:17

Solicitarea clarificarilor Referitor la cerința 2.18

Referitor la cerința 2.18, care solicită o capacitate de filtrare a traficului de cel puțin 10 Gbps, vă rugăm să clarificați dacă această valoare reprezintă performanța echipamentului cu toate funcționalitățile de securitate active (Threat Prevention, App-ID, IPS, Antivirus și Inspecție de conținut), sau este o valoare brută de tip Firewall Throughput (L3/L4). În vederea asigurării principiului eficienței achizițiilor publice (Art. 7 din Legea 131/2015) și a obținerii unei soluții capabile să asigure protecția în condiții de producție, va rugam sa acceptati ca cerința să fie reformulată pentru a viza performanța de securitate reală (Threat Prevention Throughput), acceptând o valoare care să reflecte necesarul operațional al instituției, fără a limita participarea producătorilor care utilizează alte arhitecturi. In consecinta va rugam sa eliminati cerinta de trafic brut si sa o mentineti doar pe cea de trafic filtrat, avand in vedere ca firewall-ul nu va fi niciodata utilizat in exploatara fara a filtra traficul la Layer 7, pentru a putea implementa politici de tip Zero Trust, acesta fiind principalul lui scop.

20 Mar 2026, 14:18

Solicitarea clarificarilor Referitor la cerința 1.25

Referitor la cerința 1.25, care solicită o capacitate de tunelare IPSec de cel puțin 7 Gbps, vă rugăm să clarificați dacă această valoare se referă la traficul VPN brut (fără procesare de securitate) sau dacă, în vederea asigurării unui nivel real de protecție pentru infrastructura MAI, autoritatea acceptă o valoare dimensionată pentru IPSec VPN Throughput cu toate serviciile de securitate active (Threat Prevention, IPS, Antivirus). Totodată, propunem eliminarea sau relaxarea pragului de 7 Gbps de trafic brut, considerând că acesta nu reflectă un indicator de securitate relevant pentru o instituție de importanță strategică. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Riscul „Traficului Orb” (Security Blind Spots): Criptarea IPSec fără inspecție de conținut (Deep Packet Inspection) transformă tunelurile VPN în vectori ideali pentru propagarea atacurilor malware și exfiltrarea datelor, acestea fiind „invizibile” pentru un firewall care doar criptează traficul fără a-l analiza. O arhitectură modernă, care inspectează amenințările în interiorul tunelului VPN în timp real, oferă o protecție superioară față de o soluție care raportează doar throughput brut. Eficiența Achiziției (Art. 7, Legea 131/2015): Solicitarea a 7 Gbps de trafic VPN brut forțează ofertarea unor soluții hardware supradimensionate și costisitoare, a căror capacitate de procesare rămâne neutilizată în contextul în care traficul real al instituției va fi limitat oricum de capacitatea de inspecție a amenințărilor. Concentrarea pe performanța inspectată asigură utilizarea judicioasă a fondurilor publice pentru tehnologie care aduce valoare adăugată de securitate, nu doar capacitate de transport. Performanță Predictibilă în Scenarii Operative: Într-o instituție precum MAI, unde conexiunile VPN sunt vitale pentru unitățile teritoriale, este esențial ca firewall-ul să poată identifica aplicațiile și utilizatorii în interiorul tunelului. O soluție optimizată pentru procesarea decriptării și inspecției asigură o latență scăzută pentru aplicațiile critice, evitând congestiile specifice arhitecturilor legacy care separă modulele de criptare de cele de securitate. Asigurarea Mediului Concurențial (Art. 37, Legea 131/2015): Menținerea unei cerințe de 7 Gbps pentru trafic brut poate limita participarea unor producători de top care prioritizează securitatea granulară și inspecția de conținut în detrimentul performanțelor teoretice pe hârtie, care nu au aplicabilitate practică într-un mediu cu cerințe înalte de securitate cibernetică.

20 Mar 2026, 14:19

Solicitarea clarificarilor Referitor la cerința 1.29

Referitor la cerința 1.29, care solicită o capacitate de inspectare a traficului prin activarea funcționalului de IPS de cel puțin 7 Gbps, vă rugăm să clarificați dacă această valoare este una izolată (doar profilul de IPS activ) sau dacă reprezintă performanța în condiții de utilizare reală. În vederea garantării unui nivel de securitate robust și adaptat amenințărilor actuale, vă rugăm să acceptați ca această cerință să fie evaluată prin prisma performanței de protecție cuprinzătoare (Full Threat Prevention). Astfel, propunem ca autoritatea să accepte o valoare de minimum 6 Gbps, însă măsurată cu toate serviciile de inspecție active simultan (IPS, IDS, Web/URL Filtering, Antivirus și Sandboxing) la nivel de Layer 7, în conformitate cu principiul eficienței achizițiilor publice prevăzut la Art. 7 din Legea 131/2015. Argumentare tehnică și beneficii pentru MAI: Securitate Holistică vs. Protecție Fragmentată: O valoare de 7 Gbps strict pentru IPS este irelevantă în contextul operativ al MAI, deoarece traficul nu va fi niciodată filtrat doar prin IPS. În realitate, pentru a bloca un atac modern, firewall-ul trebuie să identifice aplicația, să verifice URL-ul și să trimită fișierele suspecte în Sandbox simultan. O soluție care garantează 6 Gbps cu toate motoarele pornite oferă o protecție mult mai sigură decât una care promite 7 Gbps „pe hârtie”, dar a cărei performanță scade drastic la activarea funcțiilor suplimentare. Predictibilitatea Arhitecturală : Solicităm acceptarea pragului de 6 Gbps (Full Stack) pentru a permite ofertarea unor echipamente optimizate, care mențin o latență scăzută și un debit constant, indiferent de complexitatea politicilor de securitate aplicate de specialiștii MAI. Evitarea Supradimensionării Ineficiente (Art. 37, Legea 131/2015): Menținerea cerinței de 7 Gbps IPS (izolat) poate conduce la achiziționarea unor echipamente din generații vechi care au accelerare hardware doar pentru semnături IPS, dar sunt incapabile să proceseze restul serviciilor la aceeași viteză. Acceptarea unei valori de 6 Gbps cu inspecție totală asigură că MAI primește o tehnologie de ultimă generație, unde capacitatea de procesare este utilizată inteligent pentru apărare, nu doar pentru statistici brute. Reducerea Riscului de „Gât de Sticlă” (Bottleneck): Prin setarea unei metrici bazate pe „Threat Prevention Throughput”, autoritatea se asigură că, în momentul în care va decide activarea funcțiilor de Sandboxing sau Antivirus pentru a opri un atac de tip Zero-Day, rețeaua instituției nu va suferi o degradare a performanței care să afecteze serviciile operative.

20 Mar 2026, 14:20

Solicitarea clarificarilor Referitor la cerința 2.23

Referitor la cerința 2.23, care solicită o capacitate de inspectare a traficului prin activarea funcționalului de IPS de cel puțin 2 Gbps, vă rugăm să clarificați dacă această valoare este una izolată (doar profilul de IPS activ) sau dacă reprezintă performanța în condiții de utilizare reală. În vederea garantării unui nivel de securitate robust și adaptat amenințărilor actuale, vă rugăm să acceptați ca această cerință să fie evaluată prin prisma performanței de protecție cuprinzătoare (Full Threat Prevention). Astfel, propunem ca autoritatea să accepte o valoare de minimum 1 Gbps, însă măsurată cu toate serviciile de inspecție active simultan (IPS, IDS, Web/URL Filtering, Antivirus și Sandboxing) la nivel de Layer 7, în conformitate cu principiul eficienței achizițiilor publice prevăzut la Art. 7 din Legea 131/2015. Argumentare tehnică și beneficii pentru MAI: Securitate Holistică vs. Protecție Fragmentată: O valoare de 2 Gbps strict pentru IPS este irelevantă în contextul operativ al MAI, deoarece traficul nu va fi niciodată filtrat doar prin IPS. În realitate, pentru a bloca un atac modern, firewall-ul trebuie să identifice aplicația, să verifice URL-ul și să trimită fișierele suspecte în Sandbox simultan. O soluție care garantează 1 Gbps cu toate motoarele pornite oferă o protecție mult mai sigură decât una care promite 2 Gbps „pe hârtie”, dar a cărei performanță scade drastic la activarea funcțiilor suplimentare. Predictibilitatea Arhitecturală : Solicităm acceptarea pragului de 1 Gbps (Full Stack) pentru a permite ofertarea unor echipamente optimizate, care mențin o latență scăzută și un debit constant, indiferent de complexitatea politicilor de securitate aplicate de specialiștii MAI. Evitarea Supradimensionării Ineficiente (Art. 37, Legea 131/2015): Menținerea cerinței de 2 Gbps IPS (izolat) poate conduce la achiziționarea unor echipamente din generații vechi care au accelerare hardware doar pentru semnături IPS, dar sunt incapabile să proceseze restul serviciilor la aceeași viteză. Acceptarea unei valori de 1 Gbps cu inspecție totală asigură că MAI primește o tehnologie de ultimă generație, unde capacitatea de procesare este utilizată inteligent pentru apărare, nu doar pentru statistici brute. Reducerea Riscului de „Gât de Sticlă” (Bottleneck): Prin setarea unei metrici bazate pe „Threat Prevention Throughput”, autoritatea se asigură că, în momentul în care va decide activarea funcțiilor de Sandboxing sau Antivirus pentru a opri un atac de tip Zero-Day, rețeaua instituției nu va suferi o degradare a performanței care să afecteze serviciile operative.

20 Mar 2026, 14:21

Solicitarea clarificarilor Referitor la cerința 2.24

Referitor la cerința 2.24 care solicită capacitatea de a stabili până la 1 milion de sesiuni simultane TCP, vă rugăm să clarificați dacă această valoare se referă la sesiuni de tip Layer 4 (fără inspecție de securitate). În vederea asigurării unui nivel maxim de protecție pentru infrastructura critică a MAI, vă rugăm să acceptați o valoare dimensionată pentru sesiuni simultane cu inspecție completă de conținut și aplicație (Full Layer 7 Inspection) de minimum 95.000, considerând această abordare ca fiind conformă cu principiul eficienței achizițiilor publice (Art. 7 din Legea 131/2015). Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Securitate Reală vs. Capacitate Teoretică: Un număr de 1 milion de sesiuni procesate doar la nivel de Port/IP (Layer 4) nu oferă nicio protecție împotriva atacurilor moderne mascate în trafic legitim. Pentru MAI, este mult mai valoroasă capacitatea de a inspecta granular fiecare sesiune (Antivirus, IPS, App-ID). O arhitectură de tip Single-Pass care inspectează 95.000 de sesiuni simultan la nivel de aplicație (L7) este net superioară uneia care permite 1 milion de conexiuni „oarbe”. Optimizarea Resurselor Hardware: Menținerea a 1 milion de sesiuni în tabelul de stare (state table) fără inspecție consumă memorie RAM în mod nejustificat, fără a aduce un beneficiu de securitate. Prin acceptarea unui prag de sesiuni complet inspectate, autoritatea se asigură că resursele hardware sunt alocate pentru detecția amenințărilor și prevenirea breșelor de securitate, nu doar pentru simplă monitorizare a conexiunilor. Dimensionare Conformă cu Realitatea Operativă: Având în vedere numărul de utilizatori și servere din cadrul MAI, o capacitate de peste jumătate de milion de sesiuni simultane cu inspecție L7 activă acoperă cu o marjă largă de siguranță necesarul instituției, oferind în același timp o vizibilitate totală asupra traficului. Evitarea Restricționării Concurenței (Art. 37, Legea 131/2015): Cerința de 1 milion de sesiuni este adesea utilizată pentru a favoriza echipamente de tip „carrier-grade” concepute pentru furnizorii de servicii internet (ISP), care nu sunt optimizate pentru securitate cibernetică profundă. Acceptarea unei valori bazate pe inspecția L7 permite participarea liderilor tehnologici din domeniul Next-Generation Firewall, oferind beneficiarului cea mai avansată tehnologie de protecție disponibilă.

20 Mar 2026, 14:22

Solicitarea clarificarilor Referitor la cerința 2.25

Referitor la cerința 2.25, prin care se solicită o capacitate de stabilire a sesiunilor noi de cel puțin 100.000 pe secundă, vă rugăm să clarificați dacă această valoare reprezintă conexiuni brute de tip Layer 4 (fără inspecție). Având în vedere necesitatea de a asigura protecția împotriva atacurilor complexe la nivel de aplicație, vă rugăm să acceptați o valoare de minimum 15.000 de sesiuni noi pe secundă cu inspecție completă Layer 7 (Application level și Threat Prevention active). Considerăm că această ajustare este în deplin acord cu Art. 37 din Legea 131/2015, asigurând un echilibru între performanța rețelei și securitatea efectivă a datelor Ministerului Afacerilor Interne. Argumentare tehnică și beneficii pentru beneficiarul final (MAI): Protecție Preventivă vs. Simpla Conectivitate: O rată de 100.000 de sesiuni noi/secundă (L4) indică doar capacitatea hardware de a număra conexiuni, fără a verifica dacă acestea transportă cod malformant sau atacuri de tip exploit. În schimb, capacitatea de a stabili 15.000 de sesiuni pe secundă, inspectându-le simultan pentru amenințări (Full Content Inspection), oferă o barieră de protecție activă, prevenind infectarea rețelei încă de la primul pachet al conexiunii. Arhitectură Optimizată pentru Securitate: Tehnologiile de ultimă generație utilizează un motor de procesare care identifică aplicația și scanează conținutul în momentul stabilirii sesiunii. O cerință bazată pe performanța cu inspecție L7 activă permite MAI să beneficieze de o arhitectură superioară, capabilă să facă față unor valuri de conexiuni legitime sau malițioase fără a compromite vizibilitatea asupra traficului. Rezistența la Atacuri de tip Session Flood: Prin concentrarea pe performanța cu servicii de securitate active, beneficiarul se asigură că echipamentul nu va fi copleșit de atacuri care încearcă să consume tabelul de sesiuni (resource exhaustion). Un firewall care procesează inteligent 15.000 de sesiuni inspectate este mult mai rezistent la atacuri de tip Denial of Service (DoS) decât unul care acceptă 100.000 de conexiuni neverificate. Eficiența Investiției (TCO): Solicitarea unei rate de 100.000 CPS (L4) limitează participarea la producători care livrează platforme hardware rigide, adesea supradimensionate și ineficiente în mediile unde inspecția de securitate este obligatorie. Reducerea pragului la 15.000 CPS, dar cu cerința de inspecție activă, deschide procedura către soluții software-optimized de înaltă performanță, garantând cea mai bună protecție raportată la bugetul investit.