Zakres nr 1 I) System ochrony sieci klasy UTM Nazwa rynkowa

Zakres nr 1
I) System ochrony sieci klasy UTM
Nazwa rynkowa/model oferowanego produktu …………………………………………………………………………………..
Lp.
Nazwa składnika/parametru
technicznego sprzętu
Minimalne wymagania Zamawiającego w zakresie składników
i parametrów technicznych sprzętu
Składniki oraz parametry techniczne sprzętu oferowanego
przez Dostawcę)
A
B
C
D
a) System ochrony musi być zbudowany przy użyciu minimalnej ilości
elementów ruchomych, dlatego urządzenie, nie może posiadać twardego
dysku, w zamian musi używać pamięci FLASH.
b) Podstawowe funkcje systemu muszą być realizowane (akcelerowane)
sprzętowo przy użyciu specjalizowanego układu elektronicznego ASIC.
c) Dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia
technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne
oraz zastosowane technologie, w tym system operacyjny urządzenia
pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu co
do ilości chronionych użytkowników (licencja na urządzenie).
1
Architektura systemu ochrony
2
System operacyjny
W celu zapewnienia wysokiej sprawności i skuteczności działania systemu
urządzenia, funkcje ochronne muszą pracować w oparciu o dedykowany
system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania
komercyjnych systemów operacyjnych, ogólnego przeznaczenia.
3
Ilość/rodzaj portów
Nie mniej niż 42 portów Ethernet 10/100/1000 Base-TX oraz 2 porty SFP.
Funkcjonalności podstawowe
System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z
poniższych funkcjonalności podstawowych:
a) kontrolę dostępu - zaporę ogniową klasy Stateful Inspection
b) ochronę przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3,
IMAP, HTTP, FTP, IM, SMTPS, POP3S, IMAPS, HTTPS)
c) poufność danych - IPSec VPN oraz SSL VPN
d) ochronę przed atakami - Intrusion Prevention System [IPS/IDS]
e) kontrolę treści – Web Filter [WF]
f) kontrolę zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3,
IMAP)
g) kontrolę pasma oraz ruchu [QoS i Traffic shaping]
h) kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz
P2P)
i) zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak
Prevention)
5
Tryby pracy urządzenia
Urządzenie musi dawać możliwość ustawienia jednego z dwóch trybów pracy:
a) jako router/NAT (3.warstwa ISO-OSI),
b) jako most - transparent bridge . Tryb przezroczysty (transparentny)
umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w
dowolnym jej miejscu.
6
Firewall – polityki bezpieczeństwa
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP,
interfejsy, protokoły i usługi sieciowe, użytkowników sieci, reakcje
zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasmem
(m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ ).
4
Cena
Liczba
jednostkowa
sztuk
brutto
E
F
Wartość
zamówienia
brutto
G
7
Wykrywanie ataków
Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in.
IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i
niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed
atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z
jednego adresu IP.
a) Nie mniej niż 4000 sygnatur ataków.
b) Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie
c) Możliwość wykrywania anomalii protokołów i ruchu
8
Translacja adresów
a) Statyczna i dynamiczna translacja adresów (NAT).
b) Translacja NAPT.
9
10
11
a) Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie
mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne
ustawienia wszystkich funkcji bezpieczeństwa i dostęp administracyjny.
Routing dynamiczny i wirtualizacja
b) Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu,
adresu IP źródłowego oraz docelowego.
c) Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM
Połączenie VPN
Autoryzacja użytkowników
Wymagane nie mniej niż:
a) Tworzenie połączeń w topologii Site-to-site oraz Client-to-site.
b) Producent musi udostępniać oprogramowanie klienta VPN własnej
produkcji, realizującego następujące mechanizmy ochrony końcówki:
(1) firewall,
(2) antywirus,
(3) web filtering,
(4) antyspam,
c) Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności.
d) Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i
tabele routingu (interface based VPN).
e) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth.
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania
tożsamości użytkowników za pomocą nie mniej niż:
a) haseł statycznych i definicji użytkowników przechowywanych w lokalnej
bazie urządzenia
b) haseł statycznych i definicji użytkowników przechowywanych w bazach
zgodnych z LDAP
c) haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy
danych
Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w
środowisku Active Directory oraz eDirectory bez dodatkowych opłat
licencyjnych.
12
Wydajność
a) Obsługa nie mniej niż 3 200 000 jednoczesnych połączeń i 77 000 nowych
połączeń na sekundę
b) Przepływność nie mniejsza niż 4 Gbps dla ruchu nieszyfrowanego i 1,3
Gbps dla VPN (3DES).
c) Obsługa nie mniej niż 2 000 jednoczesnych tuneli VPN
13
Zapewnienie niezawodności
a) Monitoring i wykrywanie uszkodzenia elementów sprzętowych i
programowych systemu zabezpieczeń oraz łączy sieciowych.
b) Możliwość połączenia dwóch identycznych urządzeń w klaster typu ActiveActive lub Active-Passive
2
Konfiguracja
a) Możliwość konfiguracji poprzez terminal i linię komend oraz wbudowaną
konsolę graficzną (GUI).
b) Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone
poprzez szyfrowanie komunikacji.
c) Musi być zapewniona możliwość definiowania wielu administratorów o
różnych uprawnieniach.
d) Administratorzy muszą być uwierzytelniani za pomocą:
(1) haseł statycznych
(2) haseł dynamicznych (RADIUS, RSA SecureID)
e) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie
i odtwarzanie konfiguracji z pamięci USB.
15
Zarządzanie
System powinien mieć możliwość współpracy z zewnętrznym, modułem
centralnego zarządzania umożliwiającym:
a) Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i
grup urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej
b) Wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć
konfigurację z dowolnego punktu w przeszłości
c) Zarządzanie wersjami firmware’u na urządzeniach oraz zdalne uaktualnienia
d) Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne
uaktualnienia
e) Monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM)
f) Zapis i zdalne wykonywanie skryptów na urządzeniach
16
HA
System musi pracować w konfiguracji klastra wysokiej dostępności (HA) minimum dwa systemy, pracujące niezależnie, zabezpieczające się wzajemnie
na wypadek awarii jednego z nich
14
17
18
19
Raportowanie
System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym
modułem raportowania (opis pkt II) i korelacji logów umożliwiającym:
a) Zbieranie logów z urządzeń bezpieczeństwa
b) Generowanie raportów
c) Skanowanie podatności stacji w sieci
d) Zdalną kwarantannę dla modułu antywirusowego
Zgodnie z zaleceniami normy PN-ISO/17799 zarówno moduł centralnego
zarządzania jak i raportowania muszą być zrealizowane na osobnych
Integracja systemu zarządzania urządzeniach sprzętowych (opis systemu raportującego pkt II specyfikacji).
Jednocześnie administrator powinien mieć do dyspozycji jedną konsolę
zarządzającą do kontroli obu podsystemów.
Serwis i aktualizacje
a) Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji
bezpieczeństwa na okres co najmniej 1 roku.
b) System powinien być objęty serwisem gwarancyjnym producenta przez
okres co najmniej 1 roku.
c) Dostawca musi okazać zaświadczenie informujące o możliwości przyjęcia
uszkodzonego urządzenia objętego serwisem do naprawy u dystrybutora na
terenie Polski.
20
21
a) Instalacja i konfiguracja systemu powinna być przeprowadzona przez
uprawnionego inżyniera posiadającego aktualny certyfikat producenta.
b) Dostawca ma obowiązek przeprowadzić szkolenia administratorów wraz ze
wdrożeniem w siedzibie Zamawiającego.
Wdrożenie, instalacja i szkolenie
c) Dostawca musi zagwarantować możliwość przeszkolenia 1 Administratora
Zamawiającego umożliwiając mu odbycie dwudniowego szkolenia
prowadzonego przez autoryzowane centrum szkoleniowe producenta nie
później niż do 30.III.2014
Wsparcie techniczne
Dostawca powinien zapewnić pierwszą linię wsparcia technicznego
telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu.
II) System logowania, analizowania i raportowania z systemu ochrony
Nazwa rynkowa/model oferowanego produktu …………………………………………………………………………………..
Lp.
Nazwa składnika/parametru
technicznego sprzętu
Minimalne wymagania Zamawiającego w zakresie składników
i parametrów technicznych sprzętu
Składniki oraz parametry techniczne sprzętu oferowanego
przez Dostawcę)
A
B
C
D
1
Architektura systemu
System logowania i raportowania powinien stanowić centralne repozytorium
danych gromadzonych przez wiele urządzeń oraz aplikacji klienckich z
możliwością definiowania własnych raportów na podstawie predefiniowanych
wzorców.
Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego
wsparcia technicznego ze strony dostawcy wymaga się, aby wszystkie funkcje
oraz zastosowane technologie, w tym system operacyjny i sprzęt pochodziły od
jednego producenta.
2
System operacyjny
Dla zapewnienia wysokiej sprawności i skuteczności działania systemu
urządzenie musi pracować w oparciu o dedykowany system operacyjny.
Nie dopuszcza się stosowania komercyjnych systemów operacyjnych,
ogólnego przeznaczenia.
3
Parametry fizyczne
a) Nie mniej niż 4 porty Ethernet 10/100/1000
b) Powierzchnia dyskowa - minimum 1 TB
4
Funkcjonalności podstawowe
5
Wydajność
6
Zarządzanie
System musi zapewniać:
a) Składowanie oraz archiwizację logów z możliwością ich grupowania w
oparciu o urządzenia, użytkowników
b) Możliwość gromadzenia zawartości przesyłanych za pośrednictwem
protokołów Web, FTP, email, IM oraz na ich podstawie analizowania
aktywności użytkowników w sieci
c) Kwarantannę dla współpracujących z nim urządzeń. Kwarantanna obejmuje
zainfekowane lub wskazane przez analizę heurystyczną pliki.
d) Przeglądanie archiwalnych logów przy zastosowaniu funkcji filtrujących
e) Wyświetlanie nowych logów w czasie rzeczywistym
f) Analizowanie ruchu w sieci poprzez nasłuch całej komunikacji w segmencie
sieci z możliwością jej zapisu i późniejszej analizy
g) Export zgromadzonych logów do zewnętrznych systemów składowania
danych (długoterminowe przechowywanie danych)
Urządzenie musi obsługiwać minimum 150 urządzeń sieciowych
Lokalny interfejs zarządzania poprzez szyfrowane połączenie HTTPS, SSH i
konsolę poprzez interfejs szeregowy szeregową
Cena
Liczba
jednostkowa
sztuk
brutto
E
F
Wartość
zamówienia
brutto
G
7
8
9
Serwis i aktualizacje
a) Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji
bezpieczeństwa na okres co najmniej 1 roku.
b) System powinien być objęty serwisem gwarancyjnym producenta przez
okres co najmniej 1 roku.
c) Dostawca musi okazać zaświadczenie informujące o możliwości przyjęcia
uszkodzonego urządzenia objętego serwisem do naprawy u dystrybutora na
terenie Polski.
a) Instalacja i konfiguracja systemu powinna być przeprowadzona przez
uprawnionego inżyniera posiadającego aktualny certyfikat producenta.
b) Dostawca ma obowiązek przeprowadzić szkolenia administratorów wraz ze
wdrożeniem w siedzibie Zamawiającego.
Wdrożenie, instalacja i szkolenie
c) Dostawca musi zagwarantować możliwość przeszkolenia 1 Administratora
Zamawiającego umożliwiając mu odbycie dwudniowego szkolenia
prowadzonego przez autoryzowane centrum szkoleniowe producenta nie
później niż do 30.III.2014
Wsparcie techniczne
Dostawca powinien zapewnić pierwszą linie wsparcia technicznego
telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu.
1