szczegółowy opis przedmiotu zamówienia

Załącznik do oferty
Załącznik nr 8 do siwz
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
Przedmiotem dostawy są :
 2 szt. urządzeń UTM skonfigurowane do pracy w klastrze dla KW PSP w Katowicach stanowiące
jednostkę centralna systemu bezpieczeństwa.
 35 szt. urządzeń UTM umożliwiających podłączenie jednostek powiatowych do jednostki
centralnej.
 1 szt. systemu centralnego zarządzania dostarczonymi urządzeniami.
1. Dostarczony system bezpieczeństwa musi zapewniać wszystkie funkcje bezpieczeństwa oraz
funkcjonalności wymienione w minimalnych wymaganych parametrach (tabele poniżej)
niezależnie od dostawcy łącza.
2. Dopuszcza się aby elementy wchodzące w skład systemu ochrony były zrealizowane w postaci
zamkniętej platformy sprzętowej lub w postaci komercyjnej aplikacji instalowanej na platformie
ogólnego przeznaczenia. W przypadku implementacji programowej dostawca powinien
zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem
operacyjnym.
3. Oferent winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora
oferowanych rozwiązań na terenie Polski, iż oferent posiada autoryzację producenta w zakresie
sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych
Strona 1 z 9
Załącznik do oferty
Minimalne wymagane parametry dla urządzenia centralnego w KW PSP w Katowicach
Lp.
Minimalne wymagane parametry
1. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy
sieciowych.
2. Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów systemu. W ramach postępowania
dostawca powinien dostarczyć system w formie redundantnej, np. w postaci klastra urządzeń.
3. Elementy systemu przenoszące ruch użytkowników powinny dawać możliwość pracy w jednym z dwóch trybów:
Router/NAT lub transparent.
4. System realizujący funkcję Firewall powinien dysponować minimum 16 interfejsami miedzianymi Ethernet 10/100/1000
oraz 2 portami SFP.
5. Możliwość tworzenia min 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q.
6. W zakresie Firewall’a obsługa nie mniej niż 1,4 mln jednoczesnych połączeń oraz 50 tys. nowych połączeń na sekundę.
7. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcjonalności. Poszczególne
funkcjonalności systemu bezpieczeństwa mogą być realizowane w postaci osobnych platform sprzętowych lub
programowych:
 Kontrola dostępu - zapora ogniowa klasy Stateful Inspection
 Ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS). System kontroli
AV musi umożliwiać skanowanie AV dla plików typu: rar, zip.
 Poufność danych - IPSec VPN oraz SSL VPN
 Ochrona przed atakami - Intrusion Prevention System [IPS/IDS]
 Kontrola stron Internetowych – Web Filter [WF]
 Kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP)
 Kontrola pasma oraz ruchu [QoS i Traffic shaping]
 Kontrola aplikacji oraz rozpoznawanie ruchu P2P
 Możliwość analizy ruchu szyfrowanego SSL’em
8. Wydajność systemu Firewall min 2,5 Gbps
9. Wydajność skanowania strumienia danych przy włączonych funkcjach: Stateful Firewall, Antivirus min. 500 Mbps
10. Wydajność ochrony przed atakami (IPS) min 1,5 Gbps.
11. Wydajność szyfrowania AES, nie mniej niż 1,2 Gbps.
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 2 z 9
Załącznik do oferty
Lp.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
Minimalne wymagane parametry
W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
 Tworzenie połączeń w topologii Site-to-site oraz możliwość definiowania połączeń Client-to-site
 Producent oferowanego rozwiązania VPN powinien dostarczać klienta VPN współpracującego z proponowanym
rozwiązaniem
 Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
 Praca w topologii Hub and Spoke oraz Mesh
 Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF
 Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2,
OSPF, BGP oraz PIM.
Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
Możliwość budowy min 2 oddzielnych instancji systemów bezpieczeństwa (fizycznych lub logicznych) w zakresie routingu,
Firewall’a, Antywirus’a, IPS’a, Web Filter’a.
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe,
użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i
maksymalne, priorytety).
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na
niestandardowych portach (np. FTP na porcie 2021)
Ochrona IPS powinna opierać się, co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków powinna
zawierać, co najmniej 6000 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych
wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących
podstawową ochronę przed atakami typu DoS oraz DDos.
Funkcja kontroli aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie
na wartościach portów TCP/UDP
Baza filtra WWW o wielkości, co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne – min 46
kategorii (np. IT, Zakupy). Administrator powinien mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł
omijania filtra WWW.
Automatyczne ściąganie sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy
zasilającej filtr URL.
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 3 z 9
Załącznik do oferty
Lp.
Minimalne wymagane parametry
Oświadczenie
spełnienia
wymogów*
23.
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż:
 Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu
 Haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP
 Haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
 Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active
Directory
24. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty:
 ICSA dla funkcjonalności IPSec VPN
 ICSA lub EAL4 – dla funkcjonalności Firewall
25. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i współpracować z dedykowanymi do
centralnego zarządzania i monitorowania platformami. Komunikacja systemów zabezpieczeń z platformami zarządzania
musi być realizowana z wykorzystaniem szyfrowanych protokołów.
26. Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 5 lat.
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 4 z 9
Załącznik do oferty
Minimalne wymagane parametry dla 35 szt. urządzeń przeznaczonych do lokalizacji powiatowych
Lp.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Minimalne wymagane parametry
Możliwość łączenia w klaster Active-Active lub Active-Passive.
Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy
sieciowych.
Monitoring stanu realizowanych połączeń VPN.
System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub
transparent.
System realizujący funkcję Firewall powinien dysponować minimum 10 portami Ethernet 10/100/1000 Base-TX.
Możliwość tworzenia min 64 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q.
W zakresie Firewall’a obsługa nie mniej niż 450 tysięcy jednoczesnych połączeń oraz 3 tys. nowych połączeń na sekundę.
Przepustowość Firewall’a: nie mniej niż 1 Gbps.
Wydajność szyfrowania 3DES: nie mniej niż 750 Mbps.
W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcji. Poszczególne elementy
systemu bezpieczeństwa mogą być realizowane w postaci osobnych platform sprzętowych lub programowych:
 kontrola dostępu - zapora ogniowa klasy Stateful Inspection,
 ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP),
 poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN,
 ochrona przed atakami - Intrusion Prevention System [IPS],
 kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających
złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM,
 kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP),
 kontrola pasma oraz ruchu (QoS, Traffic shaping),
 kontrola aplikacji, w tym rozpoznawanie ruchu P2P,
 możliwość analizy ruchu szyfrowanego protokołem SSL,
 ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji.
Wydajność systemu Firewall min 2,5 Gbps
Wydajność skanowania strumienia danych przy włączonych funkcjach: Stateful Firewall, Antivirus min. 500 Mbps
Wydajność ochrony przed atakami (IPS) min 1,5 Gbps.
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 5 z 9
Załącznik do oferty
Lp.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
Minimalne wymagane parametry
Wydajność szyfrowania AES, nie mniej niż 1,2 Gbps.
W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
 Tworzenie połączeń w topologii Site-to-site oraz możliwość definiowania połączeń Client-to-site
 Producent oferowanego rozwiązania VPN powinien dostarczać klienta VPN współpracującego z proponowanym
rozwiązaniem
 Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
 Praca w topologii Hub and Spoke oraz Mesh
 Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF
 Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2,
OSPF, BGP oraz PIM.
Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
Możliwość budowy min 2 oddzielnych instancji systemów bezpieczeństwa (fizycznych lub logicznych) w zakresie routingu,
Firewall’a, Antywirus’a, IPS’a, Web Filter’a.
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe,
użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i
maksymalne, priorytety).
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na
niestandardowych portach (np. FTP na porcie 2021)
Ochrona IPS powinna opierać się, co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków powinna
zawierać, co najmniej 6000 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych
wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących
podstawową ochronę przed atakami typu DoS oraz DDos.
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2,
OSPF, BGP oraz PIM.
Funkcja kontroli aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie
na wartościach portów TCP/UDP
Baza filtra WWW o wielkości, co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne – min 46
kategorii (np. IT, Zakupy). Administrator powinien mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 6 z 9
Załącznik do oferty
Lp.
26.
27.
28.
29.
30.
Minimalne wymagane parametry
omijania filtra WWW.
Automatyczne ściąganie sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy
zasilającej filtr URL.
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż:
 Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu
 Haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP
 Haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
 Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active
Directory
Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty:
 ICSA dla funkcjonalności IPSec VPN
 ICSA lub EAL4 – dla funkcjonalności Firewall
Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i współpracować z dedykowanymi do
centralnego zarządzania i monitorowania platformami. Komunikacja systemów zabezpieczeń z platformami zarządzania
musi być realizowana z wykorzystaniem szyfrowanych protokołów.
Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 5 lat.
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 7 z 9
Załącznik do oferty
Minimalne wymagane parametry dla systemu centralnego zarządzania
Lp.
1.
2.
3.
4.
5.
Minimalne wymagane parametry
System centralnego zarządzania powinien stanowić centralny punkt, w którym definiowana jest polityka bezpieczeństwa
dla całej implementowanej infrastruktury obejmującej wszystkie urządzenia bezpieczeństwa będące przedmiotem tego
postępowania.
System powinien zostać dostarczony w postaci dedykowanej platformy sprzętowej lub w postaci maszyny wirtualnej
pracującej w posiadanym przez Zamawiającego środowisku VMware ESXi.
Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenie musi pracować w oparciu o dedykowany
system operacyjny wzmocniony z punktu widzenia bezpieczeństwa. Nie dopuszcza się stosowania komercyjnych
systemów operacyjnych, ogólnego przeznaczenia.
System musi zapewniać:
 Pełną konfigurację urządzeń, ze wszystkimi ich funkcjami składowymi,
 Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z możliwością dziedziczenia
ustawień po grupie nadrzędnej,
 Wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć konfigurację z dowolnego punktu w
przeszłości,
 Zarządzanie wersjami firmware’u na urządzeniach oraz zdalne uaktualnienia,
 Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia,
 Monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM),
 Zapis i zdalne wykonywanie skryptów na urządzeniach,
 Automatyzację procesu konfiguracji struktur VPN typu hub-and-spoke oraz full-mash,
 Logowanie zdarzeń z systemów bezpieczeństwa,
 Raportowanie (System powinien udostępniać zestaw predefiniowanych raportów).
 Lokalną bazę kontentu dla realizowanych funkcji bezpieczeństwa (IPS, AV)
 Planowanie aktualizacji bazy szczepionek i sygnatur w czasie (Scheduler)
Urządzenie musi obsługiwać minimum 60 urządzeń sieciowych (fizycznych lub wirtualnych), oraz umożliwiać w przyszłości
rozbudowę do przynajmniej 100 urządzeń.
Oświadczenie
spełnienia
wymogów*
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
TAK/NIE
Strona 8 z 9
Załącznik do oferty
WSPARCIE TECHNICZNE
Wszystkie dostarczone urządzenia powinny być objęte wsparciem technicznym przez 60 miesięcy,
realizowanym przez producenta rozwiązania lub autoryzowanego przedstawiciela producenta,
obejmującym swoim zakresem konfiguracje i rekonfiguracje dostarczonych urządzeń uzgodnionych
z zamawiającym. Wymaga się aby zgłoszenie były realizowane przez wykonawcę telefonicznie lub
w przypadku gdy jest to konieczne za pomocą zdalnego dostępu za zgodą zamawiającego. Zamawiający
musi mieć możliwość zgłaszania problemu w trybie 365dni w roku 7dni w tygodniu przez 24 godz. na
dobę.
WDROŻENIE
Oferent zrealizuje wdrożenie sprzętu zgodnie z poniższymi wymogami:
1. Wdrożenie obejmie urządzenie instalowane w Komendzie Wojewódzkiej (klaster), dwa
przykładowe urządzenia szczebla powiatowego oraz regionalnego, oraz centralny system
zarządzający.
2. Pozostałe urządzenia zostaną zainstalowane przez Zamawiającego, który rezerwuje sobie prawo
do korzystania z pomocy technicznej oferenta.
3. Wdrożenie zakłada:
 fizyczną instalację urządzeń lub maszyn wirtualnych,
 podłączenie urządzeń do zasilania oraz sieci,
 podłączenie do centralnego systemu zarządzającego,
 konfigurację zgodnie z wytycznymi Zamawiającego.
4. Wdrożenie musi zostać przeprowadzone przez inżyniera posiadającego aktualny certyfikat
producenta oferowanych urządzeń.
SZKOLENIE
3 dniowe szkolenie przygotowane przez Autoryzowanego partnera serwisowego lub Autoryzowane
centrum Szkoleniowe Producenta oferowanych rozwiązań prowadzone przez certyfikowanego inżyniera
z minimum 5 letnim doświadczeniem wdrożeniowym, obejmujące w swoim zakresie wykłady i ćwiczenia
praktyczne dla 4 osób zorganizowane na dostarczonym sprzęcie (Szkolenie nie może być realizowane z
użyciem wyłącznie symulatorów lub emulatorów rzeczywistych urządzeń), obejmujące swoim zakresem
min:
 administrację i zarządzanie oferowanymi rozwiązaniami
 raportowanie i analiza logów
 konfigurację podstawową i zaawansowaną dostarczonych rozwiązań
 konfiguracja firewall
 konfiguracja trybów pracy
 konfiguracja modułów AV, IPS, filtrowanie WWW
 zarządzanie centralne
Do oferty należy dołączyć informacje przez kogo będą organizowane szkolenia, oraz przez kogo
będzie ono prowadzone - należy dołączyć certyfikat inżyniera.
Strona 9 z 9