pobierz - ministerstwo rozwoju

Transkrypt

Umowa częściowo współfinansowana ze środków Unii Europejskiej
BDG.V.2511.55.2016.MR
Ministerstwo Rozwoju
Załącznik Nr 1 do SIWZ
(po zawarciu umowy załącznik nr 3 do umowy)
Szczegółowy Opis Przedmiotu Zamówienia
I.
Przedmiot Zamówienia.
Przedmiotem zamówienia jest:
1. Dostawa i wdrożenie Systemu Zabezpieczeń typu Next Generation Firewall zwanego dalej
„Systemem”, o parametrach zgodnych z pkt. II.
2. Świadczenie usług wsparcia technicznego dla Systemu przez okres 12 miesięcy.
II.
Wymagana, minimalna funkcjonalność i parametry zaoferowanego Systemu:
L.P.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Wymagania techniczne i funkcjonalne wymagane przez Zamawiającego
Szczegółowa konfiguracja (łącznie ze szczegółowym zestawieniem elementów
składowych określonych przez kody katalogowe producenta (part numbers), z
podaniem ilości koniecznych elementów.
Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego),
wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji.
Urządzenia muszą zapewniać obsługę dla IPv6.
Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów
NAT między IPv4 i IPv6.
Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych
komputerów w sieci wewnętrznej.
Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty.
Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa.
Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i
niesprzeczności wprowadzonej polityki bezpieczeństwa.
Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP
szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np.
komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do
serwerów firmy. Oferowany System musi mieć możliwość deszyfracji niezaufanego
ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie
ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona
anty-wirus i anty-spyware), filtracja plików, danych i URL.
Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji
szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania
własnych wyjątków.
Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kontem
zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu.
Urządzenia muszą identyfikować co najmniej 2000 różnych aplikacji, w tym aplikacji
tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent.
Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji
poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta.
Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej
kategoryzacji URL.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności podmieniania adresów domen uznanych
za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania DNS w celu
wykrycia hostów z sieci wewnętrznej które próbują nawiązać komunikacje ze złośliwymi
domenami. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa,
1
BDG.V.2511.55.2016.MR
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy.
Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli
VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla
użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN.
Zamawiający
wymaga
dostarczenia
urządzeń
z
licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności wykrywania i blokowania ataków intruzów
w warstwie 7 modelu OSI (IPS). W przypadku gdy funkcjonalność jest oferowana jako
subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12
miesięcy.
Zamawiający
wymaga
dostarczenia
urządzeń
z
pozwalającymi na realizację funkcjonalności inspekcji antywirusowej, kontrolującej
przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Baza
AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób
automatyczny. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja
czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy.
Zamawiający
wymaga
dostarczenia
urządzeń
z
pozwalającymi na realizację funkcjonalności filtrowania stron WWW w zależności od
kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów,
poza subskrypcją. Baza kategorii stron musi być przechowywana na urządzeniu i
regularnie aktualizowana w sposób automatyczny. W przypadku gdy funkcjonalność
jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia
subskrypcji na min. 12 miesięcy..
Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o
Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa
dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy
użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w
środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie
tożsamości musi odbywać się również transparentnie.
Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT.
Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów
posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego
adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.
Urządzenia muszą działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie
transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu (tzn.
TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać
skonfigurowanych adresów IP na interfejsach sieciowych.
W architekturze rozwiązania musi występować moduł zarządzania i moduł
przetwarzania danych.
System musi składać się z dwóch fizycznych urządzeń, które muszą posiadać
możliwość pracy w konfiguracji odpornej na awarie (HA) w trybie Active-Passive i
Active-Active.
Urządzenia muszą umożliwiać zarządzanie pasmem sieci (QoS) w zakresie oznaczania
pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu,
pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co
najmniej 8 klas dla różnego rodzaju ruchu sieciowego.
Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej
producenta.
Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta na
terenie Unii Europejskiej.
Interfejs administracyjny urządzeń musi być w języku polskim lub angielskim.
Urządzenia muszą być dostarczone jako dedykowane urządzenia zabezpieczeń
2
BDG.V.2511.55.2016.MR
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
sieciowych (appliance).
Urządzenia nie mogą znajdować się na liście „end-of-sale” oraz „end-of-support”
producenta.
Urządzenia muszą być w obudowie typu rack maksymalnie 2U. Należy Podać rozmiar.
Każde z urządzeń muszą posiadać: wbudowane co najmniej 12 portów 1000 BaseT i 8
portów Gigabit SFP.
Wymagane jest dostarczenie następujących typów wkładek do każdego z urządzeń:
 SFP-1-Gb-SX – 4 szt. do oferowanego firewalla
Wykonawca dostarczy niezbędne patchcordy (8 szt. o dł. 2 m) dopasowane do
dostarczonych wkładek SFP a także inne konieczne do uruchomienia urządzenia
okablowanie.
Urządzenia muszą zapewniać wydajność przynajmniej 500 Mbps dla ruchu IPSec VPN.
Urządzenia muszą posiadać przepustowość w ruchu nie mniej niż 4 Gbps dla kontroli
firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż 50 000
połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną
funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i
kategoryzacja URL) nie może być mniejsza niż 2 Gbps.
Urządzenia muszą obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez
tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na
interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenia muszą obsługiwać
protokoły routingu dynamicznego, nie mniej niż BGP i OSPF.
System musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod
scentralizowany system zarządzania
Zarządzanie Systemu musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli
GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone
kryptograficznie (poprzez szyfrowanie komunikacji). System musi pozwalać na
zdefiniowanie wielu administratorów o różnych uprawnieniach. Dopuszcza się, aby
polityki mogły być tworzone tylko z graficznej konsoli GUI.
Urządzenia firewall muszą posiadać koncept konfiguracji kandydackiej którą można
dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych
zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i
sprawdzone przez administratora systemu.
Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i ewentualne
licencje/subskrypcje na aktualizację bazy aplikacji muszą być ważne przynajmniej
przez 12 miesięcy.
Urządzenia muszą być wyposażone w dedykowany port zarządzania out-of-band.
Urządzenia muszą posiadać funkcjonalność pozwalającą administratorowi urządzenia
na konfigurację rodzaju pliku (min. exe, dll, pdf, msoffice.), użytej aplikacji oraz kierunku
przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu
„Sand-Box”. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja
czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy.
W przypadku gdy urządzenia pozwalają na jednoczesną pracę dwu lub więcej
administratorów musi istnieć wbudowany w system mechanizm umożliwiający jednemu
z administratorów uzyskanie wyłączności na wprowadzanie zmian. W tym czasie
pozostali zalogowani użytkownicy nie mogą być w stanie dokonać żadnych zmian w
konfiguracji.
Urządzenia muszą umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów
Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej reguły
bezpieczeństwa, innego serwera Syslog.
Administrator urządzeń musi mieć możliwość przeglądania z poziomu urządzenia
informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji
3
BDG.V.2511.55.2016.MR
42.
43.
III.
jak przesłane pliki zachowywały się w środowisku testowym, które z nich i z jakiego
powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki
przesyłali.
Urządzenia muszą mieć możliwość czytania oryginalnych adresów IP stacji końcowych
z nagłówka X-Forwarded-For i wykrywania na tej podstawie użytkowników
generujących daną sesje w przypadku gdy ruch przechodzi przez serwer Proxy zanim
dojdzie do urządzenia.
Pomoc techniczna dla systemu musi być dostępna w Polsce i świadczona w języku
polskim .
Wymagania dodatkowe zaoferowanego Systemu:
L.P.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Dodatkowe parametry techniczne i funkcjonalne
Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn.
w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub
trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Tryb pracy zabezpieczeń
musi być ustalany w konfiguracji interfejsów inspekcyjnych.
Urządzenia muszą umożliwiać definiowanie i przydzielanie innych profili ochrony (AV,
IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP.
Urządzenia muszą umożliwiać definiowanie i przydzielanie odmiennych profili
kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym
samym porcie UDP lub TCP.
Urządzenia zabezpieczeń muszą umożliwiać integrację w środowisku wirtualnym
VMware w taki sposób, aby móc automatycznie pobierać informacje o uruchomionych
maszynach wirtualnych (np. ich nazwy) i korzystać z tych informacji do budowy polityk
bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i
kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i
jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany
konfiguracji polityk bezpieczeństwa firewalla.
Urządzenia muszą posiadać funkcjonalność odczytywania informacji o adresie IP hosta
i korzystającym z tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej
do firewalla.
Urządzenia muszą mieć możliwość uruchomienia kilku, odrębnych tablic routingu w
pojedynczej, logicznej instancji systemu.
Musi istnieć możliwość rozbudowy każdego urządzenia dla osiągnięcia możliwości
definicji wirtualnych instancji min. 5 firewalli.
Urządzenia muszą posiadać możliwość integracji z instancją „Sand-Box“ w chmurze lub
na lokalnym, dodatkowym urządzeniu. Musi posiadać konfigurację decydującą jakie
pliki będą wysyłane do której instancji.
Urządzenia muszą mieć możliwość przekierowania ruchu (PBR - policy base routing)
dla wybranych aplikacji i konkretnych użytkowników z pominięciem tablicy routingu.
Urządzenia zabezpieczeń muszą posiadać interfejs API, który musi być jego integralną
częścią i umożliwiać konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli
do zarządzania lub linii poleceń (CLI).
Urządzenia muszą mieć możliwość tworzenia dynamicznych obiektów adresowych do
których, na podstawie zdefiniowanych etykiet, można w automatyczny sposób
przypisywać adresy IP. Powinna istnieć możliwość ręcznego tworzenia etykiet
bezpośrednio na urządzeniu lub automatycznego pobierania ich z zewnętrznych
4
BDG.V.2511.55.2016.MR
12.
IV.
systemów np. VMware vCenter lub ESX(i) oraz skojarzonych z tymi etykietami adresów
IP. Powinna istnieć możliwość wykorzystania tak zbudowanych obiektów adresowych w
politykach bezpieczeństwa.
Urządzenia muszą mieć możliwość wyboru sposobu blokowania ruchu w politykach
bezpieczeństwa. Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez
wysyłania RST, blokowanie z wysłaniem RST tylko do klienta, blokowanie z wysłaniem
RST tylko do serwera, blokowanie z wysłaniem RST do klienta i serwera jednocześnie.
Dostawa i wdrożenie systemu:
1. W ramach dostawy i wdrożenia Systemu Wykonawca zrealizuje:
1.1. Dostawę fabrycznie nowych urządzeń wolnych od wad oraz pochodzących z oficjalnego
kanału sprzedaży producenta na rynek polski lub Unii Europejskiej.
1.2. Instalację i konfigurację Systemu w zakresie:
a. Montażu dostarczonych urządzeń w środowisku Zamawiającego,
b. Instalacja i konfiguracja Systemu,
c. Przeniesienie polityk z obecnie używanego Systemu Zabezpieczeń Fortigate do
zaoferowanego Systemu.
1.3. Opracowanie dokumentacji powdrożeniowej w zakresie:
a) Procedury i instrukcji dotyczących instalacji konfiguracji oraz parametryzacji wdrożonego
Systemu.
b) Procedury i instrukcji wykonania kopii bezpieczeństwa i ich odtworzenia.
c) Procedury i instrukcji aktualizacji i wdrażania poprawek.
d) Procedury postępowania w razie wystąpienia błędów lub awarii wraz z formularzami
zgłoszeniowymi i osobami kontaktowymi (nr tel., e-mail) do konsultacji rozwiązywania
zaistniałych problemów.
Dokumentacja musi być dostarczona przed produkcyjnym uruchomieniem rozwiązania.
Zamawiający wymaga, aby cała dokumentacja, o której mowa powyżej, podlegała jego
akceptacji.
1.4. Powdrożeniowy instruktaż na następujących zasadach:
a) przeprowadzenia na rzecz Zamawiającego instruktażu dla minimum 4 pracowników.
którego tematyka będzie obejmowała co najmniej:

instalację urządzeń,

konfigurację podstawowych funkcjonalności

weryfikację ruchu ( wykrywanie sytuacji niepożądanych)

tworzenie własnych sygnatur

zarządzanie uprawnieniami

backup i odtworzenie konfiguracji.
b) Instruktaż w wymiarze minimum 2 dni robocze po 6 godzin zajęć efektywnych dziennie.
c) Przeprowadzenia instruktażu w siedzibie Zamawiającego.
d) Uzgodnienia terminu z Zamawiającym z co najmniej 3 dniowym wyprzedzeniem.
e) Zapewnienia aby instruktaż przeprowadzony został przez wykwalifikowaną kadrę
szkoleniową posiadającą wiedzę teoretyczną i praktyczną z zakresu przedmiotu
zamówienia. (wymagane posiadanie certyfikatu z oferowanej technologii przez inżyniera
przeprowadzającego instruktaż)
f) Dostarczenia Zamawiającemu materiałów szkoleniowych w formie elektronicznej oraz
papierowej w języku polskim
5
BDG.V.2511.55.2016.MR
V.
Usługi wsparcia technicznego
1. Przedmiot zamówienia objęty będzie 12 miesięczną usługą wsparcia technicznego świadczoną w
miejscu użytkowania Systemu.
2. W trakcie 12 miesięcy w ramach usługi wsparcia technicznego, Zamawiający będzie uprawniony do
pobierania nowych wersji oprogramowania które zostanie zaoferowane w ramach Zamówienia,
3. Usługa wsparcia technicznego zapewni minimum :

udzielanie odpowiedzi na podstawowe pytania dotyczące instalacji, używania i konfiguracji;

bezpośrednie konsultacje telefoniczne z inżynierem producenta dotyczące bieżących
problemów związanych z Oprogramowaniem i Systemem;

analizę informacji diagnostycznych mająca na celu określenie przyczyny problemu,
np. pomoc w interpretacji dokumentacji problemów związanych z instalacją lub kodem,

w przypadku znanych defektów oprogramowania, przekazywanie informacji o sposobie ich
usunięcia lub obejścia, a także udzielanie pomocy w uzyskaniu poprawek, do otrzymania
których Zamawiający jest uprawniony w ramach posiadanej licencji,

dostęp do telefonicznego wsparcia technicznego producenta oprogramowania w czasie
podstawowego okresu dostępności centrum wsparcia dla systemu (w dni robocze w
godzinach 8:00 - 17:00),

naprawy błędu lub usunięcia zgłoszonej awarii Systemu , w ciągu 4 godzin od momentu
zgłoszenia w przypadku awarii Systemu powodującej brak jego dostępności,

naprawy błędu lub usunięcia zgłoszonej awarii Systemu , w ciągu 24 godzin od momentu
zgłoszenia w przypadku pozostałych zgłoszeń,

nieprzerwany i nieograniczony dostęp do zasobów elektronicznych, baz samopomocy, FAQ,
baz wiedzy producenta oprogramowania.
VI.
Miejsce dostawy i instalacji zamówienia.
Miejscem realizacji zamówienia jest siedziba Zamawiającego: Warszawa, ul. Wspólna 2/4.
6

pobierz - ministerstwo rozwoju

Transkrypt

Podobne dokumenty

plik 75578

Zadanie Nr 2 – Remont Domu Ludowego w miejscowości Lipa

Instytut Edukacji Społecznej ul. Kościuszki 35BE 50

ZP-1/2009 Serwis i naprawa opon w pojazdach służbowych

wyjasnienia_dzierzawa_centali_telefonicznej

pobierz - ministerstwo rozwoju