pobierz - ministerstwo rozwoju
Transkrypt
pobierz - ministerstwo rozwoju
Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) Szczegółowy Opis Przedmiotu Zamówienia I. Przedmiot Zamówienia. Przedmiotem zamówienia jest: 1. Dostawa i wdrożenie Systemu Zabezpieczeń typu Next Generation Firewall zwanego dalej „Systemem”, o parametrach zgodnych z pkt. II. 2. Świadczenie usług wsparcia technicznego dla Systemu przez okres 12 miesięcy. II. Wymagana, minimalna funkcjonalność i parametry zaoferowanego Systemu: L.P. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Wymagania techniczne i funkcjonalne wymagane przez Zamawiającego Szczegółowa konfiguracja (łącznie ze szczegółowym zestawieniem elementów składowych określonych przez kody katalogowe producenta (part numbers), z podaniem ilości koniecznych elementów. Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. Urządzenia muszą zapewniać obsługę dla IPv6. Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. Oferowany System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i anty-spyware), filtracja plików, danych i URL. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kontem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. Urządzenia muszą identyfikować co najmniej 2000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności podmieniania adresów domen uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać komunikacje ze złośliwymi domenami. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, 1 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy. Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności inspekcji antywirusowej, kontrolującej przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy. Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy.. Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Urządzenia muszą działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu (tzn. TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych. W architekturze rozwiązania musi występować moduł zarządzania i moduł przetwarzania danych. System musi składać się z dwóch fizycznych urządzeń, które muszą posiadać możliwość pracy w konfiguracji odpornej na awarie (HA) w trybie Active-Passive i Active-Active. Urządzenia muszą umożliwiać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego. Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta na terenie Unii Europejskiej. Interfejs administracyjny urządzeń musi być w języku polskim lub angielskim. Urządzenia muszą być dostarczone jako dedykowane urządzenia zabezpieczeń 2 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. sieciowych (appliance). Urządzenia nie mogą znajdować się na liście „end-of-sale” oraz „end-of-support” producenta. Urządzenia muszą być w obudowie typu rack maksymalnie 2U. Należy Podać rozmiar. Każde z urządzeń muszą posiadać: wbudowane co najmniej 12 portów 1000 BaseT i 8 portów Gigabit SFP. Wymagane jest dostarczenie następujących typów wkładek do każdego z urządzeń: SFP-1-Gb-SX – 4 szt. do oferowanego firewalla Wykonawca dostarczy niezbędne patchcordy (8 szt. o dł. 2 m) dopasowane do dostarczonych wkładek SFP a także inne konieczne do uruchomienia urządzenia okablowanie. Urządzenia muszą zapewniać wydajność przynajmniej 500 Mbps dla ruchu IPSec VPN. Urządzenia muszą posiadać przepustowość w ruchu nie mniej niż 4 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż 50 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 2 Gbps. Urządzenia muszą obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenia muszą obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP i OSPF. System musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania Zarządzanie Systemu musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej konsoli GUI. Urządzenia firewall muszą posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu. Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i ewentualne licencje/subskrypcje na aktualizację bazy aplikacji muszą być ważne przynajmniej przez 12 miesięcy. Urządzenia muszą być wyposażone w dedykowany port zarządzania out-of-band. Urządzenia muszą posiadać funkcjonalność pozwalającą administratorowi urządzenia na konfigurację rodzaju pliku (min. exe, dll, pdf, msoffice.), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 12 miesięcy. W przypadku gdy urządzenia pozwalają na jednoczesną pracę dwu lub więcej administratorów musi istnieć wbudowany w system mechanizm umożliwiający jednemu z administratorów uzyskanie wyłączności na wprowadzanie zmian. W tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać żadnych zmian w konfiguracji. Urządzenia muszą umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej reguły bezpieczeństwa, innego serwera Syslog. Administrator urządzeń musi mieć możliwość przeglądania z poziomu urządzenia informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji 3 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 42. 43. III. jak przesłane pliki zachowywały się w środowisku testowym, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. Urządzenia muszą mieć możliwość czytania oryginalnych adresów IP stacji końcowych z nagłówka X-Forwarded-For i wykrywania na tej podstawie użytkowników generujących daną sesje w przypadku gdy ruch przechodzi przez serwer Proxy zanim dojdzie do urządzenia. Pomoc techniczna dla systemu musi być dostępna w Polsce i świadczona w języku polskim . Wymagania dodatkowe zaoferowanego Systemu: L.P. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Dodatkowe parametry techniczne i funkcjonalne Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów inspekcyjnych. Urządzenia muszą umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenia muszą umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenia zabezpieczeń muszą umożliwiać integrację w środowisku wirtualnym VMware w taki sposób, aby móc automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i korzystać z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk bezpieczeństwa firewalla. Urządzenia muszą posiadać funkcjonalność odczytywania informacji o adresie IP hosta i korzystającym z tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej do firewalla. Urządzenia muszą mieć możliwość uruchomienia kilku, odrębnych tablic routingu w pojedynczej, logicznej instancji systemu. Musi istnieć możliwość rozbudowy każdego urządzenia dla osiągnięcia możliwości definicji wirtualnych instancji min. 5 firewalli. Urządzenia muszą posiadać możliwość integracji z instancją „Sand-Box“ w chmurze lub na lokalnym, dodatkowym urządzeniu. Musi posiadać konfigurację decydującą jakie pliki będą wysyłane do której instancji. Urządzenia muszą mieć możliwość przekierowania ruchu (PBR - policy base routing) dla wybranych aplikacji i konkretnych użytkowników z pominięciem tablicy routingu. Urządzenia zabezpieczeń muszą posiadać interfejs API, który musi być jego integralną częścią i umożliwiać konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli do zarządzania lub linii poleceń (CLI). Urządzenia muszą mieć możliwość tworzenia dynamicznych obiektów adresowych do których, na podstawie zdefiniowanych etykiet, można w automatyczny sposób przypisywać adresy IP. Powinna istnieć możliwość ręcznego tworzenia etykiet bezpośrednio na urządzeniu lub automatycznego pobierania ich z zewnętrznych 4 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 12. IV. systemów np. VMware vCenter lub ESX(i) oraz skojarzonych z tymi etykietami adresów IP. Powinna istnieć możliwość wykorzystania tak zbudowanych obiektów adresowych w politykach bezpieczeństwa. Urządzenia muszą mieć możliwość wyboru sposobu blokowania ruchu w politykach bezpieczeństwa. Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez wysyłania RST, blokowanie z wysłaniem RST tylko do klienta, blokowanie z wysłaniem RST tylko do serwera, blokowanie z wysłaniem RST do klienta i serwera jednocześnie. Dostawa i wdrożenie systemu: 1. W ramach dostawy i wdrożenia Systemu Wykonawca zrealizuje: 1.1. Dostawę fabrycznie nowych urządzeń wolnych od wad oraz pochodzących z oficjalnego kanału sprzedaży producenta na rynek polski lub Unii Europejskiej. 1.2. Instalację i konfigurację Systemu w zakresie: a. Montażu dostarczonych urządzeń w środowisku Zamawiającego, b. Instalacja i konfiguracja Systemu, c. Przeniesienie polityk z obecnie używanego Systemu Zabezpieczeń Fortigate do zaoferowanego Systemu. 1.3. Opracowanie dokumentacji powdrożeniowej w zakresie: a) Procedury i instrukcji dotyczących instalacji konfiguracji oraz parametryzacji wdrożonego Systemu. b) Procedury i instrukcji wykonania kopii bezpieczeństwa i ich odtworzenia. c) Procedury i instrukcji aktualizacji i wdrażania poprawek. d) Procedury postępowania w razie wystąpienia błędów lub awarii wraz z formularzami zgłoszeniowymi i osobami kontaktowymi (nr tel., e-mail) do konsultacji rozwiązywania zaistniałych problemów. Dokumentacja musi być dostarczona przed produkcyjnym uruchomieniem rozwiązania. Zamawiający wymaga, aby cała dokumentacja, o której mowa powyżej, podlegała jego akceptacji. 1.4. Powdrożeniowy instruktaż na następujących zasadach: a) przeprowadzenia na rzecz Zamawiającego instruktażu dla minimum 4 pracowników. którego tematyka będzie obejmowała co najmniej: instalację urządzeń, konfigurację podstawowych funkcjonalności weryfikację ruchu ( wykrywanie sytuacji niepożądanych) tworzenie własnych sygnatur zarządzanie uprawnieniami backup i odtworzenie konfiguracji. b) Instruktaż w wymiarze minimum 2 dni robocze po 6 godzin zajęć efektywnych dziennie. c) Przeprowadzenia instruktażu w siedzibie Zamawiającego. d) Uzgodnienia terminu z Zamawiającym z co najmniej 3 dniowym wyprzedzeniem. e) Zapewnienia aby instruktaż przeprowadzony został przez wykwalifikowaną kadrę szkoleniową posiadającą wiedzę teoretyczną i praktyczną z zakresu przedmiotu zamówienia. (wymagane posiadanie certyfikatu z oferowanej technologii przez inżyniera przeprowadzającego instruktaż) f) Dostarczenia Zamawiającemu materiałów szkoleniowych w formie elektronicznej oraz papierowej w języku polskim 5 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.55.2016.MR Ministerstwo Rozwoju Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) V. Usługi wsparcia technicznego 1. Przedmiot zamówienia objęty będzie 12 miesięczną usługą wsparcia technicznego świadczoną w miejscu użytkowania Systemu. 2. W trakcie 12 miesięcy w ramach usługi wsparcia technicznego, Zamawiający będzie uprawniony do pobierania nowych wersji oprogramowania które zostanie zaoferowane w ramach Zamówienia, 3. Usługa wsparcia technicznego zapewni minimum : udzielanie odpowiedzi na podstawowe pytania dotyczące instalacji, używania i konfiguracji; bezpośrednie konsultacje telefoniczne z inżynierem producenta dotyczące bieżących problemów związanych z Oprogramowaniem i Systemem; analizę informacji diagnostycznych mająca na celu określenie przyczyny problemu, np. pomoc w interpretacji dokumentacji problemów związanych z instalacją lub kodem, w przypadku znanych defektów oprogramowania, przekazywanie informacji o sposobie ich usunięcia lub obejścia, a także udzielanie pomocy w uzyskaniu poprawek, do otrzymania których Zamawiający jest uprawniony w ramach posiadanej licencji, dostęp do telefonicznego wsparcia technicznego producenta oprogramowania w czasie podstawowego okresu dostępności centrum wsparcia dla systemu (w dni robocze w godzinach 8:00 - 17:00), naprawy błędu lub usunięcia zgłoszonej awarii Systemu , w ciągu 4 godzin od momentu zgłoszenia w przypadku awarii Systemu powodującej brak jego dostępności, naprawy błędu lub usunięcia zgłoszonej awarii Systemu , w ciągu 24 godzin od momentu zgłoszenia w przypadku pozostałych zgłoszeń, nieprzerwany i nieograniczony dostęp do zasobów elektronicznych, baz samopomocy, FAQ, baz wiedzy producenta oprogramowania. VI. Miejsce dostawy i instalacji zamówienia. Miejscem realizacji zamówienia jest siedziba Zamawiającego: Warszawa, ul. Wspólna 2/4. 6