Załącznik nr 6 do SIWZ - Opis oferowanego sprzętu cz. I.
Transkrypt
Załącznik nr 6 do SIWZ - Opis oferowanego sprzętu cz. I.
OP-IV.27 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I * - pozostawić właściwe (niepotrzebne skreślić) 1. Przełącznik Typ II – 6 sztuk Lp. Nazwa sprzętu Ilość Numer produktu, producent, model/typ oferowanego sprzętu * Wbudowane funkcje zarządzania energią: 1. a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii Oferowane urządzeni nie posiada funkcjonalności: 0 pkt TAK/NIE Oferowane urządzenie posiada funkcjonalność: 3 pkt. Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I 2. Przełącznik Typ III – 6 sztuk Nazwa sprzętu Lp. Wbudowane funkcje zarządzania energią: 1. Ilość Oferowane urządzeni nie posiada funkcjonalności: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii Numer produktu, producent, model/typ oferowanego sprzętu 0 pkt TAK/NIE Oferowane urządzenie posiada funkcjonalność: 3 pkt. 3. Firewall – 2 sztuki Lp. Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE Parametry funkcjonalne 1. 1.1. Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. TAK / NIE 1.2. Urządzenia muszą zapewniać obsługę dla IPv6. TAK / NIE 1.3. Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. TAK / NIE 1.4. Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. TAK / NIE Strona 2 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. TAK / NIE 1.6. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL/TLS) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników korzystających z Internetu) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, która będzie posiadała co najmniej funkcje: wykrywania i blokowania ataków typu exploit (ochrona Intrusion Prevention), wirusów i innych złośliwych kodów (ochrona AntiVirus), filtracji aplikacji i URL. TAK / NIE 1.7. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. TAK / NIE 1.8. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. TAK / NIE 1.9. Urządzenia muszą identyfikować co najmniej 1000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall. TAK / NIE 1.10. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. poprzez TAK / NIE 1.11. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. TAK / NIE 1.12. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. TAK / NIE 1.13. Urządzenia muszą posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. TAK / NIE 1.14. Urządzenia muszą posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Baza AV musi być przechowywana na urządzeniu i TAK / NIE Lp. 1.5. aplikacji Strona 3 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Lp. Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE regularnie aktualizowana w sposób automatyczny. 1.15. Urządzenia muszą posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją tej usługi. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. TAK / NIE 1.16. Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. TAK / NIE 1.17. Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. TAK / NIE 1.18. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. TAK / NIE 1.19. Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. TAK / NIE 1.20. Urządzenia muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. TAK / NIE 1.21. Urządzenia muszą zapewnić obsługę połączeń zapasowych w sposób aktywny weryfikując dostępność połączeń podstawowych i automatycznie wykonać przełączenie trasy ruchu w przypadku niedostępności połączeń podstawowych TAK / NIE 1.22. Urządzenia muszą zapewnić odrębną definicję polityk kontroli oraz reguł QoS dla połączeń podstawowych i zapasowych. TAK / NIE 1.23. Urządzenia musza posiadać mechanizmy wykrywania i blokowania ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). TAK / NIE 1.24. W celu zwiększenia skuteczności oraz zapewnienia ochrony przed nowymi źródłami zagrożeń, oferowane rozwiązanie powinno korzystać w czasie rzeczywistym oraz otrzymywać regularne TAK / NIE Strona 4 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Lp. Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE aktualizacje z zewnętrznego repozytorium producenta w zakresie: zapytań o klasyfikację niezidentyfikowanych (podejrzanych) adresów URL i DNS pod kątem zagrożeń typu botnet; otrzymywanie binarnych aktualizacji sygnatur antywirusowych; zapytań o klasyfikację podejrzanych plików przychodzących (na przykład sprawdzenie ich sygnatury pod kątem złośliwego oprogramowania - malware); zapytań o klasyfikację niezidentyfikowanych adresów URL pod kątem ich udziału w rozpowszechnianiu złośliwego oprogramowania (ochrona przed atakami drive-by-downloads). 2. 1 Dobór i skalowanie urządzeń Firewall 2.1. Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. TAK / NIE 2.2. Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta. TAK / NIE 2.3. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim. TAK / NIE 2.4. Urządzenia muszą być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). TAK / NIE 2.5. Urządzenia muszą być urządzeniami o uznanej na rynku pozycji i muszą odpowiadać opisowi wymagań sformułowanych dla grupy „Leaders” lub „Chellengers” raportu Gartnera pt. „Magic Quadrant of Enterprise Network Firewalls – 2014”1 TAK / NIE 2.6. Urządzenia nie mogą znajdować się na liście „end-of-sale” oraz „end-of-support” producenta. TAK / NIE 2.7. Urządzenia będą dostosowane do montażu w szafie typu rack 19” - maksymalnie 2U (podać wartość oferowaną) ……………… [U] 2.8. Lokalizacja budynek Lubelskiego Centrum Konferencyjnego - minimum 2 urządzenia (podać ilość oferowanych urządzeń oraz modele) ………………[szt.] ……………[model] Gartner, Magic Quadrant for Enterprise Network Firewalls, Greg Young, Adam Hills, Jeremy D’Hoinne, 15 April 2014 Strona 5 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Lp. Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE 2.9. Każde urządzenie musi zapewniać wydajność przynajmniej 300 Mbps dla ruchu IPSec VPN i do 1000 jednoczesnych tuneli bez konieczności zakupu dodatkowych licencji. Procedura testu została przedstawiona w rozdziale („Procedura testów”) TAK / NIE 2.10. Każde urządzenie musi posiadać przepustowość w ruchu full duplex nie mniej niż 4 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji, 2 Gbps dla kontroli IPS wraz z antywirusem oraz akceptować nie mniej niż 50 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1Gbps. Procedura testu została przedstawiona w rozdziale („Procedura testów”) TAK / NIE 2.11. Urządzenie zabezpieczeń musi być wyposażone w co najmniej 10 portów Ethernet 100/1000 oraz mieć możliwość instalacji dodatkowych 4 interfejsów w postaci modułów SFP. TAK / NIE 2.12. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły rutingu dynamicznego - przynajmniej BGP i OSPF. TAK / NIE 2.13. Urządzenie zabezpieczeń musi posiadać wbudowany twardy dysk o minimalnej pojemności 100 GB TAK / NIE 2.14. Urządzenie musi charakteryzować się statystycznym parametrem MTBF (Mean Time Between Failure) nie niższym niż 6 lat bezawaryjnej pracy (51840 godzin). TAK / NIE 3. Zarządzanie systemem 3.1. Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. TAK / NIE 3.2. Zarządzanie musi być realizowane jako wysokodostępne wprost na urządzeniach firewall lub odbywać się za pomocą dedykowanego klastra stacji zarządzających dedykowanych (appliance) TAK / NIE 3.3. Rozwiązanie musi być dostarczone razem z systemem scentralizowanego zarządzania. TAK / NIE 3.4. Dostarczony scentralizowany system zarządzania, musi mieć zapewniony Active/Standby, dla zapewnienia minimalnych czasów przestoju podczas awarii. mechanizm HA TAK / NIE Strona 6 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Lp. Parametr wymagany przez Zamawiającego Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE 3.5. Mechanizm HA musi być wykonywany na poziomie rozwiązania sprzętowego dostarczonego przez producenta oferowanego urządzenia NGF. TAK / NIE 3.6. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. 3.7. Wszystkie subskrypcje, aktualizacje, serwis sprzętowy i ewentualne licencje muszą być ważne przynajmniej przez okres pięciu lat. TAK / NIE 3.8. Urządzenie musi być wyposażone w dedykowany port zarządzania. TAK / NIE 3.9. System zarządzania musi być wyposażony w moduł analizy i korelacji logów oraz umożliwiać generowanie i tworzenie własnych raportów na podstawie zbieranych informacji o ruchu sieciowym, wykrytych zagrożeniach i odwiedzanych stronach www. Raporty muszą mieć możliwość określenia gradacji, co najmniej do: nazwanego użytkownika, adresu IP (źródłowego, docelowego) aplikacji sieciowej portu (źródłowego, docelowego) Funkcje te mogą być dostępne lokalnie na urządzeniu zabezpieczeń lub też realizowane przez dedykowane zewnętrzne urządzenie z odpowiednim oprogramowaniem i licencją. TAK / NIE Wsparcie i usługi 4. 4.1. TAK / NIE Dla oferowanego produktu (na dzień składania ofert) muszą być dostępne w Polsce szkolenia*, świadczone w języku Polskim, w autoryzowanym ośrodku edukacyjnym. *szkolenia nie są przedmiotem niniejszego postepowania TAK / NIE …………………… [nazwa ośrodka] 4.2. Wykonawca serwisu musi posiadać autoryzację producenta do świadczenia serwisu dla oferowanych rozwiązań. TAK / NIE 4.3. Długość okresu gwarancyjnego oraz serwisowego dla oferowanych urządzeń - 60 miesięcy. TAK / NIE 4.4. Gwarantowany czas reakcji: 4 godziny. Gwarantowany czas naprawy przy awarii pojedynczego urządzenia: NBD (Next Business Day) TAK / NIE Strona 7 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Parametr wymagany przez Zamawiającego Lp. Oferowana wartość do uzupełnienia przez Wykonawcę / TAK/NIE Gwarantowany czas naprawy podczas awarii całości rozwiązania (klastra urządzeń), rozumiany jako uruchomienie funkcjonalności systemu na bazie naprawionych lub wymienionych urządzeń – 8 godzin W celu usunięcia awarii Zamawiający dopuszcza zastosowanie sprzętu zastępczego o parametrach wydajnościowych nie gorszych od sprzętu podstawowego. Przy zastosowaniu sprzętu zastępczego doprowadzenie do stanu sprzed awarii nastąpi w ciągu 2 dni roboczych. 4.5. Wszystkie części zamienne i materiały niezbędne do przywrócenia urządzenia do prawidłowej pracy wliczone w koszt serwisu. Wymienione części stają się własnością Wykonawcy poza dyskami twardymi, które pozostają w zasobach Zamawiającego, bez dokonywania dodatkowych opłat. 4.6. Dostęp do serwisu przez WWW i wyznaczony telefon kontaktowy. TAK / NIE 4.7. Dostępność serwisu: 24x7x365. TAK / NIE 4.8. Serwis realizowany w języku urzędowym obowiązującym w Polsce. TAK / NIE 4.9. Przyjęcie zgłoszenia potwierdzone telefonicznie lub mailowo. TAK / NIE 4.10. W przypadku wystąpienia problemów, których nie można rozwiązać zdalnie, pomoc techniczna w miejscu instalacji. TAK / NIE 4.11. Dostęp do nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. TAK / NIE 4.12. Informowanie o znanych problemach z oprogramowaniem i sposobach ich rozwiązywania. TAK / NIE 4.13. Licencje na użytkowanie i kopiowanie nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. TAK / NIE 4.14. Dostęp do centrum serwisowego producenta. TAK / NIE 4.15. Dostęp do elektronicznych kanałów informacji i usług wsparcia (bazy wiedzy, bibliotek dokumentacji, opisów produktów, specyfikacji, literatury technicznej i innych materiałów). TAK / NIE TAK / NIE Strona 8 z 9 Załącznik nr 6 do SIWZ OP-IV.272.73.2015.ELB Szczegółowy opis oferowanego sprzętu CZĘŚĆ I Lp. Parametr systemu Oferowana wartość do uzupełnienia przez Wykonawcę 1. Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. TAK / NIE Administrator urządzenia musi mieć możliwość konfiguracji rodzaju pliku (exe, dll, pdf, msoffice) oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”. TAK / NIE 3. Administrator urządzenia musi mieć możliwość przeglądania informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji jak przesłane pliki zachowywały się w środowisku testowym, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. TAK / NIE 4 Urządzenia muszą umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. TAK / NIE 2. 5 Wydajność Maksymalna przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością Przepustowość w Gbps: (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL). między 1 a 2 Gbps Minimalna wymagana przepustowość: 1 Gbps. Za przepustowość powyżej 2 Gbps zostaną powyżej 2 Gbps przyznane dodatkowe punkty: za przepustowość powyżej 2 Gbps - 5 punktów. za przepustowość powyżej 3 Gbps - 10 punktów, za przepustowość powyżej 4 Gbps - 15 punktów, ..........................dnia................................. powyżej 3Gbps powyżej 4 Gbps .................................................... (podpis i pieczątka imienna osoby upoważnionej do składania oświadczeń woli w imieniu wykonawcy ) Strona 9 z 9