SIWZ v3-2

Załącznik nr 1 do SIWZ
ZP.342-2/PW/15
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
Część 1: Dostawa zintegrowanego urządzenia sieciowego typu UTM
dla Wojewódzkiego Urzędu Pracy w Lublinie.
Kody CPV:32420000-3 Urządzenia sieciowe
Lp.
1.
2.
3.
4.
Parametr
Podstawowe wymagania techniczne (obowiązkowe)
Architektura
`
Dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia
systemu ochrony technicznego ze strony dostawcy wymaga się aby zastosowane
technologie, (w tym system operacyjny) pochodziły od jednego
producenta (dupuszcza się zastosowanie modułu antywirusowego
pochodzącego od innego producenta), który udzieli odbiorcy licencji
bez limitu chronionych użytkowników (licencja na urządzenie).
System
Dla zapewnienia wysokiej sprawności i skuteczności działania
operacyjny
systemu urządzenia ochronne muszą pracować w oparciu o
dedykowany system operacyjny czasu rzeczywistego.
Ilość/rodzaj
Nie mniej niż 16 portów Ethernet 10/100/1000 Base-TX.
portów
Funkcjonalności System zabezpieczeń musi realizować zadania kontroli dostępu
podstawowe i
(filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy
uzupełniające
sieciowej, transportowej oraz aplikacji.
System ochrony musi obsługiwać w ramach jednego urządzenia
wszystkie z poniższych funkcjonalności podstawowych:
o kontrolę dostępu – zaporę ogniową klasy Stateful Inspection
o ochronę przed wirusami – antywirus [AV] (dla protokołów
SMTP, POP3, IMAP, HTTP,SMTPS, POP3S, IMAPS, HTTPS)
o poufność danych - IPSec VPN oraz SSL VPN
o ochronę przed atakami - Intrusion Prevention System [IPS/IDS]
5.
6.
oraz funkcjonalności uzupełniających:
o kontrolę treści – Web Filter [WF]
o kontrolę pasma oraz ruchu [QoS]
o kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w
tym IM oraz P2P)
Zasada działania Urządzenie powinno dawać możliwość ustawienia jednego z dwóch
(tryby)
trybów pracy:
jako router/NAT (3.warstwa ISO-OSI) lub jako most (transparent
bridge).
Polityka
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać
bezpieczeństwa adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników sieci,
(firewall)
reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz
zarządzanie pasmem (m.in. pasmo gwarantowane i maksymalne,
priorytety, oznaczenia DiffServ).
7.
Wykrywanie
ataków
Wykrywanie i blokowanie technik i ataków stosowanych przez
hakerów.
Wykrywanie i blokowanie niebezpiecznych komponentów.
Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie
maksymalnej liczby otwartych sesji z jednego adresu IP.
Nie mniej niż 4000 ataków.
Aktualizacja bazy
automatycznie.
8.
Translacja
adresów
9.
Połączenia VPN
10.
11.
sygnatur
ma
się
odbywać
ręcznie
lub
Możliwość wykrywania anomalii protokołów i ruchu.
Statyczna i dynamiczna translacja adresów (NAT).
Translacja NAPT.
Wymagane nie mniej niż:
o tworzenie połączeń w topologii Site-to-site oraz Client-to-site
o dostawca musi udostępniać klienta VPN własnej produkcji
o monitorowanie stanu tuneli VPN i stałego utrzymywania ich
aktywności
o obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
Uwierzytelnianie System
zabezpieczeń
musi
umożliwiać
wykonywanie
użytkowników
uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż:
o haseł statycznych i definicji użytkowników przechowywanych
w lokalnej bazie urządzenia
o haseł statycznych i definicji użytkowników przechowywanych
w bazach zgodnych z LDAP
Wydajność
Rozwiązanie powinno umożliwiać budowę logowania Single Sign On
w środowisku Active Directory.
Obsługa nie mniej niż 2000000 jednoczesnych połączeń i 77000
nowych połączeń na sekundę.
Przepływność nie mniejsza niż 3 Gbps dla ruchu nieszyfrowanego i
1,3 Gbps dla VPN szyfrowanego.
12.
13.
Funkcjonalność
zapewniająca
niezawodność
Konfiguracja i
zarządzanie
Możliwość połączenia dwóch identycznych urządzeń przynajmniej w
klaster Active-Passive.
Możliwość konfiguracji poprzez terminal i linię komend oraz
wbudowaną konsolę graficzną (GUI).
Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone
poprzez szyfrowanie komunikacji.
Administratorzy muszą być uwierzytelniani za pomocą:
o haseł statycznych
14.
Raportowanie
15.
Serwis oraz
aktualizacje
System powinien mieć możliwość współpracy z zewnętrznym
modułem raportowania i korelacji logów umożliwiającym:
o zbieranie logów z urządzeń bezpieczeństwa
o generowanie raportów
Dostawca powinien dostarczyć licencje aktywacyjne (umożliwiajce
aktualizacje modułów/sygnatur) dla funkcji bezpieczeństwa na okres 2
lat.
System powinien być objęty serwisem gwarancyjnym producenta
przez okres 2 lat.
Serwis powinien być realizowany przez Producenta rozwiązania lub
Autoryzowanego Dystrybutora Producenta, mającego swoją
lokalizację serwisową na terenie Polski, posiadającego certyfikat ISO
9001 w zakresie usług serwisowych (należy dołaczyć go do oferty).
Zgłoszenia serwisowe przyjmowane w trybie 8x5 przez dedykowany
serwisowy moduł internetowy (należy podać adres www) oraz
infolinię 8x5 (należy podać numer infolinii).
16.
17.
Wdrożenie i
instalacja
Wsparcie
techniczne
L.p.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Uwaga: Dostawca, którego oferta zostanie wybrana jako
najkorzystniejsza, musi przed podpisaniem umowy okazać
zaświadczenie informujące o możliwości przyjęcia uszkodzonego
urządzenia objętego serwisem do naprawy u dystrybutora na terenie
polski.
Instalacja i konfiguracja systemu powinna być przeprowadzona przez
uprawnionego inżyniera posiadającego aktualny certyfikat producenta.
Dostawca powinien zapewnić pierwszą linie wsparcia technicznego
telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu.
Opcjonalne wymagania techniczne i funkcjonalne (łącznie 50 pkt.)
posiada dedykowany preprocesor/preprocesory
akcelerujący/akcelerujące skanowanie AV, IPS i SSL Offloading;
wykorzystanie dysków SSD;
możliwość tworzenia reguł opartych o urządzenia – Device Identity;
skategoryzowanie jako LEADERS w kwadracie Gartnera na rok 2015;
integracja ze środowiskiem sandboxowym w celu ochrony przed
złośliwym oprogramowaniem malware i wykrywania ataków typu
zero-day;
wbudowany moduł do ochrony przed wyciekiem danych wrażliwych –
DLP (Data Leak Prevention);
obsługa wirtualnych instancji firewalli;
możliwość zdefiniowania serwera DHCP (w trybie serwer lub relay)
dla każdego interfejsu fizycznego i logicznego;
wbudowany, aktywny skaner podatności sieci – Vulnerability Scanner;
obecność minimum 2 portów SFP;
Punktacja
8
3
3
8
5
5
5
3
7
3