SIWZ v3-2
Transkrypt
SIWZ v3-2
Załącznik nr 1 do SIWZ ZP.342-2/PW/15 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Część 1: Dostawa zintegrowanego urządzenia sieciowego typu UTM dla Wojewódzkiego Urzędu Pracy w Lublinie. Kody CPV:32420000-3 Urządzenia sieciowe Lp. 1. 2. 3. 4. Parametr Podstawowe wymagania techniczne (obowiązkowe) Architektura ` Dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia systemu ochrony technicznego ze strony dostawcy wymaga się aby zastosowane technologie, (w tym system operacyjny) pochodziły od jednego producenta (dupuszcza się zastosowanie modułu antywirusowego pochodzącego od innego producenta), który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). System Dla zapewnienia wysokiej sprawności i skuteczności działania operacyjny systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Ilość/rodzaj Nie mniej niż 16 portów Ethernet 10/100/1000 Base-TX. portów Funkcjonalności System zabezpieczeń musi realizować zadania kontroli dostępu podstawowe i (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy uzupełniające sieciowej, transportowej oraz aplikacji. System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: o kontrolę dostępu – zaporę ogniową klasy Stateful Inspection o ochronę przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP,SMTPS, POP3S, IMAPS, HTTPS) o poufność danych - IPSec VPN oraz SSL VPN o ochronę przed atakami - Intrusion Prevention System [IPS/IDS] 5. 6. oraz funkcjonalności uzupełniających: o kontrolę treści – Web Filter [WF] o kontrolę pasma oraz ruchu [QoS] o kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P) Zasada działania Urządzenie powinno dawać możliwość ustawienia jednego z dwóch (tryby) trybów pracy: jako router/NAT (3.warstwa ISO-OSI) lub jako most (transparent bridge). Polityka Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać bezpieczeństwa adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników sieci, (firewall) reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasmem (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 7. Wykrywanie ataków Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów. Wykrywanie i blokowanie niebezpiecznych komponentów. Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 4000 ataków. Aktualizacja bazy automatycznie. 8. Translacja adresów 9. Połączenia VPN 10. 11. sygnatur ma się odbywać ręcznie lub Możliwość wykrywania anomalii protokołów i ruchu. Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. Wymagane nie mniej niż: o tworzenie połączeń w topologii Site-to-site oraz Client-to-site o dostawca musi udostępniać klienta VPN własnej produkcji o monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności o obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Uwierzytelnianie System zabezpieczeń musi umożliwiać wykonywanie użytkowników uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: o haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia o haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP Wydajność Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory. Obsługa nie mniej niż 2000000 jednoczesnych połączeń i 77000 nowych połączeń na sekundę. Przepływność nie mniejsza niż 3 Gbps dla ruchu nieszyfrowanego i 1,3 Gbps dla VPN szyfrowanego. 12. 13. Funkcjonalność zapewniająca niezawodność Konfiguracja i zarządzanie Możliwość połączenia dwóch identycznych urządzeń przynajmniej w klaster Active-Passive. Możliwość konfiguracji poprzez terminal i linię komend oraz wbudowaną konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Administratorzy muszą być uwierzytelniani za pomocą: o haseł statycznych 14. Raportowanie 15. Serwis oraz aktualizacje System powinien mieć możliwość współpracy z zewnętrznym modułem raportowania i korelacji logów umożliwiającym: o zbieranie logów z urządzeń bezpieczeństwa o generowanie raportów Dostawca powinien dostarczyć licencje aktywacyjne (umożliwiajce aktualizacje modułów/sygnatur) dla funkcji bezpieczeństwa na okres 2 lat. System powinien być objęty serwisem gwarancyjnym producenta przez okres 2 lat. Serwis powinien być realizowany przez Producenta rozwiązania lub Autoryzowanego Dystrybutora Producenta, mającego swoją lokalizację serwisową na terenie Polski, posiadającego certyfikat ISO 9001 w zakresie usług serwisowych (należy dołaczyć go do oferty). Zgłoszenia serwisowe przyjmowane w trybie 8x5 przez dedykowany serwisowy moduł internetowy (należy podać adres www) oraz infolinię 8x5 (należy podać numer infolinii). 16. 17. Wdrożenie i instalacja Wsparcie techniczne L.p. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Uwaga: Dostawca, którego oferta zostanie wybrana jako najkorzystniejsza, musi przed podpisaniem umowy okazać zaświadczenie informujące o możliwości przyjęcia uszkodzonego urządzenia objętego serwisem do naprawy u dystrybutora na terenie polski. Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. Dostawca powinien zapewnić pierwszą linie wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygodniu. Opcjonalne wymagania techniczne i funkcjonalne (łącznie 50 pkt.) posiada dedykowany preprocesor/preprocesory akcelerujący/akcelerujące skanowanie AV, IPS i SSL Offloading; wykorzystanie dysków SSD; możliwość tworzenia reguł opartych o urządzenia – Device Identity; skategoryzowanie jako LEADERS w kwadracie Gartnera na rok 2015; integracja ze środowiskiem sandboxowym w celu ochrony przed złośliwym oprogramowaniem malware i wykrywania ataków typu zero-day; wbudowany moduł do ochrony przed wyciekiem danych wrażliwych – DLP (Data Leak Prevention); obsługa wirtualnych instancji firewalli; możliwość zdefiniowania serwera DHCP (w trybie serwer lub relay) dla każdego interfejsu fizycznego i logicznego; wbudowany, aktywny skaner podatności sieci – Vulnerability Scanner; obecność minimum 2 portów SFP; Punktacja 8 3 3 8 5 5 5 3 7 3