str. 1 „Projekt współfinansowany przez Unię Europejską w ramach

ZAŁĄCZNIK NR 1
cd dot. PAKIETU 3
OPIS PRZEDMIOTU ZAMÓWIENIA
Wymagania minimalne dotyczące systemu UTM
1.
W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS - możliwość łączenia w klaster
Active-Active lub Active-Passive. W ramach postępowania system powinien zostać dostarczony w postaci klastra HA.
2.
Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy
sieciowych.
3.
Monitoring stanu realizowanych połączeń VPN.
4.
System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją
NAT lub transparentnym.
5.
System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet 10/100/1000 Base-TX , 4
gniazdami SFP 1Gbps oraz 2 gniazdami SFP+ 10Gbps
6.
System powinien umożliwiać zdefiniowanie co najmniej 254 interfejsów wirtualnych - definiowanych jako VLAN’y w
oparciu o standard 802.1Q.
7.
W zakresie Firewall’a obsługa nie mniej niż 7 milionów jednoczesnych połączeń oraz 190 tys. nowych połączeń na
sekundę
8.
Przepustowość Firewall’a: nie mniej niż 20 Gbps
9.
Wydajność szyfrowania VPN IPSec: nie mniej niż 8 Gbps
10. System powinien mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub
producenci poszczególnych elementów systemu muszą oferować systemy logowania i raportowania w postaci
odpowiednio zabezpieczonych platform sprzętowych lub programowych.
11. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcji. Mogą one być
realizowane w postaci osobnych platform sprzętowych lub programowych:

Kontrola dostępu - zapora ogniowa klasy Stateful Inspection

Ochrona przed wirusami – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS

Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN

Ochrona przed atakami - Intrusion Prevention System

Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających
złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM.

Kontrola zawartości poczty – antyspam dla protokołów SMTP, POP3, IMAP
str. 1
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”

Kontrola pasma oraz ruchu [QoS, Traffic shaping] – co najmniej określanie maksymalnej i gwarantowanej ilości
pasma

Kontrola aplikacji – system powinien rozpoznawać co najmniej aplikacje typu: P2P, botnet (C&C – ta
komunikacja może być rozpoznawana z wykorzystaniem również innych modułów)

Możliwość analizy ruchu szyfrowanego protokołem SSL

Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP)
12. Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu
IPS) - minimum 6 Gbps
13. Wydajność skanowania ruchu z włączoną funkcją Antywirus - minimum 1,6 Gbps
14. W zakresie funkcji IPSec VPN, wymagane jest nie mniej niż:

Tworzenie połączeń w topologii Site-to-site oraz Client-to-site

Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności

Praca w topologii Hub and Spoke oraz Mesh

Możliwość wyboru tunelu przez protokół dynamicznego routingu, np. OSPF

Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
15. W ramach funkcji IPSec VPN, SSL VPN – producent
powinien dostarczać klienta VPN współpracującego z
oferowanym rozwiązaniem.
16. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny, dynamiczny w oparciu o protokoły:
RIPv2, OSPF, BGP oraz PIM.
17. Możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa
w
zakresie Routingu, Firewall’ a, IP Sec VPN’ a Antywirus’ a, IPS’ a.
18. Translacja adresów NAT adresu źródłowego i docelowego.
19. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, protokoły, usługi sieciowe,
użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci.
20. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
21. Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów
działających na niestandardowych portach (np. FTP na porcie 2021).
22. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza sygnatur ataków powinna
zawierać minimum 2000 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych
wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących
podstawową ochronę przed atakami typu DoS oraz DDos.
23. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie analizy pakietów, nie bazując jedynie na
wartościach portów TCP/UDP.
str. 2
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”
24. Baza filtra WWW adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne
takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość
nadpisywania kategorii lub tworzenia wyjątków i reguł omijania filtra WWW.
25. Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz ciągły dostęp do globalnej
bazy zasilającej filtr URL.
26. System zabezpieczeń musi umożliwiać weryfikację tożsamości użytkowników za pomocą nie mniej niż:

Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu

haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP

haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych

Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active
Directory
27. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty:

ICSA lub EAL4 dla funkcji Firewall

ICSA lub NSS Labs dla funkcji IPS

ICSA dla funkcji: SSL VPN, IPSec VPN
28. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i mieć możliwość współpracy z
platformami dedykowanymi do centralnego zarządzania i monitorowania. Komunikacja systemów zabezpieczeń z
platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.
29. Logowanie i raportowanie
a)
W ramach systemu logowania i raportowania należy dostarczyć system monitorujący, gromadzący logi, korelujący
zdarzenia i generujący raporty na podstawie danych ze wszystkich elementów systemu bezpieczeństwa.
b)
Platforma powinna dysponować predefiniowanym zestawem przykładów raportów, dla których administrator systemu
będzie mógł modyfikować parametry prezentowania wyników.
c)
System centralnego logowania i raportowania powinien być dostarczony w postaci komercyjnej platformy
programowej dla środowiska VMware, Microsoft Hyper-V 2008 R2/2012
W ramach centralnego systemu logowania, raportowania i korelacji powinny być realizowane przynajmniej poniższe
funkcjonalności:
a)
Konfigurowalne opcje powiadamiania o zdarzeniach jak np. e-mail, SMS
b)
Podgląd logowanych zdarzeń w czasie rzeczywistym.
c)
Możliwość generowania raportów w zakresie wszystkich funkcjonalności bezpieczeństwa realizowanych przez system
- na żądanie oraz w trybie cyklicznym, w postaci popularnych formatów min: PDF. Raporty powinny obejmować
zagadnienie dotyczące całej sfery bezpieczeństwa.
str. 3
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”
d)
Zastosowane systemy logowania powinny umożliwiać cykliczny eksport zgromadzonych logów do zewnętrznych
systemów przechowywania danych w celu ich długo czasowego składowania.
e)
System powinien dysponować co najmniej 4 wirtualnymi interfejsami sieciowymi i umożliwiać logowanie minimum 5
GB danych dziennie
30. Serwisy i licencje
a)
W ramach postępowania powinny zostać dostarczone licencje aktywacyjne dla wszystkich wymaganych funkcji
ochronnych, upoważniające do pobierania aktualizacji baz zabezpieczeń przez okres 5 lat.
31. Gwarancja oraz wsparcie:
System objęty serwisem gwarancyjnym producenta przez okres 60 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej,
polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na
terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument producenta, który
wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej.
Zakres Prac związanych z uruchomieniem systemu UTM i infrastruktury WiFi
System Firewallowy UTM
1.
Analiza wymogów dotyczących bezpieczeństwa w zakresie transmisji danych oraz logicznego umiejscowienia
serwerów/systemów szpitalnych,
2.
Analiza obecnego stanu przepływu danych między strefami (podsieciami) oraz na styku z Internetem pod kątem
aplikacji, portów TCP/UDP oraz wolumenu ruchu,
3.
Analiza potrzeb biznesowych na funkcje UTM (weryfikacja działania obecnych systemów bezpieczeństwa IT oraz
brakujących usług),
4.
Analizę dostępu i uwierzytelnienia do aplikacji i systemów szpitalnych wewnątrz sieci (logowanie, klucze z
certyfikatami, karty magnetyczne) oraz z Internetu (Port Forwarding, VPN) pod kątem unifikacji kontroli dostępu,
5.
Opracowanie koncepcji umiejscowienia firewalla UTM w strukturze obecnej topologii sieci
6.
Sporządzenie projektu wdrożenia firewalli UTM wraz ze szczegółowymi rysunkami w warstwie L2, L3 oraz L7 modelu
OSI,
7.
Projekt winien zawierać również opis wymaganych zmian w kontroli dostępu, autoryzacji do aplikacji i systemów
szpitalnych,
8.
Projekt winien zawierać dokładną procedurę migracji do nowego stanu z zachowaniem jak najkrótszych przestojów
działania sieci i systemów a jeśli to możliwe brak takich przestojów,
9.
Projekt winien również zawierać procedurę „roll back” w razie wystąpienia nieakceptowalnych skutków podczas
migracji a cała przygotowana procedura winna być w pełni odwracalna,
10. W projekcie należy szczegółowo opisać system logowania zdarzeń (systemowe, VPN, dotyczące ruchu, wykrytych
ataków i anomalii), raportowania (raporty na żądanie, wykonywane cyklicznie) oraz powiadamiania (SMS, Mail) w
systemie niezależnym od właściwych firewalli UTM (awaria firewalla lub jego restart nie może powodować braku
dostępu do logów i raportów),
11. Konfiguracja klastra składającego się z dwóch firewall UTM w trybie Active/Active oraz przełączników, które będą
wchodzić w skład redundantnego układu HA klastra,
12. Konfiguracji routingów statycznych na firewallu a w razie potrzeby wdrożenia routingu dynamicznego (RIP, OSPF,
BGP),
str. 4
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”
13. Wdrożenia szczegółowej polityki bezpieczeństwa (reguły dostępu dla ruchu z Internetu, do Internetu oraz między
pozostałymi strefami) zgodnie z wytycznymi ze strony Zamawiającego, nie naruszając wymogi bezpieczeństwa w
szpitalu,
14. Konfiguracja filtracji stron WWW na podstawie kategorii oraz treści,
15. Konfiguracja filtracji AntySpam z uwzględnieniem czarnych i białych list zamawiającego,
16. Konfiguracja sytemu DLP w oparciu o występowanie słów kluczowych według szablonów wyrażeń regularnych,
rodzajów plików, meta danych,
17. Integracja firewalla z systemem autoryzacji Microsoft Active Directory w trybie transparentnym lub przy użyciu
dedykowanych agentów (systemów musi umożliwiać obydwa tryby integracji a Zamawiający podczas wdrożenia
wybierze właściwy), tak aby możliwa była identyfikacja użytkowników
18. Konfiguracja dostępu zdalnego SSL VPN (VPN Client, portal WebVPN) z użyciem autoryzacji przy pomocy
certyfikatów oraz różnych poziomów dostępu dla różnych grup użytkowników AD,
Wdrożenia systemów kolekcji logów oraz raportowania i notyfikacji na systemie zewnętrznym w stosunku do
firewalli UTM z zagwarantowaniem odpowiedniego czasu przechowywania logów,
20.
Wdrożona notyfikacja powinna dotyczyć istotnych zdarzeń, na które administrator musi w krótkim czasie
zareagować (np. brak miejsca na nośniku danych na firewallu, zbyt wysokie obciążenie CPU, próba nieuprawnionego
dostępu do firewalla, próba ataku, nienaturalnie wysoka liczna sesji, atak DOS),
19.
21.
Przeprowadzenie testów działania firewalli oraz wszystkich wdrożonych funkcjonalności,
22. Przeprowadzenie szkolenia dla administratorów, zapewniającego nabycie niezbędnej wiedzy z zakresu konfiguracji i
administracji firewalli UTM w wymiarze minimum 2 dni,
23.
Udzielenia 30-dniowego pełnego wsparcia telefonicznego lub VPN (czas reakcji 4 godz.) po zakończeniu prac
wdrożeniowych a w razie krytycznych problemów wizyty na miejscu u Zamawiającego w następnym dniu roboczym,
24.
Opracowania szczegółowej dokumentacji powykonawczej zawierającej opis działania firewalli wraz z opisem
wdrożonych funkcjonalności,
25.
Dokumentacja winna zawierać w szczególności precyzyjne rysunki całej topologii sieci w ujęciu logicznym jak i
fizycznym wraz z adresacją, opisem vlanów, sposobu działania poszczególnych połączeń (LACP, 802.1Q) oraz
użytych w sieci mechanizmów.
System WiFi
1.
Zamawiający zaleca przeprowadzenie wizji lokalne budynku i pomieszczeń, które należy pokryć siecią WiFi,
2.
Analiza propagacji sygnału w budynkach, tak aby możliwe było właściwe rozmieszczenie punktów AP,
3.
Przygotowanie projektu instalacji WiFi z opisem zaplanowanych sieci WLAN, punktów propagacji oraz metod dostępu
radiowego,
4.
Wykonanie instalacji okablowania strukturalnego ( wykonanie
elektroinstalacyjnych, instalacja punktów dostępowych oraz okablowania)
5.
6.
Instalację należy wykonać zgodnie z obowiązującymi przepisami prawa.
W czasie wykonywania prac należy zachować szczególną ostrożność, zabezpieczyć miejsce wykonywania prac, a po
ich zakończeniu przywrócić pomieszczenia do poprzedniego stanu,
7.
Instalacja i konfiguracja urządzeń podstawowych WiFi (kontrolery, system autoryzacji, system zarządzania itp),
8.
Instalacja zaplanowanej liczby punktów AP w wyznaczonych i uzgodnionych z Zamawiającym punktach,
9.
Wszystkie punkty dostępowe powinny być zainstalowane w miejscach trudnodostępnych dla osób trzecich (np. sufit),
otworów,
przebić,
montaż
kanałów
str. 5
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”
10. Konfiguracja zaplanowanych sieci WLAN (m.in. dedykowanej dla pacjentów szpitala, dla personelu, dla
dedykowanych służb i urządzeń szpitalnych typu tablety). Liczba WLAN-ów do uzgodnienia z Zamawiącym
11. Każda z wdrożonych sieci WLAN winna zawierać metody autoryzacji i kontroli.
12. Pokrycie sygnałem radiowym musi umożliwiać poprawną transmisję danych w całym zadanym obszarze przy użyciu
urządzeń spełniających warunki standardu Wi-Fi, w szczególności IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE
802.11ac (sygnał odbierany na wskazanym obszarze nie może być słabszy niż -70dBm),
13. Zainstalowany system musi posiadać możliwość dalszej rozbudowy, poprzez podpięcie kolejnych punktów
dostępowych oraz ich konfigurację według szablonu (dopuszcza się np. wgranie pliku konfiguracyjnego lub
automatyczne skonfigurowanie dołączanego punktu),
14. Przeprowadzenie szkolenia dla administratorów, zapewniającego nabycie niezbędnej wiedzy z zakresu konfiguracji i
administracji wdrożoną siecią WiFi w wymiarze minimum 2 dni,
15. Wykonanie pomiarów dostarczonej sieci wifi oprogramowaniem w postaci naniesionych na rzuty map poziomu
sygnału odbieranego oraz stosunku sygnał/szum dla używanych częstotliwości (2,4 lub 5GHz),
16. Przeprowadzenia testów działania sieci WiFi, autoryzacji, działania kont gościnnych itp., Należy przedstawić raport z
przeprowadzonych testów.
........................................................................
potwierdzam spełnianie wymagań minimalnych
podpis i pieczęć osoby (osób) upoważnionej
do reprezentowania Wykonawcy
str. 6
Numer postępowania: 305/ZP/2015
„Projekt współfinansowany przez Unię Europejską
w ramach Małopolskiego Regionalnego Programu Operacyjnego na lata 2007 - 2013”