Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis

Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis

Część III SIWZ
Dostawa zintegrowanego urządzenia sieciowego typu UTM
Opis przedmiotu zamówienia.
1. Przedmiotem zamówienia jest:
a. dostarczenie do siedziby Zamawiającego sprzętu i oprogramowania zgodnego
ze Specyfikacją Techniczną ,
b. instalacja dostarczonego sprzętu w szafie
c. udzielenie niezbędnych licencji na oprogramowanie,
d. skonfigurowanie dostarczanego urządzenia oraz wdrożenie systemu w
siedzibie Zamawiającego,
(adresacja IP, routing, konfiguracja polityk firewall, konfiguracja profili UTM,
testy, włączenie urządzenia UTM do środowiska produkcyjnego, monitoring,
szkolenie instruktażowe dla administratorów)
e. dostarczenie instrukcji obsługi przedmiotu zamówienia, w języku polskim
lub angielskim,
f. udzielenie gwarancji na dostarczony sprzęt komputerowy (dostarczenie kart
gwarancyjnych),
g. zapewnienie usługi wsparcia technicznego oraz uaktualnień oprogramowania
i sygnatur przez okres zgodny ze złożoną ofertą, jednak nie krótszy niż zawarty
w Specyfikacji Technicznej
h. przeszkolenie w autoryzowanym ośrodku producenta urządzenia, dwóch osób
personelu technicznego Zamawiającego.
2. Oferowany sprzęt i oprogramowanie musi być objęty gwarancją producenta przez
okres zgodny ze złożoną ofertą, jednak nie krótszy niż zawarty w Specyfikacji
Technicznej. Okres gwarancji będzie liczony od daty podpisania protokołu odbioru
sprzętu.
a) Naprawy będą dokonywane w miejscu użytkowania sprzętu.
b) Wszelkie koszty usunięcia usterki (usług, części, sprzętu zastępczego i transportu)
ponosi producent sprzętu lub autoryzowana przez niego firma serwisująca.
c) Podjęcie naprawy nastąpi najpóźniej następnego dnia roboczego.
d) W razie konieczności naprawy trwającej ponad jeden dzień roboczy, firma
serwisująca zapewni na czas naprawy sprzęt o parametrach nie gorszych, niż
sprzęt naprawiany. Sprzęt zastępczy zostanie skonfigurowany przez firmę
serwisującą zgodnie z konfiguracją sprzętu uszkodzonego.
e) Czas usunięcia usterki wyniesie maksymalnie 14 dni kalendarzowych od chwili
zgłoszenia awarii, w przypadku niedotrzymania ww. terminu Wykonawca
zobowiązany jest wymienić uszkodzony sprzęt na nowy o wydajności
i funkcjonalności nie gorszej niż sprzęt uszkodzony.
3. Producent oferowanego sprzętu musi zapewnić wysoki poziom wsparcia
technicznego, co zostanie potwierdzone przez:
a) Udostępnienie na witrynie producenta pełnej dokumentacji użytkowej
i technicznej sprzętu, co najmniej w języku angielskim.
b) Udostępnienie na witrynie producenta wszystkich sterowników, oprogramowania
i uaktualnień. Do oferty należy dołączyć adres właściwej strony.
c) Zapewnienie podjęcia napraw gwarancyjnych i pogwarancyjnych na terenie całej
Polski, najpóźniej w następnym dniu roboczym.
4. Oferowane produkty muszą spełniać wszystkie parametry określone w niniejszym
załączniku oraz być fabrycznie nowe, oznakowane symbolem CE, pochodzić
z legalnego źródła, muszą być dostarczone przez autoryzowany kanał sprzedaży
producenta na terenie kraju i objęte standardowym pakietem usług gwarancyjnych
zawartych w cenie urządzenia i oprogramowania świadczonych przez sieć serwisową
producenta na terenie Polski. Zamawiający zastrzega sobie prawo do żądania
potwierdzenia źródła pochodzenia urządzenia w postaci oświadczenia producenta.
5. Wymaga się aby elementy wchodzące w skład systemu ochrony były zrealizowane
w postaci zamkniętej platformy sprzętowej.
6. Wykonawca winien przedstawić nazwę, producenta i model oferowanego sprzętu
i oprogramowania w poszczególnych jego rodzajach.
7. Wszystkie opisane parametry wymagane są wymaganiami minimalnymi.
SPECYFIKACJA TECHNICZNA
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje
bezpieczeństwa oraz funkcjonalności niezależnie od dostawcy łącza:
1. Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów
systemu.
2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów
zabezpieczeń oraz łączy sieciowych.
3. Monitoring stanu realizowanych połączeń VPN oraz automatyczne przekierowanie pakietów
zgodnie z trasą definiowaną przez protokół OSPF.
4. System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch
trybów: Routera z funkcją NAT lub transparent.
5. System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet
10/100/1000 Base-TX
6. Możliwość tworzenia min 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu
o standard 802.1Q.
7. W zakresie Firewall’a obsługa nie mniej niż 500 tysięcy jednoczesnych połączeń oraz 15 tys.
nowych połączeń na sekundę
8. Przepustowość Firewall’a: nie mniej niż 5 Gbps
Wydajność szyfrowania AES lub 3DES: nie mniej niż 2 Gbps
9. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych
funkcjonalności.
- kontrola dostępu - zapora ogniowa klasy Stateful Inspection
- ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP,
FTP, HTTPS). W celu zapewnienia wysokiej skuteczności mechanizmu antywirusowego
wymaga się aby mechanizm skanowania działał w oparciu o technologię Proxy
umożliwiającą analizę dowolnego typu załączników
- poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN
- ochrona przed atakami - Intrusion Prevention System [IPS]
-
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie
niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz
udostępniających treści typu SPAM.
- kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP)
- kontrola pasma oraz ruchu [QoS, Traffic shaping]
- Kontrola aplikacji oraz rozpoznawanie ruchu P2P
- Możliwość analizy ruchu szyfrowanego protokołem SSL
- Ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji
na lokalnym dysku
Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 500 Mbps
Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi
funkcjami: Antivirus, WebFilter, min. 90 Mbps
W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
- Tworzenie połączeń w topologii Site-to-site oraz Client-to-site
- Producent oferowanego rozwiązania VPN powinien dostarczać klienta VPN
współpracującego z proponowanym rozwiązaniem.
- Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
- Praca w topologii Hub and Spoke oraz Mesh
- Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF
- Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w
oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły routingu powinny
funkcjonować w ramach terminowanych na urządzeniu połączeniach IPSec VPN.
Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów
bezpieczeństwa w zakresie routingu, Firewall’a, Antywirus’a, IPS’a, Web Filter’a.
Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy,
protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz
zarządzanie pasmem sieci (m.in. pasmo gwarantowane i maksymalne, priorytety)
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji
dla protokołów działających na niestandardowych portach.
Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza
wykrywanych ataków powinna zawierać co najmniej 6500 wpisów. Ponadto administrator
systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur.
Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących
podstawową ochronę przed atakami typu DoS oraz DDos.
Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej
analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP
Baza filtra WWW o wielkości co najmniej 45 milionów adresów URL pogrupowanych
w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron
jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość
nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra WWW.
Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz
ciągły dostęp do globalnej bazy zasilającej filtr URL.
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości
użytkowników za pomocą nie mniej niż:
- Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu
- haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z
LDAP
- haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
- Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign
On w środowisku Active Directory bez konieczności instalowania jakiegokolwiek
oprogramowania na kontrolerze domeny.
24. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące
certyfikaty:
- ICSA dla funkcjonalności SSLVPN, IPS, Antywirus
- ICSA lub EAL4 dla funkcjonalności Firewall
25. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i
współpracować z dedykowanymi do centralnego zarządzania i monitorowania platformami
wchodzącymi w skład systemu. Komunikacja systemów zabezpieczeń z platformami
zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.
26. Wykonawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres
12 miesięcy.
27. Gwarancja oraz wsparcie
1)
Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez
okres 24 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na
naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy
producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego,
oferent winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do
realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej.
2) Serwis powinien być realizowany przez producenta rozwiązania lub autoryzowanego
przedstawiciela producenta w zakresie serwisu gwarancyjnego (oferent winien przedłożyć
dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu
gwarancyjnego na terenie Polski), mających swoją siedzibę na terenie Polski. Wsparcie
techniczne producenta przyjmowane w trybie 8h dziennie w dni robocze.
3) W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem
niniejszego postępowania (tzw. produkty podwójnego zastosowania), Wykonawca winien
przedłożyć dokument pochodzący od importera tej technologii stwierdzający, iż przy jej
wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów
prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami,
technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla
utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315
z późn zm.) oraz dokument potwierdzający, że importer posiada certyfikowany przez
właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany
dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w
odniesieniu do produktów podwójnego zastosowania.
4)
Wykonawca winien przedłożyć oświadczenie producenta lub autoryzowanego
dystrybutora producenta na terenie Polski, iż posiada autoryzację producenta w zakresie
sprzedaży oferowanych rozwiązań oraz świadczenia usług z nimi związanych.
5) W związku ze specyfiką wdrożenia Zamawiający wymaga, aby wykonawca posiadał
aktualny certyfikat ISO 9001 oraz ISO 27001 bądź równoważny (dostarczyć przed
podpisaniem umowy).
6) Wdrożenie systemu u Zamawiającego powinno być wykonane przez producenta lub
certyfikowanego przez producenta partnera. Osoby biorące udział we wdrożeniu systemu
w siedzibie Zamawiającego, powinny posiadać aktualne poświadczenie bezpieczeństwa
upoważniające do dostępu do informacji o klauzuli 'poufne' zgodnie z art. 29 ustawy z dnia
5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010r. Nr 182, poz.
1228)
28. Szkolenie
Autoryzowane dla 2 osób (każda osoba odbywająca szkolenie w innym terminie) z zakresu
konfiguracji i zarządzania dla dostarczonego sprzętu opisanego w powyższym załączniku,
prowadzone przez trenera certyfikowanego przez producenta sprzętu oraz przeprowadzone
w autoryzowanym przez producenta centrum szkoleniowym w Gdańsku lub w Warszawie.
W przypadku wyboru lokalizacji Warszawa, Wykonawca zobowiązany jest pokryć koszty
dojazdu, zakwaterowania (minimum kategoria dwugwiazdkowa) i wyżywienia uczestników
szkolenia. Po zakończeniu szkolenia uczestnicy otrzymają certyfikat ukończenia sygnowany
przez producenta oferowanego rozwiązania szczegółowo opisanego w niniejszym załączniku.
Oferowane szkolenia umożliwią uczestnikom przystąpienie do egzaminu na uzyskanie statusu
inżyniera.
Szkolenie powinno obejmować poniższą tematykę:
- Logowanie i monitoring
- Lokalne uwierzytelnianie użytkowników
- Konfiguracja firewalla
- Skanowanie antywirusowe
- SSL-VPN, IPSec-VPN
- Filtracja Antyspamowa
- Filtr stron WWW
- Kontrola aplikacji