Cz. III - Instytut Immunologii i Terapii Doświadczalnej PAN
Transkrypt
Cz. III - Instytut Immunologii i Terapii Doświadczalnej PAN
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96; REGON: 000325883 Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość Nr referencyjny nadany przez Zamawiającego SZP/20/2015 CZĘŚĆ III OPIS PRZEDMIOTU ZAMÓWIENIA (OPZ) DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK W ramach projektu: „Utworzenie bazy danych immunogenetycznych polskiej populacji MultiGenBank” Nr POIG.02.03.02-02-028/13 CPV: 32420000-3 – urządzenia sieciowe CZEŚĆ III – OPZ OPIS PRZEDMIOTU ZAMÓWIENIA Zakup urządzenia do poprawy bezpieczeństwa platformy MultiGenBank w ramach zadania nr 2 Przygotowanie, zakup i instalacja wybranych elementów infrastruktury informatycznej niezbędnej do prawidłowego funkcjonowania utworzonej platformy MultiGenBank) Przedmiotem zamówienia jest dostawa i wdrożenie urządzenia sieciowego typu Firewall do ochrony platformy MultGenBank CPV: 32420000-3 – urządzenia sieciowe Szczegółowy Opis Przedmiotu Zamówienia Przedmiotem zamówienia jest dostawa i wdrożenie sieciowego urządzenia typu Firewall dostarczonego w formie klastra wysokiej dostępności (HA) pracującego w trybie active – stand by z możliwością realizacji trybu active-active oraz rozbudowy do N+1 1. Rozwiązanie musi pracować w trybie pełnego proxy 2. Klucze prywatne zapisane na dysku urządzenia muszą być zaszyfrowane. Nie dopuszcza się rozwiązań przechowujących klucze prywatne w formie jawnej 3. Rozwiązanie musi posiadać wbudowany w system operacyjny język skryptowy, posiadający co najmniej następujące cechy: a. Analiza, zmiana oraz zastępowanie parametrów w nagłówku http oraz w zawartości pakietów b. Obsługa protokołów: http, tcp, xml, rtsp, sip c. Musi posiadać funkcję inspekcji protokołów LDAP oraz RADIUS d. Język skryptowy musi bazować na języku programowania Tool Command Language lub równoważnym, z własnymi komendami 4. Producent systemu musi dostarczyć darmową, specjalizowaną aplikację do analizy poprawności składni skryptów pisanych przy wykorzystaniu języka skryptowego opisanego w punkcie. Aplikacja musi posiadać wbudowane szablony skryptów oraz funkcję automatycznego uzupełniania wpisywanych komend. 5. Rozwiązanie musi posiadać programowalny interfejs API do integracji z zewnętrznymi systemami oraz automatyzacji wykonywania operacji. 6. Musi weryfikować zarówno zapytania jak i odpowiedzi http pod kątem naruszeń, w przypadku wykrycia incydentu musi istnieć możliwość aktywnego blokowania ruchu 7. Musi filtrować odpowiedzi serwera i kodów błędu, ukrywać zasoby serwera 8. WAF musi działać w oparciu o pozytywny model bezpieczeństwa (tylko to, co znane i prawidłowe jest dozwolone), model ten tworzony jest na bazie automatycznie budowanego przez WAF profilu aplikacji Web (URLi, metod dostępu, cookie, oczekiwanych typów znaków oraz długości zapytań). 9. Profil aplikacji web tworzony musi być na podstawie analizy ruchu sieciowego. 10. Musi istnieć możliwość ograniczania zaufanych adresów źródłowych, z których komunikacja z aplikacją tworzyć będzie oczekiwany profil zachowań użytkowników. 11. Musi umożliwiać definiowania przepływu ruchu w obrębie aplikacji z uwzględnieniem jej logiki biznesowej 12. Oprócz pozytywnego modelu zabezpieczeń WAF musi posiadać również funkcje identyfikacji incydentów poprzez sygnatury (negatywny model zabezpieczeń) 13. Musi istnieć możliwość selektywnego włączania/wyłączania sygnatur per parametr 14. Musi istnieć możliwość ręcznego konfigurowania/modyfikacji reguł polityki dostępu DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 2 CZEŚĆ III – OPZ 15. Musi istnieć możliwość ochrony dynamicznych oraz ukrytych parametrów 16. WAF musi posiadać funkcje analizy i odczytu CSS/XSS 17. WAF musi posiadać możliwość walidacji XML poprzez: walidację Schema/WSDL, wybór dozwolonych metod SOAP, opis ataków na XML, rejestrację zapytań XML 18. WAF musi posiadać mechanizm ochrony przed atakami: SQL Injection, Cross-Site Scripting, Cross-Site Request Forgery, Session hijacking, Command Injection, Cookie/Session Poisoning, Parameter/Form Tampering, Forceful Browsing, Brute Force Login, Web Scraping 19. WAF musi posiadać mechanizmy ochrony przed atakami DoS ukierunkowanymi na warstwę aplikacyjną (zalewanie aplikacji web dużą ilością zapytań http) 20. WAF musi rozróżniać rzeczywistych użytkowników od automatów podczas ataku (D)DoS poprzez: a. Wstrzykiwanie skryptu w przypadku wystąpienia podejrzenia ataku - w przypadku wykrycia naruszenia polityki urządzenie powinno umożliwiać zdefiniowanie odpowiedzi wysyłanej do użytkownika. b. Wykorzystanie CAPTCHA. 21. Musi istnieć możliwość doboru odpowiedzi w zależności do rodzaju naruszenia. 22. WAF musi posiadać możliwość uwzględniania w logach dotyczących incydentów informacji o uwierzytelnionym użytkowniku oraz blokowania dużej ilości incydentów wykonywanych w zdefiniowanym czasie przez jednego użytkownika. 23. W obrębie funkcjonalności WAF dostarczony musi być moduł ochrony protokołu HTTP, SMTP oraz FTP. 24. WAF musi posiadać wsparcie dla aplikacji AJAX oraz JSON. 25. Musi istnieć możliwość rozszerzenia funkcji WAF o dodatkowy serwis, sprawdzający reputację adresów IP dostających się do chronionej aplikacji. Serwis reputacyjny powinien być dostępny poprzez dokupienie licencji, bez konieczności wprowadzania zmian w architekturze sprzętowej oraz programowej proponowanego rozwiązania. 26. WAF musi umożliwiać automatyczne budowanie polityk w oparciu o skanowanie przez zewnętrznych dostawców np. Cenzic, HP WebInspect, IBM AppScan, Qualys Guard, WhiteHat Sentinel. 27. WAF musi posiadać mechanizmy normalizacji w celu obrony przed technikami ukrywania ataku 28. Urządzenie MUSI wspierać następujące tryby pracy: a. Tryb wykrywania, logowania i blokowania ataków b. Tryb wykrywania i logowania ataków bez blokowania c. Tryb uczenia się bez blokowania d. Tryb bez wykrywania i blokowania ataków 29. System musi posiadać co najmniej następujące interfejsy administracyjne: a. GUI przy wykorzystaniu protokołu https b. Zarządzanie poprzez SSH c. Zarządzanie poprzez SOAP-SSL d. Zarządzanie poprzez API REST 30. System musi posiadać następujące funkcje zarządzania siecią: a. Obsługa protokołu SNMP v1/v2c/v3 b. Zewnętrzny syslog c. Zbieranie danych i ich wyświetlanie d. Zbieranie danych zgodnie z ustawieniami administratora e. Osobna brama domyślna dla interfejsu zarządzającego f. Wsparcie dla przynajmniej 2 wersji oprogramowania (multi-boot) g. Zapisywanie konfiguracji (możliwość szyfrowania i eksportu kluczy) h. Dedykowany podsystem monitorowania stanu pracy urządzenia (always on management) z funkcjami restartu, wstrzymania oraz sprzętowego resetu systemu. 31. System musi obsługiwać sieci VLAN w standardzie 802.1q 32. System musi obsługiwać agregację linków w standardzie 802.3ad (LACP) 33. System musi posiadać funkcję integracji z zewnętrznymi serwerami uwierzytelnienia użytkowników LDAP, RADIUS, TACACS. DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 3 CZEŚĆ III – OPZ 34. System musi posiadać moduł analizy ruchu http. 35. Moduł powinien zbierać następujące metryki: a. Czas odpowiedzi per serwer b. Czas odpowiedzi per URI c. Ilość sesji użytkownika d. Przepustowość e. Adres źródła f. Kraj g. User Agent h. Metoda dostępu 36. Musi być dostarczony w formie klastra wysokiej dostępności (HA) pracującego w trybie active – standby z możliwością realizacji trybu active-active oraz rozbudowy do klastra N+1 37. W ramach klastra musi istnieć możliwość jednoczesnego wykorzystania różnych modeli urządzeń sprzętowych oraz maszyn wirtualnych 38. Klaster wysokiej dostępności musi zapewniać kopiowanie informacji o sesji SSL pomiędzy urządzeniami, aby uniknąć ponownej negocjacji po przełączeniu ruchu 39. Klaster wysokiej dostępności musi zapewniać synchronizację: a. Konfiguracji b. Stanu połączeń 40. Wykrycie awarii urządzeń w instalowanym klastrze odbywać się musi przy użyciu, co najmniej następujących metod: a. Weryfikacja stanu pracy urządzenia poprzez analizę aktywności w sieci (Network failover) b. Weryfikacji stanu pracy urządzenia poprzez interfejs szeregowy (serial failover) Wymagania gwarancyjne i serwisowe c. Wymagana jest 5 letnia gwarancja producenta, wraz z aktualizacjami niezbędnymi do zachowania pełnej funkcjonalności wymaganej w SIWZ. d. Dostęp do aktualnych wersji oprogramowania oraz dokumentacji producenta przez cały okres gwarancji. e. Wymiana sprzętu następnego dnia roboczego. 41. Każde z urządzeń klastra musi spełniać wymogi przedstawione w tabeli poniżej Lp. Parametr Wymagania 1. Pamięć Nie mniej niż 32GB 2. Dysk twardy Przepływność dla warstwy 4 Przepływność dla warstwy 7 Przepustowość wewnętrznej magistrali Ilość jednocześnie obsługiwanych połączeń Ilość transakcji SSL na sekundę dla klucza o długości 2048 Jeden dysk SSD o pojemności nie mniejszej niż 400GB 3. 4. 5. 6. 7. Nie mniej niż 30 Gbps Nie mniej niż 15 Gbps Nie mniej niż 320 Gbps Nie mniej niż 24 miliony Nie mniej niż 10 tysięcy DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 4 CZEŚĆ III – OPZ Lp. 8. 9. 10. 11. 12. 13. 14. 15. Parametr Wymagania Ilość jednocześnie Nie mniej niż 4 miliony obsługiwanych połączeń SSL Przepływność ruchu Nie mniej niż 12 Gbps szyfrowanego Ilość połączeń na sekundę w Nie mniej niż 350 tysięcy warstwie 4 Nie mniej niż cztery interfejsy 10/100/1000 Base-T, nie mniej niż osiem Gęstość interfejsów z możliwością obsadzenia wkładkami SFP+, oddzielny interfejs interfejsów zarządzania, port konsolowy, interfejs szeregowy failover, dwa porty USB Należy zapewnić 2 wkładki 10 Gigabit Ethernet SFP+ SR Panel i wyświetlacz LCD z funkcjami: ustawienia adresu IP na potrzeby zarządzania, ustawienia parametrów portu szeregowego, Zarządzanie wyświetlania podstawowych alarmów, możliwości restartu urządzenia, wyświetlania informacji o systemie Funkcjonalność „Always On Management” Przeznaczona do montażu w szafie rack 19”, wysokość nie większa niż Obudowa 1U Zasilanie Nie mniej niż dwa redundantne zasilacze - prąd zmienny 230V AC EN 300 386 V1.5.1 (2010-10) EN 55022:2010 Wymagana EN 61000-3-2:2006+A1:2009+A2:2009 certyfikacja EN 61000-3-3:2008 EN 55024:2010 (lub równoważne) Wymagania ogólne Parametr wymagania dla dostarczanego urządzenia Status urządzeń Dostarczone urządzenia muszą być fabrycznie nowe (tzn. wyprodukowane nie wcześniej, niż 6 miesięcy przed ich dostarczeniem). Wraz ze sprzętem dostarczyć należy dokumenty od producenta potwierdzające datę produkcji urządzeń; Dostarczone urządzenia nie mogą być wcześniej używane, i muszą być dostarczone w oryginalnych opakowaniach producenta; Zamawiający dopuszcza możliwość zaoferowania przez Wykonawcę innego urządzenia niż oferowanego w ofercie, o ile posiadać ono będzie lepsze parametry niż wcześniej oferowane. Dystrybucja Całość dostarczanego sprzętu i oprogramowania musi pochodzić z oficjalnego kanału sprzedaży producentów na rynek polski; Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego z dostarczonych produktów nie będzie stanowić naruszenia majątkowych praw autorskich osób trzecich; Zamawiający zastrzega sobie możliwość zwrócenia się do producentów oferowanych produktów o potwierdzenie, że sprzęt i licencje nie były przeznaczone dla innego odbiorcy (w tym także do przekazania producentowi niezbędnych danych umożliwiających weryfikację). Firmware i Zamawiający zastrzega sobie prawo sprawdzenia u producentów rodzaju DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 5 CZEŚĆ III – OPZ Parametr wymagania dla dostarczanego urządzenia wsparcie wsparcia dla oferowanego rozwiązania; Zamawiający wymaga, by Firmware był w wersji aktualnej na dzień dostarczenia urządzeń; Wykonawca zapewni Zamawiającemu dostęp do stron internetowych producentów rozwiązań, umożliwiający: pobieranie nowych wersji oprogramowania; użycie narzędzi konfiguracyjnych; dostęp do dokumentacji technicznej. Wymagania dodatkowe Oferent zobowiązany jest zintegrować dostarczone urządzenie z istniejąca infrastruktura. Oferent zobowiązany jest dostarczyć wraz z oferta szczegółowa specyfikacje techniczną dostarczanych urządzenia); Zamawiający wyklucza możliwość jakiejkolwiek modyfikacji lub rozbudowy urządzenia na drodze producent-Zamawiający. W szczególności Zamawiający wyklucza możliwość użycia jakichkolwiek części, które nie zostały przebadane przez producenta na okoliczność zgodności z oferowanym urządzeniem, a przez to mogą wpłynąć negatywnie na warunki gwarancji. Wymagane jest, aby producent oferowanego rozwiązania posiadał lokalną organizację serwisową dysponującą certyfikatem na prowadzenie serwisu zgodnie z ISO 9001 (lub równoważnym) Oferent zobowiązany jest do przeprowadzenia instruktażu w języku polskim, autoryzowanego przez producenta instalowanych urządzeń w zakresie umożliwiającym samodzielna administracje dla 2 osób i potwierdzone stosownym certyfikatem. Charakterysty ka wdrożenia: wymagania instalacyjne i konfiguracyjne Instalacja i uruchomienie dostarczonego sprzętu w serwerowych szafie typu rack 19", wykonanie wszystkich niezbędnych połączeń okablowania sieciowego i zasilającego. Aktualizacja oprogramowania oferowanych urządzeń do najnowszych, zalecanych przez producenta sprzętu wersji. Podstawowe wymagania konfiguracyjne obejmują: 1. konfiguracje interfejsów sieciowych. 2. access-listy regulujące ruch pomiędzy wszystkimi interfejsami 3. techniki translacji adresów IP - mechanizmy nat i static (polecenia nat, access-group, global, static) 4. restrykcje dostępu administracyjnego po SSH i HTTPS (m.in. polecenia: http, ssh) Konfiguracja klastra wysokiej dostępności usług z wykorzystaniem mechanizmu Failover typu Active/Active, stateful failover po dedykowanym interfejsie. Konfiguracja usługi vpn w trybie remote access (dla zdalnych pracowników) do 5 vlanów. Minimum trzy profile uprawnień (admini, pracownicy i goście), DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 6 CZEŚĆ III – OPZ Parametr wymagania dla dostarczanego urządzenia szczegóły do ustalenia na etapie tworzenia koncepcji. Konfiguracja Clientless SSL VPN (WebVPN) dla dostępu z Internetu do dwóch portali Konfiguracja routingu pomiędzy podsieciami. Konfiguracja do wykonania na wybranych interfejsach sieciowych firewalla. Konfiguracja protokołu icmp - zezwolenie na komunikację icmp Echo Request i Echo Reply pomiędzy wszystkimi interfejsami sieciowymi. Konfiguracja backupu na zewnętrzny serwer FTP. Konfiguracja pozostałych parametrów pracy urządzenia, nie wymienionych powyżej, a uznanych przez Wykonawcę za istotne do skonfigurowania. Zamawiający wymaga wykonania usługi kompleksowego wdrożenia dostarczonych urządzeń w sieci komputerowej Zamawiającego. Wykonawca we współpracy z Zamawiającym, przed pracami wdrożeniowymi, opracuje w ramach dokumentacji technicznej koncepcję konfiguracji urządzeń w celu przygotowania optymalnej konfiguracji do pracy w środowisku sieciowym Zamawiającego DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY MULTGENBANK Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość. 7