Cz. III - Instytut Immunologii i Terapii Doświadczalnej PAN

Transkrypt

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ
im. Ludwika Hirszfelda
Polska Akademia Nauk
ul. Rudolfa Weigla 12, 53-114 Wrocław
tel. / fax. (4871) 37-09-997,
http://www.iitd.pan.wroc.pl
NIP: 896-000-56-96; REGON: 000325883
Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w
ramach Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w
Waszą przyszłość
Nr referencyjny nadany przez Zamawiającego SZP/20/2015
CZĘŚĆ III
OPIS PRZEDMIOTU ZAMÓWIENIA
(OPZ)
DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY
PLATFORMY MULTGENBANK
W ramach projektu: „Utworzenie bazy danych immunogenetycznych polskiej populacji
MultiGenBank”
Nr POIG.02.03.02-02-028/13
CPV: 32420000-3 – urządzenia sieciowe
CZEŚĆ III – OPZ
OPIS PRZEDMIOTU ZAMÓWIENIA
Zakup urządzenia do poprawy bezpieczeństwa platformy MultiGenBank w ramach zadania nr 2
Przygotowanie, zakup i instalacja wybranych elementów infrastruktury informatycznej niezbędnej do
prawidłowego funkcjonowania utworzonej platformy MultiGenBank)
Przedmiotem zamówienia jest dostawa i wdrożenie urządzenia sieciowego typu Firewall do
ochrony platformy MultGenBank
CPV: 32420000-3 – urządzenia sieciowe
Szczegółowy Opis Przedmiotu Zamówienia
Przedmiotem zamówienia jest dostawa i wdrożenie sieciowego urządzenia typu Firewall
dostarczonego w formie klastra wysokiej dostępności (HA) pracującego w trybie active – stand by
z możliwością realizacji trybu active-active oraz rozbudowy do N+1
1. Rozwiązanie musi pracować w trybie pełnego proxy
2. Klucze prywatne zapisane na dysku urządzenia muszą być zaszyfrowane. Nie dopuszcza się
rozwiązań przechowujących klucze prywatne w formie jawnej
3. Rozwiązanie musi posiadać wbudowany w system operacyjny język skryptowy, posiadający co
najmniej następujące cechy:
a. Analiza, zmiana oraz zastępowanie parametrów w nagłówku http oraz w zawartości
pakietów
b. Obsługa protokołów: http, tcp, xml, rtsp, sip
c. Musi posiadać funkcję inspekcji protokołów LDAP oraz RADIUS
d. Język skryptowy musi bazować na języku programowania Tool Command Language lub
równoważnym, z własnymi komendami
4. Producent systemu musi dostarczyć darmową, specjalizowaną aplikację do analizy poprawności
składni skryptów pisanych przy wykorzystaniu języka skryptowego opisanego w punkcie.
Aplikacja musi posiadać wbudowane szablony skryptów oraz funkcję automatycznego
uzupełniania wpisywanych komend.
5. Rozwiązanie musi posiadać programowalny interfejs API do integracji z zewnętrznymi systemami
oraz automatyzacji wykonywania operacji.
6. Musi weryfikować zarówno zapytania jak i odpowiedzi http pod kątem naruszeń, w przypadku
wykrycia incydentu musi istnieć możliwość aktywnego blokowania ruchu
7. Musi filtrować odpowiedzi serwera i kodów błędu, ukrywać zasoby serwera
8. WAF musi działać w oparciu o pozytywny model bezpieczeństwa (tylko to, co znane i prawidłowe
jest dozwolone), model ten tworzony jest na bazie automatycznie budowanego przez WAF profilu
aplikacji Web (URLi, metod dostępu, cookie, oczekiwanych typów znaków oraz długości zapytań).
9. Profil aplikacji web tworzony musi być na podstawie analizy ruchu sieciowego.
10. Musi istnieć możliwość ograniczania zaufanych adresów źródłowych, z których komunikacja z
aplikacją tworzyć będzie oczekiwany profil zachowań użytkowników.
11. Musi umożliwiać definiowania przepływu ruchu w obrębie aplikacji z uwzględnieniem jej logiki
biznesowej
12. Oprócz pozytywnego modelu zabezpieczeń WAF musi posiadać również funkcje identyfikacji
incydentów poprzez sygnatury (negatywny model zabezpieczeń)
13. Musi istnieć możliwość selektywnego włączania/wyłączania sygnatur per parametr
14. Musi istnieć możliwość ręcznego konfigurowania/modyfikacji reguł polityki dostępu
DOSTAWA I WDROŻENIE URZĄDZENIA SIECIOWEGO TYPU FIREWALL DO OCHRONY PLATFORMY
MULTGENBANK
Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach
Programu Operacyjnego Innowacyjna Gospodarka. Dotacje na innowacje. Inwestujemy w Waszą przyszłość.
2
CZEŚĆ III – OPZ
15. Musi istnieć możliwość ochrony dynamicznych oraz ukrytych parametrów
16. WAF musi posiadać funkcje analizy i odczytu CSS/XSS
17. WAF musi posiadać możliwość walidacji XML poprzez: walidację Schema/WSDL, wybór
dozwolonych metod SOAP, opis ataków na XML, rejestrację zapytań XML
18. WAF musi posiadać mechanizm ochrony przed atakami: SQL Injection, Cross-Site Scripting,
Cross-Site Request Forgery, Session hijacking, Command Injection, Cookie/Session Poisoning,
Parameter/Form Tampering, Forceful Browsing, Brute Force Login, Web Scraping
19. WAF musi posiadać mechanizmy ochrony przed atakami DoS ukierunkowanymi na warstwę
aplikacyjną (zalewanie aplikacji web dużą ilością zapytań http)
20. WAF musi rozróżniać rzeczywistych użytkowników od automatów podczas ataku (D)DoS poprzez:
a. Wstrzykiwanie skryptu w przypadku wystąpienia podejrzenia ataku - w przypadku
wykrycia naruszenia polityki urządzenie powinno umożliwiać zdefiniowanie odpowiedzi
wysyłanej do użytkownika.
b. Wykorzystanie CAPTCHA.
21. Musi istnieć możliwość doboru odpowiedzi w zależności do rodzaju naruszenia.
22. WAF musi posiadać możliwość uwzględniania w logach dotyczących incydentów informacji o
uwierzytelnionym użytkowniku oraz blokowania dużej ilości incydentów wykonywanych w
zdefiniowanym czasie przez jednego użytkownika.
23. W obrębie funkcjonalności WAF dostarczony musi być moduł ochrony protokołu HTTP, SMTP oraz
FTP.
24. WAF musi posiadać wsparcie dla aplikacji AJAX oraz JSON.
25. Musi istnieć możliwość rozszerzenia funkcji WAF o dodatkowy serwis, sprawdzający reputację
adresów IP dostających się do chronionej aplikacji. Serwis reputacyjny powinien być dostępny
poprzez dokupienie licencji, bez konieczności wprowadzania zmian w architekturze sprzętowej
oraz programowej proponowanego rozwiązania.
26. WAF musi umożliwiać automatyczne budowanie polityk w oparciu o skanowanie przez
zewnętrznych dostawców np. Cenzic, HP WebInspect, IBM AppScan, Qualys Guard, WhiteHat
Sentinel.
27. WAF musi posiadać mechanizmy normalizacji w celu obrony przed technikami ukrywania ataku
28. Urządzenie MUSI wspierać następujące tryby pracy:
a. Tryb wykrywania, logowania i blokowania ataków
b. Tryb wykrywania i logowania ataków bez blokowania
c. Tryb uczenia się bez blokowania
d. Tryb bez wykrywania i blokowania ataków
29. System musi posiadać co najmniej następujące interfejsy administracyjne:
a. GUI przy wykorzystaniu protokołu https
b. Zarządzanie poprzez SSH
c. Zarządzanie poprzez SOAP-SSL
d. Zarządzanie poprzez API REST
30. System musi posiadać następujące funkcje zarządzania siecią:
a. Obsługa protokołu SNMP v1/v2c/v3
b. Zewnętrzny syslog
c. Zbieranie danych i ich wyświetlanie
d. Zbieranie danych zgodnie z ustawieniami administratora
e. Osobna brama domyślna dla interfejsu zarządzającego
f. Wsparcie dla przynajmniej 2 wersji oprogramowania (multi-boot)
g. Zapisywanie konfiguracji (możliwość szyfrowania i eksportu kluczy)
h. Dedykowany podsystem monitorowania stanu pracy urządzenia (always on management)
z funkcjami restartu, wstrzymania oraz sprzętowego resetu systemu.
31. System musi obsługiwać sieci VLAN w standardzie 802.1q
32. System musi obsługiwać agregację linków w standardzie 802.3ad (LACP)
33. System musi posiadać funkcję integracji z zewnętrznymi serwerami uwierzytelnienia
użytkowników LDAP, RADIUS, TACACS.
MULTGENBANK
3
CZEŚĆ III – OPZ
34. System musi posiadać moduł analizy ruchu http.
35. Moduł powinien zbierać następujące metryki:
a. Czas odpowiedzi per serwer
b. Czas odpowiedzi per URI
c. Ilość sesji użytkownika
d. Przepustowość
e. Adres źródła
f. Kraj
g. User Agent
h. Metoda dostępu
36. Musi być dostarczony w formie klastra wysokiej dostępności (HA) pracującego w trybie active –
standby z możliwością realizacji trybu active-active oraz rozbudowy do klastra N+1
37. W ramach klastra musi istnieć możliwość jednoczesnego wykorzystania różnych modeli urządzeń
sprzętowych oraz maszyn wirtualnych
38. Klaster wysokiej dostępności musi zapewniać kopiowanie informacji o sesji SSL pomiędzy
urządzeniami, aby uniknąć ponownej negocjacji po przełączeniu ruchu
39. Klaster wysokiej dostępności musi zapewniać synchronizację:
a. Konfiguracji
b. Stanu połączeń
40. Wykrycie awarii urządzeń w instalowanym klastrze odbywać się musi przy użyciu, co najmniej
następujących metod:
a. Weryfikacja stanu pracy urządzenia poprzez analizę aktywności w sieci (Network failover)
b. Weryfikacji stanu pracy urządzenia poprzez interfejs szeregowy (serial failover)
Wymagania gwarancyjne i serwisowe
c.
Wymagana jest 5 letnia gwarancja producenta, wraz z aktualizacjami niezbędnymi do
zachowania pełnej funkcjonalności wymaganej w SIWZ.
d. Dostęp do aktualnych wersji oprogramowania oraz dokumentacji producenta przez cały
okres gwarancji.
e. Wymiana sprzętu następnego dnia roboczego.
41. Każde z urządzeń klastra musi spełniać wymogi przedstawione w tabeli poniżej
Lp.
Parametr
Wymagania
1.
Pamięć
Nie mniej niż 32GB
2.
Dysk twardy
Przepływność dla
warstwy 4
Przepływność dla
warstwy 7
Przepustowość
wewnętrznej
magistrali
Ilość
jednocześnie
obsługiwanych
połączeń
Ilość transakcji
SSL na sekundę
dla
klucza
o
długości 2048
Jeden dysk SSD o pojemności nie mniejszej niż 400GB
3.
4.
5.
6.
7.
Nie mniej niż 30 Gbps
Nie mniej niż 24 miliony
Nie mniej niż 10 tysięcy
MULTGENBANK
4
CZEŚĆ III – OPZ
Lp.
8.
9.
10.
11.
12.
13.
14.
15.
Parametr
Wymagania
Ilość
jednocześnie
Nie mniej niż 4 miliony
obsługiwanych
połączeń SSL
Przepływność
ruchu
szyfrowanego
Ilość
połączeń
na sekundę w Nie mniej niż 350 tysięcy
warstwie 4
Nie mniej niż cztery interfejsy 10/100/1000 Base-T, nie mniej niż osiem
Gęstość
interfejsów z możliwością obsadzenia wkładkami SFP+, oddzielny interfejs
interfejsów
zarządzania, port konsolowy, interfejs szeregowy failover, dwa porty USB
Należy zapewnić 2 wkładki 10 Gigabit Ethernet SFP+ SR
Panel i wyświetlacz LCD z funkcjami: ustawienia adresu IP na
potrzeby zarządzania, ustawienia parametrów portu szeregowego,
Zarządzanie
wyświetlania podstawowych alarmów, możliwości restartu urządzenia,
wyświetlania informacji o systemie
Funkcjonalność „Always On Management”
Przeznaczona do montażu w szafie rack 19”, wysokość nie większa niż
Obudowa
1U
Zasilanie
Nie mniej niż dwa redundantne zasilacze - prąd zmienny 230V AC
EN 300 386 V1.5.1 (2010-10)
EN 55022:2010
Wymagana
EN 61000-3-2:2006+A1:2009+A2:2009
certyfikacja
EN 61000-3-3:2008
EN 55024:2010
(lub równoważne)
Wymagania ogólne
Parametr
wymagania dla dostarczanego urządzenia
Status
urządzeń
Dostarczone urządzenia muszą być fabrycznie nowe (tzn. wyprodukowane nie
wcześniej, niż 6 miesięcy przed ich dostarczeniem). Wraz ze sprzętem
dostarczyć należy dokumenty od producenta potwierdzające datę produkcji
urządzeń;
Dostarczone urządzenia nie mogą być wcześniej używane, i muszą być
dostarczone w oryginalnych opakowaniach producenta;
Zamawiający dopuszcza możliwość zaoferowania przez Wykonawcę innego
urządzenia niż oferowanego w ofercie, o ile posiadać ono będzie lepsze
parametry niż wcześniej oferowane.
Dystrybucja
Całość dostarczanego sprzętu i oprogramowania musi pochodzić z oficjalnego
kanału sprzedaży producentów na rynek polski;
Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego
z dostarczonych produktów nie będzie stanowić naruszenia majątkowych praw
autorskich osób trzecich;
Zamawiający zastrzega sobie możliwość zwrócenia się do producentów
oferowanych produktów o potwierdzenie, że sprzęt i licencje nie były
przeznaczone dla innego odbiorcy (w tym także do przekazania producentowi
niezbędnych danych umożliwiających weryfikację).
Firmware
i
Zamawiający zastrzega sobie prawo sprawdzenia u producentów rodzaju
MULTGENBANK
5
CZEŚĆ III – OPZ
Parametr
wsparcie
wsparcia dla oferowanego rozwiązania;
Zamawiający wymaga, by Firmware był w wersji aktualnej na dzień
dostarczenia urządzeń;
Wykonawca zapewni Zamawiającemu dostęp do stron internetowych
producentów rozwiązań, umożliwiający:
pobieranie nowych wersji oprogramowania;
użycie narzędzi konfiguracyjnych;
dostęp do dokumentacji technicznej.
Wymagania
dodatkowe
Oferent zobowiązany jest zintegrować dostarczone urządzenie z istniejąca
infrastruktura.
Oferent zobowiązany jest dostarczyć wraz z oferta szczegółowa specyfikacje
techniczną dostarczanych urządzenia);
Zamawiający wyklucza możliwość jakiejkolwiek modyfikacji lub rozbudowy
urządzenia na drodze producent-Zamawiający. W szczególności Zamawiający
wyklucza możliwość użycia jakichkolwiek części, które nie zostały przebadane
przez producenta na okoliczność zgodności z oferowanym urządzeniem, a
przez to mogą wpłynąć negatywnie na warunki gwarancji.
Wymagane jest, aby producent oferowanego rozwiązania posiadał lokalną
organizację serwisową dysponującą certyfikatem na prowadzenie serwisu
zgodnie z ISO 9001 (lub równoważnym)
Oferent zobowiązany jest do przeprowadzenia instruktażu w języku polskim,
autoryzowanego przez producenta instalowanych urządzeń w zakresie
umożliwiającym samodzielna administracje dla 2 osób i potwierdzone
stosownym certyfikatem.
Charakterysty
ka wdrożenia:
wymagania
instalacyjne i
konfiguracyjne
Instalacja i uruchomienie dostarczonego sprzętu w serwerowych szafie typu
rack 19", wykonanie wszystkich niezbędnych połączeń okablowania sieciowego
i zasilającego.
Aktualizacja oprogramowania oferowanych urządzeń do najnowszych,
zalecanych przez producenta sprzętu wersji.
Podstawowe wymagania konfiguracyjne obejmują:
1. konfiguracje interfejsów sieciowych.
2. access-listy regulujące ruch pomiędzy wszystkimi interfejsami
3. techniki translacji adresów IP - mechanizmy nat i static (polecenia nat,
access-group, global, static)
4. restrykcje dostępu administracyjnego po SSH i HTTPS (m.in. polecenia:
http, ssh)
Konfiguracja klastra wysokiej dostępności usług z wykorzystaniem
mechanizmu Failover typu Active/Active, stateful failover po dedykowanym
interfejsie.
Konfiguracja usługi vpn w trybie remote access (dla zdalnych pracowników)
do 5 vlanów. Minimum trzy profile uprawnień (admini, pracownicy i goście),
MULTGENBANK
6
CZEŚĆ III – OPZ
Parametr
szczegóły do ustalenia na etapie tworzenia koncepcji.
Konfiguracja Clientless SSL VPN (WebVPN) dla dostępu z Internetu do dwóch
portali
Konfiguracja routingu pomiędzy podsieciami. Konfiguracja do wykonania na
wybranych interfejsach sieciowych firewalla.
Konfiguracja protokołu icmp - zezwolenie na komunikację icmp Echo Request i
Echo Reply pomiędzy wszystkimi interfejsami sieciowymi.
Konfiguracja backupu na zewnętrzny serwer FTP.
Konfiguracja pozostałych parametrów pracy urządzenia, nie wymienionych
powyżej, a uznanych przez Wykonawcę za istotne do skonfigurowania.
Zamawiający wymaga wykonania usługi kompleksowego wdrożenia
dostarczonych urządzeń w sieci komputerowej Zamawiającego.
Wykonawca we współpracy z Zamawiającym, przed pracami
wdrożeniowymi, opracuje w ramach dokumentacji technicznej
koncepcję konfiguracji urządzeń w celu przygotowania optymalnej
konfiguracji do pracy w środowisku sieciowym Zamawiającego
MULTGENBANK
7

Cz. III - Instytut Immunologii i Terapii Doświadczalnej PAN

Transkrypt

Podobne dokumenty

waf dla prasy.indd

Dostawa urządzenia firewall Juniper SRX

Badania przemysłowe i prace rozwojowe w zakresie innowacyjnych

Dotacje na innowacje. Inwestujemy w Waszą przyszłość.

306 KOMFORT CIEPLNY KOMFORT AKUSTYCZNY KOMFORT

Dotacja Unijna z Programu Operacyjnego Innowacyjna Gospodarka

Załącznik 21 do SWIZ „Dostawa licencji na oprogramowanie oraz

Zapytanie ofertowe dotyczące przeprowadzenia audytu