plik 83794
Transkrypt
plik 83794
Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) Szczegółowy Opis Przedmiotu Zamówienia I. Przedmiot Zamówienia. Przedmiotem zamówienia jest: 1. dostawa licencji oprogramowania do ochrony stacji końcowych, środowiska serwerowego oraz urządzeń mobilnych, zwanego dalej „Oprogramowaniem”, z 12 miesięcznym wsparciem technicznym producenta, 2. dostawa systemu do ochrony sieci i rozwiązań teleinformatycznych przed zaawansowanymi atakami typu APT, zwanego dalej „Systemem” wraz z 12 miesięcznym wsparciem technicznym producenta, 3. wdrożenie Oprogramowania i Systemu oraz przeprowadzenie instruktażu. Wymagana, minimalna funkcjonalność Oprogramowania: A. W zakresie ochrony stacji końcowych i środowiska serwerowego Oprogramowanie musi zapewniać minimum: 1. Oprogramowanie musi zapewniać ochronę systemów Windows XP/7/8.1/10 oraz Windows Server 2003/2008/2012. 2. Oprogramowanie musi zapewnić ochronę dla minimum: 2.1. 1400 stacji roboczych 2.2. 110 serwerów Windows 3. Oprogramowanie musi zapewniać ochronę całego systemu monitorowania i zarządzania z pojedynczej konsoli, zarówno po stronie administratora, jak i użytkownika końcowego. 4. Oprogramowanie musi zapewniać możliwość instalacji centralnej konsoli zarządzania stacjami oraz dostęp do niej niezależnie na kilku wybranych stacjach. 5. Aktualizacje baz definicji wirusów muszą być dostępne 24h na dobę na serwerze internetowym producenta. 6. Oprogramowanie musi zapewniać możliwość zarówno aktualizacji automatycznej programu, na żądanie, jak i ściągniecie plików i ręczną aktualizację na stacjach roboczych bez dostępu do Internetu. 7. Oprogramowanie musi zapewniać możliwość wywołania skanowania na żądanie lub według harmonogramu ustalonego przez administratorów dla określonych grup klientów za pomocą centralnej konsoli lub lokalnie przez określonego klienta. 8. Aktualizacja definicji wirusów czy też mechanizmów skanujących nie wymaga zatrzymania procesu skanowania na jakimkolwiek systemie operacyjnym. 9. Oprogramowanie musi wykorzystywać heurystyczną technologię do wykrywania nowych, nieznanych wirusów. 10. Oprogramowanie musi zapewniać wykrywanie niepożądanych aplikacji takich jak oprogramowanie typu „spyware", „adware", „keylogger”, „dialer”, „trojan”. 11. Oprogramowanie musi zapewniać automatyczne usuwanie wirusów oraz zgłaszanie alarmów w przypadku wykrycia wirusa. 12. Oprogramowanie musi pozwalać administratorowi na określenie reakcji w przypadku wykrycia wirusa. 13. Oprogramowanie musi pozwalać na określenie obszarów skanowania, tj.: pliki, katalogi, napędy lokalne i sieciowe. 14. Oprogramowanie musi pozwalać na określenie typów skanowanych plików, momentu ich skanowania (otwarcie, modyfikacja) oraz na wykluczenie ze skanowania określonych folderów. 15. Oprogramowanie musi zapewniać narzędzia pozwalające na automatyczne uruchamianie procedur naprawczych po wykryciu i usunięciu zagrożenia. 1 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 16. Oprogramowanie musi mieć możliwość ręcznego uruchomienia przez użytkownika skanowania pliku lub folderu. 17. Oprogramowanie musi generować automatyczne powiadomienia dla administratora z informacją o pojawiających się w Internecie zagrożeniach wraz z określeniem, czy stacja robocza jest odpowiednio zabezpieczona. 18. Oprogramowanie musi mieć możliwość kontroli oraz blokowania aplikacji próbujących uzyskać połączenie z internetem lub siecią lokalną. 19. Oprogramowanie musi zapewniać sprawdzanie w czasie rzeczywistym nieznanych aplikacji poprzez zapytania przesyłane do serwerów producenta. 20. Oprogramowanie musi posiadać możliwość zablokowania komunikacji z aplikacji typu „portable” (niewymagającej instalacji do pracy). 21. Oprogramowanie musi mieć możliwość aktualizacji oprogramowania antywirusowego na maszynie ze stacji sąsiadującej w sieci LAN. 22. Oprogramowanie musi wspierać protokół IPv6 na poziomie serwera oraz klientów. 23. Oprogramowanie musi zapewniać osobistą zaporę ogniową (tzw. personal firewall) z możliwością definiowania profili bezpieczeństwa możliwych do przypisania dla pojedynczej stacji roboczej lub grup roboczych. 24. Oprogramowanie musi zapewniać kontrolę połączeń wychodzących i przychodzących w komunikacji sieciowej z możliwością kontroli niestandardowych portów TCP. 25. Konfiguracja zaawansowanej zapory ogniowej musi umożliwiać stworzenie reguł opartych na numerze IP oraz zdefiniowanych uprzednio listach zawierających zbiory IP. 26. Zaawansowana zapora ogniowa musi umożliwiać tworzenie reguł w oparciu o podany przez administratora numer protokołu sieciowego i numer ramki. 27. Zaawansowana zapora ogniowa musi umożliwiać zdefiniowanie kierunku oraz trybu pracy (nadpisanie trybu detekcji niezależnie od konfiguracji). 28. Zaawansowana zapora ogniowa musi umożliwiać zdefiniowanie harmonogramu działania reguły oraz świadomości lokalizacji chronionego obiektu. 29. Oprogramowanie musi mieć możliwość analizy zdefragmentowanego ruchu sieciowego w warstwie aplikacyjnej. 30. Oprogramowanie musi posiadać wbudowaną, aktualizowaną przez producenta systemu bazę podatności systemów operacyjnych i aplikacji w celu usprawnienia procesu utrzymania bezpieczeństwa. 31. Oprogramowanie musi zapewniać automatyczną ochronę wykrytych podatności systemów i aplikacji bez konieczności instalowania poprawki producenta systemu operacyjnego lub aplikacji. 32. Oprogramowanie musi posiadać mechanizm skanowania systemów operacyjnych oraz aplikacji pod kątem podatności. 33. Reguły przeznaczone do ochrony podatności systemów operacyjnych lub aplikacji muszą być tworzone oraz aktualizowane przez producenta oferowanego systemu. 34. Oprogramowanie musi umożliwić utworzenie reguł sieciowych opartych na sygnaturze transmisji, elementach charakterystycznych (pattern) oraz XML. 35. Oprogramowanie musi posiadać możliwość definiowania harmonogramu działania reguły, kontekstu (świadomości lokalizacji). 36. Kontrola ruchu sieciowego musi mieć możliwość globalnego przełączania pomiędzy trybem blokowania oraz logowania. 37. Oprogramowanie musi umożliwiać dołączenie zarejestrowanej informacji pozwalającej na identyfikację danych, które wywołały zdarzenie. 38. Oprogramowanie musi umożliwiać łatwe oznaczanie (tagowanie) zdarzeń w tym automatyzacje tagowania. 39. Oprogramowanie musi pozwalać na tworzenie profili bezpieczeństwa oraz przydzielanie ich w kontrolowany sposób do pojedynczego obiektu lub grupy logicznej. 40. Oprogramowanie musi zapewniać szyfrowanie dysków i zasobów chronionych komputerów. 41. Oprogramowanie musi umożliwiać instalację, uruchomienie i zarządzanie wszystkimi komponentami w ramach jednego serwera zarządzającego. 2 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 42. Oprogramowanie musi umożliwiać uruchomienie serwera zarządzającego w strefie DMZ. 43. Oprogramowanie musi umożliwiać przenoszenie klientów pomiędzy grupami w konsoli administracyjnej wraz z dziedziczeniem ustawień. 44. Oprogramowanie musi umożliwiać zablokowanie zmian ustawień konfiguracyjnych klientów AV na stacjach roboczych w celu uniemożliwienia ich modyfikacji. 45. Oprogramowanie powiązane z konsolą zarządzającą musi posiadać funkcję przesyłania aktualizacji do klientów AV według określonego harmonogramu lub częstotliwości aktualizacji. 46. Oprogramowanie musi mieć możliwość wyznaczenia stacji, która będzie dla wyznaczonych agentów AV punktem dystrybuującym uaktualnienia i poprawki oprogramowania. 47. Oprogramowanie musi mieć możliwość zdefiniowania harmonogramu lub częstotliwości pobierania aktualizacji definicji wirusów od producenta oprogramowania. 48. Oprogramowanie musi mieć możliwość instalacji i konfiguracji wewnętrznego serwera aktualizacji, łączącego się z serwerem aktualizacji producenta udostępniającego aktualizacje dla: serwerów, serwera zarządzającego oraz stacji roboczych z wewnętrznego serwera aktualizacji. 49. Oprogramowanie musi mieć możliwość natychmiastowej aktualizacji przez serwer definicji wirusów na stacjach klienckich. 50. Oprogramowanie musi pozwalać na natychmiastowe alarmowanie aktywności wirusów w administrowanej sieci na kilka sposobów: poczta elektroniczna, powiadomienia przez SNMP, raportowanie do dziennika systemowego, raportowanie do systemu centralnego zarządzania. 51. Oprogramowanie musi posiadać możliwość instalacji oprogramowania na wielu stacjach roboczych oraz tworzenie delegatur administracyjnych z podziałem na jednostki organizacyjne. 52. Oprogramowanie musi posiadać możliwość wymuszenia zmiany konfiguracji przez serwer zarządzający, gdy użytkownik zmieni konfigurację agenta na stacji, (jeżeli zmiana taka jest dozwolona), co zdefiniowany określony przedział czasu. 53. Oprogramowanie musi posiadać możliwość zbudowania architektury rozproszonej – w celu zminimalizowania ruchu związanego z ściąganiem nowych szczepionek, instalacji nowych wersji oprogramowania, hot-fixow, service pack’ów, etc. klient instaluje nowe produkty z lokalnego repozytorium a raportuje bezpośrednio do serwera zarządzającego. 54. Oprogramowanie musi umożliwiać tworzenie ról administratorów o różnych stopniach uprawnień dla różnych komputerów lub grup komputerów oraz różnych produktów. 55. Oprogramowanie musi mieć możliwość integracji z MS Active Directory zarówno w rozumieniu powielenia struktury komputerów jak i autentykacji administratorów. 56. Oprogramowanie musi umożliwiać tworzenie struktur zarządzanych komputerów poprzez adresacje IP komputera, który podlega zarządzaniu. 57. Oprogramowanie musi umożliwiać tworzenie struktury repozytoriów oraz umożliwiać ich aktualizacje w zaplanowany sposób oraz automatycznie powiadamiać o statusie takiej aktualizacji za pomocą zdefiniowanego mechanizmu (SNMP, email). 58. Oprogramowanie musi mieć możliwość działania w klastrze HA. W przypadku awarii jednego node’a drugi musi umożliwiać dalszą pracę. B. 1. 2. 3. 4. 5. 6. 7. W zakresie ochrony urządzeń mobilnych Oprogramowanie musi zapewniać minimum: Oprogramowanie musi zapewnić ochronę dla minimum 200 urządzeń mobilnych. Oprogramowanie musi umożliwiać ochronę systemów operacyjnych Windows Mobile, iOS oraz Android, zarządzanymi z jednej, centralnej konsoli zarządzającej. Komunikacja z chronionymi urządzeniami mobilnymi musi być możliwa co najmniej poprzez dedykowane urządzenia mobilne lub dostawcę usług telekomunikacyjnych. Oprogramowanie musi umożliwiać zarządzanie aplikacjami zainstalowanymi na urządzeniach mobilnych. Oprogramowanie musi umożliwiać kontrolę aplikacji zainstalowanych na urządzeniach mobilnych. Oprogramowanie musi umożliwiać całkowite usunięcie danych w sposób zdalny. Oprogramowanie musi umożliwiać częściowe usunięcie danych (książka adresowa, poczta elektroniczna) w sposób zdalny. 3 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 18. 19. C. 1. 2. 3. 4. 5. Oprogramowanie musi umożliwiać reset hasła do telefonu w sposób zdalny. Oprogramowanie musi umożliwiać lokalizację telefonu w sposób zdalny. Oprogramowanie musi umożliwiać filtrowanie ruchu sieciowego na urządzeniu mobilnym. Oprogramowanie musi posiadać wbudowany system IDS zapewniający ochronę przed atakami typu DDoS. Oprogramowanie musi umożliwiać generowanie raportów wg zdefiniowanego harmonogramu. Zakres protokołowania zdarzeń musi obejmować co najmniej: 12.1 zdarzenia związanie ze złośliwym oprogramowaniem; 12.2 zdarzenia związanie z bezpieczeństwem stron internetowych; 12.3 zdarzenia związane z szyfrowaniem urządzeń; Oprogramowanie musi pozwalać na utworzenie lokalnego, (firmowego) sklepu z dozwolonymi aplikacjami ( Enterprise App Store). Oprogramowanie musi zapewniać integrację z usługą Active Directory. Oprogramowanie musi zawierać wbudowane mechanizmy weryfikacji reputacji stron internetowych dostępnych z urządzenia mobilnego. Administrator musi mieć możliwość przygotowania i zarządzania konfiguracją sieci bezprzewodowych, kont poczty elektronicznej oraz VPN z poziomu konsoli i przesłania uaktualnień na urządzenia końcowe w dowolnym momencie. Oprogramowanie musi zapewniać ochronę urządzeń mobilnych przed złośliwym oprogramowaniem z dostępem do baz danych producenta systemu w czasie rzeczywistym. Oprogramowanie musi mieć możliwość definiowania polityk haseł na urządzeniach dotyczących: 18.1 haseł administratora; 18.2 długości hasła; 18.3 komplikacji hasła (litery, cyfry); 18.4 daty wygaśnięcia; 18.5 historii haseł; Oprogramowanie musi umożliwiać definiowanie zasad szyfrowania zawartości urządzenia mobilnego. Oprogramowanie musi umożliwiać ograniczenie funkcjonalności urządzenia poprzez włączenie lub wyłączenie: 19.1 kamer lub aparatów znajdujących się w urządzeniu; 19.2 możliwości instalacji aplikacji; 19.3 synchronizacji w trybie roamingu; 19.4 możliwości wykonywania / odbierania połączeń GSM; 19.5 wymuszenia szyfrowania kopii danych; 19.6 dostępu do treści oznaczonych jako niepożądane; 19.7 komunikacji bluetooth; 19.8 dostępu do WLAN/Wi-Fi; 19.9 modułu GPS; W zakresie ochrony ruchu mailowego Oprogramowanie musi zapewniać minimum: Oprogramowanie musi zapewnić ochronę dla minimum: 1400 użytkowników oraz 2500 skrzynek pocztowych (skrzynki użytkowników + skrzynki techniczne). Oprogramowanie musi być dostarczone w formie gotowego (pre-instalowanego) urządzenia fizycznego lub wirtualnego, przy czym drugi musi umożliwiać pracę w środowisku VMware lub Hyper-V na dedykowanym serwerze. Interfejs zarządzający Oprogramowania musi być dostępny przez przeglądarkę internetową i połączenie https. Oprogramowanie musi umożliwiać skanowanie protokołów SMTP oraz POP3. Oprogramowanie musi umożliwiać pracę w trybie transparent bridge. 4 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 6. Oprogramowanie musi pozwalać na co najmniej dzienne aktualizacje baz sygnatur oraz mieć dostęp w czasie rzeczywistym do aktualnych sygnatur zlokalizowanych na serwerach producenta Oprogramowania. 7. Oprogramowanie musi wykrywać próby ataków typu PHISHING, SPAM, VIRUS, SPYWARE, DIRECTORY HARVEST. 8. Oprogramowanie musi umożliwiać odciążenie serwera poprzez włączenie wstępnego filtrowania poczty pod kątem zagrożeń na serwerach producenta platformy zabezpieczającej. Wstępne filtrowanie musi odbywać się bez wykorzystywania zasobów lokalnego serwera uruchomionego w chronionym środowisku informatycznym. 9. Oprogramowanie musi umożliwiać raportowanie do centralnego serwera zarządzającego oraz umożliwiać zarządzanie poprzez własną jak i centralną konsolę zarządzającą. 10. Oprogramowanie musi umożliwiać wysyłanie wiadomości SNMP oraz powiadomień w formie poczty elektronicznej dla zdefiniowanych zdarzeń oraz do zdefiniowanych odbiorców. 11. Oprogramowanie musi posiadać możliwość monitorowania z zewnątrz za pomocą SNMP. 12. Oprogramowanie musi posiadać centralną kwarantannę obsługiwaną przez administratora lub bezpośrednio przez użytkowników poprzez przeglądarkę zainstalowaną na odrębnym serwerze. 13. Oprogramowanie musi umożliwiać stworzenie kilku typów kwarantanny. 14. Oprogramowanie musi umożliwiać użytkownikowi wykorzystanie mechanizmów pojedynczego logowania w celu dostępu do kwarantanny. 15. Oprogramowanie musi posiadać mechanizmy automatycznego i regularnego (zgodnego z harmonogramem) powiadamiania użytkowników o zawartości kwarantanny oraz umożliwiać podejmowanie akcji na tej zawartości. 16. Oprogramowanie musi wykrywać obecność algorytmów kompresji używanych przez szkodliwe oprogramowanie i musi umożliwiać ich automatyczne skasowanie. 17. Oprogramowanie musi mieć możliwość konfiguracji w której wirusy lub ataki konkretnego typu (np. mass mailing) są zawsze usuwane bez powiadamiania użytkowników a wirusy innego typu są standardowo logowane. 18. Oprogramowanie musi umożliwiać integrację z zewnętrznym środowiskiem typu sandbox tego samego producenta w celu dokonywania zaawansowanej analizy załączników bez potrzeby wysyłania ich do producenta. Skanowanie w środowisku sandbox musi odbywać się wewnątrz chronionej infrastruktury informatycznej. Integracja musi polegać co najmniej na możliwości wysyłania podejrzanych załączników do zewnętrznego środowiska typu sandbox, odbieranie wyników analizy załączników z zewnętrznego środowiska sandbox oraz podejmowanie na podstawie otrzymanych wyników odpowiednich, zdefiniowanych akcji. 19. Oprogramowanie musi umożliwiać definiowanie administratorów o różnych rolach administracyjnych i różnych poziomach dostępu. 20. Oprogramowanie musi być wyposażone w moduł Antyspamowy zarządzany poprzez centralny serwer. 21. Oprogramowanie musi współpracować z serwerami LDAP pozwalając na stworzenie dokładnej polityki skanowania definiowanej za pomocą kryterium adres email lub np. grupy użytkowników w Active Directory. 22. Oprogramowanie musi współpracować z Microsoft Active Directory 2008, 2012. 23. Oprogramowanie musi współpracować z Lotus Domino 8.5 i nowszym. 24. Oprogramowanie musi obsługiwać białe listy adresów email, definiowane przez administratora oraz przez końcowych użytkowników. 25. Oprogramowanie musi obsługiwać technologie skanowania poczty elektronicznej oparte o listy RBL. 26. Oprogramowanie musi posiadać filtr reputacyjny badający przychodzącą pocztę (Usługi Potwierdzeń Reputacji producenta), poprzez wysyłanie odpowiednich zapytań do chmury reputacji producenta rozwiązania, będącej zbiorem skorelowanych reputacji co najmniej stron WWW, plików oraz adresów email. 27. Oprogramowanie musi umożliwiać skanowanie wychodzącej poczty pod kątem AV oraz heurystyki antyspamowej. 5 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 28. Oprogramowanie musi stosować techniki filtrowania ataków typu DHA, Bounced Mail, Spam, virus w warstwie trzeciej (Layer 3). 29. Oprogramowanie musi stosować filtry wykrywające spam w oparciu o techniki heurystyczne. 30. Oprogramowanie musi wykorzystywać DKIM. 31. Oprogramowanie musi pozwalać na zarządzanie listami domen wykorzystujących DKIM. 32. Oprogramowanie musi wykrywać i blokować mechanizmy podszywania się przez atakujących pod adresy wewnętrzne (adresy mailowe chronionego środowiska informatycznego). 33. Oprogramowanie musi pozwalać na pracę w systemie hybrydowym, wykorzystując istniejące rozwiązania wstępnych filtrów antyspam znajdujących się w chmurze SaaS. 34. Oprogramowanie powinno umożliwiać dokonanie zapytań pozwalających na analizowanie zdarzeń MTA włączając w to prace w systemie hybrydowym. 35. Oprogramowanie musi umożliwiać wykorzystanie wyrażeń regularnych do definiowania polityk zapobiegających wyciekowi danych. 36. Oprogramowanie musi stosować techniki filtrowania zawartości treści w oparciu o zdefiniowane słowa kluczowe. 37. Oprogramowanie musi pozwalać na definiowanie własnych nagłówków X-Headers. D. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. W zakresie ochrony ruchu webowego na bramie do Internetu Oprogramowanie musi zapewniać minimum: Oprogramowanie musi być dostarczone w formie gotowego (pre-instalowanego) urządzenia fizycznego lub wirtualnego, przy czym drugi musi umożliwiać pracę w środowisku VMware lub Hyper-V na dedykowanym serwerze. Oprogramowanie musi być kompatybilne z ESX oraz ESXi 6.0. Oprogramowanie musi wspierać mechanizmy VMotion VMware 6.0. Oprogramowanie musi wspierać Microsoft Server 2012 Hyper-V. Interfejs zarządzający Oprogramowania musi być dostępny przez przeglądarkę internetową za pomocą połączenia https. Oprogramowanie musi pozwalać na skanowanie protokołów ftp, http, https. Oprogramowanie musi posiadać możliwość pracy w trybie reverse-proxy, upstream-proxy, standalone, forward proxy, transparent bridge, ICAP, WCCP. Oprogramowanie musi wykrywać i blokować oprogramowanie szpiegujące typu spyware/greyware/malware w protokole http. Oprogramowanie musi wykrywać i blokować zagrożenia typu Phishing i Pharming w oparciu o Usługi Potwierdzeń Reputacji. Oprogramowanie musi umożliwiać blokowanie skryptów, apletów java oraz ActiveX. Oprogramowanie musi przechwytywać pliki skompresowane z możliwością następujących akcji: blokuj, przepuszczaj, użyj kwarantanny. Oprogramowanie musi skanować media strumieniowe oraz umożliwiać wyłączanie ze skanowania pewnych ich typów. Oprogramowanie musi umożliwiać blokowanie klientów Instant Messaging tunelowanych http. Oprogramowanie musi pozwalać na stworzenie dokładnej polityki skanowania w oparciu o adresację IP, hostname (http header) oraz użytkownika lub grupę w LDAP. Oprogramowanie musi wspierać usługi katalogowe Microsoft Active Directory 2008 i 2012. Oprogramowanie musi umożliwiać ustawianie Quoty dla użytkowników korzystających z WWW. Oprogramowanie musi umożliwiać kategoryzacje stron WWW. Oprogramowanie musi współpracować z serwerami LDAP pozwalając na stworzenie dokładnej polityki skanowania per IP/Hostname lub np. grupa użytkowników w Active Directory. Oprogramowanie musi umożliwiać wysyłanie wiadomości SNMP oraz powiadomień w formie poczty elektronicznej dla zdefiniowanych zdarzeń. Oprogramowanie musi raportować do centralnego serwera i zintegrowanego z oprogramowaniem systemowym oraz mieć możliwość zarządzania z pojedynczego punktu. 6 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 21. Oprogramowanie musi umożliwiać stworzenie raportów w czasie rzeczywistym o aktywnych użytkownikach lub aktualnie wizytowanych stronach WWW z podziałem na kategorię URL. 22. Oprogramowanie musi umożliwiać zapisywanie raportów do formatów csv lub pdf. 23. Oprogramowanie musi umożliwiać uaktywnienie Usługi Potwierdzeń Reputacji, pozwalającej na sprawdzanie co najmniej reputacji otwieranych przez użytkowników stron WWW poprzez wysyłanie odpowiednich zapytań do chmury reputacji producenta rozwiązania, będącej zbiorem skorelowanych reputacji co najmniej stron WWW, plików, adresów email oraz aplikacji mobilnych. 24. Oprogramowanie musi posiadać możliwość kontroli aplikacji korzystających z internetu, pozwalając administratorom monitorować i aktywnie zarządzać poprzez odpowiednie polityki. 25. Oprogramowanie musi pozwalać na podgląd zajętości łącza oraz ilości równoczesnych połączeń względem użytkowników oraz odpowiednich aplikacji korzystających z internetu. 26. Oprogramowanie musi zezwalać na inspekcję ruchu http oraz aktywne przeciwdziałanie na przykład poprzez nakładane polityki ograniczające użytkownikom transfer dużych plików, zamieszczania plików wideo na portalach społecznościowych. 27. Oprogramowanie musi zezwalać na zdefiniowanie czasu jaki użytkownicy mogą spędzić na przeglądaniu stron internetowych nie związanych bezpośrednio z charakterem wykonywanej pracy. 28. Oprogramowanie musi zezwalać na chwilowe wydłużenie czasu jaki użytkownicy mogą spędzić na przeglądaniu stron internetowych nie związanych z wykonywaną pracą. 29. Oprogramowanie musi umożliwiać bezpieczne rozszyfrowanie i skanowanie ruchu HTTPS dla zdefiniowanych kategorii stron internetowych. 30. Oprogramowanie musi umożliwiać pracę w trybie wysokiej dostępności (HA). 31. Oprogramowanie musi wykrywać wywołania wsteczne (callback) dla serwerów zarządzających (C&C) sieci botnetowych. 32. Oprogramowanie musi pozwalać na raportowanie zablokowanych wywołań do centralnej konsoli zarządzającej. 33. Oprogramowanie musi posiadać zaawansowane mechanizmy skanujące pobierane pliki i dokumenty w celu wykrycia dołączonego złośliwego kodu lub oprogramowania. 34. Oprogramowanie musi dostarczać raporty pozwalające na dokładną identyfikację docelowych użytkowników oraz grup. 35. Oprogramowanie musi pozwalać na konsolidację raportów z wielu rozproszonych instancji bez potrzeby instalowania dodatkowej centralnej konsoli zarządzającej. 36. Oprogramowanie musi umożliwiać synchronizację polityk oraz konfiguracji pomiędzy instancjami bez potrzeby instalacji dodatkowego oprogramowania. 37. Oprogramowanie musi umożliwiać synchronizację polityk oraz konfiguracji w sposób w pełni zautomatyzowany lub wymuszony ręcznie. 38. Oprogramowanie musi pozwalać na konfigurację polityk z centralnej konsoli zarządzającej bez potrzeby logowania się na konsolę bramy. 39. W przypadku korzystania przez użytkownika z Internetu bądź aplikacji wykorzystującej Internet Oprogramowanie musi pozwalać na zdefiniowanie treści powiadomienia naruszającego politykę. E. 1. 2. 3. 4. 5. W zakresie ochrony przed wyciekiem danych Oprogramowanie musi zapewniać minimum: Oprogramowanie musi zapewniać ochronę przed wyciekiem poufnych danych. Oprogramowanie musi umożliwiać monitorowanie i powiadamianie o incydentach wycieku danych w czasie rzeczywistym. W przypadku ochrony stacji roboczych moduł ochrony przed wyciekiem danych musi być zintegrowany z agentem antymalware a jego uruchomienie nie może wymagać instalacji dodatkowego agenta na chronionym komputerze. W przypadku ochrony realizowanej na bramie mailowej, bramie webowej oraz serwerze pocztowym moduł ochrony przed wyciekiem danych musi być integralną częścią odpowiednio bramy mailowej, bramy webowej oraz systemu ochrony serwera pocztowego. Oprogramowanie musi posiadać możliwość kontroli i ochrony danych wrażliwych przy wykorzystaniu co najmniej takich mechanizmów jak: 7 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 5.1. wyrażenia regularne: dane o określonej strukturze; 5.2. atrybuty plików: właściwości plików, takie jak typ i rozmiar; 5.3. słowa kluczowe: lista wrażliwych słów i wyrażeń. Oprogramowanie musi posiadać gotowe, dostarczane wraz z rozwiązaniem szablony wyrażeń regularnych pozwalające na kontrolę i ochronę danych typowych dla Polski (przykładowo numer dowodu, numer pesel). Oprogramowanie musi posiadać możliwość monitorowania i ochrony następujących kanałów transmisji: 7.1. klienci poczty elektronicznej; 7.2. protokół FTP; 7.3. protokoły HTTP i HTTPS; 7.4. aplikacje wiadomości błyskawicznych; 7.5. protokół SMB; 7.6. poczta elektroniczna dostępna poprzez stronę Web; 7.7. rejestratory Danych ( CD/DVD ); 7.8. aplikacje wymiany plików peer-to-peer; 7.9. drukarka; 7.10. magazyn wymienny; 7.11. schowek systemu Windows. Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Internet Explorer™ 8,9,10 i 11 (w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale). Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Mozilla Firefox (w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale). Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Chrome™ (w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale). Oprogramowanie musi obsługiwać pakiet Microsoft Office™ włącznie z wersją 2013 (w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale). Oprogramowanie musi umożliwiać podjęcie następujących czynności w przypadku wykrycia naruszenia polityki ochrony przed wyciekiem poufnych danych: 12.1. pomiń – program zapewnia i protokołuje transmisję 12.2. blokuj – program blokuje i protokołuje transmisję 12.3. powiadom – program wyświetla powiadomienie, aby poinformować użytkownika transmisji danych o umożliwieniu lub zablokowaniu transmisji 12.4. zachowanie danych rekordów – niezależnie od operacji podstawowej, program zapisze dane oznaczone jako naruszenie polityki do dalszej analizy. Oprogramowanie musi umożliwiać szczegółowe raportowanie wszystkich akcji oraz zapewniać możliwość generowania wykresów/diagramów/zestawień (logiczne filtrowanie informacji). Oprogramowanie musi posiadać możliwość wysyłania powiadomienia za pomocą poczty elektronicznej oraz pułapki SNMP. Oprogramowanie musi posiadać możliwość pracy agenta zainstalowanego na stacji użytkownika w trybie offline, bez kontaktu z serwerem zarządzającym. Oprogramowanie musi posiadać możliwość zapewnienia ochrony poprzez kontrolę urządzeń zewnętrznych oraz dostępu do pamięci masowych i zasobów sieciowych połączonych z komputerami. Oprogramowanie musi posiadać możliwość konfiguracji różnych reguł dla klientów pracujących wewnątrz firmy oraz poza siecią firmową. Oprogramowanie musi posiadać możliwość monitorowania: urządzeń pamięci masowej: 18.1. CD/DVD; 18.2. dysków Sieciowych; 18.3. urządzeń pamięci masowej USB; urządzeń innych niż pamięci masowe: 8 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 19. 20. 21. 22. 23. 24. 25. 18.4. portów COM i LPT; 18.5. interfejsów IEEE 1394; 18.6. urządzeń do przetwarzania obrazu; 18.7. modemów; 18.8. kart PCMCIA; 18.9. klawisza Print Screen; Oprogramowanie musi posiadać możliwość nadawania uprawnień kontroli dla urządzeń pamięci masowej takich jak: 19.1. pełny dostęp, w którym dozwolone są operacje takie jak: kopiowanie, przenoszenie, otwieranie, zapisywanie, usuwanie oraz wykonywanie; 19.2. modyfikacja, w której dozwolone są operacje takie jak: kopiowanie, przenoszenie, otwieranie, zapisywanie, usuwanie. Niedozwolona jest operacja wykonywania; 19.3. odczyt i wykonywanie, w których dozwolone są operacje takie jak: kopiowanie, otwieranie, wykonywanie. Niedozwolone są operacje takie jak: zapisywanie, przenoszenie, usuwanie; 19.4. odczyt, w którym dozwolone są operacje takie jak: kopiowanie i otwieranie; 19.5. niedozwolone są operacje takie jak: przenoszenie, zapisywanie, usuwanie oraz wykonywanie; 19.6. wyświetlanie zawartości urządzenia, w którym możliwe jest jedynie wylistowanie jego zawartości. Oprogramowanie musi umożliwiać utworzenie listy zatwierdzonych urządzeń pamięci masowej USB. Kontrola urządzeń musi umożliwiać blokowanie dostępu do wszystkich urządzeń pamięci masowej USB z wyjątkiem tych, które dodano do listy urządzeń zatwierdzonych. Dla tych urządzeń musi umożliwiać przyznanie pełnego dostępu lub ograniczyć poziom dostępu. Oprogramowanie musi umożliwiać określenie dostawcy podpisu cyfrowego. Oprogramowanie musi umożliwiać dowolną konfigurację treści powiadomień dla końcowego użytkownika. Oprogramowanie musi umożliwiać egzekwowanie polityk ochrony przed wyciekiem danych w następujących punktach infrastruktury informatycznej: 24.1. stacje użytkowników końcowych; 24.2. serwer poczty elektronicznej (obsługa przynajmniej serwerów Microsoft Exchange oraz IBM Lotus Domino); 24.3. brama kontrolująca ruch poczty elektronicznej; 24.4. brama kontrolująca ruch webowy. Oprogramowanie musi posiadać centralną konsolę zarządzającą pozwalającą na administracje funkcjonalnościami ochrony przed wyciekiem danych we wszystkich chronionych punktach infrastruktury informatycznej. Wszystkie elementy oferowanego Oprogramowania muszą pochodzić od jednego producenta. Zapewnienie funkcjonalności Systemu: A. W zakresie podstawowych funkcji System musi zapewniać minimum: 1. Ochronę sieci i rozwiązań teleinformatycznych przed zaawansowanymi atakami typu APT (Advanced Persistent Threat) mającymi na celu uniknięcie wykrycia przez obecne w infrastrukturze zamawiającego systemy zabezpieczające takie jak bramy pocztowe i webowe, systemy IPS/IDS czy oprogramowanie antywirusowe. 2. Do prawidłowej pracy nie może być wymagana instalacja dodatkowego oprogramowania na komputerach. 9 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 3. Identyfikację niebezpiecznej treści, komunikacji oraz zachowania atakującego lub zaawansowanego malware na każdym etapie pracy przy pomocy nie inwazyjnych metod skanowania na pełnym zakresie portów. 4. Monitorowanie minimum 100 protokołów na pełnym zakresie portów. 5. Zbieranie informacji na temat wykrytych adresów URL, które zostały uznane za bezpieczne w celu ich ponownej analizy w przyszłości. 6. Możliwość wyłączenia przesyłania danych o testowanych plikach (hash, suma kontrolna, SHA itp.) do chmury producenta. 7. Definiowanie typów plików na podstawie których próbki będą przekazywane do analizy w sandbox. 8. Rozwiązanie musi wspierać IPv6. 9. Analiza SANDBOX - dedykowana maszyna wirtualna (sandbox) uruchomiona w lokalnym systemie (na tym samym urządzeniu) musi pozwalać na samodzielne tworzenie przez administratora obrazów maszyn wirtualnych, w szczególności takich, które odpowiadają standardowej stacji roboczej lub serwerowej wykorzystywanej w infrastrukturze zamawiającego, co najmniej w zakresie: a) wersji językowej systemu, b) zainstalowanego oprogramowania typu MS Office, Adobe Reader czy Flash itd., c) wykorzystywanego firmowego klucza aktywacyjnego, d) używanego układu klawiatury. 9.1. Niezależność od architektury procesora (32/64bit) dla wspieranego systemu operacyjnego. 9.2. Automatyczne testowanie próbek na więcej niż jednej wybranej wersji systemu operacyjnego w celu uwzględnienia specyficznych potrzeb wynikających z różnic w infrastrukturze zamawiającego. 9.3. Dowolną ilość zmian konfiguracji sandbox bez potrzeby wsparcia producenta rozwiązania oraz ponoszenia dodatkowych kosztów. 9.4. Definiowanie warunków na podstawie których próbki będą przekazywane do analizy jako parametry: a) wykorzystywanego protokołu; b) adresu IP; c) kierunku komunikacji. 10. System musi pozwalać na centralizację i agregację informacji oraz automatyzację polityk w centralnym punkcie zarządzającym. 11. System musi umożliwiać flagowanie wykorzystania niestandardowych portów przez wykryte protokoły. 12. System musi umożliwiać identyfikację potencjalnie niebezpiecznego zachowania typu niestandardowe zapytania do baz SQL/Oracle. 13. System musi umożliwiać identyfikację błędnych logowań w monitorowanych sieciach. 14. System musi umożliwiać identyfikację maszyn świadczących kluczowe funkcje w chronionej sieci takie jak DNS, FTP, SMTP itd. oraz ich ewentualne flagowanie w przypadku braku obecności na liście zaaprobowanej przez administratora. 15. System musi umożliwiać pracę pozwalającą na łatwą identyfikację w środowiskach o zmiennej adresacji 16. System musi umożliwiać wielowarstwową korelację wykrytych zdarzeń w celu minimalizowania fałszywych alarmów. 17. System musi umożliwiać analizowanie ruchu sieciowego o natężeniu 250 Mb/s. 18. System ma być oparty na dedykowanej platformie sprzętowej (appliance) dostarczanej wraz z oprogramowaniem skanującym przez tego samego producenta. 19. Platformy sprzętowe muszą być przystosowane do instalacji w szafach montażowych 19”. B. W zakresie raportowania System musi zapewniać minimum: 10 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 1. 2. C. System musi generować raporty w trybie automatycznym: a. dzienne b. tygodniowe c. miesięczne System musi pozwalać na wpływanie na wygląd raportów. W zakresie analizy System musi zapewniać minimum: 1. Szczegółowa analiza nieznanych plików w dedykowanej maszynie wirtualnej (sandbox) raportującej proces wykonywania testowanej próbki, rejestrującej takie elementy jak: a. próby wykrywania działania w środowisku wirtualnym b. opis zmian w systemie operacyjnym: w rejestrze w systemie plików c. szczegóły połączeń sieciowych wykonywanych podczas testowania próbek łącznie z adresami URL oraz ilością połączeń 2. Analiza nie może wymagać przesyłania testowanych plików poza chronioną infrastrukturę. 3. Wykorzystywanie zaawansowanych technik reputacyjnych w celu zapewnienia odpowiedniego poziomu korelacji w czasie rzeczywistym oraz określania poziomu bezpieczeństwa znanych plików, bez konieczności analizowania ich w środowisku sandbox. 4. Prezentowanie w czasie rzeczywistym wyników pracy systemu łącznie z automatycznym zaznaczeniem priorytetowych/niebezpiecznych elementów infrastruktury zamawiającego. 5. Klasyfikacja i prezentacja wykrytych zdarzeń w zależności od stopnia powodowanego przez każde z nich zagrożenia. D. W zakresie zarzadzania System musi zapewniać minimum: 1. System musi zapewniać informację w zakresie: a. Krytycznych informacji na temat ataków na kluczowe elementy infrastruktury. b. Analizy zdarzenia, jego charakterystyki, zachowania, oraz wykorzystywanych metody komunikacji. c. Graficznej prezentacji geolokalizacji źródła zagrożenia. 2. System musi pozwalać na tworzenie filtrów oraz ich zapisywanie w celu późniejszego ponownego wykorzystania. 3. System musi pozwalać na tworzenie list zawierających krytyczne elementy infrastruktury w oparciu a automatyzację działania lub decyzje administratora. 4. W przypadku identyfikacji zagrożenia dostarczanie z działających w czasie rzeczywistym systemów zlokalizowanych w chmurze producenta informacji: a. pozwalającej na zrozumienie zasady działania zagrożenia b. występujących w Internecie innych mutacjach wykrytego zagrożenia c. o powiązanych plikach, adresach URL/IP oraz innych istotnych powiązaniach d. dystrybucji geograficznej, historycznych wykryć, branży i innych aktywności danego zagrożenia. e. rozłożonych w czasie etapów działania wykrytego zagrożenia f. na temat kluczowych elementów pozwalających na zdalną identyfikację złośliwego oprogramowania g. dotyczących sposobów usunięcia złośliwego oprogramowania z zainfekowanych stacji 5. System musi pozwalać na eksport i replikację ustawień / konfiguracji. 6. System musi pozwalać na tworzenie kont o ograniczonej funkcjonalności (np. tylko do odczytu). E. W zakresie integracji z innymi systemami, System musi zapewniać minimum: 11 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 1. System musi umożliwiać współpracę z rozwiązaniami typu SIEM. 2. System musi umożliwiać korelację wsteczną zdarzeń mającą na celu wykrycie w skali doby podejrzanych zachowań w monitorowanych sieciach. 3. Wyniki analizy sandbox muszą być zgodne z OpenIOC i pozwalać na integrację z rozwiązaniami firm trzecich. 4. System musi posiadać udokumentowane API oraz SDK. F. Dodatkowe funkcjonalności: II. Wdrożenie Oprogramowania i Systemu oraz przeprowadzenie instruktażu 1. W ramach wdrożenia Oprogramowania i Systemu Wykonawca zrealizuje: 1.1 Instalację i konfigurację Oprogramowanie i Systemu w zakresie: a. Instalacji dostarczonego rozwiązania na platformie serwerowej w środowisku Zamawiającego, b. Przygotowania nienadzorowanych instalacji oprogramowania na stacje końcowe, środowisko serwerowe oraz urządzenia mobilne, c. Wdrożenia mechanizmu szyfrowania urządzeń mobilnych. d. Instalacji i konfiguracji dostarczonego rozwiązania do ochrony bramy mailowej. e. Instalacji i konfiguracji dostarczonego rozwiązania ruchu webowego na bramie do Internetu. f. Instalacji i konfiguracji dostarczonego rozwiązania do ochrony sieci przed atakami typu APT w siedzibie Zamawiającego. 1.2 Opracowanie dokumentacji powdrożeniowej w zakresie: a) Procedury i instrukcji dotyczących instalacji konfiguracji oraz parametryzacji wdrożonego Oprogramowania i Systemu. b) Procedury i instrukcji wykonania kopii bezpieczeństwa i ich odtworzenia. c) Procedury i instrukcji aktualizacji i wdrażania poprawek. d) Procedury postępowania w razie wystąpienia błędów lub awarii wraz z formularzami zgłoszeniowymi i osobami kontaktowymi (nr tel., e-mail) do konsultacji rozwiązywania zaistniałych problemów. Dokumentacja musi być dostarczona przed produkcyjnym uruchomieniem rozwiązania. Zamawiający wymaga, aby cała dokumentacja, o której mowa powyżej, podlegała jego akceptacji. 2. W ramach instruktażu Zamawiający wymaga: a) Przeprowadzenia na rzecz Zamawiającego instruktażu dla 8 pracowników w grupach po 4 osoby. Tematyka instruktażu to administracja i obsługa dostarczonego rozwiązania. Każdy instruktaż w wymiarze minimum 3 dni robocze po 6 godzin zajęć efektywnych dziennie. b) Przeprowadzenia instruktażu w siedzibie Zamawiającego. c) Uzgodnienia terminu z Zamawiającym z co najmniej 2 dniowym wyprzedzeniem. d) Zapewnienia aby instruktaż przeprowadzony został przez wykwalifikowaną kadrę szkoleniową posiadającą wiedzę teoretyczną i praktyczną z zakresu przedmiotu zamówienia. e) Dostarczenia Zamawiającemu materiałów szkoleniowych w formie elektronicznej oraz papierowej. III. Gwarancja i wsparcie 1. Przedmiot zamówienia objęty będzie 12 miesięczną gwarancją i wsparciem producenta świadczonym w miejscu użytkowania systemu. 12 Umowa częściowo współfinansowana ze środków Unii Europejskiej BDG.V.2511.103.2015.KS Załącznik Nr 1 do SIWZ (po zawarciu umowy załącznik nr 3 do umowy) 2. W trakcie 12 miesięcy w ramach usługi wsparcia producenta, Zamawiający będzie uprawniony do pobierania nowych wersji oprogramowania które zostanie zaoferowane w ramach Zamówienia, 3. Usługa wsparcia producenta zapewni minimum : udzielanie odpowiedzi na podstawowe pytania dotyczące instalacji, używania i konfiguracji; bezpośrednie konsultacje telefoniczne z inżynierem producenta dotyczące bieżących problemów związanych z Oprogramowaniem i Systemem; analizę informacji diagnostycznych mająca na celu określenie przyczyny problemu, np. pomoc w interpretacji dokumentacji problemów związanych z instalacją lub kodem, w przypadku znanych defektów oprogramowania, przekazywanie informacji o sposobie ich usunięcia lub obejścia, a także udzielanie pomocy w uzyskaniu poprawek, do otrzymania których Zamawiający jest uprawniony w ramach posiadanej licencji, dostęp do telefonicznego wsparcia technicznego producenta oprogramowania w czasie podstawowego okresu dostępności centrum wsparcia dla oprogramowania (w dni robocze w godzinach 8:00 - 17:00), usunięcie wady, awarii lub usterki Oprogramowania i Systemu, w ciągu 24 godzin od momentu zgłoszenia, nieprzerwany i nieograniczony dostęp do zasobów elektronicznych, baz samopomocy, FAQ, baz wiedzy producenta oprogramowania. IV. Miejsce dostawy i instalacji zamówienia. Miejscem realizacji zamówienia jest siedziba Zamawiającego: Warszawa, ul. Wspólna 2/4. 13