plik 83794

Transkrypt

plik 83794

Umowa częściowo współfinansowana ze środków Unii Europejskiej
BDG.V.2511.103.2015.KS
Załącznik Nr 1 do SIWZ
(po zawarciu umowy załącznik nr 3 do umowy)
Szczegółowy Opis Przedmiotu Zamówienia
I.
Przedmiot Zamówienia.
Przedmiotem zamówienia jest:
1. dostawa licencji oprogramowania do ochrony stacji końcowych, środowiska serwerowego oraz
urządzeń mobilnych, zwanego dalej „Oprogramowaniem”, z 12 miesięcznym wsparciem
technicznym producenta,
2. dostawa systemu do ochrony sieci i rozwiązań teleinformatycznych przed zaawansowanymi
atakami typu APT, zwanego dalej „Systemem” wraz z 12 miesięcznym wsparciem
technicznym producenta,
3. wdrożenie Oprogramowania i Systemu oraz przeprowadzenie instruktażu.
Wymagana, minimalna funkcjonalność Oprogramowania:
A.
W zakresie ochrony stacji końcowych i środowiska serwerowego Oprogramowanie musi
zapewniać minimum:
1. Oprogramowanie musi zapewniać ochronę systemów Windows XP/7/8.1/10 oraz Windows Server
2003/2008/2012.
2. Oprogramowanie musi zapewnić ochronę dla minimum:
2.1. 1400 stacji roboczych
2.2. 110 serwerów Windows
3. Oprogramowanie musi zapewniać ochronę całego systemu monitorowania i zarządzania
z pojedynczej konsoli, zarówno po stronie administratora, jak i użytkownika końcowego.
4. Oprogramowanie musi zapewniać możliwość instalacji centralnej konsoli zarządzania stacjami
oraz dostęp do niej niezależnie na kilku wybranych stacjach.
5. Aktualizacje baz definicji wirusów muszą być dostępne 24h na dobę na serwerze internetowym
producenta.
6. Oprogramowanie musi zapewniać możliwość zarówno aktualizacji automatycznej programu, na
żądanie, jak i ściągniecie plików i ręczną aktualizację na stacjach roboczych bez dostępu do
Internetu.
7. Oprogramowanie musi zapewniać możliwość wywołania skanowania na żądanie lub według
harmonogramu ustalonego przez administratorów dla określonych grup klientów za pomocą
centralnej konsoli lub lokalnie przez określonego klienta.
8. Aktualizacja definicji wirusów czy też mechanizmów skanujących nie wymaga zatrzymania
procesu skanowania na jakimkolwiek systemie operacyjnym.
9. Oprogramowanie musi wykorzystywać heurystyczną technologię do wykrywania nowych,
nieznanych wirusów.
10. Oprogramowanie musi zapewniać wykrywanie niepożądanych aplikacji takich jak oprogramowanie
typu „spyware", „adware", „keylogger”, „dialer”, „trojan”.
11. Oprogramowanie musi zapewniać automatyczne usuwanie wirusów oraz zgłaszanie alarmów
w przypadku wykrycia wirusa.
12. Oprogramowanie musi pozwalać administratorowi na określenie reakcji w przypadku wykrycia
wirusa.
13. Oprogramowanie musi pozwalać na określenie obszarów skanowania, tj.: pliki, katalogi, napędy
lokalne i sieciowe.
14. Oprogramowanie musi pozwalać na określenie typów skanowanych plików, momentu ich
skanowania (otwarcie, modyfikacja) oraz na wykluczenie ze skanowania określonych folderów.
15. Oprogramowanie musi zapewniać narzędzia pozwalające na automatyczne uruchamianie
procedur naprawczych po wykryciu i usunięciu zagrożenia.
1
BDG.V.2511.103.2015.KS
16. Oprogramowanie musi mieć możliwość ręcznego uruchomienia przez użytkownika skanowania
pliku lub folderu.
17. Oprogramowanie musi generować automatyczne powiadomienia dla administratora z informacją
o pojawiających się w Internecie zagrożeniach wraz z określeniem, czy stacja robocza jest
odpowiednio zabezpieczona.
18. Oprogramowanie musi mieć możliwość kontroli oraz blokowania aplikacji próbujących uzyskać
połączenie z internetem lub siecią lokalną.
19. Oprogramowanie musi zapewniać sprawdzanie w czasie rzeczywistym nieznanych aplikacji
poprzez zapytania przesyłane do serwerów producenta.
20. Oprogramowanie musi posiadać możliwość zablokowania komunikacji z aplikacji typu „portable”
(niewymagającej instalacji do pracy).
21. Oprogramowanie musi mieć możliwość aktualizacji oprogramowania antywirusowego na
maszynie ze stacji sąsiadującej w sieci LAN.
22. Oprogramowanie musi wspierać protokół IPv6 na poziomie serwera oraz klientów.
23. Oprogramowanie musi zapewniać osobistą zaporę ogniową (tzw. personal firewall) z możliwością
definiowania profili bezpieczeństwa możliwych do przypisania dla pojedynczej stacji roboczej lub
grup roboczych.
24. Oprogramowanie musi zapewniać kontrolę połączeń wychodzących i przychodzących
w komunikacji sieciowej z możliwością kontroli niestandardowych portów TCP.
25. Konfiguracja zaawansowanej zapory ogniowej musi umożliwiać stworzenie reguł opartych na
numerze IP oraz zdefiniowanych uprzednio listach zawierających zbiory IP.
26. Zaawansowana zapora ogniowa musi umożliwiać tworzenie reguł w oparciu o podany przez
administratora numer protokołu sieciowego i numer ramki.
27. Zaawansowana zapora ogniowa musi umożliwiać zdefiniowanie kierunku oraz trybu pracy
(nadpisanie trybu detekcji niezależnie od konfiguracji).
28. Zaawansowana zapora ogniowa musi umożliwiać zdefiniowanie harmonogramu działania reguły
oraz świadomości lokalizacji chronionego obiektu.
29. Oprogramowanie musi mieć możliwość analizy zdefragmentowanego ruchu sieciowego
w warstwie aplikacyjnej.
30. Oprogramowanie musi posiadać wbudowaną, aktualizowaną przez producenta systemu bazę
podatności systemów operacyjnych i aplikacji w celu usprawnienia procesu utrzymania
bezpieczeństwa.
31. Oprogramowanie musi zapewniać automatyczną ochronę wykrytych podatności systemów
i aplikacji bez konieczności instalowania poprawki producenta systemu operacyjnego lub aplikacji.
32. Oprogramowanie musi posiadać mechanizm skanowania systemów operacyjnych oraz aplikacji
pod kątem podatności.
33. Reguły przeznaczone do ochrony podatności systemów operacyjnych lub aplikacji muszą być
tworzone oraz aktualizowane przez producenta oferowanego systemu.
34. Oprogramowanie musi umożliwić utworzenie reguł sieciowych opartych na sygnaturze transmisji,
elementach charakterystycznych (pattern) oraz XML.
35. Oprogramowanie musi posiadać możliwość definiowania harmonogramu działania reguły,
kontekstu (świadomości lokalizacji).
36. Kontrola ruchu sieciowego musi mieć możliwość globalnego przełączania pomiędzy trybem
blokowania oraz logowania.
37. Oprogramowanie musi umożliwiać dołączenie zarejestrowanej informacji pozwalającej na
identyfikację danych, które wywołały zdarzenie.
38. Oprogramowanie musi umożliwiać łatwe oznaczanie (tagowanie) zdarzeń w tym automatyzacje
tagowania.
39. Oprogramowanie musi pozwalać na tworzenie profili bezpieczeństwa oraz przydzielanie ich
w kontrolowany sposób do pojedynczego obiektu lub grupy logicznej.
40. Oprogramowanie musi zapewniać szyfrowanie dysków i zasobów chronionych komputerów.
41. Oprogramowanie musi umożliwiać instalację, uruchomienie i zarządzanie wszystkimi
komponentami w ramach jednego serwera zarządzającego.
2
BDG.V.2511.103.2015.KS
42. Oprogramowanie musi umożliwiać uruchomienie serwera zarządzającego w strefie DMZ.
43. Oprogramowanie musi umożliwiać przenoszenie klientów pomiędzy grupami w konsoli
administracyjnej wraz z dziedziczeniem ustawień.
44. Oprogramowanie musi umożliwiać zablokowanie zmian ustawień konfiguracyjnych klientów AV na
stacjach roboczych w celu uniemożliwienia ich modyfikacji.
45. Oprogramowanie powiązane z konsolą zarządzającą musi posiadać funkcję przesyłania
aktualizacji do klientów AV według określonego harmonogramu lub częstotliwości aktualizacji.
46. Oprogramowanie musi mieć możliwość wyznaczenia stacji, która będzie dla wyznaczonych
agentów AV punktem dystrybuującym uaktualnienia i poprawki oprogramowania.
47. Oprogramowanie musi mieć możliwość zdefiniowania harmonogramu lub częstotliwości
pobierania aktualizacji definicji wirusów od producenta oprogramowania.
48. Oprogramowanie musi mieć możliwość instalacji i konfiguracji wewnętrznego serwera aktualizacji,
łączącego się z serwerem aktualizacji producenta udostępniającego aktualizacje dla: serwerów,
serwera zarządzającego oraz stacji roboczych z wewnętrznego serwera aktualizacji.
49. Oprogramowanie musi mieć możliwość natychmiastowej aktualizacji przez serwer definicji
wirusów na stacjach klienckich.
50. Oprogramowanie musi pozwalać na natychmiastowe alarmowanie aktywności wirusów
w administrowanej sieci na kilka sposobów: poczta elektroniczna, powiadomienia przez SNMP,
raportowanie do dziennika systemowego, raportowanie do systemu centralnego zarządzania.
51. Oprogramowanie musi posiadać możliwość instalacji oprogramowania na wielu stacjach
roboczych oraz tworzenie delegatur administracyjnych z podziałem na jednostki organizacyjne.
52. Oprogramowanie musi posiadać możliwość wymuszenia zmiany konfiguracji przez serwer
zarządzający, gdy użytkownik zmieni konfigurację agenta na stacji, (jeżeli zmiana taka jest
dozwolona), co zdefiniowany określony przedział czasu.
53. Oprogramowanie musi posiadać możliwość zbudowania architektury rozproszonej – w celu
zminimalizowania ruchu związanego z ściąganiem nowych szczepionek, instalacji nowych wersji
oprogramowania, hot-fixow, service pack’ów, etc. klient instaluje nowe produkty z lokalnego
repozytorium a raportuje bezpośrednio do serwera zarządzającego.
54. Oprogramowanie musi umożliwiać tworzenie ról administratorów o różnych stopniach uprawnień
dla różnych komputerów lub grup komputerów oraz różnych produktów.
55. Oprogramowanie musi mieć możliwość integracji z MS Active Directory zarówno
w rozumieniu powielenia struktury komputerów jak i autentykacji administratorów.
56. Oprogramowanie musi umożliwiać tworzenie struktur zarządzanych komputerów poprzez
adresacje IP komputera, który podlega zarządzaniu.
57. Oprogramowanie musi umożliwiać tworzenie struktury repozytoriów oraz umożliwiać ich
aktualizacje w zaplanowany sposób oraz automatycznie powiadamiać o statusie takiej aktualizacji
za pomocą zdefiniowanego mechanizmu (SNMP, email).
58. Oprogramowanie musi mieć możliwość działania w klastrze HA. W przypadku awarii jednego
node’a drugi musi umożliwiać dalszą pracę.
B.
1.
2.
3.
4.
5.
6.
7.
W zakresie ochrony urządzeń mobilnych Oprogramowanie musi zapewniać minimum:
Oprogramowanie musi zapewnić ochronę dla minimum 200 urządzeń mobilnych.
Oprogramowanie musi umożliwiać ochronę systemów operacyjnych Windows Mobile, iOS oraz
Android, zarządzanymi z jednej, centralnej konsoli zarządzającej.
Komunikacja z chronionymi urządzeniami mobilnymi musi być możliwa co najmniej poprzez
dedykowane urządzenia mobilne lub dostawcę usług telekomunikacyjnych.
Oprogramowanie musi umożliwiać zarządzanie aplikacjami zainstalowanymi na urządzeniach
mobilnych.
Oprogramowanie musi umożliwiać kontrolę aplikacji zainstalowanych na urządzeniach mobilnych.
Oprogramowanie musi umożliwiać całkowite usunięcie danych w sposób zdalny.
Oprogramowanie musi umożliwiać częściowe usunięcie danych (książka adresowa, poczta
elektroniczna) w sposób zdalny.
3
BDG.V.2511.103.2015.KS
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
18.
19.
C.
1.
2.
3.
4.
5.
Oprogramowanie musi umożliwiać reset hasła do telefonu w sposób zdalny.
Oprogramowanie musi umożliwiać lokalizację telefonu w sposób zdalny.
Oprogramowanie musi umożliwiać filtrowanie ruchu sieciowego na urządzeniu mobilnym.
Oprogramowanie musi posiadać wbudowany system IDS zapewniający ochronę przed atakami
typu DDoS.
Oprogramowanie musi umożliwiać generowanie raportów wg zdefiniowanego harmonogramu.
Zakres protokołowania zdarzeń musi obejmować co najmniej:
12.1
zdarzenia związanie ze złośliwym oprogramowaniem;
12.2
zdarzenia związanie z bezpieczeństwem stron internetowych;
12.3
zdarzenia związane z szyfrowaniem urządzeń;
Oprogramowanie musi pozwalać na utworzenie lokalnego, (firmowego) sklepu z dozwolonymi
aplikacjami ( Enterprise App Store).
Oprogramowanie musi zapewniać integrację z usługą Active Directory.
Oprogramowanie musi zawierać wbudowane mechanizmy weryfikacji reputacji stron
internetowych dostępnych z urządzenia mobilnego.
Administrator musi mieć możliwość przygotowania i zarządzania konfiguracją sieci
bezprzewodowych, kont poczty elektronicznej oraz VPN z poziomu konsoli i przesłania
uaktualnień na urządzenia końcowe w dowolnym momencie.
Oprogramowanie musi zapewniać ochronę urządzeń mobilnych przed złośliwym
oprogramowaniem z dostępem do baz danych producenta systemu w czasie rzeczywistym.
Oprogramowanie musi mieć możliwość definiowania polityk haseł na urządzeniach dotyczących:
18.1
haseł administratora;
18.2
długości hasła;
18.3
komplikacji hasła (litery, cyfry);
18.4
daty wygaśnięcia;
18.5
historii haseł;
Oprogramowanie musi umożliwiać definiowanie zasad szyfrowania zawartości urządzenia
mobilnego.
Oprogramowanie musi umożliwiać ograniczenie funkcjonalności urządzenia poprzez włączenie
lub wyłączenie:
19.1
kamer lub aparatów znajdujących się w urządzeniu;
19.2
możliwości instalacji aplikacji;
19.3
synchronizacji w trybie roamingu;
19.4
możliwości wykonywania / odbierania połączeń GSM;
19.5
wymuszenia szyfrowania kopii danych;
19.6
dostępu do treści oznaczonych jako niepożądane;
19.7
komunikacji bluetooth;
19.8
dostępu do WLAN/Wi-Fi;
19.9
modułu GPS;
W zakresie ochrony ruchu mailowego Oprogramowanie musi zapewniać minimum:
Oprogramowanie musi zapewnić ochronę dla minimum: 1400 użytkowników oraz 2500 skrzynek
pocztowych (skrzynki użytkowników + skrzynki techniczne).
Oprogramowanie musi być dostarczone w formie gotowego (pre-instalowanego) urządzenia
fizycznego lub wirtualnego, przy czym drugi musi umożliwiać pracę w środowisku VMware lub
Hyper-V na dedykowanym serwerze.
Interfejs zarządzający Oprogramowania musi być dostępny przez przeglądarkę internetową
i połączenie https.
Oprogramowanie musi umożliwiać skanowanie protokołów SMTP oraz POP3.
Oprogramowanie musi umożliwiać pracę w trybie transparent bridge.
4
BDG.V.2511.103.2015.KS
6. Oprogramowanie musi pozwalać na co najmniej dzienne aktualizacje baz sygnatur oraz mieć
dostęp w czasie rzeczywistym do aktualnych sygnatur zlokalizowanych na serwerach producenta
Oprogramowania.
7. Oprogramowanie musi wykrywać próby ataków typu PHISHING, SPAM, VIRUS, SPYWARE,
DIRECTORY HARVEST.
8. Oprogramowanie musi umożliwiać odciążenie serwera poprzez włączenie wstępnego filtrowania
poczty pod kątem zagrożeń na serwerach producenta platformy zabezpieczającej. Wstępne
filtrowanie musi odbywać się bez wykorzystywania zasobów lokalnego serwera uruchomionego w
chronionym środowisku informatycznym.
9. Oprogramowanie musi umożliwiać raportowanie do centralnego serwera zarządzającego oraz
umożliwiać zarządzanie poprzez własną jak i centralną konsolę zarządzającą.
10. Oprogramowanie musi umożliwiać wysyłanie wiadomości SNMP oraz powiadomień w formie
poczty elektronicznej dla zdefiniowanych zdarzeń oraz do zdefiniowanych odbiorców.
11. Oprogramowanie musi posiadać możliwość monitorowania z zewnątrz za pomocą SNMP.
12. Oprogramowanie musi posiadać centralną kwarantannę obsługiwaną przez administratora lub
bezpośrednio przez użytkowników poprzez przeglądarkę zainstalowaną na odrębnym serwerze.
13. Oprogramowanie musi umożliwiać stworzenie kilku typów kwarantanny.
14. Oprogramowanie musi umożliwiać użytkownikowi wykorzystanie mechanizmów pojedynczego
logowania w celu dostępu do kwarantanny.
15. Oprogramowanie musi posiadać mechanizmy automatycznego i regularnego (zgodnego
z harmonogramem) powiadamiania użytkowników o zawartości kwarantanny oraz umożliwiać
podejmowanie akcji na tej zawartości.
16. Oprogramowanie musi wykrywać obecność algorytmów kompresji używanych przez szkodliwe
oprogramowanie i musi umożliwiać ich automatyczne skasowanie.
17. Oprogramowanie musi mieć możliwość konfiguracji w której wirusy lub ataki konkretnego typu (np.
mass mailing) są zawsze usuwane bez powiadamiania użytkowników a wirusy innego typu są
standardowo logowane.
18. Oprogramowanie musi umożliwiać integrację z zewnętrznym środowiskiem typu sandbox tego
samego producenta w celu dokonywania zaawansowanej analizy załączników bez potrzeby
wysyłania ich do producenta. Skanowanie w środowisku sandbox musi odbywać się wewnątrz
chronionej infrastruktury informatycznej. Integracja musi polegać co najmniej na możliwości
wysyłania podejrzanych załączników do zewnętrznego środowiska typu sandbox, odbieranie
wyników analizy załączników z zewnętrznego środowiska sandbox oraz podejmowanie na
podstawie otrzymanych wyników odpowiednich, zdefiniowanych akcji.
19. Oprogramowanie musi umożliwiać definiowanie administratorów o różnych rolach
administracyjnych i różnych poziomach dostępu.
20. Oprogramowanie musi być wyposażone w moduł Antyspamowy zarządzany poprzez centralny
serwer.
21. Oprogramowanie musi współpracować z serwerami LDAP pozwalając na stworzenie dokładnej
polityki skanowania definiowanej za pomocą kryterium adres email lub np. grupy użytkowników
w Active Directory.
22. Oprogramowanie musi współpracować z Microsoft Active Directory 2008, 2012.
23. Oprogramowanie musi współpracować z Lotus Domino 8.5 i nowszym.
24. Oprogramowanie musi obsługiwać białe listy adresów email, definiowane przez administratora
oraz przez końcowych użytkowników.
25. Oprogramowanie musi obsługiwać technologie skanowania poczty elektronicznej oparte o listy
RBL.
26. Oprogramowanie musi posiadać filtr reputacyjny badający przychodzącą pocztę (Usługi
Potwierdzeń Reputacji producenta), poprzez wysyłanie odpowiednich zapytań do chmury reputacji
producenta rozwiązania, będącej zbiorem skorelowanych reputacji co najmniej stron WWW,
plików oraz adresów email.
27. Oprogramowanie musi umożliwiać skanowanie wychodzącej poczty pod kątem AV oraz heurystyki
antyspamowej.
5
BDG.V.2511.103.2015.KS
28. Oprogramowanie musi stosować techniki filtrowania ataków typu DHA, Bounced Mail, Spam, virus
w warstwie trzeciej (Layer 3).
29. Oprogramowanie musi stosować filtry wykrywające spam w oparciu o techniki heurystyczne.
30. Oprogramowanie musi wykorzystywać DKIM.
31. Oprogramowanie musi pozwalać na zarządzanie listami domen wykorzystujących DKIM.
32. Oprogramowanie musi wykrywać i blokować mechanizmy podszywania się przez atakujących pod
adresy wewnętrzne (adresy mailowe chronionego środowiska informatycznego).
33. Oprogramowanie musi pozwalać na pracę w systemie hybrydowym, wykorzystując istniejące
rozwiązania wstępnych filtrów antyspam znajdujących się w chmurze SaaS.
34. Oprogramowanie powinno umożliwiać dokonanie zapytań pozwalających na analizowanie
zdarzeń MTA włączając w to prace w systemie hybrydowym.
35. Oprogramowanie musi umożliwiać wykorzystanie wyrażeń regularnych do definiowania polityk
zapobiegających wyciekowi danych.
36. Oprogramowanie musi stosować techniki filtrowania zawartości treści w oparciu o zdefiniowane
słowa kluczowe.
37. Oprogramowanie musi pozwalać na definiowanie własnych nagłówków X-Headers.
D.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
W zakresie ochrony ruchu webowego na bramie do Internetu Oprogramowanie musi
zapewniać minimum:
Oprogramowanie musi być dostarczone w formie gotowego (pre-instalowanego) urządzenia
fizycznego lub wirtualnego, przy czym drugi musi umożliwiać pracę w środowisku VMware lub
Hyper-V na dedykowanym serwerze.
Oprogramowanie musi być kompatybilne z ESX oraz ESXi 6.0.
Oprogramowanie musi wspierać mechanizmy VMotion VMware 6.0.
Oprogramowanie musi wspierać Microsoft Server 2012 Hyper-V.
Interfejs zarządzający Oprogramowania musi być dostępny przez przeglądarkę internetową za
pomocą połączenia https.
Oprogramowanie musi pozwalać na skanowanie protokołów ftp, http, https.
Oprogramowanie musi posiadać możliwość pracy w trybie reverse-proxy, upstream-proxy,
standalone, forward proxy, transparent bridge, ICAP, WCCP.
Oprogramowanie musi wykrywać
i blokować oprogramowanie szpiegujące typu
spyware/greyware/malware w protokole http.
Oprogramowanie musi wykrywać i blokować zagrożenia typu Phishing i Pharming w oparciu
o Usługi Potwierdzeń Reputacji.
Oprogramowanie musi umożliwiać blokowanie skryptów, apletów java oraz ActiveX.
Oprogramowanie musi przechwytywać pliki skompresowane z możliwością następujących akcji:
blokuj, przepuszczaj, użyj kwarantanny.
Oprogramowanie musi skanować media strumieniowe oraz umożliwiać wyłączanie ze skanowania
pewnych ich typów.
Oprogramowanie musi umożliwiać blokowanie klientów Instant Messaging tunelowanych http.
Oprogramowanie musi pozwalać na stworzenie dokładnej polityki skanowania w oparciu
o adresację IP, hostname (http header) oraz użytkownika lub grupę w LDAP.
Oprogramowanie musi wspierać usługi katalogowe Microsoft Active Directory 2008 i 2012.
Oprogramowanie musi umożliwiać ustawianie Quoty dla użytkowników korzystających z WWW.
Oprogramowanie musi umożliwiać kategoryzacje stron WWW.
Oprogramowanie musi współpracować z serwerami LDAP pozwalając na stworzenie dokładnej
polityki skanowania per IP/Hostname lub np. grupa użytkowników w Active Directory.
Oprogramowanie musi umożliwiać wysyłanie wiadomości SNMP oraz powiadomień w formie
poczty elektronicznej dla zdefiniowanych zdarzeń.
Oprogramowanie musi raportować do centralnego serwera i zintegrowanego z oprogramowaniem
systemowym oraz mieć możliwość zarządzania z pojedynczego punktu.
6
BDG.V.2511.103.2015.KS
21. Oprogramowanie musi umożliwiać stworzenie raportów w czasie rzeczywistym o aktywnych
użytkownikach lub aktualnie wizytowanych stronach WWW z podziałem na kategorię URL.
22. Oprogramowanie musi umożliwiać zapisywanie raportów do formatów csv lub pdf.
23. Oprogramowanie musi umożliwiać uaktywnienie Usługi Potwierdzeń Reputacji, pozwalającej na
sprawdzanie co najmniej reputacji otwieranych przez użytkowników stron WWW poprzez
wysyłanie odpowiednich zapytań do chmury reputacji producenta rozwiązania, będącej zbiorem
skorelowanych reputacji co najmniej stron WWW, plików, adresów email oraz aplikacji mobilnych.
24. Oprogramowanie musi posiadać możliwość kontroli aplikacji korzystających z internetu,
pozwalając administratorom monitorować i aktywnie zarządzać poprzez odpowiednie polityki.
25. Oprogramowanie musi pozwalać na podgląd zajętości łącza oraz ilości równoczesnych połączeń
względem użytkowników oraz odpowiednich aplikacji korzystających z internetu.
26. Oprogramowanie musi zezwalać na inspekcję ruchu http oraz aktywne przeciwdziałanie na
przykład poprzez nakładane polityki ograniczające użytkownikom transfer dużych plików,
zamieszczania plików wideo na portalach społecznościowych.
27. Oprogramowanie musi zezwalać na zdefiniowanie czasu jaki użytkownicy mogą spędzić na
przeglądaniu stron internetowych nie związanych bezpośrednio z charakterem wykonywanej
pracy.
28. Oprogramowanie musi zezwalać na chwilowe wydłużenie czasu jaki użytkownicy mogą spędzić
na przeglądaniu stron internetowych nie związanych z wykonywaną pracą.
29. Oprogramowanie musi umożliwiać bezpieczne rozszyfrowanie i skanowanie ruchu HTTPS dla
zdefiniowanych kategorii stron internetowych.
30. Oprogramowanie musi umożliwiać pracę w trybie wysokiej dostępności (HA).
31. Oprogramowanie musi wykrywać wywołania wsteczne (callback) dla serwerów zarządzających
(C&C) sieci botnetowych.
32. Oprogramowanie musi pozwalać na raportowanie zablokowanych wywołań do centralnej konsoli
zarządzającej.
33. Oprogramowanie musi posiadać zaawansowane mechanizmy skanujące pobierane pliki
i dokumenty w celu wykrycia dołączonego złośliwego kodu lub oprogramowania.
34. Oprogramowanie musi dostarczać raporty pozwalające na dokładną identyfikację docelowych
użytkowników oraz grup.
35. Oprogramowanie musi pozwalać na konsolidację raportów z wielu rozproszonych instancji bez
potrzeby instalowania dodatkowej centralnej konsoli zarządzającej.
36. Oprogramowanie musi umożliwiać synchronizację polityk oraz konfiguracji pomiędzy instancjami
bez potrzeby instalacji dodatkowego oprogramowania.
37. Oprogramowanie musi umożliwiać synchronizację polityk oraz konfiguracji w sposób w pełni
zautomatyzowany lub wymuszony ręcznie.
38. Oprogramowanie musi pozwalać na konfigurację polityk z centralnej konsoli zarządzającej bez
potrzeby logowania się na konsolę bramy.
39. W przypadku korzystania przez użytkownika z Internetu bądź aplikacji wykorzystującej Internet
Oprogramowanie musi pozwalać na zdefiniowanie treści powiadomienia naruszającego politykę.
E.
1.
2.
3.
4.
5.
W zakresie ochrony przed wyciekiem danych Oprogramowanie musi zapewniać minimum:
Oprogramowanie musi zapewniać ochronę przed wyciekiem poufnych danych.
Oprogramowanie musi umożliwiać monitorowanie i powiadamianie o incydentach wycieku danych
w czasie rzeczywistym.
W przypadku ochrony stacji roboczych moduł ochrony przed wyciekiem danych musi być
zintegrowany z agentem antymalware a jego uruchomienie nie może wymagać instalacji
dodatkowego agenta na chronionym komputerze.
W przypadku ochrony realizowanej na bramie mailowej, bramie webowej oraz serwerze
pocztowym moduł ochrony przed wyciekiem danych musi być integralną częścią odpowiednio
bramy mailowej, bramy webowej oraz systemu ochrony serwera pocztowego.
Oprogramowanie musi posiadać możliwość kontroli i ochrony danych wrażliwych przy
wykorzystaniu co najmniej takich mechanizmów jak:
7
BDG.V.2511.103.2015.KS
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
5.1. wyrażenia regularne: dane o określonej strukturze;
5.2. atrybuty plików: właściwości plików, takie jak typ i rozmiar;
5.3. słowa kluczowe: lista wrażliwych słów i wyrażeń.
Oprogramowanie musi posiadać gotowe, dostarczane wraz z rozwiązaniem szablony wyrażeń
regularnych pozwalające na kontrolę i ochronę danych typowych dla Polski (przykładowo numer
dowodu, numer pesel).
Oprogramowanie musi posiadać możliwość monitorowania i ochrony następujących kanałów
transmisji:
7.1.
klienci poczty elektronicznej;
7.2.
protokół FTP;
7.3.
protokoły HTTP i HTTPS;
7.4.
aplikacje wiadomości błyskawicznych;
7.5.
protokół SMB;
7.6.
poczta elektroniczna dostępna poprzez stronę Web;
7.7.
rejestratory Danych ( CD/DVD );
7.8.
aplikacje wymiany plików peer-to-peer;
7.9.
drukarka;
7.10. magazyn wymienny;
7.11. schowek systemu Windows.
Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Internet Explorer™
8,9,10 i 11 (w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale).
Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Mozilla Firefox
(w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale).
Oprogramowanie musi umożliwiać obsługę protokołu HTTPS w przeglądarce Chrome™
(w zakresie kontroli i ochrony przed wyciekiem danych w tym kanale).
Oprogramowanie musi obsługiwać pakiet Microsoft Office™ włącznie z wersją 2013 (w zakresie
kontroli i ochrony przed wyciekiem danych w tym kanale).
Oprogramowanie musi umożliwiać podjęcie następujących czynności w przypadku wykrycia
naruszenia polityki ochrony przed wyciekiem poufnych danych:
12.1.
pomiń – program zapewnia i protokołuje transmisję
12.2.
blokuj – program blokuje i protokołuje transmisję
12.3.
powiadom – program wyświetla powiadomienie, aby poinformować użytkownika
transmisji danych o umożliwieniu lub zablokowaniu transmisji
12.4.
zachowanie danych rekordów – niezależnie od operacji podstawowej, program
zapisze dane oznaczone jako naruszenie polityki do dalszej analizy.
Oprogramowanie musi umożliwiać szczegółowe raportowanie wszystkich akcji oraz
zapewniać możliwość generowania wykresów/diagramów/zestawień (logiczne filtrowanie
informacji).
Oprogramowanie musi posiadać możliwość wysyłania powiadomienia za pomocą poczty
elektronicznej oraz pułapki SNMP.
Oprogramowanie musi posiadać możliwość pracy agenta zainstalowanego na stacji użytkownika
w trybie offline, bez kontaktu z serwerem zarządzającym.
Oprogramowanie musi posiadać możliwość zapewnienia ochrony poprzez kontrolę urządzeń
zewnętrznych oraz dostępu do pamięci masowych i zasobów sieciowych połączonych z
komputerami.
Oprogramowanie musi posiadać możliwość konfiguracji różnych reguł dla klientów pracujących
wewnątrz firmy oraz poza siecią firmową.
Oprogramowanie musi posiadać możliwość monitorowania:
urządzeń pamięci masowej:
18.1.
CD/DVD;
18.2.
dysków Sieciowych;
18.3.
urządzeń pamięci masowej USB;
urządzeń innych niż pamięci masowe:
8
BDG.V.2511.103.2015.KS
19.
20.
21.
22.
23.
24.
25.
18.4.
portów COM i LPT;
18.5.
interfejsów IEEE 1394;
18.6.
urządzeń do przetwarzania obrazu;
18.7.
modemów;
18.8.
kart PCMCIA;
18.9.
klawisza Print Screen;
Oprogramowanie musi posiadać możliwość nadawania uprawnień kontroli dla urządzeń pamięci
masowej takich jak:
19.1.
pełny dostęp, w którym dozwolone są operacje takie jak: kopiowanie, przenoszenie,
otwieranie, zapisywanie, usuwanie oraz wykonywanie;
19.2.
modyfikacja, w której dozwolone są operacje takie jak: kopiowanie, przenoszenie,
otwieranie, zapisywanie, usuwanie. Niedozwolona jest operacja wykonywania;
19.3.
odczyt i wykonywanie, w których dozwolone są operacje takie jak: kopiowanie,
otwieranie, wykonywanie. Niedozwolone są operacje takie jak: zapisywanie,
przenoszenie, usuwanie;
19.4.
odczyt, w którym dozwolone są operacje takie jak: kopiowanie i otwieranie;
19.5.
niedozwolone są operacje takie jak: przenoszenie, zapisywanie, usuwanie oraz
wykonywanie;
19.6.
wyświetlanie zawartości urządzenia, w którym możliwe jest jedynie wylistowanie jego
zawartości.
Oprogramowanie musi umożliwiać utworzenie listy zatwierdzonych urządzeń pamięci masowej
USB.
Kontrola urządzeń musi umożliwiać blokowanie dostępu do wszystkich urządzeń pamięci
masowej USB z wyjątkiem tych, które dodano do listy urządzeń zatwierdzonych. Dla tych
urządzeń musi umożliwiać przyznanie pełnego dostępu lub ograniczyć poziom dostępu.
Oprogramowanie musi umożliwiać określenie dostawcy podpisu cyfrowego.
Oprogramowanie musi umożliwiać dowolną konfigurację treści powiadomień dla końcowego
użytkownika.
Oprogramowanie musi umożliwiać egzekwowanie polityk ochrony przed wyciekiem danych w
następujących punktach infrastruktury informatycznej:
24.1.
stacje użytkowników końcowych;
24.2.
serwer poczty elektronicznej (obsługa przynajmniej serwerów Microsoft Exchange
oraz IBM Lotus Domino);
24.3.
brama kontrolująca ruch poczty elektronicznej;
24.4.
brama kontrolująca ruch webowy.
Oprogramowanie musi posiadać centralną konsolę zarządzającą pozwalającą na administracje
funkcjonalnościami ochrony przed wyciekiem danych we wszystkich chronionych punktach
infrastruktury informatycznej.
Wszystkie elementy oferowanego Oprogramowania muszą pochodzić od jednego producenta.
Zapewnienie funkcjonalności Systemu:
A.
W zakresie podstawowych funkcji System musi zapewniać minimum:
1. Ochronę sieci i rozwiązań teleinformatycznych przed zaawansowanymi atakami typu APT
(Advanced Persistent Threat) mającymi na celu uniknięcie wykrycia przez obecne
w infrastrukturze zamawiającego systemy zabezpieczające takie jak bramy pocztowe i webowe,
systemy IPS/IDS czy oprogramowanie antywirusowe.
2. Do prawidłowej pracy nie może być wymagana instalacja dodatkowego oprogramowania na
komputerach.
9
BDG.V.2511.103.2015.KS
3. Identyfikację niebezpiecznej treści, komunikacji oraz zachowania atakującego lub
zaawansowanego malware na każdym etapie pracy przy pomocy nie inwazyjnych metod
skanowania na pełnym zakresie portów.
4. Monitorowanie minimum 100 protokołów na pełnym zakresie portów.
5. Zbieranie informacji na temat wykrytych adresów URL, które zostały uznane za bezpieczne w celu
ich ponownej analizy w przyszłości.
6. Możliwość wyłączenia przesyłania danych o testowanych plikach (hash, suma kontrolna, SHA itp.)
do chmury producenta.
7. Definiowanie typów plików na podstawie których próbki będą przekazywane do analizy
w sandbox.
8. Rozwiązanie musi wspierać IPv6.
9. Analiza SANDBOX - dedykowana maszyna wirtualna (sandbox) uruchomiona w lokalnym
systemie (na tym samym urządzeniu) musi pozwalać na samodzielne tworzenie przez
administratora obrazów maszyn wirtualnych, w szczególności takich, które odpowiadają
standardowej stacji roboczej lub serwerowej wykorzystywanej w infrastrukturze zamawiającego,
co najmniej w zakresie:
a) wersji językowej systemu,
b) zainstalowanego oprogramowania typu MS Office, Adobe Reader czy Flash itd.,
c) wykorzystywanego firmowego klucza aktywacyjnego,
d) używanego układu klawiatury.
9.1.
Niezależność od architektury procesora (32/64bit) dla wspieranego systemu
operacyjnego.
9.2.
Automatyczne testowanie próbek na więcej niż jednej wybranej wersji systemu
operacyjnego w celu uwzględnienia specyficznych potrzeb wynikających z różnic w
infrastrukturze zamawiającego.
9.3.
Dowolną ilość zmian konfiguracji sandbox bez potrzeby wsparcia producenta
rozwiązania oraz ponoszenia dodatkowych kosztów.
9.4.
Definiowanie warunków na podstawie których próbki będą przekazywane do analizy
jako parametry:
a) wykorzystywanego protokołu;
b) adresu IP;
c) kierunku komunikacji.
10. System musi pozwalać na centralizację i agregację informacji oraz automatyzację polityk
w centralnym punkcie zarządzającym.
11. System musi umożliwiać flagowanie wykorzystania niestandardowych portów przez wykryte
protokoły.
12. System musi umożliwiać identyfikację potencjalnie niebezpiecznego zachowania typu
niestandardowe zapytania do baz SQL/Oracle.
13. System musi umożliwiać identyfikację błędnych logowań w monitorowanych sieciach.
14. System musi umożliwiać identyfikację maszyn świadczących kluczowe funkcje w chronionej sieci
takie jak DNS, FTP, SMTP itd. oraz ich ewentualne flagowanie w przypadku braku obecności na
liście zaaprobowanej przez administratora.
15. System musi umożliwiać pracę pozwalającą na łatwą identyfikację w środowiskach o zmiennej
adresacji
16. System musi umożliwiać wielowarstwową korelację wykrytych zdarzeń w celu minimalizowania
fałszywych alarmów.
17. System musi umożliwiać analizowanie ruchu sieciowego o natężeniu 250 Mb/s.
18. System ma być oparty na dedykowanej platformie sprzętowej (appliance) dostarczanej wraz z
oprogramowaniem skanującym przez tego samego producenta.
19. Platformy sprzętowe muszą być przystosowane do instalacji w szafach montażowych 19”.
B.
W zakresie raportowania System musi zapewniać minimum:
10
BDG.V.2511.103.2015.KS
1.
2.
C.
System musi generować raporty w trybie automatycznym:
a. dzienne
b. tygodniowe
c. miesięczne
System musi pozwalać na wpływanie na wygląd raportów.
W zakresie analizy System musi zapewniać minimum:
1. Szczegółowa analiza nieznanych plików w dedykowanej maszynie wirtualnej (sandbox)
raportującej proces wykonywania testowanej próbki, rejestrującej takie elementy jak:
a. próby wykrywania działania w środowisku wirtualnym
b. opis zmian w systemie operacyjnym:

w rejestrze

w systemie plików
c. szczegóły połączeń sieciowych wykonywanych podczas testowania próbek łącznie
z adresami URL oraz ilością połączeń
2. Analiza nie może wymagać przesyłania testowanych plików poza chronioną infrastrukturę.
3. Wykorzystywanie zaawansowanych technik reputacyjnych w celu zapewnienia odpowiedniego
poziomu korelacji w czasie rzeczywistym oraz określania poziomu bezpieczeństwa znanych
plików, bez konieczności analizowania ich w środowisku sandbox.
4. Prezentowanie w czasie rzeczywistym wyników pracy systemu łącznie z automatycznym
zaznaczeniem priorytetowych/niebezpiecznych elementów infrastruktury zamawiającego.
5. Klasyfikacja i prezentacja wykrytych zdarzeń w zależności od stopnia powodowanego przez
każde z nich zagrożenia.
D.
W zakresie zarzadzania System musi zapewniać minimum:
1. System musi zapewniać informację w zakresie:
a. Krytycznych informacji na temat ataków na kluczowe elementy infrastruktury.
b. Analizy zdarzenia, jego charakterystyki, zachowania, oraz wykorzystywanych metody
komunikacji.
c. Graficznej prezentacji geolokalizacji źródła zagrożenia.
2. System musi pozwalać na tworzenie filtrów oraz ich zapisywanie w celu późniejszego ponownego
wykorzystania.
3. System musi pozwalać na tworzenie list zawierających krytyczne elementy infrastruktury
w oparciu a automatyzację działania lub decyzje administratora.
4. W przypadku identyfikacji zagrożenia dostarczanie z działających w czasie rzeczywistym
systemów zlokalizowanych w chmurze producenta informacji:
a. pozwalającej na zrozumienie zasady działania zagrożenia
b. występujących w Internecie innych mutacjach wykrytego zagrożenia
c. o powiązanych plikach, adresach URL/IP oraz innych istotnych powiązaniach
d. dystrybucji geograficznej, historycznych wykryć, branży i innych aktywności danego
zagrożenia.
e. rozłożonych w czasie etapów działania wykrytego zagrożenia
f. na temat kluczowych elementów pozwalających na zdalną identyfikację złośliwego
oprogramowania
g. dotyczących sposobów usunięcia złośliwego oprogramowania z zainfekowanych stacji
5. System musi pozwalać na eksport i replikację ustawień / konfiguracji.
6. System musi pozwalać na tworzenie kont o ograniczonej funkcjonalności (np. tylko do odczytu).
E. W zakresie integracji z innymi systemami, System musi zapewniać minimum:
11
BDG.V.2511.103.2015.KS
1. System musi umożliwiać współpracę z rozwiązaniami typu SIEM.
2. System musi umożliwiać korelację wsteczną zdarzeń mającą na celu wykrycie w skali doby
podejrzanych zachowań w monitorowanych sieciach.
3. Wyniki analizy sandbox muszą być zgodne z OpenIOC i pozwalać na integrację z rozwiązaniami firm
trzecich.
4. System musi posiadać udokumentowane API oraz SDK.
F. Dodatkowe funkcjonalności:
II.
Wdrożenie Oprogramowania i Systemu oraz przeprowadzenie instruktażu
1. W ramach wdrożenia Oprogramowania i Systemu Wykonawca zrealizuje:
1.1 Instalację i konfigurację Oprogramowanie i Systemu w zakresie:
a. Instalacji dostarczonego rozwiązania na platformie serwerowej w środowisku
Zamawiającego,
b. Przygotowania nienadzorowanych instalacji oprogramowania na stacje końcowe,
środowisko serwerowe oraz urządzenia mobilne,
c. Wdrożenia mechanizmu szyfrowania urządzeń mobilnych.
d. Instalacji i konfiguracji dostarczonego rozwiązania do ochrony bramy mailowej.
e. Instalacji i konfiguracji dostarczonego rozwiązania ruchu webowego na bramie do
Internetu.
f. Instalacji i konfiguracji dostarczonego rozwiązania do ochrony sieci przed atakami typu
APT w siedzibie Zamawiającego.
1.2 Opracowanie dokumentacji powdrożeniowej w zakresie:
a) Procedury i instrukcji dotyczących instalacji konfiguracji oraz parametryzacji wdrożonego
Oprogramowania i Systemu.
b) Procedury i instrukcji wykonania kopii bezpieczeństwa i ich odtworzenia.
c) Procedury i instrukcji aktualizacji i wdrażania poprawek.
d) Procedury postępowania w razie wystąpienia błędów lub awarii wraz z formularzami
zgłoszeniowymi i osobami kontaktowymi (nr tel., e-mail) do konsultacji rozwiązywania
zaistniałych problemów.
Dokumentacja musi być dostarczona przed produkcyjnym uruchomieniem rozwiązania.
Zamawiający wymaga, aby cała dokumentacja, o której mowa powyżej, podlegała jego
akceptacji.
2. W ramach instruktażu Zamawiający wymaga:
a) Przeprowadzenia na rzecz Zamawiającego instruktażu dla 8 pracowników w grupach po 4
osoby. Tematyka instruktażu to administracja i obsługa dostarczonego rozwiązania.
Każdy instruktaż w wymiarze minimum 3 dni robocze po 6 godzin zajęć efektywnych
dziennie.
b) Przeprowadzenia instruktażu w siedzibie Zamawiającego.
c) Uzgodnienia terminu z Zamawiającym z co najmniej 2 dniowym wyprzedzeniem.
d) Zapewnienia aby instruktaż przeprowadzony został przez wykwalifikowaną kadrę
szkoleniową posiadającą wiedzę teoretyczną i praktyczną z zakresu przedmiotu
zamówienia.
e) Dostarczenia Zamawiającemu materiałów szkoleniowych w formie elektronicznej oraz
papierowej.
III.
Gwarancja i wsparcie
1. Przedmiot zamówienia objęty będzie 12 miesięczną gwarancją i wsparciem producenta
świadczonym w miejscu użytkowania systemu.
12
BDG.V.2511.103.2015.KS
2. W trakcie 12 miesięcy w ramach usługi wsparcia producenta, Zamawiający będzie uprawniony do
pobierania nowych wersji oprogramowania które zostanie zaoferowane w ramach Zamówienia,
3. Usługa wsparcia producenta zapewni minimum :

udzielanie odpowiedzi na podstawowe pytania dotyczące instalacji, używania i konfiguracji;

bezpośrednie konsultacje telefoniczne z inżynierem producenta dotyczące bieżących
problemów związanych z Oprogramowaniem i Systemem;

analizę informacji diagnostycznych mająca na celu określenie przyczyny problemu,
np. pomoc w interpretacji dokumentacji problemów związanych z instalacją lub kodem,

w przypadku znanych defektów oprogramowania, przekazywanie informacji o sposobie ich
usunięcia lub obejścia, a także udzielanie pomocy w uzyskaniu poprawek, do otrzymania
których Zamawiający jest uprawniony w ramach posiadanej licencji,

dostęp do telefonicznego wsparcia technicznego producenta oprogramowania w czasie
podstawowego okresu dostępności centrum wsparcia dla oprogramowania (w dni robocze w
godzinach 8:00 - 17:00),

usunięcie wady, awarii lub usterki Oprogramowania i Systemu, w ciągu 24 godzin od
momentu zgłoszenia,

nieprzerwany i nieograniczony dostęp do zasobów elektronicznych, baz samopomocy, FAQ,
baz wiedzy producenta oprogramowania.
IV.
Miejsce dostawy i instalacji zamówienia.
Miejscem realizacji zamówienia jest siedziba Zamawiającego: Warszawa, ul. Wspólna 2/4.
13

plik 83794

Transkrypt

Podobne dokumenty

Załącznik nr 1 do siwz

Część II Zaprojektowanie i wykonanie sieci bezprzewodowej WiFi

Języki programowania - Tematy projektów w semestrze 2011Z (20

Zapytanie ofertowe - Powiatowy Urząd Pracy w Wieruszowie

Załącznik do OPZ nr 9 - Centrum Onkologii

Załącznik 21 do SWIZ „Dostawa licencji na oprogramowanie oraz

dokument do pobrania

załącznik nr 1.2: Opis przedmiotu zamówienia

Załącznik nr 1 do SIWZ – Szczegółowa specyfikacja techniczno