OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Transkrypt

1 Załącznik nr 5 SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach. Opis minimalnych wymagań systemu spełniających warunki zamówienia: Przedmiotem zamówienia jest dostarczenie przez Wykonawcę licencji na kolejne 13 miesięcy na aktualnie posiadany i eksploatowany system zabezpieczeń przez Zamawiającego, na który składa się : 1. licencja Check Point Security Software Blade R75.20 obejmująca moduły: 1.1. Firewall Blade (FW) 1.2. Check Point IPSEC VPN Blade (VPN) 1.3. Check Point IPS Blade (IPS) 1.4. Check Point Advanced Networking Blade (ADN) 1.5. Check Point Acceleration and Clustering Blade (ACCL) 1.6. Check Point Network Policy Management Blade (NPM), 1.7. Check Point Endpoint Policy Management Blade (EPM) 1.8. Check Point Logging and Status Blade (LOGS) 1.9. Check Point Monitoring Blade (MNTR) Check Point SmartEvent Blade (EVNT) Check Point Provisioning Blade (PRVS) Check Point User Directory Blade (UDIR) Check Point Identity Awareness Blade (IA) Mobile Access blade for unlimited number of concurrent users (MOB) Check Point Anti-Virus Blade (AV) Check Point URL Filtering Blade (URLF) Check Point Anti-Spam & Security Blade (ASPM) Check Point Application Control Blade (APL) Check Point Endpoint Container and Perpetual VPN Blade for 250 Users Check Point SSL Network Extender for 25 Users 2. asysta techniczna dla : 2.1. Check Point UTM-1 Edge Appliance - unlimited users 3. asysta techniczna dla : 3.1. Check Point Security Software Blade Software 4. subskrypcja aktualizacji dla Check Point Total Security. Zamawiający dopuszcza składanie ofert równoważnych. Pod pojęciem oferty równoważnej rozumie się ofertę złożoną na produkt charakteryzujący się następującymi minimalnymi parametrami: 1. System zabezpieczeń Firewall musi być oparty na technologii Statefull Inspection (nadzorowanie stanu wszystkich połączeń przechodzących przez 1/5

2 firewall poprzez analizę nagłówków pakietów) oraz Application Level Gateway (filtrowanie ruchu sieciowego na poziomie aplikacji). 2. System zabezpieczeń musi pracować w trybie trybie Firewall. 3. System zabezpieczeń musi składać się z modułów oprogramowania, które mogą zostać wdrożone w architekturze zcentralizowanej. 4. System zabezpieczeń musi posiadać funkcjonalność ochrony systemu informatycznego wykorzystywanego przez nieograniczoną liczbę użytkowników Zamawiającego. 5. Liczba jednocześnie obsługiwanych przez Firewall sesji jest ograniczona jedynie wydajnością platformy sprzętowej. Oprogramowanie zabezpieczeń musi mieć możliwość instalacji na sprzęcie ogólnego przeznaczenia (m.in. serwery o architekturze x86 lub RISC) z wykorzystaniem minimum 8 rdzeni procesora. Producent zabezpieczeń dostarcza odpowiednio przygotowany do tego celu system operacyjny. 6. Licencja na oprogramowanie zabezpieczeń Firewall, VPN i IPS musi zapewniać obsługę dwóch urządzeń o tej samej funkcjonalności zabezpieczeń, pracujących w klastrze wysokiej dostępności - HA z rozdziałem ruchu sieciowego (Load Sharing). 7. Polityka bezpieczeństwa Firewall w zakresie kontroli ruchu sieciowego musi uwzględniać kierunek przepływu pakietów, protokoły i usługi sieciowe, użytkowników i serwery usług, stan połączenia oraz budowana jest w oparciu o wcześniej zdefiniowane obiekty. 8. Firewall musi umożliwić identyfikowanie niedozwolonych lub podejrzanych działań, prób ataku oraz po ich wykryciu podejmować zdefiniowane przez administratora akcje. 9. Firewall bez dodatkowych aplikacji musi umożliwiać szczegółową kontrolę aplikacji sieciowych (m.in. kontroluje schematy i adresację URL, kontroluje rozmiar URL, blokuje niedozwolone załączniki w stronach HTML jak ActiveX i Java, blokuje niedozwolone pliki kopiowane poprzez HTTP, blokuje URL zawierające niedozwolone słowa, kontroluje rozmiar przesyłek pocztowych, blokuje Mail Relaying, blokuje niedozwolone pliki przesyłane jako załączniki do poczty). 10.System zabezpieczeń musi zawierać wbudowany system wykrywania i ochrony przed intruzami (IPS). Sygnatury ataków muszą być regularnie (przynajmniej raz w miesiącu) dostarczane przez producenta zabezpieczeń. 11.System zabezpieczeń musi zapewnić ochronę systemu informatycznego przed atakami wirusów, robaków, koni trojańskich i innych groźnych aplikacji, przenikających z Internetu poprzez protokoły SMTP, FTP, POP3 (POP3Retriever) i HTTP. Sygnatury ataków muszą być regularnie (przynajmniej raz w miesiącu) dostarczane przez producenta zabezpieczeń 12.System zabezpieczeń musi zapobiegać niepożądanym treściom w poczcie elektronicznej (Antyspam) poprzez blokowanie adresów IP wysyłających spam oraz analizę treści wiadomości pocztowych 13.System zabezpieczeń musi blokować dostęp do stron internetowych na podstawie kategorii publikowanych treści (Webfiltering). Kategorie te muszą być uaktualniane przez producenta systemu przynajmniej raz w miesiącu. 14.Firewall musi wykonywać dynamiczną i statyczną translację adresów NAT. Reguły NAT muszą być generowane automatycznie lub definiowane ręcznie. 2/5

3 15.System zabezpieczeń musi posiadać trójwarstwową architekturę - moduł zabezpieczeń Firewall, moduł zarządzania i interfejs GUI. Komunikacja pomiędzy modułem zabezpieczeń Firewall i modułem zarządzania musi być szyfrowana i uwierzytelniona z użyciem certyfikatów cyfrowych. 16.Uwierzytelnianie administratorów Firewall musi odbywać się za pomocą haseł statycznych, haseł dynamicznych i certyfikatów cyfrowych. Musi istnieć możliwość definiowania szczegółowych uprawnień administratorów (np. tylko do odczytu logów, tylko do zarządzania użytkowników). 17.Firewall musi zapewniać wiele metod uwierzytelniania użytkowników lokalnych i zdalnych (np. uwierzytelnianie przezroczyste gdzie Firewall przechwytuje sesję i uwierzytelnia jej użytkownika, uwierzytelnianie za pomocą agenta na stacji użytkownika, uwierzytelniania po połączeniu się z modułem Firewall). 18.System zabezpieczeń musi umożliwiać tworzenie bazy użytkowników oraz ich grup na zewnętrznym serwerze LDAP. 19.Funkcjonalność zabezpieczeń Firewall musi posiadać możliwość rozszerzenia swojej funkcjonalności z użyciem rozwiązań innych dostawców, a w szczególności musi zapewniać komunikację z zabezpieczeniami innych dostawców za pomocą protokołu CVP (Content Vector Protocol). 20.System zabezpieczeń musi zapewniać tworzenie sieci VPN w oparciu o standard IPSec/IKE, funkcjonujące w trybie site to site oraz klient to site. Oprogramowanie musi umożliwiać tworzenie sieci VPN w topologii gwiazdy (star) lub topologii każdy z każdym (mesh) 21.System zabezpieczeń musi zapewniać tworzenie sieci VPN z wykorzystaniem technologii Route Based VPN (wskazywanie jaki ruch sieciowy ma być kierowany do poszczególnych tunelów VPN) lub Domain Based VPN (opartej na definiowaniu zasobów które mają być widoczne w sieci VPN). 22.System zabezpieczeń musi zapewnić dostęp szyfrowany VPN dla co najmniej 250 użytkowników mobilnych z wykorzystaniem dedykowanego klienta instalowanego na komputerze użytkownika. Dedykowane oprogramowanie instalowane na komputerze użytkownika musi wspierać enkapsulacje protokołu UDP oraz IKE w protokole TCP, możliwość łączenia się z systemem zabezpieczeń z wykorzystaniem portu System zabezpieczeń musi zapewniać szyfrowanie z użyciem VPN SSL przeznaczone dla zapewnienia bezpiecznego dostępu poprzez sieć Web do systemu informatycznego przez nieograniczoną liczbę użytkowników. Musi być zapewniony dostęp dla aplikacji webowych, aplikacji typu klient-serwer, poczty oraz musi zapewniać współdzielenie plików poprzez standardową przeglądarkę bez konieczności instalowania dodatkowego oprogramowania. 24.Uwierzytelnianie w sieci VPN musi odbywać się za pomocą certyfikatów cyfrowych wydawanych lokalnie oraz w razie potrzeby przez zewnętrzny urząd certyfikacji. 25.System zabezpieczeń musi posiadać wbudowany wewnętrzny urząd certyfikacji (CA) do wydania certyfikatów VPN. Zarządzanie systemu zabezpieczeń oraz CA musi odbywać się z tej samej konsoli GUI. Dostawca musi zapewnić wymianę obecnie używanych certyfikatów wystawionych przez wewnętrzny urząd certyfikacji (CA) na certyfikaty wystawione przez dostarczone rozwiązanie równoważne. 3/5

4 26.Zabezpieczenie danych w sieci VPN musi odbywać się z użyciem mocnych algorytmów kryptograficznych (co najmniej AES-256 i 3DES). 27.System zabezpieczeń musi posiadać zintegrowany moduł zarządzania pasmem sieci (QoS). Polityka zarządzania pasmem musi być definiowana z graficznego interfejsu GUI i uwzględnia priorytety, pasma dopuszczalne i pasma gwarantowane. Administrator za pomocą graficznych narzędzi musi mieć możliwość obserwowania aktualnej zajętości pasma sieci przez poszczególnych użytkowników i aplikacje. 28.Zarządzanie zabezpieczeń funkcjonujących w różnych miejscach sieci musi odbywać się z centralnej, graficznej konsoli administratora GUI. Polityka bezpieczeństwa wszystkich zabezpieczeń sieci tworzy jeden, przejrzysty zbór reguł. Konsola zarządzania musi posiadać możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. 29.Musi być zapewnione centralne zarządzanie polityką bezpieczeństwa dla nielimitowanej liczby bram internetowych 30.Konsola zarządzania zabezpieczeń musi zapewnić tworzenie raportów graficznych i tekstowych z pracy zabezpieczeń na podstawie rejestrowanych zdarzeń (logów). 31.Konsola zarządzania zabezpieczeń musi zapewnić graficzną prezentację i analizę struktury sieci chronionych. Mapa sieci musi być tworzona automatycznie na podstawie definicji obiektów. 32.Konsola zarządzania zabezpieczeń musi zapewnić centralną aktualizację oprogramowania zabezpieczeń (co najmniej instalację poprawek i nowych wersji). 33.Konsola zarządzania zabezpieczeń musi zapewniać w czasie rzeczywistym obserwację stanu zajętości pasma sieci. 34.System zarządzania musi posiadać możliwość rozbudowany do konfiguracji odpornej na awarie (tzn. dwóch stacji zarządzających w klastrze HA). Synchronizacja stacji zarządzających odbywa się automatycznie. 35.Zabezpieczenia muszą funkcjonować na wielu, różnych platformach (co najmniej SUN Solaris, Windows, Linux) oraz dedykowanych urządzeniach Appliance. 36.System zabezpieczeń musi posiadać centralne zarządzanie konfiguracją sieciową bram internetowych oraz archiwizacja konfiguracji. System musi posiadać możliwość definiowania zadań wykonywanych automatycznie, zgodnie z kalendarzem. 37.System zabezpieczeń musi posiadać możliwość trasowania sieci za pomocą dynamicznych protokołów (co najmniej RIP, OSPF, BGP) 38.System zabezpieczeń musi posiadać możliwość wprowadzenia kontroli wykorzystywanych przez użytkowników aplikacji na podstawie wykorzystywanych portów, sposobu dokonywania połączenia. System kontroli aplikacji musi pozwalać na budowanie odpowiednich polityk bezpieczeństwa z wykorzystaniem GUI. 39.Musi posiadać możliwość równoważenia obciążenia dostępu do Internetu przy wykorzystaniu wielu dostawców usługi. Funkcjonalność ta musi być wdrożona bez konieczności użycia dynamicznego trasowania. 40.Produkt musi być certyfikowany przez wiarygodne rządowe certyfikaty bezpieczeństwa (co najmniej ITSEC, Common Criteria). 4/5

5 41.Pomoc techniczna producenta oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te świadczone muszą być w języku polskim. 42.Zaproponowane przez Wykonawcę rozwiązanie musi posiadać w okresie 13 miesięcy pomoc techniczną dla zainstalowanego produktu a w szczególności: musi umożliwiać zgłaszanie problemów technicznych, dostarczać poprawki systemu oraz udostępniać nowe wersje oprogramowania zabezpieczeń Firewall, VPN i IPS. W tym okresie musi zapewnić stały dostęp do aktualizacji sygnatur dla systemu IPS, antywirus, antyspam oraz webfiltering zapewnianą przez producenta. Wykonawca musi zapewnić też pomoc techniczną dla urządzeń dostępowych posiadanych przez Zamawiającego (Check Point UTM-1 Edge Appliance) zapewniających szyfrowaną transmisję danych VPN pomiędzy zdalną lokalizacją a infrastrukturą Zamawiającego dla nielimitowanej liczby użytkowników. Wszystkie prace instalacyjne i konfiguracyjne związane z wdrożeniem systemu równoważnego muszą być przeprowadzane w taki sposób, aby nie zakłócić pracy Urzędu. Prace, które wymagają czasowej przerwy w dostępie do aplikacji Urzędu muszą być przeprowadzone poza godzinami pracy to jest w dni wolne od pracy oraz w dni robocze pomiędzy godziną 17:30 a 7:00. Wdrożenie równoważnego systemu zabezpieczeń musi zostać zakończone w terminie 7 dni od daty podpisania umowy i zapewniać pełną funkcjonalność obecnie działającego systemu zabezpieczeń. 5/5