Formularz Oferty Technicznej Parametr wymagany przez Zamawiającego

Transkrypt

1 . Nazwa i adres wykonawcy/wykonawców Załącznik nr 14 do SIWZ Formularz Oferty Technicznej 1. Funkcjonalności podstawowe dla firewalli Nazwa/typ/model/ oferowanego urządzenia wraz z kartami dodatkowymi: Lp Parametr wymagany przez Zamawiającego Parametry funkcjonalne Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. Oferowana wartość do uzupełnienia przez Wykonawcę / Urządzenia muszą zapewniać obsługę dla IPv Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników korzystających z Internetu) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, która będzie posiadała co najmniej funkcje: wykrywania i blokowania ataków typu exploit (ochrona Intrusion Prevention), wirusów i innych złośliwych kodów (ochrona AntiVirus), filtracji aplikacji i 1

2 URL. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. Urządzenia muszą identyfikować co najmniej 7000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent, emule. Urządzenia muszą również pozwalać na granularną kontrolę przynajmniej widgetów Web 2.0. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Posiadanie modułu umożliwiającego wykrywanie i blokowanie ataków intruzów w warstwie 7 modelu OSI IPS/IDS bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją. Baza sygnatur IPS/IDS musi być regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń. Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Posiadanie modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Możliwość uruchomienia modułu inspekcji anty-malware per reguła polityki bezpieczeństwa firewall. Nie jest dopuszczalne, aby moduł anty-malware uruchamiany był per urządzenie lub jego część (np. interfejs sieciowy, strefa bezpieczeństwa). Posiadanie sygnatur DNS wykrywających i blokujących ruch do domen uznanych za złośliwe. Urządzenia muszą posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją tej usługi. Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. 2

3 Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Urządzenia muszą zapewnić możliwość identyfikacji sesji użytkowników pracujących z wykorzystaniem proxy poprzez mechanizm X-FORWARDED-FOR W architekturze rozwiązania musi występować moduł zarządzania i moduł przetwarzania danych. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. Urządzenia muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia muszą zapewnić obsługę połączeń zapasowych w sposób aktywny weryfikując dostępność połączeń podstawowych i automatycznie wykonać przełączenie trasy ruchu w przypadku niedostępności połączeń podstawowych Urządzenie umożliwia zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego. Możliwość kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników. Urządzenia musza posiadać mechanizmy wykrywania i blokowania ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). W celu zwiększenia skuteczności oraz zapewnienia ochrony przed nowymi źródłami zagrożeń, oferowane rozwiązanie powinno korzystać w czasie rzeczywistym oraz otrzymywać regularne aktualizacje z zewnętrznego repozytorium producenta w zakresie: zapytań o klasyfikację niezidentyfikowanych (podejrzanych) 3

4 adresów URL i DNS pod kątem zagrożeń typu botnet; otrzymywanie binarnych aktualizacji sygnatur antywirusowych; zapytań o klasyfikację podejrzanych plików przychodzących (na przykład sprawdzenie ich sygnatury pod kątem złośliwego oprogramowania - malware); zapytań o klasyfikację niezidentyfikowanych adresow URL pod kątem ich udziału w rozpowszechnianiu złośliwego oprogramowania (ochrona przed atakami drive-bydownloads) Dobór i skalowanie urządzeń Firewall Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta. Urządzenie musi być monitorowane przez posiadany przez Zamawiającego system Tufin Secure Track oraz Tufin Secure Change. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim. Urządzenia muszą być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). Urządzenie musi być produktem o uznanej na rynku pozycji i musi odpowiadać opisowi wymagań sformułowanych dla grupy Leaders raportu Gartnera Magic Quadrant of Enterprise Network Firewalls Urządzenia nie mogą znajdować się na liście end-of-sale oraz end-of-support producenta. Urządzenia będą dostosowane do montażu w szafie typu rack 19 - maksymalnie 2U Każde urządzenie musi zapewniać wydajność przynajmniej 10Gbps dla ruchu IPSec VPN AES-128 (ruch w warunkach idealnych) Każde urządzenie musi posiadać przepustowość, dla ruchu rzeczywistego z włączoną kontrolą firewall nie mniejszą niż 20Gbps oraz akceptować nie mniej niż połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną kontrolą IPS nie może być mniejsza niż 3Gbps. Przepustowość dla ruchu rzeczywistego z włączoną pełną wymaganą funkcjonalnością (ochrona firewall, Intrusion Prevention, antywirus, antybot, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1Gbps. Urządzenie zabezpieczeń musi być wyposażone w co najmniej 18 portów Ethernet 10/100/1000 (z uwzględnieniem dedykowanych portów do zarządzania i synchronizacji) oraz mieć możliwość instalacji dodatkowych 8 portów Ethernet 10/100/1000 lub 4 interfejsów w postaci modułów SFP lub 4 interfejsów w postaci 4

5 modułów SFP+ lub 2 interfejsów w postaci modułów QSFP 40G. Urządzenie będzie posiadało dedykowany interfejs na potrzeby synchronizacji klastra urządzeń. Urządzenie będzie posiadało dedykowany interfejs na potrzeby zarządzania. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły rutingu dynamicznego - przynajmniej BGP i OSPF. Urządzenie zabezpieczeń musi posiadać min 1 dysk o pojemności nie mniejszej niż 500GB. Urządzenie musi charakteryzować się statystycznym parametrem MTBF (Mean Time Between Failure) nie niższym niż 6 lat bezawaryjnej pracy (51840 godzin). Urządzenie musi posiadać minimum 2 zasilacze, zasilanie prądem przemiennym 230V Zarządzanie systemem Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. Zarządzanie musi być realizowane jako wysokodostępne wprost na urządzeniach firewall lub odbywać się za pomocą dedykowanego klastra stacji zarządzających dedykowanych (appliance). Rozwiązanie musi być dostarczone razem z systemem scentralizowanego zarządzania, bądź też mieć możliwość wykorzystania jednego z systemów użytkowanych przez Zamawiającego. Dostarczony scentralizowany system zarządzania, musi mieć zapewniony mechanizm HA Active/Standby, dla zapewnienia minimalnych czasów przestoju podczas awarii. Mechanizm HA może być wykonywany na poziomie rozwiązania dostarczonego przez producenta, lub na poziomie systemu wirtualizacji, który jest wspierany przez danego producenta Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Wszystkie subskrypcje, aktualizacje, serwis sprzętowy i ewentualne licencje muszą być ważne przynajmniej przez okres trzech lat. Urządzenie musi być wyposażone w dedykowany port zarządzania out-of-band. System zarządzania musi być wyposażony w moduł analizy i korelacji logów oraz umożliwiać generowanie i tworzenie własnych 5

6 raportów na podstawie zbieranych informacji o ruchu sieciowym, wykrytych zagrożeniach i odwiedzanych stronach www. Raporty muszą mieć możliwość określenia gradacji, co najmniej do: nazwanego użytkownika, adresu IP (źródłowego, docelowego) aplikacji sieciowej portu (źródłowego, docelowego) adresu URL Funkcje te mogą być dostępne lokalnie na urządzeniu zabezpieczeń lub też realizowane przez dedykowane zewnętrzne urządzenie z odpowiednim oprogramowaniem i licencją 2. Funkcjonalności dodatkowe dla firewalli Lp Liczba punktów Parametr systemu za spełnienie wymagania Możliwość pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności (takich jak: systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia), w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności. Możliwość pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów, włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych. Interfejsy sieciowe firewalla mogą pracować w trybie Actitive-Backup. Nie jest wymagana dodatkowa konfiguracja po stronie przełącznika w postaci np. protokołu LACP (802.3ad). System firewall posiada możliwość doposażenia w dysk SSD w miejsce dysku HDD. W przypadku dysku SSD wymagana minimalna pojemność to 240 GB. Urządzenia muszą umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenia muszą umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenia muszą posiadać mechanizmy wykrywania wiadomości SPAM, mechanizmy te powinny być niezależne od języka i dodatkowo zawierać dane o reputacji adresu IP Oferowana wartość do uzupełnienia przez Wykonawcę ( / NIE) 1 / NIE 1 / NIE 1 / NIE 1 / NIE 1 / NIE 1 / NIE 6

7 Lp. Parametr systemu nadawcy w celu uniknięcia fałszywej klasyfikacji. Liczba punktów za spełnienie wymagania Oferowana wartość do uzupełnienia przez Wykonawcę ( / NIE) Rozwiązanie wykrywania wiadomości SPAM wspiera mechanizmy Zero-hour w celu wykrycia nieznanych zagrożeń. Urządzenia muszą zapewnić odrębną definicję polityk kontroli oraz reguł QoS dla połączeń podstawowych i zapasowych. Urządzenia zabezpieczeń muszą posiadać interfejs API który musi być jego integralną częścią i umożliwiać konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli do zarządzania lub linii poleceń (CLI). Rozwiązanie musi posiadać możliwość doposażenia w mechanizmy typu sandbox, umożliwiające wykrywanie i blokowanie ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). Możliwość automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji. 1 / NIE 1 / NIE 1 / NIE 1 / NIE 1 / NIE 3. Funkcjonalności podstawowe dla urządzeń balansujących Nazwa/typ/model/ oferowanego urządzenia wraz z kartami dodatkowymi: Lp Opis / Minimalny wymagany parametr Oferowana wartość do uzupełnienia przez Wykonawcę / 3.1. Architektura Jednorodne środowisko oparte o urządzenia sprzętowe (wszystko w jednym urządzeniu) 7

8 Zarządzanie za pośrednictwem graficznego interfejsu dostępnego przez WWW przy użyciu szyfrowanej transmisji za pomocą SSL (HTTPS) dostępnego dla wielu użytkowników jednocześnie Dla proponowanych urządzeń Zamawiający wymaga, by oferowane modele były z rozwijanej przez Producenta linii produktowej. Ze względu na plany rozwoju usług LB Zamawiający wymaga, by możliwa była w ciągu minimum dwóch lat rozbudowa dostarczanego środowiska LB o kolejne urządzenia z tej samej linii produktowej (czyli o takie same urządzenia lub o urządzenia będące następcami proponowanych urządzeń). Wszystkie elementy urządzenia (np.: raportowanie, narzędzia do przeglądania i zarządzania danymi, rolami, konfiguracją) dostępne dla użytkownika w postaci stron WWW. Dostęp dla użytkownika za pomocą powszechnie używanych / popularnych przeglądarek, dostępnych przynajmniej na platformach Microsoft Windows. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim Sprzęt Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. Sprzęt musi być fabrycznie nowy, aktualnie obecny w linii produktowej producenta, nie starszy niż rok. Urządzenia nie mogą znajdować się na liście end-of-sale oraz end-of-support producenta. Sprzęt musi pochodzić z autoryzowanego kanału sprzedażowego producenta. Obudowa przystosowana do montażu w szafie rack 19, wysokość urządzenia maksimum 1 U W dostarczonym urządzeniu muszą być dostępne co najmniej 4 dedykowane interfejsy Gigabit Ethernet W dostarczonym urządzeniu musi być dostępne co najmniej 8 portów Ethernet 10/100/1000 Base-T oraz 2 interfejsy 1000 Base-SX w postaci modułów SFP z możliwością ich zamiany w przyszłości na dwa porty SFP+ 10G. Minimum 2 zasilacze. Zasilanie prądem przemiennym 230V, maksymalny pobór mocy nie większy niż 160W Wbudowany twardy dysk o minimalnej pojemności 500 GB. Wymiana urządzenia, np. w przypadku awarii, nie może wiązać się z koniecznością zwrotu nośników danych (dyski twarde, pamięci flash itp.). Liczba urządzeń fizycznych w zamówieniu podstawowym = 2 sztuki. Rozwiązanie musi zostać dostarczone jako klaster failover składający się z dwóch urządzeń. W przypadku skorzystania z Opcji, sprzęt i /lub oprogramowanie musi być w tym samym modelu i wersji, co Produkty z zamówienia podstawowego Funkcjonalność 8

9 Dedykowane urządzenie umożliwiające realizację rozdziału ruchu w oparciu o informację z warstw 4-7 modelu ISO/OSI Urządzenie musi mieć możliwość pracy w architekturze wysokiej dostępności w postaci klastra failover (active/passive) Obsługa inteligentnego równoważenia ruchu dla farm serwerów HTTP, RDP, CITRIX, Microsoft Exchange Server System musi posiadać funkcję definiowania i edycji szablonów konfiguracji aplikacji. Szablony powinny służyć do optymalizacji procesu wdrażania systemu zarówno dla znanych aplikacji biznesowych, jak i własnych aplikacji klienta. W ramach opisanych szablonów musi istnieć możliwość automatycznej kontroli poszczególnych elementów konfiguracji szablonu i zabezpieczenie ich przed modyfikacją i usunięciem. Przepływność: Nie mniej niż 10 Gbps dla obsługi ruchu warstw 4-7. Ilość jednocześnie obsługiwanych połączeń: Nie mniej niż Ilość jednoczesnych połączeń na sekundę w warstwie 4: Nie mniej niż Obsługa minimum 4000 wirtualnych serwerów Obsługa minimum 4000 sieci VLAN Wsparcie 802.1q VLAN Wsparcie 802.3AD link aggregation (LACP) Monitorowanie zdrowia serwerów ICMP Echo (port 7/TCP) Zapytanie MS SQL LDAP http https ftp smb (cifs) pop3 imap smtp Skryptowy Możliwość monitorowania stanu serwerów i na tej podstawie dokonywania decyzji o przełączeniu połączenia do konkretnego serwera w oparciu o: Obciążenie serwerów Ilość połączeń Czas odpowiedzi Algorytm round-robin Ważona Mechanizmy zapewnienia dowiązania sesji (session persistence) w oparciu o: Cookie Adresy IP 9

10 Nagłówki http ID sesji SSL Adres przeznaczenia Microsoft Terminal Services (RDP) login name Za pomocą języka skryptowego Zintegrowana funkcjonalność akceleracji sesji SSL Przepływność ruchu szyfrowanego: Nie mniej niż 8 Gbps Ilość transakcji SSL na sekundę dla klucza o długości 2048: Nie mniej niż Ilość jednocześnie obsługiwanych połączeń SSL: Nie mniej niż Obsługa protokołów HTTPS, Secure IMAP, LDAPS, NNTPS 3.5. Inne wymagania Możliwość tworzenia reguł kierowania i filtrowania ruchu, w oparciu o dowolny parametr nagłówka i pakietu IP (warstwy od 4 do 7 OSI). Możliwość modyfikacji zapytania do i odpowiedzi od serwera w warstwie od 4 do 7 OSI, przynajmniej dla protokołu HTTP. Możliwość wyświetlania strony zastępczej dla wirtualnego serwera, w razie awarii/prac na wszystkich serwerach, do których jest równoważony ruch, z samego urządzenia (bez wykorzystywania zewnętrznych zasobów) Mechanizmy ograniczania (rate limit) ruchu do poszczególnych serwerów (wirtualnych i rzeczywistych) Sprzętowa obsługa kompresji danych (gzip) z wydajnością minimum Gbps. Obsługa funkcjonalności cache dla http (min. 1GB pamięci RAM dla funkcji cache), Urządzenie musi być produktem o uznanej na rynku pozycji i musi odpowiadać opisowi wymagań sformułowanych dla grupy Leaders raportu Gartnera Magic Quadrant for Application Delivery Controllers Obsługa list kontroli dostępu (ACL) Obsługa mechanizmów translacji adresów i portów (NAT/PAT) Zarządzanie GUI Zarządzanie SSH Alarmy SNMP i Syslog Tworzenie raportów w czasie rzeczywistym lub na podstawie danych historycznych, bez utraty szczegółowości Możliwość eksportowania wszystkich raportów minimum w następujących formatach: CSV, PDF, HTML Szyfrowanie danych uwierzytelniających podczas transmisji Obsługa kont użytkowników, z możliwością selektywnej kontroli uprawnień, z dokładnością obejmującą przynajmniej następujące 10

11 poziomy bezpieczeństwa: Poziom 1 Uprawniający do: - konfiguracji sprzętu do użytkowania - monitorowania statusu i wykorzystania rozwiązania - tworzenia kont użytkowników - określania globalnych ustawień kont użytkowników - zarządzania kontami użytkowników z ustawianiem haseł do ich kont - przeglądania rejestrów aktywności użytkowników - tworzenia kopii zapasowych. Użytkownicy tego poziomu posiadają dostęp do pełnej funkcjonalności. Poziom 2 Uprawniający do: - korzystania ze stron służących do przeglądania i poszukiwania nowych zdarzeń lub nietypowej aktywności - tworzenia zapytań w celu uzyskania raportów - przeglądania wszystkich stron graficznego interfejsu użytkownika na najwyższym poziomie z uprawnieniami wyłącznie do zmiany ustawień wyświetlania i bez możliwości zmiany ustawień operacyjnych ani sieciowych. Użytkownicy tego poziomu mają dostęp wyłącznie do ustawień interfejsu i hasła Poziom 3 Uprawniający do: - logowania i przeglądania widoków dostępnych na stronie służącej do przeglądania, której nie mogą opuścić, z wyjątkiem przejścia do strony ustawień interfejsu użytkownika i hasła. Użytkownicy tego poziomu mogą użyć swojej nazwy i hasła do zalogowania w celu obejrzenia raportu z informacjami o zdarzeniu, którego adres otrzymali z systemu lub pocztą elektroniczną. Nie mogą podejmować żadnych działań w stosunku do zdarzenia. System zarządzający urządzeniami umożliwia monitorowanie liczników wydajnościowych; Wykonawca określi kluczowe mierniki wydajnościowe dla Systemu oraz określi wartości progowe dla tych liczników, dzięki którym możliwe będzie proaktywne monitorowanie Systemu, w szczególności określone zostaną przez Wykonawcę dopuszczalne wartości wskaźników wydajnościowych wszystkich składników Systemu w warunkach normalnych oraz ich wartości progowe, których przekroczenie będzie uznawane za sytuację alarmową i sytuację krytyczną, System zarządzający umożliwia weryfikację dostępności serwisów biznesowych w kontekście użytkownika końcowego; dostarczone rozwiązanie powinno w sposób jednoznaczny umożliwić weryfikację poziomu dostępności i jakości usług całego Systemu, w sposób analogiczny do działań użytkownika tego Systemu; weryfikacja taka może być zrealizowana w postaci wydzielonej usługi, lub użytkownika i scenariusza weryfikacji, lub innego równoważnego rozwiązania, System musi posiadać możliwość zintegrowania z systemami monitoringu posiadanymi przez Zamawiającego tj. Nagios i/lub MS SCOM 2012 przynajmniej w postaci interfejsu programistycznego (API 11

12 i/lub Web Service) po stronie Systemu, dającego możliwość pobrania danych wydajnościowych; w ramach wdrożenia zostanie ustalony mechanizm i format wymiany komunikatów oraz danych wydajnościowych z systemem monitoringu istniejącym u Zamawiającego, Istnieje możliwość tworzenia raportów wydajnościowych pochodzących z kluczowych mierników wydajnościowych oraz raportów pokazujących dostępność Systemu w określonym, jako parametr zakresie czasowym Istnieje możliwość uruchomienia funkcji sprawdzającej reputację adresów IP. Serwis reputacyjny powinien być dostępny poprzez dodanie licencji, bez konieczności wprowadzania zmian w architekturze sprzętowej oraz programowej proponowanego rozwiązania. Lp Funkcjonalności dodatkowe dla urządzeń balansujących Nazwa parametru Typ wymagania* Liczba punktów za spełnienie wymagania Potwierdzenie spełniania wymagania** Rozwiązanie musi posiadać wbudowany w system operacyjny język skryptowy, posiadający co najmniej następujące cechy: a) Analiza, zmiana oraz zastępowanie parametrów w nagłówku http oraz w zawartości (polu danych) b) Obsługa protokołów: http, tcp, xml, rtsp, sip c) Musi posiadać funkcję inspekcji protokołów LDAP oraz RADIUS Opcjonalne 1 / NIE Język skryptowy musi bazować na języku programowania Tool Command Language lub równoważnym, z własnymi komendami. Musi istnieć możliwość modyfikacji metod równoważenia obciążenia pomiędzy serwerami przy wykorzystaniu wbudowanego języka skryptowego Opcjonalne 1 / NIE Opcjonalne 1 / NIE Producent systemu musi dostarczyć darmową, specjalizowaną aplikację do analizy poprawności składni skryptów pisanych przy wykorzystaniu języka skryptowego opisanego w Opcjonalne 1 / NIE punkcie 1 powyżej. Aplikacja musi posiadać wbudowane szablony skryptów oraz funkcję auto uzupełniania wpisywanych komend. Możliwość pracy w trybie wysokiej dostępności active/active oraz rozbudowy do klastra N+1. Obsługa certyfikatów z kluczami typu ECDSA wykorzystującymi krzywe eliptyczne (ECC) zarówno od strony klienta, jak i od strony puli serwerów. Opcjonalne 1 / NIE Opcjonalne 1 / NIE 12

13 Dla protokołu TLS 1.2 obsługa AES-GCM zarówno od strony klienta, jak i od strony puli serwerów. Obsługa certyfikatów podpisanych funkcją skrótu SHA-2 zarówno od strony klienta, jak i od strony puli serwerów. Możliwość pracy w trybie wysokiej dostępności active/active oraz rozbudowy do klastra N+1. Możliwość podziału na partycje administracyjne - zdefiniowany użytkownik może zarządzać konfiguracją tylko i wyłącznie wewnątrz swojej partycji. Możliwość podziału na domeny routingowe - separacja ruchu sieciowego dla różnych aplikacji, możliwość poprawnej pracy rozwiązania, kiedy podłączone do urządzenia VLANy mają takie same podsieci i adresy IP. Opcjonalne 1 / NIE Opcjonalne 1 / NIE Opcjonalne 1 / NIE Opcjonalne 1 / NIE 5. Parametry i funkcjonalności bezwzględnie wymagane dla urządzenia WAF (Web Application Firewall) Nazwa/typ/model/ oferowanego urządzenia wraz z kartami dodatkowymi: 13

14 Lp Nazwa parametru Typ wymagania* 5.1. Parametry fizyczne (nie dotyczy w przypadku dostarczenia modułu do LB) Moduły wykonawcze muszą mieć wydajność Web Aplication Firewalla na poziomie 1000Mbps Potwierdzenie spełniania wymagania** dyski o pojemności nie mniejszej niż 1 TB (RAID1) Gęstość interfejsów: Nie mniej niż cztery interfejsów 10/100/1000 Base-T, oddzielny interfejs zarządzania. Musi posiadać możliwość rozbudowy o 2 dodatkowe porty 10G lub 4 porty 1G Zasilanie: Urządzenia wyposażone w nie mniej niż dwa redundantne zasilacze obsługujące prąd przemienny Parametry funkcjonalne System zabezpieczeń aplikacji webowych musi zawierać nie mniej niż następujące mechanizmy ochrony: a) Stateful Firewall b) Weryfikacja zgodności komunikacji sieciowej ze standardem protokołu tcp/ip, opisanym w RFC c) Sieciowy system ochrony przed intruzami bazujący na sygnaturach ataków. Wymagane są sygnatury dla nie mniej niż: Sieci Aplikacji Web Zapytań Web d) Automatyczne tworzenie i aktualizowanie profili aplikacji Web oraz wykrywanie przy ich użyciu naruszeń bezpieczeństwa. Profil aplikacji Web musi być budowany w sposób automatyczny poprzez analizę ruchu sieciowego. Musi istnieć możliwość automatycznej aktualizacji profilu w przypadku wystąpienia zmiany w strukturze aplikacji. Profil musi uwzględniać nie mniej niż następujące elementy: katalogi, URL-e, cookies, metody dostępu, parametry, typy znaków oraz wartości minimalne/maksymalne wpisywane przez użytkowników w poszczególnych polach formularza. e) Mechanizm aktualizowania profilu musi brać pod uwagę tylko ruch pozytywnie zweryfikowany przez pozostałe mechanizmy rozwiązania WAF tj w szczególności nie może dodawać do profilu informacji pochodzących z przeprowadzanych ataków f) Ochrona przed atakami CSRF. g) Wbudowany mechanizm korelacji wielu zdarzeń. h) Identyfikacja nazw użytkowników aplikacji web oraz umieszczanie informacji o użytkowniku w logach. i) Ochrona przed atakami typu SLOW (Slowloris i podobne) w 14

15 sposób umożliwiający sprawdzenie stanu sesji (oraz identyfikacji zbyt małej ilości przesyłanych danych w zdefiniowanym czasie) celem wykluczenia fałszywych wskazań oraz sterowanie reakcją na tego typu incydenty. Rozwiązanie musi posiadać mechanizmy identyfikujące oraz chroniące przed użytkownikami typu Bot/TOR System musi posiadać mechanizm ochrony serwisów Web W celu zapewnienia aktualności systemu zabezpieczeń wymagana jest możliwość automatycznego oraz ręcznego pobierania aktualizacji. Dodatkowo musi istnieć również możliwość wykorzystania Proxy do aktualizacji. Producent musi zapewnić aktualizację systemu, uwzględniając co najmniej sygnatury ataków. System musi analizować zarówno zapytania HTTP jak i zawartość odpowiedzi z serwera w celu wykrycia nadużyć oraz wycieku danych Rozwiązanie musi posiadać funkcję wysyłania informacji o zdarzeniach: poprzez protokół SNMP, syslog Moduły wykonawcze muszą mieć możliwość pracy w trybie HA Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. Moduł wykonawcy musi działać w co najmniej następujących trybach pracy: Transparent Bridge (inline warstwa 2 ISO/OSI) Reverse Proxy Musi posiadać serwis, sprawdzający reputację adresów IP dostających się do chronionej aplikacji. Serwis reputacyjny powinien być dostępny poprzez dodanie licencji, bez konieczności wprowadzania zmian w architekturze sprzętowej oraz programowej proponowanego rozwiązania. Urządzenie musi być produktem o uznanej na rynku pozycji i musi odpowiadać opisowi wymagań sformułowanych dla grupy Leaders lub Challengers raportu Gartnera Magic Quadrant for Web Application Firewalls Możliwość blokowania zapytań z danego obszaru geograficznego. Możliwość aktualizacji bazy geolokacji. Lp Parametry i funkcjonalności dodatkowe dla urządzenia WAF (Web Application Firewall) Liczba punktów Potwierdzenie Typ Nazwa parametru za spełnienie spełniania wymagania* wymagania wymagania** Moduł wykonawczy może działać w trybie monitor/inline) Opcjonalne 1 / NIE 6.2. Możliwość selektywnego włączania/wyłączania Opcjonalne 1 / NIE 15

16 sygnatur per parametr System musi posiadać predefiniowane raporty oraz musi istnieć możliwość tworzenia własnych raportów, bezpośrednio z centralnego Opcjonalne serwera zarządzającego z możliwość 1 / NIE cyklicznego wysyłania raportów wiadomością . Możliwość korelacji zdarzeń pomiędzy oferowanym systemem WAF a posiadanym przez Zamawiającego systemem DAM (rodzaj Opcjonalne rozwiązania zostanie przedstawiony w Zał nr 1A 3 / NIE do OPZ, przekazywanym Wykonawcom zapraszanym do złożenia oferty). Możliwość automatycznego budowania polityk w oparciu o skanowanie przez zewnętrznych dostawców np. HP WebInspect, IBM AppScan, Qualys Guard, WhiteHat Sentinel, Quotium Seeker, Trustwave App Scanner. Dostępność mechanizmów normalizacji w celu obrony przed technikami ukrywania ataku. Wsparcie dla aplikacji AJAX, JSON oraz Google Web Toolkit. Wsparcie dla HTML 5 WebSocket: - Ruch WebSocket musi być wykrywany i chroniony automatycznie - W ramach WebSocket realizowana musi być ochrona komunikacji otwartym tekstem, JSON oraz binarna. - Wsparcie zarówno dla WS i WSS Możliwość walidacji XML poprzez: walidację Schema/WSDL, wybór dozwolonych metod SOAP, opis ataków na XML, rejestrację zapytań XML. Opcjonalne 1 / NIE Opcjonalne 1 / NIE Opcjonalne 1 / NIE Opcjonalne 1 / NIE Opcjonalne 1 / NIE Lp. Nazwisko i imię osoby (osób) uprawnionej(ych) do występowania w obrocie prawnym lub posiadającej (ych) pełnomocnictwo: Podpis(y) osoby(osób) uprawnionej (ych): Miejscowość i data: 16