Zakup urządzeń i oprogramowania do zabezpieczenia sieci i systemów informatycznych

Transkrypt

1 Załącznik do modyfikacji siwz z dnia r. pieczęć Wykonawcy, adres, tel., faks FORMULARZ NR 7 OPIS TECHNICZNY OFEROWANYCH URZĄDZEŃ ORAZ OPROGRAMOWANIA (SPECYFIKACJA TECHNICZNA) Nawiązując do ogłoszenia dotyczącego przetargu nieograniczonego na zadanie pn.: Zakup urządzeń i oprogramowania do zabezpieczenia sieci i systemów informatycznych w ramach planowanego Projektu pn.: Wzmocnienie systemu bezpieczeństwa lotniska Rzeszów-Jasionka poprzez doposażenie w sprzęt oraz systemy monitoringu OŚWIADCZAM(Y), ŻE: Oferujemy niżej wymienione urządzenia i oprogramowanie: 1. przełącznik sieciowy Typu 1 szt przełącznik sieciowy Typu 2 szt przełącznik sieciowy Typu 3 szt przełącznik sieciowy Typu 4 szt przełącznik sieciowy Typu 5 szt Moduły SFP 1GBps szt Program do zarządzania oraz monitoringu szt Intrusion Prevention System (IPS) szt Zapora Systemowa (Firewall) szt. 2 Jeżeli system spełnia bez zastrzeżeń daną funkcjonalność należy wpisać TAK jeżeli nie spełnia należy wpisać NIE Strona 1

2 Ad.1 Przełącznik sieciowy Typu 1 Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Ilość portów min. 20 portów 10/100/1000, + min.4 porty dual-personality 10/100/1000 lub mini-gbic Obudowa wieżowa 1U umożliwiająca instalację w szafie 19" Pamięć Min 64 MB SDRAM, FLASH 16MB Rozmiar tablicy min adresów MAC Zarządzanie CLI, WWW, pozapasmowe (port konsoli RJ-45) Prędkość magistrali min. 48 Gbps Przepustowość min.35,7 mpps Ilość obsługiwanych min. 64 (802.1Q), GVRP VLAN-ów OS Aktualizacje OS dostępne na stronie producenta bezpłatnie przez cały czas eksploatacji urządzenia. Gwarancja 5 lat Serwis Wymiana następnego dnia roboczego na sprawne urządzenie Wsparcie Zarządzanie poprzez HTML i telnet następujących IEEE 802.1p Priority protokołów IEEE 802.1Q VLANs sieciowych i funkcji IEEE 802.1s Multiple Spanning Trees IEEE 802.3ad Link Aggregation Control Protocol (LACP) IEEE 802.3x Flow Control RFC 768 UDP RFC 783 TFTP Protocol (revision 2) RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 951 BOOTP RFC 1542 BOOTP Extensions RFC 2030 Simple Network Time Protocol (SNTP) v4 Strona 2

3 RFC 3376 IGMPv3 RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1573 SNMP MIB II RFC 2021 RMONv2 MIB RFC 2096 IP Forwarding Table MIB RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2620 RADIUS Accounting MIB RFC 2665 Ethernet-Like-MIB RFC MAU MIB RFC p and IEEE 802.1Q Bridge MIB RFC 2737 Entity MIB (Version 2) RFC 2863 The Interfaces Group MIB RFC 3418 MIB for SNMPv3 IEEE 802.1AB Link Layer Discovery Protocol (LLDP) RFC 2819 Four groups of RMON: 1 (statistics), 2 (history), 3 (alarm) and 9 (events) SNMPv1/v2c/v3 IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 2138 RADIUS Authentication RFC 2866 RADIUS Accounting Secure Sockets Layer (SSL) SSHv1/SSHv2 Secure Shell Ad 2. Przełącznik sieciowy Typu 2 Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Ilość portów min. 44 portów 10/100/1000, + min.4 porty dual-personality 10/100/1000 lub mini-gbic Obudowa wieżowa 1U umożliwiająca instalację w szafie 19" Strona 3

4 Pamięć Rozmiar tablicy adresów MAC Zarządzanie Prędkość magistrali Przepustowość Ilość obsługiwanych VLAN-ów OS Gwarancja Serwis Wsparcie następujących protokołów sieciowych i funkcji : Min 64 MB SDRAM, FLASH 16MB min CLI, WWW, pozapasmowe (port konsoli RJ-45) min. 96 Gbps min.71,4 mpps min. 64 (802.1Q), GVRP Aktualizacje OS dostępne na stronie producenta bezpłatnie przez cały czas eksploatacji urządzenia. 5 lat Wymiana następnego dnia roboczego na sprawne urządzenie Zarządzanie poprzez HTML i telnet IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.3ad Link Aggregation Control Protocol (LACP) IEEE 802.3x Flow Control RFC 768 UDP RFC 783 TFTP Protocol (revision 2) RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 951 BOOTP RFC 1542 BOOTP Extensions RFC 2030 Simple Network Time Protocol (SNTP) v4 RFC 3376 IGMPv3 RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1573 SNMP MIB II RFC 2021 RMONv2 MIB RFC 2096 IP Forwarding Table MIB RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2620 RADIUS Accounting MIB RFC 2665 Ethernet-Like-MIB RFC MAU MIB RFC p and IEEE 802.1Q Bridge MIB RFC 2737 Entity MIB (Version 2) RFC 2863 The Interfaces Group MIB Strona 4

5 RFC 3418 MIB for SNMPv3 IEEE 802.1AB Link Layer Discovery Protocol (LLDP) RFC 2819 Four groups of RMON: 1 (statistics), 2 (history), 3 (alarm) and 9 (events) SNMPv1/v2c/v3 IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 2138 RADIUS Authentication RFC 2866 RADIUS Accounting Secure Sockets Layer (SSL) SSHv1/SSHv2 Secure Shell Ad.3 Przełącznik sieciowy Typu 3 Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Obudowa wolnostojąca, montaż w 19-calowym stelażu telekomunikacyjnym (standard EIA) lub w specjalnej szafce na sprzęt (akcesoria montażowe w komplecie). montaż wyłącznie w pozycji poziomej, wysokość 1U Zasilanie POE Wsparcie dla POE 802.3af oraz dla POE pre standard, standardowy zasilacz musi posiadać min 406Wattów na POE Ilość portów 24 porty 10/100(10Base-T typu IEEE 802.3, 100Base-TX ) z funkcją AUTO- MDIX, 2 porty 10/100/1000 BaseT, 2 porty typu "minigbic" SFP do montażu wkładek w systemie SFP, 1 port szeregowy konsoli RJ-45; Pamięć i Procesor RAM 128MB SDRAM, FLASH: min. 16MB, Bufor pakietów 1MB, procesor MIPS 300MHz Zarządzanie CLI, WWW, telnet, pozapasmowe (port szeregowy RS-232C) Warstwa przełącznika 2+ (przełączania + routing statyczny) Prędkość magistrali min. 12,8 Gbps Strona 5

6 Przepustowość min. 9,5 mpps Ilość obsługiwanych min. 256 (802.1q) VLAN-ów auto MDIX autonegocjacja prędkości, duplex-u oraz połączenia (MDI/MDIX) Oprogramowanie Bezpłatne aktualizacje przez cały okres posiadania sprzętu - dostępne na stronie producenta Zasilacz / V; 50/60 Hz, 41W, pasywne chłodzenie Gwarancja 5 lat (obejmuje zasilacze i wentylatory) Serwis Wsparcie nestepujacych protokolow sieciowych i funkcji : Wymiana następnego dnia roboczego na sprawne urządzenie Zarządzanie poprzez HTML i telnet IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1v VLAN classification by Protocol and Port IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation Control Protocol (LACP) IEEE 802.3af Power over Ethernet IEEE 802.3x Flow Control RFC 768 UDP RFC 783 TFTP Protocol (revision 2) RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 951 BOOTP RFC 1542 BOOTP Extensions RFC 2030 Simple Network Time Protocol (SNTP) v4 RFC 2131 DHCP RFC 3046 DHCP Relay Agent Information Option RFC 3376 IGMPv3 RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1573 SNMP MIB II RFC 2021 RMONv2 MIB RFC 2096 IP Forwarding Table MIB RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2665 Ethernet-Like-MIB Strona 6

7 RFC MAU MIB RFC p and IEEE 802.1Q Bridge MIB RFC 2737 Entity MIB (Version 2) RFC 2863 The Interfaces Group MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) RFC 3164 BSD syslog Protocol RFC 3176 sflow ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) SNMPv1/v2c/v3 IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ Secure Sockets Layer (SSL) SSHv1/SSHv2 Secure Shell Ad.4 Przełącznik sieciowy Typu 4 Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Obudowa wolnostojąca, montaż w 19-calowym stelażu telekomunikacyjnym (standard EIA) lub w specjalnej szafce na sprzęt (akcesoria montażowe w komplecie). montaż wyłącznie w pozycji poziomej, wysokość 1U Zasilanie POE Wsparcie dla POE 802.3af oraz dla POE pre standard, standardowy zasilacz musi posiadać min 406Wattów na POE Ilość portów 44 porty 10/100(10Base-T typu IEEE 802.3, 100Base-TX ) z funkcją AUTO- MDIX, 2 porty 10/100/1000 BaseT, 2 porty typu "minigbic" SFP do montażu wkładek w systemie SFP, 1 port szeregowy konsoli RJ-45; Pamięć i Procesor RAM 128MB SDRAM, FLASH: min. 16MB, Bufor pakietów 1MB, procesor MIPS 300MHz Zarządzanie CLI, WWW, telnet, pozapasmowe (port szeregowy RS-232C) Strona 7

8 Warstwa przełącznika 2+ (przełączania + routing statyczny) Prędkość magistrali prędkość magistrali ma zapewnić nieblokującą pracę urządzenia (wirespeed) przy zapewnieniu pozostałych parametrów jakościowych Przepustowość min. 19 mpps Ilość obsługiwanych min. 256 (802.1q) VLAN-ów auto MDIX autonegocjacja prędkości, duplex-u oraz połączenia (MDI/MDIX) Oprogramowanie Bezpłatne aktualizacje przez cały okres posiadania sprzętu - dostępne na stronie producenta Zasilacz / V; 50/60 Hz, 41W, pasywne chłodzenie Gwarancja 5 lat (obejmuje zasilacze i wentylatory) Serwis Wymiana następnego dnia roboczego na sprawne urządzenie Wsparcie Zarządzanie poprzez HTML i telnet nestepujacych IEEE 802.1D MAC Bridges protokolow sieciowych IEEE 802.1p Priority i funkcji : IEEE 802.1Q VLANs IEEE 802.1v VLAN classification by Protocol and Port IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation Control Protocol (LACP) IEEE 802.3af Power over Ethernet IEEE 802.3x Flow Control RFC 768 UDP RFC 783 TFTP Protocol (revision 2) RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 951 BOOTP RFC 1542 BOOTP Extensions RFC 2030 Simple Network Time Protocol (SNTP) v4 RFC 2131 DHCP RFC 3046 DHCP Relay Agent Information Option RFC 3376 IGMPv3 RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1573 SNMP MIB II Strona 8

9 RFC 2021 RMONv2 MIB RFC 2096 IP Forwarding Table MIB RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2665 Ethernet-Like-MIB RFC MAU MIB RFC p and IEEE 802.1Q Bridge MIB RFC 2737 Entity MIB (Version 2) RFC 2863 The Interfaces Group MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) RFC 3164 BSD syslog Protocol RFC 3176 sflow ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) SNMPv1/v2c/v3 IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ Secure Sockets Layer (SSL) SSHv1/SSHv2 Secure Shell Ad.5 Przełącznik sieciowy Typu 5 Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Moduły i typ portów 2 moduły po miniumum 12 portów 1GE z możliwościa instalcji transceiverow światłowodowych w standardzie SX. 2 moduly po minimum 12 portow 1GE z funkcją zasilania na porcie zgodnie e standardem PoE+ i mozliwoscia rozszerzenia o dodatkowe minimum 12 portow w standardzie SFP+. Obudowa Obudowa modularna z min. 6 slotami na karty liniowe, Pamięć i procesor rozmiar bufora pakietów min. 36 MB RAM Rozmiar tablicy routingu min pozycji Strona 9

10 Rozmiar tablicy adresowow MAC Zarządzanie min pozycji CLI, WWW, telnet, pozapasmowe (port szeregowy RS-232C) Warstwa przełącznia 2,3,4 Prędkość magistrali min. 379 Gbps Przepustowość minimum 282 Mpps Ilość obsługiwanych VLAN-ów Oprogramowanie systemowe Gwarancja Serwis Zasilanie Możliwość rozbudowy poprzez instalacje opcjonalnych modułów liniowych do następujących ilości portów (minimum) : Możliwość rozbudowy poprzez instalacje opcjonalnych modułów funkcyjnych o następujących funkcjonalnościach : Wsparcie nastepujacych protokolow sieciowych i funkcji : min (802.1q) w tym możliwość rozbudowy poprzez licencję o QinQ Aktualizacje dostępne na stronie producenta bez dodatkowych opłat tak długo jak użytkownik posiada produkt. 5 lat (obejmuje zasilacze i wentylatory) Wymiana nastepnego dnia roboczego na sprawne urzadzenie Dwa niezależne wewnetrzne zasilacze 230VAC o mocy minimum 850W oraz możliwość instalacji dodatkowego zewnętrznego zasilacza dostarczającego dodatkową moc dla urządzeń POE 48 portow 10-GbE lub 144 portow 10/100/1000 lub 144 portow mini-gbic lub ich kombinacje. Obsługa portów 10GE w standardach : 10GBase-T, CX4, X2, SFP+. Obsługa portów 1GE ze wsparciem PoE i/lub PoE+. Obsługa portów 1GE z możliwością instalacji transceiverow SFP w standardzie : SX, LX, LH w dowolnej kombinacji w ilości minimum 24 portów razem na jednym module. Moduł realizujący funkcjonalność IPS/IDS Moduł realizujący funkcjonalność kontrolera sieci WLAN Modul realizujacy funkcje akceleratora aplikacji i optymalizatora łacza WAN. RFC 1591 DNS (client) Zarzadzanie poprzez HTML i telnet IEEE 802.1ad Q-in-Q IEEE 802.1AX-2008 Link Aggregation IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1v VLAN classification by Protocol and Port Strona 10

11 IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation Control Protocol (LACP) IEEE 802.3af Power over Ethernet IEEE 802.3x Flow Control RFC 768 UDP RFC 783 TFTP Protocol (revision 2) RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 868 Time Protocol RFC 951 BOOTP RFC 1058 RIPv1 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 2030 Simple Network Time Protocol (SNTP) v4 RFC 2131 DHCP RFC 2453 RIPv2 RFC 2548 (MS-RAS-Vendor only) RFC 3046 DHCP Relay Agent Information Option RFC 3576 Ext to RADIUS (CoA only) RFC 3768 VRRP RFC 4675 RADIUS VLAN & Priority UDLD (Uni-directional Link Detection) RFC 3376 IGMPv3 (host joins only) RFC 3973 Draft 2 PIM Dense Mode RFC 4601 Draft 10 PIM Sparse Mode RFC 1981 IPv6 Path MTU Discovery RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3019 MLDv1 MIB RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Address Selection for IPv6 Strona 11

12 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 (host joins only) RFC 4022 MIB for TCP RFC 4113 MIB for UDP RFC 4251 SSHv6 Architecture RFC 4252 SSHv6 Authentication RFC 4253 SSHv6 Transport Layer RFC 4254 SSHv6 Connection RFC 4291 IP Version 6 Addressing Architecture RFC 4293 MIB for IP RFC 4294 IPv6 Node Requirements RFC 4419 Key Exchange for SSH RFC 4443 ICMPv6 RFC 4541 IGMP & MLD Snooping Switch RFC 4861 IPv6 Neighbor Discovery RFC 4862 IPv6 Stateless Address Autoconfiguration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 5340 OSPFv3 for IPv6 RFC 5453 Reserved IPv6 Interface Identifiers RFC 5722 Handling of Overlapping IPv6 Fragments RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1724 RIPv2 MIB RFC 1850 OSPFv2 MIB RFC 2021 RMONv2 MIB RFC 2096 IP Forwarding Table MIB RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2620 RADIUS Accounting MIB RFC 2665 Ethernet-Like-MIB RFC MAU MIB RFC p and IEEE 802.1Q Bridge MIB RFC 2737 Entity MIB (Version 2) RFC 2787 VRRP MIB RFC 2863 The Interfaces Group MIB RFC 2925 Ping MIB IEEE 802.1AB Link Layer Discovery Strona 12

13 Protocol (LLDP) RFC 2819 Four groups of RMON: 1 (statistics), 2 (history), 3 (alarm) and 9 (events) RFC 3176 sflow ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) SNMPv1/v2c/v3 XRMON, sflow lub jflow RFC 2328 OSPFv2 RFC 3101 OSPF NSSA RFC 5340 OSPFv3 for IPv6 RFC 2474 DiffServ Precedence, including 8 queues/port RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 2865 RADIUS (client only) RFC 2866 RADIUS Accounting Secure Sockets Layer (SSL) SSHv1/SSHv2 Secure Shell Ad.6 Moduły SFP 1GBps Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Budowa small form-factor pluggable (SFP) Standard gigabit ethernet SX full-duplex na odległość minimum 550 m przy użyciu światłowodu wielodomowego multimode fiber Typ złącza LC Długość fali 850 nm Temperatura pracy 0 C do 70 C Temperatura przechowywania -40 C do 85 C Strona 13

14 Maksymalny pobór mocy Obsługiwane typy światłowodów Zasięg w metrach 0.7 W Średnica 62.5/125 µm lub 50/125 µm Światłowód gradientowy Wielomodowy zgodny z normami ITU-T G.651 i ISO/IEC Typ A1b lub odpowiednio A1a m przy użyciu światłowodu 62.5 µm m przy użyciu światłowodu 50 µm Ad. 7 Program do zarządzania oraz monitoringu Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) pokazywać stan poszczególnych urządzeń System zarządzania siecią musi realizować następujące funkcje w zakresie zarządzania dla 50 urządzeń (przełączników LAN) i 500 użytkowników umożliwiać nadzór i zdalną konfigurację nad zakupywanymi urządzeniami a w szczególności: rysować mapę sieci w oparciu o kupowane urządzenia umożliwiać tworzenie "templatów" konfiguracyjnych do konfiguracji poszczególnej grupy urządzeń umożliwiać automatyczny upgrade oprogramowania dla kupowanych urządzeń umożliwiać alarmowanie administratora o zdarzeniach poprzez: , syslog, snmp trap odnajdywać nowe urządzenia poprzez LLDP zbierać informację sflow na podstawie otrzymanych z zewnątrz informacji podejmować akcje (np. port shutdown, mac-lockdown) umożliwiać zaplanowanie zadań administracyjnych i wykonanie ich o zadanym czasie śledzić zmiany w konfiguracji zarówno softwarowej jak i Strona 14

15 hardwarowej dla poszczególnych urządzeń umożliwiać wykrycie użytkownika za pomocą adresu MAC lub IP System zarządzania ma pracować pod kontrolę systemu Windows, i być zarządzanym za pomocą dedykowanego klienta dostarczanego razem z oprogramowaniem System ma umożliwiać dokładanie kolejnych funkcjonalności poprzez instalację wtyczek Na system musi być wieczyste wsparcie i update ( nie dotyczy nośnika na którym dostarczane jest oprogramowanie) System ma umożliwiać zarządzanie grupą do 50 urządzeń sieciowych System ma umożliwiać wykreowanie praw użytkowników i przeniesienie ich na brzeg sieci Prawa mają być nadawane ze względu na: Prawa muszą zawierać min. Definicję : Raportowanie - system ma umożliwiać min. poniższe raportowanie : Współpraca z RADIUS - system musi współpracować min z następującymi RADIUSAmi : Współpraca z systemem nadzoru : Raportowania on-line : Współpraca z Active Directory grupę użytkownika nazwę użytkownika lokalizację z której użytkownik się podłącza czasu w którym użytkownik się podłącza urządzenie z którego użytkownik się podłącza przynależności do vlanu ACL QOS Bandwitch Limit czas logowania/użytkownika do sieci miejsce podłączenia użytkownika (switch, wlan, port) adresy użytkownika - MAC, IP przyznane polityki bezpieczeństwa dla użytkownika MS IAS Free Radius system musi być zintegrowany z systemem nadzoru do kupowanych switchy, np. w postaci wtyczki system ma wyświetlać informację o aktualnie zalogowanych użytkownika, ich ostatniej udanej próbie logowania do sieci system ma umożliwiać Strona 15

16 synchronizację baz danych użytkowników bezpośrednio z Active Directory System zarządzania ma pracować pod kontrolę systemu Windows, i być zarządzanym za pomocą dedykowanego klienta dostarczanego razem z oprogramowaniem System ma umożliwiać dokładanie kolejnych funkcjonalności poprzez instalację wtyczek Na system musi być wieczyste wsparcie i update ( nie dotyczy nośnika na którym dostarczane jest oprogramowanie) System ma umożliwiać zarządzanie grupą min 500 użytkowników System ma umożliwiać monitoring i automatyczną reakcję na brzegu sieci zdarzeń bezpieczeństwa np. wirusy, System ma wspierać mechanizmy xflow - minimalnie Slow System ma posiadać własne mechanizmy inteligencji - tzw. "behavioralną detekcję zdarzeń" oraz musi reagować na informację pochodzącą z urządzeń zewnętrznych ( w tym WI- FI) System ma umożliwiać automatyczne skierowanie całego podejrzanego ruchu do głębokiej analizy System ma umożliwiać łatwe odszukanie lokalizacji wewnętrznego atakującego System ma umożliwiać graficzne przedstawienie stanu sieci ze względu na stan bezpieczeństwa System musi znać dokładnie lokalizację wewnętrznego atakującego (LAN, WLAN) i móc podejmować akcję bezpośrednio w punkcie podłączenie tego atakującego System musi umożliwiać podjęcie różnych akcji w zależności od lokalizacji atakującego, czasu działania, System musi umożliwiać podjęcie akcji Wyłączanie portu Zablokowanie dostepu do wybranego adresu MAC Przeniesienie do vlanu kwarantany Ograniczenie przepustowości Kopiowanie ruchu z portu przełącznika do administrator System musi umożliwiać zestawienie łańcucha zdarzeń akcji dla pojedynczego zdarzenia, po z góry zadanym czasie system musi umożliwić automatyczny powrót do poprzedniego stanu. System musi umożliwiać zbudowanie tzw. białych list (adresy IP, MAC) które z definicji nie będą uznawane za atakującego System zarządzania musi pochodzić od tego samego producenta, od którego będą pochodzić przełączniki sieciowe Strona 16

17 Ad. 8 Intrusion Prevention System (IPS) Producent : Model :. Element Minimalne wymagania Parametry oferowane (,,TAK lub,,nie ) Parametry techniczne IPS System IPS musi pracować w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system) System IPS musi być całkowicie przezroczysty dla transmitowanych ramek i protokołów. Niedopuszczalne jest stosowanie mechanizmów wymagających uczenia się MAC adresów lub adresów IP, które mają zapewnić prawidłową transmisję danych (np. ARP proxy) System IPS musi zapewniać obsługę łączy z włączonym tagowaniem ramek IEEE 802.1Q. System musi pozwalać na obsługę min. 4 segmentów Gigabit Ethernet System musi zapewnić przy ustawieniach domyślnych inspekcję ruchu o przepustowości min.: 100 Mbps System nie może wprowadzać opóźnień w transmisji pakietów większych niż 600 µs. System musi być w stanie obsłużyć min. 1M zestawionych i utrzymywanych sesji System musi być w stanie obsłużyć min. ilość sesji na sekundę: 9700 Musi istnieć możliwość zbudowania systemu odpornego na awarie poprzez zastosowanie dwóch urządzeń mogących pracować w trybie activeactive (obydwa urządzenia biorą udział w przeglądaniu pakietów). IPS musi mieć możliwość pracy w trybie asymetrycznym dla Strona 17

18 przypadków asymetrycznego routingu, analizując ruch jednokierunkowy. Blokowanie ataków w tego rodzaju topologii nie może wymagać synchronizacji z innym urządzeniem klasy IPS System IPS musi wspierać 3 stopniowe analizowanie ruchu. Pierwszy stopień analizy musi być wykonywany przez dedykowany układ scalony, drugi stopień to przekazanie ruchu do szczegółowej analizy. Trzeci stopień realizuje szczegółową analizę za pomocą dedykowanych procesorów. System IPS nie powinien przekraczać wysokości 1U System musi zapewniać informowanie o zagrożeniach poprzez wysłanie e- maila, trap SNMP, przesłanie informacji do serwera Syslog, uruchomienie skryptu użytkownika. W przypadku wykrycia zagrożenia musi istnieć możliwość: zablokowania pakietów (Block), przepuszczenia pakietów (Permit), zapisania pakietu wyzwalającego filtr (Copy), skierowania ruchu do dedykowanej kolejki z możliwością ograniczenia przepustowości (Rate Limit), wysłania informacji do logu, wysłania a, zablokowania całego ruchu od adresu IP będącego źródłem ataku (Quarantine). Dodatkowo użytkownikowi musi być w takim przypadku wyświetlona strona WWW z informacją, iż został umieszczony w kwarantannie System IPS musi mieć możliwość automatycznej konfiguracji pobierania zestawu sygnatur na najnowsze zagrożenia. Zestawy sygnatur muszą być tworzone przez producenta systemu IPS najrzadziej raz w tygodniu i muszą uwzględniać najnowsze wykryte zagrożenia. Zestawy sygnatur muszą być pobierane z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne oraz Strona 18

19 System zarządzania sondami IPS przeprowadzenie ataku DoS/DDoS na serwer udostępniający dane zastosowanie rozproszonego systemu dystrybucji np. poprzez sieć serwerów Akamai. Aktualizacja sygnatur nie może wpływać na działanie systemu IPS niedopuszczalne jest przerwanie przetwarzania pakietów przez system. Sygnatury identyfikujące bezsporne zagrożenia muszą być włączone w tryb blokowania pakietów. Musi istnieć możliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła i przeznaczenia. Musi istnieć możliwość definiowania zakresów adresów IP źródła i przeznaczenia, dla których system ma przeprowadzać wyszukiwanie zagrożeń - pakiety z niezdefiniowanej puli adresów nie będą przez system przeglądane. System IPS musi posiadać możliwość zachowania aktualnej konfiguracji w pamięci urządzenia i późniejszego jej odtworzenia. Musi istnieć możliwość przesłania zachowanej konfiguracji poza systemem IPS. System IPS musi być zarządzalny poprzez lokalną konsolę (RS-232), przeglądarkę www (HTTPs), Telnet oraz SSH. System IPS musi być zarządzalny przez dedykowaną platformę zarządzania. System zarządzania sondami IPS musi mieć możliwość zarządzania wieloma systemami IPS System zarządzania musi mieć wbudowaną redundancję zasilania. Musi istnieć możliwość uruchomienia systemu zarządzania w trybie zapewniającym pełną odporność na awarię. System zarządzania musi pozwalać na monitorowanie stanu pracy wszystkich zainstalowanych sond IPS. System zarządzania musi pozwalać na gromadzenie logów ze wszystkich obsługiwanych sond IPS. System zarządzania musi posiadać Strona 19

20 zaawansowany system przeszukiwania logów pozwalający na przeprowadzanie analizy. System zarządzania musi posiadać możliwość tworzenia raportów i umieszczania ich na stronie www, przesyłania em w różnych formach (plik pdf, plik html, embedded html), umieszczania na serwerach pracujących pod kontrolą systemu współdzielenia plików SMB lub NFS. System zarządzania musi posiadać możliwość automatycznej generacji raportów za wybrany okres (np. godzina, dzień, tydzień itp.). System zarządzania musi pozwalać na tworzenie wielu polityk bezpieczeństwa zawierających różne zestawy sygnatur i przydzielania ich do segmentów zdefiniowanych na różnych urządzeniach Polityki muszą posiadać historię zmian, wraz z informacją kto politykę zmodyfikował i kiedy. Musi być możliwość przywrócenia dowolnej wersji zmodyfikowanej wcześniej polityki System musi umożliwiać przypisanie różnych administratorów do różnych zdefiniowanych segmentów sieci. Sondy IPS oraz system zarządzania sondami IPS musi pochodzić od tego samego producenta, od którego będą pochodzić przełączniki sieciowe. Ad. 9 Zapora systemowa (Firewall) Producent : Model :. Minimalne wymagania System zabezpieczeń musi realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. Polityka zabezpieczeń firewall i kontroli aplikacji (w tym P2P, IM, Parametry oferowane (rzeczywisty parametr systemu ) Strona 20

21 Facebook) musi być oparta o reguły jednoznacznie definiujące adresy IP klientów i serwerów, protokoły i usługi sieciowe, użytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie. Dopuszczalne jest rozwiązanie posiadające dwie oddzielne, oparte o reguły polityki dla firewall i kontroli aplikacji. Nie jest dopuszczalne definiowane kontroli aplikacji w dołączanych do polityki firewall profilach typu UTM i IPS. System zabezpieczeń musi identyfikować aplikacje bez względu na numery portów, protokoły tunelowania i techniki obchodzenia systemów kontroli (włącznie z P2P i IM). System zabezpieczeń musi działać zgodnie z zasadą tzw. minimalnego koniecznego dostępu, tzn. system zabezpieczeń blokuje wszystkie aplikacje, poza tymi które w regułach polityki firewall zabezpieczeń są wskazane jako dozwolone. Baza wzorców unikalnych aplikacji musi zawierać minimum 4500 pozycji, a baza Widget ów Web 2.0 minimum pozycji. System zabezpieczeń przeznaczony jest do ochrony systemu informatycznego użytkowanego przez nieograniczoną liczbę pracowników. Liczba jednocześnie obsługiwanych przez firewall sesji może być ograniczona jedynie wydajnością platformy sprzętowej. System musi umożliwiać identyfikowanie niedozwolonych lub podejrzanych działań, prób ataku oraz po ich wykryciu podnosi alarm (m.in. wykrywa skanowanie portów, IP Spoofing, SYN Flood, CodRad, Nimda). Firewall bez dodatkowych aplikacji musi umożliwiać szczegółową kontrolę aplikacji sieciowych (m.in. kontroluje schematy i adresację URL, blokuje niedozwolone załączniki w stronach HTML jak ActiveX i Java, blokuje niedozwolone pliki kopiowane poprzez HTTP, blokuje URL zawierające niedozwolone słowa, kontroluje rozmiar przesyłek pocztowych, blokuje Mail Relaying, blokuje niedozwolone pliki przesyłane jako załączniki do poczty). System może być rozbudowany o dedykowane zabezpieczenia dla protokołu HTTP (tzn. aplikacyjny Firewall dla serwerów Web realizujących m.in. analizę i blokowanie złośliwych kodów w ruchu HTTP). Sygnatury ataków na Web są regularnie dostarczane przez producenta zabezpieczeń. System musi umożliwiać dynamiczną i statyczną translację adresów NAT. Reguły NAT muszą być generowane automatycznie lub definiowane ręcznie. System musi umożliwiać uwierzytelnianie administratorów za pomocą haseł statycznych, haseł dynamicznych lub certyfikatów cyfrowych. Wymagana jest możliwość definiowania szczegółowych uprawnień administratorów (np. tylko do odczytu logów, tylko do zarządzania użytkowników). System musi posiadać wiele metod uwierzytelniania użytkowników Strona 21

22 lokalnych i zdalnych (np. uwierzytelnianie przezroczyste gdzie firewall przechwytuje sesję i uwierzytelnia jej użytkownika, uwierzytelnianie za pomocą agenta na stacji użytkownika, uwierzytelniania po połączeniu się z modułem firewall). Baza użytkowników kontrolowanych przez system zabezpieczeń może znajdować się na zewnętrznym serwerze LDAP. System zabezpieczeń transparentnie ustala tożsamość użytkowników sieci (integracja z kontrolerem domeny AD). Uwierzytelnianie transparentne oznacza, że użytkownik nie musi podawać swojego identyfikatora i hasła w systemie zabezpieczeń. Polityka kontroli dostępu musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i aplikacji (w tym P2P, IM, Facebook), tzn. umożliwiać różnicowanie polityki kontroli dostępu do aplikacji pomiędzy różnymi kategoriami (grupami) użytkowników na podstawie ich przynależności do poszczególnych grup w LDAP/AD, oraz bez konieczności stosowania dodatkowych urządzeń sieciowych lub instalacji jakiegokolwiek oprogramowania agenckiego po stronie komputera użytkownika. System musi pozwalać na rozbudowanie funkcjonalności poprzez wykupienie licencji i instalacje dodatkowych modułów, np. moduł ochrony antywirusowej, URL filtering, itd. Funkcjonalność systemu w razie potrzeby może zostać rozszerzona z użyciem rozwiązań innych dostawców (np. oprogramowanie antywirusowe, urzędy certyfikacji, systemy uwierzytelniania). Integracja systemu z zabezpieczeniami innych dostawców powinna odbywać się za pomocą dedykowanych protokołów. System zabezpieczeń musi umożliwiać tworzenie sieci VPN w oparciu o standard IPSec/IKE, funkcjonujące w trybie site-site oraz client-site. System musi posiadać możliwość obsługi zdalnych użytkowników łączących się za pomocą IPSec, SSL VPN oraz L2TP. Uwierzytelnianie w sieci VPN powinno odbywać się za pomocą certyfikatów cyfrowych wydawanych lokalnie oraz w razie potrzeby przez zewnętrzny urząd certyfikacji. System zabezpieczeń musi posiadać wbudowany wewnętrzny urząd certyfikacji (CA) do wydania certyfikatów VPN. Zarządzanie systemem zabezpieczeń oraz CA musi odbywać się z tej samej konsoli administracyjnej. Zabezpieczenie danych w sieci VPN musi odbywać się z użyciem mocnych algorytmów kryptograficznych (m.in. AES-256 i 3DES). Konsola zarządzania systemem musi umożliwiać centralą aktualizację oprogramowania systemowego (m.in. instalację poprawek i nowych wersji). W razie potrzeby system zarządzania może zostać rozbudowany do konfiguracji odpornej na awarie (tzn. dwóch stacji zarządzających w klastrze HA). Synchronizacja stacji zarządzających odbywa się automatycznie. Strona 22