Opis przedmiotu zamówienia

Transkrypt

1 Załącznik nr 1 do SIWZ TEKST UJEDNOLICONY NA DZIEŃ R. DOA-ZP-II Opis przedmiotu zamówienia I. Przedmiotem zamówienia jest Dostawa Systemu Bezpieczeństwa Brzegu Sieci Oznaczenia kodu CPV Wspólnego Słownika Zamówień (kod i opis): 1) Główny kod CPV: Urządzenia komputerowe II. III. IV. Miejsce wykonywania: siedziba Zamawiającego. Warunki gwarancji i rękojmi za wady: Zgodnie z pkt. 5 Szczegółowego Opisu Przedmiotu Zamówienia. Czas trwania zamówienia lub termin wykonania: Etap I wykonanie koncepcji Projektu Rozwiązania -10 dni roboczych od dnia wejścia w życie umowy. Etap II - 64 dni robocze od dnia wejścia w życie umowy. Etap III szkolenia dla administratorów Zamawiającego, w ciągu 61dni roboczych od dnia dokonania odbioru Rozwiązania, lecz nie wcześniej niż przed zakończeniem etapu II. Etap IV - gwarancja dla dostarczonego Systemu oraz wdrożonego Rozwiązania przez okres 48/60 miesięcy (okres udzielonej gwarancji uzależniony od oferty Wykonawcy) od dnia podpisania protokołu odbioru końcowego, lecz nie wcześniej niż przed zakończeniem etapu II. 1. Przedmiotem zamówienia jest: Szczegółowy Opis Przedmiotu Zamówienia 1.1. Opracowanie Projektu rozwiązania zaoferowanego Systemu w infrastrukturze Zamawiającego Dostawa Systemu Bezpieczeństwa Brzegu Sieci, który został opisany w punkcie Wdrożenie Rozwiązania zgodnie z opisem zawartym w punkcie Przeszkolenie administratorów Zamawiającego w zakresie zarządzania Rozwiązaniem, zgodnie z opisem zawartym w punkcie Świadczenie gwarancji dla dostarczonego Systemu i Rozwiązania. 2. Otoczenie projektu. 1

2 2.1. Zamawiający zamierza dokonać wymiany posiadanego firewall-a brzegowego oraz systemu ochrony aplikacji internetowych - WAF. Podstawowe cele jakie zamierza osiągnąć w ramach realizacji Zamówienia to: Uzyskanie sprzętowego firewall-a brzegu sieci, działającego w układzie redundantnym, który zapewni takie funkcjonalności jak: Kontrolę ruchu sieciowego; IPS; Ochronę antywirusową; Tworzenie tuneli VPN; Kontrolę treści stron internetowych URL Filtering; Kontrolę ruchu SSL; Oprogramowania zapewniającego ochronę stacji roboczych, które będzie służyło do kompleksowego wykrywania, monitorowania, blokowania i usuwania zaawansowanych zagrożeń i ataków cybernetycznych wraz z możliwością wykonania automatycznie oraz manualnie działań naprawczych (ang. remediation); Web Application Firewall wraz z ochroną DNS, jako serwera wirtualnego lub sprzętowego appliance, działających w układzie redundantnym Uzyskać, w jak największym stopniu integrację wszystkich dostarczanych Produktów, tak aby uzyskanie Rozwiązanie, stanowiło spójne narzędzie zapewniające ochronę systemu teleinformatycznego Zamawiającego Zamawiający posiada następującą infrastrukturę, którą zamierza przeznaczyć do realizacji niniejszego Zamówienia: Odpowiednio wyposażone pomieszczenia głównego węzła sieci macierze HP-3PAR z wolną przestrzenią dyskową na tworzenie serwerów wirtualnych konfiguracja należy do Zamawiającego Licencje Windows Server Datacenter 2016 R2 z licencjami System Center Środowisko serwerów fizycznych Hyper-V 2012R2 działających w klastrze niezawodnościowym zarządzane z poziomu System Center Stacje robocze pracujące pod kontrolą systemów operacyjnych: Windows 7, Windows 8, Windows 10 oraz Linux Dla konsoli zarządzania firewallami brzegowymi serwer wirtualny VMWare Esxi 5.5 o następujących parametrach: 16GB RAM, 4 VCPU, 16 TB HDD Dla konsoli zarządzania oprogramowania ochrony stacji roboczych dwa serwery wirtualne Hyperv o następujących parametrach: 16GB RAM, 4 VCPU, 120 GB HDD Dla WAF, dwa serwery wirtualne Hyper-v o następujących parametrach: 16GB RAM, 4 VCPU, 100 GB HDD. 3. Definicje Awaria uszkodzenie Rozwiązania/Systemu/urządzenia/oprogramowania, elementu Rozwiązania/ Systemu/ urządzenia/ oprogramowania (Sprzętowe, programowe lub konfiguracyjne) lub poważne zakłócenie pracy Rozwiązania/Systemu/urządzenia/oprogramowania, w tym wynikające z błędów w konfiguracji poszczególnych elementów Rozwiązania, którego skutkiem jest brak możliwości korzystania z niego lub jego części. Za Awarię uważane jest również jednoczesne wystąpienie szeregu Usterek, w przypadku, gdy można wykazać, że występujące jednocześnie usterki mają ten sam skutek, co opisane powyżej Awarie. 2

3 3.2. Usterka uszkodzenie elementu Rozwiązania/Systemu/urządzenia/oprogramowania (sprzętowe lub programowe lub konfiguracyjne), której skutkiem jest brak dostępu do określonej funkcjonalności Rozwiązania/Systemu/urządzenia/oprogramowania, niemającej wpływu na realizację podstawowych jego funkcjonalności Dzień roboczy dzień roboczy Zamawiającego, tzn. dni robocze od poniedziałku do piątku za wyjątkiem dni ustawowo wolnych od pracy Koncepcja Projektu Rozwiązania - oznacza dokument zawierający wyniki prac związanych z ogólną analizą wymagań funkcjonalnych, sposobem implementacji Rozwiązania w środowisku Zamawiającego i integracji Systemu Rozwiązanie oznacza System funkcjonujący na infrastrukturze teleinformatycznej Zamawiającego wykorzystywanej przez System System to część Rozwiązania, oznacza wszystkie przewidziane elementy Rozwiązania, które zostaną dostarczone przez Wykonawcę w ramach Zamówienia Produkt część Systemu będąca urządzeniami lub oprogramowaniem wraz z innymi elementami dostarczonymi przez Wykonawcę w celu realizacji Zamówienia Dokumentacja oznacza dokumentację w formacie i formie opisanej w niniejszym dokumencie Projekt Rozwiązania - oznacza dokument zawierający wyniki prac związanych z analizą wymagań funkcjonalnych, sposobem implementacji Rozwiązania w środowisku Zamawiającego i integracji Systemu, a także przygotowaniem szczegółowego Harmonogramu prac CPD oznacza główne centrum przetwarzania danych Zamawiającego POP10 oznacza węzeł główny sieci Zamawiającego Zamawiający oznacza Miasto Łódź. 4. Warunki ogólne Dostarczane urządzenia muszą być fabrycznie nowe (tzn. wyprodukowane nie dawniej, niż na 6 miesięcy przed ich dostarczeniem) oraz by nie były używane Całość dostarczanego sprzętu musi pochodzić z autoryzowanego kanału sprzedaży producentów zaoferowanego sprzętu Producent urządzeń oraz oprogramowania musi posiadać certyfikat ISO-9001 (dla produkcji lub wytwarzania) lub nowszy lub certyfikat zgodny normami równoważnymi Wszystkie urządzenia muszą współpracować z siecią energetyczną o parametrach: 230 V ± 10%, 50 Hz., jednofazowo i być wyposażone w przewody zasilające Wszystkie urządzenia muszą być dostarczone z kompletem elementów niezbędnych do ich montażu w szafach rack Wszystkie oferowane urządzenia muszą działać pod kontrolą oprogramowania, które jest publiczną wersją, udostępnianą na rynku przez producenta oferowanych urządzeń. Zamawiający nie dopuszcza stosowania oprogramowania dedykowanego, stworzonego na potrzeby niniejszego zamówienia, dla zaoferowanych urządzeń Wszystkie oferowane urządzenia muszą być publicznie dostępne. Zamawiający nie dopuszcza stosowania urządzeń dedykowanych, stworzonych na potrzeby niniejszego zamówienia W ramach rozwiązania muszą być dostarczone wszystkie wymagane licencje konieczne do poprawnego jego działania dla oczekiwanych funkcjonalności Wszystkie dostarczone wkładki SFP+/QSFP+ muszą być objęte serwisem producenta urządzenia. 3

4 4.10. Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego z dostarczonych Produktów nie będzie stanowić naruszenia majątkowych praw autorskich osób trzecich. W wypadku powzięcia wątpliwości, co do zgodności oferowanych produktów z umową, w szczególności w zakresie legalności oprogramowania, Zamawiający jest uprawniony do: zwrócenia się do producenta oferowanych Produktów o potwierdzenie ich zgodności umów (w tym także do przekazania producentowi niezbędnych danych umożliwiających weryfikację), oraz zlecenia producentowi oferowanych Produktów, lub wskazanemu przez producenta podmiotowi, inspekcji produktów pod kątem ich zgodności umów oraz ważności i zakresu uprawnień licencyjnych Jeżeli inspekcja, o której mowa w pkt powyżej, wykaże niezgodność produktów z umową lub stwierdzi, że korzystanie z Produktów narusza majątkowe prawa autorskie osób producenta, koszt inspekcji zostanie pokryty przez Wykonawcę, według rachunku przedstawionego przez podmiot wykonujący inspekcję, w kwocie nieprzekraczającej 4% wartości zamówienia (ograniczenie to nie dotyczy kosztów poniesionych przez Strony w związku z inspekcją, jak np. konieczność zakupu nowego oprogramowania). Prawo zlecenia inspekcji nie ogranicza ani nie wyłącza innych uprawnień Zamawiającego, w szczególności prawa do żądania dostarczenia produktów zgodnych z umową oraz roszczeń odszkodowawczych Oferowane oprogramowanie i urządzenia w dniu składania ofert nie mogą być przeznaczone przez producenta do wycofania z produkcji, do wycofania ze sprzedaży lub wsparcia technicznego Zamawiający wymaga, by dostarczone oprogramowanie było oprogramowaniem w wersji aktualnej na dzień poprzedzający dzień składania ofert System stanowiący przedmiot Zamówienia musi być fabrycznie nowy (tj. nieregenerowany, nienaprawiany, niefabrykowany, nieużywany we wcześniejszych wdrożeniach), kompletny (w szczególności ze wszystkimi podzespołami, częściami, materiałami niezbędnymi do uruchomienia i użytkowania) Wszelkie koszty związane z realizacją przedmiotu Zamówienia ponosi Wykonawca Wszystkie prace w CPD i POP10 muszą odbywać się w obuwiu zmiennym lub w ochraniaczach obuwia, które zapewnią zachowanie czystości w ww. pomieszczeniach Funkcjonalności opcjonalne nie są wymagane obligatoryjnie (uzależnione są od oferty Wykonawcy). 5. Warunki gwarancji i serwisu Gwarancyjne usługi serwisowe będą świadczone w języku polskim Na Rozwiązanie musi zostać udzielona 48 miesięczna gwarancja (48/60 miesięcy gwarancji - okres udzielonej gwarancji uzależniony od oferty Wykonawcy), przy czym gwarancja nie obejmuje urządzeń i ich oprogramowania (firmware) wymienionych w pkt 2.2, które Zamawiający przeznacza do wykorzystania do niniejszego Zamówienia. Zamawiający wymaga, aby serwis był autoryzowany przez producenta urządzeń/oprogramowania (Produktów), to jest by zapewniona była naprawa lub wymiana urządzeń/oprogramowania lub ich części, na części nowe i oryginalne, zgodnie z metodyką i zaleceniami producenta Okres gwarancji rozpoczyna się od dnia podpisania protokołu odbioru końcowego Usługa gwarancyjna dla urządzeń i oprogramowania świadczona ma być w miejscu ich instalacji Czasy reakcji: 4

5 na zgłoszoną Awarię Rozwiązania (rozumianą jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 2 godzin; usunięcie awarii musi zostać wykonane w ciągu 8 godzin od momentu zgłoszenia awarii na zgłoszoną Usterkę (rozumianą jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć 4 godzin; usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia lub oprogramowania) musi zostać wykonane w przeciągu następnego dnia roboczego od momentu zgłoszenia usterki W przypadku, gdy uszkodzeniu (awarii/usterce) ulegnie element, który nie jest objęty gwarancją Wykonawcy, wówczas po dokonaniu działań diagnostycznych Zamawiający uzna, że Wykonawca spełnił wymaganie. Po zakończeniu działań przez Zamawiającego, mających na celu usunięcia awarii/usterki elementu niebędącego przedmiotem gwarancji w ramach niniejszego Zamówienia, Zamawiający może ponownie dokonać zgłoszenia w celu ewentualnego dokończenia prac konfiguracyjnych Rozwiązania, zgodnie z odpowiednim trybem Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych o awariach i usterkach przez telefon, , WWW (przez całą dobę); Wykonawca musi udostępnić punkt przyjmowania zgłoszeń poprzez stronę WWW W przypadku sprzętu, dla którego jest wymagany dłuższy czas na naprawę, Zamawiający dopuszcza podstawienie na czas naprawy sprzęt o nie gorszych a porównywalnych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 21 dni roboczych od momentu zgłoszenia awarii lub usterki W przypadku, gdy Wykonawca nie dokona naprawy Urządzenia w okresie 21 dni roboczych od momentu upłynięcia terminu naprawy, Urządzenie objęte gwarancją zostanie wymienione na nowe wolne od wad. Wymiana Urządzenia nastąpi najpóźniej w 21 dniu roboczym od momentu zgłoszenia Awarii lub Usterki Wszelkie koszty związane z naprawami gwarancyjnymi, usuwaniem ujawnionych awarii i usterek, włączając w to koszt części i transportu z i do siedziby Zamawiającego ponosi Wykonawca Wykonawca zobowiązuje się do zwrotu kosztów naprawy gwarancyjnej zrealizowanej przez Zamawiającego w przypadku, gdy dwukrotnie bezskutecznie wzywał Wykonawcę do jej wykonania W czasie obowiązywania gwarancji, Wykonawca zobowiązany jest do udostępnienia Zamawiającemu nowych wersji BIOS, firmware, sterowników oraz innego oprogramowania niezbędnego do działania Rozwiązania (na płytach CD/DVD lub stronach internetowych) usługa gwarancyjna nie obejmuje elementów infrastruktury, które Zamawiający zamierza przeznaczyć do realizacji Zamówienia, opisanych w pkt 2.2 z wyłączeniem wykonywania aktualizacji (wgrywania poprawek udostępnianych przez producenta systemu operacyjnego, bazy danych w ramach posiadanych przez Zamawiającego licencji) systemów operacyjnych (o których jest mowa w pkt 2.2) na wszystkich serwerach, na których jest zainstalowane Rozwiązanie, W ramach gwarancji, Wykonawca zapewni Zamawiającemu prawo do aktualizacji wersji oprogramowania, występującego we wszystkich dostarczanych Produktach oraz pomocy technicznej, ich producentów i na warunkach określonych przez producenta Wykonawca ma obowiązek pomocy na telefon (hot Line) w godzinach pracy Zamawiającego Wykonawca jest zobowiązany do świadczenia pomocy pracownikom Zamawiającego bezpośrednio w miejscu instalacji Systemu przez inżynierów zaoferowanych produktów w ilości 2 man days miesięcznie przez okres 3 miesięcy od dnia dokonania odbioru rozwiązania. 5

6 5.17. W przypadku, gdy Zamawiający będzie chciał skorzystać z ww. pomocy, wówczas poinformuje Wykonawcę o takiej potrzebie z co najmniej 5 dniowym wyprzedzeniem. Pomoc ta będzie realizowana w Dniach roboczych Zamawiającego. 6. Szczegółowy opis przedmiotu zamówienia 6.1. W ramach realizacji Zamówienia dostarczy następujące Produkty: FireWall brzegowy; Oprogramowanie zapewniające ochronę stacji roboczych; Web Application Firewall - WAF Wymagania dla Produktu FireWall brzegowy szt. 2, każdy o następujących parametrach: Urządzenie musi być dostarczone jako dedykowane urządzenie typu appliance, przystosowane do montażu w szafie Rack 19 o wysokości maksymalnej 3U. Całość sprzętu musi być zarządzana przez jednego producenta Urządzenie musi być wyposażone w interfejsów typu 100/1000GBase-T Ethernet (RJ45) interfejsów typu 1/10GE SFP+ obsadzone modułami 10GE SFP+ SR (4 szt.) wraz z patchcordami LC/PC-LC/PC duplex o długości 2m (4 szt.) interfejsy typu 40GE QSFP+ obsadzone modułami pozwalającymi na transmisję na odległość minimum 100m (2szt.) Ponadto Wykonawca dostarczy 2 szt. wkładek 40GE QSFP+ (odległość transmisji minimum 100m) do przełącznika Juniper QFX S wraz z odpowiednimi patchcordami OM3/OM4 o długości 2 m. tak aby uzyskać stosowne połączenia z dostarczonym firewallem brzegowym Urządzenie musi być wyposażone w twardy dysk do przechowywania logów i raportów o pojemności nie mniejszej niż 2 TB podczas działania w trybie RAID 1 lub RAID Urządzenie musi być wyposażone w dedykowany port konsoli/zarządzania. Port ten musi być wydzielony co najmniej logicznie i musi pracować w innej instancji routingu co porty obsługujące ruch poddawany inspekcji Urządzenie musi spełniać co najmniej następujące parametry wydajnościowe: Minimum 17 Gbps dla inspekcji ruchu z włączoną kontrolą aplikacji, Minimum 8,5 Gbps dla inspekcji ruchu z włączonymi funkcjami IPS, Antywirus, kontrola aplikacji, Minimum 2 Gbps dla inspekcji ruchu SSL (deszyfracja ruchu szyfrowanego) z włączonymi funkcjami IPS, Antywirus, kontrola aplikacji dla sesji 64kB Minimum 150 tys. nowych połączeń na sekundę Minimum równoległych sesji Minimum 400 tys. równoległych sesji dla połączeń SSL (deszyfracja ruchu szyfrowanego) Urządzenie musi umożliwiać działanie co najmniej w trzech trybach pracy rutera (tzn. w warstwie 3 modelu OSI), przełącznika (tzn. w warstwie 2 modelu OSI), w trybie pasywnego nasłuchu (sniffer) Tryb pracy urządzenia musi być ustalany bądź w konfiguracji interfejsu sieciowego bądź w ustawieniach systemu, a system musi umożliwiać pracę we wszystkich wymienionych powyżej trybach jednocześnie na różnych interfejsach inspekcyjnych w pojedynczej logicznej instancji systemu (np. wirtualny kontekst/system/firewall/wirtualna domena, itp.) 6

7 Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN. Urządzenie musi obsługiwać 4094 znaczników VLAN zgodnych z 802.1q. Urządzenie musi pozwalać na tworzenie tzw. subinterfejsów na interfejsach pracujących w trybie L2 i L Urządzenie musi umożliwiać translację adresów IP (NAT, PAT) zarówno statyczną jak i dynamiczną. Reguły dotyczące NAT muszą być odrębne od reguł definiujących polityki bezpieczeństwa tak aby reguły dotyczące translacji nie powodowały w żaden sposób zależności od konfiguracji tych polityk Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet Urządzenie musi umożliwiać zestawianie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site Konfiguracja VPN musi odbywać się w oparciu o ustawienia routingu (tzw. routing-based VPN). Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN Urządzenie musi spełniać co najmniej następujące parametry wydajnościowe: Minimum 8Gbps Minimum 2000 tuneli IPSEC VPN Minumum 2000 tuneli SSL VPN Remote Access Jeżeli wykorzystanie funkcji VPN (IPSec i SSL) wymaga zakupu dodatkowych licencji należy je przewidzieć w ofercie dla maksymalnej jego wydajności tzn. dla 2000 jednoczesnych użytkowników Urządzenie musi umożliwiać uwierzytelnienie dwuskładnikowe (MFA - multi factor authentiaction) i zastosowanie tego mechanizmu w politykach Polityki definiujące powinny umożliwiać wykorzystanie adresów źródłowych, adresów docelowych, użytkowników, numerów portów usług kategorie URL, rozpoznanych aplikacji, protokołów sieciowych System musi obsługiwać co najmniej następujące mechanizmy uwierzytelnienia zarówno Administratorów urządzenia jak i użytkowników sieci RADIUS lub TACACS+, LDAP, Kerberos lub SAML Urządzenie musi zapewniać zarządzanie pasmem sieci (QoS) w zakresie co najmniej oznaczania pakietów znacznikami DiffServ, ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego kształtowania ruchu sieciowego (QoS) dla poszczególnych użytkowników kształtowania ruchu sieciowego (QoS) per sesja na podstawie znaczników DSCP przydzielania takiej samej klasy QoS dla ruchu wychodzącego i przychodzącego Urządzenie musi posiadać funkcję ochrony przed atakami typu DoS wraz z możliwością limitowania ilości jednoczesnych sesji w odniesieniu do źródłowego lub docelowego adresu IP. 7

8 Urządzenie musi umożliwiać obsługę protokołów routingu minimum RIP, OSPF, BGP oraz routing statyczny Urządzenie musi obsługiwać nie mniej niż 20 wirtualnych routerów posiadających odrębne tabele routingu i umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń. Zamawiający dopuszcza rozwiązania, gdzie system urządzenia wymaga, aby tablica routingu była powiązana z wirtualnym systemem w relacji 1:1 wówczas należy przewidzieć w ofercie trzykrotnie większą liczbę wirtualnych firewalli obsługiwanych przez urządzenie aniżeli wymagana w pozostałych wymaganiach dla urządzenia oraz odpowiednio większą instalację systemu zarządzania (dotyczy liczby zarządzanych firewalli logicznych) Urządzenie musi obsługiwać nie mniej niż 10 wirtualnych firewalli/systemów/domen/kontekstów i posiadać możliwość rozbudowy do 20 takich systemów. Każdy firewall wirtualny musi mieć możliwość konfiguracji indywidualnych, niezależnych i odrębnych: tablic routingu (przy czym system musi umożliwiać uruchomienie więcej niż jednej tablicy routingu w pojedynczej instancji systemu zabezpieczeń, lub zapewnić odpowiednio więcej systemów wirtualnych) Polityk bezpieczeństwa obejmujących Listy ACL System IPS System ochrony antymalware/antyspyware System ochrony antywirus Koncentratorów VPN dla zdalnego dostępu (Funkcjonalność opcjonalna) - urządzenie musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji urządzenia do momentu, gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu w tym Możliwość edytowania konfiguracji kandydackiej przez wielu administratorów pracujących jednocześnie i pozwalać im na zatwierdzanie i cofanie zmian których są autorami Możliwość blokowanie wprowadzania i zatwierdzania zmian w konfiguracji systemu przez innych administratorów w momencie edycji konfiguracji wykreślono Urządzenie musi umożliwiać obsługę klastra niezawodnościowego tworzenia konfiguracji odpornej na awarie dla urządzeń. Urządzenia w klastrze muszą funkcjonować w trybie Active/Passive i Active/Active Polityka bezpieczeństwa systemu zabezpieczeń musi prowadzić kontrolę ruchu sieciowego i uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, aplikacje, użytkowników aplikacji, kategorie URL, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem QoS. Urządzenie musi umożliwiać zdefiniowanie nie mniej niż reguł polityki bezpieczeństwa 8

9 Urządzenie musi umożliwiać rozpoznawanie aplikacji bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Identyfikacja aplikacji musi odbywać się co najmniej poprzez sygnatury. Identyfikacja aplikacji nie może wymagać podania w konfiguracji urządzenia numeru lub zakresu portów na których dokonywana jest identyfikacja aplikacji. Należy założyć, że wszystkie aplikacje mogą występować na wszystkich dostępnych portach. Wydajność kontroli firewalla stanowego i kontroli aplikacji musi być taka sama i wynosić w ruchu full-duplex nie mniej niż wskazano w wymaganiach wydajnościowych (Funkcjonalność opcjonalna ) - identyfikacja aplikacji poprzez analizę heurystyczną Urządzenie musi wykrywać co najmniej 2500 predefiniowanych aplikacji wspieranych przez producenta (takich jak Skype, Tor, BitTorrent, emule, UltraSurf, TeamViewer, WebEx ) wraz z aplikacjami tunelującymi się w HTTP lub HTTPS oraz pozwalać na ręczne tworzenie sygnatur dla nowych aplikacji bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi lub poprzez konsolę zarządzającą Urządzenie musi przeprowadzać kontrolę aplikacji w sposób umożliwiający potraktowanie informacji o niej jako atrybutu a nie jako wartości w polityce bezpieczeństwa. W szczególności dotyczy to implementacji w modułach innych jak firewall (np. w IPS lub innym module UTM) w których informacja o aplikacji będzie mogła być tylko wykorzystana jako wartość w polityce Urządzenie musi pozwalać na blokowanie transmisji plików, nie mniej niż: bat, cab, pliki MS Office, rar, zip, exe, gzip, hta, pdf, tar, tif. Rozpoznawanie pliku musi odbywać się na podstawie nagłówka i typu MIME, a nie na podstawie rozszerzenia (Funkcjonalność opcjonalna ) - urządzenie pozwali na blokowanie transmisji plików szyfrowanych co najmniej: doc, xls, ppt, zip, rar Urządzenie musi pozwalać na analizę i blokowanie plików przesyłanych w zidentyfikowanych aplikacjach Urządzenie musi zapewniać ochronę przed atakami typu Drive-by-download Urządzenie musi posiadać możliwość zdefiniowania ruchu SSL który należy poddać lub wykluczyć z operacji deszyfrowania i głębokiej inspekcji rozdzielny od polityk bezpieczeństwa Dla ruchu deszyfrowanego urządzenie musi posiadać możliwość podstawiania certyfikatu wygenerowanego bezpośrednio na urządzeniu lub wygenerowanego przez Zamawiającego i zaimportowanego do systemu w powszechnie uznanych formatach Urządzenie musi zapewniać inspekcję szyfrowanej komunikacji SSH (Secure Shell) dla ruchu wychodzącego w celu wykrywania tunelowania innych protokołów w ramach usługi SSH Rozwiązanie musi umożliwiać uwierzytelnienie użytkowników lub transparentne ustalenie jego tożsamości w oparciu o: Microsoft Active Directory, serwery Terminal Services LDAP Polityka kontroli dostępu urządzenia musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i musi być utrzymywana nawet gdy użytkownik zmieni lokalizację i adres IP Urządzenie musi posiadać możliwość zbierania i analizowania informacji Syslog z urządzeń sieciowych i systemów innych niż MS Windows (np. Linux lub Unix) w celu łączenia nazw użytkowników z adresami IP hostów, z których ci użytkownicy nawiązują połączenia. 9

10 Funkcja musi umożliwiać wykrywanie logowania jak również wylogowania użytkowników do stacji roboczych. Dopuszcza się zastosowanie innego mechanizmu wbudowanego w urządzenie, który technicznie pozwoli na uzyskanie równoważnej funkcjonalności dotyczącej śledzenia logowania użytkowników Urządzenie musi posiadać funkcjonalność Intrusion Prevention System (IPS) wraz z aktualizacją sygnatur w okresie gwarancji System IPS musi działać w warstwie 7 modelu OSI Baza sygnatur IPS/IDS musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny Moduł IPS/IDS musi mieć możliwość uruchomienia per reguła polityki bezpieczeństwa firewall lub dla zadanego ruchu opisanego w regule bezpieczeństwa. Nie jest dopuszczalne, aby funkcja IPS/IDS uruchamiana była per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa) Urządzenie musi zapewniać możliwość ręcznego tworzenia sygnatur IPS Urządzenie musi posiadać funkcjonalność Antywirus (AV) wraz z aktualizacją sygnatur w okresie gwarancji Moduł AV musi być uruchamiany per aplikacja oraz wybrany dekoder taki jak http, smtp, imap, pop3, ftp, smb Baza sygnatur AV musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny nie rzadziej niż co 24 godziny Moduł AV musi uruchamiany per reguła polityki bezpieczeństwa firewall lub dla zadanego ruchu opisanego w regule bezpieczeństwa. Nie jest dopuszczalne, aby modułu inspekcji antywirusowej uruchamiany był per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa) Urządzenie musi zapewniać ochronę przed atakami typu Spyware Zamawiający dopuszcza by odbywało się to poprzez silnik AV lub silnik IPS lub silnik antymalware lub dedykowany silnik antyspyware Baza sygnatur anty-spyware musi być przechowywania na urządzeniu, regularnie aktualizowana w sposób automatyczny i pochodzić od tego samego producenta co producent systemu zabezpieczeń Reguły/silnik anty-spyware musi uruchamiany per reguła polityki bezpieczeństwa firewall lub dla zadanego ruchu opisanego w regule bezpieczeństwa. Nie jest dopuszczalne, aby funkcja ta była uruchamiana była per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa) Urządzenie musi zapewniać możliwość ręcznego tworzenia sygnatur antymalware lub antyspyware bezpośrednio na urządzeniu bez użycia zewnętrznych narzędzi i wsparcia producenta lub mieć możliwość tworzenia reguł antymalware lub antyspyware poprzez tworzenie sygnatur bazujących na sygnaturach IOC tworzonych centralnie lub poprzez konsolę zarządzającą Urządzenie musi posiadać narzędzia wykrywające i blokujące ruch do domen uznanych za złośliwe (sygnatury DNS). Rozwiązanie musi umożliwiać podmianę adresów IP w odpowiedziach DNS dla domen uznanych za złośliwe w celu łatwej identyfikacji stacji końcowych pracujących w sieci LAN zarażonych złośliwym oprogramowaniem (tzw. DNS Sinkhole) Urządzenie musi posiadać funkcję wykrywania aktywności sieci typu Botnet na podstawie analizy behawioralnej 10

11 Urządzenie musi posiadać funkcjonalność URL Flitering wraz z aktualizacjami Baza web filtering musi być regularnie aktualizowana w sposób automatyczny i posiadać nie mniej niż 50 milionów rekordów URL Moduł filtrowania stron WWW musi mieć możliwość uruchomienia per reguła polityki bezpieczeństwa firewall lub dla zadanego ruchu opisanego w regule bezpieczeństwa. Nie jest dopuszczalne, aby funkcja filtrowania stron WWW uruchamiana była tylko per całe urządzenie lub jego interfejs fizyczny/logiczny (np. interfejs sieciowy, interfejs SVI, strefa bezpieczeństwa) Moduł filtrowania stron WWW musi mieć możliwość uruchomienia różnych zakresów filtrowania stron WWW dla różnych reguł polityki bezpieczeństwa firewall lub dla zadanego ruchu opisanego w różnych regułach bezpieczeństwa Moduł filtrowania stron WWW musi zapewniać możliwość ręcznego tworzenia własnych kategorii filtrowania stron WWW i używania ich w politykach bezpieczeństwa bez użycia zewnętrznych narzędzi i wsparcia producenta Moduł filtrowania oprócz blokowania dostępu do stron wybranych kategorii musi umożliwiać wyświetlenie na ekranie użytkownika informacji, iż strona, którą chce wyświetlić jest zabroniona przez politykę bezpieczeństwa. Zamawiający musi mieć możliwość określania treści wyświetlanych informacji przy blokowaniu strony przez moduł filtrowania Moduł filtrowania musi mieć możliwość skonfigurowania które algorytmy szyfrowania SSL mają być obsługiwane Moduł filtrowania musi mieć możliwość blokowania dostępu do stron internetowych korzystających z wybranych wersji protokołu TLS (np. TLS v1.0) Moduł filtrowania musi mieć możliwość blokowania dostępu do stron na podstawie błędów w certyfikacie SSL (np. wygaśnięcie certyfikatu, niezaufany certyfikat serwera) Urządzenie musi posiadać funkcjonalność ochrony przed atakami day 0 i współpracy z sandboxem Urządzenie musi umożliwiać przechwytywanie i przesyłanie do zewnętrznych systemów typu Sand-Box plików różnych typów (exe, dll, pdf, msofffice (doc, docx, xls, xlsx.), java, swf, apk) przechodzących przez firewall z wydajnością modułu antywirus (zdefiniowaną w szczegółowych wymaganiach wydajnościowych) w celu ochrony przed zagrożeniami typu zero-day. System zewnętrzny musi znajdować się na terenie Unii Europejskiej, a wydajność usługi w chmurze musi zapewniać do próbek na dobę Systemy zewnętrzne, na podstawie przeprowadzonej analizy, muszą aktualizować system firewall sygnaturami nowo wykrytych złośliwych plików i ewentualnej komunikacji zwrotnej generowanej przez złośliwy plik po zainstalowaniu na komputerze końcowym Zarządzanie urządzeniem musi odbywać się z linii poleceń (CLI) oraz graficznej konsoli Web GUI dostępnej przez przeglądarkę WWW Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji) System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach Urządzenie musi umożliwiać uwierzytelnianie administratorów za pomocą bazy lokalnej, serwera LDAP, RADIUS lub TACACS+ 11

12 Musi być zapewniona możliwość stworzenia sekwencji uwierzytelniającej posiadającej co najmniej trzy metody uwierzytelniania (np. baza lokalna, LDAP i RADIUS) Urządzenie musi zapewniać interfejs API (JSON, REST, XML lub inny) będący integralną częścią systemu zabezpieczeń za pomocą którego możliwa jest konfiguracja i monitorowanie stanu urządzenia bez użycia konsoli zarządzania lub linii poleceń (CLI) Urządzenie musi zapewniać możliwość zapisania min. 20 poprzednich wersji konfiguracji na dysku twardym urządzenia. Przywrócenie jednej z poprzednich wersji konfiguracji jako konfiguracji aktywnej nie może powodować konieczności restartu urządzenia Urządzenie musi zapewniać możliwość eksportu i importu konfiguracji urządzenia do/z pliku Urządzenie musi zapewniać możliwość zatwierdzania zmian per pojedynczy system/firewall/kontekst wirtualny. Zmiany zatwierdzane w pojedynczym firewallu wirtualnym nie mogą być w jakikolwiek sposób widoczne w innych systemach wirtualnych, w szczególności niedopuszczalne jest aby zatwierdzenie zmian w pojedynczym systemie/kontekście wpływało w jakikolwiek sposób na ciągłość komunikacji, filtrację, reguły, polityki etc. w innych systemach wirtualnych Urządzenie musi umożliwiać eksportowanie logów do zewnętrznych serwerów SYSLOG. Minimalne informacje eksportu to: data i czas, adres źródłowy, adres docelowy, protokół sieciowy, numery portów źródłowy i docelowy, podjęte działanie, strefa/interfejs, o ile są znane to (URL/URI,aplikacja, nazwa użytkownika) Urządzenie musi posiadać funkcję automatycznego przeglądania logowanych informacji oraz pobierania z nich źródłowych i docelowych adresów IP hostów biorących udział w konkretnych zdarzeniach zdefiniowanych według wybranych atrybutów. Na podstawie zebranych informacji musi istnieć możliwość tworzenia obiektów wykorzystywanych w konfiguracji urządzenia w celu zapewnienia automatycznej ochrony lub dostępu do zasobów reprezentowanych przez te obiekty Urządzenie musi pozwalać na usuwanie logów i raportów przetrzymywanych na urządzeniu po upływie określonego czasu (Funkcjonalność opcjonalna) - urządzenie musi zapewniać wydzielenie modułu zarządzania i modułu przetwarzania danych na poziomie sprzętowym lub fizycznym (Funkcjonalność opcjonalna) - urządzenie musi umożliwiać sprawdzenie wpływu nowo pobranych aktualizacji sygnatur (przed ich zatwierdzeniem na urządzeniu) na istniejące polityki bezpieczeństwa, polityki Policy Based Routing oraz polityki QoS - funkcja ta musi być wbudowana w firewall i nie może wymagać korzystania z rozwiązań trzecich (Funkcjonalność opcjonalna) - w przypadku utraty komunikacji z centralną konsolą zarządzania urządzenie musi pozwalać na: Lokalne zbieranie i analizowanie logów korelowanie zbieranych informacji oraz budowania raportów na ich podstawie. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, aplikacjach, zagrożeniach filtrowaniu stron www tworzenie raportów dostosowanych do wymagań Zamawiającego, zapisania ich w systemie i uruchamiania w sposób ręczny lub automatyczny w określonych przedziałach czasu. Wynik działania raportów musi być dostępny w formatach co najmniej PDF, CSV i XML. 12

13 tworzenie raportów o aktywności wybranego użytkownika lub grupy użytkowników na przestrzeni wskazanego okresu czasu Urządzenie musi być wyposażone w zasilacze typu AC pracujące redundantnie Konsola zarządzająca: Wraz z urządzeniami Firewall konieczne jest dostarczenie centralnego systemu zarządzania Zamawiający dopuszcza budowę systemu w oparciu o kilka komponentów zarządzania oferowanych przez producenta firewalli i systemu zarządzania pod warunkiem, iż będą one pochodziły od jednego producenta i będą przez niego w całości serwisowane System musi pracować w trybie kolektora logów zbierającego jedynie dane z systemów bezpieczeństwa lub w trybie pełnej analizy w celu optymalizacji procesu zbierania logów System zarządzania, logowania i raportowania musi zostać dostarczony w postaci maszyny wirtualnej instalowanej w środowisku VMWare i Hyper-V. Zamawiający dopuszcza zastosowanie rozwiązania w postaci dedykowanego appliance przy spełnieniu wszystkich podanych poniżej wymagań System zarządzania, logowania i raportowania musi spełnić następujące wymagania minimalne obsługa nie mniej niż 10 firewalli fizycznych obsługa nie mniej niż 100 firewalli wirtualnych zapewnienie przestrzeni dyskowej o pojemności nie mniejszej niż 16 TB Możliwość rozbudowy o dodatkową przestrzeń dyskową przeznaczonej na logowanie (dopuszcza się rozbudowę poprzez dokupienie dodatkowej licencji) System zarządzania, logowania i raportowania musi umożliwiać zbieranie logów zdarzeń z systemów firewall. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, użytkownikach, aplikacjach, zagrożeniach i filtrowanych stronach WWW System musi umożliwiać korelację logów zdarzeń z zarządzanych firewalli System zarządzania, logowania i raportowania musi zapewniać narzędzia dla szybkiej i skutecznej analizy informacji w tym co najmniej umożliwiać tworzenie, zapisywanie i ponowne wykorzystywanie filtrów służących do wyszukiwania informacji w zebranych danych tworzenie własnych raportów przez Zamawiającego zapisywanie stworzonych raportów i uruchamianie ich w sposób ręczny lub automatyczny w określonych przedziałach czasu oraz wysyłania ich w postaci wiadomości do wybranych osób tworzenie dynamicznych raportów eksportu raportów do formatów PDF i CSV System zarządzania, logowania i raportowania musi umożliwiać centralne zarządzanie wieloma firewallami fizycznymi i logicznymi w tym co najmniej: budowanie i dystrybucję polityk bezpieczeństwa o różnym zasięgu. a. Lokalnych (dla wybranych firewalli lub logicznych systemów firewalla) b. globalnych (dla grup firewalli lub kilku systemów logicznych wybranych firewalli). 13

14 umożliwiać grupowanie firewalli i systemów z poszczególnych firewalli w logiczne kontenery lub logiczne grupy urządzeń umożliwiające wspólne zarządzanie (konfigurowanie polityk bezpieczeństwa, konfigurowanie ustawień sieciowych, wykorzystanie tych samych obiektów) Pozwalać na tworzenie raportów na podstawie zbudowanych kontenerów lub grup urządzeń umożliwiać przechowywanie i zarządzanie obiektami używanymi przez wszystkie firewalle w jednym, centralnym repozytorium umożliwiać odseparowanie konfiguracji urządzeń i ich ustawień sieciowych od konfiguracji reguł bezpieczeństwa i obiektów w nich użytych umożliwiać dzielenie obiektów pomiędzy firewallami i systemami logicznymi System zarządzania, logowania i raportowania musi umożliwiać centralne narzędzia inwentury i audytu oraz zarządzania konfiguracjami w tym co najmniej musi (funkcjonalność opcjonalna) - umożliwiać dystrybucję i zdalną instalację nowych wersji systemu oraz poprawek umożliwiać tworzenie kopii zapasowych zarządzanych firewalli umożliwiać dystrybucję i zdalną instalację nowych sygnatur umożliwiać audytowanie/sprawdzanie poprawności konfiguracji urządzenia/logicznego systemu przed jej zatwierdzeniem pozwalać na zapisywanie różnych wersji konfiguracji zarządzanych firewalli/logicznych systemów umożliwiać wykonanie procedury wymiany uszkodzonego urządzenia na nowe tak aby system zarządzania, logowania i raportowania zrozumiał, iż nowe urządzenie zastępuje urządzenie uszkodzone informować o zmianach konfiguracji systemu System zarządzania, logowania i raportowania musi umożliwiać tworzenie i używanie ról administracyjnych różniących się poziomem dostępu do danego urządzenia lub grupy urządzeń/logicznych systemów (Funkcjonalność opcjonalna) - system zarządzania, logowania i raportowania musi posiadać taki sam graficzny Interfejs Użytkownika (GUI) jak zarządzane firewalle Wymagania dla Produktu Oprogramowanie zapewniające ochronę stacji roboczych Oprogramowanie musi chronić komputery i serwery przed zaawansowanymi zagrożeniami, między innymi przed niesygnaturowym złośliwym oprogramowaniem i atakami typu 0-day, bez względu na to, czy zagrożenie pochodzi z obszaru plików, urządzeń i systemów końcowych, ruchu sieciowego, czy też z obszaru aktywności użytkowników Oprogramowanie musi zapobiegać atakom, uwzględniać behawiorystkę, umożliwiać wykrycie szkodliwych aktywności, wykorzystując zaawansowane metody analityczne, sandboxing oraz usługi SOC (ang.security Operations Center) dostarczane bezpośrednio przez producenta, które są świadczone w trybie 24/7 wraz z dedykowaną obsługą analiz wykrytego szkodliwego oprogramowania Oprogramowanie musi wykorzystywać moduły zapobiegania i blokowania technik ataków. Jego działanie nie może być oparte o metodę sygnaturową. Musi istnieć możliwość zastosowania modułów blokowania technik ataków zarówno dla powszechnie znanych i popularnych aplikacji jak również aplikacji własnych. 14

15 Oprogramowanie będzie zainstalowane na stacjach końcowych oraz serwerach Zamawiającego w ilości sztuk 3500 w tym: stacje robocze serwery MS Windows serwery Linux Oprogramowanie musi być dostępne co najmniej na poniższe systemy operacyjne MS Windows 7, 8, 8.1, MS Windows Server 2008, 2008 R2, 2012, 2012 R2, CentOS Ubuntu LTS, LTS Debian 8, Oprogramowanie musi współegzystować z istniejącymi u Zamawiającego rozwiązaniami zabezpieczeń stacji końcowych typu oprogramowanie antywirusowe w zakresie ochrony przed atakami aplikacyjnymi oraz złośliwymi kodami wykonywalnymi. Zamawiający rozumie słowo współegzystować, jako możliwość korzystania z tych zabezpieczeń jednocześnie (uruchomione i działające zgodnie z przeznaczeniem na stacji końcowej w tym samym czasie) wraz dostarczanym Oprogramowaniem Oprogramowanie musi być zarządzane poprzez graficzny interfejs użytkownika typu Web (Web GUI) Zarządzanie stacjami końcowymi musi odbywać z jednej konsoli Agent na stacji końcowej musi być aktualizowany z poziomu konsoli zarządzającej i proces ten musi odbywać się w sposób zautomatyzowany Komunikacja agentów z konsolą zarządzającą musi odbywać się w sposób szyfrowany protokołem TLS Oprogramowanie musi umożliwiać tworzenie konfigurowalnych grup umożliwiających przypisanie urządzeń i polityk Oprogramowanie musi umożliwiać tworzenie wyjątków konfiguracyjnych dla określonych stacji końcowych i działających na nich procesów bezpośrednio z poziomu i na bazie zebranych po stronie konsoli zarządzającej logów Oprogramowanie musi umożliwiać tworzenie tzw. białych list (ang. White Lists) znanych i zaufanych plików lub wykrytych jako potencjalnie niebezpieczne na każdym monitorowanym urządzeniu lub globalnie w celu obniżenia poziomu fałszywych alarmów i poprawy wydajności działania całego rozwiązania Oprogramowanie musi zapewniać ochronę przed atakami aplikacyjnymi typu exploit w tym co najmniej: ochronę procesów i aplikacji z możliwością dodawania do listy chronionych procesów aplikacji własnych zapewniać funkcję monitorowania i uczenia się środowiska aplikacyjnego Zamawiającego (tj. rozpoznania procesów i aplikacji działających na stacjach końcowych użytkowników) ochronę w czasie rzeczywistym przed możliwością wykorzystania jakiegokolwiek błędu bezpieczeństwa aplikacji poprzez blokowanie technik wykonania ataku (technik exploitacji ) zapewniać skuteczną ochronę przed atakami wykonywanymi z użyciem exploit ów dnia zerowego lub exploitów nieznanych wykorzystujących dowolny błąd bezpieczeństwa aplikacji poprzez blokowanie technik ataków 15

16 zapewniać możliwości monitorowania i zapobiegania atakom poprzez blokowanie szeregu technik ataków bez konieczności połączenia do konsoli zarządzającej i nie bazując na metodzie sygnaturowej W sytuacji wykrycia techniki ataku ukierunkowanej na podatną aplikację, celem zablokowania ataku oprogramowanie musi zatrzymać proces atakowanej aplikacji, zebrać pełen zestaw danych dowodowych (takich jak nazwa atakowanego procesu, źródło pochodzenia pliku, znacznik czasowy, zrzut pamięci, wersja systemu operacyjnego, tożsamość użytkownika, wersja podatnej aplikacji, itp.) oraz zakończyć działanie tylko tego konkretnego procesu umożliwiać jednoczesną ochronę wielu aplikacji i procesów przed technikami ataków, które mogą być na nich wykonane umożliwiać tworzenie wyjątków konfiguracyjnych dla określonych stacji końcowych celem wykluczenia ich z ogólnych reguł ochrony bezpośrednio z poziomu i na bazie zebranych po stronie konsoli zarządzającej logów Oprogramowanie nie może stosować technik analizy exploit ów wykorzystujących zasoby sprzętowe, takich jak lokalne środowisko symulacyjne typu sandbox lub zwirtualizowany kontener Oprogramowanie musi zapewniać ochronę przed złośliwymi plikami wykonywalnymi w tym co najmniej: Zapewniać funkcję monitorowania i uczenia się środowiska aplikacyjnego Zamawiającego (tj. rozpoznania procesów i aplikacji działających na stacjach końcowych użytkowników) umożliwiać ustalanie restrykcji parametrów i sposobu uruchamiania plików wykonywalnych (np. możliwość uruchamiania plików nie posiadających podpisu cyfrowego wystawcy) umożliwiać zapobieganie uruchamianiu złośliwego oprogramowania poprzez użycie modułów blokujących typowe zachowania złośliwych kodów wykonywalnych umożliwiać tworzenie wyjątków konfiguracyjnych dla określonych stacji końcowych celem wykluczenia ich z ogólnych reguł ochrony bezpośrednio z poziomu i na bazie zebranych po stronie konsoli zarządzającej logów Oprogramowanie musi zapewniać wykrywanie złośliwych kodów wykonywalnych w tym co najmniej musi posiadać opcję integracji ze stosowanym w organizacji chmurowym środowiskiem wykrywania ataków typu APT (Advanced Persistent Threat) lub posiadać własne środowisko chmurowe. Jednocześnie oprogramowanie musi zapewniać skuteczną ochronę przeciwko złośliwemu oprogramowaniu oraz atakom aplikacyjnym nawet jeśli nie posiada połączenia do środowiska chmurowego posiadać możliwość weryfikacji w chmurowym środowisku anty-apt czy dany plik jest złośliwy, czy nieszkodliwy na bazie skrótu cyfrowego pliku posiadać możliwość wysłania poprzez konsolę zarządzania lub portal producenta rozwiązania potencjalnie złośliwego pliku do analizy w chmurowym środowisku anty-apt posiadać możliwość wglądu w raport wynikowy analizy pliku w środowisku chmurowym anty-apt bezpośrednio z poziomu konsoli zarządzania oprogramowaniem zabezpieczeń stacji końcowych 16

17 posiadać możliwość zapobiegania nieznanym złośliwym plikom wykonywalnym poprzez zastosowanie chmurowego środowiska anty-apt typu sandbox. Dodatkowo powinna istnieć możliwość przedstawienia wyniku analizy pliku wraz z pełnym raportem z analizy. Oprogramowanie nie powinno analizować w środowisku chmurowym plików, które były w nim analizowane uprzednio. Musi działać mechanizm powiadamiania, iż dany plik był już wcześniej poddawany analizie posiadać możliwość ręcznego dostrojenia lub nadpisania werdyktu będącego wynikiem analizy w środowisku chmurowym dla konkretnego skrótu cyfrowego pliku zapewniać możliwość zablokowania uruchomienia pliku wykonywalnego jeśli skrót cyfrowy pliku jest nieznany, tj. plik ten nie był uprzednio analizowany w środowisku chmurowym anty-apt producenta zapewniać możliwość zablokowania uruchomienia pliku wykonywalnego jeśli stacja końcowa nie może skomunikować się z symulacyjnym środowiskiem chmurowym, a skrót cyfrowy pliku jest nieznany lokalnie z poziomu konsoli zarządzania Zapewniać możliwość uruchomienia analizy statycznej pliku opartej o algorytmy uczenia maszynowego w przypadku braku połączenia do symulacyjnego środowiska chmurowego Oprogramowanie musi zapewniać wbudowane mechanizmy raportowania w tym co najmniej musi posiadać wbudowane widoki do monitorowania poziomu i stanu bezpieczeństwa Zamawiającego: zapewniać raporty dotyczące operacji dokonywanych na ochranianym systemie zapewniać raporty dotyczące zdarzeń bezpieczeństwa wraz z widokami szczegółowymi posiadać widoki werdyktów na skanowanych plikach zapewniać widoki do monitorowania stanu poszczególnych stacji końcowych Zamawiającego- co najmniej widok Szczegółowego Stanu/Statusu Stacji Końcowych oraz widok Zmian Reguł Bezpieczeństwa Stacji Końcowych wyświetlać informacje, za pomocą przeglądarki www, na temat wykrytych zagrożeń i złośliwego oprogramowania oraz umożliwiać eksport dziennika zdarzeń zagrożeń i stanu stacji końcowych w formacie CSV umożliwiać wyszukiwanie stacji końcowych po nazwach urządzenia Oprogramowanie musi zapewniać zbieranie informacji do dokumentacji dowodowej (Forensics) w tym co najmniej: umożliwiać zbieranie dokumentacji dowodowej i danych ze stacji końcowych w jednym centralnym punkcie umożliwiać przesyłanie danych powiązanych z dokumentacją dowodową za pomocą szyfrowanego połączenia zapewniać możliwość wyświetlenia wysokopoziomowych informacji systemowych na temat stacji końcowej po wykryciu zagrożenia oraz zapewnić możliwość zebrania danych odnoszących się do zastosowanego mechanizmu ochrony celem dalszej analizy i śledztwa umożliwiać automatyczne tworzenie wyjątków odnośnie reguł oraz skrótów cyfrowych bezpośrednio z raportu dotyczącego wykrytego zagrożenia w celu umożliwienia uruchomienia danego procesu na poszczególnych stacjach końcowych. 17