ZAŁĄCZNIK NR 1 cd dot. PAKIETU 3 OPIS PRZEDMIOTU ZAMÓWIENIA Wymagania minimalne dotyczące systemu UTM 1. W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS - możliwość łączenia w klaster Active-Active lub Active-Passive. W ramach postępowania system powinien zostać dostarczony w postaci klastra HA. 2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. 3. Monitoring stanu realizowanych połączeń VPN. 4. System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparentnym. 5. System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet 10/100/1000 Base-TX, 4 gniazdami SFP 1Gbps oraz 2 gniazdami SFP+ 10Gbps 6. System powinien umożliwiać zdefiniowanie co najmniej 254 interfejsów wirtualnych - definiowanych jako VLAN y w oparciu o standard 802.1Q. 7. W zakresie Firewall a obsługa nie mniej niż 7 milionów jednoczesnych połączeń oraz 190 tys. nowych połączeń na sekundę 8. Przepustowość Firewall a: nie mniej niż 20 Gbps 9. Wydajność szyfrowania VPN IPSec: nie mniej niż 8 Gbps 10. System powinien mieć możliwość logowania do aplikacji (logowania i raportowania) udostępnianej w chmurze, lub producenci poszczególnych elementów systemu muszą oferować systemy logowania i raportowania w postaci odpowiednio zabezpieczonych platform sprzętowych lub programowych. 11. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcji. Mogą one być realizowane w postaci osobnych platform sprzętowych lub programowych: Kontrola dostępu - zapora ogniowa klasy Stateful Inspection Ochrona przed wirusami co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN Ochrona przed atakami - Intrusion Prevention System Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM. Kontrola zawartości poczty antyspam dla protokołów SMTP, POP3, IMAP str. 1
Kontrola pasma oraz ruchu [QoS, Traffic shaping] co najmniej określanie maksymalnej i gwarantowanej ilości pasma Kontrola aplikacji system powinien rozpoznawać co najmniej aplikacje typu: P2P, botnet (C&C ta komunikacja może być rozpoznawana z wykorzystaniem również innych modułów) Możliwość analizy ruchu szyfrowanego protokołem SSL Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP) 12. Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i server side w ramach modułu IPS) - minimum 6 Gbps 13. Wydajność skanowania ruchu z włączoną funkcją Antywirus - minimum 1,6 Gbps 14. W zakresie funkcji IPSec VPN, wymagane jest nie mniej niż: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Praca w topologii Hub and Spoke oraz Mesh Możliwość wyboru tunelu przez protokół dynamicznego routingu, np. OSPF Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth 15. W ramach funkcji IPSec VPN, SSL VPN producent powinien dostarczać klienta VPN współpracującego z oferowanym rozwiązaniem. 16. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny, dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. 17. Możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie Routingu, Firewall a, IP Sec VPN a Antywirus a, IPS a. 18. Translacja adresów NAT adresu źródłowego i docelowego. 19. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, protokoły, usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci. 20. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ 21. Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021). 22. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza sygnatur ataków powinna zawierać minimum 2000 wpisów. Ponadto administrator systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos. 23. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP. str. 2
24. Baza filtra WWW adresów URL pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator powinien mieć możliwość nadpisywania kategorii lub tworzenia wyjątków i reguł omijania filtra WWW. 25. Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL. 26. System zabezpieczeń musi umożliwiać weryfikację tożsamości użytkowników za pomocą nie mniej niż: Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory 27. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące certyfikaty: ICSA lub EAL4 dla funkcji Firewall ICSA lub NSS Labs dla funkcji IPS ICSA dla funkcji: SSL VPN, IPSec VPN 28. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i mieć możliwość współpracy z platformami dedykowanymi do centralnego zarządzania i monitorowania. Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów. 29. Logowanie i raportowanie a) W ramach systemu logowania i raportowania należy dostarczyć system monitorujący, gromadzący logi, korelujący zdarzenia i generujący raporty na podstawie danych ze wszystkich elementów systemu bezpieczeństwa. b) Platforma powinna dysponować predefiniowanym zestawem przykładów raportów, dla których administrator systemu będzie mógł modyfikować parametry prezentowania wyników. c) System centralnego logowania i raportowania powinien być dostarczony w postaci komercyjnej platformy programowej dla środowiska VMware, Microsoft Hyper-V 2008 R2/2012 W ramach centralnego systemu logowania, raportowania i korelacji powinny być realizowane przynajmniej poniższe funkcjonalności: a) Konfigurowalne opcje powiadamiania o zdarzeniach jak np. e-mail, SMS b) Podgląd logowanych zdarzeń w czasie rzeczywistym. c) Możliwość generowania raportów w zakresie wszystkich funkcjonalności bezpieczeństwa realizowanych przez system - na żądanie oraz w trybie cyklicznym, w postaci popularnych formatów min: PDF. Raporty powinny obejmować zagadnienie dotyczące całej sfery bezpieczeństwa. str. 3
d) Zastosowane systemy logowania powinny umożliwiać cykliczny eksport zgromadzonych logów do zewnętrznych systemów przechowywania danych w celu ich długo czasowego składowania. e) System powinien dysponować co najmniej 4 wirtualnymi interfejsami sieciowymi i umożliwiać logowanie minimum 5 GB danych dziennie 30. Serwisy i licencje a) W ramach postępowania powinny zostać dostarczone licencje aktywacyjne dla wszystkich wymaganych funkcji ochronnych, upoważniające do pobierania aktualizacji baz zabezpieczeń przez okres 5 lat. 31. Gwarancja oraz wsparcie: System objęty serwisem gwarancyjnym producenta przez okres 60 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. Zakres Prac związanych z uruchomieniem systemu UTM i infrastruktury WiFi System Firewallowy UTM 1. Analiza wymogów dotyczących bezpieczeństwa w zakresie transmisji danych oraz logicznego umiejscowienia serwerów/systemów szpitalnych, 2. Analiza obecnego stanu przepływu danych między strefami (podsieciami) oraz na styku z Internetem pod kątem aplikacji, portów TCP/UDP oraz wolumenu ruchu, 3. Analiza potrzeb biznesowych na funkcje UTM (weryfikacja działania obecnych systemów bezpieczeństwa IT oraz brakujących usług), 4. Analizę dostępu i uwierzytelnienia do aplikacji i systemów szpitalnych wewnątrz sieci (logowanie, klucze z certyfikatami, karty magnetyczne) oraz z Internetu (Port Forwarding, VPN) pod kątem unifikacji kontroli dostępu, 5. Opracowanie koncepcji umiejscowienia firewalla UTM w strukturze obecnej topologii sieci 6. Sporządzenie projektu wdrożenia firewalli UTM wraz ze szczegółowymi rysunkami w warstwie L2, L3 oraz L7 modelu OSI, 7. Projekt winien zawierać również opis wymaganych zmian w kontroli dostępu, autoryzacji do aplikacji i systemów szpitalnych, 8. Projekt winien zawierać dokładną procedurę migracji do nowego stanu z zachowaniem jak najkrótszych przestojów działania sieci i systemów a jeśli to możliwe brak takich przestojów, 9. Projekt winien również zawierać procedurę roll back w razie wystąpienia nieakceptowalnych skutków podczas migracji a cała przygotowana procedura winna być w pełni odwracalna, 10. W projekcie należy szczegółowo opisać system logowania zdarzeń (systemowe, VPN, dotyczące ruchu, wykrytych ataków i anomalii), raportowania (raporty na żądanie, wykonywane cyklicznie) oraz powiadamiania (SMS, Mail) w systemie niezależnym od właściwych firewalli UTM (awaria firewalla lub jego restart nie może powodować braku dostępu do logów i raportów), 11. Konfiguracja klastra składającego się z dwóch firewall UTM w trybie Active/Active oraz przełączników, które będą wchodzić w skład redundantnego układu HA klastra, 12. Konfiguracji routingów statycznych na firewallu a w razie potrzeby wdrożenia routingu dynamicznego (RIP, OSPF, BGP), str. 4
13. Wdrożenia szczegółowej polityki bezpieczeństwa (reguły dostępu dla ruchu z Internetu, do Internetu oraz między pozostałymi strefami) zgodnie z wytycznymi ze strony Zamawiającego, nie naruszając wymogi bezpieczeństwa w szpitalu, 14. Konfiguracja filtracji stron WWW na podstawie kategorii oraz treści, 15. Konfiguracja filtracji AntySpam z uwzględnieniem czarnych i białych list zamawiającego, 16. Konfiguracja sytemu DLP w oparciu o występowanie słów kluczowych według szablonów wyrażeń regularnych, rodzajów plików, meta danych, 17. Integracja firewalla z systemem autoryzacji Microsoft Active Directory w trybie transparentnym lub przy użyciu dedykowanych agentów (systemów musi umożliwiać obydwa tryby integracji a Zamawiający podczas wdrożenia wybierze właściwy), tak aby możliwa była identyfikacja użytkowników 18. Konfiguracja dostępu zdalnego SSL VPN (VPN Client, portal WebVPN) z użyciem autoryzacji przy pomocy certyfikatów oraz różnych poziomów dostępu dla różnych grup użytkowników AD, 19. Wdrożenia systemów kolekcji logów oraz raportowania i notyfikacji na systemie zewnętrznym w stosunku do firewalli UTM z zagwarantowaniem odpowiedniego czasu przechowywania logów, 20. Wdrożona notyfikacja powinna dotyczyć istotnych zdarzeń, na które administrator musi w krótkim czasie zareagować (np. brak miejsca na nośniku danych na firewallu, zbyt wysokie obciążenie CPU, próba nieuprawnionego dostępu do firewalla, próba ataku, nienaturalnie wysoka liczna sesji, atak DOS), 21. Przeprowadzenie testów działania firewalli oraz wszystkich wdrożonych funkcjonalności, 22. Przeprowadzenie szkolenia dla administratorów, zapewniającego nabycie niezbędnej wiedzy z zakresu konfiguracji i administracji firewalli UTM w wymiarze minimum 2 dni, 23. Udzielenia 30-dniowego pełnego wsparcia telefonicznego lub VPN (czas reakcji 4 godz.) po zakończeniu prac wdrożeniowych a w razie krytycznych problemów wizyty na miejscu u Zamawiającego w następnym dniu roboczym, 24. Opracowania szczegółowej dokumentacji powykonawczej zawierającej opis działania firewalli wraz z opisem wdrożonych funkcjonalności, 25. Dokumentacja winna zawierać w szczególności precyzyjne rysunki całej topologii sieci w ujęciu logicznym jak i fizycznym wraz z adresacją, opisem vlanów, sposobu działania poszczególnych połączeń (LACP, 802.1Q) oraz użytych w sieci mechanizmów. System WiFi 1. Zamawiający zaleca przeprowadzenie wizji lokalne budynku i pomieszczeń, które należy pokryć siecią WiFi, 2. Analiza propagacji sygnału w budynkach, tak aby możliwe było właściwe rozmieszczenie punktów AP, 3. Przygotowanie projektu instalacji WiFi z opisem zaplanowanych sieci WLAN, punktów propagacji oraz metod dostępu radiowego, 4. Wykonanie instalacji okablowania strukturalnego ( wykonanie otworów, przebić, montaż kanałów elektroinstalacyjnych, instalacja punktów dostępowych oraz okablowania) 5. Instalację należy wykonać zgodnie z obowiązującymi przepisami prawa. 6. W czasie wykonywania prac należy zachować szczególną ostrożność, zabezpieczyć miejsce wykonywania prac, a po ich zakończeniu przywrócić pomieszczenia do poprzedniego stanu, 7. Instalacja i konfiguracja urządzeń podstawowych WiFi (kontrolery, system autoryzacji, system zarządzania itp), 8. Instalacja zaplanowanej liczby punktów AP w wyznaczonych i uzgodnionych z Zamawiającym punktach, 9. Wszystkie punkty dostępowe powinny być zainstalowane w miejscach trudnodostępnych dla osób trzecich (np. sufit), str. 5
10. Konfiguracja zaplanowanych sieci WLAN (m.in. dedykowanej dla pacjentów szpitala, dla personelu, dla dedykowanych służb i urządzeń szpitalnych typu tablety). Liczba WLAN-ów do uzgodnienia z Zamawiącym 11. Każda z wdrożonych sieci WLAN winna zawierać metody autoryzacji i kontroli. 12. Pokrycie sygnałem radiowym musi umożliwiać poprawną transmisję danych w całym zadanym obszarze przy użyciu urządzeń spełniających warunki standardu Wi-Fi, w szczególności IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE 802.11ac (sygnał odbierany na wskazanym obszarze nie może być słabszy niż -70dBm), 13. Zainstalowany system musi posiadać możliwość dalszej rozbudowy, poprzez podpięcie kolejnych punktów dostępowych oraz ich konfigurację według szablonu (dopuszcza się np. wgranie pliku konfiguracyjnego lub automatyczne skonfigurowanie dołączanego punktu), 14. Przeprowadzenie szkolenia dla administratorów, zapewniającego nabycie niezbędnej wiedzy z zakresu konfiguracji i administracji wdrożoną siecią WiFi w wymiarze minimum 2 dni, 15. Wykonanie pomiarów dostarczonej sieci wifi oprogramowaniem w postaci naniesionych na rzuty map poziomu sygnału odbieranego oraz stosunku sygnał/szum dla używanych częstotliwości (2,4 lub 5GHz), 16. Przeprowadzenia testów działania sieci WiFi, autoryzacji, działania kont gościnnych itp., Należy przedstawić raport z przeprowadzonych testów.... potwierdzam spełnianie wymagań minimalnych podpis i pieczęć osoby (osób) upoważnionej do reprezentowania Wykonawcy str. 6