Załącznik nr 4 do SIWZ Specyfikacja Techniczna Oferowanego Sprzętu (STOS) Wymagania ogólne: 1. Zamawiający wymaga, aby dostarczone urządzenia były nowe/nieuŝywane w fabrycznie nowych, nieuszkodzonych opakowaniach producenta oraz pochodziły z oficjalnego kanału sprzedaŝy producentów na rynek polski lub rynek Wspólnoty Europejskiej. Zamawiający w związku z tym będzie Ŝądał, aby w momencie dostawy, Wykonawca przekazał dokument potwierdzający, Ŝe sprzęt jest nowy nieuŝywany oraz zamówiony dla Centrum Informatycznego Edukacji w ramach przedmiotowego postępowania. Dokument taki winien zostać wystawiony przez przedstawicielstwo producenta w Polsce lub innym kraju Wspólnoty Europejskiej. Dokumenty obcojęzyczne muszą mieć załączone tłumaczenie na język polski. 2. Wykonawca przystępujący do postępowania musi posiadać status autoryzowanego Partnera Producenta oferowanej technologii. Urządzenie bezpieczeństwa sieci szt. 2 pracujący w klastrze, wraz z opiekami producenta i aktualizacjami na 36 miesięcy Opis dotyczy wymagań minimalnych tzn. nie gorszych niŝ. Lp. Parametr Wymagania techniczne 1. Architektura systemu ochrony System ochrony musi być zbudowany przy uŝyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Dlatego, główne urządzenie ochronne [gateway] nie moŝe posiadać twardego dysku, w zamian uŝywać pamięci FLASH. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy uŝyciu specjalizoanego układu ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych uŝytkowników (licencja na urządzenie). Dziennik zdarzeń lub inne działania wymagające systemów dyskowych muszą być realizowane na zewnętrznych, dedykowanych do tego celu urządzeniach. 2. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. 3. Ilość/rodzaj portów Nie mniej niŝ 10 portów Ethernet 10/100/1000 Base-TX. 4. Funkcjonalności podstawowe i uzupełniające System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniŝszych funkcjonalności podstawowych: kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM) poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami - Intrusion Prevention System [IPS/IDS] oraz funkcjonalności uzupełniających: kontrolę treści Web Filter [WF] kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) kontrolę pasma oraz ruchu [QoS i Traffic shaping] kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P) zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Preention) opymalizację pasma, akcelerację Internetu i WAN przy wykorzystaniu mechanizmów: optymalizacji protokołów, byte caching u oraz chache owania treści (funkcjonalność powinna pracować w oparciu o zewnętrzny ISCSI) SSL proxy z moŝliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Specyfikacja istotnych warunków zamówienia Strona 27
5. Zasada działania (tryby) 6. Polityka bezpieczeństwa (firewall) 7. Wykrywanie ataków Urządzenie powinno dawać moŝliwość ustawienia jednego z dwóch trybów pracy: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge/. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, uŝytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niŝ 3900 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie MoŜliwość wykrywania anomalii protokołów i ruchu 8. Translacja adresów Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. 9. Wirtualizacja i routing dynamiczny MoŜliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niŝ 10 wirtualnych firewalli, gdzie kaŝdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niŝ RIPv2, OSPF, BGP-4 i PIM. 10. Połączenia VPN Wymagane nie mniej niŝ: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Producnet musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o firewall o antywirus o web filtering o antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth 11. Uwierzytelnianie uŝytkowników System zabezpieczeń musi umoŝliwiać wykonywanie uwierzytelniania toŝsamości uŝytkowników za pomocą nie mniej niŝ: haseł statycznych i definicji uŝytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji uŝytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umoŝliwiać budowę logowania Single Sign On w środowisku Active Directory bez dodatkowych opłat licencyjnych. 12. Wydajność Obsługa nie mniej niŝ 500 tys. jednoczesnych połączeń i 20 tys. nowych połączeń na sekundę Przepływność nie mniejsza niŝ 8 Gbps dla ruchu nieszyfrowanego i 6 Gbps dla VPN (3DES) oraz 800 Mbps dla modułu IPS. Obsługa nie mniej niŝ 3 tys. jednoczesnych tuneli VPN w topoligii site to site. 13. Funkcjonalność zapewniająca niezawodność Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. MoŜliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active-Passive 14. Obudowa Obudowa ma mieć moŝliwość zamontowania w szafie 19. 15. Zasilanie Zasilanie z sieci 230V/50Hz. Specyfikacja istotnych warunków zamówienia Strona 28
16. Konfiguracja i zarządzanie MoŜliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona moŝliwość definiowania wielu administratorów o róŝnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System powinien umoŝliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. 17. Certyfikaty Potwierdzeniem wysokiej skuteczności systemów bezpieczeństwa są posiadane przez producenta certyfikaty. Producent musi posiadać następujące certyfikaty: ISO 9001, UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, SSL, Network IPS, Antywirus. 18. Zarządzanie System powinien mieć moŝliwość współpracy z zewnętrznym, sprzętowym modułem centralnego zarządzania umoŝliwiającm: Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z moŝliwością dziedziczenia ustawień po grupie nadrzędnej Wersjonowanie polityk w taki sposób aby w kaŝdej chwili dało się odtworzyć konfigurację z dowolnego punktu w przeszłości Zarządzanie wersjami firmware u na urządzeniach oraz zdalne uaktualnienia Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia Monitorowanie w czasie rzeczywistym stanu urządzeń (uŝycie CPU, RAM) Zapis i zdalne wykonywanie skryptów na urządzeniach 19. Raportowanie System musi mieć moŝliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umoŝliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Skanowanie podatności stacji w sieci Zdalną kwarantannę dla modułu antywirusowego 20. Integracja systemu zarządzania Zgodnie z zaleceniami normy PN-ISO/17799 zarówno moduł centralnego zarządzania jak i raportowania muszą być zrealizowane na osobnych urządzeniach sprzętowych. Jednocześnie administrator musi mieć do dyspozycji jedną konsolę zarządzającą do kontroli obu podsystemów. Specyfikacja istotnych warunków zamówienia Strona 29
System centralnego logowania i raportowania szt. 1, wraz z opiekami producenta i aktualizacjami na 3 miesięcy Opis dotyczy wymagań minimalnych tzn. nie gorszych niŝ. Lp Parametr Wymagania techniczne 1. Architektura systemu ochrony System logowania i raportowania musi stanowić centralne repozytorium danych gromadzonych przez wiele urządzeń oraz aplikacji klienckich z moŝliwością definiowania własnych raportów na podstawie predefiniowanych wzorców. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się, aby wszystkie funkcje oraz zastosowane technologie, w tym system operacyjny i sprzęt pochodziły od jednego producenta. Wymagane jest praca w systemie RAID 0,1, 2. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenie powinno pracować w oparciu o dedykowany system operacyjny wzmocniony z punktu widzenia bezpieczeństwa. 3. Parametry fizyczne systemu 4. Funkcjonalności podstawowe i uzupełniające Nie mniej niŝ 4 porty Ethernet 10/100/1000 Base-TX Powierzchnia dyskowa - min. 1 TB. Wydajność min 1000 log/s, 4Mbit/s System musi zapewniać: 1. Składowanie oraz archiwizację logów z moŝliwością ich grupowania w oparciu o urządzenia, uŝytkowników 2. Składowanie oraz archiwizację wskazanych przez system DLP danych 3. MoŜliwość gromadzenia zawartości przesyłanych za pośrednictwem protokołów Web, FTP, email, IM oraz na ich podstawie analizowania aktywności uŝytkowników w sieci 4. Kwarantannę dla współpracujących z nim urządzeń. Kwarantanna obejmuje zainfekowane lub wskazane przez analizę heurystyczną pliki. 5. Przeglądanie archiwalnych logów przy zastosowaniu funkcji filtrujących 6. Wyświetlanie nowych logów w czasie rzeczywistym 7. Analizowanie ruchu w sieci poprzez nasłuch całej komunikacji w segmencie sieci z moŝliwością jej zapisu i późniejszej analizy 8. Analizę podatności stacji w sieci wraz z moŝliwością raportowania wykrytych luk 9. Eksport zgromadzonych logów do zewnętrznych systemów składowania danych (długoterminowe przechowywanie danych) Urządzenie powinno zapewniać planowanie aktualizacji bazy sprawdzeń w czasie (Scheduler). 5. Aktualizacje sygnatur sprawdzeń 6. Zarządzanie System udostępnia: 1. Lokalny interfejs zarządzania poprzez szyfrowane połączenie HTTPS, SSH i konsolę szeregową 7. Serwisy, i usługi 8. Zgodność z normą bezpieczeństwa PN- ISO/17799 Wymaga się aby dostawa obejmował równieŝ: Gwarancję producenta na urządzenie Subskrypcje oprogramowania i serwisów na czas określony w umowie. Wymaga się, aby system logowania i raportowania, jako system wraŝliwy zrealizowany był na osobnej i dedykowanych do tego celu platformie sprzętowej, innej niŝ system zarządzania. 9. Wsparcie System powinien wspierać standardy: HIPPA, GLBA, SOX 10. Zasilanie Zasilanie z sieci 230V/50Hz. Specyfikacja istotnych warunków zamówienia Strona 30
Przełącznik sieciowy Ethernet do podłączenia klastra wraz z 36 miesięczną gwarancją - szt.2 Opis dotyczy wymagań minimalnych tzn. nie gorszych niŝ. Porty Nie mniej niŝ 8x1000Mbit (RJ45), 2xSFP(mini-GBIC), port konsoli Diody sygnalizacyjne Link/Act, Gigabit speed, System Przepustowość backplane Nie mniej niŝ 16 Gbps Przepustowość forwardowania Nie mniej niŝ 11.9 mpps Rozmiar tablicy MAC Nie mniej niŝ 8192 Zarządzanie, monitorowanie i konfiguracja SNMPv1 - Simple Network Management Protocol ver. 1, SNMPv2 - Simple Network Management Protocol ver. 2, SNMPv3 - Simple Network Management Protocol ver. 3, RMON - Remote Monitoring, zarządzanie przez przeglądarkę WWW, CLI - Command Line Interface, Telnet, Syslog - Security Issues in Network Event Logging Protokoły uwierzytelniania i kontroli dostępu ACL bazujący na adresach IP i typie protokołu, ACL bazujący na adresach MAC, ACL bazujący na numerach portów TCP/UDP, IEEE 802.1x - Network Login, SSH - Secure Shall, RADIUS, TACACS+ - Terminal Access Controller Access Control System, SSL - Secure Sockets Layer, MD5, ACL bazujący na sieciach VLAN, ACL bazujący na Diffserv (DSCP), ACL bazujący na protokole 802.1p Obsługiwane protokoły i standardy IEEE 802.3-10BaseT, IEEE 802.3u - 100BaseTX, IEEE 802.3x - Flow Control, Auto MDI/MDI-X, half/full duplex, IEEE 802.1x - Network Login (Port-based Access Control), DSCP - DiffServ Code Point, IEEE 802.3ad - Link Aggregation Control Protocol, IEEE 802.1D - Spanning Tree, IEEE 802.1w - Rapid Convergence Spanning Tree, IEEE 802.1s - Multiple Spanning Tree, IEEE 802.1p - Priority, IEEE 802.1Q - Virtual LANs, IEEE 802.1x - Network Login (MAC-based Access Control), TCP/IP - Transmission Control Protocol/Internet Protocol, UDP - datagramowy protokół uŝytkownika, IGMP - Internet Group Management Protocol, TFTP - Trivial File Transfer Protocol, Jumbo frame support, IP QoS, IPv4, IPv6, DHCP Client - Dynamic Host Configuration Protocol Client, BOOTP - BOOTstrap Protocol, Broadcast Storm Control, GVRP - Group VLAN Registration Protocol, IEEE 802.3ab - 1000BaseT, IEEE 802.3z - 1000BaseSX/LX, SNTP - Simple Network Time Protocol, IEEE 802.3af - Power over Ethernet Warunki pracy, montaŝ, wyposaŝenie dodatkowe Certyfikaty Urządzenia musi zostać wyposaŝone w: klamry do montaŝu w szafach przemysłowch rack 19" jeŝeli będą wymagane do montaŝu w wymienionych szafach i kable zasilające. Urządzenia muszą pracować w następujących warunkach środowiskowych: Wilgotność powietrza przy pracy: 10% do 90% Temperatura powietrza przy pracy 0º do 40ºC FCC Part 15 Class A, CE Class A, UL, cul, CE mark, CB Specyfikacja istotnych warunków zamówienia Strona 31
Wykaz usług wymaganych przez Zamawiającego w ramach dostawy. 1. Instalacja i konfiguracja klastra wg wskazań zamawiającego w tym: a) Konfiguracja domen wirtualnych b) Konfiguracja routingu c) Opracowanie i wdroŝenie polityk bezpieczeństwa d) Konfiguracja sensorów DLP e) Konfiguracja stref DMZ f) Podłączenie łącz: podstawowego i bacapu g) Konfiguracja systemu analizy i raportowania, konfiguracja raportów okresowych 2. Wykonanie dokumentacji powdroŝeniowej 3. Szkolenie 4 administratorów (2 lub 3 dni, 7 godzin dziennie) uwzględniające poniŝsze zagadnienia: A) część pierwsza szkolenia: obsługa kompleksowego systemu zabezpieczeń sieci komputerowej tupu UTM pracującego w klastrze: 1. Podstawowe czynności administracyjne a) konfiguracja domyślna b) update firmware c) kopia zapasowa konfiguracji d) licencje i/lub serwisy licencyjne 2. Wstępna konfiguracja a) tryby pracy b) konfiguracja interfejsów sieciowych c) konfiguracja serwera DHCP d) dodatkowe ustawienia sieciowe e) uŝytkownicy typu administrator 3. Logowanie - metody logowania i ich praktyczna konfiguracja a) System centralnego logowania i raportowania b) Syslogd c) Memory 4. Konfiguracja zapory ogniowej - elementy podstawowe a) obiekty i grupy b) reguły zapory ogniowej c) translacja adresów SNAT i DNAT d) logi typu Traffic 5. Konfiguracja zapory ogniowej - uwierzytelnianie a) metoda uwierzytelniania uŝytkowników b) lokalna baza uŝytkowników c) grupy 6. Routing statyczny a) Ping server b) metryka i priorytety 7. Profil bezpieczeństwa 8. Moduł antywirusowy 9. Moduł IPS 10. Moduł antyspamowy 11. Moduł WebFilter 12. Moduł IM/P2P B) część druga szkolenia: obsługa systemu centralnego logowania i raportowania: 1. Wstępna konfiguracja systemu. 2. Domeny administracyjne - konfiguracja i administracja. 3. Konfiguracja i współdzielenie zasobów dyskowych. 4. Konfiguracja i zarządzanie struktura logów a) logowanie lokalnych zdarzeń systemowych b) agregacja logów Specyfikacja istotnych warunków zamówienia Strona 32
c) przesyłanie logów d) aliasy IP e) konfiguracja RAID f) połączenie z serwerem LDAP 5. Zarządzanie uprawnieniami urządzeń/systemów logującymi do systemu centralnego logowania i raportowania. 6. Czynności administracyjne. 7. Przeglądanie, analiza i zarządzanie logami a) organizacja widoków b) filtry c) przeszukiwanie logów d) polityka zarządzania wielkością plików 8. Alerty. 9. Generowanie raportów. 10. Eksport/Import danych. 11. Prognozowanie ruchu i rozwoju dla sieci komputerowych. Gwarancja Urządzenie ma być objęte 36 miesięczną gwarancja producenta z serwisem gwarancyjnym na następujących warunkach: Przyjmowanie zgłoszeń w godzinach od 8:00-16:00 w dni robocze. Naprawa lub wymiana w następny dzień roboczy od pisemnego zgłoszenia awarii (faxem lub mailem), pod warunkiem, Ŝe zgłoszenie wpłynęło poprzedzającego dnia do godziny 12:00. W przypadku, gdy naprawa nie moŝe być wykonana w terminie określonym wyŝej, Wykonawca w następnym dniu roboczym dostarczy sprzęt zastępczy o parametrach nie gorszych niŝ niesprawny sprzęt, a naprawy dokona w innym miejscu w terminie 30 dni roboczych od pisemnego zgłoszenia awarii, o którym mowa wyŝej. W okresie trwania gwarancji Wykonawca zapewni, na Ŝyczenie Zamawiającego, bezpłatne udostępnianie uaktualnień oprogramowania systemowego na urządzeniach objętych niniejszym zamówieniem w ramach posiadanych przez Zamawiającego licencji Specyfikacja istotnych warunków zamówienia Strona 33