Załącznik nr 1 do SIWZ Opis przedmiotu zamówienia KA-2/151/2008 I. Modularny przełącznik sieciowy (switch), dostosowany do montażu w szafie 19, wyposażonym w przynajmniej 13 gniazd przeznaczonych do instalacji modułów oraz system wentylatorów. Przykładowa konfiguracja przełącznika Numer katalogowy Opis Ilość WS-C6513 Catalyst 6500 13-slot chassis,20ru,no PS,no Fan Tray 1 S733ISK9-12233SXH Cisco CAT6000-SUP720 IOS IP SERVICES SSH 1 WS-SUP720-3B Catalyst 6500/Cisco 7600 Supervisor 720 Fabric MSFC3 PFC3B 1 CF-ADAPTER-SP SP adapter with compact flash for SUP720 1 WS-SUP720-3B Catalyst 6500/Cisco 7600 Supervisor 720 Fabric MSFC3 PFC3B 1 CF-ADAPTER-SP SP adapter with compact flash for SUP720 1 WS-SVC-IDS2-BUN-K9 600M IDSM-2 Mod for Cat 1 SC-SVC-IPSV6.1-K9 IPSv6.1 SW for the IDSM-2 1 WS-SVC-NAM-2 Catalyst 6500 Network Analysis Module-2 1 WS-SVC-FWM-1-K9 Firewall blade for 6500 and 7600, VFW License Separate 1 SC-SVC-FWM-3.2-K9 Firewall Service Module 3.2 for 6500 and 7600, 2 free VFWs 1 FR-SVC-FWM-VC-T1 Catalyst 6500 and 7600 virtual FW licensing for 20 VF 1 WS-X6724-SFP Catalyst 6500 24-port GigE Mod: fabric-enabled (Req. SFPs) 1 WS-F6700-DFC3C Catalyst 6500 Dist Fwd Card for WS-X67xx modules 1 GLC-LH-SM GE SFP, LC connector LX/LH transceiver 2 GLC-SX-MM GE SFP, LC connector SX transceiver 16 GLC-T 1000BASE-T SFP 6 WS-X6708-10G-3C C6K 8 port 10 Gigabit Ethernet module with DFC3C (req. X2) 1 X2-10GB-CX4 10GBASE-CX4 X2 Module 6 X2-10GB-LR 10GBASE-LR X2 Module 2 WS-X6708-10G-3C C6K 8 port 10 Gigabit Ethernet module with DFC3C (req. X2) 1 X2-10GB-LX4 10GBASE-LX4 X2 Module 8 WS-SVC-IDS2-BUN-K9 600M IDSM-2 Mod for Cat 1 SC-SVC-IPSV6.1-K9 IPSv6.1 SW for the IDSM-2 1 WS-C6K-13SLT-FAN2 High Speed Fan Tray for Catalyst 6513 / Cisco 7613 1 WS-CAC-6000W Cat6500 6000W AC Power Supply 2 CAB-AC-2500W-EU Power Cord, 250Vac 16A, Europe 4 Included: MEM-C6K- CPTFL512M Catalyst 6500 Sup720/Sup32 Compact Flash Mem 512MB 1 Included: BF-S720-64MB-RP Bootflash for SUP720-64MB-RP 1 Included: MEM-S2-512MB Catalyst 6500 512MB DRAM on the Supervisor (SUP2 or SUP720) 1 Included: MEM-MSFC2-512MB Catalyst 6500 512MB DRAM on the MSFC2 or SUP720 MSFC3 1 Included: MEM-C6K- CPTFL512M Catalyst 6500 Sup720/Sup32 Compact Flash Mem 512MB 1 Included: BF-S720-64MB-RP Bootflash for SUP720-64MB-RP 1 Included: MEM-S2-512MB Catalyst 6500 512MB DRAM on the Supervisor (SUP2 or SUP720) 1 Included: MEM-MSFC2-512MB Catalyst 6500 512MB DRAM on the MSFC2 or SUP720 MSFC3 1 Included: SC-SVC-NAM-3.6 Cisco Catalyst 6500 Series NAM Software 3.6 1 1
Included: SF-FWM-ASDM-5.2F Device Manager for FWSM 3.2 for Catalyst 6500 and 7600 1 Included: MEM-XCEF720-512M Cat 6500 512MB DDR, xcef720 (67xx interface, DFC3A/DFC3B) 1 Included: WS-F6700-DFC3C Catalyst 6500 Dist Fwd Card for WS-X67xx modules 1 Included: WS-X6708-10GE Cat6500 8 port 10 Gigabit Ethernet module (req. DFC and X2) 1 Included: WS-F6700-DFC3C Catalyst 6500 Dist Fwd Card for WS-X67xx modules 1 Included: WS-X6708-10GE Cat6500 8 port 10 Gigabit Ethernet module (req. DFC and X2) 1 Zamawiający dopuszcza urządzenie równoważne spełniające określone poniżej parametry minimalne. 1. Architektura urządzenia - pasmo min. 40Gb/s (full duplex) na przynajmniej 5-ciu gniazdach na moduły, - zainstalowane karty liniowe (z portami Ethernet) muszą obsługiwać system przetwarzania rozproszonego (obsługa ruchu bez udziału karty zarządzającej), - 512 MB pamięci RAM (możliwość rozbudowy do 1GB) oraz 512 MB pamięci nieulotnej typu Flash, 2. Zarządzanie urządzeniem - CLI (SSHv2,Telnet), console (port szeregowy konsoli), SNMPv3, 3. Funkcjonalności urządzenia - możliwość zmiany konfiguracji w locie, bez konieczności restartu urządzenia(dotyczy dowolnych zmian konfiguracji), - możliwość zapisu konfiguracji w pliku tekstowym i jej importu/eksportu za pomocą protokołu FTP lub TFTP, - możliwość jednoczesnej instalacji kilku obrazów systemu operacyjnego i programowego wyboru kolejności ich uruchamiania, - możliwość definiowania skryptów określających polityki przekazywania zdarzeń do systemów zarządzających (korelacja, zależności parametrów, diagnostyka), - obsługa min. 4000 aktywnych sieci wirtualnych VLAN, - obsługa sprzętowej weryfikacji źródła pakietu względem tablicy routingu (urpf), - sprzętowe wsparcie technologii MPLS, - obsługa agregacji portów zgodnie z LACP, - sprzętowe wsparcie technologii tunelowania GRE (Generic Routing Encapsulation), - sprzętowe wsparcie dla IPv6, - wykrywanie łączy jednokierunkowych, - obsługa WCCPv2, - przełączanie w warstwie trzeciej, obsługa routingu statycznego oraz protokołów dynamicznego routingu RIP, OSPF, BGP, - obsługa następujących mechanizmów związanych z zapewnieniem ciągłości pracy sieci: a) protokół IEEE 802.1w Rapid Spanning Tree umożliwiający szybką konwergencję sieci w warstwie 2 modelu OSI, b) protokół IEEE 802.1s Multiple Spanning Tree, 2
c) możliwość grupowania portów w grupy transmisyjne z wykorzystaniem portów pochodzących z różnych kart liniowych, d) możliwość instalacji i wymiany zasilaczy, wentylatorów, kart liniowych, modułów zarządzania/przełączania w trakcie pracy (hot swap), e) wsparcie dla protokołu VRRP/HSRP, - obsługa zarządzania ruchem (QoS klasyfikacja ruchu na podstawie rozpoznawania, - aplikacji, adresów, portów, oznaczeń TOS, IP Precedence, DSCP itp., - kolejkowanie z obsługą kolejki priorytetowej, statyczne i dynamiczne ograniczanie pasma, RSVP), - obsługa wysyłania statystyk ruchu zgodnie z netflow lub J-Flow lub S-Flow w przypadku utraty połączenia z serwerem zbierającym statystyki wymagane jest lokalne chache owanie min. 100 000 wpisów, - obsługa kontroli wydajności sieci (opóźnienia, jitter, dostępność) w oparciu o konfigurowalne próbki ruchu pomiędzy urządzeniami (DHCP, DNS, HTTP, FTP, SNMP, TCP, UDP), - wsparcie dla logicznego podziału ruchu na poziomie warstw drugiej (VLAN) i trzeciej (wirtualne instancje routingowe, wirtualne routery w ramach poszczególnych instancji wymagany routing dynamiczny OSPF, BGP), - obsługa następujących mechanizmów związanych z zapewnieniem bezpieczeństwa w sieci: a) możliwość szyfrowanego zdalnego zarządzania z linii komend z wykorzystaniem protokołu SSH, b) autoryzacja użytkowników dołączających się do portów przez mechanizm IEEE 802.1x i zdalny serwer RADIUS, c) przydział sieci VLAN poprzez mechanizm IEEE 802.1x, d) możliwość blokowania ruchu pomiędzy poszczególnymi portami dostępowymi w obrębie tego samego VLAN u z pozostawieniem możliwości komunikacji z portem nadrzędnym (prywatny VLAN), e) możliwość autoryzacji dostępu administracyjnego do urządzenia poprzez zdalny serwer AAA (min. 10 poziomów uprawnień z możliwością określenia zakresu z dokładnością do poszczególnych komend), f) możliwość dokonywania sprzętowego filtrowania ruchu na podstawie następujących parametrów: źródłowy/docelowy adres IP, źródłowy/docelowy port TCP; usługa ta ma być realizowana sprzętowo, bez wpływu na wydajność przełączania, g) możliwość ograniczenia dostępu do danego portu do pojedynczej lub kilku stacji o statycznie określonych adresach MAC lub do określonej ilości stacji o dynamicznie przyswajanych adresach MAC; w wypadku naruszenia ograniczenia powinna istnieć możliwość wyłączenia portu i poinformowania stacji zarządzającej poprzez SNMP Trap Notification, h) DHCP Snooping, i) dynamiczna inspekcja ARP, j) kontrola ruchu broadcast, - obsługa ruchu IP Multicast z wykorzystaniem protokołów IGMP v1, v2, v3, PIM oraz IGMP Snooping, MBP, 3
- możliwość lokalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu, - możliwość zdalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN, - dla pracy w sieci z włączonym protokołem IEEE 802.1d Spanning Tree: a) obsługa natychmiastowego przejścia danego portu ze stanu Blocking do stanu Forwarding po dołączeniu stacji końcowej do tego portu, b) umożliwienie ignorowania przez dany port ramek protokołu Spanning Tree (STP BPDU), w szczególności istotna jest funkcja pozwalająca na zablokowanie próby wymuszenia zmiany topologii STP (np. zmiana Root Bridge) przez nieuprawnionych użytkowników na stacjach końcowych, 4. urządzenie ma mieć możliwość instalacji następujących dodatkowych interfejsów: - ATM (interfejsy E3, OC-3), - PoS (Packet over SONET/SDH), - Ethernet (10/100/1000, GE, 10GE), 5. urządzenie ma mieć możliwość instalacji następujących dodatkowych dedykowanych sprzętowych modułów usługowych: - moduł IDS dla inspekcji ruchu kierowanego do krytycznych zasobów w sieci i wykrywania włamań sieciowych; wymagana wydajność na poziomie min. 500Mbps, - moduł szyfrowania IPSec dla szyfrowania ruchu koncentrowanego w DataCenter z wykorzystaniem algorytmu AES i przy wydajności nie mniejszej niż 2 Gbps; wymagana obsługa 8,000 tuneli IPSec, - moduł detekcji anomalii sieciowych służący do analizowania ruchu pod kątem wystąpienia ataków DDoS; moduł powinien analizować ruch w sieci, a następnie na podstawie analizy statystycznej oceniać czy w danej chwili występuje atak DDoS, - moduł ograniczający skutki ataku sieciowego DDoS, działający w powiązaniu z modułem detekcji anomalii sieciowych i służący do przekierowania i odrzucania ruchu który został zidentyfikowany jako zagrożenie w sieci, - moduł służący do monitoringu i zbierania statystyki w sieci, implementujący pełną funkcjonalność RMON (Remote Monitoring, wszystkie 9 grup) oraz SMON (RMON Extensions for Switched Networks) oraz umożliwiający obserwację bieżącego ruchu i rejestrację pakietów, - modułu bramy głosowej do przyłączenia lokalnej sieci telefonicznej do sieci operatorskiej poprzez porty E1, - moduł typu firewall o wydajności 5 Gbps oraz szybkości przetwarzania pakietów 2,5 Mpps, - moduł równoważenia obciążenia o wydajności 16Gbps z akceleratorem sesji SSL (15000 jednoczesnych sesji), 6. urządzenie w dostarczonej wersji powinno być wyposażone w: - nadmiarowy układ modułów nadzorujących (2 moduły) o wydajności (każdy): a) 720 Gbps, 4
7. zasilanie b) 400 Mpps (realizowane sprzętowo dla IPv4), c) 64000 wpisów MAC, d) 256000 wpisów routingu (IPv4), - 24 porty GigabitEthernet typu 1000Base-X mogące być obsadzone modułami typu SX, LX/LH, ZX z obsługą ramek typu Jumbo (do 9216B); porty te mają być zrealizowane poprzez wkładki typu SFP/GBIC na dedykowanej karcie liniowej; dopuszczalna nadsubskrypcja pasma na poziomie do 1,2:1 z możliwością wykorzystania 20 portów bez nadsubskrypcji; karta musi posiadać możliwość lokalnej obsługi ruchu bez udziału modułu nadzorującego z wydajnością min. 22 Mpps; gniazda na moduły muszą być obsadzone modułami 1000Base-LX(2 szt.), 1000Base-SX (16 szt.), 1000Base-T (6 szt.), - 16 portów 10 GigabitEthernet o zmiennej konfiguracji interfejsów (definiowane przez Xenpak lub X2 lub XFP) w oferowanej wersji obsadzone konwerterami typu LR (2 porty), LX4 (8 portów), CX4 (6 portów); dopuszczalna nadsubskrypcja 2:1.; Zamawiający wymaga aby porty były zlokalizowane na dwóch odrębnych kartach liniowych (po 8 portów na każdej); karta musi posiadać możliwość lokalnej obsługi ruchu bez udziału modułu nadzorującego z wydajnością min. 44 Mpps, - 2 moduły IDS opisane w pkt. 6 (Zamawiający dopuszcza dostarczenie jednego modułu pod warunkiem iż jego wydajność będzie nie mniejsza niż 1 Gbps dla ruch in-line), - moduł firewall opisany w pkt. 6 (moduł musi umożliwiać konfigurację 20 wirtualnych firewalli; musi istnieć możliwość rozbudowy, bez wymiany hardware-u do 250 wirtualnych firewalli), - moduł służący do monitoringu i zbierania statystyki w sieci opisany w pkt. 6 wyposażony w 1GB pamięci RAM. - napięcie: 230V, prąd przemienny: 50Hz, przewody zasilające, - 2 redundantne zasilacze o mocy 6000W (każdy) do obsługi w urządzenia. II. Oprogramowanie do zarządzania typ 1 Numer katalogowy Opis Ilość CWLMS-3.0-100-K9 LMS 3.0 Windows ONLY 100 Device Restricted 1 Zamawiający dopuszcza dostarczenie oprogramowania równoważnego pod warunkiem spełnienia poniższych wymagań równoważności. 1. Oprogramowanie musi być kompatybilne i pozwalać na zarządzanie dostarczonym urządzeniem. 2. Pakiet powinien zawierać: - aplikację dedykowaną do celów ogólnych: a) analizowania informacji typu syslog, b) zarządzania oprogramowaniem zainstalowanym na urządzeniach, c) inwentaryzacji, 5
d) zarządzania konfiguracjami i zmianami, - aplikację dedykowaną do zarządzania awariami pozwalającą na: a) zarządzanie konfiguracją, b) monitorowanie zdarzeń, zbieranie informacji o alarmach, korelowanie alarmów, c) archiwizowanie informacji historycznych o alarmach, d) powiadamianie zdefiniowanych użytkowników o alarmach, e) zbieranie alarmów nie tylko o kwestiach związanych z portami urządzenia ale również z wykorzystaniem szyny (backplane), wykorzystaniem procesora, nieprawidłowej pracy wentylatorów, błędami pamięci, przekroczeniu zakresu temperatury pracy, f) monitorowanie urządzeń warstwy 2 i 3 modelu ISO/OSI - aplikację dedykowaną do zarządzania sieciami warstwy 2 pozwalająca na: a) tworzenie graficznych map sieć w warstwie 2 z uwzględnieniem VLAN i protokołów z rodziny STP, b) śledzenie użytkowników (hostów), c) raportowanie, d) zarządzanie sieciami VLAN z uwzględnieniem funkcjonalności Private VLAN oraz protokołu VTP, e) zarządzanie ATM, f) analizowanie ścieżek w warstwie 2 oraz 3 modelu ISO/OSI, - aplikację dedykowaną do zarządzania wydajnością sieci pozwalająca na: a) monitorowanie czasów odpowiedzi oraz opóźnień między urządzeniami, b) monitorowanie takich parametrów jak Jitter, c) monitorowanie parametrów Cisco IP SLA, d) generowanie raportów, e) generowanie alarmów w przypadku przekroczenia założonych wartości progowych, - aplikację dedykowaną do zarządzania pojedynczym urządzeniem pozwalająca na: a) graficzne prezentowanie przodu oraz tyłu urządzenia wraz z dynamiczną prezentacją stanu portów oraz całego urządzenia, b) bezpośrednie monitorowanie urządzenia, c) zmiany konfiguracji. 3. Pakiet powinien pracować w trybie przeglądarkowym pozwalając administratorowi na dostęp z dowolnego (po uzyskaniu odpowiednich uprawnień) miejsca w sieci. 4. Powinien umożliwiać zbieranie statystyk co najmniej z wykorzystaniem SNMP, RMON. 5. Powinien posiadać narzędzia automatycznej identyfikacji urządzeń instalowanych w sieci. 6. Powinien posiadać narzędzie monitoringu RMON pozwalające na analizę parametrów urządzenia, łącza, portu urządzenia. 7. System powinien zostać dostarczony w najnowszej dostępnej na rynku wersji z licencją dla co najmniej 100 urządzeń. 8. Zamawiający wymaga aby rozwiązanie było zintegrowanym pakietem o wspólnym panelu zarządzającym (nie dopuszcza się stosowania rozwiązania, w którym spełnienie wymagań zostanie osiągnięte przez zaproponowanie różnych produktów nie zintegrowanych ze sobą a tym bardziej produktów pochodzących od różnych producentów). 9. Oprogramowanie musi mieć możliwość instalacji i późniejszego wsparcia na platformach Windows. 10. Wszystkie elementy pakietu muszą pochodzić od jednego producenta. 6
11. Wraz z oprogramowaniem musi zostać uaktywnione wsparcie producenta umożliwiające dostęp do poprawek i updateów oprogramowania (w tym również do pakietów pozwalających na dodanie nowych modeli urządzeń). III. Oprogramowanie do zarządzania typ 2 Numer katalogowy Opis Ilość CSMST5-3.2-K9 CS Mgr 3.2 Enterprise Standard - 5 Device Limit Media Kit 1 CSMST5-PAK3 CS Mgr Enterprise Standard 5 - Secondary PAK 1 Zamawiający dopuszcza dostarczenie oprogramowania równoważnego pod warunkiem spełnienia poniższych wymagań równoważności. Pakiet oprogramowania powinien: 1. stanowić niezależny dedykowany pakiet dostarczany przez producenta dla zarządzania bezpieczeństwem sieci, w szczególności powinien umożliwiać zarządzanie urządzeniami: - Firewall (dostarczonym w ramach postępowania), - IDS/IPS (dostarczonym w ramach postępowania), - VPN, - funkcjami bezpieczeństwa urządzeń sieciowych np. routerów, - modułami serwisowymi instalowanymi w przełącznikach sieciowych (firewall, IDS/IPS), 2. umożliwiać zarządzanie co najmniej 5 urządzeniami bezpieczeństwa sieci, 3. umożliwiać grupowanie urządzeń, 4. umożliwiać obserwację sieci z perspektywy: - topologii, - urządzeń, - zdefiniowanej polityki bezpieczeństwa, 5. umożliwiać tworzenie obiektów konfiguracyjnych tj. powinien umożliwiać grupowanie szeregu komend konfiguracyjnych w jeden obiekt, którego przypisanie do urządzenie spowoduje wprowadzenie predefiniowanej konfiguracji, 6. zapewniać mechanizmy porównywania dwóch różnych konfiguracji tego samego urządzenia, 7. zapewniać mechanizmy analizy reguł, 8. zapewniać mechanizmy współdzielenia polityki bezpieczeństwa tzn. raz zdefiniowana polityka bezpieczeństwa powinna mieć możliwość przypisania do wielu urządzeń (np. urządzeń spoke sieci VPN); nie dopuszcza się systemów gdzie konieczne będzie powtórna konfiguracji polityki per każde z urządzeń, 9. zapewniać narzędzia workflow w zakresie: - tworzenia, edycji i zatwierdzania polityki bezpieczeństwa, - generowania, zatwierdzania oraz wdrażania działań związanych z zatwierdzoną polityką bezpieczeństwa, 10. zapewniać dostęp administracyjny w trybie Role-based Access Control, 11. umożliwiać tworzenia archiwów konfiguracji dla poszczególnych urządzeń, 12. umożliwiać zarządzanie i monitoring urządzeń firewall w zakresie nie mniejszym niż: - jedna wspólna tablica reguł dla wszystkich zarządzanych urządzeń, - możliwość tworzenia zapytań dotyczących reguł tzn. możliwość, przeszukania tablicy zdefiniowanych reguł pod kątem sprawdzenia czy 7
znajdują się w niej wpisy dotyczące wskazanego ruchu (źródło, cel, port usługi itp.), - możliwość wykrywania konfliktów w regułach skonfigurowanych na różnych urządzeniach, - możliwość wykrywania powtarzających się reguł i nakładających się reguł w tablicach celem optymalizacji tablic reguł, - możliwość współdzielenia i dziedziczenia polityk bezpieczeństwa, - możliwość wymuszenia obligatoryjnego i automatycznego dziedziczenia podstawowych ustawień konfiguracyjnych dla nowych urzadzeń w sieci, - możliwość sprawdzania liczników dla poszczególnych reguł celem sprawdzenia czy reguła funkcjonuje poprawnie, - możliwość zarządzania firewallami wirtualnymi konfigurowanymi na urządzeniach fizycznych, - możliwość przypisywania zasobów dla firewalli wirtualnych, - możliwość zarządzania firewallami działającymi na poziomie L2 (transparent firewall), - możliwość zarządzania funkcjami firewalli aplikacyjnych, - możliwość definiowania reguł AAA, - możliwość konfiguracji mechanizmów QoS na zarządzanych urządzeniach, - możliwość konfiguracji list kontroli dostępu (ACL) z restrykcjami czasowymi, - możliwość konfiguracji NAT na urządzeniach, - możliwość konfiguracji routingu na zarządzanych urządzeniach, - możliwość definiowania usług zarządzania np. SNMP dla zarządzanych platform, - możliwość definiowania i konfiguracji usług sieciowych np. DHCP, podsieci VLAN itp., - możliwość konfiguracji, zarządzania i monitoringu funkcjonalności failover (lub clusteringu) dla urządzeń, - możliwość uruchamiania i blokowania reguł na wskazanych urządzeniach, 13. umożliwiać zarządzanie i monitoring urządzeń VPN w zakresie nie mniejszym niż: - możliwość tworzenia sieci VPN z wykorzystaniem kreatorów dla sieci: a) Site-To-Site VPN, b) Remote Acess VPN, - możliwość dostowywania poszczególnych parametrów sieci VPN dla pojedynczego urządzenie i grupy urządzeń, - możliwość zgrupowania modyfikowanych parametrów do poziomu obiektu konfiguracyjnego lub/i polityki, a następnie ich współdzielenie przez inne urządzenia VPN i przez inne sieci VPN zarządzanie przez system zarządzania, - możliwość wizualizacji sieci VPN na mapie topologicznej; wizalizacja powinna wskazywać połaczenia VPN, a nie połaczenia pomiędzy fizycznymi urządzeniami, - możliwość tworzenia własnych map sieci VPN przez administratora, - możliwość tworzenia sieci VPN bezpośrednio na mapie, - informowanie o zasobach systemów VPN takich jak obciążenie procesora, aktywnych tunelach i sesjach VPN, - możliwość zarządzania i wprowadzania zmian konfiguracyjnych i update ów image oprogramowania do wielu urządzeń sieciowych, - możliwość szybkiej identyfikacji urządzeń, które mogą być wykorzystane do stworzenia sieci VPN, - możliwość wykrywania, które urządzenia sieciowe są wyposażone w dedykowany moduł wsparcia szyfrowania, 14. umożliwiać zarządzanie i monitoring urządzeń IDS/IPS w zakresie nie mniejszym niż: 8
- możliwość zarządzania różnymi typami sond, - możliwość zarządzania wieloma sondami z jednej konsoli, - możliwość tworzenia hierarchii sond z opcją dziedziczenia polityki, - możliwość automatycznego uaktualniania oprogramowania sond w tym oprogramowania systemowego oraz bazy danych sygnatur, - możliwość monitoringu stanu sondy (sensor health), - możliwość wprowadzania zmian rozłożonych w czasie (scheduled depoloyment), - możliwość zarządzania pojedynczą sondą co najmniej w zakresie: a) dodania/usunięcia z systemu, b) restartu, c) przypisania do grupy, d) przypisania konfiguracji dziedziczonej, e) obserwacji statystyk, f) zarządzania certyfikatami (jeżeli są dostępne dla danego urządzenia zarządzanego), - możliwość globalnej konfiguracji dla całości zarządzanego systemu następujących parametrów: a) sygnatury, b) sygnatury własne konfigurowane przez administratora, c) reakcje na zdarzenia, d) SNMP, e) NTP, f) jogging, - możliwość zarządzania sygnaturami dla urządzeń podległych w zakresie co najmniej: a) edytowania, b) strojenia (tunning), c) aktywacji/deaktywacji, d) kopiowania, - zbieranie informacji o zaistniałych atakach sieciowych oraz ich grupowanie, - używanie kreatorów dla typowo wykonywanych zadań. IV. Urządzenie dedykowane do zbierania logów Numer katalogowy Opis Ilość CS-MARS-55-K9 CSMARS 55 1RU Appliance;1500EPS;500GB,RAID 1,Redundant 1 CAB-ACE Power Cord Europe 1 SF-CS-MARS-SW-K9 CS-MARS generic software ID 1 CSMARS-55-LIC-K9 CS-MARS 55 Base License 1 Zamawiający dopuszcza dostarczenie urządzenia równoważnego pod warunkiem spełnienia poniższych wymagań równoważności. Dostarczone urządzenie powinno: 1. być dedykowanym urządzeniem instalowanym w rack 19 o wysokości nie większej niż 1 RU, 2. posiadać moc obliczeniową pozwalającą na obsłużenie nie mniej niż 1500 zdarzeń na sekundę oraz nie mniej niż 30000 tzw. flow na sekundę (np: NetFlow), 9
3. być wyposażone w dedykowany, wzmocniony system operacyjny, wyposażony w mechanizmy firewallingu oraz z ograniczoną ilością dostępnych usług sieciowych, 4. posiadać co najmniej dwa interfejsy Ethernet 10/100/1000, 5. posiadać przestrzeń dyskową o pojemności co najmniej 500 GB RAID 1, 6. być zasilane prądem przemiennym 230V, 7. obsługiwać dynamiczną korelację zdarzeń w oparciu o informacje o sesjach: - konsolidacja zdarzeń na podstawie informacji pochodzących z różnych źródeł, - wykrywanie anomalii w tym tzw, NetFlow profiling, - korelacja zdarzeń w oparciu o zadaną regułę oraz w oparciu o zachowania, - możliwość definiowania reguł własnych oraz korzystania z predefiniowanych, - graficzna możliwość konfiguracji reguł, 8. posiadać mechanizmy wykrywające topologię sieci: - wykrywanie urządzeń L2 i L3 takich jak routery, przełączniki firewalle, - wykrywanie sond IDS, - komunikowanie się z urządzeniami sieciowymi z wykorzystaniem SNMP, SSH i/lub protokołów własnych poszczególnych urządzeń, - możliwość manualnej inicjalizacji procesu wykrywania, 9. posiadać mechanizmy analizy ataków: - analiza topologiczna ścieżki ataku, - analiza konfiguracji przełączników, routerów, firewalli, etc., - analiza tzw.false positives automatyczna i konfigurowana przez administratora, 10. posiadać mechanizmy analizy incydentów oraz reakcji na nie: - spersonalizowane centrum dowodzenia dla zarządzania zdarzeniami, - graficzna wizualizacja ścieżki ataku, - generowanie sugerowanych akcji na urządzeniach sieciowych (routery, przełączniki, firewalle) np. propozycje komend do wykonania dla powstrzymania ataku. Opcja zaakceptowania propozycji powinna wiązać się z wykonaniem komendy na wskazanym urządzeniu, - generowanie dokładnej informacji dotyczącej ataku: a) naruszona reguła, b) informacja o zdarzeniu, c) informacja o podjętej akcji, - generowanie dokładnej informacji dotyczącej atakującego a) adres MAC, b) nazwa stacji roboczej (jeżeli dostępna), c) nazwa użytkownika VPN (jeżeli dostępna), 11. posiadać mechanizmy zapytań i raportowania: - możliwość graficznego definiowania zapytań, - wbudowana baza typowych raportów, - możliwość generowania raportów danych, wykresów, trendów zdarzeń, - możliwość eksportu raportów m.in do formatu HTML i CSV, - możliwość zlecenia wykonania raportu, - możliwość zlecenia wysłania raportu mailem, 12. posiadać mechanizmy bezpieczenego zarządzania: - możliwość zarządzania przez HTTPS, - administracja systemem oparta o konta admnistracyjne wraz z wbudowanymi rolami (uprawnieniami), - pełna notyfikacja i logowanie poczynań administratorów, - możliwość notyfikacji administratorów o zdarzeniach z wykorzystaniem email, syslog i SNMP, 10
- powinno posiadać mechanizmy zbierania informacji, analizy i alarmowania w zakresie opisanym powyżej z dostarczonego przełącznika sieciowego. 11