OK.VI.3221-88-09 zał. nr 5 do siwz (Pieczęć wykonawcy) Zestawienie parametrów oferowanego sprzętu Urządzenie klasy UTM 1 szt. Oferowane urządzenie producent/model: Licencje do urządzenia: Lp Parametr Wymagania techniczne 1. Licencjonowanie 2. Architektura systemu ochrony System bezpieczeństwa musi obsługiwać nie limitowaną ilość użytkowników w ramach realizowanych systemów zabezpieczeń System ochrony musi być zbudowany przy użyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizoanego układu ASIC. Wykonawca jest zobowiązany zagwarantować wsparcie producenta dla każdej zaoferowanej funkcjonalności bezpieczeństwa. W przypadku zastosowania funkcjonalności sofware owych wykonawca powinien dostarczyć odpowiednio wydajną platformę sprzętową. Uwaga: Dziennik zdarzeń lub inne działania wymagające systemów dyskowych muszą być realizowane na zewnętrznych, dedykowanych do tego celu urządzeniach. Urządzenie tego typu musi być dorstarczone w ramach projektu. spełnia wymogi (tak/nie) Strona 1 z 8
3. Ilość/rodzaj portów 4. Funkcjonalności podstawowe i uzupełniające 5. Zasada działania (tryby) 6. Polityka bezpieczeństwa (firewall) 7. Wykrywanie ataków 8. Translacja adresów Nie mniej niż 10 portów Ethernet 10/100/1000 Base-TX oraz w opcji min. 1 gniazdo rozszerzeń. Możliwość tworzenia min 250 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard IEEE802.1q System ochrony musi obsługiwać wszystkie z poniższych funkcjonalności podstawowych: kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS, SMTPS poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami Intrusion Prevention System [IPS/IDS] kontrolę treści Web Filter [WF] kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) kontrolę pasma oraz ruchu [QoS i Traffic shaping] Kontrola aplikacji oraz rozpoznawanie ruchu P2P Mechanizmy optymalizacji pasma z możliwością cache owania obiektów HTTP Możliwość analizy ruchu szyfrowanego SSL em Ochrona przed wyciekiem poufnej informacji (DLP) System powinien dawać możliwość pracy w jednym z dwóch trybów: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasmo gwarantowane i maksymalne, priorytety). Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz ochronę przed DDoS Nie mniej niż 3900 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie i automatycznie Możliwość wykrywania anomalii protokołów i ruchu Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. 2 z 8
9. Wirtualizacja i routing dynamiczny 10. Połączenia VPN 11. Uwierzytelnianie użytkowników 12. Wydajność 13. Funkcjonalność zapewniająca niezawodność Możliwość definiowania w jednym urządzeniu nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Rozwiązanie powinno zapewniać: Obsługę Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Wykonawca musi dostarczyć nielimitowanego lienta VPN współpracującego z proponowanym rozwiazaniem, wyposażonego w funkcjonalność personalnego Firewall a Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Praca w topologii Mesh oraz Hub and Spoke Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory Obsługa nie mniej niż 600tys. jednoczesnych połączeń i 25 tys. nowych połączeń na sekundę Przepustowość Firewall a: nie mniej niż 16 Gbps Wydajność szyfrowania(3des): nie mniej niż 8Gbps Wydajność antywirusa przy skanowaniu strumienia http 250 Mbps Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych. Możliwość łączenia w klaster każdego z komponentów systemu. 3 z 8
14. Konfiguracja i zarządzanie 15. Raportowanie 16. Instalacja i Konfiguracja Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System musi współpracować z zewnętrznym, modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Sumaryczna pojemność zastosowanych dysków powinna wynosić przynajmniej 500MB. Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. System ochrony poczty 1 szt. Lp Parametr Wymagania techniczne 1. Architektura systemu ochrony 2. System operacyjny 3. 4. Parametry fizyczne systemu Zasada działania (tryby) System ochrony musi zapewniać kompleksową ochronę antyspamową, antywirusową oraz antyspyware ową. Jednocześnie, wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenie musi pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. Nie mniej niż 4 porty Ethernet 10/100/1000 Base-TX Powierzchnia dyskowa - minimum 500 GB Urządzenie powinno mieć możliwość pracy w każdym trzech trybów: Tryb gateway Tryb transparentny (nie wymaga rekonfiguracji istniejącego systemu poczty elektronicznej) Tryb serwera pocztowego spełnia wymogi (tak/nie) 4 z 8
5. 6. 7. Funkcjonalności podstawowe i uzupełniające Funkcjonalności w trybie serwera pocztowego Ochrona antywirusowa, antyspyware owa System musi posiadać: 1. Wsparcie dla wielu domen pocztowych 2. Polityki filtrowania tworzone w oparciu o adresy mailowe, nazwy domenowe, adresy IP (w szczególności reguła all-all) 3. Email routing oraz zarządzanie kolejkami bazujące na politykach 4. Ochrona poczty przychodzącej oraz wychodzącej 5. Granularne, wielowarstwowe polityki wykrywania spamu oraz wirusów 6. Skanowanie Antywirusowe oraz Antyspamowe definiowane na użytkownika w oparciu o atrybuty LDAP 7. Routing poczty (email routing) w oparciu o LDAP 8. Kwarantanna poczty z dziennym podsumowaniem (możliwość samodzielnego zwalniania plików z kwarantanny przez użytkownika) 9. Dostęp do kwarantanny poprzez WebMail lub POP3 10. Archiwizacja poczty przychodzącej i wychodzącej, backup poczty do różnych miejsc przeznaczenia 11. Whitelist y definiowane dla użytkownika System musi zapewniać: Obsługę serwisów pocztowych: SMTP, POP3, IMAP Wsparcie SMTP over SSL Definiowanie powierzchni dyskowej dla użytkownika Szyfrowany dostęp do poczty poprzez WebMail Polski interfejs użytkownika przy dostępie przez WebMail Lokalne konta użytkowników oraz uwierzytelnianie w oparciu o LDAP Obsługa minimum 1000 skrzynek pocztowych na urządzeniu System musi realizować: Skanowanie antywirusowe wiadomości SMTP Kwarantannę dla zainfekowanych plików Skanowanie załączników skompresowanych Definiowanie komunikatów powiadomień w języku polskim Blokowanie załączników ze względu na typ pliku Obsługę nie mniej niż 175 profili antywirusowych 5 z 8
8. 9. 10. 11. Ochrona antyspamowa Ochrona przed atakami DoS Uwierzytelnianie SMTP Logowanie i raportowanie System musi zapewniać poniższe metody filtrowania spamu: Heurystyczna analiza spamu Filtrowanie treści załączników, Szczegółowa kontrola nagłówka wiadomości Filtrowanie w oparciu o filtry Bayes a, z możliwością dostrajania dla poszczególnych użytkowników Filtrowanie poczty w oparciu o sumy kontrolne spamu Wykrywanie spamu w oparciu a analizę plików graficznych oraz plików PDF Analiza poczty w oparciu o dynamiczną bazę spamu dostarczaną przez tego samego producenta Współpraca z zewnętrznymi serwerami RBL Kontrola w oparciu o Greylist y Białe i czarne listy definiowane globalnie oraz dla użytkownika Kwarantanna oraz oznaczanie spamu Weryfikacja źródłowego adresu IP Możliwość zdefiniowania 175 profili antyspamowych Denial of Service (Mail Bombing) Ochrona przed atakami na adres odbiorcy Definiowanie maksymalnych ilości wiadomości pocztowych Kontrola Reverse DNS (Anty-Spoofing) Weryfikacja poprawności adresu e-mail nadawcy LDAP, RADIUS, POP3 lub IMAP Zdarzenia systemowe oraz przekroczone zdefiniowane progi logowanie poprzez SNMP Logowanie do zewnętrznego serwera SYSLOG Logowanie zmian konfiguracji oraz krytycznych zdarzeń systemowych Powiadamianie o działalności wirusów Logowanie informacji na temat spamu oraz niedozwolonych załączników Predefiniowane szablony ponad 140 raportów Możliwość planowania czasu generowania raportów Możliwość podglądu logów w czasie rzeczywistym 6 z 8
12. 13. Tryb wysokiej dostępności (HA) Aktualizacje sygantur, dostęp do bazy spamu 14. Zarządzanie System logowania i raportowania zdarzeń 1 szt. System musi zapewniać: Konfigurację HA [Active-Passive] w każdym z trybów: gateway, transparent, serwer Tryb A-P z syncronizacją polityk i wiadomości, gdzie cluster występuje pod jednym adresem IP Tryb synchronizacji konfiguracji dla scenariuszy rozległych (osobne adresy IP) Wykrywanie awarii i powiadamianie administratora Monitorowanie stanu połączeń Opcjonalnie system dyskowy RAID (0, 1) System musi zapewniać: Pracę w oparciu o bazę spamu uaktualnianą w czasie rzeczywistym Planowanie aktualizacji szczepionek antywirusowych w czasie (Scheduler) Wymuszona aktualizacja bazy wirusów (tryb push) System udostępnia: Konsolę szeregową RS-232 oraz lokalny interfejs zarządzania poprzez szyfrowane połączenie HTTPS, SSH Definiowanie wyglądu interfejsu zarządzania z możliwością wstawienia logo firmy 15. Obudowa Obudowa ma mieć możliwość zamontowania w szafie 19 16. Zasilanie Zasilanie z sieci 230V/50Hz. 17. Instalacja i Konfiguracja Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. Lp Parametr Wymagania techniczne 1. Architektura systemu ochrony 2. System operacyjny System logowania i raportowania powinien stanowić centralne repozytorium danych gromadzonych przez wiele urządzeń oraz aplikacji klienckich z możliwością definiowania własnych raportów na podstawie predefiniowanych wzorców. Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenie musi pracować w oparciu o dedykowany system operacyjny wzmocniony z punktu widzenia bezpieczeństwa. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. spełnia wymogi (tak/nie) 7 z 8
3. 4. 5. Parametry fizyczne systemu Funkcjonalności podstawowe i uzupełniające Parametry wydajnościowe 6. Zarządzanie Nie mniej niż 4 porty Ethernet 10/100/1000 Powierzchnia dyskowa - minimum 500 GB Opcjonalnie mechanizm zarządzania dyskami RAID (0,1) System musi zapewniać: 1. Składowanie oraz archiwizację logów z możliwością ich grupowania w oparciu o urządzenia, użytkowników 2. Możliwość gromadzenia zawartości przesyłanych za pośrednictwem protokołów Web, FTP, email, IM oraz na ich podstawie analizowania aktywności użytkowników w sieci 3. Kwarantannę dla współpracujących z nim urządzeń. Kwarantanna obejmuje zainfekowane lub wskazane przez analizę heurystyczną pliki. 4. Przeglądanie archiwalnych logów przy zastosowaniu funkcji filtrujących 5. Wyświetlanie nowych logów w czasie rzeczywistym 6. Analizowanie ruchu w sieci poprzez nasłuch całej komunikacji w segmencie sieci z możliwością jej zapisu i późniejszej analizy 7. Analizę podatności stacji w sieci wraz z możliwością raportowania wykrytych luk 8. Export zgromadzonych logów do zewnętrznych systemów składowania danych (długoterminowe przechowywanie danych) Urządzenie musi być w stanie gromadzić logi z wydajnością 500 logów/s 7. Zasilanie Zasilanie z sieci 230V/50Hz. 8. Instalacja i Konfiguracja System udostępnia: Lokalny interfejs zarządzania poprzez szyfrowane połączenie HTTPS, SSH i konsolę szeregową Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. Autoryzowane szkolenie producenta oferowanych urządzeń - szkolenie przeznaczone dla 1 osoby: (spełnia wymogi - tak/nie) 8 z 8