Załącznik nr 3 SPECYFIKACJA TECHNICZNA systemu ochrony sieci, zarządzania i raportowania z wdroŝeniem i szkoleniem Składana oferta musi odpowiadać warunkom nie gorszym niŝ określone poniŝej: Uwaga: 1. Oferowane produkty muszą spełniać wszystkie parametry określone w niniejszym załączniku oraz być fabrycznie nowe, oznakowane symbolem CE, pochodzić z legalnego źródła, muszą być dostarczone przez autoryzowany kanał sprzedaŝy producenta na terenie kraju i objęte standardowym pakietem usług gwarancyjnych zawartych w cenie urządzenia i oprogramowania świadczonych przez sieć serwisową producenta na terenie Polski. Zamawiający zastrzega sobie prawo do Ŝądania potwierdzenia źródła pochodzenia urządzenia w postaci oświadczenia producenta. 2. Wykonawca winien przedstawić nazwę producenta i model oferowanego sprzętu i oprogramowania w poszczególnych jego rodzajach. 3. Wszystkie opisane parametry wymagane są wymaganiami minimalnymi. Zamawiający akceptuje rozwiązania o parametrach równowaŝnych lub lepszych, bez utraty funkcjonalności i wydajności. 1. System ochrony sieci (klaster HA) 2 szt. Nazwa producenta:.. Typ produktu, model:.. Lp. Parametr Wymagania techniczne 1. Architektura systemu Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione ochrony poniŝej funkcje bezpieczeństwa oraz funkcjonalności niezaleŝnie od dostawcy łącza. Dopuszcza się aby elementy wchodzące w skład systemu ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej lub w postaci komercyjnej aplikacji instalowanej na platformie ogólnego przeznaczenia. W przypadku implementacji programowej dostawca powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. 2. Funkcjonalność zapewniająca niezawodność Dla elementów systemu bezpieczeństwa Wykonawca zapewni wszystkie poniŝsze funkcjonalności: Redundancja elementów systemu, redundancja połączeń: MoŜliwość łączenia w klaster Active-Active lub Active-Passive kaŝdego z elementów systemu. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz łączy sieciowych Monitoring stanu realizowanych połączeń VPN z moŝliwością implementacji mechanizmów redundancji KaŜdy z elementów systemu bezpieczeństwa realizujący funkcje ochronne (programowy lub sprzętowy) powinien zostać dostarczony w formie redundantnej.
3. Zasada działania (tryby) System realizujący funkcję Firewall powinien dawać moŝliwość pracy w jednym z dwóch trybów: Routera z funkcją NAT lub transparent. 4. Ilość/rodzaj portów System realizujący funkcję Firewall powinien dysponować minimum 16 portami Ethernet 10/100/1000 Base-TX. MoŜliwość tworzenia min 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q 5. Przepustowość W zakresie Firewall a obsługa nie mniej niż 1 milion jednoczesnych połączeń Przepustowość Firewall a: nie mniej niż 13 Gbps Wydajność szyfrowania AES lub 3DES: nie mniej niż 3 Gbps 6. Funkcjonalności podstawowe i uzupełniające W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniŝszych funkcjonalności. Poszczególne funkcjonalności systemu bezpieczeństwa mogą być realizowane w postaci osobnych platform sprzętowych lub komercyjnych platform programowych: Kontrola dostępu - zapora ogniowa klasy Stateful Inspection Ochrona przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS. Moduł kontroli antywirusowej powinien umoŝliwiać skanowanie załączników typu RAR, ZIP. Poufność danych - IPSec VPN oraz SSL VPN Ochrona przed atakami - Intrusion Prevention System [IPS/IDS] Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu SPAM. Kontrola zawartości poczty antyspam (dla protokołów SMTP, POP3, IMAP) Kontrola pasma oraz ruchu [QoS, Traffic shaping] Kontrola aplikacji oraz rozpoznawanie ruchu P2P MoŜliwość analizy ruchu szyfrowanego SSL em MoŜliwość cache owania obiektów dla protokołu http Funkcjonalność kontrolera sieci bezprzewodowych Ochrona przed wyciekiem poufnej informacji (DLP) 7. Wydajność Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi funkcjami: Stateful Firewall, Antivirus, WebFilter, min. 250 Mbps. Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 500 Mbps 8. Połączenia VPN W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niŝ: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Dostawca musi dostarczyć nielimitowanego klienta VPN współpracującego z proponowanym rozwiązaniem. Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Praca w topologii Hub and Spoke oraz Mesh Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
9. Routing dynamiczny Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły routingu powinny funkcjonować w ramach terminowanych na urządzeniu połączeniach IPSec VPN. MoŜliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów bezpieczeństwa w zakresie routingu, Firewall a, Antywirus a, IPS a, Web Filter a. 10. Translacja adresów Translacja adresów NAT adresu źródłowego i NAT adresu docelowego 11. Polityka bezpieczeństwa Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe, uŝytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i maksymalne, priorytety) MoŜliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ 12. Antywirus Silnik antywirusowy powinien umoŝliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2031) 13. Ochrona IPS Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków powinna zawierać predefiniowane wpisy. Ponadto administrator systemu powinien mieć moŝliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być moŝliwość wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos. 14. Kontrola aplikacji Funkcja Kontroli Aplikacji powinna umoŝliwiać kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP 15. Filtr WWW Baza filtra WWW pogrupowanych w kategorie tematyczne (np. spyware, malware, spam). Administrator powinien mieć moŝliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra WWW 16. Aktualizacje Automatyczne aktualizacje sygnatur ataków, aplikacji, szczepionek antywirusowych oraz ciągły dostęp do globalnej bazy zasilającej filtr URL oraz Antyspamowy 17. Uwierzytelnianie uŝytkowników Moduł Firewall oraz Filtr WWW muszą umoŝliwiać wykonywanie uwierzytelniania toŝsamości uŝytkowników za pomocą nie mniej niŝ: Haseł statycznych i definicji uŝytkowników przechowywanych w lokalnej bazie systemu haseł statycznych i definicji uŝytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umoŝliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory 18. Certyfikaty Funkcje bezpieczeństwa oferowanego systemu powinny posiadać certyfikaty: ICSA dla funkcjonalności IPSec VPN, IPS, Antywirus ICSA lub EAL4 dla funkcjonalności Firewall 19. Zarządzanie Elementy systemu powinny być zarządzane lokalnie za pomocą protokołów co najmniej: HTTPS, SSH jak i mieć moŝliwość współpracy z dedykowanymi do centralnego zarządzania i monitorowania platformami
20. Oświadczenia W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Dostawca winien przedłoŝyć dokument pochodzący od importera tej technologii stwierdzający, iŝ przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a takŝe dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn zm.) oraz dokument potwierdzający, Ŝe importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. 21. Serwis oraz aktualizacje Oferent winien przedłoŝyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iŝ oferent posiada autoryzację producenta w zakresie sprzedaŝy oferowanych rozwiązań oraz świadczenia usług z nimi związanych. Dostawca powinien dostarczyć licencje aktywacyjne dla wymaganych funkcji bezpieczeństwa na okres 36 miesięcy. System powinien być objęty serwisem gwarancyjnym producenta przez okres 36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłoŝyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. 22. Wsparcie techniczne Dostawca powinien zapewnić pierwszą linie wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygtodniu. 2. System centralnego zarządzania, logowania i raportowania 1 szt. Nazwa producenta:.. Typ produktu, model:.. Lp. Parametr Wymagania techniczne 1. Architektura systemu Elementy systemu bezpieczeństwa odpowiedzialne za zarządzanie i monitoring mają umoŝliwiać centralizację procesów zarządzania wszystkimi funkcjonalnościami elementów realizujących funkcje bezpieczeństwa w ramach całej infrastruktury zabezpieczeń. W ramach systemu zarządzania dostawca powinien dostarczyć spójny system monitorujący, gromadzący logi, korelujący zdarzenia i generujący raporty na podstawie danych ze wszystkich elementów systemu bezpieczeństwa. Platforma powinna dysponować predefiniowanym zestawem przykładów raportów, dla których administrator systemu będzie mógł modyfikować parametry prezentowania wyników. System centralnego logowania i raportowania powinien być dostarczony w postaci komercyjnej platformy sprzętowej lub programowej. W przypadku implementacji programowej dostawca powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym systemem operacyjnym. MoŜliwe jest zaproponowanie rozwiązania składającego się z dwóch osobnych urządzeń fizycznych pochodzących od jednego producenta.
2. Funkcjonalności W ramach centralnego systemu zarządzania, logowania, raportowania i korelacji powinny być realizowane przynajmniej poniŝsze funkcjonalności: 1. MoŜliwość definiowania ról związanych z określonymi funkcjami np. analityk z dostępem do wybranej funkcjonalności (np. odczyt lub zmiana konfiguracji) lub administrator z pełnym dostępem ale tylko dla określonej grupy elementów systemu. 2. Zarządzanie polityką elementów systemu musi dawać moŝliwość wykorzystania dynamicznych obiektów globalnych oraz ich implementację na określonych grupach elementów. 3. Konfigurowalne opcje powiadamiania o zdarzeniach jak. email, SNMP. 4. Podgląd logowanych zdarzeń w czasie rzeczywistym. 5. MoŜliwość generowania raportów w zakresie wszystkich funkcjonalności bezpieczeństwa realizowanych przez system - na Ŝądanie oraz w trybie cyklicznym, w postaci popularnych formatów min: PDF, DOC, HTML. Raporty powinny obejmować zagadnienie dotyczące całej sfery bezpieczeństwa. 6. Automatyczną dystrybucję nowych wersji oprogramowania lub aplikacji do wszystkich elementów infrastruktury bezpieczeństwa zgodnie z zaplanowanym harmonogramem. 7. Zastosowane systemy logowania powinny umoŝliwiać cykliczny eksport zgromadzonych logów do zewnętrznych systemów przechowywania danych w celu ich długo czasowego składowania. 8. System centralnego zarządzania dla poszczególnych funkcji bezpieczeństwa powinien oferować wydajność niezbędną do zarządzania całą strukturą realizowanej infrastruktury bezpieczeństwa oraz dysponować co najmniej dwoma interfejsami Ethernet 10/100/1000 Base-TX. 9. Na podstawie analizy przeprowadzonych testów w zakresie ilości logów w ciągu sekundy, zastosowany system centralnego logowania powinien umoŝliwiać zapis oraz analizę co najmniej 1000 nowych logów/sekundę. 10. System logowania powinien dysponować co najmniej 2 interfejsami Ethernet 10/100/1000 oraz powierzchnią dyskową min. 1TB moŝliwością rozbudowy powierzchni dyskowej. 3. Oświadczenia W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania), Dostawca winien przedłoŝyć dokument pochodzący od importera tej technologii stwierdzający, iŝ przy jej wprowadzeniu na terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a takŝe dla utrzymania międzynarodowego pokoju i bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn zm.) oraz dokument potwierdzający, Ŝe importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw. wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania. Oferent winien przedłoŝyć oświadczenie producenta lub autoryzowanego dystrybutora producenta na terenie Polski, iŝ oferent posiada autoryzację producenta w zakresie sprzedaŝy oferowanych rozwiązań oraz świadczenia usług z nimi związanych.
4. Serwis oraz aktualizacje System powinien być objęty serwisem gwarancyjnym producenta przez okres 36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłoŝyć dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej. 5. Wsparcie techniczne Dostawca powinien zapewnić pierwszą linie wsparcia technicznego telefonicznie w języku polskim w trybie 8 godzin 5 dni w tygtodniu. 3. Usługa wdroŝenia 1 szt. W związku ze specyfiką wdroŝenia Zamawiający wymaga, aby Wykonawca posiadał aktualny certyfikat ISO 27001 bądź równowaŝny (załączyć do oferty). W zakres zamówienia wchodzi oprócz dostawy wyspecyfikowanych urządzeń, takŝe ich wdroŝenie na miejscu u zamawiającego przez certyfikowanego inŝyniera (certyfikat poświadczający zdanie egzaminów i znajomość konfiguracji dostarczanego systemu bezpieczeństwa na poziomie min. II producenta oferowanego rozwiązania): WdroŜenie systemu do ochrony sieci, centralnego zarządzania, logowania i raportowania 1. Wstępna konfiguracja zamówionego sprzętu (adresacja IP, routing, klaster UTM-ów - HA) 2. Instalacja zamówionego sprzętu w szafie 3. Konfiguracja system centralnego zarządzania - integracja z systemem ochrony sieci i systemem logowania i raportowania 4. Integracja systemu z Active Directory 5. Konfiguracja polityk firewall 6. Konfiguracja profili UTM 7. Publikacja polityk z systemu centralnego zarządzania do systemu ochrony sieci 8. Uruchomienie na systemie centralnego zarządzania proxy dla aktualizacji funkcji bezpieczeństwa urządzenia ochronnego. 9. Konfiguracja urządzenia do kolekcjonowania i przetwarzania dzienników zdarzeń oraz systemu raportowania 10. Konfiguracja Raportów 11. Testy 12. Włączenie urządzenia UTM do środowiska produkcyjnego 13. Monitoring 14. Szkolenie administrator(ów) podczas wdroŝenia 15. Przeprowadzenie szkolenia instruktaŝowego z zakresu konfiguracji i zarządzania urządzeniami wskazanymi w powyŝszym załączniku, po wykonaniu wdroŝenia urządzeń u Zamawiającego.
Szkolenie autoryzowane dla 3 osób (kaŝda osoba odbywająca szkolenie w innym terminie) z zakresu konfiguracji i zarządzania dla dostarczonego sprzętu opisanego w powyŝszym załączniku, prowadzone przez trenera certyfikowanego przez producenta sprzętu oraz przeprowadzone w autoryzowanym przez producenta centrum szkoleniowym w Toruniu lub Warszawie. W przypadku wyboru lokalizacji Warszawa, Wykonawca zobowiązany jest pokryć koszty dojazdu, zakwaterowania i wyŝywienia uczestników szkolenia. Po zakończeniu szkolenia uczestnicy otrzymają certyfikat ukończenia sygnowany przez producenta oferowanego rozwiązania szczegółowo opisanego w powyŝszym załączniku. Oferowane szkolenia umoŝliwią uczestnikom przystąpienie do egzaminu na uzyskanie statusu inŝyniera. W zakres szkolenia naleŝy uwzględnić vouchery uprawniające do zdawania tego egzaminu dla powyŝszych osób waŝne przez minimum rok. W zakresie konfiguracji dostarczonego klastra szkolenie powinno obejmować poniŝszą tematykę: 1. Konfiguracja przez WWW o podstawowa konfiguracja za pomocą panelu WWW (WebConfig) i wiersza poleceń CLI (Command Line Interface) o aktualizacja firmware'u o tworzenie i odtwarzanie backupu 2. Konfiguracja modułów o Wyjaśnienie i konfiguracja systemu licencjonowania o Konfiguracja mechanizmu aktualizacji modułów Antywirusa, Antyspamu oraz IPS o Zdalna usługa filtrowania treści stron WWW 3. Logowanie i monitoring o konfiguracja logowania dla zdarzeń systemowych o konfiguracja protokołu Syslog i SNMP o rejestracja i konfiguracja systemu logowania o konfiguracja alertów mailowych 4. Konfiguracja Firewalla o zasada działania firewalla stanowego o tworzenie obiektów dla reguł zapory ogniowej o reguły uwierzytelniające uŝytkowników 5. Podstawy VPN o Tryby działania VPN o SSL VPN o IPSec VPN 6. Uwierzytelnianie o Metody uwierzytelniania o Obiekty uŝytkowników i grup o Konfiguracja uwierzytelniania (PKI, RADIUS, LDAP) o Współpraca z Windows Active Directory 7. Skanowanie antywirusowe o ustawienia modułu AV o filtrowanie plików i obsługa kwarantanny 8. Filtr stron WWW o konfiguracja lokalnej blokady stron WWW o filtrowanie po zawartości stron o filtrowanie po kategoriach tematycznych