Przedmiotem zamówienia są dwa firewalle wraz z funkcjonalnością IPS. Lp. Urządzenie Part number producenta Ilość



Podobne dokumenty
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Opis przedmiotu zamówienia. 1. Urządzenie pełniące funkcje ściany ogniowej i bramy VPN x 2 szt.

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

PARAMETRY TECHNICZNE I FUNKCJONALNE

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Niniejszy załącznik zawiera opis techniczny oferowanego przedmiotu zamówienia.

SPECYFIKACJA TECHNICZNA

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Specyfikacja techniczna do przełączników sieciowych i firewall a Załącznik nr 4. 1) Przełącznik sieciowy typu I (np: WS-C TC-L lub równoważny)

0/13. Załącznik nr 1 do SIWZ

WOJEWÓDZTWO PODKARPACKIE

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

Specyfikacja techniczna

SPECYFIKACJA TECHNICZNA ZAŁĄCZNIK NR 1 DO SIWZ

4. Podstawowa konfiguracja

FORMULARZ ASORTYMENTOWO CENOWY

OPIS PRZEDMIOTU ZAMÓWIENIA

Załącznik nr 2 do I wyjaśnień treści SIWZ

Dostawa urządzenia sieciowego UTM.

Załącznik nr 1b do SIWZ Opis przedmiotu zamówienia dla części II

Wprowadzenie do zagadnień związanych z firewallingiem

WYMAGANIA TECHNICZNE. Oferowany model *.. Producent *..

OPIS PRZEDMIOTU ZAMÓWIENIA

Wymagania szczegółowe dotyczące dostarczanego sprzętu

7. zainstalowane oprogramowanie zarządzane stacje robocze

Opis Przedmiotu Zamówienia

Protokoły sieciowe - TCP/IP

Szczegółowy Opis Przedmiotu Zamówienia. Dostawa przełączników sieciowych spełniających poniższe minimalne wymagania:

9. System wykrywania i blokowania włamań ASQ (IPS)

SZCZEGÓŁOWE OKREŚLENIE Przełączniki sieciowe

Zapytanie ofertowe na aktualizację urządzenia UTM

Wymagania techniczne przedmiotu zamówienia. Część nr III

SPECYFIKACJA TECHNICZNA CZĘŚĆ I PRZEDMIOTU ZAMÓWIENIA (urządzenia bezpieczeństwa) OBLIGATORYJNE WYMAGANIA TECHNICZNE

OPIS PRZEDMIOTU ZAMÓWIENIA część I zamówienia. Urządzenie typu Firewall do ochrony systemu poczty elektronicznej.

I. Rozbudowa istniejącej infrastruktury Zamawiającego o przełączniki sieciowe spełniające poniższe minimalne wymagania - szt. 5

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP:

7. Konfiguracja zapory (firewall)

Zamieszczanie ogłoszenia: obowiązkowe. Ogłoszenie dotyczy: zamówienia publicznego. SEKCJA I: ZAMAWIAJĄCY

OPIS PRZEDMIOTU ZAMÓWIENIA

11. Autoryzacja użytkowników

OPIS PRZEDMIOTU ZAMÓWIENIA

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

CZĘŚĆ II OPIS PRZEDMIOTU ZAMÓWIENIA

Znak sprawy: KZp

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zdalne logowanie do serwerów

ZADANIE II. DOSTAWA, INSTALACJA I WDROŻENIE URZĄDZENIA FIREWALL UTM NOWEJ GENERACJI. 1. Minimalne parametry urządzenia

OPIS PRZEDMIOTU ZAMÓWIENIA

SEKCJA I: Zamawiający

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

FORMULARZ OFERTOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Załącznik nr 2 do SIWZ. strona. z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA/SPECYFIKACJA TECHNICZNA URZĄDZEŃ

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Opis przedmiotu zamówienia.

Minimalne wymagania techniczne dla systemu:

Producent. Rok produkcji..

Serwerowy system operacyjny musi spełniać następujące wymagania minimalne:

OPIS PRZEDMIOTU ZAMÓWIENIA

FORMULARZ OFERTY. Dane Wykonawcy:... Adres (siedziba) Wykonawcy:... Tel... Fax NIP:... REGON:...

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

OPIS PRZEDMIOTU ZAMÓWIENIA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

OP-IV ELB. 1. Przełącznik Typ II 6 sztuk. Ilość Numer produktu, producent, model/typ oferowanego sprzętu * Nazwa sprzętu OP-IV.

Win Admin Replikator Instrukcja Obsługi

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWEINIA

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Serwer główny bazodanowy. Maksymalnie 1U RACK 19 cali (wraz ze wszystkimi elementami niezbędnymi do zamontowania serwera w oferowanej szafie)

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Opis przedmiotu zamówienia

Konfiguracja Wymagania techniczne oferowana Producent. Rok produkcji..

Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II zamówienia

System zarządzania i monitoringu

Opis przedmiotu zamówienia

Szczegółowy opis przedmiotu zamówienia

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych.

Konfiguracja aplikacji ZyXEL Remote Security Client:

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

1.2. Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.

Sprawa numer: BAK.WZP Warszawa, dnia 20 maja 2016 r.

Część 2: Dostawa i konfiguracja sprzętowej zapory sieciowej (UTM - Unified Threat Management)

OPIS PRZEDMIOTU ZAMÓWIENIA. Część I dostawa urządzeń UTM, Routera i Przełączników sieciowych

Projektowanie i implementacja infrastruktury serwerów

... Podpis osoby - osób upoważnionych do składania oświadczeń woli w imieniu wykonawcy

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Transkrypt:

CZĘŚĆ II SIWZ SPECYFIKACJA PRZEDMIOTU ZAMÓWIENIA Szczegółowa specyfikacja techniczna w postępowaniu o udzielenie zamówienia niepublicznego w trybie przetargu nieograniczonego na: Dostawa sprzętu sieciowego w ramach poprawy bezpieczeństwa węzła EH PSE SA Tabela nr 1. Przedmiotem zamówienia są dwa firewalle wraz z funkcjonalnością IPS Szczegółowa specyfikacja: Lp. Urządzenie Part number producenta Ilość 1. ASA5525-FPWR-BUN ASA 5525-X with FirePOWER Svcs. Chassis and Subs. Bundle 1 1.1 ASA5525-FPWR-K9 ASA 5525-X with FirePOWER Services 8GE AC 3DES/AES SSD 2 1.2 CON-SNT-A25FPK9 SMARTNET 8X5XNBD ASA 5525-X with FirePOWER Services, 8GE, 2 1.3 SF-FP5.3.1-K9 Cisco FirePOWER Software v5.3.1 2 1.4 ASA5525-CTRL-LIC Cisco ASA5525 Control License 2 1.5 SF-ASA-X-9.2.2-K8 ASA 9.2.2 Software image for ASA 5500-X Series,5585-X,ASA-SM 2 1.6 CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M 2 1.7 ASA-VPN-CLNT-K9 Cisco VPN Client Software (Windows, Solaris, Linux, Mac) 2 1.8 ASA-ANYCONN-CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Software 2 1.9 ASA5500X-SSD120INC ASA 5512-X through 5555-X 120GB MLC SED SSD (Incl.) 2 1.10 ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) 2 1.11 ASA5525-MB ASA 5525 IPS Part Number with which PCB Serial is associated 2 1.12 L-ASA5525-TAMC-PR= Cisco ASA5525 FirePOWER IPS AMP and URL Licenses 2 1.13 L-ASA5525-TAMC-1PR Cisco ASA5525 FirePOWER IPS, AMP & URL 2 lub równoważne, spełniające poniższe wymagania techniczne: SA Strona 1 z 6

1.1. Architektura urządzenia 1.1.1. Urządzenie pełniące funkcje bramy VPN i ściany ogniowej (firewall) typu Statefull inspection. Urządzenie musi mieć możliwość rozbudowy o dodatkowe moduły sprzętowe. 1.1.2. Urządzenie musi być wyposażone w co najmniej: 1.1.2.1. Minimum osiem interfejsów Gigabit Ethernet 10/100/1000 (RJ45) 1.1.2.2. Minimum jeden, dedykowany interfejs Gigabit Ethernet 10/100/1000 (RJ45) do zarządzania 1.1.3. Urządzenie obsługuje interfejsy VLAN-IEEE 802.1q na interfejsach fizycznych, nie mniej niż 200 interfejsów 802.1q sumarycznie 1.1.4. Urządzenie wyposażone w moduł sprzętowego wsparcia szyfrowania 3DES i AES oraz licencje na szyfrowanie 3DES/AES 1.1.5. Urządzenie posiada dedykowany dla zarządzania port konsoli 1.1.6. Urządzenie musi być wyposażone w min. dwa porty USB 2.0 (z obsługą tzw. hot plug i pamięci masowych w formacie FAT32) 1.1.7. Urządzenie posiada pamięć Flash o pojemności umożliwiającej przechowanie, co najmniej 3 obrazów systemu operacyjnego (w najnowszej dostępnej wersji) i 3 plików konfiguracyjnych 1.1.8. Urządzenie posiada pamięć DRAM o pojemności nie mniejszej niż 8GB, umożliwiającej uruchomienie wszystkich dostępnych dla urządzenia funkcjonalności 1.1.9. Urządzenie musi być wyposażone min. w jeden wymienny dysk twardy typu SSD o pojemności min. 120GB 1.2. Funkcjonalność urządzenia 1.2.1. Urządzenie pełni funkcję ściany ogniowej śledzącej stan połączeń (tzw. stateful inspection) z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji 1.2.2. Urządzenie posiada możliwości konfiguracji reguł filtrowania ruchu w oparciu o tożsamość użytkownika (Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory 1.2.3. Urządzenie musi posiadać możliwość uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz Kerberos 1.2.4. Urządzenie nie posiada ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej 1.2.5. Urządzenie pełni funkcję koncentratora VPN umożliwiającego zestawianie połączeń IPSec VPN (zarówno site-to-site, jak i remote access) 1.2.6. Urządzenie musi umożliwiać zestawianie równocześnie min. 2500 tuneli SSL VPN w trybie clientbased i clientless VPN zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych. 1.2.7. Urządzenie musi zapewniać w zakresie SSL VPN weryfikację uprawnień stacji do zestawiania sesji, poprzez weryfikację jej cech, co najmniej: 1.2.7.1. OS - System operacyjny 1.2.7.2. IP Address Check - adres z jakiego następuje połaczenie 1.2.7.3. File Check - pliki w systemie. 1.2.7.4. Registry Check - wpisy w rejestrze systemu Windows. 1.2.7.5. Certificate Check - zainstalowane certyfikaty 1.2.8. Urządzenie posiada, zapewnianego przez producenta urządzenia i objętego jednolitym wsparciem technicznym, klienta VPN dla technologii IPSec VPN i SSL VPN 1.2.9. Oprogramowanie klienta VPN (IPSec oraz SSL) ma możliwość instalacji na stacjach roboczych pracujących pod kontrolą systemów operacyjnych Windows (7, XP wersje 32 i 64-bitowe), Linux i umożliwia zestawienie do urządzenia połączeń VPN z komputerów osobistych PC. 1.2.10. Oprogramowanie klienta VPN obsługuje protokoły szyfrowania 3DES/AES 1.2.11. Oprogramowanie klienta VPN umożliwia blokowanie lokalnego dostępu do Internetu podczas aktywnego połączenia klientem VPN (wyłączanie tzw. split-tunnelingu) 1.2.12. Urządzenie ma możliwość pracy jako transparentna ściana ogniowa warstwy drugiej ISO OSI 1.2.13. Urządzenie obsługuje protokół NTP 1.2.14. Urządzenie współpracuje z serwerami CA 1.2.15. Urządzenie obsługuje funkcjonalność Network Address Translation (NAT oraz PAT) zarówno dla ruchu wchodzącego, jak i wychodzącego. Urządzenie wspiera translację adresów (NAT) dla ruchu multicastowego. Funkcja NAT musi być również dostępna w trybie transparent SA Strona 2 z 6

1.2.16. Urządzenie zapewnia mechanizmy redundancji w tym możliwość konfiguracji urządzeń w układ zapasowy (failover) działający w trybie wysokiej dostępności (HA) active/standy, active/active dla kontekstów. 1.2.17. Urządzenie realizuje synchronizację tablicy połączeń pomiędzy węzłami pracującymi w trybie wysokiej dostępności HA 1.2.18. Urządzenie zapewnia możliwość konfiguracji redundancji na poziomie interfejsów fizycznych urządzenia 1.2.19. Urządzenie zapewnia funkcjonalność stateful failover dla ruchu VPN 1.2.20. Urządzenie posiada mechanizmy inspekcji aplikacyjnej i kontroli co najmniej następujących usług: 1.2.20.1. Hypertext Transfer Protocol (HTTP), 1.2.20.2. File Transfer Protocol (FTP), 1.2.20.3. Extended Simple Mail Transfer Protocol (ESMTP), 1.2.20.4. Domain Name System (DNS), 1.2.20.5. Simple Network Management Protocol v 1/2/3 (SNMP), 1.2.20.6. Internet Control Message Protocol (ICMP), 1.2.20.7. SQL*Net, 1.2.20.8. inspekcji protokołów dla ruchu voice/video H.323 (włącznie z H.239), SIP, MGCP, RTSP 1.2.21. Urządzenie umożliwia zaawansowaną normalizację ruchu TCP: 1.2.21.1. poprawność pola TCP ACK(invalid-ack ) 1.2.21.2. poprawność sekwencjonowania segmentów TCP (seq-past-window) 1.2.21.3. poprawność ustanawiania sesji TCP z danymi (synack-data) 1.2.21.4. limitowanie czasu oczekiwania na segmenty nie w kolejności 1.2.21.5. poprawność pola MSS (exceed-mss). 1.2.21.6. poprawność pola długości TCP 1.2.21.7. poprawność skali okna segmentów TCP non-syn 1.2.21.8. poprawność wielkości okna TCP 1.2.22. Urządzenie ma możliwość blokowania aplikacji (np. peer-to-peer czy internetowy komunikator ) wykorzystujących port 80 1.2.23. Urządzenie zapewnia obsługę i kontrolę protokołu ESMTP w zakresie wykrywania anomalii, śledzenia stanu protokołu oraz obsługi komend wprowadzonych wraz z protokołem ESMTP 1.2.24. Urządzenie ma możliwość inspekcji protokołów HTTP oraz FTP na portach innych niż standardowe 1.2.25. Urządzenie obsługuje mechanizmy kolejkowania ruchu z obsługą kolejki absolutnego priorytetu 1.2.26. Urządzenie umożliwia współpracę z serwerami autoryzacji w zakresie przesyłania list kontroli dostępu z serwera do urządzenia z granulacją per użytkownik, 1.2.27. Urządzenie obsługuje routing statyczny i dynamiczny (min. dla protokołów RIP, EIGRP, OSPF i BGP) z replikacją tablic routingu do urządzenia zapasowego 1.2.28. Urządzenie umożliwia konfigurację globalnych reguł filtrowania ruchu, które aplikowane są na wszystkie interfejsy urządzenia jednocześnie 1.2.29. Urządzenie umożliwia konfigurację reguł NAT i ACL w oparciu o obiekty i grupy obiektów. Do grupy obiektów może należeć host, podsieć lub zakres adresów, protokół lub numer portu 1.2.30. Urządzenie wspiera Proxy dla protokołu SCEP i umożliwia zautomatyzowany proces pozyskiwania certyfikatów przez użytkowników zdalnych dla dostępu VPN 1.2.31. Urządzenie wspiera użytkownika korzystającego z trybu klienta VPN (IPSec oraz SSL) oraz clientless SSL VPN, w zakresie obsługi haseł w systemie Microsoft AD, bezpośrednio, co najmniej dla obsługi sytuacji wygaśnięcia terminu ważności hasła w systemie Microsoft AD, umożliwiając zmianę przeterminowanego hasła. 1.2.32. Urządzenie obsługuje IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode. Ponadto urządzenie wspiera protokół IKEv2 (Internet Key Exchange w wersji 2) dla połączeń zdalnego dostępu VPN oraz site-to-site VPN opartych o protokół IPSec 1.3. Funkcjonalność urządzenia - NGFW 1.3.1. Urządzenie musi zapewniać możliwość uruchomienia funkcjonalności tzw, Next-Generation Firewall, zrealizowane poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych w zakresie nie mniejszym niż: 1.3.1.1. System automatycznego wykrywania i klasyfikacji aplikacji (Application Visibility and Control) SA Strona 3 z 6

1.3.1.2. System IPS 1.3.1.3. System ochrony przed malware 1.3.1.4. System filtracji ruchu w oparciu o URL 1.3.2. System musi posiadać możliwość kontekstowego definiowania reguł z wykorzystaniem informacji pozyskiwanych o hostach na bieżąco poprzez pasywne skanowanie. Wymagane jest by system tworzył kontekst z wykorzystaniem co najmniej poniższych parametrów: 1.3.2.1. Wiedza o użytkownikach uwierzytelenienie 1.3.2.2. Wiedza o urządzeniach pasywne skanowanie ruchu 1.3.2.3. Wiedza o urządzeniach mobilnych 1.3.2.4. Wiedza o aplikacjach wykorzystywanych po stronie klienta 1.3.2.5. Wiedza o podatnościach 1.3.2.6. Wiedza o bieżących zagrożeniach 1.3.3. Baza danych URL 1.3.4. System musi posiadać otwarte API dla współpracy z systemami zewnętrznymi w tym co najmniej z systemami SIEM 1.3.5. System Wykrywania Aplikacji (SWA) musi 1.3.5.1. pozwalać na tworzenie profili użytkowników korzystających ze wskazanych aplikacji z dokładnością co najmniej do systemu operacyjnego z którego korzysta użytkownik oraz wykorzystywanych usług 1.3.5.2. pozwalać na wykorzystanie informacji geolokacyjnych dotyczących użytkownika lub aplikacji 1.3.5.3. umożliwiać współpracę z otwartym systemem opisu aplikacji pozwalającym administratorowi na skonfigurowanie opisu dowolnej aplikacji i wykorzystanie go do automatycznego wykrywania tejże aplikacji przez SWA oraz na wykorzystanie profilu tej aplikacji w regułach reagowania na zagrożenia oraz w raportach. 1.3.6. System IPS musi 1.3.6.1. Posiadać możliwość pracy w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system) 1.3.6.2. posiadać możliwość pracy zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu) 1.3.6.3. posiadać możliwość wykrywania i uniemożliwiać szeroką gamę zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługę VoIP, próby przepełnienia bufora, ataki na aplikacje P2P, zagrożenia dnia zerowego, itp.) 1.3.6.4. posiadać możliwość wykrywania modyfikacji znanych ataków jak i te nowo powstałe, które nie zostały jeszcze dogłębnie opisane 1.3.6.5. zapewniać co najmniej poniższe sposoby wykrywania zagrożeń 1.3.6.5.1. sygnatury ataków opartych na exploitach, 1.3.6.5.2. reguły oparte na zagrożeniach, 1.3.6.5.3. mechanizm wykrywania anomalii w protokołach 1.3.6.5.4. mechanizm wykrywania anomalii w ogólnym zachowaniu ruchu sieciowego 1.3.6.6. mieć możliwość inspekcji nie tylko warstwy sieciowej i informacji zawartych w nagłówkach pakietów, ale również szerokiego zakres protokołów na wszystkich warstwach modelu sieciowego włącznie z możliwością sprawdzania zawartości pakietu 1.3.6.7. posiadać mechanizm minimalizujący liczbę fałszywych alarmów jak i niewykrytych ataków (ang. false positives i false negatives). 1.3.6.8. mieć możliwość detekcji ataków/zagrożeń złożonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń 1.3.6.9. posiadać wiele możliwości reakcji na zdarzenia takie jak: tylko monitorowanie, blokowanie ruchu zawierającego zagrożenia, zastąpienie zawartość pakietów oraz mieć możliwość zapisywania pakietów 1.3.6.10. mieć możliwość detekcji ataków i zagrożeń opartych na protokole IPv6 1.3.6.11. posiadać możliwość pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności, takich jak systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności 1.3.6.12. posiadać możliwość pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych SA Strona 4 z 6

1.3.6.13. zapewniać możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3, Telnet, itp. 1.3.6.14. posiadać możliwość automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji 1.3.6.15. zapewniać możliwość obrony przed atakami skonstruowanym tak, aby uniknąć wykrycia przez IPS. W tym celu musi stosować najodpowiedniejszy mechanizm defragmentacji i składania strumienia danych w zależności od charakterystyki hosta docelowego 1.3.6.16. zapewniać mechanizm bezpiecznej aktualizacji sygnatur. Zestawy sygnatur/reguł muszą być pobierane z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne 1.3.6.17. zapewniać możliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła, przeznaczenia lub obu jednocześnie 1.3.6.18. być zarządzany tylko poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia 1.3.6.19. zapewniać obsługę reguł Snort 1.3.6.20. Zapewniać możliwość wykorzystanie informacji o sklasyfikowanych aplikacjach do tworzenia reguł IPS 1.3.6.21. Zapewniać mechanizmy automatyzacji co najmniej w zakresie wskazania hostów skompromitowanych (ang. Indication of compromise) 1.3.6.22. Zapewniać mechanizmy automatyzacji w zakresie automatycznego dostrojenia polityk bezpieczeństwa 1.3.6.23. Posiadać możliwość wykorzystania mechanizmów obsługi ruchu asymetrycznego firewalla dla uzyskania pełnej widoczności ruchu w szczególności musi posiadać możliwość pracy w trybie failover firewalla 1.3.6.24. System IPS powinien pozwalać na pracę z przepustowością co najmniej 600 Mbit/s przy jednoczesnym działaniu systemu wykrywania aplikacji. 1.3.7. Urządzenie musi zostać dostarczone wraz z licencjami umożliwiającymi działanie funkcjonalności IPS i funkcji ochrony przed malware ( w wypadku licencjonowania okresowego dostarczone licencje powinny obejmować okres nie mniejszy niż gwarancja urządzenia). 1.4. Zarządzanie i konfiguracja 1.4.1. Urządzenie posiada możliwość eksportu informacji przez syslog. 1.4.2. Urządzenie wspiera eksport zdarzeń opartych o przepływy za pomocą protokołu NetFlow lub analogiczny 1.4.3. Urządzenie posiada możliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za pośrednictwem protokołów RADIUS i TACACS+ oraz obsługuje mechanizmy AAA (autentykacja, autoryzacja, accounting) 1.4.4. Urządzenie jest konfigurowalne przez CLI oraz interfejs graficzny 1.4.5. Dostęp do urządzenia jest możliwy przez SSH 1.4.6. Urządzenie obsługuje protokół SNMP v 1/2/3 1.4.7. Możliwa jest edycja pliku konfiguracyjnego urządzenia w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej jest możliwe uruchomienie urządzenia z nową konfiguracją. 1.4.8. Urządzenie umożliwia zapis obecnego stanu programu (coredump) dla potrzeb diagnostycznych 1.4.9. Urządzenie posiada wsparcie dla mechanizmu TCP Ping, który pozwala na wysyłanie wiadomości TCP dla rozwiązywania problemów związanych z łącznością w sieciach IP 1.4.10. Urządzenie umożliwia kontrolę dostępu administracyjnego protokołem tacacs+, 1.4.11. Urządzenie musi być wspierane przez system FireSIGHT Managment Center wykorzystywany przez Zamawiającego. 1.5. Obudowa 1.5.1. Urządzenie ma możliwość instalacji w szafie typu rack 19. 1.5.2. Wysokość urządzenia nie większa niż 2RU elementy niezbędne do montażu muszą być dostarczone z urządzeniem SA Strona 5 z 6

Gwarancja: Dostarczane urządzenia muszą być objęte gwarancją wykonawcy do dnia 31.12.2017r. Wykonawca musi dysponować centrum przyjmowania zgłoszeń serwisowych pracującym 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku, które zapewni przyjmowanie zgłoszeń poprzez stronę internetową www (z możliwością podglądu statusu złożonego zgłoszenia) drogą elektroniczną, telefonicznie. Wymagane jest w okresie realizacji obsługi gwarancyjnej, Wykonawca przyjmował zgłoszenia serwisowe przez 24 godziny na dobę i realizował je w dni robocze w godz. 8.00 16.00. Wymagany czas reakcji tj. przyjęcie zgłoszenia serwisowego i przekazanie go do realizacji wynosi maksymalnie jedną godzinę. Usunięcie awarii (przywrócenie pełnej sprawności urządzenia), która została zgłoszona do godziny 16- tej w dniu roboczym, będzie zrealizowane w następnym dniu roboczym. Zgłoszenia serwisowe do Wykonawcy dokonywane będą w języku polskim. Miejscem dostawy urządzeń przez Wykonawcę będzie Centrum Przetwarzania Danych Bielawa PSE w siedzibie Zamawiającego (05-520 Konstancin-Jeziorna, ul. Warszawska 165) SA Strona 6 z 6