|
Wymagania
Ogólne
1.
Dostarczony
system bezpieczeństwa musi zapewniać wszystkie wymienione ponişej funkcje
sieciowe i bezpieczeństwa niezaleşnie
od dostawcy łącza. Dopuszcza się aby poszczególne elementy wchodzące w skład
systemu bezpieczeństwa były zrealizowane w postaci osobnych, komercyjnych
platform sprzętowych lub komercyjnych aplikacji instalowanych na platformach
ogólnego przeznaczenia. W przypadku implementacji programowej dostawca musi
zapewnić niezbędne platformy sprzętowe wraz z odpowiednio zabezpieczonym
systemem operacyjnym.
2.
System
realizujący funkcję Firewall musi dawać moşliwość pracy w jednym z trzech
trybów: Routera z funkcją NAT, transparentnym oraz monitorowania na porcie
SPAN.
3.
W
ramach dostarczonego systemu bezpieczeństwa musi być zapewniona moşliwość
budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów w
zakresie: Routingu, Firewall’a, IPSec
VPN, Antywirus, IPS, Kontroli Aplikacji. Musi istnieć moşliwość dedykowania
co najmniej 3 administratorów do poszczególnych instancji systemu.
4.
System
musi wspierać IPv4 oraz IPv6 w zakresie:
a.
Firewall.
b.
Ochrony
w warstwie aplikacji.
c.
Protokołów
routingu dynamicznego.
5.
Dostarczone
urządzenia muszą zapewniać moşliwość uruchomienia i pracy w formie klastra wysokiej dostępności.
6.
Zamawiający wymaga,
by dostarczone urządzenie
było fabrycznie nowe (tzn.
nieuşywane i wyprodukowane nie
dawniej, niş na 6 miesięcy przed jego dostarczeniem)
7.
W
przypadku istnienia takiego wymogu w stosunku do technologii objętej
przedmiotem niniejszego postępowania (tzw. produkty podwójnego zastosowania),
Wykonawca winien przedłoşyć w dniu podpisania umowy dokument pochodzący od
importera tej technologii stwierdzający, iş przy jej wprowadzeniu na
terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym
ustawy z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami,
technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa
państwa, a takşe dla utrzymania międzynarodowego pokoju i bezpieczeństwa
(Dz.U. z 2004, Nr 229, poz. 2315 z późn. zm.) oraz
dokument potwierdzający, şe importer posiada certyfikowany przez właściwą
jednostkę system zarządzania jakością tz w.
wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli
wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów
podwójnego zastosowania.
8.
Wykonawca
zobowiązany jest do wykonania usługi przeniesienia pełnej konfiguracji z
posiadanego urządzenia FG-301E do dostarczonych urządzeń w dniu dostawy.
9.
Dostarczone
urządzenia muszą być zgodne z uruchomionymi narzędziami posiadanymi przez
Zamawiającego, które umoşliwiają centralne zbieranie logów i korelacje (FortiAnalyzer).
10.
Przy
dostawie oraz wdroşeniu proponowanego rozwiązania nowego producenta, którego
Zamawiający nie ma w swoim posiadaniu, Wykonawca zobowiązuje się do
przeprowadzenia 10 dniowego szkolenia przez certyfikowanego inşyniera danego
rozwiązania, dla całego zakresu funkcjonalności urządzenia, dla 3 osób w
siedzibie zamawiającego .
11.
Wykonawca
zobowiązany jest do dostarczenia rozwiązania z bieşącej linii produktowej
danego producenta, które daje moşliwość utrzymania serwisowego wsparcia
producenta przez okres min. 5 lat od momentu dostawy rozwiązania.
12.
Wykonawca winien przedłoşyć oświadczenie producenta
lub autoryzowanego dystrybutora producenta na terenie Polski w dniu
podpisania umowy, iş oferent posiada autoryzację producenta w zakresie
sprzedaşy oferowanych rozwiązań oraz świadczenia usług z nimi związanych.
Wymagania szczegółowe:
Redundancja,
monitoring i wykrywanie awarii
1.
W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS – musi istnieć
moşliwość łączenia w klaster Active-Active lub Active-Passive.
W obu trybach powinna istnieć funkcja synchronizacji sesji firewall.
2.
W ramach postępowania system musi zostać dostarczony w postaci
redundantnej.
3.
oferowane rozwiązanie musi zapewniać monitoring i wykrywanie
uszkodzenia elementów sprzętowych i programowych systemów zabezpieczeń oraz
łączy sieciowych.
4.
oferowane rozwiązanie musi zapewniać monitoring stanu
realizowanych połączeń VPN.
5.
System musi umoşliwiać agregację linków: statyczną oraz w
oparciu o protokół LACP. Musi istnieć
moşliwość tworzenia interfejsów redundantnych.
Interfejsy,
Dysk, Zasilanie:
1.
System realizujący funkcję Firewall musi dysponować minimum:
·
18 portami Gigabit Ethernet RJ-45.
·
16 gniazdami SFP 1 Gbps.
2.
System Firewall musi posiadać wbudowany port konsoli szeregowej
oraz gniazdo USB umoşliwiające podłączenie modemu 3G/4G oraz instalacji
oprogramowania z klucza USB.
3.
W ramach systemu Firewall winna być zapewniona moşliwość
zdefiniowania co najmniej 200 interfejsów wirtualnych - definiowanych jako VLAN’y w oparciu o standard 802.1Q.
4.
System realizujący funkcję Firewall musi być wyposaşony w
lokalny dysk o pojemności minimum 480 GB.
5.
System musi być wyposaşony w zasilanie AC.
Parametry
wydajnościowe:
1.
W zakresie Firewall’a wymagana jest obsługa
nie mniej niş 4 mln. jednoczesnych połączeń oraz 450 tys. nowych połączeń na
sekundę.
2.
Przepustowość Stateful Firewall: nie
mniej niş 30 Gbps dla pakietów 512 B.
3.
Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji:
nie mniej niş 12 Gbps.
4.
Wydajność szyfrowania IPSec VPN: nie
mniej niş 16 Gbps.
5.
Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno
client side jak i server side w ramach modułu
IPS) dla ruchu Enterprise Traffic Mix - minimum 7.5
Gbps.
6.
Wydajność skanowania ruchu typu Enterprise Mix z włączonymi
funkcjami: IPS, Application Control, Antywirus - minimum 5 Gbps.
7.
Wydajność systemu w zakresie inspekcji komunikacji szyfrowanej
SSL dla ruchu http – minimum 4.6 Gbps.
Funkcje
Systemu Bezpieczeństwa:
W ramach dostarczonego systemu ochrony muszą być realizowane
wszystkie ponişsze funkcje. Mogą one być zrealizowane w postaci osobnych,
komercyjnych platform sprzętowych lub programowych:
1.
Kontrola dostępu - zapora ogniowa klasy Stateful
Inspection.
2.
Kontrola Aplikacji.
3.
Poufność transmisji danych
- połączenia szyfrowane IPSec VPN oraz SSL
VPN.
4.
Ochrona przed malware – co najmniej
dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS.
5.
Ochrona przed atakami - Intrusion Prevention System.
6.
Kontrola stron WWW.
7.
Kontrola zawartości poczty – Antyspam
dla protokołów SMTP, POP3.
8.
Zarządzanie pasmem (QoS, Traffic shaping).
9.
Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP).
10.
Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach
postępowania powinny zostać dostarczone co najmniej 2 tokeny
sprzętowe lub programowe, które będą zastosowane do dwu-składnikowego
uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site.
11.
Analiza ruchu szyfrowanego protokołem SSL.
12.
Analiza ruchu szyfrowanego protokołem SSH.
Polityki,
Firewall
1.
Polityka Firewall musi uwzględniać adresy IP, uşytkowników,
protokoły, usługi sieciowe, aplikacje lub zbiory aplikacji, reakcje
zabezpieczeń, rejestrowanie zdarzeń.
2.
System musi zapewniać translację adresów NAT: źródłowego i
docelowego, translację PAT oraz:
·
Translację jeden do jeden oraz jeden do wielu.
·
Dedykowany ALG (Application Level Gateway) dla
protokołu SIP.
3.
W ramach systemu musi istnieć moşliwość tworzenia wydzielonych
stref bezpieczeństwa np. DMZ, LAN, WAN.
4.
Element systemu realizujący funkcję Firewall musi integrować się
z następującymi rozwiązaniami SDN w celu dynamicznego pobierania informacji o
zainstalowanych maszynach wirtualnych po to aby uşyć ich przy budowaniu
polityk kontroli dostępu.
·
Amazon Web Services (AWS).
·
Microsoft Azure
·
Cisco ACI.
·
Google Cloud Platform (GCP).
·
OpenStack.
·
VMware
vCenter (ESXi).
Połączenia
VPN
1.
System musi umoşliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej funkcji musi zapewniać:
·
Wsparcie dla IKE v1 oraz v2.
·
Obsługę szyfrowania protokołem AES z kluczem 128 i 256 bitów w
trybie pracy Galois/Counter
Mode(GCM).
·
Obsługę protokołu Diffie-Hellman grup 19 i 20.
·
Wsparcie dla Pracy w topologii Hub and Spoke
oraz Mesh, w tym wsparcie dla dynamicznego
zestawiania tuneli pomiędzy SPOKE w topologii HUB and SPOKE.
·
Tworzenie połączeń typu Site-to-Site oraz Client-to-Site.
·
Monitorowanie stanu tuneli VPN i stałego utrzymywania ich
aktywności.
·
Moşliwość wyboru tunelu przez protokoły: dynamicznego routingu
(np. OSPF) oraz routingu statycznego.
·
Obsługaęmechanizmów:
IPSec NAT Traversal, DPD,
Xauth.
·
Mechanizm „Split tunneling” dla
połączeń Client-to-Site.
2.
System musi umoşliwiać konfigurację połączeń typu SSL VPN. W
zakresie tej funkcji musi zapewniać:
·
Pracę w trybie Portal -
gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem
przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną
działającą w oparciu o HTML 5.0.
·
Pracę w trybie Tunnel z moşliwością
włączenia funkcji „Split tunneling” przy
zastosowaniu dedykowanego klienta.
·
Producent rozwiązania musi dostarczać oprogramowanie klienckie
VPN, które umoşliwia realizację połączeń IPSec VPN
lub SSL VPN.
Routing
i obsługa łączy WAN
1.
W zakresie routingu rozwiązanie musi zapewniać obsługę:
·
Routingu statycznego.
·
Policy Based Routingu.
·
Protokołów dynamicznego routingu w oparciu o protokoły: RIPv2,
OSPF, BGP oraz PIM.
Zarządzanie
pasmem
1.
System Firewall musi umoşliwiać zarządzanie pasmem poprzez
określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu
ruchu.
2.
Musi istnieć moşliwość określania pasma dla poszczególnych
aplikacji.
3.
System musi zapewniać moşliwość zarządzania pasmem dla wybranych
kategorii URL.
Ochrona
przed malware
1.
Silnik antywirusowy musi umoşliwiać skanowanie ruchu w obu
kierunkach komunikacji dla protokołów działających na niestandardowych
portach (np. FTP na porcie 2021).
2.
System musi umoşliwiać skanowanie archiwów, w tym co najmniej:
zip, RAR.
3.
System musi dysponować sygnaturami do ochrony urządzeń mobilnych
(co najmniej dla systemu operacyjnego Android).
4.
System musi współpracować z dedykowaną platformą typu Sandbox lub usługą typu Sandbox
realizowaną w chmurze. W ramach postępowania musi zostać dostarczona
platforma typu Sandbox wraz z niezbędnymi serwisami
lub licencja upowaşniająca do korzystania z usługi typu Sandbox
w chmurze.
5.
System musi umoşliwiać usuwanie aktywnej zawartości plików PDF
oraz Microsoft Office bez konieczności blokowania transferu całych plików.
Ochrona
przed atakami
1.
Ochrona IPS musi opierać się co najmniej na analizie
sygnaturowej oraz na analizie anomalii w protokołach sieciowych.
2.
System musi chronić przed atakami na aplikacje pracujące na niestandardowych
portach.
3.
Baza sygnatur ataków musi zawierać minimum 5000 wpisów i być
aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez
administratora.
4.
Administrator systemu musi mieć moşliwość definiowania własnych
wyjątków oraz własnych sygnatur.
5.
System musi zapewniać wykrywanie anomalii protokołów i ruchu
sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS.
6.
Wymagane są mechanizmy ochrony dla aplikacji Web’owych
na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity,
Roboty) oraz moşliwość kontrolowania długości nagłówka, ilości parametrów
URL, Cookies.
7.
Wymagane jest wykrywanie i blokowanie komunikacji C&C do
sieci botnet.
Kontrola
aplikacji
1.
Funkcja Kontroli Aplikacji musi umoşliwiać kontrolę ruchu na
podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach
portów TCP/UDP.
2.
Baza Kontroli Aplikacji musi zawierać minimum 2000 sygnatur i
być aktualizowana automatycznie, zgodnie z harmonogramem definiowanym przez
administratora.
3.
Aplikacje chmurowe (co najmniej: Facebook, Google Docs, Dropbox) muszą być
kontrolowane pod względem wykonywanych czynności, np.: pobieranie, wysyłanie
plików.
4.
Baza musi zawierać kategorie aplikacji szczególnie istotne z
punktu widzenia bezpieczeństwa: proxy, P2P.
5.
Administrator systemu musi mieć moşliwość definiowania wyjątków
oraz własnych sygnatur.
Kontrola
WWW
1.
Moduł kontroli WWW musi korzystać z bazy zawierającej co
najmniej 40 milionów adresów URL
pogrupowanych w kategorie tematyczne.
2.
W ramach filtra www powinny być dostępne kategorie istotne z
punktu widzenia bezpieczeństwa, jak: malware (lub
inne będące źródłem złośliwego oprogramowania), phishing,
spam, Dynamic DNS, proxy.
3.
Filtr WWW musi dostarczać kategorii stron zabronionych prawem:
Hazard.
4.
Administrator musi mieć moşliwość nadpisywania kategorii oraz
tworzenia wyjątków – białe/czarne listy dla adresów URL.
5.
wymagana jest funkcja Safe Search – przeciwdziałająca pojawieniu się niechcianych
treści w wynikach wyszukiwarek takich jak: Google, oraz Yahoo.
6.
Administrator musi mieć moşliwość definiowania komunikatów
zwracanych uşytkownikowi dla róşnych akcji podejmowanych przez moduł
filtrowania.
7.
W ramach systemu musi istnieć moşliwość określenia, dla których
kategorii url lub wskazanych ulr
- system nie będzie dokonywał inspekcji szyfrowanej komunikacji.
Uwierzytelnianie
uşytkowników w ramach sesji
1.
System Firewall musi umoşliwiać weryfikację toşsamości
uşytkowników za pomocą:
·
Haseł statycznych i definicji uşytkowników przechowywanych w
lokalnej bazie systemu.
·
Haseł statycznych i definicji uşytkowników przechowywanych w
bazach zgodnych z LDAP.
·
Haseł dynamicznych (RADIUS, RSA SecurID)
w oparciu o zewnętrzne bazy danych.
2.
Musi istnieć moşliwość zastosowania w tym procesie uwierzytelniania
dwu-składnikowego.
3.
Rozwiązanie musi umoşliwiać budowę architektury uwierzytelniania
typu Single Sign On przy integracji ze środowiskiem
Active Directory oraz zastosowanie innych mechanizmów: RADIUS lub API.
Zarządzanie
1.
Elementy systemu bezpieczeństwa muszą mieć moşliwość zarządzania
lokalnego z wykorzystaniem protokołów: HTTPS oraz SSH, jak i powinny mieć
moşliwość współpracy z dedykowanymi platformami centralnego zarządzania i monitorowania.
2.
Komunikacja systemów zabezpieczeń z platformami centralnego zarządzania musi być
realizowana z wykorzystaniem szyfrowanych protokołów.
3.
Musi istnieć moşliwość włączenia mechanizmów uwierzytelniania
dwu-składnikowego dla dostępu administracyjnego.
4.
System musi współpracować z rozwiązaniami monitorowania poprzez
protokoły SNMP w wersjach 2c, 3 oraz umoşliwiać przekazywanie statystyk ruchu
za pomocą protokołów netflow lub sflow.
5.
System musi mieć moşliwość zarządzania przez systemy firm
trzecich poprzez API, do którego producent udostępnia dokumentację.
6.
Element systemu pełniący funkcję Firewal
musi posiadać wbudowane narzędzia diagnostyczne, przynajmniej: ping, traceroute, podglądu pakietów, monitorowanie procesowania
sesji oraz stanu sesji firewall.
7.
Element systemu realizujący funkcję firewall musi umoşliwiać
wykonanie szeregu zmian przez administratora w CLI lub GUI, które nie zostaną
zaimplementowane zanim nie zostaną zatwierdzone.
Logowanie
1.
W ramach logowania system pełniący funkcję Firewall musi
zapewniać przekazywanie danych o zaakceptowanym ruchu, ruchu blokowanym,
aktywności administratorów, zuşyciu zasobów oraz stanie pracy systemu. Musi
być zapewniona moşliwość jednoczesnego wysyłania logów do wielu serwerów
logowania.
2.
Logowanie musi obejmować zdarzenia dotyczące wszystkich modułów
sieciowych i bezpieczeństwa oferowanego systemu.
3.
Musi istnieć moşliwość logowania do serwera SYSLOG.
Certyfikaty
Poszczególne elementy oferowanego systemu bezpieczeństwa muszą posiadać
następujące certyfikacje:
·
ICSA lub EAL4 dla funkcji Firewall.
Serwisy
i licencje
W ramach realizacji przedmiotu zamówienia muszą zostać Zamawiającemu
dostarczone licencje upowaşniające do korzystania z aktualnych baz funkcji
ochronnych producenta i serwisów. Muszą one obejmować:
Kontrolę Aplikacji, IPS, Antywirus, Analiza typu Sandbox (z uwzględnieniem sygnatur do ochrony urządzeń
mobilnych - co najmniej dla systemu operacyjnego Android), Analizę typu Sandbox, bazy reputacyjne
adresów IP/domen na okres 60 miesięcy.
Gwarancja
oraz wsparcie
Gwarancja:
System musi być objęty serwisem gwarancyjnym producenta przez okres 60
miesięcy, polegającym na naprawie lub wymianie urządzenia w przypadku jego
wadliwości. W ramach tego serwisu producent musi zapewniać równieş dostęp do
aktualizacji oprogramowania oraz wsparcie techniczne w trybie 24x7.
Rozszerzone
wsparcie serwisowe
Dla zapewnienia wysokiego poziomu usług podmiot serwisujący musi
posiadać certyfikat ISO 9001 w zakresie świadczenia usług serwisowych. Wymagane
jest aby zgłoszenia serwisowe były przyjmowane w języku polskim w trybie 24x7
przez dedykowany serwisowy moduł internetowy oraz infolinię w języku polskim
24x7
Wymagane jest oświadczanie Producenta lub Autoryzowanego
Dystrybutora świadczącego wsparcie techniczne o gotowości świadczenia
na rzecz Zamawiającego wymaganego serwisu (zawierające: adres strony
internetowej serwisu i numer infolinii telefonicznej).
|