BIP RBGP

Lp.

Minimalne wymagane parametry

Oświadczenie spełnienia wymogów, należy wpisać TAK lub NIE

1.

System zabezpieczeń musi być zbudowany w oparciu o dedykowane rozwiązania sprzętowe (tzw. appliance).

2.

System zabezpieczeń musi zapewniać możliwość rozbudowy w przyszłości o kolejne urządzenie i pracę w klastrze w trybie Active-Passive.

3.

Elementy systemu przenoszące ruch użytkowników musi dawać możliwość pracy w jednym z dwóch trybów: Router/NAT lub bridge.

4.

System realizujący funkcję Firewall musi dysponować minimum 8 interfejsami miedzianymi Ethernet 10/100/1000.

5.

System musi dysponować  minimum 1 portem USB z obsługa modemu jako łącza zapasowego

6.

System musi umożliwiać tworzenie minimum 256 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard 802.1Q.

7.

W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych funkcjonalności. Poszczególne funkcjonalności systemu bezpieczeństwa mogą być realizowane w postaci osobnych platform sprzętowych lub programowych:

• Kontrola dostępu - zapora ogniowa klasy Stateful Inspection. 
• Ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS).
• Poufność danych - IPSec VPN oraz SSL VPN. 
• Ochrona przed atakami - Intrusion Prevention System [IPS/IDS].
• Kontrola stron internetowych – Web Filter [WF]. 
• Kontrola pasma oraz ruchu [QoS i Traffic shaping].
• Kontrola aplikacji oraz rozpoznawanie ruchu P2P. 
• Możliwość analizy ruchu szyfrowanego SSL’em.  

8.

Wydajność systemu Firewall minimum 6 500 Mbps.

9.

W zakresie Firewall’a obsługa nie mniej niż 1 000 000 jednoczesnych połączeń oraz 45 000 nowych połączeń na sekundę.

10.

Wydajność skanowania strumienia danych przy włączonych funkcjach: antywirus minimum 1 500 Mbps.

11.

Wydajność ochrony przed atakami (IPS) minimum 1 600 Mbps.

12.

Wydajność szyfrowania AES, nie mniej niż 850 Mbps.

13.

W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:

• Tworzenie połączeń w topologii Site-to-site oraz  możliwość definiowania połączeń Client-to-site.
• Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności.
• Obsługa mechanizmów: IPSec NAT Traversal, DPD.

14.

Rozwiązanie musi zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w oparciu o protokoły: RIP, OSPF, BGP.

15.

Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.

16.

Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły, usługi sieciowe, użytkowników, rejestrowanie zdarzeń oraz zarządzanie pasmem sieci (m.in. pasmo gwarantowane i priorytety).

17.

System zabezpieczeń musi wspierać obsługę modemów 3G. Modemy powinny pochodzić od dowolnie wybranych producentów.

18.

System zabezpieczeń musi umożliwiać tworzenie wydzielonych stref bezpieczeństwa Firewall np. DMZ.

19.

System musi umożliwiać automatyczne przełączanie na inne łącze w przypadku awarii podstawowego łącza. System musi wspierać podłączenie co najmniej trzech niezależnych łącz.

20.

W ramach ochrony IPS system musi:

• Opierać się, co najmniej na analizie protokołów i sygnatur. Baza wykrywanych ataków musi zawierać, co najmniej 4000 wpisów.
• Pozwalać na definiowanie własnych wyjątków lub sygnatur.
• Wykrywać anomalie protokołów i ruchu stanowiących podstawową ochronę przed atakami typu DoS oraz DDos.
• Generować alerty w przypadku prób ataków.

21.

W zakresie kontroli aplikacji oraz rozpoznawania ruchu P2P wymagane jest co najmniej:

• Kontrola ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP.
• Baza rozpoznawanych aplikacji musi zawierać co najmniej 2000 wpisów.
• Blokowanie komunikatorów internetowych przynajmniej: Gadu-Gadu, Skype, Facebook Chat).
• Blokowanie mediów strumieniowych przynajmniej: YouTube, radio internetowe.
• Blokowanie uruchamiania aplikacji i gier w serwisie Facebook.
• Blokowanie aplikacji proxy przynajmniej: TOR, Ultrasurf, JAP.
• Blokowanie aplikacji P2P przynajmniej: BitTorrent, uTorrent, eMule.

22.

W zakresie kontroli stron internetowych system musi:

• Zapewniać bazę filtra WWW pogrupowanych w kategorie tematyczne – minimum 40 kategorii. Administrator musi mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra WWW.
• Umożliwiać definiowanie polityk dostępu do stron internetowych w oparciu o harmonogramy czasowe dla użytkowników i grup użytkowników.
• Wyświetlać komunikat użytkownikom wyjaśniający powód zablokowania dostępu do strony internetowej. Administrator musi mieć możliwość personalizacji treści komunikatu i dodania logo organizacji.
• Umożliwiać przydzielanie polityki QoS dla kategorii stron internetowych np. portale społecznościowe.

23.

Automatyczne ściąganie sygnatur ataków, aplikacji, szczepionek antywirusowych.

24.

System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż:

• Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu.
• Haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP. 
• Rozwiązanie musi umożliwiać budowę architektury uwierzytelniania typu Single Sign On w środowisku Active Directory.

25.

Poszczególne elementy oferowanego systemu bezpieczeństwa muszą posiadać następujące certyfikaty:

• ICSA lub EAL4 – dla funkcjonalności Firewall.

26.

System bezpieczeństwa musi być wyposażony w dysk twardy (minimum 120 GB) do celów lokalnego przechowywania logów i generowania raportów. Nie dopuszcza się składowania logów poza organizacją lub w chmurze.

27.

System bezpieczeństwa musi zawierać moduł logowania zdarzeń i raportowania. Moduł logowania zdarzeń i raportowania może być realizowany w postaci osobnej platformy sprzętowej lub programowej. W ramach modułu raportowania system musi zapewniać:

• Składowanie oraz archiwizację logów
• Gromadzenie informacji o zdarzeniach dotyczących ruchu Web,  wykorzystywanych aplikacjach sieciowych, wykrytych: atakach sieciowych, wirusach, zablokowanych aplikacjach sieciowych  oraz powiązanie ich z nazwami użytkowników
• Wygenerowanie minimum 50 predefiniowanych raportów
• Przeglądanie archiwalnych logów przy zastosowaniu funkcji filtrujących
• Eksport raportów do plików HTML i PDF
• Eksport zgromadzonych logów do zewnętrznych systemów składowania danych (długoterminowe przechowywanie danych)

28.

Elementy systemu muszą mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i współpracować z dedykowanymi do centralnego zarządzania i monitorowania platformami. Komunikacja systemów zabezpieczeń z platformami zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.

29.

W ramach zarządzania system bezpieczeństwa musi:

• Umożliwiać tworzenie kont administracyjnych o różnych uprawnieniach.
• Umożliwiać określanie złożoności polityk hasłowych dla administratorów.
• Wspierać SNMP.
• Monitorować na bieżąco stan urządzenia (obciążenie interfejsów sieciowych, CPU, pamięć RAM).
• Przechowywać przynajmniej dwie wersji firmware.
• Wykonywać automatycznie kopie zapasowe konfiguracji systemu.

30.

Odnawianie coroczne szczepionek, dla zabezpieczeń urządzenia, nie wnosi konieczności ich corocznej ciągłości i w przypadku nie wykupienia ich na dany rok, urządzenie nadal będzie pracować, w takim przypadku przyszłe wykupienie szczepionek nie będzie niosło wymogu wniesienia opłat wstecznych za lata nie wykupionych szczepionek.

31.

Dostawca musi dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa: antywirus, IPS, kontrola stron internetowych, kontrola aplikacji sieciowych na okres 12 miesięcy.

32.

System bezpieczeństwa musi być objęty gwarancją producenta na okres 12 miesięcy.