Rozbudowę Laboratorium Technik Wirtualnych Internetu Nr zamówienia: zp/1/2013



Pobieranie 0.57 Mb.
Strona1/7
Data03.05.2016
Rozmiar0.57 Mb.
  1   2   3   4   5   6   7

Specyfikacja Istotnych Warunków Zamówienia na:

Rozbudowę Laboratorium Technik Wirtualnych Internetu

Nr zamówienia: ZP/1/2013


Załącznik nr 1

Szczegółowy Opis przedmiotu zamówienia - Specyfikacja TECHNICZNA PRZEDMIOTU ZAMÓWIENIA




Cześć I zamówienia - Wymagania na urządzenie do ochrony przed atakami typ DoS/DDoS
Przedmiotem zamówienia jest sprzedaż wraz z dostarczeniem do siedziby Zamawiającego dedykowanego urządzenia lub zestawu urządzeń typu appliance do ochrony przed atakami typu DoS/DDoS oraz usług, zgodnie z poniższymi wymaganiami. Dostarczane urządzenia wraz z elementami składowymi i oprogramowaniem muszą stanowić gotowy zestaw.
Tabela 1. Wykaz komponentów będących przedmiotem zamówienia


Lp.

Nazwa urządzenia

Ilość

sztuk


1

Dedykowane urządzenie/zestaw urządzeń typu appliance do ochrony przed atakami typu DoS/DDoS wraz z oprogramowaniem i systemem zarządzania

1

2

Dwudniowe szkolenie z obsługi urządzenia dla 2 osób

1

3

Dwuletni serwis sprzętowy i aktualizacje zarówno oprogramowania wewnętrznego jak i funkcji bezpieczeństwa.

1



  1. Wymagania dla urządzenia

Zamawiający zamierza zakupić 1 zestaw urządzeń składający się z dedykowanych urządzeń typu appliance do ochrony przez atakami DOS/DDoS, którego działanie jest oparte na automatycznie generowanych w czasie rzeczywistym sygnaturach wykorzystujących analizę ruchu sieciowego.

Oferowane urządzenia muszą spełnić wszystkie parametry określone w niniejszym załączniku, być fabrycznie nowe (tj. nieużywane za wyjątkiem wykonania testów potrzebnych do sprawdzenia ich poprawnego działania) oraz muszą być oznakowane symbolem CE. Na dzień złożenia oferty oferowane urządzenia nie mogą być przeznaczone do wycofania ze sprzedaży przez producenta (ang. end of sale).

Zamawiający wymaga, aby dostarczone urządzenia były zgodne z towarzyszącą im dokumentacją techniczną, w tym w szczególności ze standardami, na które ta dokumentacja będzie się powoływać lub jej nowszymi wersjami.

Dostarczone elementy, jak i dostarczone wraz z nimi oprogramowanie muszą pochodzić z oficjalnych kanałów dystrybucyjnych producenta, zapewniających w szczególności realizację uprawnień gwarancyjnych i wsparcia technicznego.

Dla jednoznacznej identyfikacji oferowanego sprzętu należy podać co najmniej nazwę producenta, a także nazwę i model oferowanego sprzętu.



W razie pojawienia się wątpliwości dotyczących zaoferowanego sprzętu Zamawiający zastrzega sobie możliwość zażądania dostarczenia sprzętu wzorcowego zgodnego z przedstawionym w ofercie. Wykonawca dostarczy sprzęt do testów w terminie 5. dni roboczych (dni od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy) od otrzymania wezwania. Niedostarczenie sprzętu do testów w wymaganym terminie, bądź dostarczenie sprzętu niezgodnego z zaoferowanym w ofercie, spowoduje odrzucenie oferty i wykluczenie Wykonawcy z postępowania.
    1. Wymagane parametry funkcjonalne





    1. Wymagane technologie zaimplementowane w urządzeniu/zestawie:

        1. Ochrona przed atakami typu DoS/DDoS (sygnatury, analiza ruchu),

        2. NBA (Network Behavioral Analysis) - analiza zachowania użytkowników/aplikacji/sieci bazująca na analizie realnych pakietów w urządzeniu, z sygnaturami przygotowywanymi automatycznie w czasie rzeczywistym, mniejszym niż 600 sekund,

        3. IPS (Instrusion Prevention System) - oparty na sygnaturach,

        4. Korzystanie z zewnętrznych systemów reputacyjnych .




    1. Wymagane typy ochrony przed zagrożeniami:

        1. Sieciowymi

    • DoS/DDoS zero-day flood,

    • TCP Floods,

    • UDP floods,

    • ICMP floods,

    • IGMP floods

        1. Skanowaniem

    • TCP,

    • UDP,

    • PING,

        1. SYN (dowolne typy ataków SYN flood)

        2. Limitowaniem połączeń w ramach protokołów

    • TCP,

    • UDP,

    • ICMP

    • IP,

        1. Mechanizm selektywnego blokowania ataków pochodzących z jednego źródła (adresu IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS/DDoS

        2. Mechanizm selektywnego blokowania ataków pochodzących z wielu źródeł (adresów IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS/DDoS

        3. HTTP flood (np. HTTP GET flood) i pochodne

        4. DNS flood i pochodne

        5. Malware (worm, trojan, spyware)

        6. Nieuprawniony dostęp

    • Black list,

    • White list,

    • Access Control List,

    • IP Reputation,

        1. Zaimplementowane mechanizmy zarządzanie pasmem

        2. Zaimplementowane mechanizmy ograniczania ilości połączeń

        3. Zaimplementowane mechanizmy ograniczania ilości pakietów w jednostce czasu

        4. Wszystkie funkcje muszą być dostępne w wersji IPv4 oraz IPv6




    1. Architektura sprzętowa składająca się z następujących komponentów

        1. Urządzenie gotowe do montażu w standardowych szafach 19” (cali)(elementy montażowe i kable zasilające muszą być w zestawie)

        2. Dwa redundantne zasilacze pracujące w trybie hot-swap,

        3. Zasilacze przystosowane do zasilania prądem przemiennym o napięciu 220-240V/50Hz

        4. Akceleracja sprzętowa urządzenia oparta o układy typu ASIC lub FPGA

        5. Urządzenie działające w warstwie drugiej, pracujące w następujących topologiach:

    • Inline : fail close/open, propagacja awarii (dla interfejsów copper Gigabit Ethernet), tryb monitor only, możliwość użycia zewnętrznych modułów bypass (dla portów optycznych i 10 GE)

    • Out of path: z użyciem portów SPAN lub urządzeń typu TAP device; możliwa integracja ze switchami Ethernet do przekierowywania ruchu w momencie wystąpienia ataku

    • Asymetrycznym (ruch powrotny lub inicjowany kierowany jest inną trasą , z pominięciem urządzenia)

        1. Możliwość pracy w klastrze w trybie active-passive lub active-active

        2. Dedykowany port zarzadzania typu Ethernet




    1. Wymagane parametry pojedynczego urządzenia:

        1. 5 Gbps – wydajność minimalna wymagana z możliwością zwiększenia wydajności poprzez zmianę licencji bez wymiany urządzenia

        2. 3 000 000 – minimalna liczba jednoczesnych sesji

        3. 7 000 000 pps – wymagana wydajność dla blokowania ataku DDoS Flood

        4. 100 mikro sekund lub mniejsze – opóźnienie wprowadzane przez system

        5. Wymagana ilość interfejsów sieciowych nie mniejsza niż:

    • 4 x 1GE – SFP

    • 2 x 10GE – XFP

    • 1 x 10/100/1000 – dedykowany port zarządzający Ethernet RJ45

    • 1 x RS-232 (konsola)

        1. Zarządzanie i konfiguracja w oparciu o:

    • HTTPS,

    • HTTP,

    • SNMP,

    • SSH,

    • konsola szeregowa,

    • możliwość tworzenia własnego działającego automatycznie oskryptowania w celu integracji z zewnętrznymi systemami zamawiającego oraz automatycznej synchronizacji baz white- list, black list, ip reputation, zmian konfiguracji w czasie.

        1. Raportowanie w oparciu o:

    • SNMP,

    • Log File,

    • Syslog,

    • E-mail,

    • System zarządzania.

        1. Synchronizacja urządzenia z serwerami czasu NTP

        2. Wsparcie dla protokołów:

    • 802.1.q,

    • L2TP,

    • MPLS,

    • GRE,

        1. Wsparcie dla Jumbo Frames

        2. Pełne wsparcie dla protokołu IPv4 oraz IPv6

        3. Wykrywanie anomalii w pakietach :

    • Invalid TCP Header Length

    • Invalid UDP Header Length

    • Invalid TCP Flags

    • Unsupported L4 Protocol

    • Invalid IPv4 Header or Total Length

    • Incorrect IPv4 Checksum

    • Unrecognized L2 Format

    • TTL Less Than or Equal to 1

    • Inconsistent IPv6 Headers

    • IPv6 Hop Limit Reached

    • Source or Destination Address same as Local Host

    • Source Address same as Dest. Address (i.e.:Land Attack)

    • L4 Source or Destination Port Zero

        1. Typy akcji podjęte w przypadku wykrycia ataku:

    • odrzucenie pakietu,

    • tylko raportowanie,

    • reset połączenia (dla źródła i przeznaczenia oraz obu kierunkach),

    • zawieszenie połączenia (adres źródłowy, port źródłowy, adres docelowy, port docelowy lub dowolna kombinacja tych czterech parametrów),

    • Challenge-Response dla ataków używających protokołów HTTP (302 redirection i Java script)



    1. System zarządzania:

    1. System zarządzania w postaci zewnętrznego urządzenia lub zintegrowanego z urządzeniem służącym do ochrony przed atakami DoS/DDoS:

    • Intuicyjny interfejs graficzny,

    • Monitorowanie pracy urządzenia chroniącego przed atakami,

    • Monitorowanie i prezentowanie w czasie rzeczywistym aktywnych ataków,

    • Monitorowanie i prezentowanie w czasie rzeczywistym statystyk aktywnego ruchu sieciowego,

    • Możliwością wyświetlenia szczegółów ataku (charakterystyka, przykładowe pakiety źródłowe, docelowe, wywołujące atak, sygnatura użyta do blokowania, próbka ruchu - payload)

    • Prezentowanie danych geolokalizacyjnych dotyczących źródeł ataku na podstawie źródłowego adresu IP,

    • Wyświetlanie raportów (pdf, text, html) w oparciu o dane historyczne, automatyczne tworzenie i wysyłanie raportów wcześniej zdefiniowanych

    • Możliwość zarządzania politykami,

    • Funkcja SIEM (Security Information and Event Management)

    • Analiza śledcza

    • Eksport logów

    1. Integracja z zewnętrznymi systemami typu SIEM

    2. Szczegóły ataku muszą zawierać następujące informacje (jeśli są dostępne dla danego typu ataku):

    • Source L4 Port

    • Protocol

    • Packet Count

    • Flow Label (tylko IPv6)

    • ToS

    • Packet Size

    • ICMP Message Type— tylko dla protokołu ICMP.

    • L4 Checksum

    • TCP Sequence Number

    • IP ID Number

    • Fragmentation Offset

    • Fragmentation Flag

    • Physical Port

    • Bandwidth [Kbits]

    • VLAN

    • MPLS RD

    • Device IP

    • TTL

    • Source IP

    • Destination IP

    • Source Ports

    • Destination Ports

    • DNS Query

    • DNS ID

    • DNS Query Count



    1. Wymagania dodatkowe

        1. Urządzenie zostanie poddane testom wydajnościowym zgodnie z RFC 2544 oraz testom znoszenia ataków DoS/DDoS z wykorzystaniem Spirent Testing Center;

        2. Poprawna praca urządzeń w temperaturze od 10 do 35 °C;

        3. Poprawna praca przy wilgotności powietrza od 5% do 50% zakładając brak występowania zjawiska kondensacji pary wodnej.




    1. Serwisy i gwarancje

        1. Serwis sprzętowy i aktualizacje zarówno oprogramowania wewnętrznego jak i funkcji bezpieczeństwa na 24 miesiące, których bieg rozpoczyna się od dnia protokolarnego odbioru ostatecznego przez Zamawiającego. Sygnatury muszą być aktualizowane nie rzadziej niż raz na tydzień.

        2. Poziom serwisu 24x7 gwarantujący w przypadku ataku bezpośrednią kontrolę zespołu wsparcia nad urządzeniem w celu analizy ataku i podjęcia akcji takich jak: włączenie i tuning odpowiednich funkcji urządzenia, dodanie specyficznych sygnatur i inne czynności konieczne do wyeliminowania ataku. Serwis dotyczy zarówno incydentów związanych z DoS/DDoS jak i Malware.

        3. Wykonawca zobowiązuje się do udzielenia dwuletniej nieodpłatnej gwarancji producenta na dostarczony przez Wykonawcę urządzenia których bieg rozpoczyna się od dnia protokolarnego odbioru ostatecznego przez Zamawiającego, z czasem reakcji do końca następnego dnia roboczego od przyjęcia zgłoszenia, możliwość zgłaszania awarii w trybie 24x7x365.




    1. Szkolenie

Zamawiający wymaga aby Wykonawca zapewnił dwudniowe szkolenie dla minimum dwóch osób z obsługi dostarczonego urządzenia i oprogramowania. Zakres szkolenia musi obejmować co najmniej zagadnienia instalacji urządzenia (w dostępnych trybach pracy), konfiguracji urządzeń i oprogramowania, obsługi operatorskiej. Szkolenie może ale nie musi być zorganizowane w siedzibie Zamawiającego. Szkolenie musi zapewniać dostęp do urządzenia i oprogramowania będącego przedmiotem zamówienia.
Cześć II zamówienia - Wymagania licencji na oprogramowanie testera i analizatora protokołów telekomunikacyjnych Spirent Test Center
Przedmiotem zamówienia jest dostawa licencji na oprogramowanie i usług do rozbudowy posiadanego przez Zamawiającego testera i analizatora protokołów telekomunikacyjnych Spirent Test Center SPT-11U o funkcjonalność do testowania zagrożeń w sieci zgodnie ze szczegółowym opisem zamieszczonym poniżej.
Tabela 2. Wykaz komponentów będących przedmiotem zamówienia


Lp.

Nazwa urządzenia

Liczba

sztuk


1

Licencja na oprogramowanie umożliwiająca generowanie oraz analizę ataków na urządzenie lub usługi sieciowe przy dużych obciążeniach ruchowych i zmasowanym ataku z wykorzystaniem znanych zagrożeń ataków na systemy teleinformatyczne (AVALANCHE VULNERABILITY ASSESSMENT lub równoważna)

1

2

Licencja na edytor umożliwiający tworzenie własnych ataków (AVALANCHE ATTACK DESIGNER lub równoważna)

1

3

Dwuletnia subskrypcja na dostęp do aktualnej bazy zagrożeń sieciowych (NETWORK ATTACKS - KNOWLEDGE BASE UPDATE SUBSCRIPTION lub równoważna)

1

4

Dwudniowe szkolenie z obsługi oprogramowania do generowania ataków dla 5 osób w siedzibie Zamawiającego

1


Jako równoważne uważane będą licencje umożliwiające realizację na posiadanym testerze i analizatorze Spirent Test Center co najmniej funkcjonalności opisanych poniżej.

  1. Licencja AVALANCHE VULNERABILITY ASSESSMENT lub równoważna powinna umożliwić laboratorium Zamawiającego symulację znanych zagrożeń i analizę wpływu złośliwego ataku na urządzenie lub usługi sieciowe, przy obecności właściwego ruchu na interfejsach systemu Spirent Test Center o przepływności 10/100/1000 Mb/s i 10 Gb/s, w różnych odmianach i wariantach, przynajmniej wymienionych na poniższej liście:

    • ataki typu DDoS

    • Ataki E-mail

    • Wirusy - robak komputerowy - Worms

    • Wirusy/Trojany/Malware

    • Ataki VoIP

    • Ataki z aplikacji

    • Skanowanie Portów

    • Przepełnienie bufora

Wszystkie zagrożenia powinny być konfigurowalne dla wersji protokołu IPv4 i IPv6.

  1. Licencja AVALANCHE ATTACK DESIGNER lub równoważna powinna umożliwiać przynajmniej edycję i modyfikację istniejących ataków dostępnych w bazie danych oraz tworzenie własnych a także możliwość importu przechwyconego ruchu w postaci plików Pcap i odtworzenia go ponownie do sieci bądź zmodyfikowania wybranego protokołu lub transakcji przed jej ponownym odtworzeniem. Wymagana jest możliwość wyboru: bezpośredniego wysyłania ataków z urządzenia Spirent Test Center oraz zachowania wygenerowanego ataku do późniejszego wykorzystania.

  2. Subskrypcja dostępu do aktualnej bazy danych zagrożeń sieciowych i ataków udostępnianych przez Spirent powinna zapewniać natychmiastowy dostęp do najnowszych sygnatur zagrożeń, dostarczając możliwość przetestowania ataków typu „zero-day”.

  3. Szkolenie z obsługi oprogramowania, w wymiarze 2 dni po nie mniej niż 6 godzin, dla co najmniej 5 osób – pracowników Zamawiającego, powinno dostarczyć wiedzy pozwalającej na efektywne posługiwanie się dostarczonym oprogramowaniem.



Cześć III zamówienia - Wymagania na serwery, urządzenie KVM i listwy do zarządzania energią
Przedmiotem zamówienia jest sprzedaż wraz z dostarczeniem do siedziby Zamawiającego urządzeń wymienionych w tabeli 3 (zwanych dalej serwerami, urządzeniem KVM, listwami dla zarządzania energią). Dostarczane urządzenia wraz z elementami składowymi muszą stanowić gotowe zestawy.
Tabela 3. Wykaz urządzeń będących przedmiotem zamówienia


Lp.

Nazwa urządzenia

Liczba

sztuk


1

Serwer

5

2

Urządzenie KVM

1

3

Listwa do zarządzania energią

2 lub 4






  1   2   3   4   5   6   7


©absta.pl 2019
wyślij wiadomość

    Strona główna