KURUMSAL GÜVENLİK DUVARI ALIM İHALESİ -TEKNİK ŞARTNAME-

Transkript

1 Madde 1. Genel Maddeler KURUMSAL GÜVENLİK DUVARI ALIM İHALESİ -TEKNİK ŞARTNAME- 1.1.Teknik Şartnamedeki tüm maddeler sırası ve madde numarası ile birlikte Kurumsal Güvenlik Duvarı Sistemi Alımı İşi Teknik Şartlar Taahhütnamesi'nde detaylı bir şekilde teker teker cevaplanacak, hiçbir madde boş bırakılmayacak, cevaplar açık, anlaşılır, yeterli teknik düzeyde olacaktır. Okunmuştur, anlaşılmıştır, evet, hayır gibi cevaplar ve ifadeler yerine, şartnamenin ilgili maddesine Kabul edilmiştir. ifadesi kullanılacak ve nasıl sağlanacağı da, yeterli teknik düzeyde açıklanacaktır.) İhale şartnamesinde kullanılan ifadeler cevap içinde tekrar edilmeyecek, firma teknik şartnamenin tüm maddelerine kendi ifadelerini kullanarak cevap verecektir. Şartname içerisinde belirtilecektir vb. ifadesi ile biten maddelere verilen cevaplarda konu ile ilgili gerekli açıklamalar ayrıca yapılmalıdır. Teknik şartnamede yazılı desteklemeli veya sağlamalı gibi ifadeler herhangi bir şart olmaksızın karşılanacaktır. Teklifi oluşturan bütün belgeler ve şartname cevapları Türkçe, sisteme ilişkin diğer dokümanlar İngilizce veya Türkçe olacaktır. İstekliler teknik şartnameye cevaplarını belirtilen şekilde vermezlerse teklifleri değerlendirme dışı bırakılacaktır. 1.2.İdare, tekliflerin değerlendirilmesi sırasında ek açıklama isteme hakkına sahiptir. Teklif edilen ürünlerin tamamı kendi ürün aileleri içerisinde E.O.L (End Of Life) duyurusu yapılmamış ürünler olacak, üretimden kalkmış ürünler kesinlikle teklif edilmeyecektir. Bu teknik şartname kapsamında teklif edilecek tüm ürünler ve aksamları hiç kullanılmamış, orjinal ambalajında, yeni ürünler olacaktır. Refurbished ürünler teklif edilmeyecektir. Teklif edilen donanım ürünleri ve yazılımlar ana firmanın piyasaya sürdüğü en son sürümler olmalıdır. 1.3.Teklif edilen Kurumsal Güvenlik Duvarı Sistemi üretici firması, Enterprise Firewall için hazırlanmış 2014 yılı içinde yayınlanan Gartner Magic Quadrant tablosunda yer alan markalardan biri olmalı veya önerilecek ürünün, son yapılan NSS Labs Next Generation Firewall testlerine girmiş ve genel değerlendirme sonucunda "önerilen" ürünler arasında yer alması gereklidir. Uluslararası düzeyde kabul gören muadil diğer teknik değerlendirme sistemleri ve raporlar, İdarenin uygun görmesi halinde, değerlendirmeye alınabilir. 1.4.Teklif edilen Kurumsal Güvenlik Duvarı Sistemi, bütünleşik yedekli güç kaynağı (Redundant Power Supply) ile verilecektir. Teklif edilen tüm cihazlar İngiliz voltaj standardı olan 240 Volta kadar çalışabilir olacaktır. Teklif edilen ürünlerin güç kabloları üç pinli İngiliz fişi standartlarına uygun olacak şekilde Firma tarafından temin edilecektir. 1.5.Teklif edilen Kurumsal Güvenlik Duvarı rack kabine takılabilir yapıda olacaktır; bunun için gerekli her türlü donanım cihazlarla beraber teslim edilecektir. Sistem birimlerinin bağlantıları için gerekli her türlü ara kablo, güç kablosu, soket, konnektör, vb. gerekli donanım Firma tarafından temin edilecektir. 1.6.Firma, İdare nin belirleyeceği 2 kişiye en az 4 gün süre ile (32 saat), alınacak cihazların ve yazılımların eğitimini, işletme, bakım, kurulum, idame ve yönetim, (operation, maintainence, installation ve management) konularında verilecektir. Eğitim en az; güvenlik duvarı, uygulama kontrol, IPS, içerik kontrolü ve URL filtreleme, virus/zararlı içerik ve bot kontrolü, IPsec VPN ve SSL VPN servislerinin/özelliklerinin tamamının yapılandırma ve yönetimi, gelişmiş tehlike tespit mekanizmaları, WAN/LAN arayüz tanımlama ve yapılandırma ve LAN/WAN yönlendirme protokolleri yapılandırması, sanal sistem yönlendirme yapılandırmaları, IPV6 yapılandırmaları, NAT yapılandırma, kullanıcı yönetim, yetkilendirme ve ağ kaynaklarına erişim ayarları, trafiği ve bağlantıları izleme, servis güncellemelerinin nasıl yapıldığı, sorun çözme araçları ile sorun tespiti ve performans izleme, yönetim ve bakım işlemleri (komut satırından ve ilgili diğer arayüzlerden) ve loglama, analiz ve raporlama konularını içermelidir. Eğitim, sözleşmenin imzalanması ile ürünün muayene ve kabulü arasında verilecektir. Üreticinin uluslararası yetkili eğitim merkezlerinde 1

2 kullanılan üretici firmanın standart sertifikalı yöneticilik/uzmanlık eğitimi resmi eğitim materyalleri söz konusu eğitimler sırasında kullanılacaktır. Eğitmen, vereceği eğitimleri ilk kez veriyor olmayacak, vereceği eğitimlerin hepsini daha önce vermiş olacaktır. Eğitime katılacak tüm personele eğitime ait resmi dokümanlar sağlanacaktır. Bu eğitim materyali eğitime başlanmadan önce elektronik ortamda (CD/DVD ortamında) 3 (üç) nüsha olarak İdareye teslim edilecektir. Eğitim sadece teorik anlatımlardan ibaret olmamalı, yerinde uygulamalı olarak verilmeli, örnek projelerle desteklenmelidir. Eğitim yazılımlarda kullanılan tüm terimleri, komutları, menüleri, menülerdeki ekranları, ve bir ekrandaki her işlevi detaylı olarak açıklamalı, ne işe yaradıklarını, hangi durumlarda ve nasıl kullanılmaları gerektiğini içermelidir. Eğitim için gerekli tüm araçlar ile katılımcıların eğitim dokümantasyonları ve ders malzemeleri Firma tarafından sağlanacaktır. Eğitim sonunda katılımcılara, eğitim sonunda elde ettikleri yetkinlik ile ilgili hak ettikleri belgeler (katılım belgesi veya sertifika) verilecektir. Kullanıcılar verilen eğitimden memnun kalmaz veya eğitim sırasında aksaklık çıktığından eğitimden gerekli verim alınamaz veya eğitim süresi tüm içeriği anlatmaya yetmez ise, eğitimler İdare nin uygun göreceği şekilde tekrarlanacaktır Bu şartnamede belirtilen maddelerden her birinin sağlanması için ek bir ürün (yazılımdonanım) ve/veya lisans alınması gerekiyor ise madde cevabında ayrıca belirtilecektir. Gerekli ek donanım/yazılım/lisansın teklife dahil edilip edilmediği de ayrıca belirtilmelidir. 1.8.Garanti, Teknik Destek ve Onarım servisleri sözleşmede belirtildiği çerçevede verilecektir. Bu şartnamede belirtilmeyen diğer hükümler konusunda idari şartname hükümleri geçerli olacaktır. 1.9.Teklif edilen ürünün, ürün resmi web sitesinde de iletişim detayları duyurulmuş, Türkiye Cumhuriyeti veya Kuzey Kıbrıs Türk Cumhuriyeti nde faaliyet gösteren resmi bir ofisi bulunmalıdır ODTÜ KKK Bilişim altyapısında kullanılmak üzere, aşağıda her biri için aranan minimum teknik özellikleri belirtilen 1 (bir) adet kurumsal güvenlik duvarı sistemi, ilgili yazılım ve lisanları ve bu cihazların kurulumu, konfigürasyonu, ilgili eğitimlerinin verilmesi ve garanti süresince devam edecek teknik destek ve onarım hizmetleri için teklif verilecektir Söz konusu iş ile ilgili tüm çalışmalar ÜNİVERSİTE genel işleyişini aksatmayacak şekilde ve İdare nin gerekli gördüğü durumlarda normal mesai saatleri dışında ve hafta sonları yapılacaktır. Madde 2.Teknik Özellikler 2.1.Kurumsal Güvenlik Duvarı Sistemi (1 Adet) Teklif edilen ürünlerin, lisans ve yazılımların ve ürün üzerinde gelen aksamların ve ilave olarak alınabilecek her türlü ürünün (aksam, modül, yazılım, servis vb.); her birinin parça ve model numarası/adı ve versiyonu, açıklaması, teklifte (verilmişse) verilen kapasitesi, alınabilecek en yüksek kapasitesi gibi bilgiler Kurumsal Güvenlik Duvarı Alım İşi Teknik Şartlar Taahhütnamesi nin Madde 2.1 sayfasında (Sheet) istendiği şekilde listelenecektir Teklif edilen sistem bir donanım ve yazılım bütünü (appliance) olarak teklif edilecektir. Sistemin teknik özelliklerini gösteren datasheet (veri sayfası), broşür, katalog, web sayfası gibi dokümanlar madde cevabına ek olarak eklenecektir. Verilen dokümanlar istekli tarafından kaşelenmeli ve imzalanmalıdır. Teklif edilen sistem, kurumsal güvenlik duvarı özellikleri olarak en az; Güvenlik Duvarı (Firewall) AD veya LDAP veya RADIUS Entegrasyonu ile Kullanıcı Yetkilendirme ve Tanıma IPSec VPN Sonlandırma Sistemi SSL VPN Sonlandırma Sistemi Saldırı Tespit ve Engelleme Sistemi (IPS) Uygulama Kontrolü Sistemi (Application Control) Ağ Geçidinde Virüs/Zararlı İçerik Kontrolü (Anti-Virus, Malware ve Anti-bot) 2

3 İçerik ve URL Kategori Filtreleme özelliklerine sahip olacaktır. Teklif edilen sistemin marka ve modelleri, lisanslama yöntemi bu madde cevabında verilecektir Teklif edilen Ağ Güvenlik Duvarı, ileride ikinci bir cihaz alınması durumunda High-Availability için (yedeklilik ve süreklilik) Aktif-Aktif veya Aktif-Pasif olarak çalışmayı destekleyecektir Sistemin; Firewall, IPSec VPN, IPS, Antivirus/Malware kontrol, Uygulama kontrol/tanıma fonksiyonlarının hiç biri için kullanıcı sınırı olmayacak ve sınırsız kullanıcı lisansı ile teklif edilecektir. Sistemin 3 yıl süre ile Yazılım/işletim sistemi güncellemelerini ve en az 3 yıl süre için IPS, Uygulama Tanıma ve Kontrolü, AntiVirus ve Zararlı İçerik (Malware) ve Anti-bot Kontrolü, URL Kategori Filtreleme servis ve güncellemelerini yapacak lisanslar sistemle birlikte verilecektir Teklif edilecek ürünün yeni nesil firewall (bütün yeni nesil firewall özellikleri (uygulama kontrolü, kullanıcı yetkilendirme ve kontrol entegrasyonu vb. ) devrede iken) throughput değeri minimum 10 Gbps olacak veya RFC 2544 standartlarına (UDP 1518 Byte) göre minimum 75 Gbps network throughput değeri sağlayacaktır. Teklif edilen cihazın yeni nesil firewall throughput değerinin ne kadar olduğu veya RFC 2544 standartlarına (UDP 1518 Byte) göre network throughput değerinin ne olduğu belirtilmelidir Sistem aynı anda en az (iki milyon) oturumu destekleyecek ve saniyede en az (yüz yirmi bin) yeni oturum açabilme performansına sahip olacaktır. Bu değerler teklif edilen ürün dokümanlarında belirtilmiş olacaktır. Bu değerler teklif edilen ürün ile ilgili dokümanlarında belirtilmiş ve üretici bu değerleri kendi web sitesinde herkese açık bir şekilde yayınlamış olacaktır Sistem en az 5 Gbps IPS throughput performans değerine sahip olacaktır. Bu değerler teklif edilen ürün ile ilgili dokümanlarında belirtilmiş ve üretici bu değerleri kendi web sitesinde herkese açık bir şekilde yayınlamış olacaktır Sistemin Common-Criteria EAL-4/4+ veya ICSA sertifikasyonu olacaktır Sistem üzerinde; En az 8 adet Gigabit Ethernet RJ45 ara yüz desteği olacaktır. En az 4 adet SFP ara yüz olacaktır En az 4 adet SFP+ 10Gb/s ara yüz bulunacaktır. En az 200 Gbyte kapasitede depolama alanı bulunacaktır. Sistem Syslog sunuculara veya sistem ile birlikte kullanılabilecek Kayıt/Raporlama sistemlerine kayıt gönderebilecek ve sistem üzerindeki depolama biriminde de kayıt tutabilecektir Sistemle birlikte 4 adet SFP LX Gigabit Transceiver ve 2 adet SFP+ LR Gigabit Transceiver verilecektir Cihaz tek bir fiziksel güvenlik duvarı olarak çalışabileceği gibi, kurumun ihtiyaç duyması durumunda, lisans güncellenmesi ile en az 100 adet sanal sistem çalıştıracak şekilde yapılandırılabilecektir. Sistem üzerinde yapılandırılmaya hazır en az 5 sanal sistem olacaktır Sistem üzerindeki fiziki ve sanal ara yüzler sanal sistemler arasında paylaştırılabilecek, sanal sistemler birbirinden bağımsız yönetilebilecek ve bu sanal sistemler üzerinde birbirinden bağımsız kurallar yaratılabilecektir. Sistem üzerinde sanal güvenlik duvarı sistemlerinden istenilenler Layer3 te çalışabilirken, aynı anda istenilen sanal güvenlik duvarları Layer2 de transparent olarak çalışabilecektir. 3

4 Sistem istenildiğinde (bu özellik için ek lisans gerekiyorsa bu özellik aktive edilmek istenildiğinde gerekli lisans alımı yapılarak) veri kaybı koruma desteği (kurum dışına çıkan yada kurum dışından indirilen dosya türlerine göre engelleme desteği) verebilecek şekilde yapılandırılabilecektir Sistemin bu şartnamede aranan teknik özellikleri karşılayabilmesi için (aksi belirtilmedikçe (gerekli alım ileride yapılacak denmedikçe)) ek lisans/yazılım/donanım gerekiyor ise, (garanti süresi boyunca geçerli ve güncel olacak şekilde) teklife dahil edilecektir. Güncelleme gerektiren servis/özellikler için garanti süresi boyunca ücretsiz güncelleme sağlanacaktır. Bu madde kapsamında teklife dahil edilen lisans/yazılım/donanımlar bu madde cevabında belirtilecektir Teklif edilen sistemin IPV6 desteği olacaktır. IPv6 kapsamında en az: IPv6 Adresleme, IPv6 Statik Yönlendirme, IPv6 DNS, IPv6 Güvenlik kuralları, IPv6 Log ve Raporlama, Authentication, SNMP, IPv6 Packet Sniffing, IPv6 hata belirleme, Ping6 ve NAT64 destekleyecektir. Sistem, IPv4 ile IPv6 protokollerinin aynı anda kullanımına izin verecektir Sistem SPI(Stateful Packet Inspection) ve DPI (Deep Packet Inspection) Firewall özellikleriyle çalışabilecektir Sistem üzerinde kişi ve grup bazlı kural yazılabilecektir Sistem güvenlik duvarı üzerinde en az 20,000 (yirmi bin) politika (direktif) yazılabilecekdir Sistem, Kural Tabanlı Yönlendirme (Policy Based Routing) destekleyecektir Sistem başka bir networke yönlendirme yaparken hedef erişim noktası erişilemez olduğunda farklı bir hedef noktaya yönlendirme yapabilecektir Sistemin en az 2 adet WAN link desteği olacaktır. Sistem, en az 2 adet Internet bağlantısını yedekli olarak kullanabilecektir Sistemin Jumbo Frame desteği olacaktır Sistem üzerinden geçen trafiğin MTU değerlerinin değiştirilmesi yapılabilecektir Sistemin Stealth Mode (ağ geçidinin saklanması) desteği olacaktır Sistemin üzerinde sanal network ara yüzleri ( VLAN ) tanımlanabilecektir. Sanal ağlar (VLAN) arası geçişler kontrol edilebilecektir Sistem, RIP, OSPF ve BGP Yönlendirme protokollerini destekleyecektir. Bununla birlikte multicast routing desteği de olacaktır Sistem üzerinde zaman bağlı Erişim Kontrol Listesi ( Access Control List, ACL) yapılandırılabilecektir Sistem; kendi üzerinde tanımlanan kullanıcı veri tabanı, RADIUS veya LDAP üzerinden veya AD entegrasyonu ile yetkilendirme yapabilecektir Sistemin DHCP Server ve DHCP Relay özelliği olacaktır Sistem uygulama kontrolü yapabilecektir. 4

5 Sistem peer-to-peer; P2P (DC++, bittorrent, edonkey, Gnutella. ve benzeri) trafiğini kontrol edebilmeli, belirlenen bant genişliği içinde bu trafiklere sınır getirebilmelidir Sistem VPN Gateway olarak IPSec destekleyecektir DES, AES, Kriptolama ve MD5, SHA-1 desteklenecektir. IKE ve PKI desteği olacaktır Sistem üzerinde, kullanıcıların kurum kaynaklarına güvenli olarak erişimini sağlayabilmek için, sistem ile bütünleşik olarak çalışacak SSL VPN Gateway özelliği bulunacaktır SSL VPN Gateway üzerine erişen kullanıcılar, sistem üzerinde tanımlı kullanıcı veritabanı, RADIUS veya LDAP üzerinden yetkilendirilebilecektir SSL VPN Gateway TCP ve UDP tabanlı trafikleri tünelleyebilecektir Sistemin HUB and SPOKE VPN desteği olacak ve Full Mesh topology çalışabilecektir Sistem, eş zamanlı en az 2000 VPN tünelini destekleyebilir özellikte olacaktır. Sistem üzerinde SSL VPN Gateway e ihtiyaca binaen yapılacak ek alım (lisans, aksam vb.) ile mobil kullanıcıların kurum bağlantısı sağlanabilecektir Sistem yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP'yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilecek veya bire bir adres çevrim özelliği olacaktır Sistemin NAT-T, PAT-T ve PAT (Port adres çevrim ) desteği olacaktır Sistem trafik ve protokol anomalilerini tespit edip durdurabildiği gibi, imza tabanlı saldırıları da tanıyıp durdurabilecektir. Özelleştirilebilir saldırı tanımları yapılabilecektir. IDS/IPS imzaları internet üzerinden otomatik olarak güncellenebilecektir Sistem casus yazılım (spyware) ve diğer zararlı kodlar da dâhil olmak üzere HTTP cevap ataklarına karşı ağ tarayıcıları için koruma sağlayacaktır. Sistem Ağ girişinde HTTP, SMTP, FTP, POP3 ve MSN trafiğini tarayarak virüsleri engelleyebilecektir. Sistem, anılan protokoller içinde tarama yaparak; Worm, Trojan, Keylogger, Spy, Dialer, Hacker tool türünden tehditleri tanıyıp durdurabilecektir. Virüs kontrolü, sistem üzerinde bulunan bütün ağ segment leri arasında yapılabilecektir Sistem DoS, DDos, DNS, Exploit, ICMP, IMAP, JAVA, LDAP, NETBIOS, SMTP, SQL INJECTION, TELNET vs. gibi önemli saldırı tiplerine ve SYN Flood, UDP Flood, ICMP Flood, ICMPv6 Flood ve diğer IP protokolleri bazlı Flood ataklarına karşı koruma sağlayacaktır Sistem IP spoofinge, backdoor saldırılarına ve tcp port taramalarına karşı koruma sağlayacaktır. Sistem zararlı trafik akışını anlayabilecek şekilde normalizasyon kabiliyetlerine sahip olacaktır Sistem botnet aktivitesini tespit edip, engelleyebilecektir, bilinen botnet komuta kontrol merkezlerine doğru irtibat trafiğini kesebilecektir Sistem içerik ve URL kategori bazlı filtrelemeyi destekleyecektir. Web trafiği denetlenmesinde farklı kaynak ve hedef adreslerine ve/veya farklı gruplara farklı politikalar uygulanabilecektir. İlgili URL kategori tanımları internet üzerinden otomatik olarak güncellenebilecektir. 5

6 Sistem gereğinde detaylı trafik log u ürettirilebilecektir.(tcpdump seviyesinde) Sistem konsol port üzerinden, web arayüz üzerinden (https), kendi yönetim arayüzünden ve ssh bağlantı ile komut satırı (command line) üzerinden yapılandırılabilecektir. Sistemi yönetmek için gerekli tüm yazılımlar ve lisanslar teklife dahil edilecektir Mean Time Between Failure değeri en az 6 yıl olacaktır Sistem üzerinde trafik, atak, Virus/zararlı içerik, URL Filtreleme, uygulama kontrol gibi loglar monitör edilebilecektir. Sistemi üzerinde log filtreleme yapılabilecektir O anda aktif bağlantılar veya cihaz üzerindeki loglar, cihaz üzerinden izlenebilmeli, üzerinde aynı anda birden çok filtreleme ve basit analiz işlemleri yapılabilmelidir. 3. Kurulum, Konfigürasyon ve Entegrasyon 3.1.Kurulum ve konfigürasyon yapılmadan önce, kurumumuzun topoloji ve altyapısı Bilişim Teknolojileri Müdürlüğü görevlileri ve Firma ile birlikte etüt edilerek, en ideal yapılandırma, best practices ve kampüs topolojisine entegrasyon için bir yol haritası oluşturulmuş ve geçilecek yapı ve gerekçeleri dökümante edilmiş olacaktır. 3.2.Halen kullanılmakta olan güvenlik duvarı cihazı ve alınacak olan sistem İdare nin istekleri doğrultusunda konfigüre edilerek mevcut yapıya dahil edilecektir. 3.3.Sistemin kurulum ve konfigürasyonu maddesinde anılan tüm fonksiyonları aktif olarak kullanılacak sekilde yapılacaktır. Oluşacak yeni topoloji yüklenici tarafından dijital ortamda dökümante edilecek ve en az 5 kopya halinde İdare ye teslim edilecektir. 3.4.Firma, kesin Kabul ve muayeneden itibaren garanti sürecini kapsayacak şekilde; sistem planlaması, sistemin daha performanslı çalışması, kurumun ihtiyaçlarına yönelik çalışması ve ince ayarların yapılması (cihazın üzerinden geçen trafiğin analiz edilerek, ihtiyaçlara yönelik ayarların yapılması) ve tüm yazılımsal özelliklerin ihtiyaca göre yapılandırılması gibi konularda telefon/eposta ile ve gerektiği takdirde yerinde teknik danışmanlık ve rehberlik hizmeti verecektir. 6