T.C. İÇİŞLERİ BAKANLIĞI BİL Gİ İŞLEM DAİRESİ BAŞKANLIĞI GÜVENLİK D UVARI ALIMI TEKNİK ŞAR TNAMESİ
İÇİNDEKİLER 1. Kapsam 2. Tanımlar 3. Genel Hükümler 4. Teknik Koşullar 5. Ödemeler 6. İşin Süresi 7. Diğer Hususlar 8. Servis ve Garanti
1. KAPSAM: İçişleri Bakanlığı Bilgi İşlem Dairesi Başkanlığı veri merkezinde kullanılmak üzere 2 (iki) adet güvenlik duvarı alımı, kurulumu, konfıgürasyonu ve ilgili eğitimlerin verilmesi işidir. 2. TANIMLAR: İdare: İçişleri Bakanlığı, Bilgi İşlem Dairesi Başkanlığı Firma: Güvenlik Duvarı Alımı ihalesine teklif vermiş olan firma 3. GENEL HÜKÜMLER 3.1. Bu şartnameye verilen cevaplar açık, anlaşılır, şartname hükümlerini tam olarak kabul ve teyit eder nitelikte olmalıdır. Herhangi bir maddeye verilen cevabın bu nitelikleri taşımaması, eksik ve şartname hükümlerini sağlamaması durumunda teklifler değerlendirmeye alınmayacaktır. 3.2. Teklifler, Şartnamede aksi belirtilmedikçe alternatifli olarak verilmeyecektir. 3.3. Teklifler maliyet kalemleri dökümlü olarak verilecektir. 3.4. İhale komisyonu, tekliflerin değerlendirilmesi sırasında gerekli gördüğü durumlarda firmalardan yazılı veya sözlü açıklamalar ile bilgi veya belgeleri isteyebilir. Firma, tanınan süre içerisinde istenen bilgi, belge ve dokümanları sağlamak / vermek zorundadır. 3.5. İhale konusu hizmetlerin tamamı tek firmadan alınacaktır. Firma işe özel altyüklenici firmalar ile çalışabilecektir. 3.6. İdare'nin isteği durumunda firma işe ilişkin ara raporlar düzenleyecektir. 3.7. İşin sonunda aşamaları detaylı olarak anlatan bir "Sonuç ve Çıktılar Final Raporu" düzenlenecektir. 3.8. Teklif verecek firmanın kadrosunda üretici firmanın eğitimlerini almış ve eğitim katılım sertifikası bulunan en az iki personeli bulunmalı veyahut bu şartları sağlayan bir destek çözüm ortağı ile çalıştığını belgelemelidir. 4. TEKNİK KOŞULLAR 4.1. Güvenlik duvarı çözümleri bu iş için özel olarak üretilmiş bir donanım ve yazılım bütünü (appliance) olarak teklif edilecektir. 4.2. Güvenlik duvarı ürünlerinin yönetimi için merkezi bir yönetim modülü / sistemi teklif edilecektir.teklif edilecek yönetim modülü / sistemi bu iş için özel olarak üretilmiş Sayfa 3
donanım ve yazılım bütünü (appliance) olarak teklif edilebileceği gibi sunucu üzerine kurulabilen yazılımsal ürün olarak da teklif edilebilir. 4.3. Teklif edilecek güvenlik duvarı çözümleri ve yönetim modülü /sistemi aynı ve tek marka olmalıdır. 4.4. Güvenlik duvarı ürünlerinin firewall performansı UDP paketleri ile yapılmış testlerde en az 40 Gbps veya bütün uygulama kontrol özellikleri (Layer 7 Katmanı), kullanıcı entegrasyonu v.b yeni nesil güvenlik duvarı özellikleri devrede iken minimum 10 Gbps olmalıdır. 4.5. Güvenlik duvarı ürünleri en az 2.000.000 adet eş zamanlı oturumu (concurrent session) desteklemelidir. 4.6. Güvenlik duvarı ürünleri en az 120.000 adet anlık bağlantı isteğini (connection per second) karşılayabilmelidir. 4.7. Güvenlik duvarı ürünlerinin üzerinde en az 8 adet 10/100/1000 Mbps veya 1000 Mbps hızlarında çalışabilen bakır ethernet, en az 4 adet gigabit SEP fiber ve en az 4 adet 10 gigabit SFP+ ağ arayüzleri bulunmalıdır. Gerektiğinde arayüz sayısının artırılabilmesi için uygun genişleme yuvaları bulunmalıdır.. 4.8. Firewall (güvenlik duvarı) ürünleri, en az 1024 adet VLAN desteklemelidir. 4.9. Cihaza en az 20.000 adet güvenlik kuralı tanımlanabilmelidir. 4.10. Cihazın Multicast Routing desteği bulunmalıdır. 4.11. Güvenlik duvarı ürünleri, mimari açıdan stateful inspection ve IP paket fîltreleme özelliklerini bünyesinde bulundurmalıdır. 4.12. Güvenlik duvarı platformu üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır. 4.13. MS Active Directory ve kullanıcı makinaları üzerine herhangi bir yazılım kurmadan active directory ile entegre olarak kişi ve / veya grup bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi ve / veya kullanıcı makinasının ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcı ve / veya makinaların isim ile takibinin yapılabilmesine olanak sağlayabilmelidir. Entegrasyon için gereken tüm unsurlar bir arada teklif edilecektir. 4.14. Cihaz üzerinde uygulama kontrol özelliği bulunmalı veya bu özelliği barındıran aynı marka harici bir donanım ile teklif edilmelidir. Uygulama kontrol birimi en az 900 adet uygulamayı tanıyabilecek kapasitede olacaktır. 4.15. Uygulama kontrolü özelliği active directory ile entegre çalışabilecek bu sayede active directory'de tanımlı olan kullanıcı ve / veya gruplar bazında uygulama kontrolü kuralları tanımlanabilecektir. 4.16. Cihaz, OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir. 4.17. İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir. 4.18. Saat, gün, tarih, periyot bazında erişim kontrolü yapabilmelidir. Sayfa 4 1 I
4.19. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP'yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır. 4.20. Port adres çevrim (PAT) özelliğine sahip olmalıdır. 4.21. Önerilecek güvenlik duvarı aynı zamanda bantgenişliği kontrolü (QoS) yapabilmelidir. 3u özellik ile kaynak/hedef, kullanıcı, uygulama veya servis bazında bantgenişliği kullanımını limitleyebilmeli, garanti edebilmeli, veya ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir. QoS özelliği açıldığında herhangi bir performans kaybına sebebiyet vermemelidir. 4.22. Sistem Aktif / Pasif ve Aktif / Aktif yedekliliğini desteklemelidir. Failover sırasında oturum bilgilerinin senkronizasyonu sağlanmalıdır. 4.23. Sistem konfigurasyon rollback seçeneklerine sahip olmalıdır. 4.24. Firewall Static Route, RIP, OSPF dinamik yönlendirme protokollerini desteklemeli ve bu özellikler ile teklif edilmelidir. 4.25. Cihazın IPv6 desteği olacaktır.cihaz, lpv6 özelliklerinin tamamen kullanılabileceği şekilde teklif edilmelidir. 4.26. Site to site ve client to site VPN desteği olmalıdır. VPN lisanslaması gerekiyorsa en az 5.000 uç için gerekli lisans teklife dahil edilecektir. 4.27. Güvenlik duvarı, İPSec VPN standardını, IKE şifreleme şemalarını, 3DES, AES algoritmalarını, veri bütünlüğü için MD5 ve SHAİ algoritmalarını desteklemelidir. 4.28. Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır 4.29. Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web tabanlı yapılabilmelidir. Bu konfigurasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir. 4.30. Herhangi bir anda kurulmuş olan bağlantıları on-line olarak izleyebilme olanağı olmalıdır. Söz konusu bağlantılar kesilebilmelidir. 4.31. Üçüncü parti içerik kontrol yazılımları ile uyum içinde çalışabilecek şekilde açık bir mimariye sahip olmalı, istenildiğinde trafiği yönlendirebilmeli veya bu özelliği kendi üzerinde sağlayabilmelidir. 4.32. Yönetim modülü / sistemi güvenlik duvarı ürünlerinin tüm fonksiyonlarının yönetimini sağlamalıdır. 4.33. Cihaz üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı izlenebilmesi sağlanacaktır. 4.34. Yönetim modülünün / sisteminin otomatik log arşivleme özelliği (gün, saat, hafta veya belli bir boyu aşan log dosyaları durumunda) olmalıdır. Disk doluluğu eşik değerleri tanımlanabilmelidir. 4.35. Yönetim modülü güvenlik duvarı ürünleri üzerinden geçen trafikle ilgili istatistiki ve ayrıntılı raporlar oluşturma kabiliyetine sahip olacaktır. 4.36. Yönetim modülü / sistemi grafik raporlama, atak kaynağı tespiti ve kayıt tutma özelliklerine sahip olacaktır.
4.37. Yönetim modülü / sistemi tarafından ağ güvenlik duvarlarına ait performans ve güvenlik duvarları üzerinden geçen trafik ile ilgili bilgiler gerçek zamanlı olarak gösterilebilecektir. 4.38. Güvenlik duvarı ürünlerine ait anlık ortalama CPU, oturum sayısı, toplam trafik gibi değerler görüntülenebilmelidir. 4.39. GUI veya web tabanlı kullanıcı arabirimi aracılığı ile sadece izin verilen İP adreslerinden yönetim işlemleri yapabilecektir. 4.40. Farklı yöneticilere farklı erişim hakları (tam yetki, yalnızca okuma, yalnızca izleme) verebilmelidir. 4.41. Yönetim modülü /sistemi üretilen loğları toplamalı, log izleme arabiriminde aynı anda birden fazla kriter için filtreleme yapılabilmelidir. 4.42. Yönetim modülü / sistemi loğlardan istatistiksel raporlar oluşturabilmeli, bu amaçla önceden tanımlanmış rapor formatları bulunmalıdır. Raporları manuel ve otomatik olarak üretebilmeli, e-posta ile gönderebilmelidir. 4.43. Güvenlik duvarı ürünlerinin atak önleme (İPS) özelliği bulunmalıdır. Bu özellik cihazla bütünleşik ek modüller ile sağlanabilecektir. 4.44. Güvenlik duvarı ürünlerinin atak önleme (IPS) performansı bütün koruma filtreleri devreye alındığında en az 5 Gbps olmalıdır. 4.45. IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza için ayrı ayrı ayarlanabilmelidir. 4.46. Teklif edilen cihaz botnet aktivitesini tespit edip raporlayabilmelidir. 4.47. IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı müdahalesi olmadan otomatik olarak da yapılabilmelidir 4.48. Önerilecek IPS fonksiyonunda saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen, bu sayede 0-gün saldırılarına engel olan Protokol Anormallik Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır. IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir; Backdoors Botnets Denial of Service (DoS) Distributed Denial of Service (DDoS) Anlık mesajlaşma (MSN, ICQ vb.) İşletim sistemlerine dönük saldırılar Peer-to-peer (Emule, Edonkey vb.) Protocol tunneling Traffic Anomaly Protocol Anomaly 4.49. FCC Class A, EAL3 uyumluluğu olacak veya uyumlu hale gelecektir (evaluation sürecinde olmalıdır). 4.50. Üretici, Gartner magic quadrant raporlarında yer almalıdır. Sayfa 6
5. İŞİN SÜRESİ Bu işin süresi firma ile imzalanacak sözleşmenin imza tarihinden itibaren 75jaj ^jjû}, günüdür. 6. ÖDEMELER ö.l.alınacak ürün ve hizmete dair ödeme, işin tamamlanmasından itibaren 30 gün içinde tek kalemde yapılacaktır. 7. DİĞER HUSUSLAR 7.1.Kurulumu yapılacak ürünleri çalışacağı konumlar gizlilik değeri taşıyor olmasından dolayı, işin başında bir "Gizlilik Sözleşmesi" imzalanacaktır. Bu gizlilik sözleşmesi kesin bağlayıcıdır ve ihlali durumunda ana sözleşme tek taraflı olarak derhal feshedilecek ve yasal süreç başlatılacaktır. 7.2.Sözleşmenin değiştirilmesi, aksi belirtilmedikçe, mutlaka taraf yetkililerinin karşılıklı imzalarını taşıyan ek sözleşme ile yapılır. Böyle bir ek sözleşme olmadan hiçbir faks metni, söz ve yazışma, sözleşmenin değiştirildiği anlamında yorumlanamaz. 8. SERVİS VE GARANTİ 8.1. Ürünler, idarenin belirleyeceği koşullarda, çalışır vaziyette, talep edilen konfıgürasyonu tamamlanmış olarak teslim edilecektir. 8.2. Garanti süresince, üretici firmanın Teknik Yardım Merkezine 7x24 erişim hakkı sağlanmalıdır. 8.3. Ürünler en az 3 yıl garantili olmalıdır. Tüm lisanslamalar en az bu süreyi kapsayacak şekilde temin edilmelidir. 8.4. Üreticinin portalı üzerinde yer alan ağ teknolojileri bilgi bankasına ses, video veya data ayırmaksızın geniş erişim hakkı sağlanmalıdır. 8.5. Garanti süresince, ücretsiz İşletim Sistemi güncellemeleri ve yükseltmeleri olmalıdır. 8.6. Tedarik edilen ürünlerin, kurum adına üretici firma teknik destek servisine kayıt ettirildiğine dair yazılı belge, ürünlerin teslim edilmesiyle birlikte, üretici firmadan alınıp kuruma teslim edilmelidir. 8.7. Yüklenici garanti süresi içerisindeki bakım-onarım hizmetlerini ücretsiz olarak sürdürecektir. 8.8. Yüklenici, teknik destek hizmetinin kimin tarafından verileceğini sözleşme aşamasında yazılı olarak idareye bildirecektir. Sayfa 7 / r ı
8.9. Malzeme, işçilik ve Yüklenici'nin diğer kusurlarından kaynaklanan arıza veya yetersizliği giderme ile ilgili masraflar (nakliye, sigorta, mal bedeli, vb. dahil) Yükleniciye ait olacaktır. 8.10. Yüklenici Firma, garanti süresi boyunca kuruma en az ertesi iş günü (8x5 Next Business Day) parça temini koşullarında servis hizmeti sağlamalıdır. 8.11. Yüklenici firma alınacak cihazlarla ilgili olarak İdare'nin belirleyeceği 4 personele 40 saatlik eğitim sağlayacaktır. Eğitim, sözleşmenin imzalanması ile ürünün muayene ve kabulü arasında, firmanın anlaşmalı olduğu yetkili eğitim merkezlerince verilecektir. Eğitime katılacak tüm personele eğitime ait dokümanlar sağlanmalıdır. / Sefer Alper KOÇ Ağ Yönetim Uzmanı Yılmaz BERKTAŞ Mühendis Mühendis Sayfa 8