„ZVÝŠENÍ KYBERNETICKÉ BEZPEČNOSTI VE FN BRNO“
Veřejná zakázka na dodávky
zadávaná v otevřeném řízení podle ustanovení § 3 písmeno b), § 14 odstavec (1), § 15 odstavec (1) a (2), § 25,
§ 56 souvisejících zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění platném ke dni zahájení tohoto zadávacího řízení (dále rovněž jen „Zákon“) s názvem:
„ZVÝŠENÍ KYBERNETICKÉ BEZPEČNOSTI VE FN BRNO“
ve vztahu k Zákonu se jedná o veřejnou zakázku nadlimitní NADLIMITNÍ REŽIM
OTEVŘENÉ ŘÍZENÍ
Veřejná zakázka bude realizována na základě podpory projektu s názvem „Zvýšení kybernetické bezpečnosti ve FN Brno“, registrační číslo projektu č. CZ.06.3.05/0.0/0.0/15_011/0006912 v rámci Integrovaného regionálního operačního programu, prioritní osy 3, specifického cíle 3.2, výzvy č. 10 – „Kybernetická bezpečnost“ a bude spolufinancována z prostředků EU v rámci lROP.
TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ
XXXXXXX
V Brně dne 2. dubna 2019
1. Analytické práce v oblasti bezpečnosti
Uchazeč zpracuje Analýzu rizik, která bude zahrnovat revizi dosud identifikovaných a identifikaci nových aktiv, hrozeb a zranitelností, z nichž bude určena míra bezpečnostních rizik, a na jejich základě budou doporučena vhodná bezpečnostní opatření. Analýza rizik bude realizována nejen v rozsahu identifikovaných a nahlášených informačních systémů základních služeb (ISZS), ale v rámci celého informačního systému FN Brno, a to vzhledem k návaznostem ISZS a celkovou efektivitu řešení. Součástí zakázky je vytvoření nebo aktualizace obsahu bezpečnostní dokumentace tak, aby byla v souladu s požadavky zákona č. 181/2014 Zákon o kybernetické bezpečnosti (ZoKB), vyhlášky č. 316/2014(VyKB) a souvisejících dokumentů a zároveň umožnila přípravu na certifikaci ISO 27000.
Dodavatel v prostředí zadavatele naimplementuje Systém managementu bezpečnosti informací (dále jen ISMS). Dodavatel se zavazuje, že implementovaný systém bude připraven na získání certifikace dle ISO 27001.
Zadavatel požaduje provedení implementačních kroků v následujícím rozsahu:
Implementační požadavky ISMS |
Analýza rizik a jejich dokumentace |
Ustanovení, definice a zdokumentování systému ISMS |
Implementace vybraných opatření |
Příprava na certifikaci |
Proces certifikace |
Analýza rizik a jejich dokumentace
Dodavatel realizuje analýzu rizik v rozsahu a dle požadavků ISO/IEC 27001. Dodavatel provedená analýza rizik bude rozdělena dle následující struktury:
- Identifikace a hodnocení aktiv
- Identifikace a hodnocení hrozeb
- Identifikace a hodnocení zranitelností
- Stanovení hodnoty rizika pro jednotlivá aktiva
Požadavek | Splnění (ano/ne) |
Dodavatel se zavazuje, že provedená analýza rizik bude založena na principech norem ISO/IEC 27001, ISO/IEC 27005 a ISO/IEC 31000 a bude v souladu s požadavky zákona č. 181/2014 Zákon o kybernetické bezpečnosti (ZoKB), vyhlášky č. 316/2014 Vyhláška o kybernetické bezpečnosti (VyKB) | |
Dodavatel se zavazuje ohodnotit aktiva z hlediska jejich důvěrnosti, dostupnosti a integrity. | |
Dodavatel se zavazuje na identifikovaná rizika vytvořit plán zvládání rizik, který bude obsahovat podrobný plán zavádění opatření do prostředí zadavatele. |
Ustanovení, definice a zdokumentování systému ISMS
Dodavatel vypracuje pro podmínky zadavatele dokumentaci, která bude specifikovat a definovat systém ISMS zadavatele a bude připravena pro certifikaci dle normy ISO/IEC 27001.
Dodavatel zpracuje dokumentaci v následujícím rozsahu:
Požadavek | Splňuje (ano/ne) |
Politika bezpečnosti informací | |
Organizace bezpečnosti práce | |
Bezpečnost lidských zdrojů | |
Řízení aktiv | |
Řízení přístupu | |
Kryptografie | |
Fyzická bezpečnsot a bezpečnsot prostředí | |
Bezpečnost provozu | |
Bezpečnost komunikací | |
Akvizice, vývoj a údržba systému | |
Vztahy s dodavateli | |
Řízení incident bezpečnosti informací | |
Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací (Hvavrijní plan a plan obnovy | |
Souhlas s požadavky | |
Prohlášení o aplikovatelnosti | |
Bezpečnostní příručka pro uživatele | |
Bezpčenostní příručka pro administrátora | |
Formuláře pro vedení nezbytných evidence a záznamů (registry bezpečnostních incident, registry neshod, registry rizik apod. | |
Dokumenty a postupy pro řízení ISMS (řízení dokumentů a záznamů, provádění interních auditů, řízení náprvných a preventivních opatření, řezení neshod, pravidla pro přezkoumání systému) | |
Další dokumenty a postupy nezbytné pro efektivní fungování a certifikování systému ISMS |
Implementace vybraných opatření
Požadavek | Splňuje (ano/ne) |
Dodavatel se zavazuje realizovat bezpečnostní školení uživatelů v rozsahu 5 člověkodní pro vybrané osoby a v souladu s požadavky § 9 VKB. | |
Dodavatelem realizované školení bude provedeno lektorem, který je pro tuto činnost dostatečně kompetentní. Tuto kompetenci doloží dodavatel referencí z realizovaných školení. | |
Dodavatel se v rámci implementace vybraných opatření zavazuje, poskytnout zadavateli konzultace při jejich zavádění (např. v podobě konzultace konfigurace a nastavení systému, změny v infrastruktuře, konzultace při výběru nových technických řešení apod. | |
Jako jedno z nutných opatření bude implementace klasifikace informaci. Požadujeme implementovat SW pro klasifikaci informací formou doplňku pro |
aplikace MS Office, který jednoduchou formou umožní doplnit klasifikaci do dokumentu. |
Požadavky na poptávaný SW, který umožní realizovat směrnici o klasifikaci informací organizace:
Požadavek | Splňuje (ano/ne) |
Požadujeme doplněk do všech aplikací sw Office včetně poštovních kientů. | |
Možnost konfigurace tříd klasifikace dle interní dokumentace. | |
Vkládání viditelné značky do dokumentu a současné uložení klasifikačních informací do metadat souboru. | |
Možnosti nastavení formátu klasifikační značky (velikost, font, umístění, barva apod.). | |
Vynucování klasifikace (uživatel nemůže dokument uložit bez klasifikace). | |
Manuální i automatická klasifikace dle obsahu. | |
Možnosti efektivní a snadné klasifikace již existujících dokumentů. | |
Vynucení ochrany klasifikovaných informací. SW musí umět spolupracovat s případným SW na ochranu informací (DLP řešení, šifrovací nástroje, RMS apod.). | |
Reportovací nástroje. | |
Integrace s Windows Explorer a kontextovým menu. | |
Logování klasifikace včetně informací o uživateli, který klasifikaci provedl. Možnost napojení na SIEM řešení nebo centrální logování. | |
Integrace s AD. |
V rámci nasazení produktu pro klasifikaci informací požadujeme nasazení v následujícím rozsahu:
Požadavek | Splňuje (ano/ne) |
Analýza prostředí a návrh nasazení. | |
Dodávka licencí SW pro kasifikaci informací pro klasifikaci dat pro celkově 8000 stanic. | |
Instalace v testovacím prostředí pro pilotní provoz. | |
Školení administrátorů a obsluhy. | |
Dodávka dokumentace | |
Podpora plošného nasazení. | |
Servisní podpora v českém jazyce v rámci pilotního provozu i v produkci. | |
Integrace s navazujícími systémy (SIEM/centrální logování, DLP atd.). |
Příprava na certifikaci
Dodavatel se zavazuje realizovat v prostředí zadavatele systémový (interní) audit.
Dodavatel zpracuje auditní zprávu z interního auditu, která bude sloužit certifikační autoritě jako jeden z podkladů.
Proces certifikace
Dodavatel se zavazuje být přítomen v průběhu certifikačního auditu zadavatele a poskytnou maximální možnou součinnost zadavateli.
Dodavatel se zavazuje poskytnout následnou pomoct při odstraňování případných neshod z certifikačního auditu.
Návrh bezpečnostních politik pro BYOD a mobilní zařízení
Požadavek | Splňuje (ano/ne) |
Dodavatel vytvoří politiku pro mobilní zařízení. Tato politika musí být v souladu s interními politikami, směrnicemi a nařízeními. | |
Dodavatel v rámci politiky definuje: o Typy zadavatelem používaných mobilních prostředků, včetně speciálních mobilních zařízení, pro které bude platit zvláštní režim používání o Kategorie vlastnictví mobilních prostředků o Práci s mobilními prostředky o Práce se speciální kategorií mobilních zařízení o Ochranu dat na mobilních prostředcích o Zálohování mobilních zařízení o Vzdálený přístup a zabezpečení vzdáleného přístupu | |
Dodavatel jako součást politiky mobilních zařízení definuje pravidla a povinnosti pro případ použití vlastního zařízení pro pracovní účely (dále jen BYOD). | |
Dodavatel pro speciální kategorii mobilních prostředků definuje zabezpečení v podobě: o Geolokační politiky definující: ▪ povolený pohyb s daným zařízením ▪ implementace a monitorování geolokační politiky o Speciální politiky pro práci s tímto typem mobilních zařízení | |
Dodaným výstupem bude: textový editor ve formátu .doc/.pdf, ve kterém bude definována politika mobilních zařízení obsahující výše uvedené. | |
Dodavatel se zavazuje, že veškeré navržené politiky budou použitelné při implementaci technologických řešení pro správu mobilních zařízení. |
Definice procesů podpory podle ITIL (a service desk – při zadani na externí dodavatele)
Požadavek | Splňuje (ano/ne) |
Dodavatel vytvoří politiku pro systém managementu služeb. Tato politika musí být v souladu s interními politikami, směrnicemi a nařízeními. | |
Dodavatel danou politiku vytvoří tak, aby byla v souladu zejména s: o ISO/IEC 20000 – Management služeb o ISO/IEC 9001 – Systémy managementu kvality o ITIL | |
Dodavatel danou politiku zpracuje minimálně v rozsahu: |
o Pochopení a naplňování požadavků na služby pro dosažení spokojenosti zákazníků o Ustanovení politiky a cílů pro management služeb o Návrh a dodávka služeb založených na systému managementu služeb přinášejících přidanou hodnotu pro zákazníka o Monitorování, měření a přezkoumání výkonnosti systému managementu služeb o Neustálé zlepšování systému managementu služeb na základě objektivních měření | |
Dodaným výstupem bude: textový editor ve formátu .doc/.pdf, ve kterém bude definována politika systému managementu služeb obsahující výše uvedené. |
Tvorba procesu pro řízení bezpečnostních incidentů
Dodavatel vytvoří na proces pro řízení bezpečnostních incidentů dle potřeb a pro podmínky zadavatele. Proces řízení incidentů poskytne obecný postup řešení bezpečnostních incidentů. Tento proces bude následně dodržován v jednotlivých příručkách pro řešení incidentů.
Požadavek | Splnění (ano/ne) |
Dodavatel garantuje soulad procesu s mezinárodními standardy pro danou oblast. Zejména se standardy: o ISO/IEC 27035 o ITIL o NIST o OWASP o a doporučeními organizace SANS | |
Dodavatel garantuje, že jím vytvořený proces bude v souladu s interními politikami, směrnicemi a nařízeními, které se na tuto oblast váží. | |
Dodavatel v rámci tvorby procesu identifikuje slabá místa, která by mohla funkčnost procesu řízení bezpečnostních incidentů ohrozit. Dodavatel zejména posoudí: o Smluvní vztahy organizace se třetími stranami, které by mohly mít vliv na funkčnost procesu řízení bezpečnostních incidentů. Zejména dodavatel posoudí smluvně definované reakční časy uvedené v jednotlivých smlouvách. o Vazby mezi jednotlivými odděleními zadavatele s ohledem na reakční kroky procesu řízení bezpečnosti incidentů. | |
V případě identifikace slabých míst dodavatel vytvoří návrh vedoucí k optimalizaci a zefektivnění procesu řízení bezpečnostních incidentů. | |
Dodavatel pro proces řízení bezpečnostních incidentů vytvoří v souladu kategorie bezpečnostních událostí a incidentů, na základě, kterých bude stanovena kritičnost jednotlivých incidentů. | |
Dodavatel vytvoří metriky pro klasifikaci bezpečnostních incidentů a tyto metriky naimplementuje do SIEM řešení | |
Dodavatel v kooperaci se zadavatelem navrhne podobu dohody o úrovni poskytování služeb (dále jen SLA) pro jednotlivé zadavateli poskytované služby. SLA budou stanoveny na úrovni kategorií bezpečnostních incidentů. |
Dodavatel v kooperaci se zadavatelem navrhne podobu dohody o úrovni provozních služeb (dále jen OLA), která bude v souladu se stanovenými SLA. | |
Dodavatel v kooperaci se zadavatelem navrhne podobu dohody o úrovni provozních služeb (dále jen OLA), která bude v souladu se stanovenými SLA. | |
Dodavatel v kooperaci se zadavatelem navrhne podobu podpůrných smluv (dále jen UC) pro jednotlivé externí dodavatele služeb, která rovněž bude obsahovat dohodu o dodávkách. | |
Dodavatel v kooperaci se zadavatelem vytvoří metriky pro hodnocení kvality dodávané služby. Tyto metriky pak dodavatel implementuje do příslušného řešení (SIEM případně Service Desk). | |
Dodavatel se zavazuje vytvořit proces pro obohacování analýzy rizik pro případ identifikace rizika plynoucího z poskytování služeb. | |
Dodavatel proces pro obohacování analýzy rizik zautomatizuje prostřednictvím nástroje pro správu a vyhodnocení rizik, dle specifikací uvedených dále v textu. | |
Dodavatel jako součást procesu řízení bezpečnostních incidentů navrhne komunikační proces. Dodavatel jako součást tohoto procesu vytvoří: o komunikační matice obsahující veškeré potřebné informace o jednotlivých členech, kteří jsou do procesu řízení bezpečnostních incidentů zainteresováni; o eskalační proces, ve kterém budou stanoveny přesné kroky, jak v případě eskalace postupovat, včetně časových intervalů, kdy k eskalacím musí dojít; o podobu a obsah reportů pro jednotlivé úrovně managementu. | |
Dodavatel garantuje funkčnost veškerých navržených procesů. | |
Dodavatel vytvoří na implementované Use case uživatelské příručky k řešení daných incidentů (dále jen příručky nebo také guidelines). Tyto příručky budou v souladu s vytvořený procesem řízení bezpečnostních incidentů a politiky, směrnice a nařízení zadavatele. Dodavatel se zavazuje zpracovat guidelines v rozsahu: o Na každý vytvořený Use case bude existovat jedna příručka popisující jeho řešení. o Guidelines budou respektovat a dodržovat vytvoření proces pro řízení bezpečnostních incidentů a všechny jeho pod části. o Dodavatel vytvořené guidelines importuje do databáze (Service Desk), kde k těmto guidelines budou přistupovat jednotlivý operátoři. o Dodavatel vytvoří obecnou strukturu guidelines (šablonu), která bude obecně aplikovatelná na veškeré dále vznikající. o Dodavatel pro jednotlivé guidelines vytvoří identifikátory, které budou stanovovat situace, kdy je nezbytná komunikace s 3. stranami (např. ÚOOÚ, NBÚ, apod.) | |
Dodaným výstupem bude: textový editor ve formátu .doc/.pdf, ve kterém budou popsány veškeré výše uvedené body jako samostatné kapitoly. |
2. Rozšíření kamerového systému FNB
Za účelem pokrytí některých „slepých“ míst v areálu a v interiérech FNB dojde k rozšíření stávajícího kamerového systému celkem o 31 kamer. Rozšíření IP kamerového systému o kamery s vysokým rozlišením a integrovanou logikou bezpečnostních funkcí. Budou instalovány kamery s vysokou citlivostí na zbytkové světlo, kombinované s technologiemi přísvitu. Budou instalovány výhradně HDR kamery s integrovanou zvýšenou odolností proti oslepení a detekcí poruchy, útoku nebo sabotáže na kameru. Podle uspořádání chráněného prostoru a směrů budou instalovány kamery s pevným nebo vzdáleně proměnným ohniskem. Kamery budou připojeny na centrální správu a centrální úložiště záznamů. Součástí kamerového systému bude vybavení pro centrální správu kamer, záznamu a analýzy obrazu. Kamery a centrální systém budou podporovat detekci a alertování definovaných událostí. Klíčovou rolí systému bude monitoring pohybu osob na určených komunikačních trasách a vstupech do budov nebo jejich částí, ve kterých jsou umístěna datová centra nemocnice a klíčové prvky informační infrastruktury.
Seznam poptávaných kamer:
Poř.č. | Pavilon | Podlaží | Umístění | Směřování | Popis | Podrobnosti |
1 | X | 0.XX | Střecha | Otočná kamera (výměna za statickou) | X Parkoviště | |
2 | X | 0.XX | Vstupní vestibul | Západ | Statická | Hlavní vstup do pavilonu + vstup lékárna |
3 | X | 0.XX | Střecha | Západ | Statická | prostor před pav X (širokoúhlá) |
4 | I2 | 1.PP | Podhled | Otočná | Rampa TO směr LT - prostor u objektu I2 | |
5 | Spojovací lávka mezi FNB a MU | 0.XX | Podhled | Západ | Statická | Prostor před pav I1 a parkoviště I - Přesunutí kamery z pav. X (X- Parkoviště) |
6 | Spojovací lávka mezi FNB a MU | 0.XX | Podhled | Východ | Statická | Prostor před pav CH, příjezdová komunikace pro RZS Přesunutí kamery z pav. CH (CH-Parkoviště) |
7 | L | 0.XX | Podhled | Jih | Statická | Prostor u kavárny směrem k tiskovému odboru |
8 | L | 0.XX | Podhled | Otočná | Prostor u bufetu, právního, ředitelství | |
9 | L | 0.XX | Podhled | Jih | Statická | parkoviště ZTP |
10 | L | 0.XX | Podhled | Statická | Celkový pohled v Hale u informací | |
11 | L | 00.XX | balkon | Jih | Otočná | Jižní prostor ojek. 16 |
12 | CH | 0.XX | Podhled | Otočná | prostor hala před popáleninami. | |
13 | S | 0.XX | Západ | Statická | Prostor parkoviště CH | |
14 | Z | 0.XX | Střecha | Otočná | prostor mezi pav Z+ CH a O Křižovatka | |
15 | Z | 5. - 0.XX | Stěna | Statická | Parkoviště pro návštěvy a pacienty u pav. Z | |
16 | T | 0.XX | Stěna | Západ | Statická | prostor plot mezi FNB a MU |
17 | H1 | 0.XX | Stěna | Jih | Statická | směr jih prostor kolem objektu H |
18 | H1 | 0.XX | Podhled | Statická | Prostor garáže, směr garážové vrata a vstup do "0" skladu | |
19 | H2 | 0.XX | Podhled | Statická | Spisovna | |
20 | H2 | 0.XX | Stěna | Jih | Statická | směr jih prostor kolem objektu H + kyslík |
21 | Stará vr. Hospodářská | 0.XX | Stěna | Východ | Statická | prostor plotu mezi FNB a ZZS |
22 | Zeď Kriminál | Stěna | Otočná | prostor u Zahrady | ||
23 | K1 | 0.XX | Stěna | Sever | Statická | prostor u objektu K1 směr k ZZS |
24 | K1 | 0.XX | Střecha | Otočná | prostor parkoviště O | |
25 | K3 | 0.XX | Stěna | Východ | Statická | Prostor mezi objekty K3, E a D |
26 | F | 0.XX | Střecha | Otočná kamera (NOVÁ) | prostor za pav. F a E. Prostor před pav Q, N a P Prostor ke kotelně | |
27 | Q | 0.XX | Stěna | Západ | Statická | prostor mezi objekty Q, F a D |
28 | P | 0.XX | Stěna | Jih | Statická | prostor kolem plotu směr ulice Jihlavská |
29 | Sloup | Sloup | Otočná | Komunikace od pav. E k Vrátnici jihlavská | ||
30 | Vrátnice Jihlavská | Střecha | Východ | Statická | Prostor na vjezdu | |
31 | Lékárna Jihlavská | 0.XX | Stěna | Východ | Statická | komunikace k objektu R |
32 | K1 | Statická | Změna natočení kamery: Nové natočení směr ke plotu s ulicí Kamenice |
Součástí dodávky rozšíření kamerového systému budou související práce:
Požadavek | Splňuje (ano/ne) |
Úprava mapových podkladů pro integraci | |
Zakreslení a integrace kamer do grafické nadsvby LATIS | |
Oživení CCTV | |
Programování CCTV | |
Pomocné práce | |
Koordinace s investorem | |
Autorský dozor | |
Drobný instalační materiál | |
Realizační projektová dokumentace | |
Projektová dokumentace skutečného provedení | |
Lešení, plošiny pro práce na rozvodech | |
Dopravní náklady | |
Výchozí revize | |
Záruka na komplexní dodávku v době 24 měsíců. |
3. Rozšiření optických rozvodů
V příloze 03a Technická SPC předmětu - přiloha optika.xlsx ZD jsou pro projekt zpracovány optické rozvody k access DR, kde je nutné nahradit stávající MM trasy novými SM trasami. Nové SM trasy jsou vedeny z distribution DR do access DR. Komplikovanější realizace (výkopové práce, průchod přes budovy, protipožární ucpávky apod.) bude v PMDV z distribution D00. V projektu musí být zahrnuty i potřebné realizační práce, materiály a služby – stavební a montážní dohled, chráničky, příchytky, HDPE trubky, záslepky, štítky, měření, multikanály, dokumentace apod. Optická SM vlákna musí být ZAVAŘENA, ne lepena a vždy doložen měřící protokol! V některých DR je již problém s umístěním nové optické vany a je nutné uvažovat o přestavbě RACKu i technologie LAN. Je nutná odborná obhlídka všech dotčených míst uchazeči v rámci obhlídky místa plnění v průběhu veřejné zakázky a výsledkem musí být nabídka a realizace bezpečného a plně funkčního celku s vysokou dostupností potvrzený akceptačním protokolem jako výsledek testovacího provozu dodaného řešení.
4. Upgrade firmware telefonní ústředny
Fakultní nemocnice Brno využívá pro zajištění telefonního provozu síť moderních telefonních digitálních ústředen Alcatel Lucent řady OmniPCX Enterprise. Stávající konfigurace zahrnuje tři hlavní samostatné jednotky instalované v areálu Bohunice – Jihlavská 20, Dětská nemocnice – Černopolní 9 a Porodnice – Obilní trh 11 o celkové kapacitě cca 3800 vnitřních linek.
Veškeré požadované sw nástroje musí být pro zajištění ochrany stávajících investic 100% kompatibilní s již provazovanými systémy.
A. Rozšíření telefonní ústředny o nahrávací zařízení umožňující záznam externích i interních hovorů
Celý systém, tedy server se záznamovým SW a záznamy vlastní bude realizován na virtuální platformě zadavatele. Systém musí umožňovat export nahrávek v některém standardním audio formátu např. mp3, wav.
Veškeré přístupy k nahrávkám (čtení, kopírování, mazání, editace, …) musí být logované.
Součástí řešení musí být podpůrný SW umožňující na principu komunikace klient server přístup k nahrávkám. Aplikace komunikující se serverem používá šifrovanou komunikaci. Tento SW bude rovněž umožňovat správu uživatelských práv v úrovních min. Administrátor, Supervizor, User s určením práv pro tyto role (administrace systému, poslech všech nahrávek, poslech nahrávek definovaných linek).
Server bude umožňovat konfiguraci a správu nahrávek ve smyslu určení expirační doby, po které dojde buď k vymazání, nebo záloze záznamů, aj.
Minimální kapacita paralelně nahrávaných linek je 60 proprietárních systémových IP telefonů kompatibilních s pobočkovou ústřednou Alcatel OmniPCX Enterprise pro areál Bohunice a 30 proprietárních systémových IP telefonů pro areál Dětské nemocnice.
Lokalita Bohunice
• SW nahrávací server pro 60 paralelně nahrávaných linek, včetně logovacího modulu.
• Instalace, implementace, zaškolení Lokalita Dětská nemocnice
• SW nahrávací server pro 30 paralelně nahrávaných linek, včetně logovacího modulu.
• Instalace, implementace, zaškolení
B. Upgrade SW telefonní ústředny Centrálního Velína a tím sjednocení SW ústředen FNB na jednotnou poslední vydanou verzi
Z důvodu garance maximální spolehlivosti síťového řešení telefonních ústředen Fakultní nemocnice Brno platformy Alcatel Lucent, je nutné z důvodů kompatibility zajistit sjednocení SW verze všech digitálních ústředen na poslední SW verzi vydanou výrobcem. Tuto podmínku nyní nesplňuje dedikovaná ústředna Centrálního Velína FNB. Vzhledem k tomu, že se jedná o stávající ústřednu, není možné toto realizovat jinak, než je dáno specifikací níže:
Popis | PN | ks |
User software licenses (CC40) | ||
OmniPCX Enterprise major software upgrade - 1 user | 3BA09835JA | 50 |
Alcatel-Lucent OmniPCX Enterprise R12.1 software license | 3BA09959JA | 1 |
Software Support Services (NN02) | ||
ENTERPRISE SPS restart 1 year | 3EY10002TA | 1 |
Montáž, naprogramování, zaškolení obsluhy | 1 |
C. Nová telefonní ústředna FNB Netroufalky
Stávající ústředna nezapadá do konceptu telefonní sítě FNB, vzhledem ke svému stáří je nespolehlivá, dochází k výpadkům, neumožňuje dálkovou správu, monitoring, správu tarifních dat a nelze ji příčkou spojit s ostatními ústřednami zadavatele. Vzhledem k plánovanému dalšímu využití objektu je požadována instalace nové digitální telefonní ústředny začleněné do síťového konceptu telekomunikační sítě nemocnice a 100% kompatibilní s ostatními ústřednami zadavatele, tedy Alcatel Lucent řady OmniPCX Enterprise.
Požadovaná kapacita je 16 digitálních portů, 48 analogových portů, 30 IP licencí, 8 systémových telefonů, záložní baterie.
Součástí dodávky musí být také:
• Montáž, naprogramování, zaškolení obsluhy, doprava.
• RACK, Patch panel, patch cord, organizer
D. Výměna záložních baterií hlavních ústředen Fakultní nemocnice Brno
Telefonní ústředny jsou z pohledu napájení připojeny do elektrické sítě Fakultní nemocnice Brno na okruhy zálohované dieselagregáty. Pro garanci funkčnosti telefonních ústředen v době výpadku napájení je nutné zajistit záložní zdroj (baterie) k překlenutí náběhu diesel agregátu. Baterie je nutné dle doporučení výrobce telefonních ústředen měnit v cyklu 5 let. Baterie byly dodány v r 2014, nutná výměna nejpozději v roce 2019.
• Hlavní lokalita: 4 x baterie FWL 12-12
• Vedlejší lokality: 8 x baterie CT12-24
• Práce, doprava, drobný materiál
E. Rozšíření telefonní ústředny PMDV o 100 IP licencí k zajištění záznamu hovorů linek, viz bod A
Pro pracoviště poskytující ve Fakultní nemocnici Brno specializovanou péči (pracoviště urgentního příjmu, diagnosticko terapeutické centrum apod.), dále pro pracoviště interního helpdesku aj. je nutné zajistit, za účelem zajištění kvality poskytovaných služeb, garance dostupnosti atd., robustní spolehlivý systém nahrávek vnějších i vnitřních telefonických hovorů realizovaných stávající pobočkovou digitální telefonní ústřednou Alcatel OmniPCX Enterprise.
Viz bod A, je poptáván záznamový systém IP vnitřních linek. K zajištění dostatečné kapacity je nutné doplnění IP licencí pro ústřednu areálu Bohunice.
Je požadováno 100 IP licencí vč. nezbytného navýšení výkonu ústředny a navýšení licencí administrativního SW OmniVista 8770 Unified Management. Požadavoané licence a služby spojené s jejich dodávkou:
Popis | PN | ks |
OmniPCX Enterprise Crystal hardware (AA15) | ||
VoIP access board INT-IP3 board including one 10/100/1000 BT connecting card | 3BA00759AA | 1 |
Applications (CC11) | ||
ABC Network service software license (including ARS, H323, ABC CDR) - 1 user | 3BA09840JA | 43 |
User software licenses (CC40) | ||
IP Premium license - 1 user | 3BA09846JA | 100 |
OmniPCX Enterprise High Availability – 1 Business Telephony user license | 3BA09912JA | 100 |
OmniVista 8770 Unified Management - User license | 3BA09923JA | 100 |
Software Support Services (NN02) | ||
OmniPCX Enterprise SPS (Solution Premier Service) | 3EY10002SA | 1 |
Montáž, naprogramování, doprava | 1 |
5. Rozšíření stávající infrastruktury
Rozšíření stávajících serverů o HDD
Upgrade stávajících serverů o 100% kompatibilní disky a řadiče pro dosažení redundance ukládaných dat. Rozšíření 12 ks stávajících serverů Fujitsu RX2540 o následující hardware pro rozšíření již provozovaného systému Software – Defined – Storage VMware vSAN. Z důvodů kompatibility řešení s již provozovanou technologií vSAN požaduje zadavatel přesně uvedené P/N. Uvedená zařízení musí být nová, nepoužitá a určená pro český trh, z důvodu udržení celkové záruky na servery.
Ks | SKU | Popis |
24 | S26361-F5608-L800 | SSD SAS 12G 800GB Write-Int. 2.5" H-P EP |
48 | S26361-F5588-L192 | SSD SATA 6G 1.92TB Mixed-Use 2.5' H-P EP |
12 | S26361-F3842-L502 | PSAS CP400i FH/LP |
HW pro zálohy
Navýšení kapacity stávajícího diskového pole Netapp FAS8020 určeného pro zálohy o 50TB čisté kapacity. Kapacita jednotlivých HDD je požadována stejná jako stávajících disků 4TB, NL-SAS, 7.2k/min otáček. Předpokládá se dodávka disků včetně nových diskových polic – stávající police jsou plně osazené disky. Dodané disky a shelfy musí být nové, originální přímo od výrobce diskového pole, nepoužité a určené pro český trh.
Požadovaná záruka je min. 60 měsíců, 4hr on-site replacement.
Upgrade a rozšíření diskové kapacity primárního datového úložiště
Předmětem této zakázky je návrh, dodávka, instalace a zprovoznění řešení pro ukládání dat Zadavatel požaduje
- Zabezpečení dostupnosti provozních data a aplikací provozem ve dvou vzdálených lokalitách
- Požadovaná záruka je 60 měsíců
Obecný popis požadovaného řešení
Předmětem návrhu je upgrade a rozšíření stávajícího řešení pro ukládání dat v páteřní IT infrastruktuře s ohledem na již existující datová úložiště zadavatele. Součástí navrhovaného řešení bude zajištění vysoké dostupnosti dat uložených v primárních úložištích, odolnosti systému proti haváriím a to nejen v jedné lokalitě, ale i výpadku celé lokality. Jakýkoliv takový výpadek musí být pro připojené hosty (aplikace) plně transparentní a
to i v případě výpadku celé lokality. Výsledné řešení musí splňovat aktuální výkonnostní a funkční požadavky, ale musí také počítat s rezervou pro pokrytí předpokládaného růstu požadavků na interní IT v budoucnu cca 5 let.
Účelem realizace zakázky je upgrade a rozšíření primárních datových úložišť tak, aby byla zajištěná vysoká dostupnost dat, zvýšení výkonu a rozšíření diskové kapacity, a to s plnou podporou výrobce na další období. Jedním z nejdůležítějších požadavků je plná kompatibilita se stávajícím prostředím, se kterým bude integrováno a musí také maximálně využít komponenty současného řešení, tam kde je to vhodné a ekonomicky výhodné. Jedná se tedy o využití stávajících diskových shelfů, disků a dalších vhodných komponent. Komponenty stávajícího úložiště, které nebudou použity v nové konfiguraci primárního úložiště bude zadavatel používat jako vývojové/testovací úložiště. Z toho také vyplývá požadavek funkcionality vzdálené replikace mezi upgradovaných úložištěm a úložištěm původním.
Zadavatel požaduje upgrade stávajícího řešení následovně
Požadavek | Splňuje (ano/ne) |
Upgrade stávajících kontrolérů na nové, výkonnější. | |
Zachování MetroCluster řešení jako vysoce dostupného řešení s RPO (Recovery Point Objective) nula a RTO (Recovery Time Objective) maximálně několik minut. | |
Minimální požadované parametry pro nové kontroléry jsou specifikovány v následující části – technická příloha | |
Funkcionalita MetroClusteru musí být řešena přímo pomocí kontrolérů diskového úložiště, řešení pomocí virtualizačních nebo jiných externých appliancí není přípustné | |
Rozšíření kapacity o nasledujici shelfy s daným počtem disků. o 10x DS224C diskový shelf s 144x 1.2 SAS 10k RPM 2.5” HDDs o 2x DS4246 diskový shelf s 24x 4TB NL-SAS 7.2k RPM 3.5“ HDDs o 2x DS2224C diskový shelfy s 24x 960GB SSD o Zbylé volné sloty v shelfech budou využity na přesunutí disků ze stávajího úložiště | |
Další nezbytné komponenty pro fungování celého řešení (Bridge, SAN switche, atd.) | |
Týdenní zaškolení administrátora | |
4x Brocade G620 každý s 24x zalicencovanými porty 32Gbps včetně SFP+ modulů pro připojení hostů | |
včetně zapojení, instalace a konfigurace upgrade stávajícího řešení včetně případných migrací | |
Požadovaná záruka je 60 měsíců |
Popis komponent stávajícího řešení
Zadavatel v současnosti provozuje MetroCluster řešení od společnosti NetApp. Jedná se o 2-nodový MetroCluster, kde v každé lokalitě je jeden kontroler NetApp FAS8040.
Zadavatel předpokládá, tam kde je to smysluplné využít stávajících shelfů a/nebo disků v novém upgradovaném řešení. Zbytek stávajícího řešení (kontroléry a některé shelfy) bude provozováno jako vývojové/testovací úložiště.
Storage systémy zadavatele jsou připojeny k fyzickým i virtualizačním serverům prostřednictvím redundantní FC a iSCSI blokové SAN infrastruktury. Souborová data jsou zpřístupňována aplikacím a klientským pracovištím přímo souborovými systémy CIFS a NFS. Zadavatel také používá softwarovou funkcionalitu, která je u úložiště
k dispozici – jedná se o funkcionalitu MetroClusteru, asynchronní replikace, vytváření konzistentních aplikačních snapshotů (SnapManager). Minimálně stejná funkcionalita je také požadována pro upgradované úložiště. V rámci aktuálních potřeb na zvýšení kapacity a výkonu provozovaných storage systémů je nutné navrhnout a zprovoznit datové úložiště, které by odpovídalo dnešním i výhledovým kapacitním výkonovým i funkčním požadavkům (alespoň 5 let).
Požadované řešení musí akceptovat požadavek na využití doposud vložených investic a to formou začlenění komponent stávajícího storage systému.
Za tímto účelem v novém systému musí být minimáně volné pozice pro disky a SSD. Celkem 120 volných pozic pro 2,5’’ SAS
Celkem 44 volných pozic pro 3,5’’ disky Celkem 72 volných pozic pro 2,5’’ SSD disky
Dále do každé lokality musí být možno doplnit další diskové police a to minimálně jednu pro SSD disky a současně jednu pro SAS nebo NL-SAS disky bez nutnosti doplňovat jiné prvky infrastruktury např bridge nebo switche.
Dodaný upgrade primárního úložiště musí splňovat požadavek na maximální odolnost proti poruše a bez výpadkový provoz a to jak v rámci lokality, tak i v případě havárie celé lokality. Takovýmto řešením bude možné při zachování redundance a bez přerušení provozu poskytovat příslušné IT služby i za situace, že dojde k výpadku nodu či k odstavení nodu v případě údržby nebo upgradu a podobně. Diskové pole tedy musí být plně redundantní i v jedné z lokalit nezávisle.
Informace ke kompatibilitě
Veškeré poptávané plnění musí být kompatibilní a implementovatelné se stávající systémovou infrastrukturou a komponentami, které zadavatel požaduje zachovat. Součástí požadavků na kompatibilitu je dále minimálně zajištění provozu a plné fukncionality stávajících aplikací, operačních systému a hypervizorů.
Nové úložiště musí podporovat snapshot integraci s produktem Veeam Availability Suite verze 9.x a to včetně podpory replikace snapshotů na záložní pole Netapp FAS8020, které zákazník pro tyto účely používá.
Architektura
Upgradované diskové pole musí být modulární, minimálně dvouřadičové pole založené na 12Gbit SAS architektuře. Řešení musí být koncipováno jako HW, SW a FW 100% kompatibilní entita, s blokovým a souborovým přístupem k datům (FC, FCoE, iSCSI, NFS, CIFS současně). Řešení pomocí externích např. NAS „head“ není přípustné. Řešení musí minimálně splňovat stávající funkcionalitu NetApp MetroClusteru. Toto řešení musí poskytovat samotné kontrolery diskového pole (řešení pomocí externího zařízení není přípustné).
Řešení musí umožňovat rozšíření storage clusteru až na 4 nody (kontroléry) v každé lokalitě celkem tedy 8x kontrolér. Požadavkem je také to, aby případné další 2 a 2 kontroléry nemusely být stejného typu.
Parametry diskového úložiště
Požadavek | Splňuje (ano/ne) |
Diskové pole musí obsahovat minimálně dva diskové kontrolery, dostupné v režimu active-active with controller failover and multipath HA storage | |
Redundantní napájení pro každý modul včetně řídící jednotky | |
Min. 1024GB RAM, 72 CPU core per dvojice kontrolér | |
Rozšiřitelnost pole až na maximálně 1440 disků |
Možnost využití SSD jako dodatečnou cache až do velikosti 144TiB | |
Podpora RAID konfigurace odolné proti výpadku až 3 HDD současně | |
Podpora RAID konfigurace odolné proti výpadku až 3 HDD současně | |
Minimálně 20x IO expansion slotů per dvojici kontrolérů | |
Minimálně 4x10GbE Base-T portů v každém kontroleru pro komunikaci mezi clustery a replikaci dat na záložní pole | |
Minimálně 4x16Gbps FC porty v každém kontroléru pro připojení host serverů (frontend SAN switchů) | |
Minimálně 4x16Gbps FC porty v každém kontroléru pro připojení storage shelfů (backend SAN switchů). Backend SAN switche jsou nutnou součástí dodávky s dostatečným počtem portů pro připojení dodatečných nových FC/SAS bridgů a diskových polic. Minimálně požadujeme 24 licencovaných portů včetně 16Gbps SFP+ v každém SAN switchi. | |
Minimálně 2TB NVMe onboard Flasch Cache per dvojice kontrolérů rozšiřitelnou až na 16TB | |
Součásti dodávky také musí být veškeré další komponenty výše nezmíněné, ale nutné pro provoz řešení. Tedy veškeré další nutné IO karty, FC/SAS bridge a veškerá kabeláž pro připojení switchů a diskových polic. Dále je požadována veškerá napájecí kabeláž zakončená koncovkami do lišt v racku C14 |
Minimální podpora protokolů:
• FC, FCoE, iSCSI, NFS, pNFS, CIFS/SMB
Požadované (softwarové) funkcionality diskového řešení a licence zahrnuté v ceně celého řešení. Veškeré funkcionality musí být licencované na celkovou nabízenou kapacitu
Požadavek | Splňuje (ano/ne) |
Blokový přístup k datům FC, FcoE a iSCSI Komprese, deduplikace na veškerou nabízenou kapacitu | |
Licence na neomezené vytváření snapshotů | |
Thin Provisioning technologie včetně zero detect space reclamation: o Pro vytváření virtuálních disků s použitím Thin Provisioning technologie o Pro vytváření snapshotů s použitím Thin provisioning technologie | |
QoS (Quality of Service) | |
Remote Service (call home) | |
Microsoft VSS support | |
MetroCluster funkcionalita s RPO 0 a RTO v řádu několika minut – naprosto transparentní pro připojené hosty a aplikace, tato vlastonst je vyžadována jako nativní funkcionalita kontrolérů | |
Plná VAAI podpora (vStorage API for Array Integration) | |
Transparentní migrace dat mezi diskovými prostorz | |
Upgrade software a hardware u řadičů musí být proveditelné za chodu a bez ztráty přístupu hostitelských serverů k datům |
Řešení musí obsahovat licence na neomezený počet připojení hostitelských serverů a operačních systémů | |
Enkrypce pro celou dodávanou kapacitu | |
Podpora RAID konfigurace odolné proti výpadku až tří disků | |
Licence na neomezené vytváření snapshotů a klonů v následujících režimech: o snapshot se po určité době může automaticky stát klonem o incrementální snapshoty, tzn., kopírují se jen rozdílová data mezi dvěma okamžiky iniciace klonu o reverzní snapshoty - lze provést zpětné přesunutí dat z klonu do původního originalního Volume o snapshoty pouze pro čtení o lze udržovat až 4 inkrementálně pořizované klony z jednoho originálu (s možností reverzních snapshotů) o vytváření konzistentních snapshotů z databází a aplikací | |
Interní/externí zrcadlení logického (virtuálního) disku z jednoho zdroje do dvou cílů pro zvýšení dostupnosti v případě výpadku jednoho cíle |
Rozšíření systému pro zálohování kritických dat
Rozšíření stávajících provozovaných licencí zadavatele VEEAM Veeam Availability Suite Enterprise Plus o 12 ks stejných licencí Veeam Availability Suite Enterprise Plus s originální zárukou/podporou výrobce na standardní dobu 3 let. Záruka/podpora musí být přímo od výrobce zálohovacího SW, nesmí být poskytována třetí stranou (např. na bázi OEM kontraktu).
Rozšíření stávajícího diskového pole o kapacitu 50TB určenou pro zálohy. Požadováno je rozšíření stávajícího systému Netapp FAS 8040 následujícím způsobem:
2 ks shelf DS4246 včetně 28 ks HDD 4,0TB NL-SAS 3,5“
včetně příslušných kabelů, licencí a záruky v délce nejméně 36 měsíců. Nově dodané disky a shelfy musí být nové, originální přímo od výrobce diskového pole, nepoužité a určené pro český trh.
Servery
Pořízení serverů pro stávající virtualizační platformu za účelem vytvoření výkonové rezervy pro případ havárie datového centra. Rozšíření serverové farmy o 6 ks serverů 100% kompatibilních se stávajícími servery Fujitsu RX2540 ve virtualizačním prostředí VMware.
Specifikace minimálních parametrů serverů – minimální požadované plnění
Parametr | Minimální požadavky | Způsob plnění - parametry nabízené uchazečem |
Počet kusů: | 6 ks. | |
Provedení serverů: | - do 19" racku, max. 2U - nedělené chassis, - Ližiny do racku (rack mount kit) a rameno pro kabeláž (Cable arm) součástí dodávky. |
Počet procesorových patic na server: | Min. 2., min. 2 osazené procesory nejnovější dostupné generace. | |
Počet jader na fyzický procesor: | Min. 20. | |
Požadovaný výkon každého procesorů: | Každý CPU 20 jader, 2.4GHz, 27.5MB L3 cache, TDP 150W - SPECpower_ssj2008 alespoň 12500. - SPECrate2017_int_base alespoň 210. - SPECrate2017_fp_base alespoň 199. Ke všem výsledkům dostupné oficiální dokumenty od výrobce. | |
Operační paměť (osazení) na server: | Osazena min. 12 x 64GB DDR4 2666MHz 3DS ECC (moduly rovnoměrně rozložené přes všechny paměťové kanály), s rozšiřitelností až na 3TB DDR4 2666MHz, minimálně 24 DIMM slotů. | |
Pozice pro HDD – interní storage: | Server obsahuje pozice pro min. 16x 2.5“ disk. Všechny disky připojeny na jeden RAID řadič. Rozšiřitelnost na 28x 2.5” HDD. Všechny HDD hot-plug. Možnost interní DVD-RW mechaniky. Interní storage zařízeni o kapacitě min. 150GB pro virtualizační SW. Osazeno: - 4x 1.92TB SSD mixed use, DWPD 3, - 2x SAS 12G 800GB SSD write intensive, DWPD 10, - SSD M.2 SATA 150 GB úložiště s předinstalovaným VMware vSphere ESXi. | |
RAID řadič: | HW SAS HBA řadič podporující RAID 0,1. Certifikovaný pro VMware VSAN. | |
SAN řadič: | - 2x 1-port FC HBA 16Gb včetně MM optického modulu. | |
Ethernet konektivita na server: | - 2x 2-port 10Gbit SFP+ LAN karta, - Min. 2x 1Gbit RJ45 port onboard, | |
Napájení - chlazení: | Redundantní hot-plug napájecí zdroje, každý s výkonem 800W a účinností alespoň Platinum – 94%. 2ks napájecích kabelů. Redundantní hotswapové ventilátory - Hot plug redundantní chlazení. | |
Management: | HW management, zapnutí, vypnutí, restart serveru, přesměrování KVM nezávislé na OS, vzdálené připojení médií, časově neomezena licence. | |
Management port: | Dedikovaný LAN port pro management. | |
Rozšiřující sloty: | - Až 8x PCIe3.0 slot + 1x PCIe slot dedikovaný pro ethernet kartu typu |
LoM (LAN on Motherboard) + 1x min. 2-port RJ45 1Gbit LAN onboard. - VGA port min. 1x zadní - Volitelně sériový port nezabírající PCIe slot. | ||
USB porty: | Minimálně USB 3.0 – Min. 1 přední, min. 2 zadní + 1 interní. | |
Záruka | 60 měsíců On-Site, 24x7, garance opravy do 24 hodin od nahlášení s možností rozšíření. |
Rozšíření licenci vSAN
Doplnění stávajících provozovaných licencí zadavatele Academic VMware vSAN Enterprise o 24 CPU licencí Academic VMware vSAN Enterprise per CPU s originální zárukou/podporou výrobce v úrovni Production Support na standardní dobu 3 let. Záruka/podpora musí být přímo od výrobce virtualizační platformy, nesmí být poskytována třetí stranou (např. na bázi OEM kontraktu).
Datastore – navýšení kapacit
Pořízení kapacity do stávajícího diskového pole pro dosažení možnosti synchronní replikace mezi datacentry pro kompletní data významných systémů – Navýšení kapacity o 30TB čisté kapacity v SAS HDD a 20TB čisté kapacity v SSD.
Požadováno je rozšíření stávajícího systému Netapp FAS 8040 následujícím způsobem:
• 4 ks shelf DS2224C včetně 48 ks SSD 960GB 2,5“
• 8 ks shelf DS2224Cvčetně 72 ks HDD 1,2 TB SAS 10k RPM 2,5“
• včetně příslušných kabelů, licencí a záruky v délce nejméně 48 měsíců
Nově dodaná zařízení musí být nová, originální přímo od výrobce diskového pole, nepoužitá a určená pro český trh.
WorkSpace One
Bezpečná centrální distribuce aplikací na koncová zařízení bez možnosti uživatelských změn s řízením přístupů k aplikacím. Doplnění stávající licence VMware WSP One o 1200 uživatelů.
Microsoft Windows Server 2019 Datacenter Edition
V rámci nasazení nových IS a rozšíření funkcionalit stávajících informačních systémů je nutné zabezpečit jejich bezpečný a bezvýpadkový provoz. Z důvodu pořízení nových IS a rozšíření funkcionalit stávajících IS rámci těchto parametrů byla pro běh nových informačních systémů zvolena varianta 12 nodového clusteru s maximální eliminací rizika výpadku. V rámci maximálně efektivní redundance je volen 12 nodový systém – logicky je redundance vyšší u více serverů. Důsledkem dalšího selhání může být ztráta klíčových dat a výpadek v řádu hodin až dnů. - Celkově je tedy systém odolný proti výpadku kterékoli komponenty clusteru - no single point of failure. Kromě zajištění provozu v případě selhání hardware tato funkce usnadňuje správu celého systému – při řízeném výpadku – odstávce – pak lze provádět údržbu za plného provozu (upgrade FW, VMware, dalších infrastrukturních SW komponent). Jakékoliv rozšiřování systému, migrace a podobné činnosti se také provádějí za plného provozu a s minimálním omezením výkonu a následných poskytovaných služeb. Jeden fyzický server umístěný v jiné lokalitě bude využit pro zálohování a v případě fatálního selhání primární lokality může být využit
pro nouzové poskytování služeb IS. Výše uvedené HW řešení, by ale nebylo plně funkční a bezpečné bez správného nasazení operačního systému ve vysoké dostupnosti. Aby mohla být využita vysoká dostupnost (kde dochází k migraci virtuálních strojů na další HW NODY) je licenčně a technicky nejbezpečnější varianta operačních systému bez omezení počtu virtuálních strojů (Windows Server Datacenter). Tento systém zajistí maximální bezpečnost APLIKAČNÍHO prostředí proti výpadku zdrojů potřebných pro uživatele.
Systémový SW musí zajistit virtualizaci minimálně 12 serverů (celkem 480 jader) včetně správného licencování.
Požadavek | Splňuje (ano/ne) |
Virtualizační SW pro dodané virtualizační servery | |
Dynamické alokování kapacity | |
Možnost replikace serverů po LAN do jiného úložiště | |
Možnost zálohování po LAN | |
Možnost migrace virtuálního stroje na jiný HW v rámci clusteru bez výpadku | |
Vysoká dostupnost – automatický start virtuálního systému na jiném HW po výpadku | |
Plná podpora správy pomocí MS System Center Datacenter | |
Licence produktu MS Windows Server v aktuální verzi pro virtualizační servery (24 serverů /celkem 480 jader), umožňující provozovat neomezený počet virtuálních serverů na každém fyzickém serveru. |
Microsoft SQL Server 2017 Enterprise Edition
Nový databázový SW je naprosto nutný pro bezpečný běh nových informačních systémů využívajících databázové systémy. V rámci virtualizované infrastruktury a počtu uživatelů je zvolena databázová licence bez omezení počtu uživatelů – licenční model per core. V rámci virtuálního serveru je možno instalovat databázový server s dostatečný výkon zajištující 12 core virtuálního CPU. Databázový software bude využit napříč IS, které pro svojí nativní funkci potřebují databázový server.
Rozšíření Horizon View
Doplnění licencí Academic pro systém, který zvyšuje dostupnost pro obsluhu systémů tím, že zjednodušuje a zkracuje náhradu porouchaného zařízení na pouhou výměnu bez nutnosti konfigurace a instalace nového zařízení. Současně se tímto řeší i provoz z druhého datového centra v případě výpadku. V rámci projektu bude pořízeno 500 licencí.
6. Virtualizace sítě, mikrosegmentace
Dodávka systému virtualizace sítě za účelem zajištění jednak segmentace sítě až do úrovně izolace jednotlivých virtuálních strojů do vlastních segmentů sítě a dále zajištění řízení komunikace pomocí politik (a také tagů, příslušností do skupin atd.) s integrací na perimetrový Next Generation Firewall s uplatněním bezpečnostních politik a kontroly komunikace i uvnitř datového centra nejen pouze na perimetru.
Požadavky na systém virtualizace sítě na úrovni stávající virtualizační platformy VMware:
Požadavek | Splňuje (ano/ne) |
Licence pro 48 CPU. | |
Musí umožnit sběr informací z operačních systémů virtuálních strojů | |
Možnost sledovat spuštěné procesy uvnitř virtuálních strojů a jejich vlastníka | |
Rozpoznání aplikace na sedmé vrstvě | |
Možnost nastavení firewall pravidel pro konkrétního uživatele Remote desktop spojení dle jména nebo příslušnosti ke skupině, nikoliv pouze IP adresy serveru | |
Monitoring a sběr informací o toku dat v ceně řešení | |
Vizualizace toku dat mezi virtuálními stroji včetně informace o použitých FW pravidlech, routovacích informací, průchozích bodech apod. | |
Analýza toku dat a návrh FW pravidel s možností exportu do souboru | |
V ceně řešení nástroj pro migraci mezi DC a automatizovaného převodu VMtools, sítí apod. (adaptace na nové prostředí) | |
Distribuovaný L4 load balancing | |
V ceně řešení WAN optimalizace s možností inteligentního balancování zátěže přes několik linek |
7. Nástroj pro zobrazení a vyhodnocení toků na virtualizované síťové infrastruktuře
Za účelem dosažení plné viditelnosti na síťové úrovni včetně možností statistik i vyhodnocování a reakci na bezpečnostní události a neobvyklý provoz je požadován nástroj pro správu a vizualizaci provozu na síťové vrstvě v Software Defined Datacenter při využití Software Defined Networking ve spolupráci se stávající nasazenou virtualizační technologií VMware.
Nabízený produkt musí zajistit plnou kompatibilitu s nástrojem pro virtualizaci a mikrosegmentaci sítě (viz. Virtualizace sítě, mikrosegmentace).
8. Nástroj pro správu IP adresních prostorů
IP Adress Management Systém bude sloužit pro zajištění správy adresního prostoru v datové komunikační síti a pro zajištění kompletní viditelnosti na síti. Jedná se tedy o kompletní centrální přehledový a kontrolní nástroj pro správu IP adresních prostorů v úplném síťovém prostředí FN Brno.
Požadované vlastnosti nástroje jsou:
Požadavek | Splňuje (ano/ne) |
Správa IP adresního prostroru FN Brno | |
Automatické sledování ip adres | |
Integrace na WindowsAD, DHCP, DNS - Microsoft, Cisco, BIND | |
Integrace na vmware | |
Podpora pro REST api | |
Držení historie IP adres | |
Dokumentace a mapování síťové infrastruktury; | |
Vyhodnocení a kontrola stavu síťových protokolů a technologií; | |
Kontrola provozního záměru a odhalování skrytých rizik; | |
Automatické diagramy a vizualizace síťové infrastruktury; | |
Dynamická vizualizace směrovacích protokolů a přepínaných instancí; |
Vyhodnocení změn a sledování historického vývoje sítě; | |
Identifikace zdrojů výkonnostních nedostatků a ztrátu produktivity; | |
Usnadnění celkové správu přenosové infrastruktury; |
Dokumentace síťové infrastruktury
Požadavek | Splňuje (ano/ne) |
Automatická tvorba historické a aktuální technické dokumentace sítě (Site Low Level Design) ve formátu MS Word. | |
Soupis zařízení včetně všech rozhraní, modulů, komponent a jejich sériových čísel, produktových čísel, verzí softwarů, a sledování jejich změn v čase | |
Úplné objevení aktivních prvků síťové infrastruktury bez nutnosti používat skenování nebo ručně zadávat síťové adresy nebo rozsahy. | |
Automatické rozdělení sítě do logických celků (poboček) na základě vazeb směrovacích a přepínacích síťových protokolů. | |
Lokalizace a mapování připojení uživatelů a zařízení včetně hraničních portů, přilehlých VLAN instancí, směrovačů, | |
Znázorněné jak v grafické, tak tabulkové podobě. | |
Zobrazení detailních informací o platformách (FW cluster, FEX, vPC, VDC, PoE, Stack), o směrovacích protokolech (RIP, EIGRP, OSPF, BGP), o přepínacích protokolech (802.1d, 802.1s, 802.1w), aplikovaných a nakonfigurovaných QoS pravidlech, ACL filtrech, a dalších síťových protokolech a technologiích. |
Vyhodnocení stavu sítě
Požadavek | Splňuje (ano/ne) |
Informace o milnících životního cyklů zařízení. | |
Vyhodnocení dopadu ztrátovosti v síti na produktivitu uživatelů. | |
Kontrola a vyhodnocení konzistence zapojení agregovaných linek (port-channelů), včetně přehledu rozkládání zátěže pro odhalení neoptimálně využitých linek. | |
Kontrola a vyhodnocení stavu Power over Ethernet a spotřebu pro zařízení a jednotlivé porty. | |
Kontrola a vyhodnocení nastavení a stavu FW clusterů, stohů přepínačů (StackWise), a Virtual Port Channel platforem. | |
Kontrola a vyhodnocení stavu všech spanning-tree instancí na všech zařízeních a portech, včetně kontroly nasazených ochranných mechanismů (PortFast, BPDU Filter, BPDU Guard, Root Guard). | |
Kontrola shody seznamů povolených VLAN na protilehlých rozhraních typu “trunk”. | |
Kontrola konzistence MTU (povolené velikosti přenesených rámců) na všech L2 a L3 aktivních síťových spojeních. | |
Kontrola a vyhodnocení nasazených FHRP protokolů v síti včetně všech participujících zařízeních a s detekcí dual-active stavu a kontrolou optimálnosti nastavení priorit v návaznosti na podloženou spanning-tree topologii. |
Kontrola a vyhodnocení všech nakonfigurovaných QoS a HQoS pravidel pro marking, policing, shaping, queueing a WRED s informací o pravidlech aplikovaných v síti, včetně statistik o přenesených a zahozených datech. | |
Možnost definovat vlastní kontroly chování síťových protokolů a technologií. | |
Reporty aktuální a historické síťové analýzy (Network Analysis Report) ve formátu MS Word. | |
Kontrola redundance přepínané topologie. |
Vizualizace a diagramy
Požadavek | Splňuje (ano/ne) |
Zobrazení topologie sítě automaticky oddělené do funkčních celků infrastruktury, rozdělení sítě do logických celků (poboček) na základě typu připojení. | |
Grafické zobrazení zapojení poboček (CEF, RIB, BGP, OSPF, EIGRP, RIP, STP, CDP, LLDP). | |
Grafické zobrazení zapojení uživatelů (MAC, STP, ARP). | |
Grafické zobrazení přepínané topologie všech spanning-tree instancí, včetně blokovaných linek a kořenových přepínačů a kontrol redundance jednotlivých instancí. | |
Grafické zobrazení směrované topologie sítě, včetně jednotlivých protokolů, alternativních tras a kontrol redundance směrování. | |
Vizualizace všech možných aktivních cest mezi dvěma body v síti, včetně zobrazení informací o použitém QoS a ACL na jednotlivých zařízeních včetně detailu o konkrétním rozhodnutí povolujícím / zakazujícím tento provoz. |
Vyhodnocení změn
Požadavek | Splňuje (ano/ne) |
Sledování změn síťových spojení, topologie a adresace. | |
Sledování změn v konfiguraci síťových zařízení. | |
Možnost porovnávání rozdílů v čase. | |
Integrace | |
Dostupnost úplně všech informací v systému prostřednictvím REST API s filtrováním a řazením v dotazech pro integraci s dalšími systémy. |
Podpora výrobců síťových prvků
• Podpora následujících výrobců síťových zařízení: Cisco, Juniper, HP, Extreme, Riverbed, Checkpoint, Fortinet, Palo Alto.
9. Perimetrový Next Generation Firewall, Interní firewall a ochrana proti DDoS
Předmětem poptávky je NGFW řešení skládající se z centrálního management, perimetrového firewallu, interního firewall, ochrany před zero-day malware a ochrany před DDoS útoky. Nabízené řešení musí být od jednoho výrobce a realizované v režimu vysoké dostupnosti. Součástí dodávky musí být veškeré licence potřebné pro instalaci a provoz řešení. V rámci dodávky bude požadována instalace a konfigurace dodaného hardwaru a softwaru, dále poskytnutí záruky a podpory na 5 let od výrobce. Nabídková cena musí obsahovat veškeré náklady dodavatele nezbytné k realizaci zakázky.
2x Perimetrový firewall v HA |
FW rozhraní: 2x 10 GBASE-T / SFP+ a možnost rozšíření na 4x10GBASE-T / SFP+, 8x 1 GBASE-T RJ45 |
Přibližná propustnost firewallu (Enterprise Mix / Real-World Protocol Mix): 35 Gbps |
Min. propustnost firewallu s NGFW – FW, AppControl, IPS, URL filtering, Antivirus, AntiBot, ZeroDay (Enterprise Mix / Real-World Protocol Mix): 4 Gbps |
Počet současných spojení: 6 000 000 |
INFO - průměrná velikost packetu v současném prostředí: 1100 B |
Virtuální Interní Firewall s podporou mikro-segmentace |
Přímé napojení na vmware NSX 48 CPU |
Onpremise Sandbox v HA |
FW rozhraní: 2x 10 GBASE-T / SFP+ a možnost rozšíření, 6x 1 GBASE-T RJ45 |
Přibližná propustnost (Enterprise Mix / Real-World Protocol Mix): 2 Gbps |
Počet souborů za hodinu: 2500 |
INFO - průměrná velikost packetu v současném prostředí: 1100 B |
Ochrana proti DDoS útokům |
Rozhraní: 4x 10 GBASE-T / SFP+ a možnost rozšíření, 8x 1 GBASE-T RJ45 – internal fail-close for SFP and XFP ports |
Přibližná propustnost (Enterprise Mix / Real-World Protocol Mix): 35 Gbps |
Maximální ochrana před Flood útokem: 10 mil. pps |
Počet současných spojení: 4 000 000 |
Latence: < 60 mikrosekund |
INFO - průměrná velikost packetu v současném prostředí: 1100 B |
Perimetrový firewall
Požadavek | Splňuje (ano/ne) |
Požadované funkcionality: • firewall, • IPS, • aplikační kontrola, • URL filtrování, • antivirová a botnet ochrana, • sandbox | |
Možnost příchozí a odchozí HTTPS inspekce | |
Možnost získávání identit uživatelů z AD bez nutnosti instalace klientů na koncové stanice | |
Podpora software agenta na koncové stanice pro přesné získavaní identit, min. pro systémy Windows a Mac | |
Automatické vypnutí IPS ochrany v případě přetížení HW (využití CPU nebo fyzické paměti) nad definovanou prahovou hodnotu. | |
Detekce a řízení síťových aplikací. Minimální počet rozpoznávaných aplikací, minimálně 8000 | |
Detekce a řízení síťových aplikací. Minimální počet aplikací/pluginů pro sociální sítě, minimálně 300000 | |
Podpora URL filteringu na základě kategorizace. Poskytované řešení musí pokrývat min. 85% Alexa top milion sites | |
Zablokování již prvního pokusu o stažení zero-day malware (dosud neznámy soubor) přes HTTP/HTTPs komunikaci. Zařízení vykoná akci (povolí nebo zablokuje soubor) až na základě výsledku emulace v sandboxing, ne dřív/detekce (může být zabezpečeno produktem třetí strany, musí být součástí nabídky) | |
Zablokování již provního výskytu zero-day malware v mailové komunikaci | |
Nasazení zero-day ochrany pro mailový provoz v režimu MTA (Mail Transfer Agent) | |
Řešení musí detekovat zero-day útok ve fázi exploitace (zneužití zranitelnosti) – ještě přes spuštěním shell kódu a stažením/spuštěním malwaru. | |
Řešení musí detekovat ROP a jiné exploitační techniky monitorováním CPU flow | |
Řešení musí emulovat soubory vložené v dokumentech . | |
Ochrana proti neznámým hrozbám pomocí extrakce zneužitelných komponent z dokumentů ve formě příloh emailové komunikace. | |
Propustnost Firewallu, minimálně 35 Gbps (RFC 3511, 2544, 2647, 1242) | |
Propustnost IPS, minimálně 10 Gbps | |
Propustnost NGFW (Firewall, IPS, Aplikační kontrola), minimálně 8 Gbps | |
Propustnost Threat ochrana (Firewall, IPS/IDS, Aplikační kontrola, Antivir, Botnet, URL filtr), minimálně 4 Gbps | |
Počet nových spojení za vteřinu (CPS) minimálně 180.000 | |
Počet současných spojení, min. 3.000.000 | |
Počet požadovaných fyzických síťových rozhraní, min. 10x 10/100/1000baseT | |
Počet požadovaných fyzických síťových rozhraní, min. 2x 10Gb SFP+ rozhraní včetne transceiverů (SR) | |
Možnost rozšíření na 8x 10Gb SFP+ rozhraní | |
Firewall platforma ve formě samostatné hardware appliance | |
Instalace do standardního 19" kabinetu | |
Podpora redundance dvou a více zařízení v režimech Active-Active/Active-Standby s automatickou synchronizací Podpora agregace fyzických portů LACP | |
Předefinované IPS/IDS politiky |
Out of band management/ILO/LOM | |
Redundantní zdroj | |
Lokální HDD, min 500GB, v případě výpadku centrálního management log serveru | |
Řešení musí být uvedeno v Gartner Magic Quadrant for Enterprise Network Firewalls za roky 2015-2018 minimálně 3x v kvadrantu Leader | |
Centrální jednotná správa politik z GUI aplikace | |
Centrální ukládaní logů, indexování a filtrování logů ze všech bezpečnostních zařízení (firewall, endpoint, ddos) | |
Jednotný centrální management: správa politik a analýza logů na stejné VM appliance od výrobce | |
Kontrola politik proti chybám a duplicitám | |
Podpora administrátorských profilů pro delegaci oprávnění (čtení, zápis) | |
Možnost přidělení práv administrátorům jen pro definovaný seznam firewall pravidel v rámci politiky | |
Integrovaný monitoring musí poskytovat grafické rozhraní pro sledování parametrů v reálnem čase (využití paměti, CPU, počet navázaných spojení, počet nově otevřených spojení za sekundu, propustnost, atd …). | |
Práce s bezpečnostními logy – možnost prohledávaních všech typů logů (fw, ips, urlf) v jedné záložce s definováním vlastních permanentních filtrů. | |
Možnost rekonfigurace a ladění IPS engine přímo z log výstupů firewallu | |
Podpora korelace bezpečnostních logů a incidentů | |
Možnost vytváření vlastních pravidel pro vzájemnou korelaci bezpečnostních událostí | |
Musí graficky zobrazovat jednotlivé kategorie událostí ve formě interaktivních koláčových a časových grafů | |
Musí umožnit definici a uložení vlastního Dashboard panelu pro jednotlivé uživatele | |
Musí podporovat automatické reakce na definované bezpečnostní události – minimální akce: poslat email, blokovat zdroj útoku, SNMP trap do interního systému, spustit vlastní skript | |
Musí podporovat nástroj pro definici a ruční/automatizované generování reportů | |
Minimální počet zpracovaných korelovaných událostí (jeli omezeno licencí, licence pro požadovaný počet korelovaných log záznamů musí být součástí nabídky) – min. 4 miliony událostí za den | |
Minimální podporovaná velikost diskové kapacity pro dlouhodobé ukládaní log/event záznamů a indexů (je-li disková kapacita omezena licencí, licence pro požadovanou velikost musí být součástí nabídky) - min. 16 TB | |
Management server musí být realizován formou malé lehce přenositelné virtuálky | |
Retence logů minimálně 6 měsíců | |
Centrální jednotná správa politik z grafické aplikacC3:C26e | |
Management musí být fyzicky oddělený od firewall platformy – samostatný HW nebo jako SW licence na virtuálním serveru. | |
Konsolidovaný centrální management: správa politik a analýza logů na jedné VM | |
Funkcionalita ukládaní, filtrování a korelace logů, analýzy a správy bezpečnostních událostí s předefinovanými pohledy/dotazy Možnost vytváření uživatelsky definovatelných reportů a přehledů a jejich automatické zasílání emailem ve formátu PDF | |
Možnost propojení se systémem SIEM třetí strany |
Automatická verifikace politiky (např. proti redundanci, překryvu a inkonzistenci pravidel) | |
Podpora vyhledávaní v pravidlech, vyhledávaní textových výrazů/objektů/IP adres nebo prohledávaní všech objektů. | |
Podpora administrátorských profilů s možností přidělování práv (read only, red- write, none) pro jednotlivé skupiny administračních funkcí | |
Konzistentní modifikace politiky více administrátory najednou, konzistence politik na základě uzamykání pravidel, politik a objektů | |
Podpora vnořených politik (sub-politiky) | |
Možnost přidělení práv administrátorům jen pro definovoanou skupinu pravidel (sub-politiku) v rámci politiky | |
Hit count statistiky pro jednotlivá pravidla za účelem optimalizace bezpečnostní politiky | |
Automatická verifikace politiky proti redundanci nebo překryvu pravidel | |
Fulltext prohledávaní logů, vráteně technologií indexace pro účinné a rychlé prohledávání logů/záznamů v milionech | |
Integrovaný monitoring musí poskytovat grafické rozhraní pro sledování parametrů v reálnem čase (využití paměti, CPU, počet navázaných spojení, počet nově otevřených spojení za sekundu, propustnost, atd …). | |
Interní certifikační autorita za účelem vydávaní a správy PKI certifikatů pro jednotlivé firewall a VPN (může být zabezpečeno produktem třetí strany, musí být součástí nabídky) | |
Compliance modul za účelem ověření nastavení firewall politiky proti standardům, min. ISO27001, ISO27002, GDRP (může být zabezpečeno produktem třetí strany, musí být součástí nabídky) | |
Podpora uchovávaní, zpracování a korelace log záznamů zařízení třetích stran, syslog, snmp (může být zabezpečeno produktem třetí strany, musí být součástí nabídky) | |
Management log server musí zpracovat min. 20.000 logů/sek | |
Minimální historie uložených stavových informací (logů a eventů) 36 měsíců. Minimální podporovaná velikost diskové kapacity pro dlouhodobé ukládaní log záznamůa eventů na management serveru (jeli disková kapacita omezena licencí, licence pro požadovanou velikost musí být součástí nabídky), min. 16 TB | |
Požadována licence pro centrální správu a dedikovaný reporting, min. 10 firewallů | |
Podpora revizí bezpečnostních politik, jejich verzování. | |
Podpora auditních informací u změn bezpečnostní politiky (číslo požadavku, kdo provedl změnu) |
Onpremise Sandbox v HA
Požadavek | Splňuje (ano/ne) |
Zablokování již prvního pokusu o stažení „zero-day“ malware (dosud neznámy soubor) přes HTTP/HTTPs komunikaci. Zařízení vykoná akci (povolí nebo zablokuje soubor) až na základě výsledku emulace v sandboxing, ne dřív než detekce (může být zabezpečeno produktem třetí strany, musí být součástí nabídky) | |
Zablokování již provního výskytu zero-day malware v mailové komunikaci | |
Nasazení zero-day ochrany pro mailový provoz v režimu MTA (Mail Transfer Agent) |
Řešení musí detekovat zero-day útok ve fázi exploitace (zneužití zranitelnosti) – ještě přes spuštěním shell kódu a stažením/spuštěním malwaru | |
Řešení musí detekovat ROP a jiné exploitační techniky monitorováním CPU flow | |
Řešení musí emulovat soubory vložené v dokumentech | |
Ochrana proti neznámým hrozbám pomocí extrakce zneužitelných komponent z dokumentů ve formě příloh emailové komunikace | |
Přímá integrace na EndPoint řešení v bodu 11 Kompletní ochrana koncových stanic |
Interní Firewall ve VMware NSX
Požadavek | Splňuje (ano/ne) |
Oficialni podpora/certifikace VMware NSX-T | |
Oficialni podpora/certifikace VMware NetX API NSX 6.4.3 a vyssi | |
Oficialni podpora/certifikace VMware ESXi 6.7 U1 a vyssi | |
Zabezpečení komunikací v rámci SDN (Software Defined Networking) na platformě VMware NSX Hypervisor Mode | |
Řešení certifikované přímo ze strany výrobce SDN (VMware) | |
Dynamická aktualizace objektů bezpečnostních politik na základě automatické importu z prostředí VMware NSX a VMware vCenter | |
Podpora importu NSX security groups z vCenter do bezpečnostní politik bez manuálního zásahu v konfiguraci vCenter nebo NSX | |
Podpora importu NSX security groups z vCenter do bezpečnostní politik bez manuálního zásahu v konfiguraci vCenter nebo NSX | |
Identické označení objektů v rámci NSX (nejen IP adresy jednotlivých VM) a stavových informacích a reportech bezpečnostního řešení (logy, události) | |
Integrace do centrální jednotné správy bezpečnosti spolu s ochranou perimetru (fyzickými bezpečnostními branami) | |
Jednotná bezpečnostní politika pro fyzické a virtualizované objekty bran s využitím objektů VMware NSX a VMware vCenter | |
Podpora pro nastavení virtálních objektů v globální bezpečnostní politice „north- south“ appliance bez přesměrování provozu v NSX | |
Podpora pro deployment dvou a více bezpečnostních bran na tom stejném esxi nodu | |
Řešení musí podporovat fail-open a fail-close pro každou instanci v případě, že je ztracena konektivita do vCenter nebo NSX | |
Podpora orchestračních a automatizačních platforem s granulárními profily práv až na úroveň jednotlivých pravidel | |
Podpora připojení k více instancím VMware NSX/vCenter současně | |
Podpora vMotion & DRS a garantovaná plná stavová inspekce během procesu vMotion | |
Podpora vMotion & DRS a garantovaná plná stavová inspekce během procesu vMotion | |
Bezpečnostní politiku lze nasadit do prostředí bez nutnosti předchozího přesměrování provozu do NSX | |
Sdílení aktuálního bezpečnostního stavu VM formou tagování s platformou NSX pro možnost automatizované reakce (umístění do karantény apod.) | |
Řešení poskytne dedikovanou podpolitiku pro mikrosegmentaci s granulárními administrátorskými privilegii |
Možnost o rozšíření i o veřejné Cloud služby (MS Azure, AWS nebo Google Cloud) s jednotným managmentem a jednotnou politikou | |
Řešení umožní zobrazení parametrů virtuálního stroje – IP, lokace v datacentru, OS v bezpečnostní politice | |
Propustnost NGFW (IPS, APPC) min. 5 Gbps pro jedno CPU | |
Nabízené řešení musí licenčně podporovat ESX prostředí pro 48 CPU soketů |
Ochrana proti DDoS
Síťová podpora
Požadavek | Splňuje (ano/ne) |
Podpora IPv4 | |
Podpora IPv6 VLAN (802.1Q) | |
Podpora agregace portů do bond rozhraní | |
Podpora enkapsulace (pro bezpečnostní inspekci) VLAN, MPLS, L2TP, GRE, IP-in-IP | |
Plně transparetní na bezpečnostních portech | |
Podpora Jumbo rámců |
Metody ochrany proti DoS/DDoS útokům – přehled
Požadavek | Splňuje (ano/ne) |
Behaviorální analýza síťového provozu s automatickou detekcí útoku a automatickým blokováním pomocí signatur vytvořených na základě této analýzy | |
Blokování síťového útoku musí být automaticky zahájeno v řádech desítek sekund (max. do 30 sekund) | |
Blokování minimálně těchto útoků pomocí behaviorální analýzy síťového provozu a automatického generování signatur: o TCP Flood (FIN, RESET, SYN+ACK and TCP fragment floods) o UDP Flood (včetně DNS, RTP, SIP a jiných UDP-based flood útoků) o ICMP Flood o IGMP Flood | |
Podpora SYN-cookies mechanismu Blokování Synflood útoků v asymetrickém prostředí | |
Behaviorální analýza DNS provozu pro automatizovanou ochranu před útoky na DNS servery s možností autpomaticky blokovat nelegitimní DNS provoz na úrovni parametrů Doménových jmen, velikosti paketů, destination IP. Nabízené řešení můsí podprovat automatizované vytváření signatur na základě behaviorální analýzy. | |
Nabízené řešení musí podprovat blokování Denial Of Services útoků bez degradace prospustnosti legitimního provozu | |
Možnost zvolit mezi pouze "monitorováním" a "monitorováním a blokováním" | |
Podpora manuálního nastavení Blacklisiting a Whitelisting s definicí minimálně těchto parametrů: Source IP/network, Destination IP/Network, Source Port group, Destination Port group, fyzická skupina portů, VLAN tag a protokol. |
Nabízené řešení musí podporovat detekce útoků s využitím Challenge response technik pro přesnou detekci s nízkým poměrem false positives. Podporované techniky zahrnují minimálně 302 web challenge, JavaScript challenge a DNS challenge. | |
Podpora detekce a ochrany proti DoS/DDoS útokům typu "Low and Slow" pomocí speciálních nástrojů. | |
Rozpoznávání a blokování horizontálního i vertikálního skenování. | |
Rozpoznávání a blokování neznámých DoS útoků pomocí behaviorální analýzy. | |
Průběžné sledování útoků a automatická úprava dynamicky generovaných řetězců při změně útoku. | |
Rozpoznávání a blokování anomálií podle předdefinovaných řetězců (signatur) | |
Rozpoznávání a blokování na základě protokolových anomálií | |
Rozpoznávání a blokování na základě anomálií provozu (rate based) | |
Možnost definovat vlastní řetězce (signatury) pro rozpoznávání a blokování útoků |
Možnosti nasazení
o transparentně v cestě provozu (L2 inline)
o TAP, SPAN porty jen pro monitoring
o Mimo cestu (Out of path)
o Možnost zvolit mezi pouze "monitorováním" a "monitorováním a blokováním"
o Možnost definovat různá pravidla pro různé části sítě i různé uživatele
Hardware
Požadavek | Splňuje (ano/ne) |
Minimálně 8x 1Gbps metalické rozhraní | |
Minimálně 2x 10Gbps SFP+ rozhraní | |
Propustnost zařízení při DDoS útoku, min. 1 Gbps | |
Prevence pro útoky do intenzity 5.5 milionů paketů za vteřinu | |
Počet současně navázaných spojení, min. 3 mil | |
Možnost licenčního navýšení výkonu propustnosti až na 5 Gbps | |
Xxxxxxx, xxx. 60 microseconds | |
Redundantní hot-swap napájení | |
Obnova systému ze záložního média | |
Možnost nasazení páru zařízení (aktivní – záložní) | |
Ochrana před přetížením | |
Integrovaná Fail Open síťová rozhraní v případě výpadku zařízení, minimálně pro metalické porty |
Požadované implementační práce:
Požadavek | Splňuje (ano/ne) |
Provedení analýzy nasazení – analýzu stávajícího provozu a následné vytvoření návrhu nových filtračních pravidel pro jednotlivé segmenty sítě dle aktuálních potřeb, technický a procesní návrh. |
Příprava | |
Instalace a základní konfigurace komponent; ▪ instalace a konfigurace HW, SW, napojení komponent na management ▪ implementace a konfigurace auditního logování a napojení na SIEM a na provozní monitoring ▪ vytvoření pravidel, migrace pravidel, nastavení aplikační kontroly a dalších bezpečnostních funkcí v monitorovacím režimu pro první dva měsíce; ▪ převedení stávajících ACL do nového řešení ▪ Test konfigurovaných komponent; ▪ Failover a Failback test dle testovacích navržených DR scénářů; ▪ Dokumentace s popisem zapojení, konfigurace, DR plánů, zálohování apod.; | |
Provozní nasazení – migrace provozu, ladění a vytvoření politik pro NGFW a Sandbox ▪ Nastavení https inspekce ▪ Podpora produktivního režimu po dobu 2 měsíců s SLA (Kritický incident 30 minut doba odezvy, 2 hodiny doba vyřešení) | |
Post-implementační úpravy ▪ Ladění, optimalizace, tunning |
10. Web aplikační firewall
Technická specifikace obsahuje závazné technické parametry požadované zadavatelem pro jednotlivé části poptávaného řešení.
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
PLATFORMA | |
Nasazení páru nezávislých HW zařízení ve funkci load-balancer a SSL akcelerátoru | |
Možnost připojení 8 x 10Gbps SFP | |
RAM: 48 GB | |
Datová propustnost zařízení alespoň 20Gbps L4, L7 či více | |
Minimální propustnost HTTP požadavků: 1M za sekundu | |
Minimální počet nových L4 spojeni: 250k za sekundu | |
Počet současných L4 spojení: 25M | |
Počet SSL transakcí za sekundu min. 10k (při použití 2K klíče) | |
Počet SSL transakcí za sekundu min. 6.5k (při použití ECDSA P-256 klíče) | |
Minimální propustnost SSL 10Gbps | |
Nezávislé rozhraní pro management, umožňující provádět vzdáleně veškeré operace jako z lokální konzole (ILOM) | |
Zdvojené napájení | |
K dispozici jako autonomní box nebo ve formě šasi | |
Management: sériový port, GUI, příkazový řádek, ILOM | |
OPERAČNÍ SYSTÉM | |
Plnohodnotná proxy architektura na všech OSI vrstvách | |
Identický OS napříč všemi platformami (HW, Virtual) | |
Plnohodnotná podpora IPv6 | |
Podpora HSM modulu | |
Podpora validace intermediate certifikatu |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
Podpora Spanning Tree Protokolu (STP) | |
Možnost přidat vlastní funkce pomocí skriptování | |
Podpora HTTP/2 | |
Podpora IPSec IKEv2 | |
Podpora konfigurace a správu zařízení přes REST API | |
Plná podpora IPv6, IPv4/IPv6 gateway | |
V souladu s certifikací UC-APL | |
Dostupné také ve formě virtuální edice | |
Supports SNMP (v1/v2c/v3) | |
Možnost aktivovat následující funkce na jedné HW platformě: - L4-7 loadbalancing - ICSA certifikovaný Web aplikační firewall - ICSA certifikovaný síťový firewall - Autorizace a autentizace aplikací, SSL VPN - DNS služby a DNS firewall | |
Možnost používat knihovny JavaScript třetích stran k úpravě a správě provozu | |
Podpora Active-Active a Active-Pasive módu | |
Podpora transparentního nasazení (TAP/SPAN) | |
WEB Aplikační firewall | |
Integrace s nástrojem na detekci zranitelností webových aplikací | |
Detekce a blokování širokého spektra útoků na aplikační vrstvě, minimálně podle OWASP top10 | |
Možnost doprogramovat si filtrovací pravidla pro aplikace | |
Automatická korelace zranitelností do jednoho bezpečnostního incidentu | |
Ochrana XXXX a JSON aplikací | |
Ochrana proti L7 DDoS útokům, web scrapingu a útokům pomocí hrubé síly (brute force) | |
Podpora Captcha metody | |
Automatické odlišení skutečných uživatelů od robotů |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
Integrovaný XML a XML/SOAP firewall | |
Podpora maskování/odstranění citlivých informací – čísla kreditních karet, číslo pojištění, vlastní Regulární výrazy atd. | |
Automatické nahrávání a aplikování nových signatur | |
Podpora pozitivního a negativního bezpečnostního modelu | |
Blokování útočníků na základě geolokace | |
Podpora ICAP pro antivirovou kontrolu – pro HTML, SOAP a SMTP | |
Ochrana SMTP a FTP na aplikační úrovni | |
Podpora SSL (šifrování a dešifrování) | |
Podpora různých typů reportů – PCI, geolokační reporty | |
Podpora standardů PCI DSS, HIPAA, Basel II a SOX | |
Integrované bezpečnostní politiky pro Microsoft Outlook Web Access, Lotus Domino Mail Server, Oracle E-Business Financials a Microsoft SharePoint | |
Podpora application visibility a reportingu – monitorování URI | |
Možnost importu zranitelnosti aplikací z alespoň některých z následujících skenerů: • Cenzic Hailstorm • WhiteHat Sentinel • IBM Rational AppScan • QualysGuard Web Application Scanning | |
Podpora aplikačního firewallu v cloudu | |
Rozšířená podpora CSHUI – detekce aktivity klávesnice a myši, detekce změn URL od klienta za krátkou dobu | |
Ochrana proti Session Highjacking pomocí Browser Fingerprintingu | |
Detekce a ochrana „Heavy URL“ (stránky vykazující různé chování v čase) | |
Validace log-on parametrů a aplikačních flows | |
Automatická korelace útoků do jednoho incidentu | |
Podpora nastavení bezpečnostních politik podle IP adresy, doménového jména a URI |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
Filtrování WebSocket provozu & policy enforcement | |
Blacklistování IP adres, které opakovaně snaží překonat „challenge“ nebo se vyznačují vysokou mírou blokování | |
Možnost vytvoření bezpečnostních politik způsobem hierarchie – nadřízené a podřízené politiky. | |
Podpora aplikační ochrany na úrovni jednotlivých stránek (URL) | |
Podpora více DoS profilů per VIP | |
ŘÍZENÍ PROVOZU | |
Možnost aktivovat L4-7 LoadBalancing, ICSA certifikovaný webový aplikační firewall, SSL VPN na jedné platformě HW | |
Možnost připojení k monitorovacím nástrojům třetích stran prostřednictvím otevřeného API | |
Možnost přidat vlastní funkce pomocí skriptování | |
Podpora REST API | |
Autentikace klientů přes LDAP/Radius | |
Podpora Active-Active, Active-Passive módů | |
Povolení/zakázání ICMP pro VIP | |
Podpora HTTP 2.0 | |
Podpora vysokorychlostního granulárního logování / logování per aplikace / bez omezení výkonnosti zařízení | |
Podpora alespoň pro 10 různých metod rozvažování zátěže | |
Možnost filtrace paketů | |
Podpora ToS, QoS (marking/preservation/mimic) | |
Podpora SNMP (v1/v2c/v3) | |
Plná podpora IPv6, IPv4/IPv6 gateway | |
Podpora rozvažování zátěže založené na poměrech (ratio based) s CARP perzistencí | |
Podpora SSL certifikátů podepsaných SHA-2 algoritmem |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
Podpora práce s 4096-bit klíči | |
Soucasna podpora ECC a RSA certifikatu | |
Podpora Camellia cipher pro SSL | |
Podpora pro TLS 1.2 | |
Podpora ECC a DH ciphers v HW | |
Podpora SSL Forward proxy | |
Statefull paketový filtr | |
Podpora monitoringu per specifická služba | |
Monitoring služeb – možnost přizpůsobení skriptováním | |
Monitoring služeb založený na výkonnosti konkrétního hosta | |
TCP optimalizace síťových flows | |
Komprese a caching per specifická služba | |
SSL Session a SSL Connection mirroring napříč celým ADC clusterem | |
TCP optimalizace – dynamický TCP Tuning | |
Podpora TLS Dynamic record sizing | |
ŘÍZENÍ UŽIVATELSKÝCH PŘÍSTUPŮ | |
Autentizace: - HTTTP basic - HTML form - Certificate - OCSP - CRLDP - Radius - LDAP - Active Directory - NTLM v1/v2 - Kerberos - SAML - SerurID - OAM - Tacacs+ - Local DB | |
Import uživatelských identit IF-MAP | |
Podpora pro External logon page |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
AAA-server autentizace a vysoká dostupnost | |
OTP (generování a ověření) | |
Podpora CAPTCHA | |
Podpora Google recaptcha v2 | |
Autorizace: - Radius - LDAP - Active Directory | |
SAML: - SP - IdP | |
Modifikace SAML atributů | |
Podpora SAML 2.0 | |
SSO: - HTTP basic - HTML form - NTLM v1/v2 - Kerberos - SAML | |
Cachování uživatelských identit a SSO proxy | |
Podpora federace (SSO napříč různými doménami, např. on-prem a SaaS) | |
Podpora for Kerberos ticketingu | |
PCoIP proxy | |
RDP proxy | |
Patching: - HTML - JavaScript - CSS - Flash - Java | |
Jednotný URL portál | |
Uživatelský portál, kde se zobrazují aplikace podle přístupových práv | |
Podpora L7 ACL | |
Dynamický import ACL | |
Dynamická kontrola přístupů |
Požadovaná minimální funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti |
Podpora ochrany a enkrypce „pracovniho“ prostoru („workspace“) | |
Network SSL VPN DTLS | |
Separátní SSL VPN tunel pro každou přístupnou aplikaci | |
Přístup pomocí Client-less | |
OS support: - Windows - MAC - Linux - iOS - Android | |
Podpora nativní MDM | |
Podpora Oauth 2.0 | |
Podpora IPSEC IKE v2 | |
Kontrola zabezpečení koncových bodů a posture kontrol | |
Podpora L7 ACL pro uživatelský přístup | |
Grafický editor pro správu řízení uživatelských přístupů | |
Podpora Microsoft ActiveSync a Outlook Anywhere s client-side NTLM | |
Zjednodušený řízení uživatelských přístupů pro Citrix XenApp a XenDesktop | |
Step-up autentizace | |
Podpora Ping Identity’s Policy Agent protocol | |
Podpora forward proxy chaining | |
Podpora ADFS proxy a ADFS-PIP protokolu |
Požadované implementační práce:
- Fyzická montáž zařízení
- Konfigurace síťového prostředí (VLAN, IP, route)
- Nastavení parametrů HA
- Základní konfigurace virtuálních server (až 50)
o Nastavení profilů
o Terminace SSL
o Nastavení loadbalancingu
o Případné komprese a cashování
- K sestavení pokročilejších kontrol modulem WAF musí využito Learning modu až 20 aplikací
- Základní vytvoření bezpečnostních politik
o Konfigurace základních parametrů negativního bezpečnostního modelu dle využitých platforem
o Základní konfigurace pozitivního modelu a aplikace nastavení na filetypes a uri metacharter validation
- Konfigurace anomaly detection
- Konfigurace/import wsdl schémat
- Nastavení parametrů learning modu (po uplynutí 1 měsíce aktivního learning modu)
- Vyhodnocení událostí a incidentů learning modu
o Úprava hodnot learning modu
o Úprava blocking settings pro jednotlivé položky
o Zapnutí blocking modu
- Připojení k autentizačním prvkům a nastavení SSO
- Nastavení ochrany proti volumentrickým útokům DDoS
- Nastavení ochrany proti bruteforce
- Integrace s VMware Horizon
- Napojeni na SIEM řešení a provozní monitorng
11. Kompletní ochrana koncových stanic
Dodané řešení musí pokrýt minimálně 2000 uživatelů, a to včetně záruky výrobce na 5 let. Řešení musí splňovat následující parametry:
Obecné technické požadavky
Administrace
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí nabízet více administrativních rolí pro uživatele za účelem rozdělení pravomocí a zodpovědnosti mezi jednotlivé uživatele. Role musí obsahovat minimálně: • administrátor (systémová konfigurace), • administrátor (konfigurace politik), • helpdesk (support), • read-only role. | |
Nabízené řešení musí umožnit administrátorovi vytvářet a spravovat logické skupiny zařízení nezávisle na rozdělení zařízení v Active Directory. | |
Administrátor musí být schopný spravovat politiky na úrovni skupin uživatelů i jednotlivých uživatelů. | |
Nabízené řešení musí být schopno využít uživatele a skupiny definované v Active Directory. |
Restrikce na úrovni uživatelů
Požadavek | Splňuje (ano/ne) |
Nabízené řešení nesmí vyžadovat instalaci programů nebo nástrojů na koncové stanici s administrátorskými funkcemi. Jinými slovy, uživatel nesmí mít možnost spravovat nebo měnit nastavení bezpečnostních politik na koncové stanici. | |
Software instalovaný na koncové stanici nesmí vyžadovat administrátorská oprávnění ke svému běhu. | |
Koncový uživatel nesmí být schopný obejít nastavené politiky ani v případě, když disponuje administrátorským oprávněním. | |
Řešení musí mít zabudované kontrolní mechanizmy, aby bylo zabráněno uživateli vykonávat: • smazání/odinstalace koncového klienta, • vypnutí/zapnutí služeb koncového klienta nebo souvisejících služeb, • zabránění správné funkčnosti koncového klienta, • modifikace koncového klienta a jeho souborů. | |
Komunikace agent–server
Požadavek | Splňuje (ano/ne) |
Bezpečnostní politiky přenášené mezi serverem a klientem musí být během přenosu šifrované. | |
Citlivé informace přenášené mezi serverem a klientem musí být během přenosu šifrované. |
Auditing
Požadavek | Splňuje (ano/ne) |
Auditní log musí podporovat soulad s detailní uživatelskou a systémovou úrovní logování. Logované informace musí obsahovat detaily o zařízení, časové razítko a další data pro správný audit. | |
Auditní logy uložené na serveru musí být chráněny před neoprávněnou modifikací nebo smazáním. | |
Auditní logy uložené na koncové stanici budou chráněny před neoprávněnou modifikací nebo smazáním. |
Firewall na koncové stanici
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí být schopné zabránit neoprávněné síťové komunikaci koncové stanice v obou směrech (směrem od stanice i na stanici). | |
Řešení musí umožňovat vynucování základních firewallových politik. |
Řešení musí umět detekovat a filtrovat příchozí i odchozí provoz. Dále musí být možnost povolit, blokovat či zalogovat a ohlásit příchozí i odchozí spojení dle nastavených firewallových politik. | |
Nabízené řešení musí umožnit povolit nebo zablokovat síťový provoz v závislosti na oblasti, odkud je spojeni inicializováno nebo kam je realizováno (důvěryhodná zóna, blokovaná zóna a internetová zóna). | |
Nabízené řešení musí být schopno ochránit sdílené adresáře před zneužitím k infikování dalších stanic. | |
Nabízené řešení musí mít schopnost zakázat, povolit nebo si vyžádat zásah od uživatele pro příchozí i odchozí spojení. Tato schopnost musí být realizována na základě aplikace, která spojení inicializovala, využitého protokolu, portu, cílové a zdrojové IP adresy. | |
Nabízené řešení musí disponovat funkcí pro blokování běžných síťových útoků, zejména pak útoků typu denial-of-service. Musí být prokázána spolehlivost a robustnost proti takovým útokům. | |
Nabízené řešení musí disponovat funkcí pro skrytí všech nevyužívaných portů a povolit pouze legitimní aplikace a síťový provoz pro příchozí i odchozí spojení. | |
Řešení musí umožňovat aplikovat různé politiky dle umístění koncové stanice (minimálně uvnitř a vně firemní sítě). | |
Navrhované řešení musí umožňovat automatické nastavení politik v závislosti na stavu zařízení. V případě porušení nastavených politik znemožnit síťovou komunikaci. | |
Navrhované řešení musí disponovat možností vytvářet seznamy aplikací, které mohou komunikovat ze stanice do sítě, a naopak aplikací, které nebudou mít možnost komunikovat do sítě. | |
Navrhované řešení musí být schopné provozu na Windows 7 (32-bit a 64-bit), Windows 7 SP1 (32-bit a 64-bit), Windows Server 2008 R2 (64-bit), Windows Server 2008 R2 SP1 (64-bit), Windows 10 (32-bit a 64-bit), Windows Server 2012, Windows Server 2012 R2, MacOS X. |
Klient pro vzdálený přístup (VPN)
Požadavek | Splňuje (ano/ne) |
Navrhované řešení musí mít integrovanou IPSec VPN funkcionalitu. | |
Řešení musí umožňovat rozdělení komunikace (například přístup do internetu směřovat mimo VPN tunel a přístup do interní sítě směřovat přes VPN tunel). | |
Řešení musí disponovat funkcí automatického přihlášení. | |
Podporovaný typ autentizace musí být minimálně pomocí uživatelského jména a hesla a pomocí klientského certifikátu. | |
Musí být podporována vícefaktorová autentizace. | |
Nabízené řešení musí umožňovat využití funkce jednorázového hesla zaslaného formou SMS ve spojení se standardním uživatelským heslem. | |
Nabízené řešení musí podporovat přechody mezi různými typy sítí bez ukončení spojení (například z kabelového na Wi-Fi, 3G, 4G apod.) | |
Řešení musí podporovat VPN funkci v prostředí za NAT systémem a za firewallem, který nepodporuje IPSec provoz (možnost tunelovat VPN spojení přeš HTTPS). |
Šifrování pevných disků a přenosných disků
Požadavek | Splňuje (ano/ne) |
Šifrování přenosných disků musí být aplikovatelné na USB flash disky, externí pevné disky, paměťové karty atd. | |
Šifrování pevných disků nemůže uživateli umožnit rozhodnout se, zda daný soubor bude šifrovaný nebo ne. |
Šifrování pevných disků
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí zašifrovat celý pevný disk sektor po sektoru včetně oblasti s bootovacími záznamy, operačním systémem, metadaty souborového systému, SWAP oddílem, dočasnými soubory a Windows registry. | |
Nabízené řešení musí zajistit, že celý pevný disk včetně hibernačních souborů zůstane zašifrovaný i v případě, když počítač přejde do hibernačního módu. | |
Nabízené řešení musí být schopno ochránit data a obnovit šifrování při spuštění po výpadku napájení nebo vypnutí systému. | |
Nabízené řešení musí podporovat různé typy pevných disků, například IDE, SATA, SSD. | |
Nabízené řešení musí umožnit autentizaci uživatele nebo koncové stanice při spuštění PC pomocí autentizace heslem a vícefaktorové autentizace pomocí smart karet, hardwarových tokenů, softwarových tokenů apod. | |
Řešení musí podporovat Single-Sign-On přihlášení do systému Windows bez nutnosti zadávat heslo po předchozí preboot autentizaci. | |
Celý proces Single-Sign-On přihlášení nesmí být znatelně pomalejší oproti klasickému přihlášení do Windows (maximální povolené zpoždění jsou 2 sekundy). | |
Preboot prostředí musí být přizpůsobitelné (například vložit logo nebo číslo na helpdesk). | |
Šifrování pevných disků musí být transparentní pro uživatele a nesmí mít znatelný dopad na výkon stanice. | |
Nabízené řešení musí být jednoduché na používání pro koncové uživatele a nesmí vyžadovat žádné dodatečné zaškolování uživatelů. | |
Nabízené řešení musí podporovat více uživatelů i administrátorů na jedné stanici. | |
Nabízené řešení musí umožňovat přihlášení uživatele na více koncových stanic. | |
Řešení musí disponovat funkcí pro vzdálené vymazání dat a/nebo uzamčení počítače. | |
Nabízené řešení musí být kompatibilní s nástrojem EnCase. | |
Nabízené řešení musí být možno provozovat na Windows 7 (32-bit a 64-bit), Windows 7 SP1 (32-bit a 64-bit), Windows Server 2008 R2 (64-bit), Windows Server 2008 R2 SP1 (64-bit), Windows 10 (32-bit a 64-bit), Windows Server 2012, Windows Server 2012 R2, MacOS X, Linux. |
Šifrování pỉenosných disků
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí podporovat šifrování následujících přenosných zařízení: ▪ USB, ▪ paměťové karty, ▪ CD/DVD | |
Nabízené řešení musí být schopno vynucovat šifrovací politiky na přenosných zařízeních bez nutnosti zásahu uživatele. | |
Řešení musí být schopno umožňovat následující šifrovací politiky: ▪ šifrování všech souborů uložených na přenosném zařízení, ▪ automatické šifrování pouze nových souborů uložených na přenosném zařízení z chráněné stanice. | |
Nabízené řešení musí umožnit výměnu šifrovaných dat na přenosných zařízeních prostřednictvím definovaných skupin uživatelů (výměna dat v rámci skupiny) nebo ochranu heslem (pro výměnu dat s externími uživateli). | |
Nabízené řešení musí umožnit autorizovaným systémům dešifrovat přenosné zařízení. | |
Koncový uživatel musí mít možnost specifikovat data, která chce sdílet s definovanou skupinou nebo pomocí ochrany heslem. | |
Nabízené řešení musí být možno provozovat na Windows 7 (32-bit a 64-bit), Windows 7 SP1 (32-bit a 64-bit), Windows Server 2008 R2 (64-bit), Windows Server 2008 R2 SP1 (64-bit), Windows 10 (32-bit a 64-bit), Windows Server 2012, Windows Server 2012 R2, MacOS X, Linux. |
Kryptografie
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí využívat pouze dobře známé kryptografické standardy, konkrétně AES a RSA. | |
Délka kryptografického klíče pro symetrické algoritmy musí být alespoň 256 bitů. | |
Nabízený šifrovací modul musí splňovat FIPS 140-2 standard a certifikaci Common Criteria EAL4. | |
Šifrování pevných disků musí zašifrovat každou stanici s využitím unikátního šifrovacího klíče. | |
Pokud je šifrovací klíč pro šifrování pevných disků uložen na stanici, musí být chráněn před přístupem bez preboot autentizace. | |
Nabízené řešení nesmí zobrazovat šifrovací klíč v čitelné podobě v konzoli pro správu řešení. | |
Nabízené řešení musí podporovat integraci s hardwarovým bezpečnostním modulem pro bezpečnou správu klíčů (například TPM čip). |
Enforcement
Požadavek | Splnění (ano/ne) |
Nabízené řešení musí poskytovat preboot autentizaci ve všech případech: vypnutý PC, zapnutý PC, režim spánku, režim hybernace, offline a online. |
Nabízené řešení musí být odolné v průběhu prvotního šifrování vůči výpadku proudu nebo vypnutí počítače. V tomto případě musí při opětovném zapnutí počítače obnovit proces šifrování. | |
Prvotní proces šifrování musí běžet na pozadí tak, aby uživatel mohl stále používat počítač k pracovnímu výkonu. Proces musí mít minimální dopad na výkon. | |
Jakmile je pevný disk kompletně zašifrován, další šifrování a dešifrování musí probíhat transparentně pro uživatele a na pozadí. | |
Nabízené řešení musí zajistit, že disk image zůstane zašifrován i při použití forenzních nebo zálohovacích nástrojů, které vytvoří image disku. V případě, že je zapnuté šifrování pevných disků, nesmí řešení žádným způsobem ovlivnit operační systém, aplikace, souborový systém nebo jiný bezpečnostní software. Aplikace a soubory musí být přístupné stejně jako normálně. | |
Řešení musí poskytovat funkci pro obnovení zašifrovacích dat bez nutnosti autentizace v preboot prostředí. K tomuto může využít různých obnovovacích postupů. | |
Nabízené řešení musí poskytovat informace o stavu šifrování na každé koncové stanici a prokázat, že zařízení bylo šifrování v době jeho ztráty nebo krádeže. |
Management hesel
Požadavek | Splňuje (ano/ne) |
Hesla nesmí být uložena v čitelné podobě. | |
Hesla nesmí být přenášena v čitelné podobě. | |
Nabízené řešení musí disponovat funkcí proti útokům hrubou silou na prebootovací prostředí. Možné protiopatření mohou být: • Zamknout účet po předem nastaveném počtu neúspěšných pokusů, takovýto účet může být resetován pouze administrátorem. • Dočasné uzamčení účtu a automatické odemčení po určité době. Tato doba se zvyšuje po každém neúspěšném pokusu o autentizaci. • Nabízené řešení musí umožňovat jednoduchý, ale bezpečný přístup ke koncové stanici v případě, že uživatel zapomene heslo. | |
Postup pro obnovení hesla musí splňovat následující kritéria: • Nevyžaduje, aby uživatel nosil disk se šifrovacím klíčem pro obnovení. • Nevyžaduje výměnu šifrovacího klíče nebo hesla během obnovovacího procesu. • Nevyžaduje síťové připojení. • Řešení nesmí zobrazovat heslo v čitelné podobě v konzoli pro centrální správu. | |
Anti-malware
Obecné požadavky
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí být schopno detekovat a odstranit viry, spyware a další malware za využití kombinace technik signaturní detekce, behaviorální analýzy a heuristické analýzy. |
Nabízené řešení musí být možno provozovat na Windows 7 (32-bit a 64-bit), Windows 7 SP1 (32-bit a 64-bit), Windows Server 2008 R2 (64-bit), Windows Server 2008 R2 SP1 (64-bit), Windows 10 (32-bit a 64-bit), Windows Server 2012, Windows Server 2012 R2, MacOS X. |
Enforcement
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí být schopno detekovat přítomnost viru v systémové paměti, boot sektorech a ve všech formách uložených dat na pevných a přenosných discích. | |
Uživatel musí mít možnost provést skenování konkrétních disků, adresářů nebo souborů. | |
Antivirová ochrana musí běžet v reálném čase a musí být možnost spustit skenování na vyžádání. Toto skenování musí mít minimální dopad na výkon koncové stanice. | |
Nabízené řešení musí být schopno detekovat a zastavit všechny pokusy o infekci známým malwarem. | |
akmile je detekován malware, musí být možnost informovat o této situaci uživatele. Řešení musí být schopno provést nápravné kroky k odstranění škodlivého kódu. | |
Řešení musí umožnit přesunutí škodlivého souboru, který nelze žádným způsobem vyčistit, do bezpečného prostředí na lokálním pevném disku. | |
Nabízené řešení musí být schopno proskenovat nejčastější komprimační a archivační formáty souborů – například Microsoft Office dokumenty, ZIP a RAR archivy, JPG, GIF. | |
Nabízené řešení musí mít sebeobranné mechanizmy, které chrání jeho procesy před škodlivými kódy a exploity. | |
Řešení musí mít možnost ověřit konzistenci signaturní databáze. | |
Nabízené řešení musí umožňovat při aktualizaci signaturní databáze stáhnout pouze přírůstky oproti aktuálnímu stavu. | |
Řešení musí umožňovat stažení aktuální signaturní databáze z centrálního serveru nebo z internetu, pokud to je potřebné. | |
Nabízené řešení musí umožňovat nastavit maximální rychlost komunikace mezi stanicí a serverem. | |
Nabízené řešení musí ochránit systém a běžně používané aplikace před přetečením zásobníku. | |
Výrobce řešení musí vydávat aktualizace signaturní databáze alespoň na denní bázi. | |
Nabízené řešení musí být schopno detekovat přítomnost nechtěného škodlivého kódu v reálném čase a odstranit ho. Jedná se například o: ▪ spyware, ▪ adware, ▪ trojské koně, ▪ rootkity, ▪ diallery, ▪ ransomware, ▪ další potenciálně škodlivé nebo nechtěné aplikace. | |
▪ Nabízené řešení musí chránit před instalací potenciálně nechtěných aplikací. |
Pokročilé zabezpečení koncové stanice
Obecné požadavky
Požadavek | Splňuje (ano/ne) |
Řešení musí být plně integrovatelné s dalším bezpečnostním softwarem na koncových stanicích (například anti-malwarová ochrana). | |
Možnost spuštění automatické analýzy vyvolané bezpečnostním produktem třetí strany. | |
Agent na koncové stanici musí zabírat méně než 500 MB v operační paměti za účelem minimalizace dopadu na výkon stanice. | |
Nabízené řešení musí ukládat data na koncové stanici bez nutnosti dalšího přídavného hardwaru. | |
Nabízené řešení musí být schopno izolovat infikovanou koncovou stanici. | |
Nabízené řešení musí být schopno izolovat infikovaný soubor. | |
Nabízené řešení musí umět zablokovat další šíření malwaru. | |
Řešení musí být schopné provozu na operačních systémech Windows. |
Pokročilá ochrana
Požadavek | Splňuje (ano/ne) |
Nabízené řešení musí automaticky identifikovat vstupní bod při infekci malwarem a identifikovat škody napáchané malwarem. | |
Nabízené řešení musí odhalit zero-day a neznámé útoky. | |
Řešení musí umět detekovat komunikaci na C&C server (po infekci). | |
Řešení musí umět detekovat exploity. | |
Nabízené řešení musí umět blokovat útoky bez ohledu na to, zda jsou webové, e- mailové nebo z přenosných zařízení. | |
Nabízené řešení musí umět využívat IOC (indikátory kompromitace) a musí umožňovat tyto indikátory na všech koncových stanicích. | |
Řešení musí poskytovat funkci roll-back, tedy vzít zpátky změny registrů a systému. | |
Nabízené řešení musí umožňovat vložení doplňku do webového prohlížeče (Google Chrome, Firefox, Safari) za účelem detekce zero-day hrozeb a extrakce dat ze stahovaných souborů. |
Sandbox
Požadavek | Splňuje (ano/ne) |
Řešení musí umožňovat detekci zero-day malwaru odesláním podezřelého souboru do sandboxu (on-premise nebo cloud). |
Soubory, které jsou staženy nebo zkopírovány na koncovou stanici musí být odeslány do sandboxu k analýze vůči zero-day útokům. | |
Řešení musí umožňovat paralelní extrakci dat ze souboru, který je ve stejném okamžiku analyzován v sandboxu. | |
Nabízené řešení musí proaktivně předcházet infikovaní koncové stanice způsobem, kdy je originální soubor analyzován v sandboxu, zatímco jsou uživateli vyextrahována data do bezpečného formátu souboru. |
Forenzní analýza
Požadavek | Splňuje (ano/ne) |
Řešení musí nabízet funkci forenzní analýzy | |
Nabízené řešení musí disponovat funkcí analýzy incidentu, která poskytuje kompletní přehled o vektoru útoku, vstupním bodu, hlavních akcích útočníka nebo malwaru a identifikaci škod. | |
Data forenzní analýzy uložená na koncové stanici mohou využívat pouze předem definovanou velikost souborového systému. Jakmile je tato velikost dat dosažena, začnou se postupně přepisovat data od nejstarších. | |
Data forenzní analýzy musí být uložena na koncové stanici a musí být zabráněno neoprávněnému přístupu. |
Reporting
Požadavek | Splňuje (ano/ne) |
Řešení musí umět vytvořit kompletní přehledný report o průběhu útoku. | |
Nabízené řešení musí umět podat administrátorovi reporty s obsahem: • aktivity malwaru na koncové stanici, • forenzního reportu, • kompletního přehledu útoku, • přehledu o všech procesech, které byly malwarem spuštěny | |
Řešení musí zobrazit reputaci souboru ve forenzním reportu. | |
Nabízené řešení musí identifikovat uživatele, který stáhl daný infikovaný soubor z internetu. | |
Nabízené řešení musí identifikovat uživatele, který stáhl daný infikovaný soubor z internetu. | |
Řešení musí umět korelovat více událostí mezi sebou. |
12. Management zranitelností a hardeningové politiky
Dodané řešení musí pokrýt minimálně 4000 IP adres, a to včetně záruky výrobce na 60 měsíců a musí mít následující funkce a parametry:
Architektura řešení
Požadavek | Splňuje (ano/ne) |
On-premise – řešení musí být implementováno v síti Zadavatele a musí být schopno sbírat data a vyhodnocovat zranitelnosti bez nutnosti využití cloudových služeb. | |
Řešení musí být schopno běžet na virtualizované platformě a na operačních systémech RHEL7/CentOS7, aby se nezvyšovaly licenční náklady na OS. | |
Možnost distribuovaného nasazení skenovacích agentů do podsítí Zadavatele s napojením na centrální správu | |
Možnost skenování ze skenovacích agentů umístěných v externí síti (Internetu). |
Centrální správa
Požadavek | Splňuje (ano/ne) |
Podpora zabezpečeného přístup do management konzole pomocí využití protokolu https ze standardních webových prohlížečů. | |
Možnost řízení přístupu podle sledovaných systémů (např. administrátoři z jedné pobočky nebudou mít přístup k systémům z druhé pobočky). | |
Možnost řízení přístupu uživatelů dle předdefinovaných rolí. Možnost nastavení vlastních rolí. | |
Podpora autentizace vůči Microsoft Active Directory. | |
Automatické aktualizace databáze zranitelností. | |
Centrální správa musí disponovat přehledovou obrazovkou, kterou si může uživatel přizpůsobit. V rámci přizpůsobení je požadováno alespoň: • možnost zobrazit nejzranitelnější stroje v síti; • zobrazení nejčetnějších zranitelností v síti; • zobrazení počtu zranitelností uvedených v OWASP Top Ten; | |
Seznam skenovaných aktiv
Požadavek | Splňuje (ano/ne) |
Možnost rychlé identifikace technických aktiv za využití discovery skenování. | |
Možnost kategorizace aktiv na základě operačního systému, IP adres a dalších atributů. | |
Možnost dynamické kategorizace aktiv na základě počtu zranitelností, typu zranitelností, přítomnosti konkrétní zranitelností a dalších atributů |
Skenování zranitelností
Požadavek | Splňuje (ano/ne) |
Možnost definovat šablony skenů pro jednoduché vytváření více stejných skenů pro různé systémy. |
Možnost definovat skenovaný systém pomocí statické a dynamické kategorizace aktiv. | |
Skenování za pomoci časového harmonogramu. | |
Možnost autentizovaného skenu: • OS Microsoft Windows; • OS Linux; • pomocí SSH. | |
Řešení musí obsahovat předdefinované šablony pro jednoduché spuštění skenů zranitelností bez nutnosti složité konfigurace. | |
Možnost definovat vlastní sken bez nutnosti využít předdefinované šablony. |
Kontrola souladu s bezpečnostní politikou
Požadavek | Splňuje (ano/ne) |
Řešení musí být schopno zkontrolovat konfiguraci skenovaného systému vůči standardizovaným bezpečnostním politikám (např. CIS). | |
Řešení musí umožňovat kontrolu konfigurace vůči vlastním bezpečnostním politikám Zadavatele. |
Vyhodnocení výsledků
Řešení musí umožňovat analýzu detekovaných zranitelností a poskytovat minimálně následující informace o zranitelnosti:
Požadavek | Splňuje (ano/ne) |
IP adresa a DNS stroje, na němž byla zranitelnost detekována; | |
operační systém stroje, na němž byla zranitelnost detekována | |
závažnost zranitelnosti | |
CVE zranitelnosti; | |
CVSS skóre | |
datum zveřejnění zranitelnosti | |
datum první identifikace v síti Zadavatele; | |
datum zveřejnění záplaty (v případě, že byla zveřejněna) | |
možnost exploitace a náročnost exploitace | |
popis zranitelnosti | |
návod na odstranění zranitelnosti | |
Řešení musí umožnit filtrovat zranitelnosti dle výše uvedených parametrů | |
Řešení musí poskytovat obrazovku s přehledem: • všech detekovaných zranitelností; • zranitelností detekovaných konkrétním skenováním; • zranitelných strojů specifikovaných IP adresou nebo DNS názvem s počtem zranitelností jednotlivých závažností; • zranitelností seskupených dle portu | |
Řešení musí být schopno oddělit zranitelnosti od položek konfigurace, které nejsou ve shodě s bezpečnostní politikou. |
Řešení musí umožnit vytvoření výjimky pro konkrétní zranitelnost případně snížení její závažnosti. | |
Řešení musí disponovat vlastním ticketovacím systémem s možností vytvořit ticket na konkrétní zranitelnost a přiřadit definovanému uživateli. |
Reporting
Požadavek | Splňuje (ano/ne) |
Řešení musí poskytovat reporting ve formátu PDF a CSV. | |
Možnost využít předdefinovaných šablon. | |
Možnost vytvoření vlastního reportu bez využití šablon. | |
Řešení musí umožňovat vytvořit vlastní report s možností filtrování zranitelností dle parametrů uvedených v prvním bodě kapitoly „Vyhodnocení výsledků“. | |
Řešení musí umožňovat přidání vlastních komponent do reportu (tabulky, grafy, texty), aby si mohl Xxxxxxxxx přizpůsobit reporty svým požadavkům a vytvářet reporty pro různé úrovně managementu. | |
Možnost automatického reportování po vykonání skenu a odeslání na specifikované emailové adresy. | |
Možnost pravidelného reportování za pomoci časového harmonogramu. |
Integrace
Požadavek | Splňuje (ano/ne) |
Řešení musí být schopno integrace na systémy SIEM. | |
Řešení musí být schopno integrace na systémy správy privilegovaných účtů za účelem poskytnutí přihlašovacích údajů pro autentizované skeny. | |
Řešení musí disponovat rozhraním API pro integraci s interními systémy zákazníka. |
Dodávka bezpečnostních politik
V rámci dodávaného řešení požaduje Zadavatel vytvoření bezpečnostních politik:
• textový popis politik ve formátu docx, ve kterém jsou obsaženy všechny položky konfigurace, které je nutné dodržovat a které se kontrolují auditním souborem.
• vypracování checklistů ve formátu XLS – pro každou konfigurační položku politiky
• auditní soubory – importovatelný soubor pro automatizovanou kontrolu konfigurace
Pro platformy uvedené níže, skripty pro automatizovanou kontrolu konfigurace těchto platforem a reporty, které budou vyhodnocovat soulad nebo nesoulad jednotlivých bodů konfigurace s bezpečnostní politikou rozdělených do kategorií (např. kategorie politika hesel, nastavení služeb atd.)
Bezpečnostní politiky jsou vyžadovány pro následující platformy:
Požadavek | Splňuje (ano/ne) |
Red Hat Enterprise Linux 5, 6 a 7 | |
CentOS 7 | |
Microsoft Windows Server 2008, 2008 R2, 2016 | |
Microsoft Windows Server 2012 DC , 2012 R2 DC, 2019 DC |
Microsoft Exchange. | |
Microsoft ISS 8.5 | |
Tomcat | |
VMware esxi, vcenter, vSAN, NSX ve verzi 6.7 | |
Cisco IOS verze 15 | |
Apache HTTPD | |
CheckPoint NGFW | |
F5 | |
Oracle DB 11g | |
Microsoft SQL Server 2008 R2, 2012 ,2014 ,2016 |
13. Nástroj pro sběr a korelaci událostí a logů (SIEM)
Tato část dokumentu shrnuje požadavky na řešení jednotného systému bezpečnostního monitoringu v prostředí zadavatele (dále jen SIEM). Specifikace vychází zejména z platných legislativních požadavků, interních politik, směrnic a nařízení a z praktických zkušeností provozu ICT prostředí zadavatele.
Hlavním požadavkem je vybudování centralizovaného sběru, uchování a vyhodnocení zdrojů (logů) z aktivních prvků sítě, serverů, aplikací, bezpečnostních řešení a dalších. SIEM řešení má zajistit nástrojovou podporu při analýze událostí a logů a poskytnout tak přístup k datům.
Zadavatel požaduje po dodavateli splnění níže uvedených požadavků.
Obecné požadavky
Požadavek | Splňuje (ano/ne) |
SIEM nástroj zajišťuje automatické monitorování bezpečnostního prostředí podnikové sítě v reálném čase. SIEM nástroj integruje bezpečnostní technologie (řešení), síťové routery a switche, Windows a Unix / Linux systémy, aplikačních servery, databázové servery, úložná řešení a další komponenty do jednoho centrálního bodu prostřednictvím standardizovaných auditních záznamů (dále také logů). Nástroj musí být schopen integrace i nestandartního zdroje logů. | |
Řešení musí být schopno identifikovat více skrytých a sofistikovaných útoků v průběhu sběru dat a tyto jednotlivé útoky vzájemně provázat a spojit (dále také korelovat) do jednoho upozornění (dále také alert). | |
Informace o (bezpečnostních) událostech se používají k detekci hrozeb, škodlivých akcí, fraudů a anomálií a na základě této detekce usnadňují následné činnosti v rámci řízení bezpečnostních událostí a incidentů. | |
Řešení musí podporovat certifikaci alespoň CC EAL 2+. |
Požadavky na architekturu
Požadavek | Splňuje (ano/ne) | |||||
Součástí řešení musí být veškerý potřebný hardware, software a licence. | ||||||
Řešení musí komponentami. | umožňovat | šifrování | komunikace | mezi | jednotlivými | |
Řešení musí zajistit integritu všech sbíraných informací. | ||||||
Řešení musí být dostatečně škálovatelné, aby vyhovovalo malému nebo distribuovanému prostředí. Řešení musí mít možnost přidávat další komponenty bez nutnosti výměny hardwaru, softwaru a licencí. | ||||||
Řešení musí zachytit nejméně 5000 trvalých EPS a 25000 maximálních EPS. |
Řešení musí zachytit alespoň 150000 FPM trvalého síťového provozu. | |
Řešení musí být schopno provádět vyhledávání a detekci anomálií v reálném čase. | |
Kompletní řešení musí mít možnosti virtualizace ve VMware prostředí. | |
Řešení musí podporovat nasazení v cloudu i on-premise. | |
Řešení musí podporovat potřebné operační systémy třetích stran a požadavky na softwarové licence. | |
Řešení musí podporovat standardizované úložiště třetích stran, pro uložení záloh dat. |
Minimální požadavky
Požadavek | Splňuje (ano/ne) |
Řešení musí poskytovat jednotné webové rozhraní pro správu všech komponent, analýzu událostí, netflow a síťové komunikace, vytváření reportů, nastavení korelací, správu incidentů atd. dle níže uvedených požadavků. | |
Webové grafické uživatelské rozhraní (dále také GUI) musí podporovat drill down zobrazení detailu pro účely analýzy v minimálním rozsahu: dotaz na konkrétní informaci, filtr a vyhledávání. | |
Řešení musí umět maskovat (dále také obfuskovat) data, která umožní pověřenému pracovníkovi (např. v podobě administrátora) identifikovat a omezit přístup k osobním údajům prostřednictvím segregace rolí a oprávnění. Systém musí umožnit vybrat data (na úrovni metadat), označit je jako citlivá a zamaskovat je. | |
Schopnost zamaskování dat musí být k dispozici v celém systému. | |
Řešení musí bezplatně poskytovat alespoň základní forenzní analýzu malware na end-point zařízeních (dále také EDR) prostřednictvím agentů, které se na koncové zařízení naimplementují. Řešení musí mít možnost rozšíření licence na plnou verzi a to tak, aby se jednalo o plnohodnotné řešení v podobě Endpoint Detection and Reaction (dále také EDR). | |
Řízení EDR agentů musí být umožněno přímo z webového GUI řešení. | |
Řešení musí umět monitorovat funkčnost všech součástí systémů včetně možnosti zasílání upozornění (dále také alertů) o sledovaném stavu minimálně prostřednictvím e-mailu. | |
Řešení musí umožňovat vytvoření různých profilů pro zobrazení logů a pro účely šetření, definovaného na úrovni oprávnění profilu. |
Řešení musí poskytovat alespoň následující časové intervaly pro analýzu/šetření: posledních 5 minut, posledních 10 minut, posledních 15 minut, posledních 30 minut, poslední hodinu, posledních 24 hodin, poslední 2 dny, posledních 5 dní, celý den, všechna data a volitelný časový interval. | |
Řešení musí podporovat volitelné rozšíření (On-Demand Enrichment) – přidání dalšího kontextu během fáze analýzy. | |
Systém musí podporovat zadávání regulárních výrazů během analýzy / šetření. | |
Řešení musí umožňovat analýzu událostí u metadat i u surových (raw) logovaných dat. | |
Řešení musí mít před vytvořený (dále také out-of-the-box) profil a skupiny pro jednotlivé úrovně procesu řešení bezpečnostních událostí (např. pro účely detekce, vyšetřování a reakce). | |
Řešení musí mít v rámci analýzy možnosti kopírování. | |
Řešení musí podporovat úplnou rekonstrukci událostí a možnost reprezentovat rekonstruovanou událost ve formátu metadat nebo formou prostého logu. | |
Generátor pravidel v GUI pro reporty, grafy, alerty a korelace musí být dostatečně flexibilní a bez nutnosti používání komplexního skriptovacího jazyka pro jejich tvorbu. | |
Systém musí podporovat stahování a instalaci softwarových aktualizací přímo prostřednictvím webového GUI nebo v rozhraní příkazového řádku. | |
Systém musí umožňovat centrální monitorování stavu všech komponent systému prostřednictvím webového GUI. Monitorovány musí být alespoň následující parametry – CPU, systémová paměť, paměť alokovaná procesy systému, stav a rychlost zachycení události/logu, disk (fyzický, logický), agregované informace, uptime, OS, využití souborového systému. Veškeré statistiky musí být zobrazeny v grafickém formátu s možností filtrování. | |
Systém musí umožňovat konfiguraci parametrů monitorování jednotlivých komponent včetně možnosti zasílání alertů alespoň prostřednictvím e-mailu. | |
Systém musí mít schopnost alespoň monitorovat zdroj událostí v případě, kdy tento zdroj událostí neposílá logy. | |
Řešení musí umět importovat automaticky nebo manuálně doplňující informace z externích zdrojů pro rozšíření sbíraných logů (například: umístění zdroje logů událostí, vlastník zdroje logu, oddělení, klasifikované informací apod.). |
Řešení musí podporovat princip víceúrovňové indexace (Multi-Index Feeds), která umožní sloučení záznamů z různých zdrojů na základě AND nebo OR logiky předtím, než budou tyto záznamy obohaceny. | |
Řešení musí poskytovat offline nápovědu (dále také tooltips) a online nápovědu s kontextovým vyhledáváním. | |
Řešení musí obsahovat před vytvořené reporty (např. v podobě grafů) v reálném čase formou dashboardů jako např. celkový přehled událostí, identity, provozní logy, síťový provoz, indikátory hrozeb, průnik hrozeb atd. | |
Řešení musí umožňovat vytváření grafů a jejich použití ve vlastních vytvořených dashboardech. | |
Systém musí podporovat dashboard pro řízení incidentů. | |
Systém musí podporovat přístup založený na rolích (dále také RBAC). | |
Řešení musí poskytovat vymezenou roli pro Data Privacy officera / manažera, který má přístup k originálním a vybraným obfuskovaným datům. | |
Řešení musí poskytovat vymezenou roli analytika, který má přístup k obfuskovaným datům a vybraným originálním datům. | |
Systém musí podporovat HTML5 webové GUI. | |
Systém musí podporovat alespoň tyto webové prohlížeče – Chrome, Internet Explorer a Mozilla Firefox. | |
Seznam nejnovějších podporovaných zdrojů událostí musí být připojen k požadavkům. | |
Řešení musí disponovat možností provádět centrální audit a audit přihlašování do řešení. | |
Řešení musí podporovat vytvoření vlastního parseru alespoň ve formátu XML nebo v jazyce LUA. | |
Řešení musí podporovat připojení ke cloudovým službám pro stahování informací jako jsou: pokročilé přetrvávající hrozby (dále také APT), informace o botnetech, informace o škodlivých sítích, indikátory kompromitace a útoků typu Zero-day, doplňující reporty, nově dostupné parsery, reportovací pravidla a grafy. | |
Řešení musí zahrnovat informaci o geografické lokalizaci IP adres (dále také GeoIP) pro účely vyšetřování. | |
Systém musí umět exportovat sbírané logy z webového GUI do formátu Text, XML, JSON a CSV. | |
Řešení musí umožňovat konfiguraci přihlašovacího banneru. |
Řešení musí mít možnost provádět analýzu maskovaných (obfuskovaných) dat. | |
Řešení musí podporovat jednotné webové rozhraní pro správu systému (reporty, notifikace, incidenty, správa konfigurace atd.). | |
Řešení musí podporovat analýzu všech shromážděných dat (logů, paketů, netflow a dat koncových zařízení) prostřednictvím jednoho přehledu v rozhraní (aniž by se při vyšetřování shromážděných dat musel měnit pohled nebo obrazovka v rozhraní). | |
Řešení musí podporovat sběr všech shromažďovaných dat v reálném čase (logy, pakety, netflow a data koncových zařízení). | |
Řešení musí podporovat reporty nad alerty a incidenty. | |
Řešení musí podporovat vlastní přizpůsobení předvytvořených šablon pro reporty. | |
Řešení musí podporovat vytváření uživatelsky definovaných šablon pro reporty a grafy. | |
Řešení musí podporovat korelaci veškerých sbíraných dat (logů, paketů, netflow a dat koncových zařízení) v reálném čase. | |
Systém musí mít podporu nativní integrace s řešeními na koncovém zařízení (EDR). | |
Systém musí sbírat informace o aktivech z řešení na koncových zařízeních pro rozšíření shromážděných dat. | |
Řešení musí nabízet možnost kontextového zobrazení (incidenty, varování, seznamy, koncové stanice, a další relevantní pro danou bezpečnostní události) v průběhu šetření. | |
Všechny komponenty systému musí mít možnost připojení prostřednictvím IPv4 nebo IPv6 adresy. | |
Řešení musí mít zálohovací a obnovovací postupy pro všechny součásti systému |
Požadavky na zabezpečení
Požadavek | Splňuje (ano/ne) |
Systém musí mít možnost volitelně zvolit STIG Hardeningový profil pro všechny systémy. | |
Systém musí podporovat zabezpečenou komunikaci mezi všemi komponentami systému. |
Minimální délka hesla: • Minimální počet velkých písmen • Minimální počet malých písmen • Minimální počet číslic • Minimální počet speciálních znaků • Minimální počet znaků ne-latinské abecedy (zahrnuje znaky Unicode z asijských jazyků) • Zda heslo může, nebo nemůže obsahovat uživatelské jméno • Uživatel si může při prvním přihlášení změnit své heslo | |
Systém musí umožňovat změnu defaultních hesel systémových uživatelů (admin, root atd.). | |
Systém musí podporovat alespoň následující systémová bezpečnostní nastavení: • Doba po, které dojde k uzamčení • Povolená doby nečinnosti • Časový limit pro relace • Uživatelské jméno nezávislé na velikosti písmen • Maximální povolený počet chybných přihlášení • Doba pro vypršení platnosti výchozího hesla uživatele • Upozornit uživatele <n> dní před uplynutím platnosti hesla | |
Systém musí podporovat vytvoření vlastního banneru, který požádá uživatele, aby před přihlášením souhlasil s podmínkami. |
Požadavky na sběr dat:
Požadavek | Splňuje (ano/ne) |
Řešení musí být dostatečně výkonné, aby bylo schopné provádět sběr všech logů současně s analýzou v reálném čase. | |
Řešení musí podporovat statické (XML) a dynamické (regex) parsování logovaných událostí. | |
Řešení musí podporovat sběr NetFlow v9 komunikace bez dodatečných licencí nebo požadavků na hardware. |
Řešení musí podporovat sběr dat ve formátu CEF (Common Event Format). | |
V případě potřeby musí řešení podporovat CEF filtraci nebo mít funkci pro sběr událostí ze specifických zařízení. | |
Systém musí být schopen přijímat logy ze Syslog Relay. | |
Řešení musí být schopno přeposílat syslog zprávy jinému příjemci syslogu. | |
Řešení musí mít schopnost filtrování událostí pro všechny podporované metody sběru zdrojových dat. | |
Řešení musí umožnit vytváření vlastních parserů zdrojových událostí pro systémy nebo aplikace, které nejsou řešením standardně podporovány. | |
Řešení musí poskytovat metodu sběru logů bez agentů. | |
Řešení musí mít schopnost mapovat parser(y) na konkrétní IP adresu nebo FQDN. |
Řešení musí podporovat přinejmenším následující metody sběru:
Požadavek | Splňuje (ano/ne) |
Syslog | |
TCP/UDP multiline syslog | |
TLS syslog | |
ODBC | |
CheckPoint události (OPSEC LEA) | |
HTTP Receiver | |
Cisco NSEL | |
VMware události | |
Oracle | |
SDEE | |
SMB Tail | |
Log File | |
SNMP (v2c, v3) | |
Microsoft Event Log (Windows události) | |
MS SQL | |
NetFlow (v.9) | |
SDEE | |
IPFIX |
Řešení musí být schopno shromažďovat události minimálně z těchto typů zařízení a aplikací:
Požadavek | Splňuje (ano/ne) |
CheckPoint | |
Cisco IOS routery a switche | |
Cisco firewally |
Cisco management systémy | |
Cisco Nexus zařízení | |
Cisco ISA | |
Cisco Wifi controler | |
F5 LoadBalancer | |
F5 WAF | |
VMS | |
Windows a Windows Server | |
Databáze MS SQL | |
MS Exchange | |
Databáze Oracle | |
VMware | |
NIS, RIS, TIS, FARMIS, MPA, MIS, NAV | |
MS SharePoint | |
AD |
Threat Intelligence
Požadavek | Splňuje (ano/ne) |
Řešení musí obsahovat Threat Intelligence funkcionalitu bez nutnosti dokupování další licence. | |
Řešení musí podporovat integraci Threat intelligence systémů třetích stran jako je STIX, TAXII a další. | |
Řešení musí podporovat sdílení hrozeb (možnost oboustranného sdílení informací o hrozbě). Oboustranné sdílení hrozeb musí zahrnovat minimálně poznatky o hrozbě a analytické chování. | |
Řešení musí podporovat obsahovou funkci spoustitelných balíčků, kde lze stáhnout různý obsah jako je například Hunting and Investigation Pack. | |
Řešení musí podporovat obsahovou kategorizaci pro analýzu a šetření založenou na osvědčených detekčních metodách pro pokročilou detekci hrozeb. Kombinací kategorizace a označení mohou analytici při analýze bezpečnostních událostí provádět konkrétněji cílené odhalování a inspekci. |
Požadavky na korelace
Požadavek | Splňuje (ano/ne) |
Řešení musí podporovat korelace v reálném čase. | |
Webové GUI musí poskytovat grafické shrnutí korelovaných událostí. | |
Řešení musí umožňovat otestovat pravidla pro korelaci před jejich nasazením. |
Řešení musí podporovat UEBA (User Entity and Behavior Analytics) jako součást řešení bez dodatečných licencí. | |
Řešení musí podporovat UBA (User Behavior Analytics) k detekci útoků typu C2 (Command and Control), Lateral Movement a další anomálie / útoky na pakety (L2 - L7) a logovaná data. | |
Řešení musí podporovat UBA (User Behavior Analytics) pro zjišťování anomálií v chování uživatelů, i v kombinaci s EDR na koncových stanicích. | |
Nástroj pro analýzu chování uživatelů musí mít možnost analyzovat chování sledované entity / zařízení, uživatelů a procesů za účelem detekce anomálií, malware, beaconing a dalších škodlivých aktivit. | |
Řešení musí disponovat možností nastavení učící doby pro analýzu chování uživatelů prostřednictvím GUI. | |
Řešení musí mít možnost použít obfuskace dat během korelace a tyto data zobrazit až ve výstupu. | |
Řešení musí umožňovat dril-down zobrazení pro další šetření / analýzu přímo ze souhrnné stránky pro korelace událostí. | |
Korelační pravidla musí být vytvářena a spravována v rámci webového rozhraní systému, bez nutnosti instalace dalších nástrojů třetích stran. | |
Systém musí obsahovat předem definovaná korelační pravidla. Předdefinovaná korelační pravidla musí být možné uživatelsky upravovat. | |
Korelační pravidla musí umět vyvolat aletry alespoň přes SMTP, SNMP, Syslog a skriptů. | |
Korelační pravidla musí umožnit rozšíření korelačních alertů o údaje z externích databázových zdrojů (Mongo, Oracle, Postgresql atd.), GeoIP, In- Memory tabulky. | |
Korelační pravidla musí jít importovat a exportovat do a ze systému. | |
Korelační pravidla musí být k dispozici v prostém textu pro snadné kopírování a úpravy prostřednictvím webového GUI. | |
Systém musí poskytovat alespoň následující úrovně závažnosti pro korelační pravidla – kritická, vysoká, střední a nízká. Úroveň závažnosti musí být nastavitelná pro všechna korelační pravidla. | |
Korelační pravidla musí být možné povolit nebo zakázat v webovém GUI. | |
Systém musí podporovat vzájemnou korelaci mezi lokalitami, kde korelované události z různých lokalit mohou být korelovány v jednom (hlavním) korelačním nástroji. |
Požadavky na autentizaci
Požadavek | Splňuje (ano/ne) | ||||
Řešení musí podporovat AD / LDAP, dvoufaktorovou autentizaci (tokeny). | Kerberos, | Radius, | PKI | nebo |
Požadavky na archivaci
Požadavek | Splňuje (ano/ne) |
Řešení musí poskytovat externí archivační platformu pro dlouhodobé uchovávání dat a pro účely prokazování souladu (compliance účely). | |
Řešení archivace musí poskytovat kompresní poměr alespoň 3:1 a umožňovat export dat do zálohovacích / archivačních systémů třetích stran (např.NAS). | |
Řešení archivace musí podporovat selektivní požadavky na uchovávání záznamů s možností vytvářet různé datové filtry a časová kritéria pro archivaci, například ponechat Windows event log číslo "4625" po dobu 6 měsíců a všechny další události po dobu 3 měsíců. Klíčovými požadavky na selektivní uchování logů je rozdělení logů dle různých retenčních dob. | |
Řešení musí podporovat agregaci do skupin pro sdílení agregačních úloh mezi více archivačních zařízení. | |
Řešení musí mít jednoduché možnosti obnovy dat ze záloh. | |
Řešení archivace musí umožňovat provádět analýzu / šetření a používat reportovací funkce přímo z webového GUI. | |
Řešení musí umožňovat systémový monitoring archivační platformy. | |
Řešení archivace musí podporovat minimálně sha256, sha1 a md5 hašovací funkce. | |
Archivační řešení musí podporovat alespoň gzip kompresní algoritmus. | |
Řešení musí podporovat přesun dat alespoň dle zvoleného času nebo intervalu. |
Požadavky na řízení incidentů
Požadavek | Splňuje (ano/ne) |
Součástí řešení musí být i funkcionalita pro řízení incidentů bez nutnosti dokupování dodatečných licencí. | |
Řízení incidentů musí umožnit orchestraci a automatizaci prostřednictvím předdefinovaných postupů pro různé druhy hrozeb. |
Řešení musí umět znázornit jednotlivé incidenty graficky a mít možnost zobrazit detaily incidentů pomocí drill down funkce. | |
Jednotlivé incidenty musí být možné rozšířit o informace z různých zdrojů, jako jsou: AD, seznamy (statické nebo dynamické), Threat Intelligence, informace z koncových zařízení, GRC řešení, jiné události a incidenty. | |
Řízení incidentů musí umožnit zobrazení přehledu incidentů, alertů a nápravných opatření. Všechny přehledy musí umožňovat hloubkovou analýzu, možnost přidávání dalších komentářů / poznámek, změnu stavu incidentu, zvládání a ošetření incidentu a podobně. | |
Řízení incidentů musí umožňovat filtrování. | |
Řízení incidentů musí umožnit prohlížení záznamů s alerty, které incident vyvolaly. | |
Šetření incidentů musí být možné přímo z modulu řízení incidentů. | |
Správa incidentů musí umožnit sběr alertů přinejmenším z varování dle korelačních pravidel, varování na výskyt malwaru a reportingu. | |
Pravidla pro řízení incidentů musí být konfigurovatelná přes webové GUI. | |
Řízení incidentů musí podporovat alespoň nastavení e-mailových upozornění a notifikací. | |
Řešení musí mít schopnost integrovat se na řešení webové detekce hrozeb a zobrazovat všechny vlastní incidenty, i incidenty z webové detekce hrozeb v jednotném webovém rozhraní. |
Požadavky na reporting
Požadavek | Splňuje (ano/ne) |
Systém musí mít pokročilé možnosti reportingu. Přístup k reportům musí být řízen na základě rolí minimálně s následujícími možnostmi: čtení a zápis, pouze čtení, bez přístupu. | |
Systém musí podporovat regulární výrazy (RegEx) pro vytváření reportů. | |
Systém musí podporovat seznamy proměnných, které mohou být použity při vytváření reportů. | |
Reporty musí mít alespoň následující možnosti zobrazení výsledků: tabulkové, plošné, pruhové, bublinové grafy, sloupcové a řádkové zobrazení, koláčové, stupňový řádek, stupňovou oblast, spojnicový a spojnicový plošný. | |
Reporty musí umožňovat přidání volitelných textů jako například záhlaví, text reportu a komentáře. |
Reporty musí mít možnost plánování (ad-hoc, po hodinách, denní, týdenní, měsíční,…). | |
Řešení musí umět zobrazit drill-down detaily pro další analýzu přímo z vygenerovaných reportů. | |
Řešení musí umožňovat export reportů alespoň do PDF a CSV formátu. | |
Řešení musí umět odesílat reporty prostřednictvím e-mailu. | |
Řešení musí poskytovat předdefinované reporty založené na best practice a standardech (PCI, ISO/IEC 27002, SOX, NISPOM). Před definované reporty musí být možné přizpůsobit dle potřeby. | |
Do reportů musí být možné umístit vlastní logo. |
Požadavek | Splňuje (ano/ne) |
Řešení musí podporovat vizuální znázornění různých parametrů jako je zdrojová IP adresa, cílová IP adresa, typ zařízení, hostname, typ protokolu, doména, uživatelské jméno. | |
Řešení musí mít schopnost používat technologii CEP (Complex Event Processing) v korelačním nástroji. | |
Řešení musí bez dalších licencí poskytovat konfigurace Indentity Feed tak, aby se mohly přidat k paketům (logům) Active Directory domény, pracovní stanice a uživatelská jména a ne-Windowsové relace. | |
Řešení pro správu incidentů by mělo být schopno integrace s používaným Help Desk řešením. | |
Řešení musí podporovat vytváření vlastních akcí v kontextovém menu (možnosti po kliknutí pravým tlačítkem myši) pro rychlejší šetření a analýzu, například: • Drill down detaily v nové záložce. • Otevření externí webové stránky pro zobrazení doplňujících informací. • Spuštění skenu pro analýzu malwaru. | |
Řešení musí podporovat workflow pro řízení incidentů, správu porušení pravidel, správy SOC programu, proces řízení bezpečnosti IT rizik prostřednictvím integrace s GRC (Governance Risk Compliance). |
Řešení musí umožňovat integraci s jinými systémy pro řešení bezpečnosti: • Data Loss Prevention (DLP) • GRC (Governance Risk Compliance) • Nástroje pro analýzu malware na koncových zařízeních • Identity Management • NGFW (Next Genration Firewall) • WAF (Web Application Firewall) • EDR (Endpoint Detection and Reaction) • VMS (Vulnerability Management Scanner) | |
Řešení musí mít přístupné REST API UI pro účely automatizace. | |
Řešení musí umožňovat budoucí rozšíření o Data Science, kde lze využít technologii Hadoop. | |
Systém musí poskytovat možnost rozšíření o sběr logů s vysokou dostupností – mód s umístěním zařízení pro sběr logů do vzdálené lokality. | |
Systém musí mít možnost budoucího rozšíření o externí úložiště pro zajištění delší retence dat. | |
Systém musí mít možnost budoucího rozšíření o úložiště pro dlouhodobou archivaci dat. |
Požadavky na síťovou forenzní analýzu
Požadavek | Splňuje (ano/ne) |
Řešení musí pro všechny konkrétní události/alerty zajistit zobrazení všech relevantních informací sloučením informací z paketů a logů. | |
Řešení musí provádět sběr a analýzu plného síťového provozu (na vrstvách v rozsahu L2 - L7). | |
Řešení musí podporovat nativní dešifrování SSL příchozího provozu. | |
Řešení musí poskytovat ENTROPY analýzu síťového provozu bez jakékoliv dešifrovací technologie. | |
Řešení musí podporovat sběr síťového provozu z virtuálních prostředí prostřednictvím řešení třetích stran | |
Parsování síťového provozu musí být prováděno v reálném čase (v paměti) a poté zapsáno na disk. | |
Řešení musí mít možnost povolit síťový parser v režimu "Enable", "Disable" nebo "Transient". Transient režim znamená, že analyzované |
informace se používají během procesu parsování, ale nejsou zapsány na disk. | |
Řešení musí umět generovat a indexovat metadata (typ služby, hostname, zdrojová IP adresa, cílová IP adresa, e-mailový účet, uživatelský účet, přílohy, názvy souborů, operační systém, cílové porty, cílová země, cílové město, zdrojová země, zdrojové město, URL) extrahovaná ze síťového provozu a zpřístupňovat je pro dotazy a analýzu v reálném čase a zároveň umožňovat reporting a alerty. | |
Systém musí umět filtrovat síťový provoz (BPF - Xxxxxxx Packet Filter) před zápisem na disk, aby se zabránilo ukládání zbytečného síťovému provozu jako například: • Důvěryhodné zálohy aplikace / sítě. • Filtrování specifické komunikace mezi segmenty sítě. • Filtrování komunikace pro konkrétní zařízení. • Filtrování komunikace na specifickém portu. | |
Systém musí poskytovat možnosti korelace síťové komunikace a logovaných událostí v jednotném korelačním nástroji. | |
Systém musí umět exportovat síťovou komunikaci ve formátu PCAP z webového GUI. | |
Řešení musí umožňovat analýzu a šetření síťových incidentů pomocí drill down přístupu k určení jejich příčin a odstranění dopadu v analyzované komunikaci. | |
Řešení musí podporovat detekci útoků DDoS nebo podobnou analýzu síťové komunikace. | |
Řešení musí podporovat detekci interních útoků prostřednictvím stanovení základního chování sítě a neustálým porovnáváním sledované komunikace s tímto základním chováním sítě v reálném čase. | |
Řešení musí podporovat automatický alerting na výskyt událostí, které nespadají do sledovaných modelů komunikace. | |
Systém musí umět identifikovat služby botnet sítě na základě Threat Intelligence monitorování síťové komunikace pro známé C&C (command and control) servery. | |
Řešení musí umět detekovat šifrované aplikace v rámci sledované síťové komunikace. | |
Systém musí umožňovat identifikaci a / nebo evidenci použitých aplikací založených na přednastavených třídách jako Peer-to-Peer, Business, Social Media, Streaming, Instant Messaging, Tunneling, Gaming atd. |
Systém musí umožnit generování reportů ke sledování trendů ve využívání síťových zdrojů a plánování jejich kapacit. | |
Řešení musí podporovat sběr síťové komunikace prostřednictvím TAP SPAN a / nebo Mirror portů. | |
Řešení musí podporovat rekonstrukci síťové komunikace (web, e-maily, dokumenty atd.) z vrstev L2 - L7. | |
Řešení musí umět rekonstruovat kompletní relace nejen pakety. | |
Řešení musí umět kombinovat fragmentované relace a být schopno je zrekonstruovat. | |
Řešení musí podporovat různé možnosti rekonstrukce událostí, jako jsou Meta, Hex, Packets, Text, Web, Mail a Files. | |
Řešení musí podporovat plnou obnovu souborů a možnosti jejich exportu. |
Požadavky na forenzní analýzu malware:
Požadavek | Splňuje (ano/ne) |
Systém musí umět provádět analýzu malwaru bez nutnosti dokupovat dodatečné licence a musí být schopen skenovat alespoň 100 malwarových souborů pomocí statických, síťových a komunitních metod analýzy | |
Modul pro analýzu malwaru musí umožňovat rozšíření o další hardwarové zařízení alespoň na následující limity: 1. Neomezené možnosti skenování malwaru pro statickou, síťovou a komunitní analýzu. | |
Řešení musí poskytovat alespoň následující před vytvořené techniky analýzy malwaru: 1. Statická analýza 2. Analýza sítě 3. Komunitní analýza 4. Sandbox analýza | 1. |
2. | |
3. | |
4. | |
Řešení musí automatizovaně analyzovat na výskyt malwaru všechny spustitelné soubory nalezené v síťovém provozu. | |
Řešení musí poskytovat možnost změn / úprav IOC (Indicator of Compromise) pro následující způsoby skenování: 1. Statická analýza | 1. |
2. | |
3. |
2. Analýza sítě 3. Komunitní analýza 4. Sandbox analýza | 4. |
Systém se musí umět integrovat na nástroje pro analýzu malware na koncových zařízeních. | |
Systém musí v rámci analýzy malware podporovat pravidla Yara. | |
Malwarové incidenty musí být předávány do řešení pro řízení incidentů. | |
Systém musí podporovat manuální upload a trackování malware souborů. | |
Řešení musí poskytovat funkci auditu malware. | |
Řešení musí umět hashovat malware za účelem rozlišení správných nebo nesprávných hodnot hashů. |
Požadavky na výkon
Architektura pro sběr logů musí být distribuována napříč primární i vzdálenou lokalitou. Všechny logy ze vzdálených lokalit musí být přesunuty do primární lokality, logy mohou být uloženy na vzdáleném místě pouze na krátkou dobu v případě potíží s připojením mezi primární a vzdálenou lokalitou nebo při výpadku systému v primární lokalitě.
Požadavek | Splňuje (ano/ne) |
Počet zařízení (zdroje událostí): Bez omezení (omezeno pouze výkonem hardwaru) | |
Maximální EPS: Řešení musí být schopno sbírat až 50 000 EPS z primární a vzdálené lokality | |
Trvalý EPS: 1. Řešení musí být schopno trvale sbírat 20 000 EPS z primární a vzdálené lokality 2. Řešení musí být schopno trvale sbírat 10 000 EPS ve vzdálené lokalitě | |
Korelační nástroj: musí být škálovatelný až do 100 000 EPS | |
Síťové karty: 4x 10/100/1000 RJ 45 | |
Datové úložiště: 1. Minimální kapacita 46 TB v primární lokalitě 2. Minimální kapacita 46 TB ve vzdálené lokalitě | |
Možnosti archivace: Vyhrazená appliance s minimálně 46 TB externího úložiště pro účely archivace logů v každé lokalitě | |
Zařízení umístitelné do racku s redundantním zdrojem napájením | |
Systém musí podporovat RAID | |
Doba uchování (data retention) pro online data (bez komprese - RAW logy) pro 10 000 EPS musí být 2 měsíce | |
Doba uchování (data retention) offline dat (archivační účely) musí být nejméně 1 rok |
Síť:
Požadavek | Splňuje (ano/ne) |
Řešení musí být schopno zachytit až 500 Mbps trvalé síťové komunikace | |
Retence online síťové komunikace musí být alespoň 7 dní (500 Mbps) nebo 30 dní (100 Mbps) | |
Datové úložiště: • Minimální kapacita 30 TB v primární lokalitě | |
Síťové karty: 4x 10/100/1000 RJ 45 • Řešení musí mít možnost upgradovat na 10G rozhraní | |
Zařízení umístitelné do racku s redundantním napájecím zdrojem | |
Systém musí podporovat RAID |
Požadavky na instalaci
Požadavek | Splňuje (ano/ne) |
Implementace systému musí být provedena školenými /certifikovanými techniky(viz technické kvalifikační požadavky). |
Požadavky na záruku
Požadavek | Splňuje (ano/ne) |
60 měsíců pro celý systém |
Další požadavky
Požadavek | Splňuje (ano/ne) |
Kompletní řešení musí být od jediného výrobce, aby bylo používáno pouze jedno rozhraní, a tím usnadněno řízení a správa. |
IMPLEMENTAČNÍ POŽADAVKY
Zadavatel požaduje od dodavatele poskytnutí následujících činností v rámci implementace:
Implementační požadavky |
Analýza nasazení SIEM v prostředí zadavatele |
Implementace technologie SIEM do prostředí zadavatele |
Tvorba procesu pro řízení bezpečnostních incidentů |
Konfigurace technologie SIEM (SW, OS) |
Nastavení logování a sběru bezpečnostních záznamů |
Integrace technologie SIEM do infrastruktury zadavatele |
Implementace Use case – zavedení korelací, reportů, vizualizace |
Zkušební provoz a proškolení operátorů technologie SIEM (zkušební provoz v rozsahu 1 měsíc, v průběhu kterého budou provedeny školení operátorů) předání provozní dokumentace |
Předání do plného provozu |
ANALÝZA NASAZENÍ SIEM
Předpokládá se, že SIEM bude přímo napojen na systém pro analýzu rizik a na ticketovací systém a to tak že:
- Logy, události a incidenty budou obohaceny o rizika, assety ze systému pro analýzu rizik
- Na SIEM bude prioritizovat incidenty na základě velikosti rizika
- Systém pro analýzu rizik bude v reálném čase propočítávat rizika z potvrzených incidentů v SIEMu
- SIEM bude automaticky zakládat incidenty v ticketovacím systému a také si vyzdvihne stav řešení incidentu.
Záměrem zadavatele je nechat dodavatele zpracovat analýzu nasazení Security Incident and Event Managementu (dále jen SIEM), který se následně bude implementovat do zadavatelovy infrastruktury. Zadavatel požaduje od dodavatele poskytnutí následujících činností v rámci analýzy:
Implementační požadavky analýzy nasazení SIEM |
Analýza aktuálního stavu infrastruktury zadavatele z pohledu bezpečnostního architekta |
Identifikace a hodnocení aktiv (zdrojů logů) |
Aktualizace analýzy rizik |
Rozšíření katalogu hrozeb |
Tvorba Use Case dle identifikovaných hrozeb |
Stanovení množství EPS a velikosti logovacích záznamů – pro výběr SIEM řešení |
Komparace SIEM řešení pro podmínky zadavatele |
Analýza nasazení SIEM má za cíl posoudit aktuální stav infrastruktury, do které bude SIEM implementován, identifikovat aktiva, která budou SIEM řešením monitorována (dále také zdroje logů) včetně identifikace těch zdrojů, u kterých není možné nativní zasílání logů (dále také custom zdroje). Požadované povinné kroky, formální požadavky a dokumentace, které musí být v rámci dodávky dodány:
Analýza aktuálního stavu infrastruktury zadavatele z pohledu bezpečnostního architekta s cílem zhodnocení současného stavu infrastruktury, topologie a nastavení implementovaných technologií, identifikace nedostatků a návrh kroků vedoucích k jejich odstranění, které povedou ke zvýšení bezpečnosti napříč infrastrukturou zadavatele. Veškeré navržená úprava infrastruktury musí být navržena tak, aby byla co nejvhodněji uzpůsobena provozování SIEM řešení. V rámci analýzy současného stavu musí být minimálně posouzeno:
V rámci analýzy současného stavu musí být minimálně posouzeno: | Splňuje (ano/ne) |
audit síťové infrastruktury a topologie | |
servery, infrastruktura, VMware | |
fyzická vrstva | |
internetová konektivita | |
síťová vrstva | |
síťový monitoring | |
provozní monitoring | |
aplikační monitoring: AMIS*X Xxxxx XXXX Infolab, Mlab RIS TIS | |
Farmis Integrační platforma Mpa MS Exchange Alcatel Micromedics ANET KREDIT MIS NAV AD | |
logování | |
implementované technologie v rámci tohoto projektu a jejich konfigurace |
Identifikace a hodnocení aktiv (zdrojů), která budou připojena a monitorována SIEM řešením s cílem vytvoření registru SIEM aktiv, včetně plánu připojení aktiv pro aktiva, u kterých není možné nativní zasílání logů.
Veškerá identifikovaná aktiva musí být dodavatelem ohodnocena použitím metodiky, kterou dodavatel vytvoří přímo na míru a pro prostředí zadavatele. Tato metodika musí být plně v souladu s interními politikami, směrnicemi a nařízeními zadavatele a zároveň musí respektovat principy uvedené v zákoně č. 181/2014 Sb., Zákon o kybernetické bezpečnosti (dále jen zákon o kybernetické bezpečnosti, nebo také ZoKB) a vyhláškách k němu se vztahujících. Dodavatelem vytvořená metodika musí být v souladu s mezinárodními standardy ISO pro příslušnou oblast.
Dodavatel garantuje zadavateli schopnost připojit identifikované zdroje do SIEM řešení dodáním referencí z realizace projektů na tuto problematiku.
Registr aktiv musí minimálně obsahovat: | Splněno (ano/ne) |
seznam všech standardních zdrojů, které budou připojeny do SIEM řešení, včetně plánu a způsobu jejich připojení | |
seznam všech nestandardních zdrojů, které by bylo vhodné připojit do SIEM řešení, včetně plánu a způsobu jejich připojení | |
identifikaci vazeb mezi jednotlivými zdroji | |
vlastníka odpovědného za dané aktivum (zdroj) | |
hodnocení zdrojů dle dodavatelem vytvořené metodiky | |
způsob připojení zdroje do SIEM řešení | |
časovou známku stanovující prioritu připojení do SIEM řešení |
Zdroje musí být identifikovány minimálně v rozsahu: | Splněno (ano/ne) |
síťové prvky | |
servery | |
koncové stanice | |
aplikace | |
data | |
bezpečnostní technologie |
Aktualizace analýzy rizik - dodavatel v rámci hodnocení aktiv zhodnotí relevantnost hrozeb definovaných v zadavatelově analýze rizik pro jednotlivá aktiva a tuto analýzu rizik aktualizuje.
Rozšíření katalogu hrozeb - dodavatel doplní katalog identifikovaných hrozeb dodaný dodavatelem s cílem rozšíření existujícího katalogu hrozeb o hrozby, které jsou pro zadavatele a činnost jím vykonávanou relevantní a doposud nebyly zohledněny analýzou rizik.
Tvorba Use Case dle identifikovaných hrozeb
Veškeré analýzou rizik definované hrozby dodavatel spáruje s identifikovanými aktivy, včetně vazeb aktiv a na tyto hrozby vytvoří postupy jejich zvládání (dále také Use Case). Tyto páry aktivum – hrozba dodavatel doplní do analýzy rizik.
Dodavatel se zavazuje navržené Use case implementovat do SIEM řešení zadavatele.
Dodavatel jednotlivým Use case přiřadí úroveň kritičnosti na základě metodiky, kterou dodavatel vytvoří přímo pro podmínky zadavatele. Jednotlivé Use case budou na základě této metodiky kategorizovány a bude jim přiřazena kritičnost v SIEM řešení.
Dodavatel vytvoří pro zadavatele seznam jednotlivých navržených Use case a to v minimálním rozsahu:
Požadavek | Splňuje (ano/ne) |
identifikátor Use case | |
popis Use case | |
doporučenou kritičnost Use case | |
status Use case | |
výčet hrozeb, které daný Use case reflektuje | |
výčet aktiv a jejich vazeb, která jsou daným Use case chráněna | |
zdrojové data, která jsou pro daný Use case nezbytná |
Dodavatel vytvoří a naimplementuje do SIEM řešení Use case, a to se specifikacemi:
- Use case budou vycházet z hrozeb identifikovaných analýzou rizik a budou tyto hrozby reflektovat.
- Use case budou zohledňovat aktuálně implementované bezpečnostní technologie
o Use case budou zohledňovat nově implementované bezpečnostní technologie, které jsou součástí tohoto RFP.
o Veškeré vytvořené Use case dodavatel zdokumentuje v textovém editoru a předá zadavateli dokumentaci ve výše uvedeném rozsahu.
- Dodavatel vytvoří use case v minimálním rozsahu pro:
přihlášení a odhlášení uživatelů; |
neúspěšné pokusy o autentizaci uživatele; |
ochrana zpracovávaných a uložených informací; |
výskyt virů na počítačových stanicích a serverech, |
ochrana proti škodlivému softwaru; |
neúspěšné pokusy o přístup k datům; |
neúspěšné pokusy o neoprávněné operace; |
neúspěšné pokusy o přístup k prostředkům a datům, které souvisí s bezpečností; |
změny privilegií a bezpečnostních atributů uživatelů; |
změny nastavení bezpečnostních systémových parametrů; |
změny přístupových práv; |
poškození, ztráta nebo zablokování bezpečnostních auditních záznamů; |
neoprávněné přístupy nebo pokusy o neoprávněné přístupy k IS, databázovým zdrojům a sítím; |
bezpečná vzdálená komunikace s IS; |
správa operačního systému a programového vybavení; |
ostatní události relevantní z hlediska ochrany dat a IS, podezření na útok nebo útok proti IS). |
Na výše definované a další Use case dodavatel vytvoří a naimplementuje zadavateli min. 400 pravidel do SIEM řešení.
Stanovení množství EPS a velikosti logovacích záznamů – pro výběr SIEM řešení
Dodavatel v kooperaci se zadavatelem a na základě předchozích kroků vypočte množství událostí za sekundu (dále jen EPS). Dodavatel na základě předchozích kroků vypočte velikost logovacích záznamů a tento návrh předloží zadavateli.
- Dodaným výstupem bude: textový editor ve formátu .doc/.pdf/, ve kterém bude popsán výpočet a hodnota EPS a velikosti logovacích záznamů.
Komparace SIEM řešení pro podmínky zadavatele
Dodavatel na základě informací z předchozích kroků vytvoří porovnání SIEM řešení tak, aby splňovali požadavky a potřeby zadavatele.
- Dodaným výstupem bude: textový editor ve formátu .doc/.pdf/.pdf, ve kterém budou porovnána SIEM řešení různých výrobců splňující výše uvedená kritéria.
- Dodavatel se zavazuje, že SIEM řešení, které vytvořil pro zadavatele je také schopen implementovat.
Tuto skutečnost dodavatel doloží příslušnými certifikacemi na konkrétní SIEM řešení.
- Dodavatel se zavazuje, že informace uvedená v porovnání jsou přesná a reálná.
14. Systém pro analýzu a správu rizik
Dodavatel pro podmínky zadavatele navrhne systém řízení organizace, správu rizik a dosažení shody s legislativními a normativními požadavky (dále také Governance, Risk and Compliance, nebo také GRC).
Dodavatelem se zavazuje, že jím navržený systém bude v souladu s interními politikami, směrnicemi a nařízeními, které se na tuto oblast váží.
Dodavatelem navržené GRC řešení musí splňovat následující obecné požadavky:
Požadavek | Splňuje (ano/ne) |
Řešení je modulární a umožňuje budoucí rozšíření nástroje. | |
Podporuje standardy a legislativu pro řízení bezpečnosti a procesů (ISO/IEC 27001, PCI DSS, SOX) a poskytuje rámec pro snadnou implementaci specifických požadavků (legislativa ČR, nařízení ČNB a další). | |
Lze přizpůsobit procesům a postupům zavedených zadavatelem. | |
Poskytuje nástroje pro snadný import dat do definovaných struktur (již existující evidence, reporty atd.). | |
Veškeré změny provedené uživateli jsou v nástroji zaznamenávány a ukládány do historie. | |
Řešení umožňuje definovat workflow (schvalovací, validační, eskalační, …). | |
Řešení obsahuje široké možnosti reportování – desítky přednastavených reportů, snadné vytváření reportů na míru. Každý uživatel musí mít možnost si jednoduchým postupem vytvořit vlastní reporty. |
Zadavatel požaduje od dodavatele poskytnutí následujících činností v rámci implementace nástroje pro správu a vyhodnocení rizik:
Implementační požadavky nástroje pro správu a vyhodnocení rizik |
Úvodní analýza a identifikace současného stavu |
Instalace SW řešení |
Úprava SW řešení pro potřeby organizace |
Migrace a integrace dat |
Podpora zavedení mezi uživatele |
Úvodní analýza a identifikace současného stavu
Dodavatel identifikuje v rámci úvodní analýzy a identifikace současného stavu zejména:
- Stávající hlavní procesy a jejich atributy (vstupy, výstupy, workflow, vlastníci procesů, aj.)
- Vstupní data a jejich zdroje (např. zdrojové databáze, podpůrné aplikace, aj.)
- Metodiky, které mají být zpracovány (např. metodika analýzy rizik, proces řízení bezpečnostních incidentů, aj.)
- Podpůrné procesy, které jsou na hlavní procesy navázány
Instalace SW řešení
Dodavatel provede instalaci SW řešení do infrastruktury zadavatele.
Úprava SW řešení pro potřeby organizace
Dodavatel na základě informací z úvodní analýzy a identifikace současného stavu upraví SW řešení dle potřeb a pro podmínky VŘ.
Dodavatelem navržená úprava musí zohledňovat zadavatelovy hlavní procesy a jejich atributy a tyto procesy musí být dodavatelem implementovány do SW řešení.
Dodavatel v kooperaci se zadavatelem navržené úpravy otestuje. V případě potřeby dodatečných úprav SW řešení se dodavatel zavazuje tyto úpravy realizovat po dobu poskytnuté záruky.
Migrace a integrace dat
Dodavatel naplní databázi GRC řešení iniciačními daty. V rámci naplnění databází se dodavatel zavazuje k:
- Nahráním dat z datových souborů, obvykle typu CSV, prostřednictvím datových importů
- Nastavením integrací s databázemi
Podpora zavedení mezi uživatele
Dodavatel poskytne zadavateli podporu formou školení v rozsahu 3 člověkodní pro uživatele GRC řešení s tím, že jednotlivým zájmovým skupinám v prostředí zadavatele představí řešení jako celek a jeho jednotlivé části, které budou uživatelé využívat pro svou práci.
Dodavatel poskytne zadavateli podporu formou školení pro administrátory v rozsahu 2 člověkodní a to tak, aby mohly být prováděny zásahy do řešení bez účasti dodavatele.
Požadavky na systém:
Požadavek | Splňuje (ano/ne) |
Řešení musí nabídnout nástroje pro správu problémů nebo schopnost tento nástroj nastavovat v souladu s neustálým vylepšováním procesu. | |
Systém musí automaticky generovat zprávy o nesprávných odpovědích z dotazníkových kampaní. | |
Systém musí nabídnout schopnosti vytváření, přidělování a sledování problémů | |
Systém musí počítat zbytkové riziko i na základě již provedených nápravných opatření. | |
Systém musí nabídnout standardní konsolidované řešení správy problémů napříč organizací. |
Systém musí umožňovat sesbírat a dále poskytovat rizika, problémy a všechny ostatní nálezy, které nejsou v shodě s politikami na nejnižší možné úrovni a také je umět logicky seskupovat. | |
Systém musí umožnit manuálně vkládat různé další vstupy, které jsou považovány za problém nebo nález (jako incidenty, hodnocení rizik, audity apod.) | |
Systém musí poskytnout schopnost nastavit si frekvenci vytváření a posílání sledovaných problémů. | |
Systém musí zadavateli umožnit jasně přidělovat vlastnictví jednotlivých problémů. | |
Systém musí přidělovat nálezy zodpovědným řešitelům automatizovaně. | |
Systém musí poskytnout schopnost dokumentování, sledování a vyhodnocení správného výstupu / schvalování všech problémů. | |
Systém musí umožnit automatizovaně provádět všechna hlášení, aktualizace stavů i nutné eskalace. | |
Řešení musí umožnit nejen sledovat a oznamovat problém, ale zároveň dodávat i stavy nápravných opatření. | |
Systém musí nabídnout zprávy o kritických nálezech, dílčích stavech problémů a také pokroky v nápravných opatřeních. | |
Řešení musí umožnit přidělování závažnosti problému na základě subjektivního pocitu auditora. | |
Řešení musí umět omezit přístup k nálezům a pokroku v řešení na konkrétní osoby/role. | |
Systém musí umožňovat sběr a skladování odpovědí k jednotlivým problémům od managementu. | |
Systém musí mít připravenu strukturu správy předschválených výjimek, ale také musí umožnit tuto strukturu přizpůsobovat potřebám firemního procesu. | |
Systém musí umožnit řídit výjimky s odpovídajícímm přijetím rizika. | |
Systém musí podporovat vložení časově omezených žádostí o výjimky z politiky, sledovat konce výjimek a předem informovat příslušné strany. | |
Systém musí podporovat jasně definovaný proces žádosti o výjimku nebo změnu v politikách společnosti. | |
Systém musí mít připravenu strukturu správy nápravných opatření, ale také by měl umožnit tuto strukturu přizpůsobovat potřebám firemního procesu. | |
Systém musí přiřazovat nápravná opatření všem nálezům, na které je v opatřeních odkazováno. | |
Řešení musí soustředit plány nápravných opatření z různých zdrojů {jako řízení rizik a shody s firemní politikou nebo výstupy z auditů} na jedno místo. | |
Řešení musí organizaci umožnit jasné přidělování vlastnictví nápravných opatření, jejich správné přidělování zodpovědným osobám ke správě, sledování a vyhodnocování schvalovacího procesu a výstupů a v případě nutnosti i jejich eskalaci. | |
Řešení musí stejně dobře umět sledovat a hlásit problémy i nápravná opatření. | |
Řešení musí poskytovat zprávy, o propásnutých nálezech a protahujících se nápravných opatřeních. | |
Systém musí poskytovat oznámení, která třídí nálezy podle procesů, oddělení, divizí nebo jiné organizační jednotky. | |
Systém zahrnuje základní metodologii analýzy podnikových dopadů (BIA), která může poskytnout společnou strukturu pro organizaci. |
Systém musí obsahovat registr záznamů o procesech a jejich atributy, jako popis, umístění, personál atd. | |
Metodologie analýzy dopadů (BIA ) musí obsahovat různé druhy kategorií hodnocení závažnosti procesu. | |
Metodologie analýzy dopadů (BIA) musí obsahovat standardizované propočty k procesům (cílový čas a objekt obnovy / RTO,RPO) vedoucí k celkovému hodnocení závažnosti jednotlivých aktiv. | |
Metodologie analýzy dopadů (BIA) musí podporovat postupnou hloubkovou analýzu dopadů tak, aby procesy dle závažnosti, RTO's a RPO's (cílový čas a objekt obnovy) mohly být zděděny podpůrnými zařízeními a aplikacemi. | |
Systém musí obsahovat atributy a data o procesech získané na základě ostatních GRC procesů, jako jsou profily rizik, kontinuita, shoda s organizačními politikami, Incidenty apod. | |
Systém musí obsahovat vlastnosti pro skupinu lidí zabývající se řízením kontinuity organizací (BCM) tak, aby mohla provádět nebo měnit metodologii analýzy dopadů napříč organizací. Navíc systém musí umožnít sledování metologií procesů, které nejsou správně aktualizované. | |
Systém musí zahrnovat pracovní postup pro více účastníků procesu Metodologie analýzy dopadů (BIA), včetně vlastníka procesu a dalších, kteří mohou potřebovat dodávat vstupy. Systém dále musí zahrnovat přezkoumávání ostatních úrovní týmem BCM (řízení kontinuity organizací). | |
Systém musí umožnit mapování procesů na jejich podpůrnou infrastrukturu, dodavatele a personál. | |
V systému musí být zaznamenávány i závislosti na ostatních procesech. | |
Metodologie analýzy dopadů (BIA) musí bý každý rok aktualizována nebo vyrobena zcela nová. | |
Systém musí umožňit archivovat a spravovat jednotlivé Metodologie analýzy dopadů (BIA). | |
Administrátoři musí mít možnost resetovat uživatelská hesla, nastavovat bezpečnosnostní pravidla a řídit pravidla politiky hesel | |
Systém musí poskytovat předkonfigurované uživatelské/adminstrátorské role | |
Systém musí bý schopen bezproblémové integrace se systémem Active Directory a LDAP (Lightweight Directory Access Protocol). | |
Systém podporuje autentizační protokol SAML 2.0 | |
Systém musí umožňovat rozšiřirovat implementované a přidávat nové "use cases" (případy užití) za pochodu. | |
Jednotlivé Use cases (případy užití) umožňují přidání dalších polí/atributů bez zásahu profesionálních služeb dodavatele. Vzorce nebo kalkulace použité v polích/atributech musí umožnit jednoduše měnit lokálním administrátorem bez zásahu služeb dodavatele. | |
Systém musí umožnit uspořádání a přizpůsobení uživatelského rozhraní | |
Systém musí umožňit sestavovat vztahy mezi aktivy (např. vztah zařízení k prostředí, ve kterém je instalováno). | |
Systém musí dokázat zdokumentovat organizační schéma organizace. | |
Systém musí dokázat zmapovat organizační infrastrukturu včetně produktů a služeb, procesy, informační aktiva, budovy, zařízení i personál. |
15. Service desk systém
Předmětem je zajištění nového procesně-analyticko-řídícího nástroje ServiceDesk pro 50ti členný řešitelský tým, který bude plně v souladu s best-practices ITIL V3.
Požadavky na systém:
Požadavek | Splňuje (ano/ne) |
Certifikace PinkVERIFY, ITIL v3.+ | |
Založení ticketu | |
Přiřazení ticketu řešiteli | |
Nastavení termínu vyřešení kritičnosti | |
Automatická historie a audit | |
Možnost definování procesů | |
Reporting | |
Definice SLA pro různé projekty | |
Definice služeb, přístupů, rolí | |
Definice schvalovacích pravidel | |
Integrace na AD a email | |
Automatické zakládání ticketů z emailů | |
Incident, problém change, service management | |
Aplikace musí běžen ana systému linux a musí používat opensource databázi |
16.Multifunkční čipové karty a čtečky
V rámci řešení vícefaktorové identifikace uživatelů zadavatel požaduje dodat 6500 ks multifunkčních idedentifikačních karet (parametry viz níže) a 2500 ks čtecích zařízení karet integrovaných do plnohodnotné PC klávesnice (připojení k PC přes USB port, délka kabelu 180 cm, odpovídající vestavěná čtečka čipových karet, česká lokalizace, numerická klávesnice).
ID karty s podporou PKI, EMV pure a Mifare
Požadovaná podpora minimálně těchto certifikačních autorit:
Poskytovatelé | Kvalifikované služby |
Česká pošta, s. p. IČO: 47114983, Olšanská 38/9, PSČ 225 99 Praha 3 | Vydávání kvalifikovaných certifikátů; Vydávání kvalifikovaných systémových certifikátů; Vydávání kvalifikovaných časových razítek. Vydávání prostředků pro bezpečné vytváření elektronických podpisů. |
X.XX IČO: 26439395 Podvinný mlýn 2178/6 PSČ: 190 00, Praha 9 - Libeň | Vydávání kvalifikovaných certifikátů; Vydávání kvalifikovaných systémových certifikátů; Vydávání kvalifikovaných časových razítek. |
eIdentity a. s. IČO: 27112489, | Vydávání kvalifikovaných certifikátů; Vydávání kvalifikovaných systémových certifikátů; |
Vinohradská 184/2396, PSČ 130 00 Praha 3 | Vydávání kvalifikovaných časových razítek. |
16.1. Hybridní karta: contact PKI/contactless EMV
Je požadována dodávka typu hybridních QSCD čipových karet s podporou bezkontaktního čipu s aplikací pro elektronické poukázky a kontaktním čipem s personalizovanou PKI aplikací. Formát čipové karty ID-1. Bezkontaktní čip zároveň musí sloužit pro identifikaci držitele v rámci bezkontaktních systémů organizace.
Zařízení musí podporovat vytváření kvalifikovaného elektronického podpisu dle nařízení eIDAS a disponuje platnou QSCD certifikací. Současně dovoluje v kontaktním čipu hostovat certifikáty z jiných certifikačních autorit než akreditovaných, zejména jde o podporu uložení doménových certifikátů.
Vlastnosti kontaktního čipu:
Všechny operace s privátním klíčem musí probíhat uvnitř čipu – klíč neopustí prostředí karty. Privátní klíč uložený na kartě nelze z karty vyexportovat. Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu. Karta musí podporovat ověření původu klíče prostřednictvím výpočtu kryptogramů na kartě a jeho komparaci s výpočtem na serveru. Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány (např. ze souborů PkcS#12). Podpora importu klíčů musí být integrována v ovládacím software ke kartě a nevyžaduje tak pořízení jiné aplikace. Zejména se jedná o proces bezpečné zálohy šifrovacích klíčů. Ke klíčovým párům lze na kartu uložit i příslušné certifikáty.
Mimo kvalifikované podepisování karta musí podporovat vytváření kvalifikované pečeti podle náležitostí nařízení eIDAS. Karta je v souladu se standardem CC EAL5+.
Čipová karta musí být v souladu se standardem EN 419 211 a profily:
Požadavek | Splňuje (ano/ne) |
BSI-CC-PP-0059 | |
BSI-CC-PP-0075 | |
BSI-CC-PP-0071 | |
BSI-CC-PP-0072 | |
BSI-CC-PP-0076 |
Soulad s technologickými standardy:
- ISO 7816 4, 5, 6, 8, 9, 15
a. PC/SC (interoperabilita čteček)
b. CCID
- Javacard, GlobalPlatform (platforma čipu)
- Smart card minidriver Specification
- MS cryptoaPi (caPi)/ (caPi2), cryptography next Generation (cnG)
- Microsoft Base Smart card crypto Provider/microsoft Smart card key Storage Provider
- PKCS#11
- MS Xenroll / certenroll (generování žádostí o certifikáty)
Kontaktní čip musí splňovat specifikaci a formáty běžných pro toto zařízení:
Požadavek | Splňuje (ano/ne) |
PKCS#7 (formát zabezpečení dat) | |
PKCS#12 (import klíčů) | |
PKCS#10 (žádosti o certifikáty) | |
X.509 (certifikáty) | |
S/mime (zabezpečení e-mailových zpráv) | |
EN 419212 (former EN 14890) (formát el. podpisu) |
Podporované budou minimálně kryptografické algoritmy:
Požadavek | Splňuje (ano/ne) |
Symetrické: 3DES, AES 128, 192, 256 | |
Hash: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 | |
RSA: 1024, 2048 bitů (generování i import), 3072, 4096 bitů (pouze import, nelze generovat) | |
Eliptické křivky: NIST P-224, P-256, P-384, P-521 |
PKI aplikace musí podporovat:
Vytváření elektronického podpisu na bázi certifikátů ve formě:
Požadavek | Splňuje (ano/ne) |
kvalifikovaného elektronického podpisu | |
zaručeného elektronického podpisu | |
uznávaného elektronického podpisu | |
jiné formy elektronického podpisu |
Dvoufaktorovou autentizaci na bázi certifikátů X.509 do PC (prostředí Microsoft AD/Smartcard Logon, webových služeb, VPN, aplikací), možnost uložení certifikátů třetích stran, zabezpečení komunikace na bázi e-mailů (S/MIME, elektronický podpis a šifrování e-mailů), archivaci privátních klíčů v procesech vydávání šifrovacích certifikátů, generování a práce s RSA a ECC klíči v čipu, podpora PUK pro odblokování PIN a QPIN, zablokování PIN a QPIN resp. PUK po opakovaném chybném zadání PIN/QPIN, resp. PUK (konfigurovatelný počet pokusů), podpora změny PIN pomocí standardního logon desktopu MS Windows, od verze Win7.
Čipová karta musí podporovat získání následného certifikátu prostřednictvím aplikace pro automatizovanou obnovu certifikátů. Tato služba předpokládá napojení na akreditovaného poskytovatele kvalifikovaných služeb.
Ověření původu klíče pro kvalifikovaný podpis musí karta podporovat na bázi principu kryptogramu vygenerovaného kartou a jeho ověření na serveru akceptované více akreditovanými CA v ČR.
Dodaná karta musí minimálně podporovat následující počet míst pro uložení klíčů a rozložení paměti karty:
- Minimální počet pro uložení klíčů je 16 kontejnerů.
- Přičemž do kontejnerů je možné uložit různé délky klíčů příslušného algoritmu, a to v podporované délce:
a. RSA / kvalifikovaný: 4x
b. RSA / komerční: 6x
c. ECC / kvalifikovaný: 3x
d. ECC / komerční: 3x
Karta musí podporovat dvě oblasti pro uložení kvalifikovaných a nekvalifikovaných certifikátů, přičemž každá oblast má svůj PIN s ohledem na rozlišení pinové politiky:
- PIN (komerční):
x. xxxxxx 4 - 16 číslic
b. nastavena 4-místná konstantní hodnota
c. počet neúspěšných pokusů před zablokováním: 3
d. není vyžadována změna před prvním použitím PIN
e. PIN je možné pro operaci s komerčními certifikáty cachovat
f. lze odblokovat pomocí PUK
- QPIN (kvalifikované):
x. xxxxxx 5 - 16 číslic
b. nastavena 5-místná konstantní hodnota
c. počet neúspěšných pokusů před zablokováním: 3
d. je vyžadována změna před prvním použitím QPIN
e. lze odblokovat pomocí PUK
- PUK:
x. xxxxxx 8 - 16 číslic
b. nastavena 8-místná konstantní hodnota
c. počet neúspěšných pokusů před zablokováním: 5
d. není vyžadována změna před prvním použitím QPIN
e. nelze odblokovat
Vlastnosti bezkontaktního čipu:
Bezkontaktní čip musí obsahovat aplikaci pro elektronickou poukázku na bázi EMV. Bezkontaktní čip pobeží na technologii 13,56 MHz a podporuje emulaci bezkontaktního čipu Mifare Classic/Mifare DESFire (1K, 4K).
Požadované parametry a certifikace EMV:
DES/ 3DES RSA SHA1/SHA256
Podpora kryptografie EMV:
MASTERCARD: M/chip Advance v1.1 – certifikované
VISA: VSDC2.8.1g – certifikované; DualVSDC v4.7 – certifikované
JCB: JSpeedy – certifikované
EMV CCD: PURE v1.5.3 – certifikované
CUP: PBOC 3.0 – certifikované
Certifikace EMV:
Příprava/stav dodané karty:
Inicializovaná PKI aplikace s PIN, QPIN a PUK. Konstantní QPIN s vynucením změny na novou hodnotu. PIN a PUK dynamická hodnota vytištěná v diskrétní zóně přiloženého PIN formuláře a zalepena do distribuční obálky. Základní design těla karty podle požadavků Zadavatele. Personalizace karty zaměstnaneckými údaji bude probíhat v rámci organizace. Předání seznamu personalizovaných karet, pro import do evidence. U každé karty bude uvedena hodnota UID bezkontaktního čipu, číslo kontaktního čipu.
Bezkontaktní čip je dodán v tovární konfiguraci (bez zápisu dat či klíčů) s aplikací EMV pro elektronické poukázky.
Ovládací software pro karty:
Čipové karty budou dodány s ovládacím software pro integraci kontaktního čipu karty do operačního systému. Použití ovládacího software nebude vyžadovat dokoupení servisní podpory nebo další aplikace k licenci karty. Vlastnosti ovládacího software:
Ovládací software musí podporovat přenos veřejných dat z aplikace karty do centrální evidence. Jedná se zejména o obsah čipu, změny PIN, QPIN, PUK a kdo změny na kartě provádí. Získána data budou sloužit pro sestavení kompletního obrazu karty v organizaci v průběhu jejího života. Tato součást bude součástí každé pracovní stanice, kde se karta používá.
Odpovídá specifikaci Microsoft Smart Card minidriver for Windows Base CSP V7.07 anebo novější. Podpora Microsoft CryptoAPI, Microsoft CNG i PKCS#11.
Použití na OS:
MS Windows 7 anebo vyšších verzích; verze pro 32-bitové i 64-bitové systémy. Linux – LTS (Long Term Support) verze pro Ubuntu a RHEL (PKCS#11).
OS X (PKCS#11).
Mobilní zařízení s OS Android a iOS – implementována je podpora minimálně 2 výrobců BT čteček.
16.2. Aplikace pro správu čipových karet
Základním předmětem dodávky je dodat SW aplikace pro správu hybridních karet a certifikátů s licencí na dobu neurčitou. Vybudovat hierarchii doménových certifikačních autorit. Certifikační autority postavené na platformě MS Windows Server a umožnit z nich výdej požadovaných infrastrukturních a uživatelských certifikátů.
Pro podporu práce s kartami a certifikáty dodá dodavatel aplikace, které budou podporovat níže popsané funkce:
Registrační pracoviště pro doménovou autoritu, správa a potisk karet
Pro správu karet bude dodána aplikace (subsystém), která:
- Implementuje centrální evidenci provozovaných karet, jejich držitelů, stavů a historie.
- Obsahuje auditní informace o bezpečnostně citlivých operacích, které byly prováděny s provozovanými kartami. (Např. vydání / odebrání / ztráta / nalezení karty, apod.). Auditní údaje musí obsahovat také čas provedené operace a informaci o uživateli, který danou operaci provedl či autorizoval.
- Obsahuje informace o certifikátech, vydaných na provozované čipové karty. V jednom systému jsou evidovány jak certifikáty vydané akreditovaným poskytovatelem, tak interní doménovou certifikační autoritou.
- Opírá oprávnění přístupu k informacím v evidenci o uživatelské oprávnění v Active Directory. (Oprávnění přístupu do evidence karet jsou řízena na základě členství uživatelů v definovaných doménových skupinách.)
- Umožňuje vyhledávat a prohlížet informace v evidenci karet.
- Podporuje vydávání certifikátů z interní certifikační autority, v doméně MS Windows. Certifikáty jsou vydávány na základě definovaných šablon (certificate template). Podporovány musí být obvyklé mechanismy vydávání certifikátů v doméně, vč. archivace šifrovacích klíčů, certifikáty pro Smartcard Logon, automatické doplňování údajů do certifikátů z Active Directory, apod…
- Podporuje funkce pro import informací o nově dodaných kartách. (Soubory s informacemi o kartách bude dodavatel dodávat spolu s každou množinou nově dodaných karet.)
- Podporuje dotisk osobních údajů na karty, jako součást procesu přidělení karty držiteli. Alespoň část informací o držiteli karet bude aplikace čerpat přímo z Active Directory. (Držitelé karet budou mít účet v Active Directory.) Provedení dotisku proběhne na pracovišti správy karet, v prostorách nemocnice. Dotisk bude zahrnovat pouze osobní údaje držitele, popř. pracovní zařazení apod.
- Vhodným způsobem podporuje navržené stavy životního cyklu karet a usnadňuje tím úkony pro správu karet.
- Běží na operačním systému MS Windows 7 nebo vyšších verzích; verze pro 32-bitové i 64-bitové systémy
- Je lokalizována do češtiny.
16.3. Implementace PKI zadavatele
Zadavatel hodlá do své infrastruktury doplnit bezpečnostní vrstvu, vybudovanou na bázi PKI. Implementace PKI by měla doplnit bezpečnostní funkce, jako jsou např.:
- Zabezpečení komunikace (SSL apod…)
- Autentizace serverů vůči počítačům a uživatelům
Část PKI je určena pro vydávání uživatelských certifikátů na čipové karty a následné zavedení 2-faktorové autentizace (náhrada autentizace jménem / heslem).
Pro implementaci PKI je zvolena technologie, které je nativně podporována v prostředí Active Directory: certifikační služba na platformě MS Windows Server. Díky této technologii bude dosaženo podstatného navýšení bezpečnosti s minimálními náklady na integraci.
V rámci prostředí bude vybudována hierarchie certifikačních autorit. Vybudované certifikační autority budou podřízeny pod jedinou kořenovou CA.
- V prostředí budou provozovány 2 vydávající CA:
o jedna pro vydávání uživatelských certifikátů,
o druhá pro vydávání certifikátů serverům, počítačům a infrastruktuře
- K certifikačním autoritám bude existovat provozní i bezpečnostní dokumentace.
Pro zvýšení úrovně zabezpečení budou do prostředí implementovány 2 vydávající certifikační autority na platformě MS Windows Server:.
- „technologická“ CA pro vydávání certifikátů pro počítače, servery a infrastrukturu
- „uživatelská“ CA, pro vydávaní uživatelských certifikátů na čipové karty
Díky vydaným certifikátům bude moci infrastruktura využívat kryptografické zabezpečení při komunikaci počítač
– počítač, a také při komunikaci uživatel – systém.
Vybudování „uživatelské“ CA umožní vydat uživatelské certifikáty na čipové karty a zavést 2-faktorovou autentizaci uživatelů do informačních systémů zadavatele. Uživatelská CA rovněž umožní vydávat šifrovací uživatelské certifikáty.
Všechny vydávající CA budou mít vydán certifikát z kořenové CA, která bude offline a nebude chráněna HW prostředky.
Provozní a bezpečnostní koncept PKI zadavatele
Bude zpracován dokument cílového konceptu PKI v prostředí zadavatele. V rámci konceptu budou navrženy jednotlivé aspekty PKI:
- Hierarchie CA
- Infrastruktura PKI
- Bezpečností perimetry a jejich separace
- Vlastnosti a parametry jednotlivých CA
- Bezpečnostní koncept PKI, role, oprávnění, ochrana aktiv, využití HSM
- Typy vydávaných certifikátů a vlastnosti příslušných šablon certifikátů
- Parametry certifikačních autorit (1 CA kořenová, 1 CA pro vydávání uživatelských certifikátů a 1 CA pro vydávání certifikátů pro počítače, servery, infrastrukturu)
- Definice distribučních bodů CRL a certifikátu CA
- Návrh konceptu zálohování CA
Koncept PKI bude v souladu s bezpečnostními politikami zadavatele. Podle navrženého konceptu PKI budou následně implementovány PKI subsystémy do prostředí zadavatele.
Instalace, konfigurace a zprovoznění certifikačních autorit
Do prostředí budou implementovány 2 certifikační autority: 1 CA pro vydávání uživatelských certifikátů a 1 CA pro vydávání certifikátů pro počítače, servery, infrastrukturu.
- Instalace hostitelského operačního systému MS Windows Server (Licenci operačního systému zajistí zadavatel)
- Instalace certifikačních služeb
- Vydání certifikátu CA z kořenové CA
- Konfigurace certifikačních služeb podle schváleného konceptu PKI
- Implementace distribučních bodů CRL a certifikátů CA
- Vytvoření vztahu důvěry, propagace certifikátů CA v rámci forestu
- Definice šablon certifikátů a jejich oprávnění
- Uvedení certifikačních autorit do rutinního provozu, ověření fungování
Certifikační autority budou implementovány v módu issuing entrprise CA na platformě MS Windows Server. CA budou pravidelně zálohovány. Technologii zálohování zajistí zadavatel.
Dokumentace k CA
Schválený koncept PKI bude rozpracován do provozních a bezpečnostních dokumentů, určených specificky pro prostředí zadavatele:
- Provozní dokumentace a havarijní plány. Návod pro správce certifikační autority, uvádí informace: jak udržet CA v chodu, jaké profylaktické a provozní operace provádět, co dělat, když se CA porouchá či havaruje, jaké nouzové postupy použít.
- Certifikační politiky. Formální dokument v souladu s RFC 3647, uvádí informace o typech vydávaných certifikátů, pravidla pro vydávání, participující subjekty, atd. V jednom dokumentu certifikační politiky budou uvedeny všechny typy certifikátů, vydávaných z dané CA. Celkem tedy budou dodány 2 dokumenty s certifikačními politikami (uživatelská CA a CA pro infrastrukturu).
- Certifikační prováděcí směrnice. Formální dokument v souladu s RFC 3647, uvádí informace o provozu CA, typech certifikátů, zabezpečení, atd… V jednom dokumentu certifikační prováděcí směrnice budou uvedeny všechny typy certifikátů, vydávaných z dané CA. Celkem tedy budou dodány 2 dokumenty s certifikačními prováděcími směrnicemi (uživatelská CA a CA pro infrastrukturu). Certifikační prováděcí směrnice bude podrobnější než certifikační politika.
Online zálohování dat certifikační autority
Pomocí systému budou data CA zálohována do MS SQL databáze. Součástí systému je mechanismus pro obnovu chybějících dat z MS SQL do CA. Do stejné DB budou zálohována data obou CA (pro uživatele a pro infrastrukturu). Součástí systému je publikační modul, který exportuje data z CA.
Kořenová CA
Kořenová CA bude offline a ochrana soukromého klíče probíhat SW prostředky. Ke kořenové CA budou také doplněny Certifikační politiky a Certifikační prováděcí směrnice tak, aby i v dokumentační bázi bylo dosaženo stejné kvalitativní úrovně jako u podřízených CA. Kořenová CA bude vydávat certifikáty pro podřízené CA.
17. LAN a WiFi instrastruktura
Kontroler pro PDM a záložní kontroler pro PDM
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Kontrolery bezdrátové sítě – dvojice (1ks primární - Kontroler pro PDM a 1ks redundantní - Záložní kontroler pro PDM) zařízení pro doplnění Mobility domény stávajících kontrolerů CT5520 provozovaných Zadavatelem | ANO | |
Minimální počet 10G SFP portů per kontroler s aktivními 10m Twinax kabely pro všechny porty součástí dodávky | 2 | |
Redundantní napájecí zdroj součástí dodávky | ANO | |
Minimální propustnost pro data Gb/s | 20 Gb/s | |
Licence dle počtu nově pořizovaných AP, možnost upgradu až na 1500 registrovaných AP | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Možnost přenosu licencí mezi nově pořizovaným a stávajícím párem kontrolerů Zadavatele | ANO | |
Podpora stávajících AP řady CAP1702I, které má Zadavatel nasazeny ve své infrastruktuře, a nově pořizovaných AP | ANO | |
Redundance na úrovni kontrolerů a jejich portů, výpadek aktivního kontroleru v redundantním páru nemá žádný dopad na provoz již připojených klientů (tj. bez potřeby reautentizace) | ANO | |
Možnost postupného upgradu dvojice nově pořizovaných a stávajících kontrolerů, možnost přesunu všech či libovolné části současných i nově pořizovaných AP Zadavatele mezi dvojicemi kontrolerů z důvodu zkrácení doby výpadku při upgradu SW kontrolerů a AP | ANO | |
Lokální síť - možnost tunelování uživatelských dat z AP až na kontroler, možnost šifrování těchto uživatelských dat bez výrazného vlivu na propustnost | ANO | |
Mesh síť - podpora indoor a outdoor mesh sítí, současné připojení normálních a mesh AP k jednomu kontroleru | ANO | |
Vzdálené lokality - možnost lokálního bridgování uživatelských dat per SSID přímo na příslušném AP | ANO | |
Šifrovaná řídící komunikace AP-kontroler | ANO | |
Současná funkčnost AP pro přenos dat, analýzu spektra a detekci bezpečnostních incidentů | ANO | |
Bezpečnost a Guest Access | ||
Kontrolery musí být podporovány všemi funkcionalitami, které v síti již provozovaný policy server Identity Services Engine umožňuje | ANO | |
Podpora 802.11i, respektive jeho implementace WPA2 včetně enterprise variant autentizace/šifrování | ANO | |
802.1x/EAP autentizace: PEAP, EAP-FAST, EAP-TLS, ... | ANO | |
PSK autentizace vč. možnosti různých PSK klíčů pro různé klienty v rámci jednoho SSID | ANO | |
Možnost autentizace nových klientů k AP v módu lokálního bridgování dat pomocí 802.1x/EAP i v případě výpadku centrálního kontroleru | ANO | |
Podpora standardu „802.11w“ pro ochranu řídících rámců na AP a klientovi | ANO | |
Podpora standardu „802.11u“ pro výběr SSID a autentizaci klienta | ANO | |
Integrované řešení návštěvnického přístupu s možností webové autentizace (včetně nativních IPv6 klientů), bezpečné oddělení od zaměstnaneckého provozu, funkční i v módu lokálního bridgování uživatelských dat přímo na AP | ANO | |
Integrovaná správa návštěvnických účtů s možností definice jejich platnosti | ANO | |
Možnost omezit počet klientů per SSID | ANO | |
Lokální profilování zařízení – per uživatel a per zařízení | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Integrovaný IDS systém pro detekci útoků na bezdrátovou síť (wireless IDS), detekce cizích AP (Rogue AP) a klientů v AdHoc režimu, možnost vynuceného odpojení klientů od cizích AP | ANO | |
Podpora plného NetFlow v9 (RFC 3954) exportu záznamů o datových tocích uživatelů (vč. zdrojové a cílové IP adresy, portů, WLAN ID, počtu paketů a objemu přenesených dat) směrem k externímu kolektoru | ANO | |
Rychlý roaming | ANO | |
Automatizované řešení roamingu uživatelů v rámci AP připojených na nově pořizovaný i stávající pár kontrolerů Zadavatele , L2/L3 | ANO | |
Podpora standardu „802.11r“ pro rychlý roaming klientů mezi AP, možnost selektivního využití 802.11r na sdíleném SSID pouze pro zařízení, které tento standard podporují | ANO | |
Podpora standardu „802.11k“ pro optimalizaci roamingu | ANO | |
Podpora standardu „802.11v“ pro optimalizaci připojení klienta | ANO | |
QoS a řízení provozu v bezdrátové síti | ||
Podpora 802.11e/WMM | ANO | |
Diferenciace úrovní QoS pro různé služby a skupiny uživatelů (zaměstnance a návštěvníky), možnost obousměrného omezení propustnosti per klient, možnost nastavit konkrétní QoS profil na Apple klientech přímo z kontroleru | ANO | |
Mechanismy řízení přístupu (Call Admission Control) pro hasový i video provoz. Konfigurovatelné parametry max. zátěže a šířky pásma. | ANO | |
Podpora Video-streamingu se spolehlivým multicastem | ANO | |
Optimalizace multicast provozu v bezdrátové síti (IGMP snooping) | ANO | |
Aplikační inspekce přenášeného provozu (DPI na 7. vrstvě ISO/OSI na základě aplikačních signatur) umožňující rozpoznání jednotlivých aplikací, grafické zobrazení statistik a možnost řízení QoS per rozpoznaná aplikace | ANO | |
Podpora Apple Bojour protokolu, zpracování mDNS paketů, možnost filtrování služeb mezi subnety | ANO | |
Správa frekvenčního pásma | ||
Automatizovaná centrální správa frekvenčního pásma, spolupráce RRM mezi kontrolery nově pořizovaného i stávajícího páru kontrolerů Zadavatele | ANO | |
Monitoring rádiového spektra vč. 20/40/80/160 MHz kanálů, možnost okamžité automatické centralizovaně řízené reakce (změna kanálu nebo jeho šířky, změna vysílacího výkonu), grafické vyobrazení informací o kvalitě signálu | ANO | |
Automatické zvýšení vysílacího výkonu okolních AP při výpadku AP („self healing“) | ANO | |
Možnost detekce rušivých signálů (interference) a identifikace zdrojů interference na základě signatur | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Mesh síť – automatický výběr vhodného kanálu pro backhaul, automatické sestavení optimálního mesh stromu, monitorování všech kanálů na pozadí s rychlou konvergencí v případě výpadku primárního nadřazeného AP | ANO | |
Troubleshooting radiového signálu a automatické řešení problému rušivého signálu, generování alarmů na základě překročení prahových hodnot kvality signálu | ANO | |
Možnost členění AP do skupin, konfigurace AP podle příslušnosti do skupiny | ANO | |
Možnost vytváření rádiových profilů (nastavení kanálů, rychlostí) | ANO | |
Nastavení různého rádiového profilu pro různé skupiny AP | ANO | |
Podpora IPv6 | ||
Podpora IPv6 – management kontroleru (vč. Syslog, radius) | ANO | |
Podpora IPv6 – komunikace AP-kontroler | ANO | |
Podpora IPv6 – Guest Access i pro nativní klienty vč. webové autentizace pro IPv6 klienty | ANO | |
Podpora IPv6 – IPv6 multicast, MLD snooping | ANO | |
Podpora IPv6 – bezpečnost (RAGuard, IPv6 Source Guard, DHCPv6 Server Guard, ACL) | ANO | |
Podpora IPv6 – video-streaming se spolehlivým multicastem | ANO | |
Podpora IPv6 – ND cache na kontroleru, optimalizace přenosu ND zpráv, rate-limiting pro RA | ANO | |
Dohled a správa kontroleru | ||
Centrální administrace správců s granularitou přístupových práv | ANO | |
Podpora správy přes serial CLI nebo přes IPv4 a IPv6 pomocí SSH/telnet, http a https web GUI, SNMP, aplikace pro dohled pro Android a Apple mobilní platformy | ANO | |
RJ45 konzolový port a/nebo USB konzolový port | ANO |
Prime
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Jednotný WLAN + LAN management | ANO | |
Existující formát zařízení | Virtuální server pro prostředí VMware | |
Rozšiřující licence do existujícího systému Prime Infrastructure dle počtu a typu poptávaných aktivních prvků + rozšiřující licence pro v současné době požívaných 68ks switchů řady Catalyst 2960X, | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Možnost navýšení počtu spravovaných zařízení formou dokoupení licence | ANO | |
Kompletní správa životního cyklu infrastruktury (nasazení, administrace, monitoring, odstraňování problémů) | ANO | |
Grafické web rozhraní pro správu | ANO | |
Přístup ke GUI i pomocí aplikace pro mobilní zařízení | ANO | |
Nástroje monitorování, monitorování v reálném čase a odstraňování problémů | ANO | |
Automatická archivace konfigurací, porovnávání konfigurací, porovnávání konfigurací vůči šablonám | ANO | |
Konfigurační šablony dle "best practice" a designových příruček | ANO | |
Inventarizace nasazeného HW v síti | ANO | |
Inventarizace, nasazení, správa firmware do síťových zařízení | ANO | |
Monitorování výskytu koncových zařízení, IP telefonů a uživatelů v síti | ANO | |
Generování reportů bezpečnostních problémů infrastruktury | ANO | |
Zobrazení L2, L3 topologické mapy | ANO | |
Kompletní správa životního cyklu bezdrátové sítě (plánování, nasazení, monitoring, troubleshooting, reporting) | ANO | |
Monitoring připojení koncových zařízení napříč pevnou i bezdrátovou sítí | ANO | |
Monitoring IPv6 připojení koncových zařízení napříč pevnou i bezdrátovou sítí | ANO | |
Integrace se znalostní bází výrobce pro usnadnění řešení problémů a správy | ANO | |
Podpora API pro programatický přístup do databází aplikace správy | ANO | |
Hierarchické mapy zobrazující umístění AP, šíření signálu a podporou zobrazení aktuální pozice wifi klientů (notebooků, PDA, WiFi telefonů, WiFi RFID tagů apod.) | ANO | |
Centrální konfigurace bezdrátových sítí včetně bezpečnostních politik, QoS profilů | ANO | |
Nástroje pro detekci a řešení problémů v bezdrátové síti (grafy obsazenosti kanálů, grafy odpovídající provozu klientů, atd.) | ANO | |
Nástroje pro plánování WLAN sítě | ANO | |
Nástroje pro plánování, nasazení, monitorování a optimalizaci hlasových služeb do bezdrátové sítě | ANO | |
Podpora SNMPv1, SNMPv2, SNMPv3 | ANO | |
Podpora autorizace a autentizace vůči TACACS+ | ANO | |
Technologický dashboard pro zobrazování výsledků měření kvality signálu bezdrátové sítě | ANO | |
Zobrazování současných i historických hodnot a trendu kvality signálu bezdrátové sítě | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Zobrazování alarmů týkajících se kvality signálu | ANO | |
Možnost pokročilého vyhledávání zdrojů interference v bezdrátové síti | ANO | |
Nástroj pro troubleshooting klientů s funkcí identifikace zdrojů interference, které ovlivňují klienty | ANO | |
Integrovaný nástroj pro sběr diagnostických dat o kontrolerech a AP v bezdrátové síti | ANO | |
Automatické dohledání portu pevné sítě s připojeným falešným Access Pointem | ANO | |
Komplexní zobrazení veškerých relevantních údajů pro jednotlivé zařízení a jednotlivého uživatele v souhrnném pohledu (kontextově) pro rychlejší troubleshooting | ANO |
Core switche v DC
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
HW specifikace | ||
Počet | 2ks | |
Typ hardwarového přepínače | L3 přepínač | |
Formát přepínače | Modulární | |
Velikost přepínače maximálně (RU) | 10 | |
Minimální počet slotů v šasi | 7 | |
Orientace slotů v šasi | horizontální | |
Celková minimální propustnost přepínacího subsystému | 6 Tb/s | |
Minimální kapacita interní sběrnice na 1 slot přepínače | 440 Gb/s | |
Minimální počet 128 000 záznamů v MAC adresní tabulce | ANO | |
Minimální počet záznamů ve směrovací tabulce - IPv4 unicast | 256000 | |
Minimální počet záznamů ve směrovací tabulce – IPv6 unicast | 128000 |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Minimální počet aktivních VLAN | 4000 | |
Řídící modul s integrovanými rozhraními 10GE | ANO | |
Řídící modul s integrovanými rozhraními 40GE | ANO | |
Redundantní řídící modul | ANO | |
Neměnná propustnost i při výpadku redundantního řídícího modulu | ANO | |
Přepínač musí být schopen vytvořit s již v síti provozovaným přepínačem Catalyst 6807-XL s řídícím modulem Supervisor-6T dvojici takovým způsobem, že dohromady budou vystupovat jako jedna logická entita v L2 i L3 síťových protokolech | ANO | |
Napájecí zdroj, max. dosažitelný výkon | ANO, alespoň 2500W | |
Interní redundantní napájecí zdroje, max, dosažitelný výkon | ANO, alespoň 2500W | |
Celkový počet napájecích zdrojů pro N+1 redundanci | 4 | |
Minimální počet 10GE SFP+ portů s volitelným fyzickým rozhraním s lokálním přepínáním | 48 | |
Standard 802.1ae na 10GE portech s volitelným fyzickým rozhraním | ANO | |
Minimální počet 40Gbit/s portů s volitelným fyzickým rozhraním | 28 | |
Standard 802.1ae na 40Gbit/s portech s volitelným fyzickým rozhraním | ANO | |
Povýšitelnost 10Gbit/s portů na 40Gbit/s porty (externím kabelem) | ANO | |
Linkové karty musí být funkční i v již provozovaných přepínačích Catalyst 6807-XL s řídícím modulem Supervisor-6T | ANO | |
Funkční specifikace |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Virtualizace – možnost sloučit alespoň dvě fyzická šasi do jednoho logického celku – virtuálního šasi (jediná entita z pohledu L2 i L3 protokolů) | ANO | |
Ochranné mechanismy rozpadnutí virtuálního šasi bez nutnosti využití dodatečných zařízení | ANO | |
Stavové přepnutí mezi řídicími moduly v jednom fyzickém šasi (ekvivalent funkce Statefull Switchover/SSO) | ANO | |
Stavové přepnutí mezi řídícími moduly v logickém šasi (ekvivalent funkce Statefull Switchover/SSO mezi fyzickými šasi) | ANO | |
Prvek tvoří součást architektury, která zajistí velkou a funkční L2 doménu rozprostřenu libovolně kdekoli po celé LAN síti | ANO | |
Prvek tvoří součást architektury, která zajistí IP subnet rozprostřený libovolně po celé síti | ANO | |
Směrování protokolů IPv4 a IPv6 v hardware (duální podpora IPv4 a IPv6, tedy možnost současné konfigurace IPv4 a IPv6 adres na tomtéž fyzickém nebo logickém rozhraní, dual-stack) | ANO | |
HW podpora MPLS a VPLS | ANO | |
Tunelovací protokoly (např. GRE) v hardware | ANO | |
Překlad adres/NAT v hardware | ANO | |
IEEE 802.3ad | ANO | |
IEEE 802.3ad přes více modulů | ANO | |
IEEE 802.3ad přes více šasi (funkční ekvivalent Multichassis Etherchannel) | ANO | |
IEEE 802.1Q | ANO | |
IEEE 802.1ak | ANO | |
tunelování 802.1Q v 802.1Q | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
IEEE 802.1s - multiple spanning trees | ANO | |
IEEE 802.1w - Rapid Spanning Tree Protocol | ANO | |
IEEE 802.1p | ANO | |
Detekce protilehlého zařízení (např. CDP nebo LLDP) | ANO | |
Hardwarová podpora dlouhých ethernetových rámců, tzv. „jumbo frames“ | ANO | |
Detekce jednosměrnosti optické linky (např. UDLD) | ANO | |
QoS classification – dle ACL, IP Prec, DSCP, CoS | ANO | |
QoS marking –dle IP Prec, DSCP, CoS | ANO | |
QoS Policing | ANO | |
Policing i na hodnotu agregovANOu ze všech karet s lokálním přepínáním | ANO | |
Policing per-flow (např. microflow policing nebo funkčně ekvivalentní) | ANO | |
Konfigurovatelné HW prostředky ochrany CPU před útoky typu DoS | ANO | |
Hardwarová filtrace (access list) na fyzickém i logickém L2 i L3 rozhraní | ANO | |
Hardwarová filtrace (access list) dle L2, L3 i L4 informací | ANO | |
Provádění dílčích změn v access listu nemá vliv na filtraci datových toků neměněnou částí access listu | ANO, povýšením SW | |
Hardwarová filtrace (access list) podle bezpečnostních rolí uživatelů propagovaných sítí přistupujících k různým skupinám síťových prostředků (např. SGACL, role-based ACL nebo funkčně ekvivalentní) | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Klasifikace bezpečnostní role přistupujícího uživatele nebo koncového zařízení a její propagace sítí (např. Scalable-Group Tag eXchange Protocol dle RFC draft-smith-kandula-sxp-06 nebo funkčně ekvivalentní). | ANO | |
Propagace bezpečnostní role uživatele nebo koncového zařízení pro každý datový rámec (např. Security Group Tagging nebo funkčně ekvivalentní) | ANO | |
Zabezpečení a analýza DHCP protokolu (např. DHCP snoopingu nebo funkčně ekvivalentní) | ANO | |
Ochrana ARP protokolu (např. Dynamic ARP Inspection, DAI nebo funkčně ekvivalentní) | ANO | |
Ochrana podvrženého mapování IP/MAC adresy (např. IP Source Guard/IPSG nebo funkčně ekvivalentní) | ANO | |
Ochrana proti nahrání modifikovaného software do zařízení prostřednictvím image signing a funkce secure boot, která ověřuje autentičnost a integritu jak bootloaderu, tak i samotného operačního systému zařízení prostřednictvím interních HW prostředků - tzv. trusted modulů | ANO | |
Switche musí být podporovány všemi funkcionalitami, které v síti již provozovaný policy server Identity Services Engine umožňuje | ANO | |
MPLS směrování | ANO, povýšením SW | |
VPLS směrování | ANO, povýšením SW | |
BGPv4, MP-BGP | ANO | |
OSPFv2, OSPFv3 | ANO | |
XXXX s MD5 a NSSA | ANO | |
RIPv2, RIPng | ANO | |
IS-IS pro IPv4 a IPv6 | ANO | |
Router Redundancy protokol pro IPv4 (např. VRRP, HSRP) | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Policy-based routing podle ACL | ANO | |
EIGRP (dle RFC draft-savage-eigrp-05 nebo RFC 7868) | ANO | |
PIM-SM (Protocol Independent Multicast, sparse mód) | ANO | |
PIM SSM (PIM Source Specific Multicast) | ANO | |
Bidirectional Protocol Independent Multicast (RFC 5015) | ANO | |
IGMPv2, IGMPv3 | ANO | |
Antispoofingová kontrola ekvivalentní funkci RPFC, reverse path forwarding check dle RFC3704 a RFC3178 pro IPv4 i IPv6 | ANO | |
Směrování dle škálovatelné adresace (např. Locator/Identifier Separation Protocol (LISP) dle RFC 6830) | ANO, povýšením SW | |
IPv6 services (HTTP, DNS, SSH, ACL, ICMP, DHCP) | ANO | |
Router Redundancy protokol pro IPv6 (např. VRRP, HSRP) | ANO | |
IPv6 First Hop Security (IPv6 Port ACL, RA guard, Secure Neighbor Discovery) | ANO | |
IPv6 Multicast (MLDv1 & v2, PIM SSM, PIM SM) | ANO | |
IPv6 over GRE v hardware | ANO | |
ISATAP v hardware | ANO | |
IPv6 QoS | ANO | |
Vytváření logicky oddělených instancí virtuálních směrovacích tabulek v rámci téhož L3 přepínače/směrovače pro tvorbu VPN (podpora virtualizace směrovacích tabulek - např. funkční ekvivalent Virtual Routing and Forwarding/Multi-VRF) | ANO | |
Protokoly a služby per VRF (TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING) | ANO | |
NetFlow v9 (nebo IPFIX RFC 3917, RFC 3955) a Flexible NetFlow (nebo funkčně ekvivalentní) pro IPv4 i IPv6 | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
NetFlow na vstupu i výstupu | ANO | |
Detailní flexibilní definice "flow" dle L2, L3 i L4 parametrů | ANO | |
Statistiky určovány z každého paketu daného "flow" | ANO | |
Sběr a export TCP příznaků pro monitoring bezpečnostních hrozeb | ANO | |
Návaznost skriptů interpretovaných přepínačem po detekci daných parametrů "flow" | ANO | |
Zobrazení sbíraných infromací o "flow" přímo v přepínači. I včetně "TopN" pohledu. | ANO | |
Export statistik "flow" selektivně na více kolektorů | ANO | |
Interpretace uživatelských CLI a Tcl skriptů a jejich aktivace asynchronní událostí v systému zařízení | ANO | |
Konfigurovatelná autodiagnostika při startu i za provozu zařízení | ANO | |
Nástroj měření odezev sítě (např. IP SLA) pro IPv4 i IPv6 | ANO, povýšením SW | |
Měření a ovládání spotřeby energie k LAN připojených koncových zařízení | ANO | |
Textové řádkově orientované/CLI konfigurační rozhraní | ANO | |
Konfigurace zařízení v člověku čitelné textové formě | ANO | |
Povýšování operačního software zařízení po síti pomocí protokolů TFTP, FTP a HTTP | ANO | |
Nahrání/zálohování textové konfigurace zařízení po síti pomocí protokolů TFTP, FTP a HTTP | ANO | |
Přepínač může sloužit pro automatickou zálohu a obnovu firmware včetně konfigurace pro podřízený/é přepínač/e | ANO | |
Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Aktivní prvek musí být spravovatelný již v síti provozovaným nástrojem Prime Infrastructure v celém rozsahu dostupných funkcionalit bez omezení | ANO | |
Konfigurační šablony aplikovatelné na rozhraní, spravované samotným zařízením bez dodatečných externích nástrojů | ANO | |
Sériová konzolová linka | ANO | |
SSHv2 | ANO | |
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL | ANO | |
Synchronizace času protokolem NTPv3 (klient i server) | ANO | |
SNMPv2 | ANO | |
SNMPv3 | ANO | |
RADIUS klient pro AAA (autentizace, autorizace, accounting) | ANO | |
TACACS+ klient | ANO | |
Zrcadlení portů (funkční ekvivalent SPAN) | ANO | |
Vzdálené zrcadlení portů (funkční ekvivalent RSPAN) | ANO | |
Pokročilé interní nástroje pro ladění/debugging procházejícího provozu | ANO | |
Syslog | ANO |
Rozšíření DC
Vzdálené distribuované optické linkové karty/moduly
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Distribuované rozšiřující moduly (virtuální vzdálené rozšiřujících moduly umístěné v jiném fyzickém šasi) k používané řadě DC switchů Nexus 9300 | ANO | |
Počet požadovaných virtuálních vzdálených rozšiřujících modulů | 4ks | |
Formát požadovaného virtuálního vzdáleného rozšiřujícího modulu - osaditelný do rackové skříně, maximální velkost 1RU | ANO | |
Počty a typy portů virtuálního vzdáleného modulu | 48x1/10GE SFP+ 6x40G QSFP | |
Licence pro DC management nástroj pro 4ks používaných switchů Nexus 9300 | ANO |
Víceúčelové switche do DC
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Počet | 4ks | |
Typ přepínače | L2/L3 přepínač | |
Formát přepínače | Stohovatelný | |
Počet dedikovaných stohovacích portů | 2 | |
Minimální počet zařízení ve stohu | 8 | |
Minimální kapacita sběrnice stohu | 400 Gb/s | |
Sdílení výkonu napájecích zdrojů napříč celým stohem | ANO | |
Stateful Switch Over v rámci stohu | ANO | |
Non-stop Forwarding | ANO, povýšením firmware | |
Možnost instalovat interní redundantní napájecí zdroj | ANO | |
Interní redundantní napájecí zdroj požadován | ANO | |
Datový stohovací kabel požadován | ANO | |
Napájecí stohovací kabel požadován | ANO |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti | Doplní Uchazeč dle nabízeného zařízení |
Počet portů 10/100/1000 Base-TX s PoE napájením | 48 | |
Minimální PoE budget | 1000W | |
Uplink porty | 8x10GE SFP+ | |
Min. velikost sdíleného systémového bufferu | 16MB | |
Velikost MAC address tabulky | 30000 | |
Min. počet IPv4 routes | 600 | |
Min. počet IPv6 routes | 300 | |
Min. počet konfigurovatelných security ACL | 5000 | |
IEEE 802.3ad (Link Aggregation) | ANO | |
IEEE 802.3ad přes více přepínačů ve stohu nebo více šasis | ANO | |
Minimálně 8 linek jako součást Link Aggregation Group trunku | ANO | |
Minimální počet konfigurovatelných Link Aggregation Group trunků | 128 | |
IEEE 802.1Q | ANO | |
Minimální počet aktivních VLAN | 1000 | |
IEEE 802.1x | ANO | |
Konfigurovatelná kombinace pořadí postupného ověřování zařízení na portu (IEEE 802.1x, MAC adresou, Web autentizací) | ANO | |
Integrace IEEE 802.1x s IP telefonním prostředím (802.1x Multi- domain authentication) | ANO | |
Provoz 802.1x v tzv. audit módu bez omezování přístupu koncových uživatelů | ANO | |
RADIUS CoA | ANO | |
Podpora instance spanning-tree protokolu per VLAN | ANO | |
IEEE 802.1w - Rapid Spanning Tree Protocol | ANO | |
Protokol MVRP nebo VTP pro definici a správu VLAN sítí | ANO | |
Podpora jumbo rámců (min. 9198 bytes) | ANO |