Popis technického řešení Obnova inspekce a vyhodnocování síťového provozu

Příloha č. 1 Smlouvy o poskytnutí řešení „Obnova inspekce a vyhodnocování síťového provozu“ – Popis technického řešení

Popis technického řešení

Obnova inspekce a vyhodnocování síťového provozu

Obsah

1 Účel dokumentu 4

2 Přehled základních pojmů 5

3 Aktuální stav 6

4 Požadovaný stav a motivace 7

5 Popis požadovaného řešení 8

5.1 Celkový popis řešení 8

5.2 Schéma 9

5.3 Sondy 9

5.4 Centrální management – Kolektor 9

5.5 Vyhodnocování anomálií 10

5.6 Sledování výkonu aplikací 10

5.7 Nahrávání síťové komunikace 10

5.8 Ostatní technické požadavky 10

5.8.1 Bezpečnostní monitoring 10

5.8.2 Provozní monitoring 11

5.8.3 Zálohování a archivace 11

5.8.4 Šifrování 11

6 Přehled Dalších požadavků 12

6.1 Funkční požadavky 12

6.2 Rozsah 12

6.2.1 End of sale and support (EOS) 12

6.2.2 Komplexnost a životní cyklus 12

6.3 Fáze realizace dodávky 13

6.3.1 Instalace 13

6.3.2 Implementace 13

6.3.3 Akceptační testy 13

6.3.4 Dokumentace 19

6.3.5 Školení 20

6.4 Podpora 20

Seznam obrázků

Obrázek 1 11

Seznam tabulek

Tabulka 1 - seznam zkratek a pojmů 7

1Účel dokumentu

Tento dokument obsahuje specifikaci a technické požadavky na řešení Obnova inspekce a vyhodnocování síťového provozu Ministerstva Zemědělství České republiky. Dokument tvoří přílohu smlouvy, která je součástí zadávací dokumentace veřejné zakázky „Obnova inspekce a vyhodnocování síťového provozu“ (dále také Poskytnutí obnovy NBA řešení) a obsahuje představení požadovaného konceptu řešení, základní popis poptávaného řešení a požadavky závazné pro všechny potenciální uchazeče o zajištění realizace zakázky.

2Přehled základních pojmů

Termín	Význam
DB	Databáze
DC	Datové centrum
DNS	(Domain Name System) - hierarchický systém doménových jmen
DRP	Disaster recovery plan
HA	High Availability – režim vysoké dostupnosti (např. redundance)
HW	Hard-Ware, fyzické zařízení
ICT	Informační a komunikační technologie (Information and Communication Technologies)
NBA	Network Behavior Analysis – Inspekce a vyhodnocování síťového provozu
Objednatel/Zadavatel/MZe	Česká republika – Ministerstvo zemědělství
OS	Operační Systém
OSS	Organizační složka státu – organizace podřízená ministerstvu
SIEM	Security Information and Event Management - správa bezpečnostních informací a událostí
SLA	Servis Level Agreement – Dohoda o poskytované úrovni služeb
Smlouva	Smlouva o poskytnutí řešení „Obnova inspekce a vyhodnocování síťového provozu“ nebo též „Poskytnutí obnovy NBA řešení“
SW	Software
Zhotovitel, Dodavatel	Subjekt, který je jako Zhotovitel/Dodavatel definován v záhlaví Xxxxxxx

Tabulka 1 - seznam zkratek a pojmů

3Aktuální stav

Informační prostředí MZe je tvořeno velkým množstvím informačních systémů a rozlehlou síťovou infrastrukturou, na které je závislý chod celé organizace. Každý z  prvků tohoto prostředí generuje komunikační toky představující výměnu dat různé úrovně s bezpečnostními a provozními dopady. Monitoring v této oblasti je řešen pro vybrané komunikace nebo směry a dále také na sledování v závislosti na zjištěných stavech. Tuto funkcionalitu poskytuje na síťové úrovni stávající řešení NBA, včetně centrálního monitoringu datových toků a vyhodnocování jejich chování. Zárověň se zde řeší netriviální záležitost zachytávání konktrétní komunikace probíhající v reálném čase v dané části sítě například pro potřeby dalších analýz.

4Požadovaný stav a motivace

Datové toky představují výrazný prvek v oběhovém systému organizace. Jejich narušení a kompromitace představuje výrazné riziko nejen pro instituce státní správy a to především vzhledem k narůstajícímu trendu bezpečnostních rizik vyskytujících se v kybernetickém prostředí. Toto riziko se vztahuje na všechny systémy, počínaje operačními systémy, databázemi, síťovými prvky až po komplexní informační systémy distribuované jako produkt, nebo vyvinuté na míru a přímo nebo nepřímo se tedy dotýká všech informačních systémů, včetně systémů potenciálně identifikovaných jako „Významný informační systém“ v rámci zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti, který vychází mimo jiné i z normy ISO/IEC 27001. Jako jedno z opatření je zde doporučeno zavedení řešení pro sledování a vyhodnocování datových toků.

Zajištění inspekce a vyhodnocování síťového provozu znamená zajistit jednotlivé související funkcionality, které mají zásadní dopady do oblasti bezpečnosti a provozu infrastruktury MZe. Jde především o tyto oblasti:

1. Sledování a statistiky síťových toků.

2. Vyhodnocování anomálií v informačním provozu.

3. Zachytávání datových packetů.

4. Monitoring a podpora SLA

5. Analýza a podpora pro optimalizaci výkonu infrastruktury

6. Získávaní bezpečnostních rekonfiguračních parametrů

Předmětem smlouvy a jejích příloh je uskutečnění a naplnění veřejné zakázky s tímto obsahem:

• realizace návrhu řešení, dodávky, instalace, implementace, školení, poskytnutí časově neomezené licence k užívání řešení pro inspekci a vyhodnocování síťového provozu a další práva dle specifikace ve Smlouvě;

• poskytnutí následné technické podpory výrobce hardware i standardních (generických) softwarových produktů tvořících součást řešení pro inspekci a vyhodnocování síťového provozu dle parametrů uvedených ve Smlouvě, zejména v technické specifikaci a v katalogovém listu na dobu 4 let;

• poskytnutí následné technické a metodické podpory dle parametrů uvedených ve Smlouvě, zejména v katalogových listech na dobu 4 let.

5Popis požadovaného řešení

Tato kapitola obsahuje popis řešení, které je předmětem zakázky. Účelem kapitoly je poskytnout uchazeči ucelený přehled nad požadovaným řešením, ze kterého vyplývají konkrétní požadavky uvedené v další kapitole, které musí nabízené řešení splňovat.

5.1Celkový popis řešení

Požadujeme obnovu stávajícího centrálního řešení pro tři lokality (dvě datová centra a centrální sídlo MZe – interní prostředí), kdy zdroj monitorovacího rozhraní představují centrální prvky v každém jednom fyzickém centru prostřednictvím span portu (port mirroring) , přičemž dvě datová centra jsou redundantní HA. Konkrétně jde o tři netflow sondy pro 10GB rozhraní výrobce Flowmon Networks a. s. Zde je agregovaný veškerý provoz včetně vstupních internetových linek. Data jsou uchovávána dle typu v rozsahu 3. měsíce až 1 rok v kapacitě do 5TB na centrálním úložišti, které je součástí řešení. Správu řešení a zobrazení dat je realizováno v jedné centrální management konzoli (kolektor).

Souhrnně se jedná o řešení, které poskytuje standardní funkcionality netflow s NBA s detekcí anomálií, dohledem výkonu aplikací, včetně záznamů datové komunikace (packet capture) a s centrální správou.

Toto řešení obsahuje další služby jako zajištění maintanace, podpory, implementace a instalace a školení.

V datových centrech je provoz zachycen pomocí zrcadlení vybrané komunikace procházející skrze centrální prvky. Pro toto řešení jsou odpovídajícím způsobem kapacitně dimenzované sondy.

V logickém schématu níže na úrovni L2, jsou zaneseny tři jednotlivé lokality, přičemž je zde v čeveném orámování naznačeno umístění sond a centrálního managementu (kolektoru) a komunikace řešení. Jedna sonda je nasazena v interním prostředí MZe a sbírá data z dedikovaného 10G portu na jednom z centrálních aktivních prvků, kde je agregovaný provoz interního prostředí, a zpracovaná data se dále přeposílají do centrálního kolektoru. Podobným způsobem probíhá zpracování dat i v obou datových centrech s tím, že zde se jedná o informační provoz datových center. Umístění centrálního managementu/kolektoru je s ohledem na možné netflow toky v datovém centru (č.1), mimo interní síťové prostředí MZe.

5.2Schéma

Obrázek 1

5.3Sondy

Sondy jsou harware zařízení umístěné v síti, které zaznamenává a vyhodnocuje zachycený provoz, dále ho zpracovává a předává na centrální management řešení (kolektor). Zde vytvořené statistiky jsou potřebné pro řešení incidentů na síti, kapacitní plánování, účtování služeb apod. a předává ve formátu NetFlow v5/v9 či IPFIX. Sonda obsahuje vlastní webové administrační rozhraní a úložiště pro zachycené komunikace a funguje též autonomně bez závislosti na centrální správě. Sondy umožňují monitorovat i protokoly vyšších vrstev včetně L7 modelu OSI, kde rozpoznávají mimo jiné informace z HTTP hlaviček – URL, hostname, informace z DNS protokolu, identifikují operační systémy a provádí detekci aplikací. Zároveň se zde meří výkonnové parametry sítě. Sondy mají schopnost zachytávat provoz v reálném čase ze span portu na optickém rozhraní na lince o rychlosti 10Gb/s. Toto monitorovací rozhraní je u sond 1 a 2 osazeno SFP+ optickými transceivery typu 10GBASE-LRM (Long Reach Multimode) a pro sondu 3 10GBASE-SR (Short range). V současnosti tuto funkcionalitu zajišťuje zařízení výrobce Flowmon Probe 10000 SFP+.

5.4Centrální management – Kolektor

Centrální management/kolektor je hardware zařízení, určené pro inspekci a analýzu síťových toků v definovaných netflow formátech a jejich dlohodobému ukládání a obsahuje rozhraní pro centrální management – centrální konzoli. Centrální konzole je komunikačně zabezpečený tenký klient, který poskytuje přehled ve formě dlouhodobých grafů s možností volby perspektivy a zobrazení dalších statistik o službách, komunikacích a TOP přehledů. Dále obsahuje sadu pro monitoring a reporting včetně možnosti upozorňování a odezvy na definované události. Kromě detailního přehledu o komunikaci poskytuje pokročilé vlastnosti a funkce jako je analýza položek protokolů vyšších vrstev, tedy podpora pro příjem a analýzu http informací a detekovaní aplikací a také podpora pro příjem a analýzu výkonnových parametrů sítě. V současnosti tuto funkcionalitu zajišťuje zařízení výrobce Flowmon Collector R5-6000 Pro.

5.5Vyhodnocování anomálií

Součástí řešení je software modul pro vyhodnocování anomálií založený na technologii NBA. Tato komponenta detekuje anomálie v síti s cílem odhalit provozní a bezpečnostní problémy provozu. Tato součást řešení poskytuje velmi přesné informace o datových tocích které jsou důsledkem zavlečení hrozeb nestandardním způsobem nebo u nich nejsou známé signatury. Systém je provázán s reputačními databázemi a službami nabízejícími geolokaci a je integrován se sytémem DNS. Systém se zaměřuje především na určování zatím neznámých hrozeb, tak že vyhodnocuje odchylky od běžné komunikace porušující profily běžného chování.

5.6Nahrávání síťové komunikace

Řešení je doplněno o funkci nahrávání síťové komunikace. Tato funkce poskytuje možnost zachytávání jednotlivých síťových packetů v definovém formátu a jejich uložení pro pozdější analýzu. Pro podporu definice zachytávání umožňuje zadání filtru na základě IP adresy, fyzické (MAC) adresy, čísla portu, IP protokolu, MPLS značky a omezit ji též na základě časového nebo obsahového hlediska. Zadávání probíhá centrálně pro všechny sondy, které záchyt realizují.

5.7Ostatní technické požadavky

1. Bezpečnostní monitoring

Řešení NBA umožňuje logovat veškeré aktivity prováděné administrátory a uživateli nad řešením. Všechny tyto logované záznamy jsou v intervalech blízkých reálnému času přenášeny do systému pro bezpečnostní monitoring (SIEM) k jejich vyhodnocení a uložení na centrálním bezpečném místě pro případnou zpětnou analýzu. MZe používá SIEM typu Arcsight výrobce HP, se kterým je řešení kompatibilní v části předávání a typologie logů, tedy používá některý z typů protokolů pro předávání logů podporovaných tímto SIEM systémem. Integraci je v místě centrálního prvku (tvz. Kolektoru) který v sobě agreguje události z ostatních částí řešení.

2. Provozní monitoring

Řešení poskytuje údaje o svých stavech do provozního monitoringu MZe v návaznosti na SLA definované v Příloze č.2 Specifikace katalogových listů, Smlouvy. Řešení poskytuje standardizované rozhraní pro vzdálený dohled stavu svých komponent – např. SNMP, apod.

3. Zálohování a archivace

Řešení umožňuje pravidelné zálohy konfigurací jednotlivých komponent pro jejich obnovení v případě výpadku nebo selhání. Je zde realizována integrace se stávájícím řešením pro zálohování v prostředí MZe.

Zálohy netflow dat jsou prováděny lokálně, tedy na interní úložiště v retenci požadované parametrech a to s nejvyšší možnou úrovní detailu pro dané období nebo objem a není nijak krácena kromě povolené agregace.

Řešení umožňuje archivaci netflow dat starších od 3. měsíců do 1 roku, nebo přesahující požadovaný maximální objem z interního úložiště do archivačního systému HP Data Protektor provozovaného v prostředí objednatele.

4. Šifrování

Řešení splňuje doporučení NUKIB „Minimální požadavky na kryptografické algoritmy“ definované úřadem v souvislosti s § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. Vztahuje se na povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů a jejich povinnost zohlednit doporučení v oblasti kryptografických prostředků vydaná Národním úřadem pro kybernetickou a informační bezpečnost za účelem ochrany aktiv informačních a komunikačních systémů.

6Přehled Dalších požadavků

Objednatel v rámci výběrového řízení požaduje zajištění kompletní dodávky Poskytnutí obnovy řešení NBA , které vyhovuje požadavkům uvedeným v této kapitole.

6.1Funkční požadavky

Funkční požadavky jsou v tomto případě nahrazeny konkrétními typy zařízení, které jsou předmětem obnovy.

Jedná se o tyto prvky výrobce Flowmon Networks a. s.:

Popis

Kolektor IFC-R5-12000PRO

Gold support 1 rok: IFC-R5-12000PRO

Sondy - IFP-10000-SFP+

Gold support 1 rok: IFP-10000-SFP+

ADS – support 1 rok

TR – support 1 rok

6.2Rozsah

V této sekci je definován rozsah dodávaného řešení.

6.2.1End of sale and support (EOS)

Zadavatel požaduje dodat taková zařízení a technologie, u něhož výrobce nevyhlásil EOS (end of sale and support) a je garantována minimálně pětiletá dostupnost náhradních dílů a podpora, včetně dostupnosti aktualizací SW/HW, od data akceptace Dodávky.

6.2.2Komplexnost a životní cyklus

Zadavatel požaduje dodání řešení včetně nových a nepoužitých zařízení. Zadavatel požaduje dodat řešení, včetně zařízení, veškerého potřebného programového vybavení a licencí, které umožní plnohodnotné fungování poptávané funkcionality řešení NBA. Řešení musí umožnit souběžné provozování všech komponent a funkcionalit bez negativních závislostí, tedy tak kdy jedna část, komponenta nebo funkcionalita je v provozním stavu pouze v případě, kdy je jiná část, komponenta nebo funkcionalita z provozu vyřazena nebo vypnuta. Předmět plnění veřejné zakázky musí být proveden plně v souladu s platnými právními předpisy, jakož i v souladu se všemi normami obsahujícími technické specifikace a technická řešení, technické a technologické postupy nebo jiná určující kriteria k zajištění, že materiály, výrobky, postupy a služby vyhovují účelu předmětu veřejné zakázky.

6.3Fáze realizace dodávky

Následuje popis jednotlivých fází dodávky Poskytnutí obnovy NBA řešení.

6.3.1Instalace

Instalace řešení Poskytnutí obnovy řešení NBA bude provedena do prostředí Objednatele, které pro tyto účely představují obě datová centra (geocluster DC Stodůlky a DC Chodov) a lokalitu Těšnov. Fyzické komponenty řešení budou umístěny v rozvaděčových skříních typu RACK výrobce HP (19ti palcové) a to v sousedních nebo blízkých pozicích stávajících komponent, se zajištěným napájením a chlazením včetně zajištění fyzické bezpečnosti a jsou s tímto typem kompatibilní. Kompatibilitou je zde myšlen především rozměr zařízení, a umístění konektorů vzadu, přičemž zařízení musí být orientováno vzhledem k cirkulaci vzduchu (chlazení) v sousledném směru. Zde budou tyto prvky propojeny odpovídajícími komunikačními kabely jednak se span portem centrálních prvků s ohledem na sledování provozu, dále mezi sebou v rámci řešení pro přenášení netflow, centrální správy a další komunikace, a také do management sítě pro správu zařízení, nebo umožní správu přes tento dedikovaný fyzický port. Dodavatel zajistí fyzické umístění a instalaci všech HW komponent řešení do místa určení v prostředí Objednatele jako součást dodávky Poskytnutí obnovy NBA řešení. SW prostředky dodané v rámci řešení budou instalovány v poslední verzi dostupné v době plnění. Dodavatel dále zajistí nasazení a aktivaci všech licencí a licenčních klíčů. Architektura instalovaného řešení, včetně identifikace komponent, přehledu instalovaných verzí a použitých licencí a licenčních klíčů bude součástí instalační dokumentace.

6.3.2Implementace

V rámci fáze implementace bude Dodavatelem zajištěna konfigurace nově dodaného systému tak, aby řešení odpovídalo stávajícímu nastavení a byl zajišěn přenos všech konfigurací a vazeb.

Jako hlavní součásti dodávky implementace bude provedeno:

• Migrace a konfigurace komponent;

• Migrace a nastavení a konfigurace sond;

• Migrace a nastavení a konfigurace kolektoru;

• Migrace a nastavení a konfigurace detekce anomálií;

• Migrace a nastavení a konfigurace modulu pro záznam datové komunikace;

• Migrace a integraci nově dodaného systému do provozního a bezpečnostního monitoringu provede Dodavatel na straně řešení , a to za součinnosti Objednatele za stranu dohledů;

• Migrace a nastavení zálohování konfigurace a dat;

• Migrace a napojení na systém dohledu NUKIB

• Migrace ostatních systémových nastavení

6.3.3Akceptační testy

V rámci závěrečné fáze je navržen testovací scénář, který může pokrývat následující oblasti a parametry řešení:

Požadovaná funkce	Detaily a upřesnění	Ano / Ne / Částečně	Poznámka
Obecné požadavky
Jazyková lokalizace	Technická dokumentace řešení je dodána v českém, slovenském nebo anglickém jazyce. Implementační dokumentace, školení a technická podpora výrobce je poskytována v českém nebo slovenském jazyce.
Webové GUI	Systém nabízí moderní GUI dostupné prostřednictvím webového prohlížeče bez nutnosti cokoliv instalovat na klientské stanice.
Otevřené API	Systém nabízí dokumentované API pro získávání flow statistik, událostí, reportů nebo konfiguraci systému. Funkce dostupné prostřednictvím GUI systému je možné automatizovat pomocí API.
Šifrovaná komunikace	Systém umožňuje nastavit šifrovanou komunikaci přičemž splňuje podmínky zákona 181/2014 a další uvedené požadavky.
Generování flow statistik
Požadovaná funkce	Detaily a upřesnění	Ano / Ne / Částečně	Poznámka
Pasivní připojení	Řešení je nezávislé na stávající síťové infrastruktuře a sběr provozu pro generování flow statistik je realizován připojením monitorovacích portů prostřednictvím SPAN/mirror portů.
Exportní formáty	Řešení umožňuje exportovat flow statistiky ve formátu NetFlow v5, NetFlow v9 nebo IPFIX
Konfigurace flow exportu	Řešení umožňuje nastavit více cílů exportu statistik z každého monitorovacího portu a to v různých formátech pro různé cíle.
Podpora analýzy L2	Součástí flow statistik je VLAN tag (podpora 802.1Q) a MAC adresa.
Podpora pro NPM	Součástí flow statistik jsou výkonové parametry sítě. Minimálně RTT (round trip time), SRT (server response time), počet retransmisí a jiter.
Podpora analýzy L7 pro hlavní síťové protokoly	Součástí flow statistik jsou informace z aplikační vrstvy pro hlavní síťové protokoly, minimálně HTTP, DNS, DHCP, Samba/CIFS, VoIP SIP.
Fingerprinting zařízení	Součástí flow statistik je identifikace operačního systému a jeho verze na jednotlivých zařízeních v síti.
Všechna rozšíření dle NetFlow v9 nebo IPFIX	Všechny rozšiřující součásti flow statistik jsou implementovány v souladu se standardem NetFlow v9 nebo IPFIX (enterprise extensions) pro zajištění kompatibility se systémy třetích stran.
Uživatelsky definované šablony	Pro protokol IPFIX a NetFlow v9 je možné uživatelem definovat šablonu pro rozsah exportovaných informací.
Podpora tunelovaného provozu	Pro datový provoz zabalený v GRE tunelu je možné povolit tento provoz rozbalit a monitorovat tunelovaný provoz.
Záchyt provozu v plném rozsahu	Systém umožňuje v případě potřeby provést uživatelem definovaný záchyt provozu v plném rozsahu s výstupem ve formátu PCAP. Zájmový provoz je možné identifkovat IP adresou, MAC adresou, adresním rozsahem, protokolem, číslem portu nebo číslem VLAN (802.1Q). Požadavky na záchyt provozu je možné zdávat s časovou platností jako úlohy, které budou v daném čase automaticky spuštěny.
Sběr flow statistik a jejich analýza
Požadovaná funkce	Detaily a upřesnění	Ano / Ne / Částečně	Poznámka
Podpora flow standardů	Řešení podporuje sběr statistik ve formátech NetFlow v5, NetFlow v9, IPFIX, jFlow, NetStream, sFlow.
Přeposílání flow statistik	Řešení umožňuje přeposílat flow statistiky na další kolektory nebo jiné systémy pro zpracování flow statistik. Při přeposílání je možné nastavit samplování.
Podpora pro uživatelské identity	Systém umožňuje zobrazení přihlášeného uživatele u daného zařízení (IP adresy) včetně historie. Flow statistiky je možné filtrovat na základě loginu uživatele. Uživatelské identity jsou získávány ze systémů řízení přístupu Active Directory. Řešení je otevřené a schopné podporovat libovolný zdroj uživatelských identit (hlášení o úspěšné autentizaci uživatele).
Podpora pro geolokaci	Systém automaticky obohacuje přijímané flow statistiky na základě IP adresy. Provoz je možné filtrovat na základě dané geografické lokality (státu/země).
Univerzální zpracování všech formátů	Řešení nabízí zcela identickou funkcionalitu pro flow statistiky generované prostředky výrobce i systémy třetích stran.
Automatická identifikace flow zdrojů	Pro každý zdroj flow statistik, které je do systému zasílá ke zpracování, jsou automaticky dostupné informace o názvu zdroje flow statistik a typu a počtu rozhraní. Zároveň je automaticky vytvořen graf provozu.
Filtrování flow statistik	Řešení umožňuje filtrovat a agregovat flow statistiky s využitím libovolných atributů sbíraných flow statistik nebo jejich kombinace logickými spojkami AND, OR, NOT. Výstupy je možné formátovat, zejména zahrnovat do zobrazení jednotlivé atributy flow záznamů nebo používat řazení (např. dle objemu přenesených dat, dle času nebo dle výkonnostních parametrů datové komunikace).
Uživatelská oprávnění	Systém nabízí správu rolí a uživatelských oprávnění pro omezení přístupu k datům v systému vč. reportů a výstupů.
Uživatelsky definované pohledy	Uživateli je umožněno definovat si vlastní perzistentní pohledy na data, které budou systémem kontinuálně aktualizovány. K definici pohledu je možné použít libovolný filtr (komunikace daného síťového segmentu, download a upload na server aplikace, protokol HTTP, apod.).
Reporting	Systém umožňuje vytvářet reporty dostupné prostřednictvím webového GUI, ve formátu PDF nebo CSV. Reporty je možné automaticky odesílat e-mailem nebo ukládat na externí síťové úložiště.
Vizualizace sbíraných statistik	Flow statistiky je možné vizualizovat formou průběhového grafu (struktura a objem provozu v čase) nebo Top statistiky (top N, agregováno dle libovolného parametru flow statistik a seřazeno dle objemových charakteristik nebo výkonnových statistik)
Uživatelsky definovatelné alerty	Automatická notifikace v případě vzniku uživatelem definované situace (např. nadměrný přenos dat, překročení definované relativní nebo absolutní prahové hodnoty, atd.) prostřednictví emailu, SNMP trapu a syslogu, možnost automatického spuštění uživatelem definovaného skriptu.
Detekce bezpečnostních a provozních problémů
Požadovaná funkce	Detaily a upřesnění	Ano / Ne / Částečně	Poznámka
Automatická detekce událostí	Systém provádí automatickou analýzu sbíraných flow statistik a rozpoznává bezpečnostní a provozní incidenty ve formě události. Součástí událostí je identifikace původce události, její typ a interpretace pro správce systému.
Podpora flow standardů	Podpora standardů NetFlow v5, NetFlow v9, IPFIX, jFlow, NetStream. Systém nabízí stejnou funkcionalitu (detekční schopnosti) pro výše uvedené standardy.
Detekční pravidla a algoritmy	Systém obsahuje předdefinovanou sadu detekčních metod a algoritmů pro analýzu flow statistik, detekci bezpečnostních incidentů, provozních problémů a síťových anomálií. Algoritmy zahrnují detekci skenování portů, slovníkové útoky, útoky odepření služeb (DoS), útoky na síťové protokoly SSH, RDP nebo Telnet, detekci P2P sítí, anonymizačních služeb (TOR), nadměrné zátěže sítě, výpadků služeb neob chybných konfigurací, nové a cizí zařízení připojené k síti.
Detekce na základě aktuálních hrozeb	Systém umožňuje identifikovat bezpečnostní události (např. komunikaci s botnet command & control centry, přístup na phishing servery, známé útočníky, známé zdroje síření malware, známé zdroje šíření spamu) využíváním IP a host reputačních databází poskytovaných výrobcem a aktualizovaných automaticky nejméně každých 24 hodin. Systém umožňuje zapojit další zdroje IP a host reputačních dat pro automatickou detekci.
Konfigurace detekčních schopností	Jednotlivé detekční schopnosti je možné konfigurovat a parametrizovat tak, aby bylo dosaženo maximální efektivity a minimálního počtu falešných poplachů. Detekční mechanismy je možné konfigurovat různým způsobem (např. s různou citlivostí) pro statistiky z různých segmentů sítě (např. LAN nebo DMZ).
Správa filtrů	Systém umožňuje definovat filtry vč. komplexních filtrů složených z dílčích filtrů. Pro zjednodušení definice filtrů je možné používat operace jako inverze nebo rozdíl filtrů. Filtry je možné exportovat do formátu CSV nebo z tohoto formátu importovat.
Správa falešných poplachů	Případné události, které představují falešné poplachy (false positives) je možné odstranit prostřednictvím jednoduché konfigurace pravidel pro vyloučení falešných poplachů dostupné v uživatelském rozhraní.
Definice závažnosti událostí	Priority událostí je možné uživatelsky definovat na základě IP adresních rozsahů, typů událostí, míst výskytu nebo detailů události. Jedna událost může mít v závislosti na konfiguraci přiřazeno více priorit.
Uživatelská oprávnění	Systém nabízí správu rolí a uživatelských oprávnění pro omezení přístupu k událostem z různých částí sítě.
Automatická reakce na událost	Události je možné exportovat do systémů typu SIEM nebo log management protokolem syslog nebo SNMP. Události je možné notifikovat e-mailem v různých formátech vč. možnosti připojit flow statistiky, na základě kterých byla událost detekována. V reakci na událost je možné automaticky pustit skript. V reakci na událost je možné automaticky spustit záchyt provozu v plném rozsahu s pořízením dat ve formátu PCAP.
Kategorie událostí a komentáře	Události je možné přiřazovat do uživatelsky definovaných kategorií (např. vyřešeno, důležité, apod.). K událostem je možné přímo v systému pořizovat poznámky a komentáře.
Identita uživatelů a perzistenstní doménová jména	Systém zobrazuje informace o identitě uživatelů obsaženou ve flow datech jako součást události. Systém podporuje persistenci doménových jmen, tedy uložení doménové jména původce události v okamžiku zaznamenání výskytu této události.
Reporting	Systém umožňuje vytvářet reporty dostupné prostřednictvím webového GUI, ve formátu PDF. Reporty je možné automaticky odesílat e-mailem. Události je možné exportovat do formátu CSV.
Sledování změn konfigurace	Systém loguje veškeré změny konfigurace s cílem zajistit auditovatelnost činnosti uživatelů a provedené změny s dopadem detekci událostí. Změny konfigurace je možné rovněž odesílat protokolem syslog pro auditování formou externího systému typu SIEM nebo log management.
Napojení na systém dohledu NUKIB	Systém předává požadované informace prostřednictvím provozovaného SSL tunelu do dohledového systému NUKIB a to v rozsahu definovaném ve stávajícím systému.

Tento funkční test ověří, že implementace Poskytnutí obnovy řešení NBA poskytuje bezchybně všechny požadované funkcionality, včetně integrace se systémy Objednatele (SIEM, Zálohování, apod.), přičemž může být doplněn o jakoukoli položku této přílohy, případně i o ověření funkčnosti vyplývající z požadavků uvedených v  příloze č.1 Smlouvy – Popis technického řešení.

Akceptační test je ukončen nahlášením výsledku a předáním seznamu nalezených vad. Po odstranění podstatných vad budou akceptační testy celé opakovány a ověří tak kvalitu předávaného řešení Poskytnutí obnovy řešení NBA.

V případě neodstranění podstatných vad nebude řešení akceptováno ani s výhradami.

Podstatné vady jsou vady, které způsobují tak závažné problémy, že Objednatel nemůže produkt nebo jeho klíčovou část používat či ovládat.

Úspěšný akceptační test je takový, kdy tabulka akceptačního testu obsahuje všechny požadované řádky vyplněné výsledkem testu s hodnotou „ANO“ a je predispozicí k podepsání akceptačního protokolu jehož vzor je součástí smlouvy jako příloha č.5.

6.3.4Dokumentace

Dokumentace dodaná v rámci řešení bude obsahovat jak originální dokumentaci dodávanou výrobcem ke komponentům a systému NBA, tak i dokumenty popisující nasazení řešení Poskytnutí obnovy NBA řešení v prostředí Objednatele.

Oficiální dokumentace výrobce k produktům řešení bude předána v elektronické podobě (formát PDF nebo MS Word) a bude provedena v českém, nebo anglickém jazyce. Dokumentace od výrobce musí pokrývat minimálně následující oblasti:

• popis architektury;

• instalace řešení;

• administrace řešení;

• uživatelská příručka;

Dokumentace popisující nasazení řešení v prostředí Objednatele musí být předána v elektronické podobě ve formátu MS Word a bude provedena v českém jazyce. Minimální požadavky na rozsah a obsah dodávané dokumentace je následující:

• Instalační dokumentace

  • Popis architektury;

  • Komunikační matice komponent;

  • Instalované verze;

  • Licence;

  • Instalační postup;

• Implementační dokumentace

  • Popis nastavení komponent;

  • Popis konfigurace zálohování;

  • Popis nastavení integrace Bezpečnostního monitoringu

  • Popis nastavení konfigurace Provozního monitoringu

• Uživatelská příručka

  • Popis uživatelského rozhraní systému z pohledu uživatele;

  • Popis uživatelských postupů při práci se systémem;

• Administrátorská příručka

  • Popis uživatelského rozhraní systému z pohledu administrátora;

  • Popis základních úkonů nutných pro údržbu systému a standardní profylaktické testy;

• Zajištění kontinuity provozu

  • Popis postupu obnovy ze zálohy;

  • Doporučení pro archivaci (datové komunikace po překročení onsite limitu);

  • Popis postupu v případě havárie jednotlivých komponent včetně postupu obnovy do provozního stavu;

  • Popis postupu nouzového přístupu k sondám v případě nedostupnosti/omezené funkčnosti centrální správy;

6.3.5Školení

Dodavatel zajistí proškolení minimálně 3 osob Objednatele na úrovni administrace řešení v rozsahu umožňujícím provádět:

• Běžný rutinní provoz a údržbu dodávaného systému, včetně provedení příslušných konfiguračních změn;

• Řešení obvyklých problémů;

• Správu uživatelských oprávnění;

• Monitoring stavu zařízení;

• Zálohování a obnovu konfigurace a dat;

• Tvorbu pohledů a reportů;

Školení musí být poskytnuto v českém nebo slovenském jazyce.

6.4Podpora

Dodavatel ručí za to, že Poskytnutí obnovy NBA řešení bude funkční a použitelné v prostředí Objednatele a bude odpovídat požadavkům Objednatele uvedených v Technické specifikaci a vlastnostem deklarovaným v dokumentaci dodané Dodavatelem. Služby poskytované Dodavatelem musí vyhovovat technickým specifikacím a požadavkům výrobce.

Podpora Poskytnutí obnovy NBA řešení zahrnuje činnosti definované ve Specifikaci katalogových listů, viz Příloha č.2 Smlouvy.

Podpora bude poskytována dle  parametrů definovaných ve Specifikaci katalogových listů, viz Příloha č.2 Smlouvy a bude probíhat v českém jazyce, nedohodnou-li se pověřené osoby smluvních stran v konkrétním případě jinak.

Odstraňování vad technických prostředků bude Dodavatelem prováděno výměnným způsobem na místě s tím, že náhradní díl nebo zařízení musí být nové a bezvadné a musí být doručeno do místa provádění opravy.

Podpora musí být poskytována v českém nebo slovenském jazyce.

Popis Technického řešení Stránka 21 z 21