Contract

OBJETO: Cotação de preços para fornecimento e atualização de solução de segurança perimetral - solução integrada de segurança de infraestrutura de TI (firewall de retaguarda), com garantias, manutenções e suporte 24 x 7 (mss) de serviço de scan de vulnerabilidade por 12 meses, conforme Planilha de Quantidades e Preços – Anexo “1” e Termo de Referência – Anexo “2”.

ENCERRAMENTO: 20/08/2021 às 17:00 hs

CONDIÇÕES GERAIS:

1 - PROPOSTA: Apresentar a proposta de preço de acordo com o disposto nesta Cotação e seus anexos, redigida em português, salvo quanto às expressões técnicas de uso corrente. Devendo estar considerado, além do lucro, todos os custos diretos e indiretos, bem como os encargos, benefícios e despesas indiretas (BDI) e demais despesas de qualquer natureza, relacionadas com a prestação dos serviços.

a) Condição de Pagamento – 30 DDL

b) VALIDADE DA PROPOSTA: A validade da proposta não deverá ser inferior a 60 dias.

c) PRAZO: Prazo de Execução: 12 (doze) meses.

d) A proposta deverá ter o nome do responsável por sua formulação, bem como os dados cadastrais da empresa, CNPJ, Razão Social, Endereço, Inscrições Estadual e Municipal e Telefone para contato.

e) A proposta deverá ser encaminhada em formato.pdf, Word.doc. ou .Excel .xls, por e-mail para: xxxxxxxx_xxxxxx@xx.xxx.xx ou fax: 11 - 0000-0000, até a data e horário de ENCERRAMENTO.

a) A CETESB descontará e recolherá dos pagamentos que efetuar os tributos a que estiver obrigada pela legislação vigente

b) Constitui ainda condição para realização da contratação e dos pagamentos, a inexistência de registros em nome da CONTRATADA no “Cadastro Informativo dos Créditos não Quitados de Órgãos e Entidades Estaduais do Estado de São Paulo – CADIN ESTADUAL”, o qual será consultado por ocasião da formalização do Contrato e da realização de cada pagamento.

CRITÉRIO DE AVALIAÇÃO: A avaliação será feita por VALOR GLOBAL

São Paulo, 04 de agosto de 2021.

Xxxxxxx Xxxxxxxxx

Fone: 011 - 3133.4185

xxxxxxxxxxxxxxxx@xx.xxx.xx

ANEXO “1”

PLANILHA DE QUANTIDADES E PREÇOS

ITEM	COMPOSIÇÃO DO ITEM	QTDE	PREÇO UNIT	PREÇO TOTAL
1	LICENÇA, SUPORTE E GARANTIA DA SOLUÇÃO
1.1	SOLUÇÃO PARA PREVENÇÃO DE INTRUSÃO DE REDE IPS COM ALTA DISPONIBILIDADE – MFE Network Sec 3050 Sensor / Portas
1.1.2	MFE Network Sec 3050 Sensor 1Yr GL+RMA - IYVM35KADMAA	2
1.1.3	MFE NetSec Active FailOpen Switch-Copper 1YR RMA - RBCGAFOKT2A	6
1.1.4	MM Opt Gigabit FO Kit 1Yr RMA - REMMF13PTAAA	2
1.1.5	MFE NetSec Redundt PwrSupply 6050 1YrRMA - RBRPMSPS2AA	2
1.1.6	MFE Network Sec Starter Mngr 1Yr GL - IMTYCM-AD	1
1.1.7	MFE 3050 1YR RMA - IYVM35KADMA	1
1.1.8	MF PWRSUPPLY 3050 1YR RMA - RBRPMSPS2	1
1.1.9	ACTIVE FAILOPEN 62.5 1YR RMA - RB62F1KT7	8
1.1.10	MFE MANAGER - IMSYCM-AD-AA	1
1.2	SERVIÇO PARA GESTÃO DE RISCO E CONFORMIDADE - Vulnerabilidade	1
1.3	SOLUÇÃO PARA SEGURANÇA DE WEB COM ALTA DISPONIBILIDADE – MFE Web Gateway 400 Appl-C / Licenças	1
1.3.1	MFE Web Gateway 5000 Appl-C 1YrGL+ARMA - WBG5000CARMAA	2
1.3.2	MFE Web Security 1Yr GL - WSGYCM-AA	3000
1.3.3	MFE WEB SECURITY - WSGYCM-AA	4000
1.4	TREINAMENTO/REPASSE TECNOLÓGICO
1.4.1	Treinamento IPS- McAfee - XXX-XXX0	0
1.4.2	Treinamento Web- McAfee - TRN-TCL4	2
2	SERVIÇO DE APOIO PERMANENTE, SUPORTE TÉCNICO, MANUTENÇÃO (SOFTWARE E HARDWARE) E ATUALIZAÇÃO DE VERSÃO DA SOLUÇÃO OFERTADA (PERÍODO DE 12 MESES) - MSS	12
VALOR TOTAL DA SOLUÇÃO

IMPORTANTE: DEVERÃO CONSTAR NA PLANILHA DE PROPOSTA OS VALORES UNITÁRIOS E TOTAIS.

Data / / Assinatura com carimbo da empresa

ANEXO “2” TERMO DE REFERÊNCIA

1. FORNECIMENTO E ATUALIZAÇÃO DE SOLUÇÃO INTEGRADA DE SEGURANÇA DE INFRAESTRUTURA DE TI (FIREWALL DE RETAGUARDA), COM GARANTIAS, MANUTENÇÕES E SUPORTE 24 X 7 (MSS) DE SERVIÇO DE SCAN DE VULNERABILIDADE POR 12 MESES.

1.1 Características da Solução:

1.1.1 Deverá ser fornecida por um único fabricante de modo que tanto o suporte à solução quanto as funcionalidades sejam inteiramente integradas e gerenciadas através de uma única console de gerenciamento;

1.1.2 Impede que o malware penetre em sistemas e se prolifere para computadores-clientes pela rede e pelo ambiente;

1.1.3 Configurado para suportar múltiplos dispositivos inclusive ameaças ocultas em arquivos compactados;

1.1.4 Essa solução de varredura de alto desempenho é distribuída em um ou mais servidores Windows em configurações acessíveis de varredura múltipla de alta disponibilidade ou multiarquivos, proporcionando o poder do processamento paralelo para um balanceamento de carga ideal e uma proteção flexível de failover;

1.1.5 Detecta programas indesejados: encontra programas spyware ocultos que rastreiam o uso da Internet, acessam dados pessoais e abrem brechas de segurança;

1.2 Requisitos e Condições dos Serviços de Manutenção e Assistência Técnica:

1.2.1 Manutenção e assistência técnica do tipo corretiva, compreendendo procedimentos destinados a recolocar e/ou manter em perfeito estado de operação os serviços e equipamentos tais como:

1.2.1.1 Do hardware: desinstalação, reconfiguração ou reinstalação decorrentes de falhas no hardware, fornecimento de peças de reposição, substituição de hardware, atualização da versão de drivers, firmwares e software básico, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados.

1.2.1.2 Do software (aplicativos e sistema operacional): desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service-packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.

1.2.2 A manutenção e assistência técnica corretiva serão realizadas sempre que solicitadas pela CETESB por meio da abertura de ordem de serviço diretamente à Contratada via telefone com número do tipo “0800” e/ou local.

1.2.3 Uma ordem de serviço somente poderá ser fechada após o aceite do fiscal técnico responsável pelo contrato na CETESB e o término de atendimento se dará com a disponibilidade do recurso para uso em perfeitas condições de funcionamento no local onde o mesmo está instalado.

1.2.4 Durante a execução de quaisquer atividades mencionadas neste edital, a CETESB poderá realizar gravações dos procedimentos para repasse posterior da aprendizagem internamente. Poderá também utilizar a gravação para futuras discussões técnicas, inclusive com a Contratada para resolução de divergências técnicas. As imagens serão de propriedade da CETESB.

1.2.5 Na abertura da ordem de serviço, serão fornecidas informações, tais como anormalidade observada, nome do responsável pela solicitação do serviço e a severidade do chamado.

1.2.6 Todas as solicitações feitas pela CETESB deverão ser registradas pela Contratada para acompanhamento e controle da execução dos serviços. Após a realização dos serviços, a Contratada deverá apresentar um Relatório de Atividades, contendo no mínimo as informações descritas no item a seguir, e este relatório deverá ser homologado pelo Gestor e Fiscal Técnico responsável pelo contrato na CETESB.

1.2.7 O Relatório de Atividades deverá ser emitido pelo Gerente de Suporte encarregado pelo Contrato na Contratada e será preenchido pelo técnico da Contratada encarregado de prestar os serviços, contendo no mínimo:

• Identificação do Relatório de Atividades;

• Data da emissão;

• Data e hora de início e término do atendimento;

• Severidade do chamado;

• Número do contrato;

• Identificação do requisitante do serviço;

• Modelo dos equipamentos atendidos;

• Números de série;

• Descrição da manutenção preventiva ou manutenção corretiva realizada e detalhamento da solução aplicada;

• Substituição de peça no período da garantia;

• Identificação do agente técnico da CETESB que validou o serviço; e

• Identificação do técnico da Contratada responsável pela execução do serviço.

1.2.8 O tempo do início efetivo de atendimento da ordem de serviço deverá ser de acordo com a Tabela de Severidade de Chamado, conforme descrita no item Tabela de Severidade e Solução de Chamado, contado a partir da abertura do mesmo.

1.2.9 Em caso de substituição de equipamento defeituoso, o equipamento substituto deve ser igual ou superior, do mesmo fabricante, em características técnicas.

1.2.10 A Contratada deverá informar aos responsáveis da CETESB qualquer situação que possa ensejar em uso inadequado dos recursos.

1.2.11 A Contratada será eximida de despesas de manutenção e suporte técnicos decorrentes do uso inadequado dos recursos, desde que devidamente comprovadas.

1.2.12 A Contratada não poderá deixar de executar os serviços descritos neste Termo de Referência sob qualquer alegação, mesmo sob pretexto de não ter sido executada anteriormente qualquer tipo de interferência no respectivo equipamento ou dispositivo.

1.2.13 Para os serviços descritos neste Termo de Referência, a CETESB permitirá o acesso dos técnicos habilitados e identificados da Contratada às instalações onde se encontrarem os equipamentos. Esses técnicos ficarão sujeitos a todas as normas internas de segurança da CETESB, inclusive àquelas referentes à identificação, trajes, trânsito e permanência em suas dependências.

1.2.14 Para a execução dos serviços descritos neste Termo de Referência, a Contratada somente poderá desativar o equipamento, com prévia autorização da CETESB.

1.2.15 A Contratada deverá substituir, em 24 (vinte e quatro) horas, o produto utilizado na solução, já instalado, por um novo, igual ou superior, do mesmo fabricante, em características técnicas, sem ônus para a CETESB, quando comprovados defeitos de fabricação do próprio ou de seus componentes, que comprometerem seu desempenho, nas seguintes hipóteses:

• Caso ocorram 03 (três) defeitos que comprometam seu uso normal, dentro de qualquer intervalo de 30 (trinta) dias.

• Caso a soma dos tempos de paralisação do equipamento ultrapasse 72 (setenta e duas) horas, dentro de qualquer intervalo de 30 (trinta) dias.

1.2.16 Os equipamentos removidos para conserto, e que sejam passíveis de retorno, deverão ser devolvidos à CETESB em perfeito estado de funcionamento, no prazo máximo de 10 (dez) dias úteis ficando a remoção e o transporte dos mesmos, bem como quaisquer custos decorrentes dessas atividades, sob inteira responsabilidade da executante dos serviços, sendo certo que a Contratada providenciará a colocação dos recursos necessários como backup, até que seja sanado o problema, obedecendo ao prazo da solução constante da TABELA DE SEVERIDADE E SOLUÇÃO DE CHAMADO.

• Caso haja necessidade de substituição do equipamento, durante o processo de substituição, os serviços deverão ter sua continuidade através de equipamento sobressalente da Contratada.

• A substituição definitiva será admitida com anuência do CETESB, após prévia avaliação técnica quanto às condições de uso e compatibilidade do equipamento, peça ou componente ofertado, em relação àquele que está sendo substituído.

• A garantia dos serviços de assistência técnica deverá ser aplicada a todos os componentes da solução, inclusive àqueles que sejam instalados para permitir redundância, de modo a manter a disponibilidade oferecida quando da sua instalação.

1.2.17 TABELA DE SEVERIDADE E SOLUÇÃO DE CHAMADO

Os serviços de manutenção e assistência técnica / suporte técnico deverão ser prestados 24 (vinte e quatro) horas x 7 (sete) dias por semana e deverá ser realizado em 3 (três) níveis descritos a seguir. A classificação de uma solicitação a um incidente deverá estar de acordo com o estabelecido na tabela abaixo:

TABELA DE SEVERIDADE DE CHAMADO PARA TODOS OS HARDWARES E SOFTWARES
Severidade	Descrição					Tempo de Início de Atendimento
Alta	Serviço produção.	parado	no	ambiente	de	Em até 2 (duas) horas.
Média	Erros ou problemas reincidentes que impactam o ambiente de produção.					Em até 2 (duas) horas.
Baixa	Problemas confortáveis que não afetem a integridade e funcionalidade do sistema.					Em até 8 (oito) horas.

1.2.17.1 Em caso de necessidade e em qualquer classificação de severidade, a critério da Cetesb, deverá ser prestado atendimento “On-Site”. Os serviços “On-Site” deverão iniciar-se em no máximo 02 (duas) horas após confirmação da CETESB ou conforme agendamento a critério da CETESB.

1.2.17.2 Após o início do atendimento, o tempo de solução do problema deverá ser de acordo com a Tabela de Solução do Chamado (conforme tabela a seguir), não devendo ultrapassar os prazos estabelecidos para as respectivas severidades, contados a partir da abertura do chamado técnico. Esta tabela identifica o tempo em que o problema deverá ser solucionado, tanto para os hardwares como para os softwares.

TABELA DE SOLUÇÃO DO CHAMADO PARA TODOS OS HARDWARES E SOFTWARES
Severidade	Descrição	Tempo de Solução
Alta	Serviço parado no ambiente de produção, incluindo reposição de peça defeituosa ou substituição temporária do equipamento.	Em até 4 (duas) horas da abertura do chamado.
Média	Erros ou problemas reincidentes que impactam o ambiente de produção.	Em até 5 (cinco) horas da abertura do chamado.
Baixa	Problemas confortáveis que não afetem a integridade e funcionalidade do sistema.	Em até 10 (dez) horas da abertura do chamado.

1.2.18 Manutenção e assistência técnica do tipo preventiva, compreendendo:

1.2.18.1 Procedimentos destinados a prevenir a ocorrência de erros e defeitos dos equipamentos, de forma proativa, a fim de realizar inspeções, limpeza física (inclusive internamente) no parque de elementos ativos instalados e nos softwares de configuração que gerenciam a solução em uso pela CETESB.

1.2.18.2 As inspeções deverão ser realizadas semanalmente, em visitas de no mínimo 2 (duas) horas, por técnico qualificado e certificado pelo fabricante dos equipamentos em uso pela CETESB, para verificação de eventos de erro, coleta e avaliação de logs, verificação e inspeção visual das condições de funcionamento da solução e limpeza dos equipamentos. Caso haja necessidade de atualização de versão, correção do sistema e melhoria nas configurações

baseado em melhores práticas da ferramenta, a CETESB agendará uma data para realização da atividade, sem comprometer as horas das visitas semanais.

1.2.18.3 A agenda das inspeções técnicas deverá ser controlada por meio de cronograma, com datas e horários a serem previamente definidos pela Contratada em conjunto com a equipe técnica da CETESB. Caberá à CETESB aprovar a planilha e controlar o cumprimento da agenda aprovada.

1.2.18.4 Inclui atendimento remoto e on-site. O atendimento on-site deve ser realizado pela CONTRATADA, caso haja necessidade de intervenção do fabricante, esta deverá ser realizada em conjunto com a Contratada.

1.2.18.5 Reuniões gerenciais, mensais, para avaliação e acompanhamento dos serviços de manutenção e assistência técnica, em que deverá estar presente o Gestor Técnico responsável pelo contrato.

1.2.18.6 Após a execução dos procedimentos manutenção e assistência técnica preventiva, a empresa Contratada deverá fornecer à CETESB um Relatório de Atividade descrevendo todos os procedimentos efetuados, com base nas especificações e melhores práticas recomendadas pelo fabricante.

1.2.19 Acompanhamento dos serviços

1.2.19.1 Para o acompanhamento dos serviços desta contratação, a Contratada deverá disponibilizar um Gerente de Suporte e um técnico que deverão ser capacitados e certificados nos equipamentos objeto deste TERMO DE REFERÊNCIA.

1.2.19.2 Este Gerente de Suporte ficará responsável pelo acompanhamento dos serviços prestados pelo técnico e de toda e qualquer demanda apresentada pela CETESB.

1.2.19.3 O Gerente de Suporte também será o responsável por elaborar qualquer documentação técnica relativa aos serviços, incluindo um Plano de Suporte Técnico mensal e anual.

1.3. Modelo de Prestação de Serviços

1.3.1 A execução dos serviços contratados será realizada de forma indireta por meio de Ordem de Serviço.

1.3.2 A Contratada elaborará relatórios, quando solicitado pelo CONTRATANTE dos serviços executados, classificados em “Operação e manutenção preventiva”, “Manutenção corretiva” e “Programação/Configuração”. Além destes itens, a CETESB poderá, mediante informação prévia à contratada, atualizar os itens necessários para a Ordem de Serviço e suas classificações em razão de redefinição ou implantação de novos processos.

1.3.3 As Ordens de Serviços conterão os PRODUTOS e SERVIÇOS a serem entregues, com critérios claros para a sua homologação e aceite;

1.3.4 As definições detalhadas dos serviços, que abrangem procedimentos e metodologias a serem empregadas, de níveis de serviço e descrição de cada um dos serviços constantes do objeto da contratação estão elencados de forma objetiva no item tabelas de severidade e solução de chamado e nos demais procedimentos descritos neste edital.

1.4 DA METODOLOGIA DA AVALIAÇÃO DA QUALIDADE E ACEITE DOS SERVIÇOS

1.4.1 A metodologia utilizada na avaliação da qualidade e aceite dos serviços obedecerá ao estipulado no cumprimento a todas as obrigações e especificações descritas neste Termo de Referência, durante o decurso da execução do contrato, tendo como resumo de sua produtividade, os relatórios estabelecidos nas ordens de serviço demandadas e executadas, devidamente ajustadas aos níveis de serviço determinados neste Termo.

1.5 DA ORDEM DE SERVIÇO

1.5.1 Será utilizado o procedimento de abertura de ordem de serviço para as comunicações formais.

1.5.2 A Contratada deverá ofertar um modelo de ordem de serviço para aprovação da Contratante, onde constem, no mínimo, os campos descritos abaixo, observando o previsto no Nível de Serviço (NS) deste Termo de Referência e no Relatório de Atividade:

• Descrição do chamado técnico;

• Data/hora da abertura do chamado técnico;

• Número do ticket referente ao chamado;

• Registro do grau de severidade do chamado;

• Relatório de Atividade.

1.5.3 As aberturas das ordens de serviço se darão via telefone 0800 ou telefone local, site e/ou e-mail específico, devendo estas informações de contato constar em documento a ser entregue antes do início da prestação do serviço (reunião inicial).

1.6 Características da Solução - Licenças

ITEM	COMPOSIÇÃO DO ITEM
1	LICENÇA, SUPORTE E GARANTIA DA SOLUÇÃO
1.1	SOLUÇÃO PARA PREVENÇÃO DE INTRUSÃO DE REDE IPS COM ALTA DISPONIBILIDADE – MFE Network Sec 3050 Sensor / Portas
1.2	SERVIÇO PARA GESTÃO DE RISCO E CONFORMIDADE – MFE Vulnerability Mngr SW
1.3	SOLUÇÃO PARA SEGURANÇA DE WEB COM ALTA DISPONIBILIDADE – MFE Web Gateway 400 Appl-C / Licenças
1.4	TREINAMENTO/REPASSE TECNOLÓGICO

2	SERVIÇO DE APOIO PERMANENTE, SUPORTE TÉCNICO, MANUTENÇÃO (SOFTWARE E HARDWARE) E ATUALIZAÇÃO DE VERSÃO DA SOLUÇÃO OFERTADA (PERÍODO DE 12 MESES)

1.7 ESPECIFICAÇÕES TÉCNICAS

Renovação de SOLUÇÃO de segurança para proteção a navegação segura na WEB, proteção contra intrusão gerenciamento de riscos, vulnerabilidades em ativos de rede e perda/roubo das informações. A empresa deverá proceder com as melhores práticas com a utilização plena dos recursos, inclusive mantendo e melhorando a integração entre os recursos já existentes. Deverá elaborar um relatório com elementos que demonstram do uso dos recursos solicitados além de justificativas técnicas para alguma possível não utilização.

Toda a solução deverá ser fornecida por um único fabricante.

1.7.1 Módulo (Webgateway) - para Segurança de Web MFE Web Gateway 400 Appl-C

1.7.1.1 Características gerais de hardware

• A solução é do tipo “BUNDLE” (Hardware/Software);

• Os equipamentos são do tipo Appliance, ou seja, hardware e software integrados;

• Os equipamentos são compatíveis com Racks de 19”, utilizam no máximo 2U’s de espaço para instalação, sem a necessidade de qualquer adaptação;

• Os equipamentos possuem 1 processador com 2 núcleos;

• Os equipamentos possuem 4GB de memória RAM;

• Os equipamentos possuem dois discos rígidos SAS de 300 GB;

• Os equipamentos possuem 4 interfaces de rede ethernet 10/100/1000

• Alta Disponibilidade e Balanceamento de Carga

• A solução possui funcionalidade para operação em cluster Ativo/Ativo configurável através da própria interface de gerência;

• A alta disponibilidade e o balanceamento de carga estão incluídos no preço base da solução e são passíveis de implantação através da própria interface de gerência da ferramenta, sem a necessidade de utilização de hardware e software adicionais;

• A solução opera em cluster utilizando “Heartbeat” para propagação de informação de disponibilidade entre os equipamentos que compõem a solução em cluster;

1.7.1.2 Filtro de URL:

• Os filtros de URL são bidirecionais (Inbound e Outbound) incluindo o exame de conteúdo de todos os requests e responses;

• Os filtros URL são customizados por políticas;

• A solução permite a criação de políticas baseadas em usuários, endereços IP e grupos integrados a serviço de diretório;

• Os filtros de URL são efetuados com base em uma base de dados armazenada localmente nos equipamentos;

• Possui 90 categorias pré-definidas e permite ao administrador a criação de até 500 novas categorias conforme as necessidades do ambiente;

• Possui uma base de URLs com 20 milhões de entradas;

• A solução permite as seguintes ações em relação às categorias:

• Permite o acesso a URL;

• Bloqueia o acesso a URL;

• Estabelece quotas de tempo de acesso;

• Estabelece quotas de volume de acesso;

• Bloqueia durante o horário de expediente;

• Permite nos finais de semana;

• Monitora o acesso (Coach).

1.7.1.3 Métodos de filtro de URLs - a solução suporta todos os seguintes métodos para filtragem de URLs:

• Base de dados de URL;

• Listas Estendidas permitindo a criação/customização de listas de URLs relacionadas a categorias pré-existentes na base de dados de URL da solução;

• Reputação de Web – provê a reputação da Web Site baseado no seu conteúdo, no seu domínio, no comportamento dos aplicativos que compõem a página e do seu IP, tudo em tempo real;

• Filtros por expressões;

• Filtros por tipo de arquivos de Mídia, tipo mp3, wmv, avi, etc. – permite a verificação do tipo de arquivo e a criação de whitelist e blacklists por tipo de arquivo, este tipo é válido para downloads e uploads, analisando o conteúdo padrão MIME dos arquivos;

• Filtros de Upload via Web – permite a criação de whitelists e blacklists no upload de arquivos;

• Inspeção de documentos – inspeciona o conteúdo embutido em arquivos tipo Word, Excel, PowerPoint, PDF, XML, OASIS, and SOAP;

• Tratamento de arquivos compactados – analisa o conteúdo inserido em arquivos tipo zip e aproximadamente 18 outros tipos de compactadores;

• Filtro por Header – permite a filtragem por conteúdos de headers HTTP;

• Filtro pelo corpo da página – permite a análise e o filtro do corpo da página HTML, prevenindo a evasão de informações;

1.7.1.4 Filtros de Propaganda incluem:

• Filtro de Pop-Up;

• Filtro de Links;

• Filtro de Dimensões;

• Filtros de Scripts;

• Filtros de Animações, vídeos e streaming;

• Categorização baseada em Textos – permite categorização baseado em textos de acordo com o conteúdo e anexos;

• Whitelisting – possibilita a granularidade de criar whitelists por expressões, sites, domínios filtros e políticas;

1.7.1.5 Análise de conteúdo Criptografado

• A solução tem a capacidade de filtrar o trafego criptografado via SSL (porta 443) tanto na entrada quanto na saída (inbound e outbound) atuando como “man in the middle” efetuando todo o gerenciamento dos certificados;

• A solução possibilita módulo que efetua a verificação dos certificados das URL’s solicitadas possuindo a opção de bloqueio, caso o certificado venha a ser classificado como inválido;

• A solução possibilita a aplicação para o conteúdo criptografado dos mesmos filtros utilizados para os protocolos HTTP, FTP e ICAP.

1.7.1.6 Análise Anti-Vírus/Antimalware

• A solução possui módulo de análise antivírus/antimalware proprietário ou de terceiros;

• A solução permite a análise utilizando mecanismos de varredura Antivírus/antimalware de 2 (dois) fabricantes, proporcionando uma camada adicional de filtragem;

• A solução possui no módulo de análise antivírus/antimalware a possibilidade de configuração de um “Pre-Scan” do conteúdo, proporcionando dessa forma uma inspeção mais rápida sem afetar os níveis de segurança da solução;

• A solução possui módulo antivírus/antimalware pró-ativo, que permite a detecção de conteúdos maliciosos, suspeitos ou de atividades indesejadas através de uma análise comportamental do código, proporcionando desta forma um nível de proteção contra ameaças desconhecidas (Proteção Dia Zero);

• módulo de análise antivírus/antimalware possibilita o “by-pass” de determinados tipos de streaming tais como áudio e vídeo;

• módulo de análise antivírus/antimalware permite a análise de objetos encapsulados com a opção de bloqueio;

• módulo de análise antivírus/antimalware permite o bloqueio de conteúdos através da verificação do “Checksum”;

• A solução permite a utilização do módulo antivírus/antimalware no mesmo equipamento em que todos os outros filtros da solução estejam ativos, sem a necessidade de utilização de hardware adicional;

1.7.1.7 Suporte a Idiomas

• A solução possui a opção de customização automática de todas as páginas de erro em Português, Inglês, Alemão e pelo menos mais um idioma adicional;

• A alteração dos idiomas utilizados nas páginas de erro são passíveis de configuração através da console de gerência sem a necessidade de utilização de softwares adicionais;

• Filtro de URL suporta novas nomenclaturas internacionais de Domínios (International Domain Names), incluindo acentos, tremas e todos os outros detalhes relacionados ao idioma em questão.

1.7.1.8 Proteção contra Anonymizers

• A solução proporciona a proteção e bloqueio contra “Proxys anônimos”, evitando dessa forma que usuários burlem a solução para acessar conteúdos não permitidos;

• Este nível de proteção é efetuado através de conteúdos existentes na base de dados do módulo de filtro de URL’s.

1.7.1.9 Notificação do Usuário

• Permite a notificação dos usuários, informando os motivos pelos quais houve o bloqueio ao acesso de conteúdos;

• Esta notificação é apresentada em página HTML.

• Sistema permite a customização do layout de relatório;

• Texto de notificação está em português;

• Sistema possui textos de advertência pré-definidos e também permite a customização do texto conforme as necessidades do administrador.

1.7.1.10 Políticas - a solução permite que as políticas sejam aplicadas por:

• Categorias;

• Horários do dia;

• Dias da Semana;

• Volume de Navegação;

• Tempo de Navegação;

• Endereço IP;

• User Name;

• Membros de Grupo;

• Expressões de Request de URL;

• Páginas de Redirecionamento de URLs:

• Permite a customização de páginas de redirecionamento e bloqueio de URL no próprio equipamento.

• Cotas por Volume e Tempo

• Permite a customização de cotas de navegação por volume em Megabytes e tempo por dia, semana e mês.

• A solução permite ao administrador efetuar a configuração das cotas de acordo com cada política.

1.7.1.11 Orientação ao Usuário Final

• Informa os usuários quando potenciais violações de políticas ocorrerem, ainda que permitindo o acesso se o usuário acreditar que o acesso ao site é relacionado ao seu trabalho diário.

• A ferramenta mostra um aviso aos usuários quando ele estiver tentando acessar um site configurado com este tipo de orientação.

• Permite ao usuário a chance de continuar ou não acessando o site em questão.

1.7.1.12 Acesso Remoto para Configuração e Gerenciamento

• Permite que o administrador configure e gerencie as políticas de filtro através de uma console Web, possibilitando que as configurações efetuadas sejam propagadas para os demais appliances configurados em modo “cluster”.

1.7.1.13 Cache

• A solução possui Cache de navegação integrado a solução, sem a necessidade de utilização de software e hardware adicionais;

• A solução mantém a integridade e segurança dos dados armazenados em Cache filtrando o conteúdo armazenado a cada atualização dos módulos e antivírus, antimalware e de reputação.

• A solução possibilita a utilização de Cache DNS, evitando qualquer sobrecarga aos servidores DNS.

1.7.1.14 Arquitetura e integração

• A solução integra-se plenamente com a infra-estrutura existente na empresa.

• Integrado com ePolicy Orchestrator – ePO versão atual instalada e em produção: 5.9.1.

• A solução tem a habilidade de operar como um Proxy stand-alone ou em conjunção com outras soluções de Proxy utilizando o protocolo ICAP;

• Suporta ICAP/0.95 e ICAP/1.0;

• Permite a integração com soluções de switch suportando os protocolos WCCP, IFP ou ICAP;

1.7.1.15 Protocolos Suportados - a solução suporta os seguintes protocolos:

• HTTP: filtro de Web;

• HTTPS: filtro de Web e Gerenciamento;

• FTP: Filtro de WEB;

• ICAP: interconexão com outros dispositivos;

• SNMP: informações de alerta para um sistema de monitoração;

• SSH: Gerenciamento;

1.7.1.16 Administração

• Permite a administração do appliance via interface gráfica (HTTP/HTTPS) ou linha de comandos (SSH);

• Permite a criação de perfis de administradores, tais como:

o Super Administrador;

o Administrador;

o Administrador de política;

o Auditoria e monitoramento;

• Permite a administração centralizada, possibilitando que o administrador especifique as configurações e que estas sejam replicadas entre múltiplos appliances;

1.7.1.17 Backup e Recuperação do sistema:

• Possui um mecanismo de backup e recovery, acessível pela interface administrativa (interface gráfica);

• Permite a execução de backups sem paradas do sistema;

• Permite a execução de backups automatizados, permitindo a programação de horários;

• Suporta SNMP para o envio de alertas, incluindo as versões 1, 2c e 3;

• Executa a atualização automática dos filtros de URL, sem intervenção manual do administrador. Os filtros são continuamente atualizados conforme a categorização e reputação de novas URLs;

1.7.1.18Relatórios e Logs - a solução apresentada possui um mecanismo para geração de relatórios e logs;

• Módulo do relatório possibilita a operação em sistema operacional Windows ou Linux;

• Módulo de relatórios possui banco de dados proprietário e permite a utilização da base de dados em Microsoft SQL Server 2000 e versões superiores e Mysql;

• Permite a criação dos relatórios nos formatos HTML, PDF e CSV;

• Possui no mínimo 30 relatórios pré-definidos, permitindo ao administrador configurar novos relatórios;

• Provê uma interface de monitoramento em real-time (Dashboard), monitorando a atividade de acesso web, incluindo:

o Categorias;

o Sites maliciosos – tentativas de acesso;

o Sites acessados

• Provê no mínimo os seguintes arquivos de log:

o Log de Auditoria;

o Log de Acesso HTTP;

o Log de acesso bloqueados;

o Log de Inbound: Mostra o resultado de conexões incoming (aceitas ou não aceitas);

• Permite o envio automático de relatórios através de email ou arquivamento dos mesmos em um meio de armazenamento externo através de FTP contendo no mínimo as seguintes informações:

o Consumo de banda por categorias e tipos de medias;

o Consumo de banda por tempo de navegação;

o Sumário geral de todo o volume durante um determinado período;

o Os 20 sites mais acessados contendo o volume de navegação;

o Volume diário de detecção Antivírus/Antimalware;

o Sumário de navegação não produtiva por usuário;

o Sumário de bloqueios efetuados pelo filtro de reputação Web.

1.7.1.19 Software e Segurança

• A solução roda em um sistema operacional protegido no próprio appliance, não requerendo sistemas operacionais ou base de dados de terceiros, a não ser para a geração de relatórios;

• Permite a autenticação de usuários via Windows NTLM, LDAP ou base local de usuários;

• Permite a autenticação transparente de usuários, integrada ao Active Directory;

• Através da autenticação transparente, a solução identifica automaticamente os usuários autenticados e mapeia as políticas de acesso;

1.7.2 Módulo (MFE) para Gestão de Risco e Conformidade – MFE Vulnerability Mngr SW

1.7.2.1 Os serviços deverão gerenciar os equipamentos abaixo:

• Equipamentos compatíveis com racks de 19”, utilizando no máximo 2U’s de espaço para instalação, sem a necessidade de qualquer adaptação.

• Equipamentos com gerenciamento de no mínimo 400 ativos de rede.

• Equipamentos com no mínimo 1 processador com 4 núcleos;

• Equipamentos com no mínimo 8 GB de memória RAM;

• Equipamentos com no mínimo dois discos rígidos de 500 GB em Raid 1;

• Equipamentos com no mínimo 2 interfaces de rede ethernet 10/100/1000

1.7.2.2 Características sobre as tecnologias de detecção

• É capaz de fazer detecção de equipamentos ativos e passivos e de topologia de rede;

• É capaz de retornar informações de banner de protocolos FTP, telnet, http e dns;

• É capaz de detectar a presença de sistemas de balanceamento de carga na detecção de topologia;

• É capaz de detectar serviços executados em portas diferentes do padrão (Fingerprintring);

• É capaz de utilizar credenciais para autenticação em sistemas Windows e UNIX para análise detalhada de sistema operacional;

• É capaz de mensurar o nível de conformidade de segurança baseado nas normas internacionais BS7799/ISO17799, FISMA, HIPAA, SOX e PCI;

1.7.2.3 Características sobre tecnologias de varredura

• Permite varredura na rede à procura de vulnerabilidades e exploits;

• Possui módulos de varredura utilizando as listas de vulnerabilidades da SANS/FBI e IAVA (Information Assurance Vulnerability Alert);

• Possui módulos de varredura diferenciados para análise intrusiva e não intrusiva;

• Possui módulo específico para análise de aplicações web para detecção de vulnerabilidades tais como Cross-Site-Scripting;

• Possui filtros de varredura por endereços IP, Sistema Operacional, nome DNS, nome NetBIOS ou nome de domínio;

• É capaz de executar varredura por protocolo ICMP por echo request;

• É capaz de executar varredura por protocolo ICMP por solicitação de máscara (type 13);

• É capaz de executar varredura por protocolo ICMP por solicitação de informação (type 17);

• É capaz de executar varredura por protocolo UDP por portas UDP de serviços padrão;

• É capaz de executar varredura por protocolo UDP por portas UDP específicas;

• É capaz de executar varredura por protocolo TCP via TCP SYN por padrão;

• Possui integração com a base de dados de vulnerabilidades CVE;

• Possui análise de aplicação Web a procura de informações em comentários HTML, hyperlinks, endereços de correio, keywords, campos escondidos e scripts;

• Possui capacidade de identificação de vulnerabilidades em queries SQL de aplicações Web;

• É capaz de fazer análise de esquema de autenticação Web a procura de nomes de usuários e senhas fracas;

• Possui capacidade de agendamento das varreduras para horários e dias específicos;

• Possui capacidade de agendamento das varreduras por hora, dia, semana ou mês;

1.7.2.4 Características sobre o módulo de gerência de riscos

• Possui capacidade de correlacionar ameaças a vulnerabilidades conhecidas da rede;

• Permite cálculo consolidado do risco para os hosts da rede através de indicadores de criticidade de recursos, impacto das ameaças e risco referentes às vulnerabilidades;

• Permite a visualização gráfica de ameaças as quais a instituição em questão está exposta;

• Permite a geração de relatórios independentes por unidades de negócio;

1.7.2.5 Características sobre o módulo de relatórios e notificações

• Possui capacidade de gerar pontuação para análise de risco;

• Possui capacidade de geração de tickets das vulnerabilidades encontradas;

• É capaz de gerar relatórios HTML, pdf, XML ou CSV;

• É capaz de enviar notificações via protocolo SNMP e e-mail;

• É capaz de gerar relatórios com informações das regulamentações da Sarbanes-Oxley, FISMA, HIPAA, BS/7799/ISO17799 e PCI;

• Possui integração com IPS de rede;

• Permite geração de relatórios a partir da console de gerência centralizada com opção de agendamento do envio por email;

• Permite, através da console de gerência centralizada, criação de painéis de monitoração apresentando o status da solução;

• Permite integração com console de gerência centralizada atualmente em uso no ambiente operacional.

1.7.2.6 Operação

• Operar com os principais sistemas operacionais corporativos, entre eles Microsoft Windows, UNIX, Cisco, Linux, Mac e as plataformas VMware.

• Examinar profundamente os aplicativos de Web (OWASP Top 10 e CWE Top 25).

• Procurar por vulnerabilidades na infra-estrutura corporativa, por exemplo Adobe, AOL, Apple, Microsoft (Office, IIS, Exchange),Cisco, Citrix, Facebook, Google, HP, IBM Lotus Notes, Real Networks, Java, Symantec, VMware, Yahoo, e outras.

• Examinar os principais bancos de dados, entre eles MySQL, Postgress, Microsoft SQL Server.

• Inclui os principais modelos de conformidade, tais como ASCI 33, BASILÉIA II, LEI 198 (CSOX), BSI IT (GR), CoBIT, FDCC, FISMA, GLBA, HIPAA, ISO 27002, JSOX, MITS, PCI, SOX, NIST SP 800- 68, SANS Top 20, SCAP, OVAL, e outros.

• Opera com normas, entre elas as auditorias certificadas pela CIS, COBIT, CPE, CVE, CVSS, DISA STIG, FDCC/SCAP, ISO17799/ISO 27002/FINRA, ITIL, NIST-SP800, NSA, OVAL e SANS Top 20.

• Certificação pela Common Criteria.

• Homologação da criptografia FIPS-140-2.

1.7.2.7 Explanação dos Entregáveis

• Após cada ciclo de scan de vulnerabilidades, os entregáveis irão abranger dois pontos principais, visando atender as necessidades técnicas e gerenciais para a gestão de vulnerabilidades. Os dois pontos são:

1. Relatório de Vulnerabilidades – Este irá sumarizar todo o trabalho realizado, trazendo detalhes técnicos das vulnerabilidades e recomendações de mitigação dos riscos, assim como um resumo executivo do grau de exposição da empresa em face às ameaças encontradas. O relatório gerencial permite que este resultado seja uma métrica de comparação desta análise com demais outras já realizadas ou que ainda serão realizadas na empresa;

2. Identificação da Exploração – Realizaremos uma pesquisa adicional ao informe gerado pela ferramenta, avaliando a real criticidade, importante no processo de Análise Técnica de Vulnerabilidade. Isto visa levantar dados suplementares sobre a robustez da segurança do ativo avaliado, priorizando o informe sobre os ativos e vulnerabilidades mais críticas;

• Além dos relatórios, um serviço consultivo mensal para o acompanhamento do serviço de Gestão de Vulnerabilidades, visando auxiliar a equipe da CETESB na análise dos indicadores recebidos, assim como com a definição das melhores estratégias para a manutenção do ambiente de TI.

Gestão de Vulnerabilidades

Hardening, tuning, administração, gerenciamento e monitoração remota

Escopo

24x7x365 do serviço de Gestão de Vulnerabilidade para dispositivos de rede e/ou url’s.

Tecnologia

Vulnerability Manager

Contempla

Licenças e Suporte para dispositivos de rede e urls.

Entregáveis

1 (um) Relatório Técnico Mensal + 01 (um) Relatório Executivo Mensal.

1.7.3 Módulo (IPS) prevenção de intrusão de rede – MFE Network Sec 3050 Sensor

1.7.3.1 Características gerais de hardware - o sistema de prevenção de intrusão de rede é um equipamento dedicado para a prevenção de intrusão (IPS), não sendo combinado com outras funções como firewall, antivírus, filtragem de conteúdo, etc, no mesmo equipamento, com exceção apenas da operação na modalidade IDS (detecção de intrusão sem bloqueio).

• A solução é do tipo “Bundle” (Hardware/Software) do mesmo fabricante;

• Os equipamentos são do tipo Appliance, ou seja, hardware e software integrados, não são aceitas soluções compostas por hardwares genéricos;

• Os equipamentos são compatíveis com Racks de 19”, utilizando no máximo 3U’s de espaço para instalação, sem a necessidade de qualquer adaptação;

• Possui interface UTP dedicada para gerência, separada das interfaces de inspeção, com velocidade de, no mínimo, 100 (cem) Mbps. Caso ocorra falha nessa porta, deve existir forma alternativa de acesso à gerência através de porta console, ou via porta de detecção.

• Permite a configuração dos equipamentos através de porta de console.

• Suporta o protocolo SSH para comunicação segura com o software de Gerência.

• Permite a atualização dos softwares e do firmware do sistema, sem custo adicional, durante o período de garantia.

• Permite atualização do sistema operacional e assinaturas sem a interrupção do tráfego;

• Permite a instalação nos modos Span, TAP e em linha.

• Possui no mínimo 8 portas SFP e 4 XFP para análise em linha;

• Capacidade de inspeção em linha de no mínimo 1.5 Gbps;

• Suporta no mínimo 750.000 conexões simultâneas;

• Latência máxima por pacote de 30 microssegundos;

• Permite a criação de até 5.000 perfis para proteção DOS;

• Permite a criação de até 3.000 Virtual IPS;

• Equipamento possui fontes de alimentação redundantes.

1.7.3.2 Características gerais da solução

• Equipamento baseado em SSD1 (Solid State Drive) sem HD (Hard Disc) com arquitetura ASIC2 (Application Specific Integrated Circuit) e FPGA3 (Field Programmable Gate Array), isto é, o equipamento foi desenvolvido, tanto software quanto hardware, para a funcionalidade única, exclusiva e especificamente de Network Intrusion Prevention.

• Equipamento suporta integração com Radius e/ou LDAP para autenticação de usuários e administradores.

• Equipamento possui LED (Light-Emitting Diode), no painel frontal, para fornecer informações sobre Health Status – fonte(s) de energia, sistema, ventilação e temperatura do ar de entrada – do equipamento e atividades das interfaces.

• Equipamento não necessita de reconfiguração de roteadores e switches para sua instalação em Inline Mode.

• Equipamento suporta tecnologia que permita uma inspeção inteligente baseada em análise estatística do fluxo de dados de rede, otimizando o processo de identificação e proteção contra ataques.

• Equipamento suporta monitoração e proteção de seguimentos de rede em modo transparente e operação na chamada 2 (Layer-2) do modelo OSI (Open System Interconnection) – Bridge Mode. Isto é, as interfaces de monitoração e proteção não requerem endereço IP.

• Equipamento suporta tanto configuração manual de velocidade e Duplex quanto configuração automática de auto-negociação baseada na especificação IEEE 802.3u das interfaces.

• Equipamento suporta instalação Inline Mode sem bloqueio para ataques, isto é, quando instalado em Inline Mode o equipamento pode ser configurado para não bloquear ataques específicos ou todos os ataques, apenas alertando-os.

• Equipamento suporta funcionamento como Firewall transparente, permitindo a criação de regras para filtros de acesso de camada 3.

• Equipamento suporta configuração, manutenção e visualização de estado das interfaces de monitoração e proteção através de CLI (Command Line Interface – Interface de Linha de Comando).

• Equipamento suporta as modalidades de instalação:

• SPAN Mode: monitoração e proteção de HUBs e/ou portas SPAN de switches, com o tráfego ativo de redes sendo espelhado para ele, permitindo monitorar ataques trafegando por estes espelhamentos e respondendo em tempo real, sendo altamente granulares as ações preventivas.

• TAP Mode: monitoração e proteção de comunicações de rede em ambas as direções em Full- Duplex, permitindo monitorar ataques trafegando por estas comunicações, mantendo o estado destas e respondendo em tempo real, sendo altamente granulares as ações preventivas.

• Inline Mode: monitoração e proteção de segmentos de dados, com tráfego ativo de rede passando por ele, permitindo impedir ataques trafegando por estes segmentos e bloqueando-os em tempo real, sendo altamente granulares as ações preventivas.

• Equipamento suporta criação, configuração e manutenção de Virtual IPS e Virtual Firewall através da VLAN Tagging 802.1Q, suportando VLAN Bridging (VLAN Pairing), ou bloco(s) de endereços (CIDR – Classless Inter-Domain Routing), assim como criação, configuração e manutenção de Port Clustering através do agrupamento de múltiplas interfaces físicas em uma única Virtual Interface.

• Equipamento possui Network TAP opcional.

• Equipamento suporta monitoração, proteção, decodificação, análise e bloqueio de tráfego de aplicações Instant Messenger e P2P (Peer-to-Peer), tais como: AOL Instant Messenger, AOL Instant Messenger Express, Ares, Azureus, Bearshare, Bittorrent, Blubster, DirectConnect, eDonkey, eMule, Enppy, ICQ, ICQ2Go, FileNara, Gnucleus, Gnutella, Grokster, Groove, JAP Anonymizer, Kazaa, Limewire, Morpheus, MSN Messenger, Mutella, MyNapster, Mxie, OpenLITO, Overnet, Phex, Piolet, RockltNet, Shareaza, Skype, SoulSeek, Swapper, Xolox, WinMX, Yahoo! Messenger, etc.

• Equipamento suporta atualização e aplicação de políticas de segurança, através da gerência, sem paralisação da monitoração, proteção, decodificação, análise e bloqueio.

1.7.3.3 Alta-Disponibilidade e Redundância

• A solução possui mecanismo de detecção de falha no equipamento;

• A solução possui mecanismo que detecta falha de link;

• Suporta Corrente Alterna ou Alternada (AC – Alternating Current) ou Corrente Contínua ou Galvânica (DC – Direct Current);

• Possui suporte a Fail-close e Fail-open (Layer-2 Passthru e Hardware Bypass7).

• Possui suporte a HA (High Availability – Alta-disponibilidade) ativo-passivo.

• Possui suporte a HA (High Availability – Alta-disponibilidade) ativo-ativo – utilizando-se apenas de uma

(01) a duas (02) interfaces por equipamento do HA Pair.

• Possui suporte a HA (High Availability – Alta-disponibilidade) Statefull Failover.

• Suporta ambiente com balanceamento de carga através de dois equipamentos.

1.7.3.4 Suporte a Rede

• Suporta roteamento e tráfego assimétrico.

• Suporta monitoração, proteção, decodificação, análise e bloqueio de ataques através de:

• Segmentos com VLAN Tagging 802.1Q, Stacked VLAN, QnQ (Double VLAN Tagging) e VLAN Bridging (VLAN Pairing) em STP (Spanning Tree Protocol).

• Segmentos com ECLB (EtherChannel Load Balancing).

• Segmentos com MPLS (Multi Protocol Label Switching).

• Segmentos com GRE (Generic Routing Encapsulation).

• Segmentos com GPRS (General Packet Radio Service) Tunneling Protocol.

• Suporta monitoração, proteção, decodificação, análise e bloqueio de ataques através de:

• Tráfego com IPv6 nativo com túneis: 4in4, 4in6, 6in4 e 6in6.

1.7.3.5 Proteção de negação de serviço

• Suporta assinaturas para ataques de vulnerabilidades DoS (Denial of Service), tais como:

• Logic Attacks: boink, bonk, jolt, land, latierra, nestea, newtear, pimp, ping-of-death, reset-tcp, rose, rst_flip, smurf, snork, teardrop, winnuke, etc.

• Bandwidth (Flood) Attacks: ICMP echo request, TCP data segment Flood, TCP SYN/RST Flood, etc.

• Protocol Attacks: SYN Flood, Smurf, Fraggle, etc.

• Suporta assinatura para ferramentas de ataques DDoS (Distributed Denial of Service), tais como: Trinoo, Shaft, Stacheldraht, Trinity, TFN, TFN2K, MStream, etc.

• Suporta assinaturas baseadas em thresholds, DoS/DDoS Profiles12 e Self-Learning, possibilitando-se:

• Gerência de perfis de DoS múltiplos.

• Gerência de perfis de tráfegos de curto e médio prazo, através da importância quantitativa na mudança do tráfego.

• Monitoração, proteção, decodificação, análise e bloqueio de anomalias categóricas ou desequilíbrio do tráfego:

• ICMP ECHO Anomalies (type:8/code:0 e type:0/code:0).

• TCP Control Segment Anomalies (SYN, SYN-ACK, FIN e RST).

• Monitoração, proteção, decodificação, análise e bloqueio de ataques DoS (Denial of Service) e DDoS (Distributed Denial of Service) através de anomalias de volume de tráfego:

o IP fragment.

o ICMP ECHO (type:8/code:0 e type:0/code:0).

o Todos os demais ICMP Codes e Types.

o UDP.

o TCP SYN, FIN e RST.

o Non-TCP/UDP/ICMP.

o Out-of-Window e Out-of-Context TCP data segment.

• Monitoração, proteção, decodificação, análise e bloqueio de ataques:

o TCP SYN e ACK Flood.

o UDP Flood.

o ICMP Flood.

o Suporta assinaturas baseadas em ataques direcionados à DNS.

1.7.3.6 Proteção de Vulnerabilidades

• Suporta monitoração, proteção, decodificação e análise stateful inspection, mantendo o estado das sessões monitoradas, podendo optar-se também por monitoração e proteção stateless inspection.

• Suporta monitoração, proteção, decodificação e análise de ataques independentes do sistema operacional alvo.

• Suporta identificação passiva dos sistemas operacionais (Passive OS Fingerprint) dos sistemas monitorados e protegidos.

• Suporta monitoração, proteção, decodificação e análise do tráfego na direção servidor-cliente, para detecção e bloqueio de exploits originados em servidores e direcionados aos clientes (drive-by attacks).

• Suporta monitoração, proteção, decodificação e análise para ameaças APT13 (Advanced Persistent Threat – Ameaças Avançadas e Persistentes) – como, por exemplo: Operation Aurora14.

• Suporta monitoração, proteção, decodificação e análise do tráfego em redes de automação SCADA (Supervisory Control And Data Acquisition).

1.7.3.7 Suporta os seguintes tipos de ataques:

• Reconnaissance: Host Sweep, Port Scan, Brute Force, Service Sweep, OS Fingerprint.

• Exploits: Protocol Violation, Buffer Overflow, Shellcode Execution, Remote Access, Privileged Access, Probe, DoS (1.Logic Attacks: boink, bonk, jolt, land, latierra, nestea, newtear, pimp, ping-of-death, reset- tcp, rose, rst_flip, smurf, snork, teardrop, winnuke, etc.; 2.Bandwidth Attacks: ICMP echo request Flood, TCP data segment Flood, TCP SYN/RST Flood, IP fragment Flood, etc.; 3.Protocol Attacks: SYN Flood, Smurf, Fraggle, etc., Evasion Atempt, Arbitrary Command Execution, Code/Script Execution, Bot (Agobot, Al3na Monster, Floodnet, etc.), Trojan (BackOrifice 2000; Dagger; Infector 1.7, etc.), DDoS

Agent Activity, Backdoor, Worms (Slapper e variações; Slammer e variações; Blaster e variações; Sasser e variações; Zotob e variações; Confinker e variações; etc.), Vírus, Read Exposure, Write Exposure.

• Volume DoS: Statistical Deviation, Over Threshold.

• Policy Violations: Audit, Restricted Access, Restricted Application, Unauthorized IP, Sensitive Content, Covert Channel, Command Shell, Non-standard Port, Phising, PuP (Potential Unwanted Program).

1.7.3.8 Decodificação e análise de protocolos

• Statefull Trafiic Inspection

• Suporte a análise IP Defragmentation, remontagem dos pacotes IP fragmentados e/ou sobrepostos;

• Suporte a TCP Stream Reassembly, remontagem dos pacotes TCP fragmentados e/ou sobrepostos e dos fluxos TCP;

• Suporte a análise de protocolos detalhada proporcionando a decodificação de 200 protocolos de rede (Layer-2 to Layer-7 – camada 2 à camada 7), permitindo a monitoração, proteção, decodificação e análise de ataques desconhecidos e/ou múltiplas variantes de um ataque sem atualização de assinaturas. Estão inclusos, entre outros, os protocolos:

o Application Layer: BGP, CIFS, DHCP, DNS, FTP, GTP, H.225, H.323, HTTP, IMAP, IRC, Kerberos, LDP, MS-RPC, NFS, NNTP, NTP, NetBIOS, NamedPipes, POP, RIP, DCE-RPC, MS-RPC, SUN- RPC, RTP, SIP, SMTP, SNMP, SSH, SSL, SSRP, TELNET, TDS, etc.

o Transport Layer: TCP, UDP, OSPF, etc.

o Internet Layer: IPv4, IPv6, ICMP, ICMPv6, IGMP, etc.

o Stealth Port Scan: Nmap, Hping2, Hping3, etc.

o 5. DoS (Denial of Service) através de False-positive Flood e conexões stateless: Snot, Stick, IDS- Wakeup, NNG, etc.

• Suporta Advanced Evasion /protection, proporcionando proteção e resistência as técnicas de evasão e/ou ataques direcionados ao equipamento;

• Suporta Protocol Tunneling através da análise e decodificação de protocolos encapsulados em tráfegos:

o VLAN Tagging 802.1Q, QnQ (Double VLAN Tagging) e VLAN Bridging em STP (Spanning Tree Protocol).

o Jumbo Frames.

o ECLB (EtherChannel Load Balancing).

o MPLS (Multi Protocol Label Switching).

o GRE (Generic Routing Encapsulation).

o GPRS (General Packet Radio Service) Tunneling Protocol.

o IPv6 nativo e túneis: 4in4, 4in6, 6in4 e 6in6.

o SSL (Secure Sockets Layer) 17 em servidores WEB18 com certificados PKCS12 (extensões “.pkcs 12”, “.p12”, ou “.pfx”), nas versões SSLv2, SSLv3 e TLS e com codificações RC4, DES, 3DES e AES.

1.7.3.9 Detecção de ataques por assinaturas

• A solução suporta Pattern Matching Signatures – assinaturas por comparação de padrões de dados (Pattern Matching).

• A solução suporta OpenSource Signatures – assinaturas baseadas em padrão aberto – também conhecidas como assinaturas baseadas em OpenSource ou SNORT – permitindo tanto a criação de

novas assinaturas quanto importá-las e havendo uma comparação da identificação CVE (Common Vulnerability Exposure) para evitar duplicidade de eventos.

• A solução suporta Vulnerability Based Signatures – assinaturas baseadas na vulnerabilidade, permitindo a monitoração, proteção, decodificação e análise de ataques desconhecidos e/ou múltiplas variantes de um ataque sem atualização de assinaturas.

• A solução suporta Custom Attacks Signatures – assinaturas criadas pelo administrador, possibilitando a utilização de REGEX (Regular Expression) ou processo automático de criação de assinatura a partir de um tráfego capturado na rede.

1.7.3.10Anomaly Detection

• A solução permite a detecção através da utilização de Statisticas Anomaly – detecção e análise baseada em estatísticas por tráfego de protocolos.

• A solução permite a detecção utilizando a tecnologia de Protocol Anomaly – validação de campos de cabeçalho inválidos, pacotes mal-formatados, pacotes ilegais e conformidade RFC e/ou especificações dos protocolos, tais como:

o RFC 1034, RFC 1035, RFC 1050, RFC 1057, RFC 1112, RFC 114, RFC 1194, RFC 1196, RFC

1288, RFC 1329, RFC 1349, RFC 1413, RFC 1459, RFC 1531, RFC 1579, RFC 1831, RFC 1883,

RFC 1885, RFC 1945, RFC 2068, RFC 2069, RFC 2225, RFC 2228, RFC 2236, RFC 2333, RFC

2407, RFC 2408, RFC 2409, RFC 2428, RFC 2460, RFC 2463, RFC 2474, RFC 2616, RFC 2617,

RFC 2640, RFC 265, RFC 2734, RFC 2780, RFC 2810, RFC 2811, RFC 2812, RFC 2813, RFC

2817, RFC 2834, RFC 2835, RFC 3376, RFC 354, RFC 3659, RFC 4294, RFC 4306, RFC 4338,

RFC 4380, RFC 4443, RFC 4884, RFC 4890, RFC 5095, RFC 5282, RFC 542, RFC 5494, RFC

5531, RFC 742, RFC 760, RFC 765, RFC 768, RFC 777, RFC 791, RFC 792, RFC 793, RFC 826,

RFC 912, RFC 931, RFC 950, RFC 951, RFC 959, ETSI GSM ES 09.60, 3GPP TS 29.060, 3GPP TS 32.295, 3GPP TS 29.274, ITU-T H.225.0, ITU-T H.323, IEEE 802.1Q

• A solução permite a prevenção contra ataques através de Application Anomaly – validação de campos e conformidade de especificação dos protocolos Layer-7 (camada 7). Estão inclusos, entre outros, os protocolos:

• Transport Layer: TCP, UDP, OSPF, etc.

• Internet Layer: IPv4, IPv6, ICMP, ICMPv6, IGMP, etc.

1.7.3.11Segurança na Nuvem

• A solução provê através de consulta a serviço disponível na internet pelo fabricante monitoração, proteção e análise de ataques desconhecidos e/ou múltiplas variantes através de utilização de tecnologia de reputação de arquivos em nuvem (Cloud Computing), sem atualização de assinaturas.

• Permite a monitoração, proteção e análise de ataques desconhecidos e/ou múltiplas variantes através de criação, configuração e manutenção de lista de reputação de arquivos customizada, sem atualização de assinaturas.

• Suporta monitoração, proteção e análise comportamental baseada em tecnologia de reputação de arquivos e reputação de endereços IP, URL (Uniform Resource Locator) e domínio em nuvem (Cloud Computing) para identificar códigos maliciosos originados em servidores e direcionados aos clientes (drive-by attacks).

• A solução suporta a monitoração, proteção e análise baseada em reputação por pontuação (Score Reputation) de identificadores, tais como: endereço IP, URL (Uniform Resource Locator) e domínio.

1.7.3.12Gerenciamento - Console de gerencia e integração

• Suporta a instalação nos sistemas operacionais Microsoft Windows Server 2003 Standard Edition SP 2 (32-bit ou 64-bit) e Microsoft Windows Server 2008 R2 Standard Edition (64-bit).

• Suporta a instalação em ambientes virtualizados com VMware ESX Server Version 3.5.0 Update 3 Build 123630.

• Suporta instalação em equipamento baseado em modelo Appliance Box, dotado de processamento e memória compatíveis.

• Suporta operação com Sistema Gerenciador de Banco de Dados Relacional (SGBDR – Relational Database Management System ou RDBMS) que utilize linguagem de pesquisa declarativa SQL (Structured Query Language).

• Suporta sincronismo de horário através de NTP (Network Time Protocol).

• Suporta instalação em HA (High Availability – Alta-disponibilidade) ativo-passivo.

• Suporta atualização:

o Online: automática e/ou manual de conteúdo de segurança e produto através da Internet, podendo ser realizada sem interferência do usuário.

o Offline: automática e/ou manual de conteúdo de segurança e produto através de pacotes de atualização importados pela gerência, sem conexão com a internet.

• Suporta autenticação de usuários e administradores através:

• Autenticação local: usuários e administradores cadastrados na gerência.

• Autenticação LDAP: usuários e administradores importados e integrados com o Windows AD (Active Directory), permitindo SSL (Secure Sockets Layer) e Non-SSL (Secure Sockets Layer).

• Autenticação RADIUS: usuários e administradores importados e integrados com servidor RADIUS, permitindo PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) e EAP-MD5 (Extensible Authetication Protocol-MD5).

• Suporta atribuição de perfis para usuários e administradores, tais como:

• Administrador IPS (Intrusion Prevention System).

• Gerente de contas de portal de segurança.

• Operador NOC (Network Operation Center).

• Gerador de relatórios.

• Especialista em segurança.

• Administrador de sistema.

• Super usuário.

• Perfil nulo.

• Suporta atribuição de usuários para as hierarquias:

• Domínio raiz ou Grupo global.

• Subdomínios ou Subgrupos.

• Domínios ou Grupos superiores.

• Domínios ou Grupos inferiores.

• Suporta customização da console de gerência para exibir logo da empresa e mensagem aos usuários e administradores no momento da autenticação.

• Suporta console de gerência no modelo Agentless, isto é, sem necessitar a instalação prévia de software de console de gerenciamento.

• Suporta criação de ACL (Access Control List – Lista de Controle de Acesso), especificando quais endereços IP terão permissão de comunicação com a gerência.

• Suporta comunicação entre gerência e equipamento criptografada, com as seguintes características:

• SSL (Secure Sockets Layer) com RC4 e MD5 (Message-Digest algorithm 5).

• SSL (Secure Sockets Layer) com MD5 (Message-Digest algorithm 5).

• SSL (Secure Sockets Layer) de criptografia de 128-bit.

• Suporta SNMPv3 (Simple Network Management Protocol Version 3) de 56-bit DES (Data Encryption Standard) e MD5 (Message-Digest algorithm 5).

• Suporta terminal remoto a CLI (Command Line Interface) através de SSH (Secure Shell).

• Suporta gerenciamento através de:

• Gerência Centralizada – uma única instância de gerenciamento centralizado, não instância de Gerência Hierárquica.

• Gerência Hierárquica – uma única instância de gerenciamento hierárquico é responsável por centralizar várias instâncias de Gerência Centralizada, sendo ela responsável por centralizar todas as funções de gerenciamento.

• Suporta organização de equipamentos e arquivos por grupos e subgrupos hierárquicos, podendo-se incluir equipamentos, interfaces (físicas ou virtuais) ou grupo(s) de interfaces a um único grupo.

• Suporta definição de políticas customizadas para:

• Domínio raiz ou Grupo global.

• Subdomínios ou Subgrupos.

• Domínios ou Grupos superiores.

• 4. Domínios ou Grupos inferiores.

• Equipamentos.

• Interfaces físicas ou virtuais.

• Grupo(s) de interfaces.

• Suporta armazenamento em banco de dados relacional.

• Suporta integração nativa com solução de Vulnerability Scanner (Análise de Vulnerabilidade) do mesmo fabricante do equipamento.

• Suporta integração nativa com solução de HIPS (Host Intrustion Prevention System) do mesmo fabricante do equipamento.

• Suporta integração nativa com solução de NTBA (Network Threat Behavior Analysis – Análise de Comportamento de Ameaça de Rede) do mesmo fabricante do equipamento.

• Suporta integração nativa com solução de NAC (Network Access Control) do mesmo fabricante do equipamento.

• Suporta integração nativa com solução de gerência de endpoints (estações de trabalho e notebooks) do mesmo fabricante do equipamento.

• Integrado com ePolicy Orchestrator – ePO versão atual instalada e em produção: 5.9.1.

• Suporta geração de alerta de no mínimo nove (09) níveis de severidade.

1.7.3.13Configuração de Políticas

• Suporta criação, configuração e manutenção de políticas diferenciadas por Virtual IPS20 por:

• Interface(s) física do equipamento.

• Port Clustering, isto é, grupo(s) de interfaces físicas do equipamento.

• Segmento(s) de monitoração e proteção.

• Bloco(s) de endereços (CIDR – Classless Inter-Domain Routing).

• VLAN Tagging 802.1Q.

• VLAN Bridiging (VLAN Pairing).

• Suporta atribuição de interfaces físicas ou virtuais, de um único equipamento, para diferentes grupos e/ou subgrupos hierárquicos.

• Suporta criação, configuração e manutenção de políticas diferenciadas por Port Clustering através do agrupamento de múltiplas interfaces físicas em uma única Virtual Interface, sendo também possível a criação, configuração e manutenção de políticas diferenciadas por Virtual IPS e Virtual Firewall pertencentes a uma única Virtual Interface.

• Suporta edição, configuração e manutenção de evento e/ou múltiplos eventos, possibilitando-se ajuste granular:

• Suporta ajuste de assinaturas granular (On/Off).

• Suporta ajuste de bloqueio granular (On/Off).

• Suporta ajuste de severidade granular (Alta, Média, Baixa e Informativa).

• Suporta ajuste de respostas granular.

• Suporta busca por ataques, através da interface gráfica, por:

• Nome do ataque.

• Aplicações impactadas pelo ataque.

• Referências sobre o ataque através de nome completo ou REGEX;

• Novos ataques (atualização).

• Suporta criação, configuração e manutenção de captura de tráfego.

• Suporta atualização e aplicação de políticas sem paralisação da monitoração, proteção, decodificação análise e bloqueio do equipamento de IPS;

• Suporta políticas pré-configuradas específicas para os perfis

• Suporta atribuição de políticas específicas e diferenciadas para tráfego Inbound e tráfego Outbound.

• Suporta criação de regras e grupos de regras de Firewall através de:

• Endereço IP.

• Porta de comunicação.

• Protocolo de conexão.

• Suporta visualização de customização para os ataques da política, através dos indicadores:

• Se o ataque foi customizado como parte de uma política Default.

• Se o ataque foi customizado através do editor de regras.

• Se o ataque foi customizado através do editor de políticas.

• Se o ataque foi customizado através de atualização configuração e atualização global.

• Suporta visualização de informações detalhadas sobre os ataques da política, tais como:

• Nome do ataque.

• Descrição do ataque.

• Descrição da assinatura – incluindo exibição das assinaturas de ataque e tipo de Signature Detection aplicada (Pattern Matching, Vulnerability Signature e Protocol Anomaly).

• Aplicação impactada.

• Probabilidade de False-positive e False-negative.

• Direção do ataque.

• Família de equipamentos.

• Suporta funcionalidades de exportar (Export) e importar (Import) políticas.

• Suporta múltiplas versões de políticas, assim como capacidade de comparação entre versões de uma mesma política ou de diferentes políticas.

• Suporta controle de versão (Version Control) através de:

• Revisão de política.

• Data da política.

• Xxxxxxx que criou e/ou modificou a política.

• Descrição da política.

• Revisão ativa da política.

1.7.3.14Respostas e Bloqueio

• Suporta criação, configuração e manutenção de ACL (Access Control List – Política de Firewall);

• Suporta TCP Reset para origem do ataque e destino do ataque.

• Suporta ICMP Host Unreachable.

• Suporta bloqueio (Drop) de pacotes.

• Suporta aplicação, extensão e remoção de quarentena (IPS Quarantine) sob demanda por período

• Suporta lista de ataques recomendados para bloqueio, baseando esta lista em uma probabilidade de desencadeamento benigno, isto é, menor probabilidade de False-positive e False-negative.

• Suporta ajuste de bloqueio inteligente, baseado em níveis de menor probabilidade de False-positive e False-negative.

• Suporta configuração e atualização global de bloqueio para um ataque, propagando esta configuração e atualização em todas as políticas.

• Suporta captura de pacotes para análise de evidências em formato PCAP (Packet Capture), permitindo:

• Visualização automática através do Wireshark.

• Configuração do número de bytes em cada um dos pacotes a serem capturados;

• Configuração da duração da captura;

• Suporta envio de SNMP Trap.

• Suporta envio de e-mail.

• Suporta resposta definida pelo usuário (Script).

• Suporta envio de alertas por PAGER.

• Suporta integração com ambiente de SYSLOG.

1.7.3.15Relatórios

• Suporta customização de cabeçalho e rodapé de relatórios, permitindo modificação de logo.

• Suporta geração de relatórios baseados em modelos padrão customizados pelo administrador e/ou usuário.

Document Metadata

Table of Contents

Contract

Document Metadata