ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ & ΥΠΟΒΟΛΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΠΡΟΜΗΘΕΙΑ ΚΑΙ ΕΓΚΑΤΑΣΤΑΣΗ ΟΛΟΛΗΡΩΜΕΝΟΥ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΤΟΥ ΜΗΧΑΝΟΓΡΑΦΙΚΟΥ ΕΞΟΠΛΙΣΜΟΥ ΚΑΙ ΤΗΝ ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ ΠΑΡΑΜΕΤΡΟΠΟΙΗΣΗΣ, ΥΠΟΣΤΗΡΙΞΗΣ ΚΑΙ ΣΥΝΤΗΡΗΣΗΣ ΑΥΤΟΥ ΠΡΟΣ ΤΗΝ «ΤΑΜΕΙΟ ΑΞΙΟΠΟΙΗΣΗΣ ΙΔΙΩΤΙΚΗΣ ΠΕΡΙΟΥΣΙΑΣ ΤΟΥ ΔΗΜΟΣΙΟΥ Α.Ε.» 1 Νοεμβρίου 2011 Α. Η ανώνυμη εταιρεία με την επωνυμία «Ταμείο Αξιοποίησης Ιδιωτικής Περιουσίας του Δημοσίου A.E.» (εφεξής «Ταμείο») ενδιαφέρεται να προμηθευτεί και εγκαταστήσει ολοκληρωμένο σύστημα ασφαλείας του μηχανογραφικού της εξοπλισμού και να αναθέσει την παραμετροποίηση υποστήριξη και συντήρηση αυτού, ως εξής: 1. Σύστημα Ασφάλειας Δικτύου Το Σύστημα Ασφάλειας Δικτύου καλύπτει την ανάγκη προστασίας της υποδομής από δικτυακές επιθέσεις και απειλές. Στο πλαίσιο αυτό το προσφερόμενο σύστημα θα πρέπει να καλύπτει κατ ελάχιστον τις ακόλουθες απαιτήσεις ασφάλειας: Ασφαλής δικτυακός διαχωρισμός του εταιρικού δικτύου και ασφαλής διασύνδεση με εξωτερικά δίκτυα μέσα από την εφαρμογή της κατάλληλης πολιτικής ελέγχου πρόσβασης σε επίπεδο δικτύου (network access control/firewalling) βάσει: Source/Destination IP address, TCP Port / πρωτόκολλο επικοινωνίας, εφαρμογή (client application), χρήστη (domain user/group) καθώς και συνδυασμό αυτών, Προστασία της υποδομής από δικτυακές επιθέσεις και απειλές μέσα από τον έλεγχο όλης της δικτυακής κίνησης που αναπτύσσεται στο εταιρικό δίκτυο, και την εφαρμογή της κατάλληλης πολιτικής ανίχνευσης και καταστολή απειλών στο περιεχόμενο αυτής (network IDS/IPS) Έλεγχος της πρόσβασης των εταιρικών χρηστών στο Διαδίκτυο και προστασία του εσωτερικού δικτύου από απειλές στο περιεχόμενο των web επικοινωνιών, μέσα από την συνδυασμένη εφαρμογή των κατάλληλων πολιτικών URL filtering, application control, antimalware & SSL scanning Παροχή ασφαλούς εξ αποστάσεως πρόσβασης στην εταιρική υποδομή μέσα από την ενεργοποίηση του κατάλληλου μηχανισμού SSL- VPN Σε γενικές γραμμές τα χαρακτηριστικά ασφάλειας τα οποία θα πρέπει να συνδυάζει το προσφερόμενο σύστημα ασφάλειας είναι τα εξής: Stateful firewall SSL/VPN Real- time Threat Prevention URL Filtering Application Identification & Control Anti- virus / Anti- Spyware Protection /Αnti- Spam File Type Filtering Basic Data Leak Prevention Quality- of- Service SSL Scanning
Πολλαπλοί τρόποι υλοποίησης (Inline transparent bridge (v- wire), L3 Device/Gateway, Monitoring device / sniffing mode) Δυνατότητα δημιουργίας virtual firewalls Real- time Monitoring & Statistics Logging & Reporting Licensing: Η άδεια λειτουργίας του συστήματος θα είναι για απεριόριστους χρήστες Απαιτείται η εγκατάσταση 2 συσκευών σε διάταξη Υψηλής Διαθεσιμότητας. 2. Ασφάλεια Web Εφαρμογών Ο συγκεκριμένος μηχανισμός ασφαλείας εγκαθίσταται για την προστασία των Web εφαρμογών οι οποίες παρέχουν υπηρεσίες στους χρήστες του Διαδικτύου. Το σύστημα αυτό πρέπει να παρέχει εξελιγμένες δυνατότητες έγκαιρης ανίχνευσης και καταστολής (IDS/IPS) γνωστών και άγνωστων (zero- day attack) επιθέσεων σε επίπεδο εφαρμογών καλύπτοντας ειδικά και σε μεγαλύτερο βάθος την ασφάλεια των web εφαρμογών καθώς και επιθέσεις σε επίπεδο δικτύου και συστημάτων. Κάθε αίτηση μέσω Web (Web request) προερχόμενη από το Διαδίκτυο αναλύεται εις βάθος προκειμένου να διαπιστωθεί το κατά πόσο είναι ασφαλής και δεν αποτελεί απειλή για την ασφάλεια των Web εφαρμογών. Το προσφερόμενο σύστημα θα πρέπει να έχει δυνατότητες εκμάθησης της μορφής και του περιεχομένου των προβλεπομένων αιτήσεων των χρηστών (Web requests) προς τις αντίστοιχες εφαρμογές, ανακόπτοντας κάθε άλλη αίτηση προς την εφαρμογή η οποία δεν συμφωνεί με την εφαρμοζόμενη πολιτική ασφάλειας του συστήματος. Οι οποιεσδήποτε λειτουργίες ανίχνευσης και καταστολής στην δικτυακή κίνηση υλοποιούνται με πλήρη διαφάνεια στο δίκτυο αφήνοντας πλήρως ανεπηρέαστη την απόδοση των συστημάτων και εφαρμογών. Το προσφερόμενο σύστημα θα πρέπει να ενσωματώνει τις ακόλουθες λειτουργίες ασφάλειας: Προστασία σε επίπεδο Web εφαρμογών (Web Application Firewall) Προστασία σε επίπεδο υπηρεσίας Web (Web Services Firewall ) Προστασία από γνωστές επιθέσεις και απειλές (Intrusion Prevention System - IPS) Προσαρμοσμένη προστασία ενάντια σε ευρείας κλίμακας, αυτοματοποιημένες επιθέσεις Μηχανισμός καταγραφής (Logging) Μηχανισμός παραγωγής αναφορών (Reporting) Κεντρική παρακολούθηση και διαχείριση (Centralized Management) Επιλογές Λειτουργίας (Prevention: inline, active blocking - Simulation: inline, no blocking - Monitoring: passive, no blocking Δυνατότητες Υλοποίησης: Layer- 2 Bridge (in- line Mode: Fail- open, High Availability), Sniffing Mode, Reverse- proxy mode, Router mode Licensing Η άδεια λειτουργίας του συστήματος θα είναι για απεριόριστους servers/web Απαιτείται η εγκατάσταση 1 συσκευής σε διάταξη o Layer- 2 Bridge (in- line Mode) fail open 3. Αντιμετώπιση επιθέσεων τύπου Denial- of- Service (DoS & DDoS) H εν λόγω υπηρεσία έρχεται να συμπληρώσει και να ολοκληρώσει την προστασία αλλά και απόδοση των κρίσιμων web εφαρμογών της υποδομής από Διαδικτυακές επιθέσεις προσφέροντας αποτελεσματική αντιμετώπιση επιθέσεων τύπου Denial- of- Service (DoS & DDoS) οι οποίες έχουν ως στόχο να πλήξουν την διαθεσιμότητα των υπηρεσιών. 2
4. Σύστημα Προστασίας Υπηρεσίας Ηλεκτρονικού Ταχυδρομείου Το απαιτούμενο σύστημα ασφάλειας έρχεται να καλύψει την ανάγκη προστασίας της εταιρικής υποδομής ενάντια σε απειλές οι οποίες δύναται να εισέλθουν στο εσωτερικό δίκτυο μέσα στο περιεχόμενο του ηλεκτρονικού ταχυδρομείου. Οι εν λόγω μηχανισμοί ελέγχουν το περιεχόμενο του ηλεκτρονικού ταχυδρομείου και βάσει της εφαρμοζόμενης πολιτικής ασφάλειας περιεχομένου επιτρέπουν ή αποτρέπουν την δρομολόγηση των ηλεκτρονικών μηνυμάτων. Σε γενικές γραμμές το προσφερόμενο σύστημα θα πρέπει να καλύπτει κατ ελάχιστον τις ακόλουθες απαιτήσεις: Ανίχνευση και καταστολή κακόβουλου λογισμικού στο περιεχόμενο της ηλεκτρονικής αλληλογραφίας (π.χ. viruses, worms, Trojans κ.τ.λ.) Αποτελεσματική προστασία ενάντια σε επιθέσεις τύπου spam Έλεγχος της διακίνησης των αρχείων βάσει του τύπου του αρχείου και όχι της κατάληξής τους (true MIME type) Προστασία από επιθέσεις μη εξουσιοδοτημένης δρομολόγησης μηνυμάτων (Unauthorised Relay) Δυνατότητα αναζήτησης με λέξεις κλειδιά στο κείμενο του μηνύματος ή του επισυναπτόμενου αρχείου με σκοπό τον εντοπισμό εμπιστευτικών πληροφοριών και την αποτροπή διαρροή αυτών μέσω της υπηρεσίας Δυνατότητα εφαρμογής πολιτικών ασφάλειας ανά domain user, group και domain Εφαρμογή κρυπτογράφησης π.χ. S/MIME, TLS, PGP κτλ. για την ασφαλή διακίνηση μηνυμάτων με τρίτους SMTP servers Κεντρική κονσόλα διαχείρισης και παρακολούθησης του συστήματος και των πολιτικών ασφαλείας Δυνατότητα παραγωγής αναλυτικών αναφορών σχετικά με τη δραστηριότητα των χρηστών, τα περιστατικά ασφάλειας και τη γενικότερη κατάσταση του συστήματος Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 40 χρήστες 5. Σύστημα Προστασίας Δεδομένων και Αποφυγή Διαρροής Πληροφοριών Το απαιτούμενο σύστημα προστασίας δεδομένων από διαρροή θα πρέπει να εμποδίζει την απώλεια ευαίσθητων πληροφοριών, τη στιγμή της χρήσης τους (εννοώντας το περιβάλλον του τελικού χρήστη), ως αποτέλεσμα των ενεργειών του χρήστη, όπως: παράνομη αντιγραφή σε οπτικά ή αλλά εξωτερικά αποθηκευτικά μέσα π.χ. USB/flash disks, εκτύπωση, μεταφορά μέσω δικτύου, ή αποστολή μέσω ηλεκτρονικού ταχυδρομείου. Επιπλέον θα πρέπει να παρακολουθεί συνεχώς τη ροή των πληροφοριών και τη χρήση εφαρμογών εμποδίζοντας τη διαρροή πληροφοριών εκτός του οργανισμού και εντοπίζοντας της ύπαρξη κακόβουλου λογισμικού το οποίο θα μπορούσε να θέσει σε κίνδυνο τα κρίσιμα δεδομένα της εταιρείας. Τέλος θα πρέπει να επιτρέπει την εκτεταμένη καταγραφή καθώς και την παραγωγή αναλυτικών αναφορών σχετικά με τις ενέργειες των χρηστών και τις πιθανές παραβιάσεις της υπάρχουσας πολιτικής ασφάλειας. Σε κάθε περίπτωση παραβίασης της εφαρμοζόμενης πολιτικής ασφάλειας εταιρικών δεδομένων το σύστημα θα πρέπει να παράγει τις αντίστοιχες ειδοποιήσεις (alerts) οι οποίες προωθούνται στους διαχειριστές και υπεύθυνους ασφάλειας της υποδομής ενημερώνοντας ταυτόχρονα και τους ίδιους τους τελικούς χρήστες καθιστώντας τους έτσι ενήμερους σχετικά με την ισχύουσα πολιτική προστασίας δεδομένων της εταιρείας. Σε γενικές γραμμές το προσφερόμενο σύστημα προστασίας ευαίσθητων δεδομένων από διαρροή θα πρέπει να καλύπτει κατ ελάχιστον τα ακόλουθα: 3
Έλεγχος και καταγραφή της χρήσης δεδομένων στα τερματικά των χρηστών Εκτενή- αυτόματη Διαβάθμιση Δεδομένων Έλεγχος των Ενεργειών χρήστη Αυτόματη Κρυπτογράφηση κρίσιμων Δεδομένων Πολιτική βασιζόμενη σε κανόνες διαχείρισης και ελέγχου Λεπτομερής Ανάλυση και Δυνατότητες Αναφοράς Κεντρική Διαχείριση Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 40 χρήστες και 2 διακομιστές (servers) 6. Σύστημα Εντοπισμού Malware μέσω Web επικοινωνιών Το εν λόγω σύστημα έρχεται να καλύψει την ανάγκη προστασίας της εταιρικής υποδομής από την πλέον επικίνδυνη μορφή απειλών για κάθε εταιρικό δίκτυο το οποίο παρέχει σύνδεση στο Διαδίκτυο. Πιο συγκεκριμένα η απαιτούμενη λύση ασφάλειας επιτρέπει την αποτελεσματική ανίχνευση και καταστολή επικίνδυνων μορφών κώδικα (π.χ. javascripts, VBscripts, ActiveX κ.τ.λ.) στο περιεχόμενο των web επικοινωνιών που αναπτύσσουν οι χρήστες στο Διαδίκτυο. Το εν λόγω σύστημα έρχεται να συμπληρώσει και να ολοκληρώσει την προστασία του εταιρικού δικτύου ενάντια σε διαδικτυακές απειλές σε συνδυασμό με τις υπηρεσίες URL filtering, Content filtering & Antimalware gateway που παρέχονται από το προσφερόμενο σύστημα ασφάλειας δικτύου ( 1.1). H προσφερόμενη λύση θα πρέπει να παρέχει τις ακόλουθες βασικές λειτουργίες: Ανίχνευση κάθε είδους απειλής γνωστής και μη στο περιεχόμενο των web επικοινωνιών σε πραγματικό χρόνο Δυνατότητα ανάλυσης κάθε μορφής δεδομένων όπως π.χ. εικόνες, PDF αρχεία, flash αρχεία κ.α. για την ανίχνευση και καταστολή κακόβουλου κώδικα Δυνατότητα εκτέλεσης κάθε επικίνδυνης μορφής κώδικα στο περιεχόμενο των web επικοινωνιών (π.χ. javascripts, VBscripts, ActiveX κ.τ.λ.) σε «εικονικό περιβάλλον» (virtual systems) για να διαπιστωθεί αν είναι κακόβουλος ή όχι Δυνατότητα εκτέλεσης κάθε επικίνδυνης μορφής κώδικα στο περιεχόμενο των web επικοινωνιών σε εικονικό περιβάλλον που προσομοιώνει τα χαρακτηριστικά λειτουργίας των εταιρικών τερματικών καλύπτοντας όλους τους διαφορετικούς τύπους λειτουργικού συστήματος, πλοηγού (web browser) και διαδικτυακών εφαρμογών που χρησιμοποιούνται στο εταιρικό δίκτυο Εντοπισμό κάθε εξερχόμενης δικτυακής επικοινωνίας ως αποτέλεσμα της εκτέλεσης κακόβουλου κώδικα (phone home code) και προσδιορισμός της διεύθυνσης προορισμού Ανίχνευση μη γνωστών απειλών (zero day threats) στο περιεχόμενο των web επικοινωνιών Παροχή αναλυτικών πληροφοριών σχετικά με προσβεβλημένα εταιρικά τερματικά Licensing : 1 συσκευή σε διάταξη monitoring mode 4
7. Σύστημα Διαχείρισης Προνομιούχων Κωδικών Πρόσβασης Απαιτείται η προμήθεια και υλοποίηση ενός ολοκληρωμένου συστήματος διαχείρισης προνομιούχων κωδικών πρόσβασης. Το εν λόγω σύστημα θα πρέπει να εξασφαλίζει την ασφαλή αποθήκευση, διάθεση και χρήση των κωδικών πρόσβασης από τους εξουσιοδοτημένους διαχειριστές της υποδομής ή ακόμα και από τρίτους π.χ. παρόχους υπηρεσιών, εξωτερικούς συνεργάτες κτλ. έτσι ώστε η προνομιούχος πρόσβαση στην πληροφορική υποδομή του Οργανισμού να ελέγχεται επαρκώς. Πιο συγκεκριμένα το σύστημα ασφάλειας το οποίο θα υλοποιηθεί για τον σκοπό αυτό θα πρέπει καλύπτει τουλάχιστον τις ακόλουθες απαιτήσεις ασφαλείας: Κεντρική διαχείριση των προνομιούχων κωδικών πρόσβασης σε όλο το εύρος της εταιρικής πληροφορικής υποδομής Επιβολή ενιαίας αυστηρής πολιτικής ασφαλείας για τους υπό διαχείριση προνομιούχους κωδικούς Κεντρική διαχείριση και ασφαλής αποθήκευση των κρίσιμων κωδικών διαχείρισης σε ειδικά προστατευόμενο σύστημα, αντί για την αποθήκευση στους σταθμούς εργασίας των διαχειριστών Ελεγχόμενη παροχή των κωδικών πρόσβασης στους διαχειριστές της υποδομής βάσει του ρόλου/αρμοδιότητας τους Ασφαλής παροχή των κωδικών διαχειριστών στους εξουσιοδοτημένους χρήστες, διαμέσου κρυπτογραφημένων συνδέσεων Εφαρμογή ισχυρής αυθεντικοποίησης των χρηστών στο σύστημα πριν την παροχή ενός κωδικού πρόσβασης Πλήρης καταγραφή της διαδικασίας παροχής ενός κωδικού διαχείρισης όπως π.χ. ημερομηνία/ώρα λήψης του κωδικού, στοιχεία του χρήστη στον οποίο παραχωρήθηκε κ.α. Αυτοματοποιημένη αλλαγή των κωδικών διαχείρισης στα επιλεγμένα συστήματα της υποδομής ανά τακτά χρονικά διαστήματα ή έπειτα από κάθε χρήση Δυνατότητα απαίτησης έγκρισης από τρίτο πρόσωπο πριν την παροχή του κωδικού πρόσβασης στον τελικό χρήστη Δυνατότητα καταγραφής (session recording) και αναπαραγωγής (playback) των προσβάσεων των χρηστών μέσω RDP/SSH, καθώς και ασφαλής αποθήκευση τους στο σύστημα για μελλοντική διερεύνηση (forensic investigation) Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 10 χρήστες και 20 συστήματα 8. Σύστημα Κεντρικού Ελέγχου Πρόσβασης/Σύνδεσης στο Δίκτυο H προμήθεια και υλοποίηση του συγκεκριμένου συστήματος ασφάλειας έρχεται να καλύψει την ανάγκη ελέγχου των τερματικών ή άλλων συσκευών που συνδέονται στο εταιρικό δίκτυο, με σκοπό την αποτροπή της μετάδοσης απειλών από συγκεκριμένο τερματικό προς το υπόλοιπο εταιρικό δίκτυο. H σύνδεση ή επανασύνδεση ενός τερματικού στο εταιρικό δίκτυο θα πρέπει να έρχεται ως αποτέλεσμα των παρακάτω διαδικασιών: Επιτυχής αναγνώριση και εξουσιοδότηση/αυθεντικοποίηση του τερματικού/χρήστη Επιτυχής έλεγχος του τερματικού σε επίπεδο ασφάλειας, με σκοπό να επιβεβαιωθεί ότι η σύνδεση του στο δίκτυο δεν αποτελεί απειλή για την υπόλοιπη υποδομή Για την αποτελεσματική κάλυψη των παραπάνω βασικών θεμάτων ασφάλειας, απαιτείται η προμήθεια και υλοποίηση ενός ολοκληρωμένου συστήματος έλεγχου πρόσβασης/σύνδεσης στο δίκτυο, το οποίο θα ελέγχει κεντρικά κάθε σύστημα το οποίο προσπαθεί να συνδεθεί στο εταιρικό δίκτυο διασφαλίζοντας ότι: Το σύστημα είναι εξουσιοδοτημένο 5
ή/και Ο χρήστης του σταθμού εργασίας έχει αυθεντικοποιηθεί ή/και Το σύστημα (κυρίως σταθμοί εργασίας) είναι συμβατό με τις πολιτικές ασφάλειας (πχ. τρέχει Antivirus, personal firewall/endpoint security software, κτλ.) ή/και το σύστημα προστατεύεται από μηχανισμούς προστασίας δεδομένων και αποφυγής διαρροής πληροφοριών Το προσφερόμενο σύστημα ασφάλειας θα πρέπει να καλύπτει κατ ελάχιστον τα ακόλουθα: Συνεργασία με όλους τους μεταγωγούς δικτύου (network switches) της υποδομής Δυνατότητα ανεξαρτήτως του κατασκευαστή ή του τύπου ή της έκδοσης του λειτουργικού του switch Δυνατότητα εντοπισμού, αναφοράς τοποθεσίας και ελέγχου οποιοδήποτε τύπου συστήματος που προσπαθεί να συνδεθεί στο δίκτυο, ανεξαρτήτως λειτουργικού συστήματος και είδους, καλύπτοντας MS Windows workstations/servers, Mac, Unix/Linux systems, IP Phones, Printers, IP Cameras, και εν γένει οποιοδήποτε IP σύστημα. Αυτόματη απεικόνιση και κεντρική εποπτεία της κατάστασης του εσωτερικού δικτύου σχετικά με το ποιο σύστημα και τι είδους, αλλά και ποιος χρήστης είναι συνδεδεμένο σε πια πόρτα του μεταγωγέα δικτύου (switch) Δυνατότητα υλοποίησης πολιτικών ελέγχου πρόσβασης για κάθε είδος συστήματος που προσπαθεί να συνδεθεί στο δίκτυο, ανεξαρτήτως λειτουργικού συστήματος και είδους, καλύπτοντας MS Windows workstations/servers, Mac, Unix/Linux systems, IP Phones, Printers, IP Cameras, και εν γένει οποιοδήποτε IP σύστημα. Το σύστημα θα πρέπει να αποφασίζει για την συμμόρφωση ή όχι των συστημάτων ελέγχοντας για την ύπαρξη και λειτουργία συγκεκριμένων ρυθμίσεων και προγραμμάτων βάσει της εταιρικής πολιτικής ασφάλειας π.χ. antivirus status, OS patch- level, registry settings κτλ. Αυτόματη αναγνώριση και πιστοποίηση της ταυτότητας συσκευών VoIP με σκοπό την εφαρμογή ειδικών πολιτικών για την προστασία του εν λόγω δικτύου (VoIP VLAN) Να μην απαιτεί την εγκατάσταση οποιουδήποτε agent στα μηχανήματα Να παρέχει αυτόματα εικόνα πιο σύστημα και τι είδους, αλλά και ποιος χρήστης είναι συνδεδεμένο σε πια πόρτα του switch, παρέχοντας παράλληλα πληροφορία για το αν το σύστημα είναι εξουσιοδοτημένο και συμβατό με τις πολιτικές ασφάλειας, αλλά και τη φυσική του τοποθεσία Δυνατότητα ελέγχου συμμόρφωσης των συστημάτων για την ύπαρξη και λειτουργία συγκεκριμένων ρυθμίσεων και προγραμμάτων που απαιτεί η εταιρική πολιτική ασφάλειας π.χ. DLP agent, τα οποία ορίζει ο διαχειριστής του συστήματος κατά βούληση Το σύστημα θα πρέπει να διενεργεί ελέγχους ασφάλειας τόσο κατά την στιγμή σύνδεσης ενός συστήματος στο δίκτυο (pre- admission) όσο και καθ όλη τη διάρκεια παραμονής του σε αυτό (post- admission) και ανά προκαθορισμένα χρονικά διαστήματα Να μπορεί να εκτελέσει κάποιο πρόγραμμα (της επιλογής του διαχειριστή) ως αποτέλεσμα κάποιου γεγονότος ασφάλειας Υλοποίηση πολιτικών πρόσβασης αναλόγως με τη φυσική τοποθεσία κάποιου switch - port (πχ. Κτίριο Διοίκησης, αίθουσα συσκέψεων...) Υλοποίηση πολιτικών πρόσβασης ανάλογα με την ώρα της πρόσβασης (time- based network access control) π.χ. απαγορεύεται η πρόσβαση στο δίκτυο παραγωγής μετά τις 17.00 εκτός συγκεκριμένων τερματικών/χρηστών Να προσφέρει πληροφορία σε πραγματικό χρόνο για όλα τα switch και τα ports του δικτύου Ο μηχανισμός «καραντίνας» να μπορεί να απομονώνει αποτελεσματικά το μη συμμορφούμενο σύστημα από άλλα συστήματα και αναλόγως της πολιτικής να μπορεί να επικοινωνήσει μόνο με συγκεκριμένα συστήματα 6
Δυνατότητα συνεργασίας με MS Active Directory Άμεση ενημέρωση του διαχειριστή για κάθε επιτυχημένη ή αποτυχημένη προσπάθεια πρόσβασης καθώς και για τις ενέργειες που πάρθηκαν ως αποτέλεσμα αυτής Να μην απαιτεί τη χρήση 802.1x ή διαχείριση MAC address (κλείδωμα) Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 40 χρήστες- τερματικα και 2 switches 48- ports 9. Σύστημα Ασφάλειας Εταιρικών Τερματικών Η συγκεκριμένη λύση έρχεται καλύψει την ανάγκη προστασίας των εταιρικών τερματικών (σταθμών εργασίας & φορητών υπολογιστών) από τις συνεχώς πολλαπλασιαζόμενες μορφές κακόβουλου λογισμικού και άλλες δικτυακές απειλές π.χ. viruses, worms, ATPs, spyware κτλ. που έχουν ως στόχο τα εταιρικά δίκτυα. Απαιτείται η προμήθεια και υλοποίηση μιας εξελιγμένης λύσης ασφάλειας τερματικών η οποία συνδυάζει τα ακόλουθα χαρακτηριστικά ασφάλειας και διαχείρισης: Προστασία τερματικών και διακομιστών Πλήρη έλεγχο και περιορισμό των εισερχόμενων και εξερχόμενων επικοινωνιών του συστήματος σε επίπεδο Src/Dest IP address, Protocol, Time Προστασία του τερματικού από δικτυακές επιθέσεις Πλήρης καταγραφή της δικτυακής δραστηριότητας του συστήματος άμεση ανίχνευση και καταστολή ενάντια σε viruses, spyware, keystroke loggers, Trojans, rootkits, και άλλες κακόβουλες μορφές κώδικα λήψη συχνών ενημερώσεων (τουλάχιστον κάθε 5 ώρες) Δυνατότητα εντοπισμού της ύπαρξης κακόβουλου λογισμικού στο σύστημα βάσει ανάλυσης της συμπεριφοράς τους και όχι μόνο βάσει των γνωστών virus signatures Άμεσος έλεγχος των αρχείων του συστήματος σε πραγματικό χρόνο κατά την χρήση τους από τον χρήστη (π.χ. άνοιγμα, εκτέλεση, κλείσιμό κτλ.) δυνατότητα καθορισμού συγκεκριμένης τοποθεσίας και τύπου αρχείων προς έλεγχο δυνατότητα εξαίρεσης συγκεκριμένου καταλόγου ή τύπου αρχείων από τον έλεγχο Δυνατότητα προεπιλογής της ενέργειας αντιμετώπισης σε περίπτωση ανίχνευσης κακόβουλου λογισμικού π.χ. επιδιόρθωση, μετονομασία, διαγραφή, καραντίνα κτλ. Δυνατότητα ελέγχου και περιορισμού των εφαρμογών που επιτρέπεται να συνδεθούν στο δίκτυο Έλεγχος συμμόρφωσης του τερματικού με βάση προκαθορισμένη πολιτική ασφάλειας Κεντρική κονσόλα διαχείρισης και παρακολούθησης της κατάστασης των μηχανισμών ασφάλειας (agents) που εγκαθίστανται στα τερματικά Δυνατότητα δημιουργίας πολλαπλών ρόλων διαχείρισης με διαφορετικά δικαιώματα πρόσβασης Δυνατότητα απομακρυσμένης εγκατάσταση του λογισμικού σε σταθμούς εργασίας μέσω login script, Group Policy του Active Directory ή με άλλες ανάλογες μεθόδους. Προγραμματισμένη προώθηση ενημερώσεων και νέων εκδόσεων (updates & engines) από την κονσόλα στους σταθμούς εργασίας μέσω του δικτύου. Παρακολούθηση των σταθμών εργασίας σε πραγματικό χρόνο όσον αφορά το επίπεδο ασφάλειας και συμμόρφωσής τους Παρακολούθηση των συνηθισμένων σημείων εισόδου και εγκατάστασης κακόβουλου λογισμικού στο σύστημα (μητρώο συστήματος, διαδικασίες που εκκινούν με την εκκίνηση του συστήματος, αρχείο hosts, τροποποίηση ρυθμίσεων προγραμμάτων πλοήγησης στο Internet κλπ). Δυνατότητα προγραμματισμένων τακτικών ελέγχων (scanning) των σταθμών εργασίας για τον εντοπισμό και απομάκρυνση εγκατεστημένου κακόβουλου λογισμικού. 7
Δυνατότητα καθορισμού πολιτικών ασφαλείας κεντρικά και αποστολής τους από την κονσόλα στους σταθμούς εργασίας Συνεχής παρακολούθηση και εμφάνιση στην κονσόλα διαχείρισης της κατάστασης των agents (ενεργός/ανενεργός, τελευταία ενημέρωση, εφαρμοζόμενη πολιτική κ.α.) Λειτουργία σε απομακρυσμένα τερματικά (πχ φορητούς υπολογιστές), μη συνδεμένους στο εταιρικό δίκτυο με δυνατότητα απευθείας ενημέρωσης (updates) μέσω Internet. Τήρηση αρχείων καταγραφής στην κονσόλα διαχείρισης Δυνατότητα παραγωγής προσαρμοσμένων αναφορών Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 40 χρήστες- τερματικα Επιπλέον για την προστασία των ευαίσθητων εταιρικών δεδομένων που είναι αποθηκευμένα στα εταιρικά τερματικά, κυρίως στους φορητούς υπολογιστές, από διαρροή σε περίπτωση απώλειας ή κλοπής του τερματικού θα πρέπει η προσφερόμενη λύση να ενσωματώνει λειτουργία πλήρους κρυπτογράφησης του σκληρού δίσκου του συστήματος (Full Disk Encryption). Η συγκεκριμένη λειτουργία έρχεται να ολοκληρώσει την προστασία των εταιρικών δεδομένων από διαρροή καλύπτοντας κατ ελάχιστον τις ακόλουθες απαιτήσεις ασφάλειας και λειτουργίας: Πλήρης κρυπτογράφηση του σκληρού δίσκου συμπεριλαμβανομένων όλων disk volumes καθώς και partition boot records, λειτουργικό σύστημα, αρχεία συστήματος, δεδομένα χρήστη κτλ. Εφαρμογή ισχυρής κρυπτογράφησης 3DES, AES Υποστήριξη Pre- boot authentication Υποστήριξη ισχυρής αυθεντικοποίησης π.χ. One- time- password tokens, smartcards κτλ. Συγχρονισμός του pre- boot authentication με το Windows login Λειτουργία single- sign- on για αυτόματη εισαγωγή στο λειτουργικό μετά από επιτυχές pre- boot authentication Λειτουργία με πλήρη διαφάνεια προς τον τελικό χρήστη Πολλαπλές επιλογές αποκατάστασης κωδικού πρόσβασης (password recovery) τόσο τοπικά όσο και εξ αποστάσεως (remote help) Τέλος αποτελεί βασική απαίτηση για την προσφερόμενη λύση ασφάλειας τερματικών η ύπαρξη μοναδικού agent ο οποίος θα ενσωματώνει όλους τους απαιτούμενους μηχανισμούς ασφάλειας (όπως περιγράφονται παραπάνω), καθώς και μιας ενιαίας κονσόλας διαχείρισης για όλες τις λειτουργίες. 10. Σύστημα- Λύση Ισχυρής Αυθεντικοποίησης Aπαιτείται η προμήθεια και υλοποίηση της κατάλληλης λύσης ισχυρής αυθεντικοποίησης βασισμένη στην τεχνολογία One- time- passwords η οποία συνδυάζει τη φυσική και λογική πρόσβαση σε μια συσκευή αυθεντικοποίησης. Σε γενικές γραμμές η προσφερόμενη λύση ισχυρής αυθεντικοποίησης θα πρέπει να καλύπτει τις ακόλουθες απαιτήσεις: Ενσωματωμένη γεννήτρια παραγωγής τυχαίων μοναδικών αριθμητικών κωδικών (τουλάχιστον 6- ψήφιων) Παραγωγή κωδικών είτε βάσει χρόνου (time- based OTP) είτε βάσει γεγονότος (event- based OTP) π.χ. πάτημα κουμπιού Υποστήριξη πρωτοκόλλου OATH TOTP Υποστήριξη πρωτοκόλλου RADIUS OTP Διάρκεια μπαταρίας τουλάχιστον 5 έτη Δυνατότητα ενοποίησης με τα προσφερόμενα συστήματα διαχείρισης προνομιούχων κωδικών πρόσβασης, SSL/VPN gateway καθώς και τον προσφερόμενο μηχανισμό κρυπτογράφησης σκληρού δίσκου (pre- boot authentication) Κεντρικό σύστημα διαχείρισης, καταχώρησης, συγχρονισμού και αντιστοίχισης των tokens στους χρήστες 8
Τήρηση ιστορικού αρχείου στο οποίο καταγράφονται οι χρήσεις των tokens από τους χρήστες Licensing Η άδεια λειτουργίας του συστήματος θα είναι για 40 χρήστες 12. Υπηρεσίες i. Υπηρεσίες Υλοποίησης Ο προμηθευτής θα αναλάβει να εγκαταστήσει τα άνω συστήματα και να τα παραμετροποίησει σύμφωνα με τις οδηγίες και πολιτικές του Ταμείου ώστε να επιτυγχάνονται τα ανωτέρω, μέχρι το αργότερο την 30/11/2011 ii. Υπηρεσίες Υποστήριξης O προμηθευτής θα παρέχει υπηρεσίες υποστήριξης και συντήρησης των άνω συστημάτων- υποδομών ασφαλείας σε 24ώρη βάση, 365 μέρες το χρόνο. Β. ΥΠΟΒΟΛΗ ΠΡΟΣΦΟΡΩΝ Οι ενδιαφερόμενοι (φυσικά ή/και νομικά πρόσωπα ή ενώσεις προσώπων) πρέπει να υποβάλουν στο Ταμείο γραπτές προσφορές, που θα περιλαμβάνουν κατ ελάχιστο τα ακόλουθα: 1. περιγραφή της σχετικής εμπειρίας του ενδιαφερομένου στην εκτέλεση αντίστοιχων έργων, 2. αναλυτική περιγραφή της δομής και της οργάνωσης της ομάδας έργου, με περιγραφή της ειδικότητας, της θέσης και των αρμοδιοτήτων κάθε μέλους της ομάδας έργου, που προτίθεται ο ενδιαφερόμενος να απασχολήσει για την πλήρη εκτέλεση των ενεργειών σε κάθε φάση του έργου, περιγραφή των προσόντων, πιστοποιητικών και σχετικής εμπειρίας που διαθέτουν τα άτομα που θα συμμετέχουν στην υλοποίηση του έργου καθώς και την επιμέρους στελέχωση σε επίπεδο φάσεων ή παρεχόμενων υπηρεσιών, 3. αναλυτική περιγραφή του τρόπου υλοποίησης του συγκεκριμένου έργου, μαζί με το προτεινόμενο χρονοδιάγραμμα, που θα περιέχει κατ ελάχιστον τα ακόλουθα: - αντίληψη για την έκταση, τα όρια ευθύνης και την πολυπλοκότητα του έργου, - αναλυτική προσέγγιση της μεθοδολογίας εκπόνησης των επιμέρους παραδοτέων του έργου - αναλυτικό χρονοδιάγραμμα του έργου, στο οποίο θα αποτυπώνονται οι φάσεις, οι επιμέρους δράσεις, τα παραδοτέα των φάσεων καθώς και άλλα χαρακτηριστικά ορόσημα της πορείας των εργασιών. - αναλυτική περιγραφή των προσφερόμενων υπηρεσιών ανά φάση του έργου. - παραδοτέα ή υπηρεσίες που πρόκειται να προσφερθούν στο πλαίσιο του έργου, επιπλέον των απαιτήσεων της παρούσας πρόσκλησης ενδιαφέροντος. 4. εφάπαξ αμοιβή συνολικά για την προμήθεια, εγκατάσταση και παραμετροποίηση του Ολοκληρωμένου Συστήματος Ασφαλείας, και 5. μηνιαία αμοιβή συνολικά για την παροχή των υπηρεσιών υποστήριξης και συντήρησης του Ολοκληρωμένου Συστήματος Ασφαλείας, που θα εγκατασταθεί. Σημειώνεται ότι ο χρόνος παροχής των άνω υπηρεσιών αναμένεται να είναι 1 έτος. Γ. ΔΙΑΔΙΚΑΣΙΑ ΕΠΙΛΟΓΗΣ 1. Η ανάθεση θα γίνει σύμφωνα με τις διατάξεις των άρθρων 2.2.3. και 2.3 του Κανονισμού Όρων και Διαδικασιών Αναθέσεων και Προμηθειών του Ταμείου, ο οποίος προβλέπεται στην παράγραφο 4 του άρθρου 8 του ν. 3986/2011, καταρτίστηκε από το Διοικητικό Συμβούλιο του Ταμείου και εγκρίθηκε με την υπ 9
αριθμ. πρωτ. 2/66012/0025/20.09.2011 απόφαση του Υπουργού Οικονομικών (ΦΕΚ Β 2241/06.10.2011). 2. Η Επιτροπή Αξιολόγησης, η οποία θα οριστεί από το Διευθύνοντα Σύμβουλο του Ταμείου, θα παραλάβει και αξιολογήσει τις εγκύρως υποβληθείσες προσφορές. Η αξιολόγηση των προσφορών θα γίνει με βάση τα αναφερόμενα ανωτέρω (σημεία Α και Β) κριτήρια. Η Επιτροπή Αξιολόγησης μπορεί να ζητεί διευκρίνιση, συμπλήρωση, προσαρμογή ή βελτίωση των προσφορών. 3. Ο ενδεικτικός προϋπολογισμός για την προμήθεια, εγκατάσταση και παραμετροποίηση του Ολοκληρωμένου Συστήματος Ασφαλείας και για την παροχή των υπηρεσιών υποστήριξης και συντήρησης του Ολοκληρωμένου Συστήματος Ασφαλείας, που θα εγκατασταθεί, για ένα (1) έτος, ανέρχεται σε 100.000, μη συμπεριλαμβανομένου ΦΠΑ. Προσφορές που θα ξεπερνούν τον άνω προϋπολογισμό δεν θα εξετάζονται. 4. Το Ταμείο διατηρεί την πλήρη και αποκλειστική ευχέρεια να ακυρώσει, αναστείλει, τροποποιήσει ή μεταθέσει χρονικά την παρούσα διαδικασία χωρίς προηγούμενη ενημέρωση, καθώς και να διακόψει διαπραγματεύσεις ή συνομιλίες σε οποιοδήποτε χρονικό σημείο, χωρίς καμία ευθύνη έναντι των συμμετεχόντων ή/και τρίτων προσώπων. 5. Οι ενδιαφερόμενοι θα πρέπει να υποβάλλουν την προσφορά τους, μαζί με όλα τα ανωτέρω αναφερόμενα στοιχεία, δηλώσεις και πληροφορίες, αποκλειστικά με μήνυμα ηλεκτρονικού ταχυδρομείου στην διεύθυνση: info@hraf.gr, με την ένδειξη «ΠΡΟΜΗΘΕΙΑ ΚΑΙ ΕΓΚΑΤΑΣΤΑΣΗ ΟΛΟΛΗΡΩΜΕΝΟΥ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΤΟΥ ΜΗΧΑΝΟΓΡΑΦΙΚΟΥ ΕΞΟΠΛΙΣΜΟΥ ΚΑΙ ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ ΠΑΡΑΜΕΤΡΟΠΟΙΗΣΗΣ, ΥΠΟΣΤΗΡΙΞΗΣ ΚΑΙ ΣΥΝΤΗΡΗΣΗΣ ΑΥΤΟΥ». 6. Οι προσφορές θα πρέπει να υποβληθούν το αργότερο μέχρι και την 11 η Νοεμβρίου 2011, ώρα 14:00. 10