TEKNİK ŞARTNAME

Transkript

TEKNİK ŞARTNAME

BİLİŞİM GÜVENLİĞİ PROJESİ
TEKNİK ŞARTNAMESİ
1.
KAPSAM VE AMAÇ
Kurumumuz bilişim güvenliği altyapısının iyileştirilmesi projesi kapsamında bu şartnamede
teknik detayları belirtildiği üzere aşağıda listesi verilen ürün ve yazılım alımları yapılacaktır.
• Ana veri merkezi için yedekli mimaride bir çift (2 adet) güvenlik duvarı ürünü
• Yedek veri merkezi güvenlik duvarı ürünü
• Merkezi Yönetim ve Log Arşivleme ürünü
• SSL VPN Cihazı
• Proxy/Web Gateway, İçerik Tarama ve Zero-Day Atak Önleme çözümü
• Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS)
• Siber Tehdit Test ve Analiz Yazılımı
2.
GENEL HÜKÜMLER
2.1.
Bu teknik şartname kapsamında ihtiyaç duyulan yapının tümü kurulumları yapılarak
çalışır vaziyette teslim edilecektir.
2.2.
Proje anahtar teslim iş olup teklifler götürü bedel olarak verilecektir.
2.3.
İSTEKLİ ilk ilan veya davet tarihinden geriye doğru son beş yıl içinde kesin kabul
işlemleri tamamlanan mal alımlarıyla ilgili yurt içinde veya yurt dışında kamu veya özel sektörde
bedel içeren tek bir sözleşme kapsamında gerçekleştirdiği ihale konusu iş veya benzer işlere
ilişkin olarak deneyimini gösteren belge sunması zorunludur. İSTEKLİ, teklif ettiği bedelin
%30’undan az olmamak üzere, ihale konusu iş veya benzer işlere ait tek sözleşmeye ilişkin iş
deneyimini gösteren belgelerini teklifi ile birlikte sunacaktır.
2.4.
Benzer iş olarak, yeni nesil güvenlik duvarı kurulum ve yapılandırması ve/veya saldırı
tespit ve önleme sistemi kurulum ve yapılandırması ve/veya DoS/DDoS önleme sistemi kurulum
ve yapılandırması ve/veya Proxy/WebGateway ve/veya Zero-Day atak önleme/Sandboxing
sistemi kurulum ve yapılandırması kabul edilecektir.
2.5.
İSTEKLİlerin
belgeleyeceklerdir.
Türkiye’de
yerleşik
ofisleri
bulunacaktır
ve
bunu
tekliflerinde
2.6.
İSTEKLİ, TSE Hizmet Yeterlilik veya ilgili Bakanlıktan alınmış Satış Sonrası Hizmet
Yeterlilik belgesine sahip olmalıdır ve teklifine eklemelidir.
2.7.
İSTEKLİ’ler teklif ettikleri ürünler(SSL VPN cihazı hariç) için yetkili satıcı olduklarına
dair yetki belgelerini tekliflerine ekleyeceklerdir. Yetki belgeleri üretici firmanın Türkiye
ofisinden veya temsilcisi veya distribütöründen alınacaktır.
2.8.
Teklif edilecek ürünlerin EOL(End of Life ) ve/veya EOS(End of Sale) duyurusu ihale
tarihinde yapılmamış olacaktır.
Bilişim Güvenliği Projesi-Genel Şartlar
2/7
2.9.
İSTEKLİ teklif ettiği ürünlerin marka, model bilgilerini ve yazılımlarda ise marka, sürüm
vb. bilgilerini teklifinde belirtecektir.
2.10. YÜKLENİCİ
imzalayacaktır.
işe
başlamadan
önce
İDARE’nin
matbu
gizlilik
sözleşmesini
2.11. YÜKLENİCİ’nin arıza kayıtlarının açılacağı, tutulacağı ve izleneceği bir sistemi
olacaktır.
2.12.
Proje kapsamındaki eğitimlerin tarihleri İDARE ile birlikte kararlaştırılacaktır.
2.13. Bu şartname ve ekleri bir bütündür. Bu şartname ve ekleri kapsamında çelişen maddeler
olması durumunda İDARE’nin lehine olan hüküm geçerli olacaktır.
3. KURULUM ve TESLİMAT
3.1.
YÜKLENİCİ, kuruluma başlamadan önce proje yöneticisi tayin edip İDARE’ye
bildirecektir.
3.2.
YÜKLENİCİ, işe başlamadan önce tasarım ve yapılandırma için bir proje teknik
sorumlusu atayacak ve İDARE’ye bildirecektir.
3.3.
Proje yöneticisi ve proje teknik sorumlusu ihale konusu ve/veya benzer işlerde çalışmış
olmalıdır.
3.4.
İDARE’nin proje yöneticisi ve teknik sorumlusunu değiştirme hakkı mahfuzdur.
3.5.
Teklif edilen güvenlik duvarı ürünleri kurulmadan önce, İDARE’nin ana veri merkezinin
bulunduğu binadaki kullanıcı ve sunucu ağlarını ayırmak amacıyla gerekli VLAN
segmentasyonu, YÜKLENİCİ tarafından yapılacaktır.
3.6.
Tasarım, kurulum ve yapılandırma hizmetleri, daha önce ihale konusu işler ve/veya
benzer işlerde çalışmış, konusunda uzman personeller tarafından verilecektir. Proje kapsamındaki
sistemlerin kurulum ve yapılandırmalarını yapacak uzman kişiler her ürün için sertifikalı
profesyoneller(Örneğin Check Point için Check Point Certified Security Administrator(CCSA),
Cisco için Cisco Certified Network Professional Security (CCNP Security) gibi.) olacaktır. Eğer
yüklenici firmada, kurulum ve yapılandırma hizmetini gerçekleştirecek personel yoksa
YÜKLENİCİ, üreticiden ya da üretici tarafından bu konuda yetkilendirilmiş firmadan(üreticinin
servis iş ortağı) veya teklif edilen ürün distribütöründen bu hizmeti alarak bu hizmetleri
verecektir. Bu şekilde hizmet verilmesi YÜKLENİCİ’nin sorumluluğunu ortadan
kaldırmayacaktır.
3.7.
YÜKLENİCİ, tasarım, kurulum ve yapılandırma hizmetlerinde çalışacak kişilerin adı,
soyadı ve iletişim bilgileriyle(cep telefonu, e-posta) birlikte sertifikalarını sözleşme sırasında
İDARE’ye yazı ile verecektir.
3.8.
Teklif edilen tüm ürünlerin işbu şartname kapsamındaki isterleri yerine getirecek şekilde
kurulumu ve sorunsuz şekilde devreye alınması için gerekli tüm ekipman ve
malzemeler(Örneğin; montaj kitleri, güç kabloları, PDU, bakır ve fiber data kabloları vd. )
YÜKLENİCİ tarafından sağlanacaktır.
3/7
3.9.
YÜKLENECİ teklif ettiği ürünleri ve ürünlere ait tüm kabloları ve bu ürünlerle ilintili
olup etiketlenmesi gereken diğer ekipmanları etiketleyecektir. Tüm etiketler kolay okunabilir,
anlaşılabilir ve takip edilebilir olacaktır. Ayrıca neme, ısıya, sürtünmeye ve olağan(işin doğası
gereği olabilen) mekanik zorlanmalara karşı dayanıklı olacaktır. Etiketleme yöntemi ve etiket
seçimleri İDARE ile birlikte kararlaştırılacaktır.
3.10. Sanal sistem olarak teklif edilen ürünler için İDARE’nin Vmware ESX 5.x sanallaştırma
altyapısı kullanılacaktır.
3.11. İşe başlama tarihi, sözleşmenin imzalanmasını takip eden ilk gündür. Tüm kurulum ve
yapılandırma hizmetleri, sözleşmenin imzalanmasından itibaren 60(Altmış) takvim günü içinde
tamamlanacaktır. Bu süre içerisinde sistem çalışır şekilde İDARE’ye teslim edilecektir.
3.12.
Gecikme halinde firmaya 20(Yirmi) güne kadar cezalı süre verilebilir. Gecikilen her gün
için sözleşme tutarının ‰5(Binde beş)’i oranında ceza uygulanılır
3.13. YÜKLENİCİ, muayene ve kabul işlemlerine başlanmadan önce, yapılanan iş ve
işlemlerin ayrıntılı izahını ve oluşturulan topolojiyi içeren proje sonuç raporunu İDARE’ye
sunacaktır.
3.14. Kurulum ve yapılandırma hizmetleri ile test ve devreye alma işlemleri mümkün olan en az
kesintiye sebep olacak şekilde planlanacak ve uygulanacaktır.
3.15. YÜKLENİCİ, kurulum, yapılandırma, test ve devreye alma işlemleri sırasında azami
titizliği göstermekle yükümlüdür. YÜKLENİCİ, bu işlemler sırasında İDARE’ye verdiği
zararlardan sorumlu olacaktır.
3.16. Proje kapsamındaki ürünler/cihazlar devreye alındıktan sonra oluşabilecek sorunlara
anında müdahale edebilmek amacıyla her cihaz/ürün için sertifikalı uzmanlar en az 5(beş) işgünü
idarenin bilgi işlem ofisinde hazır bulunacaklardır.
3.17.
YÜKLENİCİ işin tüm kısımlarını bizzat yapmakla mükelleftir. Alt yüklenici kullanamaz.
3.18. YÜKLENİCİ, teklif ettiği ürünleri İDARE’nin onayı ile teknik şartnamedeki özellikleri
taşımak kaydıyla daha üst model ve/veya sürüm ile değiştirebilir.
3.19. Teklif edilen ürünlerin muayene ve kabul işlemleri sırasında teknik şartname isterlerini
karşılayamadığının tespit edilmesi durumunda YÜKLENİCİ, İDARE’nin istediği ve teknik
şartname isterlerini karşılayan marka model ürün/ürünleri herhangi ek ücret talep etmeden
verecektir.
3.20.
Tüm lisanslar, garanti ve destek paketleri İDARE adına kaydedilecektir.
4/7
4. GARANTİ, BAKIM VE DESTEK
4.1.
YÜKLENİCİ, bu şartname kapsamında kullanılacak bütün ürünleri garanti süresi boyunca
çalışır vaziyette bulunmasını sağlayacaktır. YÜKLENİCİ, aksi ve daha geniş kapsamlı hali bu
şartnamenin başka bir yerinde belirtilmediği sürece teklif ettiği ürünlerin arızaları için en az 3
(üç) yıl mal ve hizmet garantisi verecektir. Teklif edilen ürünler 3 (üç) yıllık garanti süresi
boyunca üretici firmanın donanım ve işletim sistemini kapsayan destek paketine sahip olacaktır.
4.2. YÜKLENİCİ garanti süresi boyunca donanım ve işletim sistemi güncellemelerini içeren
destek paketinin alındığına dair belgeleri kabul tarihinden önce İDARE’ye sunacaktır.
4.3.
Teknik
destek
verecek
elemanlar
ilgili
ürünün
üreticisi
tarafından
sertifikalandırılmış(üretici onaylı sertifika) profesyoneller olacaktır. (Örneğin Check Point için
Check Point Certified Security Administrator(CCSA), Cisco için Cisco Certified Network
Professional Security (CCNP Security) gibi). YÜKLENİCİ’nin bünyesinde sertifikalı personel
yoksa bu hizmeti ilgili üreticiden veya distribütörden veya üreticinin servis iş ortağından alarak
yapacaktır.
4.4.
Tüm imalat, montaj ve işçilik hatalarına karşı 3 (üç) yıl servis garantisi verilecektir. Ve
garanti süresi kabul tarihinden itibaren başlayacaktır. Garanti süresi boyunca imalat, montaj ve
işçilik hatalarından meydana gelen arızalarının giderilmesi sırasında işçilik masrafı, parça bedeli
yada başka herhangi bir ad altında ücret talep edilmeyecektir.
4.5.
Garanti süresi içerisinde bildirilen bir arıza/soruna müdahale sırasında sistemler için
kullanılacak her türlü sistem ve yedek parça YÜKLENİCİ tarafından sağlanacaktır.
4.6.
YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen
parçanın teknik/fonksiyon özelliklerine sahip olacaktır.
4.7.
Donanımsal sorunlarda sorunlu cihaz 30 gün içerisinde tamir edilecek veya yenisi ile
değiştirilecektir.
4.8.
YÜKLENİCİ, garanti gereği yaptığı müdahalelerde kendisinin sebep olduğu tüm arızaları
ve hasarları giderecektir. Garanti kapsamında yapılacak donanımların tamir, nakliye ve taşınması
sırasında meydana gelebilecek her türlü hasar ve arızadan YÜKLENİCİ sorumlu olacaktır.
4.9.
YÜKLENİCİ, garanti süresi boyunca, kurulumunu yaptığı sistemin veya sistemlerin bir
bütün olarak çalışmasını sağlayacaktır.
4.10. YÜKLENİCİ, arıza kaydı ve takibi için 24 saat ulaşılabilen bir çağrı merkezi hizmeti
sunacaktır. YÜKLENİCİ çağrı merkezinin telefon, faks, e-posta vb. bilgileri ile çağrı merkezinin
koordinatörü sıfatındaki bir personelinin isim ve irtibat bilgilerini İDARE'ye sunacaktır.
4.11. Arızaya müdahale süresi, herhangi bir arıza durumunda İdarenin, YÜKLENİCİ‘nin
bildirdiği telefon, e-posta veya faksına arıza bildiriminden itibaren, destek merkezi elemanlarının
arızaya müdahalesine kadar geçebilecek en uzun süredir.
4.12. YÜKLENİCİ, teknik destek konusunda kullanılacak, telefon, faks, e-posta ve kişi
isimlerini; değişiklik halinde ise değişiklik bilgilerini önceden veya aynı gün verecektir.
4.13. Teklif edilen ürünlere ilişkin bir arıza/sorun kullanıcı tarafından YÜKLENİCİ’ye
bildirildiği takdirde, YÜKLENİCİ, bildirimi takiben en geç 6(altı) saat içerisinde arıza/soruna
5/7
uzaktan veya yerinde müdahale edecektir. Bu hizmet haftada yedi gün yirmi dört saat boyunca
(7x24) verilecektir.
4.14. YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen
parçanın teknik/fonksiyon özelliklerine sahip olacaktır.
5. EĞİTİM
5.1.
Yüklenici, bu iş kapsamında verilen ürünlere yönelik aşağıda belirtilen eğitim
hizmetlerini sağlayacaktır:
a. Güvenlik Duvarı ve Merkezi Yönetim ve Log Arşivleme ürünleri eğitimi:
•
Eğitim, eğitim merkezinde sertifikalı eğitmen veya teklif edilen ürüne ait
en az administrator sertifikasına sahip teknik personel tarafından en az 4
(dört) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel
yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş
ortağının sertifikalı teknik personeli tarafından verilecektir.
•
Verilecek eğitim cihazın kurulumu ve yönetimini kapsayacaktır.
b. SSL VPN Cihazı eğitimi:
•
Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz
başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 1 (bir)
gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa
üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının
sertifikalı teknik personeli tarafından verilecektir.
•
Eğitimler en
verilecektir.
az
ürün
yönetimi(administration)
seviyesine
kadar
c. Proxy/WebGateway, İçerik Tarama ve Zero-Day Atak Önleme Çözümü eğitimi:
•
Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz
başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 3 (üç)
gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa
üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının
sertifikalı teknik personeli tarafından verilecektir.
•
Eğitimler en
verilecektir.
az
ürün
yönetimi(administration)
seviyesine
kadar
d. Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) eğitimi:
6/7
•
Eğitim, sertifikalı eğitmen veya üretici tarafından sertifika verilmiş uzman
personel tarafından teorik ve uygulamalı olarak, üreticinin yetkilendirdiği
eğitim merkezinde verilecektir.
•
Eğitimler en az ürün yönetimi(administration)
verilecektir. Eğitim süresi en az 3(üç) gün olacaktır.
seviyesine
kadar
e. Siber Tehdit Test ve Analiz Yazılımı eğitimi:
•
Eğitim, kurum bünyesinde sertifikalı eğitmen veya teklif edilen ürün
hakkında uzman teknik personel tarafından en az 2 (iki) gün verilecektir.
•
Eğitimler ürünün kurulum ve yönetimini kapsayacaktır.
5.2. Eğitim için gerekli materyaller ve altyapı yüklenici tarafından sağlanacaktır. Eğitime
katılacak personelin ulaşım ve yemek masrafları YÜKLENİCİ tarafından karşılanacaktır.
5.3. Katılımcı sayısı 4(dört) kişidir.
5.4. Eğitim tarihleri İdare ile birlikte kararlaştırılacaktır.
5.5. İDARE, eğitmeni ve/veya eğitim içeriğini yetersiz bulması durumunda eğitmenin
değiştirilmesini ve/veya eğitimin yenilenmesini isteyebilir. YÜKLENİCİ, idarenin bu
isteğini yerine getirmek zorundadır.
6. DİĞER HUSUSLAR
6.1.
Proje kapsamındaki aşağıda teknik şartnameleri verilen her bir ürün/çözüm için donanım,
yazılım/lisans, garanti-bakım, kurulum ve eğitim bedelleri tablo halinde teklif ekinde
verilecektir.
7. TEKNİK ŞARTNAMELER
İhale kapsamında temin edilecek ürünlere ait teknik şartnameler:
A) Güvenlik Duvarları ve Merkezi Yönetim ve Log Arşivleme ürünü
B) SSL VPN Cihazı
C) Proxy/Web Gateway , İçerik Tarama ve Zero-Day Atak Önleme çözümü
D) Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS)
E) Siber Tehdit Test ve Analiz Yazılımı
7/7
A)
GÜVENLİK DUVARLARI VE MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ
TEKNİK ŞARTNAMESİ
1. KONU
Bu teknik şartname, yedekli mimaride çalışmak üzere bir çift(2 adet) ve yedek veri merkezi
için 1(bir) adet güvenlik duvarı ürünü ile bu ürünlerin yönetim ve log arşivleme ürününün
teknik gerekliklerini kapsamaktadır.
2. ANA VERİ MERKEZİ GÜVENLİK DUVARI (2 ADET)
2.1.Teklif edilecek güvenlik duvarı ürünü özelleştirilmiş donanım ürünü (appliance) olarak
teklif edilebileceği gibi güvenlik duvarı üreticisi tarafından sertifikalandırılmış sunucu
mimarisi üzerinde çalışabilen yazılım ürünü olarak da teklif edilebilir. Yazılım ürünü olarak
teklif edilmesi durumunda üzerinde çalışacağı sunucu donanımı da teklife dahil edilmelidir.
2.2.Güvenlik duvarı ürünü, mimari açıdan Stateful Inspection ve IP paket filtreleme
özelliklerini bünyesinde bulundurmalıdır.
2.3.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde
çalışacaktır.
2.4.Özelleştirilmiş donanım ürünü (appliance) olarak teklif edilmesi durumunda firewall
performans (throughput) değeri en az 5 Gbps olmalıdır. Güvenlik duvarı üreticisi tarafından
sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak teklif edilmesi
durumunda sunucu üzerinde en az 8 core’u adresleyebilecek lisanslarla teklif edilmelidir.
2.5.Ürün üzerinde en az 8 adet 10/100/1000 Mbps hızlarında çalışabilen bakır ethernet ağ ara
yüzü bulunmalıdır. İleride ihtiyaç duyulması durumunda en az 4 adet 10/100/1000 Mbps
hızlarında çalışabilen SFP fiber ve en az 4 adet 10G SFP+ fiber ara yüz takılabilmelidir. Ve
ürünler en az 4 adet 10G SFP+ ara yüz ile teklif edilmelidir.
2.6.Ürün üzerinde RAID yedeklilik ve hot-swap mimarisine sahip en az iki adet ve en az 240
GB kapasitede sabit disk üniteleri olmalıdır. Disklerden herhangi birisinin arızalanması
ürünün çalışmasını etkilememelidir.
2.7.Ürün üzerinde yedekli çalışan ve hot-swap mimarisine sahip iki adet güç ünitesi (power
supply) bulunmalıdır. Güç ünitelerinden herhangi birisinin arızalanması ürünün çalışmasını
etkilememelidir.
2.8.Aktif-aktif ve aktif-pasif yedekli çalışma mimarilerinin her ikisini de desteklemelidir.
2.9.En az 1024 adet VLAN desteklemelidir.
2.10. Ürünün AD (Active Directory) entegrasyon özelliği olmalıdır. MS Active Directory ve
kullanıcı makinaları üzerine herhangi bir yazılım kurmadan kişi, grup ve OU (organization
unit) bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer
alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak
sağlayacaktır.
2.11.
OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir.
2.12. İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri
desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir.
2.13.
Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir.
Bilişim Güvenliği Projesi-Güvenlik Duvarı
1/7
2.14. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir
adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire
bir adres çevrim özelliği (NAT) olmalıdır.
2.15.
Port adres çevrim (PAT) özelliğine sahip olmalıdır.
2.16. Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis
bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli, veya ağırlık
tanımlaması ile dinamik olarak denetleme yapabilmelidir.
2.17. Firewall static route, RIP, OSPF, BGP dinamik yönlendirme protokollerini
desteklemeli ve bu özellikler ile teklif edilmelidir.
2.18.
IPv6 desteği olacaktır.
2.19.
Site to site ve client to site VPN desteği olmalıdır.
2.20. Güvenlik duvarı, IPSec VPN standardını desteklemelidir. 3DES , AES algoritmaları
ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını
desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır.
2.21.
Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır.
2.22. Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen
uygulama kontrol(Application Control) özelliği olacaktır.
a) Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır.
b) Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif
Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol
kuralları tanımlanabilecektir.
c) Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network
için farklı bant genişliği limitasyon kuralları tanımlanabilmelidir.
d) Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve
alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web
sayfasında yayınlanacaktır.
e) Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından
tanımlanmış olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır.
f) Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir.
2.23. Teklif edilecek güvenlik duvarı üzerinde ihtiyaç durumunda sonradan temin edilecek
ek lisans ve/veya modülle aktifleştirilebilecek atak engelleme(IPS), Anti-Virus, URL
filtreleme ve SSL VPN özellikleri aktif edilebilmelidir.
2.24. Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web
üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için
farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only,
Monitor Only gibi).
2.25. Güvenlik duvarı üreticilerinin
sertifikalandırılmış olması gerekmektedir.
NSS
Labs
test
süreçlerine
katılmış
ve
2.26. Güvenlik duvarı ürünlerinin konfigürasyon yönetimi ve log izleme/arşivleme işlemleri
bu şartnamede belirtilen “Merkezi Yönetim ve Log Arşivleme Ürünü” aracılığıyla
yapılabilecektir. Veya teklif edilen cihaz üzerinde “Merkezi Yönetim ve Log Arşivleme
Ürünü” fonksiyonları sağlanabilmelidir.
2/7
2.27. Güvenlik duvarı, üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde
çalışabilen yazılım ürünü olarak teklif edilmesi durumunda teklif edilecek sunucular en az
aşağıdaki özellikleri taşımalıdır:
a) En az 1 adet 2.6 GHz 30 MB L3 Cache Intel Xeon E5-2690 v3işlemci ve en az 32
GB, 2133 MHz, DDR4 fiziksel bellek (RAM) bulunmalıdır. Teklif edilen ürünün
işletim sistemi bu opsiyonları desteklememesi durumunda; en az bir adet 3.0 GHz
25 MB cache Intel Xeon E5-2690 v2 işlemci ve en az 32 GB 1866 MHz DDR3
fiziksel bellek(RAM) bulunmalıdır.
b) En az 2 adet hot-pluggable özellikte minimum 7200 rpm, en az 300 GB SAS sabit
disk bulunmalıdır.
c) Disklerin Raid0, Raid1 teknolojileri ile ayarlanabilmesi için önbelleğe ve pil
korumasına sahip RAID kartı bulunmalıdır.
d) En az 3 adet PCI-E genişleme yuvası bulunmalıdır.
e) En az 1 adet grafik bağdaştırıcısı, en az 2 adet USB (USB 2.0, USB 3.0) arabirimi
bulunacaktır.
f) Sunucu üzerinde kullanılabilir durumda en az 8 adet 10/100/1000 Base-T gigabit
bakır ethernet ve en az 4 adet 10G SFP+ portu olmalıdır. Bu arabirimlerin ve
sürücülerinin teklif edilecek işletim sistemiyle uyumluluğu göz önünde
bulundurulmalıdır.
g) 1 adet DVD-ROM sürücü bulunmalıdır.
h) Yedekli hot-swap özellikli güç kaynağı ve soğutma birimleri bulunmalıdır.
i) Sunucular en fazla 2U yüksekliğinde olmalı ve kabine monte edilebilmelidir.
Montaj aparatları ile birlikte teklif edilmelidir.
j) Sunucular, 32 bit ve 64 bit uygulamaların çalışmalarına imkân vermelidir.
k) Sunucular RedHat Linux, SUSE Linux, Windows Server 2012, VMware ESXİ
işletim sistemlerini desteklemelidir. Ayrıca teklif edilecek ürününün işletim
sistemini desteklemelidir.
l) Teklif edilecek sunucular 3 (üç) yıl garantili olacaktır.
3. YEDEK VERİ MERKEZİ(YVM) GÜVENLİK DUVARI(1 ADET)
3.1.Bu iş için özel olarak üretilmiş yazılım ve donanım bütünü (appliance) olarak teklif
edilecektir.
3.2.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde
çalışacaktır.
3.3.Mimari açıdan Stateful Inspection ve IP paket filtreleme özelliklerini bünyesinde
bulundurmalı ve aşağıdaki güvenlik servislerine sahip olmalıdır.
a. Firewall
b. IPSEC VPN
c. Uygulama Kontrolü (Application control)
d. URL Filtreleme
e. Atak Engelleme (IPS)
3/7
f. Anti-Virus
g. Anti-Bot
h. Bandwith Management (QoS)
i. SSL-VPN (Mobile VPN) (Bu özellik ihtiyaç halinde ek lisans ile sağlanabilir olcaktır)
3.4.Cihazın firewall performans değeri (throughput) en az 4 Gbps ve IPS performans değeri
en az 700 Mbps olmalıdır.
3.5. 1 milyon adet eş zamanlı oturum (concurrent session) desteği olmalıdır.
3.6.Anlık 40.000 adet bağlantı isteğini (connection per second) karşılayabilmelidir.
3.7.Üzerinde her biri 1 gbps hızlarında çalışabilen en az 8 adet bakır ağ arayüzü olmalıdır.
İhtiyaç duyulması durumunda en az 4 adet 1 gbps SFP fiber ağ arayüzü takılabilmelidir.
3.8.Cihaz üzerinde en az 120 GB kapasiteye sahip sabit disk olmalıdır.
3.9. Kullanıcı farkındalığı özelliği olmalıdır. Bu özellik sayesinde kullanıcı bilgisayarları veya
DC (domain controller) üzerine herhangi bir yazılım kurmadan DC ile entegre olarak kişi,
grup, bilgisayar ve OU (organization unit) bazında kural yazılmasına olanak tanımalı, tutulan
kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile
takibinin yapılabilmesine olanak sağlayacaktır.
3.10.
OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir.
3.11. İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri
desteklemeli, kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir.
3.12.
Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir.
3.13. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir
adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire
bir adres çevrim özelliği (NAT) olmalıdır.
3.14. Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis
veya uygulama bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli veya
ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir.
3.15. Firewall statik yönlendirme, RIP, OSPF, BGP dinamik yönlendirme protokollerini
desteklemeli ve bu özellikler ile teklif edilmelidir.
3.16.
Site to site ve client to site VPN desteği olmalıdır.
3.17. IPSec VPN standardını desteklemelidir. IKE şifreleme şemalarını desteklemelidir.
3DES , AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve
SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward
secrecy) desteği olmalıdır.
3.18. Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web
üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için
farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only,
Monitor Only gibi).
3.19. Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen
uygulama kontrol özelliği olacaktır.
3.20.
Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır.
4/7
3.21. Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde
tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları
tanımlanabilecektir.
3.22. Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network için
farklı bant genişliği limitasyon kuralları tanımlanabilmelidir.
3.23. Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt
kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında
yayınlanacaktır.
3.24. Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından tanımlanmış
olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır.
3.25.
Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir.
3.26. Cihaz üzerinde bulut mimarisi temelli çalışan, bulut veri tabanı bulunan ve detayları
aşağıda iletilen URL filtreleme özelliği olmalıdır.
3.27. Kategorize edilmemiş sitelere yapılan erişimler için sistem yöneticilerinin müdahalesi
olmadan otomatik kategorizasyon yapabilme özelliği olmalıdır.
3.28. Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden
kurumun anında faydalanması mümkün olmalıdır.
3.29. İçerik filtreleme özelliği aktif dizin ile entegre çalışabilecek bu sayede aktif dizinde
tanımlı olan kullanıcı ve kullanıcı grupları bazında url filtreleme kuralları tanımlanabilecektir.
3.30. Farklı URL adresleri
yazılabilmelidir.
ve kategori
grupları
için
farklı
erişim
3.31.
Sistem yöneticileri tarafından özel URL tanımlamaları yapılabilmelidir.
3.32.
Cihaz üzerinde detayları aşağıda iletilen IPS özelliği olmalıdır.
politikaları
3.33. Farklı ülkelerden gelebilecek trafiği tehdit anında kesebilmelidir. Coğrafi koruma
sağlayabilmelidir.
3.34. IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza
için ayrı ayrı ayarlanabilmelidir.
3.35. IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da
internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı
müdahalesi olmadan otomatik olarak da yapılabilmelidir
3.36. Saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen Protokol Anormallik
Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır.
3.37.
IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir;
a)
Backdoors
b) Botnets
c)
Anlık mesajlaşma (MSN, ICQ vb.)
d) İşletim sistemlerine dönük saldırılar
e)
Peer-to-peer (Emule, Edonkey vb.)
f)
Protocol tunneling
g) Traffic Anomaly
h) Protocol Anomaly
5/7
3.38. IPS mimarisi cihaz üzerindeki diğer güvenlik mimarilerinden (örneğin Anti-Bot, AntiVirüs v.b.) bağımsız çalışmalıdır. Bu sayede diğer mimarileri etkilemeden aktif edilebilmeli
veya sorun tespiti aşamasında kapatılabilmelidir.
3.39.
Cihaz üzerinde detayları aşağıda iletilen Botnet tespit ve engelleme özelliği olmalıdır.
3.40. Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden
kurumun anında faydalanması mümkün olmalıdır.
3.41. Port ve protokolden bağımsız çalışmalı, internete doğru yapılan tüm ip trafiğini
inceleyebilmelidir.
3.42. Botnet komuta kontrol merkezlerine erişim için yapılan adres çözümleme isteklerini
tespit ve DNS sorgusu esnasında trafiği bloklayabilme özelliğine sahip olmalıdır.
3.43. Bilinmeyen komuta kontrol merkezleriyle yapılan iletişimler için davranışsal analiz
yapabilmeli bu sayede şüpheli trafiği engelleyebilmelidir.
3.44.
Bilinen Botnetler için imza temelli bloklama yapabilmelidir.
3.45. Farklı kullanıcı
oluşturulabilmelidir.
veya
kullanıcı
grupları
için
farklı
botnet
politikaları
3.46. Botnet tespit ve engelleme mimarisi aktif dizin ile entegre çalışabilecek bu sayede
aktif dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında botnet filtreleme kuralları
3.47. Cihaz üzerinde bulut mimarisi temelli çalışan ve detayları aşağıda sıralanan AntiVirus tespit ve engelleme sistemi olmalıdır.
a. Bulut mimarisi sayesinde anti-virüs verit abanı üzerinde yapılan
güncellemelerden kurumun anında faydalanması mümkün olmalıdır.
tüm
b. Akan dosya trafiğini tarayabilmelidir. Hangi dosya tiplerinin veya uygulamaların
taranıp taranmayacağı sistem yöneticileri tarafından belirlenebilmelidir.
Arşivlenmiş dosyaları tarayabilmelidir.
c. Anti-virüs mimarisi aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde
tanımlı olan kullanıcı ve kullanıcı grupları bazında Anti-Virüs kuralları
d. Farklı kullanıcı veya kullanıcı grupları için farklı Anti-virüs politikaları
oluşturulabilmelidir.
3.48. Cihaz, detayları aşağıda açıklanan SSL-VPN özelliğini desteklemelidir. Bu özellik
ileride lisans artırımı ile kullanılabilir olmalıdır.
a)
En az MS Windows7, MS Windows 8 tabanlı taşınabilir cihazlar SSL VPN client
olarak desteklenecektir.
b)
Kurumun internete açık olan Outlook Web Access, Exchange Web Servis ve
Active Sync servislerine erişim SSL VPN üzerinden sağlanabilecektir.
c)
SSL VPN aracılığıyla erişen kullanıcılar, sistem üzerinde tanımlı kullanıcı veri
tabanı, RADIUS, LDAP ve Active Directory üzerinden yetkilendirilebilecektir ve
bu yetkilendirme ile erişilebilecek iç kaynaklar tanımlanabilecektir.
d)
SSL-VPN ile bağlanan kullanıcıların IPS taramasından geçirilip güvenli bir
şekilde lokal ağa bağlantısı sağlanabilmelidir.
6/7
e)
SSL-VPN ile bağlanan kullanıcıların, bağlandıkları cihazlar üzerinde belirtilen
politikalara uygun olmamaları durumunda daha önceden belirlenen az yetkili
kullanıcı profili olarak veya kısıtlı servise bağlanması sağlanabilmelidir.
f)
SSL-VPN ile bağlanan kullanıcıların kimlik doğrulama işlemi 2-aşamalı (2-factor)
kimlik doğrulamayı destekleyecektir. Donanım gerektirmeyen SMS vb. çözümleri
destekleyecektir.
3.49. Yedek Veri Merkezi(YVM) güvenlik duvarı ürününün konfigürasyon yönetimi, log
izleme/arşivleme işlemleri bu şartnamede belirtilen “Merkezi Yönetim ve Log Arşivleme
Ürünü” aracılığıyla yapılabilecektir. Veya teklif edilen cihaz üzerinde “Merkezi Yönetim ve
Log Arşivleme Ürünü” fonksiyonları sağlanabilmelidir.
4. MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ
4.1.Teklif edilecek merkezi yönetim ve log arşivleme sistemi bu şartnamede belirtilen merkez
güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürününün merkezi konfigürasyon yönetimi
ve log arşivleme/filtreleme işlemlerini yapabilmelidir. Bu işlemlerin tek bir donanım/yazılım
üzerinde yapılamaması durumunda aşağıda belirtilen teknik özellikler karşılanmak kaydıyla
aynı veya farklı üreticilere ait birden fazla cihaz/yazılım teklif edilebilir. Bu bölümde istenen
özellikler teklif edilen güvenlik duvarı cihazı üzerinde sağlanabiliyorsa ayrı bir ürün teklif
edilmeyebilir.
4.2.Teklif edilecek merkezi yönetim, log arşivleme sistem(veya sistemleri) sanal sistem
(Vmware) üzerine kurulabilen yazılımsal bir ürün olabileceği gibi donanımsal olarak da teklif
edilebilir.
4.3.Bu amaçla yazılımsal bir ürün (veya ürünler) teklif edilmesi durumunda ilgili sistemin
çalışacağı sanal sistem platformu kurumumuz tarafından sağlanacaktır.
4.4.Merkezi yönetim sistemi (veya sistemleri) sayesinde merkez güvenlik duvarı ürünleri ve
YVM güvenlik duvarı ürünü üzerinde herhangi bir arıza yaşanması durumunda geçmiş tarihli
olay kayıtları (loglar) ve konfigürasyon (kurallar, objeler v.b.) verisinde herhangi bir kayıp
yaşanmamalı, tanımlı konfigürasyon güncel haliyle korunmalıdır.
4.5.Merkezi yönetim platformu aracılığıyla merkez güvenlik duvarı ürünleri ve YVM
güvenlik duvarı ürünü üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere
göre (En az IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek
zamanlı izlenebilmesi sağlanacaktır.
4.6. Güvenlik duvarı trafik logları arasında korelasyon yapılabilmeli ve birbiriyle ilişkili trafik
loğlarını gruplayarak analiz edebilmelidir.
4.7. Ürün üzerinde ön tanımlı gelen en az 40 farklı rapor formatı yer almalıdır. PDF ve HTML
formatlarında raporlar alınabilmelidir.
4.8.Geçmişe yönelik yapılan tüm trafik raporları, otomatik olarak e-posta yolu ile sistem
yöneticilerine gönderilebilmelidir.
4.9.Merkezi yönetim platformu aracılığıyla ilgili sistemlerin durum bilgisi, disk doluluğu,
CPU ve RAM kullanım değerleri eş zamanlı gözlemlenebilecek, en fazla trafiği yaratan
bilgisayarlar, hedef sunucu ve servis bilgileri gibi gerçek zamanlı trafik analizi
yapılabilecektir.
7/7
B) SSL VPN CİHAZI
1. KONU
Bu teknik şartname bir adet SSL Vpn Cihazı için istenen teknik gereksinimleri kapsamaktadır.
2. SSL VPN CİHAZI TEKNİK ÖZELLİKLERİ
2.1.SSL-VPN cihazı, (Appliance) donanım ve yazılım bütünü ve tek üretici firma tarafından
sağlanmalıdır.
2.2.SSL-VPN cihazında işletim sistemi özel olarak SSL VPN işlemi için geliştirilmiş ve fiziksel
donanım üzerine AES 128 bit şifrelenmiş olarak yüklenmiş olmalıdır.
2.3.Gerek IPSEC gerek SSL portlarını kullanabilmeli, IKEv2 desteği olmalıdır.
2.4.SSL-VPN cihazı, Windows XP, Windows 2000, Windows Vista, Windows 7, Windows 8
Mac OS, Red Hat Linux 7.3 üstü istemci işletim sistemleri ile uyumlu çalışabilmelidir.
2.5.Mobil platformlarda IOS(Apple), Android, Blackberry, WinMobile, Symbian istemci işletim
sistemleri ile uyumlu çalışabilmelidir.
2.6.SSL-VPN cihazı Windows 2008 Active Directory, LDAP, LDAPS, RADIUS, Anonymous
Authentication, Client Certificate, RSA Secure ID ve Ace authentication, UNIX NIS,
SAMLV1/V2, kimlik doğrulama metotlarını desteklemeli ve bu aşağıda sayılan metotlardan
herhangi ikisini tek bir kimlik doğrulama isteği için kullanabilmelidir.
2.7.SSL VPN cihazı Kerberos SSO ve NTLMv2 SSO desteklemelidir.
2.8.SSL-VPN cihazı, User-ID/group-ID, User location, Resource name, URL, Client certificate,
Source-ip, Browser type, Time and Day, User attiribute ve UserDN kriterlerine göre dinamik bir
şekilde kaynaklara erişim hakkı sağlayabilmeli veya engelleyebilmelidir.
2.9.SSL-VPN cihazı, istenildiğinde tek kutuda eşzamanlı en az 1000 clientless vpn kullanıcıya
kadar destek sağlayabilmeli, 250 eş zamanlı kullanıcı için tekliflendirilmelidir.
2.10. SSL VPN cihazı karşılıklı ekran görüntüsü ve kontrol paylaşımını sağlayan güvenli
toplantılar yapabilme özelliğinde olacak. Eş zamanlı 25 kullanıcı/ 25 toplantı için güvenli toplantı
lisansı ile teklif edilecektir.
2.11. SSL-VPN cihazı, aynı anda bağlı olan kullanıcılar arasında https protokolü üzerinden
sohbet (chat) ve remote desktop kontrol desteği sağlamalıdır.
2.12.
SSL-VPN cihazı Cluster ve yedekli yapıda çalışabilmelidir.
2.13. SSL-VPN cihazı, şifre yönetimi, single sign-on, user Authorization ve modifiye edilebilir
giriş (Log-in) sayfaları desteği sağlamalıdır. Gerektiğinde tamamen tekrar baştan yazılabilecek
web sayfası kodları ve farklı dizayn edilmiş sayfa örneklerini (mobil cihazlar dahil) içinde
barındırmalıdır.
2.14. SSL-VPN cihazı, internet üzerinden doğrudan erişilemeyen websiteleri, Windows ve
Unix dosya paylaşım sunucularına, Windows 2008 Terminal server erişimi, Telnet/SSH ve her
türlü TCP tabanlı client server mimarisinde olan uygulamalara erişimi sağlayabilmelidir.
Bilişim Güvenliği-SSL VPN Cihazı
1/3
2.15. SSL-VPN cihazı istemcinin kullandığı bilgisayar masaüstü ve dosya sistemi ile kullanıcı
arabirimi arasında sanal bir masaüstü ve dosya sistemi yaratabilmeli bu sistem ile kullanıcının
kullandığı istemci donanımında kullanacağı USB bağlantısı gibi kaynaklar ve kullanıcının
çalıştırabileceği uygulamalar denetlenebilmelidir.
2.16. SSL-VPN cihazı ağ seviyesinde erişim client yazılımı ile kullanıcının IPsec vpn
bağlantıları yapabilmesini ve doğrudan network katmanında çalışabilmesini sağlamalı bu IPsec
bağlantısı ile beraber split-tunneling ya da sadece lan ağına erişimin denetlenebilmesini ve bant
genişliğinin yönetilebilmesini desteklemelidir. Client’ın opsiyonel olarak FIPS desteği olmalıdır.
2.17. SSL-VPN cihazı ağ seviyesinde IPsec erişimi sırasında istemcinin kullanacagı DNS ve
proxy sunucuları denetleyebilmeli ve önceliklendirebilmelidir.
2.18. SSL VPN cihazı, uzaktan erişim yöntemi olarak hedef tcp port ve çalışan proses
(uygulama) bazında tünelleme yapabilmelidir. Bu sayede hedef port ve sunucuya uzaktan
erişirken, client üzerinde çalışan olası zararlı proseslerin bu portlara tünel üzerinden erişimi
engellenebilmelidir.
2.19. SSL-VPN cihazı, ayrıntılı bir şekilde log tutabilmelidir. Logların incelenmesi için filtreler
ve şablonlar yazılabilmelidir. Bağlanan kullanıcılar izlenebilmelidir. SNMP (V2/V3) trap desteği
olmalıdır.
2.20. SSL VPN Cihazı VMWare’in View Manager ve Citrix’in XenDesktop gibi VDI
teknolojilerini desteklemelidir.
2.21.
SSL-VPN cihazı, ping, traceroute, nslookup ve arp komutlarını çalıştırabilmelidir.
2.22. SSL-VPN cihazı, kullanıcı erişim loglarını, yönetici erişim logları, sistem logları gibi
eventleri bir ftp ve scp sunucusuna belirlenmiş kurallar ile otomatik olarak arşivleyebilmelidir.
Syslog sunucuna log transferi yapılabilmelidir.
2.23. SSL-VPN cihazında software güncelemeleri web arayüzünden yapılabilmelidir, ayrıca
roll-back özelliği ile bir önceki konfig ve yazılıma otomatik donuş yapğılabilemelidir.
2.24. SSL-VPN cihazı, konfigurasyonu XML olarak import ve export edilebilmeli ve ya
kullanıcı ve sistem konfigurasyonu şifre korumalı bir sekilde import / export edilebilmelidir.
2.25. SSL-VPN cihazı üzerinde farklı seviyede yönetici tanımları yapılabilmelidir. Group
yönetim delegasyonu (group management delegation) yapılabilmelidir.
2.26. SSL-VPN cihazı end to end security için Native Host Checker, Host Checker API, Host
Check Server Integration API, özelliklerini sağlamalı TNC (Trusted Network Connect ) onaylı
olmalıdır.
2.27. Mobil cihazları işletim sistemleri versiyonu jailbreak, Rooted olup olmadıklarına göre
ayırabilmeli bu parametrelere göre farklı yetkilendirmeler yapabilmelidir.
2.28. SSL-VPN cihazı end to end security için Policy-based enforcement(uygulama)
remediation(iyileştirme), Cache Cleaner özelliklerini sağlamalıdır.
ve
2.29. Remediation (iyileştirme) sslvpn ile microsoft SMS/SCCM ile entegre halde otomatik
olarak yapılabilmelidir
2.30. SSL-VPN cihazına sanal port ve birden fazla URL tanımlamaları yapılabilmelidir.
Herhangi bir kullanıcı veya kullanıcı grubuna istenen URL adresi tanımlanabilmelidir.
2/3
2.31. SSL-VPN cihazı Lightweight Java veya Windows temelli yüklemeyi otomatik yaparak
sadece bir web browser kullanarak kullanıcı veya server uygulamalarına erişim sağlamalıdır. Ve
ekstra üst seviye yönetim özelliklerine sahip olmalıdır.
2.32. SSL-VPN cihazında en az iki adet 10/100/1000 ethernet portu ,1 adet konsol portu ve 1
adet usb portu bulunmalıdır.
3/3
C)
PROXY/WEBGATEWAY, İÇERİK TARAMA VE ZERO-DAY ATAK
ÖNLEME ÇÖZÜMÜ
1.
KONU
Bu teknik şartname, Güvenli Web Ağ Geçidi, İçerik Tarama ve Zero-Day Atak
Önleme çözümünün taşıması gereken minimum teknik isterleri kapsamaktadır. Bu
teknik şartnamede istenen teknik özellikler, tek veya birden fazla markanın ürün veya
ürünler bileşiminden oluşan bir çözüm olarak teklif edilebilir.
2.
TEKNİK ÖZELLİKLER
Proxy Gateway ve Cache Özellikleri:
2.1.
Teklif edilen çözüm, özelleştirilmiş bir işletim sistemine sahip olan bir
appliance çözümü olacaktır.
2.2.
Teklif edilen çözümün donanım platformu ile ilgili detaylı bilgi verilmelidir.
Çözüme ait donanım, yüksek performanslı özel geliştirilmiş bir donanım olmalıdır.
2.3.
Teklif edilen çözüm, yüksek erişilebilirlik/kullanılabilirlik operasyonlarını,
Aktif –Pasif ve Aktif – Aktif topolojilerde destekleyebilmelidir.
2.4.
Teklif edilen çözüm, internet protokolleri için vekillik (proxy), içeriği
önbellekleme (cache), içerik filtreleme, anti-malware ve SSL trafiğinin incelenmesi
için gerekli kabiliyeti sağlayacaktır.
2.5.
Çözümle birlikte gerekli olan donanım ve yazılım altyapısı, gereksinimleri
tam olarak karşılayacak şekilde tekliflendirilmelidir.
2.6.
Teklif edilen çözüm, proxy, cache, içerik filtreleme, anti-malware ve SSL
trafiği incelemesi fonksiyonları tek bir yönetim arabirimi üzerinden sağlamalıdır.
2.7.
Teklif edilen çözüm tek bir cihaz ile, ağ üzerinde bulunan 6000 adet
kullanıcıya hizmet sağlayabilir kapasitede olacaktır. Cihazın desteklediği %70 işlemci
utilizasyonu ile Transaction Per Second(TPS) değeri, secure web gateway, ICAP ve
SSL çözme özellikleri açık iken en az 1350 TPS olacaktır. Teklif verecek olan
yüklenici, bu değeri karşılaması gereken tüm donanım ve bileşenlerini verecektir.
Test ve kabul işlemleri sırasında bu değerleri gösterebilecektir. Kabul işlemleri
sırasında, teklif edilen çözüm bu değerleri sağlamıyor ise, YÜKLENİCİ, bu değeri
saylayacak tüm donanım ve bileşenleri ücretsiz olarak kuruma teslim edecektir.
2.8.
Çözüm, anlık minimum 700 kullanıcı lisansı ile teklif edilecektir.
2.9.
Toplam kullanıcı sayısının ürünün lisanslı kullanıcı sayısını geçmesi
durumunda ürün hizmet vermeye devam etmelidir. Tüm işlevleri açısından herhangi
bir kesinti yaşanmayacaktır.
2.10. Çözüm DLP ya da Anti-Malware çözümleri ile ICAP protokolü üzerinden
haberleşebilecektir.
2.11.
Çözüm 64 bit mimari tabanlı olacaktır.
2.12. Teklif edilen çözüm SSL trafiğinin çözülmesi için ortak işlemci gücü
kullanmadan, kendi üzerinde özel donanım kartlarına sahip olacak ve SSL trafiğinin
çözülmesi işlemini bu kartlar vasıtası ile yapacaktır. Teklif edilen çözüm, ortak
Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü
1/6
işlemci gücü kullanıyor ise, SSL trafiğinin çözülmesi için kaybedilen performans
değerini karşılayacak kadar gereken cihaz, ihale kapsamında verilen teklife dahil
edilecektir.
2.13. Teklif edilen çözüm, bilinen web tarayıcılarını (Firefox, Chrome, Internet
Explorer) destekleyecektir.
2.14. Teklif edilen çözüm, explicit ya da transparent proxy (WCCP ve Transparent
Inline) yapılandırılmalarını destekleyecektir. Transparent yapılandırma istenildiğinde
WCCP ya da 3.parti bir yük dengeleme sistemine ihtiyaç duymayacaktır. Eğer teklif
edilen çözüm, WCCP yada 3. parti bir yük dengeleme sistemine ihtiyaç duyuyor ise,
bu işlemi yapacak cihaz teklife eklenecektir.
2.15.
Teklif edilen çözüm, IPV4 ve IPV6 desteğine sahip olacaktır.
2.16. Teklif edilen çözüm, üretilen http/https ve ftp erişim loglarını, gerektiğinde
birden fazla hedefe gönderebilme kabiliyetine sahip olacaktır.
2.17.
Bağlantı sonrasında üretilen loglara ait bilgi sunulmalıdır.
2.18.
Teklif edilen çözüm, aktif ve pasif FTP bağlantılarını desteklemelidir.
2.19. Teklif edilen çözüm, HTTP CONNECT methodunu destekleyecek şekilde
TCP portlarının tanımlanmasına olanak sağlamalıdır.
2.20. Teklif edilen çözüm, HTTP, HTTPS ve FTP portlarının tanımlanabilmesine
olanak sağlamalıdır.
2.21. Teklif edilen çözüm, aşağıda belirtilen kimlik doğrulama yöntemlerini
destekleyecektir.
•
Windows NTLM (Active Directory)
•
LDAP
•
Yerel / Lokal Kullanıcı Veri Tabanı.
•
RADIUS
•
Digital Certificates (X509)
•
Misafir (Guest) Kimlik Doğrulama
2.22. Teklif edilen çözüm, transparan kimlik doğrulamayı destekleyecektir.
Örneğin; kullanıcıları tanımak için tarayıcılarını her açışlarında kullanıcı adı ve şifre
bilgilerini girmesini istemeyecektir.
2.23. Teklif edilen çözüm, istendiğinde kurumun etki alanı(domain)nda bulunmayan
kullanıcılara, bir web sayfası ya da pop-up ekranı çıkararak kullanıcı adı ve şifre
bilgilerini sorabilmelidir.
2.24.
Teklif edilen çözüm, SOCKS protokolünü destekleyecektir.
2.25. Teklif edilen çözüm, SSL Trafiğini “Man-in-The-Middle” yöntemi
karakterlerini izleyerek yakalayabilmeli, ayrıca self-signed ya da güvenli sertifika
sağlayıcılarının üretmiş oldukları sertifikaları sistemine eklenmesine izin vermelidir.
2.26. Teklif edilen çözüm desteklediği SSL V2, V3 ve TLS v1.0, v.1.1 ve v1.2
desteğine sahip olmalıdır. Bu versiyonlar ihtiyaç olması halinde aktif ya da inaktif
hale getirilebilmelidir.
2/6
2.27. Teklif edilen çözüm, Güvenilir Sertifika Otoritesi bilgilerini (Trusted CA)
otomatik olarak güncelleyebilmelidir. Bunun için ek bir işlem yapmaya gerek
olmamalıdır.
2.28. Teklif edilen çözüm, istendiğinde güvenilir olmayan ya da kullanım tarihi
geçmiş HTTPS adreslerine yapılacak olan bağlantıları engelleyebilecektir. Ayrıca
yeni Certificate Authority bilgileri web arabiriminden güncellenebilecektir.
2.29. Teklif edilen çözüm, farklı web kategorileri ve web uygulamalarına QoS
(Quality of Service) minumum ve maksimum bant genişliği ayırma işlemi ve trafik
önceliklendirmelerini aşağıdaki kriterlere göre yapabilecektir.
• Hedef ve Kaynak IP Adresi
• URL ya da Site Kategorisi
• Kimlik Doğrulaması yapılmış kullanıcı
2.30. Teklif edilen çözüm, RTMP(Real-Time Messaging Protocol), RTSP(RealTime Streaming Protocol), HDS(HTTP Dynamic Streaming), HLS(HTTP Live
Streaming) ve Microsoft Smooth Streaming (Silverlight) protokollerini ve Windows
Media, Adobe Flash, Real Player, Quick Time, Live Video Splitting, Cache Video on
Demand özelliklerini desteklemelidir. Bu özellik desteklenemiyor ise, bu
cache’lemeyi yapacak cihaz teklife dahil edilmelidir.
2.31. Teklif edilen çözüm, kurum lokasyonunda, genel erişim ortamında ya da
popüler internet sitelerinde bulunan video içeriklerini ön bellek (Cache) kontrol
yöntemleri ile obje/nesne ön bellekleme özelliğine sahip olmalıdır. Bu özellik aynı
çözüm üzerinde sunulamıyorsa, gerekli çözüm ürün ile birlikte teklif edilmelidir.
2.32. Teklif edilen çözüm, önceden kurulmuş video akış/yayınlarını (splitstreaming) tekrar kullandırarak, bant genişliği kullanımında tasarruf ve daha iyi
kullanım olanağı sağlamalıdır.
2.33. Teklif edilen çözüm, önbellek içeriğini kısmen ya da tamamen web arabirimi
ya da komut arabirimi ile temizlemeye imkan sağlamalıdır.
2.34. Teklif edilen çözüm, sunucu-istemci ve istemci-sunucu arasındaki
iletişimlerdeki HTTP başlıklarına (headers) ekleme ya da çıkarma yapma olanağı
sağlayabilmelidir. Bu sayede kullanıcıların internette sadece belirli adreslere veri
göndermesi(Post) sağlanabilmeli, tarayıcıların belirli versiyonlarını hedef alan
güvenlik açıklarına karşı kullanıcılar, internete çıkarken güncel bir tarayıcı
versiyonuyla çıkıyormuş gibi tarayıcı bilgileri değiştirilebilmelidir.
2.35. Teklif edilen çözüm web istemcileri ya da tarayıcıların versiyon bilgi ve
modeline göre (user-agent) engelleme ve yetkilendirme kuralı oluşturabilmelidir.
2.36. Teklif edilen çözüm, önbellek kullanımını efektif bir şekilde artırabilmek için
önbellek kurallarını üreticinin bulut ortamından otomatik olarak alacak ve
güncelleyebilecektir.
2.37. Teklif edilen çözüm, üreticiden periyodik ve otomatik bir şekilde URL tabanlı
güncellemeler alabilecektir.
2.38. Teklif edilen çözüm, URL tabanlı ön-tanımlı kategori bilgisine sahip
olmalıdır.
3/6
2.39. Teklif edilen çözüm, HTTP ve HTTPS trafiği için yerel tabanlı
kategorilendirebilmeye izin verecektir. Ayrıca en az “Sosyal Ağ”, “ Video Siteleri” , “
Audio Siteleri” , “Dosya İndirme” , “Webmail” , “Haberler”, “ Ip Telefon”, “P2P” ,
“Pornografi”, “ Sex Education”, “ Hükümet ve Resmi Siteler” , “Bankacılık” , “AlışVeriş”, “İçerik Sunucuları”, “Oyun Siteleri”, “Online Arkadaşlık”, “Sağlık” ve “
Uyuşturucu” kategorilerine sahip olacaktır.
2.40. Teklif edilen çözüm, bilgi güvenliğine özel kategorilere sahip olacaktır.
“Spam”, “Phising”, “Malware” “ Şüpheli İçerik” ve “Command and Control
Networks” kategorilerine erişimi etkin bir şekilde engelleyebilecek yapıya sahip
olacaktır.
2.41. Teklif edilen çözüm, gerçek zamanlı olarak bilinmeyen ya da yeni internet
sitelerini otomatik bir şekilde kategorilendirebilecektir.
2.42.
Teklif edilen çözüm, bir web sitesi için çoklu kategori atayabilmelidir.
2.43. Teklif edilen çözüm, gerçek zamanlı kategorilendirilmemiş ya da yerel veri
tabanında bulunmayan sitelerin kategorilendirilebilmesi için ürün yöneticisine,
dilediği siteyi elle / manuel kategorilendirebilme özelliği sunabilmelidir.
2.44. Teklif edilen çözüm, elle kategori tanımlamasına, herhangi bir web sitesi, ip
adresi, subnet ya da domain için tanımlamaya olanak sağlayabilmelidir.
2.45. Teklif edilen çözüm, "Facebook", "Twitter", "Gmail", "MS-Outlook",
"Dropbox", "Google Drive" ,"Youtube", “Box.com”, “Google Docs” , “Google
Reader” ,” PasteBin”, “Office 365 SharePoint” “Goto Meeting” gibi Web 2.0
uygulamalarını tanıyabilecek ve “Email Gönderimi” ,“ Eklenti Gönderimi” ,”Video
Yükleme” , “Mesaj Gönderme” gibi uygulamalara yönelik operasyonları
yönetebilmelidir.
2.46. Teklif edilen çözüm, Youtube videoları için spesifik kategorilere sahip
olmalıdır. Youtube videosu içeriğine göre sınıflandırma yapıp ilgili Youtube
kategorisine atayabilmelidir.
2.47. Teklif edilen çözüm, “mp3”, “wmv”, “avi”, “exe”, “iso” gibi dosya
uzantılarına(MIME) filtre uygulayabilmeli ayrıca yeni dosya uzantılarının
tanımlanmasına olanak sağlamalıdır.
2.48. Teklif edilen çözüm, dosya tiplerinin dosya uzantısı değiştirilse bile
tanıyabilmeli ve söz konusu dosyaları engelleyebilmelidir.
2.49. Teklif edilen çözüm, şifreli SSL trafiğini her iki yönde de (inbond / Outbound)
filtreleyebilecektir. Bu trafiğe, şifrelenmemiş trafiğe uygulanan aynı politika kuralları
uygulanabilecektir.
2.50. Teklif edilen çözüm, filtreleme kuralları, domain kullanıcıları, grupları,
domain, kategoriler, anahtar kelimeler, düzenli ifadeler (regular expression), günün
zamanı, haftanın günü, hedef ve kaynak ip adresine göre özelleştirmeyi
desteklemelidir.
2.51. Teklif edilen çözüm, HTTP header tanıma ve yeniden düzenleyebilme
özelliğine sahip olacaktır.
2.52. Teklif edilen
destekleyecektir,
•
çözüm,
sistem
kurallara
göre
aşağıdaki
özellikleri
Tamamen erişime izin verebilecek.
4/6
•
Kullanıcıyı kullanım politikaları hakkında bilgilendirip, kullanıcıya buna göre
oturumuna devam etme ya da sonlandırmaya olanağı sağlayacak.
•
Koşulsuz olarak erişimi engelleyebilecek.
2.53. Teklif edilen çözüm, erişimin engellenmesi durumunda kullanıcıların karşısına
neden engellendiğini açıklayan erişim engelleme sayfaları yayınlayabilecektir. Erişim
sayfaları düzenlenebilecek ve birden fazla tanımlanabilecektir.
2.54. Çözüm mobil istemcilere (notebook vb) yüklenebilecek bir uygulamaya sahip
olmalıdır. Bu uygulama için gerekli olan lisanslar -ihale kapsamında teklif edilen
kullanıcı adedi kadar- teklife eklenmelidir.
2.55. Mobil istemci uygulaması Windows 7/8 ve Mac işletim sistemlerini
desteklemelidir.
2.56. Mobil istemci uygulamasına ait loglar kurum içinde bulunan raporlama
sunucusuna gönderilebilmelidir.
2.57. Çözüme ait raporlama uygulaması aynı üreticiye ait birden fazla log kaynağını
tek bir veritabanında saklayabilmelidir.
2.58. Raporlama uygulaması rol tabanlı erişim politikaları tanımlamalarına imkan
sağlamalı, Active Directory / LDAP entegrasyonuna sahip olmalıdır.
2.59. Raporlama uygulaması kolay çıktılar oluşturmaya imkan sağlayabilecek
raporlama şablonlarına sahip olmalı ve bu şablonlar istenildiği zaman
özelleştirilebilmelidir. Kullanıcı internet aktivitelerini uygulama kullanımı, arama
motorları anahtar kelimeleri, video kullanımı, bant genişliği tüketimi, trafik profilleri,
zararlı internet trafiğine ait detaylı bilgiler, AD kullanıcı adı ve grupları bazında rapor
şablonlarına sahip olmalıdır.
2.60. Raporlarda kullanıcıların sayfa görüntüleme ve tarayıcı zaman bilgileri
(browse time) ayrı ayrı görüntülenmelidir.
2.61.
Raporlama çıktılarında istenilen alanlar gizlenebilmelidir.
2.62.
Raporlama yöneticisine ait audit logları izlenebilmeli, raporlanabilmelidir.
2.63. Raporlama ürünü 3. Parti çözümlerle HTTP/XML, PDF ve CSV formatlarını
destekleyecek şekilde API entegrasyonuna olanak sağlamalıdır.
2.64. Raporlar belirtilen zamanlarda otomatik olarak istenilen kişilere mail yoluyla
PDF ya da CSV olarak gönderilebilmeli ayrıca üretilen raporların sunucu üzerinde
otomatik saklanmasına olanak sağlanmalıdır.
Anti Malware / İçerik Tarama ve Zero-Day Atak Önleme Özellikleri:
2.65. Çözüm üzerinden geçen tüm içeriğin antivirus taramasını yapmalıdır. Tüm
içerik kategori ya da itibar bazlı ön tarama kararına uğramaksızın taranmalıdır.
2.66. Dosyalar antivirus taramasından önce “iyibilinen” ya da “kötübilinen” tablosu
üzerinden kontrol edilmeli, şayet bu tabloda yer alan bir durum varsa hızlıca karar
verip antivirus taramasına tabi tutmadan kullanıcıya içeriği engellemeli ya da izin
vermelidir.
5/6
2.67. Dosyalar “iyibilinen” ya da “kötübilinen” tablosunda yer almıyor ise antivirus
taramasına tabi tutulmalıdır.
2.68. Antivirus motoru ve imza güncellemeleri ve “iyibilinen” ve “kötübilinen”
tablo güncellemeleri otomatik yapılmalıdır.
2.69.
Tarama sonuçlarına göre engelleme yapılabilmelidir.
2.70.
Tarama sonuçları raporlarda gösterilebilmelidir.
2.71. Antivirus taraması sonucunda herhangi bir bulguya rastlanılmaz ise bu dosya
otomatik olarak kurum bünyesinde bulunan Zero-Day atak önleme/Sandbox
çözümüne gönderilebilmelidir. Bu nedenle çözüm teklif edilecek Zero-Day atak
önleme/Sandbox ürünü ile entegre olması gerekmektedir.
2.72. Önerilecek ürün kendisine yönlendirilen şüpheli dosyaların analizini
gerçekleştirip, imza tabanlı geleneksel güvenlik çözümlerinin yakalayamadığı
dosyaların zararlı davranışlarını tespit edebilmelidir.
2.73. Çözüm tüm inceleme ve analiz işlemlerini özelleştirilmiş donanım üzerinde
yapacaktır. Dosyalar analiz amacıyla kurum dışına yönlendirilmemelidir.
2.74. Ürün, öneride bulunacak üreticinin web güvenliği/içerik analiz sistemi ile
entegre çalışmalıdır.
2.75.
Zararlı içeriğin dosyası ya da barındığı URL, ürün ile analiz edilebilmelidir.
2.76. Analiz ve tespit platformları sandbox/emulator ve sanal işletim sistemi
platformlarına sahip olmalıdır. Sanal işletim sistemi platformu ile kurum bünyesinde
kullanılan windows istemci imajlarında tehdit analizi ve zararlı tespiti
yapılabilmelidir.
2.77. Ürün, sahip olduğu sanal işletim sistemlerinin, üreticiden herhangi bir
profesyonel hizmet satın alınmadan kolaylıkla özelleştirilebilmesine olanak
sağlamalıdır. Kurum, aşağıda belirtilen sanal platformları istediği gibi
düzenleyebilmeli,
uygulama
yükleyip,
işletim
sistemi
parametrelerini
ayarlayabilmelidir. Bununla, kurumun kendi ortamına en yakın senaryoda zararlı
yazılım analizi yapılması amaçlanmaktadır.
2.78. Ürün üzerinde yer alan sanal platformların Windows 7/8 32/64 bit ve Android
işletim sistemi desteği bulunmalıdır.
2.79. Ürün üzerinde yer alan sanal işletim sistemi platformlarda kullanılabilecek
eklentiler sayesinde zararlı yazılımın interaktif davranışlarına yanıt verebilmelidir.
Zararlı yazılım sistem üzerine bir uygulama kurmaya çalıştığında buna izin verip
davranışını daha detaylı bir şekilde analiz edilmesine olanak sağlamalıdır.
2.80.
Üretilen zararlı yazılım sonuçları, risk değerlerine göre belirtelebilmelidir.
2.81.
Ürün üzerinde tespit edilen davranışlara ait risk değerleri değiştirilebilmelidir.
2.82.
Ürünün RAPI(Remote API) desteği bulunmalıdır.
2.83. Ürün sonuçları
gönderilebilmelidir.
2.84.
ile
ilgili
bilgilendirmeler
syslog
çıktısı
olarak
Ürün, günlük 12000 örnek analiz edebilecek kapasiteye sahip olmalıdır.
6/6
D) AĞ TABANLI SALDIRI TESPİT VE ÖNLEME SİSTEMİ(NETWORK IPS)
1. KONU
1.1.
Bu teknik şartname 1(bir) adet Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network
IPS)nin minimum teknik gereksinimlerini kapsamaktadır.
2. NETWORK IPS TEKNİK ÖZELLİKLERİ
2.1. Sistem üzerinde saldırı tespit ve engelleme amaçlı olarak şu port dağılımlarını
desteklemelidir:
• En az 8 adet 1 Gbps hızında bakır ara yüz hazır gelmelidir. Bu hazır portlar Fail-Open
özelliğine sahip olmalıdır.
• En az 2 adet network I/O modül kullanılabilmelidir. Bu modüllere en az aşağıdaki
konfigurasyonlarda port tipleri sağlanabilmelidir.
8 Port SFP+/SFP 1GbE/10 GbE
6 Port RJ45 1GbE
4-port 10 GigE/1 GigE LR Optical with fail open
• Teklif edilecek sistem üzerinde en az 8 adet 10 Gbps SR(MM) portlar önerilmelidir.
2.2. En az 1 adet 100/1000/10000 RJ45 yönetim portu, 1 adet response port , 1 adet konsol portu
ve 1 adet RJ45 AUX port olmalıdır
2.3. Sistemin performansı (throughput) en az 3 Gbps ve eş zamanlı oturum sayısı en az 5.000.000
olacaktır. Atak anında cihazın ağ üzerindeki bekletme süresi en fazla 100 mikro saniye olacaktır.
2.4. Sistem, donanım ve yazılım bütününden oluşacaktır. Donanım bileşeni saldırıları
engelleyecek IPS modülü, yazılım bileşeni de bu modülün yönetiminden teşkil olacaktır.
Sunulacak çözüm UTM veya yeni nesil firewall modülü şeklinde olmayacaktır.
2.5. Sistem, katman iki (layer 2) seviyesinde çalışacaktır. Ağ üzerinde sistemin varlığı atak yapan
tarafından herhangi bir şekilde algılanamayacaktır. Monitor portları hiç bir şekilde IP adresi
içermeyecektir.
2.6. Sistem üzerinde trafiği dinleyen fiziksel port bazında, VLAN ID ya da IP aralığı bazında ayrı
ayrı politikalar uygulanabilecektir.
2.7. Önerilen port tiplerine uygun olarak Fail-Open kitler önerilecektir. Fail-Open kitler olası
arıza, güç kesintisi ve cihazın kapasitesinin üzerinde trafik oluşması durumunda devreye
girecektir.
2.8. Atak önleme sistemi Inline, Span ve Tap modlarında çalışabilmelidir.
2.9. Önerilen donanım yedekli güç ünitesi içermelidir.
Bilişim Güvenliği Projesi-Network IPS
1/5
2.10. İstenilmesi
desteklemelidir.
durumunda
aktif-aktif
ve
aktif-pasif
yedekli
çalışma
tekniklerini
2.11. İmza, anomali, istatiksel tespit ve DoS/DDoS tekniklerini bir arada kullanarak atak tespiti
ve önleme yapacaktır.
2.12. Yeni çıkan
indirilebilecektir.
atak
imzaları
İnternet
üzerinden
otomatik
veya
manuel
olarak
2.13. Cihazın, üzerinden geçen trafiğin durum kontrolü için kullanacağı yöntemlerden en az
aşağıda sıralanan yöntemleri içerecektir:
• IP Defragmantation ve TCP Stream Reassambly
• Anomaly Detection
• Signature-based Detection (üretici temelli, el ile imza ve snort imzaları)
• Reputation-Based Detection
• Heuristic Bot Detection
• Multi-Attack Correlation
• Layer 7 Protocol Detection
• Advanced Evasion Protection
• Protocol Normalization
2.14. Brute force, Host sweep, Finger printing, Port scan, Service sweep gibi atak öncesi tespit
ve ele geçirme tekniklerine karşı özel kural setleri içermelidir. Bu koruma tekniklerinin tespit
istatistikleri ayarlanabilir yapıda olmalıdır. Örneğin aynı kaynaktan 5 sn de 10 farklı şifre
denemesi yapılması durumunda ilgili saldırgan belirlenen süre boyunca karantinaya
alınabilmelidir.
2.15.
El ile özelliştirilmiş keşif atakları yazılmaya uygun alt yapı sağlanmalıdır.
2.16. DNS flood ve DNS poisining tekniklerine karşı imza yöntemleri dışında özel koruma
mekanizmaları içermelidir.
2.17. Interface seviyesinde antispoof ayarı yapılabilmelidir. Özellikle DoS/DdoS ataklarında
kullanılan Ip spoof mekanizmaları tespit edilebilmelidir.
2.18. SYN ataklarına karşı istatistiksel yöntemler dışında SYN Cookie ve SYN Proxy
metotlarını kullanabilmelidir.
2.19. Vlan, Double Vlan, MPL , Fragmanted ve Unfragmented trafik örneklerinde Jumbo
Frame desteklenmeli ve atak tespiti yapabilmelidir.
2.20. IPv6, V4-in-V4, V4-in-V6, V6-in-V4, V6-in-V6 tunnel, MPLS, GRE, Q-in-Q Double
VLAN desteği olmalı ve bu tunel tekniklerinde atak tespiti yapabilmelidir.
2.21. OS fingerprinting özelliği ile IPS üzerinde oluşan olaylara ait source ve destination lar
için OS tespiti yapılabilmeli ve olay ekranlarında bunlar sorgulanabilmelidir.
2.22. Exploit teknikleri arasında en az aşağıdaki tiplerde saldırı koruma tekniklerine sahip
olmalıdır.
2/5
•
Protocol Violation
•
Buffer Overflow
•
Shellcode Execution
•
Remote Access
•
Privileged Access
•
Probe
•
DoS
•
Evasion Attempt
•
Arbitrary Command Execution
•
Code/Script Execution
•
Bot
•
Trojan
•
DDoS Agent Activity
•
Backdoor
•
Worm
•
Virus
•
Read Exposure
•
Write ExposureAudit
•
Sensitive Content
•
Phishing
•
Potentially Unwanted Program
2.23. Önerilen IPS sistemi davranışsal malware tespit motoruna sahip olmalıdır. Şüpheli
dosyaları özet bilgileri çıkarılabilmeli ve bu özet bilgilerin üreticinin bulut sistemine sorulmasına
mütakip gerekli tespit ve aksiyonlar alınabilmelidir. Bu özellikler port temelinde uygulanabilir
olmalıdır.
2.24. Connection limit kuralları reputation servis ve geo-location parametreleri ile
desteklenebilmelidir. Örneğin X ülkesinde ilgili hedef IPye saniyede 100 bağlantı açılabilir ve bu
açılan IPler yüksek risk içermemelidir denebilmelidir. Özellikle DoS atakları açısıdan bu tip
kombinasyonlar kullanılabilir olmalıdır. Aksiyon olarak Drop ve Deny dışında karantina
uygulanabilir olmalıdır.
2.25. Önerilen IPS sistemi Vmware host ve interconnect wmvare trafikleri arasında atakları
tespit edebilmeli, Vshield entegrasyonu sayesinde atakları karantinaya alabilmelidir.
2.26. Önerilen IPS sistemi L7 firewall özelliğine sahip olmalıdır. 1000in üzerinde uygulama bu
yolla denetlenebilir olmalıdır. Bu yolla ilgili iç kaynakların internet eişiminde kullandıkları
uygulamalar tespit edilebilmeli ve bloklanabilmelidir. IPS dashboardları hangi uygulamaların ne
3/5
miktarda trafik oluşturduğunu gösterebilmelidir. Firewall kurallarının çalışabileceği zamanlar
ayarlanabilmelidir.
2.27. IPS sistemi davranışsal web application server koruma özelliğine sahip olmalıdır. Bu
sayede özellikle HTTP ve HTTPS trafikleri içerisinde gerçekleşen SQL Injection atak tipleri
tespit edip engellenebilmelidir.
2.28. Advanced Botnet detection özelliği ile oluşan olaylar kendi içerisinde korele edilerek
CCC ve Zombi sistemlerin tespiti mümkün olmalıdır. Tespit ve raporlama için gerekli hassasiyet
ayarı yapılabilmelidir.
2.29. Atak imzaları ile ilgili olarak CVE, Bugtrack, CERT gibi endüstri standartları
listelenebilir olmalıdır.
2.30. Atak imzaları ile ilgili politikalar oluşturulurken atak imzaları kategorize edilmiş
olmalıdır. Örneğin sadece P2P imzaları, malwareler, phising ile ilgili ataklar kolayca listelenebilir
olmalı. Ayrıca sadece özel bir kelime aranabilir olmalıdır. El ile özel filtreler yazmaya imkan
tanımalıdır. (Örnegin son 2 imza guncellemesi arasındaki farklar nelerdir seklinde.)
2.31. Gelen imzalarla birlikte üreticinin önerdiği imza tipleri gerekirse otomatik aktif ve blok
şeklinde kullanılabilmelidir.
2.32.
Atak önem seviyeleri el ile değiştirilebilir yapıda olmalıdır.
2.33. IPS cihazının CPU, Throughput, Interface Throughput, Trafik flowları gibi performans
değerleri görsel ve grafiksel olarak izlenebilir olmalıdır.
2.34. Belli trafik örnekleri için atak imzalarında ayrıştırma yapılabilir olmalıdır veya belli trafik
örnekleri için tamamen IPS denetiminden çıkarılma mümkün olmalıdır.
2.35. Bulk edit yöntemi ile birden fazla atak imzasının aynı anda değiştirilmesine imkan
tanımalıdır.
2.36. Oluşan olaylar gerçek zamanlı olarak izlenebilmeli, oluşan bir olay istenilmesi
durumunda bloklanabilmeli yada belirlenen bir süre ile karantinaya alınabilmelidir. Karantinaya
alınan hostlar ayrıca izlenebilmeli, karantina sureleri uzatılabilmeli veya serbest
bırakılabilmelidir.
2.37. Merkezi yönetim yazılımı aynı üreticinin zaafiyet tespit, Host IPS, risk tespit sistemi ile
entegre olabilmeli bu yolla ortak aksiyonlar alabilmelidir. Örneğin IPS admin oluşan olaylar
üzerinden belli bir IP sahibini otomatik zaafiyet tarama testinden geçirebilmeli ve sonuçları yine
aynı ekrandan görebilmelidir. Son kullanıcılarda çalışan HIPS modulu ile ise korelasyon imkanı
sağlanmalı ve forensic araştırmalar yapılabilmelidir
2.38. Kritik sistem sorunları durumunda otomatik uyarı oluşturulabilmelidir (snmp, syslog, email)
2.39. Merkezi yönetim yazılımı veritabanı otomatik bakım prosedurlerini içermeli, otomatik
arsivleme ve yedeklemeyi desteklemelidir.
2.40. Oluşan olaylar bir IPS admin tarafından farklı adminlere incelenmesi adına
atanabilmelidir.
2.41. Gerektiği durumda cihaz tamamen Layer2 moda çekilip trafik denetleme dışında
tutulabilmelidir.
4/5
2.42. Merkezi yönetim sistemi üzerinde her bir IPS yöneticisinin ne yaptıgı audit loglar
üzerinden detaylı incelenebilmelidir.
2.43.
Sensor firmwareleri TFTP yoluyla veya merkezi GUI tarafından güncellenebilir olmalıdır.
2.44. Önerilen IPS sistemi aynı üreticinin zaafiyet tespit sistemi ,host IPS ve malware forensic
sistemi ile entegre çalışabilir mimaride olmalıdır.
5/5
E) SİBER TEHDİT TEST ve ANALİZ YAZILIMI
1.
KONU
Bu teknik şartname, kurumumuz dış katman güvenlik sisteminin siber tehditlere karşı sürekli
olarak test edilip analiz edilmesi amacıyla alınması planlanan “Siber Tehdit Test ve Analiz
Yazılımı”nın teknik özelliklerini kapsamaktadır.
2.
TEKNİK ÖZELLİKLER
Teklif edilen ürün, kurum BT(Bilgi Teknolojileri) altyapısının siber tehditlere ne kadar hazır
olduğunu ve kurumda kullanılan ağ güvenlik sistemlerinin ne kadar etkin koruma sağladığını
periyodik ve otomatik olarak test edilebilmesi ve raporlanabilmesi için en az aşağıdaki teknik
özellikleri sağlayan bir yazılım çözümü olmalıdır.
2.1.
Ürün, Kurumun siber tehditlere hazırlığı, internet ve kurum farklı ağları arasında koruma
sağlayan ağ güvenliği sistemlerinin güvenlik başarımı siber saldırı simülasyonları
gerçekleştirilerek test etmelidir.
2.2.
Ürün, kurum sistemlerine, bilinen güvenlik zafiyeti bulunan uygulamalar veya sistemler
kurmadan ön tanımlı siber saldırıları gerçekleştirebilmelidir.
2.3.
Ürün, belirli bir güvenlik ürün üreticisine bağlı olmaksızın, tek başına çalışan veya diğer
ağ güvenlik sistemleriyle entegre çalışan güvenlik sistemlerini analiz edebilmelidir.
2.4.
Ürün, siber saldırıları en az iki farklı sistemde çalışan yazılım bileşenleri arasında
gerçekleştirmelidir. Bileşenlerin her biri kurum ağındaki farklı mantıksal ağlara veya internete
konumlandırılabilmelidir.
2.5.
Ürün, kurum web sunucuları için özelleşmiş güvenlik politikalarını ayrıca test
edebilmelidir. Bu amaçla ürün, kurum web sunucularına herhangi bir yazılım bileşeni kurmadan
saldırı senaryolarını gerçekleştirerek, ağ veya kurum web sunucusu üzerinde çalışan güvenlik
cihazlarının bu saldırıları engelleme başarımını ölçebilmelidir.
2.6.
Testler web
raporlanabilmelidir.
tabanlı
merkezi
yönetim
bileşeni
üzerinden
yönetilebilmeli
ve
2.7.
Testlerin icrası ve raporlama için erişilecek yönetim arabiriminde en az kullanıcı kimlik
denetimi yapılmalı ve iletişim trafiği şifreli olmalıdır.
2.8.
Ürün bileşenleri arasında gerçekleştirilen siber saldırılar, Ağ Adres Çevrimi (Network
Address Translation) yapılan ağlar arasında da gerçekleştirilebilmelidir.
2.9.
Ürünle yapılan saldırılar, durumsal denetim (stateful inspection) yapan güvenlik cihazları
tarafından, durumsal olmadığı için, engellenmemelidir.
2.10. Ürün siber saldırıları gerçekleştirirken, saldırının tek bağlantı (connection) içermesi
durumunda her bir saldırı için farklı bağlantı veya saldırının birden fazla bağlantı içermesi
durumunda farklı bağlantılar açmalıdır. Tüm saldırılar tek bir bağlantı üzerinden
gerçekleştirilmemelidir.
Bilişim Güvenliği Projesi-Siber Tehdit Test ve Analiz Yazılımı
1/2
2.11. Ürün, siber saldırıları gerçekleştirirken güvenlik cihazları tarafından kara listeye alınma
durumunu tespit edebilmelidir. Ürün, kara liste durumunu tespit ettikten sonra kalan atakları
gerçekleştirmeden her bir atak için bu durumu raporlayarak, taramayı sonlandırmalıdır.
2.12. Ürün, siber saldırılarını gerçekleştirirken güvenlik cihazları tarafından paket düşürülerek,
reset paketi gönderilerek ve paket içeriği değiştirilerek engellenen saldırıları tespit edebilmeli ve
bu atakların engellendiği bilgisini raporlayabilmelidir.
2.13. Ürün, siber saldırılarını gerçekleştirirken, bir saldırı trafiğinin kesintiye uğramadan
tamamlanması durumunda bu saldırının engellenmediğini raporlamalıdır.
2.14. Ürün üzerinde en az Zararlı Yazılım, Zafiyet Sömürme ve Web Uygulama Atakları tehdit
kategorilerinde yer alan saldırı imzaları bulunmalıdır.
2.15. Ürününün web arabiriminden, kurumda bulunan ürün ve teknolojilere göre atak grupları
özelleştirilebilmeli ve ataklar bu özelleşmiş gruplar üzerinden yapılabilmelidir. Üründe, atak
gruplarının çalışma sıklığı tanımlanarak, testler otomatik olarak gerçekleştirilebilmelidir.
2.16. Ürün atak veri tabanında en az 900 (dokuzyüz) farklı atak imzası yer almalıdır. Ürüne
dışarıdan uygun PCAP formatında atak imzası da eklenebilmelidir.
2.17. Ürün raporları engellenen, engellenmeyen ve başarısız atakları istatistik olarak göstermeli
ve her bir atakla ilgili olarak en az atak ismi, kategorisi, kritikliği, kullandığı portu, atağın
sonucu, referansı ve atağın kısa açıklamasını içermelidir.
2.18. Test edilen her bir Zafiyet Sömürme ve Web Uygulama atağına karşı alınabilecek
önlemlerin anlaşılabilmesi için, ürün raporlama ekranlarında ilgili atağı engelleyecek Snort veya
ModSecurity imza örnekleri bulunmalıdır.
2.19. Ürünün tüm bileşenleri, CentOS Linux 64bit tabanlı işletim sistemleri üzerinde
çalışabilmelidir.
2.20.
Üründe, raporlar PDF ve CSV formatında dışarıya aktarılabilmelidir.
2.21. Ürün, kurum ağ güvenliği sistemlerinin başarımı haftalık olarak PDF formatında
raporlayabilmelidir. Raporlarda en az güvenlik başarımdaki değişim, önceki haftaya göre
engellenen ve engellenmeyen ataklardaki değişim, yeni eklenen atakların sonuçları ve son
yapılan güvenlik testinin sonuçları kısımlarını içermelidir. Kurum güvenlik yöneticisi testleri
çalıştırdığı web arabiriminden bu raporları otomatik olarak üretebilmelidir.
2.22. Ürünün, Vmware ESX ve Microsoft HyperV sanallaştırma ortamlarına kolay kurulumu
için hazır bir kurulum imajı bulunmalıdır.
2.23.
Ürün, lisans süresi boyunca kurum altyapısında sürekli çalışacak şekilde lisanslanmalıdır.
2.24. Ürün, 3 (üç) adet saldırı simülasyon bileşeni, 3 (üç) adet web sunucusunu test edebilme
yeteneği ve 1 (bir) adet yönetim bileşeni olarak teklif edilmelidir.
2.25. Ürün, 3 (üç) yıl boyunca kurumun talebine göre bulut tabanlı veya kurum ağına kurulacak
yönetim bileşenine erişim yanında ürünün ve saldırı imza veri tabanının en güncel versiyonu
kullanımını içerecek şekilde teklif edilmelidir.
Bilişim Güvenliği Projesi-Siber Tehdit Test ve Analiz Yazılımı
2/2

TEKNİK ŞARTNAME

Transkript

Benzer belgeler

Schatenstrasse aile merkezimiz çocuklar ve ailelere açık bir evdir

Dosya Eki - Darüşşafaka

Teklif mektubu (Veteriner İlaç ve Mal

PİYASA FİYAT ARAŞTIRMASI

2 ADET TRAKTÖR KİRALAMA TEKNİK ŞARTNAMESİ

bġlgġsayarlı radyolojġ (cr) - İzmir Halk Sağlığı Müdürlüğü

SR EK-1 STANDART İLAN FORMU VE BAŞVURU EVRAKLARI