Ata de Registro de Preços para o Sistema "S"

Transcrição

Ata de Registro de Preços
para o Sistema "S"
Ata de Registro de Preços para o Sistema "S"
SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL – SENAC
Departamento Regional do Ceará | Comissão Permanente de Licitação
Concorrência para registro de preços n° 023/2014 | Vigência da Ata: 09/09/14 até 09/09/15
O SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL – SENAC resolveu registrar os preços do fornecedor
vencedor da Ata, a empresa COREIT – DATACENTER, SERVIÇOS GERECIADOS E INFRAESTRUTURA LTDA, situada na
cidade de Fortaleza/CE para atender ao objeto da Ata: contratação de empresa para prestação de serviços especializados de
DATACENTER.
Poderão utilizar-se desta Ata de Registro de Preços, qualquer órgão do Sistema "S" mediante apenas e tão somente prévia
consulta ao SENAC. Na execução dos serviços deverá ser observado o disposto no Edital de Concorrência para Registro de
Preços nº 023/2014 e seus anexos.
Especificação dos serviços
Contratação
de
empresa
para
prestação
de
serviços
especializados de DATA CENTER, no modelo 24h por dia, 7 dias por
semana, 365 dias por ano, por 12 meses, incluindo o conjunto de
hardwares e softwares fornecidos em regime de locação, necessários e
suficientes para a prestação desses serviços.
Abaixo encontram-se especificadas as Soluções/Ferramentas
que estão contempladas na referida Ata de Registro de Preços contendo
suas especificações, destinações, prazo e preços:
COREIT – DATA CENTER, SERVIÇOS GERENCIADOS E INFRAESTRUTURA EM TI LTDA
CNPJ: 12.012.908/0001-02/ INSC. ESTADUAL: 06.527305-2/ INSC. MUNICIPAL: 251714-0
Av. Santos Dumont, 2626 Lojas 19 E 20– Aldeota, Fortaleza/CE.
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 P á g i n a 2 | 21 Ata de Registro de Preços para o Sistema "S"
RECURSOS PARA LINKS
ITEM
RECURSO
LOTE (A)
QTDE (B)
VALOR MENSAL UNIT.
(R$) (C)
VALOR MENSAL TOTAL (R$)
(D) = (B x C)
1
LINK INTERNET
5 Mbps
10
2.117,00
21.170,00
2
LINK DADOS 10 Mbps
10 Mbps
2
977,00
1.954,00
3
LINK DADOS 100 Mbps
100 Mbps
2
7.327,80
14.655,60
4
LINK DADOS 1 Gbps
1 Gbps
1
20.355,00
20.355,00
5
LINK DADOS REDUNDANTE
10 Mbps
2
1.954,10
3.908,20
5
BLOCO CIDR /29 VÁLIDO
1 Bloco
2
162,90
325,80
5
BLOCO CIDR /28 VÁLIDO
1 Bloco
1
325,60
325,60
PREÇO MENSAL TOTAL (E):
R$
62.694,20
PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F):
R$
752.330,40
RECURSOS PARA CLOUD COMPUTING
ITEM
RECURSO
LOTE (A)
QTDE (B)
VALOR MENSAL UNIT.
(R$) (C)
VALOR MENSAL TOTAL
(R$) (D) = (B x C)
01 GB
384
132,90
51.033,60
01 vCPU
128
132,90
17.011,20
1
MEMÓRIA RAM
2
PROCESSADOR VIRTUAL
3
STORAGE RÁPIDO
50 GB
200
92,40
18.480,00
4
STORAGE PADRÃO
50 GB
100
56,30
5.630,00
R$
92.154,80
R$
1.105.857,60
SERVIDORES FÍSICOS1
ITEM
RECURSO
QTDE (A)
VALOR MENSAL UNIT.
(R$) (B)
(C) = (A x B)
1 SERVIDOR FÍSICO -‐ TIPO I – PowerEdge R420 10 948,70 9.487,00 2 SERVIDOR FÍSICO -‐ TIPO II – PowerEdge R420 10 1.049,20 10.492,00 3 SERVIDOR FÍSICO -‐ TIPO III – PowerEdge R420 10 1.802,60 18.026,00 4 SERVIDOR FÍSICO -‐ TIPO IV – PowerEdge R620 5 2.036,60 10.183,00 5 SERVIDOR FÍSICO -‐ TIPO V – PowerEdge R620 5 3.055,30 15.276,50 PREÇO MENSAL TOTAL (D): R$ 63.464,50 PREÇO GLOBAL ESTIMADO DO CONTRATO -‐ 12 MESES (E): R$ 761.574,00 COREIT – DATA CENTER, SERVIÇOS GERENCIADOS E INFRAESTRUTURA EM TI LTDA
RECURSOS PARA INFRAESTRUTURA FÍSICA2
ITEM
RECURSO
LOTE (A)
QTDE
(B)
VALOR MENSAL
UNIT. (R$) (C)
VALOR MENSAL TOTAL
(R$) (D) = (B x C)
1
SWITCH GIGABIT – DELL NETWORKING 3024
01 UN.
15
1.272,20
19.083,00
2
SWITCH 10 GIGABIT – DELL SWITCH 10GB – N4064
01 UN.
10
4.984,40
49.844,00
3
SWITCH FIBRA – DELL SWITCH FIBRA N4064F
01 UN.
2
10.999,30
21.998,60
100
Usuários
25
1.143,50
28.587,50
200Mbps
5
5.137,40
25.687,00
100
Usuários
25
875,10
21.877,50
1 UN.
2
21.278,90
42.557,80
1 UN.
2
5.604,80
11.209,60
1 UN.
2
6.522,80
13.045,60
1 UN.
1
5.526,60
5.526,60
1 UN.
1
5.668,77
5.668,77
500Mbps
2
34.559,90
69.119,80
01 UN.
6
2.556,30
15.337,80
4
5
6
7
8
9
FILTRO CONTEÚDO WEB – MCAFEE WEB GATEWAY
APPLIANCE
BALANCEADOR APLICAÇÕES – F5 IP VIRTUAL EDITION LTM
LICENSE
ANTI-SPAM – PROOFPOINT ENTERPRISE PROTECTION WITH FSECURE
FIREWALL (CLUSTER) – CHECKPOINT EQUIPAMENTO DE
SEGURANÇA EM REDE FIREWALL 4800 APPLIANCE
IPS – CHECKPOINT LICENÇA DE SOFTWARE UPGRADE FOR
4800 NEXT GENERATION FIREWALL APPLIANCE
DLP – CHECKPOINT DATA LOSS PREVENTION
CORRELACIONADOR EVENTOS – CHECKPOINT
10
SMARTREPORTER AND SMARTEVENT BLADES
GERÊNCIA SEGURANÇA – CHECKPONT SECURITY
11
MANAGEMENT
FIREWALL BANCO DE DADOS – IMPERVA V2500 DATABASE
12
FIREWALL VIRTUAL APPLIANCE
NO-BREAK PARA REDE ESTABILIZADA – APC NOBREAK
13
SMART- UPS RT 10KVA
PREÇO MENSAL TOTAL (E): R$ 329.543,57 PREÇO GLOBAL ESTIMADO DO CONTRATO -‐ 12 MESES (F): R$ 3.954.522,80 RECURSOS ADICIONAIS PARA COLOCATION
ITEM
RECURSO
LOTE (A)
QTDE (B)
VALOR MENSAL
UNIT. (R$) (C)
(D) = (B x C)
1
CARGA ELÉTRICA
01 kVA
20
521,10
10.422,00
2
ESPAÇO EM RACK
01 U
64
508,70
32.556,80
3
PONTO DE REDE
01 PT
48
74,50
3.576,00
R$
46.554,80
R$
558.657,60
GESTÃO DE INFRAESTRUTURA
ITEM
RECURSO
LOTE (A)
QTDE (A)
VALOR MENSAL UNIT.
(R$) (B)
(C) = (B x A)
1
Sistema Operacional Windows
Server
Host/Maquina
Virtual
30
501,80
15.054,00
2
Sistema Operacional RedHat
Enterprise Linux
Host/Maquina
Virtual
20
501,80
10.036,00
3
E-Mail Microsoft Exchange
Host/Maquina
Virtual
6
782,40
4.694,40
4
Microsoft Active Directory
Host/Maquina
Virtual
6
774,30
4.645,80
5
Servidor de Arquivos Microsoft
Host/Maquina
Virtual
4
732,10
2.928,40
6
Banco de Dados Oracle
Host/Maquina
Virtual
4
3.439,20
13.756,80
7
Banco de Dados Microsoft SQL
Server
Host/Maquina
Virtual
4
3.439,20
13.756,80
8
Serviço de Backup
Host/Maquina
Virtual
60
130,20
7.812,00
9
Virtualização Hyper-V
Host/Maquina
Virtual
10
1.004,70
10.047,00
PREÇO MENSAL TOTAL (D):
R$
82.731,20
PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (E):
R$
992.774,40
BANCO DE HORAS
ITEM RECURSO
LOTE (A)
QTDE (A)
VALOR MENSAL
UNIT. (R$) (B)
(C) = (A x B)
1 BANCO DE HORAS CONSULTORIA
10 hrs
30
2.605,50
78.165,00
2 BANCO DE HORAS IMPLEMENTAÇÃO
10 hrs
30
2.442,60
73.278,00
3 BANCO DE HORAS SUPORTE
10 hrs
30
1.954,10
58.623,00
R$
210.066,00
R$
2.520.792,00
LICENCIAMENTO DE SOFTWARE
ITEM
RECURSO
QTDE (A)
1
"Cals" de acesso para Windows Server
2
Sistema Operacional Windows Server 2012 Standard;
3
VALOR MENSAL UNIT.
(R$) (B)
2000
(C) = (B x A)
9,30
18.600,00
20
281,40
5.628,00
Sistema Operacional Windows Server 2012 Datacenter;
20
1.707,10
34.142,00
4
Sistema Operacional RedHat Enterprise Linux 5.5
10
240,40
2.404,00
5
Banco de Dados Oracle 12g Standard
4
2.313,40
9.253,60
6
Banco de Dados Microsoft SQL Server 2012 Standard
4
286,10
1.144,40
7
Servidor de E-Mails Microsoft Exchange Server 2013
Standard
4
248,30
993,20
8
Microsoft System Center Standard 2012
2
386,80
773,60
9
Microsoft System Center DataCenter 2012
2
1.054,40
2.108,80
10
Banco de Dados Microsoft SQL Server 2012 Enterprise
2
4.018,80
8.037,60
11
"Cals" de acesso para Microsoft SQL Server 2012
61,10
61.100,00
12
Servidor de E-Mails Microsoft Exchange Server 2013
Enterprise
1.184,20
2.368,40
13
"Cals" de acesso para Microsoft Exchange Server 2013
19,70
39.400,00
1000
2
2000
R$
185.953,60
R$
2.231.443,20
RECURSOS PARA SERVIÇO DE BACKUP
ITEM
RECURSO
LOTE (A)
QTDE (B)
VALOR MENSAL
UNIT. (R$) (C)
(D) = (B x C)
1 FITA DEDICADA
1 FITA
100
123,50
12.350,00
2 DISCO NAS
50 GB
60
50,50
3.030,00
3 DISASTER RECOVERY
50 GB
120
130,20
15.624,00
R$
31.004,00
R$
372.048,00
TOTAL GLOBAL DA PROPOSTA
R$
13.250.000,00
VALOR MENSAL DA PROPOSTA
R$
1.104.166,67
Compreenda as soluções
Item 1 - Servidores Físicos:
•
Características Específicas:
Servidor Físico – TIPO I
•
•
•
Dispor de 01 (um) processador Intel XEON Quad Core;
Dispor de 04 (quatro) GB de memória RAM;
Dispor de 01 (uma) unidade de disco rígido de 500
(quinhentos) GB SATA de 7.200 RPM hot-plugable;
Servidor Físico – TIPO II
•
•
•
Dispor de 01 (um) processador Intel XEON Quad Core;
Dispor de 08 (oito) GB de memória RAM;
Dispor de 02 (duas) unidades de disco rígido de 500
(quinhentos) GB SATA de 7.200 RPM hot-swappable com
suporte a RAID-1;
•
•
•
•
•
•
•
•
Dispor de 02 (duas) interfaces Gigabit Ethernet 1000BaseTX,com conector RJ45;
Suportar iSCSI;
Gabinete para rack padrão de 19”;
Tamanho
máximo
de
1U;
Dispor de 02 (duas) interfaces Gigabit Ethernet 1000BaseTX,com conector RJ45;
Suportar iSCSI;
Tamanho
máximo
de
1U;
Servidor Físico – TIPO III
•
•
•
Dispor de 02 (dois) processadores Intel XEON Six Core;
Dispor de 16 (dezesseis) GB de memória RAM;
Dispor de 02 (duas) unidades de disco rígido de 72 (setenta
e dois) GB SAS de 15.000 RPM hot-swappable com suporte
a RAID-1;
Servidor Físico – TIPO IV
•
•
•
Dispor de 02 (dois) processadores Intel XEON Six Core;
Dispor de 32 (trinta e dois) GB de memória RAM;
Dispor de 03 (três) unidades de disco rígido de 300
(trezentos) GB SAS de 15.000 RPM hot-swappable com
suporte a RAID-5;
Servidor Físico – TIPO V
•
•
•
Dispor de 02 (dois) processadores Intel XEON Octa Core;
Dispor de 64 (sessenta e quatro) GB de memória RAM;
Dispor de 05 (cinco) unidades de disco rígido de 300
(trezentos) GB SAS de 15.000 RPM hot-swappable com
suporte a RAID-5;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Dispor de 04 (quatro) interfaces Gigabit Ethernet 1000BaseTX,com conector RJ45;
Suportar iSCSI;
Dispor de fontes de alimentação redundantes e hotswappable;
Tamanho máximo de 2U’s;
Dispor de 04 (quatro) interfaces Gigabit Ethernet 1000BaseTX,com conector RJ45;
Suportar iSCSI;
Dispor de 08 (oito) interfaces Gigabit Ethernet 1000BaseTX,com conector RJ45;
Suportar iSCSI;
Item 2 - Recursos para Infraestrutura Física Recursos
•
Características Específicas:
Switch Gigabit
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Ser “rackmount” para Racks com padrão de 19”
Possuir no mínimo 24 Portas de comutação Gigabit Ethernet com
sensor automático 10/100/1000BASE-T, half/full-duplex, padrão RJ45
Possuir no mínimo 2 portas SFP+ de 10 GbE/1 GbE de fibra óptica
integrada
Suportar negociação automática de velocidade, modo duplex e
controle de fluxo MDI/MDIX automática
Suportar espelhamento de porta (one to one ou many to one)
Possuir Controle de Storm (Broadcast, Multicast, Unicast)
Suportar taxa de encaminhamento (pacotes de 64 bytes) mínimo
65,47Mpps
Suportar Endereços MAC até 16.000
Suportar Spanning Tree [STP] (IEEE 802.1D)
Suportar Multiple Spanning Trees [MSTP] (IEEE 802.1s)
Suportar Rapid Spanning Tree [RSTP] (IEEE 802.1w) com suporte
para Fast Link
Possuir suporte a duas imagens de firmware
Possuir suporte a fontes de alimentação redundantes externas
Suportar Roteamento de camada 3
Suportar no mínimo 64 rotas estáticas
Possuir suporte a VLAN baseada em marcação e em porta conforme o
802.1Q IEEE VLANs baseadas em protocolo
Possuir suporte para até 200 VLANs simultâneas
Suportar VLANs dinâmicas com suporte para GVRP
Suportar Voice VLAN
Suportar Guest VLAN
Suportar VLANs baseadas em protocolo
Suportar Layer 3 Trusted Mode (DSCP)
Possuir 8 filas de prioridade por porta
Suportar Strict priority queue (fila de prioridade estrita) e Weighted
Round Robin (divisão ponderada de banda) ou combinação de ambos
Suportar Multicast de IP Estático
Suportar até 1.000 entradas totais para ACLs e ACEs
Suportar ACLs baseadas em MAC e IP
Suportar ACLs com controle de tempo
Registro de ACL
Proteção por senha de acesso ao switch
Suporte a senha forte
Possuir configurações definidas pelo usuário para ativar ou desativar o
acesso de gerenciamento por Web, SSH, Telnet e SSL
Possuir Alerta e bloqueio de endereços MAC baseados em porta
Possuir Filtragem de endereço IP para acesso de gerenciamento por
Telnet, HTTP, HTTPS/SSL, SSH e SNMP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Possuir Autenticação local e remota (RADIUS e TACACS+) para
acesso ao gerenciamento de switch
Possuir Criptografia SSLv3 e SSHv2 para tráfego de gerenciamento de
switch
Possuir filtragem de acesso ao gerenciamento, utilizando erfis de
acesso
Possuir suporte autenticação de extremidade baseada em IEEE
802.1x, modo de monitor 802.1x (registro sem aplicação)
Possuir suporte a Agregação de links com suporte para até 32 links
agregados por switch e até 8 portas membro por link agregado (IEEE
802.3ad)
Possuir suporte a LACP (IEEE 802.3ad)
Possuir suporte a jumbo frames de até 9.000 bytes
Suporte a servidor DHCP
Suportar DHCP snooping
Suportar Relay DHCP
Preparado para IPv6 - dual stack (IPv4/IPv6), Tunneling IPv6 sobre
IPv4 (ISATAP), IPv6 ACL e classificação de tráfego (QoS), IPv6
Management (ping, telnet, traceroute, HTTP, HTTPS/SSL, SSH,
SNMP, SNTP, TFTP, neighbor discovery)
Possuir Interface GUI de gerenciamento baseada em Web (HTTP e
HTTPS) através de browser padrão.
Possuir CLI intuitiva e familiar acessível via Telnet, SSH ou porta serial
local
Suportar sFlow
Possuir Notificação de conflitos de endereços IP no gerenciamento
Possuir suporte a SNMPv1, SNMP v2c e SNMPv3
Possuir suporte a 4 grupos RMON (histórico, estatísticas, alarmes e
eventos)
Possuir suporte a Transferências de firmware e arquivos de
configuração por HTTP e TFTP
Possuir suporte a Imagens duplas de firmware incorporadas
Possuir suporte a upload/download de vários arquivos de configuração
Possuir estatísticas para monitoramento de erros e otimização de
performance, incluindo tabelas de resumo de portas
Possuir suporte a gerenciamento de endereços IP BOOTP/DHCP
Possuir suporte a SNTP
Possuir suporte a LLDP e LLDP-MED
Suportar “Logging” de eventos através de Syslog
Possuir suporte a jumbo frame com pacotes de 9000 bytes
Possuir suporte auto negociação para velocidade, modo duplex e flow
control
Switch 10 Gigabits
•
•
•
•
•
•
•
•
24 Portas 10GBASE-T (10 Gbit/1 Gbit/100 Mbit) com portas de
comutação GbE com sensor automático
Módulo de empilhamento/Stacking 40GB
Empilhamento de alta disponibilidade resiliente com no mínimo 4
switches
Suportar taxa de encaminhamento mínimo 900Mpps
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
Configuração automática iSCSI
para Fast Link
P á g i n a 8 | 21 Ata de Registro de Preços para o Sistema "S"
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Suportar Voice VLAN
Suportar Guest VLAN
Registro de ACL
switch
Possuir filtragem de acesso ao gerenciamento, utilizando perfis de
acesso
802.3ad)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Suportar Relay DHCP
local
Suportar sFlow
eventos)
control
Switch Fibra
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Possuir no mínimo 24 portas de 10 Gbit SFP+ (10 Gbit/1 Gbit);
Módulo de empilhamento/Stacking 40GB
Negociação automática para oferecer velocidade (10 Gbit/1 Gbit/100
Mbit), modo duplex e controle de fluxo em portas 10GBASE-T
Empilhamento de alta disponibilidade resiliente com no mínimo 4
switches
Suportar taxa de encaminhamento mínimo 900Mpps
Configuração automática iSCSI
para Fast Link
Suportar Voice VLAN
Suportar Guest VLAN
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Registro de ACL
switch
Possuir filtragem de acesso ao gerenciamento, utilizando perfis de
acesso
802.3ad)
•
•
•
•
•
•
•
•
•
Suportar Relay DHCP
local
Suportar sFlow
eventos)
•
•
•
•
•
•
•
•
•
•
control
Filtro de Conteúdo Web
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Suportar no mínimo a quantidade especificada na TABELA
RECURSOS PARA INFRAESTRUTURA do ANEXO I-C de usuários
Web simultâneos sendo que o pedido inicial mínimo será de 500
(quinhentos) usuários;
A solução deve ser fornecida em alta-disponibilidade podendo a
mesma ser ofertada na forma virtualizada ou em appliance físico;
Caso a solução seja física, deverá vir em gabinete para instalação em
rack padrão 19'' para cada appliance;
No caso de solução física, cada appliance deve possuir no máximo 2U
de altura;
Possuir no mínimo de 02 (duas) interfaces Ethernet 10/100/1000 BaseT para cada appliance;
Realizar cache de HTTP, HTTPS e FTP;
Possuir suporte ao protocolo ICP para utilização de caches em
hierarquia;
Possuir suporte ao protocolo WCCP, realizando cache transparente;
Possuir suporte ao protocolo WCCP versão 2;
Possuir suporte a supressão de headers HTTP que denunciem a
existência do cache na rede;
A funcionalidade mencionada no item anterior deve existir em ambas
as direções de comunicação, tanto cache-cliente como cache-servidor;
Deve permite substituir a informação do cabeçalho HTTP por uma
string fixa, protegendo, assim, informações confidenciais;
Deve permitir o bloqueio de clientes por versão de software ou tipo de
Browser;
A funcionalidade mencionada no item anterior deve permitir que cliente
utilizando Internet Explorer opere normalmente enquanto bloqueie toda
requisição feita pelo Firefox, por exemplo;
Possuir suporte para cache transparente para os protocolos HTTP e
HTTPS;
Permitir a integração nativa com sistemas de varredura de códigos
maliciosos para os protocolos HTTP, HTTPS e FTP, utilizando o
protocolo ICAP para se comunicar com os sistemas antivírus externos;
A integração entre o cache e o antivírus deve permitir que após
receber a atualização das assinaturas de vírus pelo antivírus, o cache
efetue a checagem das páginas cacheadas contra a nova versão do
arquivo de assinaturas;
Possuir suporte a autenticação LDAP, Domínio do Windows NT
(NTLM), Active Directory, Microsoft Kerberos, RADIUS e certificados
digitais;
Os mecanismos de autenticação podem ser configurados por regras,
ou seja, pode-se configurar para autenticar o tráfego HTTP para
determinado site e não autenticar o tráfego para outro site;
Para os protocolos NTLM e LDAP, o cache deve ser capaz de realizar
a autenticação e verificação de grupos de usuários no PDC/AD de um
domínio, não dependendo de replicação de base de dados;
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Deve suportar a autenticação de forma transparente (não poderá haver
prompt de senha para o usuário, utiliza a autenticação do S.O. de
rede). Essa funcionalidade deve existir tanto com o cache configurado
como Proxy da rede, quanto como de forma transparente (o tráfego é
redirecionado por um Switch camada 4/7 e o browser dos clientes não
contém nenhuma configuração de proxy).
Implementar autenticação transparente através de cookie ou endereço
IP;
Ter a capacidade de servir arquivos tipo ".PAC" (proxy automatic
configuration) a partir do próprio appliance;
Possuir suporte a configuração de regras de controle de acesso (filtros)
que permitam:
Controlar o acesso a determinadas URLs ou domínios Web, permitindo
o uso de “wildcards”, máscaras ou expressões regulares;
Restringir os endereços IP dos quais podem ser feitas requisições ao
cache;
Restringir os endereços IP pelos quais o cache pode ser gerenciado;
Redirecionar requisições feitas a determinados objetos para outras
URLs;
Realizar o mapeamento de URLs. Interceptando a URL requisitada e
alterando para a URL mapeada;
Bloquear extensões definidas pelo tipo de MIME ou pela própria
extensão (Ex: Application/Executable ou “.exe”);
Bloquear “scripts” ativos como Active X, Java, Javascript, VBScript;
Os filtros devem ser separados para cada tipo de protocolo suportado;
Os filtros podem ser aplicados tanto às requisições dos usuários como
às respostas dos servidores;
Implementar, mesmo que em servidor externo, ferramenta para a
geração de relatórios gerencias dos logs gerados pela solução. Deve
permitir extrair, necessariamente, os relatórios abaixo:
Relatório dos maiores usuários (username) de Internet e sites com
maior volume de dados acessados por esses usuários;
Relatório de sites acessados por determinados usuários, baseado em
username;
Relatório de usuários que acessaram determinado site por
determinado período;
Relatório dos usuários que tiveram mais requisições bloqueadas;
Relatório dos sites mais acessados por volume de dados (em MB);
Relatório dos computadores e usuários que mais acessaram páginas
HTTP (em MB);
Relatório das estatísticas de acesso HTTP em volume de dados (em
MB);
Relatório das estatísticas de acesso HTTP por sub-rede IP em volume
de dados (em MB);
Relatório das estatísticas de acesso HTTP por tipo de arquivo
acessado em volume de dados (em MB);
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Caso seja implementado em servidor externo, o software de emissão
de relatórios deve possuir interface gráfica e executar em plataforma
Windows 2.000 ou superior ou Linux Red Hat;
Deve gerar registros de acesso (logs), e deve permitir a customização
do mesmo;
Geração automatizada de relatórios conforme agendamentos feitos
pelo administrador, possibilitando a entrega destes relatórios de
maneira automatizada por e-mail;
Deve permitir exportar relatórios estatísticos e gerências de tráfego na
Web, no mínimo, nos formatos: HTML, CSV e PDF;
Possuir repositório local para criação de contas e senhas de usuário,
incluindo o nível de acesso que esse usuário terá para funções de
configuração e monitoração do equipamento;
Permitir a configuração de endereços IP para onde devem ser
encaminhados alarmes e traps SNMP;
Possuir suporte ao ajuste de hora através do protocolo NTP;
Permitir atualização de imagens, upload e download dos arquivos de
configuração usando algum dos protocolos a seguir: TFTP, HTTP ou
FTP;
Possuir suporte ao backup/restore de configurações em servidores
externos;
Deve ser gerenciável via HTTP, HTTPS e SSH;
Possuir suporte a configuração através do padrão Command Line
Interface (CLI);
Possuir mecanismos para limitar o acesso às funções de
gerenciamento dos equipamentos seja via SSH, SNMP ou Web
browser;
Possuir suporte ao protocolo SNMP v3;
Garantir a monitoração do tráfego Internet independente de plataforma,
sistema operacional predominante na rede interna ou aplicação
utilizada pelos usuários;
Permitir a monitoração do tráfego Internet sem bloqueio de acesso aos
usuários;
Bloquear as tentativas de acesso proibidas pela política antes que
ocorra o download da página solicitada;
Permitir o cadastramento de diferentes perfis de acesso para
administração da solução;
Prover Termo de Responsabilidade on-line para aceite pelo usuário, a
ser apresentado todas as vezes que houver tentativas de acessos à
determinada categoria de sites;
Integrar ao serviço de diretório padrão LDAP, inclusive o Microsoft
Active Directory, reconhecendo contas e grupos de usuários
cadastrados;
Suportar as metodologias pass-by ou pass-through de filtragem;
Não instalar nem executar agentes, módulos ou scripts nas estações
de trabalho para prover qualquer serviço, mesmo que seja para
identificação de elementos da rede;
Garantir que as atualizações regulares do produto sejam realizadas
sem interromper a execução dos serviços;
Controle de acesso à Internet por endereço IP de origem e destino;
Controle de acesso à Internet por sub-rede;
Controle de acesso à Internet por usuário (cadastrado no MS Active
Directory);
Controle de acesso à Internet por grupo de usuários (cadastrado no
MS Active Directory);
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Controle de acesso à Internet por períodos do dia, permitindo a
aplicação de políticas por horários e por dia da semana;
Controle de acesso à Internet por domínio, exemplo: gov.br, org.br,
edu.br;
Controle de acesso à Internet por categorias de sítios web;
Controle de acesso à Internet por lista de sítios web proibidos
customizável;
Controle de acesso à Internet por lista de sítios web permitidos
customizável;
Controle de downloads por nome, tipo ou extensão de arquivo;
Controle de downloads por tamanho de arquivo;
Controle de tráfego Internet de áudio e vídeo tipo streaming media;
Painel de visualização das atividades web demonstrando em tempo
real a utilização dos serviços Internet e o consumo da banda de
acesso;
Mensagem de bloqueio customizável para resposta aos usuários na
tentativa de acesso a recursos proibidos pela política;
Compatibilidade com filtros de busca segura (safe-search filters),
oferecidos por sítios web de busca;
Definição e aplicação de políticas por meio de expressões regulares;
Permitir a criação de regras para bloqueio de categorias de sites e a
criação de exceção a essa regra para uma ou mais URL desta
categoria;
Base com, no mínimo, 70 categorias diferentes;
Categoria exclusiva para sítios web caracterizados como Proxy
Anônimo;
Categoria exclusiva para sítios web tipo Instituições Financeiras;
Categoria exclusiva para sítios web tipo Webmail;
Categoria exclusiva para sítios web tipo Blog/Fotolog;
Categoria exclusiva para sítios web tipo Instituições de Saúde;
Categoria exclusiva para sítios web tipo Notícias;
Categoria exclusiva para sítios web tipo Phishing;
Categoria exclusiva para sítios web tipo Hackers;
Categoria exclusiva para sítios web tipo Pornografia;
Categoria exclusiva para sítios web tipo Jogos;
Categoria para sítios web tipo Racismo;
Categoria exclusiva para sítios web tipo Comunidades Virtuais;
Categoria exclusiva para sítios web tipo Compras;
Categoria exclusiva para sítios web tipo Chat/Instant Messaging;
Categoria exclusiva para sítios web tipo Instituições Educacionais;
Categoria exclusiva para sítios web tipo P2P;
Categoria exclusiva para sítios web tipo Streaming;
Permitir a criação de categorias personalizadas alimentadas conforme
a necessidade do administrador;
Permitir ao administrador reclassificar, a seu critério, os registros de
sítios web que julgar necessário;
A solução deve ser capaz de inspecionar tráfego SSL, utilizando as
mesmas políticas válidas para tráfego não criptografado (HTTP);
A solução deve checar os certificados digitais do site acessado com
HTTPS. No caso de certificados digitais inválidos, a solução deve ser
configurável para, de acordo com preferência do administrador,
bloquear ou permitir o acesso ao site;
Deve ser possível configurar regras de exceção a sites HTTPS que
não devem ter seu tráfego inspecionado;
Controlador/Balanceador de Entrega de Aplicações
•
•
•
A solução deve ser fornecida em alta-disponibilidade podendo a
mesma ser ofertada na forma virtualizada ou em appliance físico;
A solução deverá suportar no mínimo 1Gbps de tráfego , conforme
especificado na TABELA RECURSOS PARA INFRAESTRUTURA do
ANEXO I-C;
A solução deverá suportar a operação no modo Ativo/Ativo, mantendo
o status das conexões. Aceita-se como Ativo/Ativo a utilização de dois
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
endereços Virtuais, onde cada endereço fica ativo em um elemento e
standby no outro;
A solução deverá suportar sincronismo de sessão entre os dois
membros em um cluster de alta-disponibilidade de forma que a falha
do equipamento principal não deverá causar a interrupção das sessões
balanceadas;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Todos os recursos possíveis de redundância deverão ser fornecidos na
solução ofertada sem nenhuma despesa com licenças adicionais;
Fornecer recurso de agregação de portas baseado no protocolo LACP
Fornecer recurso para suportar até 8 portas em um mesmo conjunto
agregado;
Possuir suporte a IPv6;
A solução deve suportar múltiplas tabelas de rotas independentes;
Fornecer recursos para o uso de servidores no mesmo Virtual Server;
Suportar todas as aplicações comuns de um Switch Layer 7, como:
Server Load-Balancing;
Firewall Load-Balancing;
Proxy Load-Balancing;
Suportar Balanceamento apenas em direção ao servidor, onde a
resposta do servidor real é enviada diretamente ao cliente;
A solução deve permitir o encapsulamento, em camada 3, do tráfego
entre o balanceador e o servidor para tráfego IPv4 e IPv6, quando o
balanceamento é realizado apenas em direção ao servidor, onde a
resposta do servidor real é enviada diretamente ao cliente
Possuir recursos para balancear servidores com qualquer hardware,
sistema operacional e tipo de aplicação.
Possuir capacidade de abrir um número reduzido de conexões TCP
com o servidor e inserir os HTTP requests gerado pelos clientes nestas
conexões, reduzindo a necessidade de estabelecimento de conexões
nos servidores e aumentando a performance do serviço.
Suportar os seguintes métodos de balanceamento:
Round Robin;
Least Connections;
Weighted Percentage (por peso);
Servidor ou equipamento com resposta mais rápida baseado no
tráfego real;
Weighted Percentage dinâmico (baseado no número de conexões)
Dinâmico, baseado em parâmetros de um determinado servidor ou
equipamento, coletados via SNMP ou WMI;
Possuir recursos para balancear as sessões novas, mas preservar
sessões existentes no mesmo servidor, implementando persistência de
sessão dos seguintes tipos:
Por cookie: inserção de um novo cookie na sessão;
Por cookie: utilização do valor do cookie da aplicação, sem adição de
cookie;
Por endereço IP destino;
Por endereço IP origem;
Por sessão SSL;
Através da análise da URL acessada.;
Através da análise de qualquer parâmetro no header HTTP;
Através da análise do MS Terminal Services Session (MSRDP)
Através da análise do SIP Call ID ou Source IP;
Através da análise de qualquer informação da porção de dados
(camada 7);
A solução deve utilizar Cache Array Routing Protocol (CARP) no
algoritmo de HASH
O equipamento oferecido deverá suportar os seguintes métodos de
monitoramento dos servidores reais:
Layer 3 – ICMP;
Conexões TCP e UDP pela respectiva porta no servidor
Devem existir monitores predefinidos para, no mínimo, os seguintes
protocolos: ICMP, HTTP, HTTPS, Diameter, FTP, SASP, SMB,
RADIUS, MSSQL, NNTP, ORACLE, RPC, LDAP, IMAP, SMTP, POP3,
SIP, Real Server, SOAP, SNMP e WMI;
Possuir recursos para balanceamento de carga de servidores SIP para
VoIP (equipamento SIP PROXY);
Possuir recursos para limitar o número de sessões estabelecidas com
cada servidor real;
cada servidor virtual;
cada grupo de servidores:
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
cada servidor físico:
Realizar Network Address Translation (NAT);
Realizar Proteção contra Denial of Service (DoS);
Realizar Proteção contra Syn flood;
Realizar Limpeza de cabeçalho HTTP;
A solução deve permitir o controle da resposta ICMP por servidor
virtual
Implementar Listas de Controle de Acesso (ACL);
Possuir recursos para que a configuração seja baseada em perfis,
permitindo uma fácil administração;
Possuir capacidade de geração e gestão de perfis hierarquizados,
permitindo maior facilidade na administração de políticas similares;
Permitir a criação de Virtual Servers com endereço IPv4 e os
servidores reais com endereços IPv6;
Possuir recursos para executar compressão de conteúdo HTTP, para
reduzir a quantidade de informações enviadas ao cliente;
Definir qual tipo de compressão será habilitada (gzip1 a gzip9, deflate);
Possuir capacidade para definir compressão especificamente para
certos tipos de objetos;
Possuir recursos para fazer aceleração de SSL, onde os certificados
digitais são instalados no equipamento e as requisições HTTP são
enviadas aos servidores sem criptografia;
Garantir que na aceleração de SSL, tanto a troca de chaves quanto a
criptografia dos dados seja realizada com aceleração em hardware,
para não onerar o sistema, este item somente é válido para solução
em appliance;
Possuir recursos para configurar o equipamento para recriptografar em
SSL a requisição ao enviar para o servidor, permitindo as demais
otimizações em ambiente 100% criptografado;
Suportar a utilização de memória RAM como cache de objetos HTTP,
para responder às requisições dos usuários sem utilizar recursos dos
servidores;
Possuir capacidade, no uso do recurso de cache, em definir quais tipos
de objetos serão armazenados em cache e quais nunca devem ser
cacheados;
Garantir que o recurso de cache possa ajustar quanta memória será
utilizada para armazenar objetos;
Suporte a otimização do protocolo TCP para ajustes a parâmetros das
conexões clientes e servidor;
A solução deve suportar Internet Content Adaptation Protocol (ICAP)
Deve possuir relatórios em tempo real das aplicações, com pelos
menos os seguintes gráficos:
Tempo de resposta da aplicação
Latência de rede
Conexões para conjunto de servidores, servidores individuais
Por URL
Deve possuir framework unificado para configuração da aplicação
Deve possuir criptografia IPSEC para comunicação entre os
balanceadores:
A Solução deve ter suporte a sFlow
A solução deve possuir múltiplos domínios de roteamento em IPv4 e
IPv6
A solução deve possuir lista dinâmica de endereços IP globais com
atividades maliciosas
A solução deve ser capaz de criar filtros de endereços IPs baseados
em reputação, com no mínimo as seguintes categorias: Windows
Exploits, Web Attacks, Botnets, Scanners, Denial of Service,
Reputation, Phishing, Proxy.
Deve ter suporte a Transport Layer Security (TLS) Server Name
Indication (SNI)
A solução deve possuir monitor HTTP/HTTPS com autenticação NTLM
embutida, que permita verificar se o HTTP/HTTPS está operando
assim como a plataforma de autenticação
A solução deve ter suporte a TLS 1.2, SHA 2 Cipher e SHA256 hash
•
•
•
A solução deve ser capaz de colocar em fila as requisições TCP que
excedam a capacidade de conexões do grupo de servidores ou de um
servidor. O balanceador não deverá descartar as conexões que
excedam o número de conexões do servidor ou do grupo de servidores
Deve ser possível configurar o tamanho máximo da fila
Deve ser possível configurar o tempo máximo de permanência na fila
•
•
A solução deve realizar Controle de Banda Estático para grupos de
aplicações e rede
A solução deve realizar Controle de Banda Dinâminco para grupos de
aplicações e rede
Anti-Spam para Servidor de E-Mails
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
A solução deve ser capaz de filtrar o tráfego de correio (e-mail)
bloqueando a entrada de vírus, spyware, worms, trojans, spam e
phishing;
Não deve considerar que grupos ou listas de distribuição sejam
contabilizados como caixas de e-mail;
Ser uma solução MTA (Mail Transfer Agent) completa com suporte ao
protocolo SMTP;
Possuir capacidade de replicação automática das configurações e
balanceamento de carga através de DNS;
Permitir customizações de regras e políticas por usuários ou grupos;
Tratar e analisar mensagens originadas e recebidas (inbound e
outbound), no mesmo equipamento, possibilitando a aplicação de
regras e políticas customizáveis, além de diferenciadas por sentido de
tráfego;
Possuir módulo de verificação com suporte a dois ou mais
mecanismos diferentes de antispam executando simultaneamente;
Possuir módulo de verificação com suporte a dois ou mais
mecanismos diferentes de antivírus;
Possuir integração com serviço de diretórios LDAP e Microsoft Active
Directory, para obtenção de informações de usuários cadastrados para
validação de destinatário e configuração de políticas;
Suportar no mínimo a quantidade especificada na TABELA
RECURSOS PARA INFRAESTRUTURA do ANEXO I-C de caixas
postais sendo que o pedido inicial mínimo será de 500 (quinhentas)
caixas postais;
Suportar filtros de conexões, que deverão ser executados no início da
conversação SMTP;
Esses filtros deverão possuir a capacidade de classificar deferentes
tipos de comportamento (como whitelist e blacklist). Os filtros de
conexões devem, no mínimo:
Ser configurados por endereço de IP;
Ser configurados por domínios, aceitado-se caracteres coringas, e/ou o
uso de expressões regulares;
Suportar também RBLs externas a serem definidas pelo administrador
(listagem baseadas em DNS);
Ser configurados pela reputação do emissor;
Ser capaz de controlar o número máximo de destinatários de um
determinado emissor, por endereço IP, domínio ou reputação do
emissor, trafegados por determinado período, definindo o fluxo de
tráfego baseado em minutos;
Suportar a criação de áreas de quarentenas personalizadas integrada
as políticas definidas pelo administrador, residentes no próprio
equipamento, onde as mensagens deverão ser armazenadas pelo
período de tempo especificado pelo administrador;
Possuir a funcionalidade de dividir mensagens baseado em políticas
definidas por cada domínio, subdomínio, grupo de usuários e usuário
individual, de forma integrada com ferramentas de LDAP;
Permitir a utilização de mais de um servidor de LDAP, no modo de
balanceamento de carga, dividindo as novas conexões entre os
servidores de LDAP, no evento de falha de consulta a um dos
servidores LDAP configurados;
Continuar filtrando e verificando as mensagens em ambos os sentidos
(inbound e outbound) mesmo após o término do licenciamento ou
suporte;
Analisar mensagens, no mínimo, por meio dos seguintes métodos:
Assinaturas de URL;
Assinaturas de spam em imagens (image-spam);
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Filtros de Vírus;
Filtros de anexos;
Filtros de phishing;
Análise heurística;
Análise do cabeçalho, corpo e anexo das mensagens;
E-mail bounce;
Dicionários pré-definidos e customizados com palavras e expressões
regulares
Suportar a filtragem de conteúdo, no mínimo:
Aplicando dicionários diferentes, para que sejam feitas análises
diferenciadas, para usuários e/ou grupos distintos regulares;
Tomando as seguintes ações relativas às mensagens, para qualquer
endereço eletrônico: descartar; quarentenar; encaminhar; entregar;
não analisar; rejeitar; rotear;
Garantindo a integridade da assinatura digital nas mensagens
verificadas;
Suportar a filtragem de anexos, no mínimo:
Analisando cabeçalho MIME dos arquivos;
Analisando fingerprint;
Comparando com lista de arquivos maliciosos conhecidos;
Bloqueando arquivos compactados com senha;
Aplicando regras diferentes para grupos e/ou usuários distintos;
Aplicando regras diferentes em sentido de tráfego diferentes;
Tomando as seguintes ações relativas ao anexo: remover,
quarentenar, descartar, encaminhar, não analisar, rejeitar, rotear e
entregar a mensagem;
Notificando o usuário, caso um arquivo tenha sido removido da
mensagem, informando o motivo, nome do arquivo, remetente e
colocando essa mensagem em quarentena para uma possível
liberação a ser executada pelo administrador e ou pelo usuário. A
notificação deverá ser customizável pelo administrador ou préconfigurada em Português-Brasil;
Possuir níveis granulares de administração da interface web, mínimo
de três níveis de administração;
Possuir interface web de administração segura HTTPS;
Possuir interface web para que o usuário final possa administrar no
mínimo os e-mails classificados como spam e regra customizada,
podendo através dessa interface liberar ou colocar o remetente em
uma lista de bloqueio ou liberação, pessoal, não interferindo nas
filtragens dos outros usuários;
A solução deverá suportar, para uso futuro e sem adição de novo
appliance, a implantação de módulo de DLP e Criptografia, para o
número de usuários especificados, com as seguintes características:
Suportar a implantação de módulo de compliance na saída de e-mails
da rede para impedir, através de regras, a saída de informações da
rede;
Suportar a implantação de módulo de compliance que permita
consultar arquivos para aplicação de regras, impedindo o envio de
determinado arquivo ou informação, mesmo que contida em arquivos
.doc, .docx, .xls, xlsx, .pps, .ppsx, .pdf, .odf, .odt, .ods, .odp, etc;
Suportar a implantação de módulo de compliance que permita aplicar
regras de e-mail firewall para mensagens que violarem regras de
compliance, bloqueando, colocando em quarentena e auditando essa
mensagem;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Suportar a implantação de módulo de compliance que possua a
funcionalidade de cadastrar um determinado dicionário a escolha do
administrador, bem como, possuir dicionários pré-configurados na
própria solução para controles de regras de compliance;
Suportar a implantação de módulo de compliance que possibilite
alteração de cabeçalho da mensagem quando violada alguma regra de
compliance;
Suportar a implantação de modulo de criptografia na saída de e-mails
da rede que trabalhe de maneira transparente ao usuário, sem a
necessidade de instalação de plugins, agentes ou outro tipo de
software e possua interface para o destinatário customizável;
Suportar a implantação de módulo de criptografia que gera logs para
auditoria de todas as transações das mensagens criptografadas;
Possuir console única de gerenciamento para interface de criptografia,
compliance, antispam e antivírus, ou seja, para todos os módulos
exigidos e suportáveis da solução;
Possibilitar ao administrador definir qual mensagem deverá ser
criptografada, com base, no mínimo, em assunto, destinatário,
remetente e anexo;
Utilização de criptografia das mensagens, geradas por chaves
independentes;
Impossibilitar o uso de cache de browser para acesso as mensagens
criptografadas. O sistema deverá permitir que o modelo das
mensagens criptografadas possam ser customizada;
Permitir ao administrador da solução antispam executar pesquisa nas
mensagens em quarentena de todos os usuários através de interface
web segura (HTTPS) acessando o próprio equipamento, sem
necessidade de nenhum software e hardware adicional;
Permitir ao administrador agendar o envio do sumário (“digest”)
contendo as mensagens armazenadas na quarentena do usuário em
períodos de tempo pré-configuráveis;
Possibilitar que a interface do usuário final, para administração da
quarentena pessoal, permita a visualização das mensagens retidas e
classificadas como spam. Também deverá ser permitido ao usuário
final sinalizar mensagens quarentenadas como “não sendo spam”,
assim como o recebimento de futuras mensagens daquele remetente;
Possuir a interface do usuário final para administração da quarentena
em Português-Brasil;
Prover a “Quarentena Dinâmica”, oferecendo defesa contra ataques,
com as seguintes funcionalidades:
Preventiva contra surtos de novos vírus, totalmente automática e com
a menor chance de perda de mensagens legítimas;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Específica para bloquear mensagens infectadas com novos surtos de
vírus, protegendo o ambiente no período anterior à disponibilização da
nova assinatura específica;
Prover funcionalidade de backup e restauração para/de uma máquina
remota das configurações do software antispam;
Prover funcionalidade de retorno de no mínimo as 5 (cinco) últimas
regras aplicadas;
Gerar relatórios automatizados via agendamento e com envio dos
mesmos para destinatários específicos via SMTP;
Disponibilizar, pelo menos, os seguintes tipos de relatórios:
Sumário com total de mensagens que foram classificadas como: boas,
spam vírus, bloqueadas por políticas, maiores domínios remetentes de
spam, maiores remetentes de spam por conexão IP, endereços de email que mais recebem spam e maiores domínios por recipientes não
classificados recebidos no último dia;
Relatórios sobre spam;
Relatórios de conexões SMTP: rejeitadas por reputação e rejeitadas
por controle de conexões;
Permitir a utilização de um servidor de syslog externo;
Possuir funcionalidade de exibição de gráficos com estatísticas no
formato "dashboard" para acompanhamento em tempo real do fluxo de
e-mails de cada um dos servidores de cluster com a capacidade de
custormizar quais gráficos serão exibidos e sua posição na janela
gráfica de maneira individual para cada administrador da ferramenta,
contendo, no mínimo as seguintes opções de gráficos (widgets):
Status dos servidores: memória, disco, processamento, e
sincronização;
Volume de mensagens;
Sumário de e-mails bloquados (inbound e outbound) por: destinatario
remetente, conteúdo e reputação;
Sumário de e-mails enviados e recebidos;
Sumário de e-mails enviados com criptografia;
Volume de conexões;
Estatísticas de vírus;
Estatísticas de spam;
Tamanho das mensagens;
Tempo das mensagens;
Firewall Corporativo em Alta-Disponibilidades
•
•
•
•
•
•
•
•
•
•
•
Os 2 (dois) equipamentos devem trabalhar em cluster nos modos
(ativo-ativo ou ativo-passivo) contendo:
Sincronismo de conexões para os sistemas de Firewall e VPN;
Detecção de falha em um dos equipamentos;
Detecção de falha de link;
Cada equipamento, caso appliance físico:
Deve possuir altura de no máximo 3 U, para a montagem em rack
padrão de 19”;
Deverá possuir suporte para adicionar segunda fonte de alimentação
AC redundante;
Deverá possuir porta serial para acesso via console;
Deverá possuir fonte de alimentação interna e operar em 110 V ou 220
V com chaveamento automático;
O modelo ofertado deverá possuir conformidade com uma das
seguintes normas: FCC, CE, ANATEL ou compatíveis, demonstrando
que o equipamento não provoca e não está sujeito a interferências
eletromagnéticas prejudiciais e respeita os limites de emissão,
suscetibilidade e interferência eletromagnéticas;
O MTBF (Tempo mínimo entre falhas) deve ser de no mínimo 6 anos;
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
Deverá possuir mínimo de 8 (oito) interfaces Gigabit Ethernet padrão
1000BaseT RJ-45 (auto-negociáveis);
Deverá possuir interface “out-of-band” para gerenciamento;
Possuir capacidade de replicação de configurações e a aplicação de
atualização de software para os dois equipamentos que compõem o
cluster;
Deve possuir a função de Firewall Statefull, que permite o controle de
estados das conexões através de registro de cada uma das sessões
TCP ou UDP e acompanhamento dos estados durante seu
prosseguimento;
Deve possuir inspeção avançada de pacotes na camada de aplicação
para os seguintes protocolos: HTTP, FTP, SMTP, DNS, RTSP, H.323,
SIP, LDAP, NFS, RPC, SNMP, TCP, UDP e ICMP;
Deve possuir a capacidade de operar nos modos: Transparente
(Bridge Layer 2) e realizando roteamento IP (Layer 3);
Possuir performance mínima de 9 Gbps para a função de Firewall,
baseda na RFC 3511 (Benchmarking Methodology for Firewall
Performance), RFC 2544 e RFC 1242;
Deve suportar mínimo de 50.000 conexões por segundo;
Possuir protocolo NTP (Network Timing Protocol);
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Possuir capacidade de criar mínimo de 1024 VLANs (802.1q);
Possuir capacidade de link aggregation (802.3ad);
Possuir capacidade para criação de interfaces lógicas baseadas em
VLAN e aplicação de regras de políticas de segurança nas interfaces;
Possuir os protocolos IPv4 e IPv6 nativo e modo túnel;
Possuir inspeção de pacotes IPv6 no Firewall para os protocolos ICMP
e portas TCP/UDP;
Possuir roteamento para RIPv2 ou BGP e roteamento estático;
Possuir QoS (Quality of Services) para priorização de pacotes;
Suportar o protocolo RADIUS (Remote Authentication Dial In User
Service);
Possuir mecanismo de integração com servidor Microsoft Active
Directory (AD);
Possuir DHCP Server e também atuar como Cliente Relay DHCP;
Possuir capacidade de definir políticas por tempo, ou seja, permitir a
definição de regras para um determinado horário ou período (dia, mês,
ano e hora);
Possuir NAT estático (mapeamento de endereços 1:1) e PAT dinâmico
(mapeamentos de endereços N:1 e N:N);
Possuir controle de regras de Firewall utilizando objetos de IP, rede e
grupos;
Possuir controle de regras de Firewall utilizando login do usuário, nome
do usuário, grupos de usuários, máquina/computador registrados no
Microsoft Active Directory (AD);
Possuir controle de regras de Firewall por horário, dia da semana e do
mês;
Possuir controle de regras de Firewall temporárias, definidas com início
e fim;
Possuir capacidade de controlar as descrições dos objetos, nome das
regras de Firewall e comentário associado;
Possuir capacidade de localização de endereços IPs e objetos;
Possuir capacidade de definir se determinada regra irá gerar log ou
não;
Possuir capacidade de informar a utilização especifica de uma regra de
Firewall;
Possuir capacidade de organização das regras do Firewall, podendo
inserir determinada regras em locais determinados;
Possuir capacidade de configurar endereços IPs por NAT de origem,
destino e serviço;
Possuir roteamento IPv4 e IPv6 para a configuração de rotas estáticas
e dinâmicas;
Possuir capacidade de inspeção avançada para detectar e bloquear
programas tais como IM, P2P, Web 2.0, voz/vídeo e aplicações tipo
TeamViewer e compatíveis;
Possuir capacidade de aplicar ACL (Access Control Lists) para todas
as interfaces;
As ACL devem ser baseadas em interfaces de camada 3 (IP) e
camada 4 (TCP e/ou UDP), com capacidade de aplicar diretivas de log
para cada linha;
Possuir capacidade de AAA (Authentication, Authorization and
Accounting), sendo que o Accounting pode ser realizado através do
servidor RADIUS;
Possuir protocolo de gerenciamento SNMPv2 e v3;
Suportar a importação e exportação dos arquivos de configurações
através de protocolo seguro SSH;
A identificação do usuário registrado no Microsoft Active Directory,
deverá ocorrer sem qualquer tipo de agente instalado nos
controladores de domínio e estações dos usuário;
Para usuários e máquinas não registradas ou reconhecidas no
domínio, a solução deve ser capaz de fornecer uma autenticação
baseada em navegador;
Deve suportar autenticação para dispositivos moveis tipos Smartphone
e Tablet;
Não deve causar impacto nos controladores de domínios existentes;
Deve suportar autenticação Kerberos transparente para single “sign
on”;
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Permitir a criação de politicas granulares utilizando as seguintes
opções integradas do AD:
Por usuários;
Por grupos;
Por nome das máquinas.
Na integração com o AD deve suportar a inclusão de todos os
controladores de domínio em operação na rede e sem utilização de
scritps de comando;
Deve ser capaz de criar perfis de identidade para ser utilizado em
todas as aplicações de segurança;
A solução de identificação de usuário deverá se integrar com outras
funções exigidas do appliance;
A solução deve possibilitar ao administrador realizar a integração com
o AD através de um assistente de configuração na própria interface
gráfica do produto;
Possuir capacidade de encerramento de sessão via “time-out”;
Deve suportar para expansão futura a possibilidade de criar Firewalls
virtuais;
O sistema deve possuir performance de VPN de no mínimo 1.0 Gbps
(3DES/AES);
O sistema VPN IPSec deve possuir suporte para VPN Client baseados
em software do fabricante para os sistemas operacionais Windows,
Mac e Linux;
O sistema VPN SSL deve possuir suporte aos serviços ou aplicações
baseados nos protocolos TCP e UDP, podendo ser implementado
através de controle ActiveX, Applet Java ou qualquer “plug-in”
adicional;
Possuir suporte para o protocolo DPD (Dead Peer Detection) e permitir
a configuração de “split tunneling”;
Deve suportar serviços de VPN baseado no padrão IKE (Internet Key
Exchange) – contendo os modos (Main e Aggresive);
Possuir os algoritmos de criptografia de VPN RSA, DES, 3DES, AES e
Perfect Forward Secrecy (Diffie-hellman Group 1, 2 e 5). Os algoritmos
Hash MD5 e SHA-1 devem estar inclusos;
Possuir autenticação RADIUS e no caso de VPN SSL deve possuir
integração direta com LDAP (Microsoft Active Directory);
Possuir suporte para integração de Public Key Infrastructure (PKI) para
autenticação da VPN;
Deve suportar Certificate Authority (CA), para o gerenciamento de
chaves públicas e privadas para múltiplos pares de VPNs;
Deve suportar certificados X.509 e CRL (Certificate Revocation List);
Possuir suporte nativo a publicação via VPN SSL de pastas
compartilhadas de servidores de arquivos baseados em Microsoft
Windows (protocolo SMB/CIFS);
Possuir capacidade de estabelecer VPN através de redes com
ambiente NAT/PAT e suportar transparência de conexões IPSEC a
NAT, através de encapsulamento dos pacotes IPSEC em TCP e UDP;
A configuração da conexão VPN SSL deve ser completamente
automatizada e transparente para o usuário final;
Permitir a configuração de “time-out” por inatividade dos usuários,
exigindo que o usuário se autentique novamente diante de inatividade
na conexão;
O serviço de VPN SSL deve permitir o acesso disponível para o
usuário após o processo de autenticação, contendo as aplicações que
o usuário possui acesso com base nas permissões e privilégios
definidos;
O serviço de VPN SSL deve possuir suporte para os seguintes
navegadores (Explorer, Firefox e Chrome);
Possuir capacidade de controlar regras por usuários e aplicações via
VPN;
•
O sistema VPN deve possuir suporte para dispositivos moveis como
Smartphone e Tablet, para no mínimo os sistemas operacionais
Android e iOS.
•
Solução de prevenção contra invasões – IPS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Possuir performance mínima de 4 Gbps para a função de IPS,
baseada na RFC 3511 (Benchmarking Methodology for Firewall
Performance), RFC 2544 e RFC 1242.
A solução de IPS deverá ser ofertada sempre em conjunto com a
solução de firewall (item 3.7.1.7), podendo a mesma ser implantada
como módulo adicional (licença ou módulo físico) ou appliance
adicional desde que seja do mesmo fabricante da solução de firewall.
O administrador deve ser capaz de configurar a inspeção para proteger
apenas os hosts internos da rede.
A solução de IPS deve fornecer perfis de políticas pré-definidas que
podem ser utilizadas de forma imediata pelo administrador.
A solução deve permitir a pré-configuração de no mínimo 15 perfis de
proteção de IPS que podem ser utilizados a qualquer momento.
Possuir habilidade de proteger simultaneamente múltiplas sub-redes
e/ou VLANs.
Possuir opções para criar perfis de proteção baseada em cliente ou
servidor, ou uma combinação de ambos.
Deve incluir pelo menos os seguintes mecanismos de detecção:
Assinaturas de vulnerabilidades e exploits;
Assinaturas de ataque;
Validação de protocolo;
Detecção de anomalia;
Detecção baseada em comportamento.
O administrador deve ser capaz de configurar a inspeção somente
para tráfego entrante (inbound).
Possuir capacidade de analisar pacotes incluindo a camada de
aplicação, buscando padrões conhecidos de ataques, aplicações
maliciosas e analise comportamental para identificação de ameaças.
Possuir capacidade de detecção contra ataques por busca de
vulnerabilidades, falhas em tentativas de login e seqüestro de seção
TCP.
O IPS deve incluir no mínimo 2.000 definições de ataques que
protejam tanto clientes como servidores.
A solução deverá analisar (“scannear”) todos os pacotes de trafego e
gerar o registro de eventos.
O IPS deve incluir a habilidade de interromper temporariamente as
proteções para fins de “troubleshooting”.
Possuir e prover mecanismo de atualização automática da base de
assinaturas utilizadas para detecção de ameaças.
Possuir capacidade de inspeção GRE (Generic Routing Encapsulation)
e bloquear ou restringir tráfego P2P mesmo tunelado em protocolo
HTTP, sem prejuízo a navegação Web.
Possuir capacidade de criar diferentes regras com diferentes proteções
ativadas para o IPS.
O mecanismo de inspeção deve receber e implementar em tempo real
atualizações para os novos ataques sem a necessidade de reiniciar o
appliance.
O administrador deve ser capaz de ativar novas proteções baseado em
parâmetros configuráveis como: Impacto na performance;
Severidade da ameaça;
Proteção dos clientes;
Proteção dos servidores.
O IPS deve fornecer um mecanismo automatizado para ativar ou
gerenciar novas assinaturas de atualizações.
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
A solução deve ser capaz de detectar e prevenir as seguintes
ameaças: 1 Exploits e vulnerabilidades específicas de clientes e
servidores;
Comunicação outbound de malware;
Tentativas de tunneling;
Ataques genéricos sem assinaturas pré-definidas.
Para cada proteção, possuir a descrição da vulnerabilidade da
ameaça, e a referência de mercado baseado na Common
Vulnerabilities and Exposures (CVE).
Para as proteções suportadas, deve incluir a opção de adicionar
exceções baseado na origem, destino, serviço ou combinação dos três
anteriores.
A solução deve fazer captura de pacotes para proteções específicas e
analise avançada.
Deve incluir a habilidade de detectar e bloquear ataques protegendo
dos seguintes ataques conhecidos:
IP Spoofing;
SYN Flooding;
Ping of death;
ICMP Flooding;
Port Scanning;
Ataques de força bruta a IKE e man-in-the-middle com VPN.
A solução deve ser capaz de inspecionar e filtrar os principais
protocolos conhecidos, a fim de buscar aplicações que possam
comprometer a segurança da empresa, como P2P (BitTorrent) e
Instant Messaging (IM), mesmo quando elas pareçam ser tráfego
válido.
Deve possibilitar a criação de novas assinaturas para inspeção (edição
de expressões regulares).
O administrador deve ser capaz de configurar quais comandos FTP
são aceitos e quais são bloqueados a partir de comandos FTP prédefinidos.
O administrador deve ser capaz de configurar quais métodos e
comandos HTTP são permitidos e quais são bloqueados.
Deve oferecer a opção de bloquear controles ActiveX e Applets Java
que possam comprometer usuários Web.
Deve possuir tela de visualização situacional a fim de monitorar
graficamente a quantidade de alertas de diferentes severidades e a
evolução no tempo.
A solução deve permitir a configuração de inspeção do IPS baseado
em políticas que utilizem o posicionamento geográfico de
origem/destino do tráfego e endereços IP de origem/destino.
A solução deve permitir configuração de "fail-open" lógico, da função
de IPS, em situações que coloquem em risco o funcionamento das
demais funcionalidades do equipamento.
A solução deve permitir a inspeção de tráfego sobre o protocolo
HTTPS (Inbound/outbound).
A solução deve proteger do ataque de DNS cache poisoning, na qual
impede que os usuários acessem os endereços de domínio indevidos.
A solução de IPS deve incluir um modo de ”troubleshooting”, definindo
de modo rápido, o chaveamento para o modo de IDS (apenas
detecção de ataques), sem modificar as proteções individuais já
criadas e customizadas.
A solução de IPS deverá ser capaz de criar regras de exceção para
assinaturas de IPS a partir do evento visualizado.
Deverá possibilitar a criação de novas assinaturas ou a importação de
novas no formato de mercado tipo SNORT.
A solução de IPS deverá suportar a integração com solução de
correlação de eventos, para a disponibilização e geração de relatórios.
Solução de Prevenção de Vazamento de Informações
•
•
•
•
•
•
•
•
•
A solução de DLP deverá ser ofertada sempre em conjunto com a
solução de firewall (item 3.7.1.7), podendo a mesma ser implantada
como módulo adicional (licença ou módulo físico) ou appliance
adicional desde que seja do mesmo fabricante da solução de firewall.
A solução poderá ser disponibilizada como recurso habilitado na
solução de Firewall;
A solução DLP deve prover uma forma de notificar o usuário visando o
auxilio de auto-remediação ao usuário final. Desta forma, o suporte
não será requisitado de maneira desnecessária.
A solução deve ter mais de 700 tipos de filtros de dados pré-definidos,
bem como a capacidade de criação de filtros customizados.
Suportar pelo menos os padrões: PCI-DSS, HIPAA, PII
DLP deve ter uma linguagem de script aberto para criar os tipos de
dados relevantes para qualquer organização;
A solução deve suportar envolvimento do usuário na tomada de
decisões no momento de envio do e-mail.
A solução deve ser capaz de identificar no mínimo 10 tipos de dados
no padrão brasileiro, incluindo RG, Carteira de Motorista e Título
Eleitoral;
A solução, caso integrada ao Firewall, deve ser gerenciada na própria
console de gerência do mesmo.
•
•
•
•
•
•
•
•
•
•
•
A solução deve alertar ao dono do tipo de dados quando ocorrer um
incidente;
Deve suportar os tipos de transporte SMTP, HTTP, HTTPS, FTP;
Ter suporte multi linguas com detecção de conteúdo em múltiplos
idiomas, incluindo fontes UTF-8;
Deve ser capaz de identificar números de cartões de crédito
verdadeiros de números falsos, evitando assim alertas de falsopositivo;
Deve permitir ao Administrador visualizar nos logs, o e-mail com
conteúdo em que foi detectado o evento de DLP;
Deve ser possível criar listas permissivas para arquivos que não
devem ser inspecionados;
Deve ser possível ao Administrador, informar um repositório de
arquivos para que seja gerado um fingerprint a ser utilizado na política
para bloqueio no DLP;
Suporte a Servidor Exchange para inspeção de e-mails trocados
internamente na empresa;
Suportar bloquear ou permitir arquivos baseados na marca d’água;
A política deve ser granular e permitir a criação de regras por usuários
ou endereço IP;
A política deve permitir ficar apenas em modo de detecção, informar o
usuário, perguntar ou prevenir;
Solução de Correlação de Eventos de Segurança
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
A ferramenta de correlação pode ser do próprio fabricante da solução
de Firewall/IPS ou solução de terceiros para correlacionar os eventos
de ataques e deve possibilitar receber eventos das soluções de
Firewall/VPN e IPS ofertadas neste edital e de soluções de mercado
como Snort, Cisco, NetScreen, Check Point e ISS.
A solução não deve ter limitação para a geração de eventos, o
limitador deve ser o espaço disponível em disco.
Deve permitir a criação de filtros com base nas seguintes
características do evento:
Origem e destino;
Serviço;
Severidade;
Nome do ataque.
A solução dever ser capaz de criar filtros que permitam a visualização
de múltiplos eventos:
Principais ações;
Principais funcionalidades de segurança utilizadas do Firewall;
Principais regras que foram utilizadas de acordo com o filtro criado;
Principais aplicações utilizadas.
O resultado gerado em cada busca da base deverá apresentar um
“timeline” gráfico onde o administrador possa ter visibilidade da
volumetria diária dos acessos gerados.
Para buscas avançadas, deve permitir a utilização de expressões
regulares com caracteres coringa, operadores lógicos, entre outros.
A solução deve ter capacidade de registrar todas as funções
integradas de segurança no appliance incluindo: Firewall e IPS.
Ao executar uma busca, deve prover informações de “top sources” de
forma automática.
A solução deve ter a capacidade de busca indexada.
A solução deve ser capaz de apresentar as seguintes informações
quando o evento é gerado:
Data e horário;
Protocolo;
Porta de origem e destino;
Identidade do usuário;
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Funcionalidade de segurança integrada no appliance;
Ação executada;
Severidade.
Os registros devem ter um canal seguro para a transferência de
eventos, sendo autenticada e criptografada.
A solução deve prover visibilidade em tempo real dos eventos de
segurança gerados, para o administrador realizar “troubleshooting” de
acordo com o incidente.
Através da solução de identificação de usuário, o evento deverá ser
capaz de associar o nome do usuário, nome da máquina para cada
registro.
A solução deve prover filtros pré-definidos de eventos com maior
importância.
A solução deve possibilitar a visualização geográfica dos eventos de
segurança correlacionados.
A solução deve permitir a aplicação de filtro para diferentes linhas do
gráfico que são atualizadas em intervalos regulares, mostrando todos
os eventos que corresponda a esse filtro, permitindo ao administrador
concentrar-se nos eventos mais importantes.
Deve permitir a geração de relatórios com horários predefinidos,
diários, semanais e mensais. Incluindo principais eventos, origens e
destinos e serviços.
A solução deve incluir a opção de pesquisar dentro da lista de eventos
e possibilitar a verificação em detalhes para a investigação e analise
dos eventos.
Deve permitir ao administrador o agrupamento de eventos, incluindo
vários níveis de alinhamento.
A solução de correlação deve possuir mecanismo para detectar login
de administradores em horários irregulares.
A solução deve ser capaz de detectar ataques de tentativa de login e
senha utilizando tipos diferentes de credencias.
A solução deve apresentar um relatório sobre todas as instalações de
políticas de segurança.
Deve estar inclusa na lista de eventos a opção de gerar gráficos ou
tabelas com evento, origem e destino.
•
•
•
Deve detectar ataques de negação de serviço e correlacionar eventos
de todas as fontes.
Deve suportar a programação de relatórios automáticos, para as
informações básicas que precisa extrair de forma diária, semanal e
mensal. Também deve permitir ao administrador definir a data e a hora
que o sistema de informação começa a gerar o relatório agendado.
A ferramenta de correlação deve suportar pelo menos 25 filtros que
permitem personalizar um relatório predefinido para ser o mais próximo
às necessidades do administrador.
•
•
•
•
Deve suportar a geração de relatório gerencial, que apresente os
eventos de ataque de forma visual e modo gráfico.
A solução deve suportar os seguintes formatos de relatórios: HTML,
CSV e MHT.
Deve suportar a distribuição automática de relatórios por e-mail, fazer
upload para o servidor FTP / Web.
Deve possuir uma linha do tempo que permita ao administrador
visualizar os eventos de forma correlacionada, de modo a minimizar o
tempo gasto na tomada de decisões.
Solução de Gerência de Segurança
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Possuir uma única interface de gerência, preferencialmente Web, para
a monitoração e gerenciamento integrados dos serviços de Firewall,
VPN, IPS, DLP e Correlacionador de Eventos para fins de
gerenciamento e configuração do sistema a qual deverá estar
disponível para as plataformas Windows e/ou Linux.
Deverá ser compatível com as soluções de Firewall/VPN, IPS, DLP e
Correlacionador de Eventos solicitadas neste edital.
O servidor de gerência deverá ser fornecido em conjunto com o
appliance de Firewall (item 3.7.1.7) e poderá ser disponibilizado em
servidor físico dedicado ou em ambiente virtualizado.
Deve manter um canal de comunicação segura, com encriptação
baseada em certificados, entre todos os componentes que fazem parte
da solução de Firewall, gerência, armazenamento de eventos/logs e
emissão de relatórios.
A solução deve suportar alta disponibilidade do servidor de gerência,
utilizando um servidor de gerência em standby que será
automaticamente sincronizado com o servidor ativo.
Possibilidade de efetuar alteração de política do Firewall e aplicá-la
posteriormente em horário pré-definido, assim não impactando o
ambiente durante o horário comercial.
Possuir capacidade de definir privilégios de acesso por serviço,
podendo definir apenas leitura ou leitura/escrita, gerenciamento dos
usuários ou visualização dos eventos.
Possibilitar que as regras de Firewall sejam criadas por linha de
comando para fins de automação.
A solução deverá possuir mecanismo de verificação automática para
detecção de erro humano na configuração da política de segurança
evitando que regras como "any-any-accept" sejam aplicadas no
ambiente.
A solução deve ter um mecanismo de verificação de politica que seja
auto suficiente para não deixar que a politica seja aplicada caso seja
encontrada qualquer erro, como :
Conflito de regras;
Erro de configuração de interface;
Licença expirada.
Deve permitir a criação de regras por intervalo de tempo e/ou período
(data e horário de início e fim e validade).
Deve prover, em cada regra, a informação da utilização da mesma e
informar a primeira e última vez em que a regra foi utilizada, de acordo
com a politica estabelecida.
A solução deverá incluir um certificado base seguro com canal
criptografado de comunicação entre todos os componentes distribuídos
pertencentes a um único domínio de gerenciamento.
Deve incluir a capacidade de confiar em Certificados de Autoridade
(CA) externas ilimitadas com a opção de verificar o certificado do
appliance externo através de, no mínimo, Distinguished Name (DN) e
endereço IP.
A solução deve incluir uma opção de busca para poder consultar
facilmente qualquer objeto de rede configurado.
A solução deve incluir a opção de segmentar a base de regra
utilizando rótulos ou títulos de seção para organizar melhor a política
facilitando a localização e gestão das regras pelo administrador.
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Deve prover a opção de salvar automaticamente e manualmente
versões de políticas.
Os seguintes esquemas de autenticação devem ser suportados pelos
módulos de Firewall e VPN: Tokens (como SecurID), TACACS,
RADIUS, certificados digitais e dispositivos biométricos.
A funcionalidade de armazenamento de eventos deverá possibilitar a
criação de filtros usando objetos pré-definidos baseado (IP
origem/destino, nome maquina, usuários, grupo, serviço/porta,
interface, categoria de ataque) que deverão ser apresentados através
de console gráfica.
Deverá possibilitar a filtragem de eventos relacionados a ação do
administrador, verificando o "login/logout" ; aplicação e alteração de
política.
A solução deve ser capaz de exportar os eventos para uma base de
dados ou repositório externo.
A solução deverá permitir configurar para cada tipo de regra ou evento
as seguintes opções:
Log;
Alerta;
Enviar trap SNMP;
Envio de e-mail.
Prover mecanismo de visualização de eventos em tempo real das
funções de segurança, com uma prévia sumarização para fácil
visualização de no mínimo as seguintes informações:
Funções de segurança mais utilizadas;
Origem e destino mais utilizados;
Regras mais utilizadas;
Aplicações mais utilizadas;
Usuários com maior atividade.
A solução deve fornecer as seguintes informações sobre o appliance:
Licenciamento das principais funções e prazo de validade;
Interfaces;
Utilização da CPU;
Utilização de memória;
Trafego gerado por aplicações;
Conexões de estabelecidas e bloqueadas;
Conexões de NAT;
Regras configuradas;
Thresholds;
Tuneis VPN (site-to-site e cliente-to-site)
A solução dever possuir contadores que possam apresentar os
seguintes relatórios gráficos pré-configurados:
Histórico e principal utilização de recurso do Firewall;
Histórico e principal conteúdo inspecionado;
Histórico e principal utilização de recurso da conexão VPN.
O sistema deverá ser capaz de criar “query” para visualização gráfica
de consumo por interfaces, sendo mandatória a associação dos
principais serviços de internet consumidos;
A solução de monitoração deverá ser capaz de possuir filtro onde
consegue monitor todos os usuários remotos logados.
•
•
•
•
•
•
•
•
A solução deve incluir a opção de capturar o tráfego em arquivo para
posterior visualização em qualquer momento.
A solução deve ser capaz de reconhecer falhas e problemas de
conectividade entre dois pontos conectados através de uma VPN, e
registrar e alertar quando o túnel VPN está desconectado.
Deve permitir ao administrador o agrupamento de eventos baseado em
opções de filtragem, incluindo vários níveis de alinhamento.
Possibilidade de aplicar filtros por objetos e regras definidas.
Possuir gerenciamento através de interface CLI (command line
interface), através da porta de console e protocolo SSH.
Possuir os protocolos Netflow e SNMP v2/v3.
Possuir o protocolo NTP para sincronização de hora/data.
Possuir a capacidade de “troubleshooting”, visualizar em tempo real e
registrar todas as conexões estabelecidas através do Firewall,
•
•
•
•
•
contendo as informações de data / hora, origem e identificação de
cada evento.
Possuir a capacidade de criação de diversos usuários para
gerenciamento e com diferentes níveis de acesso.
Possuir capacidade de gerar eventos contendo os seguintes níveis:
critico, alerta, erro, notificação e debug.
Possuir capacidade de auditoria indicando qualquer alteração de
configuração realizada no Firewall (usuário, ação e horário).
Possuir capacidade de enviar alertas através de e-mail e por meio do
protocolo SNMP sobre os eventos de segurança gerados pelo Firewall
/IPS.
Possuir capacidade de capturar mensagens em tempo real para
analise de “troubleshooting” contendo a data/hora do evento, endereço
IP origem / destino e descrição do evento e com a possibilidade de
aplicar filtros por endereços IP, portas TCP / UDP entre outros.
Solução de Auditoria e Firewall de Banco de Dados
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
A solução deve ser baseada em appliance físico com sistema
operacional e software para o propósito específico aqui descrito,
embarcados no hardware, sendo todos esses itens fornecidos pelo
próprio fabricante ou appliance virtual com sistema operacional e
software para o propósito específico aqui descrito em plataforma de
virtualização homologada pelo fabricante;
Cada appliance físico ou virtual deve incluir sistema operacional e
softwares proprietários, destinados para a finalidade de Database
Firewall, bem como as licenças necessárias para o seu funcionamento
e proteção de ilimitados servidores.
Deve ser possível implementação distribuída, com appliances
geograficamente afastados, e gerenciamento de forma centralizado
através de uma console única;
No caso de appliance físico, cada equipamento pertencente à solução
deve ter, pelo menos, as seguintes características:
Redundante sistema de ventilação.
Fonte de alimentação redundante.
Possuir pelo menos três interfaces Ethernet 1000Base-TX
Possuir, no mínimo, uma interface Ethernet 100Base-TX para
gerenciamento out-of-band.
Deve possibilitar o modo de inspeção in-line com suporte a bypass
interno.
A solução deve ser capaz de integrar-se na rede de modo que a coleta
do tráfego seja feito através de espelhamento de porta. Deve
possibilitar o modo de inspeção in-line com suporte a bypass interno,
no caso de appliance físico.
Deve monitorar e registrar os seguintes eventos das bases de dados
de plataforma avançada:
Alterações em Esquemas de Dados (CREATE, DROP, ALTER) – DDL
(Data Definition Language);
Alterações em Dados (INSERT, UPDATE, DELETE) – DML (Data
Manipulation Language);
Acessos a Dados (SELECT, EXECUTE) – DQL (Data Query
Language);
Eventos de segurança (GRANT, REVOKE, DENY) – DCL (Data
Control Language).
Logins validos, inválidos e rejeitados;
Logout;
Tentativas de acesso ao repositório de auditoria; 8 Atividades de
gerenciamento de contas de usuários (criação, alteração de senha,
etc.);
Alterações nas configurações de segurança;
Registro de criação, exclusão e alocação de objetos físicos de bancos
de dados;
Tentativas de acesso ao sistema operacional por comandos do banco
de dados;
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Finalização (shutdown), erros e reinicialização do banco de dados
comandados por instruções SQL;
Deve suportar os seguintes Softwares Gerenciadores de Banco de
Dados, independente de tecnologia de Hardware e Sistemas
Operacionais, inclusive operando em cluster com no mínimo, dois
servidores ou partições em cada cluster:
Oracle versões 8, 9, 10, e 11;
DB2 on Linux, Unix and Windows - Versões 7.2, 8, 9, e 9.5;
Microsoft SQL Server versões 7, 2000, 2005, e 2008;
MYSQL 4.1 e 5.0;
Infomix;
Sybase;
PostgreSQL;
Deve possuir recurso de gerenciamento centralizado, permitindo
gerenciar o sistema de vários pontos da rede de forma segura e
configurar politicas e regras de forma centralizada;
Deve ser dotado de arquitetura expansível, permitindo adicionar pontos
de monitoração distribuída totalmente integrados (através do uso de
um modelo concentrador);
Toda a transmissão de dados entre os componentes de um sistema
distribuído deve ser criptografada e digitalmente assinada;
Deve permitir a administração e gerenciamento centralizado de
múltiplas redes dispersas geograficamente e elevados volumes de
processamento;
Deve registrar atividades executadas diretamente na console do banco
de dados;
Deve possuir funcionalidade integrada para geração automática e
programada de relatórios tipo painel de controle com a visão
instantânea de indicadores-chave da segurança do Banco de Dados,
permitindo analisar constantemente as vulnerabilidades das bases de
dados. Estas medições podem ser obtidas sistematicamente e
automaticamente em tempo real e/ou em bases históricas, realizando
uma comparação da segurança verificada no Banco de Dados em
relação às politicas de segurança preestabelecidos (SLAS);
Deve disponibilizar recurso de mapa de acesso cliente-servidor, que
forneça uma visão instantânea das interações das “Aplicações” e
“Clientes” com o Banco de Dados de forma visual. O gráfico resultante
devera ter recursos de personalização variada permitindo visualizar
comandos específicos executados nas bases monitoradas,
identificando quais as aplicações, usuários e endereços IP que
originaram as chamadas, permitindo ainda a utilização de “drill-down”
automático a partir de qualquer entidade representada no gráfico, sem
a necessidade de alteração de aplicações ou utilização de API’s;
Deve exportar relatórios para formato CSV, Html ou PDF para analises
e apresentações independentes;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Deve implementar recursos de detecção, prevenção de intrusões e
geração de alertas em tempo real baseado em informações da rede,
aplicação e banco de dados, podendo agir como um verdadeiro firewall
de banco de dados e aplicação, através de politicas flexíveis
implementadas pelo usuário, incluindo entre outras funcionalidades:
Terminate session;
Drop session;
Deve permitir implementar politica de controle de abertura de sessões
nos bancos de dados através de envio de comandos do tipo TCP
RESET a fim de derrubar conexões que infrinjam a politica vigente,
mesmo em implementações onde o appliance e implementado em
modo passivo;
Deve rastrear a execução de “stored procedures”;
Deve identificar quem executou a “stored procedure”;
Deve identificar quando “stored procedure” foi executada;
Deve auditar a criação e alteração de "stored procedures";
Deve identificar "stored procedures" que potencialmente afetem
determinados objetos considerados críticos e permitir;
Deve rastrear todas as alterações relacionadas à segurança das
permissões de acesso;
Deve rastrear todas as alterações de usuários e direitos (roles),
incluindo criação, deleção, modificação de usuários, cargos e de
permissões especificas (grants), tais como comandos GRANT, SET
ROLE, REVOKE, DBCC, BACKUP, RESTORE e KILL, assim como
toda e qualquer atividade sobre estruturas do banco de dados
Deve capturar e armazenar toda a atividade de login dos bancos;
A solução deve incluir funcionalidade integrada de análise de
vulnerabilidades de bancos de dados, sendo capaz de processar mais
de 1000 diferentes tipos de testes em busca de falhas, má
configuração dos bancos e de seus respectivos sistemas operacionais.
A funcionalidade de análise de vulnerabilidades deve conter políticas
de testes pré-definidas que contemplem testes de conformidade com
normativos de mercado, como PCI-DSS, SOX e HIPAA, políticas de
testes específicas para aplicativos de mercado, como SAP, Oracle
EBS e PeopleSoft.
Devem ser realizados no mínimo os seguintes testes:
Ultimas versões de patches e releases instalados;
Alterações nos arquivos das bases de dados;
Utilização de contas (usuários e senhas) padrões de cada fabricante;
Direitos de acesso concedidos a usuários.
Os testes e análise de vulnerabilidades devem ser realizados
periodicamente ou sob demanda, sobre um grupo de servidores
previamente definidos, sem a necessidade de interferência de um
administrador ou DBA;
A solução deve ser capaz de mensurar o nível de conformidade com
as políticas internas customizadas pelo administrador dos recursos e
responsável pela segurança;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
A solução deve prover ferramentas eficazes de gerenciamento e
mitigação de riscos e ameaças aos dados armazenados nas bases de
dados, tais como oferecer mecanismos de “Virtual Patching”, ou seja,
bloquear tentativas de ataques às vulnerabilidades encontradas,
mesmo antes dos seus fabricantes/fornecedores desenvolverem e
publicarem os patches e correções das mesmas;
A solução deve ser capaz de alertar qualquer tentativa de ataque antes
mesmo desse trafego chegar aos servidores, além de realizar o
bloqueio opcional do mesmo, seja via TCP-RESET ou de forma
proativa, bloqueando o tráfego malicioso antes de chegar aos
servidores de destino, através de uma implementação “inline” do
produto;
A solução deve suportar a importação de PKCS12 e certificados PEM.
A solução deve suportar SSL versão 2 e 3.
A solução deve suportar conexões descriptografar SQL.
A solução deve emitir um alerta quando não é possível descriptografar
o tráfego SSL por não ter o certificado correto e uma chave privada.
A solução deve suportar a interpretação de usuários ocultos em
MSSQL Kerberos
Possuir interface de gerenciamento gráfica acessível via browser;
Possuir interface de gerenciamento exclusiva, do tipo out-of-band;
Suportar implementação distribuída com gerenciamento e emissão de
relatórios centralizada;
A solução deve possuir opção de instalação transparente, para que
possa ser implementado ou retirado da rede sem que haja qualquer
alteração de topologia e configuração dos dispositivos que compões o
ambiente;
A solução deve suportar updates automáticos da base de assinaturas
de ataques, garantindo completa proteção contra as mais recentes
ameaças;
Para implementação inline, a solução deve suportar failover
nativamente além de opções de fail-open (bypass) e fail-closed;
Deve ser possível exportar eventos a servidores Syslog ou SNMP;
Nível de log e filtros devem ser configuráveis;
A solução deve gerar, no módulo integrado, relatórios pré-definidos e
relatórios customizados;
Os relatórios devem ser disponibilizados sob demanda ou
programados via agendamento;
A interface gráfica de gerenciamento deve prover painel de
visualização em alto nível, com informações em tempo real sobre o
status do sistema e da atividade do tráfego de banco de dados
monitorado;
A quantidade máxima e o valor de cada lote de recurso deverão estar
especificados na TABELA RECURSOS PARA INFRAESTRUTURA
FÍSICA do ANEXO I-C;
Serviço de rede elétrica estabilizada e continua através de No-Break
•
•
•
•
•
•
•
•
•
A CONTRATADA deverá disponibilizar, quando solicitado pela
CONTRATANTE, equipamentos de Nobreak para auxiliar na execução
dos serviços prestados quando necessários, com especificações
mínimas descritas abaixo:
Saída
Potência de Saída de 8000 Watts / 10 kVA;
Potência Máxima Configurável de 8000 Watts / 10 kVA;
Tensão nominal de saída de no mínimo 230V;
Frequência de Saída (sincronizada com rede elétrica): 50/60 Hz +/- 3
Hz ajustável pelo usuário +/- 0.1;
Tipo de Topologia: Dupla Conversão Online
Tipo de Forma de Onda: Onda senoidal
Conexões de Saída: No mínimo (4) IEC 320 C13, (4) IEC 320 C19 e
(4) IEC Jumpers
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
•
•
•
•
•
•
Entrada
Tensão nominal de entrada de 230V;
Frequência de entrada: 50/60 Hz +/- 5 Hz (auto sensing);
Intervalo de tensão de entrada ajustável para as principais operações:
160 - 280V;
Baterias & Tempo de operação
Possuir Bateria selada Chumbo-Acido livre de manutenção: a prova de
vazamento;
Possuir no mínimo 4 Baterias Pré-Instaladas;
Comunicação & Gerenciamento
Display de LED com barra gráfica para carga e bateria e indicadores
de On line : Troca de bateria : e Sobre Carga e Bypass;
Soar alarme quando na bateria: Alarme distinto de pouca bateria : tom
de alarme continuamente sobre carregado;
•
•
•
•
Proteção contra surtos e filtragem
Filtragem de pólos múltiplos de ruídos : passagem do surto de 0.3%
IEEE : tempo de resposta de 'clamping' zero : de acordo com UL 1449
Físico
Dimensões máximas de altura: 432.00 mm
CEP: 60.150-150 – Fone: 85 3533.5800 / Fax: 85 3533.5813 •
•
•
•
Dimensões máximas de largura: 263.00 mm
Dimensões máximas de profundidade: 736.00 mm
Altura do Rack: 6U
Peso Líquido: 110.91 KG
P á g i n a 21 | 21

Ata de Registro de Preços para o Sistema "S"

Transcrição

Documentos relacionados

Informação

1 - Michael Douglas dos Santos/Insc. Nº 001 2

Pedido de compra de Mercadorias

9ª Chamada - Concurso de Residência Médica

Memorial - Prefeitura de Vacaria RS

CONCURSO DE SELEÇÃO E CLASSIFICAÇÃO

FICHA DE INSCRIÇÃO ENCONTRO DE NEGÓCIOS

Segurança na internet

resultado 1 cham vest bolsista 2016-2 direito noite