Teknik şartname

TÜRKİYE İŞ KURUMU
GÜVENLİK VE LİSANS İHALESİ
TEKNİK ŞARTNAMESİ
 Ocak 2009 
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 1 / 11
1.
1.1.
KONU, AMAÇ VE KAPSAM
KONU
Bu teknik şartname, Türkiye İş Kurumu Genel Müdürlüğü için gerekli güvenlik ve lisans
alımlarını konu alır.
1.2.
AMAÇ
Bu teknik şartname kapsamında tedarik edilecek lisansların amacı Türkiye İş Kurumu
Genel Müdürlüğü’de halen kullanılmakta olan ve kullanılması düşünülen yazılımları satın
almak, yeni tedarik edilen PC, Notebook ve Sunucu bilgisayarlarda kullanılacak olan
yazılımların lisanslarını bu ürünlerle uyumlu olacak şekilde tedarik etmek, tedarik
edilecek yeni lisansların garanti süresi boyunca güncellemelerini yapmaktır.
1.3.
KAPSAM
Bu ihale kapsamında, Türkiye İş Kurumu Genel Müdürlüğü; Ağ, Sunucu, Personel
Bilgisayarlarının Güvenlik ve Lisans ihtiyaçlarına yönelik olarak yazılımlar temin
edecektir.
2.
TANIMLAR
İdare
: Türk İş Kurumu Genel Müdürlüğü
Firma
: İhaleye Teklif Veren Firma
Dokümantasyon: Bilgisayarın işletim, bakım-onarım, eğitim konularında kullanılmak
üzere ilgili firma tarafından yayımlanmış her türlü kitap, basılı form, not, resim, şekil,
plan, prospektüs, broşür, CD ve bunların benzerleridir.
Hizmet: Bu teknik şartname kapsamında firmanın gerçekleştireceği bütün faaliyetlerdir.
İşgünü: Resmi tatil günleri ve hafta sonu (Cumartesi, Pazar) günleri haricindeki diğer
günlerin 08:30 ile 17:30 arasındaki saatleridir.
Yazılım: Bir bilgi sisteminin işleyişi ile ilgili bilgisayar programlarının, yordamlarının,
kuralların ve gerektiğinde belgelemenin tümüdür.
Yazılım Güvencesi Lisansı: Tedarik edilmiş lisanslı herhangi bir ürünün çıkarılacak en
son sürümünü, anlaşma dönemi kapsamında yükseltme ve çalıştırma hakkıdır.
3.
3.1.
İSTEK VE ÖZELLİKLER
GENEL
Bu şartnamede tarif edilen bütün ürünler;
Türkiye İş Kurumu Genel Müdürlüğü’nde halen kullanılmakta olan Microsoft ürünleri ve
Aktif Dizin ile uyumlu olarak çalışacaktır.
Lisanslar belirli bir cihaza değil kurum adına kayıtlı Kurumsal Lisans olacaktır
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 2 / 11
3.2. LİSANS DOKÜMANININ ÖZELLİKLERİ
Tedarik edilecek ürünlerin adetlerini, kullanım haklarını ve sürelerini gösterir belge,
ürünlerin CD Kitleri ile birlikte Kurum’a teslim edilecek, Lisans Dokümanı ise garanti süresi
sonunda düzenlenecek ve garanti süresi sonunda mevcut olan güncel versiyonları
içerecektir.
* Lisansların üzerinde lisans tipi ve kullanıcı sayısı yazılı olacaktır.
* Üzerinde lisans numarası olacaktır.
* Üzerinde düzenleme tarihi yazılı olacaktır.
* Türkiye İş Kurumu Genel Müdürlüğü - Ankara “ adına olacaktır.
* Üzerinde miktarı yazılı olacaktır.
3.3. LİSANSLARIN DİLİ
Bütün Lisansların İngilizce veya Türkçe versiyonlarının kullanım hakkı olacaktır.
3.4
DESKTOP STANDARD PLATFORM LİC/SA ( 3YIL ) LİSANSI
En az aşağıdaki ürünleri içerecektir:
-Windows Vista Enterprise Upg/SA 3Yıl
-Office Standard Lic/SA 3 Yıl
-Core CAL Lic/SA 3 Yıl
3.5
DESKTOP PROFESSİONAL PLATFORM LİC/SA ( 3YIL ) LİSANSI
En az aşağıdaki ürünleri içerecektir:
-Windows Vista Enterprise Upg/SA 3Yıl
-Office Pro Plus Lic/SA 3 Yıl
-Core CAL Lic/SA 3 Yıl
4.
GÜVENLİK DUVARI
Teklif edilecek tüm Güvenlik Duvarı çözümleri aynı ve tek bir marka olmalı ve en az
aşağıdaki özelliklere sahip olmalıdır:
4.1.
Platform bağımsız ve Güvenlik Duvarı ile VPN işlevleri bütünleştirilmiş bir çözüm
olmalıdır. Bu Güvenlik Duvarı /VPN çözümü, istendiğinde, bu amaçla geliştirilmiş özel bir
donanım platformu (appliance) üzerinde çalışabileceği gibi; Solaris, Linux, Windows, AIX
gibi işletim sistemleri üzerinde veya kendi üreticisi tarafında geliştirilmiş ve güçlendirilmiş
bir işletim sistemi üzerinde de çalışabilmelidir. Bu platformlardan birinden diğerine geçiş
gerekli olursa, ayrı bir lisans ücreti talep edilmemelidir.
4.2.
Önerilecek güvenlik duvarı kendi işletim sistemine sahip ise, NIC başına en az 255 sanal
interface desteklenecektir.
4.3.
Güvenlik Duvarı Yazılımı, mimari açıdan IP Paket filtreleme ve Proxy yazılımlarının
özelliklerini bünyesinde bulunan hybrid bir yapıya sahip olmalıdır.
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 3 / 11
4.4.
(ikinci) ile 5. (beşinci) katmanlar arasındaki ağ trafiğini izleyebilmelidir.
4.5.
Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır.
4.6.
Çift işlemci (multi core olabilir) desteği olacaktır.
4.7.
Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir adres
arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da
bire bir adres çevrim özelliği olmalıdır (NAT Desteği).
4.8.
Port adres çevrim (PAT) özelliğine sahip olmalıdır.
4.9.
Ağda hali hazırda kullanılan uygulama ve sistem yazılımları üzerinde herhangi bir
değişiklik yapma gereksinimi olmamalıdır
4.10.
İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri
desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir.
4.11.
Saat, gün, tarih, periyot bazında erişim kontrolü yapabilmelidir
4.12.
DoS (Denial of Service) ataklarına karşı koyabilmelidir. (Örneğin SYN Flooding veya
LAND)
4.13.
Gelişkin anti-spoofing özelliği olmalıdır.
4.14.
Yüklü olduğu makinada, internete bağlı arayüzün dinamik IP adreslemesini destekliyor
ve buna göre NAT yapabiliyor olmalıdır.
4.15.
Güvenlik Duvarı yazılımın konfigürasyonu grafiksel bir arabirimle (GUI) yapılabilmelidir.
Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve
güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only, Monitor Only
gibi).
4.16.
Üst üste oluşan olağan dışı port taramaları, login hataları, land atakları, syn atakları,
spoof girişimleri, bağlantı kurulmasına izin verilen server ya da portlara yoğun bir şekilde
aynı IP adresinden yapılan bağlantılar gibi olağan dışı durumları tespit edebilmeli ve
gerçek zamanlı alarmlar üretebilmelidir (Süpheli Aktivite Tespit Desteği). Belli bir kaynak
adresten belli bir hedef adres(ler)e doğru, Güvenlik Duvarı yöneticisi tarafından
tanımlanan eşik seviyelerinden fazla bağlantı isteği olduğunda kaynak adresten
gelebilecek her türlü isteği otomatik olarak bloklayabilmelidir.
4.17.
Gerçek zamanlı atak tespit sistemleri ile uyum içinde çalışabilmeli ve bu tip sistemlerden
otomatik olarak gelen mesajlara göre operatör müdahalesi gerektirmeden dinamik olarak
bağlantı engellemesi ya da engellenen bağlantılara izin verilmesi işlemini yapabilmelidir.
4.18.
Herhangi bir anda kurulmuş olan bağlantıları on-line olarak izleyebilme olanağı olmalıdır.
Söz konusu bağlantılar operatör tarafından bloklanabilmeli ve bu blokaj bilgisi tek
merkezden yönetilen tüm Güvenlik Duvarı modüllerine dağıtılabilmelidir.
4.19.
“Connection Accounting” yapabilmeli, kimin ne kadar süre ile ne kadar miktarda veri
aktardığının kaydını tutabilmelidir.
4.20.
Tutulan kayıtlar çeşitli formlarda değişik Log analiz yazılımlarına aktarılabilmelidir. Aynı
zamanda on-line olarak tutulan kayıtlar içinde süzme yapılabilmelidir.
4.21.
Kontrol edebileceği network interface sayısı en az 6 (altı) adet olmalıdır.
4.22.
Ethernet, FastEthernet ve Gigabit Ethernet desteği olmalıdır.
4.23.
Ağ yönetim yazılımları ile entegrasyon için SNMP desteği olmalıdır.
4.24.
Üzerinden geçen tüm trafiğe ait kayıtları tutmalıdır (Bağlantı süresi, kaç bayt geçtiği vb).
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 4 / 11
4.25.
HTTP, SMTP ve FTP bağlantılarında detaylı kayıt tutmalı ve alıp verilen tüm dosyalar ile
erişilen bütün adresler hakkında detaylı bilgi vermelidir.
4.26.
Görsel ve işitsel olarak alarm verebilmelidir.
4.27.
FTP, HTTP, SMTP gibi protokollere ait komutları denetleyebilmelidir (PUT, GET, POST
gibi).
4.28.
MS RPC, DNS, Email ve Peer-to-Peer (P2P) (for non-Web traffic) uygulamalarına
yönelik önlemlere sahip olmalıdır.
4.29.
H.323, SIP, MGCP ve SCCP (Skinny) dahil tüm belli başlı VoIP protokollerinde gelişkin
ve kapsamlı denetleme ve güvenlik mekanizmalarına sahip olmalı ve bu protokellerden
kaynaklanabilecek bir DoS saldırısını durdurabilmelidir.
4.30.
JAVA Appletlerini, Visual Basic Scriptlerini ve ActiveX kodlarını bloke edebilmelidir.
HTML kod içeren eMail’ler için aynı kontroller yapılabilmelidir. HTML dosyalarının içinden
port redirection ve FTP string’leri ayıklanabilmelidir.
4.31.
SMTP bağlantıları üzerinde denetim mekanizmasına sahip olmalıdır. Belirlenecek
adreslerden gelebilecek eMail'lere engel olabilmeli ve belirli bir uzunluktan büyük
eMail'ler iptal edilebilmelidir. Korunan network’lere ait mail domain’lerinin isimleri belli bir
ortak isim arkasında saklanabilmelidir
4.32.
SMTP için Anti-Relay özelliği olmalıdır
4.33.
Üçüncü parti içerik kontrol yazılımları ile uyum içinde çalışabilecek şekilde açık bir
mimariye sahip olmalıdır.
4.34.
Kullanıcı kimlik gerçeklemesi çift yönlü olmalıdır.
4.35.
Telnet, FTP gibi genel servislerin authenticate edilmesinin yanı sıra istenilen her servisin
authenticate edilmesi Güvenlik Duvarı tarafından desteklenmelidir. Bunun için istemciler
üzerinde herhangi bir yazılım yüklenmesi gerekmemelidir.
4.36.
RADIUS, TACACS, TACACS+, SecureID gibi dinamik password’ler ile tanımlama
mekanizmalarını desteklemelidir.
4.37.
Yapısı itibariyle SMP (Symmetric Multi Processing) özelliğini desteklemelidir. Birden
fazla işlemciyi performans artışı için birlikte kullanabilmesi için gerekli ayrı bir lisans
varsa teklife eklenmelidir.
4.38.
En az iki adet eşdeğer Güvenlik Duvarı yazılımının yük paylaşımlı şekilde çalışabileceği
yapıda teklif edilmelidir.
4.39.
Güvenlik Duvarı yazılımı, dinamik bant genişliği denetimi yapabilmeli, yönettiği trafikle
ilgili her türlü veriyi ve raporu real time görüntüleme imkanına sahip olmalıdır. Ağırlık,
garanti, limit kriterleri üzerinden dinamik bant genişliği denetimi yapabilmelidir.
4.40.
SQL-Net,
MS Exchange (Directory Replication, Directory Services XDS vs.),
NetMeeting, H.323 (Gateway, Gatekeeper Mode), SIP, Skinny, MGCP, SIP-T gibi
popüler servisleri desteklemelidir
4.41.
HTTP trafik akışı içersindeki RFC istek metotları için gerekli kontrolleri yapabilmeli ve
protokol anormalliği olup olmadığını anlayacak ve MIME çeşit ve içerik kontrollerini
yapabilecektir
4.42.
Web uygulama portları içinden tünelleme yöntemiyle taşınan ve anlık mesajlaşma ve
dosya paylaşımı gibi imkanlar sağlayan P2P programları (MSN, Microsoft Messenger,
Yahoo Messenger, KazaA, BitTorrent vb.) tespit edecek ve istenirse engelleyebilecektir.
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 5 / 11
4.43.
Bağlantının yeniden yönlendirilmesi, T120 baglantılarının, dinamik port kullanımının
engellenmesi, protokolol uygunluğunun gibi H323 protokolune ilişkin kontrollerini ve
protokol uygunluğunu denetleyebilmelidir.
4.44.
SIP protokolüne ilişkin; proxy veya yonlendirici sunucu (redirect server) kullanan
aramaların, SIP bazlı video/audio/IM erişimlerinin engellenmesini sağlamalıdır.
4.45.
SIP protokolünün RFC standartlarına uygun başlık (header) alanlarına sahip olup
olmadığını, paketler içerisinde illegal karakter ve binary kontrolünü yapabilmelidir.
4.46.
VOIP protokollerine karşı yapılabilecek DOS ataklarını engelleyebilmelidir.
4.47.
Sadece SNMPv3 protokolünün kullanımı zorlanabilecektir
4.48.
Saldırı Tesbit Sistemi saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen, bu
sayede 0-gün saldırılarına engel olan Protokol Anormallik Tespiti (Protocol Anomaly
Detection) teknolojisine sahip olacaktır. Önerilen saldırı önleme sistemi veritabanını
internet üzerinden güncelleyebilmeli ve bunun için gerekli 3 yıl süreli abonelik teklife dahil
edilmelidir.
4.49.
Alınacak 1 adet (cluster) güvenlik duvarı sınırsız kullanıcıyı destekleyecek şekilde
lisanslanacaktır.
5.
MERKEZİ GÜVENLİK DUVARI YÖNETİMİ
5.1.
Ortak bir yönetim platformu tarafından yönetilmelidir.
5.2.
Yaygın uç yapısını internet üzerinden sorunsuz olarak yönetebilmeli ve merkezden
belirlenen politikaları, en az çabayla, en az 5000 farklı lokasyonda çalışmakta olan farklı
büyüklüklerdeki aynı marka Güvenlik Duvarı ’lara (bölge, şube veya tek kullanıcı) en hızlı
şekilde dağıtabilmelidir. Firmalar tekliflerinde bunun nasıl gerçekleştirilebileceğini detaylı
olarak açıklamalıdır.
5.3.
Tek bir noktadan, yönetilen tüm Güvenlik Duvarı makinaları üzerine, modül, service
pack ve lisanslamalarının yüklemelerinin yapılabilmesi sağlanmalıdır.
5.4.
Aynı ve tek bir merkezi yönetim platformundan, aynı üreticiye ait tüm güvenlik bileşenleri
yönetilebilmelidir. Bu bileşenler, internet çıkışındaki veya iç katmanlarda yer alabilecek
Güvenlik Duvarı /VPN kademeleri olabileceği gibi, dahili güvenlik için üretilmiş çözümler,
SSL VPN çözümleri/özellikleri veya web güvenliği için üretilmiş çözümler/özellikler de
olabilmelidir.
5.5.
Yaygın uç yapısını kurumun sahip olduğu kurumsal ağ üzerinden sorunsuz olarak
yönetecek ve merkezden belirlenen politikaları kolayca uzak bölgelerde bulunan güvenlik
duvarı modüllerine şifrelenmiş bir protokol ile iletecektir. Güvenlik nedeniyle merkezi
yönetim sunucusuna bağlanmış bir modülün başka bir yönetim sunucusu tarafından
yönetimi mümkün olmayacaktır
5.6.
Güvenlik Duvarı , kullanıcı kimlik tanılamasını merkezi kullanıcı yönetimi (LDAP)
uygulamaları ile gerçekleştirebilmelidir. Microsoft Active Directory, Netscape Directory
Server ve Novell Directory Serverlar ile entegre olabilmeli, üzerindeki kullanıcı
tanımlarını doğrulama sırasında kullanabilmelidir. Bu amaçla, ayrı bir lisans varsa, teklif
edilmelidir.
5.7.
Yönetim yazılımı gerektiğinde dinamik IP adresine sahip uç nokta güvenlik duvarlarını da
yönetecektir.
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 6 / 11
5.8.
Yönetim yazılımı bilgisayara yüklenebilen GUI tabanlı kullanıcı arabirimine sahip
olacaktır.
5.9.
Cihazı yönetecek farklı yöneticilere farklı erişim hakları (en az tam yetki, yalnızca okuma,
yalnızca izleme) verilecektir
5.10.
Yönetim yazılımının yönetebildiği güvenlik duvarı sayısı sınırsız olacak veya 5 adet
sistemi yönetebilecek kadar lisansa sahip olacaktır.
5.11.
Herhangi bir anda kurulmuş olan bağlantıları gerçek zamanlı olarak izleyebilme olanağı
olacaktır. Söz konusu bağlantıları operatör tarafından bloklama ve bu bloklama bilgisini
tek merkezden yönetilen tüm ağ güvenlik duvarı modüllerine dağıtma imkânı
sağlayacaktır
5.12.
Cihaz üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az
IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı
izlenebilmesi sağlanacaktır.
5.13.
Yönetim yazılımı 200 (iki yüz) den fazla protokol tanımlamasını içermelidir. Gerektiğinde
ise kullanıcı tarafından ek protokol tanımlarının yapılabilmesine imkan sağlamalıdır.
6.
VPN
6.1.
Telnet, FTP gibi genel servislerin authenticate edilmesini yanı sıra istenilen her servisin
authenticate edilmesi ve istendiğinde paketlerin internet üzerinde şifreli olarak iletilmesi
sağlanmalıdır.
6.2.
FW-to-FW ve Client-to-FW şifreli tünel kurma imkanları olmalıdır. Gezici elemanlarca
kullanılacak client VPN yazılımı dinamik IP desteği sağlamalıdır.
6.3.
VPN imkanları IPSec standardını desteklemelidir. IKE şifreleme şemaları
desteklenmelidir. DES, 3DES , AES-128, AES-256 Algoritmaları ile paket şifereleme
imkanı olmalıdır. Veri bütünlüğü içim MD5 ve SHA1 algoritmalarını desteklemelidir.
6.4.
Başka bir marka Güvenlik Duvarı ile şifreli konuşacak şekilde açık bir mimariye sahip
olmalıdır.
6.5.
VPN bağlantıları için PKI desteği bulunmalıdır.
6.6.
VPN bağlantılar için Hybrid Mode Authentication ve Aggresive Mode
bulunmalıdır.
6.7.
VPN bağlantılarının dinamik yönlendirmesi (dynamic routing) sağlanmalıdır. Bir Güvenlik
Duvarı /VPN sunucusunun çökmesi durumunda, bu sunucuya yönelmiş olan tüm VPN
tünelleri kırılmadan diğer bir Güvenlik Duvarı /VPN sunucusuna yönlendirilmelidir.
6.8.
Uzak istemciler arasında VPN bağlantısı merkezi Güvenlik Duvarı /VPN sunucusu
üzerinden yapılabilmelidir.
6.9.
Gelişmiş VPN link seçim konfigurasyonlarina izin vermelidir.
6.10.
VPN trafiginin hangi istemciler veya ağ/ağlar için kurulabileceğinin yanında , kaynak ve
hedef adresler bazında trafiğin yönüne bağlı olarak kontrol edilmesine izin verebilmelidir.
6.11.
İstendiğinde VPN tüneli içerisinden akan trafik için “statefull inspection” yapılmamasi
sağlanabilmelidir.
6.12.
Kullanıcıların uzaktan sisteme güvenli olarak erişimlerini sağlamak amacıyla 25 kullanıcı
için VPN istemci lisansı temin edilecektir.
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
desteği
Sayfa 7 / 11
7.
LOGLAMA, RAPORLAMA VE TRAFİK İZLEME
7.1.
Otomatik log arşivleme özelliği (gün, saat, hafta veya belli bir boyu aşan log dosyaları
durumunda) olmalıdır. Disk doluluğu eşik değerleri tanımlanabilmeli; log üretilemediği
durumlarda Güvenlik Duvarı gateway’in trafik geçirmesi de durmalıdır.
7.2.
Merkezi yönetim dahilinde bulunan tüm Güvenlik Duvarı /VPN bileşeninden üretilen
logları yine merkezi yönetim sunucusu üzerinde toplayabilmelidir.
7.3.
Merkezi yönetim sunucusu üzerinde aynı zaman da SSL VPN, İstemci güvenliği, iç ağ
güvenlik bileşenlerine ilişkin loglar da toplanabilmelidir.
7.4.
Merkezi yönetim dahilinde bulunan tüm bileşenlerden üretilen logları merkezi yonetim
sunucusu üzerinde toplaması mumkün olabilmeli fakat ayrı bir log sunucunun bu amacla
kullanılmasına imkan verecek bir mimari sunmalıdır. Bunun için ayrı bir lisans
gerekiyorsa, teklife eklenmelidir.
7.5.
Kolay kullanılabilen bir ara yüze sahip olacak ve önceden tanımlanmış rapor formatları
bulunacaktır.
7.6.
Raporları istenildiği takdirde belirli aralıklarla otomatik olarak üretecek ve sistem
yöneticilerine e-posta ile veya bir ftp/web sunucusuna gönderecektir
7.7.
Cihazın üzerinden geçen trafikle ilgili istatistiksel ve ayrıntılı raporlar oluşturabilecek
kabiliyete sahip olacaktır
7.8.
Grafik raporlama (geriye dönük işlemci, bellek, bağlantı sayısı raporları), atak kaynağı
tespiti ve kayıt tutma özelliklerine sahip olacaktır.
7.9.
Yönetilen ağ güvenlik duvarlarına ait performans ve güvenlik duvarları üzerinden geçen
trafik ile ilgili bilgileri gerçek zamanlı olarak gösterecektir
7.10.
Herhangi bir anda kurulmuş olan bağlantıları gerçek zamanlı olarak izleyebilme olanağı
olacaktır. Söz konusu bağlantıları operatör tarafından bloklama ve bu bloklama bilgisini
tek merkezden yönetilen tüm ağ güvenlik duvarı modüllerine dağıtma imkânı
sağlayacaktır.
7.11.
Cihaz üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az
IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı
izlenebilmesi sağlanacaktır.
7.12.
Merkezi yönetim dahilinde bulunan bileşenlere ait anlık ortalama CPU, hafıza, boş alan
gibi değerler görüntülenmelidir.
7.13.
Güvenlik Duvarı /VPN bileşeni üzerinde açılmış olan VPN tünelleri ve şifrelenmiş trafik
throughput gibi detaylı bilgiler görüntülenebilmelidir.
8.
DİĞER ÖZELLİKLER:
8.1.
Protokol bazlı atakları gerçek zamanlı tespit edebilmeli ve bunun için ayrı bir lisans varsa
teklif edilmelidir.
8.2.
Tüm lisanslar en az 3 yıllık güncellemeye sahip olmalıdır.
8.3.
Cross Site Scripting, LDAP, SQL injection ve directory traversal gibi ataklara karşı
koruma sağlamalıdır. Firewall üzerinde çalışacak olan bu application firewall modülü
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 8 / 11
kurum içerisindeki 3 adet sanal ip ye sahip web sunucu bölgesini koruyacak ve 3 yıl
boyunca atak imzaları internetten indirebilecek şekilde teklif edilecektir.
8.4.
Web tabanlı atakların gerçekleştirilmeye çalışılması durumunda konfigurasyona bağlı
olarak atak yapan kişinin tarayıcısına hata mesajları veya özelleştirilebilen uyarı
mesajları göndermek mümkün olmalıdır.
8.5.
Bilinçli veya bilinçsiz olarak tarayıcıdan gönderilen parametrelere karşın, çalışan sisteme
ilişkin ipucu olabilecek hata kodlarının veya başlık (header) bilgilerinin kullanıcıya gitmesi
engellenebilmelidir.
8.6.
Instant Messaging, P2P uygulamaları engelleyebilme yeteneği olmalıdır.
8.7.
Belirlenen Mail sunucular dışındaki sunuculara giden mail protokolleri ile ilgili paketlerin
gidişini engelleyebilmelidir.
8.8.
DNS protokolünün TCP veya UDP üzerinden olmasını zorlamak, sadece belirlenen DNS
sunuculara olan DNS trafiğine izin vermek mümkün olmalı ve scrambling gibi dns cache
posining ataklarına karşı önlem alabilmelidir.
8.9.
Atak yapılan sistem ile ilgili bilgi edinmeye yönelik parmakizi ataklarına (fingerprint
scrambling) yönelik ataklara karşı TTL değerlerinin, IP ID lerinin değiştirilmesi gibi
yöntemlerle koruma sağlamalıdır.
8.10.
Saldırı Tesbit Sistemi saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen, bu
sayede 0-gün saldırılarına engel olan Protokol Anormallik Tespiti (Protocol Anomaly
Detection) teknolojisine sahip olacaktır
8.11.
DCE-RPC paket verifikasyonu, DCOM protokol verifikasyonu, MS-SQL protokol
denetimlerini (boş şifre,extended stored prosedür calistirmanin engellenmesi gibi.)
yapabilmeli, MS dosya paylaşım standardı olan CIFS protokolü üzerinden yayılmaya
çalışan solucanları veya kullanıcı ismi ve şifresinin belirtilmeden dosya paylaşım
sunucularına erişimi (blocking null CIFS sessions) engelleyebilmelidir.
8.12.
Önerilen çözüm Nimda, CodeRed, SQL Slammer, Blaster (MS Blast), Welchia ve
benzeri solucanlara karşı koruma sağlayabilmelidir.
9.
MERKEZİ RAPORLAMA VE ANALİZ
9.1.
Önerilecek çözüm yazılım temelli olmalıdır. Intel tabanlı donanımlar üzerinde
çalışabilecek kendi işletim sistemine sahip olmalıdır. Bu sayede ağ üzerindeki kontrolü
ve tutulmuş kayıtları kaybetme olasılığını minumuma indirebilmek için gerektiğinde
kolaylıkla diğer bir donanım üzerinde çözümün ayağa kaldırılabilmesi hedeflenmektedir.
9.2.
Gelişkin bir güvenlik olay yönetimi (security event management) özelliği bulunmalıdır. Bu
özellik sayesinde, gerçek zamanlı ve merkezi olarak toplanacak log verilerinden elde
edilecek olay ve hareketler arasında yakınlık (correlation) kurabilecek detaylı bir analiz
yeteneği bulunmalıdır.
9.3.
Bu analiz yeteneği ile bütünleşik olarak, istatiksel ve ayrıntılı raporlar oluşturabilecek
kabiliyete sahip olmalıdır. Hem güvenlikle ilgili ve hem de Güvenlik Duvarı etkinlikleriyle
ilgili detaylı rapor üretebilmelidir. Kolay kullanılabilen bir arayüze sahip olmalı ve
önceden tanımlanmış rapor formatları ile kullanıcı tarafından tasarlanmış rapor
formatlarını desteklemelidir.
9.4.
Önerilen çözüm entegre edilen güvenlik
inceleyebilecek şekilde entegre edilebilmelidir.
bileşenlerinden
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
elde
edilen kayıtları
Sayfa 9 / 11
9.5.
Önerilen çözüm, güvenlik duvarı yönetim sistemi ile entegre olabilmelidir Bu sayede
yönetim sistemi üzerinde tanmlı bulunan tüm ağ objeleri ile senkronize olabilmelidir.
9.6.
Diğer ağ, güvenlik ve işletim sistemleri ile syslog ve snmp desteğ sayesinde kayıt alıp
değerlendirebilmelidir.
9.7.
Windows sunucu kayıtlarını alabilmelidir.
9.8.
Önerilen çözüm dağıtık mimariyi desteklemelidir. Korelasyon fonksiyonları (correlation
functions) farklı bir donanım üzerinde çalıştırılabilmelidir. Bu sayede ölçeklenebilir bir
yapı hedeflenmektedir.
9.9.
Her korelasyon birimi (correlation unit) günlük olarak en az
10GB kayıtı
değerlendirebilmelidir. Her ek korelasyon birimi bu yüke katkı sağlayabilmelidir.
9.10.
Güvenlik olay tanım şablonları içermeli, gerektiğinde bu şablonlarda ekleme veya
değişiklik yapılabilmelidir.
9.11.
Kayıtların ayrıştırılma mekanizmasında değişiklik yapılmasına izin vermelidir. Bu sayede
yeni veya kullanılan cihazların farklı formatlarda olabilecek kayıtlarının alınabilmesi
hedeflenmektedir.
9.12.
GUI aracılığı ile olay tanımlamaları ve kriterlerine göre oluşturulan olaylar
incelenebilmelidir. Sistem yöneticisi bir olayı yanlış alarm olarak tanımlayabilmelidir.
9.13.
Sistem yöneticisi yönetim
görebilmelidir.
9.14.
Sistem yöneticinin, GUI üzerinden değerlendirilmiş veya değerlendirilmemiş tüm kayıtları
görebilmesi mümkün olmalıdır.
9.15.
Yönetim konsolu, kolay kullanılabilir olmalıdır. Kaynak cihaz, hedef IP adresi zaman gibi
kriterler bazında filitreleme mekanizmasına sahip olmalıdır.
9.16.
Her bir olay için , önem derecesi de tanımlanabilmelidir.
9.17.
Önerilen çözüm, olayların önem derecesine göre otomatik olarak belirlenen işlemleri
gerçekletirebilecektir. Bu sayede, uyarıların mail ile gönderilmesi, güvenlik duvarlarına
engelleyici komutların gönderilmesi, ilişkili cihazlara SNMP ile bilgi aktarımı ve özel
scriptler çalıştırmak mümkün olmalıdır.
9.18.
Önerilecek çözüm olay kayıtlarının analizini yapabilmeli, olay tanımları için öneri
sunabilmelidir. Bu analiz ağdaki genel trafik profiline göre yapılmalıdır.
9.19.
Verilerin depolanması için harici bir veritabanına ihtiyaç duymamalıdır.
9.20.
Öğrenme özelliğine sahip olmalı ve toplanılan kayıtlardan sonuclar üretip sistem
yöneticisine alarmların konfigürasyonu konusunda yardımcı olmalıdır.
9.21.
Üzerinde 70 in üzerinde alarm şablonu olmalı ve istendiğinde bir sihirbaz aracılığı ile
farklı sistemlerden toplanan kayıtlar arasında ilişki tanımlaması yapılabilmelidir.
9.22.
Korele edilmiş ve üretilmiş olayların görüntülenmesi için filtrelere sahip olmalı ve yeni
filtreleler oluşturulabilmelidir (zaman, öncelik, 3. parti cihazlar, virus alarmları gibi).
9.23.
İstendiğinde olayların oluşmasını sağlayan ham kayıtlara erişim mümkün olmalıdır.
konsolu üzerinden olay ile ilgili işlenmemiş kayıtları
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 10 / 11
10.
YAZILIM VE DONANIM GÜNCELLEMELERİ
FİRMA, aşağıda yer alan yazılım ve donanımların 3 yıllık güncellemelerini teklifine
ekleyecektir.
Sıra
No
YAZILIM ve LİSANS İSMİ
ADET
1
MFE Network Sec 2700 Sensor Lisans ve Yazılım Güvencesi 3 Yıl
1
2
MFE Network Sec Starter Mngr Lisans ve Yazılım Güvencesi 3 Yıl
1
3
MFE Total Prtxn for Endpoint Lisans ve Yazılım Güvencesi 3 Yıl
4
MFE SGA 3200 Appliance Lisans ve Yazılım Güvencesi 3 Yıl
1
5
3200 URL Filtering Module Lisans ve Yazılım Güvencesi 3 Yıl
1
6
MFE SWG 3400 Appliance Lisans ve Yazılım Güvencesi 3 Yıl
1
7
Desktop Standard Platform Lisans ve Yazılım Güvencesi 3 Yıl
240
8
Desktop Professional Platform Lisans ve Yazılım Güvencesi 3 Yıl
9
Desktop Optimization Pack Lisans ve Yazılım Güvencesi 3 Yıl
10
11
12
13
1001
10
250
Microsoft System Center Operations Manager Lisans ve Yazılım Güvencesi
3 Yıl
Microsoft System Center Configuration Manager Lisans ve Yazılım
Güvencesi 3 Yıl
Microsoft System Center Data Protection Manager Lisans ve Yazılım
Güvencesi 3 Yıl
Microsoft Server Management Suite Enterprise Edition Lisans ve Yazılım
Güvencesi 3 Yıl
1
1
1
1
14
Microsoft Office Comm svr std Lisans ve Yazılım Güvencesi 3 Yıl
1
15
Microsoft Office Comm svr ent cal Lisans ve Yazılım Güvencesi 3 Yıl
5
16
Microsoft Share Point Portal Server Lisans ve Yazılım Güvencesi 3 Yıl
1
17
Microsoft 2007 Exchange Server Enterprise Lisans ve Yazılım Güvencesi
3 Yıl
2
İŞKUR Güvenlik ve Lisans İhalesi Teknik Şartnamesi
Sayfa 11 / 11