Шановний Замовнику!
Уважно розглянувши вимоги тендерної документації, а саме Технічні вимоги до предмету закупівлі, що є Додатком 3 до Тендерної документації, просимо Вас надати роз’яснення деякий технічних вимог, а саме:
п.2.1.1. «Загальні вимоги» вказано
“ функціонування усіх необхідних модулів мережевої безпеки для любих варіантів впровадження у корпоративній мережі в межах одного апаратного-програмного пристрою (appliance);”
…
- Система захисту від просунутих загроз (APT та Zero-day)
…
Запитання: Ця система (APT та Zero-day) дійсно має бути в тому самому пристрої, що й міжмережевий екран ?
пункт 2.1.2.1 «Вимоги до продуктивності та апаратних характеристик файрволу нового покоління (NGFW)» вказано
“Пропускна здатність в умовах реального використання з увімкненим функціоналом Firewall, Application Control, URL Filtering, IPS, Antivirus, Anti-Bot та Cloud Sandbox SandBlast Zero-Day Protection повинна складати не менш як 24 Gbps”
“В разі виходу зі строю одного з компанетнів кластеру, характеристики по пропускній здатності рішення не мають погіршуватись.”
Запитання: Ці два пункти протирічать один одному - Що розуміється під терміном “рішення” ? Якщо під “рішенням” розуміється кластер з двох нод, то не зрозуміло яка саме характеристика по пропускної здатності не має погіршуватись (надайте будь-ласка чітке цифрове значення) ? Вкажіть будь ласка яка працездатність рішення має бути забезпечена у разі виходу зі строю одного з компонентів кластеру ?
пункт 2.1.2.3 «Підтримка IPv6» вказані застарілі RFC, які вже оновлені іншими RFC, наприклад 1981, 2460, 4007 та інші
Запитання: на які RFC потрібно орієнтуватися при підготовці тендерної пропозиції?
пункт 2.1.2.12 «Захищений віддалений (мобільний) доступ користувачів» вказано
“Рішення не повинне обмежувати кількість одночасних підключень віддалених користувачів”
Запитання: на наш погляд будь-який ПАК має скінчені (визначені) апаратні можливості, тому ця вимога нелогічна і просимо її конкретизувати
Пункт 2.1.2.13 «Sandbox, виявлення файлів, що містять невідомий шкідливий код, і видалення його з файлів» містить вимогу:
• Рішення має реалізувати мережеву пісочницю
• Sandbox має бути реалізовано як у вигляді хмарного сервісу
Запитання: на наш погляд ці два пункти протирічать один одному – так яке саме рішення має бути у комплекті поставки та які вимоги до працездатності цього рішення ?
Пункт 2.1.3 «Вимоги до системи захисту робочих місць» містить вимогу
Не менше ніж 500 користувачів, термін дії не менше 36 місяців
Запитання: Це окрема система захисту робочих місць, що має бути розгорнута на кінцевих пристроях користувачів ? Чому тоді вона знаходиться під п 2.1. Вимоги до Міжмережевого екрану та системи керування. Яке відношення вона має до “Міжмережевого екрану та системи керування” ?
Розгорнути
Згорнути
відповідь:
Стосовно Вашого питання про систему APT та Zero-day, повідомляємо, що міжмережевий екран має включати функцію захисту від APT та Zero-day. Якщо для реалізації цієї функції необхідні якісь додаткові допоміжні компоненти, як то додатковий пристрій, або хмарний сервіс, Учасник має включити їх до свої пропозиції.
Щодо Вашого питання стосовно правильного тлумачення терміну «рішення», зазначаємо, що під визначенням «Рішення» мається на увазі програмно-апаратний комплекс (ПАК). Для дотримання вимоги щодо відмовостійкості, цей ПАК має складатися з необхідної кількості пристроїв (двох або більше), які матимуть дублюючі функції, і в разі виходу з ладу одного з пристроїв, його функції мають виконуватись іншими працездатними пристроями без погіршення загальної пропускної здатності і функціоналу. Пропускна здатність, яку має забезпечувати ПАК - 24 Gbps або більше. В разі виходу зі строю якогось одного із компонентів ПАК (аварійна робота), його пропускна здатність має бути не меншою ніж 24 Gbps без обмеження функціоналу. Функціонал який повинен забезпечуватись в аварійному режимі роботи - Firewall, Application Control, URL Filtering, IPS, Antivirus, Anti-Bot та Cloud Sandbox SandBlast Zero-Day Protection.
Стосовно питання щодо RFC, якими потрібно орієнтуватися при підготовці тендерної пропозиції, зазначаємо, що рішення, має підтримувати як мінімум RFC зі списку або оновлені аналоги:
RFC 1981 Path Maximum Transmission Unit Discoдуже for IPv6
RFC 2460 IPv6 Basic specification
RFC 4007 IPv6 Scoped Address Architecture
RFC 4443 ICMPv6
RFC 4861 Neighbor
RFC 4862 IPv6 Stateless Address Auto-configuration
Щодо конкретизації вимоги “Рішення не повинне обмежувати кількість одночасних підключень віддалених користувачів”, повідомляємо наступне. Вірно, будь-який ПАК має скінчені (визначені) апаратні можливості обумовленні технічними характеристиками пристроїв які входять в ПАК, але тут мається на увазі що рішення не має обмежувати одночасні підключення віддалених користувачів не технічним шляхом, як то ліцензією або іншими (не технічними) засобами.
Стосовно Вашого питання щодо Sandbox, зазначаємо, що відповідно до пункту 2.1.2.1 "Вимоги до продуктивності та апаратних характеристик файрволу нового покоління (NGFW)" та 2.1.2.13. "Sandbox, виявлення файлів, що містять невідомий шкідливий код, і видалення його з файлів" Рішення має забезпечувати захист від атак, що здійснюються за допомогою невідомого шкідливого ПЗ за загроз нульового дня - ще до того, як з'являться відповідні сигнатури:
o при браузингу інтернету користувачами
o у вхідній електронній пошті
Що реалізується за допомогою Next Generation Firewall який встановлений в мережі та використовує хмарний сервіс для емуляції файлів. Відповідно до пункту 2.1.2.13."Sandbox, виявлення файлів, що містять невідомий шкідливий код, і видалення його з файлів", має забезпечувати аналіз файлів що передаються протоколами: HTTP, HTTPS, FTP, SMTP, CIFS (SMB), SMTP TLS.
Також зазначаємо, що виникла технічна помилка в назві пункту 2.1. Правильна назва пункту 2.1. – «Вимоги до Міжмережевого екрану та систем керування і захисту робочих місць кінцевих користувачів». З даного питання будуть внесені зміни до тендерної документації. Дякуємо, що звернули увагу на цю помилку.