direcciÓn econÓmico administrativa - idae.es · configuración y puesta en funcionamiento de un...

DIRECCIÓN ECONÓMICO ADMINISTRATIVA CONTRATACIÓN DE SUMINISTRO, INSTALACIÓN Y PUESTA EN FUNCIONAMIENTO DE UN SISTEMA DE PROTECCIÓN PERIMETRAL EN LA RED INFORMÁTICA PARA LA SEDE DEL INSTITUTO PARA LA DIVERSIFICACIÓN Y AHORRO DE LA ENERGÍA (IDAE).

PLIEGO DE CONDICIONES TÉCNICAS

Ref.:PCT.12983.01/16 Madrid, 1 de diciembre de 2015


CONTRATACIÓN DE SUMINISTRO, INSTALACIÓN Y PUESTA EN FUNCIONAMIENTO DE UN SISTEMA DE PROTECCIÓN PERMITRAL EN LA RED

INFORMÁTICA PARA LA SEDE DEL INSTITUTO PARA LA DIVERSIFICACIÓN Y AHORRO DE LA ENERGÍA (IDAE).

2 / 14

Contenido 1. ANTECEDENTES. ................................................................................................................................... 3 2. OBJETO. ................................................................................................................................................ 3 3. PRESCRIPCIONES TÉCNICAS. ................................................................................................................. 4

3.1. CAPACIDAD - ARQUITECTURA. .................................................................................................... 5

3.2. SEGURIDAD – FUNCIONALIDADES. ............................................................................................. 7

3.3. GESTIÓN - INFORMES. ............................................................................................................... 10

4. SERVICIOS Y CARACTERÍSTICAS ADICIONALES. ................................................................................... 11 5. ENTREGA E INSTALACIÓN DEL EQUIPAMIENTO. ................................................................................ 12 6. GARANTÍAS. ........................................................................................................................................ 12




3 / 14

1. ANTECEDENTES.

El Instituto para la Diversificación y Ahorro de la Energía, en adelante IDAE, es un organismo adscrito al Ministerio de Industria, Energía y Turismo, a través de la Secretaría de Estado de Energía, de quien depende orgánicamente.

Entre sus misiones está la promoción de la eficiencia energética y el uso racional de la energía en España, así como la diversificación de las fuentes e impulso del fomento de las energías renovables. En la actualidad el IDAE dispone de sistema de Firewall que realiza las labores de seguridad de la red interna y red perimetral, gestión de zona DMZ así como la gestión y control de accesos vía VPN, monitorización de túneles, balanceo de carga, así como diferentes sistemas de encriptación y protección.

2. OBJETO.

El objeto del presente documento es establecer el alcance y las condiciones técnicas que debe cumplir la oferta presentada por el licitador para el suministro, instalación, configuración y puesta en funcionamiento de un sistema de seguridad perimetral en la red informática del Instituto para la Diversificación y Ahorro de la Energía (en adelante IDAE). Se definen los requerimientos básicos de los sistemas objeto del contrato, así como los servicios adicionales en los términos descritos en los siguientes apartados. El objeto del contrato consiste en la puesta en funcionamiento de una solución integral, y no el suministro de soluciones independientes, que cubran las necesidades para la gestión de la seguridad y comunicaciones planteadas de forma autónoma con la adquisición de un Firewall de Nueva Generación, suministrando software y hardware en alta disponibilidad, dicho equipamiento se convertirá en el elemento principal de la seguridad de la red de IDAE, detrás del cual se situarán no sólo los sistemas de información y comunicaciones, sino todos los equipos finales de IDAE. Por ello debe estar dotado de altas prestaciones en cuanto a capacidad, fiabilidad, disponibilidad y funcionalidad. Los objetivos funcionales que se persiguen con esta adquisición son los integrados en los Firewall de Nueva Generación (NGFW):

Implementar seguridad activa a nivel de IPS y firewall de nueva generación en el

enlace extremo de la red de IDAE.

Gestionar la seguridad de accesos en las redes seguras de IDAE, mejorando tanto el

rendimiento como el nivel de protección con tecnologías de inspección profunda de




4 / 14

tráfico, identificación de aplicaciones y usuarios, antivirus, aplicación de políticas de

autorización y filtrado y prevención de intrusiones.

Gestionar el tráfico de la red.

Los licitadores presentarán una única oferta sin alternativas ni variantes. En el siguiente apartado se especifican los requisitos mínimos obligatorios que deben cumplir los equipos ofertados.

3. PRESCRIPCIONES TÉCNICAS.

De cara al objeto del contrato se requiere una defensa integral contra las amenazas, ya que es necesario detectar la amenaza cuando ocurre; así pues, la estrategia recomendada es disponer de contramedidas que eviten la brecha de seguridad. Estas medidas preventivas ayudan a detectar las amenazas durante las comunicaciones, adicionalmente se requiere que la infraestructura de seguridad existente sea capaz de realizar análisis forense, para entre otras funciones poder determinar cómo se ha diseminado una amenaza o malware. Para ello se requieren tres conceptos principales: visibilidad, retrospección y automatización. La visibilidad del entorno permite determinar su comportamiento y por tanto poder establecer cuándo un activo no se comporta de forma habitual. Sin visibilidad, puede que muchas cosas se nos estén pasando y que haya amenazas que no estén siendo detectadas. La retrospección de diferentes vulnerabilidades y ataques, ya sean ataques lentos, fragmentados, dirigidos o persistentes, nos permite analizar distintas piezas de determinada amenaza. Si no fuésemos capaces de realizar esta retrospección, de ver este histórico, de beneficiarnos de esta visibilidad hacia atrás, no seríamos capaces de descubrir nuevo malware o de detectar que la amenaza en si existe. La retrospección nos permite disponer de una imagen clara de quien se ha descargado un malware específico, como, cuando, donde y como se ha diseminado dentro de la red. La detección de una amenaza puede realizarse con mayor o menor eficiencia y puede penetrar en la red tras pasar varios filtros, incluida una sandboxing. El análisis retrospectivo ayudaría a determinar si un archivo inicialmente catalogado como limpio, en la práctica contiene malware. Por último, la automatización provee soluciones seguras, efectivas y eficaces que mitigan el impacto de la amenaza.




5 / 14

El control de amenazas debe ser contextual, con lo cual se sabrá en cada momento si una amenaza impacta o no en la red, así mismo, el control es dinámico, por lo que se podrán adaptar las políticas a los riesgos potenciales de la red. Al tener completa consciencia del contexto, infraestructura, usuarios, aplicaciones y contenido proporciona una prevención altamente eficaz para detectar amenazas multivectoriales y automatizar la respuesta de defensa. La visibilidad y el control granular de las aplicaciones (debería soportar más de 2900 aplicaciones) así como los controles basados en el riesgo, que deberían invocar al sistema de prevención de riesgos y detección de amenazas (IPS) para optimizar la eficacia de la seguridad. Los filtrados de URL, básicamente deben ser los tradicionales en cuanto a la categorización y reputación de WEBs, ofreciendo control sobre el tráfico WEB y sobre cuáles son las WEBs a las que se puede acceder e identificando que usuarios pueden acceder a que grupos en función del perfil del directorio activo. Se establecen los siguientes aspectos técnicos objeto de valoración, divididos en tres grupos; Capacidad/Arquitectura, Seguridad/ Funcionalidades, Gestión/ Informes en base a los cuales, se relacionan los distintos requisitos a efectos de valoración. El cumplimiento parcial de alguno de los requisitos se tendrá en cuenta a efectos de la valoración de las propuestas. En cualquier caso, la disposición consecutiva de uno o varios aspectos concretos no implica, necesariamente, diferencia en la valoración de los mismos. Las características requeridas que se expone a continuación, así como los detalles técnicos y funcionales definen las características de los sistemas que se instalarán para dar respuesta a las necesidades de IDAE. En todo caso, el sistema propuesto debe estar formado por una solución integral, unificada, redundante y gestionable. Las siguientes características técnicas y los requisitos son a nivel individual del hardware propuesto, así pues los datos de la solución requeridos al posible adjudicatario no son la suma de las características la solución global (en alta disponibilidad) y estos corresponderán al dispositivo propuesto de forma individual o unitaria.

3.1. CAPACIDAD - ARQUITECTURA.

A continuación se detallan los requerimientos mínimos de los sistemas objetos del contrato. Se valorará positivamente la mejora de los requerimientos mínimos de acuerdo a los criterios de valoración definidos.

Instalación en alta disponibilidad, permitiendo tanto modo activo-activo como

activo-pasivo, para lo que se requiere el suministro de dos sistemas con las mismas

características técnicas.




6 / 14

Rendimiento mínimo del servicio Firewall: 4 Gbps.

Rendimiento mínimo del servicio VPN (IPSec) para el servicio total mínimo 5 Gbps

o triple encriptación de datos AES un mínimo de 300 Mbps.

Rendimiento mínimo del servicio antimalware a nivel de red: 1.4 Gbps.

Capacidad mínima de gestión de conexiones. 4.000.000 sesiones concurrentes,

permitiendo como mínimo 160.000 sesiones por segundo.

Tamaño máximo por equipo enracable: máximo 2U

Rendimiento de Triple encriptación de datos AES VPN: Al menos 300 Mbps.

Número de usuarios y nodos del NGFW: Ilimitados.

Usuarios IPSec site to site VPN: Al menos 750 usuarios.

Número de conexiones VPN simultaneas: Al menos 750 conexiones.

Interfaces Virtuales VLANs: Al menos 200 interfaces.

Interfaces con conectores RJ-45 UTP, velocidad transmisión: 10/100/1000: Mínimo

8 puertos GE.

Posibilidad de disponer de un puerto específico de gestión o puerto disponible en

el dispositivo para su uso con tecnologías Ethernet dedicado con el objetivo de

garantizar que no consuma interfaces de servicio para esta tarea, control de

accesos a la consola.

Al menos dos puertos USB.

Puerto serie RJ-45.

Memoria mínima de 4 GB.




7 / 14

Cada equipo debe incluir un disco duro con capacidad mínima de 120GB SSD MLC.

3.2. SEGURIDAD – FUNCIONALIDADES.

Los equipos firewall propuestos deben incluir de cara a garantizar la seguridad bajo un enfoque contextual, al menos, los siguientes elementos: Servicio de Prevención de Intrusiones de nueva generación, Protección Avanzada de Malware y Amenazas, Control y Visibilidad de aplicaciones, Filtrado URL basado en categorizaciones/clasificaciones, Servicio de Snadboxing y otras funcionalidades descritas a continuación:

NGIPS, focalizado y centrado en las amenazas, que permita disponer de firmas

para detectar las amenazas.

Analítica del comportamiento de red para identificar qué elementos hay en la red,

identificando cuales son susceptibles de ser vulnerables a un determinado tipo de

ataque.

IPS (por equipo individual, no el global en cluster):

o Rendimiento/ Throughput IPS mínimo: 600 Mbps.

o Rendimiento/ Throughput IPS Transaccional mínimo: 400 Mbps.

o 12.000 conexiones por segundo.

o Debe soportar un máximo de 440.000 conexiones.

Control y visibilidad de aplicaciones.

o Rendimiento de Control y visibilidad de aplicaciones mínimo de 1.100

Mbps.

o Rendimiento de Control y visibilidad de aplicaciones y NGIPS mínimo de

650 Mbps.

Sesiones concurrentes mínimas de: 500.000 sesiones.

Nuevas conexiones por segundo: 20.000 conexiones.

Aplicaciones soportadas: Al menos 2.900.

Filtrado URL




8 / 14

o Reputación y filtrado URL basado en una clasificación/ categorización para

mitigar el impacto de las amenazas.

o Categorías de URL: Al menos 80.

o Número de URLs categorizadas: Al menos 280 millones.

NGFW

o Rendimiento máximo del FIREWALL: 2.000 Mbps.

o Número máximo de conexiones del FIREWALL: 500.000.

Protección avanzada frente al Malware

o Protección avanzada frente a malware para detectar amenazas en la red.

Capaz de identificar pacientes 0 dentro de la red y mitigar el impacto del

malware.

Servicio Firewall.

o Inspección profunda de contenido

o Múltiples modos de despliegue (modos mirror, transparente y NAT/PAT)

o Capacidades de Routing estático, policy based routing y routing dinámico,

soportando BGP, OSPF, Rip v2 y Multicast, tanto para IPv4 y IPv6.

o Gestión de VLAN e integración de 802.1Q.

o Autenticación basada en grupos de usuarios.

o Capacidad de securización de VoIP.

o Protección basada en la creación de perfiles aplicables a usuarios

individuales y/o grupos.

Servicio VPN (Virtual Private Network).

o Protocolos soportados: PPTP, IPSec y SSL.

o Encriptación y autenticación: DES, 3DES y AES. SHA1 y MD5.

o Integración con firma electrónica puntuando como mejora cualquier

añadido referente a Certificados Digitales.

o Modo de funcionamiento cliente/servidor y punto a punto.

o Cliente VPN propietario que asegure la integración con los sistemas

ofertados.

o Modo proxy inverso que permita la publicación mediante portal web de

aplicaciones tipo WEB, RDP, SSH, Acceso a carpetas u otras funciones

adicionales.

o Cliente vpn para sistemas operativos IOS y Android.




9 / 14

Servicio Antispyware.

o Protocolos que se requieren analizar: HTTP/HTTPS, POP3/POP3S, FTP,

SMTP/SMTPS, IMAP/IMAPS, mensajería instantánea.

o Posibilidad de bloqueo de ficheros por tipo y tamaño.

o Posibilidad de gestión de archivos en cuarentena, el dispositivo tiene que

disponer de la capacidad de gestión a través del propio dispositivo o de

aplicativo integrado al mismo, se puede puntuar las mejoras en este

punto así como en la gestión de logs y reporting de forma centralizada

que se puedan utilizar para posteriores análisis forenses.

o Posibilidad de un servicio de actualización de firmas de virus con una

periodicidad de al menos 3 veces al día.

Servicio IPS (lntrusion Prevention System).

o Análisis de tráfico e inspección IPS basado en los estándares de los

diferentes protocolos.

o Debe disponer de más de 8.000 firmas de IPS.

o Deben actualizarse las firmas al menos 2 veces por semana.

o Posibilidad de creación y edición de firmas personalizadas.

o Escaneo de vulnerabilidades programable de servidores basado en las

propias firmas de IPS.

Servicio de Filtrado Web.

o Protocolos a analizar: HTTP/HTTPS.

o Categorización de contenidos web con más de 80 categorías con más de

250 millones de páginas categorizadas, valorando puntuación de mejora.

o Creación de patrones para la definición de listas URL.

o Bloqueo de contenidos web.

o Servicio de actualización en tiempo real de categorización de URL.

Servicio de Control de Aplicaciones.

o Control de más de 2.900 aplicaciones con independencia de los puertos y

protocolo utilizados.

o Identificación y control de aplicaciones categorizadas por tipo y

funcionalidad.

o Posibilidad de solicitar la identificación de nuevas aplicaciones.

o Disponibilidad de un servicio de actualizaciones de nuevas aplicaciones.




10 / 14

Servicio de Protección de Fugas de Información (DLP) o posibilidad de disponer de

reglas SNORT que posibiliten funcionalidad similar ayudando a controlar el tipo de

dato o fichero que transita por red tanto en subidas como en descargas.

o Soporte de los siguientes protocolos: HTTP/HTTPS, correo y mensajería

instantánea.

o Identificación y control de información corporativa sensible.

o Análisis de los tipos de ficheros más utilizados (Microsoft Office y PDF).

o Definición de patrones a nivel binario y de poder calcular el hash de los

documentos a proteger para controlar su salida del perímetro.

o Posibilidad de marcar documentos a proteger mediante una marca de

agua identificable para evitar su salida de la organización.

Servicio Antispam.

o Posibilidad de identificar amenazas y bloquear de forma inteligente las

conexiones que realizan determinas ip’s que puedan ser constitutivas de

ser envío de correo spam.

o Gestión de listas negras RBL.

o Posibilidad de filtrado por palabras y expresiones.

Otras funcionalidades que otorgan valor añadido a la solución requerida.

o Integración con Active Directory y con RADIUS/802. 1 X, pudiendo aplicar

QoS a nivel de usuario o grupo de usuarios.

o Licencias de usuario ilimitadas.

o Disponibilidad de certificaciones reconocidas en la industria (NSS Labs,

ICSA Labs, Common Criteria EAL 4+, VB100 o simil).

o Soporte del protocolo GRE, para el establecimiento y finalización de

túneles en el mismo equipo.

o Balanceo de líneas de acceso a internet con monitorización basado en ip

origen o en anchos de banda.

o Nat 64 y 46.

3.3. GESTIÓN - INFORMES.

La solución debe incluir una consola de gestión centralizada de todos los elementos y servicios del NGFW así como una solución de reporting sin necesidad por tanto de utilizar un equipo secundario para estas tareas. La consola centralizada de gestión debe proveer visibilidad de toda la red, host físicos, virtuales, sistemas operativos, usuarios, protocolos, ficheros, malware, router, switches,




11 / 14

impresoras, aplicaciones, servicios, información de geolocalización, contenido y comportamiento de la red, así como los ataques y el malware detectados. Dicha consola y repositorio de seguridad de red debe ser el punto que centraliza los eventos y la gestión de la política, gestión de Next Generation Firewall, análisis forense, gestión de logs, gestión de vulnerabilidades, control de incidentes, análisis retrospectivo, etc. La consola de gestión propondrá de forma automática la configuración recomendada específica de IPS para un determinado tipo de tráfico. Además proporcionará las siguientes capacidades de gestión:

Gestión centralizada de las políticas, eventos y licencias.

Gestión basada en roles con vistas segmentadas o aisladas.

Panel personalizable con informes personalizados.

Informes y alertas comprensibles de información específica o general.

Visualización de eventos e información contextual en tablas con hipervínculos,

gráficos y diagramas.

Monitorización del rendimiento y comportamiento de la red.

Opciones de alta disponibilidad para garantizar que no hay puntos de fallo único.

Opciones de correlación y remediación automática para dar respuesta a las

amenazas en tiempo real.

APIs abiertas para la integración con soluciones de terceros.

4. SERVICIOS Y CARACTERÍSTICAS ADICIONALES.

Servicios adicionales.

o Elaboración de un documento de solución que se adapte a las

necesidades de IDAE.

o Servicio de formación durante al menos un día (5 Horas) en las

instalaciones de IDAE.




12 / 14

Características adicionales.

o Certificaciones emitidas por organismos independientes a favor de los

productos ofertados y los servicios que lo integran, teniendo en

cuenta el prestigio del organismo certificador, así como los servicios y

la fecha de certificación.

5. ENTREGA E INSTALACIÓN DEL EQUIPAMIENTO.

El adjudicatario deberá entregar, en el lugar determinado por IDAE, las máquinas objeto del contrato completamente instaladas y operativas. La instalación consistirá, al menos, en lo siguiente:

1. Encender el equipamiento y comprobar que todo el hardware está en perfecto estado

(power on), así como verificar la correcta versión del sistema operativo.

2. Instalar el equipamiento en un rack.

3. Cableado del equipamiento.

4. Configurar a nivel de red el interfaz de gestión.

5. Puesta en marcha en alta disponibilidad.

6. Configuración de las políticas de seguridad de todos los equipos ofertados, incluyendo

como mínimo:

a. Configuración del firewall de nivel 7 (aplicación)

b. Configuración del filtrado web/ URL filtering.

c. Configuración del sistema de prevención de intrusiones o IPS.

d. Configuración avanzada frente a malware

e. Configuración de los acceso VPN Site-to-Site

f. Tunning de la consola de gestión

g. Batería de pruebas

h. Entrega de documentación

i. Formación específica del producto de una jornada de 5 horas laborables

impartida en la sede de IDAE.

j. Transferencia del servicio

El conjunto de los servicios y suministros deberá concluirse en un plazo máximo de dos (2) meses, a contar desde la fecha de firma del contrato. Los oferentes aportarán en sus propuestas planificación detallada.

6. GARANTÍAS.

Se definen los plazos y detalles de las garantías mínimas requeridas al fabricante y licitador.




13 / 14

CONDICIONES DE LA GARANTÍA DEL MATERIAL SUMINISTRADO

Todo el equipamiento suministrado (software y hardware) deberá tener una garantía de 3 años a partir de la fecha de aceptación de los equipos. Además de lo anterior, las licencias necesarias para obtener todas las funcionalidades requeridas de estos equipos deben estar activas durante 3 años a partir de la fecha de aceptación del equipamiento. La garantía ofertada deberá cumplir, al menos, las siguientes condiciones:

o Reparación o sustitución en caso de avería o mal funcionamiento de todo el

equipamiento suministrado (hardware y software) o cualquiera de sus partes.

Estas actuaciones de desarrollarán en las dependencias de IDAE, y todos sus gastos

derivados: desplazamientos, material, mano de obra, etc. serán a cargo del

adjudicatario.

o La reposición e instalación de todas las piezas averiadas en los equipos

suministrados deberá realizarse en condiciones mínimas en horario laboral y en

formato 8x5xNBD pudiéndose considerar dependiendo de las condiciones

garantizadas un servicio 24x7 básico.

o Acceso directo de IDAE, 24 horas al día todos los días del año, al centro de soporte

del fabricante para realizar consultas técnicas, abrir incidencias, acceder a

documentación privadas así como a todas las versiones y actualizaciones del

software del equipamiento. El acceso podrá ser bien telefónico o bien vía web.

o Gestión de la garantía RMA. El objetivo de la Gestión de la Garantía es la

sustitución y reparación del equipamiento hardware cuando éste se considere

defectuoso por causas o errores de diseño y fabricación. El servicio incluirá un

servicio in situ 8x5NBD de reposición de componentes hardware en las oficinas de

IDAE.

MEJORAS DE GARANTÍA POR PARTE DEL FABRICANTE E INTEGRADOR.

Se tendrán en cuenta todas las mejoras ofertadas por el licitante tanto las garantizadas a nivel de fabricante como aquellas expuestas por el integrador, influyendo directamente en la puntuación del producto, como por ejemplo entre otras las siguientes:

o Mantenimiento de hardware en modo 24x7 con reemplazo "Siguiente Día

Laborable".




14 / 14

o Mantenimiento de software en modo 24x7. Asistencia web y telefónica

personalizada.

Los licitadores deberán incluir en sus ofertas las licencias IPS, URL Filtering y protección avanzada frente a malware/antivirus necesarias para utilizar las funcionalidades de los equipos ofertados durante 3 años. Se deberán incluir al menos 50 licencias para conexión VPN-SSL.

direcciÓn econÓmico administrativa - idae.es · configuración y puesta en funcionamiento de un...

Documents