Ata de Registro de Preços para o Sistema "S"

Transcrição

1 Ata de Registro de Preços para o Sistema "S"

2 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL SENAC Departamento Regional do Ceará Comissão Permanente de Licitação Concorrência para registro de preços n 023/2014 Vigência da Ata: 09/09/14 até 09/09/15 O SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL SENAC resolveu registrar os preços do fornecedor vencedor da Ata, a empresa COREIT DATACENTER, SERVIÇOS GERECIADOS E INFRAESTRUTURA LTDA, situada na cidade de Fortaleza/CE para atender ao objeto da Ata: contratação de empresa para prestação de serviços especializados de DATACENTER. Poderão utilizar-se desta Ata de Registro de Preços, qualquer órgão do Sistema "S" mediante apenas e tão somente prévia consulta ao SENAC. Na execução dos serviços deverá ser observado o disposto no Edital de Concorrência para Registro de Preços nº 023/2014 e seus anexos. Especificação dos serviços Contratação de empresa para prestação de serviços especializados de DATA CENTER, no modelo 24h por dia, 7 dias por semana, 365 dias por ano, por 12 meses, incluindo o conjunto de hardwares e softwares fornecidos em regime de locação, necessários e suficientes para a prestação desses serviços. Abaixo encontram-se especificadas as Soluções/Ferramentas que estão contempladas na referida Ata de Registro de Preços contendo suas especificações, destinações, prazo e preços: Página 2 21

3 RECURSOS PARA LINKS ITEM RECURSO LOTE (A) QTDE (B) VALOR MENSAL UNIT. (R$) (C) VALOR MENSAL TOTAL (R$) (D) = (B x C) 1 LINK INTERNET 5 Mbps , ,00 2 LINK DADOS 10 Mbps 10 Mbps 2 977, ,00 3 LINK DADOS 100 Mbps 100 Mbps , ,60 4 LINK DADOS 1 Gbps 1 Gbps , ,00 5 LINK DADOS REDUNDANTE 10 Mbps , ,20 5 BLOCO CIDR /29 VÁLIDO 1 Bloco 2 162,90 325,80 5 BLOCO CIDR /28 VÁLIDO 1 Bloco 1 325,60 325,60 PREÇO MENSAL TOTAL (E): R$ ,20 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F): R$ ,40 RECURSOS PARA CLOUD COMPUTING ITEM RECURSO LOTE (A) QTDE (B) VALOR MENSAL UNIT. (R$) (C) VALOR MENSAL TOTAL (R$) (D) = (B x C) 1 MEMÓRIA RAM 01 GB , ,60 2 PROCESSADOR VIRTUAL 01 vcpu , ,20 3 STORAGE RÁPIDO 50 GB , ,00 4 STORAGE PADRÃO 50 GB , ,00 PREÇO MENSAL TOTAL (E): R$ ,80 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F): R$ ,60 SERVIDORES FÍSICOS 1 ITEM RECURSO QTDE (A) VALOR MENSAL UNIT. (R$) (B) VALOR MENSAL TOTAL (R$) (C) = (A x B) 1 SERVIDOR FÍSICO - TIPO I PowerEdge R , ,00 2 SERVIDOR FÍSICO - TIPO II PowerEdge R , ,00 3 SERVIDOR FÍSICO - TIPO III PowerEdge R , ,00 4 SERVIDOR FÍSICO - TIPO IV PowerEdge R , ,00 5 SERVIDOR FÍSICO - TIPO V PowerEdge R , ,50 PREÇO MENSAL TOTAL (D): R$ ,50 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (E): R$ ,00 Página 3 21

4 RECURSOS PARA INFRAESTRUTURA FÍSICA 2 ITEM RECURSO LOTE (A) QTDE (B) VALOR MENSAL UNIT. (R$) (C) VALOR MENSAL TOTAL (R$) (D) = (B x C) 1 SWITCH GIGABIT DELL NETWORKING UN , ,00 2 SWITCH 10 GIGABIT DELL SWITCH 10GB N UN , ,00 3 SWITCH FIBRA DELL SWITCH FIBRA N4064F 01 UN , , FILTRO CONTEÚDO WEB MCAFEE WEB GATEWAY APPLIANCE BALANCEADOR APLICAÇÕES F5 IP VIRTUAL EDITION LTM LICENSE ANTI-SPAM PROOFPOINT ENTERPRISE PROTECTION WITH F- SECURE FIREWALL (CLUSTER) CHECKPOINT EQUIPAMENTO DE SEGURANÇA EM REDE FIREWALL 4800 APPLIANCE IPS CHECKPOINT LICENÇA DE SOFTWARE UPGRADE FOR 4800 NEXT GENERATION FIREWALL APPLIANCE 100 Usuários , ,50 200Mbps , , Usuários , ,50 1 UN , ,80 1 UN , ,60 9 DLP CHECKPOINT DATA LOSS PREVENTION 1 UN , , CORRELACIONADOR EVENTOS CHECKPOINT SMARTREPORTER AND SMARTEVENT BLADES GERÊNCIA SEGURANÇA CHECKPONT SECURITY MANAGEMENT FIREWALL BANCO DE DADOS IMPERVA V2500 DATABASE FIREWALL VIRTUAL APPLIANCE NO-BREAK PARA REDE ESTABILIZADA APC NOBREAK SMART- UPS RT 10KVA 1 UN , ,60 1 UN , ,77 500Mbps , ,80 01 UN , ,80 PREÇO MENSAL TOTAL (E): R$ ,57 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F): R$ ,80 RECURSOS ADICIONAIS PARA COLOCATION ITEM RECURSO LOTE (A) QTDE (B) VALOR MENSAL UNIT. (R$) (C) VALOR MENSAL TOTAL (R$) (D) = (B x C) 1 CARGA ELÉTRICA 01 kva , ,00 2 ESPAÇO EM RACK 01 U , ,80 3 PONTO DE REDE 01 PT 48 74, ,00 PREÇO MENSAL TOTAL (E): R$ ,80 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F): R$ ,60 Página 4 21

5 GESTÃO DE INFRAESTRUTURA ITEM RECURSO LOTE (A) QTDE (A) VALOR MENSAL UNIT. (R$) (B) VALOR MENSAL TOTAL (R$) (C) = (B x A) 1 Sistema Operacional Windows Server Host/Maquina Virtual , ,00 2 Sistema Operacional RedHat Enterprise Linux Host/Maquina Virtual , ,00 3 Microsoft Exchange 4 Microsoft Active Directory 5 Servidor de Arquivos Microsoft 6 Banco de Dados Oracle Host/Maquina Virtual Host/Maquina Virtual Host/Maquina Virtual Host/Maquina Virtual 6 782, , , , , , , ,80 7 Banco de Dados Microsoft SQL Server Host/Maquina Virtual , ,80 8 Serviço de Backup Host/Maquina Virtual , ,00 9 Virtualização Hyper-V Host/Maquina Virtual , ,00 PREÇO MENSAL TOTAL (D): R$ ,20 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (E): R$ ,40 BANCO DE HORAS ITEM RECURSO LOTE (A) QTDE (A) VALOR MENSAL UNIT. (R$) (B) VALOR MENSAL TOTAL (R$) (C) = (A x B) 1 BANCO DE HORAS CONSULTORIA 10 hrs , ,00 2 BANCO DE HORAS IMPLEMENTAÇÃO 10 hrs , ,00 3 BANCO DE HORAS SUPORTE 10 hrs , ,00 PREÇO MENSAL TOTAL (D): R$ ,00 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (E): R$ ,00 Página 5 21

6 LICENCIAMENTO DE SOFTWARE ITEM RECURSO QTDE (A) VALOR MENSAL UNIT. (R$) (B) VALOR MENSAL TOTAL (R$) (C) = (B x A) 1 "Cals" de acesso para Windows Server , ,00 2 Sistema Operacional Windows Server 2012 Standard; , ,00 3 Sistema Operacional Windows Server 2012 Datacenter; , ,00 4 Sistema Operacional RedHat Enterprise Linux , ,00 5 Banco de Dados Oracle 12g Standard , ,60 6 Banco de Dados Microsoft SQL Server 2012 Standard 4 286, ,40 7 Servidor de s Microsoft Exchange Server 2013 Standard 4 248,30 993,20 8 Microsoft System Center Standard ,80 773,60 9 Microsoft System Center DataCenter , ,80 10 Banco de Dados Microsoft SQL Server 2012 Enterprise , ,60 11 "Cals" de acesso para Microsoft SQL Server , ,00 12 Servidor de s Microsoft Exchange Server 2013 Enterprise , ,40 13 "Cals" de acesso para Microsoft Exchange Server , ,00 PREÇO MENSAL TOTAL (D): R$ ,60 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (E): R$ ,20 RECURSOS PARA SERVIÇO DE BACKUP ITEM RECURSO LOTE (A) QTDE (B) VALOR MENSAL UNIT. (R$) (C) VALOR MENSAL TOTAL (R$) (D) = (B x C) 1 FITA DEDICADA 1 FITA , ,00 2 DISCO NAS 50 GB 60 50, ,00 3 DISASTER RECOVERY 50 GB , ,00 PREÇO MENSAL TOTAL (E): R$ ,00 PREÇO GLOBAL ESTIMADO DO CONTRATO - 12 MESES (F): R$ ,00 TOTAL GLOBAL DA PROPOSTA R$ ,00 VALOR MENSAL DA PROPOSTA R$ ,67 Compreenda as soluções Página 6 21

7 Item 1 - Servidores Físicos: Características Específicas: Servidor Físico TIPO I Dispor de 01 (um) processador Intel XEON Quad Core; Dispor de 04 (quatro) GB de memória RAM; Dispor de 01 (uma) unidade de disco rígido de 500 (quinhentos) GB SATA de RPM hot-plugable; Dispor de 02 (duas) interfaces Gigabit Ethernet 1000Base- TX,com conector RJ45; Suportar iscsi; Gabinete para rack padrão de 19 ; Tamanho máximo de 1U; Servidor Físico TIPO II Dispor de 01 (um) processador Intel XEON Quad Core; Dispor de 08 (oito) GB de memória RAM; Dispor de 02 (duas) unidades de disco rígido de 500 (quinhentos) GB SATA de RPM hot-swappable com suporte a RAID-1; Dispor de 02 (duas) interfaces Gigabit Ethernet 1000Base- TX,com conector RJ45; Suportar iscsi; Gabinete para rack padrão de 19 ; Tamanho máximo de 1U; Servidor Físico TIPO III Dispor de 02 (dois) processadores Intel XEON Six Core; Dispor de 16 (dezesseis) GB de memória RAM; Dispor de 02 (duas) unidades de disco rígido de 72 (setenta e dois) GB SAS de RPM hot-swappable com suporte a RAID-1; Dispor de 04 (quatro) interfaces Gigabit Ethernet 1000Base- TX,com conector RJ45; Suportar iscsi; Dispor de fontes de alimentação redundantes e hotswappable; Gabinete para rack padrão de 19 ; Tamanho máximo de 2U s; Servidor Físico TIPO IV Dispor de 02 (dois) processadores Intel XEON Six Core; Dispor de 32 (trinta e dois) GB de memória RAM; Dispor de 03 (três) unidades de disco rígido de 300 (trezentos) GB SAS de RPM hot-swappable com suporte a RAID-5; Dispor de 04 (quatro) interfaces Gigabit Ethernet 1000Base- TX,com conector RJ45; Suportar iscsi; Dispor de fontes de alimentação redundantes e hotswappable; Gabinete para rack padrão de 19 ; Tamanho máximo de 2U s; Servidor Físico TIPO V Dispor de 02 (dois) processadores Intel XEON Octa Core; Dispor de 64 (sessenta e quatro) GB de memória RAM; Dispor de 05 (cinco) unidades de disco rígido de 300 (trezentos) GB SAS de RPM hot-swappable com suporte a RAID-5; Dispor de 08 (oito) interfaces Gigabit Ethernet 1000Base- TX,com conector RJ45; Suportar iscsi; Dispor de fontes de alimentação redundantes e hotswappable; Gabinete para rack padrão de 19 ; Tamanho máximo de 2U s; Página 7 21

8 Item 2 - Recursos para Infraestrutura Física Recursos Características Específicas: Switch Gigabit Ser rackmount para Racks com padrão de 19 Possuir no mínimo 24 Portas de comutação Gigabit Ethernet com sensor automático 10/100/1000BASE-T, half/full-duplex, padrão RJ45 Possuir no mínimo 2 portas SFP+ de 10 GbE/1 GbE de fibra óptica integrada Suportar negociação automática de velocidade, modo duplex e controle de fluxo MDI/MDIX automática Suportar espelhamento de porta (one to one ou many to one) Possuir Controle de Storm (Broadcast, Multicast, Unicast) Suportar taxa de encaminhamento (pacotes de 64 bytes) mínimo 65,47Mpps Suportar Endereços MAC até Suportar Spanning Tree [STP] (IEEE 802.1D) Suportar Multiple Spanning Trees [MSTP] (IEEE 802.1s) Suportar Rapid Spanning Tree [RSTP] (IEEE 802.1w) com suporte para Fast Link Possuir suporte a duas imagens de firmware Possuir suporte a fontes de alimentação redundantes externas Suportar Roteamento de camada 3 Suportar no mínimo 64 rotas estáticas Possuir suporte a VLAN baseada em marcação e em porta conforme o 802.1Q IEEE VLANs baseadas em protocolo Possuir suporte para até 200 VLANs simultâneas Suportar VLANs dinâmicas com suporte para GVRP Suportar Voice VLAN Suportar Guest VLAN Suportar VLANs baseadas em protocolo Suportar Layer 3 Trusted Mode (DSCP) Possuir 8 filas de prioridade por porta Suportar Strict priority queue (fila de prioridade estrita) e Weighted Round Robin (divisão ponderada de banda) ou combinação de ambos Suportar Multicast de IP Estático Suportar até entradas totais para ACLs e ACEs Suportar ACLs baseadas em MAC e IP Suportar ACLs com controle de tempo Registro de ACL Proteção por senha de acesso ao switch Suporte a senha forte Possuir configurações definidas pelo usuário para ativar ou desativar o acesso de gerenciamento por Web, SSH, Telnet e SSL Possuir Alerta e bloqueio de endereços MAC baseados em porta Possuir Filtragem de endereço IP para acesso de gerenciamento por Telnet, HTTP, HTTPS/SSL, SSH e SNMP Possuir Autenticação local e remota (RADIUS e TACACS+) para acesso ao gerenciamento de switch Possuir Criptografia SSLv3 e SSHv2 para tráfego de gerenciamento de switch Possuir filtragem de acesso ao gerenciamento, utilizando erfis de acesso Possuir suporte autenticação de extremidade baseada em IEEE 802.1x, modo de monitor 802.1x (registro sem aplicação) Possuir suporte a Agregação de links com suporte para até 32 links agregados por switch e até 8 portas membro por link agregado (IEEE 802.3ad) Possuir suporte a LACP (IEEE 802.3ad) Possuir suporte a jumbo frames de até bytes Suporte a servidor DHCP Suportar DHCP snooping Suportar Relay DHCP Preparado para IPv6 - dual stack (IPv4/IPv6), Tunneling IPv6 sobre IPv4 (ISATAP), IPv6 ACL e classificação de tráfego (QoS), IPv6 Management (ping, telnet, traceroute, HTTP, HTTPS/SSL, SSH, SNMP, SNTP, TFTP, neighbor discovery) Possuir Interface GUI de gerenciamento baseada em Web (HTTP e HTTPS) através de browser padrão. Possuir CLI intuitiva e familiar acessível via Telnet, SSH ou porta serial local Suportar sflow Possuir Notificação de conflitos de endereços IP no gerenciamento Possuir suporte a SNMPv1, SNMP v2c e SNMPv3 Possuir suporte a 4 grupos RMON (histórico, estatísticas, alarmes e eventos) Possuir suporte a Transferências de firmware e arquivos de configuração por HTTP e TFTP Possuir suporte a Imagens duplas de firmware incorporadas Possuir suporte a upload/download de vários arquivos de configuração Possuir estatísticas para monitoramento de erros e otimização de performance, incluindo tabelas de resumo de portas Possuir suporte a gerenciamento de endereços IP BOOTP/DHCP Possuir suporte a SNTP Possuir suporte a LLDP e LLDP-MED Suportar Logging de eventos através de Syslog Possuir suporte a jumbo frame com pacotes de 9000 bytes Possuir suporte auto negociação para velocidade, modo duplex e flow control Switch 10 Gigabits Ser rackmount para Racks com padrão de Portas 10GBASE-T (10 Gbit/1 Gbit/100 Mbit) com portas de comutação GbE com sensor automático Módulo de empilhamento/stacking 40GB Suportar negociação automática de velocidade, modo duplex e controle de fluxo MDI/MDIX automática Suportar espelhamento de porta (one to one ou many to one) Possuir Controle de Storm (Broadcast, Multicast, Unicast) Empilhamento de alta disponibilidade resiliente com no mínimo 4 switches Suportar taxa de encaminhamento mínimo 900Mpps Suportar Endereços MAC até Configuração automática iscsi Suportar Spanning Tree [STP] (IEEE 802.1D) Suportar Multiple Spanning Trees [MSTP] (IEEE 802.1s) Suportar Rapid Spanning Tree [RSTP] (IEEE 802.1w) com suporte para Fast Link Possuir suporte a duas imagens de firmware Possuir suporte a fontes de alimentação redundantes externas Suportar no mínimo 64 rotas estáticas Possuir suporte a VLAN baseada em marcação e em porta conforme o 802.1Q IEEE VLANs baseadas em protocolo Página 8 21

9 Possuir suporte para até 200 VLANs simultâneas Suportar VLANs dinâmicas com suporte para GVRP Suportar Voice VLAN Suportar Guest VLAN Suportar VLANs baseadas em protocolo Suportar Layer 3 Trusted Mode (DSCP) Possuir 8 filas de prioridade por porta Suportar Strict priority queue (fila de prioridade estrita) e Weighted Round Robin (divisão ponderada de banda) ou combinação de ambos Suportar Multicast de IP Estático Suportar até entradas totais para ACLs e ACEs Suportar ACLs baseadas em MAC e IP Suportar ACLs com controle de tempo Registro de ACL Proteção por senha de acesso ao switch Suporte a senha forte Possuir configurações definidas pelo usuário para ativar ou desativar o acesso de gerenciamento por Web, SSH, Telnet e SSL Possuir Alerta e bloqueio de endereços MAC baseados em porta Possuir Filtragem de endereço IP para acesso de gerenciamento por Telnet, HTTP, HTTPS/SSL, SSH e SNMP Possuir Autenticação local e remota (RADIUS e TACACS+) para acesso ao gerenciamento de switch Possuir Criptografia SSLv3 e SSHv2 para tráfego de gerenciamento de switch Possuir filtragem de acesso ao gerenciamento, utilizando perfis de acesso Possuir suporte autenticação de extremidade baseada em IEEE 802.1x, modo de monitor 802.1x (registro sem aplicação) Possuir suporte a Agregação de links com suporte para até 32 links agregados por switch e até 8 portas membro por link agregado (IEEE 802.3ad) Possuir suporte a LACP (IEEE 802.3ad) Possuir suporte a jumbo frames de até bytes Suporte a servidor DHCP Suportar DHCP snooping Suportar Relay DHCP Preparado para IPv6 - dual stack (IPv4/IPv6), Tunneling IPv6 sobre IPv4 (ISATAP), IPv6 ACL e classificação de tráfego (QoS), IPv6 Management (ping, telnet, traceroute, HTTP, HTTPS/SSL, SSH, SNMP, SNTP, TFTP, neighbor discovery) Possuir Interface GUI de gerenciamento baseada em Web (HTTP e HTTPS) através de browser padrão. Possuir CLI intuitiva e familiar acessível via Telnet, SSH ou porta serial local Suportar sflow Possuir Notificação de conflitos de endereços IP no gerenciamento Possuir suporte a SNMPv1, SNMP v2c e SNMPv3 Possuir suporte a 4 grupos RMON (histórico, estatísticas, alarmes e eventos) Possuir suporte a Transferências de firmware e arquivos de configuração por HTTP e TFTP Possuir suporte a Imagens duplas de firmware incorporadas Possuir suporte a upload/download de vários arquivos de configuração Possuir estatísticas para monitoramento de erros e otimização de performance, incluindo tabelas de resumo de portas Possuir suporte a gerenciamento de endereços IP BOOTP/DHCP Possuir suporte a SNTP Possuir suporte a LLDP e LLDP-MED Suportar Logging de eventos através de Syslog Possuir suporte a jumbo frame com pacotes de 9000 bytes Possuir suporte auto negociação para velocidade, modo duplex e flow control Switch Fibra Ser rackmount para Racks com padrão de 19 Possuir no mínimo 24 portas de 10 Gbit SFP+ (10 Gbit/1 Gbit); Módulo de empilhamento/stacking 40GB Negociação automática para oferecer velocidade (10 Gbit/1 Gbit/100 Mbit), modo duplex e controle de fluxo em portas 10GBASE-T Suportar negociação automática de velocidade, modo duplex e controle de fluxo MDI/MDIX automática Suportar espelhamento de porta (one to one ou many to one) Possuir Controle de Storm (Broadcast, Multicast, Unicast) Empilhamento de alta disponibilidade resiliente com no mínimo 4 switches Suportar taxa de encaminhamento mínimo 900Mpps Suportar Endereços MAC até Configuração automática iscsi Suportar Spanning Tree [STP] (IEEE 802.1D) Suportar Multiple Spanning Trees [MSTP] (IEEE 802.1s) Suportar Rapid Spanning Tree [RSTP] (IEEE 802.1w) com suporte para Fast Link Possuir suporte a duas imagens de firmware Possuir suporte a fontes de alimentação redundantes externas Suportar no mínimo 64 rotas estáticas Possuir suporte a VLAN baseada em marcação e em porta conforme o 802.1Q IEEE VLANs baseadas em protocolo Possuir suporte para até 200 VLANs simultâneas Suportar VLANs dinâmicas com suporte para GVRP Suportar Voice VLAN Suportar Guest VLAN Suportar VLANs baseadas em protocolo Suportar Layer 3 Trusted Mode (DSCP) Possuir 8 filas de prioridade por porta Suportar Strict priority queue (fila de prioridade estrita) e Weighted Round Robin (divisão ponderada de banda) ou combinação de ambos Suportar Multicast de IP Estático Suportar até entradas totais para ACLs e ACEs Suportar ACLs baseadas em MAC e IP Suportar ACLs com controle de tempo Registro de ACL Proteção por senha de acesso ao switch Suporte a senha forte Possuir configurações definidas pelo usuário para ativar ou desativar o acesso de gerenciamento por Web, SSH, Telnet e SSL Possuir Alerta e bloqueio de endereços MAC baseados em porta Possuir Filtragem de endereço IP para acesso de gerenciamento por Telnet, HTTP, HTTPS/SSL, SSH e SNMP Possuir Autenticação local e remota (RADIUS e TACACS+) para acesso ao gerenciamento de switch Possuir Criptografia SSLv3 e SSHv2 para tráfego de gerenciamento de switch Possuir filtragem de acesso ao gerenciamento, utilizando perfis de acesso Possuir suporte autenticação de extremidade baseada em IEEE 802.1x, modo de monitor 802.1x (registro sem aplicação) Possuir suporte a Agregação de links com suporte para até 32 links agregados por switch e até 8 portas membro por link agregado (IEEE 802.3ad) Possuir suporte a LACP (IEEE 802.3ad) Possuir suporte a jumbo frames de até bytes Suporte a servidor DHCP Página 9 21

10 Suportar DHCP snooping Suportar Relay DHCP Preparado para IPv6 - dual stack (IPv4/IPv6), Tunneling IPv6 sobre IPv4 (ISATAP), IPv6 ACL e classificação de tráfego (QoS), IPv6 Management (ping, telnet, traceroute, HTTP, HTTPS/SSL, SSH, SNMP, SNTP, TFTP, neighbor discovery) Possuir Interface GUI de gerenciamento baseada em Web (HTTP e HTTPS) através de browser padrão. Possuir CLI intuitiva e familiar acessível via Telnet, SSH ou porta serial local Suportar sflow Possuir Notificação de conflitos de endereços IP no gerenciamento Possuir suporte a SNMPv1, SNMP v2c e SNMPv3 Possuir suporte a 4 grupos RMON (histórico, estatísticas, alarmes e eventos) Possuir suporte a Transferências de firmware e arquivos de configuração por HTTP e TFTP Possuir suporte a Imagens duplas de firmware incorporadas Possuir suporte a upload/download de vários arquivos de configuração Possuir estatísticas para monitoramento de erros e otimização de performance, incluindo tabelas de resumo de portas Possuir suporte a gerenciamento de endereços IP BOOTP/DHCP Possuir suporte a SNTP Possuir suporte a LLDP e LLDP-MED Suportar Logging de eventos através de Syslog Possuir suporte a jumbo frame com pacotes de 9000 bytes Possuir suporte auto negociação para velocidade, modo duplex e flow control Filtro de Conteúdo Web Suportar no mínimo a quantidade especificada na TABELA RECURSOS PARA INFRAESTRUTURA do ANEXO I-C de usuários Web simultâneos sendo que o pedido inicial mínimo será de 500 (quinhentos) usuários; A solução deve ser fornecida em alta-disponibilidade podendo a mesma ser ofertada na forma virtualizada ou em appliance físico; Caso a solução seja física, deverá vir em gabinete para instalação em rack padrão 19'' para cada appliance; No caso de solução física, cada appliance deve possuir no máximo 2U de altura; Possuir no mínimo de 02 (duas) interfaces Ethernet 10/100/1000 Base- T para cada appliance; Realizar cache de HTTP, HTTPS e FTP; Possuir suporte ao protocolo ICP para utilização de caches em hierarquia; Possuir suporte ao protocolo WCCP, realizando cache transparente; Possuir suporte ao protocolo WCCP versão 2; Possuir suporte a supressão de headers HTTP que denunciem a existência do cache na rede; A funcionalidade mencionada no item anterior deve existir em ambas as direções de comunicação, tanto cache-cliente como cache-servidor; Deve permite substituir a informação do cabeçalho HTTP por uma string fixa, protegendo, assim, informações confidenciais; Deve permitir o bloqueio de clientes por versão de software ou tipo de Browser; A funcionalidade mencionada no item anterior deve permitir que cliente utilizando Internet Explorer opere normalmente enquanto bloqueie toda requisição feita pelo Firefox, por exemplo; Possuir suporte para cache transparente para os protocolos HTTP e HTTPS; Permitir a integração nativa com sistemas de varredura de códigos maliciosos para os protocolos HTTP, HTTPS e FTP, utilizando o protocolo ICAP para se comunicar com os sistemas antivírus externos; A integração entre o cache e o antivírus deve permitir que após receber a atualização das assinaturas de vírus pelo antivírus, o cache efetue a checagem das páginas cacheadas contra a nova versão do arquivo de assinaturas; Possuir suporte a autenticação LDAP, Domínio do Windows NT (NTLM), Active Directory, Microsoft Kerberos, RADIUS e certificados digitais; Os mecanismos de autenticação podem ser configurados por regras, ou seja, pode-se configurar para autenticar o tráfego HTTP para determinado site e não autenticar o tráfego para outro site; Para os protocolos NTLM e LDAP, o cache deve ser capaz de realizar a autenticação e verificação de grupos de usuários no PDC/AD de um domínio, não dependendo de replicação de base de dados; Deve suportar a autenticação de forma transparente (não poderá haver prompt de senha para o usuário, utiliza a autenticação do S.O. de rede). Essa funcionalidade deve existir tanto com o cache configurado como Proxy da rede, quanto como de forma transparente (o tráfego é redirecionado por um Switch camada 4/7 e o browser dos clientes não contém nenhuma configuração de proxy). Implementar autenticação transparente através de cookie ou endereço IP; Ter a capacidade de servir arquivos tipo ".PAC" (proxy automatic configuration) a partir do próprio appliance; Possuir suporte a configuração de regras de controle de acesso (filtros) que permitam: Controlar o acesso a determinadas URLs ou domínios Web, permitindo o uso de wildcards, máscaras ou expressões regulares; Restringir os endereços IP dos quais podem ser feitas requisições ao cache; Restringir os endereços IP pelos quais o cache pode ser gerenciado; Redirecionar requisições feitas a determinados objetos para outras URLs; Realizar o mapeamento de URLs. Interceptando a URL requisitada e alterando para a URL mapeada; Bloquear extensões definidas pelo tipo de MIME ou pela própria extensão (Ex: Application/Executable ou.exe ); Bloquear scripts ativos como Active X, Java, Javascript, VBScript; Os filtros devem ser separados para cada tipo de protocolo suportado; Os filtros podem ser aplicados tanto às requisições dos usuários como às respostas dos servidores; Implementar, mesmo que em servidor externo, ferramenta para a geração de relatórios gerencias dos logs gerados pela solução. Deve permitir extrair, necessariamente, os relatórios abaixo: Relatório dos maiores usuários (username) de Internet e sites com maior volume de dados acessados por esses usuários; Relatório de sites acessados por determinados usuários, baseado em username; Relatório de usuários que acessaram determinado site por determinado período; Relatório dos usuários que tiveram mais requisições bloqueadas; Relatório dos sites mais acessados por volume de dados (em MB); Relatório dos computadores e usuários que mais acessaram páginas HTTP (em MB); Relatório das estatísticas de acesso HTTP em volume de dados (em MB); Relatório das estatísticas de acesso HTTP por sub-rede IP em volume de dados (em MB); Relatório das estatísticas de acesso HTTP por tipo de arquivo acessado em volume de dados (em MB); Página 10 21

11 Caso seja implementado em servidor externo, o software de emissão de relatórios deve possuir interface gráfica e executar em plataforma Windows ou superior ou Linux Red Hat; Deve gerar registros de acesso (logs), e deve permitir a customização do mesmo; Geração automatizada de relatórios conforme agendamentos feitos pelo administrador, possibilitando a entrega destes relatórios de maneira automatizada por ; Deve permitir exportar relatórios estatísticos e gerências de tráfego na Web, no mínimo, nos formatos: HTML, CSV e PDF; Possuir repositório local para criação de contas e senhas de usuário, incluindo o nível de acesso que esse usuário terá para funções de configuração e monitoração do equipamento; Permitir a configuração de endereços IP para onde devem ser encaminhados alarmes e traps SNMP; Possuir suporte ao ajuste de hora através do protocolo NTP; Permitir atualização de imagens, upload e download dos arquivos de configuração usando algum dos protocolos a seguir: TFTP, HTTP ou FTP; Possuir suporte ao backup/restore de configurações em servidores externos; Deve ser gerenciável via HTTP, HTTPS e SSH; Possuir suporte a configuração através do padrão Command Line Interface (CLI); Possuir mecanismos para limitar o acesso às funções de gerenciamento dos equipamentos seja via SSH, SNMP ou Web browser; Possuir suporte ao protocolo SNMP v3; Garantir a monitoração do tráfego Internet independente de plataforma, sistema operacional predominante na rede interna ou aplicação utilizada pelos usuários; Permitir a monitoração do tráfego Internet sem bloqueio de acesso aos usuários; Bloquear as tentativas de acesso proibidas pela política antes que ocorra o download da página solicitada; Permitir o cadastramento de diferentes perfis de acesso para administração da solução; Prover Termo de Responsabilidade on-line para aceite pelo usuário, a ser apresentado todas as vezes que houver tentativas de acessos à determinada categoria de sites; Integrar ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo contas e grupos de usuários cadastrados; Suportar as metodologias pass-by ou pass-through de filtragem; Não instalar nem executar agentes, módulos ou scripts nas estações de trabalho para prover qualquer serviço, mesmo que seja para identificação de elementos da rede; Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços; Controle de acesso à Internet por endereço IP de origem e destino; Controle de acesso à Internet por sub-rede; Controle de acesso à Internet por usuário (cadastrado no MS Active Directory); Controle de acesso à Internet por grupo de usuários (cadastrado no MS Active Directory); Controle de acesso à Internet por períodos do dia, permitindo a aplicação de políticas por horários e por dia da semana; Controle de acesso à Internet por domínio, exemplo: gov.br, org.br, edu.br; Controle de acesso à Internet por categorias de sítios web; Controle de acesso à Internet por lista de sítios web proibidos customizável; Controle de acesso à Internet por lista de sítios web permitidos customizável; Controle de downloads por nome, tipo ou extensão de arquivo; Controle de downloads por tamanho de arquivo; Controle de tráfego Internet de áudio e vídeo tipo streaming media; Painel de visualização das atividades web demonstrando em tempo real a utilização dos serviços Internet e o consumo da banda de acesso; Mensagem de bloqueio customizável para resposta aos usuários na tentativa de acesso a recursos proibidos pela política; Compatibilidade com filtros de busca segura (safe-search filters), oferecidos por sítios web de busca; Definição e aplicação de políticas por meio de expressões regulares; Permitir a criação de regras para bloqueio de categorias de sites e a criação de exceção a essa regra para uma ou mais URL desta categoria; Base com, no mínimo, 70 categorias diferentes; Categoria exclusiva para sítios web caracterizados como Proxy Anônimo; Categoria exclusiva para sítios web tipo Instituições Financeiras; Categoria exclusiva para sítios web tipo Webmail; Categoria exclusiva para sítios web tipo Blog/Fotolog; Categoria exclusiva para sítios web tipo Instituições de Saúde; Categoria exclusiva para sítios web tipo Notícias; Categoria exclusiva para sítios web tipo Phishing; Categoria exclusiva para sítios web tipo Hackers; Categoria exclusiva para sítios web tipo Pornografia; Categoria exclusiva para sítios web tipo Jogos; Categoria para sítios web tipo Racismo; Categoria exclusiva para sítios web tipo Comunidades Virtuais; Categoria exclusiva para sítios web tipo Compras; Categoria exclusiva para sítios web tipo Chat/Instant Messaging; Categoria exclusiva para sítios web tipo Instituições Educacionais; Categoria exclusiva para sítios web tipo P2P; Categoria exclusiva para sítios web tipo Streaming; Permitir a criação de categorias personalizadas alimentadas conforme a necessidade do administrador; Permitir ao administrador reclassificar, a seu critério, os registros de sítios web que julgar necessário; A solução deve ser capaz de inspecionar tráfego SSL, utilizando as mesmas políticas válidas para tráfego não criptografado (HTTP); A solução deve checar os certificados digitais do site acessado com HTTPS. No caso de certificados digitais inválidos, a solução deve ser configurável para, de acordo com preferência do administrador, bloquear ou permitir o acesso ao site; Deve ser possível configurar regras de exceção a sites HTTPS que não devem ter seu tráfego inspecionado; Controlador/Balanceador de Entrega de Aplicações A solução deve ser fornecida em alta-disponibilidade podendo a mesma ser ofertada na forma virtualizada ou em appliance físico; A solução deverá suportar no mínimo 1Gbps de tráfego, conforme especificado na TABELA RECURSOS PARA INFRAESTRUTURA do ANEXO I-C; A solução deverá suportar a operação no modo Ativo/Ativo, mantendo o status das conexões. Aceita-se como Ativo/Ativo a utilização de dois endereços Virtuais, onde cada endereço fica ativo em um elemento e standby no outro; A solução deverá suportar sincronismo de sessão entre os dois membros em um cluster de alta-disponibilidade de forma que a falha do equipamento principal não deverá causar a interrupção das sessões balanceadas; Página 11 21

12 Todos os recursos possíveis de redundância deverão ser fornecidos na solução ofertada sem nenhuma despesa com licenças adicionais; Fornecer recurso de agregação de portas baseado no protocolo LACP Fornecer recurso para suportar até 8 portas em um mesmo conjunto agregado; Possuir suporte a IPv6; A solução deve suportar múltiplas tabelas de rotas independentes; Fornecer recursos para o uso de servidores no mesmo Virtual Server; Suportar todas as aplicações comuns de um Switch Layer 7, como: Server Load-Balancing; Firewall Load-Balancing; Proxy Load-Balancing; Suportar Balanceamento apenas em direção ao servidor, onde a resposta do servidor real é enviada diretamente ao cliente; A solução deve permitir o encapsulamento, em camada 3, do tráfego entre o balanceador e o servidor para tráfego IPv4 e IPv6, quando o balanceamento é realizado apenas em direção ao servidor, onde a resposta do servidor real é enviada diretamente ao cliente Possuir recursos para balancear servidores com qualquer hardware, sistema operacional e tipo de aplicação. Possuir capacidade de abrir um número reduzido de conexões TCP com o servidor e inserir os HTTP requests gerado pelos clientes nestas conexões, reduzindo a necessidade de estabelecimento de conexões nos servidores e aumentando a performance do serviço. Suportar os seguintes métodos de balanceamento: Round Robin; Least Connections; Weighted Percentage (por peso); Servidor ou equipamento com resposta mais rápida baseado no tráfego real; Weighted Percentage dinâmico (baseado no número de conexões) Dinâmico, baseado em parâmetros de um determinado servidor ou equipamento, coletados via SNMP ou WMI; Possuir recursos para balancear as sessões novas, mas preservar sessões existentes no mesmo servidor, implementando persistência de sessão dos seguintes tipos: Por cookie: inserção de um novo cookie na sessão; Por cookie: utilização do valor do cookie da aplicação, sem adição de cookie; Por endereço IP destino; Por endereço IP origem; Por sessão SSL; Através da análise da URL acessada.; Através da análise de qualquer parâmetro no header HTTP; Através da análise do MS Terminal Services Session (MSRDP) Através da análise do SIP Call ID ou Source IP; Através da análise de qualquer informação da porção de dados (camada 7); A solução deve utilizar Cache Array Routing Protocol (CARP) no algoritmo de HASH O equipamento oferecido deverá suportar os seguintes métodos de monitoramento dos servidores reais: Layer 3 ICMP; Conexões TCP e UDP pela respectiva porta no servidor Devem existir monitores predefinidos para, no mínimo, os seguintes protocolos: ICMP, HTTP, HTTPS, Diameter, FTP, SASP, SMB, RADIUS, MSSQL, NNTP, ORACLE, RPC, LDAP, IMAP, SMTP, POP3, SIP, Real Server, SOAP, SNMP e WMI; Possuir recursos para balanceamento de carga de servidores SIP para VoIP (equipamento SIP PROXY); Possuir recursos para limitar o número de sessões estabelecidas com cada servidor real; Possuir recursos para limitar o número de sessões estabelecidas com cada servidor virtual; Possuir recursos para limitar o número de sessões estabelecidas com cada grupo de servidores: Possuir recursos para limitar o número de sessões estabelecidas com cada servidor físico: Realizar Network Address Translation (NAT); Realizar Proteção contra Denial of Service (DoS); Realizar Proteção contra Syn flood; Realizar Limpeza de cabeçalho HTTP; A solução deve permitir o controle da resposta ICMP por servidor virtual Implementar Listas de Controle de Acesso (ACL); Possuir recursos para que a configuração seja baseada em perfis, permitindo uma fácil administração; Possuir capacidade de geração e gestão de perfis hierarquizados, permitindo maior facilidade na administração de políticas similares; Permitir a criação de Virtual Servers com endereço IPv4 e os servidores reais com endereços IPv6; Possuir recursos para executar compressão de conteúdo HTTP, para reduzir a quantidade de informações enviadas ao cliente; Definir qual tipo de compressão será habilitada (gzip1 a gzip9, deflate); Possuir capacidade para definir compressão especificamente para certos tipos de objetos; Possuir recursos para fazer aceleração de SSL, onde os certificados digitais são instalados no equipamento e as requisições HTTP são enviadas aos servidores sem criptografia; Garantir que na aceleração de SSL, tanto a troca de chaves quanto a criptografia dos dados seja realizada com aceleração em hardware, para não onerar o sistema, este item somente é válido para solução em appliance; Possuir recursos para configurar o equipamento para recriptografar em SSL a requisição ao enviar para o servidor, permitindo as demais otimizações em ambiente 100% criptografado; Suportar a utilização de memória RAM como cache de objetos HTTP, para responder às requisições dos usuários sem utilizar recursos dos servidores; Possuir capacidade, no uso do recurso de cache, em definir quais tipos de objetos serão armazenados em cache e quais nunca devem ser cacheados; Garantir que o recurso de cache possa ajustar quanta memória será utilizada para armazenar objetos; Suporte a otimização do protocolo TCP para ajustes a parâmetros das conexões clientes e servidor; A solução deve suportar Internet Content Adaptation Protocol (ICAP) Deve possuir relatórios em tempo real das aplicações, com pelos menos os seguintes gráficos: Tempo de resposta da aplicação Latência de rede Conexões para conjunto de servidores, servidores individuais Por URL Deve possuir framework unificado para configuração da aplicação Deve possuir criptografia IPSEC para comunicação entre os balanceadores: A Solução deve ter suporte a sflow A solução deve possuir múltiplos domínios de roteamento em IPv4 e IPv6 A solução deve possuir lista dinâmica de endereços IP globais com atividades maliciosas A solução deve ser capaz de criar filtros de endereços IPs baseados em reputação, com no mínimo as seguintes categorias: Windows Exploits, Web Attacks, Botnets, Scanners, Denial of Service, Reputation, Phishing, Proxy. Deve ter suporte a Transport Layer Security (TLS) Server Name Indication (SNI) A solução deve possuir monitor HTTP/HTTPS com autenticação NTLM embutida, que permita verificar se o HTTP/HTTPS está operando assim como a plataforma de autenticação A solução deve ter suporte a TLS 1.2, SHA 2 Cipher e SHA256 hash Página 12 21

13 A solução deve ser capaz de colocar em fila as requisições TCP que excedam a capacidade de conexões do grupo de servidores ou de um servidor. O balanceador não deverá descartar as conexões que excedam o número de conexões do servidor ou do grupo de servidores Deve ser possível configurar o tamanho máximo da fila Deve ser possível configurar o tempo máximo de permanência na fila A solução deve realizar Controle de Banda Estático para grupos de aplicações e rede A solução deve realizar Controle de Banda Dinâminco para grupos de aplicações e rede Anti-Spam para Servidor de s A solução deve ser capaz de filtrar o tráfego de correio ( ) bloqueando a entrada de vírus, spyware, worms, trojans, spam e phishing; Não deve considerar que grupos ou listas de distribuição sejam contabilizados como caixas de ; Ser uma solução MTA (Mail Transfer Agent) completa com suporte ao protocolo SMTP; Possuir capacidade de replicação automática das configurações e balanceamento de carga através de DNS; Permitir customizações de regras e políticas por usuários ou grupos; Tratar e analisar mensagens originadas e recebidas (inbound e outbound), no mesmo equipamento, possibilitando a aplicação de regras e políticas customizáveis, além de diferenciadas por sentido de tráfego; Possuir módulo de verificação com suporte a dois ou mais mecanismos diferentes de antispam executando simultaneamente; Possuir módulo de verificação com suporte a dois ou mais mecanismos diferentes de antivírus; Possuir integração com serviço de diretórios LDAP e Microsoft Active Directory, para obtenção de informações de usuários cadastrados para validação de destinatário e configuração de políticas; Suportar no mínimo a quantidade especificada na TABELA RECURSOS PARA INFRAESTRUTURA do ANEXO I-C de caixas postais sendo que o pedido inicial mínimo será de 500 (quinhentas) caixas postais; Suportar filtros de conexões, que deverão ser executados no início da conversação SMTP; Esses filtros deverão possuir a capacidade de classificar deferentes tipos de comportamento (como whitelist e blacklist). Os filtros de conexões devem, no mínimo: Ser configurados por endereço de IP; Ser configurados por domínios, aceitado-se caracteres coringas, e/ou o uso de expressões regulares; Suportar também RBLs externas a serem definidas pelo administrador (listagem baseadas em DNS); Ser configurados pela reputação do emissor; Ser capaz de controlar o número máximo de destinatários de um determinado emissor, por endereço IP, domínio ou reputação do emissor, trafegados por determinado período, definindo o fluxo de tráfego baseado em minutos; Suportar a criação de áreas de quarentenas personalizadas integrada as políticas definidas pelo administrador, residentes no próprio equipamento, onde as mensagens deverão ser armazenadas pelo período de tempo especificado pelo administrador; Possuir a funcionalidade de dividir mensagens baseado em políticas definidas por cada domínio, subdomínio, grupo de usuários e usuário individual, de forma integrada com ferramentas de LDAP; Permitir a utilização de mais de um servidor de LDAP, no modo de balanceamento de carga, dividindo as novas conexões entre os servidores de LDAP, no evento de falha de consulta a um dos servidores LDAP configurados; Continuar filtrando e verificando as mensagens em ambos os sentidos (inbound e outbound) mesmo após o término do licenciamento ou suporte; Analisar mensagens, no mínimo, por meio dos seguintes métodos: Assinaturas de URL; Assinaturas de spam em imagens (image-spam); Filtros de Vírus; Filtros de anexos; Filtros de phishing; Análise heurística; Análise do cabeçalho, corpo e anexo das mensagens; bounce; Dicionários pré-definidos e customizados com palavras e expressões regulares Suportar a filtragem de conteúdo, no mínimo: Aplicando dicionários diferentes, para que sejam feitas análises diferenciadas, para usuários e/ou grupos distintos regulares; Tomando as seguintes ações relativas às mensagens, para qualquer endereço eletrônico: descartar; quarentenar; encaminhar; entregar; não analisar; rejeitar; rotear; Garantindo a integridade da assinatura digital nas mensagens verificadas; Suportar a filtragem de anexos, no mínimo: Analisando cabeçalho MIME dos arquivos; Analisando fingerprint; Comparando com lista de arquivos maliciosos conhecidos; Bloqueando arquivos compactados com senha; Aplicando regras diferentes para grupos e/ou usuários distintos; Aplicando regras diferentes em sentido de tráfego diferentes; Tomando as seguintes ações relativas ao anexo: remover, quarentenar, descartar, encaminhar, não analisar, rejeitar, rotear e entregar a mensagem; Notificando o usuário, caso um arquivo tenha sido removido da mensagem, informando o motivo, nome do arquivo, remetente e colocando essa mensagem em quarentena para uma possível liberação a ser executada pelo administrador e ou pelo usuário. A notificação deverá ser customizável pelo administrador ou préconfigurada em Português-Brasil; Possuir níveis granulares de administração da interface web, mínimo de três níveis de administração; Possuir interface web de administração segura HTTPS; Possuir interface web para que o usuário final possa administrar no mínimo os s classificados como spam e regra customizada, podendo através dessa interface liberar ou colocar o remetente em uma lista de bloqueio ou liberação, pessoal, não interferindo nas filtragens dos outros usuários; A solução deverá suportar, para uso futuro e sem adição de novo appliance, a implantação de módulo de DLP e Criptografia, para o número de usuários especificados, com as seguintes características: Suportar a implantação de módulo de compliance na saída de s da rede para impedir, através de regras, a saída de informações da rede; Suportar a implantação de módulo de compliance que permita consultar arquivos para aplicação de regras, impedindo o envio de determinado arquivo ou informação, mesmo que contida em arquivos.doc,.docx,.xls, xlsx,.pps,.ppsx,.pdf,.odf,.odt,.ods,.odp, etc; Suportar a implantação de módulo de compliance que permita aplicar regras de firewall para mensagens que violarem regras de compliance, bloqueando, colocando em quarentena e auditando essa mensagem; Página 13 21

14 Suportar a implantação de módulo de compliance que possua a funcionalidade de cadastrar um determinado dicionário a escolha do administrador, bem como, possuir dicionários pré-configurados na própria solução para controles de regras de compliance; Suportar a implantação de módulo de compliance que possibilite alteração de cabeçalho da mensagem quando violada alguma regra de compliance; Suportar a implantação de modulo de criptografia na saída de s da rede que trabalhe de maneira transparente ao usuário, sem a necessidade de instalação de plugins, agentes ou outro tipo de software e possua interface para o destinatário customizável; Suportar a implantação de módulo de criptografia que gera logs para auditoria de todas as transações das mensagens criptografadas; Possuir console única de gerenciamento para interface de criptografia, compliance, antispam e antivírus, ou seja, para todos os módulos exigidos e suportáveis da solução; Possibilitar ao administrador definir qual mensagem deverá ser criptografada, com base, no mínimo, em assunto, destinatário, remetente e anexo; Utilização de criptografia das mensagens, geradas por chaves independentes; Impossibilitar o uso de cache de browser para acesso as mensagens criptografadas. O sistema deverá permitir que o modelo das mensagens criptografadas possam ser customizada; Permitir ao administrador da solução antispam executar pesquisa nas mensagens em quarentena de todos os usuários através de interface web segura (HTTPS) acessando o próprio equipamento, sem necessidade de nenhum software e hardware adicional; Permitir ao administrador agendar o envio do sumário ( digest ) contendo as mensagens armazenadas na quarentena do usuário em períodos de tempo pré-configuráveis; Possibilitar que a interface do usuário final, para administração da quarentena pessoal, permita a visualização das mensagens retidas e classificadas como spam. Também deverá ser permitido ao usuário final sinalizar mensagens quarentenadas como não sendo spam, assim como o recebimento de futuras mensagens daquele remetente; Possuir a interface do usuário final para administração da quarentena em Português-Brasil; Prover a Quarentena Dinâmica, oferecendo defesa contra ataques, com as seguintes funcionalidades: Preventiva contra surtos de novos vírus, totalmente automática e com a menor chance de perda de mensagens legítimas; Específica para bloquear mensagens infectadas com novos surtos de vírus, protegendo o ambiente no período anterior à disponibilização da nova assinatura específica; Prover funcionalidade de backup e restauração para/de uma máquina remota das configurações do software antispam; Prover funcionalidade de retorno de no mínimo as 5 (cinco) últimas regras aplicadas; Gerar relatórios automatizados via agendamento e com envio dos mesmos para destinatários específicos via SMTP; Disponibilizar, pelo menos, os seguintes tipos de relatórios: Sumário com total de mensagens que foram classificadas como: boas, spam vírus, bloqueadas por políticas, maiores domínios remetentes de spam, maiores remetentes de spam por conexão IP, endereços de e- mail que mais recebem spam e maiores domínios por recipientes não classificados recebidos no último dia; Relatórios sobre spam; Relatórios de conexões SMTP: rejeitadas por reputação e rejeitadas por controle de conexões; Permitir a utilização de um servidor de syslog externo; Possuir funcionalidade de exibição de gráficos com estatísticas no formato "dashboard" para acompanhamento em tempo real do fluxo de s de cada um dos servidores de cluster com a capacidade de custormizar quais gráficos serão exibidos e sua posição na janela gráfica de maneira individual para cada administrador da ferramenta, contendo, no mínimo as seguintes opções de gráficos (widgets): Status dos servidores: memória, disco, processamento, e sincronização; Volume de mensagens; Sumário de s bloquados (inbound e outbound) por: destinatario remetente, conteúdo e reputação; Sumário de s enviados e recebidos; Sumário de s enviados com criptografia; Volume de conexões; Estatísticas de vírus; Estatísticas de spam; Tamanho das mensagens; Tempo das mensagens; Firewall Corporativo em Alta-Disponibilidades Os 2 (dois) equipamentos devem trabalhar em cluster nos modos (ativo-ativo ou ativo-passivo) contendo: Sincronismo de conexões para os sistemas de Firewall e VPN; Detecção de falha em um dos equipamentos; Detecção de falha de link; Cada equipamento, caso appliance físico: Deve possuir altura de no máximo 3 U, para a montagem em rack padrão de 19 ; Deverá possuir suporte para adicionar segunda fonte de alimentação AC redundante; Deverá possuir porta serial para acesso via console; Deverá possuir fonte de alimentação interna e operar em 110 V ou 220 V com chaveamento automático; O modelo ofertado deverá possuir conformidade com uma das seguintes normas: FCC, CE, ANATEL ou compatíveis, demonstrando que o equipamento não provoca e não está sujeito a interferências eletromagnéticas prejudiciais e respeita os limites de emissão, suscetibilidade e interferência eletromagnéticas; O MTBF (Tempo mínimo entre falhas) deve ser de no mínimo 6 anos; Deverá possuir mínimo de 8 (oito) interfaces Gigabit Ethernet padrão 1000BaseT RJ-45 (auto-negociáveis); Deverá possuir interface out-of-band para gerenciamento; Possuir capacidade de replicação de configurações e a aplicação de atualização de software para os dois equipamentos que compõem o cluster; Deve possuir a função de Firewall Statefull, que permite o controle de estados das conexões através de registro de cada uma das sessões TCP ou UDP e acompanhamento dos estados durante seu prosseguimento; Deve possuir inspeção avançada de pacotes na camada de aplicação para os seguintes protocolos: HTTP, FTP, SMTP, DNS, RTSP, H.323, SIP, LDAP, NFS, RPC, SNMP, TCP, UDP e ICMP; Deve possuir a capacidade de operar nos modos: Transparente (Bridge Layer 2) e realizando roteamento IP (Layer 3); Possuir performance mínima de 9 Gbps para a função de Firewall, baseda na RFC 3511 (Benchmarking Methodology for Firewall Performance), RFC 2544 e RFC 1242; Deve suportar mínimo de conexões por segundo; Possuir protocolo NTP (Network Timing Protocol); Página 14 21

15 Possuir capacidade de criar mínimo de 1024 VLANs (802.1q); Possuir capacidade de link aggregation (802.3ad); Possuir capacidade para criação de interfaces lógicas baseadas em VLAN e aplicação de regras de políticas de segurança nas interfaces; Possuir os protocolos IPv4 e IPv6 nativo e modo túnel; Possuir inspeção de pacotes IPv6 no Firewall para os protocolos ICMP e portas TCP/UDP; Possuir roteamento para RIPv2 ou BGP e roteamento estático; Possuir QoS (Quality of Services) para priorização de pacotes; Suportar o protocolo RADIUS (Remote Authentication Dial In User Service); Possuir mecanismo de integração com servidor Microsoft Active Directory (AD); Possuir DHCP Server e também atuar como Cliente Relay DHCP; Possuir capacidade de definir políticas por tempo, ou seja, permitir a definição de regras para um determinado horário ou período (dia, mês, ano e hora); Possuir NAT estático (mapeamento de endereços 1:1) e PAT dinâmico (mapeamentos de endereços N:1 e N:N); Possuir controle de regras de Firewall utilizando objetos de IP, rede e grupos; Possuir controle de regras de Firewall utilizando login do usuário, nome do usuário, grupos de usuários, máquina/computador registrados no Microsoft Active Directory (AD); Possuir controle de regras de Firewall por horário, dia da semana e do mês; Possuir controle de regras de Firewall temporárias, definidas com início e fim; Possuir capacidade de controlar as descrições dos objetos, nome das regras de Firewall e comentário associado; Possuir capacidade de localização de endereços IPs e objetos; Possuir capacidade de definir se determinada regra irá gerar log ou não; Possuir capacidade de informar a utilização especifica de uma regra de Firewall; Possuir capacidade de organização das regras do Firewall, podendo inserir determinada regras em locais determinados; Possuir capacidade de configurar endereços IPs por NAT de origem, destino e serviço; Possuir roteamento IPv4 e IPv6 para a configuração de rotas estáticas e dinâmicas; Possuir capacidade de inspeção avançada para detectar e bloquear programas tais como IM, P2P, Web 2.0, voz/vídeo e aplicações tipo TeamViewer e compatíveis; Possuir capacidade de aplicar ACL (Access Control Lists) para todas as interfaces; As ACL devem ser baseadas em interfaces de camada 3 (IP) e camada 4 (TCP e/ou UDP), com capacidade de aplicar diretivas de log para cada linha; Possuir capacidade de AAA (Authentication, Authorization and Accounting), sendo que o Accounting pode ser realizado através do servidor RADIUS; Possuir protocolo de gerenciamento SNMPv2 e v3; Suportar a importação e exportação dos arquivos de configurações através de protocolo seguro SSH; A identificação do usuário registrado no Microsoft Active Directory, deverá ocorrer sem qualquer tipo de agente instalado nos controladores de domínio e estações dos usuário; Para usuários e máquinas não registradas ou reconhecidas no domínio, a solução deve ser capaz de fornecer uma autenticação baseada em navegador; Deve suportar autenticação para dispositivos moveis tipos Smartphone e Tablet; Não deve causar impacto nos controladores de domínios existentes; Deve suportar autenticação Kerberos transparente para single sign on ; Permitir a criação de politicas granulares utilizando as seguintes opções integradas do AD: Por usuários; Por grupos; Por nome das máquinas. Na integração com o AD deve suportar a inclusão de todos os controladores de domínio em operação na rede e sem utilização de scritps de comando; Deve ser capaz de criar perfis de identidade para ser utilizado em todas as aplicações de segurança; A solução de identificação de usuário deverá se integrar com outras funções exigidas do appliance; A solução deve possibilitar ao administrador realizar a integração com o AD através de um assistente de configuração na própria interface gráfica do produto; Possuir capacidade de encerramento de sessão via time-out ; Deve suportar para expansão futura a possibilidade de criar Firewalls virtuais; O sistema deve possuir performance de VPN de no mínimo 1.0 Gbps (3DES/AES); O sistema VPN IPSec deve possuir suporte para VPN Client baseados em software do fabricante para os sistemas operacionais Windows, Mac e Linux; O sistema VPN SSL deve possuir suporte aos serviços ou aplicações baseados nos protocolos TCP e UDP, podendo ser implementado através de controle ActiveX, Applet Java ou qualquer plug-in adicional; Possuir suporte para o protocolo DPD (Dead Peer Detection) e permitir a configuração de split tunneling ; Deve suportar serviços de VPN baseado no padrão IKE (Internet Key Exchange) contendo os modos (Main e Aggresive); Possuir os algoritmos de criptografia de VPN RSA, DES, 3DES, AES e Perfect Forward Secrecy (Diffie-hellman Group 1, 2 e 5). Os algoritmos Hash MD5 e SHA-1 devem estar inclusos; Possuir autenticação RADIUS e no caso de VPN SSL deve possuir integração direta com LDAP (Microsoft Active Directory); Possuir suporte para integração de Public Key Infrastructure (PKI) para autenticação da VPN; Deve suportar Certificate Authority (CA), para o gerenciamento de chaves públicas e privadas para múltiplos pares de VPNs; Deve suportar certificados X.509 e CRL (Certificate Revocation List); Possuir suporte nativo a publicação via VPN SSL de pastas compartilhadas de servidores de arquivos baseados em Microsoft Windows (protocolo SMB/CIFS); Possuir capacidade de estabelecer VPN através de redes com ambiente NAT/PAT e suportar transparência de conexões IPSEC a NAT, através de encapsulamento dos pacotes IPSEC em TCP e UDP; A configuração da conexão VPN SSL deve ser completamente automatizada e transparente para o usuário final; Permitir a configuração de time-out por inatividade dos usuários, exigindo que o usuário se autentique novamente diante de inatividade na conexão; O serviço de VPN SSL deve permitir o acesso disponível para o usuário após o processo de autenticação, contendo as aplicações que o usuário possui acesso com base nas permissões e privilégios definidos; O serviço de VPN SSL deve possuir suporte para os seguintes navegadores (Explorer, Firefox e Chrome); Possuir capacidade de controlar regras por usuários e aplicações via VPN; Página 15 21

16 O sistema VPN deve possuir suporte para dispositivos moveis como Smartphone e Tablet, para no mínimo os sistemas operacionais Android e ios. Solução de prevenção contra invasões IPS Possuir performance mínima de 4 Gbps para a função de IPS, baseada na RFC 3511 (Benchmarking Methodology for Firewall Performance), RFC 2544 e RFC A solução de IPS deverá ser ofertada sempre em conjunto com a solução de firewall (item ), podendo a mesma ser implantada como módulo adicional (licença ou módulo físico) ou appliance adicional desde que seja do mesmo fabricante da solução de firewall. O administrador deve ser capaz de configurar a inspeção para proteger apenas os hosts internos da rede. A solução de IPS deve fornecer perfis de políticas pré-definidas que podem ser utilizadas de forma imediata pelo administrador. A solução deve permitir a pré-configuração de no mínimo 15 perfis de proteção de IPS que podem ser utilizados a qualquer momento. Possuir habilidade de proteger simultaneamente múltiplas sub-redes e/ou VLANs. Possuir opções para criar perfis de proteção baseada em cliente ou servidor, ou uma combinação de ambos. Deve incluir pelo menos os seguintes mecanismos de detecção: Assinaturas de vulnerabilidades e exploits; Assinaturas de ataque; Validação de protocolo; Detecção de anomalia; Detecção baseada em comportamento. O administrador deve ser capaz de configurar a inspeção somente para tráfego entrante (inbound). Possuir capacidade de analisar pacotes incluindo a camada de aplicação, buscando padrões conhecidos de ataques, aplicações maliciosas e analise comportamental para identificação de ameaças. Possuir capacidade de detecção contra ataques por busca de vulnerabilidades, falhas em tentativas de login e seqüestro de seção TCP. O IPS deve incluir no mínimo definições de ataques que protejam tanto clientes como servidores. A solução deverá analisar ( scannear ) todos os pacotes de trafego e gerar o registro de eventos. O IPS deve incluir a habilidade de interromper temporariamente as proteções para fins de troubleshooting. Possuir e prover mecanismo de atualização automática da base de assinaturas utilizadas para detecção de ameaças. Possuir capacidade de inspeção GRE (Generic Routing Encapsulation) e bloquear ou restringir tráfego P2P mesmo tunelado em protocolo HTTP, sem prejuízo a navegação Web. Possuir capacidade de criar diferentes regras com diferentes proteções ativadas para o IPS. O mecanismo de inspeção deve receber e implementar em tempo real atualizações para os novos ataques sem a necessidade de reiniciar o appliance. O administrador deve ser capaz de ativar novas proteções baseado em parâmetros configuráveis como: Impacto na performance; Severidade da ameaça; Proteção dos clientes; Proteção dos servidores. O IPS deve fornecer um mecanismo automatizado para ativar ou gerenciar novas assinaturas de atualizações. A solução deve ser capaz de detectar e prevenir as seguintes ameaças: 1 Exploits e vulnerabilidades específicas de clientes e servidores; Comunicação outbound de malware; Tentativas de tunneling; Ataques genéricos sem assinaturas pré-definidas. Para cada proteção, possuir a descrição da vulnerabilidade da ameaça, e a referência de mercado baseado na Common Vulnerabilities and Exposures (CVE). Para as proteções suportadas, deve incluir a opção de adicionar exceções baseado na origem, destino, serviço ou combinação dos três anteriores. A solução deve fazer captura de pacotes para proteções específicas e analise avançada. Deve incluir a habilidade de detectar e bloquear ataques protegendo dos seguintes ataques conhecidos: IP Spoofing; SYN Flooding; Ping of death; ICMP Flooding; Port Scanning; Ataques de força bruta a IKE e man-in-the-middle com VPN. A solução deve ser capaz de inspecionar e filtrar os principais protocolos conhecidos, a fim de buscar aplicações que possam comprometer a segurança da empresa, como P2P (BitTorrent) e Instant Messaging (IM), mesmo quando elas pareçam ser tráfego válido. Deve possibilitar a criação de novas assinaturas para inspeção (edição de expressões regulares). O administrador deve ser capaz de configurar quais comandos FTP são aceitos e quais são bloqueados a partir de comandos FTP prédefinidos. O administrador deve ser capaz de configurar quais métodos e comandos HTTP são permitidos e quais são bloqueados. Deve oferecer a opção de bloquear controles ActiveX e Applets Java que possam comprometer usuários Web. Deve possuir tela de visualização situacional a fim de monitorar graficamente a quantidade de alertas de diferentes severidades e a evolução no tempo. A solução deve permitir a configuração de inspeção do IPS baseado em políticas que utilizem o posicionamento geográfico de origem/destino do tráfego e endereços IP de origem/destino. A solução deve permitir configuração de "fail-open" lógico, da função de IPS, em situações que coloquem em risco o funcionamento das demais funcionalidades do equipamento. A solução deve permitir a inspeção de tráfego sobre o protocolo HTTPS (Inbound/outbound). A solução deve proteger do ataque de DNS cache poisoning, na qual impede que os usuários acessem os endereços de domínio indevidos. A solução de IPS deve incluir um modo de troubleshooting, definindo de modo rápido, o chaveamento para o modo de IDS (apenas detecção de ataques), sem modificar as proteções individuais já criadas e customizadas. A solução de IPS deverá ser capaz de criar regras de exceção para assinaturas de IPS a partir do evento visualizado. Deverá possibilitar a criação de novas assinaturas ou a importação de novas no formato de mercado tipo SNORT. A solução de IPS deverá suportar a integração com solução de correlação de eventos, para a disponibilização e geração de relatórios. Página 16 21

17 Solução de Prevenção de Vazamento de Informações A solução de DLP deverá ser ofertada sempre em conjunto com a solução de firewall (item ), podendo a mesma ser implantada como módulo adicional (licença ou módulo físico) ou appliance adicional desde que seja do mesmo fabricante da solução de firewall. A solução poderá ser disponibilizada como recurso habilitado na solução de Firewall; A solução DLP deve prover uma forma de notificar o usuário visando o auxilio de auto-remediação ao usuário final. Desta forma, o suporte não será requisitado de maneira desnecessária. A solução deve ter mais de 700 tipos de filtros de dados pré-definidos, bem como a capacidade de criação de filtros customizados. Suportar pelo menos os padrões: PCI-DSS, HIPAA, PII DLP deve ter uma linguagem de script aberto para criar os tipos de dados relevantes para qualquer organização; A solução deve suportar envolvimento do usuário na tomada de decisões no momento de envio do . A solução deve ser capaz de identificar no mínimo 10 tipos de dados no padrão brasileiro, incluindo RG, Carteira de Motorista e Título Eleitoral; A solução, caso integrada ao Firewall, deve ser gerenciada na própria console de gerência do mesmo. A solução deve alertar ao dono do tipo de dados quando ocorrer um incidente; Deve suportar os tipos de transporte SMTP, HTTP, HTTPS, FTP; Ter suporte multi linguas com detecção de conteúdo em múltiplos idiomas, incluindo fontes UTF-8; Deve ser capaz de identificar números de cartões de crédito verdadeiros de números falsos, evitando assim alertas de falsopositivo; Deve permitir ao Administrador visualizar nos logs, o com conteúdo em que foi detectado o evento de DLP; Deve ser possível criar listas permissivas para arquivos que não devem ser inspecionados; Deve ser possível ao Administrador, informar um repositório de arquivos para que seja gerado um fingerprint a ser utilizado na política para bloqueio no DLP; Suporte a Servidor Exchange para inspeção de s trocados internamente na empresa; Suportar bloquear ou permitir arquivos baseados na marca d água; A política deve ser granular e permitir a criação de regras por usuários ou endereço IP; A política deve permitir ficar apenas em modo de detecção, informar o usuário, perguntar ou prevenir; Solução de Correlação de Eventos de Segurança A ferramenta de correlação pode ser do próprio fabricante da solução de Firewall/IPS ou solução de terceiros para correlacionar os eventos de ataques e deve possibilitar receber eventos das soluções de Firewall/VPN e IPS ofertadas neste edital e de soluções de mercado como Snort, Cisco, NetScreen, Check Point e ISS. A solução não deve ter limitação para a geração de eventos, o limitador deve ser o espaço disponível em disco. Deve permitir a criação de filtros com base nas seguintes características do evento: Origem e destino; Serviço; Severidade; Nome do ataque. A solução dever ser capaz de criar filtros que permitam a visualização de múltiplos eventos: Principais ações; Principais funcionalidades de segurança utilizadas do Firewall; Principais regras que foram utilizadas de acordo com o filtro criado; Principais aplicações utilizadas. O resultado gerado em cada busca da base deverá apresentar um timeline gráfico onde o administrador possa ter visibilidade da volumetria diária dos acessos gerados. Para buscas avançadas, deve permitir a utilização de expressões regulares com caracteres coringa, operadores lógicos, entre outros. A solução deve ter capacidade de registrar todas as funções integradas de segurança no appliance incluindo: Firewall e IPS. Ao executar uma busca, deve prover informações de top sources de forma automática. A solução deve ter a capacidade de busca indexada. A solução deve ser capaz de apresentar as seguintes informações quando o evento é gerado: Data e horário; Protocolo; Porta de origem e destino; Identidade do usuário; Funcionalidade de segurança integrada no appliance; Ação executada; Severidade. Os registros devem ter um canal seguro para a transferência de eventos, sendo autenticada e criptografada. A solução deve prover visibilidade em tempo real dos eventos de segurança gerados, para o administrador realizar troubleshooting de acordo com o incidente. Através da solução de identificação de usuário, o evento deverá ser capaz de associar o nome do usuário, nome da máquina para cada registro. A solução deve prover filtros pré-definidos de eventos com maior importância. A solução deve possibilitar a visualização geográfica dos eventos de segurança correlacionados. A solução deve permitir a aplicação de filtro para diferentes linhas do gráfico que são atualizadas em intervalos regulares, mostrando todos os eventos que corresponda a esse filtro, permitindo ao administrador concentrar-se nos eventos mais importantes. Deve permitir a geração de relatórios com horários predefinidos, diários, semanais e mensais. Incluindo principais eventos, origens e destinos e serviços. A solução deve incluir a opção de pesquisar dentro da lista de eventos e possibilitar a verificação em detalhes para a investigação e analise dos eventos. Deve permitir ao administrador o agrupamento de eventos, incluindo vários níveis de alinhamento. A solução de correlação deve possuir mecanismo para detectar login de administradores em horários irregulares. A solução deve ser capaz de detectar ataques de tentativa de login e senha utilizando tipos diferentes de credencias. A solução deve apresentar um relatório sobre todas as instalações de políticas de segurança. Deve estar inclusa na lista de eventos a opção de gerar gráficos ou tabelas com evento, origem e destino. Página 17 21

18 Deve detectar ataques de negação de serviço e correlacionar eventos de todas as fontes. Deve suportar a programação de relatórios automáticos, para as informações básicas que precisa extrair de forma diária, semanal e mensal. Também deve permitir ao administrador definir a data e a hora que o sistema de informação começa a gerar o relatório agendado. A ferramenta de correlação deve suportar pelo menos 25 filtros que permitem personalizar um relatório predefinido para ser o mais próximo às necessidades do administrador. Deve suportar a geração de relatório gerencial, que apresente os eventos de ataque de forma visual e modo gráfico. A solução deve suportar os seguintes formatos de relatórios: HTML, CSV e MHT. Deve suportar a distribuição automática de relatórios por , fazer upload para o servidor FTP / Web. Deve possuir uma linha do tempo que permita ao administrador visualizar os eventos de forma correlacionada, de modo a minimizar o tempo gasto na tomada de decisões. Solução de Gerência de Segurança Possuir uma única interface de gerência, preferencialmente Web, para a monitoração e gerenciamento integrados dos serviços de Firewall, VPN, IPS, DLP e Correlacionador de Eventos para fins de gerenciamento e configuração do sistema a qual deverá estar disponível para as plataformas Windows e/ou Linux. Deverá ser compatível com as soluções de Firewall/VPN, IPS, DLP e Correlacionador de Eventos solicitadas neste edital. O servidor de gerência deverá ser fornecido em conjunto com o appliance de Firewall (item ) e poderá ser disponibilizado em servidor físico dedicado ou em ambiente virtualizado. Deve manter um canal de comunicação segura, com encriptação baseada em certificados, entre todos os componentes que fazem parte da solução de Firewall, gerência, armazenamento de eventos/logs e emissão de relatórios. A solução deve suportar alta disponibilidade do servidor de gerência, utilizando um servidor de gerência em standby que será automaticamente sincronizado com o servidor ativo. Possibilidade de efetuar alteração de política do Firewall e aplicá-la posteriormente em horário pré-definido, assim não impactando o ambiente durante o horário comercial. Possuir capacidade de definir privilégios de acesso por serviço, podendo definir apenas leitura ou leitura/escrita, gerenciamento dos usuários ou visualização dos eventos. Possibilitar que as regras de Firewall sejam criadas por linha de comando para fins de automação. A solução deverá possuir mecanismo de verificação automática para detecção de erro humano na configuração da política de segurança evitando que regras como "any-any-accept" sejam aplicadas no ambiente. A solução deve ter um mecanismo de verificação de politica que seja auto suficiente para não deixar que a politica seja aplicada caso seja encontrada qualquer erro, como : Conflito de regras; Erro de configuração de interface; Licença expirada. Deve permitir a criação de regras por intervalo de tempo e/ou período (data e horário de início e fim e validade). Deve prover, em cada regra, a informação da utilização da mesma e informar a primeira e última vez em que a regra foi utilizada, de acordo com a politica estabelecida. A solução deverá incluir um certificado base seguro com canal criptografado de comunicação entre todos os componentes distribuídos pertencentes a um único domínio de gerenciamento. Deve incluir a capacidade de confiar em Certificados de Autoridade (CA) externas ilimitadas com a opção de verificar o certificado do appliance externo através de, no mínimo, Distinguished Name (DN) e endereço IP. A solução deve incluir uma opção de busca para poder consultar facilmente qualquer objeto de rede configurado. A solução deve incluir a opção de segmentar a base de regra utilizando rótulos ou títulos de seção para organizar melhor a política facilitando a localização e gestão das regras pelo administrador. Deve prover a opção de salvar automaticamente e manualmente versões de políticas. Os seguintes esquemas de autenticação devem ser suportados pelos módulos de Firewall e VPN: Tokens (como SecurID), TACACS, RADIUS, certificados digitais e dispositivos biométricos. A funcionalidade de armazenamento de eventos deverá possibilitar a criação de filtros usando objetos pré-definidos baseado (IP origem/destino, nome maquina, usuários, grupo, serviço/porta, interface, categoria de ataque) que deverão ser apresentados através de console gráfica. Deverá possibilitar a filtragem de eventos relacionados a ação do administrador, verificando o "login/logout" ; aplicação e alteração de política. A solução deve ser capaz de exportar os eventos para uma base de dados ou repositório externo. A solução deverá permitir configurar para cada tipo de regra ou evento as seguintes opções: Log; Alerta; Enviar trap SNMP; Envio de . Prover mecanismo de visualização de eventos em tempo real das funções de segurança, com uma prévia sumarização para fácil visualização de no mínimo as seguintes informações: Funções de segurança mais utilizadas; Origem e destino mais utilizados; Regras mais utilizadas; Aplicações mais utilizadas; Usuários com maior atividade. A solução deve fornecer as seguintes informações sobre o appliance: Licenciamento das principais funções e prazo de validade; Interfaces; Utilização da CPU; Utilização de memória; Trafego gerado por aplicações; Conexões de estabelecidas e bloqueadas; Conexões de NAT; Regras configuradas; Thresholds; Tuneis VPN (site-to-site e cliente-to-site) A solução dever possuir contadores que possam apresentar os seguintes relatórios gráficos pré-configurados: Histórico e principal utilização de recurso do Firewall; Histórico e principal conteúdo inspecionado; Histórico e principal utilização de recurso da conexão VPN. O sistema deverá ser capaz de criar query para visualização gráfica de consumo por interfaces, sendo mandatória a associação dos principais serviços de internet consumidos; A solução de monitoração deverá ser capaz de possuir filtro onde consegue monitor todos os usuários remotos logados. Página 18 21

19 A solução deve incluir a opção de capturar o tráfego em arquivo para posterior visualização em qualquer momento. A solução deve ser capaz de reconhecer falhas e problemas de conectividade entre dois pontos conectados através de uma VPN, e registrar e alertar quando o túnel VPN está desconectado. Deve permitir ao administrador o agrupamento de eventos baseado em opções de filtragem, incluindo vários níveis de alinhamento. Possibilidade de aplicar filtros por objetos e regras definidas. Possuir gerenciamento através de interface CLI (command line interface), através da porta de console e protocolo SSH. Possuir os protocolos Netflow e SNMP v2/v3. Possuir o protocolo NTP para sincronização de hora/data. Possuir a capacidade de troubleshooting, visualizar em tempo real e registrar todas as conexões estabelecidas através do Firewall, contendo as informações de data / hora, origem e identificação de cada evento. Possuir a capacidade de criação de diversos usuários para gerenciamento e com diferentes níveis de acesso. Possuir capacidade de gerar eventos contendo os seguintes níveis: critico, alerta, erro, notificação e debug. Possuir capacidade de auditoria indicando qualquer alteração de configuração realizada no Firewall (usuário, ação e horário). Possuir capacidade de enviar alertas através de e por meio do protocolo SNMP sobre os eventos de segurança gerados pelo Firewall /IPS. Possuir capacidade de capturar mensagens em tempo real para analise de troubleshooting contendo a data/hora do evento, endereço IP origem / destino e descrição do evento e com a possibilidade de aplicar filtros por endereços IP, portas TCP / UDP entre outros. Solução de Auditoria e Firewall de Banco de Dados A solução deve ser baseada em appliance físico com sistema operacional e software para o propósito específico aqui descrito, embarcados no hardware, sendo todos esses itens fornecidos pelo próprio fabricante ou appliance virtual com sistema operacional e software para o propósito específico aqui descrito em plataforma de virtualização homologada pelo fabricante; Cada appliance físico ou virtual deve incluir sistema operacional e softwares proprietários, destinados para a finalidade de Database Firewall, bem como as licenças necessárias para o seu funcionamento e proteção de ilimitados servidores. Deve ser possível implementação distribuída, com appliances geograficamente afastados, e gerenciamento de forma centralizado através de uma console única; No caso de appliance físico, cada equipamento pertencente à solução deve ter, pelo menos, as seguintes características: Redundante sistema de ventilação. Fonte de alimentação redundante. Possuir pelo menos três interfaces Ethernet 1000Base-TX Possuir, no mínimo, uma interface Ethernet 100Base-TX para gerenciamento out-of-band. Deve possibilitar o modo de inspeção in-line com suporte a bypass interno. A solução deve ser capaz de integrar-se na rede de modo que a coleta do tráfego seja feito através de espelhamento de porta. Deve possibilitar o modo de inspeção in-line com suporte a bypass interno, no caso de appliance físico. Deve monitorar e registrar os seguintes eventos das bases de dados de plataforma avançada: Alterações em Esquemas de Dados (CREATE, DROP, ALTER) DDL (Data Definition Language); Alterações em Dados (INSERT, UPDATE, DELETE) DML (Data Manipulation Language); Acessos a Dados (SELECT, EXECUTE) DQL (Data Query Language); Eventos de segurança (GRANT, REVOKE, DENY) DCL (Data Control Language). Logins validos, inválidos e rejeitados; Logout; Tentativas de acesso ao repositório de auditoria; 8 Atividades de gerenciamento de contas de usuários (criação, alteração de senha, etc.); Alterações nas configurações de segurança; Registro de criação, exclusão e alocação de objetos físicos de bancos de dados; Tentativas de acesso ao sistema operacional por comandos do banco de dados; Finalização (shutdown), erros e reinicialização do banco de dados comandados por instruções SQL; Deve suportar os seguintes Softwares Gerenciadores de Banco de Dados, independente de tecnologia de Hardware e Sistemas Operacionais, inclusive operando em cluster com no mínimo, dois servidores ou partições em cada cluster: Oracle versões 8, 9, 10, e 11; DB2 on Linux, Unix and Windows - Versões 7.2, 8, 9, e 9.5; Microsoft SQL Server versões 7, 2000, 2005, e 2008; MYSQL 4.1 e 5.0; Infomix; Sybase; PostgreSQL; Deve possuir recurso de gerenciamento centralizado, permitindo gerenciar o sistema de vários pontos da rede de forma segura e configurar politicas e regras de forma centralizada; Deve ser dotado de arquitetura expansível, permitindo adicionar pontos de monitoração distribuída totalmente integrados (através do uso de um modelo concentrador); Toda a transmissão de dados entre os componentes de um sistema distribuído deve ser criptografada e digitalmente assinada; Deve permitir a administração e gerenciamento centralizado de múltiplas redes dispersas geograficamente e elevados volumes de processamento; Deve registrar atividades executadas diretamente na console do banco de dados; Deve possuir funcionalidade integrada para geração automática e programada de relatórios tipo painel de controle com a visão instantânea de indicadores-chave da segurança do Banco de Dados, permitindo analisar constantemente as vulnerabilidades das bases de dados. Estas medições podem ser obtidas sistematicamente e automaticamente em tempo real e/ou em bases históricas, realizando uma comparação da segurança verificada no Banco de Dados em relação às politicas de segurança preestabelecidos (SLAS); Deve disponibilizar recurso de mapa de acesso cliente-servidor, que forneça uma visão instantânea das interações das Aplicações e Clientes com o Banco de Dados de forma visual. O gráfico resultante devera ter recursos de personalização variada permitindo visualizar comandos específicos executados nas bases monitoradas, identificando quais as aplicações, usuários e endereços IP que originaram as chamadas, permitindo ainda a utilização de drill-down automático a partir de qualquer entidade representada no gráfico, sem a necessidade de alteração de aplicações ou utilização de API s; Deve exportar relatórios para formato CSV, Html ou PDF para analises e apresentações independentes; Página 19 21

20 Deve implementar recursos de detecção, prevenção de intrusões e geração de alertas em tempo real baseado em informações da rede, aplicação e banco de dados, podendo agir como um verdadeiro firewall de banco de dados e aplicação, através de politicas flexíveis implementadas pelo usuário, incluindo entre outras funcionalidades: Terminate session; Drop session; Deve permitir implementar politica de controle de abertura de sessões nos bancos de dados através de envio de comandos do tipo TCP RESET a fim de derrubar conexões que infrinjam a politica vigente, mesmo em implementações onde o appliance e implementado em modo passivo; Deve rastrear a execução de stored procedures ; Deve identificar quem executou a stored procedure ; Deve identificar quando stored procedure foi executada; Deve auditar a criação e alteração de "stored procedures"; Deve identificar "stored procedures" que potencialmente afetem determinados objetos considerados críticos e permitir; Deve rastrear todas as alterações relacionadas à segurança das permissões de acesso; Deve rastrear todas as alterações de usuários e direitos (roles), incluindo criação, deleção, modificação de usuários, cargos e de permissões especificas (grants), tais como comandos GRANT, SET ROLE, REVOKE, DBCC, BACKUP, RESTORE e KILL, assim como toda e qualquer atividade sobre estruturas do banco de dados Deve capturar e armazenar toda a atividade de login dos bancos; A solução deve incluir funcionalidade integrada de análise de vulnerabilidades de bancos de dados, sendo capaz de processar mais de 1000 diferentes tipos de testes em busca de falhas, má configuração dos bancos e de seus respectivos sistemas operacionais. A funcionalidade de análise de vulnerabilidades deve conter políticas de testes pré-definidas que contemplem testes de conformidade com normativos de mercado, como PCI-DSS, SOX e HIPAA, políticas de testes específicas para aplicativos de mercado, como SAP, Oracle EBS e PeopleSoft. Devem ser realizados no mínimo os seguintes testes: Ultimas versões de patches e releases instalados; Alterações nos arquivos das bases de dados; Utilização de contas (usuários e senhas) padrões de cada fabricante; Direitos de acesso concedidos a usuários. Os testes e análise de vulnerabilidades devem ser realizados periodicamente ou sob demanda, sobre um grupo de servidores previamente definidos, sem a necessidade de interferência de um administrador ou DBA; A solução deve ser capaz de mensurar o nível de conformidade com as políticas internas customizadas pelo administrador dos recursos e responsável pela segurança; A solução deve prover ferramentas eficazes de gerenciamento e mitigação de riscos e ameaças aos dados armazenados nas bases de dados, tais como oferecer mecanismos de Virtual Patching, ou seja, bloquear tentativas de ataques às vulnerabilidades encontradas, mesmo antes dos seus fabricantes/fornecedores desenvolverem e publicarem os patches e correções das mesmas; A solução deve ser capaz de alertar qualquer tentativa de ataque antes mesmo desse trafego chegar aos servidores, além de realizar o bloqueio opcional do mesmo, seja via TCP-RESET ou de forma proativa, bloqueando o tráfego malicioso antes de chegar aos servidores de destino, através de uma implementação inline do produto; A solução deve suportar a importação de PKCS12 e certificados PEM. A solução deve suportar SSL versão 2 e 3. A solução deve suportar conexões descriptografar SQL. A solução deve emitir um alerta quando não é possível descriptografar o tráfego SSL por não ter o certificado correto e uma chave privada. A solução deve suportar a interpretação de usuários ocultos em MSSQL Kerberos Possuir interface de gerenciamento gráfica acessível via browser; Possuir interface de gerenciamento exclusiva, do tipo out-of-band; Suportar implementação distribuída com gerenciamento e emissão de relatórios centralizada; A solução deve possuir opção de instalação transparente, para que possa ser implementado ou retirado da rede sem que haja qualquer alteração de topologia e configuração dos dispositivos que compões o ambiente; A solução deve suportar updates automáticos da base de assinaturas de ataques, garantindo completa proteção contra as mais recentes ameaças; Para implementação inline, a solução deve suportar failover nativamente além de opções de fail-open (bypass) e fail-closed; Deve ser possível exportar eventos a servidores Syslog ou SNMP; Nível de log e filtros devem ser configuráveis; A solução deve gerar, no módulo integrado, relatórios pré-definidos e relatórios customizados; Os relatórios devem ser disponibilizados sob demanda ou programados via agendamento; A interface gráfica de gerenciamento deve prover painel de visualização em alto nível, com informações em tempo real sobre o status do sistema e da atividade do tráfego de banco de dados monitorado; A quantidade máxima e o valor de cada lote de recurso deverão estar especificados na TABELA RECURSOS PARA INFRAESTRUTURA FÍSICA do ANEXO I-C; Serviço de rede elétrica estabilizada e continua através de No-Break A CONTRATADA deverá disponibilizar, quando solicitado pela CONTRATANTE, equipamentos de Nobreak para auxiliar na execução dos serviços prestados quando necessários, com especificações mínimas descritas abaixo: Saída Potência de Saída de 8000 Watts / 10 kva; Potência Máxima Configurável de 8000 Watts / 10 kva; Tensão nominal de saída de no mínimo 230V; Frequência de Saída (sincronizada com rede elétrica): 50/60 Hz +/- 3 Hz ajustável pelo usuário +/- 0.1; Tipo de Topologia: Dupla Conversão Online Tipo de Forma de Onda: Onda senoidal Conexões de Saída: No mínimo (4) IEC 320 C13, (4) IEC 320 C19 e (4) IEC Jumpers Entrada Tensão nominal de entrada de 230V; Frequência de entrada: 50/60 Hz +/- 5 Hz (auto sensing); Intervalo de tensão de entrada ajustável para as principais operações: V; Baterias & Tempo de operação Possuir Bateria selada Chumbo-Acido livre de manutenção: a prova de vazamento; Possuir no mínimo 4 Baterias Pré-Instaladas; Comunicação & Gerenciamento Display de LED com barra gráfica para carga e bateria e indicadores de On line : Troca de bateria : e Sobre Carga e Bypass; Soar alarme quando na bateria: Alarme distinto de pouca bateria : tom de alarme continuamente sobre carregado; Página 20 21