1 010335 FIREWALL SOLUCAO DE SEGURANCA DE REDE UN 1,00 R$ - R$ - COMPUTADORES Os proponentes poderão fornecer a solução em Alta disponibilidade da seguinte forma: TÓPICOS * Firewall * VPN IPSec / VPN SSL * Intrusion prevention system (IPS) * Anti-X e/ou Anti-Malware e/ou Anti-Grayware * Funcionalidade de Traffic Shapping e/ou Qualidade de Serviço (QoS) * Funcionalidade de Filtro de Conteúdo Web (URL Filtering) * Gerenciador de Logs e Relatórios * Antivírus de Gateway * AntiSpam (podendo ser em Appliance dedicado, não necessitando fazer parte da solução) DESCRIÇÃO TÉCNICA 1 - FIREWALL/IPS/VPN 1.1 Os hardwares ofertados deverão ser do tipo appliance, desenvolvido para a funcionalidade de firewall, em appliance com no máximo de 2U de altura, com kit de montagem em rack de 19 ; 1.2 Firewall baseado em APPLIANCE do tipo Stateful e solução em Alta disponibilidade com redundância e sem perda de conexões. Para maior segurança, não será aceito equipamentos de propósito genérico (PCs ou PLANILHA DE PROPOSTA Página 1 de 25
servidores), devendo ser instalada em equipamento a ser fornecido pelo fornecedor que possua capacidade para atendimento completo das características e funcionalidades aqui descritas. 1.3 A solução de Alta disponibilidade deve ser implementada de forma nativa pelo Sistema operacional do appliance, sem a necessidade de nenhum componente ou licença de software adicional; 1.4 A Solução de Alta disponibilidade devera ser implementada em hardwares específicos, em alta disponibilidade, projetada para exercer as funções de Firewall, Filtro Web,VPN, IPS, IDS, antivírus de forma integrada ou cada funcionalidade lista devera ser contemplada com a configuração de alta disponibilidade redundante e em cluster; 1.5 A solução de hardware e software e a administração da solução devem ser do mesmo fabricante ou de empresa homologada pelo fabricante do software; 1.6 Fonte de alimentação interna com operação entre 110/220V com chaveamento automático. 1.7 No mínimo 06 (Seis) interfaces 10/100/1000Base-TX autosense, operando em half/full duplex, com inversão automática de polaridade; 1.8 No minimo 2,75 Gbps de Throughput de Firewall; 1.9 Throughput de IPS de no mínimo 500 Mbps ; 1.10 Desempenho de Gateway de Anti-Virus sem nenhuma limitação para analise de diferentes tamanhos de arquivos e protocolos: 95 Mbps ou superior; 1.11 IPSec VPN Throughput no Página 2 de 25
minimo 1,0 Gbps; 1.12 Possuir capacidade mínima de 500.000 mil Sessões simultâneas (TCP); 1.13 Capacidade de processar 10.000 novas conexões por segundo; 1.14 VPN SSL Usuários simultâneos mínimo: 30; 1.15 Suportar no mínimo 50 VLAN'S; 1.16 Permitir configuração de link redundante com prestadora de serviço internet backup 1.17 Possibilitar o controle do tráfego para os protocolos TCP, UDP e ICMP baseados nos endereços de origem e destino e no serviço utilizado em uma comunicação; 1.18 Hardware dedicado com Sistema Operacional customizado para garantir segurança e melhor performance ao firewall e que permita o monitoramento de recursos no appliance e gerenciamento via HTTPS e/ou console própria, SSH; 1.19 Capacidade de atualização do sistema operacional e software de firewall sem parada do ou impacto as conexões, caso não sejam alterações de build ; 1.20 A solução de HA deverá prover sincronismo de sessões para tráfego TCP e UDP; 1.21 Possibilitar o controle do tráfego para os protocolos H323, SIP e IGMP baseados nos endereços origem e destino da comunicação; 1.22 Suportar NAT para h.323 e SIP; 1.23 Prover matriz de horários Página 3 de 25
que possibilite o bloqueio de serviços em horários específicos, tendo o início e fim das conexões vinculadas com a matriz de horários; 1.24 Prover mecanismo que permita a especificação de datas de validade inicial e final, habilitadas individualmente, para cada regra de filtragem, inclusive dos perfis de acesso; 1.25 Prover mecanismo contra ataques de falsificação de endereços (IP Spoofing) através da especificação da interface de rede pela qual uma comunicação deve se originar; 1.26 Poderá prover DHCP por relay agent; 1.27 Possuir mecanismo de forma a possibilitar o funcionamento transparente dos protocolos FTP, SIP e H323, mesmo quando acessados por máquinas através de conversão de endereços. Este suporte deve funcionar tanto para acessos de dentro para fora quanto de fora para dentro; 1.28 Prover mecanismo de conversão de endereços Network Address Translatio (NAT), de forma a possibilitar que uma rede com endereços reservados acesse a Internet a partir de um único endereço IP e possibilitar também um mapeamento 1-1 e 1-N de forma a permitir com que servidores internos com endereços reservados sejam acessados externamente através de endereços válidos, de modo estático ou dinâmico; 1.29 Possuir mecanismo que permita que a conversão de endereços (NAT) seja feita de forma independente do destino de uma comunicação, possibilitando que uma máquina, ou grupo Página 4 de 25
de máquinas, tenham seus endereços convertidos para endereços diferentes de acordo com o endereço destino; 1.30 Permitir, sobre o recurso de NAT, o balanceamento interno de servidores e suas aplicações sem a necessidade de inserção de um equipamento como switches de que atuam entre as camadas 4 (quatro) e 7 (sete) do modelo ISO/OSI; 1.31 Possuir mecanismo que permita conversão de portas (PAT); 1.32 Suportar o protocolo 802.1q, com a possibilidade de criação de VLANs e a definição de seus endereços IP através da interface gráfica; 1.33 Possuir suporte ao protocolo SNMP versões 1 e 2; 1.34 Possui suporte a log via syslog; 1.35 Possuir roteamento RIP e OSPF, com configuração pela interface gráfica; 1.36 Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores para o firewall, cada um responsável por determinadas tarefas da administração; 1.37 Possuir mecanismo que permita a realização de cópias de segurança (backups) e sua posterior restauração remotamente, através da interface gráfica; 1.38 Possuir mecanismo para possibilitar a aplicação de correções e atualizações para o firewall remotamente através da interface gráfica; 1.39 Permitir a visualização em tempo real de todas as conexões TCP e sessões UDP que se encontrem ativas através do firewall; 1.40 Permitir a geração Página 5 de 25
de gráficos em tempo real, representando os serviços mais utilizados e as máquinas mais acessadas em um dado momento; 1.41 Permitir a visualização de estatísticas do uso de CPU do firewall através da interface gráfica remota em tempo real; 1.42 Possuir mecanismo de Alta Disponibilidade, com as implementação de Fail Over; 1.43 Possuir Mecanismo de IPS, com suporte a pelo menos 2.000 assinaturas de ataques, completamente integrado ao Firewall; 1.44 Possuir recurso IDS interno, capaz de detectar e evitar automaticamente, IP Source Spoofing, IP Source Routing, Tunel IPsec e ataques tipo DoS (Denial-of-Service) como Ping of Death, SYN Flood, LAND Attack, IP Spoofing, com a possibilidade de se atualizar as assinaturas e carregar novas através da atualização do software de sistema operacional do equipamento (appliance); 1.45 Capacidade para realizar filtragens/inspeções dentro de portas TCP conhecidas por exemplo porta 80 http, buscando por aplicações que potencialmente expõe o ambiente como:, P2P, Kazaa, Morpheus, BitTorrent ou messengers; 1.46 Implementar assinaturas dinâmicas de IPS (Intrusion Prevention System) capaz de realizar inspeção no campo de "Dados" do pacote IP para detecção e prevenção de ataques; 1.47 Suportar arquitetura em Alta disponibilidade de modo ativopassivo e Ativo-Ativo, provendo de forma transparente a persistência de sessão aos usuários. 1.48 Possuir flexibilidade para liberar aplicações da inspeção profunda de pacotes, ou seja, excluir a aplicação da checagem de IPS, Gateway Página 6 de 25
Antivirus/AntiSpyware caso seja necessário por IP de origem, destino ou mesmo por grupo de usuário importado de plataformas como AD/LDAP. 1.49 Poderá possuir interface orientada a linha de comando para a administração do firewall a partir do console e SSH; 1.50 Possuir Console de Gerenciamento em modo gráfico, tornando possível à definição das políticas de firewall corporativo, VPN e QOS de forma centralizada e integrada: Esta console de gerenciamento deverá ser capaz de gerenciar, separadamente, um mínimo de appliances de Firewalls com os dados trafegados criptografados e autenticados entre gerência e firewall; 1.51 Poderá gerenciar de forma integrada toda a política dos firewalls gerenciados (corporativos e pessoais), possibilitando a replicação automática de novas regras criadas para todos os firewalls; 1.52 Permitir a utilização de LDAP e RADIUS; 1.53 Realizar integração completa com o Active Directory e LDAP autenticando os usuários de forma transparente, sem necessidade de configurar Proxy ou solicitar login no browser quando este efetua o acesso a Internet. O equipamento deve suportar que o usuário logado no computador que faz parte do ambiente de domínio Windows 2003/2008 Active Directory, seja identificado de forma transparente e que nenhum software cliente ou agente seja instalado nos computadores dos usuários. Poderá ser instalado agente de autenticação nos servidores de Active Directory Windows 2003/2008 se necessário; 1.54 Deve possuir no mínimo 6 segmentos de rede a serem associados a zonas de segurança distintos, com portas Página 7 de 25
Ethernet 10/100/1000 BaseTX com conectores UTP RJ-45, autosense, configuráveis pelo administrador do firewall para atender as funções de: 1. Segmento WAN, ou externo. 2. Segmento Wan, secundário com possibilidade de ativação de recurso para redundância WAN Failover. 3. Segmento Lan ou rede interna. 4. Segmento DMZ (Zona desmilitarizada) 5. Segmento LAN ou rede interna ou Porta de sincronismo para funcionamento em alta disponibilidade 1.55 Possuir capacidade de definição de múltiplas zonas de segurança e múltiplas interfaces por zona, de modo que o administrador possa agrupar as interfaces em zonas lógicas para maior flexibilidade e facilidade do processo de administração de segurança; 1.56 Suportar no mínimo 30 VPNs site-to-site e 50 VPNs client-tosite; 1.57 Suportar os esquemas de troca de chaves manual e IKE (Internet Key Exchange) por Pré-Shared Key, Certificados digitais e XAUTH client authentication; 1.58 Quantidade de conexões TCP e UDP podera ser controladas através da mesma regra de firewall. 1.59 Permitir a integração com qualquer autoridade certificadora emissora de certificados X509 que seguir o padrão de PKI descrito na RFC 2459, inclusive verificando as CRLs emitidas periodicamente pelas autoridades, que devem ser obtidas automaticamente pelo firewall via protocolos HTTP com ou sem LDAP; 1.60 Suportar padrão IPSEC, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão; 1.61 Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), de modo a possibilitar que duas redes com Página 8 de 25
endereço inválido possam se comunicar através da Internet; 1.62 A licença do software de firewall deverá permitir um número ilimitado de endereços IP; 1.63 Sistema gráfico de visualização de Logs deve possuir visualização de todas as conexões "logadas" nos firewalls gerenciados e log de auditoria. Este sistema gráfico de visualização de logs deverá ser único para conectividade, tempo-real e auditoria, e deve ser capaz de filtrar eventos por IP ou nome do objeto e gerar relatórios em formatos de tabelas e gráficos; 1.64 Auditoria detalhada de toda alteração de configuração feita no Firewall, indicando usuário, ação e horário; 1.65 Suportar alta disponibilidade, sem perda de conexão; 1.66 Possuir a capacidade de alertar os administradores através de E-mail, do protocolo SNMP e scripts ou executáveis definidos pelos administradores, sobre os eventos de segurança gerados no firewall; 2 - FILTRO DE CONTEÚDO 2.1 As licenças de Filtro de Conteúdo deverão estar integradas aos equipamentos Firewall (ou equipamento externo específico pra esta função). 2.2 Deverão ser fornecidas licenças de Filtro de Conteúdo com validade para 24 meses para solução e quantidade de usuários ilimitada, a contar da data de sua ativação 2.3 O serviço de filtro de conteúdo deverá ter atualizações automáticas para o firewall (ou equipamento externo específico pra esta função) com resposta automática a sites freqüentemente visitados. 2.4 Controle de conteúdo filtrado por categorias de filtragem com base de dados; 2.5 continuamente atualizada e Página 9 de 25
extensível; 2.6 Capacidade de submissão instantânea de novos sites; 2.7 Permitir a classificação dinâmica de sites Web, URLs e domínios; 2.8 Suporte a filtragem para, no mínimo, 50 categorias predefinidas pelo fabricante; 2.9 As categorias devem classificar os sites de acordo com o assunto, possuindo no mínimo as seguintes categorias: Material Adulto,Entretenimento, Spyware, Blogs, Apostas Online, Radio e TV online, Streaming Media e sites de conteúdo malicioso; 2.10 O administrador de política de segurança poderá definir grupos de usuários e diferentes políticas de filtragem de sites WEB, personalizando quais categorias deverão ser bloqueadas ou permitidas para cada grupo de usuários, podendo ainda adicionar ou retirar acesso a domínios específicos da Internet; 2.11 O administrador de política de segurança poderá personalizar quais zonas de segurança, em cada um dos firewalls da rede, terão aplicadas as políticas de filtragem de WEB, e de maneira centralizada; 2.12 O administrador poderá adicionar filtros por palavra-chave de modo específico e individual em cada um dos firewalls da rede, de forma centralizada; 2.13 A política de Filtros de conteúdo deverá ser baseada em horário do dia e dia da semana. 2.14 A solução deve ter a capacidade de filtrar o trafego criptografado via SSL (porta 443) tanto na entrada quanto na saída (inbound e Página 10 de 25
outbound); 2.15 Realizar a varredura de malwares e arquivos em arquivos maiores que 10Mb de tamanho 2.16 As políticas de Filtro de conteúdo deverão ser dadas a cada grupo de usuário de forma completa com o Active Directory e LDAP autenticando os usuários de forma transparente, sem necessidade de configurar Proxy ou solicitar login no browser quando este efetua o acesso a Internet. O equipamento deve suportar que o usuário logado no computador que faz parte do ambiente de domínio Windows 2003/2008 Active Directory, seja identificado de forma transparente e que nenhum software cliente ou agente seja instalado nos computadores dos usuários. Poderá ser instalado agente de autenticação nos servidores de Active Directory Windows 2003/2008 se necessário; 2.17 O sistema de filtro web deverá suportar quota de tempo de uso de determinada categoria por usuário ou grupo de usuário; 3- GATEWAY ANTIVÍRUS E SPYWARE DO FILTRO DE CONTEÚDO 3.1 Anti-Virus/Anti-Spyware nos protocolos FTP, SMTP, POP3, HTTP 3.2 Não serão permitidos redirecionamento de tráfego para dispositivos externos ao appliance para analise de arquivos ou pacotes de dados; 3.3 A atualização das assinaturas deverá ocorrer automaticamente sem a necessidade de intervenção humana; 3.4 Pelo menos uma das engines de antivírus deve ser desenvolvida pelo próprio fabricante da solução Página 11 de 25
ofertada; 3.5 A Solução de Anti-virus deverá fazer analise de ambientes WEB, transferência de arquivos sobre serviços como P2P, IM, entre outros, sem restrições a tamanhos de arquivos e protocolos; 3.6 Deverá ser fornecida todas as atualizações de Anti-Virus de Gateway da base de assinaturas, sem custo adicional, por um período de 24 meses (02 anos); 4 - CERTIFICAÇÕES DO FIREWALL 4.1 Possuir certificação ICSA pelo menos para o firewall,fips 140-2 Level 2 (Federal Information Standard for Security); 5 ADMINISTRAÇÃO FIREWALL, IPS, VPN, GERENCIAMENTO E RELATÓRIOS 5.1 Plataforma de Gerenciamento e Monitoração de Segurança que permitirá a configuração, o acompanhamento/implementação e o monitoramento de Appliances e de serviços de VPN IPSec, antivírus, filtro de conteúdo web integrados através da mesma interface (única plataforma de software). Capaz de oferecer o acesso remoto a esta interface, de forma a permitir o controle e a visualização de todos os parâmetros e funcionalidades gerenciadas; 5.2 Suportar gerenciamento via interface Web, como visualizador de políticas de segurança definidas 5.3 Capacidade de definir administradores com perfis de permissões administrativas distintas (ex: Read/Write, Read/only ou customizado); 5.4 Permitir o acompanhamento/implementação de licenças de serviços de antivírus e Página 12 de 25
filtro de conteúdo Internet fazendo o armazenamento, a aplicação, o rastreamento e a atualização destes serviços nos Appliances gerenciados; 5.5 Permitir o fornecimento de um conjunto adicional de privilégios para operadores de gerencia de segurança e a outros operadores não-administradores; 5.6 Permitir o provisionamento remoto de Appliances, políticas de segurança e auto upgrade; 5.7 Possuir visualizador de "LOGS" em tempo real integrado ou em appliance específico que também possa ser responsável pelos relatórios dos eventos e este deve ter a possibilidade futura de fazer RAID 1; 5.8 Permitir a visualização dos relatórios através das interfaces gráficas da plataforma de Acompanhamento via sessões Web HTTP, e HTTPS; 5.9 Possibilitar o exame e auditoria das atividades dos administradores e operadores do ambiente de gerenciamento; 5.10 Possibilitar o envio de alertas e notificações por e-mail ao administrador de segurança; 5.11 Possibilitar a notificação e "LOG" das tentativas de ataque; 5.12 Possibilitar a geração de relatórios dos eventos e notificação de vírus, erros de sistema, "LOGGING" e ataques ocorridos na rede; 5.13 Gerar alarmes ao identificar vulnerabilidades; 5.14 Possibilitar que os alertas notifiquem o administrador e operadores por "TRAP" SNMP sobre novos surto de vírus e situações de ataque; 5.15 Deverá vir Página 13 de 25
acompanhado de todas as licenças necessárias para gerenciamento, monitoramento e geração de relatórios por um período mínimo de 02 (Dois) anos; 6 ADMINISTRAÇÃO FILTRO DE CONTEÚDO 6.1 Deverá permitir a administração do appliance via interface gráfica (HTTP/HTTPS) ou linha de comandos (SSH), deverá permitir a criação de perfis de administradores; 6.2 Deverá possuir no mínimo 30 relatórios pré-definidos, permitindo ao administrador configurar novos relatórios, permitir a criação dos relatórios nos formatos HTML, PDF e CSV; 7 - Funcionalidades específicas de Anti-Spam: 7.1 Servidor SMTP com um MTA interno baseado em appliance. Para maior segurança, não serão aceitos equipamentos de propósito genérico (PCs ou servidores) sobre os quais podem instalar-se e/ou executar um sistem a operacional regular como Microsoft Windows, FreeBSD, SUN Solaris, Apple OS-X o GNU/Linux. Destaca-se que o Sistema Operacional deve ser dedicado ou exclusivo para a função do appliance, não sendo possível instalar softwares e hardwares adicionais; 7.2 Deve contemplar as funcionalidades de Anti-Spam, Antivírus, Anti-spyware e Controle de Worms; 7.3 Deve proteger o correio eletrônico para mensagens enviadas e recebidas; 7.4 Deve proteger pelo menos 60.000 vírus diferentes e 300.000 ataques por vírus conhecidos no total; 7.5 Capacidade de detectar arquivos Página 14 de 25
executáveis anexados dentro de arquivos Microsoft Word (doc); 7.6 Deve fornecer a capacidade (inclusa) de se conectar em tempo real a uma base de dados centralizada no fabricante para baixar atualizações Anti-Spam; 7.7 Deve fornecer proteção contra DoS e Spoofing; 7.8 Deve suportar Email Rate Limit e verificação de DNS Reverso; 7.9 Deve suportar múltiplos domínios (registros MX) de e-mail; 7.10 Deve fornecer proteção contra domínios forjados como, por exemplo, DKIM (Domain Keys Identified Mail); 7.11 Deve fornecer a capacidade de estabelecer políticas por destinatários/receptores de correio eletrônico por domínio, para mensagens enviadas/recebidas; 7.12 Deve fornecer a capacidade de criar perfis específicos para a detecção de Spam e Vírus; 7.13 Deve fornecer quarentena de acesso ao e-mail via Browser; 7.14 Deve funcionar como SMTP Mail Gateway para servidores de correio existentes. 7.15 Deve executar roteamento de mensagens baseado em LDAP; 7.16 Deve gerar resumos diários de quarentena; 7.17 Deve suportar filas de correio (message queues) para mensagens que falharam, as que estão atrasadas e as que não foram entregues; 7.18 Deve fazer autenticação para SMTP através de LDAP; 7.19 Deve armazenar mensagens baseado-se em regras de entrada (inbound) e saída (outbound); 7.20 Deve fornecer filtro Bayesiano por usuário e Página 15 de 25
Global; 7.21 Deve identificar e bloquear emails falsos (Fake Mail); 7.22 Deve manter uma lista de reputação de remetentes locais baseados em: número de vírus enviados, quantidade de spams enviados, número de recebimentos errados; 7.23 Deve bloquear ataques a endereços dos recipientes; 7.24 Deve notificar o usuário por mensagens customizadas da existência de vírus/spyware; 7.25 Deve suportar DNS dinâmico; 7.26 Deve suportar SMTP over TLS ou SSL; 7.27 Deve filtrar arquivos anexos (attachments) e conteúdo das mensagens do correio eletrônico; 7.28 Deve suportar a inspeção profunda de cabeçalho de correio eletrônico; 7.29 Deve bloquear mensagens utilizando listas em tempo real de URIs (SURBL) e/ou URLs de SPAM; 7.30 Deve filtrar as mensagens por palavra proibida (Banned Word); 7.31 Deve fornecer a administração de SPAM com a capacidade de Aceitar, Reenviar (Relay), Recusar (Reject) ou Descartar (Discard); 7.32 Deve fornecer rastreamento por análise de imagem para detectar SPAM; 7.33 Deve suportar a listas negras (Blacklists) de terceiros; 7.34 Deve fornecer capacidade e persistências para rejeitar mensagens por tempo determinado como, por exemplo, GreyList; 7.35 Deve suportar a verificação de IPs Falsos; 7.36 Deve suportar listas brancas (Whitelist) e negras (Blacklists) em nível Global e personalizado por Página 16 de 25
usuário; 7.37 Deve suportar a verificação de mensagens de volta inválidas (Bounce Message); 7.38 Deve suportar expressões regulares; 7.39 Deve suportar a criação de dicionário de palavras em qualquer idioma; 7.40 Deve suportar manipulação de cabeçalhos da mensagem, ou seja, possibilitar modificação no tratamento dado ao cabeçalho efetuado pela solução; 7.41 Deve suportar a análise de antivírus/anti-spyware de arquivos compactados; 7.42 Deve poder bloquear por tipo de arquivo e extensão no antivírus/anti-spyware; 7.43 Deve fornecer funcionalidade de envio de relatórios aos usuários, em freqüência a ser determinada pelo administrador, que lhes proporcione a liberação das mensagens quarentenadas em suas respectivas contas; 7.44 Deve fornecer Sistema Operacional não aberto com segurança integrada; 7.45 Deve prover a funcionalidade de incluir disclaimers no início ou no rodapé das mensagens enviadas; 7.46 Deve suportar a configuração dos disclaimers em formato html e texto; 7.47 Certicado: ICSA labs; 8 QUARENTENA ANTI-SPAM APPLIANCE 8.1 Deve prover armazenamento (quarentena) das mensagens eletrônicas dos usuários classificadas como Spam/ provável Spam; 8.2 Deve prover a funcionalidade de incluir quarentenas customizadas dentro do próprio appliance ou na unidade de armazenamento externa de forma que se possam customizar regras; 8.3 Página 17 de 25
Deve prover funcionalidade que permita ao administrador da solução Anti-Spam executar pesquisa nas mensagens em quarentena de todos os usuários através de interface web segura (HTTPS); 8.4 Deve prover funcionalidade que permita ao administrador agendar o envio do sumário ( digest ) contendo as mensagens armazenadas na quarentena do usuário em períodos de tempo pré-configuráveis; 8.5 Deve prover funcionalidade que possibilite a configuração de quais usuários e/ou grupos receberão o sumário, através de integração com o serviço de diretório LDAP; 8.6 Deve prover funcionalidade que permita ao administrador especificar o tempo de retenção das mensagens eletrônicas em quarentena e excluí-las automaticamente; 8.7 Deve fornecer os seguintes modos de acesso à quarentena de spam: apenas ao administrador, ao administrador e aos usuários; 8.8 Solução deverá prover armazenamento (quarentena) das mensagens eletrônicas dos usuários classificadas como spam / provável spam no próprio "appliance", com no mínimo 7 quarentenas pré-definidas no appliance, todas essas sem a necessidade de nenhum hardware adicional; 9 - Administração e Gerenciamento da solução Anti-Spam 9.1 Deve fornecer interface gráfica de usuário (GUI) via HTTP ou HTTPS para fazer administração das configurações e que forme parte da arquitetura nativa da solução, por segurança, ou ainda, interface Página 18 de 25
proprietária, desde que a mesma seja fornecida com todos os componentes de hardware e software necessários e em altadisponibilidade; 9.2 Deve prover comunicação cifrada e autenticada com usuário e senha para a interface gráfica de usuário; 9.3 Deve fornecer perfis administrativos com capacidade de criar ao menos 2 (dois) perfis para administração e monitoração do equipamento; 9.4 Deve suportar SNMP v1 e v2c; 9.5 Quanto ao Armazenamento de Dados de Segurança; 9.5.1 Deve suportar registros (logging) de incidentes de Antivírus; 9.5.2 Deve suportar registros (logging) de atividades Anti-Spam; 9.5.3 Deve fornecer funcionalidade que possibilite o envio dos logs a outro centralizador de log externo à solução; 9.6 Quanto aos Relatórios: 9.6.1 Deve fornecer geração de relatórios agendados ou sob demanda no formato PDF ou HTML; 9.6.2 Deve prover funcionalidade para o envio dos relatórios, por e- mail, conforme item anterior, para usuários pré-definidos; 9.6.3 Deve prover geração de relatórios de atividades, analisando registros de arquivos (logs) e apresentar as informações em tabelas ou gráficos. 9.7 Deve suportar configuração de fuso horário; 9.8 Deve suportar configuração manual de horário; 9.9 Deve funcionar com Network Time Protocol (NTP); 9.10 Deve ter um sistema de alertas configurável pelo Página 19 de 25
administrador; 9.11 Os alertas devem fornecer, pelo menos, avisos sobre eventos críticos no sistema (falha de hardware, falta de espaço em disco, notificação de ataque, etc.); 10 - Quanto às Atualizações Antivírus/Anti-Spam do Appliance de Anti- Spam: 10.1 Deve fornecer atualizações automáticas, numa freqüência configurada pelo administrador ; 10.1.1 Deve fornecer atualizações automáticas sem intervenção do administrador e sem parada de funcionalidade. 10.1.2 Possibilidade de atualizar manualmente 10.1.3 Após a primeira atualização as demais devem ser do tipo incremental Quanto ao Hardware, Documentação e licenças 10.2 Deve possuir Fonte de alimentação com chaveamento automático 110/220 V. A fonte fornecida deve suportar sozinha a operação da unidade com todos os módulos de interface ativos; 10.3 Deve incluir licença para atualização de vacina de antivírus/anti-spyware e anti-spam por 24 (vinte e quatro)meses; 10.4 Deve incluir atualizações necessárias para o funcionamento eficaz do equipamento; 10.5 Deve fornecer documentação técnica, bem como manual de uso, em inglês ou português do Brasil; 10.6 Deve fornecer no mínimo 1 (Uma) interfaces do tipo 10/100/1000 ; 10.7 Deve possuir no mínimo 160 GB de disco rígido incluso localmente. 10.8 Deve proteger no mínimo 5 domínios de correio; 10.9 Deve prover Página 20 de 25
desempenho de, no mínimo, 80.000 mensagens/hora (mensagens por hora) para um tamanho médio de mensagem de 3 KB, apenas no modo reenvio de mensagens (sem Anti-Spam ou Antivírus); 10.10 Deve prover desempenho de no mínimo 74.000 mensagens/hora (mensagens por hora) para um tamanho médio de mensagem de 3 KB, no modo filtragem Anti-Spam; 10.11 Deve prover desempenho de no mínimo 70.000 mensagens/hora (mensagens por hora) para um tamanho médio de mensagem de 3 KB, no modo de filtragem Anti-Spam + Antivírus; 10.12 As especificações são inerentes e comuns aos produtos solicitados e disponíveis no mercado, portanto considerados bens de prateleiras, no ambiente tecnológico. Esses bens tornaram-se usuais no mercado de informática ao longo dos tempos, não havendo diferenças significantes de suas especificações técnicas, de modo que, aqueles fornecedores que detém tais produtos com essas características mínimas, atenderão à necessidade da Sanesul; 10.13 A solução oferecida deverá ser dimensionada de tal forma a atender as demandas de comunicação e infra-estrutura da rede da SANESUL, atualmente com as seguintes características: a) Caixas postais internas de e-mail: 1.000 ( mil ) caixas postais b) Tráfego diário de entrada (Internet > SANESUL): aproximadamente 10.000 mensagens. c) Tráfego diário de saída (Internet > SANESUL): aproximadamente 10.000 mensagens. Página 21 de 25
11 - GARANTIA DE ATUALIZAÇÃO 11.1 A versão deve ser a última disponível no mercado na data de entrega do produto; 11.2 Em caso de atualização do produto, quando a aplicação da nova versão resultar em perda de dados, incapacidade de abertura ou gravação de arquivos ou qualquer outra incompatibilidade relativamente às versões anteriores, tais restrições deverão estar claramente relatadas na descrição dos requisitos de natureza técnica das propostas; 11.3 Em caso de atualização do produto a Contratada diponibilizará o download via próprio console da solução permitindo o administrador local do produto realizar a mesma de forma programada (online, via Web) ou por enviar notificação formal à Contratante, bem como o software atualizado ou sua atualização propriamente dita em mídia digital (CD ou DVD). 11.4 A garantia de atualização de versões será por um período de 24 (vinte e quatro) meses e deve compreender a correção de falhas no produto, independentemente de correções tornadas públicas, desde que tenham sido detectadas e formalmente comunicadas à contratada. 12 IDIOMA 12.1 A documentação técnica preferencialmente deve ser em língua portuguesa e/ou em língua inglesa. 13 - DOCUMENTAÇÃO TÉCNICA 13.1 O produto deve vir acompanhado de manuais completos e originais com instruções de instalação, configuração e uso do produto com todas as suas Página 22 de 25