| 5239585 |
5239585-ОК1
|
|
Системаи муҳофизатии шабакавӣ барои хифзи барномаҳои веб. |
Межсетевой экран для защиты веб-приложений (WAF): должен поставляться в виде аппаратного комплекса (Hardware), производительность системы по веб-трафику не менее 500 Mbps, количество медных интерфейсов 1G не менее 4, количество оптических интерфейсов SFP GE не менее 4., объем жесткого диска не менее 480 GB, Количество USB портов менее 2, обработка SSL/TLS должна реализовываться программными средствами, оборудования не более 1U, Система должна поддерживаться годовой расширенной технической поддержкой производителя в режиме 24х7, срок действия подписки на обновления не менее 1 года: Антивирус, IP Reputation, база уязвимостей приложений, ботов, подозрительных шаблонов URL-адресов и шаблонов типов данных, а также специализированных эвристических механизмов обнаружения, срок поддержки оборудования производителем не менее 1 года. Функциональные требования: WAF должен поддерживать как позитивную, так и негативную модели безопасности, отрицательная модель безопасности будет определять известные сигнатуры атак, Транзакции, содержимое которых совпадает с известными сигнатурами атак, блокируются. Все остальные разрешены, отрицательный модель безопасности должна включать предварительно настроенный всеобъемлющий и точный список сигнатур атак, WAF должен разрешать модификацию или добавление сигнатур, WAF должен поддерживать автоматическое обновление списка сигнатур, обеспечивая полную защиту от новейших угроз, Отрицательная модель безопасности должна позволять обнаруживать известные атаки на нескольких уровнях, в том числе на уровне сети, операционной системы, программного обеспечения веб-сервера и атак на уровне приложений, Положительная модель безопасности предполагает, что разрешено все, что известно, а остальное блокируется, Положительная модель безопасности должна включать в себя URL-адреса, каталоги, поля форм с параметрами и методы HTTP, WAF должен обладать механизмом автоматического изучения структуры веб-приложения и его элементов, WAF должен обеспечивать непрерывное автоматическое изучение шаблона нормальной работы веб-приложения с учетом возможных запланированных изменений структуры и данных веб-приложения, и то же самое время обеспечивать активную блокировку отклонений от нормы, Приемлемые значения параметров полей форм ввода записываются в профиль, Записанные значения параметров используются в качестве критериев проверки легитимности запросов в положительной модели безопасности, Режим обучения служит для создания модели структуры и элементов приложения (каталогов, URL-страничек, параметров) и ожидаемого поведения пользователя (ожидаемые диапазон изменения значений параметров, приемлемые символы, предназначен ли параметр для чтения или редактирования клиентом, является ли он обязательным или опциональным). Механизм автоматического построения модели приложения (обучения) выявляет узкие места в профиле и предлагает соответствующие меры (изменения) для его оптимизации, например, преобразование динамических URL в понятные URL для шаблона др, WAF должен обеспечивать возможность создание сложных политик безопасности, посредством интуитивно понятного графического интерфейса, не требуя применения какого-либо языка программирования, WAF должен обнаруживать и разрешать/блокировать запросы пользователей по географическому признаку, WAF должен обеспечивать защиту программных интерфейсов приложений (Application programming interfaces, API), WAF должен выявлять работу мошеннических программ, используемых для выполнения атак типа Man-in-the-Browser, WAF должен различать ботов от пользователей, WAF должен определять IP репутация запросов, WAF должен проверять соответствие HTTP RFC, WAF должен обеспечивать WebSocket защиту, WAF должен уметь коррелировать события безопасности, чтобы отличать легитимные запросы от вредоносных, WAF должен поддерживать собственные уведомления об ошибках в системе и об ошибках обработки кода, WAF должен иметь сигнатуры вторжения в операционную систему, WAF должен поддерживать функцию HTTP сжатия, WAF должен поддерживать функцию CAPTCHA и Real Browser Enforcement аутентификации, WAF должен поддерживать пользовательские правила (политики) безопасности. У администраторов должна быть возможность создавать политики как для положительной, так и для отрицательной модели безопасности, а также создавать корреляционные правила, содержащие несколько критериев, При развертывании в качестве прокси (прозрачный прокси или обратный прокси) WAF должен поддерживать цифровую подпись cookie, шифрования cookie, и перезапись URL,WAF должен обладать интерфейсом интеграции со сканерами уязвимостей приложений с целью создания виртуальных патчей, WAF должен устранять перечисленные в списке OWASP Top 10 уязвимостей веб-приложений, Лицензирование WAF должно осуществляться для неограниченного количества защищаемых веб-приложений, Поддержка определения собственных правил на основе различных критериев запросов пользователей к защищаемым веб-серверам и ответов защищаемых веб-серверов, WAF должен обладать встроенным сканером уязвимостей веб-приложений, WAF должен поддерживать интеграцию со сторонними сканерами уязвимостей веб-приложений с возможностью автоматической генерации правил для устранения выявленных уязвимостей, WAF должен поддерживать автоматическое профилирование, т.е. генерацию профиля, отражающего контекст и параметры взаимодействия пользователей с защищаемым веб-приложением, WAF должен обеспечивать защиту от атак типа «brute force», т.е. атак подбора пароля на вход в веб-приложение, WAF должен обеспечивать защиту от атак типа «defacement», т.е. атак направленных на подмену контента веб-сайта, WAF должен обеспечивать защиту от атак типа отказ в обслуживании, WAF должен поддерживать терминацию системой HTTPS соединений с разгрузкой с веб-приложения функций SSL/TLS, WAF должен поддерживать мониторинг HTTPS соединений в режиме пассивного мониторинга сети, WAF должен поддерживать предоставления нескольких сертификатов на один защищаемый адрес, в зависимости от значения поля SNI в клиентском запросе, WAF должен регулярно получать обновления сигнатур модулей безопасности и перечень актуальных угроз с сервера производителя, WAF должен иметь функциональность балансировки нагрузки, WAF должен иметь функционал защиты от утечек данных DLP, WAF должен поддерживать антивирусное сканирование выгружаемых на веб-сервер файлов, WAF должен поддерживать наличие административных доменов (т.е. независимых наборов политик, с разделением доступа по группам администраторов), доступных по умолчанию, WAF должен иметь возможность автоматически по расписанию получать обновления антивирусных баз, WAF должен поддерживать администрирование на основе ролей, WAF должен поддерживать обновление встроенного ПО через протокол TFTP и web-интерфейс, WAF должен поддерживать аутентификацию пользователей посредством внутренней базы данных, WAF должен поддерживать аутентификацию пользователей посредством Windows Active Directory, WAF должен поддерживать аутентификацию пользователей веб-приложения по протоколам RADIUS, LDAP, Kerberos, WAF должен поддерживать аутентификацию на основе групп пользователей, WAF должен поддерживать различные методы авторизации в рамках протокола HTTP, в т.ч. HTTP basic, WAF должен поддерживать функции VLAN Tagging (802.1Q), WAF должен поддерживать фильтрацию по «черным/белым» спискам IP-адресов, WAF должен иметь возможность пересылки записей журналов на удалённый syslog сервер, WAF должен иметь графические средства для мониторинга сетевого трафика, состояния системы и обнаруженных угрозах, WAF должен иметь возможность отправки уведомлений по электронной почте о вирусах и сетевых атаках, WAF должен поддерживать интеграцию с внешними системами сбора и анализа событий безопасности, WAF должен поддерживать возможность локального кеширования Web контента для оптимизации полосы пропускания и скорости доступа к Web ресурсам,WAF должен поддерживать возможность захвата копии трафика для анализа и диагностики в графическом интерфейсе управления, WAF должен иметь возможность интеграции с системами централизованного управления и построения отчётов, WAF должен поддерживать возможность управления политиками безопасности в интерфейсе командной строки, WAF должен поддерживать возможность зациты следующих веб сервисов: Apache Tomcat, nginx, Microsoft IIS, JBoss, IBM Lotus Domino, Microsoft SharePoint, Microsoft Outlook Web App (OWA), RPC and ActiveSync for Microsoft Exchange Server, Joomla, WordPress.
Требования по развертыванию и использованию: WAF должен поддерживать пассивный и активный режимы работы: В пассивном режиме WAF позволяет администратору просматривать уведомления об атаках, об ошибках работы сервера, о других несанкционированных действиях, а также блокировать вредоносные запросы путем отправки пакета TCP RST через выбранный для этого действия порт, В активном режиме WAF должен обладать возможностью блокировок атак в режиме реального времени, При обнаружении атаки, несанкционированных действий WAF должен быть в состоянии принять соответствующие меры. Поддерживаемые действия должны включать возможность сбрасывать конкретные запросы и ответы, блокировать целые сессии TCP, запросы от конкретных пользователей приложений или с определенных IP-адресов. Для особо опасных атак WAF должен уметь блокировать все запросы от конкретного пользователя или с конкретного IP-адреса за заданный период времени, WAF должен обладать возможностью развертывания в варианте in-line как прозрачный мост, обратный или прозрачный прокси-сервер. WAF также должен быть готов к развертыванию в режиме off-line как сниффер (пассивный сетевой монитор), WAF должен обладать линейной пропускной способностью и латентностью в доли миллисекунд, чтобы не оказывать влияние на производительность веб-приложений, WAF должен быть в состоянии работать с HTTP и HTTPS (SSL) трафиком веб-приложений, Для защиты SSL веб-приложений должна быть предусмотрена возможность импорта в WAF сертификатов и пар закрытый/открытый ключ веб-серверов, Для защиты SSL веб-приложений WAF будет терминировать и расшифровывать клиентские соединения, инспектировать трафик на предмет соответствия политикам безопасности и, в зависимости от режима, может повторно его зашифровывать при соединениях с веб-серверами, В режимах моста и сниффера WAF должен уметь расшифровать SSL трафик для проверки, не терминируя или изменяя HTTPS соединение, WAF должен быть способен защищать веб-приложения, которые содержат XML контент. Защита XML должна быть эквивалентна защите веб-приложений с использованием механизма автоматизированного обучения (профилирования), WAF должен поддерживать возможность работы в кластере высокой доступности (High availability), Сетевые карты серверов WAF должны поддерживать функцию аппаратного bypass, которая бы обеспечила прозрачное прохождение пользовательского трафика в случае выхода из строя сервера WAF.
Требования к администрированию: WAF должен иметь веб-интерфейс для администрирования, Конфигурация должна быть простой и интуитивно понятной.
Требования к поддержке интеграций: WAF должен интегрироваться со сканерами уязвимостей: Acunetix, HP WebInspect, IBM AppScan, Qualys, IBM QRadar, и WhiteHat, WAF должен интегрироваться с системами управления событиями безопасности SIEM: Micro Focus (HPE) ArcSight, IBM QRadar, Azure Event Hub,WAF должен интегрироваться с межсетевыми экранами нового поколения и сетевыми песочницами, WAF должен иметь возможность получать от межсетевого экрана нового поколения ip-адреса источника, подпадающие под карантин, для дальнейшего применения правил обработки трафика, WAF должен иметь возможность использовать политику ограничения загрузки файлов для отправки загруженных файлов в формате TAR в сетевую песочницу для оценки, WAF должен иметь возможность блокировки загрузки файла если сетевая песочница определяет этот файл как угрозу.
Требования к мониторингу и отчетности: WAF должен поддерживать: Проверку и контроль HTTP трафик, включая HTTP заголовки, поля форм, а также передаваемые данные, Проверку HTTP запросов и ответов, Декодирование данных для представления в текстовом виде с целью последующей проверки, Проверку для URL, форм, cookie, строк запроса, скрытых полей и параметров, методов HTTP, XML элементов, WAF должен поддерживать надлежащую отчетность и возможность журналирования: Должен обладать возможностью формирования отчета о событиях с помощью стандартных механизмов, например, в системный журнал или через SNMP, Интерфейс управления WAF должен иметь графическую панель, информирующую о его состоянии и веб-активности.
Требования к архитектуре внедрения: WAF должен поддерживать следующие варианты развертывания: Reverse Proxy, Transparent Bridge и Offline Sniffing, WCCP client.
Годовая лицензия для защити веб приложении. В качестве обязательного условия допуска для присуждения договора, участник должен предоставить действующее подтверждение права на поставку продукции — документ о передаче маркетинговых, авторизационных и/или фирменных функций (далее — МАФ), выданный официальным производителем или его уполномоченным представителем. Указанный документ должен быть предоставлен в составе тендерной заявки. Отсутствие подтверждённого и действующего МАФ на момент подачи заявки является основанием для отклонения участника от участия в тендере. |
2 |
Piece |
Procurement implemented |
Выберите социальную сеть