Documente Academic
Documente Profesional
Documente Cultură
pentru achiziția și implementarea unei soluții solutii dedicate de tip WAF (Web Application Firewall)
I. INFORMAȚII GENERALE
Autoritatea de Supraveghere Financiară deține mai multe sisteme și aplicații web disponibile in spațiul virtual
public. Scopul D.O.I.T. îl reprezintă asigurarea securității sistemelor si aplicațiilor web ale A.S.F. si implementarea
celor mai bune măsuri de prevenire.
Având în vedere evoluția amenințărilor și ținând cont și de cele mai recente studii ale companiilor de securitate
cibernetică, ne putem aștepta ca în anii următori tot mai multe instituții și companii, printre care și ASF, să fie
afectate de amenințări cibernetice.
Unele atacuri pot fi pasive - informațiile sunt monitorizate sau copiate, iar alte atacuri pot fi active - fluxul de
informații este modificat cu intenția de a corupe sau distruge datele, sistemul sau chiar rețeaua în sine.
Prevenția reprezintă răspunsul adecvat la aceste forme de amenințări, fie că vorbim de malware, atacuri
cibernetice, furt de identitate, dar și scurgere de informații.
Scopul achiziției il reprezintă îl reprezintă Furnizarea a două echipamente WAF (Web Application Firewall),
servicii de suport tehnic (subscripție) pentru o perioada de 3 ani și servicii de training.
Prin aceasta achizitiei se urmareste implementarea de măsuri de securitate efective și calibrate la nevoile
instituționale, sistemele informatice, de telecomunicații și datele prelucrate, stocate sau transportate de acestea,
care sa reducă vulnerabilitatea unor componente fundamentale ale activității instituției, evitând astfel posibile
incidente de securitate sau informatice.
III. BENEFICII
Beneficii urmărite ca urmare a derularii acestei achiziții se refera la asigurarea unui nivel adecvat de securitate IT
a sistemului informatic al A.S.F.
1
IV. CONSTRÂNGERI
Nu exista constrângeri.
V. RISCURI
2
În ceea ce priveşte unităţile de stocare cu caracter permanent (harddisk-uri) furnizate în cadrul acestui contract
se va aplica o politică de tip non-return, dispozitivele de acest tip rămânând în posesia beneficiarului în caz de
defectare.
Funcționalități ADC trebuie sa poata funcționa in full proxy mode și în reverse proxy mode
minimale pentru Capacitate de a procesa trafic TCP si UDP generat de diferite aplicații.
componenta de Capacitatea de a utiliza protocolul TLS 1.3
optimizare, Capacitatea de a procesa si chei de criptare de 4096 biti
balansare și Multipli algoritmi sau metode de balansare a traficului: round-robin, ratio și priority
management a (cu un număr minim de membri activi).
traficului ADC Multipli algoritmi sau metode dinamice de balansare a traficului: fastest-response,
least-connections, combinația fastest-response least-connections, precum și bazate pe
resursele serverelor de aplicații (ex: utilizare CPU, încarcarea memoriei, gradul de
încărcare al rețelei etc).
Capacitatea de a trimite cereri gradual către serverele de aplicații nou adăugate
Capacitatea de redirectare a traficului pentru diferite tipuri de (ex: http to https)
Monitorizarea aplicațiilor “content based”, cum ar fi: such as HTTP/HTTPS, FTP
(passiv/activ), POP3, IMAP, SIP, SMTP, telnet, RADIUS, LDAP (cu TLS sau peste
canal SSL), SASP, Oracle, MSSQL, SNMP DCA, WMI, RPC și SOAP.
Capabil să proceseze cereri bazate pe IP sursă/destinație, SSL, hash persistence
Capabil să utilizeze diferite metode pentru “cookie persistence”: pasiv, insert, rewrite.
Capabil să utilizeze metode de persistență a sesiunilor în funcție de orice variabilă din
header-ul pachetelor TCP/UDP sau din payload
NAT (network address translation) și NAPT (network address port translation) bazat
pe IP sursa și/sau IP destinație
Capabilitatea de a returna pachete bazată pe adresa MAC a ultimului hop (asigurarea
routării asimetrice)
Capacitatea de a decide direcționarea traficului în funcție de URL, method, HTTP host,
version, cookie, tipul borowser-ului folosit de client, etc.
Capacitatea de a genera reguli noi pentru managementul traficului în funcție de anumite
evenimente, folosind un limbaj de scripting.
Capacitatea de a controla fluxul de trafic bazat pe conținutul acestuia, în mod bi-
direcțional.
Capabil de a folosi o combinație mixtă de adrese virtuale și noduri Ipv4 si Ipv6
Capabil să translateze trafic IPv6-IPv4 si IPv4-IPv6.
Capabil să folosească protocoale de routare Ipv6: BGP4+, RIPng și OSPFv3.
Capabil de inserție XFF în header-e HTTP, cu IP originator al clientului
Redirectare URL către mai multe servere virtuale in funcție de HTTP response code
sau URL pattern.
Capacitatea de a returna o pagină de eroare în cazul în care resursele/serverele de
aplicații nu sunt disponibile. Pagina de eroare și mesajul trebuie să poată fi customizate
si să poată conține grafică
4
Capabilitatea de a folosi “chunked transfer encoding” pentru menținerea persistenței
sesiunilor
Capabilitatea de a agrega și refolosi multiple sesiuni client într-o singură sesiune
server-side
Capabilitatea de a transforma sesiuni HTTP 1.0 în sesiuni HTTP 1.1 pentru
consolidarea sesiunilor server-side
Capabilitate built-in de compresie HTTP pentru reducerea traficului
Capabilitate built-in pentru accelerare și caching HTTP
Capabilitate built-in pentru optimizare simetrica de date, compresie, criptare și
tunneling
Capabilitate de criptare AES SSL
Capabilitate pentru caching multi-store pentru conținut dinamic și static (RFC2616)
Capabilitate “cookie encryption” pentru prevenirea “cookie session hijacking” și
manipularea cookie-urilor
Capabilități pentru optimizarea traficului LAN/WAN conform: RFC2582 (optimizare
Reno asimetrică), RFC1323 (extensii TCP pentru rețele de mare viteză), RFC3042,
RFC2018, RFC3168
Extinderea funcționalităților native ADC prin limbaj de scripting, cu următoarele
caracteristici:
Sintaxa comuna (ex: JavaScript, Perl, TCL)
Capabil să folosească declarații condiționale (if/then) și bucle (for, while)
Capabil să genereze alerte SNMP în funcție de apariția diferitelor tipuri de evenimente
Capabil să permită modificarea/alterarea cerere/raspuns în funcție de: parametri
standard HTTP (header, cookie, hostname, URN, etc), username, parametri ai
certificatelor X.509
6
instrumente adiționale / externe (bazat pe traficul de producție și fără impact asupra
acestuia).
Interacțiunea cu instrumente third party de evaluare a vulnerabilităților
Va fi posibilă construcția politicii de securitate pe bază de instrumente third party de
evaluare a vulnerabilităților - spre exemplu prin import)
Soluția de securitate va fi pre-integrată cu următorii producători de top (ex: Qualys,
IBM, Whitehat, etc.)
Functionalitati
de procesare Suport pentru single sign on (SSO) distribuit pe mai multe domenii si resurse;
SSL/TLS, Posibilitatea de definire a politicilor de acces folosind o interfata grafica intuitiva;
autentificarea si Folosirea de ACL-uri dinamice pentru sesiunile autentificate si autorizare;
autorizarea Posibilitatea de integrare cu servere AAA de tipul Active Directory, LDAP, Radius
sesiunilor client Posibilitatea de a face caching la credentialele utilizatorilor pentru care se foloseste
SSO;
Posibilitatea de definire a politicilor de acces pentru un portal web, o aplicatie
tunelata sau acces la retea;
Posibilitatea definirii a politicii de acces in mod granular;
Suport pentru certificate digitale pentru utilizarii platformelor Microsoft Windows;
Platforma va suporta terminarea de trafic SSL/TLS
Platforma va dispune de acceleratori SSL pentru SSL offloading
Platforma va putea comunica prin SSL/TLS cu un server de aplicatii backend
Platforma va suporta ajustarea parametrilor SSL precum metoda de criptare utilizata,
versiunea
Platforma va suporta urmatorii algoritmi:
- ADH-RC4-MD5
- ADH-AES128-SHA
- ADH-AES256-SHA
- ADH-DES-CBC3-SHA
- ADH-DES-CBC-SHA
- DHE-RSA-AES128-SHA
- DHE-RSA-AES256-SHA
- DHE-RSA-DES-CBC-SHA
- DHE-RSA-DES-CBC3-SHA
- RC4-MD5
- DES-CBC-MD5
- DES-CBC-SHA
- DES-CBC3-MD5
Platforma va suporta SSLv3 si TLSv1.3
Platforma va suporta certificate wildcard
Platforma va suporta autentificarea utilizatorilor pe baza certificatelor (OCSP si
CRL)
Platforma va suporta autentificarea utilizatorilor pe baza de form-uri, certificate
digitale, smart card-uri si de tip n-factor
7
Solutia va suporta definirea unui set de URN-uri pentru care este necesara
autentificarea pe baza de certificat client
Posibilitatea de a exporta si importa politicile de acces;
Licenta pentru autentificarea concurenta a minim 500 de utilizatori
b. Remedierea defecțiunilor, inclusiv prin înlocuirea componentelor defecte sau a întregului produs, într-o zi
lucrătoare de la momentul semnalării evenimentului.
In cazul înlocuirii produsului, Furnizorul are obligaţia de a înlocui produsul defect cu altul nou, identic
sau cu performanţe superioare, cu titlu definitiv, fără a solicita costuri achizitorului.
c. Acces gratuit la versiuni minore sau majore ale pachetelor software (firmware) instalate pe echipamente.
Pachetele software care duc la rezolvarea unor probleme de tip bug vor fi aplicate gratuit de către furnizor.
Aceasta operaţie se face de comun acord cu Beneficiarul, fără a afecta stabilitatea/ funcţionalitățile
echipamentelor;
d. Update-uri automate de semnaturi de securitate pentru indeplinirea tuturor functionalitatilor cerute.
e. Accesul gratuit la documentații și baze de date de cunoștințe tehnice privind configurarea și depanarea
echipamentelor.
Personalul Furnizorului desemnat pentru intervenții trebuie să dețină certificări specifice domeniului de activitate
și să aibă pregătirea necesară pentru asigurarea acestor activități;
8
Furnizorul va desemna un responsabil de contract care să reprezinte un punct unic de contact pentru personalul
IT din cadrul ASF. Responsabilul de contract va răspunde și va monitoriza permanent modul, calitatea și ritmul
de rezolvare a solicitărilor lansate de ASF.
Furnizorul va prezenta autorizația emisă de către producătorul echipamentelor pentru furnizarea produselor
ofertate și asigurarea serviciilor de suport tehnic.
Furnizorul va asigura accesul la un program de instruire tip „hands-on training” pentru minim 2 persoane adaptat
la soluția ofertată. Se va livra beneficiarului manualul de administrare si configurare a echipamentelor
achizitionate.
Trainingul se va axa pe instalarea, configurarea și depanarea soluțiilor de securitate ofertate si va include (fără a
se limita la acestea):
Descrierea conceptelor cheie legate de securitatea aplicațiilor web
Amenințări la nivelul aplicațiilor
Prevenirea atacurile 0-day fără a perturba traficul
Descoperirea vulnerabilităților din serverele și aplicațiile web găzduite pentru o protecție adaptată și
eficientă
Exerciții practice (laboratoare) pentru exemplificarea funcțiilor de securitate și performanța
Autentificarea și controlul accesului
Configurarea și integrarea cu firewall-ul de organizatie, Optimizarea performanței echipamentelor.
Simularea atacurilor pe aplicații web, inspectarea traficului și securizarea acestuia
Diagnosticarea pozițiile false și personalizarea semnăturilor
Beneficiarul va pune la dispoziția Furnizorului orice facilități şi/sau informații, altele decât cele deja prevăzute în
oferta tehnico-financiară, pe care părțile de comun acord le consideră necesare pentru executarea Contractului.
Furnizorul are responsabilitatea executării la timp a contractului şi a sarcinilor de lucru stabilite în acest Caiet de
Sarcini.
Furnizorul va prezenta autorizația emisă de către producătorul echipamentelor pentru furnizarea și asigurarea
serviciilor de suport tehnic.
Furnizorul va desemna un responsabil de contract care să reprezinte un punct unic de contact. Responsabilul de
contract va răspunde și va monitoriza permanent modul, calitatea și ritmul de rezolvare a solicitărilor lansate de
A.S.F.
9
Furnizorul se obligă să:
– furnizeze produsele ce fac obiectul contractului la standardele și performanțele prezentate în oferta tehnico-
financiară, parte integrantă din contract, în termen de maximum 30 zile calendaristice de la data intrării în
vigoare a contractului.
– să supravegheze livrarea produselor, să asigure resursele umane și materiale fie de natură provizorie, fie
definitive cerute de și prin contract, în măsura în care necesitatea asigurării acestora este prevăzută în
contract sau se poate deduce în mod rezonabil din contract.
– să transporte echipamentele la sediul central al Achizitorului, pe cheltuiala şi răspunderea proprie, până în
încăperile indicate de către reprezentanţii Achizitorului
– să păstreze confidențialitatea informațiilor încredințate în executarea prezentului contract.
Furnizorul are obligaţia de a ambala echipamentul în aşa fel încât să ajungă în bună stare la destinaţia finală;
Se solicită asigurarea instalării și punerii în funcțiune a echipamentelor furnizate la sediul Autorității contractante:
- Asamblarea componentelor hardware în concordanță cu specificațiile producătorului;
- Integrarea echipamentelor în infrastructura existentă și punerea în funcțiune a acestora;
- Verificarea versiunilor firmware și actualizarea acestora (dacă este necesar) pentru asigurarea
compatibilității componentelor sistemului
Etapa de livrare a echipamentelor şi a produselor software se va finaliza cu întocmirea procesului verbal de recepţie
cantitativ-calitativă. În această etapă se va efectua recepţia cantitativă și calitativă a produselor, se va stabili
conformitatea acestora cu specificaţiile contractuale şi specificațiile caietului de sarcini, se vor verifica toate
documentele de însoţire a mărfii.
Receptia cantitativa se va realiza după livrarea produselor în cantitatea solicitata la sediul A.S.F.
10
Receptia calitativa se va realiza după instalare, punere in functiune si testare a produselor și, dupa caz, toate
defectele au fost remediate.
Dacă vreunul din produse nu corespunde specificaţiilor din oferta propusă, achizitorul are dreptul să îl respingă,
iar furnizorul are obligaţia, fără a modifica preţul contractului:
- să înlocuiască produsele refuzate;
- să facă toate modificările necesare pentru ca produsele să corespundă specificaţiilor tehnice.
Furnizorul are obligaţia ca în termen de 7 zile calendaristice, să completeze mărfurile lipsă sau să înlocuiască
produsele necorespunzătoare, cu suportarea tuturor cheltuielilor aferente.
Plata echipamentelor inclusiv a serviciilor de instruire (incluzând produsele software necesare funcționării
corespunzătoare se va face pe baza facturii și a procesului verbal de receptie cantitativ-calitativă.
Plata serviciilor de training se va efectua în termen de 30 de zile de la data emiterii facturii, pe baza
acesteia și a procesului-verbal de recepție servicii. Plata serviciilor suport de tip subscriptie se va efectua pe
baza facturii și a procesului verbal de recepție servicii.
11