Capitolato Tecnico

Commenti

Transcript

Capitolato Tecnico
Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
Capitolato Tecnico
per
la fornitura dell’End Point Protection delle
Postazioni di Lavoro e degli Smartphone in uso
presso le Società del Gruppo Ferrovie dello Stato
Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
INDICE
1. 2. 3. 4. PREMESSA
OBIETTIVO
GLOSSARIO
OGGETTO DELLA FORNITURA
4.1. FASI DELLA FORNITURA
3 4 5 6 8 4.1.1. FORNITURA DELLE LICENZE
8 4.1.2. MIGRAZIONE ED INSTALLAZIONE END POINT PROTECTION
8 4.1.3. PERSONALIZZAZIONE - DEFINIZIONE DEI PROFILI DI SICUREZZA
8 4.1.4. GESTIONE (CONSOLLE DI SICUREZZA SOCIETARI E CRUSCOTTI CENTRALI)
9 4.1.5. TEAM DI PROFESSIONISTI
9 4.2. END POINT PROTECTION DEI PERSONAL COMPUTER FISSI E MOBILI
10 4.2.1. ANTIVIRUS
11 4.2.2. PERSONAL FIREWALL
13 4.2.3. APPLICATION & DEVICE CONTROL
14 4.2.4. SOLUZIONE DI CRIPTAZIONE DEL FILE SYSTEM
15 4.3. END POINT PROTECTION DEI DISPOSITIVI MOBILI (SMARTPHONE)
17 4.3.1. ANTIVIRUS
18 4.3.2. ANTIFURTO
19 20 4.4. GESTIONE
4.4.1. CONSOLLE DI SICUREZZA SOCIETARIE
20 4.4.2. CRUSCOTTI CENTRALI
22 4.4.3. FUNZIONALITÀ DI REPORTING
22 4.4.4 EARLY WARNING
23 4.5. SERVIZI DI SOFTWARE ASSURANCE
pag. 2 di 24 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
1.
Ver. .1
PREMESSA
Le Società del Gruppo Ferrovie dello Stato (nel seguito Gruppo FS) utilizzano attualmente
una suite di McAfee a protezione delle ca. 36.000 Postazioni di Lavoro fisse (desktop) e mobili
(notebook) in dotazione ai propri dipendenti.
Le Postazioni di Lavoro del Gruppo FS si compongono di Personal Computer con Sistema
Operativo Microsoft Windows, unitamente a numerosi applicativi legacy in licenza.
Il sistema di autenticazione e accesso ai Personal Computer si basa su Microsoft Active
Directory.
pag. 3 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
2.
Ver. .1
OBIETTIVO
L’Obiettivo del presente Capitolato Tecnico è quello di definire i requisiti di una serie di
prodotti di End Point Protection in grado di ampliare le attuali funzioni di sicurezza delle ca.
36.000 Postazioni di Lavoro del Gruppo FS, in modo tale da proteggere tutte le funzionalità
svolte dai client.
Tali prerogative di sicurezza dovranno comprendere anche gli ulteriori 11.000 Smartphone in
dotazione al personale viaggiante ed ai manager del Gruppo FS.
Le Postazioni di Lavoro del Gruppo FS dovranno essere profilate secondo le nuove funzioni
di sicurezza e raccordate in cruscotti di monitoraggio e gestione ad uso delle singole Società
del Gruppo FS.
pag. 4 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
3.
Ver. .1
GLOSSARIO
Di seguito si fornisce un glossario dei principali termini utilizzati nel presente documento e del
significato a loro attribuito:
EPP – End Point
Protection
MAC address
Switch
LAN – Local Area
Network
Smartphone
PdL – Postazioni di
Lavoro
Deliverable
Milestone
LDAP – Lightweight
Directory Access
Protocol
Template
KPI – Key Performance
Indicator
Agent
EAP – Extensible
Authentication
Protocol
(protocollo di
autenticazione)
Prevenzione avanzata delle minacce per garantire una difesa
esclusiva dal malware per portatili, desktop e server.
Media Access Control address
Dispositivo, denominato commutatore, che riceve due segnali in
ingresso e inoltra, a determinati indirizzi di destinazione, un unico
flusso di dati.
Gruppo di calcolatori e altri dispositivi distribuiti in un’area
geografica relativamente ristretta e in grado di comunicare tra loro
grazie a un collegamento di rete.
Tipologia di dispositivi elettronici portatili che riuniscono funzioni di
telefono cellulare, gestione di applicativi, trasmissione dati e posta
elettronica.
Postazione di Lavoro fissa (Desktop) o mobile (notebook),
corrispondente ad un nodo di rete.
Documento prodotto come risultato di un’attività di progetto.
Utilizzato nella pianificazione e gestione di progetti complessi per
indicare il raggiungimento di obiettivi stabiliti in fase di definizione
del progetto stesso.
E’ un protocollo standard per l'interrogazione e la modifica dei
servizi di directory.
Un documento o programma dove, come in un foglio
semicompilato cartaceo, su una struttura generica o standard
esistono spazi temporaneamente "bianchi" da riempire
successivamente (template).
Sono indici che monitorano l’andamento di un processo aziendale.
Programma in esecuzione capace di sopperire da solo a tutte le
funzionalità per i client
Un framework di autenticazione nato per le reti di tipo wireless e
per le connessioni punto-punto. La principale caratteristica di EAP
è che non è un meccanismo di autenticazione, ma un protocollo
progettato per consentire l'utilizzo soluzioni per il riconoscimento di
utenti ed apparati di volta in volta diversi.
pag. 5 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
4.
Ver. .1
OGGETTO DELLA FORNITURA
Fornitura di una serie di prodotti per l’End Point Protection dei Personal Computer e
degli Smartphone in uso presso le Società del Gruppo FS.
Tutti i prodotti forniti devono essere di unico Vendor.
La fornitura si articola nelle seguenti fasi:
Fase 1 - Fornitura delle licenze di End Point Protection, per le circa 36.000 Postazioni
di Lavoro (desktop e notebook) ed i ca. 11.000 Smartphone in dotazione al
personale del Gruppo FS e distribuite sull’intero territorio nazionale. Tutte le
licenze dovranno essere comprensive di Software Assurance per 3 (tre) anni dal
momento del collaudo.
Allo stato attuale le licenze in uso risultano così distribuite tra le principali Società
del Gruppo FS:
SOCIETA'
Nodi coperti da suite Antivirus
Ferrovie dello Stato SpA
Trenitalia SpA
Rete Ferroviaria Italiana SpA
Ferservizi SpA
Italferr SpA 460
15.000
15.968
2.000
2.300
Ulteriori licenze sono in uso presso le altre Società del Gruppo FS.
Fase 2 - Migrazione di tutte le PdL di Gruppo dalla suite attuale ai nuovi prodotti ed
installazione dell’agent sugli Smartphone. Tale migrazione dovrà essere effettuata
nel tempo massimo di 40 (quaranta) giorni per ciascuna Società del Gruppo FS. Le
Società potranno migrare quindi in parallelo.
I costi di migrazione si intendono inclusi nella Fornitura delle Licenze.
Fase 3 - Personalizzazione. Il Fornitore dovrà definire adeguati profili di sicurezza per i
diversi Gruppi di utenza delle seguenti Società del Gruppo:
- Ferrovie dello Stato S.p.A.,
- Trenitalia S.p.A.,
- Rete Ferroviaria Italiana S.p.A.,
- Ferservizi SpA.,
- Italferr S.p.A..
pag. 6 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
Dovrà inoltre definire ed implementare procedure e standard funzionali coerenti con
i Gruppi di utenza definiti, riguardanti in particolare i seguenti prodotti/applicazioni:
a.
Antivirus
b.
Application & Device control
c.
Personal firewall
d.
Encryption
e.
Protezione Smartphone
La personalizzazione dovrà essere completata entro massimo 4 (quattro) mesi.
Fase 4 – Gestione. Installazione di consolle di monitoraggio e gestione per le PdL di:
-
Ferrovie dello Stato S.p.A.,
-
Trenitalia S.p.A.,
-
Rete Ferroviaria Italiana S.p.A.,
-
Ferservizi S.p.A.,
-
Italferr S.p.A.
-
più l’installazione di cruscotti centrali di monitoraggio per Ferrovie dello Stato
S.p.A..
L’installazione delle consolle societarie e dei cruscotti centrali dovrà essere completata
anch’essa entro 4 (quattro) mesi.
Le Fasi 3 e 4 devono pertanto essere svolte in parallelo, nell’arco di tempo massimo di 4
(quattro) mesi, impegnando il Team di professionisti di cui al cap. 4.1.5.
pag. 7 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
4.1. FASI DELLA FORNITURA
4.1.1.
FORNITURA DELLE LICENZE
Le licenze dovranno essere fornite attraverso l’apertura di determinati codici (grant
number) dedicati a ciascuna Società del Gruppo FS.
Ogni successivo aggiornamento funzionale delle licenze (Software Assurance) nonché le
variazioni in aumento o diminuzione dei nodi coperti dovrà essere gestito da remoto.
4.1.2.
MIGRAZIONE ED INSTALLAZIONE END POINT PROTECTION
La migrazione delle PdL verso i nuovi prodotti del Fornitore dovrà essere effettuata sui
server centrali e periferici delle Società del Gruppo FS e successivamente estesa su tutte le
PdL e su tutti gli Smartphone del Gruppo FS.
La migrazione deve essere preceduta dalla rimozione dell’attuale suite antivirus dai server
centrali e periferici delle Società del Gruppo FS. I server centrali delle Società del Gruppo
FS sono dislocati a Roma, presso la sede dell’Outsourcer informatico del Gruppo FS. La
distribuzione sulle PdL periferiche potrà essere effettuata sia da remoto che on-site.
Gli Smartphone sono gestiti da una piattaforma di Device Management ubicata a Roma.
Dovrà essere prodotto un GANTT per le attività di migrazione di ciascuna Società del
Gruppo FS. Le attività dovranno essere completate in un periodo massimo di 40
(quaranta) giorni per ciascuna Società e potranno essere svolte in parallelo.
4.1.3.
PERSONALIZZAZIONE - DEFINIZIONE DEI PROFILI DI SICUREZZA
Ferrovie dello Stato S.p.A. e le Società del Gruppo FS, ai fini del corretto utilizzo dei
prodotti di End Point Protection, definiranno Gruppi di utenza specifici, con profili di
sicurezza differenziati a seconda delle funzioni loro attribuite. In particolare gli utenti
mobili, dotati di notebook e Smartphone, dovranno essere definiti anche in funzione della
location dei device.
Il Fornitore dovrà pertanto implementare i profili di sicurezza definiti dalle Società del
Gruppo FS ed abilitarli alle funzioni previste dai seguenti prodotti:
•
Antivirus,
•
Personal firewall,
•
Application & Device control,
•
Criptazione file system,
•
Protezione dispositivi mobili.
pag. 8 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
Il Fornitore, nel corso della Fornitura, dovrà produrre un documento descrittivo dei profili
di sicurezza per ogni Società del Gruppo FS.
4.1.4.
GESTIONE (CONSOLLE DI SICUREZZA SOCIETARI E CRUSCOTTI
CENTRALI)
I prodotti installati dovranno essere raccordati in diverse consolle di sicurezza, ciascuna
specifica per ogni Società del Gruppo FS sopra riportate, più dei cruscotti centrali di
monitoraggio per Ferrovie dello Stato S.p.A..
Le consolle dovranno dare una immagine visiva immediata dell’andamento dei principali
parametri di controllo della sicurezza.
Si richiedono, inoltre, degli indicatori del livello di sicurezza su Internet e della eventuale
presenza di minacce specifiche. Le consolle dovranno prevedere una navigazione
dinamica che consenta di approfondire fino al dettaglio l’analisi dei dati e dei KPI di
sicurezza di Gruppo.
4.1.5.
TEAM DI PROFESSIONISTI
Le fasi di Personalizzazione e Gestione della fornitura dovranno essere assicurate da un
Team composto da almeno 4 (quattro) professionisti, che dovrà completarle entro
massimo 4 (quattro) mesi.
Il Team di Professionisti deve essere composto da:
¾
1 (uno) Senior Consultant del Vendor dei prodotti forniti,
¾
1 (uno) Project Manager dotato di almeno 4 anni di esperienza in possesso di
certificazione PMI-PMP o Prince 2,
¾
2 (due) System Analist, ciascuno dei quali in possesso di almeno una delle seguenti
qualifiche:
a. certificazioni CISSP (ISC2),
b. Certificazioni Microsoft MCSA ed MCSE,
c. PMI-PMP (Project Management Institute).
pag. 9 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
4.2. END POINT PROTECTION DEI PERSONAL COMPUTER FISSI E MOBILI
In questo paragrafo si descrivono i requisiti per i prodotti di End Point Protection dei
Personal Computer fissi e mobili.
Per agent si intende un programma in esecuzione, rilevato dal Sistema Operativo, che
abbia almeno una delle seguenti funzionalità:
¾
Antivirus,
¾
Application & Device Control,
¾
Personal Firewall,
¾
Crittografia (Encryption).
I prodotti devono garantire che la componente client possa essere installata sia da remoto
in modalità silenziosa, sia demandando l’installazione all’utente finale (esempio tramite
pagina WEB). Dovrà in ogni caso essere garantita la possibilità d’installazione mediante
almeno una di queste modalità:
•
attraverso la consolle di gestione (push remoto),
•
attraverso i prodotti di software distribution utilizzati dal Gruppo FS (SMS),
•
tramite login script,
•
attraverso un sistema di software distribution proposto dal fornitore.
I prodotti devono poter essere installati e disabilitati dalle consolle societarie di cui al
successivo paragrafo “4.4. Gestione”.
Il Fornitore dovrà garantire, a fronte della pubblicazione di una vulnerabilità di sicurezza
relativa al software utilizzato per espletare le funzionalità descritte nei paragrafi successivi,
una soluzione strutturata alla problematica di sicurezza e la sua implementazione entro e
non oltre 7 giorni solari.
I prodotti devono garantire che le configurazioni di scansione non possano essere
modificate dall’utente forzando le impostazioni direttamente dalla consolle di gestione.
I prodotti devono consentire l’implementazione di un’architettura di gestione multi-livello
e garantire un livello di scalabilità in grado di supportare fino a 100.000 nodi.
La distribuzione degli aggiornamenti deve essere organizzata, in modo da poter distribuire
gli stessi in maniera ottimale su tutta la rete evitando punti di concentrazione.
I prodotti devono consentire l’aggiornamento diretto e automatico sui server del fornitore
nel caso in cui il client non sia connesso alla rete aziendale ma direttamente alla rete
Internet.
I prodotti devono garantire che gli aggiornamenti delle signature avvengano attraverso il
trasferimento non dell’intero pacchetto di signature ma attraverso la trasmissione del solo
“delta” di aggiornamento.
pag. 10 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
Dovrà essere fornita tutta la documentazione relativa ai sistemi software oggetto della
fornitura (technical reference, operator & service guide, installation guide, tuning guide
etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua
inglese, e dovrà essere fornita su supporto cartaceo (manuali) ed elettronico (CD-ROM).
Dovrà essere prodotta inoltre, a cura del fornitore, una completa e circostanziata
documentazione di fornitura, installazione, collaudo e configurazione relativa a:
9
operazioni d’installazione e configurazione effettuate sulla consolle;
9
eventuali problemi incontrati;
9
soluzioni adottate.
I prodotti devono integrarsi con soluzioni di Active Directory, PKI e LDAP e supportare
la software distribution attraverso i sistemi attualmente in uso presso il Gruppo FS, o in
alternativa integrare una propria soluzione di distribuzione. Per quello che concerne i
sistemi Linux, deve integrarsi con i package manager delle distribuzioni più comuni, come
ad esempio YUM o APT, oppure con un sistema di distribuzione tramite agent
proprietario.
4.2.1.
ANTIVIRUS
L’antivirus dovrà prevedere una suite di moduli in grado di intercettare un virus auto
replicante prima che questo possa danneggiare il computer ospite. Essa dovrà:
•
essere multipiattaforma;
•
supportare almeno le seguenti piattaforme operative:
o Microsoft
o Linux
•
supportare sia piattaforme client che server;
•
garantire il funzionamento sia in ambienti fisici che virtuali.
La suite per quello che concerne gli ambienti Microsoft dovrà garantire la piena
compatibilità con tutti i sistemi futuri e, in maniera obbligatoria con le versioni client e
server, in tutte le sue architetture (32 e 64 bit) a partire da Windows 2000 fino a Windows
Seven.
La suite, per quello che concerne gli ambienti Linux dovrà garantire la piena compatibilità
con tutti i sistemi futuri e, in maniera obbligatoria, con le versioni:
•
RedHat,
•
SuSE.
La suite dovrà essere in grado di intercettare, bloccare e rimuovere, anche tramite diversi
moduli eventualmente aggiuntivi e/o predisposti all’occorrenza, almeno le principali
tipologie di minacce informatiche quali:
•
operating sistem viruses,
•
macro viruses,
pag. 11 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
•
script minaccia,
•
worms,
•
backdoors / bots,
•
trojan,
•
spyware,
•
adware,
•
rootkit,
•
botnet.
Ver. .1
La suite dovrà essere in grado di effettuare :
9
verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di
sistema durante la fase iniziale di avvio del sistema;
9
scansione in tempo reale della memoria;
9
scansione in tempo reale dei file;
9
capacità di individuazione di tutte le tipologie di codice nocivo (cavalli di troia,
backdoor, macro virus, ecc.);
9
blocco preventivo degli attacchi di tipo buffer overflow;
9
rilascio da parte del produttore di frequenti aggiornamenti del file delle firme con
almeno un rilascio al giorno;
9
possibilità di programmare scansioni del file system ad intervalli regolari;
9
distribuzione centralizzata degli aggiornamenti per computer connessi in rete locale;
9
possibilità di effettuare gli aggiornamenti attraverso Internet in assenza di
collegamento alla rete locale;
9
capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere
operazioni di pulizia.
Il modulo antispyware dovrà garantire le seguenti caratteristiche:
9
scansione in tempo reale di memoria e processi per bloccare lo spyware prima che si
installi;
9
rilascio da parte del produttore di frequenti aggiornamenti del file delle firme;
9
funzionamento “euristico” per garantire la possibilità di fermare spyware anche in
assenza di firme specifiche;
9
integrazione con il motore antivirus per garantire una logica univoca di
funzionamento, sia verso l’utente (interfaccia grafica) che verso la consolle di
gestione (reportistica);
9
integrazione di funzionalità anti-Adware e similari tipologie di minacce presenti e
future.
La suite fornita dovrà essere in grado di intercettare il codice minaccia sia sulla base di
impronte caratteristiche (signature) sia in base alla rilevazione di comportamenti ritenuti
potenzialmente dannosi (modulo di scansione euristica). In questo senso dovrà avere una
pag. 12 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
protezione specifica in grado di riconoscere e bloccare minacce di tipo “buffer overflow”
delle famiglie:
•
stack based,
•
heap based.
La suite deve disporre di funzionalità di quarantena della minaccia individuata e la
remediation successiva.
La suite deve disporre di funzionalità di scan del sistema attivabili sia in base ad una
schedulazione preventiva che in modalità manuale.
La suite deve disporre di funzionalità di scansione dei dispositivi rimovibili in grado di
rilevare una minaccia anche se presente solo in questi supporti (ad esempio chiavetta USB,
scheda SD).
La suite deve essere predisposta per verificare eventuali minacce sulle tipologie di file
compressi più diffuse quali ed es.: file .zip, file .rar, etc..
L’architettura dovrà essere di tipo plug-in, con possibilità di aggiungere nuovi moduli con
nuove funzionalità senza dover procedere alla reinstallazione di tutto il prodotto.
La libreria delle impronte virali dovrà essere di dimensioni contenute e la componente
client dovrà operare garantendo un basso utilizzo delle risorse (memoria, etc.).
La suite deve permettere di configurare le modalità di prioritizzazione del processo di
scansione antivirus (manuale/automatica).
La suite deve essere protetta da password nel caso di modifica locale della configurazione o
tentativi di disinstallazione o di disabilitazione dell’agent locale.
La suite deve garantire che non siano modificate le configurazioni di download degli
aggiornamenti.
La suite deve disporre di vari livelli di auditing e logging in modo da tracciare puntualmente
tutte le attività amministrative effettuate sull’infrastruttura e tutti gli eventi riguardanti
infezioni in corso, aggiornamenti effettuati e/o falliti.
La suite deve essere in grado di allertare, con opportuni messaggi, sia l’utente sia la consolle
di gestione, in caso di mancato aggiornamento o di basi virali outdated.
La suite deve garantire funzionalità di Host Intrusion Prevention System (HIPS).
4.2.2.
PERSONAL FIREWALL
La suite deve possedere un modulo in grado di effettuare:
9
monitoraggio, controllo e registrazione dell’attività di rete;
9
blocco connessioni non autorizzate;
9
blocco attacchi di tipo Denial of Service (DOS);
pag. 13 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
9
Ver. .1
autoconfigurazione iniettata da parte degli altri moduli di sicurezza (antivirus) di
regole specifiche per il blocco della minaccia.
Il modulo Personal Firewall deve disporre di funzionalità di network firewalling in grado
di gestire le connessioni alla postazione per singolo indirizzo IP o “range” di indirizzi, per
singola porta TCP/UDP o “range” di porte.
Il modulo di Personal Firewall dovrà essere in grado di applicare configurazioni e politiche
specifiche in base alla rete a cui la postazione è collegata. La soluzione dovrà quindi
contemplare la possibilità di assegnare politiche di sicurezza in base almeno ai seguenti
parametri:
•
Classe IP di appartenenza,
•
DNS Server,
•
Tipologia di connessioni su utenti mobili, quali:
o LAN,
o Wireless,
o Dial-up,
o VPN, almeno tecnologie Cisco e Microsoft.
4.2.3.
APPLICATION & DEVICE CONTROL
La suite dovrà comprendere un modulo in grado di monitorare ed eventualmente bloccare
l’accesso almeno ai seguenti dispositivi periferici del personal computer:
•
Porte USB,
•
Lettore/masterizzatore CD/DVD,
•
Interfacce wireless (bluetooth, infrarossi),
•
Modem.
Dovrà essere inoltre prevista la possibilità di bloccare applicazioni potenzialmente
indesiderate quali:
•
Desktop search tool,
•
Distributed computing,
•
E-mail client,
•
File sharing,
•
Game,
•
Instant messenger client,
•
Internet Browser,
•
Media player,
•
Proxy application,
•
Remote management tool,
•
Toolbar,
pag. 14 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
•
Virtualization application,
•
VoIP,
•
scarewares in generale.
Ver. .1
Tale elenco non è da considerarsi esaustivo.
Il modulo dovrà essere in grado di garantire che possano essere avviati solo
eseguibili/processi/servizi specificati in requisiti di sicurezza applicando politiche di:
•
Hashing;
•
Certificazione digitale, quest’ultima integrandosi con la PKI aziendale;
•
White & black listing.
Il modulo deve contemplare la possibilità di assegnare politiche di sicurezza in base
all’ubicazione fisica del device. Esempio pratico può essere il portatile del dipendente
utilizzato in azienda o da casa, altresì sedi diverse potrebbero prevedere politiche
differenti.
4.2.4.
SOLUZIONE DI CRIPTAZIONE DEL FILE SYSTEM
Deve essere fornita una soluzione di criptazione del File System, che potrà essere un
modulo della suite, oppure potrà essere una soluzione specifica.
La soluzione deve comunque rispettare i seguenti requisiti tecnico-funzionali:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Crittografia avanzata che deve supportare desktop, portatili e dispositivi di
archiviazione rimovibili quali dischi rigidi, Memory Stick USB, etc.;
Autenticazione preliminare all’avvio del client basata su password, token o Smart
Card ed accesso ai dati del computer solo agli utenti autorizzati;
Supporto di più utenti e amministratori sui singoli PC;
Supporto di una gamma di algoritmi di crittografia, come ad esempio Twofish,
Blowfish, Serpent, compreso AES-256;
Supporto di una gamma di algoritmi di hashing, compresi SHA-512, RIPEMD-160 e
Whirpool;
Riproduzione su una consolle di gestione delle postazioni che hanno il disco
criptato;
Creazione del cosiddetto “rescue disk” o succedaneo, ovvero un set di tool in grado
di supportare il ripristino in caso di problemi di ogni genere (es.: boot loader o
master key danneggiati);
Supporto di un largo insieme di tokens e Smartcards, incluso CAC v2, GSC-IS 2.1,
Aladdin eToken e RSA;
Supporto di un vasto insieme di card reader incluso USB reader CCID-compliant e
PCMCIA;
Supporto, anche remoto, dell’utente che avesse dimenticato il token d’accesso o la
password. In tal caso lo sblocco dovrà essere consentito dalla consolle di controllo
pag. 15 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
della soluzione anche su internet attraverso un portale o tramite il supporto del
Service Desk aziendale.
pag. 16 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
4.3. END POINT PROTECTION DEI DISPOSITIVI MOBILI (SMARTPHONE)
In questo paragrafo si descrivono i requisiti funzionali del prodotto di End Point
Protection dei Dispositivi Mobili (Smartphone).
Per quello che concerne i sistemi operativi, il prodotto dovrà supportare almeno:
•
Microsoft Windows Mobile e le sue future evoluzioni,
•
Symbian OS e le sue future evoluzioni,
•
qualora non disponibile, il supporto iOS di Apple Iphone dovrà essere disponibile
entro il primo trimestre del 2011,
•
qualora non disponibile, il supporto Google Android OS dovrà essere disponibile
entro il primo trimestre del 2012.
Il prodotto deve garantire che la componente sul client possa essere installata sia da
remoto in modalità silenziosa che localmente. Devono in ogni caso essere garantite le
seguenti funzioni di gestione:
9
Installazione tramite login script,
9
Trasmissione del SW di installazione attraverso connessione diretta al PC o
automaticamente tramite una connessione al server centrale via WLAN,
GPRS,UMTS etc.,
9
Single File Update e garanzia di roll-back in caso di problemi,
9
Sincronizzazione in modalità sicura ed automatica,
9
Trasferimento su ogni device compatibile nel caso di sostituzione dello Smartphone.
Il prodotto deve poi assicurare i seguenti requisiti funzionali:
•
Protezione completamente trasparente del dispositivo e delle schede di memoria
ovunque ed in qualsiasi condizione (con/senza connettività, con schede di vari
service provider di connettività);
•
Rilevamento automatico delle connessioni dati per scaricare gli aggiornamenti;
•
Aggiornamenti automatici del client anche attraverso i server del fornitore nel caso
in cui il client non sia connesso alla rete aziendale;
•
Impossibilità di disinstallare l’antivirus dall’utente;
•
Integrazione con le policy e le configurazioni base previste per i dispositivi desktop;
•
Scanning in real time di file e messaggi (SMS, MMS, …) nel momento in cui essi
arrivano;
•
Scanning manuali (su richiesta) e automatici ad intervalli definiti o ad eventi
prestabiliti (accensione, …);
•
Modalità operativa in background;
•
Scanning dei ROM files;
pag. 17 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
•
Cancellazione automatica di tutti i file infetti;
•
Gestione centralizzata di tutte le sue componenti attraverso una consolle di
management dedicata (ad es. attraverso SMS listener) preferibilmente integrata con
la consolle della soluzione scelta per i Personal Computer e i Server;
•
Predisposizione di vari livelli di auditing e logging in modo da tracciare
puntualmente tutte le attività amministrative effettuate sull’infrastruttura e tutti gli
eventi riguardanti infezioni in corso, aggiornamenti effettuati e/o falliti;
•
Raccolta e visualizzazione (centralizzata e locale) dei log;
•
Disattivazione/attivazione attraverso la consolle di gestione, sia per un singolo che
per un gruppo di client, (sia in modo permanente che periodi stabiliti), di specifiche
funzionalità/policy;
•
Impossibilità di modifica delle configurazioni.
Per la gestione si richiede l’utilizzo di un singolo agente che viene gestito da una consolle
centralizzata.
Dovrà essere fornita tutta la documentazione rilasciata dal produttore, relativa ai sistemi
software, oggetto della fornitura (technical reference, operator & service guide, installation
guide, tuning guide etc.). La documentazione dovrà essere redatta in lingua italiana, o in
subordine in lingua inglese, e dovrà essere fornita su supporto cartaceo (manuali) ed
elettronico (CD-ROM).
Dovrà essere prodotta, a cura del Fornitore, una completa e circostanziata
documentazione di fornitura, installazione, collaudo e configurazione relativa:
•
alle operazioni d’installazione e configurazione effettuate sulla consolle;
•
agli eventuali problemi incontrati;
•
alle soluzioni adottate.
4.3.1.
ANTIVIRUS
Il prodotto deve essere in grado di intercettare un virus auto replicante prima che questo
possa danneggiare il device ospite.
Il prodotto deve:
9
essere multipiattaforma e dovrà supportare gli hardware Smartphone più diffusi;
9
consentire la gestione da consolle centralizzata delle piattaforme sopraindicate.
Il prodotto dovrà essere in grado di intercettare, bloccare e rimuovere, anche tramite
diversi moduli eventualmente aggiuntivi e/o predisposti all’occorrenza, le principali
tipologie di minacce presenti e future.
L’architettura deve essere di tipo plug-in, con possibilità di aggiungere nuovi moduli con
nuove funzionalità senza dover procedere alla reinstallazione di tutto il prodotto.
La libreria delle impronte virali dovrà essere di dimensioni contenute e la componente
client dovrà operare garantendo un basso utilizzo delle risorse (memoria, etc.) delle
pag. 18 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
postazioni di lavoro, in particolare l’impegno della CPU deve essere tale de non inficiare la
normale operatività del device.
Il modulo antivirus dovrà garantire le seguenti funzioni:
•
scansione in tempo reale della memoria;
•
scansione in tempo reale dei file;
•
individuazione di tutte le tipologie di codice nocivo (cavalli di troia, backdoor, macro
virus, etc.);
•
blocco preventivo degli attacchi critici;
•
rilascio da parte del produttore di frequenti aggiornamenti del file delle firme;
•
programmazione di scansioni del file system ad intervalli regolari;
•
distribuzione centralizzata degli aggiornamenti per i device connessi in rete locale;
•
aggiornamento attraverso Internet in assenza di collegamento alla rete locale;
•
capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere
operazioni di pulizia.
4.3.2.
ANTIFURTO
Il Prodotto EPP degli Smartphone deve prevedere, in unica soluzione o con modulo a se
stante, un’applicazione di Antifurto, in grado di garantire che i dati e le applicazioni del
dispositivo siano protetti anche nel caso di furto o perdita dello Smartphone.
A questo scopo il modulo antifurto dovrà avere le seguenti caratteristiche:
•
Blocco del dispositivo. Lo sblocco dovrà avvenire solo attraverso una procedura
sicura tramite password o codice;
•
Blocco automatico del dispositivo nel caso di furto.
pag. 19 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
4.4. GESTIONE
4.4.1. CONSOLLE DI SICUREZZA SOCIETARIE
I prodotti di End Point Protection dovranno essere monitorati e gestiti attraverso delle
consolle di sicurezza specifiche, installate per 5 (cinque) Società del Gruppo FS:
¾
Ferrovie dello Stato S.p.A.,
¾
Trenitalia S.p.A.,
¾
Rete Ferroviaria Italiana S.p.A.,
¾
Ferservizi S.p.A.,
¾
Italferr S.p.A..
Attraverso le consolle di sicurezza societarie dovrà essere possibile controllare e
configurare tutti i prodotti installati, ivi inclusi gli agent o i moduli aggiuntivi previsti dal
presente Capitolato. Le consolle potranno essere composte di diverse viste, fino a una per
ogni tipo di agent installato sull’End Point.
Ogni consolle di sicurezza societaria dovrà rendere disponibili informazioni relative
almeno ai seguenti aspetti:
•
profili di sicurezza attualmente utilizzati,
•
indicatori sui livelli di sicurezza attuali per le varie funzionalità e per i vari gruppi di
utenti (patch di sistema operativo presenti, livello antivirus, applicazioni illecite,
client senza encryption del file system),
•
possibilità di lettura dei dati di configurazione fino al singolo client,
•
informazioni di early warning.
Dovrà essere disponibile anche una consolle specifica per informazioni relative agli
Smartphone, tenendo conto della discontinuità di raggiungibilità dei medesimi.
Le consolle di sicurezza societarie dovranno prevedere almeno le seguenti informazioni:
•
Indicatori di sicurezza su Internet, in termini di livello, di minacce presenti in rete e
la loro tipologia;
•
Indicatori dello stato di sicurezza interna navigabili fino ai singoli eventi di sicurezza;
•
Definizione di almeno 1 KPI storicizzato sull’andamento complessivo della
sicurezza per ogni funzionalità.
Le consolle di sicurezza societarie devono assicurare le seguenti funzioni di gestione:
1.
consentire la disattivazione/attivazione attraverso - sia per un singolo che per un
gruppo di client/utenti, (sia in modo permanente che periodi stabiliti) - specifiche
funzionalità/policy;
pag. 20 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
2.
gestire ruoli differenziati di accesso alla consolle (almeno amministratore, gestore,
auditor) e le relative deleghe amministrative su porzioni differenti
dell’organizzazione e su componenti differenti;
3.
gestire ruoli che permettano di amministrare in modo condiviso o esclusivo i vari
componenti (ad es. gestione differenziata su antivirus, amministrazione per
compound, accesso a report di sintesi).
pag. 21 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
4.4.2.
Ver. .1
CRUSCOTTI CENTRALI
I cruscotti centrali dovranno consentire la visione integrata delle varie informazioni e dei
report provenienti dai prodotti sottostanti.
Attraverso i cruscotti centrali deve essere possibile visualizzare tutti i profili di sicurezza e
le politiche di applicazione definite per le Società del Gruppo FS, nonché dei Gruppi
utenti fino al dettaglio del singolo utente.
I cruscotti centrali dovranno evidenziare tutte le situazioni di violazione della sicurezza
che si verificassero nelle varie funzionalità.
Il cruscotto relativo all’Application Control deve consentire la visualizzazione delle
applicazioni presenti sul client del singolo utente. Deve inoltre segnalare tutte le anomalie
rilevate a livello di integrità delle applicazioni sui PdL.
4.4.3.
FUNZIONALITÀ DI REPORTING
I prodotti e sistemi installati devono consentire un’attività di reporting che riguardi le
seguenti informazioni:
•
eventi di sicurezza occorsi;
•
statistiche sull’andamento delle infezioni (suddivisi per tipologie di virus e per
client);
•
statistiche sul parco macchine, fisse e mobili;
•
applicazioni installate;
•
utilizzo di Smartphone.
Dai report si dovrà evincere in maniera chiara lo stato dell’intera infrastruttura e dei client
serviti. Dovranno essere incluse tutte le informazioni relative alle versioni (di engine
antivirus e di pattern scaricati) installate sui server e sui client.
Dovrà essere possibile produrre report in forma grafica in modo da fornire una
panoramica veloce sullo stato dell’intera infrastruttura; dovranno inoltre essere previsti
opportuni warning su situazioni potenzialmente pericolose (p. es. engine non aggiornati,
pattern datati, client antivirus non funzionanti o con problemi).
Per quanto concerne auditing e logging, la soluzione deve garantire, per tutte le sue
componenti, opportuni livelli di auditing in grado di tracciare tutte le attività
amministrative che comportano un cambio nelle configurazioni delle componenti della
soluzione sui server e sui client.
pag. 22 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
4.4.4
Ver. .1
EARLY WARNING
Il Fornitore deve offrire un servizio informativo sulle vulnerabilità informatiche esistenti
ed emergenti, nonché sull’evoluzione di minacce informatiche attraverso attività di
intelligence tipiche del settore.
La distribuzione di tali avvisi avverrà a mezzo di mail oppure un portale web che
dovranno contenere almeno le seguenti informazioni:
9
sistemi affetti/vulnerabili,
9
strategie di mitigazione.
pag. 23 di 24 Capitolato Tecnico
Area Acquisti di Gruppo
Piattaforma antivirus
Ver. .1
4.5. SERVIZI DI SOFTWARE ASSURANCE
Il Fornitore dovrà provvedere a fornire un servizio di aggiornamento software per tre anni
dal momento del collaudo.
Tale manutenzione e assistenza riguarda:
9
aggiornamento signature antivirus,
9
aggiornamenti software di tutte le componenti (agent, consolle, etc.),
9
possibilità di sottoporre file sospetti al produttore al fine di verificare la presenza di
codice malevolo; si richiede un tempo di risposta di 24 ore solari,
9
servizio informativo erogato direttamente dal produttore.
Il Fornitore deve garantire, a fronte della pubblicazione di una vulnerabilità di sicurezza
relativa al software utilizzato per espletare le funzionalità descritte nel presente Capitolato,
entro e non oltre 7 giorni solari, una soluzione strutturata alla problematica di sicurezza.
pag. 24 di 24 

Documenti analoghi