Aizsardzības ministrijas datortīkla aplikāciju un servisu drošības nodrošināšanas iepirkums

Kategorija: Iepirkumi

AM un tās pakļautības un pārraudzības iestāžu tīkla infrastruktūras un sistēmu regulāras ievainojamības pārbaudes un pārbaudes pēc pieprasījuma, izdarot kontrolētus ielaušanās mēģinājumus caur publiskajām IP adresēm un izmantojot autorizētu (vienkārša lietotāja vai noklusētās paroles) piekļuvi iekšējam tīklam, saskaņā ar prasībām, kas ir norādītas tehniskajā specifikācijā.
Paredzamā līgumcena, bez PVN (tikai cipariem): 24793 LVL

3. Izpildītājam, veicot Pasūtītāja datorsistēmu drošības pārbaudi, jānodrošina:
3.1. Operētājsistēmu, lietojumprogrammu un tīkla iekārtu atklāto (zināmo) ievainojamību noteikšana, t.sk. ievainojamību, kas var tikt izmantotas izkliedētā servisa atteices uzbrukuma (DDoS) vai vienkāršā servisa atteices uzbrukuma (DoS) īstenošanai. Jānodrošina regulāra, ne retāk kā reizi nedēļā, zināmo ievainojamību datubāzes atjaunošana. Pretendentam piedāvājumā jānorāda datubāzes avots;
3.2. Autentifikācijas/autorizācijas elementu atklāšanas spēka (brute force) un vārdnīcas (dictionary) pārbaude;
3.3.    IPsec VPN risinājumu kartēšana (discovery), t.sk. risinājumiem, kas izmanto PSK autentifikāciju attālinātai piekļuvei, noteikšana (fingerprinting) un zināmo ievainojamību noteikšana;
3.4.  Web lietojumu un servisu konfigurācijas noviržu, izmantotās programmatūras veida un versiju noteikšana, kā arī novecojušas programmatūras atklāšana;
3.5. Web lietojumu ievainojamību noteikšana neierobežotam lapu skaitam:
3.5.1. Web lietojumu kartēšana (discovery) – inkrementāls zirneklis, Google kešatmiņas lasīšana testējamajam domēnam (site: domain.gov.lv un zināmo ievainojamību pazīmju noteikšana), crossdomain.txt, sitemap.xml un robots.txt datņu nolasīšana, URL minēšana (fuzzer), wsdl datnes noteikšana;
3.5.2. Web lietojumu pārbaude (audit) – SQL (arī blind), MX, XPATH, eval() , LDAP injekcijas (injections), xsrf, xss, xst,  ssl novirzes (ssl aizsargāts URL pieejams caur http), WebDAV augšupielāde, SSI, bufera pārpildīšanās,  globālā pāradresācija;
3.5.3. Web lietojumu papildinformācijas iegūšana – 500.kļūdu noteikšana, direktoriju lasīšana, ceļa (path) un koda atklāšana;
3.5.4. Identificējot ievainojamību, Izpildītājam ir jāveic ievainojamības draudu novērtējums (piem. jāidentificē vai ievainojamība ļauj pārņemt servera kontroli, mainīt servera konfigurāciju, datus utml.). Ja tas ir teorētiski iespējams (augsta riska ievainojamība), par to ir nekavējoties (pirms skenēšanas pabeigšanas) jāziņo Pasūtītājam un, vienojoties ar Pasūtītāju, ja tas ir nepieciešams, jāidentificē, vai ievainojamība rada reālus draudus sistēmā (jāveic ielaušanās mēģinājums, skat. 2.2. Papildpakalpojums).

3.4. Datorkaitniecības agrīnās brīdināšanas pakalpojums:
3.4.1. Sensora izvietošana Pasūtītāja iekštīklā, kas nodrošina:
3.4.1.1. Vismaz http, ftp, MSSQL, SIP, kā arī tftp protokolu emulāciju
3.4.1.2. Vismaz Linux un Microsoft Windows operātājsistēmu atpazīšanas moduļu emulāciju, kas nodrošina sensora resursdatora prezentēšanu iebrucējam kā drošības prasībām neatbilstošu datoru ar norādītajām operātājsistēmām.
3.4.1.3. Risinājumam jānodrošina nezināmo protokolu simulācija, izmantojot pieslēgumu pie izsaucošā resursa un atbildot tam izmantojot šādi atklāto izsaucošā resursdatora ziņojumus. Nolūkā neizsmelt pieejamos sensora tehniskos resursus, jānodrošina konfigurējams parametrs, kas dod iespēju ierobežot spoguļpieslēgumu apjomu uz izsaucošajiem resursdatoriem;
3.4.1.4. Kaitnieciskās progammatūras uztveršanu un lejupielādi, kā arīdzan automātisku nosūtīšanu kaitnieciskās programmatūras analīzes servisam;
3.4.1.5. Reģistrēto kaitniecisko darbību detalizētu žurnalēšanu relāciju datubāzē;

Pozitīvi, ka tiek pieprasīta medus poda (honeypot) izvietošana tīklā.

Avoti:
IUB: https://www.iub.gov.lv/pvs/show/240622
AM: http://www.mod.gov.lv/Papildriki/Iepirkumi.aspx?i=6&do=uza&itm=1759 [pielikums] [pielikums] [pielikums] [pielikums] [pielikums]

Follow defenselv

2012-07-30  »  edgars