1.1. Integrált informatikai biztonsági, védelmi rendszer. A szolgáltatás az alábbi területeket fedi le:

1

1.1. Integrált informatikai biztonsági, védelmi rendszer A szolgáltatás az alábbi területeket fedi le: • • • •

Központilag menedzselt vírus-, spyware és spamszőrés Web tartalomszőrı szolgáltatás Hálózati IPS Host IPS

1.1.1. Központilag menedzselt vírus-, spyware és spamszőrés

1.1.1.1.Kliensek és szerverek vírusvédelme 1.1.1.1.1. A szolgáltatási szabvány A kliensek és szerverek vírusvédelmét biztosító szolgáltatás kommunikációs modulja a felügyelet alá vont kliensek (munkaállomások és szerverek) és a központi menedzsment viszonylatában biztonságos, saját fejlesztéső http (s-http) kapcsolatra épül. A szolgáltatás központi konzolja szabványos HTTPS kapcsolaton érhetı el. A központi felügyeleti modul a frissítéseket a fejlesztı Internetes tárhelyérıl FTP illetve http protokollon tölti le. A névfeloldási szolgáltatást a Windows alaprendszer biztosítja (szabványos DNS kérések). 1.1.1.1.2. Megajánlott kapcsolat A szolgáltatást kliens- és szerveroldali szoftver-komponensekbıl kiépített, központilag menedzselt rendszerben tervezzük megvalósítani. A felügyelet alá vont klienseken és szervereken egységes, szolgáltatásokban és felépítésben is megegyezı alkalmazásokat telepítünk. Az alapszolgáltatásokon felül (vírusvédelem, anti-spyware) a szogáltatás puffer-túlcsordulás elleni védelmet és hozzáférésvédelmet is biztosít. Vírusvédelmi szolgáltatás központi felügyelete A komponens feladata az elıre megtervezett és beállított szervezeti/intézményi biztonságpolitika kialakítása, kikényszerítése és betartatása. A központi felügyeleti modul (policy szerver) egy jól méretezhetı kliens-szerver alapú menedzsment rendszer, melynek elsıdleges feladata a szervezet biztonsági szabályzatának, illetve vírusvédelmi házirendjének betartatása, valamint részletes kimutatások készítése a védelmi rendszer állapotáról. A vírusvédelmi rendszer központi egységeként biztosítja a vírusvédelmi programok eljuttatását a távoli munkaállomásokra. Egyetlen policy szerver képes százezernél is több gépet kiszolgálni, szerver- és munkaállomás oldalon is támogatja a Windows

2

2000/XP/Vista/2003/2008 Server operációs rendszeri környezetet. Azokat a víruskeresı programokat is képes menedzselni, amelyek Tivoli, SMS vagy más disztribúciós programmal kerültek a munkaállomásokra. Jellemzık: • • • • • • • • • • • • • • • • • • • •

Központosított házirend-kezelés a védelmi rendszer minden szintjén Fejlett, adatbázisra épülı naplózás (SQL 2005, SQL 2005 Express) Teljes vállalati hálózatot lefedı frissítések akár 1 órán belül (ötvenezer felhasználóig) Hordozható rendszerek továbbfejlesztett frissítése és kezelése (elutasítható frissítések) Rugalmas kialakítású, pontosan méretezhetı szoftver-telepítési keretrendszer A frissítéseket tartalmazó adatbázis (repository) tükrözése és automatikus karbantartása A leggyorsabban elérhetı frissítési forrás automatikus kiválasztása a klienseken (válaszidı alapján) Központosított szerver-házirend kezelés, több policy szerver egyidejő felügyelete Mőködésképtelen vagy már nem létezı Agent-ek automatikus eltávolítása 64-bites rendszerek támogatása (Agent oldalon) Számítógép gyorskeresı Távoli munkaállomások és szerverek vírusellenırzése Valós idejő riportok, lekérdezések Részletes grafikus vezetıi jelentések, statisztikák készítése Idızített kimutatások készítésének lehetısége Windows 2000 / 2003 / XP / Vista operációs rendszerek támogatása munkaállomásokon Macintosh kliensek támogatása (Agent) Linux kliensek támogatása (Agent) Gateway szintő vírus- és spamszőrı berendezések integrációja Mőködési és riasztási „naplók” megjelenítése vezetıi jelentések formájában

Megfelelıségi táblázat (mintakonfigurációk) Követelmény

Megfel el A menedzsment felület legyen web- Igen böngészıbıl elérhetı Többszintő, hierarchikus Igen menedzsment kialakításának lehetısége

Megjegyzés

Biztosítsa a felhasználói Igen kezelıfelületrıl elérhetı egyes funkciók vagy a kezelıfelület teljes egészének jelszóval történı lezárását.

Internet Explorer és Firefox támogatott. Teljes tartomány vagy szervezeti egységek szerint csoportosítható, elkülönített adminisztrációval. Központi zárolás, funkciók letiltása lehetséges egyedi feloldással a házirend módosításával.

3

Követelmény

Megfel el

A lezárás legyen központilag módosítható és a korlátozást egyes gépekre vagy globálisan is fel lehessen oldani A beállított házirendet akkor is Igen kényszerítse ki, ha a központi menedzsment nem elérhetı

Legyen képes a bekövetkezett Igen események riasztásait tárolni, ha a központi menedzsment nem elérhetı és továbbítani, ha a kapcsolat újra létrejött A központi menedzsment eszköz az Igen események és házirend tárolására és visszakeresési célból támogasson relációs adatbázis-kezelı rendszert Topológiának megfelelı logikai Igen elrendezés a besorolt gépek részére

Konfigurációs beállítások központi Igen kezelése grafikus felületen A központi menedzsment modul Igen támogassa vezetıi jelentések és ütemezett kimutatások elkészítését

A központi menedzsment modul Igen támogassa szerepkörökhöz rendelt adminisztrációt Távtelepítés

Igen

Legyen képes a védelem nélküli Igen gépek automatikus felderítésére

Az intézmények részére monitoring Igen lehetıség biztosítása Naponta minimum egyszeri Igen vírusadatbázis-frissítés

Megjegyzés

A házirend-másolatok alapján a telepített Agent kikényszeríti az utolsó ismert állapotnak megfelelıen. Az események kliens oldalon tárolódnak a következı kommunikációig.

Microsoft SQL Server és MS SQL Express támogatott. Directory struktúra vagy földrajzi elhelyezkedés alapján tetszıleges szerkezet alakítható ki. Web-böngészıbıl elérhetı grafikus felület. Elıre definiált és testre szabható, exportálható kimutatások a menedzselt rendszerekre és víruskeresıkre vonatkozóan. Szerepkörhöz rendelt adminisztráció, csoport szinten betekintı és szerkesztı jogokkal. A telepítést az Agent komponensek végzik. Az Agent-ek távoli telepítése többféle módszerrel megoldott. Alhálózatonként egy szenzor telepítése szükséges (a szenzor része a szoftvercsomagnak) Betekintı jogosultságú felhasználókkal megoldott. Magas fertızési veszélyt jelentı új vírus vagy téves

4

Követelmény

Megfel el

Munkanapokon naponta spamadatbázis-frissítés

egyszeri Igen

A védelmi rendszer elemei legyenek Igen további opcionális komponensekkel bıvíthetık (pl. host IPS, kliens oldali tartalomszőrı, átjáró oldali tartalomszőrı) Támogassa a technológiákat

virtualizációs Igen

Megjegyzés azonosítás esetén rendkívüli frissítés. Frissítések általában naponta többször, illetve folyamatos frissítések is rendelkezésre állnak. Letöltés ütemezés szerint. Host IPS, DLP, diszktitkosítást támogató alkalmazások, gateway spam- és vírusszőrı azonos gyártó termékei esetén bevonhatók. VMWare Server, VMWare ESX és Windows Server 2008 Hyper-V támogatott

Rendszerkövetelmények: Alkalmazás szerver Hardver • 2 GB szabad merevlemez-terület • Legalább 1 GB RAM • 32-bites processzor, Intel PIII 1 GHz vagy gyorsabb • 100 Mbps vagy gyorsabb hálózati csatlakozás • Kétszázötvennél több felügyelt PC esetén dedikált szerver • NTFS partíció • Statikus IP cím Szoftver • Windows Server 2003 Enterprise, Service Pack 2 vagy újabb • Windows Server 2003 Standard, Service Pack 2 vagy újabb • Windows Server 2003 Web, Service Pack 2 vagy újabb • Windows Server 2003 R2 Enterprise, Service Pack 2 vagy újabb • Windows Server 2003 R2 Standard, Service Pack 2 vagy újabb • Windows Server 2008 • Internet Explorer 7.0 vagy 8.0 • Firefox 3.0 Támogatott virtualizációs technikák • VMWare ESX 3.5.x • MS Virtual Server 2005 R2 SP1-gyel • Windows Server 2008 Hyper-V

5

Adatbázis szerver • SQL Server 2005 Express (a telepítı tartalmazza) • SQL Server 2005 • SQL Server 2008 Express • SQL Server 2008 Belsı hálózat védelme állomány-szinten, munkaállomások vírusvédelme

Windows

szerverek

és

Az ajánlott szolgáltatás kliens-oldali vírusvédelmi komponense (McAfee VirusScan) központilag kezelhetı, átfogó védelmi megoldást nyújt Windows alapú munkaállomásokra és szerverekre. A kiforrott, kombinált technológiákat alkalmazó és a heurisztikus üzemmódot is támogató keresımotor kevés téves riasztással és nagy biztonsággal ismeri fel a különbözı vírusokat. A keresımotor felépítése lehetıvé teszi külsı, egyedi szekvenciák beolvasását is. Ez a gyakorlatban azt jelenti, hogy az új és ismeretlen vírusok felismerésére a teljes rendszer minden eleme rövid idı alatt felkészíthetı. Jellemzık: • • • • • • • • • • • • • • • • • • • •

Tőzfal- és behatolás-megelızı (IPS) funkciók Hozzáférés-védelem: portok, alkalmazások, fájlrendszer elemeinek elrejtése Fertızött számítógépek elkülönítése a vírusok terjedésének megállítására Puffer-túlcsordulás alapú támadások elleni védelem gyakran használt alkalmazásokhoz (Word, Excel, Internet Explorer, Outlook, SQL Server...) Nemkívánatos programok elleni védelem (reklámok, tárcsázó-programok, vicces alkalmazások, kémprogramok) Megbízható víruskeresı algoritmusok Memóriában futó folyamatok ellenırzése Tömörített és archivált állományok ellenırzése Beépülı modul Lotus Notes és Outlook kliensekhez MAPI és IMAP alapú levelek vírusmentesítése JAVA és Visual Basic szkriptek futás elıtti ellenırzése (proxy-mód) Rootkit-ek elleni beépített védelemmel rendelkezik Szolgáltatásvédelme segítségével a rosszindulatú felhasználók nem képesek leállítani az alkalmazást. Munkaállomás- és szerver oldali védelem egy termékben Programok kockázati szintjének egyedi beállítása Active Directory, Terminal Services és Cluster Services (Active/Passive, Active/Active) támogatása Másodlagos tevékenységek beállítása arra az esetre, ha a vírusok tisztítása/törlése sikertelen Központosított menedzsment, központosított automatikus telepítés és frissítések az ePO segítségével Inkrementális frissítések Központosított üzenet- és riasztás-kezelés

6

• • • •

Sokrétő naplózási funkciók Windows 2000 / 2003 / XP / Vista / 2008 támogatás 32 és 64-bites operációs rendszerek támogatása 7 x 24 órás kutatás-fejlesztés a világ több pontján (AVERT)

Rendszerkövetelmények: Kliens oldal Támogatott operációs rendszerek: • Windows 2000 Professional SP4 • Windows XP Home Edition, SP1, SP2, SP3 • Windows XP Professional, SP1, SP2, SP3 • Windows XP Tablet PC Edition, SP3 • Windows Vista Home Basic • Windows Vista Home Premium • Windows Vista Business • Windows Vista Enterprise • Windows Vista Ultimate Hardver: • Intel Celeron / Pentium CPU, legalább 350 Mhz • Legalább 256 MB RAM • Teljes installációhoz (minden komponens, beleértve a visszaállító-területeket is) 240 MB merevlemez-terület. Egyéb szoftver-komponensek: • Internet Explorer 5.5 vagy újabb böngészı • MSI 3.1 vagy újabb verzió (telepítés) Szerver oldal Támogatott operációs rendszerek: • Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 DataCenter Server • Windows Server 2003 Standard, Enterprise, Web Edition • Windows Server 2003 R2 Standard, Enterprise, Web Edition • Windows Server 2003 R2 Datacenter Edition • Windows Storage Server 2003 • Windows Server 2008, Windows Server 2008 Datacenter, Windows Server Core 2008 Hardver: • Intel Celeron / Pentium CPU, legalább 1 Ghz • Legalább 256 MB RAM • Teljes installációhoz (minden komponens, beleértve a visszaállító-területeket is) 240 MB merevlemez-terület.

7

Egyéb szoftver-komponensek: • Internet Explorer 5.5 vagy újabb böngészı • MSI 3.1 vagy újabb verzió (telepítés) Megfelelıségi táblázat (mintakonfigurációk) Követelmény Megfelel Teljes körő hálózati védelem az Igen intézmények által igényelt darabszám ú felhasználói licenccel, a szerzıdés végéig tartó szoftverkövetéssel

ICSA Labs minısítés

Igen

Virus Bulletin 100% minısítés

Igen

A szerverek fájlszintő vírusvédelme a Igen következı szerver platformokon: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 DataCenter Server Windows Server 2003 Standard, Enterprise, Web Edition Windows Server 2003 R2 Standard, Enterprise, Web Edition Windows Server 2003 R2 Datacenter Edition Windows Storage Server 2003 Windows Server 2008, Windows Server 2008 Datacenter Windows Server Core 2008 Kliensoldali fájl- és levelezésvédelem Igen a következı platformokra:

Megjegyzés Az ajánlott szolgáltatás egységes felügyeleti konzolból központilag kezelhetı vírus-, spyware- és spamszőrést biztosít elosztott struktúrában, átjáró szinten és a hálózat felhasználói végpontjain. A szolgáltatás megvalósításához használt szoftveres végponti infrastruktúra elemek rendelkeznek az ICSA Labs Corporate szintő minısítésével. A szolgáltatás megvalósításához használt szoftveres végponti infrastruktúra elemek és az átjáró szintő eszközökben alkalmazott keresımotorok, víruskeresı algoritmusok rendelkeznek Virus Bulletin 100% minısítéssel. A vírusvédelmi rendszer szerver-oldali komponensei a felsorolt operációs rendszereket támogatják.

A vírusvédelmi rendszer szerver-oldali komponensei a

8

Követelmény Windows 2000/XP/Vista, Linux

Megfelel

Biztosítsa a káros tartalmak kombinált Igen technológiákon alapuló szőrését és elkülönítését

A hagyományos védelmi Igen mechanizmusokon túlmenıen (heurisztikus és szignatúra alapú víruskeresı) kliens és szerver oldalon rendelkezzen az összetett fenyegetések ellen további védelmi lehetıségekkel, önvédelmi mechanizmusokkal, szándékos vagy véletlen leállítás elleni védelemmel (Windows alatt) Biztosítsa az ismeretlen vagy Igen nemkívánatos folyamatok mőködésének korlátozását

Interaktív felhasználói kezelıfelület Igen nélküli mőködési mód támogatása.

Folyamatok ellenırzése kockázati Igen besorolásuk szerint, háttértárak tartalmának ütemezett vizsgálata ellenırzési profilok alapján

Kézi,

automatikus

és

idızített Igen

Megjegyzés felsorolt operációs rendszereket támogatják A víruskeresı motorok többféle technológiával, részben vírus-definíciós szignatúrákon alapuló módszerrel valamint makróés program heurisztika segítségével derítik fel az ismert vírusokat és azok variánsait. Windows környezetben a víruskeresıbe integrált Host IPS jellegő funkció véd az ismeretlen kártevık ellen A víruskeresı programok folyamatainak leállítását, kilövését, a komponensek lecserélését vagy beállításainak módosítását külön szabályrendszer alapján lehet korlátozni.

Az ismeretlen folyamatok esetleges káros hatása a kommunikációs portok, registry és fájl-hozzáférések szabályozásával korlátozható. A program mőködése a nem privilegizált felhasználók elıl a program elrejthetı, eltávolítása letiltható. Az operációs rendszeri és felhasználói folyamatokat Windows alatt kockázati csoportokba lehet sorolni. Az egyes csoportokba tartozó folyamatokra és az általuk használt állományokra eltérı szabályrendszer állítható be. A háttértárak tartalmát ellenırzési profilok szerint lehet vizsgálni (pl. teljes vizsgálat, gyorsteszt, futó folyamatok, registry) Lehetıség van egyes

9

Követelmény víruskeresés

Megfelel

Központi szabályrendszer alapú Igen karantén-kezelés, elemek újraellenırzése, visszaállítása

Biztosítsa a Windows kritikus Igen állományainak, és regisztrációs adatbázisának védelmét

Automatikusan ütemezett és manuális Igen frissítés lehetısége

Virtualizációs megoldások támogatása

Igen

Támogasson magas rendelkezésre Igen állást biztosító technológiákat szerveroldalon Tömörített, archivált és titkosított Igen állományok ellenırzésének lehetısége

Elıre definiált automatikus Igen válaszlépések a felismert káros tartalmak kezelése során Nemkívánatos alkalmazások elleni Igen védelem

Megjegyzés állományok vizsgálatára (környezetérzékeny menübıl), valós idejő hozzáféréskori ellenırzésre illetve a lemezen tárolt állományok üzemezett vizsgálatára. A lokális karanténba került állományokat új keresımotor vagy definíciós állomány kiadása után újra lehet ellenırizni és a karanténból fel lehet szabadítani. Elıre definiált hozzáférés védelmi sablonok a Windows állományok és egyes registry kulcsok / területek védelmére. További felhasználói sablonok is elkészíthetık. Elıre definiált automatikus frissítési folyamat (napi), azonnali frissítés lehetıségével, több forrásból. A szoftverek telepíthetık VMWare Server / ESX, illetve Windows Hyper-V környezetben futó host-ra, illetve elıre definiált szabályrendszerrel rendelkeznek a VMWare host-ok állományainak és folyamatainak védelmére. Windows 2003 Cluster környezet támogatott. Folyamatosan fejlesztett képességek a röptömörítıkkel készült végrehajtható állományok, archiváló programcsomagok (ARJ, ZIP, RAR) állományainak vizsgálatára. MIME kódolt állományok ellenırzése. Tisztítás, törlés, hozzáférés megtagadása. Külön szabályrendszer definíciós minták

és a

10

Követelmény

Megfelel

MS Office alkalmazások védelme: Igen Word, Excel, Outlook, Access, PowerPoint

MS Outlook postafiókok Igen hozzáféréskori és ütemezett vizsgálata Windows Security Center támogatása

Igen

Megjegyzés nemkívánatos programok (jelszótörık, távelérést támogató programok, kémprogramok, reklámprogramok, billentyőleütéseket naplózó alkalmazások) ellen. Az alkalmazások által használt fájl-formátumok támogatottak (makróellenırzés), az alkalmazások folyamatai magas kockázati besorolású csoportba tartoznak, és külön szabályrendszer érvényesíthetı rájuk. A vizsgálat az Outlook kezelıfelületén igény szerint is kikényszeríthetı. A program állapotát a Windows a Security Centeren keresztül képes lekérdezni.

Linux rendszerek vírusvédelme A megoldáshoz integrálható, Linux alapú rendszerekhez illeszkedı modul (VirusScan Enterprise for Linux) modulja biztosítja az enterprise Linux alapú operációs rendszert futtató szerverek és munkaállomások valós idejő vírusvédelmét. A víruskeresı technológia, keresımotor és definíciós állományok megegyeznek a Windows rendszereken használt modulokkal. Az alkalmazás web-es kezelıfelületen keresztül érhetı el, és integrálható a központosított felügyeleti konzollal is. Tulajdonságok • Hozzáféréskori ellenırzés és tisztítás • Automatikus vírus-adatbázis frissítések • Inkrementális frissítések támogatása • Helyi ellenırzés, NFS és Samba megosztások vizsgálata • Ütemezett on-demand scan lehetısége • Grafikus és parancssori felület • Heurisztikus vírusellenırzés • Tömörített és archivált állományok ellenırzése • ePolicy Orchestrator támogatás • VMWare és Xen támogatás

11

Támogatott operációs rendszerek • Novell Linux Desktop 9 • Red Hat Enterprise 2.1 Workstation, • Red Hat Enterprise 3.0 Workstation • Red Hat Enterprise 4.0 Workstation • Red Hat Enterprise 5.0 Desktop • SuSE Linux Enterprise Desktop 10 Hardver: • Intel Pentium CPU, legalább 1 Ghz • Legalább 256 MB RAM • Teljes installációhoz 200 MB merevlemez-terület.

1.1.1.1.2.1.Host IPS Mintakonfigurációk A mintakonfigurációk a szolgáltatás csomagoknak a kiírásnak mindenben megfelelı változatai. A mintakonfigurációk megvalósításának feltételeit az Installáció, migráció fejezetben foglaltuk össze. 1.1.1.1.2.1.1. Konfig 1 • •

•

Szoftver komponensek: McAfee Active VirusScan, McAfee AntiSpyware Enterprise (McAfee VirusScan Enterprise, ePolicy Orchestrator, AntiSpyware Enterprise) 500 felhasználóra, Windows Server 2008 Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, pilot telepítés 10 végpontra. 1.1.1.1.2.1.2. Konfig 2

• •

•

Szoftver komponensek: McAfee Active VirusScan, McAfee AntiSpyware Enterprise (McAfee VirusScan Enterprise, ePolicy Orchestrator, AntiSpyware Enterprise), Windows Server 2008 Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, pilot telepítés 10 végpontra.

12

1.1.1.1.2.1.3. Konfig 3 • • •

•

Szoftver komponensek: McAfee Active VirusScan, McAfee AntiSpyware Enterprise (McAfee VirusScan Enterprise, ePolicy Orchestrator, AntiSpyware Enterprise), Windows Server 2008 Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, pilot telepítés 10 végpontra. 1.1.1.1.3. Installáció, migráció

Elıfeltételek a Konfig 1, 2, 3 megvalósíthatóságához: • • • • • • • • • • •

megrendelı által biztosított, az utolsó ismert állapotnak megfelelı felmért, dokumentált (architektúra rajz, hálózati ábra, rack-tervek, bekötési rajz) hibamentesen mőködı környezet Tápellátás Hőtés Hálózati csatlakozás IP cím, névkonvenciónak megfelelı és az implementáció elıtt átadott gépnév és tartomány információk, megfeleı port duplexitás A kliensek és a központi menedzsment szerver közötti kommunikációt lehetıvé tévı tőzfal-szabályok implementálása A központi menedzsment frissítéseit lehetıvé tévı tőzfal-szabályok implementálása DNS és NTP szolgáltatás biztosítása Tartományi beléptetés AD szinkronizációhoz szükséges adatok átadása. Az integráció során meglévı megoldás migrációját nem végezzük el, új rendszert építünk

A mintakonfigurációban foglalt integrációs feladatok: • Felmérés, tervezés • Telepítés, központi komponensek integrációja • Oktatás • Tesztelés Az integráció során elkészül az alap operációs rendszer, a központi menedzsment felület és adatbázis, a frissítéseket végzı ütemezett folyamatok, alap házirendkészlet és a kliensek telepítéséhez szükséges csomagok telepítése. A mintakonfigurációhoz kapcsolódóan rendszerterv, megvalósulási dokumentáció, oktatási terv, tesztelési terv, oktatási tematika NEM készül. A

13

mintakonfigurációk nem fedik le a teljes rendszer minden komponensének finomhangolását illetve az összes végpont bevonását.

1.1.1.1.3.1.Szolgáltatáscsomagok 1.1.1.1.3.1.1. EKG Node vírus 500 A szolgáltatás-csomag tartalmazza a megoldás kialakításához szükséges szoftverkomponenseket 500 felhasználóra a szolgáltatási idıszakra, a magas rendelkezésre állást biztosító hardvert a menedzsment szerver oldalon, valamint azokat a szolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. • • • • • • • • • • •

Kliens- és szerver-oldali vírus- és spyware védelmi komponensek Központi menedzsment modul Alap operációs rendszer Adatbázis-kezelı Részletes felmérés, tervezés AV szabályrendszer kialakítás Dokumentálás (rendszerterv és megvalósulási dokumentáció) Finomhangolás, riportok testre szabása Üzemeltetési dokumentáció készítése Vezetıi jelentések kialakítása, testre szabása Felhasználói oktatás

1.1.1.1.3.1.2. EKG Node vírus 1000 A szolgáltatás-csomag tartalmazza a megoldás kialakításához szükséges szoftverkomponenseket 1000 felhasználóra a szolgáltatási idıszakra, a magas rendelkezésre állást biztosító hardvert a menedzsment szerver oldalon, valamint azokat a szolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. • • • • • • • • • •

Kliens- és szerver-oldali vírus- és spyware védelmi komponensek Központi menedzsment modul Alap operációs rendszer Adatbázis-kezelı Részletes felmérés, tervezés AV szabályrendszer kialakítás Dokumentálás (rendszerterv és megvalósulási dokumentáció) Finomhangolás, riportok testre szabása Üzemeltetési dokumentáció készítése Vezetıi jelentések kialakítása, testre szabása

14

•

Felhasználói oktatás 1.1.1.1.3.1.3. EKG Node vírus 2500

A szolgáltatás-csomag tartalmazza a megoldás kialakításához szükséges szoftverkomponenseket 2500 felhasználóra a szolgáltatási idıszakra, a magas rendelkezésre állást biztosító hardvert a menedzsment szerver oldalon, valamint azokat a szolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. • Kliens- és szerver-oldali vírus- és spyware védelmi komponensek • Központi menedzsment modul • Alap operációs rendszer • Adatbázis-kezelı • Részletes felmérés, tervezés • AV szabályrendszer kialakítás • Dokumentálás (rendszerterv és megvalósulási dokumentáció) • Finomhangolás, riportok testre szabása • Üzemeltetési dokumentáció készítése • Vezetıi jelentések kialakítása, testre szabása Felhasználói oktatás 1.1.1.1.4. Átvételi teszt Az átvételi teszt során az alábbi feladatokat végezzük el: • kezelıfelület elérése, bejelentkezés • szoftverfrissítések automatikus letöltésének ellenırzése • manuális frissítések letöltése • kimutatások elkészítése (adatbázis kapcsolat) • házirend kikényszerítése a klienseken • Agent komponens távoli telepítése • Víruskeresı komponens távoli telepítése • Riasztás továbbítása a központi komponens felé

1.1.1.1.5. Rendszerfelügyelet, hibabejelentés és hibajavítás A kliens- és a szerver-oldali vírusvédelmi rendszer felügyeleti funkcióit a központi menedzsment szerver modul látja el. A rendszerbıl érkezı riasztások közvetlenül az üzemeltetıkhöz futnak be, ezek jellemzıen vírus-, spyware és IPS riasztások. A felügyeleti rendszer jelzései alapján a Megrendelı üzemeltetésért felelıs munkatársai az Ajánlati dokumentáció általános hiba bejelentési eljárása szerint

15

jelentik be az eseteket, a Vállalkozó az ajánlati dokumentáció általános hibajavítási leírása szerint kezeli az eseteket. 1.1.1.1.6. Tervezett karbantartás A tervezett karbantartások keretében évente két alkalommal elvégezzük a központi felügyeleti modul javítócsomagjainak telepítését és a rendszer általános felülvizsgálatát. A karbantartás keretében az alap operációs rendszert nem frissítjük, ez az intézményi üzemeltetési gyakorlattal összhangban történik a rendszer átadása után. 1.1.1.1.7. Teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% A mintakonfigurációk esetében magas rendelkezésre állást biztosító hardver elemek nincsenek, cluster-t vagy failover megoldásokat nem biztosítunk. A rendszer kapacitását elsısorban a kliensekrıl érkezı események száma és kliensek száma együttesen határozza meg, mivel az alapértelmezett adatbázis méret 4 GB. 1.1.1.1.8. Szolgáltatási jelentések A központi felügyeleti modul segítségével az alábbi jelentéseket készítjük el a Megrendelı igénye szerint ütemezetten vagy meghatározott idıpontokban: • lefedettség, rendszerbe bevont eszközök száma, típusa • víruskeresı programok állapota, megfelelıségi jelentés • események száma, típusa, válaszlépések • Top 10 kimutatások • védelem nélküli gépek listája • víruskeresı programok verziói, keresımotor és definíciós állományok eloszlása A további jelentéseket az ajánlati dokumentáció általános „Szolgáltatási jelentések” címő leírása nevezi meg.

1.1.1.1.9. Szolgáltatási színvonal A Vállalkozó által nyújtott szolgáltatás minıségi bemutatását az ajánlati dokumentáció általános „Szolgáltatási színvonal” címő leírása tárgyalja. 1.1.1.1.10. Dokumentálási eljárások

16

A mintakonfigurációk implementálása során elkészülı dokumentáció: ütemterv, ellenırzılista, teszt- és átadás—átvételi jegyzıkönyv. 1.1.1.1.11. Rendszermentési, feldolgozási és napló-mentési eljárások A rendszer mentése adatbázis-szinten történik. A mentés során az adatbázis teljes tartalma mentésre kerül. A mentett állományokat az intézményi üzemeltetési gyakorlatnak megfelelıen archiváljuk. A mentés típusa: file, a mentést ütemezetten naponta végezzük. A mentett állományokat külsı fájlrendszer irányába másoljuk archiválás céljából. Megtartási idı: lokálisan 15 nap.

1.1.1.2.Átjáró szintő spam- és vírusvédelmi megoldás

1.1.1.2.1. A szolgáltatási szabvány A szolgáltatás SMTP és POP3 protokollokban végez spam-, vírus- és spyware szőrést. A szolgáltatás nyújtására használt berendezések megfelelnek az RFC szabványoknak. A szolgáltatás kezelıfelülete szabványos HTTPS protokollon keresztül érhetı el. A szolgáltatást nyújtó berendezések http, FTP protokollon érik el a vírus- és spam definíciós frissítéseket. A névfeloldást és idıszinkron szolgáltatást szabványos DNS és NTP kérésekkel veszik igénybe. A külsı naplórendszerek irányába a szolgáltatás szenzorai UDP protokollon továbbítanak logokat. 1.1.1.2.2. Megajánlott kapcsolat A szolgáltatás alapvetıen három fı komponensbıl áll: • szőrı: McAfee EWS 3000 appliance • központi felügyelet és riportok: ePolicy Orchestrator • központi karantén: opcionális külsı karantén szerver Szőrı: McAfee EWS 3000 appliance Az Email and Web Security (EWS) appliance a McAfee Security üzleti egységének kombinált, hardverrel és rendszerszoftverrel együtt szállított gateway oldali antivírus, tartalom- és spam védelmi berendezése. Az eszköz legfontosabb elınye az integráltságból fakad: nincs szükség kiegészítı hardverre vagy operációs rendszerre, a csomag a hardvert, megerısített és a hardverhez hangolt nyílt forráskódú operációs rendszert, annak frissítéseit és a vírus- valamint spamszőrı egységeket is tartalmazza. Az eszköz tartalomszőrési lehetıségei biztosítják a beérkezı üzenetek és csatolt állományok szinte teljes körő szőrését és elkülönítését. Az üzenetek tárgya, szövege, a csatolt állományok

17

neve és a szöveges fájlok tartalma is ellenırizhetı a beállított tiltott szavaknak vagy kifejezéseknek megfelelıen. Fontosabb tulajdonságok: • Integrált, átjáró szintő megoldás • Appliance kivitel • Megerısített, csak a szükséges szolgáltatásokat futtató nyílt forráskódú operációs rendszer (Bastille Red Hat Linux) • Vírus-, spam-, phishing és spyware szőrés • Heurisztikus vírusvizsgálat, dokumentumok beágyazott objektumainak ellenırzése • Tömörített és archivált állományok ellenırzése, DoS támadás elleni védelemmel • Automatikus, inkrementális vírusadatbázis és víruskeresı motor frissítés, valamint anti-spam frissítések • SMTP, FTP, HTTP, POP3 protokolok ellenırzése • A forgalomban felismert fertızések és csatolt állományok automatikus tisztítása • Részletes naplóállományok az üzemeltetés támogatására • Grafikus vezetıi jelentések • Integrálható a McAfee központi felügyeleti rendszerével (ePolicy Orchestrator) • Spamszőrés SpamAssassin technológiájú motorral • Testre szabható spamszőrı súlyozási rendszer (pontozás) • Elıre definiált, automatikusan frissülı szabályrendszer (egyedi szabályok is hozzáadhatók) • Integritás-analizálás: megvizsgálja az email üzenet fejlécét, elrendezését és szerkezetét (pattern matching) • Proaktív heurisztikus detektálás: spam beazonosítási tesztek elvégzése révén • Tartalomszőrés: kulcsszavak alapján • Engedélyezı és tiltólisták, real-time blackhole list használata, kivétel-listák kezelése • Külön kimenı és bejövı levelekre vonatkozó szabályrendszer • LDAP integráció, személyekre és csoportokra bontott szabályrendszer kialakításának lehetısége • Anti-relay funkciók • Központi és felhasználói karantén • Kiterjesztett web tartalomszőrés (opció) • Zero Day protection: 24 órás folyamatos fejlesztıi támogatás, víruslaboratóriumok a világ több pontján, stratégiai együttmőködés spam- és tartalomszőrésre szakosodott szervezetekkel • Email Compliance modul: szőrési szabályok a HIPAA, GLBA, SOX és EU direktívák alapján a személyes információk védelmére • Magas rendelkezésre állású illetve terhelés-elosztott módban mőködı rendszer megvalósítható külön komponensek nélkül, a terhelés-osztást a rendszerszoftver biztosítja (két vagy több készülék esetén)

18

• •

Többféle integrálási mód (transzparens bridge és router vagy proxy) Az eszköz távolról SSH és web felületen is elérhetı

Az ajánlott rendszerben a biztonságos mőködést több mőszaki megoldás együttes alkalmazásával érik el. Az egymásra épülı rétegekkel biztonságosan üzemeltethetı megoldás alakítható ki. Az alap kiépítés az alábbi biztonsági szolgáltatásokat nyújtja: • • • • • • • • • • • •

Az alkalmazások alapját jelentı operációs rendszerek megerısített, csak a szükséges szolgáltatásokat futtató rendszerek. A rendszerbe elindítás után root jogosultsággal nem lehet bejelentkezni. Root jogosultsággal történı bejelentkezést követıen 3 perc inaktivitás után a konzol (helyi vagy távoli) kilépteti a felhasználót. Az operációs rendszer szinten beállított root bejelentkezési jogot a rendszer újraindítása után alapállapotba hozza (letiltja). A távoli bejelentkezés csak HTTPS illetve SSH csatornán lehetséges. A HTTPS kapcsolatban 15 perc inaktivitás után a felügyeleti tevékenység csak a jelszó ismételt megadásával folytatható. SSH hozzáférést csak szerviz felhasználó számára biztosít a rendszer. Az SSH hozzáférés forrás IP-hez köthetı. A kezelıfelület elérése szerepkörhöz köthetıen korlátozható (betekintı és módosításra is jogosító hatáskörök. Az egyes bejelentkezéseket a rendszer naplózza. A naplóbejegyzések a berendezésen és külsı naplószerveren is tárolhatók (egyidıben). Házirend szintő szabályozás: a berendezések önvédelmi mechanizmusai megakadályozzák, hogy az eszköz túlterhelésével kompromittálható legyen a vírusvédelmi rendszer (DoS támadások elleni védelem).

Központi felügyelet és riportok: ePolicy Orchestrator A modul leírása és rendszerkövetelményei a dokumentum 1.6.1.1.2-es fejezetében olvasható. Felhasználói karantén A spam- és vírusszőrı berendezések számára biztosít központi területet a spamés tartalomszőrı szabályok alapján nemkívánatosnak minısített üzenetek tárolására. Az eszköznek nem célja a spam azonosítása, de kezelıfelületet biztosít az üzenetek rendszerezésére és utófeldolgozására, beleértve az esetleg tévesen spamként azonosított üzeneteket is. • • •

Nemkívánatos elemek kezelése Egyes domain-ekhez rendelhetı adminisztrátori hozzáférés, adminisztráció Egyedi címekhez tartozó hozzáférés (LDAP integráció)

csoport

19

• • • • • • •

A beállítások központi tárolása és kikényszerítése ePolicy Orchestrator-on keresztül Active Directory vagy Lotus Domino címtár integráció Felhasználói fehér- és feketelisták kezelése Karanténkezelési feladatok: üzenetek továbbítás, továbbküldés elemzésre Központosított és egyedi megtartási idık beállítása Összesítı üzenetek a karanténba érkezett levelekrıl Támogatott operációs rendszer és adatbázis: Windows 2003, SQL 2005

A mintakonfigurációkban megadott spam- és vírusszőrı szolgáltatás elvi sémája Megfelelıségi táblázat (mintakonfigurációk) Követelmény

Megfelel Megjegyzés Internetes levelezésben terjedı káros tartalmak Igen A szolgáltatás megvalósításához átjáró szintő, platform-független védelmének használt eszközök appliance biztosítása többféle technológiát alkalmazó víruskivitelőek, bármely, SMTP-t támogató és spamszőrıvel levelezési rendszerben implementálhatóak. A védelem többszintő, szignatúra alapú víruskeresıt, spamszőrıt és hálózati típusú védelmi metódusokat is tartalmaz Tartalmazzon több, különbözı technológiára Igen Szürkelista, RBL támogatás, és / vagy épülı spamszőrési metódust

20

Követelmény

Megfelel Megjegyzés reputation filter, szignatúra alapú szőrés, kézi feketelisták LDAP integrált konfigurálhatóság Igen Igen, szabványos LDAP és Active Directory támogatott Házirend alapú mőködés Igen IP cím, címtartomány, címtár csoport, email cím alapján külön be- és kimenı irányra definiálható. Többszintő adminisztráció támogatása Igen Szerepkörhöz rendelt adminisztráció. Külsı naplózási és napló-elemzı rendszerek Igen Syslog és Syslog-NG támogatott. támogatása Rendelkezzen az összetett fenyegetések ellen további védelmi lehetıségekkel, önvédelmi mechanizmusokkal

Legyen képes a kapcsolatok forrása alapján elıszőrést végezni és a nemkívánatos forgalmat még az üzenetek átvétele elıtt osztályozni vagy elutasítani

Támogassa technológiákat

a

Igen

Igen

virtualizációs Igen

Támogasson magas rendelkezésre állást biztosító technológiákat

Igen

Támogassa vezetıi jelentések és ütemezett kimutatások elkészítését

Igen

Legyen képes együttmőködni a kliens oldali vírusvédelmi rendszer menedzsment konzoljával

Igen

Legyen képes a kliensek által összeállított fehérés feketelisták kezelésére

Igen

Támogasson külsı, a felhasználók által is elérhetı karantén szolgáltatást

Igen

DoS típusú támadások elleni védelem, méret- és címzett-szám szerinti korlátozások, archívumok mélységének ellenırzése, maximált ellenırzési idı. RBL és szürkelista, és/vagy gyártói reputation filter szolgáltatás aktiválható. A szőrési szolgáltatást biztosító rendszerszoftver VMWare környezetben is elérhetı. Kialakítható konfigurációs és HA cluster, külsı terhelés-elosztás támogatott, illetve egyes kialakítási módoknál saját terhelés-elosztás is rendelkezésre áll. Elıre elkészített kimutatások rendelkezésre állnak, ezek többféle formátumba exportálhatók. Azonos gyártói platform esetén az Agent komponens aktiválása esetén a kapcsolat biztosított. A felhasználók saját fehér- és feketelistákat állíthatnak össze, ha a külsı karantén szolgáltatás is engedélyezett. Külsı spam karantén támogatott.

1.1.1.2.2.1.Mintakonfigurációk A mintakonfigurációk a szolgáltatás csomagoknak a kiírásnak mindenben megfelelı változatai. A mintakonfigurációk megvalósításának feltételeit az Installáció, migráció fejezetben foglaltuk össze.

21

• •

• •

1.1.1.2.2.1.1. Konfig 4 Szenzor: McAfee EWS 3000 Appliance (1U magas rack-be építhetı szerver) Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Szoftver: Microsoft Windows Server 2008, McAfee ePolicy Orchestrator Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, alap házirend kialakítása. 1.1.1.2.2.1.2. Konfig 5

• •

• •

Szenzor: McAfee EWS 3000 Appliance (1U magas rack-be építhetı szerver) Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Szoftver: Microsoft Windows Server 2008, McAfee ePolicy Orchestrator Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, alap házirend kialakítása. 1.1.1.2.2.1.3. Konfig 6

• •

• •

Szenzor: McAfee EWS 3000 Appliance (1U magas rack-be építhetı szerver) Management szerver: DELL R200 1 unit magas rack-be építhetı szerver (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, DVD-ROM, 3 év garancia Szoftver: Microsoft Windows Server 2008, McAfee ePolicy Orchestrator Alapszintő tervezés, központi komponensek implementációja, implementáció közben végzett oktatás, alap házirend kialakítása.

Összefoglaló táblázat a minta-konfigurációkhoz: Paraméter Szenzor Hálózati csatlakozás Kezelt SMTP üzenetek száma Teljesítmény-felvétel Méret Felépítése Management szerver Hálózati csatlakozás

Érték 2 db 10/100/1000 Ethernet 10000 / óra 450 W 4.4 x 48 x 62 cm 1U magas, rack 2 db 10/100/1000 Ethernet

22

Teljesítmény-felvétel Méret Felépítése CPU RAM HDD

345 W 4.4 x 44 x 54 cm 1U magas, rack Intel Xeon 2.4 Ghz 1 GB 250 GB

A mintakonfiguráció email szőrési teljesítménye felhasználó-számban nem korlátozott, de a továbbított SMTP üzenetek száma maximum 10000 email / óra, a kifelé és befelé irányban küldött üzeneteket és a beérkezı spam üzeneteket is figyelembe véve. 1.1.1.2.3. Installáció, migráció Elıfeltételek a Konfig 4, 5, 6 megvalósíthatóságához: • Megrendelı által biztosított, az utolsó ismert állapotnak megfelelı felmért, dokumentált (architektúra rajz, hálózati ábra, rack-tervek, bekötési rajz), hibamentesen mőködı környezet • Tápellátás • Hőtés • Hálózati csatlakozás • IP cím, névkonvenciónak megfelelı és az implementáció elıtt átadott gépnév és tartomány információk, port duplexitás • A szenzor és a központi menedzsment szerver közötti kommunikációt lehetıvé tévı tőzfal-szabályok implementálása • A központi menedzsment frissítéseit lehetıvé tévı tőzfal-szabályok implementálása • Az eszközök közvetlen Internet csatlakozását biztosító tőzfal-szabályok implementálása • DNS és NTP szolgáltatás biztosítása • SMTP routing, IP routing információk átadása • AD/LDAP szinkronizációhoz szükséges adatok átadása. • Meglévı rendszer migrációját nem végezzük el, új rendszert alakítunk ki A mintakonfigurációban foglalt integrációs feladatok: • Alapszintő felmérés, tervezés • Telepítés, központi komponensekés szenzor integrációja • Oktatás • Tesztelés Az integráció során elkészül az alap operációs rendszer, a központi menedzsment felület és adatbázis, a frissítéseket végzı ütemezett folyamatok, alap házirendkészlet és a szenzorok telepítése illetve alapbeállítása. A mintakonfigurációhoz kapcsolódóan rendszerterv, megvalósulási dokumentáció, oktatási terv, tesztelési terv, oktatási tematika NEM készül. A

23

mintakonfigurációk nem fedik le a teljes rendszer minden komponensének finomhangolását illetve az összes végpont bevonását. A mintakonfiguráció email szőrési teljesítménye felhasználó-számban nem korlátozott, de a továbbított SMTP üzenetek száma maximum 10000 email / óra, a kifelé és befelé irányban küldött üzeneteket és a beérkezı spam üzeneteket is figyelembe véve.

1.1.1.2.3.1.Szolgáltatás csomagok 1.1.1.2.3.1.1. EKG Mailfilter 500 A szolgáltatás magas rendelkezésre állást biztosít a hardver környezet üzembiztonságának emelésével (eszköz szintő és/vagy architektúrális redundancia), valamint biztosítja a felhasználói karantén területeket egy magas rendelkezésre állást nyújtó különálló külsı hardver-eszközön. A csomag tartalmazza azokat a szolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. Biztosított szolgáltatások: • • • • • • • • • • • • •

A szolgáltatás idıtartamára érvényes felhasználói licenc 500 felhasználóra SMTP forgalomban terjedı káros tartalmak átjáró szintő, platform-független védelmének biztosítása többféle technológiát alkalmazó vírus- és spamszőrıvel Több, különbözı technológiára épülı spamszőrési metódust támogat (szignatúra, reputation) LDAP / AD integráció, házirend illesztésre illetve az érvénytelen címre érkezı üzenetek elutasítására Házirend alapú mőködés (mail domain, cím, LDAP csoport és számos egyéb feltétel alapján) Szerepkörhöz rendelt adminisztráció Külsı naplószerver és naplóelemzı rendszer támogatása, TCP és UDP syslog Összetett fenyegetések elleni védelem, zero day protection, önvédelmi mechanizmusok (méret, címzettek száma, archívumok mélységének korlátozása, ismeretlen vírusok újraellenırzése) Forráscím alapú elıszőrés, a szőrési szolgáltatás és a mögöttes infrastruktúra tehermentesítése Konfigurációs és terhelés-elosztást biztosító cluster kialakításának lehetısége, magas rendelkezésre állás Beépített kimutatások és jelentések Saját fehér- és feketelisták kezelése Felhasználói külsı karantén biztosítása

24

• • • • • • • • • • •

Magas rendelkezésre állást biztosító központi menedzsment modul és karantén Magas rendelkezésre állást biztosító szőrı-berendezés HA cluster vagy külsı terhelés-elosztással kialakított failover Részletes felmérés, tervezés; Antivírus és anti-spam szabályrendszer kialakítás, finomhangolás Szőrı házirend csoportok kialakítása rendszerterv és megvalósulási dokumentáció elkészítése HA tervezés és kialakítás LDAP integráció tervezés és kialakítás szabályrendszer-illesztéshez Külsı karantén tervezés és kialakítás Felhasználói oktatás

1.1.1.2.3.1.2. EKG Mailfilter 1000 A szolgáltatás magas rendelkezésre állást biztosít a hardver környezet üzembiztonságának emelésével (eszköz szintő és/vagy architektúrális redundancia) biztosítja, valamint biztosítja a felhasználói karantén területeket egy magas rendelkezésre állást nyújtó különálló külsı hardver-eszközök. A csomag tartalmazza azokat az alapszolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. Biztosított szolgáltatások: • • • • • • • • • • •

A szolgáltatás idıtartamára érvényes felhasználói licenc 1000 felhasználóra SMTP forgalomban terjedı káros tartalmak átjáró szintő, platform-független védelmének biztosítása többféle technológiát alkalmazó vírus- és spamszőrıvel Több, különbözı technológiára épülı spamszőrési metódust támogat (szignatúra, reputation) LDAP / AD integráció, házirend illesztésre illetve az érvénytelen címre érkezı üzenetek elutasítására Házirend alapú mőködés (mail domain, cím, LDAP csoport és számos egyéb feltétel alapján) Szerepkörhöz rendelt adminisztráció Külsı naplószerver és naplóelemzı rendszer támogatása, TCP és UDP syslog Összetett fenyegetések elleni védelem, zero day protection, önvédelmi mechanizmusok (méret, címzettek száma, archívumok mélységének korlátozása, ismeretlen vírusok újraellenırzése) Forráscím alapú elıszőrés, a szőrési szolgáltatás és a mögöttes infrastruktúra tehermentesítése Konfigurációs és terhelés-elosztást biztosító cluster kialakításának lehetısége, magas rendelkezésre állás Beépített kimutatások és jelentések

25

• • • • • • • • • • • • •

Saját fehér- és feketelisták kezelése Felhasználói külsı karantén biztosítása Magas rendelkezésre állást biztosító központi menedzsment modul és karantén Magas rendelkezésre állást biztosító szőrı-berendezés HA cluster vagy külsı terhelés-elosztással kialakított failover Részletes felmérés, tervezés; Antivírus és anti-spam szabályrendszer kialakítás, finomhangolás Szőrı házirend csoportok kialakítása rendszerterv és megvalósulási dokumentáció elkészítése HA tervezés és kialakítás LDAP integráció tervezés és kialakítás szabályrendszer-illesztéshez Külsı karantén tervezés és kialakítás Felhasználói oktatás

1.1.1.2.3.1.3. EKG Mailfilter 2500 A szolgáltatás magas rendelkezésre állást biztosít a hardver környezet üzembiztonságának emelésével (eszköz szintő és/vagy architektúrális redundancia) biztosítja, valamint biztosítja a felhasználói karantén területeket egy magas rendelkezésre állást nyújtó különálló külsı hardver-eszközök. A csomag tartalmazza azokat az alapszolgáltatásokat, amelyek a rendszer bevezetéséhez egy átlagosnál összetettebb vagy nem kellıen dokumentált környezetben szükségesek. Biztosított szolgáltatások: • • • • • • • • •

A szolgáltatás idıtartamára érvényes felhasználói licenc 2500 felhasználóra SMTP forgalomban terjedı káros tartalmak átjáró szintő, platform-független védelmének biztosítása többféle technológiát alkalmazó vírus- és spamszőrıvel Több, különbözı technológiára épülı spamszőrési metódust támogat (szignatúra, reputation) LDAP / AD integráció, házirend illesztésre illetve az érvénytelen címre érkezı üzenetek elutasítására Házirend alapú mőködés (mail domain, cím, LDAP csoport és számos egyéb feltétel alapján) Szerepkörhöz rendelt adminisztráció Külsı naplószerver és naplóelemzı rendszer támogatása, TCP és UDP syslog Összetett fenyegetések elleni védelem, zero day protection, önvédelmi mechanizmusok (méret, címzettek száma, archívumok mélységének korlátozása, ismeretlen vírusok újraellenırzése) Forráscím alapú elıszőrés, a szőrési szolgáltatás és a mögöttes infrastruktúra tehermentesítése

26

• • • • • • • • • • • • • • •

Konfigurációs és terhelés-elosztást biztosító cluster kialakításának lehetısége, magas rendelkezésre állás Beépített kimutatások és jelentések Saját fehér- és feketelisták kezelése Felhasználói külsı karantén biztosítása Magas rendelkezésre állást biztosító központi menedzsment modul és karantén Magas rendelkezésre állást biztosító szőrı-berendezés HA cluster vagy külsı terhelés-elosztással kialakított failover Részletes felmérés, tervezés; Antivírus és anti-spam szabályrendszer kialakítás, finomhangolás Szőrı házirend csoportok kialakítása rendszerterv és megvalósulási dokumentáció elkészítése HA tervezés és kialakítás LDAP integráció tervezés és kialakítás szabályrendszer-illesztéshez Külsı karantén tervezés és kialakítás Felhasználói oktatás 1.1.1.2.4. Átvételi teszt

Az átvételi teszt során az alábbi feladatokat végezzük el: • • • • • • •

kezelıfelület elérése, bejelentkezés szoftverfrissítések automatikus letöltésének ellenırzése manuális frissítések letöltése kimutatások elkészítése (adatbázis kapcsolat) házirend illeszkedés ellenırzése központi menedzsment és a szenzor kapcsolatának ellenırzése Riasztás továbbítása a központi komponens felé

1.1.1.2.5. Rendszerfelügyelet, hibabejelentés és hibajavítás A gateway-oldali vírusvédelmi rendszer felügyeleti funkcióit a központi menedzsment szerver látja el. A rendszerbıl érkezı riasztások közvetlenül az üzemeltetıkhöz futnak be, ezek jellemzıen vírus- és spyware, valamint a szenzorok mőködését érintı riasztások. A felügyeleti rendszer jelzései alapján a Megrendelı üzemeltetésért felelıs munkatársai az Ajánlati dokumentáció általános hiba bejelentési eljárása szerint jelentik be az eseteket, a Vállalkozó az ajánlati dokumentáció általános hibajavítási leírása szerint kezeli az eseteket. 1.1.1.2.6. Tervezett karbantartás

27

A tervezett karbantartások keretében évente két alkalommal elvégezzük a központi felügyeleti modul illetve a szenzorok javítócsomagjainak telepítését és a rendszer általános felülvizsálatát. A karbantartás keretében az alap operációs rendszert nem frissítjük, ez az intézményi üzemeltetési gyakorlattal összhangban történik a rendszer átadása után. 1.1.1.2.7. Teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% A mintakonfigurációk esetében magas rendelkezésre állást biztosító hardver elemek nincsenek, cluster-t vagy failover megoldásokat nem biztosítunk. Magas rendelkezésre állást és failovert a kiegészítı szolgáltatások keretében implementált hardver erıforrások illetve architektúra biztosít. 1.1.1.2.8. Szolgáltatási jelentések Az eszközök saját riportjai illetve a központi felügyeleti modul segítségével az alábbi jelentéseket készítjük el a Megrendelı igénye szerint ütemezetten vagy meghatározott idıpontokban: • teljesítmény-kimutatások • események száma, típusa, válaszlépések • Top 10 kimutatások A további jelentéseket az ajánlati dokumentáció általános „Szolgáltatási jelentések” címő leírása nevezi meg. 1.1.1.2.9. Szolgáltatási színvonal A Vállalkozó által nyújtott szolgáltatás minıségi bemutatását az ajánlati dokumentáció általános „Szolgáltatási színvonal” címő leírása tárgyalja. 1.1.1.2.10. Dokumentálási eljárások A mintakonfigurációk implementálása során elkészülı dokumentáció: ütemterv, ellenırzılista, teszt- és átadás—átvételi jegyzıkönyv. 1.1.1.2.11. Rendszermentési, feldolgozási és napló-mentési eljárások A rendszer mentése konfigurációs állományok szintjén történik. A naplókat megfelelı külsı naplórendszer esetén syslog formátumban továbbítjuk. A központi felügyeleti megoldással integrált mőködési mód mellett az adatbázisban

28

tárolt adatokkal együtt a szenzorokból származó adatokat is mentjük és archiváljuk. 1.1.2. Web tartalomszőrı szolgáltatás (Cisco IronPort Web Security Appliance)

1.1.2.1.Szolgáltatási szabvány A web tartalomszőrı szolgáltatás a következı protokollokat támogatja: Web proxy, URL szőrés: HTTP, HTTPS, HTTP over FTP, native FTP, ICAP Layer 4 Traffic Monitor (L4TM): Az összes IP protokoll, 0-65535-ig terjedı TCP és UDP portokon figyel a forgalmat. Management protokollok: HTTP, HTTPS, SSH, FTP, SCP, SNMP v1-3. Címtár integráció: NTLM, NTLMSSP, LDAP v2-3., Secure LDAP 1.1.2.2.Megajánlott kapcsolat Cisco Ironport Web Security Appliance: A Cisco IronPort Web Security Appliance, egy integrált web proxy, proxy cache, tartalomszőrı és anti-malware szőrı megoldás. A megoldás a hagyományos URL szőrési funkciókon kívül valódi tartalomszőrési lehetıségeket kínál, melyhez a gyártó egy központi, folyamatosan frissülı URL kategorizálási, weblap osztályozási- és megbízhatósági adatbázist biztosít (Cisco SensorBase DB). Két víruskeresı motor (McAfee, Webroot) segítségével biztosítja a webes forgalomban lévı vírusok kiszőrését és fejlett objektumszőrési képessége lehetıvé teszi, hogy nemcsak a letöltési, hanem a feltöltési irányra vonatkozóan is szőrési szabályokat definiáljunk. A felhasználók authentikációjához Microsoft Active Directory (MS AD), illetve LDAP integrációt biztosít. Az eszköz szoftverkomponensei által nyújtott biztonsági szolgáltatások két kategóriára oszthatók: • Malware Detection: A malware detection funkció a Layer 4 Traffic Monitor (L4TM) segítségével valósítható meg. Az L4TM az összes hálózati port figyelésével képes felismerni és blokkolni a különbözı spyware és „phone home” tevékenységeket a vállalati hálózatban. Az L4TM segítségével az eszköz megakadályozza, hogy a kártevık a szabványos HTTP, HTTPS portok megkerülésével információkat juttassanak ki, vagy be a vállalati hálózatba. Az L4 Traffic Monitor egy dinamikusan bıvülı adatbázist épít fel IP címekbıl és portokból az ismert malware site-ok és tevékenységek felismerése és megakadályozása érdekében.

29

• Malware Prevention: A malware prevention az IronPort egyedülálló Web Proxy komponensei által valósítható meg: o Ironport URL Filter: a hagyományos URL szőrı funkción kívül tartalmaz egy központilag karbantartott dinamikusan bıvülı kategória-adatbázist. A kategória-adatbázisban 52 tartalmi kategória és több mint 20 millió website (3.5 milliárd weboldal) található 70 nyelven több mint 200 országból. Az adatbázis hetente akár 100.000 site-tal és 10.000.000 URL-lel bıvül. o IronPort Web Reputation Filter: egy külsı réteget képez a tartalomszőrı elıtt, mely valós idıben elıszőri a webkéréseket veszélyességi szintjük szerint. A szőrı több mint 50 hálózati paraméter kiértékelése alapján képes megbecsülni a webkérések megbízhatóságát. Az Ironport Web Reputation Filter technológia a piacon az egyetlen, amely tartalmaz botsite protection, URL outbreak detection és exploit filtering funkciókat. o IronPort Anti-malware Filter: az Ironport S-sorozatának kivételes megoldása, amely egyszerre több anti-malware szőrı motort (Webroot, McAfee) integrál egy eszközben. A rendszer az Ironport egyedülálló technológiájának, az Ironport Dynamic Vectoring and Streaming Engine (DVS) motorjának köszönhetıen a Webroot és a McAfee malware szőrı motorja szimultán képes egyszerre mőködni, biztosítva a leghatásosabb védelmi megoldást az Internetes fenyegetések ellen (adware, browser hijackers, phishing and pharming támadások, rootkits, trójai programok, férgek, system monitors, key¬logger, stb). o HTTPS Inspection: az Ironport S-sorozat kivételes funkciója, amely képes a HTTPS titkosított forgalomba belenézni és szabályozni a titkosított csatornán folytatott web kommunikációt az URL szőrı, Web Reputation szőrı és Anti-malware szőrı funkciók segítségével. o DataSecurity & Data Loss Prevention: funkció segítségével gyorsan és könnyen érvényesíthetıek a vállalat adatbiztonsági elıírásai. A Data Security funkció segítségével megakadályozhatjuk, hogy érzékeny információk kijussanak a vállalat rendszereibıl. A rendszer folyamatosan figyeli a HTTP, HTTPS és FTP protokollokon keresztül történı feltöltéseket és a nem engedélyezett kimenı forgalmat blokkolja. A web tartalomszőrı rendszer könnyen illeszthetı third-party DLP megoldáshoz, mely a feltöltések mély tartalomelemzését is képes elvégezni.

30

IronPort WSA integrált megoldása Az IronPort Web Security Appliance menedzselése történhet grafikus (GUI) és karakteres felületen (CLI) is egyaránt. A Web Security Manager egy könnyen kezelhetı, integrált menedzsment felületet biztosít az Internethez történı hozzáférési és web security szabályok készítéséhez. Az adminisztrátorok könnyen elvégezhetik a vállalat biztonsági szabályainak megfelelı hozzáférési és szőrési beállításokat. A szabályok érvényessége megadható idıalapon napokra, órákra szőkítve, kategóriánként és felhasználónként is egyaránt. A Web Security Monitor valósidejő monitorozást és riportolást végez az éppen aktuális web forgalomról és fenyegetésekrıl. Megfelelıségi táblázat: Követelmény Az egyszerő URL szőrés mellett kínáljon valódi tartalom-alapú szőrési lehetıségeket A gyártó biztosítson folyamatosan frissített weblap osztályozási, kategorizálási adatbázist URL és tartalom szinten Biztosítson LDAP integrációt Lásson el web proxy cache funkciókat Biztosítsa a webes forgalomban lévı vírusok, kártékony kódok kiszőrését Ne csak a letöltési, hanem a feltöltési irányban is legyen lehetıség szőrési feltételek beállítására

Megfelel Igen Igen Igen Igen Igen Igen

31

1.1.2.2.1. Mintakonfigurációk 1.1.2.2.1.1.Web tartalomszőrı mintakonfigurációk A mintakonfigurációban foglalt szolgáltatások elıfeltételei: Megrendelı tervezi meg az eszköt logikai és fizikai beillesztési helyét, biztosítja a környezeti feltételeket, átadja a beállítandó IP, DNS, sstb. adatokat beállítja a hálózati környezetet, tőzfalakat, hogy a rendszer helyszíni telepítésekor a funkcionális teszteket azonnal el lehessen kezdeni, biztosítja, hogy a web forgalom a szőrıre kerüljön (elıször teszt állomásról, majd fokozatosan az összes kliensrıl). A mintakonfigurációkban foglalt szolgáltatások (a fenti feltételek mellett): • alaprendszer-installálás • szolgáltatások bekapcsolása • alap rendszerkonfiguráció beállítás (IP címek, DNS, NTP, stb) • eszköz hálózatba illesztése explicit forward módban • alap funkcionális tesztelés aMegrendelı által biztosított teszt állomáson. • 2 órás oktatás az élı rendszeren 2, megfelelıen képzett adminisztrátor számára. 1.1.2.2.1.2.Web tartalomszőrő Konfig 7 mintakonfiguráció: A mintakonfiguráció tartalma a mintakonfiguráció általános részben leírt szolgáltatás és a következı termékek (2 év gyári támogatással szoftver követéssel): 1 db Cisco IronPort S160 Web Security Appliance: • Kategória alapú URL szőrési funkció • Web Reputation szőrı funkció • Anti-malware motor 1.1.2.2.1.3.Web tartalomszőrő Konfig 8 mintakonfiguráció: A mintakonfiguráció tartalma a mintakonfiguráció általános részben leírt szolgáltatás és a következı termékek(2 év gyári támogatással szoftver követéssel): 1 db Cisco IronPort S160 Web Security Appliance: • Kategória alapú URL szőrési funkció • Web Reputation szőrı funkció • Anti-malware motor 1.1.2.2.1.4.Web tartalomszőrő Konfig 8 mintakonfiguráció:

32

A mintakonfiguráció tartalma a mintakonfiguráció általános részben leírt szolgáltatás és a következı termékek(2 év gyári támogatással szoftver követéssel): 2 db Cisco IronPort S360 Web Security Appliance: • Kategória alapú URL szőrési funkció • Web Reputation szőrı funkció • Anti-malware motor 1.1.2.2.2. Szolgáltatás csomagok: A szolgáltatás csomagok tartalmazzák az alapcsomagban megadott web szőrés funkcionalitást és szolgáltatásokat, a következı kiegészítésekkel. Hardver: • magas rendelkezésre állás biztosítására redundáns kialakítással A mintakonfigban biztosított szolgáltatásokon felül: •

Megrendelı rendszerének felmérése, a szőrő helyének, az esetlegesen szükséges topológiai átalakításoknak a tervezése, az optimális mőködés érdekében.

•

Implementáció: o Transzparens mőködés beállítása és tesztelése o PAC file létrehozása és tesztelése o AD, vagy LDAP illesztés o A forgalomnak a szőrıre való irányítása.

•

Szabályrendszer finomhangolása: o Csoportok azonosítása, konfigurálása o http szőrési szabályok finomhangolása o https szőrési szabályok finomhangolása o feltöltési szabályok finomhangolása o Anti-malware filter finomhangolása o Web Reputation szőrés finomhangolása o Riporting beállítások testreszabása

•

Dokumentálás oktatás: o Rendszerterv készítése o Implementációs terv készítése o Megvalósulási dokumentáció készítése o Üzemeltetési kézikönyv készítése o 1 napos oktatás

1.1.2.2.2.1.EKG Webfilter 500 szolgáltatás csomag A csolgáltatáscsomagban definált megoldás és szolgáltatás 500 felhasználóra. 1.1.2.2.2.2.EKG Webfilter 1000 szolgáltatás csomag

33

A csolgáltatáscsomagban definált megoldás és szolgáltatás 500 felhasználóra. 1.1.2.2.2.3.EKG Webfilter 2500 szolgáltatás csomag A csolgáltatáscsomagban definált megoldás és szolgáltatás 2500 felhasználóra. A felhasználók azonosítása és hitelesítése történhet IP cím alapon, illetve integrálhatjuk egy meglévı authentikációs szerver környezetbe. Az eszköz támogatja a Microsoft Active Directory (MS AD), illetve bármilyen LDAP szerverhez történı integrációt. 1.1.2.3.Installáció, migráció Az IronPort WSA az appliance kivitelnek köszönhetıen nem igényel külön operációs rendszer telepítését, kizárólag a hálózatba történı beillesztését kell átgondolni. Az IronPort web tartalomszőrı eszköz képes mőködni meglévı proxy környezetben, explicit forward módban, vagy transzparens módban egyaránt. Explicit Forward módban a felhasználók böngészıjének kell tudatni, hogy melyik proxy-n keresztül bonyolódik a web forgalom. Ez megadható manuálisan, PAC file, vagy WPAD protokoll segítségével. Transzparens módban az eszköz mőködése nem in-line, a webes forgalmat WCCP router, vagy L4 switch segítségével a WSA felé kell irányítani. Az L4TM funkció az Internet felé és felıl jövı forgalmakat egyaránt figyeli. Bekötése történhet egy TAP eszközbe (Test Access Port), vagy SPAN/MIRROR portba, amelyen az Internet forgalom áthalad.

Tipikus hálózatba illesztési lehetıségek 1.1.2.4.Átvételi teszt Az eszközön éles üzembe helyezés elıtt funkcionális teszteket végzünk. A funkcionális tesztek során leteszteljük az eszköz fizikai (tápegységek, interfészek, háttértárak), illetve a szolgáltatási funkciók mőködését.

34

1.1.2.5.Hálózatfelügyelet, hibajelentés és hibajavítás A rendszer a rendszerinformációkat naplózza, meghibásodás esetén e-mail-ben riasztást küld dedikált személyeknek. Amennyiben nem tud riasztást küldeni, a naplóinformációkból tájékozódhatunk. 1.1.2.6.Tervezett karbantartás A tervezett karbantartás keretében elvégezzük a rendszerhez idıközben kijött frissítések telepítését és a rendszerüzenetek áttekintését. 1.1.2.7.Teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% A Konfig 7 és Konfig 8 szolgáltatás nem biztosít magas rendelkezésre állást. A Konfig 9 szolgáltatás tárgyát képezı tartalomszőrı eszköz redundáns tápegységekkel rendelkezik. A tápredundancia biztosítására célszerő az eszköz kétkörös betáplálását a Felhasználónak biztosítani. A RAID10 biztosítja, hogy az eszköz háttértárának meghibásodása adatvesztéssel, illetve szolgáltatás kieséssel járjon. A szolgáltatáshoz két darab eszközt biztosítunk, mely felhasználható hidegtartalék, illetve klaszteres (failover, illetve loadbalancing) kiépítésre is, a szolgáltatásfolytonosság biztosítása érdekében. Az eszközök gigabites hálózati interfészekkel rendelkeznek. A teljesítményre optimalizált speciális AsyncOS operációs rendszer lehetıvé teszi, hogy maximálisan kiterhelt hálózati interfészek mellett is ellátja tartalomszőrési funkcióit. 1.1.2.8.Szolgáltatási jelentések A tartalomszőrı Monitoring & Riporting motorja jelentések generálására képes, akár ütemezetten, akár on-demand módon. Lényeges jelentések: Rendszerstátusz riportok: • Biztonsági státuszriport • Proxy forgalomi jelentés Felhasználói aktivitás riportok: • Kliens web forgalmazási riport • Blokkolt web forgalmi riport • Blokkolt kártékony kódok • Teljesített és blokkolt web forgalmak • Monitorozott és blokkolt kártékony kódok • URL kategória szerinti találatok

35

•

Hibás authentikáció

Web site aktivitás riportok: • Kártékony kódot tartalmazó site-ok • Blokkolt file-ok méretkorlát miatt • Blokkolt file-ok tiltott file típus miatt • Tiltott protokollkommunikáció Anti-malware aktivitás riportok: • Top 10 kártékony kód URL kategória riportok: • Top 10 URL kategória találat • Top 10 blokkolt URL kategória 1.1.2.9.Szolgáltatási színvonal A szolgáltatási színvolnal paramétereit lásd az 1.számú függelék alatt. A Vállalkozó által nyújtott szolgáltatás minıségi bemutatását az ajánlati dokumentáció általános „Szolgáltatási színvonal” címő leírása tárgyalja. 1.1.2.10.

Dokumentálási eljárások

A Megvalósított rendszer dokumentációja az alábbi pontokat tartalmazza: • architektúra • topológia (rajz és leírás) • névfeloldás • rendszeridı • management • naplózási beállítások • monitoring • mentés • proxy beállítások • authentikáció • time ranges • tartalomszőrı policy beállítások 1.1.2.11.

Rendszermentési, feldolgozási és Log-mentési eljárások

A Szolgáltató üzemeltetési gyakorlata, hogy az eszközök konfigurációs állományát minden beavatkozás után menti egy rendszeren kívüli archiválási területre, mely biztosítja, hogy eszköz hiba esetén a leggyorsabban helyreállítható legyen a Szolgáltatás. A mentések a Szolgáltatónál maradnak. Rendszerkonfiguráció:

36

A rendszerkonfiguráció egy .xml file-ban található a tartalomszőrı filerendszerén. Naplóállományok: A naplóállományok szöveges formátumban a tartalomszőrı file-rendszerén találhatóak. 1.1.3. Hálózati IPS

1.1.3.1.A szolgáltatási szabvány A McAfee Network Security Platform a teljes hálózati forgalmat ellenırzi, így ebben az összes ismert hálózati protokoll érintett. Az eszköz központi menedzsmentfelületének elérése HTTPS protokollon keresztül történik. 1.1.3.2.Megajánlott kapcsolat A Network Security Platform (korábbi nevén IntruShield) network IPS a McAfee Inc. hálózati behatolás megelızı rendszere. A behatolási kísérletek észlelésén túl hatékony, valós idejő védelmet képes nyújtani ismert, vagy még ismeretlen hálózati támadások ellen. Az hálózati és a host-alapú IPS integrált kezelése szempontjából fontos, hogy mindkét feladatot a McAfee megoldása lássa el. Ebben az esetben az IPS-ek által érzékelt riasztások egy közös felületen keresztül (Network Security Manager) ellenırizhetık, majd innen szabványos módszerekkel továbbíthatók az üzenetek. A McAfee Network Security Platform egy automatizált valós-idejő hálózati behatolás érzékelési és elhárítási rendszer (IPS). Folyamatosan felügyeli a hálózatot, és lehetıvé teszi, hogy automatikusan érzékeljük és reagáljunk bizonyos eseményekre (biztonsági elıírások megsértése, belsı hálózat nem megfelelı használata, stb.) még mielıtt azok a rendszert veszélybe sodornák. A hálózati forgalom figyelésével, annak megzavarása nélkül, érzékeli a gyanús tevékenységeket, és azonnal reagál rájuk. A McAfee Network Security Sensor csak erre a feladatra használt, dedikált eszközön (appliance) fut. A hálózati forgalom összes adat-csomagját átvizsgálja és összeveti a támadási mintáival, amelyek félreérthetetlen jelei annak, hogy egy támadás folyamatban van. Az eszköz a hálózaton sorba köthetı a különbözı hálózati eszközökkel (in-line mód). Ebben az esetben keresztülfolynak rajta a hálózati kommunikációk, így az észlelt támadások hálózati kapcsolatait képes blokkolni, ezzel növelve a hálózat aktív védelmét. A támadások felismerése valós-idıben történik és jól definiálható riasztások és válaszlépések rendelhetıek hozzájuk. Az eszköz menedzselése egy JAVA technikát alkalmazó kliens szoftver segítségével történik.

37

A McAfee rendszeresen frissülı, mindenre kiterjedı tudásbázist tart fenn részletes információkkal a termékrıl. Továbbá a menedzsment szerverrıl elérhetı az Attack Encyclopedia nevő tudástár, ami az eszköz által érzékelt összes támadásról részletes leírást tartalmaz. Részletes technikai jellemzık • Rendszerkomponensek: o Szenzor készülék (McAfee Network Security Sensor) – a szenzor elsıdleges feladata a kiválasztott hálózati szegmensek forgalmának elemzése, hálózati támadások detektálása, és az észlelt támadások esetén az eseményhez rendelt riasztások és válaszlépések elvégzése (például a támadás valós idejő blokkolása). A tapasztalt események adatait a menedzsment szervernek továbbítja. o A szenzorok kizárólag hardvere változata létezik. o Menedzsment rendszer (McAfee Network Security Manager) – a szenzorok konfigurálását és menedzselését végzı komponens. Adatbázisában tárolódnak a szenzorok által észlelt biztonsági-, valamint rendszereseményekkel kapcsolatos információk. o A menedzsment szervernek elérhetı szoftvere (telepíthetı), és hardveres változata is: McAfee Network Security Manager Appliance. • Fontosabb jellemzık, és képességek o Detektálási technika
Protokoll anomália detektálása
Ismert támadások detektálása támadásminta (signature) alapján
Felhasználók által definiált (user defined) támadásminták használata
Denial of Service (DoS) analízis, és védelem
Titkosított támadások elleni védelem (webszerver SSL csatornáinak vizsgálata) o Hálózatbekötési módok:
in-line mód (in-line mode) – két monitorozó port használatával sorba kötésre kerül az eszköz a hálózatban (támadásblokkolás lehetséges)
SPAN mód (SPAN or HUB mode) – egy monitorozó port használatával passzívan figyeli a hálózatot (TCP reset küldése lehetséges)
külsı vagy belsı tap mód (internal and external tap mode) – két monitorozó port használatával az eszköz másolatot kap a hálózati forgalomról a beépített tap, vagy külsı tap eszköz segítségével (TCP reset küldése lehetséges) o Válaszlépések
Blokkolás (in-line módban)
TCP reset
E-mail riasztás küldése
SNMP trap riasztás küldése
Adatcsomag rögzítés (Ethereal formátumban)
Felhasználók által definiált (user defined) program lefuttatása
A támadó tőzfalon történı blokkoltatása
ICMP host unreachable üzenet küldése o Automatikus frissítés (támadásminta-, és program patch-ek frissítése) o Központilag frissíthetı szenzor szoftver o Web-alapú menedzsment, ami az engedélyezett gépek böngészıibıl elérhetı o A szenzor a házirendeket nem elérhetı menedzsment szerver esetén

38

o

o

o o o o o o o o o o o

is kikényszeríti, illetve tárolja a riasztásokat, és amint elérhetıvé válik a menedzsment szerver, továbbítja Hozzáférés szabályozás (ACL – Internal Firewall) – az in-line módban bekötött interfészeken hozzáférési lista segítségével IP cím, protokoll, és portszám alapján engedélyezhetık, ill. tilthatók a hálózati kommunikációk átfolyása az eszközön Fail-open és Fail-close mőködési mód – fail-open módban az eszköz meghibásodása esetén az eszközön áthaladó hálózati kapcsolatok automatikusan engedélyezésre-, fail-close módban tiltásra kerülnek (a gigabites interfészek esetén a fail-open módhoz külön fail-open switch alkalmazása szükséges) Port clustering – aszimmetrikus forgalomirányítású hálózati környezetben lehetıség van több hálózati csatorna közös vizsgálatára Virtual IPS – a megfigyelési pontokon több biztonsági szabályzatot alkalmazhatunk a kommunikáló IP címtartományok, ill. VLANoktól függvényében Magas rendelkezésre állás (High Availability with Stateful Failover, cluster), aktív-aktív, aktív-passzív Menedzsment szerver magas rendelkezésre állás Jelentéskészítés (reporting) Konfigurációs riportok készítése Adatbázis használata a naplóbejegyzések és konfigurációk tárolására (MySQL) Hierarchikusan felépített menedzsment Adminisztrátorok jogosultságszint kezelése – a rendszer üzemeltetıihez különbözı jogosultságok rendelhetıek Rendszermentés – naplóbejegyzések és konfigurációk mentése Automatikus állomány-, és diszkterület karbantartás

Platformtámogatottság Szenzor Mivel a szenzor fekete doboz jellegő eszköz (appliance), külön hardver-, ill. rendszerigénye nincs. Menedzsment szerver • Hardveres változat McAfee Network Security Manager Appliance – dedikált eszköz, nincs külön hardverigénye • Szoftveres változat: A Network Security Manager szoftveres verziójának operációs rendszere: o Microsoft Windows Server 2003 Standard Edition SP2 English (32bit vagy 64bit-X64) A Network Security Manager szoftveres verziójához hardverparaméterek: o Processzor: Dual Core processor o Memória: 3GB o Diszk: 200GB, Raid mirror Menedzsment kliens A menedzsment kliens rendszerigénye: o Operációs rendszer: Windows XP (Standard Edition) SP2 o Memória: 512MB o Monitor: 32-bit color, 1024 x 768 display

ajánlott

39

o Böngészı: Internet Explorer 6.0 vagy Internet Explorer 7.0 McAfee Network Security Sensor modellek összehasonlítása

Áteresztı képesség Egyidejő kapcsolato k száma Monitoroz ó portok száma Dedikált fast ethernet válasz port Titkosított támadások elleni valós idejő védelem Stateful Failover

M-4050 3 Gbps

I-4010 2 Gbps

I-3000 1 Gbps 500,00 0

I-2700 600 Mbps 250,00 0

I-1400 200 Mbps 80,00 0

I-1200 100 Mbps 40,00 0

1,500,00 0

1,000,00 0

12

12

12

8

4

2

1

2

2

3

1

1

nem

igen

igen

igen

nem

nem

igen

igen

igen

igen (FE NICekre)

igen

igen

Megfelelıségi táblázat: Követelmény Hierarchikus struktúrába szervezhetı központi menedzsment je legyen A menedzsment felületekhez a különbözı hierarchiaszinteken különbözı adminisztrátorokat lehessen rendelni, különbözı jogosultsági szintekkel A menedzsment felület legyen web-böngészıbıl elérhetı A beállított házirendet akkor is kényszerítse ki, ha a központi menedzsment nem elérhetı Legyen képes a bekövetkezett események riasztásait tárolni, ha a központi menedzsment nem elérhetı és továbbítani, ha a kapcsolat újra létrejött Távtelepítési lehetıség A gyártó által rendszeresen frissített tudásbázis Riportkészítési lehetıség Legyen képes központi logolásra

Megfelel Igen Igen Igen Igen Igen Igen Igen Igen Igen

40

1.1.3.2.1. Hálózati IPS Mintakonfigurációk A fentiek alapján az alábbi konfigurációk kielégítik az ajánlatban a Network IPS megoldással szemben támasztott követelményeket. Az egyes mintakonfigurciók tartalmazzák a telepítendı eszközöket. A mintakonfigurációk trelepítésének feltételei: A megrendelı megztervezi, hogy a hálózat mely pontjain kíván megfigyelést (IDS) ill. áthaladó forgalom ellenırzést (IPS) végezni. Megrendelı az IDS/IPS helyszíni telepítését teljes mértékben elıkészíti, hogy a telepítéskor már csak az odakészített kábeleket kelljen az eszközökbe csatlakoztatni. Megrendelı a szolgáltató által biztosított listában megadja, hogy mely eseményekre milyen választ adjon az IDS/IPS rendszer. megrendelı adja meg az IPS logikai beillesztéséhez szükséges adatokat (IP cím, DNS, stb.). Forgalom blokkolásra nincs szükség, csak jelzésre. A mintakonfigurációk által tartalmazott szolgáltatások • Installálás Az IPS rendszer a megadott adatok szerint bekonfigurálásra kerül, majd tesztkörnyezetben ellenırizzük annak funkcionális mőködését. Ez Vállalkozó telephelyén történik, ahol rendelkezésre áll a feladat elvégzéséhez szükséges infrastruktúra. Ezután megtörténik az eszköz fizikai bekötése, az egyeztetett hálózati topológia szerint. Az installálás fázis az eszköz Megrendelı hálózatába történı beillesztésével, és a funkcionális teszteléssel ér véget. • Alapoktatás A mintakonfigurációkhoz járó alapcsomag egy alapszintő oktatást tartalmaz, melynek során az adminisztrátorok megismerhetik az implementálásra került termék elvét, valamint elsajátíthatják a legalapvetıbb konfigurálási ismereteket egy körülbelül 1 órás, az élı rendszeren való áttekintés keretében. 1.1.3.2.1.1.Hálózati IPS Konfig10 mintakonfiguráció : • •

McAfee Network Security 1400 Sensor Appliance McAfee Network Security Manager Appliance Standard Edition 1.1.3.2.1.2.Hálózati IPS Konfig11 mintakonfiguráció:

• • • •

McAfee Network Security 2700 Sensor Appliance McAfee Network Security 2700 Sensor Appliance Fail Over McAfee Network Security Manager Appliance Standard Edition 2 darab optikai GBIC

41

1.1.3.2.1.3.Hálózati IPS Konfig12 mintakonfiguráció: • • • •

McAfee Network Security M-4050 Sensor Appliance McAfee Network Security M-4050 Sensor Appliance Fail Over McAfee Network Security Manager Appliance Standard Edition 20 darab Copper SFP 10/100/1000

1.1.3.2.2. Szolgáltatás csomagok A szolgáltatás csomagok a mintakonfigurációban megfogalmazottakon felül a következı szolgáltatásokat tartalmazzák: • Rendszer felmérés A védeni kívánt hálózat felmérése abból a szempontból, hogy az IPS szenzorok a hálózat mely pontjain hajtsák végre a forgalom ellenırzését, a támadások blokkolását. • Rendszerterv készítése A Vállalkozó egy rendszertervet ad át a Megrendelınek, ami tartalmazza az implementálásra kerülı rendszerrel kapcsolatos információkat, a telepítendı IPS eszköz pontos hálózati elhelyezkedését, valamint a rendszerkomponensek elıre tervezhetı konfigurációs paramétereit. Mivel az alkalmazandó biztonsági politikák az adott rendszer hálózati kommunikációinak, ill. a rendszerelemek mőködésének egyedi paramétereitıl függnek, nem tervezhetık meg elıre. A rendszerterv terjedelme megközelítıleg 4-8 oldal. • Finomhangolás Az IPS eszköz fizikai bekötése után egy általános biztonsági politikát használva pár napos adatgyőjtést végzünk, amely során naplózzuk a megfigyelési pont hálózati eseményeit. Ez idı alatt az eszköz támadásblokkolást nem végez, így kiküszöböljük az esetleges téves riasztásokból származó, nem kívánt hálózati forgalom megszakításokat. Ezután az adatgyőjtési idıszak tapasztalatai és a Megrendelı üzemeltetıivel folytatott konzultációk során nyert információk alapján bekonfigurálásra az IPS biztonsági politika (policy), amely aktív valós idejő védelmet nyújtva blokkolja a hálózati támadásokat, illetve elvégzi a megfelelı riasztásokat. • Rendszerdokumentáció készítése A rendszer véglegesített paramétereit az implementálás után rendszerdokumentációban rögzítjük, amelynek alapja a korábban elkészített rendszerterv. • Üzemeltetési kézikönyv készítése Az üzemeltetési kézikönyv célja az üzemeltetés során végzendı alapvetı tevékenységek meghatározása és azok elvégzéséhez szükséges lépések leírása. Az üzemeltetési kézikönyv terjedelme megközelítıleg 8-12 oldal. • Az informatikai biztonsági szabályzat illesztése az IPS-hez, audit A Megrendelı meglévı informatikai biztonsági szabályzatában található IPS-hez kapcsolódó részek módosítása az újonnan integrált hálózati behatolás védelmi rendszer beállított mőködésének megfelelıen. Az IPS szempontjából releváns részek auditja. • Kibıvített oktatás Az oktatás során az adminisztrátorok megismerhetik az implementálásra került eszköz mőködési elvét, valamint elsajátíthatják a konfiguráláshoz és szakszerő üzemeltetéshez szükséges szaktudást. Az oktatás idıtartama 4-6 óra, melyre az

42

implementálás után egy elıre egyeztetett idıpontban kerül sor. Az oktatáshoz oktatási anyag nem készül. • Rendszeres IPS finomhangolás szolgáltatás: Ez egy havi keretórák terhére végzett szolgáltatás, melynek keretében a Válllakozó elvégzi a Megrendelı Network IPS-én szükséges rendszeres finomhangolást. Ez a kérdéses forgalmak esetében a Megrendelı szakembereivel egyeztetve történik. A szolgáltatás feltétele, hogy ilyen esetben a Megrendelı szakemberei segítsék a finomhangolást végzı mérnököt a rendszerspecifikus információk biztosításával a kérdéses forgalmak megfelelı kezelése érdekében. 1.1.3.2.2.1.EKG NIPS 200M szolgáltatás csomag A csomag tartalmazza a csolgáltatás csomag általános leírásábban szereplı szolgáltatásokat és a következıknek megfelelı hardvereket: • 2 megfigyelési pont • 200 MbiUs összteljesítmény • interface típus: 10/100/1000 Copper Eth • Fail-open mőködés 1.1.3.2.2.2.EKG NIPS 600M szolgáltatás csomag A csomag tartalmazza a csolgáltatás csomag általános leírásábban szereplı szolgáltatásokat és a következıknek megfelelı hardvereket: • 6 megfigyelési pont • 600 Mbit/s összteljesítmény • interface típus: 10/100/1000 Copper Eth. • Fail-open mőködés • Fail-over cluster 1.1.3.2.2.3.EKG NIPS 3G szolgáltatás csomag A csomag tartalmazza a csolgáltatás csomag általános leírásábban szereplı szolgáltatásokat és a következıknek megfelelı hardvereket: • 4 megfigyelési pont • 3 Gbit/s összteljesítmény • interface tipus: 10/100/1000 Copper Eth. • Fail-open mőködés • Fail-over cluster 1.1.3.3.Installáció, migráció Vállalkozó elvégzi az ajánlott rendszer helyszíni telepítését, mintakonfigurációk ill. szolgáltatás csomagokban leyírt feltételek mentén.

a

1.1.3.4.Átvételi teszt A telepítés, alapkonfigurálás és üzembe helyezés elıtti tesztelés a Vállalkozó telephelyén történik, ahol rendelkezésre áll a feladat elvégzéséhez szükséges infrastruktúra. Az üzembe helyezést és konfigurálást követıen lezajlik az eszköz funkcionális tesztelése. Ellenırzésre kerül, hogy az IPS megfelelıen vizsgálja-e a

43

forgalmat, illetve hogy a Megrendelı rendszerében a hálózati kommunikáció továbbra is zavartalan-e a megfigyelési pontokon keresztül. 1.1.3.5.Rendszerfelügyelet, hibabejelentés és hibajavítás A Network IPS felügyeletét a Megrendelı szakemberei végzik a Network Security Management szerveren keresztül. A felügyeleti rendszer jelzései alapján a Megrendelı üzemeltetésért felelıs munkatársai az Ajánlati dokumentáció általános hibabejelentési eljárása szerint jelentik be az eseteket, a Vállalkozó az ajánlati dokumentáció általános hibajavítási leírása szerint kezeli az eseteket. A 7x24 órás Helpdesk-en keresztül lehet bejelentést tenni. Ezt a szolgáltatást a Magyar Telekom biztosítja. A Helpdesk a Felhasználó intézmény korlátozott számú, elıre meghatározott dolgozóitól (pl. rendszergazda, vezetı) fogad hibabejelentést. A hibaelhárítás megkezdése (mérnök rendelése az adott probléma megoldásához) a Helpdeskre való bejelentéstıl számított egy órán belül megtörténik. A hibajavítási szolgáltatás a Vállalkozó által leszállított IPS megoldás központi elemeire, menedzsmentjére terjed ki. A végfelhasználóknál tapasztalható hibák kivizsgálása és megoldása az intézményi rendszergazda feladata. Az intézményi rendszergazda képzése az eszközök telepítésekor megtörténik. 1.1.3.6.A tervezett karbantartás A Network IPS-hez leszállított eszközök zárt appliance-ek, amiket csak a gyártói szerviz bonthat meg. A Vállalkozó évente elvégzi az eszközök fizikai felülvizsgálatát. 1.1.3.6.1. Rendszeres karbantartás Amennyiben szükségessé válik, akkor a Vállalkozó telepíti az újonnan kiadott javításokat, szenzor és menedzser szoftver verziókat. 1.1.3.7.A teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% Az IPS Network Security Sensor komponense a McAfee Network Security 1400 Sensor Appliance esetében fail-open mőködést biztosít, ami azt jelenti, hogy a hálózati forgalom a szenzor hibája esetén is zavartalanul folyik tovább. A McAfee Network Security 2700 Sensor Appliance-t és a McAfee Network Security M-4050 Sensor Appliance-t tartalmazó konfig 11 és konfig 12 esetén egy failover eszköz biztosítja a magas rendelkezésre állást. Az elsıdleges appliance meghibásodása esetén automatikusan átveszi a feladatát, és folytatja a behatolás védelem ellátását.

44

Az ajánlott szenzor modellek teljesítménye:

Áteresztı képesség Egyidejő kapcsolatok száma

M-4050 3 Gbps

I-2700 600 Mbps 1,500,000 250,000

Monitorozó portok 12 száma Dedikált fast 1 ethernet válasz port

I-1400 200 Mbps 80,000

8

4

3

1

1.1.3.8.A szolgáltatási jelentések Az eszköz számos elıre definiált riporttal rendelkezik, melyek tetszılegese testreszabhatók. Minden jelentésnél megadható, hogy pontosan milyen idıszakra vonatkozzon. Az IPS alapesetben többek között az alábbi riportokkal rendelkezik: • A 10 leggyakoribb támadás az adott idıszakban. • Felderítési támadások • Vezetıi összefoglaló tetszıleges idıszak eseményeirıl • Konfigurációs riportok: jelentések az összes beállítási elemre vonatkozóan az aktuális konfigurációjukról. • Riport a beállított házirendekrıl. • Jelentés a rendszerben bekövetkezett hibákról. • Verzióriport. • 10 támadás listája és a hozzájuk kapcsolódó riasztások száma, melynek mennyisége a legnagyobb mértékben változott két idıszakra vonatkozóan. Ezeket a riportokat igény esetén a rendszer üzemeltetıi generálják. A további jelentéseket az ajánlati dokumentáció általános „Szolgáltatási jelentések” címő leírása nevezi meg. 1.1.3.9.Szolgáltatási színvonal A szolgáltatási színvolnal paramétereit lásd az 1.számú függelék alatt. 1.1.3.10.

Dokumentálási eljárások

Az alapcsomagok nem tartalmaznak átadandó dokumentációkat a kialakítandó rendszerrel kapcsolatban. A Megrendelı opcionálisan kérheti a rendszerterv, a rendszerdokumentáció, illetve az üzemeltetési kézikönyv elkészítését. Ezek tartalmáról az installáció, migráció fejezet tartalmaz részletesebb leírást. 1.1.3.11.

Rendszermentési, feldolgozási és Log-mentési eljárások.

45

A rendszerkonfigurációt és a bekövetkezett eseményeket tartalmazó MYSQL adatbázisról rendszeres mentés történik a menedzsment szerverre, majd ez további mentésre kerül a Megrendelı által használt mentıeljárással külsı adathordozóra.

1.1.4.

Host IPS

1.1.4.1.A szolgáltatási szabvány A McAfee Host Intrusion Prevention kezelése a McAfee ePO-n keresztül történik, ami HTTPS protokollon keresztül érhetı el. 1.1.4.2.Megajánlott kapcsolat Az hálózati és a host-alapú IPS integrált kezelése szempontjából fontos, hogy mindkét feladatot a McAfee megoldása lássa el. Ebben az esetben az IPS-ek által érzékelt riasztások egy közös felületen keresztül (Network Security Manager) ellenırizhetık, majd innen szabványos módszerekkel továbbíthatók az üzenetek. A Mcafee Host Intrusion Prevention egy behatolás védelmi megoldás, mely a mintaillesztéses és viselkedés alapú behatolás detektálást, állapottartó tőzfallal, és alkalmazás korlátozó funkcióval egészíti ki. A vírusvédelmi megoldásokhoz hasonlóan ez a termék is a McAfee ePO-ból központilag menedzselhetı, konfigurálható, továbbá riportok, jelentések készíthetık a klienseken bekövetkezett eseményekrıl, riasztás küldhetı adott kritikus esemény bekövetkezésérıl. A megoldás használatának feltétele, hogy a Felhasználó rendelkezzen egy telepített ePO szerverrel Az állapottartó tőzfal segítségével korlátozható, hogy mely alkalmazások, milyen portokon, milyen távoli számítógépekkel kommunikálhatnak. Tanuló üzemmódban automatikusan felderíthetı, hogy az egyes munkaállomások milyen kommunikációt folytatnak, segítve ezzel egy végleges szabályrendszer kialakítását. Létrehozhatók kapcsolatfüggı szabálycsoportok, melyek attól függıen érvényesülnek, hogy éppen milyen hálózati környezetben van az adott kliens. A rendszeresen frissülı IPS támadási-minták segítségével a Mcafee Host Intrusion Prevention hathatós védelmet nyújt napjaink összetett fenyegetettségei ellen. Az ezernél is több mintát tartalmazó támadási-minta adatbázis, tetszés szerint testre szabható, bıvíthetı. Az Application Blocking funkció segítségével engedélyezı és tiltó listákat alakíthatunk ki a végpontokon található alkalmazásokkal kapcsolatban. Ezek a listák meghatározzák, hogy mely alkalmazások futhatnak jogosan, miközben a nemkívánatos, esetleg rosszindulatú programok futását megakadályozzák. A tanuló módú konfiguráció lehetıséget biztosít arra, hogy a Mcafee Host Intrusion Prevention automatikusan „megtanulja” mely alkalmazásokat használják a kliensek.

46

Tulajdonságok: • Központi menedzsment az ePolicy Orchestrator szerver segítségével. • A vállalat felépítésének megfelelı hierarchia alakítható ki a menedzsment szerveren. • Az adminisztrátori jogosultsági szintek tetszılegesen finomhangolhatók. • A menedzsmentfelület web-alapú, bármely csatlakozó gép böngészıjébıl elérhetı. • A termék központilag telepíthetı, frissíthetı az ePO segítségével. • Rendszeres támadási minta adatbázis frissítések automatikus központi telepítéssel. • Az eseményeket addig lokálisan tárolja, amíg a menedzsment szerver nem elérhetı, majd felküldi azokat. • A beállított házirendek folyamatos kikényszerítése az ePO elérhetıségétıl függetlenül. • Széleskörő riportkészítési lehetıségek az ePO-ban. • A McAfee által rendszeresen frissített tudásbázis. Rendszertámogatás – HIPS kliens • Hardver: o Minimum Pentium III processzor o Minimum 256 MB RAM o Minimum 100 MB szabad háttértár •

Szoftver: o Windows 2000 Advanced Server o Windows 2000 Datacenter Server o Windows 2000 Professional o Windows 2000 Server o Windows Server 2003 Enterprise o Windows Server 2003 Standard o Windows XP Home Service Pack 1, 2 o Windows XP Professional Service Pack 1, 2 o Windows XP Tablet PC o Windows Vista

Megfelelıségi táblázat: Követelmény Hierarchikus struktúrába szervezhetı központi menedzsment je legyen A menedzsment felületekhez a különbözı hierarchiaszinteken különbözı adminisztrátorokat lehessen rendelni, különbözı jogosultsági szintekkel A menedzsment felület legyen web-böngészıbıl elérhetı A beállított házirendet akkor is kényszerítse ki, ha a központi menedzsment nem elérhetı Legyen képes a bekövetkezett események riasztásait tárolni, ha a központi menedzsment nem elérhetı és továbbítani, ha a kapcsolat újra létrejött Távtelepítési lehetıség A gyártó által rendszeresen frissített tudásbázis Riportkészítési lehetıség Legyen képes központi logolásra

Megfelel Igen Igen Igen Igen Igen Igen Igen Igen Igen

47

A fentiek alapján az alábbi konfigurációk kielégítik az ajánlatban a Host-alapú IPS megoldással szemben támasztott követelményeket. 1.1.4.2.1. Host IPS mintakonfigurációk A mintakonfiguráció a következı feltételekkel számol: Egységes kliens operációs rendszer azonos patch level Egységes szerver operációs rendszer, azonos patch level Megrendelı biztosít egy-egy, az éles üzemivel megegyezı operációs rendszerrel és patch levellel rendelkezı számítógépet teszteléshez. Megrendelı elvégez minden olyan hálózati és egyéb módosítást a rendszerén, mely a host IPS rendszer telepítéséhez, beüzemeléséhez, mőködéséhez szükséges. A mintakonfigurációk által tartalmazott szolgáltatások • Installálás A szoftverkomponensek telepítését és beüzemelését a Megrendelı telephelyén és hálózati környezetében végezzük. A telepítés mőszaki elıfeltételeit (adminisztratív hozzáférés, jogosultságok, hálózati elérés, az integrációba bevont kliens számítógépek rendelkezésre állása) a Megrendelı kell, hogy biztosítsa. A rendszer központi elemének, a menedzsment szerver telepítését a Vállalkozó mérnökei végzik a Megrendelı szakembereinek támogatásával. A kliens-oldali komponensek telepítését 5 szerveren és 5 munkaállomáson szintén a Vállalkozó mérnökei végzik a Megrendelı szakembereinek támogatásával. A további kliens oldali komponensek telepítését a Megrendelı szakemberei végzik az oktatáson elhangzottak alapján. Az installálás szolgáltatás csak a Host IPS detektáló módban való telepítését fedi le, a támadások blokkolásainak, és a tőzfal szabályok beállítása az EKG HIPS 550, az EKG HIPS 1100, vagy az EKG HIPS 2650 csomag választása esetén történhet meg. • Alapoktatás A mintakonfigurációkhoz járó alapcsomag egy alapszintő oktatást tartalmaz, melynek során az adminisztrátorok megismerhetik az implementálásra került termék elvét, valamint elsajátíthatják a legalapvetıbb konfigurálási ismereteket egy körülbelül 1 órás áttekintés keretében. A kibıvített, teljeskörő oktatást az EKG HIPS 550, az EKG HIPS 1100, illetve az EKG HIPS 2650 csomagok tartalmazzák. 1.1.4.2.1.1.Konfig 13: • • • • •

DELL R200 (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, No RAID, DVD-ROM, 3year warranty) Windows Server 2008 Standard licence 50 db McAfee Host Intrusion Prevention for Servers with ePO 500 db McAfee Host Intrusion Prevention for Desktops with ePO A mintakonfiguráció általános leírásában szereplı szolgáltatások

48

1.1.4.2.1.2.Konfig 14: • • • • •

DELL R200 (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, No RAID, DVD-ROM, 3year warranty) Windows Server 2008 Standard licence 100 db McAfee Host Intrusion Prevention for Servers with ePO 1000 db McAfee Host Intrusion Prevention for Desktops with ePO A mintakonfiguráció általános leírásában szereplı szolgáltatások

1.1.4.2.1.3.Konfig 15: • • • • •

DELL R200 (1xQuad Core Intel® Xeon® X3220 2.40GHz, 2x4M Cache 1066MHz FSB, 1GB (1x1GB Dual Ranked DDR2, 800MHz Memory), 1x250GB SATA HDD, No RAID, DVD-ROM, 3year warranty) Windows Server 2008 Standard licence 150 db McAfee Host Intrusion Prevention for Servers with ePO 2500 db McAfee Host Intrusion Prevention for Desktops with ePO A mintakonfiguráció általános leírásában szereplı szolgáltatások

1.1.4.2.2. Szolgáltatáscsomagok A szolgáltatás csomagokba foglalt szolgáltatások: • Rendszer felmérés, tervezés A rendszerintegráció elsı részeként a Vállalkozó szakemberei a Megrendelı informatikai rendszerének üzemeltetıivel folytatott interjúk során összegyőjtik a tervezéshez és megvalósításhoz szükséges információkat. • Installálás A szoftverkomponensek telepítését és beüzemelését a Megrendelı telephelyén és hálózati környezetében végezzük. A telepítés mőszaki elıfeltételeit (adminisztratív hozzáférés, jogosultságok, hálózati elérés, az integrációba bevont kliens számítógépek rendelkezésre állása) a Megrendelı kell, hogy biztosítsa. A rendszer központi elemének, a menedzsment szerver telepítését a Vállalkozó mérnökei végzik a Megrendelı szakembereinek támogatásával. A kliens-oldali komponensek telepítését 5 szerveren és 5 munkaállomáson szintén a Vállalkozó mérnökei végzik a Megrendelı szakembereinek támogatásával. A további kliens oldali komponensek telepítését a Megrendelı szakemberei végzik az oktatáson elhangzottak alapján. Az installálás szolgáltatás a Host IPS detektáló módban való telepítéséig terjed. A támadások blokkolásainak, és a tőzfal szabályok beállítása a finomhangolás szakaszban történhet meg. • Kibıvített oktatás Az oktatás során az adminisztrátorok megismerhetik az implementálásra került termék elvét, valamint elsajátíthatják a konfiguráláshoz és szakszerő üzemeltetéshez szükséges alapvetı szaktudást. Az oktatás magyar nyelven történik, idıtartama 4-6 óra. Oktatási segédanyag nem készül. • Kompatibilitási vizsgálat A Megrendelı rendszerének felmérése abból a szempontból, hogy a munkaállomások mindegyike, illetve mekkora százaléka alkalmas az ajánlott Host IPS megoldás bevezetésére.

49

• Finomhangolás A rendszer telepítését követıen megkezdıdik egy néhány napos adatgyőjtési idıszak, majd ez alapján megtörténik az eszköz finomhangolása. Ez a klienseken keletkezı riasztások alapján a házirendek beállításának pontosítását jelenti a Megrendelı rendszereinek megfelelıen. A finomhangolás során megtörténik a fenyegetést jelentı támadásminták blokkolása, és igény esetén alapszintő tőzfalszabályok beállítása. • Riportok testreszabása A Megrendelı speciális igényeinek megfelelı riportok készítése a Host IPS rendszer mőködésével kapcsolatban. • Rendszerterv készítése Az elkészítésre kerülı rendszerterv magába foglalja a kiinduló házirendet, amely a finomhangolás alapját képezi, valamint a rendszer beállítandó egyéb paramétereit. A rendszerterv magyar nyelven készül, terjedelme megközelítıleg 4-8 oldal. • Rendszerdokumentáció készítése A rendszer véglegesített paramétereit az implementálás után rendszerdokumentációban rögzítjük, amelynek alapja a korábban elkészített rendszerterv. • Üzemeltetési kézikönyv Az üzemeltetési segédlet magyar nyelven készül, terjedelme megközelítıleg 1012 oldal. Tartalmazza a rendszer megfelelı használatához, kezeléséhez szükséges alapvetı információkat, melyek szükségesek a napi szintő üzemeltetéshez. • Az informatikai biztonsági szabályzat illesztése az IPS-hez, audit A Megrendelı meglévı informatikai biztonsági szabályzatában található IPS-hez kapcsolódó részek módosítása az újonnan integrált hálózati behatolás védelmi rendszer beállított mőködésének megfelelıen. Az IPS szempontjából releváns részek auditja Rendszeres IPS finomhangolás szolgáltatás: Ez egy havi keretórák terhére végzett szolgáltatás, melynek keretében a Vállalkozó elvégzi a Megrendelı Host IPS-én szükséges rendszeres finomhangolást. Ez a kérdéses forgalmak esetében a Megrendelı szakembereivel egyeztetve történik. A szolgáltatás feltétele, hogy ilyen esetben a Megrendelı szakemberei segítsék a finomhangolást végzı mérnököt a rendszerspecifikus információk biztosításával a kérdéses forgalmak megfelelı kezelése érdekében. 1.1.4.2.2.1.EKG HIPS 550 csomag: 50 db Host Intrusion Prevention szerver licence 500 db Host Intrusion Prevention desktop licence Nagyteljesítményő szerver redundáns háttértárral és redundáns tápellátással A szolgáltatás csomagban általános leírásában megfogalmazott szolgáltatások. Rendszerbe illeszthetıségi szolgáltatások: Ez a komponens a host-alapú IPS-el kapcsolatos finomhangolás, rendszer felmérés, tervezés, installálás, kibıvített oktatás, rendszerterv készítése, rendszerdokumentáció készítése, üzemeltetési kézikönyv készítése, kompatibilitási vizsgálat, riportok testreszabása és az informatikai biztonsági szabályzat illesztése az IPS-hez, audit szolgáltatásokat tartalmazhatja. Ezen • • • •

50

szolgáltatások tartalmának részletes leírása az installáció, migráció fejezetben található.

• • • • •

1.1.4.2.2.2.EKG HIPS 1100 csomag: SQL adatbázis licence 100 db Host Intrusion Prevention szerver licence 1000 db Host Intrusion Prevention desktop licence Nagyteljesítményő szerver redundáns háttértárral és redundáns tápellátással A szolgáltatás csomagban általános leírásában megfogalmazott szolgáltatások.

• • • • •

1.1.4.2.2.3.EKG HIPS 2650 csomag: SQL adatbázis licence 150 db Host Intrusion Prevention szerver licence 2500 db Host Intrusion Prevention desktop licence Nagyteljesítményő szerver redundáns háttértárral és redundáns tápellátással A szolgáltatás csomagban általános leírásában megfogalmazott szolgáltatások.

1.1.4.3.Az installáció, migráció A mintakonfigurációnál illetve a szolgálatás csomagokál leírt miunkát végezzük el.

1.1.4.4.Az átvételi teszt A pilot rendszer telepítését követıen lezajlik az eszköz funkcionális tesztelése. Ellenırzésre kerül, hogy az IPS megfelelıen vizsgálja-e a védett gépek mőködését, illetve hogy a munkaállomások továbbra is zavartalanul mőködnek-e. 1.1.4.5.Rendszerfelügyelet, hibabejelentés és hibajavítás A HIPS felügyeletét a Megrendelı szakemberei végzik a McAfee ePO rendszeren keresztül, amely a hálózat bármely számítógépérıl elérhetı böngészın keresztül. Minden adminisztratív feladat végrehajtása a központi menedzsmenten keresztül történik. A felügyeleti rendszer jelzései alapján a Megrendelı üzemeltetésért felelıs munkatársai az Ajánlati dokumentáció általános hibabejelentési eljárása szerint jelentik be az eseteket, a Vállalkozó az ajánlati dokumentáció általános hibajavítási leírása szerint kezeli az eseteket. A 7x24 órás Helpdesk-en keresztül lehet bejelentést tenni. Ezt a szolgáltatást a Magyar Telekom biztosítja. A Helpdesk a Felhasználó intézmény korlátozott számú, elıre meghatározott dolgozóitól (pl. rendszergazda, vezetı) fogad hibabejelentést.

51

A hibaelhárítás megkezdése (mérnök rendelése az adott probléma megoldásához) a Helpdeskre való bejelentéstıl számított egy órán belül megtörténik. A hibajavítási szolgáltatás a Vállalkozó által leszállított IPS megoldás központi elemeire, menedzsmentjére terjed ki. A végfelhasználóknál tapasztalható hibák kivizsgálása és megoldása az intézményi rendszergazda feladata. Az intézményi rendszergazda képzése az eszközök telepítésekor megtörténik. 1.1.4.6.A tervezett karbantartás A Vállalkozó évente elvégzi a leszállított Host IPS menedzsment szerveren a szükséges tervszerő fizikai karbantartást. 1.1.4.6.1. Rendszeres karbantartás Amennyiben szükségessé válik, akkor a Vállalkozó telepíti az újonnan kiadott javításokat, és menedzser szoftver verziót az ePO szerveren. 1.1.4.7.A teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% A Host IPS központi menedzsmentjét ellátó ePO szerverhez tartozó fizikai hardver alapesetben nem redundáns, az opcionálisan rendelhetı szerver redundáns háttértárral, és redundáns tápellátással rendelkezik. Amennyiben a központi menedzsment szerver nem elérhetı a kliensgépeken továbbra is kikényszerítésre kerülnek a házirendek, nem csökken a biztonsági szint. 1.1.4.8.A szolgáltatási jelentések Az eszköz számos elıre definiált riporttal rendelkezik, melyek tetszılegese testreszabhatók. Az IPS alapesetben többek között az alábbi riportokkal rendelkezik: • Host IPS Status • Service Status • Firewall Status • HIPS Client Versions • Content Version • Server High Triggered Signatures • Server Medium Triggered Signatures • Server Low Triggered Signatures • Desktop High Triggered Signatures • Desktop Medium Triggered Signatures • Desktop Low Triggered Signatures • Top 10 Blocked Applications • Top 10 IPS Events by Target • Top 10 Triggered Signatures • Client rule szabályok különféle bontásban, funkciók szerint Ezeket a riportokat igény esetén a rendszer üzemeltetıi generálják.

52

A további jelentéseket az ajánlati dokumentáció általános „Szolgáltatási jelentések” címő leírása nevezi meg. 1.1.4.9.Szolgáltatási színvonal A szolgáltatási színvolnal paramétereit lásd az 1.számú függelék alatt. 1.1.4.10.

Dokumentálási eljárások

Az alapcsomagok nem tartalmaznak átadandó dokumentációkat a kialakítandó rendszerrel kapcsolatban. A Megrendelı opcionálisan kérheti a rendszerterv, a rendszerdokumentáció, illetve az üzemeltetési kézikönyv elkészítését. Ezek tartalmáról az installáció, migráció fejezet tartalmaz részletesebb leírást. 1.1.4.11.

Rendszermentési, feldolgozási és Log-mentési eljárások

A Host IPS konfigurációjának és a hozzá kapcsolódó események rendszeres mentése az MSSQL beépített funkciójával történik, a Felhasználó által igényelt rendszerességgel. Az így készült backup további mentésre kerülhet a Megrendelı által használt mentıeljárással külsı adathordozóra. 1.1.5. Információbiztonsági Dokumentációs Rendszer Információbiztonsági Dokumentációs Rendszer - értelmezés Az információbiztonság hatékony irányítása érdekében szükséges, hogy az információbiztonsági irányelvek, követelmények és felelısségek egy keretrendszerben rögzítésre kerüljenek. Az információbiztonsági szabályozási folyamat eredményeképpen létrejövı Információbiztonsági Dokumentációs Rendszer (IBDR) egymásra épülı, tartalmában, irányában, és részletességében bıvülı dokumentumok összességét jelenti. Az információbiztonsági dokumentációs rendszer létrehozásának célja, hogy a szervezet belsı jogszabályaiban rögzített irányelvek, célkitőzések, hatáskörök, felelısségek, kötelezettségek és eljárások jöjjenek létre az információ biztonság területén. Az IBDR elemeinek összhangban kell állniuk a vállalat dokumentációs rendszerével. Így például az Üzleti Stratégiának, az Informatikai Stratégiának és az IBDR Információbiztonsági Stratégiájának egymásra épülı koherens célkitőzéseket kell meghatározniuk. Az Információbiztonsági Politikának a vállalat általános politikájában meghatározott irányelvekkel kell összhangban állnia. Az IBDR elemeinek továbbá illeszkedniük kell nemzetközileg elfogadott szabványokhoz, keretrendszerekhez, illetve a piac szereplıi által követett gyakorlatokhoz.

53

Hierarchikus szintek Az IBDR elemei az alábbi hierarchia szerint épülnek fel: • Stratégai dokumentumok:
Információbiztonsági Stratéga;
Információbiztonsági Politika. • Taktikai dokumentumok:
Információbiztonsági Szabályzat;
Üzletmenet-folytonossági Terv;
Katasztrófa Elhárítási Terv. • Adminisztratív dokumentumok:
Alsóbb-szintő Szabályozó dokumentumok;
Felhasználói Biztonsági Kézikönyv.

Az IBDR dokumentumok hierarchiája Az IBDR dokumentumai Információbiztonsági Stratégia Az Információbiztonsági Stratégia (IBS) tartalmazza, a szervezeti stratégiával összhangban, a szervezeti és mőködési célok eléréséhez szükséges információbiztonsági célkitőzéseket illetve a megvalósításukhoz szükséges feladatokat, bevezetendı rendszereket, módszereket és technológiákat. Az IBS hosszú távra, általában 5 éves idıtartamra készül. Legfelsıbb szintő, fıigazgató vagy vezérigazgató jóváhagyást igényel. Információbiztonsági Politika Az Információbiztonsági Politika (IBP) tartalmazza az informatikai rendszerek által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre-állásának megırzésével kapcsolatos irányelveket és magas szintő felelısségi köröket.

54

Az IBP továbbá hangsúlyozza a legfelsı vezetés biztonsági elkötelezettségét. Az IBP hosszú távra készül, de évente felülvizsgálandó. Legfelsıbb szintő, fıigazgató vagy vezérigazgató jóváhagyást igényel. Információbiztonsági Szabályzat Az Információbiztonsági Szabályzat (IBSZ) az IBP szellemében, az abban rögzített tartalmi elemeket figyelembe véve, azokból kiindulva határozza meg az információbiztonsággal kapcsolatos részletes intézkedéseket, követelményeket. Az IBSZ szintjén a követelmények technológia-független módón jelennek meg, így biztosítva a szervezet informatikai rendszereinek és a rendszerekben kezelt adatok védelmének általános védelmét. Az IBSZ a kockázatok, illetve az IT és a szabályozási környezet változása miatt évente felülvizsgálandó. Legfelsıbb szintő, fıigazgató vagy vezérigazgató jóváhagyást igényel. Informatikai Katasztrófa-elhárítási Terv Az Informatikai Katasztrófa-elhárítási Terv (IKeT) célja, hogy csökkentse a szervezet informatikai infrastruktúráját érintı váratlan hatások következményeit, amelyek a szervezet folyamatos mőködését és/vagy az informatikai rendszerek funkcionalitását veszélyeztetik. Az IKeT továbbá biztosítja az IT környezet tervezett visszaállítását katasztrófa bekövetkezése esetén. Az IKeT, a kockázatok, az IT és a szabályozási környezet változása miatt évente felülvizsgálandó. Informatikai Vezetı szintő jóváhagyást igényel. Felhasználói Biztonsági Kézikönyv A Felhasználói Biztonsági Kézikönyv (FBK) a felhasználókra vonatkozó az Információbiztonsági Szabályzatban meghatározott feladatok kivonatát tartalmazó dokumentum. Az FBK, mivel az Információbiztonsági Szabályzaton alapul évente felülvizsgálandó. Informatikai Vezetı szintő jóváhagyást igényel. Üzletmenet-folytonossági Terv Az Üzletmenet-folytonossági Terv (BCP) az Informatikai Katasztrófa-elhárítási Tervvel (IKeT) közösen készül fel olyan eseményekre, amelyek súlyos kihatással vannak az üzleti folyamatokra. A BCP, az IKeT-tel szemben, nem informatikai vonatkozású, hanem alternatív üzleti folyamatokat javasol minden olyan esetre, amikor üzleti folyamatok komolyabb incidens vagy katasztrófa hatására elérhetetlenné válnak. Ezért, amíg az IKeT kidolgozásáért az informatikáért felelıs szervezeti egység felel, addig az Üzletmenet-folytonossági Tervek készítéséért, és karbantartásáért az üzletágak (osztályok) vezetıi felelnek. Az BCP, a kockázatok és a szabályozási környezet változása miatt évente felülvizsgálandó. Fıigazgató vagy vezérigazgató jóváhagyást igényel. Alsóbb-szintő szabályzatok Az alsóbb-szintő szabályzatok közé az adott szervezet mőködésére jellemzı tevékenységeket szabályzó dokumentumok tartoznak.

55

A teljesség igénye nélkül az alábbi szabályozó dokumentumok kidolgozása lehet indokolt: • Mentési és Archiválási Szabályzat; • Üzemeltetési Szabályzat; • Változáskezelési Szabályzat; • Szoftverfejlesztési Szabályzat; • Incidenskezelési Szabályzat; • Adatkezelési Szabályzat; • Vírusvédelmi Szabályzat; • Jogosultságkezelési Szabályzat. Ezen dokumentumok erıs technikai, technológiai érintettségük révén évente felülvizsgálandók. Informatikai Vezetı szintő jóváhagyást igényelnek. Az IBDR bevezetésének elınyei Az IBDR kidolgozásával egy átfogó szabályozási rendszer jön létre, amely az üzleti környezet biztonságos mőködésének a feltételeit teremti meg. Az IBDR kialakítása a következı elınyökkel jár: • alkalmazásával a biztonsági követelmények betarthatósága, ellenırizhetısége, számon kérhetısége és mérhetısége valósul meg; • hozzásegít a biztonságtudatosság fokozásához; • alkalmazásával csökken a kritikus üzleti adatokhoz való illetéktelen hozzáférés, és azok módosításának veszélye; • hozzásegít az üzleti folyamatok folytonosságának biztosításához; • hozzásegíti a vezetıket, hogy az üzleti folyamatok a törvényi elıírásokkal összhangban mőködjenek (pl. adatvédelmi törvény). Az IBDR hiányával kapcsolatos kockázatok Az információbiztonsági kérdéseket átfogóan, egységesen szabályozó dokumentumrendszer hiánya esetén: • Az információbiztonsággal kapcsolatos irányelvek, célkitőzések hiánya miatt az információbiztonsági környezet nem tervezetten, hanem ad-hoc jelleggel kerül kialakításra; • A felsıvezetés információbiztonsági elkötelezettsége nem egyértelmő. Szükséges információbiztonsági beruházások nem valósulnak meg a támogatás vagy a pénzügyi keret biztosításának hiányában; • A folyamatok nem rögzítettek, így az alkalmazottak távozása, távolmaradása révén kulcsfontosságú üzleti folyamatok sérülhetnek az egyes támogató IT folyamatok nem megfelelı végrehajtása révén; • Dokumentáció hiányában a folyamatok eredményességének megítélése korlátozott; • A rögzített követelmények hiányában az üzleti mőködést veszélyeztetı felhasználói magatartás nem számon kérhetı.

56

Az IBDR kidolgozásának módszertana Az egységes IBDR kidolgozása az alábbi fıbb lépések végrehajtása révén valósul meg: • Információgyőjtés: Azonosításra kerülnek azon dokumentumok, amelyek rendelkezésre állnak és felhasználhatók az IBDR kidolgozásához. A szervezet alkalmazottaival folytatott konzultációk szervesen kiegészítik a dokumentumok tanulmányozását. • Analízis: A jelenleg rendelkezésre álló információbiztonsági dokumentumok felülvizsgálata révén azonosításra kerülnek azon IBDR elemek, amelyek átdolgozásra szorulnak. Az analízis során kerül továbbá meghatározásra azon dokumentumok köre, amelyek teljessé teszik a szervezet IBDR-ét. • IBDR kidolgozása: Az elızı lépésben feltártak alapján kiválasztásra kerülnek a kialakítandó IBDR elemei. Ezt követıen elkezdıdik a meghatározott dokumentumok kidolgozása az alábbi szabványok, általánosan elfogadott keretrendszerek, és egyéb külsı elıírások figyelembevételével: • ISO17799:2005 (MSZ ISO/IEC 17799, ISO 17799:2005, ISO 27002 – Az információbiztonság irányítási gyakorlatának kézikönyve) • COBIT v4 - Információra és a kapcsolatos technológiára vonatkozó kontroll célkitőzések • a szervezet belsı, felsıbb szintő utasításai, szabályozó dokumentumai • törvényi elıírások • IBDR validálás, átadás: A dokumentumok átadása a szervezet elızetes validálása után történik meg. Opcionálisan, ha erre igény jelentkezik, lehetıség van az IBDR elıadás keretében történı átfogó bemutatására. • IBDR oktatás (opcionális): Igény mutatkozása esetén az IBDR bemutatásra kerül a szervezet alkalmazottainak, melynek célja az információbiztonsági tudatosság fokozása és a követelmények megismertetése. • Visszacsatolás (opcionális): Igény mutatkozása esetén a bevezetett IBDR egy jövıbeli idıpontban felülvizsgálatra kerül, mely megállapítja, hogy az IBDR betölti-e szándékolt szerepét, betartható-e illetve hatékonyan mőködik-e. Az eredmények alapján, szükség esetén kiegészítésre, módosításra kerülnek az IBDR tartalmi elemei.