I I.1.1
5 6
NL Hoeveel IP adressen zijn in gebruik binnen MIN FIN? NL Welke maintenance windows zijn er voorzien voor de migratie?
90000, telefonie inbegrepen Het maintenance window voor de verschillende migraties zal bepaald worden in overeenstemming met de FOD Financiën, volgens de impakt van elke migratie. We herinneren eraan dat voor elke migratie moet worden voorzien dat deze impakt op de services zo klein mogelijk is (er moet worden voorzien om snel terug te keren naar de initiële situatie indien de migratie niet goed verloopt).
I.1.1
6
NL Zijn deze buiten of binnen kantooruren of tijdens het weekend?
De planning voor de verschillende migraties zal gebeuren in overeenstemming met de FOD Financiën, volgens de impakt van de migraties. De meerderheid van de migraties zal gebeuren buiten de kantooruren.
I.1.2
7
NL "De FOD Financiën zal de hardware van het servertype leveren, met inbegrip van het besturingssysteem voor Microsoft Windows-servers dat nodig is voor de ontwikkeling, de expoitatie en de installatie."
Exclusieve administrator rechten worden niet gegeven, er zullen accounts met de nodige rechten worden voorzien. Er worden security policies toegepast op de servers.
In het kader van SLA verantwoordelijkheid, krijgt de uitvoerder exclusieve admin rechten op de nodige servers voor de oplossing of ligt deze bij FOD FIN? Worden Security policies van FOD FIN toegepast op deze servers? I.1.2.1.2
8
NL "Men dient rekening te houden met het feit dat de huidige antivirusclient McAfee is"
I.16
16
Rekening houden enkel met betrekking tot migratie of moet het voorstel van de nieuwe oplossing ook McAfee zijn? NL Is het aub mogelijk om een uitstel van drie weken toe te kennen voor het indienen van de offertes ?
I.17.3.2
23
NL "De inschrijvers zullen worden verzocht om een demonstratie uit te voeren" Wat zijn de verwachtingen van FOD FIN ivm een demo voor LOT2? Is dit eerder een Proof of Concept? Wanneer wordt deze verwacht? Tijdens de bid fase of na de toekenning van het contract.
I.17.3.2
23
NL "De prestaties, de technische kwaliteit en de mogelijkheden van de antivirussoftware - in the wild on demand, zoo on demand, er zal ook een snelheidstest worden uitgevoerd, test met gearchiveerde en gecomprimeerde bestanden, test met bestanden in Office-formaat"
II.1 II.6.4 II.6.4 II.6.5 II.6.5 II.6.5 II.6.6.2.1
24 28 28 28 28 28 29
NL NL NL NL NL NL NL
II.6.9.2 II.6.11.1 II.6.13
31 32 35
NL NL NL
Zal FOD FIN zelf een test uitvoeren? Wanneer wordt deze voorzien? Tijdens de bid fase of na de toekenning van het contract. Binnen welke termijn wordt de kennisgeving van de gunning verstuurd Wat is de frequentie van het Stuurcomité? Het organigram van de steerco dient vastgelegd te worden (intern / extern) Hoe wordt de reporting uitgevoerd? Zijn er naast de stuurcomités nog project review meetings? Zo ja, met welke interval Dient er een Project Implementation Plan gemaakt te worden? Is mail voldoende om FODFIN op de hoogte te stellen van een levering of gebeurd dit via (aangetekend) schrijven? Wat is de beschikbaarheid van de medewerkers van FODFIN Zijn er templates voor Change Management? Is FOD Financiën bereid om de aansprakelijkheid te beperken conform de op de markt gangbare principes ?
Men dient rekening te houden met het huidige antivirus om de migratie te doen, maar de inschrijver is vrij om een nieuw product naar keuze aan te bieden.
Nee Deze demonstratie betreft lot 2, ze nodigt de inschrijvers uit om de gegevens in hun offerte op een praktische manier te tonen, wat betreft de efficientie en de performantie van hun oplossing.Een datum zal worden bepaald door de FOD Financiën voor het toewijzen van de opdracht.
De testen zullen worden uitgevoerd door de inschrijver en beschreven in zijn offerte.
De toewijzing is voorzien voor eind 2011, er kunnen echter geen garanties gegeven worden Elke maand. De details in verband met het beheer van het project zijn toegevoegd aan het lastenboek. De details in verband met het beheer van het project zijn toegevoegd aan het lastenboek. Elke week. Ja, het moet worden opgesteld door de aannemer, met akkoord van FOD Financiën. een email is in eerste instantie voldoende, maar dient per aangetekend schrijven bevestigd te worden. De juiste modaliteiten worden vastgelegd tijdens het verloop van het project. Kantooruren en uitzonderlijk buiten de kantooruren, en enkel vanop afstand. Dit maakt deel uit van de kwaliteit van de offerte Ja
1.2.1
43
FR Est-il possible d'avoir une description générale (marques) des produits utilisés en ce qui concerne les firewalls, les IPS et les différents produits de filtrage de contenu (mail, web) ?
Les détails ne seront pas publiés mais voici les grandes lignes Juniper firewall 210 rules environs 15 VPN site to site Cisco firewall 370 rules Proxy Bluecoat 112 policy Mail relay Ironport a few rules TLS config activated, forced for specific destination. 16 policy DNS Infoblox 165 entrées SSL VPN Juniper SA : 54 policy "L’infrastructure firewall actuelle est construite sur deux couches entre lesquelles se trouve la DMZ. L’installation est localement redondante, et le matériel est également réparti sur deux sites distants de 10 km (site d’exploitation à Schaerbeek et Disaster Recovery Site à Anderlecht). La connexion Fedman qui permet l’accès à Internet est redondante et accessible sur les deux sites distants. La première couche (extérieure) est composée de firewalls Juniper. La seconde couche intérieure est de marque Cisco. La DMZ contient plusieurs zones virtuelles pour les différents serveurs comme CCFF (Taxonweb, Belgotax, …), Tarweb, etc…. Les serveurs sont répartis dans 3 salles sur le site de production et 1 salle sur le site de DR. On trouve aussi dans la DMZ les Proxies et les Proxies AV (marque Bluecoat), les MTA pour le mail (Ironports), et les SSL-VPN (Juniper SA). Les load balancers sont des Cisco Ace. L’ensemble des appareils est réparti sur les deux sites (production et Disaster Recovery). L’infrastructure est équipée d’un réseau séparé et sécurisé de management distant connecté à des lignes redondantes, tant au site de production qu’au site de disaster recovery. Cette description est indicative et ne peut en aucun cas être considérée comme exhaustive."
III
46
NL Via de link onder II.6.10 komen we uit bij document "ArchitectureBuildingBlocks23032011Nl.pdf". Via de De meest recente versie moet worden gebruikt link onder III bij "FODFIN-Architectural-Building-Blocks-V2-22-05-2008-Nl.pdf ". Gaan ervan uit dat recenste versie moet gebruikt worden.
III.1.2.1
46
NL Lot 1 bestaat uit 3 luiken, het 2de luik is de migratie van de bestaande omgeving naar de nieuwe, met een strikt minimum aan dienstonderbreking. Is het mogelijk om een meer gedetailleerde beschrijving van de bestaande omgeving te bekomen?
De details worden niet gepubliceerd, maar dit zijn de belangrijkste richtlijnen Juniper firewall 210 rules ongeveer 15 VPN site to site Cisco firewall 370 rules Proxy Bluecoat 112 policy Mail relay Ironport a few rules TLS config activated, forced for specific destination. 16 policy DNS Infoblox 165 entrées SSL VPN Juniper SA : 54 policy "De huidige firewall infrastructuur is opgebouwd uit twee lagen waaronder de laag DMZ. De installatie is lokaal redondant, en het materiaal is gelijkmatig verspreid over twee vestigingen die op 10 km afstand van elkaar liggen (actieve vestiging in Schaarbeek en de Disaster Recovery vestiging in Anderlecht). De FedMAN aansluiting die toegang tot het internet mogelijk maakt is redondant en is toegankelijk van op de twee vestigingen die op 10 km afstand van elkaar liggen. De eerste laag (buitenlaag) is samengesteld uit Juniper firewalls. De tweede binnenste laag is van het merk Cisco. De DMZ bevat meerdere zones voor verschillende virtuele servers zoals CCFF (Taxonweb, Belgotax, ...) Tarweb, enz. .... De servers zijn verdeeld over drie zalen voor de productievestiging en één zaal voor de vestiging van DR. De DMZ bevat ook de Proxies en de Proxies AV (van het merk Bluecoat), de MTA's voor de e-mail (Ironports), en de SSL-VPN's (Juniper SA). De load balancers zijn van het merk Cisco Ace. Het geheel van de aparaten is verspreid over de twee vestigingen (productie en Disaster Recovery). De infrastructuur is uitgerust met een apart netwerk en het beveiligd beheer gebeurd van op afstand via aangesloten redundante lijnen, zowel op de productievestiging als op de Disaster Recovery vestiging. Deze beschrijving is indicatief en kan in geen geval worden beschouwd als volledig."
III.1.1
46
NL Kunnen we een inventaris krijgen van de te vervangen huidige hardware en licenties?
De details worden niet gepubliceerd, maar dit zijn de belangrijkste richtlijnen Juniper firewall 210 rules ongeveer 15 VPN site to site Cisco firewall 370 rules Proxy Bluecoat 112 policy Mail relay Ironport a few rules TLS config activated, forced for specific destination. 16 policy DNS Infoblox 165 entrées SSL VPN Juniper SA : 54 policy "De huidige firewall infrastructuur is opgebouwd uit twee lagen waaronder de laag DMZ. De installatie is lokaal redondant, en het materiaal is gelijkmatig verspreid over twee vestigingen die op 10 km afstand van elkaar liggen (actieve vestiging in Schaarbeek en de Disaster Recovery vestiging in Anderlecht). De FedMAN aansluiting die toegang tot het internet mogelijk maakt is redondant en is toegankelijk van op de twee vestigingen die op 10 km afstand van elkaar liggen. De eerste laag (buitenlaag) is samengesteld uit Juniper firewalls. De tweede binnenste laag is van het merk Cisco. De DMZ bevat meerdere zones voor verschillende virtuele servers zoals CCFF (Taxonweb, Belgotax, ...) Tarweb, enz. .... De servers zijn verdeeld over drie zalen voor de productievestiging en één zaal voor de vestiging van DR. De DMZ bevat ook de Proxies en de Proxies AV (van het merk Bluecoat), de MTA's voor de e-mail (Ironports), en de SSL-VPN's (Juniper SA). De load balancers zijn van het merk Cisco Ace. Het geheel van de aparaten is verspreid over de twee vestigingen (productie en Disaster Recovery). De infrastructuur is uitgerust met een apart netwerk en het beveiligd beheer gebeurd van op afstand via aangesloten redundante lijnen, zowel op de productievestiging als op de Disaster Recovery vestiging. Deze beschrijving is indicatief en kan in geen geval worden beschouwd als volledig."
III.1.1
46
hergebruik van componenten is niet toegestaan
III.1.2.3
49
NL Kunnen we componenten hergebruiken voor de nieuwe oplossing of trade-in premies in rekening brengen? Wat valt exact onder de oude infrastructuur. NL "Men dient minstens twee interfaces te voorzien voor elk van de netwerken per site. Aangezien de DMZ’s voor de toepassingen verspreid zijn over verschillende lokalen van eenzelfde datacenter, moet men een oplossing doorvoeren die de mogelijkheid biedt om de bekabeling tussen de lokalen (lokale routers) te beperken. Vanuit elke interface met de buitenwerekd zullen één of meer verbindingen vetrekken naar de overeenstemmende externe sites."
Een externe site is Fedman/internet alsook de partners, deze aansluitingen worden gebracht tot aan de behuizing van het toekomstig veiligheidssysteem
Kan dit verduidelijkt worden? Wat wordt bedoeld met externe sites? Is dit extern tov een computerlokaal of tov het datacenter zelf? Wordt er bedoeld dat er vanuit een Computerroom in Data-1 er bij uitval van de lokale main swith er steeds een verbinding moet zijn naar de "externe site" zijnde het backup datacenter. III.1.2.3
49
NL Op pagina 50 staat dat de firewalls minstens 4x10Gbps en 4x1Gbps moeten hebben. Onder III.1.3.1.6 op pagina 58 staat dat het aantal fysieke interfaces van de firewalls moet hoger zijn dan of gelijk aan 16 (10 gigabits). Is dit niet tegenstrijdig? Hoeveel fysieke interfaces zijn er minimum nodig voor 10Gbps en 1Gbps ? Zijn 4x10Gbps en 4x1Gbps voldoende ?
III.1.2.3
49
III.1.2.3
49
NL Er wordt hier gesproken over de fysieke interfaces van de firewall en het aanbieden van minstens vier 10Gbps en vier 1Gbps interfaces. Graag hadden we hier een beschrijving gehad in welk type fysieke interfaces dit moet worden aangeboden (fiber (SR, LR, …) , koper (CX4, 10GBase-T,…)), teneinde de aansluiting correct te kunnen doen met de bestaande componenten. NL Aangezien we ook de switching infrastructuur moeten voorzien (momenteel C6500) is het voor ons niet duidelijk dat we zelf moeten zien om die apparatuur aan te sluiten?
III.1.2.3
49
NL Hoe is de verbinding tussen de twee datacenters?
III.1.2.3 III.1.2.2
49 49 58
NL Hoe is de aansluiting met het huidig netwerk? NL In beide secties wordt gesproken over lokale redundantie binnen een geheel. Moet de hardware redundant voorzien worden per site; op beide sites? Is het voldoende om de hardware op North Galaxy redundant te maken en een niet redundante DRP te voorzien op South Galaxy?
4x10Gbps FW frontend - Internet 4x1Gbps FW frontend - Internet 4x10Gbps FW backend - intern netwerk 8x1Gbps FW backend - specifiek intern netwerk Er dient opgemerkt te worden dat de inschrijver zijn behoeften moet beschrijven ten aanzien van de verbindingen tussen de twee sites volgens het design van het voorgestelde systeem. Voor alle fysieke interfaces die nu niet geïnstalleerd werden,zal de opdrachtnemer verplicht worden om de aangepaste interfaces aan te bieden van zodra deze informatie gekend is.
Alle connecties tussen de verschillende apparatuur is ten laste van de opdrachtnemer, de connecties tussen het intranet, internet, inter site en de veiligheidsinfrastructuur worden tot aan de kast van het veiligheidssyteem gelegd. Momenteel is een DWDM voorbehouden voor uitwisseling tussen de sites, een tweede DWDM wordt gedeeld met de andere systemen van FOD Financiën. fiber 1Giga redundant Beide sites moeten zo identiek mogelijk zijn. De locale redundantie betreft de dubbele voedingen en de interconnecties tussen de verschillende elementen. Elke site (vestiging) moet in staat zijn alle services te verwerken en te ondersteunen met dezelfde betrouwbaarheid.
III.1.2.3
52
NL Op pagina 52 wordt gesproken over het controleren van http/https/telnet en ftp verkeer. Layer 7 voor allen, het geheel van deze trafiek betreft de proxies. Moeten we “controleren” in dit geval begrijpen als inspectie van de trafiek op layer 7. M.a.w, moeten ook telnet en ftp services afgemonteerd kunnen worden op een proxy? Of is een layer 3 firewall hier afdoende?
III.1.2.4.2
53
NL "Momenteel 60.000 verb/s - Prognose 256.000 verb/s. "
III.1.2.4.4
III.1.2.4.5
III.1.2.4.5
54
54
54
III.1.2.4.5
54
III.1.2.4.3
54
III.1.2.4.5
54
Wat wordt juist bedoeld met "verbindingen/s"? Graag extra info ivm de grote van de requesten (1K, 32K, ...), de versie van HTTP (1.0, 1.1, ...), het aantal requesten in een verbinding, de lifetime van een sessie, ... Graag specifieke piekwaardes voor de reverse proxy, WAF, XML gateway, loadbalancers, ...? Dit om te vermijden dat we componenten kiezen die oversized zouden zijn volgens het 256.000 verbindingen/s requirement. In paragraaf III.1.2.4.4 wordt er melding gemaakt van 30.000 nieuwe sessies per seconde. Is dit in conflict met bovenstaande (256.000 verbindingen/s)? NL "Dimensionering van de Firewall: - De internetinterface: Dual 10 Gigabit (coupling of interfaces) per site en dual 1 Gigabit (coupling of interfaces) per site. - DMZ-interface = Dual Gigabit (coupling of interfaces) per site per server. - Interne interface = Dual 10 Gigabit"
Betreffende de cijfers, 60.000 nu en 256.000 de komende 5 jaar, het betreft (gelijktijdige) actieve verbindingen. Voor de andere specificaties rekenen we op uw specialisten, om realistische berekeningen uit te voeren betreffende het surfgedrag van een gebruiker in vergelijking met een standaardgebruiker op internet. Een groep interne servers zal toegang hebben tot internet via proxies, op een gelijkaardige of eenvoudiger manier dan een gebruiker uitgezonderd voor het aantal connecties. 30.000 nieuwe sessies per seconde betreft het aantal nieuwe sessies per firewall laag.
Correct.
We veronderstellen dat de Internet en DMZ interface van toepassing zijn op de Front-end FW en de Interne en DMZ interfaces op de Backend FW. Correct? NL "In functie van het aantal servers moet men switches voorzien met een backplane van 300Gbit+ en in staat Dit is een cijfer dat het geheel van alle aansluitingen weergeeft. om 96+ poorten aan te bieden. De switch moet een uplink hebben naar de « applications loadbalancers » of hij moet een geïntegreerde « loadbalancer » hebben. De inschrijver moet voldoende poorten voorzien in functie van zijn architectuur en de componenten die hij voorstelt." Is dit 96+ poorten per computerlokaal of voor het totaal aan switches over de verschillende Computerlokalen heen? NL Interface webservers = elke server moet dual gigabit hebben voor de redundantie. 300 Gbps voor de centrale switch, de secondaire switches moeten worden gedimensioneerd zodat de In functie van het aantal servers moet men switches voorzien met een backplane van 300Gbit+ en in staat centrale switch kan worden geëxploiteerd. Het voorstel 2 x 24 redundante poorten x 6 zou volstaan. om 96+ poorten aan te bieden. De switch moet een uplink hebben naar de « applications loadbalancers » of hij moet een geïntegreerde « loadbalancer » hebben. De inschrijver moet voldoende poorten voorzien in functie van zijn architectuur en de componenten die hij voorstelt" Veronderstel dat de 300Gbps backplane capaciteit geldt voor de centrale DMZ switches en niet voor de switches per Computerlokaal? Staan de servers enkel in de Computerlokalen en moet er dan over alle lokalen heen minstens 96 server poorten voorzien worden (zodat 2 x 24 redundante poorten per lokaal x 6 hier zeker aan voldoet)? NL "Interface Web Content Scanning = Dual 2 Gigabit" Het behoort aan de inschrijver een voorstel te doen dat voldoet in termen van dimensie en veiligheid.Voor dit deel kan de inschrijver een groep van parallel werkende toestellen of één enkel voldoende krachtige Is dit een bundeling van 2 x 1Gbps per Datacenter component ? machine (per site) voorstellen.Vanaf dat moment zal de verdeling van de bandbreedte naar verschillende poorten aangepast worden in de offerte van de inschrijver. NL Graag verduidelijking van het begrip parallel queuing? FOD Financiën verwacht van de inschrijver dat hij het beheer uitlegt van de eventuele wachtrijen. Zijn er nog specifieke cijfers over de gebruikte bandbreedte op de interfaces van de MTA’s? Beschikbare cijfers hieromtrent zijn terug te vinden in het lastenboek: III 1.2.4.2. NL In verband met de gevraagde switch infrastructuur met layer 4 functies. Kan de bestaande infrastructuur hergebruikt worden? Heeft die infrastructuur voldoende ruimte voor het inschakelen van de nieuwe devices?
Geen enkel element van de oude infrastructuur kan worden hergebruikt (rack inbegrepen).
III.1.3.1.1
54
NL Graag verduidelijking van onderstaande paragraaf: De Administratie is voorstander van een globale Het betreft technologieën van verschillende fabrikanten (bv. De twee lagen firewall) architectuur die meerdere verschillende technologieën integreert, voor zover deze verschillende technologieën samenwerken met het oog op een versterking van de veiligheid van het geheel. Voor al het inkomende of uitgaande verkeer van de FOD Financiën zal de voorkeur worden gegeven aan een oplossing die de producten van minstens drie verschillende technologieën combineert. De laatste zin is enigszins verwarrend. Het gaat over een oplossing die producten van verschillende technologieën combineert. - Naar de letter zou men dan één device krijgen die verschillende technologieën als smtp/firewall/proxy combineert. Wat ons niet de bedoeling lijkt? - Een andere interpretatie zou kunnen zijn: “die de producten van verschillende vendors combineert”. “Technologie” duidt dan op “vendor”. Het aantal devices is daarbij minder belangrijk maar wel het feit dat er verschillende vendors gebruikt worden. Is dit de correcte interpretatie? - Tevens gaan we er ook van uit dat het niet de bedoeling is om voor elke technologie (als http) minstens 3 keer het pakket te inspecteren op 3 verschillende producten? Klopt dat?
III.1.2.4.5
54
NL Interface Web Content Scanning = Dual 2 Gigabit. Wil dit zeggen dat er twee keer twee inferfaces van 1Gigabit in een bundel zijn opgenomen ?
III.1.2.4.4 III.1.2.34.5 III. 1.3.3.9
54 65
Het is aan de inschrijver om een voorstel te doen dat voldoening zal geven in termen van grootte én van veiligheid. Voor dit deel mag de inschrijver een reeks van apparaten die parallel werken of een enkele krachtig machine (per site) voorstellen. Vanaf dat moment zal de verdeling van de bandbreedte naar verschillende poorten aangepast worden in de offerte van de inschrijver. NL “In III.1.2.4.4 wordt er gespecificeerd dat er per site per server een dual DMZ interface moet gespecificeerd Momenteel worden er ongeveer 40 interfaces gebruikt en ongeveer 35 servers zijn actief dit cijfer zal worden. aanzienlijk evolueren, bepaalde servers gebruiken 2 interfaces om redenen van redundantie. In III.1.2.4.5 wordt er gespecificeerd dat de DMZ capaciteit voor de web servers in staat moet zijn 96+ poorten aan te bieden. In III. 1.3.3.9 worden er 70 server gespecificeerd.” Hoeveel servers zijn er momenteel in de DMZ gelokaliseerd? Welke hoeveelheid interfaces zijn er nodig?
III.1.3.1.2
55
NL …30 services per groep, waarbij elke groep zich kan aanmelden op twee verschillende manieren. We veronderstellen dat het hier gaat over dat een eindgebruiker meerdere authenticatiemechanismen moet doorlopen alvorens toegang te krijgen tot een portaalpagina of het netwerk. vb. "e-ID én Windows AD authenticatie" samen of "OTP Token én Windows AD authenticatie". Correct?
III.1.3.1.5
56
III.1.3.1.3
56
III.1.3.1.6
57
De authenticatie van de gebruiker moet zo goed mogelijk aansluiten bij het authenticatiesysteem van de FOD Financiën, er zijn verschillende mogelijkheden denkbaar voor de identificatie eid, token, login (wachtwoord)password. Bepaalde combinaties kunnen worden gevraagd.
NL De voorgestelde hardware en de installatie ervan moeten compatibel zijn met de technische kenmerken De racks moeten geleverd worden. van de lokalen waarin ze worden geïnstalleerd. Er wordt in de bijlage geen melding of beschrijving gedaan van racks in de datacenters. Wil dit zeggen dat indien er racks nodig zijn voor de installatie van apparatuur we deze ook moeten mee aanbieden ? NL “In III.1.3.1.3 Registratie van Evenementen. Hier wordt gespecificeerd dat een integratie mogelijk moet zijn het auditsysteem van FodFin heeft als basis een relationele database. De opname in de database kan in het auditsysteem voor identificatie, authenticatie en authorisatie van de FOD Financiën.” worden gedaan door middel van SQL queries. Kan u verduidelijken om welk systeem het hier gaat ? Op basis van welke protocollen kan dit auditsysteem aangesproken worden? NL "De back-end FW moet een interface hebben met de back-end internet (momenteel CISCO switch 6500)"
Ja, het betreft het interne netwerk
Veronderstel dat hier "intern netwerk" ipv "internet" wordt bedoeld? III.1.3.1.6
57
III.1.3.1.6
57
NL Mogen we veronderstellen dat er DWDM infrastructuur tussen de 2 Datacenters beschikbaar is? Moeten we hier rekening houden met beprkingen? NL Dienen de border routers ook aangeboden te worden, of vallen die niet binnen de scope van het lastenboek ?
De verbinding tussen de 2 sites zal worden verstrekt door de FOD Financiën De routers die internet-connectiviteit verstrekken worden door FedICT geleverd en beheerd. Voor een optimale redundantie, zijn we op dit moment aangewezen op intermediaire routers die onderling met elkaar verbonden worden en die zich bevinden tussen de routers geleverd door FedICT en de FW frontend.
III.1.3.1.7
58
NL Lokale versus Globale redundantie: "Lokaal mag een tekortkoming van een uitrusting de werking van het lokale geheel niet in het gedrang brengen." Veronderstel dat bij de tekortkoming van een uitrusting het wel toegelaten is dat de uitrusting in het andere Datacenter deze functie overneemt zodat het lokale geheel niet in het gedrang komt (stretched redundantie). OK? NL "De latency-tijd van de IP-communicaties moet korter zijn dan 50 milliseconden"
De redundantie per site moet volledig zijn, maar het falen van een deel van het systeem mag niet leiden tot een volledige fail-over van het systeem. Zo mag een defecte DNS-server niet resulteren in een fail-over van een dubbele firewall, proxy's en mail relay...
III.1.3.1.8
58
III.1.3.1.7
58
III.1.3.2
59
III.1.3.3.2
60
III.1.3.3.2
61
NL In verband met onderstaande dependency op pagina 61 (bovenaan). De voorgestelde firewalls moeten in staat zijn om virtualisatie te ondersteunen. Is het voldoende dat het platform de ondersteuning heeft of moeten ook de licenties voor de ondersteuning van virtualisatie al inbegrepen zitten? Met andere woorden: kan een design aanvaard worden waarbij op een bepaalde laag op dit moment nog geen virtualisatie wordt geactiveerd? Is er ruimte om het design te veranderen of om netwerken op een andere firewall af te monteren?
Virtualisatie moet mogelijk zijn, maar is niet vereist in het voorstel van de inschrijver behalve voor de backend waar op zijn minst drie virtuele FW vereist zijn.
III.1.3.3.7
63
Er is geen vasco server, de tokens en de eid worden momenteel onmiddelijk gebruikt in de Juniper SA. Alleen de tokens worden hergebruikt.
III.1.3.3.7
63
III.1.3.1.8
64
III.1.3.3.9
65
NL Het systeem moet de identificatiecontrole via elektronische identiteitskaart ondersteunen voor Belgische gebruikers en via token (digipass) voor buitenlandse gebruikers (Vasco-compatibiliteit noodzakelijk om de continuïteit van het gebruik van reeds verdeelde digipassen te verzekeren) Wil dit zeggen dat we hier een beroep kunnen doen op de reeds aanwezige Vasco server infrastructuur, of moeten we die ook opnemen in onze aanbieding ? NL “In III.1.3.3.7 wordt gespecificeerd dat het systeem voor remote access moet kunnen integreren met het Identity & Access Management Systeem van de FOD Financiën.” Gelieve te verduidelijken over welk Identity & Access Management Systeem het gaat ? Met welke protocollen kan dit aangesproken worden? NL Zijn functionaliteiten als honeypot, fail-open en fail-close noodzakelijk, of mogen kwalitatief gelijkwaardige oplossingen voorgesteld worden ? NL III.1.3.3.9 Functionaliteit « Host based Security» Dit is een gedeeltelijke overlapping met Lot 2, Zijn er mogelijkheden om dit te combineren, of moet dit een gescheiden structuur zijn.
Tussen welke zones geldt dit? NL Mogen wij ervan uitgaan dat er voldoende dark fiber beschikbaar zal zijn tussen beide datacenters of zal er gebruik gemaakt worden van CWDM of DWDM technologie? Dit is belangrijk om de juiste type interfaces te kunnen bepalen op onze apparatuur. NL hoe is de huidige security policy gestructureerd, op welke standaarden is zij gebaseerd en wat zijn de voornaamste security rollen & verantwoordelijkheden? NL In verband met onderstaande dependency op pagina 60 (midden). Onafhankelijkheid ten opzichte van het hardwareplatform dat de FW ondersteunt . Moeten we hier per definitie rekening houden met gevirtualiseerde firewalls op een standaard platform? Of sluit dit het aanbieden van specifieke firewall hardware niet uit?
Ongeacht welke zone, zone source (bron) of zone destination (bestemming). Ter herinnering: "De inschrijver zal de omstandigheden beschrijven waarbij aan deze waarden niet kan worden voldaan." Momenteel een DWDM is gericht op de uitwisseling tussen de sites en een tweede DWDM wordt gedeeld met de andere systemen van FOD Financiën. Het nieuwe veiligheidsbeleid zal rekening houden met de inhoud van het voormalige, maar zal niet strikt de vorm en/of de totale inhoud overnemen van het oude veiligheidsbeleid. Het is de bedoeling dat er mogelijkheid is om te evolueren, FOD Financiën verwacht van de inschrijver een efficiënt voorstel in deze richting. De toelichting van de inschrijver om dit doel te bereiken zal worden geëvalueerd. In deze paragraaf worden er pistes (mogelijkheden) aangeboden die geenszins de creativiteit van de inschrijver aan banden mag leggen. Het te bereiken doel is essentieel, veiligheid, redundantie en performantie moeten alom tegenwoordig zijn.
Het platform Identity en Access Management van FodFin ondersteunt de standaard SAMLv2. Een J2EE API en een geheel van webservices zijn eveneens beschikbaar. LDAP zal worden aanvaard indien de bovenstaande oplossingen niet kunnen worden ondersteund. De voorgestelde systemen moeten ten minste voldoen aan de functionaliteit in het lastenboek beschreven. De loten kunnen mogelijk toegekend worden aan verschillende opdrachtnemers, daarom mag een combinatie tussen de systemen van de twee loten niet voorkomen.
III.1.3.3.12
67
NL Moet de DNS service gebaseerd worden op appliances of kunnen het ook standaard servers zijn? Er wordt Het doel is een beveiligde DNS-service. Een appliance, een standaard server, een virtuele server zijn in de paragraaf hierboven enerzijds gesproken over servers, anderzijds over appliances. toegelaten, maar ze moeten uiteraard efficiënt zijn in termen van veiligheid en prestaties / latency. De inschrijver zal zijn voorstel uitvoerig beschrijven. De eerste behoefte is een DNS-service voor externe Recursion vs authoritative zone's. Een tweede behoefte is een reverse DNS ten behoeve van de servers in DMZ bijvoorbeeld (de proxy servers), de mogelijkheid van gebruik door interne klanten moet eveneens aanwezig zijn. In de beschrijving van de DNS service zitten enkele onduidelijkheden. Het is duidelijk dat er vraag is voor “authoritative DNS” servers voor de externe zone. Het is ook duidelijk dat er nood is aan “recursion “voor queries naar internet zones. We raden af om beide diensten op dezelfde machines aan te bieden, zeker in het kader van de vraag naar een “beveiligd dns systeem”. Het zou eigenlijk beter zijn dat de externe –te installeren- webservers gebruikt worden voor recursion en dat de authoritative zone geïnstalleerd wordt bij de provider, waar in principe ook de reverse dns gebeurt. We begrijpen uit de probleemstelling echter dat jullie beide diensten wel degelijk op dezelfde externe DNS appliances willen hosten. Begrijpen we dat correct? Kan dit nog verduidelijkt worden?
III.1.3.3.12
69
NL "Er moeten minstens twee aparte services beschikbaar zijn: een voor de productieomgeving, een andere voor de overige omgevingen ;"
1.4.3 III.1.3.3.14
69 70
Geldt dit enkel voor de malware apparatuur of ook voor andere? FR Le NSOC peut-il être localisé dans un pays extérieur à l'Europe ? NL Momenteel is dit het gebruik van de reverse proxy’s tijdens de meest gebruikte maand : 6000 GigaByte 2300000 bezoeken 150000000 pagina’s 125000000 bestanden 150000000 hits De Web Application Firewalls moeten de huidige belasting én de toekomstige belasting ondersteunen.
Voor de malware apparatuur en enkel op aanvraag.
Zie III.1.4.3 - Alle directe gesprekspartners moeten Frans en Nederlands kunnen. De actuele waarde in de spits voor de servers http https is ongeveer 40.000 simultane aansluitingen.
Bijkomende gegevens zijn gewenst voor de correcte schaling van de toestellen voor de WAF functionaliteit. Zie ook vraag over III.1.2.4.2. III.1.3.3.14
70
NL Welke zijn de technologieen waarop de huidige internet web diensten van het ministerie zijn gebaseerd? Te denken aan: Zijn er specifieke compliancy requirements in verband met het opslaan van private keys. Denk aan FIPS 140? Moet de voorgestelde application firewall ook load balancing taken vervullen? Of zullen bestaande load balancers of reverse proxies dat blijven doen?
Op dit ogenblik bestaat er nog geen specifieke policy voor opslag van de certificaten. Een load balancer voor de DMZ is inbegrepen in de overheidsopdracht.
III.1.4.1
72
Een risico-analyse aangepast aan de huidige risico's en activiteiten van de FOD Financiën is noodzakelijk.
III.1.4.2 III.1.4.2.1
72 73
III
73
III
73
NL Is er een risico-analyse gevoerd en zo ja zijn de resultaten hiervan beschikbaar? Zo nee, kunnen we zelf een additionele risico-analyse doorvoeren (of maakt dit al deel uit van de scope)? NL Wordt hier gerefereerd naard de ITIL V2 operationele processen? NL Quote : "Installatie en assistentie bij het opstarten. Deze assistentie moet absoluut toereikend zijn qua kwantiteit en kwaliteit" . Dienen hieromtrent SLA's opgesteld te worden? NL Mag rapportering in het Engels? We denken hier vooral rapportering of incidenten en oplossing waar veel Engelse terminologie (in deze security/ IT omgeving) van toepassing is. NL De lokalisatie van de NSOC moet in België zijn? Moet binnen Europa blijven?
Ja Deze vraag is niet relevant. Voor de SLA verwijs ik je liever door naar III.1.4.6 SLA. Het Engels wordt getolereerd maar we verzoeken niettemin de rapporten in het Frans of het Nederlands af te leveren. Zie III.1.4.3 - Alle directe gesprekspartners moeten Frans en Nederlands kunnen.
III.1.4.2.2
73
NL In III.1.4.2.2 Migratie van de bestaande infrastructuur wordt beschreven: “De te migreren services zijn met name de SSL-VPN, de VPN site-naar-site, de mail-relays, de proxy’s, de antivirus, de firewalls, de DNS, de load-balancers, de inbraakdetectie, de veiligheidscontrole van de servers, …” Kan u aub meer details geven rond de huidige setup : * Type componenten * Typische configuratie aspecten: aantal policies (firewall, NAT, VPN, ..), geactiveerde features * Mag de huidige configuratie AS IS gemigreerd worden of niet.
De details worden niet gepubliceerd, maar dit zijn de belangrijkste richtlijnen Juniper firewall 210 rules ongeveer 15 VPN site to site Cisco firewall 370 rules Proxy Bluecoat 112 policy Mail relay Ironport a few rules TLS config activated, forced for specific destination. 16 policy DNS Infoblox 165 entrées SSL VPN Juniper SA : 54 policy "De huidige firewall infrastructuur is opgebouwd uit twee lagen waaronder de laag DMZ. De installatie is lokaal redondant, en het materiaal is gelijkmatig verspreid over twee vestigingen die op 10 km afstand van elkaar liggen (actieve vestiging in Schaarbeek en de Disaster Recovery vestiging in Anderlecht). De FedMAN aansluiting die toegang tot het internet mogelijk maakt is redondant en is toegankelijk van op de twee vestigingen die op 10 km afstand van elkaar liggen. De eerste laag (buitenlaag) is samengesteld uit Juniper firewalls. De tweede binnenste laag is van het merk Cisco. De DMZ bevat meerdere zones voor verschillende virtuele servers zoals CCFF (Taxonweb, Belgotax, ...) Tarweb, enz. .... De servers zijn verdeeld over drie zalen voor de productievestiging en één zaal voor de vestiging van DR. De DMZ bevat ook de Proxies en de Proxies AV (van het merk Bluecoat), de MTA's voor de e-mail (Ironports), en de SSL-VPN's (Juniper SA). De load balancers zijn van het merk Cisco Ace. Het geheel van de aparaten is verspreid over de twee vestigingen (productie en Disaster Recovery). De infrastructuur is uitgerust met een apart netwerk en het beveiligd beheer gebeurd van op afstand via aangesloten redundante lijnen, zowel op de productievestiging als op de Disaster Recovery vestiging. Deze beschrijving is indicatief en kan in geen geval worden beschouwd als volledig."
II.1.4.3
73
NL III.1.4.3 Monitoring op afstand: veiligheidsalarmen, beschikbaarheid en prestaties. “De FOD Financiën gaat uit van het principe dat de belangrijkste activiteiten voor de supervisie en het beheer van de veiligheid een 24/7-benadering vergen, met speciale prioriteit voor de analyse « 24/7 real time » en voor de correlatie van de incidenten die zich voordoen binnen de verschillende systemen (vb. FW, IDP,…). De updating van nieuwe zwakke plekken moet hierin zijn begrepen, dit met het oog op een proactieve bescherming van het netwerk van de FOD Financiën.” Is het voldoende een geautomatiseerd systeem voor te stellen dat volgende functies vervult : enerzijds het 24/7 continue en realtime monitoren van de omgeving. anderzijds het automatisch genereren van een aantal security events met een geautomatiseerde escalatie Indien niet, kan u dan aub in meer detail toelichten ?
Deze twee punten lijken absoluut noodzakelijk, gebaseerd op zijn ervaring, zal de inschrijver de beste oplossing aangepast aan ons bedrijf (FOD Financiën) voorstellen. De kwaliteit van het voorstel van de inschrijver maakt deel uit van de evaluatie van de offerte.
III.1.4.3 III.1.4.3
74 74
1.4.5.4
74
NL 24/7 incident correlatie & security analyse zitten dus in de scope? NL Hoe en onder welke vorm dienen SLM, CM en AM van de beveiligingsinfrastructuur geïntegreerd worden met SLM, CM en AM van FOD Fin? FR Est-ce que la DSL et la CMDB mentionnées sont celles existantes du SPF Finance, ou faut-il prévoir une DSL et CMDB dédiée au lot 1 et 2 ? Dans le premier cas, quel est le type de produit utilisé ?
III.1.4.5.1
75
III.1.4.5.1
75
NL Dienen we niet een meer exhaustieve en gedetailleerde lijst van level 1, 2 en 3 incidenten op te stellen?
III
75
III.1.4.5.1
76
III.1.4.5.2
76
NL Kunnen we meer informatie krijgen over het governance model dat moet worden opgezet. En dit om een optimale samenwerking te realiseren gedurende de looptijd van het project. Bv Hoeveel maandelijkse meetings tussen de Getronics service manager en MIN FIN. NL Hoe en onder welke vorm dienen incident management van de beveiligingsinfrastructuur geïntegreerd worden met incidentmangement van FOD Fin? NL Wat zijn de vereisten wat betreft de frequentie van deze audit/verificatie?
III.1.4.5.3
78
NL Kunnen de vereisten van pre- en post audits nader gedetailleerd worden?
Ja Een aanvullend document zal aan het lastenboek toegevoegd worden en in de loop van volgende week gepubliceerd worden. Er moet geen DSL en CMDB geleverd worden. Er bestaat reeds een DSL en CMDB die bij FOD Financiën gebruikt wordt. Het product voor de DSL is Artifactory. Voor de cmdb gebruiken HP BTW uCMDB versie 9.03. NL Is het absoluut noodzakelijk om RFCS & automatische alarmeringen op exact dezelfde manier te verwerken Het is niet absoluut noodzakelijk, we vragen van de inschrijver om zijn voorstel nauwkeurig te beschrijven als incidenten? en zijn keuze te rechtvaardigen. Een alarm voor een onderbreking van een service is niet zo belangrijk als een alarm over een probleem met een aparaat dat een servicebreuk veroorzaakt. onder in de tabel wordt aangegeven: " In overleg met het bestuur, kan de inschrijver een detailoverzicht geven van zijn categorieën." Een aanvullend document is aan het bestek toegevoegd.
Diverse opties zijn mogelijk, de FOD Financiën zal samen met de inschrijver de meest efficiënte bepalen. Wij laten de inschrijver vrij in zijn keuze om ons een efficiënt aanbod te doen.Wij gaan ervan uit dat de inschrijver die professioneel werkt op beveiligingsgebied het meest geschikt is om ons een voorstel aangepast aan onze business voor te leggen. niet relevant
III.1.4.6
80
NL Kan hetw verwachte minimum prestatieniveau en veiligheidsniveau nader gepreciseerd worden?
III1.4.6.2
81
NL In hoofdstuk “1.4.6.2 Globale beschikbaarheid” bevat volgende paragraaf: “De globale beschikbaarheid zal worden geëvalueerd volgens een gemiddelde beschikbaarheid per gebruikte interface en per type van verkeer, gewogen ten opzichte van het gemiddelde verkeer, zoals dat naar voren komt uit de statistieken met de meetgegevens van het systeem. Bij gebrek aan bruikbare statistieken moeten de nominale debieten worden gehanteerd. Het falen van de interne interface komt overeen met een onbeschikbaarheid van 100% voor het bewuste verkeerstype, ongeacht de staat van de andere interfaces.” Deze paragraaf is niet geheeld duidelijk, is het mogelijk om te herformuleren? Kunnen we stellen dat alle beschikbaarheids-SLA’s worden gemeten op de diensten die worden geleverd door High-availability clusters en niet afzonderlijk wordt gemeten op de verschillende nodes van die clusters?
II.1.4.6.2
83
III.2.1
90
NL Betreft : Security level. Kunnen de begrippen 'incident' en 'veelvoudige incidenten' nader gedefiniëerd worden? Eenheid van incident is hierbij belangrijk. NL Welke McAfee producten zijn er vandaag gëinstalleerd?
III.2.1
90
NL
III.2.1
90
NL
III.2.2.2
91
NL
III.2.2.3
91
NL
III.2.2.6 III.2.2.7 III.2.3.2
93 93 95
NL NL NL
III.2.3.2
95
Algemeen
Algemeen
We verwachten van de inschrijver, een professioneel op gebied van veiligheid, een antwoord aangepast aan onze business (FOD Financiën). Begrijp dat uitgevoerde metingen in dit geval de beschikbaarheid en daarmee ook de doorstroming van informatie treft. Sterker nog, als een informatiestroom wordt vertraagd of afgebroken, wordt de SLA beïnvloed. Een defecte netwerk interface heeft niet noodzakelijk gevolgen voor de SLA, tenzij de stroom van informatie wordt afgebroken.
Dit maakt deel uit van de kwaliteit van de offerte, maar dient wel binnen het kader van het lastenboek geplaatst te worden. Op de servers wordt e-Policy orchestrator versie 4.5 gebruikt. Op de werkposten wordt op dit ogenblik de McAfee Agent versie 4.6.0.1694 en de McAfee Virusscan Enterprise + AntiSpyware Enterprise versie 8.8.0.777 gebruikt. Zijn de disaster recovery scenario’s beschreven/beschikbaar Het scenario varieert van jaar tot jaar. Wat de firewall betreft, de klassieke verrichting bestaat erin om automatisch de informatieflux van de actieve site laten over te schakelen naar de site van recovery door het uitschakelen van aanwezige apparaten op de hoofdsite. Wordt er met “Er moet een mogelijkheid bestaan tot uitwisseling tussen de systemen voor het beheer van Een portaal systeem voor het beheer van incidenten en wijzigingen kan gehanteert worden, maar de veranderingen en incidenten van de leverancier en dat van de FOD Financiën” een portal bedoeld? paragraaf geldt in het bijzonder voor de mogelijkheid, om een geformatteerd bericht te kunnen sturen naar de software van het incidentbeheer van de Service Desk van FOD Financiën bijvoorbeeld om een ernstig incident op de firewall infrastructuur te melden. Dienen de log-bestanden ook in de taal van de werkstation te staan of moet dit uniform zijn. Indien de log-bestanden toegankelijk zijn voor de gebruiker, dienen ze beschikbaar te zijn in de taal van het werkstation. Dient een incidident enkel gemeld te worden of dient er binnen de software een mogelijkheid te bestaan Het incidentbeheer gebeurd via het ticket systeem van de FOD Financiën. om deze tickets op te volgen. Welke SLA’s worden er gewenst? Zie III.2.5 Per uur, per dag, of deel uit makend van een support contract voor 1 of meerdere jaren Per dag, zie Modellen van prijstabellen Dient er op alle sites een distributiepunt aanwezig te zijn of wordt de scope bepaald door FOD Financiën Een distributiepunt op elke site is niet voorzien.
NL Dienen product-updates ter beschikking worden gesteld voor werkstations die zich niet in het netwerk bevinden of beperkt het updaten zich enkel tot signature files. Algem NL Wat is de positie van min fin t.o.v cloud services voor: een - Forward proxy - Email security - Security log consolidatie - monitoring
NL Kan er alleen op lot 2 worden geantwoord?
Alle werkposten krijgen updates via ons netwerk. Draagbare PC's hebben de mogelijkheid de virusupdates te verkrijgen via het internet zonder langs ons netwerk te passeren. Forward proxy security & E-mail zijn op de site vereist Security log consolidatie & monitoring mogen buiten de site van FOD financiën gebeuren maar moeten voldoen aan de Belgische wetgeving. De vertrouwelijkheid van deze gegevens is cruciaal, de inschrijver zal uitleggen welke voornemens hij neemt om de vertrouwelijkheid van de gegevens in alle mogelijke gevallen te beschermen en te respecteren. Ja
