Descargar - Instituto TecnolÃ³gico Metropolitano

More documents

Recommendations

Info

La solución debe permitirla generación automática de líneas base de los perfiles de seguridad y el descubrimiento de la estructura y patrones de uso de las aplicaciones Web para ser protegidas. La solución debe estar en capacidad de generar un reporte exportable en PDF que contenga información relativa a la línea base generada, tales como visitas a la pagina web, ataques detectados, tipo de sub protocolos empleados, etc. A partir de la generación de la línea base de seguridad la herramienta deberá generar políticas de seguridad automáticas con el fin de facilitar la configuración de la solución. El sistema debe proteger para al menos las siguientes amenazas Web: -Cross site scripting - SQL injection - Session hijacking -Cookie tampering/poisoning -Cross site request forgery - Command injection -Remote file inclusion - Forms tampering -Hidden field manipulation -Outbound data leakage -HTTP request smuggling -Encoding attacks -Broken access control -Forceful browsing -Directory traversal -Site reconnaissance -Search engine hacking - Brute force login - Access rate control - Schema poisoning -XML parameter tampering -XML intrusion prevention - WSDL scanning - Recursive payload -External entity attack -Buffer overflows -Denial of service La solución deberá emplear firmas de protección a nivel de aplicación para poder bloquear tráfico no deseado a los servidores web protegidos. Asimismo deberá poseer como mínimo firmas de ataques para detectar y detener ataques de SQL Injection, Cross Site Scripting y exploits comunes. La solución debe estar en capacidad de manejar firmas para detectar el filtrado de información (information leakage). La solución deberá permitir generar firmas personalizadas para la detección de ataques y para la detección de filtrado de información. El equipo debe poseer la funcionalidad de validación de parámetros de entrada a las paginas web con el fin de prevenir ataques de día cero. La solución debe soportar la funcionalidad de validación de parámetros de entrada "ocultos".
El equipo debe tener la capacidad de limitar la carga de archivos. De esta forma dependiendo de la URL empleada, el tamaño del archivo y el tipo del archivo, la organización podrá permitir o denegar la carga de archivos. La herramienta deberá permitir realizar protección sobre ataques de Denegación de Servicio. El equipo deberá prevenir ataques de denegación de aplicación de servicio empleando como mínimo las siguientes técnicas: limite de cantidad de peticiones HTTP por IP, limite de conexiones TCP por sesión, prevención de peticiones automatizados y prevención de inundación de peticiones HTTP. El equipo deberá poder prevenir ataques de denegación de servicio a nivel de infraestructura, tales como limite de conexiones TCP por IP y prevención de TCP SYN cookie flood. El sistema debe permitir hacer Validación de esquemas WSDL para XML. El equipo debe tener la funcionalidad de Firewall para XML. El equipo debe tener la capacidad de hacer encaminamiento para Protocolo HTTP. El equipo ofertado debe tener capacidad de hacer load balancing para los servidores de aplicaciones en diferentes Redes (capa 3). Como parte de sus funciones de balanceo deberá manejar al menos los siguientes algoritmos de balanceo: Round Robin, Weighted Round Robin, Least Connection, HTTP Session Round Robin. El equipo de seguridad ofertado deberá manejar diferentes métodos de "Health-check" para poder darse cuenta si una aplicación está fuera de línea. Se deberán manejar como mínimo los siguientes métodos: Ping, TCP, HTTP. La solución debe permitir de forma nativa la funcionalidad de realizar análisis de vulnerabilidades a nivel de aplicación sobre las aplicaciones web que el equipo protege. El equipo deberá encontrar las vulnerabilidades, categorizarlas según severidad, explicarlas y proponer soluciones a las mismas. Adicionalmente los análisis de vulnerabilidades deberán poder ser agendados para su ejecución automática. El equipo debe tener la potestad de crear políticas de compresión y descompresión de objetos basadas en URLs. Adicionalmente deberá manejar políticas de exclusión a la compresión y descompresión, dichas políticas deberán estar basadas en URLs. El equipo deberá tener la capacidad de rescribir URLs con el fin de poder ocultar información sensible a un posible atacante. Con el fin de poder aumentar el nivel de seguridad de las aplicaciones web, el equipo deberá manejar políticas de autenticación a distintas páginas web. Las políticas de autenticación deberán asignar un nivel de autenticación extra a diferentes URLs definidas por la organización. La solución debe estar en capacidad de prevenir y controlar ataques de Defacement ó “alteraciones” al sitio web corporativo. Debe estar en capacidad de realizar escaneos de forma periódica al contenido de la página web, en caso de detectar cambios se deberá poder tomar dos acciones: alertar el cambio o
Page 1 and 2: PROYECTO DE PLIEGOS DE CONDICIONES
Page 3 and 4: El proponente deberá examinar, ana
Page 5 and 6: horas las 17:00 horas, hasta el dí
Page 7 and 8: Lo anterior no impide que dentro de
Page 9 and 10: Abierto los sobres con las propuest
Page 11 and 12: asociación con los requisitos de a
Page 14 and 15: • Acreditar que su duración es p
Page 16 and 17: manifestar que existe acuerdo de pa
Page 18 and 19: La información financiera deberá
Page 20 and 21: Certified Ethical Hacker (CEH) ó O
Page 24 and 25: deshacerlo. El periodo de tiempo de
Page 26 and 27: De Cumplimiento del Contrato: Cubri
Page 28 and 29: El valor de las multas y la cláusu
Page 30 and 31: TIPIFICACION DEL RIESGO ASIGNACION
Page 32 and 33: técnicos y/o operativos 18 19 Por
Page 34 and 35: RESUMEN DE LA PROPUESTA: En caso de
Page 36 and 37: eportes ó solo lectura. Debe permi
Page 38 and 39: diferentes Redes (capa 3). Como par
Page 40 and 41: FORMATO Nº 3 MULTAS O SANCIONES SE
Page 42 and 43: FICHA TECNICA DE ESPECIFICACIONES P
Page 44 and 45: La solución debe estar en capacida
Page 46 and 47: 9. El proponente deberá entregar u
Page 48 and 49: . En caso de incumplimiento del té

Descargar - Instituto TecnolÃ³gico Metropolitano

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?