长宁区科委：

一、理化实验室考试项目等级保护测评专项经费

长宁区教育局根据《上海市教育委员会关于做好2021年初中理化试验操作考试运行保障工作的通知》〔2021〕17号文件，教育局现急需加快考场建设和系统部署运行。依据GB/T22239-2019信息系统安全等级保护基本要求安全标准中重要系统的安全保障要求，需对“长宁区理化实验考试系统”、“长宁区理化实验考试智能赋分系统”开展安全等级测评工作（详见附件1）。中小学实验室考试系统安全等级测评项目经费所需经费12万元，动用历年项目资金承担。

二、教育安全专网主动防御系统项目经费

根据教委对教育专网安全等级保护的要求，长宁教育信息中心完成了教育专网三级等级保护的测评，根据测评报告整改建议以及等级保护测评2.0要求，需要部署主动防御系统。通过在长宁教育专网内部署主动防御系统后，系统可以提供面向业务层的主动防御，高效甄别伪装和假冒正常行为的已知和未知自动化攻击，为各类Web、HTML5提供强大的安全保护，防止攻击者对信息中心和学校的各类网站和应用进行破坏和攫取，保障学校网站和教育教学应用安全运行和数据安全（详见附加2）。教育安全专网主动防御系统项目经费所需经费35万元，动用历年项目资金承担。

妥否，请函复

附件：1. 理化实验室考试项目等级保护测评项目需求

      2. 关于教育安全专网主动防御系统的建设方案

长宁区教育局

2021年4月19日

(联系人：诸瑶涵，联系电话：22050766)

附件1

理化实验室考试项目等级保护测评项目需求

一、采购技术要求

安全等级测评服务：

依据GB/T22239-2019《信息系统安全等级保护基本要求》安全标准中二级系统的安全保障要求，分别对《长宁区理化实验考试系统》（4个子系统，1个区级机房，9个学校机房、不超过40台服务器及安全设备）、《长宁区理化实验考试智能赋分系统》（3个子系统，1个区级机房，不超过10台服务器及安全设备）这两个应用系统开展安全等级测评工作，具体要求如下：

1、测评内容要求：

（1）技术要求

安全物理环境：针对系统的机房、设备设施等对象进行核查；

安全通信网络：针对系统的网络架构、网络设备、网络防护、通信传输等对象和内容进行核查和技术测试；

安全区域边界：针对系统的网络架构、网络设备的安全区域边界防护情况进行核查和技术测试；

安全计算环境：针对系统的网络设备、安全设备、服务器、重要客户端的操作系统和数据库、应用系统（如业务系统、办公系统、网站发布系统）等对象进行核查和技术测试；

安全管理中心：针对系统的网络架构、审计系统、运维管理平台等对象进行核查和技术测试；

渗透性测试：针对应用系统（如业务系统、办公系统、网站发布系统）等进行渗透性测试，内容包括网站远程扫描、参数过滤漏洞、远程权限控制、敏感信息泄露等；

（2）管理要求

安全管理制度：针对管理制度、制定和发布、评审和修订等情况进行核查；

安全管理机构：针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核；

安全管理人员：针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查；

安全建设管理：针对系统建设的全过程，系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发等进行核查；

安全运维管理：针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。

2、测评实施要求：

在安全等级测评工作中发现安全风险问题汇总后及时反馈用户单位，同时督促其实施问题整改。

待用户单位完成整改后，再对整改情况进行复核，以保证《长宁区理化实验考试系统》、《长宁区理化实验考试智能赋分系统》两个系统安全性方面满足等级保护标准要求。

3、服务及文档要求

协助用户对其信息系统开展摸底调查，编制与填写被测信息系统的《定级报告》和《备案表》；

协助用户将信息系统定级材料递交至主管部门，通过备案审核；

提交完整的安全等级测评工作计划及测评方案；

初次现场安全测评完成后，分别出具两个系统的《测评问题汇总》；

全部安全测评工作完成后，分别出具两个系统的《安全等级测评报告》。

预算明细：

《长宁区理化实验考试系统》（4个子系统，1个区级机房，9个学校机房、不超过40台服务器及安全设备）人民币柒万元整；

《长宁区理化实验考试智能赋分系统》（3个子系统，1个区级机房，不超过10台服务器及安全设备）人民币伍万元整。

共计人民币120，000元（拾贰万元整）。