专家组验收评审意见整改答复书

专家组验收评审意见整改答复书对于X月X日召开的XXXXXXXXXXXXXXXX建设一期验收会议，专家组对信息化系统提出了三点整改意见，分别为：安全性升级，系统人性化优化，系统BUG及问题修正，现根据专家提出意见的整改情况，我司给出以下答复：1.安全性升级安全性现状现在已做的安全性工作目前已做的安全性措施分为windows服务器、web服务器、应用程序三个方面，安全防护策略从隔离防护、漏洞扫描、病毒防治、安全日志、入侵检测、最小权限等进行控制，信息如下：Windows服务器已安装服务器安全狗和小红伞杀毒引擎，完成操作系统安全补丁的修复171项、系统账号安全优化、系统服务安全优化5项、注册表安全优化24项、完成病毒和木马扫描。已设置DDOS防火墙、ARP防火墙、web防火墙（抗CC）、应用防火墙。已设置端口安全策略。已设置账户策略锁定策略、审核策略、安全选项。Web服务器SQL注入拦截、拦截上传或浏览的网页木马、禁用危险组件、禁止IIS执行程序应用程序后台SQL参数化执行，防止SQL注入。处理用户访问：具备身份验证、会话管理、访问控制。处理用户输入：边界验证、特殊字符验证。应对攻击者：屏蔽错误信息、审计日志。

防止XSS攻击。数据库连接串、用户密码关键信息已加密。1・1・2安全风险现状及隐患软件系统安全防护是一个系统工程，随着技术的发展，在互联网上的应用没有绝对的安全，下图中每个环节都不能出现安全隐患。但是，我们通过系统的安全防护，可以做到有效的安全保障，提升系统的安全性。传输W曲应防病毒保护数据加密SSL防火墙TDS/IPSWeb服务器传输W曲应防病毒保护数据加密SSL防火墙TDS/IPSWeb服务器目前“Web应用”已做处理，“网络”目前吉林市机房已存在，另外锐迅也在外网服务器上进行安全狗的部署。目前的隐患是“桌面”，也就是PC端需要增强防护，防护措施可以采用加密锁和采用数据加密的配合方式。1・2改进措施1・2・1软件改进1・2・1・1 360天擎终端安全管理系统计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查，超过85%的安全威胁来自内部。在国内，高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度，造成内部网络木马、病毒、恶意软件肆虐，各种Oday漏洞、APT攻击层出不穷。同时系统与应用软件的安全漏洞使得黑客入侵有机可乘；自主知识产权操作系统的缺乏，使得国内广大XP用户在停服后面临前所未有的挑战。除此之外安全问题还包括：终端病毒、木马问题严重，不能高效有序查杀；全网被动防御病毒、木马的传播与破坏，无法应对未知威胁；不能及时发现系统漏洞并进行补丁分发与自动修复；IT资产不能精确统计，资产变动情况掌握滞后；终端单点维护依靠大量人工现场处理；未经认证的U盘、移动硬盘等移动存储介质成为病毒传播的载体；光驱、网卡、蓝牙、USB接口、无线等设备成为风险引入的新途径；终端随意接入网络，入网后未经授权访问核心资源；非法外联不能及时报警并阻断，导致重要资料数据外传流失；终端随意私装软件，恶意进程持续消耗有限网络带宽资源；针对以上问题，我们采用以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供安全统一管控、终端准入管理、系统安全加固、终端安全审计等诸多管理类功能。

1.2.1.1.1系统架构内网互联网售有云1.2.1.1.1系统架构内网互联网售有云终端安全管理系统包括安全控制中心和客户端两部分。控制中心安全控制中心是系统核心，部署在服务器端，主要包括安全管控和安全事件收集告警两大功能。安全控制中心采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。安全事件收集告警，通过管控中心，管理员可以了解全网终端的告警信息，通过报表分析，掌握全网威胁状况。客户端客户端部署在需要被保护的终端或服务器上，执行最终的木马病毒查杀、漏洞修复、安全防护等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。1.2.1.1.2主要功能1、病毒/木马防护支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，云查杀优势无法很好的体现，病毒查杀率将降低。通过在隔离网部署私有云，病毒查杀效果与客户端联网时没有差别。2、补丁管理可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联，可以根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，在保障企业网络带宽的前提下可以有效提升整体漏洞防护等级。3、资产管理具有强大的终端发现功能，管理员可以通过定义网络IP段分组，对指定的网络分组进行周期性地发现（采用多协议、多机制方式）与统计网络中的终端数量及类型。管理员通过此功能，了解全网终端数量和安装量，为终端安全管理运维提供有效的参考。对单台终端具有全面的安全运维管理功能，包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理、终端安全威胁统计和远程运维管理等功能。4、软件管理能够统计全网终端的软件部署情况，还可以根据不同部门进行终端分组，并对不同分组分发不同软件，实现远程部署、远程通知安装等方式。系统集软件下载、升级、卸载等功能于一体，提供必要的一站式软件管理服务，可以避免来源不明的软件的安装和运行带来的各种风险（如含有恶意代码或者木马程序），又可以合理分配和控制软件许可证。支持软件的统一分组、定时分发，并可实现自动安装应用以及强制卸载应用，帮助管理员按照规定管理终端用户软件的安装。支持查询全网终端的软件安装情况以及终端进程信息，帮助管理员及时发现违规软件及可疑应用。5、终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等。•流量管理：了解各终端的网络流量情况，包括终端的实时网络速度、一段时间内的下载上传流量等，同时支持对终端的上传及下载流量限制进行统一管控，帮助管理员管理网络流量，避免非法应用占用大量带宽，保证正常业务的平稳运行。•非法外联：可以针对企业中经常遇到的通过3G网卡、随身Wifi等方式使内网电脑可以通过非法途径连接外网导致核心数据泄漏等问题的出现，非法外联管理模块无论终端使用何种方式连接外网都可以在第一时间对管理员发送告警并隔离非法终端，在最大程度上保障核心数据安全。•应用程序安全：支持三种策略：针对终端在线作用，针对终端离线作用和针对在线和离线终端作用。应用程序安全支持进程黑白名单，添加进白名单的进程为信任进程，而黑名单中的进程为恶意进程，系统将直接阻断该类进程。另外，还有进程红名单，添加进进程红名单的进程为必须运行进程，可以防止恶意程序对该必备类型进行破坏。•网络安全：支持同上三种类型策略，也是通过黑白名单准测来确保网络安全。管理员可以添加某些网络连接的协议类型，IP地址和端口号或者添加URL地址来使它成为黑名单或者白名单，从而保证用户网络安全。•外设管理：采用策略化的外设管理模式，管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性，并支持分配到不同的分组上面。支持硬件准入管理，可帮助管理员对终端的USB口、1394、串口、并口、PCMCIA卡等接口进行启用和禁用控制，支持的设备有USB移动存储、非USB移动存储、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板等常用设备进行禁用管理，也支持光盘的读写控制功能。管理员可对PC终端外设进行强有力的全面管控，杜绝数据外泄和感染病毒的风险。•桌面安全加固：帮助IT管理员对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查等功能进行细粒度的统一强管控，并支持不同的分组设置不同的策略功能。协助IT管理员做到全网终端统一配置的管控目标，提高IT管理员的运维水平。6、 移动存储介质管理实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。移动存储管理解决了用户在安全管控要求下使用移动存储介质，实现数据共享和数据交换的迫切需求。移动存储管理支持分组管理，给予不同的移动存储介质相应的授权使用范围和读写权限，同时支持设备状态的追踪与管理。7、 XP防护采用了多层防护、标本兼治、技术与安全管理策略相结合的整体设计思路，在WindowsXP系统之上由内到外采用了四层防护手段，包含了加固、修复、隔离、安全策略自动化等多项举措：系统加固（核心手段）、热补丁修复、危险应用隔离、“非白即黑”安全策略等。•系统加固：XP系统的安全问题从本质上来说是操作系统设计的缺陷，只有从根本上解决XP系统设计机制上的缺陷，才能彻底解决问题。系统的最大优势即在于将XP系统中的安全机制补齐，使XP系统在不升级到高版本操作系统的情况下，也拥有同样健全的安全防护机制。•热补丁修复：通过替换内存中存在漏洞的可执行代码，在系统底层对XP漏洞实施精确的“外科手术”，彻底根除漏洞病灶。•危险应用隔离：漏洞级安全威胁主要集中在少数应用之上（如IE、Office等），因此对这些危险应用，采用安全沙箱（Sandbox）的技术手段进行隔离，保证在这些应用遭受到攻击的情况下不会对宿主的XP系统产生安全威胁。IE沙箱隔离：允许访问网络，限制访问本地资源；Office沙箱隔离：允许访问本资源，限制访问网络。“非白即黑”策略：采用PE文件白名单机制，依托于高纯度的PE文件白名单库，仅允许白名单库中的文件在系统中运行，而所有未在白名单库中的PE文件均被禁止在XP系统上加载、运行，这就能在理论上保证所有通过XP系统漏洞渗透进来的恶意代码均无法在XP系统上实现攻击。8、终端准入管理使用主机完整性策略和准入硬件旁路设备来发现和评估哪些终端遵从策略，判断哪些终端是否允许安全访问核心资源。非遵从性客户端会定向至修复服务器通过下载必需的终端安全软件、补丁程序及病毒定义更新等使客户端计算机保持遵从性。9、 安全审计管理包括“文件操作审计”，“文件输出审计”，“文件保护审计”，“移动存储审计”和“打印审计”。在上述五类终端审计对象中，所审计的内容只是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，达到合规管理的审计的要求。10、 报表管理报表展示：支持对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、系统危险项，安全配置、文件及应用日志、终端事件告警等信息进行报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计与展现，也能按周、月、季、年的时间维度进行趋势分析，同时支持报表的导出及打印，帮助管理员对日常安全防护、安全运维工作进行分析评估。大数据存储分析：为大型客户和行业客户提供独有的大数据引擎（BDE）系统，将全网终端日常运维数据汇聚存储分析，并根据客户的行业特点和客户运维管理所需的要求定制报表，为管理员提供更佳有效的终端安全管理运维依据，提高终端安全管理水平。大数据引擎（BDE）与传统终端安全管理系统的数据存储方式比具有存储空间大、报表生成快、内容丰富多样等特点。11、边界联动防御终端安全管理系统可以与边界防护设备——新一代未知威胁感知系统进行联动，实现对PC终端的攻击防御。未知威胁感知系统在检测出网络攻击行为之后，一方面会采用页面报警、邮件报警的方式对攻击行为进行实时报警，同时还会将报警信息实时发送给部署在终端之上的终端安全管理系统进行有效联动。在接收到报警信息之后，会及时根据报警信息所提供的文件名称、五元组信息对攻击行为进行及时的隔离与阻断，实现“边界发现、终端防御”的深度发现与防御效果。最后，终端安全管理系统对攻击和文件的阻断与隔离结果实时反馈给未知威胁感知系统，未知威胁感知系统在接收到终端安全管理系统的反馈结果之后，修改报警信息，加入“处理结果”更新防护规则，同时将本次攻击防御的处理结果分享给网内其它控制中心和终端，以提高全网的安全防护能力，完成对一次攻击及其报警的闭环防御流程。1.2.1.1.3技术优势1、完善的终端安全防御体系立体布控，纵深防御。系统自身具有云端查杀、终端防御的功能特点，结合威胁感知系统（部署在网络边界）可构成“云+端+边界”的立体防御体系。通过在网络边界、终端系统部署查杀设备与管理软件，同时结合云端查杀的多点立体防护，可实现对已知病毒及恶意代码、未知病毒及恶意代码、利用已知漏洞和Oday漏洞（未知漏洞）发起的攻击渗透、乃至利用上述技术手段发起的APT攻击行为进行深度检测与精确阻断。从空间维度上做到立体布控，纵深防御。动静结合，全程查杀。结合多种安全技术，建立多层次、动静结合、全生命周期的病毒查杀防御体系。在查杀技术上复合多种引擎，包括传统第一代特征码杀毒引擎，第二代启发式查杀引擎、第三代自主创新的人工智能QVM查杀引擎、云查杀引擎，对病毒及恶意代码主动查杀，滴水不漏；防御技术上结合HIPS（主动防御）技术、沙箱技术、黑白名单等策略，对未知威胁从进入网络就开始严密监控，终端落地后一旦有非正常行为即展开多层过滤、主动防护、全程查杀。智能学习，不断进化。QVM人工智能引擎采用了先进的人工智能算法，具备“自学习、自进化”能力，可以像病毒分析师一样思考。通过对超过100亿的黑白名单、海量病毒样本大数据的不断学习分析，研究它们的变化规律，QVM人工智能引擎持续优化完善自身算法，做到不需要频繁升级特征库，就能防御90%以上的加壳和变种新病毒，而不会像常规杀毒引擎一样，“不升级病毒库就杀不了新病毒”，并且病毒检出率远远超过了第一、二代杀毒引擎的总和，查杀速度领先传统引擎至少一倍。2、 强大的终端安全管理能力全面监控，量化风险。提供对终端硬件资产、软件与操作系统、网络配置变动的监控，还提供终端体检与系统修复、升级与补丁分发、流量管理、系统优化与加速、企业级软件商店等几十项安全管理功能。可以根据单位内部要求、行业管理规定、终端风险等级下发统一安全策略，针对不同状态的终端执行特殊安全策略，实施手术刀似的精准管理。通过细粒度的统计与详尽的日志报表可以纵观全网终端的安全态势，包括病毒查杀趋势、高危漏洞修复态势、文件风险等级划分等，对全网终端风险做到量化观测，高效管理，全面监控。3、 良好的用户体验与易用性系统在产品易用性方面要求极其苛刻，绝大多数功能设计都要求一键完成，包括：一键加速、一键清理、一键修复、一键升级、一键体检等等，具备灵活的分组管理，批量策略下发、分时扫描、终端强制控制、软件静默安装、一对一远程协助等易用功能，全面贴合用户的安全管理需求，最大程度降低用户安全管理运维成本，提高用户的工作效率。1.2.1.2 360虚拟化安全管理系统1.2.1.2.1产品简述随着虚拟化平台软件的发展，虚拟机在企业内部的应用越来越盛行，相对于普通PC,虚拟机的优势显而易见：首先，由虚拟机实时迁移和虚拟机集群中的应用程序高可用性，实现了始终可用的IT系统；其次，虚拟机平台实现高整合率，大大提高硬件利用率；然后，通过虚拟化平台可靠性以及集成的备份、恢复和故障切换功能，确保始终可用的IT运营连续性。以上等等优势，也决定了普通的企业安全软件，并不适合虚拟化平台的安全需求。普通的企业安全软件，如果使用在虚拟化平台上，会导致种种问题。比如说，每一台虚拟机单独进行文件监控或者病毒扫描，占用的系统资源比较多，如果多台虚拟机同时进行，就会造成防病毒风暴。如果每台虚拟机单独使用网络连接企业云服务端，会导致每一台主机和云服务端中有多个连接，耗费网络资源，这个问题也会出现在安全软件升级过程中.倘若虚拟机启动的时间比较接近，硬件资源的过渡利用会导致开机慢，开机过程中卡死等问题。所以，虚拟化平台应当有真正合适的安全解决方案。360虚拟化安全管理系统，针对传统企业安全软件在虚拟化平台上运行的问题，提出了以下解决方案：1、安全方案VirtualizationPlatform耗费资源较多的杀毒引擎运行在安全虚拟机上，员工使用的虚拟机上只运行一个杀毒轻代理，当有文件事件时，轻代理采用虚拟化平台共享内存的方式把文件传递给安全虚拟机，安全虚拟机进行危险文件的鉴定和病毒的清除。这样减轻虚拟机压力，让虚拟机的运行更顺畅。安全虚拟机搭载可配置个数的杀毒引擎，保证异步查杀的效率，同时可选向私有的云安全中心或者公有云引擎查询文件状态，用360云安全中心数以亿计的文件信息保证误杀率的足够低。2、性能优化方案对于启动风暴的优化，提供启动状态的查询，如果同时处于启动状态的虚拟机过多，采用延时启动，避免资源的过渡使用。

360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM对于网络流量的优化，每一台虚拟化平台主机，只需下拉一份升级数据，由安全虚拟机将升级文件分发到各轻代理，同时提供服务器流量限制，避免升级风暴。1.2.1.2.2产品架构360SecurityPublicClaud360SecurityPrivateCloud360SecurityCenterSVMvCeritpiViitualizalionPlatform360SecurityCenterSVMvCeritpiViitualizalionPlatform特点:a）轻代理，单点集中查杀，避免反病毒风暴;

本地引擎加载实例个数可设，并发查杀任务数可调；集中的Cache管理机制，优化查杀效率，避免重复查杀；病毒库升级只需每主机一份；配合私有云引擎和可开关的公有云引擎，有效提高查杀力提供对安全虚拟机(SVM)专有防护；1.2.1.2.3系统架构1.2.1.2.4实现功能1.2.1.2.3系统架构1.2.1.2.4实现功能保护虚拟机内子操作系统的文件系统(以下也简称为"虚拟机文件")。扫描由用户或其它应用程序在虚拟机上打开或关闭的所有文件，以查找病毒和其它威胁。1、如果文件未感染病毒和其它威胁，则允许用户访问该文件。2、如果发现某个文件包含病毒或其它威胁，则执行安全策略中设置的指定操作；例如，清除或阻止该文件。扫描虚拟机文件以查找病毒或其它威胁。以执行按需扫描或者指定扫描计划。安全虚拟机可配置。安全虚拟机引擎加载实例可配置，安全虚拟机运行时间可选择。对威胁防范过程中的性能消耗进行优化。可设置轻代理分时启动，避免开机风暴；可限制升级过程中的流量消耗；以及根据主机性能对查杀资源的使用进行智能控制。以虚拟化平台组织架构为基础，进行终端管理。接入虚拟化平台对虚拟机的重启，关机功能，方便管理员操作。储存在清除过程中删除或修改的文件备份副本。文件的备份副本以特殊格式存储在备份区中，不会造成危害。如果一个被清除的文件包含部分或完全不可访问的信息，可以从它的备份副本保存文件。更新病毒库。可以手动更新反病毒数据库或者为病毒库制定更新计划，每台主机只需更新一份升级文件。1.2.1.2.5关键逻辑时序图1、文件实时监控iretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiGEobalresultcached?E阳£|JI&忙questifilecached?SVMHandlerAVEngines-□nAcress^canC«he&Fitter2、主动查杀1.2.2硬件改进1.2.2.1利用加密锁方式进行系统安全性升级加密锁是外形酷似U盘的一种硬件设备，后来发展成如今的一个软件保护的通俗行业名册，加密锁是一种插在计算机并行口或USB口上的软硬件结合的加密产品，其目的是通过对软件与数据的保护防止知识产权被非法使用。每只