專家組驗收評審意見整改答復書對于X月X日召開的XXXXXXXXXXXXXXXX建設一期驗收會議，專家組對信息化系統提出了三點整改意見，分別為：安全性升級，系統人性化優化，系統BUG及問題修正，現根據專家提出意見的整改情況，我司給出以下答復：1.安全性升級安全性現狀現在已做的安全性工作目前已做的安全性措施分為windows服務器、web服務器、應用程序三個方面，安全防護策略從隔離防護、漏洞掃描、病毒防治、安全日志、入侵檢測、最小權限等進行控制，信息如下：Windows服務器已安裝服務器安全狗和小紅傘殺毒引擎，完成操作系統安全補丁的修復171項、系統賬號安全優化、系統服務安全優化5項、注冊表安全優化24項、完成病毒和木馬掃描。已設置DDOS防火墻、ARP防火墻、web防火墻（抗CC）、應用防火墻。已設置端口安全策略。已設置賬戶策略鎖定策略、審核策略、安全選項。Web服務器SQL注入攔截、攔截上傳或瀏覽的網頁木馬、禁用危險組件、禁止IIS執行程序應用程序后臺SQL參數化執行，防止SQL注入。處理用戶訪問：具備身份驗證、會話管理、訪問控制。處理用戶輸入：邊界驗證、特殊字符驗證。應對攻擊者：屏蔽錯誤信息、審計日志。

防止XSS攻擊。數據庫連接串、用戶密碼關鍵信息已加密。1?1?2安全風險現狀及隱患軟件系統安全防護是一個系統工程，隨著技術的發展，在互聯網上的應用沒有絕對的安全，下圖中每個環節都不能出現安全隱患。但是，我們通過系統的安全防護，可以做到有效的安全保障，提升系統的安全性。傳輸W曲應防病毒保護數據加密SSL防火墻TDS/IPSWeb服務器傳輸W曲應防病毒保護數據加密SSL防火墻TDS/IPSWeb服務器目前“Web應用”已做處理，“網絡”目前吉林市機房已存在，另外銳迅也在外網服務器上進行安全狗的部署。目前的隱患是“桌面”，也就是PC端需要增強防護，防護措施可以采用加密鎖和采用數據加密的配合方式。1?2改進措施1?2?1軟件改進1?2?1?1 360天擎終端安全管理系統計算機終端的信息安全一直是整個網絡信息系統安全的一個薄弱環節。據權威機構調查，超過85%的安全威脅來自內部。在國內，高達80%的計算機終端應用單位未部署有效的終端安全管理系統和完善的管理制度，造成內部網絡木馬、病毒、惡意軟件肆虐，各種Oday漏洞、APT攻擊層出不窮。同時系統與應用軟件的安全漏洞使得黑客入侵有機可乘；自主知識產權操作系統的缺乏，使得國內廣大XP用戶在停服后面臨前所未有的挑戰。除此之外安全問題還包括：終端病毒、木馬問題嚴重，不能高效有序查殺；全網被動防御病毒、木馬的傳播與破壞，無法應對未知威脅；不能及時發現系統漏洞并進行補丁分發與自動修復；IT資產不能精確統計，資產變動情況掌握滯后；終端單點維護依靠大量人工現場處理；未經認證的U盤、移動硬盤等移動存儲介質成為病毒傳播的載體；光驅、網卡、藍牙、USB接口、無線等設備成為風險引入的新途徑；終端隨意接入網絡，入網后未經授權訪問核心資源；非法外聯不能及時報警并阻斷，導致重要資料數據外傳流失；終端隨意私裝軟件，惡意進程持續消耗有限網絡帶寬資源；針對以上問題，我們采用以安全防御為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務為保障的全方位終端安全解決方案。為用戶構建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系，并提供安全統一管控、終端準入管理、系統安全加固、終端安全審計等諸多管理類功能。

1.2.1.1.1系統架構內網互聯網售有云1.2.1.1.1系統架構內網互聯網售有云終端安全管理系統包括安全控制中心和客戶端兩部分。控制中心安全控制中心是系統核心，部署在服務器端，主要包括安全管控和安全事件收集告警兩大功能。安全控制中心采用B/S架構，管理員可以隨時隨地的通過瀏覽器打開訪問，對終端進行管理和控制。主要有分組管理、策略制定下發、全網健康狀況監測、統一殺毒、統一漏洞修復、網絡流量管理、終端軟硬件資產管理等。安全此外安全控制中心還提供了系統運維的基礎服務，如：云查殺服務、終端升級服務、數據服務、通訊服務等。安全事件收集告警，通過管控中心，管理員可以了解全網終端的告警信息，通過報表分析，掌握全網威脅狀況。客戶端客戶端部署在需要被保護的終端或服務器上，執行最終的木馬病毒查殺、漏洞修復、安全防護等安全操作。并與安全控制中心通信，提供控制中心管理所需的相關安全告警信息。1.2.1.1.2主要功能1、病毒/木馬防護支持對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導區病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對可執行文件的引擎）、QEX（針對非可執行文件的引擎）等多引擎的協同工作。在云端龐大的黑白名單數據庫基礎上，病毒檢出率高，系統資源占用低。通過使用云端的黑白名單驗證的方法，可以最大限度的保護數據安全。主動防御功能可以防御未知病毒、未知威脅和0-Day攻擊。主動防御是基于程序行為自主分析判斷的實時防護技術，不以病毒的特征碼作為判斷病毒的依據，而是從最原始的病毒定義出發，直接將程序的行為作為判斷病毒的依據。主動防御解決了傳統安全軟件無法防御未知惡意軟件的弊端，從技術上實現了對木馬和病毒的主動防御。在實現機制上可以對文件訪問、進程創建、注冊表讀寫、網絡IP請求、設備加載完成主動防御攔截。在隔離網環境下，云查殺優勢無法很好的體現，病毒查殺率將降低。通過在隔離網部署私有云，病毒查殺效果與客戶端聯網時沒有差別。2、補丁管理可以對全網計算機進行漏洞掃描把計算機與漏洞進行多維關聯，可以根據終端或漏洞進行分組管理，并且能夠根據不同的計算機分組與操作系統類型將補丁錯峰下發，在保障企業網絡帶寬的前提下可以有效提升整體漏洞防護等級。3、資產管理具有強大的終端發現功能，管理員可以通過定義網絡IP段分組，對指定的網絡分組進行周期性地發現（采用多協議、多機制方式）與統計網絡中的終端數量及類型。管理員通過此功能，了解全網終端數量和安裝量，為終端安全管理運維提供有效的參考。對單臺終端具有全面的安全運維管理功能，包含終端的硬件資產管理、軟件資產管理、系統服務管理、進程管理、賬號管理、網絡管理、系統事件管理、補丁管理、終端安全威脅統計和遠程運維管理等功能。4、軟件管理能夠統計全網終端的軟件部署情況，還可以根據不同部門進行終端分組，并對不同分組分發不同軟件，實現遠程部署、遠程通知安裝等方式。系統集軟件下載、升級、卸載等功能于一體，提供必要的一站式軟件管理服務，可以避免來源不明的軟件的安裝和運行帶來的各種風險（如含有惡意代碼或者木馬程序），又可以合理分配和控制軟件許可證。支持軟件的統一分組、定時分發，并可實現自動安裝應用以及強制卸載應用，幫助管理員按照規定管理終端用戶軟件的安裝。支持查詢全網終端的軟件安裝情況以及終端進程信息，幫助管理員及時發現違規軟件及可疑應用。5、終端安全運維管控包含對終端的流量管理、非法外聯、應用程序安全、網絡安全、外設、桌面安全加固等。?流量管理：了解各終端的網絡流量情況，包括終端的實時網絡速度、一段時間內的下載上傳流量等，同時支持對終端的上傳及下載流量限制進行統一管控，幫助管理員管理網絡流量，避免非法應用占用大量帶寬，保證正常業務的平穩運行。?非法外聯：可以針對企業中經常遇到的通過3G網卡、隨身Wifi等方式使內網電腦可以通過非法途徑連接外網導致核心數據泄漏等問題的出現，非法外聯管理模塊無論終端使用何種方式連接外網都可以在第一時間對管理員發送告警并隔離非法終端，在最大程度上保障核心數據安全。?應用程序安全：支持三種策略：針對終端在線作用，針對終端離線作用和針對在線和離線終端作用。應用程序安全支持進程黑白名單，添加進白名單的進程為信任進程，而黑名單中的進程為惡意進程，系統將直接阻斷該類進程。另外，還有進程紅名單，添加進進程紅名單的進程為必須運行進程，可以防止惡意程序對該必備類型進行破壞。?網絡安全：支持同上三種類型策略，也是通過黑白名單準測來確保網絡安全。管理員可以添加某些網絡連接的協議類型，IP地址和端口號或者添加URL地址來使它成為黑名單或者白名單，從而保證用戶網絡安全。?外設管理：采用策略化的外設管理模式，管理員統一定義出針對不同類別外設的多個策略，一個策略可以包括多種類型設備的控制，使管理策略更有針對性，并支持分配到不同的分組上面。支持硬件準入管理，可幫助管理員對終端的USB口、1394、串口、并口、PCMCIA卡等接口進行啟用和禁用控制，支持的設備有USB移動存儲、非USB移動存儲、存儲卡、冗余硬盤、軟驅、打印機、掃描儀、磁帶機、鍵盤、鼠標、紅外、藍牙、攝像頭、手機/平板等常用設備進行禁用管理，也支持光盤的讀寫控制功能。管理員可對PC終端外設進行強有力的全面管控，杜絕數據外泄和感染病毒的風險。?桌面安全加固：幫助IT管理員對終端桌面系統的賬號密碼、本地安全策略、控制面板、屏保與壁紙、瀏覽器安全、殺毒軟件檢查等功能進行細粒度的統一強管控，并支持不同的分組設置不同的策略功能。協助IT管理員做到全網終端統一配置的管控目標，提高IT管理員的運維水平。6、 移動存儲介質管理實現對移動存儲設備的靈活管控，保證終端與移動存儲介質進行數據交換和共享過程中的信息安全要求。移動存儲管理包括移動存儲介質的身份注冊、網內終端授權管理、移動介質掛失管理、外出管理和終端設備例外等功能。移動存儲管理解決了用戶在安全管控要求下使用移動存儲介質，實現數據共享和數據交換的迫切需求。移動存儲管理支持分組管理，給予不同的移動存儲介質相應的授權使用范圍和讀寫權限，同時支持設備狀態的追蹤與管理。7、 XP防護采用了多層防護、標本兼治、技術與安全管理策略相結合的整體設計思路，在WindowsXP系統之上由內到外采用了四層防護手段，包含了加固、修復、隔離、安全策略自動化等多項舉措：系統加固（核心手段）、熱補丁修復、危險應用隔離、“非白即黑”安全策略等。?系統加固：XP系統的安全問題從本質上來說是操作系統設計的缺陷，只有從根本上解決XP系統設計機制上的缺陷，才能徹底解決問題。系統的最大優勢即在于將XP系統中的安全機制補齊，使XP系統在不升級到高版本操作系統的情況下，也擁有同樣健全的安全防護機制。?熱補丁修復：通過替換內存中存在漏洞的可執行代碼，在系統底層對XP漏洞實施精確的“外科手術”，徹底根除漏洞病灶。?危險應用隔離：漏洞級安全威脅主要集中在少數應用之上（如IE、Office等），因此對這些危險應用，采用安全沙箱（Sandbox）的技術手段進行隔離，保證在這些應用遭受到攻擊的情況下不會對宿主的XP系統產生安全威脅。IE沙箱隔離：允許訪問網絡，限制訪問本地資源；Office沙箱隔離：允許訪問本資源，限制訪問網絡。“非白即黑”策略：采用PE文件白名單機制，依托于高純度的PE文件白名單庫，僅允許白名單庫中的文件在系統中運行，而所有未在白名單庫中的PE文件均被禁止在XP系統上加載、運行，這就能在理論上保證所有通過XP系統漏洞滲透進來的惡意代碼均無法在XP系統上實現攻擊。8、終端準入管理使用主機完整性策略和準入硬件旁路設備來發現和評估哪些終端遵從策略，判斷哪些終端是否允許安全訪問核心資源。非遵從性客戶端會定向至修復服務器通過下載必需的終端安全軟件、補丁程序及病毒定義更新等使客戶端計算機保持遵從性。9、 安全審計管理包括“文件操作審計”，“文件輸出審計”，“文件保護審計”，“移動存儲審計”和“打印審計”。在上述五類終端審計對象中，所審計的內容只是跟內網安全合規管理相關的信息，不對涉及終端用戶的個人隱私信息，達到合規管理的審計的要求。10、 報表管理報表展示：支持對終端安全日志、漏洞修復、病毒日志、木馬查殺、插件清除、系統危險項，安全配置、文件及應用日志、終端事件告警等信息進行報表統計。能夠從終端、全網、分組等多維度，以及圖表、數據等多視圖角度進行統計與展現，也能按周、月、季、年的時間維度進行趨勢分析，同時支持報表的導出及打印，幫助管理員對日常安全防護、安全運維工作進行分析評估。大數據存儲分析：為大型客戶和行業客戶提供獨有的大數據引擎（BDE）系統，將全網終端日常運維數據匯聚存儲分析，并根據客戶的行業特點和客戶運維管理所需的要求定制報表，為管理員提供更佳有效的終端安全管理運維依據，提高終端安全管理水平。大數據引擎（BDE）與傳統終端安全管理系統的數據存儲方式比具有存儲空間大、報表生成快、內容豐富多樣等特點。11、邊界聯動防御終端安全管理系統可以與邊界防護設備——新一代未知威脅感知系統進行聯動，實現對PC終端的攻擊防御。未知威脅感知系統在檢測出網絡攻擊行為之后，一方面會采用頁面報警、郵件報警的方式對攻擊行為進行實時報警，同時還會將報警信息實時發送給部署在終端之上的終端安全管理系統進行有效聯動。在接收到報警信息之后，會及時根據報警信息所提供的文件名稱、五元組信息對攻擊行為進行及時的隔離與阻斷，實現“邊界發現、終端防御”的深度發現與防御效果。最后，終端安全管理系統對攻擊和文件的阻斷與隔離結果實時反饋給未知威脅感知系統，未知威脅感知系統在接收到終端安全管理系統的反饋結果之后，修改報警信息，加入“處理結果”更新防護規則，同時將本次攻擊防御的處理結果分享給網內其它控制中心和終端，以提高全網的安全防護能力，完成對一次攻擊及其報警的閉環防御流程。1.2.1.1.3技術優勢1、完善的終端安全防御體系立體布控，縱深防御。系統自身具有云端查殺、終端防御的功能特點，結合威脅感知系統（部署在網絡邊界）可構成“云+端+邊界”的立體防御體系。通過在網絡邊界、終端系統部署查殺設備與管理軟件，同時結合云端查殺的多點立體防護，可實現對已知病毒及惡意代碼、未知病毒及惡意代碼、利用已知漏洞和Oday漏洞（未知漏洞）發起的攻擊滲透、乃至利用上述技術手段發起的APT攻擊行為進行深度檢測與精確阻斷。從空間維度上做到立體布控，縱深防御。動靜結合，全程查殺。結合多種安全技術，建立多層次、動靜結合、全生命周期的病毒查殺防御體系。在查殺技術上復合多種引擎，包括傳統第一代特征碼殺毒引擎，第二代啟發式查殺引擎、第三代自主創新的人工智能QVM查殺引擎、云查殺引擎，對病毒及惡意代碼主動查殺，滴水不漏；防御技術上結合HIPS（主動防御）技術、沙箱技術、黑白名單等策略，對未知威脅從進入網絡就開始嚴密監控，終端落地后一旦有非正常行為即展開多層過濾、主動防護、全程查殺。智能學習，不斷進化。QVM人工智能引擎采用了先進的人工智能算法，具備“自學習、自進化”能力，可以像病毒分析師一樣思考。通過對超過100億的黑白名單、海量病毒樣本大數據的不斷學習分析，研究它們的變化規律，QVM人工智能引擎持續優化完善自身算法，做到不需要頻繁升級特征庫，就能防御90%以上的加殼和變種新病毒，而不會像常規殺毒引擎一樣，“不升級病毒庫就殺不了新病毒”，并且病毒檢出率遠遠超過了第一、二代殺毒引擎的總和，查殺速度領先傳統引擎至少一倍。2、 強大的終端安全管理能力全面監控，量化風險。提供對終端硬件資產、軟件與操作系統、網絡配置變動的監控，還提供終端體檢與系統修復、升級與補丁分發、流量管理、系統優化與加速、企業級軟件商店等幾十項安全管理功能。可以根據單位內部要求、行業管理規定、終端風險等級下發統一安全策略，針對不同狀態的終端執行特殊安全策略，實施手術刀似的精準管理。通過細粒度的統計與詳盡的日志報表可以縱觀全網終端的安全態勢，包括病毒查殺趨勢、高危漏洞修復態勢、文件風險等級劃分等，對全網終端風險做到量化觀測，高效管理，全面監控。3、 良好的用戶體驗與易用性系統在產品易用性方面要求極其苛刻，絕大多數功能設計都要求一鍵完成，包括：一鍵加速、一鍵清理、一鍵修復、一鍵升級、一鍵體檢等等，具備靈活的分組管理，批量策略下發、分時掃描、終端強制控制、軟件靜默安裝、一對一遠程協助等易用功能，全面貼合用戶的安全管理需求，最大程度降低用戶安全管理運維成本，提高用戶的工作效率。1.2.1.2 360虛擬化安全管理系統1.2.1.2.1產品簡述隨著虛擬化平臺軟件的發展，虛擬機在企業內部的應用越來越盛行，相對于普通PC,虛擬機的優勢顯而易見：首先，由虛擬機實時遷移和虛擬機集群中的應用程序高可用性，實現了始終可用的IT系統；其次，虛擬機平臺實現高整合率，大大提高硬件利用率；然后，通過虛擬化平臺可靠性以及集成的備份、恢復和故障切換功能，確保始終可用的IT運營連續性。以上等等優勢，也決定了普通的企業安全軟件，并不適合虛擬化平臺的安全需求。普通的企業安全軟件，如果使用在虛擬化平臺上，會導致種種問題。比如說，每一臺虛擬機單獨進行文件監控或者病毒掃描，占用的系統資源比較多，如果多臺虛擬機同時進行，就會造成防病毒風暴。如果每臺虛擬機單獨使用網絡連接企業云服務端，會導致每一臺主機和云服務端中有多個連接，耗費網絡資源，這個問題也會出現在安全軟件升級過程中.倘若虛擬機啟動的時間比較接近，硬件資源的過渡利用會導致開機慢，開機過程中卡死等問題。所以，虛擬化平臺應當有真正合適的安全解決方案。360虛擬化安全管理系統，針對傳統企業安全軟件在虛擬化平臺上運行的問題，提出了以下解決方案：1、安全方案VirtualizationPlatform耗費資源較多的殺毒引擎運行在安全虛擬機上，員工使用的虛擬機上只運行一個殺毒輕代理，當有文件事件時，輕代理采用虛擬化平臺共享內存的方式把文件傳遞給安全虛擬機，安全虛擬機進行危險文件的鑒定和病毒的清除。這樣減輕虛擬機壓力，讓虛擬機的運行更順暢。安全虛擬機搭載可配置個數的殺毒引擎，保證異步查殺的效率，同時可選向私有的云安全中心或者公有云引擎查詢文件狀態，用360云安全中心數以億計的文件信息保證誤殺率的足夠低。2、性能優化方案對于啟動風暴的優化，提供啟動狀態的查詢，如果同時處于啟動狀態的虛擬機過多，采用延時啟動，避免資源的過渡使用。

360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM對于網絡流量的優化，每一臺虛擬化平臺主機，只需下拉一份升級數據，由安全虛擬機將升級文件分發到各輕代理，同時提供服務器流量限制，避免升級風暴。1.2.1.2.2產品架構360SecurityPublicClaud360SecurityPrivateCloud360SecurityCenterSVMvCeritpiViitualizalionPlatform360SecurityCenterSVMvCeritpiViitualizalionPlatform特點:a）輕代理，單點集中查殺，避免反病毒風暴;

本地引擎加載實例個數可設，并發查殺任務數可調；集中的Cache管理機制，優化查殺效率，避免重復查殺；病毒庫升級只需每主機一份；配合私有云引擎和可開關的公有云引擎，有效提高查殺力提供對安全虛擬機(SVM)專有防護；1.2.1.2.3系統架構1.2.1.2.4實現功能1.2.1.2.3系統架構1.2.1.2.4實現功能保護虛擬機內子操作系統的文件系統(以下也簡稱為"虛擬機文件")。掃描由用戶或其它應用程序在虛擬機上打開或關閉的所有文件，以查找病毒和其它威脅。1、如果文件未感染病毒和其它威脅，則允許用戶訪問該文件。2、如果發現某個文件包含病毒或其它威脅，則執行安全策略中設置的指定操作；例如，清除或阻止該文件。掃描虛擬機文件以查找病毒或其它威脅。以執行按需掃描或者指定掃描計劃。安全虛擬機可配置。安全虛擬機引擎加載實例可配置，安全虛擬機運行時間可選擇。對威脅防范過程中的性能消耗進行優化。可設置輕代理分時啟動，避免開機風暴；可限制升級過程中的流量消耗；以及根據主機性能對查殺資源的使用進行智能控制。以虛擬化平臺組織架構為基礎，進行終端管理。接入虛擬化平臺對虛擬機的重啟，關機功能，方便管理員操作。儲存在清除過程中刪除或修改的文件備份副本。文件的備份副本以特殊格式存儲在備份區中，不會造成危害。如果一個被清除的文件包含部分或完全不可訪問的信息，可以從它的備份副本保存文件。更新病毒庫。可以手動更新反病毒數據庫或者為病毒庫制定更新計劃，每臺主機只需更新一份升級文件。1.2.1.2.5關鍵邏輯時序圖1、文件實時監控iretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiGEobalresultcached?E陽￡|JI&忙questifilecached?SVMHandlerAVEngines-□nAcress^canC?he&Fitter2、主動查殺1.2.2硬件改進1.2.2.1利用加密鎖方式進行系統安全性升級加密鎖是外形酷似U盤的一種硬件設備，后來發展成如今的一個軟件保護的通俗行業名冊，加密鎖是一種插在計算機并行口或USB口上的軟硬件結合的加密產品，其目的是通過對軟件與數據的保護防止知識產權被非法使用。每只