專家組驗(yàn)收評(píng)審意見整改答復(fù)書

專家組驗(yàn)收評(píng)審意見整改答復(fù)書對(duì)于X月X日召開的XXXXXXXXXXXXXXXX建設(shè)一期驗(yàn)收會(huì)議，專家組對(duì)信息化系統(tǒng)提出了三點(diǎn)整改意見，分別為：安全性升級(jí)，系統(tǒng)人性化優(yōu)化，系統(tǒng)BUG及問題修正，現(xiàn)根據(jù)專家提出意見的整改情況，我司給出以下答復(fù)：1.安全性升級(jí)安全性現(xiàn)狀現(xiàn)在已做的安全性工作目前已做的安全性措施分為windows服務(wù)器、web服務(wù)器、應(yīng)用程序三個(gè)方面，安全防護(hù)策略從隔離防護(hù)、漏洞掃描、病毒防治、安全日志、入侵檢測、最小權(quán)限等進(jìn)行控制，信息如下：Windows服務(wù)器已安裝服務(wù)器安全狗和小紅傘殺毒引擎，完成操作系統(tǒng)安全補(bǔ)丁的修復(fù)171項(xiàng)、系統(tǒng)賬號(hào)安全優(yōu)化、系統(tǒng)服務(wù)安全優(yōu)化5項(xiàng)、注冊(cè)表安全優(yōu)化24項(xiàng)、完成病毒和木馬掃描。已設(shè)置DDOS防火墻、ARP防火墻、web防火墻（抗CC）、應(yīng)用防火墻。已設(shè)置端口安全策略。已設(shè)置賬戶策略鎖定策略、審核策略、安全選項(xiàng)。Web服務(wù)器SQL注入攔截、攔截上傳或?yàn)g覽的網(wǎng)頁木馬、禁用危險(xiǎn)組件、禁止IIS執(zhí)行程序應(yīng)用程序后臺(tái)SQL參數(shù)化執(zhí)行，防止SQL注入。處理用戶訪問：具備身份驗(yàn)證、會(huì)話管理、訪問控制。處理用戶輸入：邊界驗(yàn)證、特殊字符驗(yàn)證。應(yīng)對(duì)攻擊者：屏蔽錯(cuò)誤信息、審計(jì)日志。

防止XSS攻擊。數(shù)據(jù)庫連接串、用戶密碼關(guān)鍵信息已加密。1?1?2安全風(fēng)險(xiǎn)現(xiàn)狀及隱患軟件系統(tǒng)安全防護(hù)是一個(gè)系統(tǒng)工程，隨著技術(shù)的發(fā)展，在互聯(lián)網(wǎng)上的應(yīng)用沒有絕對(duì)的安全，下圖中每個(gè)環(huán)節(jié)都不能出現(xiàn)安全隱患。但是，我們通過系統(tǒng)的安全防護(hù)，可以做到有效的安全保障，提升系統(tǒng)的安全性。傳輸W曲應(yīng)防病毒保護(hù)數(shù)據(jù)加密SSL防火墻TDS/IPSWeb服務(wù)器傳輸W曲應(yīng)防病毒保護(hù)數(shù)據(jù)加密SSL防火墻TDS/IPSWeb服務(wù)器目前“Web應(yīng)用”已做處理，“網(wǎng)絡(luò)”目前吉林市機(jī)房已存在，另外銳迅也在外網(wǎng)服務(wù)器上進(jìn)行安全狗的部署。目前的隱患是“桌面”，也就是PC端需要增強(qiáng)防護(hù)，防護(hù)措施可以采用加密鎖和采用數(shù)據(jù)加密的配合方式。1?2改進(jìn)措施1?2?1軟件改進(jìn)1?2?1?1 360天擎終端安全管理系統(tǒng)計(jì)算機(jī)終端的信息安全一直是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的一個(gè)薄弱環(huán)節(jié)。據(jù)權(quán)威機(jī)構(gòu)調(diào)查，超過85%的安全威脅來自內(nèi)部。在國內(nèi)，高達(dá)80%的計(jì)算機(jī)終端應(yīng)用單位未部署有效的終端安全管理系統(tǒng)和完善的管理制度，造成內(nèi)部網(wǎng)絡(luò)木馬、病毒、惡意軟件肆虐，各種Oday漏洞、APT攻擊層出不窮。同時(shí)系統(tǒng)與應(yīng)用軟件的安全漏洞使得黑客入侵有機(jī)可乘；自主知識(shí)產(chǎn)權(quán)操作系統(tǒng)的缺乏，使得國內(nèi)廣大XP用戶在停服后面臨前所未有的挑戰(zhàn)。除此之外安全問題還包括：終端病毒、木馬問題嚴(yán)重，不能高效有序查殺；全網(wǎng)被動(dòng)防御病毒、木馬的傳播與破壞，無法應(yīng)對(duì)未知威脅；不能及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并進(jìn)行補(bǔ)丁分發(fā)與自動(dòng)修復(fù)；IT資產(chǎn)不能精確統(tǒng)計(jì)，資產(chǎn)變動(dòng)情況掌握滯后；終端單點(diǎn)維護(hù)依靠大量人工現(xiàn)場處理；未經(jīng)認(rèn)證的U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)成為病毒傳播的載體；光驅(qū)、網(wǎng)卡、藍(lán)牙、USB接口、無線等設(shè)備成為風(fēng)險(xiǎn)引入的新途徑；終端隨意接入網(wǎng)絡(luò)，入網(wǎng)后未經(jīng)授權(quán)訪問核心資源；非法外聯(lián)不能及時(shí)報(bào)警并阻斷，導(dǎo)致重要資料數(shù)據(jù)外傳流失；終端隨意私裝軟件，惡意進(jìn)程持續(xù)消耗有限網(wǎng)絡(luò)帶寬資源；針對(duì)以上問題，我們采用以安全防御為核心、以運(yùn)維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。為用戶構(gòu)建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系，并提供安全統(tǒng)一管控、終端準(zhǔn)入管理、系統(tǒng)安全加固、終端安全審計(jì)等諸多管理類功能。

1.2.1.1.1系統(tǒng)架構(gòu)內(nèi)網(wǎng)互聯(lián)網(wǎng)售有云1.2.1.1.1系統(tǒng)架構(gòu)內(nèi)網(wǎng)互聯(lián)網(wǎng)售有云終端安全管理系統(tǒng)包括安全控制中心和客戶端兩部分。控制中心安全控制中心是系統(tǒng)核心，部署在服務(wù)器端，主要包括安全管控和安全事件收集告警兩大功能。安全控制中心采用B/S架構(gòu)，管理員可以隨時(shí)隨地的通過瀏覽器打開訪問，對(duì)終端進(jìn)行管理和控制。主要有分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、網(wǎng)絡(luò)流量管理、終端軟硬件資產(chǎn)管理等。安全此外安全控制中心還提供了系統(tǒng)運(yùn)維的基礎(chǔ)服務(wù)，如：云查殺服務(wù)、終端升級(jí)服務(wù)、數(shù)據(jù)服務(wù)、通訊服務(wù)等。安全事件收集告警，通過管控中心，管理員可以了解全網(wǎng)終端的告警信息，通過報(bào)表分析，掌握全網(wǎng)威脅狀況?？蛻舳丝蛻舳瞬渴鹪谛枰槐Ｗo(hù)的終端或服務(wù)器上，執(zhí)行最終的木馬病毒查殺、漏洞修復(fù)、安全防護(hù)等安全操作。并與安全控制中心通信，提供控制中心管理所需的相關(guān)安全告警信息。1.2.1.1.2主要功能1、病毒/木馬防護(hù)支持對(duì)蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對(duì)可執(zhí)行文件的引擎）、QEX（針對(duì)非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。在云端龐大的黑白名單數(shù)據(jù)庫基礎(chǔ)上，病毒檢出率高，系統(tǒng)資源占用低。通過使用云端的黑白名單驗(yàn)證的方法，可以最大限度的保護(hù)數(shù)據(jù)安全。主動(dòng)防御功能可以防御未知病毒、未知威脅和0-Day攻擊。主動(dòng)防御是基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)，不以病毒的特征碼作為判斷病毒的依據(jù)，而是從最原始的病毒定義出發(fā)，直接將程序的行為作為判斷病毒的依據(jù)。主動(dòng)防御解決了傳統(tǒng)安全軟件無法防御未知惡意軟件的弊端，從技術(shù)上實(shí)現(xiàn)了對(duì)木馬和病毒的主動(dòng)防御。在實(shí)現(xiàn)機(jī)制上可以對(duì)文件訪問、進(jìn)程創(chuàng)建、注冊(cè)表讀寫、網(wǎng)絡(luò)IP請(qǐng)求、設(shè)備加載完成主動(dòng)防御攔截。在隔離網(wǎng)環(huán)境下，云查殺優(yōu)勢(shì)無法很好的體現(xiàn)，病毒查殺率將降低。通過在隔離網(wǎng)部署私有云，病毒查殺效果與客戶端聯(lián)網(wǎng)時(shí)沒有差別。2、補(bǔ)丁管理可以對(duì)全網(wǎng)計(jì)算機(jī)進(jìn)行漏洞掃描把計(jì)算機(jī)與漏洞進(jìn)行多維關(guān)聯(lián)，可以根據(jù)終端或漏洞進(jìn)行分組管理，并且能夠根據(jù)不同的計(jì)算機(jī)分組與操作系統(tǒng)類型將補(bǔ)丁錯(cuò)峰下發(fā)，在保障企業(yè)網(wǎng)絡(luò)帶寬的前提下可以有效提升整體漏洞防護(hù)等級(jí)。3、資產(chǎn)管理具有強(qiáng)大的終端發(fā)現(xiàn)功能，管理員可以通過定義網(wǎng)絡(luò)IP段分組，對(duì)指定的網(wǎng)絡(luò)分組進(jìn)行周期性地發(fā)現(xiàn)（采用多協(xié)議、多機(jī)制方式）與統(tǒng)計(jì)網(wǎng)絡(luò)中的終端數(shù)量及類型。管理員通過此功能，了解全網(wǎng)終端數(shù)量和安裝量，為終端安全管理運(yùn)維提供有效的參考。對(duì)單臺(tái)終端具有全面的安全運(yùn)維管理功能，包含終端的硬件資產(chǎn)管理、軟件資產(chǎn)管理、系統(tǒng)服務(wù)管理、進(jìn)程管理、賬號(hào)管理、網(wǎng)絡(luò)管理、系統(tǒng)事件管理、補(bǔ)丁管理、終端安全威脅統(tǒng)計(jì)和遠(yuǎn)程運(yùn)維管理等功能。4、軟件管理能夠統(tǒng)計(jì)全網(wǎng)終端的軟件部署情況，還可以根據(jù)不同部門進(jìn)行終端分組，并對(duì)不同分組分發(fā)不同軟件，實(shí)現(xiàn)遠(yuǎn)程部署、遠(yuǎn)程通知安裝等方式。系統(tǒng)集軟件下載、升級(jí)、卸載等功能于一體，提供必要的一站式軟件管理服務(wù)，可以避免來源不明的軟件的安裝和運(yùn)行帶來的各種風(fēng)險(xiǎn)（如含有惡意代碼或者木馬程序），又可以合理分配和控制軟件許可證。支持軟件的統(tǒng)一分組、定時(shí)分發(fā)，并可實(shí)現(xiàn)自動(dòng)安裝應(yīng)用以及強(qiáng)制卸載應(yīng)用，幫助管理員按照規(guī)定管理終端用戶軟件的安裝。支持查詢?nèi)W(wǎng)終端的軟件安裝情況以及終端進(jìn)程信息，幫助管理員及時(shí)發(fā)現(xiàn)違規(guī)軟件及可疑應(yīng)用。5、終端安全運(yùn)維管控包含對(duì)終端的流量管理、非法外聯(lián)、應(yīng)用程序安全、網(wǎng)絡(luò)安全、外設(shè)、桌面安全加固等。?流量管理：了解各終端的網(wǎng)絡(luò)流量情況，包括終端的實(shí)時(shí)網(wǎng)絡(luò)速度、一段時(shí)間內(nèi)的下載上傳流量等，同時(shí)支持對(duì)終端的上傳及下載流量限制進(jìn)行統(tǒng)一管控，幫助管理員管理網(wǎng)絡(luò)流量，避免非法應(yīng)用占用大量帶寬，保證正常業(yè)務(wù)的平穩(wěn)運(yùn)行。?非法外聯(lián)：可以針對(duì)企業(yè)中經(jīng)常遇到的通過3G網(wǎng)卡、隨身Wifi等方式使內(nèi)網(wǎng)電腦可以通過非法途徑連接外網(wǎng)導(dǎo)致核心數(shù)據(jù)泄漏等問題的出現(xiàn)，非法外聯(lián)管理模塊無論終端使用何種方式連接外網(wǎng)都可以在第一時(shí)間對(duì)管理員發(fā)送告警并隔離非法終端，在最大程度上保障核心數(shù)據(jù)安全。?應(yīng)用程序安全：支持三種策略：針對(duì)終端在線作用，針對(duì)終端離線作用和針對(duì)在線和離線終端作用。應(yīng)用程序安全支持進(jìn)程黑白名單，添加進(jìn)白名單的進(jìn)程為信任進(jìn)程，而黑名單中的進(jìn)程為惡意進(jìn)程，系統(tǒng)將直接阻斷該類進(jìn)程。另外，還有進(jìn)程紅名單，添加進(jìn)進(jìn)程紅名單的進(jìn)程為必須運(yùn)行進(jìn)程，可以防止惡意程序?qū)υ摫貍漕愋瓦M(jìn)行破壞。?網(wǎng)絡(luò)安全：支持同上三種類型策略，也是通過黑白名單準(zhǔn)測來確保網(wǎng)絡(luò)安全。管理員可以添加某些網(wǎng)絡(luò)連接的協(xié)議類型，IP地址和端口號(hào)或者添加URL地址來使它成為黑名單或者白名單，從而保證用戶網(wǎng)絡(luò)安全。?外設(shè)管理：采用策略化的外設(shè)管理模式，管理員統(tǒng)一定義出針對(duì)不同類別外設(shè)的多個(gè)策略，一個(gè)策略可以包括多種類型設(shè)備的控制，使管理策略更有針對(duì)性，并支持分配到不同的分組上面。支持硬件準(zhǔn)入管理，可幫助管理員對(duì)終端的USB口、1394、串口、并口、PCMCIA卡等接口進(jìn)行啟用和禁用控制，支持的設(shè)備有USB移動(dòng)存儲(chǔ)、非USB移動(dòng)存儲(chǔ)、存儲(chǔ)卡、冗余硬盤、軟驅(qū)、打印機(jī)、掃描儀、磁帶機(jī)、鍵盤、鼠標(biāo)、紅外、藍(lán)牙、攝像頭、手機(jī)/平板等常用設(shè)備進(jìn)行禁用管理，也支持光盤的讀寫控制功能。管理員可對(duì)PC終端外設(shè)進(jìn)行強(qiáng)有力的全面管控，杜絕數(shù)據(jù)外泄和感染病毒的風(fēng)險(xiǎn)。?桌面安全加固：幫助IT管理員對(duì)終端桌面系統(tǒng)的賬號(hào)密碼、本地安全策略、控制面板、屏保與壁紙、瀏覽器安全、殺毒軟件檢查等功能進(jìn)行細(xì)粒度的統(tǒng)一強(qiáng)管控，并支持不同的分組設(shè)置不同的策略功能。協(xié)助IT管理員做到全網(wǎng)終端統(tǒng)一配置的管控目標(biāo)，提高IT管理員的運(yùn)維水平。6、 移動(dòng)存儲(chǔ)介質(zhì)管理實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的靈活管控，保證終端與移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)交換和共享過程中的信息安全要求。移動(dòng)存儲(chǔ)管理包括移動(dòng)存儲(chǔ)介質(zhì)的身份注冊(cè)、網(wǎng)內(nèi)終端授權(quán)管理、移動(dòng)介質(zhì)掛失管理、外出管理和終端設(shè)備例外等功能。移動(dòng)存儲(chǔ)管理解決了用戶在安全管控要求下使用移動(dòng)存儲(chǔ)介質(zhì)，實(shí)現(xiàn)數(shù)據(jù)共享和數(shù)據(jù)交換的迫切需求。移動(dòng)存儲(chǔ)管理支持分組管理，給予不同的移動(dòng)存儲(chǔ)介質(zhì)相應(yīng)的授權(quán)使用范圍和讀寫權(quán)限，同時(shí)支持設(shè)備狀態(tài)的追蹤與管理。7、 XP防護(hù)采用了多層防護(hù)、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計(jì)思路，在WindowsXP系統(tǒng)之上由內(nèi)到外采用了四層防護(hù)手段，包含了加固、修復(fù)、隔離、安全策略自動(dòng)化等多項(xiàng)舉措：系統(tǒng)加固（核心手段）、熱補(bǔ)丁修復(fù)、危險(xiǎn)應(yīng)用隔離、“非白即黑”安全策略等。?系統(tǒng)加固：XP系統(tǒng)的安全問題從本質(zhì)上來說是操作系統(tǒng)設(shè)計(jì)的缺陷，只有從根本上解決XP系統(tǒng)設(shè)計(jì)機(jī)制上的缺陷，才能徹底解決問題。系統(tǒng)的最大優(yōu)勢(shì)即在于將XP系統(tǒng)中的安全機(jī)制補(bǔ)齊，使XP系統(tǒng)在不升級(jí)到高版本操作系統(tǒng)的情況下，也擁有同樣健全的安全防護(hù)機(jī)制。?熱補(bǔ)丁修復(fù)：通過替換內(nèi)存中存在漏洞的可執(zhí)行代碼，在系統(tǒng)底層對(duì)XP漏洞實(shí)施精確的“外科手術(shù)”，徹底根除漏洞病灶。?危險(xiǎn)應(yīng)用隔離：漏洞級(jí)安全威脅主要集中在少數(shù)應(yīng)用之上（如IE、Office等），因此對(duì)這些危險(xiǎn)應(yīng)用，采用安全沙箱（Sandbox）的技術(shù)手段進(jìn)行隔離，保證在這些應(yīng)用遭受到攻擊的情況下不會(huì)對(duì)宿主的XP系統(tǒng)產(chǎn)生安全威脅。IE沙箱隔離：允許訪問網(wǎng)絡(luò)，限制訪問本地資源；Office沙箱隔離：允許訪問本資源，限制訪問網(wǎng)絡(luò)?！胺前准春凇辈呗裕翰捎肞E文件白名單機(jī)制，依托于高純度的PE文件白名單庫，僅允許白名單庫中的文件在系統(tǒng)中運(yùn)行，而所有未在白名單庫中的PE文件均被禁止在XP系統(tǒng)上加載、運(yùn)行，這就能在理論上保證所有通過XP系統(tǒng)漏洞滲透進(jìn)來的惡意代碼均無法在XP系統(tǒng)上實(shí)現(xiàn)攻擊。8、終端準(zhǔn)入管理使用主機(jī)完整性策略和準(zhǔn)入硬件旁路設(shè)備來發(fā)現(xiàn)和評(píng)估哪些終端遵從策略，判斷哪些終端是否允許安全訪問核心資源。非遵從性客戶端會(huì)定向至修復(fù)服務(wù)器通過下載必需的終端安全軟件、補(bǔ)丁程序及病毒定義更新等使客戶端計(jì)算機(jī)保持遵從性。9、 安全審計(jì)管理包括“文件操作審計(jì)”，“文件輸出審計(jì)”，“文件保護(hù)審計(jì)”，“移動(dòng)存儲(chǔ)審計(jì)”和“打印審計(jì)”。在上述五類終端審計(jì)對(duì)象中，所審計(jì)的內(nèi)容只是跟內(nèi)網(wǎng)安全合規(guī)管理相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，達(dá)到合規(guī)管理的審計(jì)的要求。10、 報(bào)表管理報(bào)表展示：支持對(duì)終端安全日志、漏洞修復(fù)、病毒日志、木馬查殺、插件清除、系統(tǒng)危險(xiǎn)項(xiàng)，安全配置、文件及應(yīng)用日志、終端事件告警等信息進(jìn)行報(bào)表統(tǒng)計(jì)。能夠從終端、全網(wǎng)、分組等多維度，以及圖表、數(shù)據(jù)等多視圖角度進(jìn)行統(tǒng)計(jì)與展現(xiàn)，也能按周、月、季、年的時(shí)間維度進(jìn)行趨勢(shì)分析，同時(shí)支持報(bào)表的導(dǎo)出及打印，幫助管理員對(duì)日常安全防護(hù)、安全運(yùn)維工作進(jìn)行分析評(píng)估。大數(shù)據(jù)存儲(chǔ)分析：為大型客戶和行業(yè)客戶提供獨(dú)有的大數(shù)據(jù)引擎（BDE）系統(tǒng)，將全網(wǎng)終端日常運(yùn)維數(shù)據(jù)匯聚存儲(chǔ)分析，并根據(jù)客戶的行業(yè)特點(diǎn)和客戶運(yùn)維管理所需的要求定制報(bào)表，為管理員提供更佳有效的終端安全管理運(yùn)維依據(jù)，提高終端安全管理水平。大數(shù)據(jù)引擎（BDE）與傳統(tǒng)終端安全管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方式比具有存儲(chǔ)空間大、報(bào)表生成快、內(nèi)容豐富多樣等特點(diǎn)。11、邊界聯(lián)動(dòng)防御終端安全管理系統(tǒng)可以與邊界防護(hù)設(shè)備——新一代未知威脅感知系統(tǒng)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)PC終端的攻擊防御。未知威脅感知系統(tǒng)在檢測出網(wǎng)絡(luò)攻擊行為之后，一方面會(huì)采用頁面報(bào)警、郵件報(bào)警的方式對(duì)攻擊行為進(jìn)行實(shí)時(shí)報(bào)警，同時(shí)還會(huì)將報(bào)警信息實(shí)時(shí)發(fā)送給部署在終端之上的終端安全管理系統(tǒng)進(jìn)行有效聯(lián)動(dòng)。在接收到報(bào)警信息之后，會(huì)及時(shí)根據(jù)報(bào)警信息所提供的文件名稱、五元組信息對(duì)攻擊行為進(jìn)行及時(shí)的隔離與阻斷，實(shí)現(xiàn)“邊界發(fā)現(xiàn)、終端防御”的深度發(fā)現(xiàn)與防御效果。最后，終端安全管理系統(tǒng)對(duì)攻擊和文件的阻斷與隔離結(jié)果實(shí)時(shí)反饋給未知威脅感知系統(tǒng)，未知威脅感知系統(tǒng)在接收到終端安全管理系統(tǒng)的反饋結(jié)果之后，修改報(bào)警信息，加入“處理結(jié)果”更新防護(hù)規(guī)則，同時(shí)將本次攻擊防御的處理結(jié)果分享給網(wǎng)內(nèi)其它控制中心和終端，以提高全網(wǎng)的安全防護(hù)能力，完成對(duì)一次攻擊及其報(bào)警的閉環(huán)防御流程。1.2.1.1.3技術(shù)優(yōu)勢(shì)1、完善的終端安全防御體系立體布控，縱深防御。系統(tǒng)自身具有云端查殺、終端防御的功能特點(diǎn)，結(jié)合威脅感知系統(tǒng)（部署在網(wǎng)絡(luò)邊界）可構(gòu)成“云+端+邊界”的立體防御體系。通過在網(wǎng)絡(luò)邊界、終端系統(tǒng)部署查殺設(shè)備與管理軟件，同時(shí)結(jié)合云端查殺的多點(diǎn)立體防護(hù)，可實(shí)現(xiàn)對(duì)已知病毒及惡意代碼、未知病毒及惡意代碼、利用已知漏洞和Oday漏洞（未知漏洞）發(fā)起的攻擊滲透、乃至利用上述技術(shù)手段發(fā)起的APT攻擊行為進(jìn)行深度檢測與精確阻斷。從空間維度上做到立體布控，縱深防御。動(dòng)靜結(jié)合，全程查殺。結(jié)合多種安全技術(shù)，建立多層次、動(dòng)靜結(jié)合、全生命周期的病毒查殺防御體系。在查殺技術(shù)上復(fù)合多種引擎，包括傳統(tǒng)第一代特征碼殺毒引擎，第二代啟發(fā)式查殺引擎、第三代自主創(chuàng)新的人工智能QVM查殺引擎、云查殺引擎，對(duì)病毒及惡意代碼主動(dòng)查殺，滴水不漏；防御技術(shù)上結(jié)合HIPS（主動(dòng)防御）技術(shù)、沙箱技術(shù)、黑白名單等策略，對(duì)未知威脅從進(jìn)入網(wǎng)絡(luò)就開始嚴(yán)密監(jiān)控，終端落地后一旦有非正常行為即展開多層過濾、主動(dòng)防護(hù)、全程查殺。智能學(xué)習(xí)，不斷進(jìn)化。QVM人工智能引擎采用了先進(jìn)的人工智能算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，可以像病毒分析師一樣思考。通過對(duì)超過100億的黑白名單、海量病毒樣本大數(shù)據(jù)的不斷學(xué)習(xí)分析，研究它們的變化規(guī)律，QVM人工智能引擎持續(xù)優(yōu)化完善自身算法，做到不需要頻繁升級(jí)特征庫，就能防御90%以上的加殼和變種新病毒，而不會(huì)像常規(guī)殺毒引擎一樣，“不升級(jí)病毒庫就殺不了新病毒”，并且病毒檢出率遠(yuǎn)遠(yuǎn)超過了第一、二代殺毒引擎的總和，查殺速度領(lǐng)先傳統(tǒng)引擎至少一倍。2、 強(qiáng)大的終端安全管理能力全面監(jiān)控，量化風(fēng)險(xiǎn)。提供對(duì)終端硬件資產(chǎn)、軟件與操作系統(tǒng)、網(wǎng)絡(luò)配置變動(dòng)的監(jiān)控，還提供終端體檢與系統(tǒng)修復(fù)、升級(jí)與補(bǔ)丁分發(fā)、流量管理、系統(tǒng)優(yōu)化與加速、企業(yè)級(jí)軟件商店等幾十項(xiàng)安全管理功能?？梢愿鶕?jù)單位內(nèi)部要求、行業(yè)管理規(guī)定、終端風(fēng)險(xiǎn)等級(jí)下發(fā)統(tǒng)一安全策略，針對(duì)不同狀態(tài)的終端執(zhí)行特殊安全策略，實(shí)施手術(shù)刀似的精準(zhǔn)管理。通過細(xì)粒度的統(tǒng)計(jì)與詳盡的日志報(bào)表可以縱觀全網(wǎng)終端的安全態(tài)勢(shì)，包括病毒查殺趨勢(shì)、高危漏洞修復(fù)態(tài)勢(shì)、文件風(fēng)險(xiǎn)等級(jí)劃分等，對(duì)全網(wǎng)終端風(fēng)險(xiǎn)做到量化觀測，高效管理，全面監(jiān)控。3、 良好的用戶體驗(yàn)與易用性系統(tǒng)在產(chǎn)品易用性方面要求極其苛刻，絕大多數(shù)功能設(shè)計(jì)都要求一鍵完成，包括：一鍵加速、一鍵清理、一鍵修復(fù)、一鍵升級(jí)、一鍵體檢等等，具備靈活的分組管理，批量策略下發(fā)、分時(shí)掃描、終端強(qiáng)制控制、軟件靜默安裝、一對(duì)一遠(yuǎn)程協(xié)助等易用功能，全面貼合用戶的安全管理需求，最大程度降低用戶安全管理運(yùn)維成本，提高用戶的工作效率。1.2.1.2 360虛擬化安全管理系統(tǒng)1.2.1.2.1產(chǎn)品簡述隨著虛擬化平臺(tái)軟件的發(fā)展，虛擬機(jī)在企業(yè)內(nèi)部的應(yīng)用越來越盛行，相對(duì)于普通PC,虛擬機(jī)的優(yōu)勢(shì)顯而易見：首先，由虛擬機(jī)實(shí)時(shí)遷移和虛擬機(jī)集群中的應(yīng)用程序高可用性，實(shí)現(xiàn)了始終可用的IT系統(tǒng)；其次，虛擬機(jī)平臺(tái)實(shí)現(xiàn)高整合率，大大提高硬件利用率；然后，通過虛擬化平臺(tái)可靠性以及集成的備份、恢復(fù)和故障切換功能，確保始終可用的IT運(yùn)營連續(xù)性。以上等等優(yōu)勢(shì)，也決定了普通的企業(yè)安全軟件，并不適合虛擬化平臺(tái)的安全需求。普通的企業(yè)安全軟件，如果使用在虛擬化平臺(tái)上，會(huì)導(dǎo)致種種問題。比如說，每一臺(tái)虛擬機(jī)單獨(dú)進(jìn)行文件監(jiān)控或者病毒掃描，占用的系統(tǒng)資源比較多，如果多臺(tái)虛擬機(jī)同時(shí)進(jìn)行，就會(huì)造成防病毒風(fēng)暴。如果每臺(tái)虛擬機(jī)單獨(dú)使用網(wǎng)絡(luò)連接企業(yè)云服務(wù)端，會(huì)導(dǎo)致每一臺(tái)主機(jī)和云服務(wù)端中有多個(gè)連接，耗費(fèi)網(wǎng)絡(luò)資源，這個(gè)問題也會(huì)出現(xiàn)在安全軟件升級(jí)過程中.倘若虛擬機(jī)啟動(dòng)的時(shí)間比較接近，硬件資源的過渡利用會(huì)導(dǎo)致開機(jī)慢，開機(jī)過程中卡死等問題。所以，虛擬化平臺(tái)應(yīng)當(dāng)有真正合適的安全解決方案。360虛擬化安全管理系統(tǒng)，針對(duì)傳統(tǒng)企業(yè)安全軟件在虛擬化平臺(tái)上運(yùn)行的問題，提出了以下解決方案：1、安全方案VirtualizationPlatform耗費(fèi)資源較多的殺毒引擎運(yùn)行在安全虛擬機(jī)上，員工使用的虛擬機(jī)上只運(yùn)行一個(gè)殺毒輕代理，當(dāng)有文件事件時(shí)，輕代理采用虛擬化平臺(tái)共享內(nèi)存的方式把文件傳遞給安全虛擬機(jī)，安全虛擬機(jī)進(jìn)行危險(xiǎn)文件的鑒定和病毒的清除。這樣減輕虛擬機(jī)壓力，讓虛擬機(jī)的運(yùn)行更順暢。安全虛擬機(jī)搭載可配置個(gè)數(shù)的殺毒引擎，保證異步查殺的效率，同時(shí)可選向私有的云安全中心或者公有云引擎查詢文件狀態(tài)，用360云安全中心數(shù)以億計(jì)的文件信息保證誤殺率的足夠低。2、性能優(yōu)化方案對(duì)于啟動(dòng)風(fēng)暴的優(yōu)化，提供啟動(dòng)狀態(tài)的查詢，如果同時(shí)處于啟動(dòng)狀態(tài)的虛擬機(jī)過多，采用延時(shí)啟動(dòng)，避免資源的過渡使用。

360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM360SecurityCenterVM'sUpdateDataVM'sUpdateDataDataSVMDataVMDataDataDataDataVMVM對(duì)于網(wǎng)絡(luò)流量的優(yōu)化，每一臺(tái)虛擬化平臺(tái)主機(jī)，只需下拉一份升級(jí)數(shù)據(jù)，由安全虛擬機(jī)將升級(jí)文件分發(fā)到各輕代理，同時(shí)提供服務(wù)器流量限制，避免升級(jí)風(fēng)暴。1.2.1.2.2產(chǎn)品架構(gòu)360SecurityPublicClaud360SecurityPrivateCloud360SecurityCenterSVMvCeritpiViitualizalionPlatform360SecurityCenterSVMvCeritpiViitualizalionPlatform特點(diǎn):a）輕代理，單點(diǎn)集中查殺，避免反病毒風(fēng)暴;

本地引擎加載實(shí)例個(gè)數(shù)可設(shè)，并發(fā)查殺任務(wù)數(shù)可調(diào)；集中的Cache管理機(jī)制，優(yōu)化查殺效率，避免重復(fù)查殺；病毒庫升級(jí)只需每主機(jī)一份；配合私有云引擎和可開關(guān)的公有云引擎，有效提高查殺力提供對(duì)安全虛擬機(jī)(SVM)專有防護(hù)；1.2.1.2.3系統(tǒng)架構(gòu)1.2.1.2.4實(shí)現(xiàn)功能1.2.1.2.3系統(tǒng)架構(gòu)1.2.1.2.4實(shí)現(xiàn)功能保護(hù)虛擬機(jī)內(nèi)子操作系統(tǒng)的文件系統(tǒng)(以下也簡稱為"虛擬機(jī)文件")。掃描由用戶或其它應(yīng)用程序在虛擬機(jī)上打開或關(guān)閉的所有文件，以查找病毒和其它威脅。1、如果文件未感染病毒和其它威脅，則允許用戶訪問該文件。2、如果發(fā)現(xiàn)某個(gè)文件包含病毒或其它威脅，則執(zhí)行安全策略中設(shè)置的指定操作；例如，清除或阻止該文件。掃描虛擬機(jī)文件以查找病毒或其它威脅。以執(zhí)行按需掃描或者指定掃描計(jì)劃。安全虛擬機(jī)可配置。安全虛擬機(jī)引擎加載實(shí)例可配置，安全虛擬機(jī)運(yùn)行時(shí)間可選擇。對(duì)威脅防范過程中的性能消耗進(jìn)行優(yōu)化。可設(shè)置輕代理分時(shí)啟動(dòng)，避免開機(jī)風(fēng)暴；可限制升級(jí)過程中的流量消耗；以及根據(jù)主機(jī)性能對(duì)查殺資源的使用進(jìn)行智能控制。以虛擬化平臺(tái)組織架構(gòu)為基礎(chǔ)，進(jìn)行終端管理。接入虛擬化平臺(tái)對(duì)虛擬機(jī)的重啟，關(guān)機(jī)功能，方便管理員操作。儲(chǔ)存在清除過程中刪除或修改的文件備份副本。文件的備份副本以特殊格式存儲(chǔ)在備份區(qū)中，不會(huì)造成危害。如果一個(gè)被清除的文件包含部分或完全不可訪問的信息，可以從它的備份副本保存文件。更新病毒庫。可以手動(dòng)更新反病毒數(shù)據(jù)庫或者為病毒庫制定更新計(jì)劃，每臺(tái)主機(jī)只需更新一份升級(jí)文件。1.2.1.2.5關(guān)鍵邏輯時(shí)序圖1、文件實(shí)時(shí)監(jiān)控iretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiretuit匚ached?by做超?Thin-Agentfileeventnesuttrersuitresultresult^.ariresell佻event恤datascanresultiGEobalresultcached?E陽￡|JI&忙questifilecached?SVMHandlerAVEngines-□nAcress^canC?he&Fitter2、主動(dòng)查殺1.2.2硬件改進(jìn)1.2.2.1利用加密鎖方式進(jìn)行系統(tǒng)安全性升級(jí)加密鎖是外形酷似U盤的一種硬件設(shè)備，后來發(fā)展成如今的一個(gè)軟件保護(hù)的通俗行業(yè)名冊(cè)，加密鎖是一種插在計(jì)算機(jī)并行口或USB口上的軟硬件結(jié)合的加密產(chǎn)品，其目的是通過對(duì)軟件與數(shù)據(jù)的保護(hù)防止知識(shí)產(chǎn)權(quán)被非法使用。每只