专家组验收评审意见整改答复书

专家组验收评审意见整改答复书

对于X月X日召开的XXXXXXXXXXXXXXXX建设一期验收会议，专家组对信息化系统提出了三点整改意见，分别为：安全性升级，系统人性化优化，系统BUG 及问题修正，现根据专家提出意见的整改情况，我司给出以下答复：

1.安全性升级

1.1安全性现状

1.1.1现在已做的安全性工作

目前已做的安全性措施分为windows服务器、web服务器、应用程序三个方面，安全防护策略从隔离防护、漏洞扫描、病毒防治、安全日志、入侵检测、最小权限等进行控制，信息如下：

●Windows服务器

已安装服务器安全狗和小红伞杀毒引擎，完成操作系统安全补丁的修复171项、系统账号安全优化、系统服务安全优化5项、注册表安全优化24项、完成病毒和木马扫描。

已设置DDOS防火墙、ARP防火墙、web防火墙（抗CC）、应用防火墙。

已设置端口安全策略。

已设置账户策略锁定策略、审核策略、安全选项。

●Web服务器

SQL注入拦截、拦截上传或浏览的网页木马、禁用危险组件、禁止IIS 执行程序

●应用程序

后台SQL参数化执行，防止SQL注入。

处理用户访问：具备身份验证、会话管理、访问控制。

处理用户输入：边界验证、特殊字符验证。

应对攻击者：屏蔽错误信息、审计日志。

防止XSS攻击。

数据库连接串、用户密码关键信息已加密。

1.1.2安全风险现状及隐患

软件系统安全防护是一个系统工程，随着技术的发展，在互联网上的应用没有绝对的安全，下图中每个环节都不能出现安全隐患。但是，我们通过系统的安全防护，可以做到有效的安全保障，提升系统的安全性。

Web服务

器

目前“Web应用”已做处理，“网络”目前吉林市机房已存在，另外锐迅也在外网服务器上进行安全狗的部署。

目前的隐患是“桌面”，也就是PC端需要增强防护，防护措施可以采用加密锁和采用数据加密的配合方式。

1.2改进措施

1.2.1软件改进

1.2.1.1360天擎终端安全管理系统

计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查，超过85%的安全威胁来自内部。在国内，高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度，造成内部网络木马、病毒、恶意软件肆虐，各种0day漏洞、APT攻击层出不穷。同时系统与应用软件的安全漏洞使得黑客入侵有机可乘；自主知识产权操作系统的缺乏，使得国内广大XP用户在停服后面临前所未有的挑战。除此之外安全问题还包括：终端病毒、木马问题严重，不能高效有序查杀；

全网被动防御病毒、木马的传播与破坏，无法应对未知威胁；

不能及时发现系统漏洞并进行补丁分发与自动修复；

IT资产不能精确统计，资产变动情况掌握滞后；

终端单点维护依靠大量人工现场处理；

未经认证的U盘、移动硬盘等移动存储介质成为病毒传播的载体；

光驱、网卡、蓝牙、USB接口、无线等设备成为风险引入的新途径；

终端随意接入网络，入网后未经授权访问核心资源；

非法外联不能及时报警并阻断，导致重要资料数据外传流失；

终端随意私装软件，恶意进程持续消耗有限网络带宽资源；

……

针对以上问题，我们采用以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供安全统一管控、终端准入管理、系统安全加固、终端安全审计等诸多管理类功能。

1.2.1.1.1系统架构

终端安全管理系统包括安全控制中心和客户端两部分。

控制中心

安全控制中心是系统核心，部署在服务器端，主要包括安全管控和安全事件收集告警两大功能。安全控制中心采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。安全事件收集告警，通过管控中心，管理员可以了解全网终端的告警信息，通过报表分析，掌握全网威胁状况。

客户端

客户端部署在需要被保护的终端或服务器上，执行最终的木马病毒查杀、漏洞修复、安全防护等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。

1.2.1.1.2主要功能

1、病毒/木马防护

支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。

主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。主动防御是基于

程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，云查杀优势无法很好的体现，病毒查杀率将降低。通过在隔离网部署私有云，病毒查杀效果与客户端联网时没有差别。

2、补丁管理

可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联，可以根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，在保障企业网络带宽的前提下可以有效提升整体漏洞防护等级。

3、资产管理

具有强大的终端发现功能，管理员可以通过定义网络IP段分组，对指定的网络分组进行周期性地发现（采用多协议、多机制方式）与统计网络中的终端数量及类型。管理员通过此功能，了解全网终端数量和安装量，为终端安全管理运维提供有效的参考。

对单台终端具有全面的安全运维管理功能，包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理、终端安全威胁统计和远程运维管理等功能。

4、软件管理

能够统计全网终端的软件部署情况，还可以根据不同部门进行终端分组，并