智准轻简 护航发展丨绿盟终端检测与响应系统（EDR）助力提升政企安全防御

《“十四五”推进国家政务信息化规划》提出，到2025年，政务信息化建设总体迈入以数据赋能、协同治理、智慧决策、优质服务为主要特征的融慧治理新阶段，逐步形成平台化协同、在线化服务、数据化决策、智能化监管的新型数字政府治理模式，网络安全保障能力进一步增强，有力支撑国家治理体系和治理能力现代化。同时各种应用业务的网络化和应用化使数据的存储和计算更易于云访问，海量信息数据呈现出多样化和集中化的趋势。利益引诱下，黑色产业链的发展和壮大，日益频繁的APT等网络攻击，正在导致越来越多政企单位机密情报被窃取，网络空间已经成为大国博弈的新战场。

新时期安全面临的威胁和挑战

No.1未知威胁防护面临挑战

网络边界防护设备和传统杀毒软件基于文件特征的查杀方式在面对像病毒、木马变种和APT攻击等未知威胁时已经基本失效。

No.2安全事件不能溯源

网络安全设备的事件溯源只能到主机或IP地址，无法及时掌控主机侧事件的发生原因与过程等。

No.3硬件资源利用率受到限制

当服务器虚拟化完成后，为了保证其安全运行，通常会在虚拟服务器安装安全软件，比如防病毒、防火墙、入侵防护等，或者以NFV方式运行相关安全功能组件。这些安全系统均需要占用较高的CPU、内存等硬件资源，对于虚拟化的物理服务器会造成其硬件资源的利用率降低，相当多的硬件资源被安全软件占用。

绿盟终端检测与响应系统（EDR）

助力提升政企安全防御

绿盟终端检测与响应系统（NSFOCUS Endpoint Detection and Response，简称NSFOCUS EDR）以端点检测与响应技术为核心，实时检测未知威胁并快速响应。适用于服务器、云主机、移动/智能终端、工控主机、物联网终端等设备，支持Windows、Linux及国产操作系统，能轻松适应各种规模和IT架构的政企行业部署，大大提升用户的安全主动防护能力。

整个主机安全响应系统原理架构分为两部分，管理平台和安全探针。为增强产品稳定性、可扩展性、提升性能、满足众多主机同时接管，产品采用大数据平台层级架构设计。每个层级计算资源独立，可依据管理规模横向扩展，各层级功能自下而上依次为：

1、安全探针采集主机安全原始数据，并提供文件和行为分析及实时响应。

2、安全管理平台是集数据处理和管理为一体的综合平台，通过接收安全探针回传的端点侧安全数据，对数据和文件进行预处理，并以标准格式存储到数据库中交由上层各分析引擎进行分析。

3、分布式接入集群：负责接管安全探针的连接，与安全探针之间采用SSL加密通信。

4、元数据存储集群：负责存储安全探针上报的原始数据，包括各类安全事件日志、文件信息、配置信息、资产数据等。

5、数据分析集群：进行综合数据分析，包括多维横向分析、事件关联分析、环境监测分析、UI数据预处理、报表内容处理、管理中心下发的即时分析任务等。

6、管理中心负责UI交互管理、集中策略管理、程序更新、威胁情报更新以及SSO对接管理。

智、准、轻、简贴合政企用户习惯

绿盟终端检测与响应系统（EDR）以智、准、轻、简的产品特点备受广大政企客户单位的青睐。

No.1多维智能检测与响应

绿盟终端检测与响应系统（EDR）通过多种方式对威胁进行检测，对新变种木马、新型攻击等未知威胁实时有效检测和拦截。广大终端用户不需有过多人工干预，绿盟终端检测与响应系统（EDR）即可完成终端智能防御。

No.2精准威胁事件溯源

当有安全事件发生时，政企用户安全运维人员需要对事件快速取证、溯源，绿盟终端检测与响应系统（EDR）可帮助快速定位涉事主机，并对事件详情进行结构呈现，帮助管理员对每一个安全事件有源可溯，有据可查。

No.3轻量无感知运行防护

对于需要稳定办公环境的政企用户来说，主机资源的合理分配占用尤为重要，绿盟终端检测与响应系统（EDR）在主机端无图形化界面，无弹出窗口，对终端使用零打扰，占用资源极低，便于用户维护平稳、高效办公环境。

No.4简单省心运维管理

对于政企行业安全运维人员来说，简单省心的高效运维管理无比重要。绿盟终端检测与响应系统（EDR）基于主机安全视角，帮助用户实现软硬件资产清晰可见，智能快速构建自适应主机安全防护边界。