终端威胁防御系统TopEDR解决方案

1、终端威胁防御系统TopEDR解决方案技术创新，变革未来需求背景产品介绍场景案例选型指导目录需求背景需求背景终端是应用的运行载体要保护的主体是终端上的业务与数据终端是攻防的主战场。安全防护的本质在网络安全防护建设中，部署在网络中的各种硬件、软件安全设备和系统，对网 络的安全性进行防护，归根结底，防护的最终主体其实是客户的业务以及数据，这些都 在终端上。业务数据注册表网络进程账号服务漏洞系统漏洞 / 未打补丁异常服务 / 高危服务有害进程 / 挖矿进程捆绑广告软件 / 勒索病毒 / 木马软件开启高危IP端口访问移动存储滥用 / 病毒U盘传播非法篡改系统关键注册表移动存储非法创建修改账号、弱口令终端

2、系统安全计算机病毒防御技术发展第一代技术终端病毒库已知病毒与库一一匹配第二代技术云端巨型病毒库病毒特征上传到云端已知病毒与库一一匹配第三代技术终端基因特征病毒库（轻量）终端未知病毒行为分析（准确）防护效果由客户端独立完成技术弊端不能查杀未知病毒采集样本难度大特征库越来越大解决不了变种和未知病毒技术弊端存在上传用户数据风险云查杀对内网失效本质还是特征匹配解决不了变种和未知病毒等保2.0对恶意代码的防范要求等保二级恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。自行软件开发b)应在软件开发过程中对安全性进行测试，在软件安装前对

3、可能存在的恶意代码进行检测。外包软件开发a)应在软件交付前检测其中可能存在的恶意代码；恶意代码防范管 理a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；b)应对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀 等；c)应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。等保三级恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。集中管控e)应对安全策略、恶意代码、补丁升级等安全相关事项进行

4、集中管理；自行软件开发e)应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；外包软件开发a)应在软件交付前检测其中可能存在的恶意代码恶意代码防范管 理a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；b)应定期验证防范恶意代码攻击的技术措施的有效性。入侵防范（云计算安全扩展要求）c)应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。产品介绍终端威胁防御系统EDR-主要功能集中态势展示终端管理统计报表策略管理任务管理系统管理日志分析防卸载管理病毒查杀基因识别引擎

5、 动态虚拟沙盒勒索病毒 挖矿木马 后门病毒 代理病毒 广告软件无特征脚本 无文件攻击宏病毒 蠕虫病毒 后门病毒 盗号病毒点击器木马漏洞补丁漏洞扫描补丁下载补丁安装补丁管理 虚拟补丁软件监视外联管控 远程协助USB管控设备管控 进程管控终端安全管控主动防御病毒防御系统防御网络防御恶意行为监控配置文件防护黑客入侵拦截文件实时保护注册表防护对外攻击拦截U盘自动扫描高危动作拦截主机防火墙文件下载保护软件安装拦截恶意网站拦截邮件监控命令行执行防护IP黑名单天融信终端威胁防御系统EDREDR客户端EDR集中管理中心下 发 防 护 策 略下 发 终 端 任 务关机、重启快速、全盘、定时查杀防护策略更新漏洞扫

6、描、漏洞修复客户端升级病毒数据统计终端信息展示防护日志分析告警规则配置客户端防卸载安全策略锁定终端升级更新更新策略、执行任务日志上报按部门下发 按标签下发典型部署部署特点适用于互联网环境的用户补丁数据自动更新系统漏洞修复病毒库实时自动更新统一安全管控和运维EDR集中管控平台用户办公区策略下发集中管控日志上报网络出口边界安全核心交换接入交换管理员终端用户终端用户终端用户终端用户统一运维管控病毒库升级隔离内网部署说明：对于隔离内网用户，病毒库升级、补丁更新可通过离线升级包导入 升级。病毒查杀-本地代理不依赖云查杀（特色功能）基因识别库动态虚拟沙盒病毒木马1.02.33.0恶意脚本

7、静态匹配动态分析不依赖云查杀离线查杀率高病毒查杀-基因识别库（轻量）病毒种族1病毒种族2病毒种族1病毒种族2基因识别库传统病毒库病毒种族1 新变种版本体积特别小匹配更广泛病毒查杀-虚拟沙盒引擎（准确分析未知威胁行为）高仿真操作系统环境仿真EDR微型实验室（虚拟沙盒），未知文件对系统有没有危害 行为，到实验室用小白鼠（仿真系统）一验便知！虚拟沙盒模拟操作系统环境， 执行病毒程序，并分析它的行为。高效率虚拟化执行引擎快速完成未知文件检测，判断是否是对系统有害的病毒，毫秒级即可知晓结果！漏洞补丁-真实补丁1、互联网环境EDR客户端能够连接互联网的情况下，可配置直接从互联网上获取补 丁，不需要另行安装

8、补丁服务器。2、内外网逻辑隔离在内网能访问外网，但外网不能访问内网的情况下，在外网的区域中部署补丁服务器，由补丁服务器从互联网上获取补丁，供EDR系统所用。3、全网隔离如果整个网络都不允许连接互联网，则通过一个补丁导入工具，在外 网将补丁下载后导入内网补丁服务器。InternetEDR客户端EDR集中管理中心补丁服务器补丁导入工具 多种部署方式，适应客户环境需求漏洞补丁-虚拟补丁热修复漏 洞系统有漏洞，但因各种原因暂不能打补丁网络层面与进程行为分析识别漏洞攻击模型阻止漏洞攻击行为虚拟补丁热修复记录攻击者IP信息系统防御网络防御病毒防御恶意行为监控勒索病毒诱捕文件实时保护U盘自动扫描文件下载保护

9、邮件监控黑客入侵拦截对外攻击拦截恶意网站拦截主机防火墙IP黑名单浏览器主页防篡改推广软件安装拦截系统关键目录、注册表防护高危系统动作、命令拦截多层主动防御终端安全管控USB管控文档安全外联监控允许接入禁止接入设备管控USB设备图形图像设备1394控制器打印机通信端口PCMCIA调制解调器红外设备便携设备网络适配器蓝牙设备光驱允许接入禁止接入系统管控进程/服务黑名单 进程/服务白名单文档检测-防泄漏文档跟踪-可追溯远程协助http探测telnet探测ping探测一键远程浏览器访问 快速运维占用系统资源低，不影响业务运行对已知和未知病毒均能有效查杀不依赖云查杀机制，客户端就能完成查杀全方位终端管控

10、智能化动态行为分析独有EAL3+资质磁盘占用不超过50M内存占用不超过50M优势价值应用案例客户网络环境该部队单位有总部以及多个部门和驻点，分布在不同地理位置；各部门和驻点与该单位总部网络可达；全网端点系统包括终端PC和服务器系统。安全需求全网端点均需要进行安全防护，特别是抵御病毒和防护系统；总部对各部门和驻点的安全防护策略和安全态势进行统一管理。解决方案天融信EDR客户端部署在全网端点系统，进行终端病毒防护和安全管 控；天融信EDR集中管理中心部署在单位总部，对全网终端进行管控，统 一配置防毒策略、统一监控终端安全状态、统一更新病毒库、集中分 析整体病毒日志、强制全网扫描病毒；终端安装的杀毒

11、软件状况及病毒处理情况尽收眼底，实时掌握病毒情 况，降低内网安全威胁。EDR集中管理中心总部项目部署示意图策略下发 日志上报某军队项目某医院项目安全需求受各类病毒侵扰，影响正常业务，需要加强 防护；多个院区，日常运维难度大，需要远程协助 提高运维效率；满足相关的合规性的政策要求。解决方案天融信EDR客户端部署在2000多个电脑和 服务器，进行终端病毒防护和安全管控；通过EDR基因识别库和虚拟沙盒技术对终 端上的已知和未知病毒进行精准查杀，给 客户提供一个安全的办公环境。轻量化的引擎在实现防护的同时对终端资 源占用低，不影响正常业务运行。从管理中心可以直接远程到客户端电脑， 协助相应的操作，大大

12、降低运维成本。项目案例选型指导选型指导举例说明:用户购买一套382点PC端授权，包含3年升级服务。产品选型：可选择EDR-E-WINPC3-LIC100*3+EDR-E-WINPC3-LIC50*1+EDR-E-WINPC3-LIC10*3+1* 20点授权包+EDR-E-WINPC3-LIC1*2 共计382点；注：每个序列号对应一张授权卡，如客户需求为100个Windows PC三年服务，请选择1个EDR-E-WINPC3- LIC100，对应一张授权卡含100点，请避免下单100个EDR-E-WINPC3-LIC1的操作。序号终端系统点数1年授权包3年授权包1年续费升级服务备注1Wind

13、ows PC系统1EDR-E-WINPC1-LIC1EDR-E-WINPC3-LIC1EDR-E-WIN1Y-RULE1 EDR-E-WIN1Y-RULE10 EDR-E-WIN1Y-RULE50 EDR-E-WIN1Y-RULE100（不区分win PC/Server系统注：EDR管理中心 系统免费赠送）10EDR-E-WINPC1-LIC10EDR-E-WINPC3-LIC1050EDR-E-WINPC1-LIC50EDR-E-WINPC3-LIC50100EDR-E-WINPC1-LIC100EDR-E-WINPC3-LIC1002Windows Server系统1EDR-E-WINSER1-LIC1EDR-E-WINSE