盧方建

（陽江市婦幼保健院，廣東 陽江 529500）

一、殺毒軟件

（一）卡巴斯基殺毒軟件：卡巴斯基反病毒軟件是世界級(jí)的殺毒軟件之一，它為個(gè)人用戶、企業(yè)網(wǎng)絡(luò)提供反病毒、防黑客和反垃圾郵件產(chǎn)品，具有自動(dòng)更新數(shù)據(jù)庫、前攝行為分析和正在進(jìn)行的行為分析，同時(shí)還包含個(gè)人防火墻、隱私控制、家長控制、應(yīng)急磁盤和反垃圾郵件和保護(hù)措施，主要基于病毒庫的病毒查殺功能，面對(duì)新出現(xiàn)的病毒，及時(shí)更新病毒庫是主要手段。

（二）EDR系統(tǒng)：EDR全稱Endpoint Detection &Response即端點(diǎn)檢測與響應(yīng)，是一種主動(dòng)的安全方法，可以實(shí)時(shí)監(jiān)控端點(diǎn)，并搜索滲透到公司防御系統(tǒng)中的威脅。這是一種新興的技術(shù)，可以更好地了解端點(diǎn)上發(fā)生的事情，提供關(guān)于攻擊的上下文和詳細(xì)信息。圍繞終端資產(chǎn)安全生命周期，通過預(yù)防、防御、檢測、響應(yīng)給予終端更好的隔離策略、查殺能力、檢測能力和處置能力。

（三）EDR系統(tǒng)的主要技術(shù)

1.優(yōu)化檢測技術(shù)，抓住威脅本。EDR通過人工智能學(xué)習(xí)、自我進(jìn)化能力實(shí)現(xiàn)無特征檢測，抓住威脅本質(zhì)，能夠有效鑒定未知病毒。

2.提高處置速度，及時(shí)響應(yīng)威脅。EDR可根據(jù)檢測命中的威脅內(nèi)容，進(jìn)行快速處置，提供基于文件、機(jī)器、群組等全面處置手段。多種隔離響應(yīng)手段包括終端主機(jī)隔離、業(yè)務(wù)組隔離、文件信任、文件隔離、文件刪除、文件恢復(fù)等。還有，EDR通過與同廠家的防火墻、安全感知平臺(tái)等安全設(shè)備進(jìn)行聯(lián)動(dòng)，形成更強(qiáng)的防護(hù)能力。

3.一體化管理，終端資產(chǎn)全面防護(hù)。EDR采用一體化統(tǒng)一管理方式，兼容不同終端和服務(wù)器形態(tài)、操作系統(tǒng)類型，資產(chǎn)策略一體化，并輔以多層次威脅檢測、Web后門檢測、僵尸網(wǎng)絡(luò)檢測、入侵攻擊檢測、基線合規(guī)檢測等手段，確保終端具備更為全面的防護(hù)能力，滿足在新的等保標(biāo)準(zhǔn)中針對(duì)主機(jī)防病毒、打補(bǔ)丁、漏洞管理和集中管控等安全控制點(diǎn)的合規(guī)要求。

4.EDR系統(tǒng)在醫(yī)院網(wǎng)絡(luò)架構(gòu)中的部署。EDR作為安全設(shè)備，主要為醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)提供安全保護(hù)，所以旁路接入到內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)上，通過網(wǎng)絡(luò)可監(jiān)測數(shù)據(jù)中心區(qū)的所有服務(wù)器，也可監(jiān)測終端區(qū)的全院辦公電腦，旁路接入方式即使遇到EDR設(shè)備故障也不會(huì)影響醫(yī)院的正常業(yè)務(wù)運(yùn)作。

二、兩款殺毒軟件在我院的使用情況對(duì)比

（一）卡巴斯基的服務(wù)器已使用了三年，性能跟不上，資源使用率過高，要操控卡巴斯基服務(wù)器管理端響應(yīng)非常慢，解決方法是要另購新的更高性能服務(wù)器，資金投入大。

EDR殺毒軟件可安裝在已購置的等保一體機(jī)物理機(jī)中，無需重復(fù)購買服務(wù)器，節(jié)省購置成本。

（二）卡巴斯基需要在病毒對(duì)終端電腦產(chǎn)生破壞時(shí)才能被發(fā)現(xiàn)，然后人工針對(duì)性地處理，效率較低，延誤時(shí)間較長；EDR可與已上線的等保設(shè)備進(jìn)行聯(lián)動(dòng)殺毒，與同廠家的其他產(chǎn)品如下一代防火墻、安全感知平臺(tái)、上網(wǎng)行為管理系統(tǒng)等聯(lián)動(dòng)，一旦有異常警報(bào)，可設(shè)置殺毒軟件直接接入查殺病毒。

（三）卡巴斯基使用的是C/S模式，就是需要安裝客戶端才能操作操控臺(tái)，具有一定局限性。EDR的管理端，采用B/S模式，就是瀏覽器模式，只要電腦有瀏覽器，接入內(nèi)網(wǎng)，就可以登錄控制臺(tái)來操作，無需像卡巴斯基一樣要遠(yuǎn)程操控殺毒軟件服務(wù)器才能操作控制臺(tái)。

（四）EDR操作簡單，功能強(qiáng)大，可一鍵全網(wǎng)殺毒，一鍵系統(tǒng)漏洞查補(bǔ)。EDR控制端操作界面相對(duì)簡單，終端程序占用資源也比卡巴斯基要低，但是功能比卡巴斯基更強(qiáng)大，EDR同樣支持U盤統(tǒng)一管理，在控制端可一鍵對(duì)安裝了客戶端的終端電腦進(jìn)行掃毒，還支持對(duì)終端電腦的系統(tǒng)進(jìn)行漏洞插補(bǔ)，完善系統(tǒng)，減少中病毒隱患。

（五）EDR采用細(xì)粒度的管理，能輕松分組和針對(duì)不同組設(shè)置不同的安全策略。EDR可支持分組管理，細(xì)化終端的分類，可按科室劃分，也可按樓層劃分，針對(duì)不同的分類和組，可設(shè)置不同的安全策略。

（六）EDR兼容多種操作系統(tǒng)，服務(wù)器的windows和linux都支持?？ò退够鶅H支持windows操作系統(tǒng)，對(duì)于服務(wù)器用的linux系統(tǒng)所購置的版本無法安裝，ED支持linux系統(tǒng)，且安裝簡單，可在控制端統(tǒng)一管理，對(duì)服務(wù)器安全更有保障。

（七）EDR多種日志報(bào)表自動(dòng)生成，全網(wǎng)安全狀態(tài)一目了然。EDR提供豐富的日志報(bào)表查看功能，根據(jù)分類，有安全日志、聯(lián)動(dòng)日志、運(yùn)維日志、操作日志、風(fēng)險(xiǎn)報(bào)告，多維度全方面記錄系統(tǒng)的運(yùn)作、運(yùn)維以及操作的所有記錄，通過日志就可查看整個(gè)網(wǎng)絡(luò)所有終端的安全狀態(tài)和處理操作。

（八）試用效果。試用階段，服務(wù)器安裝了12臺(tái)，終端安裝了32臺(tái)，試用效果不錯(cuò)，為入網(wǎng)的終端進(jìn)行了“體檢”，摸清電腦安全狀態(tài)，補(bǔ)全了系統(tǒng)的漏洞，因?yàn)榘惭bEDR終端的同時(shí)卸載了卡巴斯基的終端程序，EDR終端程序占資源更少，電腦運(yùn)行速度有明顯提升。接下來將繼續(xù)拓展安裝點(diǎn)，逐步涵蓋所有的服務(wù)器和全院內(nèi)網(wǎng)終端電腦。

三、結(jié)語

EDR作為新一代的網(wǎng)絡(luò)安全解決方案，多種系統(tǒng)聯(lián)動(dòng)，對(duì)醫(yī)院的網(wǎng)絡(luò)安全更有保障，新的“微隔離”技術(shù)還在摸索中，系統(tǒng)要結(jié)合實(shí)際情況，合理全面地設(shè)置，這樣才能讓EDR發(fā)揮最大作用。