基于EDR的高校內網終端主機安全防護體系

費禹

（北京信息科技大學 信息與網絡管理中心，北京 100192）

0 引 言

隨著高校信息化進程的穩步推動，校園網所承載業務的不斷增加，其網絡安全形勢也愈發嚴峻。伴隨網絡安全防護、檢測技術及各類安全產品的推廣應用，高校邊界防護能力穩步提升，在此基礎上，如何進一步加強終端主機安全，如何提升內網整體安全防護能力，如何規劃和實踐適合高校環境的內網終端主機安全防護體系，該體系又如何與現有安全防護設備進行聯動，成為每一所高校共同面對的問題。

本研究在梳理了高校內網安全防護現狀，結合高校網絡安全防護需求，提出基于EDR 的高校內網終端主機安全防護體系，并對該體系規劃、部署要點進行了闡述，對EDR與其他網絡安全設備的聯動進行了設計與實踐，對后續研究工作提出展望。

1 高校內網安全防護現狀

1.1 內網防護能力不足

目前，高校網絡安全區域邊界防護能力總體較強，但內網防護能力普遍不足。經調查，多數高校在安全區域邊界都部署有防火墻、WAF、防病毒墻、IPS 等邊界防護設備，以及態勢感知、威脅感知、日志審計、數據庫審計、Web 資產治理等一系列監測、審計類設備。通過部署這些安全設備，能夠實現對絕大多數流經安全區域邊界的威脅進行監測、阻攔、審計，但是一旦惡意程序經過加密、變形、偽裝繞過安全邊界的防護進入到內網，那么邊界安全設備就很難再捕捉到它的痕跡，也無法探查該惡意程序在內網中的擴散情況，只有等到失陷主機產生隧道、木馬外連、異常請求等特征時才能進行告警，除此之外，邊界安全設備在產生告警后，也僅能對失陷主機的外連地址進行快速阻斷，無法將失陷主機與內網其他主機進行有效隔離。……