醫(yī)院跨網(wǎng)文件安全交換技術(shù)設(shè)計(jì)與實(shí)現(xiàn)方案

馬曉亮，孫艷紅

1. 重慶醫(yī)科大學(xué)附屬第一醫(yī)院 設(shè)備處，重慶 400016；2. 國家稅務(wù)總局重慶市稅務(wù)局 璧城稅務(wù)所，重慶 401121

引言

目前，我國絕大多數(shù)醫(yī)院的內(nèi)外網(wǎng)絡(luò)都實(shí)現(xiàn)了物理隔離[1]，醫(yī)院的采購訂單、財(cái)務(wù)報(bào)表、患者病歷、設(shè)備照片和驗(yàn)收合同等文件存在跨網(wǎng)交換的需求，傳統(tǒng)采用U盤等移動(dòng)介質(zhì)進(jìn)行跨網(wǎng)交叉復(fù)制的方式，整個(gè)過程不可控，容易造成敏感數(shù)據(jù)泄露和計(jì)算機(jī)病毒擺渡到內(nèi)網(wǎng)[2]，還存在個(gè)別工作人員將一臺(tái)終端計(jì)算機(jī)同時(shí)接入醫(yī)院內(nèi)網(wǎng)和互聯(lián)網(wǎng)，這樣破壞醫(yī)院內(nèi)網(wǎng)的封閉性，可能導(dǎo)致外部攻擊者以該終端為跳板攻擊醫(yī)院內(nèi)網(wǎng)。

醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，在沒有與其他網(wǎng)絡(luò)和介質(zhì)進(jìn)行數(shù)據(jù)交換的情況下，醫(yī)院內(nèi)網(wǎng)不會(huì)產(chǎn)生數(shù)據(jù)泄露和計(jì)算機(jī)病毒感染[3]，醫(yī)院文件交換存在以下的問題：① 敏感數(shù)據(jù)泄露：根據(jù)Verizon關(guān)于醫(yī)療數(shù)據(jù)的安全報(bào)告，泄露的數(shù)據(jù)有28%以上由于內(nèi)部員工非法復(fù)制內(nèi)部數(shù)據(jù)造成，醫(yī)療行業(yè)是所有行業(yè)中內(nèi)部威脅超過外部威脅的行業(yè)。醫(yī)院內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)存儲(chǔ)著大量的財(cái)務(wù)信息、患者個(gè)人信息、病例、化驗(yàn)結(jié)果和電子處方等信息[4-5]，按照2020年7月3日頒布的《中華人民共和國數(shù)據(jù)安全法（草案）》，醫(yī)院有義務(wù)保護(hù)內(nèi)網(wǎng)數(shù)據(jù)不被非法復(fù)制和泄露[6]；② 交換效率低和審計(jì)困難：文件交換流程需要經(jīng)過復(fù)雜和漫長的審批，造成文件跨網(wǎng)交換工作量大和效率低的問題，而且難以事后審計(jì)[7]；③ 計(jì)算機(jī)病毒傳播：醫(yī)院內(nèi)網(wǎng)服務(wù)器和終端計(jì)算機(jī)缺少安全防護(hù)措施，殺毒軟件特征庫更新不及時(shí)，軟件漏洞長期得不到修復(fù)[8-9]，一旦內(nèi)網(wǎng)有一臺(tái)主機(jī)感染病毒后，病毒會(huì)在內(nèi)網(wǎng)蔓延，由于缺乏相應(yīng)的檢測(cè)手段，或者由于內(nèi)網(wǎng)隔離，云安全技術(shù)通過云安全中心無法有效鑒定威脅，造成計(jì)算機(jī)病毒長期無法被發(fā)現(xiàn)，直到病毒發(fā)作或大規(guī)模爆發(fā)出現(xiàn)明顯癥狀后才被發(fā)現(xiàn)[10]。如圖1所示，2019年醫(yī)院感染勒索病毒樣本數(shù)量占比17.39%[11]。

圖1 2019年勒索病毒感染行業(yè)分布

本文采用安全隔離與信息交換系統(tǒng)、終端管理系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)和異構(gòu)化殺毒技術(shù)，在保證內(nèi)外網(wǎng)隔離的情況下，通過自動(dòng)化數(shù)據(jù)防泄露和人工審核的方式，防止敏感數(shù)據(jù)泄露，使用終端管理系統(tǒng)對(duì)內(nèi)網(wǎng)終端進(jìn)行管控，防止非法內(nèi)聯(lián)和外聯(lián)造成的安全風(fēng)險(xiǎn)，運(yùn)用異構(gòu)化殺毒技術(shù)和沙箱確?？缇W(wǎng)交換文件的安全性，避免計(jì)算機(jī)病毒被擺渡到內(nèi)網(wǎng)，造成內(nèi)網(wǎng)計(jì)算機(jī)病毒泛濫，同時(shí)采用EDR端點(diǎn)威脅檢測(cè)和響應(yīng)系統(tǒng)，及時(shí)隔離被計(jì)算機(jī)病毒感染的終端，有效防止計(jì)算機(jī)病毒在內(nèi)網(wǎng)的蔓延。

1 方案關(guān)鍵性技術(shù)

對(duì)于醫(yī)院的文件交換需求與內(nèi)網(wǎng)安全需求，需要采用一些關(guān)鍵性技術(shù)，實(shí)現(xiàn)跨網(wǎng)文件安全交換，既可以滿足文件和數(shù)據(jù)交換的需要，也可以最大限度地防止敏感數(shù)據(jù)外泄和病毒被擺渡到內(nèi)網(wǎng)。

1.1 終端管理系統(tǒng)

終端管理系統(tǒng)通常利用網(wǎng)絡(luò)接入控制系統(tǒng)采用軟硬件結(jié)合的方式，以終端驗(yàn)證和終端安全為基礎(chǔ)，通過身份認(rèn)證以及安全域控制等手段，從根本上保證接入網(wǎng)絡(luò)的終端可信程度和授權(quán)訪問[12]。如圖2所示，具備終端接入控制管理、主機(jī)安全審計(jì)管理、補(bǔ)丁與文件分發(fā)管理和移動(dòng)存儲(chǔ)管理等功能[13]，嚴(yán)格控制私自接入內(nèi)網(wǎng)的計(jì)算機(jī)聯(lián)網(wǎng)，只有全新安全并且沒有連接互聯(lián)網(wǎng)和移動(dòng)存儲(chǔ)設(shè)備的終端計(jì)算機(jī)才能注冊(cè)入網(wǎng)，一旦入網(wǎng)注冊(cè)后，U盤等移動(dòng)介質(zhì)將被禁止使用，如果用戶將計(jì)算機(jī)連接到互聯(lián)網(wǎng)，外網(wǎng)監(jiān)控服務(wù)器將切斷計(jì)算機(jī)聯(lián)網(wǎng)和鎖定非法外聯(lián)的計(jì)算機(jī)終端并向管理員發(fā)出告警，為醫(yī)院的終端入網(wǎng)安全管理提供強(qiáng)有效的保障。

圖2 終端管理系統(tǒng)架構(gòu)圖

1.2 安全隔離與信息交換系統(tǒng)

安全隔離與信息交換系統(tǒng)俗稱網(wǎng)閘[14]，由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成，依據(jù)用戶的業(yè)務(wù)需要制定安全交換策略，在保證內(nèi)外網(wǎng)隔離的情況下，完成內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的安全通信。在跨網(wǎng)交換過程中，依靠網(wǎng)閘連接兩個(gè)以上相互隔離的網(wǎng)絡(luò)，通過網(wǎng)站將網(wǎng)絡(luò)連接的數(shù)據(jù)協(xié)議進(jìn)行分離還原原始數(shù)據(jù)，在安全數(shù)據(jù)交換單元內(nèi)完成數(shù)據(jù)協(xié)議的重新封裝，然后發(fā)送到對(duì)端網(wǎng)絡(luò)中，實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換，在保障用戶信息系統(tǒng)安全性的同時(shí)，最大限度保證客戶應(yīng)用的方便性。

1.3 端點(diǎn)威脅檢測(cè)和響應(yīng)系統(tǒng)

Gartner 提出了端點(diǎn)威脅檢測(cè)和響應(yīng)（Endpoint Threat Detection and Response，ETDR ）的概念，彌補(bǔ)傳統(tǒng)殺毒軟件和防火墻的缺陷，不再是被動(dòng)的防護(hù)，而是采用終端威脅檢測(cè)和群體響應(yīng)的方式，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的挖礦機(jī)、勒索病毒和蠕蟲病毒，利用微隔離技術(shù)，對(duì)不同的終端和業(yè)務(wù)之間的網(wǎng)絡(luò)流量進(jìn)行精準(zhǔn)攔截，通過控制中心及時(shí)下發(fā)安全策略，封堵安全漏洞，避免病毒擴(kuò)散[15]。

1.4 數(shù)據(jù)防泄漏系統(tǒng)

數(shù)據(jù)防泄漏系統(tǒng)針對(duì)數(shù)據(jù)存儲(chǔ)、傳輸和使用三種狀態(tài)，在文件交換過程中對(duì)文件進(jìn)行全生命周期的泄密檢測(cè)和攔截，保證了敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn)，事中能被攔截和監(jiān)查，事后能被追溯。在網(wǎng)絡(luò)數(shù)據(jù)交換出口進(jìn)行協(xié)議分析和內(nèi)容識(shí)別，發(fā)現(xiàn)敏感數(shù)據(jù)傳輸；對(duì)服務(wù)器中存儲(chǔ)的數(shù)據(jù)進(jìn)行審計(jì)和分析，根據(jù)單位設(shè)定的安全策略，及時(shí)發(fā)現(xiàn)、識(shí)別、攔截和記錄敏感數(shù)據(jù)。

1.5 高級(jí)威脅檢測(cè)系統(tǒng)

高級(jí)威脅檢測(cè)系統(tǒng)俗稱沙箱，可以針對(duì)高級(jí)可持續(xù)威脅進(jìn)行檢測(cè)[16]，傳統(tǒng)的入侵檢測(cè)技術(shù)和殺毒軟件主要利用特征碼技術(shù)進(jìn)行威脅分析，需要經(jīng)過捕獲樣本、分析樣本、提取特征碼和發(fā)布升級(jí)庫等流程，致使檢測(cè)能力相對(duì)于攻擊手段滯后，產(chǎn)生大量無法檢測(cè)的攻擊和計(jì)算機(jī)病毒，尤其是面對(duì)零日漏洞利用和免殺處理后的惡意代碼基本失效[17]。攻擊者常通過社會(huì)工程學(xué)獲取機(jī)構(gòu)的相關(guān)信息，通過構(gòu)造帶有惡意代碼的Office、PDF、lnk和圖片等文件發(fā)送給被攻擊者[18]，或者對(duì)勒索病毒、木馬和后門等計(jì)算機(jī)病毒進(jìn)行免殺處理躲避檢測(cè)。高級(jí)威脅檢測(cè)系統(tǒng)通過內(nèi)置的模擬運(yùn)行環(huán)境，將文件推送到沙箱內(nèi)運(yùn)行，將被加殼、代碼混淆和花指令等免殺技術(shù)處理過的惡意代碼進(jìn)行還原，在沙箱系統(tǒng)內(nèi)監(jiān)測(cè)程序的運(yùn)行，分析程序的進(jìn)程信息創(chuàng)建、文件訪問、注冊(cè)表修改和網(wǎng)絡(luò)訪問等敏感操作，通過內(nèi)置的機(jī)器學(xué)習(xí)等算法快速發(fā)現(xiàn)未知威脅攻擊。

2 跨網(wǎng)文件交換方案設(shè)計(jì)

跨網(wǎng)文件交換方案既要滿足醫(yī)院的安全需要，又要滿足數(shù)據(jù)文件交換的需求，根據(jù)安全需求分析制定安全交換策略，進(jìn)而將安全策略通過技術(shù)手段制定方案，實(shí)現(xiàn)文件跨網(wǎng)安全交換的要求。通過異構(gòu)化的病毒檢測(cè)技術(shù)對(duì)發(fā)送方、接受方、存儲(chǔ)服務(wù)器和網(wǎng)絡(luò)流量中的計(jì)算機(jī)病毒進(jìn)行檢測(cè)，防止計(jì)算機(jī)病毒進(jìn)入內(nèi)網(wǎng)，數(shù)據(jù)文件只有經(jīng)過人工或自動(dòng)化審核后才能跨網(wǎng)交換，文件交換的整個(gè)過程，只有授權(quán)用戶才能發(fā)送、訪問和接受文件，文件不會(huì)被非授權(quán)訪問。利用端點(diǎn)威脅檢測(cè)和響應(yīng)系統(tǒng)的微隔離技術(shù)及時(shí)隔離內(nèi)網(wǎng)感染病毒的計(jì)算機(jī)終端，下發(fā)安全策略，升級(jí)補(bǔ)丁對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行加固，防止計(jì)算機(jī)病毒在內(nèi)網(wǎng)蔓延擴(kuò)散。

2.1 文件交換的需求分析

根據(jù)醫(yī)院的數(shù)據(jù)文件的交換需求和內(nèi)網(wǎng)安全需要，實(shí)現(xiàn)跨網(wǎng)文件交換必須同時(shí)滿足以下要求：保證醫(yī)院內(nèi)網(wǎng)與外網(wǎng)的隔離，內(nèi)網(wǎng)主機(jī)不能直接訪問互聯(lián)網(wǎng)，互聯(lián)網(wǎng)也無法訪問內(nèi)網(wǎng)主機(jī)；醫(yī)院各科室不使用U盤和移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)，通過醫(yī)院統(tǒng)一提供的數(shù)據(jù)交換通道進(jìn)行文件交換，可以實(shí)現(xiàn)單位的有效管控；確保數(shù)據(jù)文件交換的內(nèi)容符合單位的規(guī)定，數(shù)據(jù)必須滿足被審計(jì)的過程，對(duì)數(shù)據(jù)的訪問、傳輸、存儲(chǔ)、交換過程進(jìn)行分析和判斷，形成必要的數(shù)據(jù)審批流程；對(duì)交換的文件進(jìn)行病毒檢測(cè)，最大限度降低隔離內(nèi)網(wǎng)感染病毒的風(fēng)險(xiǎn)；文件必須授權(quán)訪問，沒有訪問權(quán)限的用戶無法訪問、讀取和寫入文件。

2.2 安全風(fēng)險(xiǎn)解決對(duì)策總體思路

安全風(fēng)險(xiǎn)的解決主要是風(fēng)險(xiǎn)點(diǎn)的控制，在不破壞內(nèi)網(wǎng)隔離的情況下，確保內(nèi)外網(wǎng)文件交換都通過數(shù)據(jù)防泄漏審核和反病毒技術(shù)的檢測(cè)，沒有未經(jīng)內(nèi)容審核和風(fēng)險(xiǎn)分析的文件被跨網(wǎng)交換。

（1）跨網(wǎng)文件交換使用網(wǎng)閘，在不破壞網(wǎng)絡(luò)隔離的情況下，進(jìn)行文件交換。

（2）在內(nèi)網(wǎng)部署終端管理系統(tǒng)，禁止非法內(nèi)聯(lián)和非法外聯(lián)行為，也就是內(nèi)網(wǎng)終端無法使用移動(dòng)存儲(chǔ)介質(zhì)，也無法接入到外網(wǎng)，未經(jīng)授權(quán)的無法接入內(nèi)網(wǎng)。

（3）采用人工審核或DLP數(shù)據(jù)防泄漏系統(tǒng)對(duì)文件進(jìn)行分析，防止內(nèi)網(wǎng)敏感數(shù)據(jù)被復(fù)制到外網(wǎng)。

（4）在文件交換的路徑節(jié)點(diǎn)上采用異構(gòu)化的防病毒技術(shù)進(jìn)行檢測(cè)，通過在發(fā)送方、網(wǎng)絡(luò)傳輸、存儲(chǔ)和接受方等設(shè)備上進(jìn)行多種惡意代碼檢測(cè)手段，最大限度發(fā)現(xiàn)計(jì)算機(jī)病毒和0day攻擊，多引擎分析可以有效減少漏報(bào)和誤報(bào)，將跨網(wǎng)文件交換對(duì)內(nèi)網(wǎng)帶來的風(fēng)險(xiǎn)降到最低點(diǎn)。

（5）文件交換的服務(wù)器通過賬號(hào)、IP地址限制和文件訪問權(quán)限設(shè)置，保證文件不被非授權(quán)訪問。

2.3 文件交換系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

在內(nèi)網(wǎng)終端部署終端管理系統(tǒng)，只有經(jīng)過入網(wǎng)注冊(cè)審核的終端才能聯(lián)入內(nèi)網(wǎng)，接入內(nèi)網(wǎng)后的計(jì)算機(jī)終端，通過終端管理系統(tǒng)禁用U盤和移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)，如果內(nèi)網(wǎng)計(jì)算機(jī)終端接入互聯(lián)網(wǎng)，終端管理系統(tǒng)發(fā)現(xiàn)連接互聯(lián)網(wǎng)，計(jì)算機(jī)終端將被NDIS驅(qū)動(dòng)程序阻斷網(wǎng)絡(luò)連接，同時(shí)互聯(lián)網(wǎng)監(jiān)測(cè)服務(wù)器向管理員發(fā)出告警，有效地解決使用移動(dòng)存儲(chǔ)介質(zhì)和接入互聯(lián)網(wǎng)復(fù)制文件的行為，使單位提供的跨網(wǎng)交換系統(tǒng)成為內(nèi)外網(wǎng)唯一文件交換通道，建立統(tǒng)一、安全、可控、便捷的跨網(wǎng)數(shù)據(jù)交換通道。

如圖3所示，將內(nèi)網(wǎng)服務(wù)器劃入DMZ區(qū)，內(nèi)網(wǎng)服務(wù)器感染病毒后不會(huì)向內(nèi)網(wǎng)服務(wù)器擴(kuò)散，整過文件交換過程中，文件經(jīng)過發(fā)送方計(jì)算機(jī)終端、發(fā)送方文件服務(wù)器、接受方文件服務(wù)器、防毒墻和接收方計(jì)算機(jī)終端的反病毒引擎檢測(cè)，多種異構(gòu)化殺毒軟件盡量降低漏報(bào)風(fēng)險(xiǎn)，文件服務(wù)器設(shè)置權(quán)限禁止上傳可執(zhí)行文件，利用APT檢測(cè)沙箱技術(shù)和EDR檢測(cè)技術(shù)防止針對(duì)Office、PDF的0day攻擊，有效降低內(nèi)網(wǎng)感染病毒的風(fēng)險(xiǎn)。

通過DLP敏感數(shù)據(jù)泄露檢測(cè)系統(tǒng)和部署在服務(wù)器上的文件審批系統(tǒng)，對(duì)內(nèi)網(wǎng)向互聯(lián)網(wǎng)跨網(wǎng)發(fā)送的數(shù)據(jù)進(jìn)行數(shù)據(jù)泄露自動(dòng)化和人工檢測(cè)，如圖4所示，文件在跨網(wǎng)文件安全審批交換系統(tǒng)中完成上傳、發(fā)送、檢查、審核、審批、接受、下載和記錄的全流程管理，內(nèi)網(wǎng)用戶通過賬號(hào)登陸跨網(wǎng)文件安全審批交換系統(tǒng)，上傳和發(fā)送需要跨網(wǎng)交換的文件到發(fā)信箱進(jìn)行技術(shù)審核，有內(nèi)容審核和審批權(quán)限的人員對(duì)文件內(nèi)容進(jìn)行人工審核，對(duì)審核通過的文件進(jìn)行跨網(wǎng)交換審批，發(fā)送到對(duì)端互聯(lián)網(wǎng)服務(wù)器上的同一賬號(hào)下的收信箱，用戶登陸接受端網(wǎng)絡(luò)服務(wù)器下載文件[19]。審核記錄和交換的文件在服務(wù)器中至少保存6個(gè)月以上，不僅符合國家的《網(wǎng)絡(luò)安全法》，也便于單位對(duì)用戶交換的文件進(jìn)行事后審計(jì)，整個(gè)跨網(wǎng)文件交換系統(tǒng)實(shí)現(xiàn)了事前檢查、事中審核和事后審計(jì)的跨網(wǎng)文件交換全生命周期管理。

圖3 跨網(wǎng)文件交換系統(tǒng)拓?fù)鋱D

圖4 跨網(wǎng)文件安全審批交換系統(tǒng)

3 結(jié)果

通過對(duì)風(fēng)險(xiǎn)指標(biāo)、內(nèi)網(wǎng)病毒活躍度、新病毒樣本測(cè)試、高風(fēng)險(xiǎn)終端數(shù)量和敏感文件檢測(cè)率進(jìn)行對(duì)比分析，結(jié)果如表1所示，內(nèi)網(wǎng)終端管理系統(tǒng)和網(wǎng)絡(luò)版病毒監(jiān)測(cè)系統(tǒng)對(duì)6月和7月對(duì)比分析如圖5所示。

表1 傳統(tǒng)交換方式與跨網(wǎng)審批方式對(duì)比分析

4 討論

文件跨網(wǎng)交換方案實(shí)現(xiàn)了網(wǎng)絡(luò)信息安全與文件交換需求的平衡點(diǎn)，同時(shí)滿足了醫(yī)院業(yè)務(wù)需要和網(wǎng)絡(luò)安全需要，遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估系統(tǒng)的風(fēng)險(xiǎn)指標(biāo)由9.3分高風(fēng)險(xiǎn)降低到3.6比較安全，比USB交換方式的殺毒軟件病毒攔截率大幅提升[20]，內(nèi)網(wǎng)安全告警次數(shù)下降了約90%，病毒活躍數(shù)量由4121個(gè)下降到137個(gè)，高風(fēng)險(xiǎn)終端數(shù)量由152臺(tái)下降到27臺(tái)；通過事前的DLP檢查、事中的人工審批和事后的保密檢查系統(tǒng)的“三審”機(jī)制，DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)可以檢測(cè)出86.40%以上的敏感文件。

本方案雖然大大降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和敏感數(shù)據(jù)泄露問題，但仍然存在病毒漏報(bào)和人工審核效率低的問題。另外，通過保密檢查軟件分析服務(wù)器磁盤的文件進(jìn)行事后敏感文件交換審計(jì)，有保密文件泄露和審計(jì)滯后的問題。在網(wǎng)絡(luò)安全管理領(lǐng)域，普遍認(rèn)為“三分靠技術(shù)，七分靠管理”。首先，要不斷增加網(wǎng)絡(luò)信息安全投入和引進(jìn)新技術(shù)，可以通過態(tài)勢(shì)感知和NTA全流量分析，提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別精準(zhǔn)率；其次，加強(qiáng)員工的安全意識(shí)培養(yǎng)，防止網(wǎng)絡(luò)安全事件的發(fā)生。

圖5 內(nèi)網(wǎng)網(wǎng)絡(luò)安全事件告警次數(shù)對(duì)比

5 總結(jié)

本文通過網(wǎng)閘、異構(gòu)化殺毒軟件、終端管理系統(tǒng)、敏感數(shù)據(jù)防泄露技術(shù)、沙箱和文件服務(wù)器等產(chǎn)品的系統(tǒng)集成，構(gòu)建了可以滿足多種醫(yī)院文件交換需求的跨網(wǎng)文件交換系統(tǒng)，醫(yī)院可以根據(jù)單位的安全管理和數(shù)據(jù)安全需求，制定相應(yīng)的數(shù)據(jù)檢查策略和文件訪問權(quán)限，可以實(shí)現(xiàn)對(duì)內(nèi)控制訪問范圍和對(duì)外跨網(wǎng)交換內(nèi)容，有效防止了醫(yī)院敏感信息的泄露，同時(shí)，通過異構(gòu)化殺毒引擎、EDR和APT高級(jí)可持續(xù)攻擊檢測(cè)技術(shù)，有效防止計(jì)算機(jī)病毒被擺渡到內(nèi)網(wǎng)蔓延的情況，實(shí)現(xiàn)文件交換和內(nèi)網(wǎng)安全的需求平衡。