醫(yī)院終端“無(wú)文件”型挖礦病毒實(shí)例分析與風(fēng)險(xiǎn)防控

2017年，美國(guó)國(guó)家安全局(National Security Agency，NSA)的部分漏洞利用工具被公開(kāi)，包括“永恒之藍(lán)”“永恒浪漫”等，導(dǎo)致以“WannaCry”為代表的蠕蟲(chóng)式勒索病毒肆虐全球。它通過(guò)加密電腦里的重要文件進(jìn)行勒索，要求被害者支付一定數(shù)量比特幣才有可能解鎖文件，從醫(yī)院到學(xué)校到企事業(yè)單位無(wú)不談之色變，可以說(shuō)是近10年來(lái)影響最大的一次網(wǎng)絡(luò)安全事件[1]。2018年，虛擬貨幣的去中心化、隱匿性等特點(diǎn)，已徹底改變了病毒木馬黑色產(chǎn)業(yè)。隨著虛擬貨幣的不斷升溫，大量的新型勒索病毒、挖礦病毒進(jìn)入人們的視野，勒索病毒和挖礦病毒成為影響企業(yè)網(wǎng)絡(luò)安全的最大威脅[2]。

1 挖礦病毒簡(jiǎn)介及安全風(fēng)險(xiǎn)

目前，通過(guò)挖礦獲得1個(gè)比特幣所需的成本大約為2萬(wàn)6千元，其中電費(fèi)占了成本的絕大部分。為了降低成本，不法分子以病毒的形式入侵他人計(jì)算機(jī)，通過(guò)消耗他人計(jì)算資源、電力資源和機(jī)器性能為自己牟取巨額利益。挖礦病毒和勒索病毒使用同樣的入侵傳播路徑：利用黑客技術(shù)(如釣魚(yú)郵件、網(wǎng)頁(yè)掛馬、高危漏洞、端口爆破等)入侵局域網(wǎng)內(nèi)的一臺(tái)終端或服務(wù)器，以此為跳板再利用“永恒之藍(lán)”等多個(gè)漏洞利用工具，以蠕蟲(chóng)病毒的方式通過(guò)自我復(fù)制在局域網(wǎng)內(nèi)快速橫向傳播，是傳播勒索病毒還是挖礦病毒，取決于攻擊者的目的。挖礦病毒隱蔽性好，能夠在局域網(wǎng)長(zhǎng)期潛伏，在進(jìn)行挖礦操作和橫向滲透的同時(shí)，可在局域網(wǎng)進(jìn)行信息收集及后門安裝等探測(cè)性活動(dòng)，不僅占用系統(tǒng)資源造成終端卡頓，也會(huì)因?yàn)榧斜l(fā)造成系統(tǒng)癱瘓，給醫(yī)院網(wǎng)絡(luò)和信息安全埋下了很大的安全隱患。

2 醫(yī)院局域網(wǎng)病毒威脅安全挑戰(zhàn)

青島某公立醫(yī)院采用核心業(yè)務(wù)網(wǎng)與辦公網(wǎng)邏輯隔離的方式，分別建有內(nèi)、外兩套局域網(wǎng)，并以防火墻和網(wǎng)閘為基礎(chǔ)，應(yīng)用入侵防御系統(tǒng)IPS、Web防火墻、日志審計(jì)、漏洞掃描、桌面終端管理系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)IDS等，從被動(dòng)防護(hù)和主動(dòng)防護(hù)兩個(gè)方面，構(gòu)造了較完善的網(wǎng)絡(luò)完全防護(hù)體系[3](圖1)。隨著局域網(wǎng)病毒威脅的日益嚴(yán)峻，這些安全設(shè)備面臨著新挑戰(zhàn)。

圖1 醫(yī)院網(wǎng)絡(luò)防護(hù)拓?fù)?/p>

一是面對(duì)內(nèi)部威脅應(yīng)急響應(yīng)困難?，F(xiàn)有的安全設(shè)備大都部署在網(wǎng)絡(luò)邊界，防外不防內(nèi)，如防火墻、網(wǎng)閘、防DDOS、IPS系統(tǒng)，若攻擊者繞過(guò)這些設(shè)備進(jìn)入內(nèi)部或威脅由內(nèi)部人員發(fā)起時(shí),缺乏自動(dòng)處置能力，無(wú)法阻斷威脅在內(nèi)部擴(kuò)散。另外，安全設(shè)備只抓取網(wǎng)絡(luò)核心處的流量進(jìn)行分析，如流量回溯分析系統(tǒng)、入侵檢測(cè)系統(tǒng)IDS，若終端網(wǎng)絡(luò)流量不經(jīng)過(guò)核心交換機(jī)，則無(wú)法進(jìn)行預(yù)警與分析。

二是內(nèi)部終端之間安全防護(hù)困難。日志審計(jì)、堡壘機(jī)、Web防火墻、容災(zāi)備份只對(duì)服務(wù)器區(qū)進(jìn)行防護(hù)，終端雖已部署殺毒軟件和終端管理軟件，并設(shè)置準(zhǔn)入管理、外設(shè)管理、外聯(lián)管理等安全策略[4]，但沒(méi)有針對(duì)性地進(jìn)行安全風(fēng)險(xiǎn)預(yù)防及安全加固工作，且缺乏對(duì)終端的安全日志、CPU和內(nèi)存、磁盤占用率、服務(wù)進(jìn)程、線程數(shù)據(jù)、網(wǎng)絡(luò)帶寬、端口流量等資產(chǎn)變化情況的主動(dòng)分析和風(fēng)險(xiǎn)控制。

三是安全日志數(shù)量龐大分析困難，各設(shè)備告警之間分散獨(dú)立、缺乏聯(lián)系，部分安全規(guī)則老舊，對(duì)新威脅缺乏新規(guī)則，存在較多的誤報(bào)和重復(fù)告警，安全管理人員從海量日志中提取有效信息的難度大、效率低，且無(wú)法實(shí)現(xiàn)人工7×24小時(shí)實(shí)時(shí)監(jiān)控，為病毒在局域網(wǎng)爆發(fā)提供了可能。

四是終端種類復(fù)雜度高管理困難。數(shù)字化、移動(dòng)化、云和物聯(lián)網(wǎng)、專線網(wǎng)絡(luò)都可導(dǎo)致終端種類的復(fù)雜性，包括云端服務(wù)器、醫(yī)療設(shè)備、網(wǎng)絡(luò)打印機(jī)、膠片自助打印機(jī)、手術(shù)室信息屏、接入專線網(wǎng)絡(luò)的終端等。這些終端大都難以部署安全軟件或難以監(jiān)測(cè)，極可能會(huì)成為感染源且很難被發(fā)現(xiàn)和查殺，成為醫(yī)院終端安全的薄弱環(huán)節(jié)。

五是攻擊手段日益隱蔽防控困難。出現(xiàn)大量“供應(yīng)鏈”攻擊、“無(wú)文件”攻擊[5]和基于“圖像隱寫術(shù)”的攻擊[6]時(shí)讓人防不勝防。此類病毒若在院內(nèi)擴(kuò)散造成的影響不容小覷，一方面?zhèn)鞑シ秶鷱V危害性大，影響正常業(yè)務(wù)甚至造成系統(tǒng)癱瘓；另一方面病毒影響周期長(zhǎng)，手工處理效率低，且存在反復(fù)感染的可能。

世界上沒(méi)有攻不破的網(wǎng)絡(luò)，也沒(méi)有不存在漏洞的系統(tǒng)，網(wǎng)絡(luò)安全威脅防不勝防,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也是一種常態(tài)[7]。面對(duì)現(xiàn)有網(wǎng)絡(luò)安全設(shè)備不能100%保證網(wǎng)絡(luò)安全的現(xiàn)狀，當(dāng)安全威脅發(fā)生在局域網(wǎng)內(nèi)部時(shí)，如何準(zhǔn)確發(fā)現(xiàn)威脅、快速定位威脅、有效控制威脅擴(kuò)散顯得越來(lái)越重要。下面結(jié)合一個(gè)“無(wú)文件”型挖礦病毒安全事件對(duì)此進(jìn)行闡述說(shuō)明。此次安全事件發(fā)生在外網(wǎng)局域網(wǎng)。

3 挖礦病毒事件分析

3.1 事件背景

2018年9月10日，筆者查看殺毒軟件日志時(shí)發(fā)現(xiàn)有多臺(tái)外網(wǎng)辦公終端發(fā)出相同告警，受感染的文件為cohernece.exe和java-log-9528.log，這是惡意軟件產(chǎn)生的垃圾文件。入侵防御系統(tǒng)IPS顯示此病毒為挖礦病毒，對(duì)其連接礦池的行為進(jìn)行攔截后(圖2)，殺毒軟件日志顯示威脅已清除，但告警仍在持續(xù)，說(shuō)明殺毒軟件不能有效清除病毒，或者局域網(wǎng)內(nèi)仍存在感染源。

圖2 IPS告警日志

3.2 病毒分析

此挖礦病毒是一個(gè)名叫PowershellMiner的“無(wú)文件”惡意軟件，利用系統(tǒng)提供的WMI(Windows Management Instrumentation)功能實(shí)現(xiàn)定時(shí)啟動(dòng)，并利用PowerShell工具執(zhí)行經(jīng)過(guò)了混淆處理的惡意腳本[8]。該病毒有如下特點(diǎn)。

一是隱蔽性強(qiáng)，難以查殺。“無(wú)文件”惡意軟件直接將惡意代碼寫入內(nèi)存或注冊(cè)表中，或利用受信任軟件或系統(tǒng)工具實(shí)現(xiàn)激活或駐留。由于沒(méi)有病毒文件落地，傳統(tǒng)的基于病毒特征碼的防病毒軟件無(wú)法清除它們。

二是利用多個(gè)漏洞，擴(kuò)散迅速。該病毒具備兩種橫向傳染機(jī)制，分別為Mimikatz+WMIExec自動(dòng)化爆破和MS17-010“永恒之藍(lán)”漏洞攻擊，極易在局域網(wǎng)內(nèi)迅速傳播。

3.3 應(yīng)急響應(yīng)

3.3.1 威脅控制

通過(guò)終端桌面管理系統(tǒng)的“應(yīng)用程序管理”功能，為終端統(tǒng)一下發(fā)禁用powershell.exe策略，病毒宿主進(jìn)程無(wú)法運(yùn)行，被感染終端無(wú)法繼續(xù)進(jìn)行挖礦和橫向滲透，無(wú)需隔離和斷網(wǎng)可暫時(shí)繼續(xù)使用。告警日志如圖3所示。

圖3 終端管理系統(tǒng)告警日志

3.3.2 攻擊溯源

根據(jù)挖礦病毒和勒索病毒的傳播特性，通過(guò)網(wǎng)絡(luò)流量回溯分析系統(tǒng)[9]的“文件共享流量”回溯分析，可迅速定位正在橫向傳播的終端(圖4)。當(dāng)病毒入侵到內(nèi)網(wǎng)局域網(wǎng)而IPS上無(wú)告警記錄時(shí)，可通過(guò)此方法對(duì)已感染終端進(jìn)行定位。雖然供應(yīng)商已設(shè)置“疑似WannaCry蠕蟲(chóng)”告警，但誤報(bào)率高且告警級(jí)別低，早已淹沒(méi)在每日數(shù)以十萬(wàn)計(jì)的告警記錄中。

圖4 文件共享流量回溯分析

3.3.3 數(shù)據(jù)包分析

通過(guò)流量回溯系統(tǒng)分析數(shù)據(jù)包發(fā)現(xiàn)已感染終端在橫向滲透的同時(shí)，會(huì)連接數(shù)字加密幣礦池，并向礦池發(fā)送特定數(shù)據(jù)包(圖5)。

“xmr-*.nanopool.org”等為礦池域名，“jsonrpc”是一個(gè)無(wú)狀態(tài)且輕量級(jí)的遠(yuǎn)程過(guò)程調(diào)用(RPC)傳送協(xié)議，“l(fā)ogin”輸入的是礦池錢包地址，“pass”為密碼，“agent”為礦機(jī)信息。

圖5 連接礦池?cái)?shù)據(jù)包分析

3.3.4 手動(dòng)查殺

此病毒為“無(wú)文件”病毒，殺毒軟件無(wú)法查殺，需要手動(dòng)查殺。

首先結(jié)束powershell.exe宿主進(jìn)程，然后刪除相關(guān)計(jì)劃任務(wù)，再使用Autoruns工具(微軟官網(wǎng)可以下載)刪除WMI啟動(dòng)項(xiàng)(圖6)。

圖6 微軟Autoruns工具

3.4 事件追責(zé)

通過(guò)流量分析工具發(fā)現(xiàn)局域網(wǎng)內(nèi)最早出現(xiàn)445端口掃描的終端為192.168.*.55，該IP于9月9日19點(diǎn)10分開(kāi)始橫向滲透。查看IPS告警記錄發(fā)現(xiàn)該IP于9月9日17點(diǎn)40分開(kāi)始嘗試連接礦池。調(diào)查后確認(rèn)該IP為分院一物聯(lián)網(wǎng)設(shè)備地址，該網(wǎng)段為新增視頻會(huì)議專用網(wǎng)段，沒(méi)有及時(shí)加入到準(zhǔn)入管理范圍內(nèi)。某科室研究生自行將網(wǎng)線拔下，更改自己筆記本配置后非法接入醫(yī)院網(wǎng)絡(luò)，挖礦病毒通過(guò)此臺(tái)筆記本在醫(yī)院外網(wǎng)局域網(wǎng)傳播。

4 安全風(fēng)險(xiǎn)防控

4.1 人是最大的安全漏洞

從整個(gè)事件可以看出，人是最大的安全漏洞?？剖胰藛T的安全意識(shí)不強(qiáng)，違規(guī)接入個(gè)人終端，科室其他人員沒(méi)有進(jìn)行阻止，網(wǎng)絡(luò)管理人員沒(méi)有對(duì)新網(wǎng)段進(jìn)行準(zhǔn)入管理，安全管理人員沒(méi)有及時(shí)查看告警記錄更新安全規(guī)則，運(yùn)維管理人員終端安全防護(hù)工作做得不夠細(xì)致等。因此需要增強(qiáng)全員安全意識(shí)，提升信息安全防護(hù)的敏感性，定期對(duì)全體員工進(jìn)行安全培訓(xùn)，從而提升醫(yī)院信息安全整體水平。要根據(jù)相關(guān)法律法規(guī)制定全面的信息安全制度，嚴(yán)格規(guī)定終端尤其外來(lái)終端申請(qǐng)入網(wǎng)、延期、注銷的整個(gè)流程。要針對(duì)終端安全明確責(zé)任和操作規(guī)范，并將終端安全無(wú)事故運(yùn)行納入人員和科室的評(píng)優(yōu)體系[10]。管理人員需加強(qiáng)團(tuán)結(jié)協(xié)作，并在供應(yīng)商之間共享安全情報(bào)，全面分析可能面臨的潛在威脅。對(duì)新威脅開(kāi)展風(fēng)險(xiǎn)分析，通過(guò)增加現(xiàn)有安全設(shè)備的新規(guī)則防范新的安全威脅。

4.2 終端安全基本要求

進(jìn)行終端安全加固，提升終端安全防護(hù)能力。外網(wǎng)終端應(yīng)用上網(wǎng)行為管理系統(tǒng)禁止訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，內(nèi)網(wǎng)終端按照醫(yī)院信息化網(wǎng)絡(luò)工作站的安全管理要求進(jìn)行設(shè)置[11]。

在此基礎(chǔ)上參照《信息安全技術(shù)政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全管理基本要求》[12]和行業(yè)經(jīng)驗(yàn)做如下限制：應(yīng)使用非系統(tǒng)管理員賬號(hào)作為日常辦公的賬號(hào)，刪除或禁止系統(tǒng)中的特殊賬號(hào)、臨時(shí)賬號(hào)；應(yīng)更改默認(rèn)administrator管理賬號(hào)，來(lái)賓賬號(hào)設(shè)置高強(qiáng)度密碼并禁用；應(yīng)設(shè)置開(kāi)機(jī)賬號(hào)為高強(qiáng)度密碼，杜絕空口令登錄系統(tǒng)，避免使用相同或類似的登錄口令；應(yīng)關(guān)閉不必要的遠(yuǎn)程維護(hù)和遠(yuǎn)程桌面，遠(yuǎn)程管理工具設(shè)置強(qiáng)密碼；應(yīng)設(shè)置系統(tǒng)登錄賬戶鎖定策略，防止暴力破解；密碼口令長(zhǎng)度不得低于8位，口令必須為數(shù)字、字母大小寫、特殊符號(hào)組合，并定期更新；應(yīng)禁止Windows系統(tǒng)自動(dòng)播放功能，關(guān)閉對(duì)移動(dòng)存儲(chǔ)介質(zhì)的自動(dòng)播放功能；應(yīng)開(kāi)啟日志審計(jì)功能，成功和失敗均需審計(jì)，日志文件大小至少為28M，按需要覆蓋事件；應(yīng)開(kāi)啟屏幕保護(hù)功能，在恢復(fù)時(shí)使用密碼保護(hù)；應(yīng)打開(kāi)終端自動(dòng)更新，及時(shí)更新安全補(bǔ)丁；應(yīng)打開(kāi)終端防火墻，并設(shè)置訪問(wèn)規(guī)則；應(yīng)安裝終端防護(hù)軟件，確保終端管理軟件和殺毒軟件的完整性和可用性；應(yīng)禁用OFFICE宏，設(shè)置為禁用且不通知；U盤等移動(dòng)介質(zhì)使用前，須通過(guò)病毒檢測(cè)；專線網(wǎng)終端和內(nèi)外網(wǎng)終端杜絕混用，切勿將專線網(wǎng)與互聯(lián)網(wǎng)串網(wǎng)；不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來(lái)源不明的郵件及附件；重視數(shù)據(jù)保護(hù)，對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；假如終端已感染病毒，需將此終端盡快斷網(wǎng)隔離等。

4.3 桌面終端管理系統(tǒng)

準(zhǔn)入管理，嚴(yán)格按照終端安全基本要求對(duì)需要入網(wǎng)的終端進(jìn)行檢測(cè)，對(duì)終端使用人員進(jìn)行安全教育，確定無(wú)病毒無(wú)安全隱患后才能入網(wǎng)。對(duì)于需要增加例外的物聯(lián)網(wǎng)等設(shè)備，須要求供應(yīng)商做好安全策略，并進(jìn)行IP/MAC地址綁定。外設(shè)管理，外網(wǎng)終端設(shè)置U盤禁止運(yùn)行和復(fù)制可執(zhí)行文件，內(nèi)網(wǎng)終端禁止使用U盤。外聯(lián)管理，杜絕內(nèi)外網(wǎng)互聯(lián)。修補(bǔ)漏洞，應(yīng)用終端管理系統(tǒng)的軟件分發(fā)功能，設(shè)置程序執(zhí)行參數(shù)為“/quiet/warnrestart”，為終端靜默安裝service Pack 1基礎(chǔ)包和MS17-010補(bǔ)丁及其他重要漏洞補(bǔ)丁，無(wú)法安裝“永恒之藍(lán)”漏洞補(bǔ)丁的關(guān)閉SMBv1[13]。端口管理，應(yīng)用上網(wǎng)權(quán)限管理功能，關(guān)閉不必要的高危端口，如135、139、445、3389等，一定需要遠(yuǎn)程的更改遠(yuǎn)程訪問(wèn)端口號(hào)。文件共享管理，應(yīng)用共享資源管理功能，禁止不必要的文件資源共享。服務(wù)管理，應(yīng)用系統(tǒng)資產(chǎn)清單功能，禁用不必要的WMI服務(wù)，降低WMI攻擊風(fēng)險(xiǎn)。進(jìn)程管理，應(yīng)用程序管理功能，禁用powershell.exe。

4.4 流量回溯分析系統(tǒng)

目前挖礦病毒有3種典型的445端口掃描方式：一種是針對(duì)公網(wǎng)任意地址進(jìn)行掃描，第二種是針對(duì)本地局域網(wǎng)地址范圍如進(jìn)行掃描，第三種是針對(duì)本機(jī)同一網(wǎng)段以及與本機(jī)有通信的網(wǎng)段進(jìn)行掃描，如若本機(jī)地址為192.168.12.33，與本機(jī)有TCP通信的地址為192.168.15.33，則掃描的范圍為192.168.12.1～192.168.12.254及192.168.15.1～192.168.15.254。第三種屬于慢攻擊型，因突發(fā)流量和并發(fā)進(jìn)程少，所以隱蔽性好不易被檢測(cè)；因終端需要與服務(wù)器進(jìn)行通信，所以服務(wù)器網(wǎng)段極易受到攻擊；因管理員終端需要遠(yuǎn)程維護(hù)其他終端，所以管理員網(wǎng)段也極易受到攻擊。

在流量分析系統(tǒng)中設(shè)置如下告警，可進(jìn)行實(shí)時(shí)監(jiān)控，并在科室大屏展示。一是設(shè)置“虛擬蜜罐[14]”告警。各網(wǎng)段包括服務(wù)器網(wǎng)段選取多個(gè)地址作為預(yù)留地址，組成“預(yù)留地址”網(wǎng)段，設(shè)置該網(wǎng)段有流量即告警，告警級(jí)別為高。二是設(shè)置“高危端口掃描[15]”告警，應(yīng)用報(bào)警設(shè)置“高危端口”135、136、137、138、139、445 、593、1025、2745、3127、6129、3389、5900，時(shí)間桶為10秒，一方面設(shè)置并發(fā)會(huì)話數(shù)>50，且連接請(qǐng)求無(wú)響應(yīng)次數(shù)>10或連接請(qǐng)求被重置次數(shù)>10，告警級(jí)別為高；另一方面設(shè)置并發(fā)會(huì)話數(shù)>50，告警級(jí)別為中。三是設(shè)置“連接礦池”告警。將"id":1,"jsonrpc":"2.0"、"method":"login","params"、"method":"submit","params"加入到數(shù)據(jù)流特征值報(bào)警，告警級(jí)別為高。四是設(shè)置“疑似powershell攻擊”告警。將IEX(New-Object、Net.WebClient).Download加入到數(shù)據(jù)流特征值報(bào)警，告警級(jí)別為高，此方法只能檢測(cè)未經(jīng)混淆的攻擊[16]。應(yīng)用以上告警規(guī)則有效檢測(cè)出了多起初始滲透行為，安全管理人員根據(jù)告警及時(shí)進(jìn)行了應(yīng)急處置。告警記錄如圖7所示。

圖7 安全事件告警

5 結(jié)語(yǔ)

此次安全事件是一個(gè)典型的來(lái)自內(nèi)部終端的安全威脅事件，由于事件發(fā)生在非工作時(shí)間，直到第二天才得到有效控制。惡意程序感染終端后，迅速在局域網(wǎng)擴(kuò)散，給終端業(yè)務(wù)造成一定影響。若感染的是勒索病毒，后果不堪設(shè)想。從網(wǎng)內(nèi)個(gè)別終端不幸感染到病毒在局域網(wǎng)大規(guī)模爆發(fā)，有平均4～5個(gè)小時(shí)的窗口時(shí)間，及時(shí)從源頭對(duì)安全事件進(jìn)行響應(yīng)與處置，可避免整個(gè)網(wǎng)絡(luò)陷落，將損害降至最低。在增強(qiáng)安全意識(shí)、做好安全工作的同時(shí)，應(yīng)增強(qiáng)對(duì)突發(fā)網(wǎng)絡(luò)事件的應(yīng)急處置能力。針對(duì)局域網(wǎng)病毒威脅，如何通過(guò)基線分析、異常檢測(cè)算法，借助機(jī)器學(xué)習(xí)技術(shù)和行為建模技術(shù)智能化地識(shí)別網(wǎng)絡(luò)中的攻擊，對(duì)孤立的安全事件進(jìn)行整合、去偽存真，在威脅發(fā)生時(shí)進(jìn)行主動(dòng)報(bào)警，如語(yǔ)音報(bào)警、短信報(bào)警和電話報(bào)警，并能根據(jù)風(fēng)險(xiǎn)級(jí)別自動(dòng)應(yīng)急處置高危終端，如一鍵斷網(wǎng)、自動(dòng)阻斷等，是當(dāng)下終端安全急需解決的問(wèn)題。隨著醫(yī)院引進(jìn)安全態(tài)勢(shì)感知平臺(tái)，利用大數(shù)據(jù)實(shí)時(shí)分析，采取主動(dòng)的安全分析和實(shí)時(shí)態(tài)勢(shì)感知，并與安全防護(hù)設(shè)備聯(lián)動(dòng)，進(jìn)而快速發(fā)現(xiàn)威脅、控制威脅，相信以上問(wèn)題一定會(huì)迎刃而解。