內容無害化與重建（CDR）：2026 年 8 大頂尖供應商

「內容無害化與重建」（CDR）是一項主動式檔案淨化技術，透過從檔案中移除惡意元件來消除潛在威脅。與其試圖識別惡意軟體，CDR 會將檔案拆解，移除如巨集或嵌入式程式碼等不安全元素，並為終端使用者重建一個安全且可用的版本。

此方法可確保透過電子郵件、下載、檔案傳輸或協作工具進入企業的檔案，不含隱藏的惡意有效載荷，在不影響生產力的情況下保護組織。

CDR 會將檔案拆解為各個組成部分，驗證其結構，並移除活躍或不符合規範的元素（例如巨集、腳本、易受攻擊的物件、格式錯誤的標記以及可疑連結），隨後重建一個既能保留內容又能維持可用性的安全檔案。原始檔案可根據政策規定，被隔離或送至沙箱進行鑑識分析。

• 防禦已知與未知的威脅，包括零日攻擊及規避技術
• 幾秒鐘內即可產出乾淨的檔案，且操作流程極為順暢
• 減少對簽名、觸發機制及人為判斷的依賴
• 提升對安全檔案處理與資料保護規範的遵循程度
• 在電子郵件、網頁、SaaS 及 OT 通道上建立一致的政策執行機制

CDR 並非用來取代防毒軟體、沙箱、EDR 或 SEG，而是與這些工具相輔相成。偵測工具仍能提供分析、關聯與應對功能，而 CDR 則透過優先重建安全檔案，在檔案進入系統的環節降低風險。

選擇合適的 CDR 供應商，對於保護您的組織免受基於檔案的威脅、零日漏洞以及進階持續性威脅的侵害至關重要。以下是 2025 年精選的十大企業級 CDR 供應商名單。我們針對各供應商的核心功能、部署靈活性、整合支援能力以及實際應用案例進行了評估。

OPSWAT CDR™ 技術是該公司 MetaDefender® 平台中以防禦為先的檔案淨化引擎，專為關鍵基礎設施及可信檔案工作流程而設計。在獨立評估中，Deep CDR™ 技術成為首個在 SE Labs 測試中達成 100% 防護率與 100% 合法檔案準確率的 CDR 解決方案。

Deep CDR™ 技術會驗證檔案的真實類型與結構，建立安全的「佔位檔」，解除包含巨集、腳本及結構異常等高風險物件的威脅，隨後重新生成一個完全可用的乾淨檔案。Deep CDR™ 技術還結合了OPSWATMetascan™Multiscanning、Proactive DLP™Adaptive Sandbox 以實現多層次的檔案安全防護。

• 無需簽名或啟發式分析即可抵禦零日攻擊；能防禦混淆與隱藏技術。
• 經證實的功效：在 SE Labs 的 CDR 測試中達 100%；並經 SecureIQLab 進行額外的第三方驗證。
• 可靈活部署於電子郵件、網頁、上傳、下載、可攜式媒體、API 及閘道等各種環境。

• 評估並驗證真實類型／一致性，防止偽裝
• 建立並保留一個安全的占位符
• 解除已核准元素的武裝並重新建構；重建結構
• 交付乾淨且可運作的檔案，並附上稽核詳情

ReSec 透過其 ReSecure 平台，專注於零信任閘道防護，結合智慧型檔案類型驗證、多引擎偵測及即時 CDR 技術，在維持使用便利性的同時，有效消除已知與未知的檔案型態威脅。

ReSec CDR 能識別真正的檔案類型（包括嵌入式/壓縮內容），並重建功能完整的副本，以防範未知威脅。原始檔案則會隔離於組織外部，以供鑑識分析。

• 將原始檔案預先隔離於網路之外
• 適用於高流量閘道器的可擴展、低延遲架構
• 涵蓋範圍：電子郵件、網頁、可移除式儲存媒體、檔案伺服器及API

• 將原始檔案隔離於外部
• 識別真正的檔案類型
• 重建乾淨的副本並傳送至目的地

2025 年 2 月，Menlo Security 收購了 Votiro，將 Votiro 先進的 CDR（通訊數據記錄）與資料安全（DDR）技術整合至 Menlo 的安全企業瀏覽器及工作空間安全產品組合中，該組合能整合瀏覽器、電子郵件、協作工具及API 檔案安全防護。

Votiro 的正向篩選 CDR 透過僅允許已知無虞的元素來重建檔案，確保文件在進出通道間的安全；此功能已整合至 Menlo 平台，並與零信任存取機制相輔相成。

• 無縫的工作空間安全防護：確保檔案在瀏覽器、電子郵件、SaaS 及協作應用程式間的傳輸安全
• 具備企業級規模，同時提供無縫的使用者體驗（不中斷工作流程）

• 攔截檔案傳輸（API）
• 拆解並篩選安全的元件；重建乾淨的檔案
• 向使用者和應用程式提供安全且為原生格式的檔案

Sasa 的 GateScanner 透過 CDR 技術保護「所有通道」（電子郵件、網頁下載、安全MFT、可移除媒體、API），該技術最初是為高威脅、關鍵性網路所設計，並已廣泛應用於政府部門及工業控制系統（ICS）與營運技術（OT）領域。

GateScanner 能深度解析檔案（包括壓縮檔），移除具活動性或高風險的內容，並重建符合政策規範的版本。此外，它還透過 GateScanner Injector（光學資料二極體）提供跨網域傳輸功能，可在隔離的網路之間傳輸經過淨化的資料。

• 內嵌式電子郵件安全（SEG 或 SMTP 中繼）、瀏覽器下載內容淨化、可移除媒體服務站，以及安全的MFT
• 主動-主動的擴展性與政策細粒度；支援數百種檔案類型
• 微軟生態系統整合（例如：AppSource 列表）

• 解除武裝並重建系統，以消除零日攻擊與變形病毒威脅。
• 透過指定管道（USB）傳送經過安全處理的內容

Glasswall 透過其 CDR 平台（Halo）提供零信任檔案防護，該平台廣泛應用於國防、情報及高度受監管的領域；近期整合（例如與 ReversingLabs 的整合）為 CDR 運作增添了威脅情報的背景資訊。

Glasswall 會根據製造商的已知良好規格對檔案進行驗證，修正偏差，依據政策移除高風險元素（例如巨集、連結），並重建符合 NSA ISG 檢查/淨化指引的乾淨檔案。

• 基於 Kubernetes 的可擴展性、ICAP ，以及桌面/潔淨室使用者體驗
• 適用於政策映射的國防級部署方案與技術文件

• 檢查：解析 並驗證檔案結構。
• 重建：修正／修復 無效的結構。
• 清理： 依據政策移除 高風險元件。
• 交付： 快速執行語義 檢查並輸出乾淨的檔案。

Everfox（Forcepoint 聯邦業務部門的重新品牌）整合了 Forcepoint 於 2021 年收購的 DeepSecure 技術。Everfox 在跨網域及威脅防護產品組合中推廣零信任 CDR（亦稱威脅清除），並在新的雲端服務中結合硬體安全 RBI 技術。

Everfox CDR 會萃取有效的業務資訊、驗證結構，並建立一個全新的檔案來傳遞這些資訊，以確保即使是未知的惡意軟體和漏洞利用也無法在轉換過程中存活下來。

• 像素級精準、可完全修改的輸出；確定性預防
• 跨網域血統追蹤與高保障部署，適用於政府及關鍵任務

• 從原始檔案中擷取商業資料
• 確認擷取的資訊格式正確
• 根據規格重建新檔案，並捨棄或儲存原始檔案
• 提供安全且可編輯的結果

Check Point 的「威脅提取」（Threat Extraction, TE）是一項涵蓋 Quantum 網路閘道器與 Harmony 端點／電子郵件的 CDR 功能，與「威脅模擬」沙箱技術協同運作，並由 ThreatCloud AI 智慧技術驅動。

「威脅擷取」功能會預先移除活躍內容（巨集、嵌入式物件、腳本、連結），並可選擇轉換為 PDF 格式，在數秒內交付乾淨的檔案；而原始檔案則可在獲得許可後，於沙箱判定完成後釋出。

• 在入口處移除可被利用的元件
• 重建安全版本（通常近乎即時）
• 可選擇在沙箱審核通過後釋出原始版本（基於政策）

• 在入口處移除可被利用的元件
• 重建安全版本（通常近乎即時）
• 可選擇在沙箱審核通過後釋出原始版本（基於政策）

Check Point 的「威脅提取」（Threat Extraction, TE）是一項涵蓋 Quantum 網路閘道器與 Harmony 端點／電子郵件的 CDR 功能，與「威脅模擬」沙箱技術協同運作，並由 ThreatCloud AI 智慧技術驅動。

Fortinet CDR 會即時移除活動內容，將所有活動元件視為可疑項目，然後重建經過淨化的檔案（「平面」副本）。管理員可將原始檔案保留在本地、進行隔離，或轉送至 FortiSandbox 進行分析。

• 攔截檔案（電子郵件／網頁／HTTP(S)／FTP）。
• 拆解與清理：移除巨集、腳本、嵌入的連結／物件
• 重建並交付乾淨的檔案；根據政策保留原始檔案或將其置於隔離環境中

• 攔截檔案（電子郵件／網頁／HTTP(S)／FTP）。
• 拆解與清理：移除巨集、腳本、嵌入的連結／物件
• 重建並交付乾淨的檔案；根據政策保留原始檔案或將其置於隔離環境中

• 請確認引擎能否處理大量資料，並保持較短的中位數處理時間
• 確認是否支援嵌套檔案、大型檔案及批量傳輸
• 檢視叢集、主動模式以及變更控制的政策版本管理
• 請索取與您的頻道相符的實際吞吐量基準測試數據

• ICAP API 反向代理與上傳工作流程
• 電子郵件堆疊與 SEG 或雲端郵件API 整合
• 原始檔案的Sandbox 與自動化判定動作
• 用於警報與工作流程的 SIEM 和 SOAR 連接器

• 該解決方案是否已由獨立實驗室或政府機關進行過測試？
• 供應商能否提供滲透測試結果及零日漏洞樣本的測試表現？

• 該解決方案能否輕鬆整合至您的電子郵件、網頁、ICAP 及API ？
• 是否有清晰的 RESTAPI ，以及對自動化的支援？

• 目前支援多少種檔案類型和壓縮格式？
• 供應商能多快新增新的檔案類型，包括 HWP 或 JTD 等地區性格式？

• 每種檔案類型的平均處理時間是多少？
• 該解決方案能否在不造成延遲的情況下，處理大型檔案、嵌套壓縮檔以及高流量？

• 能否針對內部與外部管道分別制定不同的政策？
• 能否對資料淨化進行微調（例如：允許內部使用巨集，但移除外部的巨集）？

• 該供應商是否遵循安全的軟體開發生命週期（SDLC）及程式碼審查流程？
• 第三方函式庫是否已取得適當授權並獲得妥善維護？

• 該解決方案會產生詳細的日誌和稽核追蹤嗎？
• 它能否驗證歸檔檔的完整性並提供合規報告？

• 重建後的檔案是否保留了關鍵功能，例如 PowerPoint 動畫或 Excel 公式？
• 使用實際樣本進行測試，以確認其可用性。

• 有多少位工程師正在積極維護 CDR 引擎？
• 功能增強的發布頻率與路線圖為何？

Fortinet 將 CDR 作為 FortiGuard 安全服務提供，並在 FortiMail 和 FortiGate 的防毒設定檔中實作 CDR（基於代理伺服器的檢查）。CDR 是 Fortinet 更廣泛的零信任策略的一部分，可強化新一代防火牆（NGFW）、電子郵件及沙箱防護層。

保護收到的電子郵件附件以及在協作平台上交換的文件。在消除潛在風險的同時，維持工作效率。

驗證並清理從網上下載的檔案，並驗證上傳至入口網站和應用程式的檔案，包括面向客戶的工作流程。

在受政策強制規範且具備稽核功能的環境下，於隔離的網路與層級之間移動檔案，並整合光學資料二極體技術。