漫談內網安全新趨勢之沙盒魔方

沙盒（Sandbox），也有人稱之為沙箱，是近年來在信息安全領域應用較為廣泛的技術之一。Google Chrome瀏覽器、MS Office2010中都應用了一些沙盒技術來提升其安全性。目前的IT領域中，應用沙盒技術比較廣泛的是殺毒軟件行業，比如用于病毒實驗甚至是用戶應用中的各種“沙盒”安全模式。

那么，究竟什么是沙盒技術呢？簡單來說，沙盒是一種“環境”，就是為一些來源不可信、具備破壞力或無法判定程序意圖的程序，提供試驗環境。然而，沙盒中的所有改動對操作系統不會造成任何損失。

沙盒最基本的出發點，也是最終的目的，就是為運行在其中的程序提供單獨的環境，無論運行結果如何，都不對沙盒以外的系統環境產生任何影響。將這一原理往上層應用中擴展一下，就在理論上為內網安全領域提供了一個新的方向，即應用沙盒技術，隔離那些會對整體內網安全造成危害的行為，從而讓安全風險降到較低水平。

國內知名內網安全產品IP-guard的廠商，溢信科技的研發總監黃凱表示，考慮到沙盒技術本身所帶來的安全特征與內網安全的行業特征，未來幾年，內網安全領域可能在多個方面會應用到沙盒技術。

一、應用沙盒技術，降低未知程序的安全風險

為了完成各種任務，內網用戶的計算機中可能安裝了多種應用程序，如電子郵件、文本處理、即時通訊等等。通常情況下，成熟的IT系統處于統一的IT策略管理之下，為了防止未知程序所帶來的安全風險，用戶的計算機允許和禁止哪些應用程序，都有明確的規定。然而，現實的管理中，尤其是國內的很多組織，IT管理并不規范，用戶的安全知識水平也參差不齊，單純的應用黑名單或者白名單進行管理并不能覆蓋全部的應用，這時，組織的內網安全水平就很大程度上取決于用戶的IT安全意識水平，這顯然是不足取的。

沙盒技術的存在，為解決應用程序合規性提供了新的思路。應用沙盒技術，IT管理人員可以將凡是不受信任的，或者說不在白名單內的程序都自動放入沙盒中運行，這樣，即使由于用戶的安全意識不足而下載運行了帶有潛在風險的程序，由于運行在沙盒內，程序的運行并不會對沙盒以外的系統產生不良影響，而且由于沙盒的隔離，惡意程序并不能訪問到存在于內網和計算機中的機密信息，從而提升了內網的整體安全水平。同時，對于不在白名單之內但用戶可能確實需要的應用，相比于以往的“一放到底”或者“一禁了之”，沙盒的存在也給出了第三條可選的靈活道路。

二、應用沙盒技術，打造可信的安全內網環境

用戶使用計算機，會涉及到訪問和使用本地、文檔服務器等各種位置的數據，這時，就存在著信息泄漏的風險。如果不加以限制，由于用戶的疏忽或者主觀惡意行為，信息很有可能會通過網絡、移動存儲設備等各種方式傳播出去。同時，各種間諜和風險程序的存在，也時刻威脅著數據的安全。而沙盒的存在，則為我們指出了另外一條道路，即利用沙盒技術，為涉密應用打造可信的安全環境。

拿溢信科技自己的內部CRM系統舉例，當用戶需要使用被認為是存儲有高度機密信息的CRM系統時，系統自動的將該程序放入到沙盒中運行。這時，由于處在沙盒之中，沙盒以外的其他程序無法調用CRM程序進程中的數據，CRM中的數據也無法透過沙盒泄漏到其他的進程中去。程序在沙盒中運行結束后，由于沙盒的消失，一切痕跡和數據都隨之消失，從而達到了保密的目的。

事實上，將上面的CRM程序延伸一下，沙盒技術甚至可以幫助實現打造安全環境的目的。例如，在用戶進入到工作狀態下，需要訪問或使用一些敏感信息時，即自動的將整個系統置于沙盒環境之下，同時對于沙盒狀態下的網絡訪問、設備應用等再利用IP-guard等產品已有的豐富管控功能作出必要的限制，所使用、處理的信息由于處于沙盒環境下，也處于加密狀態，一旦用戶工作完成，退出沙盒環境，則全部信息與操作痕跡都即時刪除。運行于普通環境下的系統應用不受限制，運行于沙盒環境下的系統處于高度隔離狀態，從而達到了普通環境與保密環境的完全隔離，建造可信的內網環境。

三、應用沙盒技術，提升應用的可靠性。

Google收購沙盒技術的鼻祖GreenBorder公司，并在其后推出的 Chrome瀏覽器中應用了沙盒技術，使得多標簽瀏覽狀態下，每一個標簽都運行在獨立的沙盒中，從而有效避免了以往多標簽瀏覽下標簽崩潰造成的瀏覽器甚至系統崩潰的情況，提升了應用的可靠性。

類似的，在內網安全的一些應用中，沙盒技術也可以有效提高其可靠性。例如近幾年來內網安全領域比較常見的，同時也是IP-guard新產品V+全向文檔加密所應用的文檔透明加密技術，由于是基于進程的加密，即意味著無論打開多少個文檔，由于在進程中只能體現為一個進程，假使因為一些原因導致其中一個文檔損壞，則其他的文檔也都有同樣的損壞風險。應用沙盒技術，可以將每一個文檔的加密過程都置于單獨的沙盒之內，單獨文檔的損壞不會導致其他文檔的損壞，從而能夠有效提高系統的可靠性。

另外，沙盒的隔離特性，還可以使同樣文檔格式但保密要求不同的文檔的加密更加靈活。例如，對于用戶接收的來自外部的文檔，有些可能并不方便進行加密，對于這些文檔，就可以讓其運行在沙盒之中，使用時并不進行加密操作，從而將不同安全級別的文檔在使用時進行了有效的區隔，讓加密更加實用和靈活。談及這一點，黃凱頗有感觸：“類似這種“微創新”，對于系統的安全性提升并不明顯，但恰恰是這種微小的創新，體現了IP-guard以及其他優秀產品從用戶角度出發、追求用戶體驗提升的產品創新理念。

沙盒技術的局限性

上面提到的是沙盒技術在內網安全領域未來可能的應用方向，其主體思路，都是通過沙盒技術的隔離特性，提升應用的安全性與可靠性，確保局部的風險不影響整體的安全水平。事實上，現在已經有一些內網安全產品應用了沙盒技術，或者說沙盒的理念，如一些磁盤加密環境切換產品。虛擬機、瘦客戶機等產品，也在一定程度上與沙盒技術有異曲同工之妙。

然而，我們也必須看到，任何一種新興技術的發展，除了帶來革新性的好處，也都可能有其局限性。在這一點上，沙盒技術也不例外。

首先，沙盒技術并不是殺毒軟件或其安全產品，這也就意味著它只能隔離，無法檢測加密過的或者復雜的安全威脅。因此，認為應用了沙盒之后，一切安全威脅都不再是威脅的想法顯然是不足取的，沙盒并不能徹底的解決所有的問題；其次，由于沙盒的存在，在用戶與應用之間增加了一層應用，理論上，也就多了一層可被攻擊的漏洞。沙盒程序本身并非無懈可擊，這也就可能為惡意行為提供了新的切入點。最后，沙盒技術本身是單一的應用，想要實現上面提到的各種功能，需要針對不同的應用進行特別的優化設計，提升其可用性，而這也是考驗產品經理的關鍵所在。

沙盒技術并不神秘，上面提到的幾點，據黃凱透露，都可能出現在未來的IP-guard當中。再次談及創新，黃凱說：“包括沙盒技術在內的很多新技術，其實可能都只是在某個微小的角度，提升了產品的可用性、易用性或者穩定性，然而，正是這些微小的創新累積起來，形成了優秀的產品。事實上，IP-guard從開始研發到如今客戶遍布全國乃至世界的十年間，不斷的根據客戶的實際需求進行微創新，應用新技術，正是我們向前走的法寶。到現在，我們也一直有一部分同事獨立于研發之外，堅持在做新技術的艱苦探索，就是為了更多有用的微創新能夠加入到IP-guard或者我們的其他產品中，為用戶帶來更實在的收益。我們在Computex上獲過獎，對于這個獎項，與其說是頒給了優秀的技術，我們更傾向于理解為這是對我們根據用戶需求進行微創新的鼓勵。”
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]