| 摘要:沙盒(Sandbox),也称沙箱,是近年来在信息安全领域应用较为广泛的技术之一。Google Chrome浏览器、MSOffice2010中都应用了一些沙盒技术来提升其安全性。目前的IT领域中,应用沙盒技术比较广泛的是杀毒软件行业,比如用于病毒实验甚至是用户应用中的各种“沙盒”安全模式。 |
沙盒最基本的出发点,也是最终的目的,就是为运行在其中的程序提供单独的环境,无论运行结果如何,都不对沙盒以外的系统环境产生任何影响。将这一原理往上层应用中扩展一下,就在理论上为内网安全领域提供了一个新的方向,即应用沙盒技术,隔离那些会对整体内网安全造成危害的行为,从而让安全风险降到较低水平。
国内知名内网安全产品IP-guard的厂商,溢信科技的研发总监黄凯表示,考虑到沙盒技术本身所带来的安全特征与内网安全的行业特征,未来几年,内网安全领域可能在多个方面会应用到沙盒技术。
一、应用沙盒技术,降低未知程序的安全风险
为了完成各种任务,内网用户的计算机中可能安装了多种应用程序,如电子邮件、文本处理、即时通讯等等。通常情况下,成熟的IT系统处于统一的IT策略管理之下,为了防止未知程序所带来的安全风险,用户的计算机允许和禁止哪些应用程序,都有明确的规定。然而,现实的管理中,尤其是国内的很多组织,IT管理并不规范,用户的安全知识水平也参差不齐,单纯的应用黑名单或者白名单进行管理并不能覆盖全部的应用,这时,组织的内网安全水平就很大程度上取决于用户的IT安全意识水平,这显然是不足取的。
沙盒技术的存在,为解决应用程序合规性提供了新的思路。应用沙盒技术,IT管理人员可以将凡是不受信任的,或者说不在白名单内的程序都自动放入沙盒中运行,这样,即使由于用户的安全意识不足而下载运行了带有潜在风险的程序,由于运行在沙盒内,程序的运行并不会对沙盒以外的系统产生不良影响,而且由于沙盒的隔离,恶意程序并不能访问到存在于内网和计算机中的机密信息,从而提升了内网的整体安全水平。同时,对于不在白名单之内但用户可能确实需要的应用,相比于以往的“一放到底”或者“一禁了之”,沙盒的存在也给出了第三条可选的灵活道路。
二、应用沙盒技术,打造可信的安全内网环境
用户使用计算机,会涉及到访问和使用本地、文档服务器等各种位置的数据,这时,就存在着信息泄漏的风险。如果不加以限制,由于用户的疏忽或者主观恶意行为,信息很有可能会通过网络、移动存储设备等各种方式传播出去。同时,各种间谍和风险程序的存在,也时刻威胁着数据的安全。而沙盒的存在,则为我们指出了另外一条道路,即利用沙盒技术,为涉密应用打造可信的安全环境。
拿溢信科技自己的内部CRM系统举例,当用户需要使用被认为是存储有高度机密信息的CRM系统时,系统自动的将该程序放入到沙盒中运行。这时,由于处在沙盒之中,沙盒以外的其他程序无法调用CRM程序进程中的数据,CRM中的数据也无法透过沙盒泄漏到其他的进程中去。程序在沙盒中运行结束后,由于沙盒的消失,一切痕迹和数据都随之消失,从而达到了保密的目的。
事实上,将上面的CRM程序延伸一下,沙盒技术甚至可以帮助实现打造安全环境的目的。例如,在用户进入到工作状态下,需要访问或使用一些敏感信息时,即自动的将整个系统置于沙盒环境之下,同时对于沙盒状态下的网络访问、设备应用等再利用IP-guard等产品已有的丰富管控功能作出必要的限制,所使用、处理的信息由于处于沙盒环境下,也处于加密状态,一旦用户工作完成,退出沙盒环境,则全部信息与操作痕迹都即时删除。运行于普通环境下的系统应用不受限制,运行于沙盒环境下的系统处于高度隔离状态,从而达到了普通环境与保密环境的完全隔离,建造可信的内网环境。
评论表单加载中...
