|
沙盒(Sandbox)��,也有人稱之為沙箱,是近年來在信息安全領(lǐng)域應(yīng)用較為廣泛的技術(shù)之一��。Google Chrome瀏覽器���、MS Office2010中都應(yīng)用了一些沙盒技術(shù)來提升其安全性�����。目前的IT領(lǐng)域中�����,應(yīng)用沙盒技術(shù)比較廣泛的是殺毒軟件行業(yè)�,比如用于病毒實(shí)驗(yàn)甚至是用戶應(yīng)用中的各種“沙盒”安全模式�����。
那么�,究竟什么是沙盒技術(shù)呢�����?簡單來說,沙盒是一種“環(huán)境”����,就是為一些來源不可信、具備破壞力或無法判定程序意圖的程序�����,提供試驗(yàn)環(huán)境����。然而,沙盒中的所有改動(dòng)對(duì)操作系統(tǒng)不會(huì)造成任何損失�。
沙盒最基本的出發(fā)點(diǎn),也是最終的目的���,就是為運(yùn)行在其中的程序提供單獨(dú)的環(huán)境���,無論運(yùn)行結(jié)果如何,都不對(duì)沙盒以外的系統(tǒng)環(huán)境產(chǎn)生任何影響����。將這一原理往上層應(yīng)用中擴(kuò)展一下�,就在理論上為內(nèi)網(wǎng)安全領(lǐng)域提供了一個(gè)新的方向����,即應(yīng)用沙盒技術(shù),隔離那些會(huì)對(duì)整體內(nèi)網(wǎng)安全造成危害的行為�����,從而讓安全風(fēng)險(xiǎn)降到較低水平�����。
國內(nèi)知名內(nèi)網(wǎng)安全產(chǎn)品IP-guard的廠商�,溢信科技的研發(fā)總監(jiān)黃凱表示,考慮到沙盒技術(shù)本身所帶來的安全特征與內(nèi)網(wǎng)安全的行業(yè)特征�,未來幾年,內(nèi)網(wǎng)安全領(lǐng)域可能在多個(gè)方面會(huì)應(yīng)用到沙盒技術(shù)�����。
一�����、應(yīng)用沙盒技術(shù),降低未知程序的安全風(fēng)險(xiǎn)
為了完成各種任務(wù)���,內(nèi)網(wǎng)用戶的計(jì)算機(jī)中可能安裝了多種應(yīng)用程序,如電子郵件�、文本處理、即時(shí)通訊等等�����。通常情況下�����,成熟的IT系統(tǒng)處于統(tǒng)一的IT策略管理之下����,為了防止未知程序所帶來的安全風(fēng)險(xiǎn),用戶的計(jì)算機(jī)允許和禁止哪些應(yīng)用程序����,都有明確的規(guī)定。然而��,現(xiàn)實(shí)的管理中�,尤其是國內(nèi)的很多組織����,IT管理并不規(guī)范��,用戶的安全知識(shí)水平也參差不齊���,單純的應(yīng)用黑名單或者白名單進(jìn)行管理并不能覆蓋全部的應(yīng)用���,這時(shí),組織的內(nèi)網(wǎng)安全水平就很大程度上取決于用戶的IT安全意識(shí)水平�,這顯然是不足取的。
沙盒技術(shù)的存在����,為解決應(yīng)用程序合規(guī)性提供了新的思路。應(yīng)用沙盒技術(shù)���,IT管理人員可以將凡是不受信任的�����,或者說不在白名單內(nèi)的程序都自動(dòng)放入沙盒中運(yùn)行�,這樣���,即使由于用戶的安全意識(shí)不足而下載運(yùn)行了帶有潛在風(fēng)險(xiǎn)的程序�����,由于運(yùn)行在沙盒內(nèi)���,程序的運(yùn)行并不會(huì)對(duì)沙盒以外的系統(tǒng)產(chǎn)生不良影響,而且由于沙盒的隔離���,惡意程序并不能訪問到存在于內(nèi)網(wǎng)和計(jì)算機(jī)中的機(jī)密信息���,從而提升了內(nèi)網(wǎng)的整體安全水平。同時(shí)�,對(duì)于不在白名單之內(nèi)但用戶可能確實(shí)需要的應(yīng)用,相比于以往的“一放到底”或者“一禁了之”����,沙盒的存在也給出了第三條可選的靈活道路。
二���、應(yīng)用沙盒技術(shù)��,打造可信的安全內(nèi)網(wǎng)環(huán)境
用戶使用計(jì)算機(jī)����,會(huì)涉及到訪問和使用本地、文檔服務(wù)器等各種位置的數(shù)據(jù)�����,這時(shí)�,就存在著信息泄漏的風(fēng)險(xiǎn)。如果不加以限制��,由于用戶的疏忽或者主觀惡意行為�,信息很有可能會(huì)通過網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備等各種方式傳播出去�����。同時(shí)�,各種間諜和風(fēng)險(xiǎn)程序的存在,也時(shí)刻威脅著數(shù)據(jù)的安全�。而沙盒的存在,則為我們指出了另外一條道路�����,即利用沙盒技術(shù)�,為涉密應(yīng)用打造可信的安全環(huán)境���。
拿溢信科技自己的內(nèi)部CRM系統(tǒng)舉例,當(dāng)用戶需要使用被認(rèn)為是存儲(chǔ)有高度機(jī)密信息的CRM系統(tǒng)時(shí)�����,系統(tǒng)自動(dòng)的將該程序放入到沙盒中運(yùn)行�����。這時(shí)�����,由于處在沙盒之中��,沙盒以外的其他程序無法調(diào)用CRM程序進(jìn)程中的數(shù)據(jù)�,CRM中的數(shù)據(jù)也無法透過沙盒泄漏到其他的進(jìn)程中去��。程序在沙盒中運(yùn)行結(jié)束后�,由于沙盒的消失,一切痕跡和數(shù)據(jù)都隨之消失�����,從而達(dá)到了保密的目的。
事實(shí)上�,將上面的CRM程序延伸一下,沙盒技術(shù)甚至可以幫助實(shí)現(xiàn)打造安全環(huán)境的目的�����。例如��,在用戶進(jìn)入到工作狀態(tài)下���,需要訪問或使用一些敏感信息時(shí)��,即自動(dòng)的將整個(gè)系統(tǒng)置于沙盒環(huán)境之下��,同時(shí)對(duì)于沙盒狀態(tài)下的網(wǎng)絡(luò)訪問���、設(shè)備應(yīng)用等再利用IP-guard等產(chǎn)品已有的豐富管控功能作出必要的限制,所使用�����、處理的信息由于處于沙盒環(huán)境下�,也處于加密狀態(tài),一旦用戶工作完成,退出沙盒環(huán)境����,則全部信息與操作痕跡都即時(shí)刪除。運(yùn)行于普通環(huán)境下的系統(tǒng)應(yīng)用不受限制��,運(yùn)行于沙盒環(huán)境下的系統(tǒng)處于高度隔離狀態(tài)�����,從而達(dá)到了普通環(huán)境與保密環(huán)境的完全隔離�,建造可信的內(nèi)網(wǎng)環(huán)境。
三�、應(yīng)用沙盒技術(shù),提升應(yīng)用的可靠性��。
Google收購沙盒技術(shù)的鼻祖GreenBorder公司���,并在其后推出的 Chrome瀏覽器中應(yīng)用了沙盒技術(shù),使得多標(biāo)簽瀏覽狀態(tài)下��,每一個(gè)標(biāo)簽都運(yùn)行在獨(dú)立的沙盒中�����,從而有效避免了以往多標(biāo)簽瀏覽下標(biāo)簽崩潰造成的瀏覽器甚至系統(tǒng)崩潰的情況,提升了應(yīng)用的可靠性�。
類似的,在內(nèi)網(wǎng)安全的一些應(yīng)用中��,沙盒技術(shù)也可以有效提高其可靠性����。例如近幾年來內(nèi)網(wǎng)安全領(lǐng)域比較常見的,同時(shí)也是IP-guard新產(chǎn)品V+全向文檔加密所應(yīng)用的文檔透明加密技術(shù)�,由于是基于進(jìn)程的加密,即意味著無論打開多少個(gè)文檔�,由于在進(jìn)程中只能體現(xiàn)為一個(gè)進(jìn)程,假使因?yàn)橐恍┰驅(qū)е缕渲幸粋(gè)文檔損壞���,則其他的文檔也都有同樣的損壞風(fēng)險(xiǎn)���。應(yīng)用沙盒技術(shù),可以將每一個(gè)文檔的加密過程都置于單獨(dú)的沙盒之內(nèi)����,單獨(dú)文檔的損壞不會(huì)導(dǎo)致其他文檔的損壞,從而能夠有效提高系統(tǒng)的可靠性�����。
另外,沙盒的隔離特性����,還可以使同樣文檔格式但保密要求不同的文檔的加密更加靈活。例如����,對(duì)于用戶接收的來自外部的文檔,有些可能并不方便進(jìn)行加密�,對(duì)于這些文檔,就可以讓其運(yùn)行在沙盒之中����,使用時(shí)并不進(jìn)行加密操作,從而將不同安全級(jí)別的文檔在使用時(shí)進(jìn)行了有效的區(qū)隔��,讓加密更加實(shí)用和靈活�����。談及這一點(diǎn)���,黃凱頗有感觸:“類似這種“微創(chuàng)新”,對(duì)于系統(tǒng)的安全性提升并不明顯����,但恰恰是這種微小的創(chuàng)新�,體現(xiàn)了IP-guard以及其他優(yōu)秀產(chǎn)品從用戶角度出發(fā)�����、追求用戶體驗(yàn)提升的產(chǎn)品創(chuàng)新理念�����。
沙盒技術(shù)的局限性
上面提到的是沙盒技術(shù)在內(nèi)網(wǎng)安全領(lǐng)域未來可能的應(yīng)用方向�,其主體思路,都是通過沙盒技術(shù)的隔離特性����,提升應(yīng)用的安全性與可靠性,確保局部的風(fēng)險(xiǎn)不影響整體的安全水平�����。事實(shí)上��,現(xiàn)在已經(jīng)有一些內(nèi)網(wǎng)安全產(chǎn)品應(yīng)用了沙盒技術(shù)�,或者說沙盒的理念,如一些磁盤加密環(huán)境切換產(chǎn)品�。虛擬機(jī)���、瘦客戶機(jī)等產(chǎn)品,也在一定程度上與沙盒技術(shù)有異曲同工之妙�����。
然而��,我們也必須看到��,任何一種新興技術(shù)的發(fā)展��,除了帶來革新性的好處�,也都可能有其局限性。在這一點(diǎn)上���,沙盒技術(shù)也不例外�。
首先�����,沙盒技術(shù)并不是殺毒軟件或其安全產(chǎn)品�,這也就意味著它只能隔離,無法檢測加密過的或者復(fù)雜的安全威脅�����。因此����,認(rèn)為應(yīng)用了沙盒之后,一切安全威脅都不再是威脅的想法顯然是不足取的����,沙盒并不能徹底的解決所有的問題;其次����,由于沙盒的存在,在用戶與應(yīng)用之間增加了一層應(yīng)用���,理論上����,也就多了一層可被攻擊的漏洞�����。沙盒程序本身并非無懈可擊�,這也就可能為惡意行為提供了新的切入點(diǎn)���。最后,沙盒技術(shù)本身是單一的應(yīng)用�,想要實(shí)現(xiàn)上面提到的各種功能,需要針對(duì)不同的應(yīng)用進(jìn)行特別的優(yōu)化設(shè)計(jì)����,提升其可用性,而這也是考驗(yàn)產(chǎn)品經(jīng)理的關(guān)鍵所在�。
沙盒技術(shù)并不神秘,上面提到的幾點(diǎn)���,據(jù)黃凱透露���,都可能出現(xiàn)在未來的IP-guard當(dāng)中。再次談及創(chuàng)新�,黃凱說:“包括沙盒技術(shù)在內(nèi)的很多新技術(shù),其實(shí)可能都只是在某個(gè)微小的角度���,提升了產(chǎn)品的可用性�、易用性或者穩(wěn)定性�����,然而,正是這些微小的創(chuàng)新累積起來����,形成了優(yōu)秀的產(chǎn)品��。事實(shí)上����,IP-guard從開始研發(fā)到如今客戶遍布全國乃至世界的十年間,不斷的根據(jù)客戶的實(shí)際需求進(jìn)行微創(chuàng)新�,應(yīng)用新技術(shù),正是我們向前走的法寶���。到現(xiàn)在�����,我們也一直有一部分同事獨(dú)立于研發(fā)之外�����,堅(jiān)持在做新技術(shù)的艱苦探索�����,就是為了更多有用的微創(chuàng)新能夠加入到IP-guard或者我們的其他產(chǎn)品中�����,為用戶帶來更實(shí)在的收益�。我們?cè)贑omputex上獲過獎(jiǎng),對(duì)于這個(gè)獎(jiǎng)項(xiàng)���,與其說是頒給了優(yōu)秀的技術(shù)��,我們更傾向于理解為這是對(duì)我們根據(jù)用戶需求進(jìn)行微創(chuàng)新的鼓勵(lì)���。”
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
