|
沙盒(Sandbox),也有人稱之為沙箱,是近年來在信息安全領(lǐng)域應(yīng)用較為廣泛的技術(shù)之一���。Google Chrome瀏覽器����、MS Office2010中都應(yīng)用了一些沙盒技術(shù)來提升其安全性。目前的IT領(lǐng)域中��,應(yīng)用沙盒技術(shù)比較廣泛的是殺毒軟件行業(yè)�,比如用于病毒實(shí)驗甚至是用戶應(yīng)用中的各種“沙盒”安全模式。
那么�,究竟什么是沙盒技術(shù)呢?簡單來說��,沙盒是一種“環(huán)境”,就是為一些來源不可信�����、具備破壞力或無法判定程序意圖的程序�,提供試驗環(huán)境。然而��,沙盒中的所有改動對操作系統(tǒng)不會造成任何損失��。
沙盒最基本的出發(fā)點(diǎn)��,也是最終的目的��,就是為運(yùn)行在其中的程序提供單獨(dú)的環(huán)境��,無論運(yùn)行結(jié)果如何��,都不對沙盒以外的系統(tǒng)環(huán)境產(chǎn)生任何影響����。將這一原理往上層應(yīng)用中擴(kuò)展一下,就在理論上為內(nèi)網(wǎng)安全領(lǐng)域提供了一個新的方向��,即應(yīng)用沙盒技術(shù)���,隔離那些會對整體內(nèi)網(wǎng)安全造成危害的行為��,從而讓安全風(fēng)險降到較低水平�。
國內(nèi)知名內(nèi)網(wǎng)安全產(chǎn)品IP-guard的廠商,溢信科技的研發(fā)總監(jiān)黃凱表示���,考慮到沙盒技術(shù)本身所帶來的安全特征與內(nèi)網(wǎng)安全的行業(yè)特征�,未來幾年�,內(nèi)網(wǎng)安全領(lǐng)域可能在多個方面會應(yīng)用到沙盒技術(shù)。
一��、應(yīng)用沙盒技術(shù)����,降低未知程序的安全風(fēng)險
為了完成各種任務(wù),內(nèi)網(wǎng)用戶的計算機(jī)中可能安裝了多種應(yīng)用程序�,如電子郵件����、文本處理、即時通訊等等���。通常情況下�����,成熟的IT系統(tǒng)處于統(tǒng)一的IT策略管理之下�,為了防止未知程序所帶來的安全風(fēng)險,用戶的計算機(jī)允許和禁止哪些應(yīng)用程序�����,都有明確的規(guī)定���。然而�����,現(xiàn)實(shí)的管理中�����,尤其是國內(nèi)的很多組織��,IT管理并不規(guī)范���,用戶的安全知識水平也參差不齊,單純的應(yīng)用黑名單或者白名單進(jìn)行管理并不能覆蓋全部的應(yīng)用��,這時,組織的內(nèi)網(wǎng)安全水平就很大程度上取決于用戶的IT安全意識水平�,這顯然是不足取的。
沙盒技術(shù)的存在��,為解決應(yīng)用程序合規(guī)性提供了新的思路�。應(yīng)用沙盒技術(shù),IT管理人員可以將凡是不受信任的���,或者說不在白名單內(nèi)的程序都自動放入沙盒中運(yùn)行����,這樣�����,即使由于用戶的安全意識不足而下載運(yùn)行了帶有潛在風(fēng)險的程序�,由于運(yùn)行在沙盒內(nèi),程序的運(yùn)行并不會對沙盒以外的系統(tǒng)產(chǎn)生不良影響�,而且由于沙盒的隔離,惡意程序并不能訪問到存在于內(nèi)網(wǎng)和計算機(jī)中的機(jī)密信息���,從而提升了內(nèi)網(wǎng)的整體安全水平。同時�,對于不在白名單之內(nèi)但用戶可能確實(shí)需要的應(yīng)用���,相比于以往的“一放到底”或者“一禁了之”,沙盒的存在也給出了第三條可選的靈活道路��。
二��、應(yīng)用沙盒技術(shù)����,打造可信的安全內(nèi)網(wǎng)環(huán)境
用戶使用計算機(jī),會涉及到訪問和使用本地��、文檔服務(wù)器等各種位置的數(shù)據(jù)�����,這時����,就存在著信息泄漏的風(fēng)險。如果不加以限制�����,由于用戶的疏忽或者主觀惡意行為�����,信息很有可能會通過網(wǎng)絡(luò)、移動存儲設(shè)備等各種方式傳播出去����。同時,各種間諜和風(fēng)險程序的存在�����,也時刻威脅著數(shù)據(jù)的安全�。而沙盒的存在,則為我們指出了另外一條道路����,即利用沙盒技術(shù),為涉密應(yīng)用打造可信的安全環(huán)境����。
拿溢信科技自己的內(nèi)部CRM系統(tǒng)舉例,當(dāng)用戶需要使用被認(rèn)為是存儲有高度機(jī)密信息的CRM系統(tǒng)時����,系統(tǒng)自動的將該程序放入到沙盒中運(yùn)行。這時�,由于處在沙盒之中,沙盒以外的其他程序無法調(diào)用CRM程序進(jìn)程中的數(shù)據(jù)����,CRM中的數(shù)據(jù)也無法透過沙盒泄漏到其他的進(jìn)程中去。程序在沙盒中運(yùn)行結(jié)束后���,由于沙盒的消失�,一切痕跡和數(shù)據(jù)都隨之消失���,從而達(dá)到了保密的目的��。
事實(shí)上����,將上面的CRM程序延伸一下����,沙盒技術(shù)甚至可以幫助實(shí)現(xiàn)打造安全環(huán)境的目的。例如��,在用戶進(jìn)入到工作狀態(tài)下����,需要訪問或使用一些敏感信息時�����,即自動的將整個系統(tǒng)置于沙盒環(huán)境之下�����,同時對于沙盒狀態(tài)下的網(wǎng)絡(luò)訪問�、設(shè)備應(yīng)用等再利用IP-guard等產(chǎn)品已有的豐富管控功能作出必要的限制���,所使用�、處理的信息由于處于沙盒環(huán)境下����,也處于加密狀態(tài),一旦用戶工作完成���,退出沙盒環(huán)境���,則全部信息與操作痕跡都即時刪除。運(yùn)行于普通環(huán)境下的系統(tǒng)應(yīng)用不受限制��,運(yùn)行于沙盒環(huán)境下的系統(tǒng)處于高度隔離狀態(tài),從而達(dá)到了普通環(huán)境與保密環(huán)境的完全隔離�,建造可信的內(nèi)網(wǎng)環(huán)境。
三���、應(yīng)用沙盒技術(shù),提升應(yīng)用的可靠性�����。
Google收購沙盒技術(shù)的鼻祖GreenBorder公司�,并在其后推出的 Chrome瀏覽器中應(yīng)用了沙盒技術(shù),使得多標(biāo)簽瀏覽狀態(tài)下�����,每一個標(biāo)簽都運(yùn)行在獨(dú)立的沙盒中�,從而有效避免了以往多標(biāo)簽瀏覽下標(biāo)簽崩潰造成的瀏覽器甚至系統(tǒng)崩潰的情況,提升了應(yīng)用的可靠性�����。
類似的����,在內(nèi)網(wǎng)安全的一些應(yīng)用中,沙盒技術(shù)也可以有效提高其可靠性。例如近幾年來內(nèi)網(wǎng)安全領(lǐng)域比較常見的��,同時也是IP-guard新產(chǎn)品V+全向文檔加密所應(yīng)用的文檔透明加密技術(shù)���,由于是基于進(jìn)程的加密��,即意味著無論打開多少個文檔��,由于在進(jìn)程中只能體現(xiàn)為一個進(jìn)程�����,假使因為一些原因?qū)е缕渲幸粋文檔損壞����,則其他的文檔也都有同樣的損壞風(fēng)險����。應(yīng)用沙盒技術(shù),可以將每一個文檔的加密過程都置于單獨(dú)的沙盒之內(nèi)���,單獨(dú)文檔的損壞不會導(dǎo)致其他文檔的損壞�����,從而能夠有效提高系統(tǒng)的可靠性����。
另外,沙盒的隔離特性��,還可以使同樣文檔格式但保密要求不同的文檔的加密更加靈活�。例如,對于用戶接收的來自外部的文檔�����,有些可能并不方便進(jìn)行加密�,對于這些文檔�,就可以讓其運(yùn)行在沙盒之中,使用時并不進(jìn)行加密操作���,從而將不同安全級別的文檔在使用時進(jìn)行了有效的區(qū)隔����,讓加密更加實(shí)用和靈活�����。談及這一點(diǎn),黃凱頗有感觸:“類似這種“微創(chuàng)新”�,對于系統(tǒng)的安全性提升并不明顯,但恰恰是這種微小的創(chuàng)新�����,體現(xiàn)了IP-guard以及其他優(yōu)秀產(chǎn)品從用戶角度出發(fā)�����、追求用戶體驗提升的產(chǎn)品創(chuàng)新理念�。
沙盒技術(shù)的局限性
上面提到的是沙盒技術(shù)在內(nèi)網(wǎng)安全領(lǐng)域未來可能的應(yīng)用方向,其主體思路����,都是通過沙盒技術(shù)的隔離特性,提升應(yīng)用的安全性與可靠性��,確保局部的風(fēng)險不影響整體的安全水平�。事實(shí)上,現(xiàn)在已經(jīng)有一些內(nèi)網(wǎng)安全產(chǎn)品應(yīng)用了沙盒技術(shù)��,或者說沙盒的理念��,如一些磁盤加密環(huán)境切換產(chǎn)品�����。虛擬機(jī)、瘦客戶機(jī)等產(chǎn)品���,也在一定程度上與沙盒技術(shù)有異曲同工之妙�。
然而�,我們也必須看到,任何一種新興技術(shù)的發(fā)展����,除了帶來革新性的好處,也都可能有其局限性����。在這一點(diǎn)上����,沙盒技術(shù)也不例外。
首先�,沙盒技術(shù)并不是殺毒軟件或其安全產(chǎn)品,這也就意味著它只能隔離�����,無法檢測加密過的或者復(fù)雜的安全威脅。因此�����,認(rèn)為應(yīng)用了沙盒之后�����,一切安全威脅都不再是威脅的想法顯然是不足取的����,沙盒并不能徹底的解決所有的問題;其次�����,由于沙盒的存在����,在用戶與應(yīng)用之間增加了一層應(yīng)用,理論上�����,也就多了一層可被攻擊的漏洞����。沙盒程序本身并非無懈可擊����,這也就可能為惡意行為提供了新的切入點(diǎn)�。最后,沙盒技術(shù)本身是單一的應(yīng)用��,想要實(shí)現(xiàn)上面提到的各種功能���,需要針對不同的應(yīng)用進(jìn)行特別的優(yōu)化設(shè)計����,提升其可用性����,而這也是考驗產(chǎn)品經(jīng)理的關(guān)鍵所在��。
沙盒技術(shù)并不神秘����,上面提到的幾點(diǎn),據(jù)黃凱透露��,都可能出現(xiàn)在未來的IP-guard當(dāng)中。再次談及創(chuàng)新�����,黃凱說:“包括沙盒技術(shù)在內(nèi)的很多新技術(shù)�,其實(shí)可能都只是在某個微小的角度,提升了產(chǎn)品的可用性��、易用性或者穩(wěn)定性���,然而��,正是這些微小的創(chuàng)新累積起來��,形成了優(yōu)秀的產(chǎn)品�����。事實(shí)上����,IP-guard從開始研發(fā)到如今客戶遍布全國乃至世界的十年間�����,不斷的根據(jù)客戶的實(shí)際需求進(jìn)行微創(chuàng)新,應(yīng)用新技術(shù)����,正是我們向前走的法寶。到現(xiàn)在����,我們也一直有一部分同事獨(dú)立于研發(fā)之外,堅持在做新技術(shù)的艱苦探索����,就是為了更多有用的微創(chuàng)新能夠加入到IP-guard或者我們的其他產(chǎn)品中,為用戶帶來更實(shí)在的收益����。我們在Computex上獲過獎,對于這個獎項�����,與其說是頒給了優(yōu)秀的技術(shù)����,我們更傾向于理解為這是對我們根據(jù)用戶需求進(jìn)行微創(chuàng)新的鼓勵。”
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
