动态新闻
  news

  • 云/虚拟化的文档安全管理解决方案
  • 集中式数据安全解决方案
信息安全新趋势沙盒技术漫谈
         内网安全,与其说是一种产品,毋宁说是一种安全理念。在这种理念的指导下,从防水墙到DLP,从单纯的加密到整体的安全体系,不断涌现的新技术和思想推动着内网安全走向新的高度。近期火热的沙盒技术在内网安全领域的应用得到了业界普遍的讨论。
所谓的“沙盒技术”,也称之为“沙箱技术”,其实就是Sandboxie,Sandboxie自带一个快捷方式,就是在沙盘中运行IE。Sandboxie是一款专业的虚拟类软件,它的工作软件:通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中。当然,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
“沙盒技术”是近年来在信息安全领域应用较为广泛的技术之一。Google Chrome浏览器、MS Office2010中都应用了一些沙盒技术来提升其安全性。目前的IT领域中,应用沙盒技术比较广泛的是杀毒软件行业,比如用于病毒实验甚至是用户应用中的各种“沙盒”安全模式。
那么,究竟什么是沙盒技术呢?简单来说,沙盒是一种“环境”,就是为一些来源不可信、具备破坏力或无法判定程序意图的程序,提供试验环境。然而,沙盒中的所有改动对操作系统不会造成任何损失。
沙盒最基本的出发点,也是最终的目的,就是为运行在其中的程序提供单独的环境,无论运行结果如何,都不对沙盒以外的系统环境产生任何影响。将这一原理往上层应用中扩展一下,就在理论上为内网安全领域提供了一个新的方向,即应用沙盒技术,隔离那些会对整体内网安全造成危害的行为,从而让安全风险降到较低水平。
杭州加密软件就是利用“沙盒技术”应用的一种微创新,通过“沙盒技术”将本地文件重新定向,必须强制保存到服务器虚拟出来的“沙盘空间”,客户端被虚拟化成一个“沙盒环境”,文件不能落地保存,相关软件程序也要授权才能部署,这样给企业创造了一个相对安全IT环境,也给企业核心数据强制集中到服务器带来了一种安全模式。
一、应用沙盒技术,降低未知程序的安全风险
为了完成各种任务,内网用户的计算机中可能安装了多种应用程序,如电子邮件、文本处理、即时通讯等等。通常情况下,成熟的IT系统处于统一的IT策略管理之下,为了防止未知程序所带来的安全风险,用户的计算机允许和禁止哪些应用程序,都有明确的规定。然而,现实的管理中,尤其是国内的很多组织,IT管理并不规范,用户的安全知识水平也参差不齐,单纯的应用黑名单或者白名单进行管理并不能覆盖全部的应用,这时,组织的内网安全水平就很大程度上取决于用户的IT安全意识水平,这显然是不足取的。
二、应用沙盒技术,打造可信的信息安全环境
用户使用计算机,会涉及到访问和使用本地、文档服务器等各种位置的数据,这时,就存在着信息泄漏的风险。如果不加以限制,由于用户的疏忽或者主观恶意行为,信息很有可能会通过网络、移动存储设备等各种方式传播出去。同时,各种间谍和风险程序的存在,也时刻威胁着数据的安全。而沙盒的存在,则为我们指出了另外一条道路,即利用沙盒技术,为涉密应用打造可信的安全环境。
三、应用沙盒技术,提升应用的可靠性。
我公司并在其后推出的 Chrome浏览器中应用了沙盒技术,使得多标签浏览状态下,每一个标签都运行在独立的沙盒中,从而有效避免了以往多标签浏览下标签崩溃造成的浏览器甚至系统崩溃的情况,提升了应用的可靠性。
类似的,在信息安全的一些应用中,沙盒技术也可以有效提高其可靠性。例如近几年来内网安全领域比较常见的文档透明加密技术,都是基于进程的加密,即意味着无论打开多少个文档,由于在进程中只能体现为一个进程,假使因为一些原因导致其中一个文档损坏,则其他的文档也都有同样的损坏风险。应用沙盒技术,可以将每一个文档的加密过程都置于单独的沙盒之内,单独文档的损坏不会导致其他文档的损坏,从而能够有效提高系统的可靠性。