信息安全新趋势沙盒技术漫谈

引言：
内网安全，与其说是一种产品，毋宁说是一种安全理念。在这种理念的指导下，从防水墙到DLP，从单纯的加密到整体的安全体系，不断涌现的新技术和思想推动着内网安全走向新的高度。近期火热的沙盒技术在内网安全领域的应用得到了业界普遍的讨论。
所谓的“沙盒技术”，也称之为“沙箱技术”，其实就是Sandboxie，Sandboxie自带一个快捷方式，就是在沙盘中运行IE。Sandboxie是一款专业的虚拟类软件，它的工作软件：通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据，属于驱动级别的保护。
“沙盒技术”是近年来在信息安全领域应用较为广泛的技术之一。Google Chrome浏览器、MS Office2010中都应用了一些沙盒技术来提升其安全性。目前的IT领域中，应用沙盒技术比较广泛的是杀毒软件行业，比如用于病毒实验甚至是用户应用中的各种“沙盒”安全模式。
    那么，究竟什么是沙盒技术呢？简单来说，沙盒是一种“环境”，就是为一些来源不可信、具备破坏力或无法判定程序意图的程序，提供试验环境。然而，沙盒中的所有改动对操作系统不会造成任何损失。
    沙盒最基本的出发点，也是最终的目的，就是为运行在其中的程序提供单独的环境，无论运行结果如何，都不对沙盒以外的系统环境产生任何影响。将这一原理往上层应用中扩展一下，就在理论上为内网安全领域提供了一个新的方向，即应用沙盒技术，隔离那些会对整体内网安全造成危害的行为，从而让安全风险降到较低水平。
    杭谷虚拟无盘图档强制集中管理软件（VDM），就是利用“沙盒技术”应用的一种微创新，通过“沙盒技术”将本地文件重新定向，必须强制保存到服务器虚拟出来的“沙盘空间”，客户端被虚拟化成一个“沙盒环境”，文件不能落地保存，相关软件程序也要授权才能部署，这样给企业创造了一个相对安全IT环境，也给企业核心数据强制集中到服务器带来了一种安全模式。 
一、应用沙盒技术，降低未知程序的安全风险
    为了完成各种任务，内网用户的计算机中可能安装了多种应用程序，如电子邮件、文本处理、即时通讯等等。通常情况下，成熟的IT系统处于统一的IT策略管理之下，为了防止未知程序所带来的安全风险，用户的计算机允许和禁止哪些应用程序，都有明确的规定。然而，现实的管理中，尤其是国内的很多组织，IT管理并不规范，用户的安全知识水平也参差不齐，单纯的应用黑名单或者白名单进行管理并不能覆盖全部的应用，这时，组织的内网安全水平就很大程度上取决于用户的IT安全意识水平，这显然是不足取的。
    沙盒技术的存在，为解决应用程序合规性提供了新的思路。应用沙盒技术，IT管理人员可以将凡是不受信任的，或者说不在白名单内的程序都自动放入沙盒中运行，这样，即使由于用户的安全意识不足而下载运行了带有潜在风险的程序，由于运行在沙盒内，程序的运行并不会对沙盒以外的系统产生不良影响，而且由于沙盒的隔离，恶意程序并不能访问到存在于内网和计算机中的机密信息，从而提升了内网的整体安全水平。同时，对于不在白名单之内但用户可能确实需要的应用，相比于以往的“一放到底”或者“一禁了之”，沙盒的存在也给出了第三条可选的灵活道路。
二、应用沙盒技术，打造可信的信息安全环境
    用户使用计算机，会涉及到访问和使用本地、文档服务器等各种位置的数据，这时，就存在着信息泄漏的风险。如果不加以限制，由于用户的疏忽或者主观恶意行为，信息很有可能会通过网络、移动存储设备等各种方式传播出去。同时，各种间谍和风险程序的存在，也时刻威胁着数据的安全。而沙盒的存在，则为我们指出了另外一条道路，即利用沙盒技术，为涉密应用打造可信的安全环境。
    拿杭谷信息VDM系统举例，当用户登录了安装杭谷VDM客户端的电脑，系统自动进入杭谷VDM虚拟化沙盒环境，操作编辑本地磁盘的文件，ERP、CRM导出数据都必须强制保存在服务器器虚拟出来的沙盒中，不能保存在原来的本地磁盘，本地需要安装部署软件程序，必须以管理员授权身份的人登录才可以安装部署，本地磁盘空间只提供安装程序和系统的安装，企业办公过程中产生的成果都强制集中到企业的服务器，从而提高了企业知识积累能力，同时也保证了安全性。
    事实上沙盒技术甚至可以帮助实现打造安全环境的目的。例如，在用户进入到工作状态下，需要访问或使用一些敏感信息时，即自动的将整个系统置于沙盒环境之下，同时对于沙盒状态下的网络访问、设备应用等再利用一些内网安全产品已有的丰富管控功能作出必要的限制，所使用、处理的信息由于处于沙盒环境下，也处于加密状态，一旦用户工作完成，退出沙盒环境，则全部信息与操作痕迹都即时删除。运行于普通环境下的系统应用不受限制，运行于沙盒环境下的系统处于高度隔离状态，从而达到了普通环境与保密环境的完全隔离，建造可信的内网环境。
三、应用沙盒技术，提升应用的可靠性。
    Google收购沙盒技术的鼻祖GreenBorder公司，并在其后推出的 Chrome浏览器中应用了沙盒技术，使得多标签浏览状态下，每一个标签都运行在独立的沙盒中，从而有效避免了以往多标签浏览下标签崩溃造成的浏览器甚至系统崩溃的情况，提升了应用的可靠性。
    类似的，在信息安全的一些应用中，沙盒技术也可以有效提高其可靠性。例如近几年来内网安全领域比较常见的文档透明加密技术，都是基于进程的加密，即意味着无论打开多少个文档，由于在进程中只能体现为一个进程，假使因为一些原因导致其中一个文档损坏，则其他的文档也都有同样的损坏风险。应用沙盒技术，可以将每一个文档的加密过程都置于单独的沙盒之内，单独文档的损坏不会导致其他文档的损坏，从而能够有效提高系统的可靠性。
    另外，沙盒的隔离特性，还可以使同样文档格式但保密要求不同的文档的加密更加灵活。例如，对于用户接收的来自外部的文档，有些可能并不方便进行加密，对于这些文档，就可以让其运行在沙盒之中，使用时并不进行加密操作，从而将不同安全级别的文档在使用时进行了有效的区隔，让加密更加实用和灵活。
后记   
“沙盒技术”与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒技术”则是发现可疑行为后让程序继续运行，当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是：让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演，“沙盒”会记下它的每一个动作；当疑似病毒充分暴露了其病毒属性后，“沙盒”就会执行“回滚”机制：将病毒的痕迹和动作抹去，恢复系统到正常状态。
“沙盒技术”源于GreenBorder公司，后被谷歌公司收购，“沙盒技术”才被业界慢慢认识和应用。沙盒技术并不神秘，杭谷信息研发团队在了解世界新的技术的同时，不断创新和提炼，结合中国企业的应用环境，站在在某个微小的角度，提升了产品的可用性、易用性或者稳定性，然而正是这些微小的创新累积起来，形成了优秀的产品。