沙盒技术被广泛应用于各类安全产品里,不过在数据防护方面,使用沙盒技术则很是有些南辕北辙的味道。
沙盒技术原理
沙盒(sanbox)广为人知始于浏览器的安全应用,主要是防止病毒木马通过浏览器途径感染本机,其主要机制是通过进程及内存等资源隔离,控制沙箱内的进程对本地系统资源的调用,后来逐步推广,形成了类似360的安全桌面,在移动操作系统中也沿用和发展了该技术,杀毒软件中目前沙盒技术也广泛使用。应该说,沙盒技术的应用,将病毒木马传播的风险进行了有效的控制,功不可没。可以说,沙盒技术其安全机制主要是“防外不防内”,其默认安全模型是认为本机操作系统是可靠的,而通过沙盒将不信任的应用程序进行隔离,控制其对本机其他系统资源的调用。
沙盒技术应用于数据防泄密领域的动因
近年来,用户对数据安全逐步重视,希望能够在不增加计算机设备和不太影响便利性的情况下,实现在终端计算机设备上的“一机两用”甚至“一机多用”的环境,防止内部人员有意或者无意泄漏企事业单位机密信息。基于此,参考360等安全桌面,有些不求甚解的厂商推出了基于沙盒技术的数据防泄密方案,仿照360称为各种“安全桌面”,素不知南辕北辙,利用“防外”技术来“防内”,安全威胁模型完全没搞对,出现了系列误导用户的产品。
沙盒为什么不能用于数据防泄密
沙盒技术由于从原理上是不信任沙盒内的程序,但信任本机系统的程序和环境,所以其控制机制是限制沙盒内的进程行为,但是由于其在本机运行,无论存储、内存交换还是各种资源,都必须使用本机的,所以从理论上从沙盒(安全桌面)外可以获取沙盒内一切信息,明朝万达对sanboxie的实验证明也确实如此。而回到数据防泄密的根本,正是害怕数据使用者窃取信息,而数据使用者显然具备控制本终端计算机的全部权限,使用者本人可以通过简单的手段从本机操作系统(沙盒外)轻而易举地获取基于沙盒技术构建的“安全桌面”环境中使用的各种敏感信息,让数据防泄密措施形同虚设,沙盒显然无法胜任数据防泄密这种“防内”的安全模型。即便有些基于沙盒的“安全桌面”采用了文件及存储加密措施,但是由于数据内容内存的页交换必然是文明的,所以依然通过简单的工具可以轻而易举地将“安全桌面”内的数据拿出去,所谓“一机两用”的安全桌面隔离措施成了彻底的笑话。
总结
从上面的简单分析可知,沙盒技术从根本原理上就不适用于“防内”为目标的政府及企事业单位内部防泄密用途,一些厂商在对技术原理和模型不求甚解的情况下,以易用性和表面性误导用户,是种不负责任的行为。可以说,将沙盒技术应用于数据防泄密领域构建“一机多用”平台是中国信息安全界近年来最重大的技术性应用错误之一,希望政府和企事业单位用户能够清晰认识到这个严重的错误,慎重选择宣称基于沙盒原理构建的数据防泄密或者“一机两用”方案,已经采用的应尽快给出补救措施。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
携程用户信息泄密 数据安全再成焦点
乌云平台披露的携程漏洞问题,再次让互联网用户数据安全成为关注焦点。为企业在数据防泄密建设方面敲响警钟。
-
高级威胁检测产品的优势和挑战
现在的恶意软件会使用一些巧妙的技术来躲避传统基于签名的反恶意软件的检测。新的威胁检测工具试图通过沙盒技术提供先进的恶意软件检测系统来解决这个问题。
-
应对高级恶意软件的两大误解
高级恶意软件是网络世界里最新、最具潜在破坏性的威胁。那么,我们应该如何应对这种高级恶意软件?
-
银行亟需部署数据防泄密系统
在2012年的315晚会上,招商银行、工商银行以及农业银行员工被曝向其他人出售客户个人信息,数据泄密导致银行客户资金被盗。