即使沙盒技術(shù)已經(jīng)被廣泛應(yīng)用到安全產(chǎn)品中，但并不意味著就可以防止數(shù)據(jù)泄密。其實我們可以從沙盒的技術(shù)原理和使用沙盒技術(shù)防止數(shù)據(jù)泄密的動因來看一下。

沙盒主要是防止病毒木馬通過瀏覽器途徑感染本機，其主要機制是通過進程及內(nèi)存等資源隔離，控制沙箱內(nèi)的進程對本地系統(tǒng)資源的調(diào)用，后來逐步推廣，形成了類似360的安全桌面，在移動操作系統(tǒng)中也沿用和發(fā)展了該技術(shù)，殺毒軟件中目前沙盒技術(shù)也廣泛使用。應(yīng)該說，沙盒技術(shù)的應(yīng)用，將病毒木馬傳播的風(fēng)險進行了有效的控制，功不可沒。可以說，沙盒技術(shù)其安全機制主要是“防外不防內(nèi)”，其默認安全模型是認為本機操作系統(tǒng)是可靠的，而通過沙盒將不信任的應(yīng)用程序進行隔離，控制其對本機其他系統(tǒng)資源的調(diào)用。

近年來，用戶對數(shù)據(jù)安全逐步重視，希望能夠在不增加計算機設(shè)備和不太影響便利性的情況下，實現(xiàn)在終端計算機設(shè)備上的“一機兩用”甚至“一機多用”的環(huán)境，防止內(nèi)部人員有意或者無意泄漏企事業(yè)單位機密信息。基于此，參考360等安全桌面，有些不求甚解的廠商推出了基于沙盒技術(shù)的數(shù)據(jù)防泄密方案，仿照360稱為各種“安全桌面”，素不知南轅北轍，利用“防外”技術(shù)來“防內(nèi)”，安全威脅模型完全沒搞對，出現(xiàn)了系列誤導(dǎo)用戶的產(chǎn)品。

那么沙盒為什么不能用于數(shù)據(jù)防泄密呢？

沙盒技術(shù)由于從原理上是不信任沙盒內(nèi)的程序，但信任本機系統(tǒng)的程序和環(huán)境，所以其控制機制是限制沙盒內(nèi)的進程行為，但是由于其在本機運行，無論存儲、內(nèi)存交換還是各種資源，都必須使用本機的，所以從理論上從沙盒(安全桌面)外可以獲取沙盒內(nèi)一切信息，明朝萬達對sanboxie的實驗證明也確實如此。而回到數(shù)據(jù)防泄密的根本，正是害怕數(shù)據(jù)使用者竊取信息，而數(shù)據(jù)使用者顯然具備控制本終端計算機的全部權(quán)限，使用者本人可以通過簡單的手段從本機操作系統(tǒng)(沙盒外)輕而易舉地獲取基于沙盒技術(shù)構(gòu)建的“安全桌面”環(huán)境中使用的各種敏感信息，讓數(shù)據(jù)防泄密措施形同虛設(shè)，沙盒顯然無法勝任數(shù)據(jù)防泄密這種“防內(nèi)”的安全模型。

也就是說雖然沙盒對阻擋病毒有著功不可沒的作用，但是沙盒本質(zhì)上是不信任沙盒內(nèi)的程序，但是是信任本機系統(tǒng)的程序和環(huán)境的。而數(shù)據(jù)防止泄密的根本，是害怕數(shù)據(jù)著本身竊取信息，通俗來講就是防止自己內(nèi)部人員竊取信息，而內(nèi)部人員是對計算機擁有全部權(quán)限的。所以沙盒技術(shù)是不適用于這些企業(yè)用戶的。

cc

收藏 海報分享