沙盒（Sandbox），也有人稱之為沙箱，是近年來在信息安全領(lǐng)域應(yīng)用較為廣泛的技術(shù)之一。Google Chrome瀏覽器、MS Office2010中都應(yīng)用了一些沙盒技術(shù)來提升其安全性。目前的IT領(lǐng)域中，應(yīng)用沙盒技術(shù)比較廣泛的是殺毒軟件行業(yè)，比如用于病毒實(shí)驗(yàn)甚至是用戶應(yīng)用中的各種“沙盒”安全模式。

那么，究竟什么是沙盒技術(shù)呢？簡單來說，沙盒是一種“環(huán)境”，就是為一些來源不可信、具備破壞力或無法判定程序意圖的程序，提供試驗(yàn)環(huán)境。然而，沙盒中的所有改動對操作系統(tǒng)不會造成任何損失。

沙盒最基本的出發(fā)點(diǎn)，也是最終的目的，就是為運(yùn)行在其中的程序提供單獨(dú)的環(huán)境，無論運(yùn)行結(jié)果如何，都不對沙盒以外的系統(tǒng)環(huán)境產(chǎn)生任何影響。將這一原理往上層應(yīng)用中擴(kuò)展一下，就在理論上為內(nèi)網(wǎng)安全領(lǐng)域提供了一個(gè)新的方向，即應(yīng)用沙盒技術(shù)，隔離那些會對整體內(nèi)網(wǎng)安全造成危害的行為，從而讓安全風(fēng)險(xiǎn)降到較低水平。

國內(nèi)知名內(nèi)網(wǎng)安全產(chǎn)品IP-guard的廠商，溢信科技的研發(fā)總監(jiān)黃凱表示，考慮到沙盒技術(shù)本身所帶來的安全特征與內(nèi)網(wǎng)安全的行業(yè)特征，未來幾年，內(nèi)網(wǎng)安全領(lǐng)域可能在多個(gè)方面會應(yīng)用到沙盒技術(shù)。

一、應(yīng)用沙盒技術(shù)，降低未知程序的安全風(fēng)險(xiǎn)

為了完成各種任務(wù)，內(nèi)網(wǎng)用戶的計(jì)算機(jī)中可能安裝了多種應(yīng)用程序，如電子郵件、文本處理、即時(shí)通訊等等。通常情況下，成熟的IT系統(tǒng)處于統(tǒng)一的IT策略管理之下，為了防止未知程序所帶來的安全風(fēng)險(xiǎn)，用戶的計(jì)算機(jī)允許和禁止哪些應(yīng)用程序，都有明確的規(guī)定。然而，現(xiàn)實(shí)的管理中，尤其是國內(nèi)的很多組織，IT管理并不規(guī)范，用戶的安全知識水平也參差不齊，單純的應(yīng)用黑名單或者白名單進(jìn)行管理并不能覆蓋全部的應(yīng)用，這時(shí)，組織的內(nèi)網(wǎng)安全水平就很大程度上取決于用戶的IT安全意識水平，這顯然是不足取的。

沙盒技術(shù)的存在，為解決應(yīng)用程序合規(guī)性提供了新的思路。應(yīng)用沙盒技術(shù)，IT管理人員可以將凡是不受信任的，或者說不在白名單內(nèi)的程序都自動放入沙盒中運(yùn)行，這樣，即使由于用戶的安全意識不足而下載運(yùn)行了帶有潛在風(fēng)險(xiǎn)的程序，由于運(yùn)行在沙盒內(nèi)，程序的運(yùn)行并不會對沙盒以外的系統(tǒng)產(chǎn)生不良影響，而且由于沙盒的隔離，惡意程序并不能訪問到存在于內(nèi)網(wǎng)和計(jì)算機(jī)中的機(jī)密信息，從而提升了內(nèi)網(wǎng)的整體安全水平。同時(shí)，對于不在白名單之內(nèi)但用戶可能確實(shí)需要的應(yīng)用，相比于以往的“一放到底”或者“一禁了之”，沙盒的存在也給出了第三條可選的靈活道路。

二、應(yīng)用沙盒技術(shù)，打造可信的安全內(nèi)網(wǎng)環(huán)境

用戶使用計(jì)算機(jī)，會涉及到訪問和使用本地、文檔服務(wù)器等各種位置的數(shù)據(jù)，這時(shí)，就存在著信息泄漏的風(fēng)險(xiǎn)。如果不加以限制，由于用戶的疏忽或者主觀惡意行為，信息很有可能會通過網(wǎng)絡(luò)、移動存儲設(shè)備等各種方式傳播出去。同時(shí)，各種間諜和風(fēng)險(xiǎn)程序的存在，也時(shí)刻威脅著數(shù)據(jù)的安全。而沙盒的存在，則為我們指出了另外一條道路，即利用沙盒技術(shù)，為涉密應(yīng)用打造可信的安全環(huán)境。

拿溢信科技自己的內(nèi)部CRM系統(tǒng)舉例，當(dāng)用戶需要使用被認(rèn)為是存儲有高度機(jī)密信息的CRM系統(tǒng)時(shí)，系統(tǒng)自動的將該程序放入到沙盒中運(yùn)行。這時(shí)，由于處在沙盒之中，沙盒以外的其他程序無法調(diào)用CRM程序進(jìn)程中的數(shù)據(jù)，CRM中的數(shù)據(jù)也無法透過沙盒泄漏到其他的進(jìn)程中去。程序在沙盒中運(yùn)行結(jié)束后，由于沙盒的消失，一切痕跡和數(shù)據(jù)都隨之消失，從而達(dá)到了保密的目的。

事實(shí)上，將上面的CRM程序延伸一下，沙盒技術(shù)甚至可以幫助實(shí)現(xiàn)打造安全環(huán)境的目的。例如，在用戶進(jìn)入到工作狀態(tài)下，需要訪問或使用一些敏感信息時(shí)，即自動的將整個(gè)系統(tǒng)置于沙盒環(huán)境之下，同時(shí)對于沙盒狀態(tài)下的網(wǎng)絡(luò)訪問、設(shè)備應(yīng)用等再利用IP-guard等產(chǎn)品已有的豐富管控功能作出必要的限制，所使用、處理的信息由于處于沙盒環(huán)境下，也處于加密狀態(tài)，一旦用戶工作完成，退出沙盒環(huán)境，則全部信息與操作痕跡都即時(shí)刪除。運(yùn)行于普通環(huán)境下的系統(tǒng)應(yīng)用不受限制，運(yùn)行于沙盒環(huán)境下的系統(tǒng)處于高度隔離狀態(tài)，從而達(dá)到了普通環(huán)境與保密環(huán)境的完全隔離，建造可信的內(nèi)網(wǎng)環(huán)境。

三、應(yīng)用沙盒技術(shù)，提升應(yīng)用的可靠性。

Google收購沙盒技術(shù)的鼻祖GreenBorder公司，并在其后推出的 Chrome瀏覽器中應(yīng)用了沙盒技術(shù)，使得多標(biāo)簽瀏覽狀態(tài)下，每一個(gè)標(biāo)簽都運(yùn)行在獨(dú)立的沙盒中，從而有效避免了以往多標(biāo)簽瀏覽下標(biāo)簽崩潰造成的瀏覽器甚至系統(tǒng)崩潰的情況，提升了應(yīng)用的可靠性。

類似的，在內(nèi)網(wǎng)安全的一些應(yīng)用中，沙盒技術(shù)也可以有效提高其可靠性。例如近幾年來內(nèi)網(wǎng)安全領(lǐng)域比較常見的，同時(shí)也是IP-guard新產(chǎn)品V+全向文檔加密所應(yīng)用的文檔透明加密技術(shù)，由于是基于進(jìn)程的加密，即意味著無論打開多少個(gè)文檔，由于在進(jìn)程中只能體現(xiàn)為一個(gè)進(jìn)程，假使因?yàn)橐恍┰驅(qū)е缕渲幸粋€(gè)文檔損壞，則其他的文檔也都有同樣的損壞風(fēng)險(xiǎn)。應(yīng)用沙盒技術(shù)，可以將每一個(gè)文檔的加密過程都置于單獨(dú)的沙盒之內(nèi)，單獨(dú)文檔的損壞不會導(dǎo)致其他文檔的損壞，從而能夠有效提高系統(tǒng)的可靠性。

另外，沙盒的隔離特性，還可以使同樣文檔格式但保密要求不同的文檔的加密更加靈活。例如，對于用戶接收的來自外部的文檔，有些可能并不方便進(jìn)行加密，對于這些文檔，就可以讓其運(yùn)行在沙盒之中，使用時(shí)并不進(jìn)行加密操作，從而將不同安全級別的文檔在使用時(shí)進(jìn)行了有效的區(qū)隔，讓加密更加實(shí)用和靈活。談及這一點(diǎn)，黃凱頗有感觸：“類似這種“微創(chuàng)新”，對于系統(tǒng)的安全性提升并不明顯，但恰恰是這種微小的創(chuàng)新，體現(xiàn)了IP-guard以及其他優(yōu)秀產(chǎn)品從用戶角度出發(fā)、追求用戶體驗(yàn)提升的產(chǎn)品創(chuàng)新理念。

沙盒技術(shù)的局限性

上面提到的是沙盒技術(shù)在內(nèi)網(wǎng)安全領(lǐng)域未來可能的應(yīng)用方向，其主體思路，都是通過沙盒技術(shù)的隔離特性，提升應(yīng)用的安全性與可靠性，確保局部的風(fēng)險(xiǎn)不影響整體的安全水平。事實(shí)上，現(xiàn)在已經(jīng)有一些內(nèi)網(wǎng)安全產(chǎn)品應(yīng)用了沙盒技術(shù)，或者說沙盒的理念，如一些磁盤加密環(huán)境切換產(chǎn)品。虛擬機(jī)、瘦客戶機(jī)等產(chǎn)品，也在一定程度上與沙盒技術(shù)有異曲同工之妙。

然而，我們也必須看到，任何一種新興技術(shù)的發(fā)展，除了帶來革新性的好處，也都可能有其局限性。在這一點(diǎn)上，沙盒技術(shù)也不例外。

首先，沙盒技術(shù)并不是殺毒軟件或其安全產(chǎn)品，這也就意味著它只能隔離，無法檢測加密過的或者復(fù)雜的安全威脅。因此，認(rèn)為應(yīng)用了沙盒之后，一切安全威脅都不再是威脅的想法顯然是不足取的，沙盒并不能徹底的解決所有的問題；其次，由于沙盒的存在，在用戶與應(yīng)用之間增加了一層應(yīng)用，理論上，也就多了一層可被攻擊的漏洞。沙盒程序本身并非無懈可擊，這也就可能為惡意行為提供了新的切入點(diǎn)。最后，沙盒技術(shù)本身是單一的應(yīng)用，想要實(shí)現(xiàn)上面提到的各種功能，需要針對不同的應(yīng)用進(jìn)行特別的優(yōu)化設(shè)計(jì)，提升其可用性，而這也是考驗(yàn)產(chǎn)品經(jīng)理的關(guān)鍵所在。

沙盒技術(shù)并不神秘，上面提到的幾點(diǎn)，據(jù)黃凱透露，都可能出現(xiàn)在未來的IP-guard當(dāng)中。再次談及創(chuàng)新，黃凱說：“包括沙盒技術(shù)在內(nèi)的很多新技術(shù)，其實(shí)可能都只是在某個(gè)微小的角度，提升了產(chǎn)品的可用性、易用性或者穩(wěn)定性，然而，正是這些微小的創(chuàng)新累積起來，形成了優(yōu)秀的產(chǎn)品。事實(shí)上，IP-guard從開始研發(fā)到如今客戶遍布全國乃至世界的十年間，不斷的根據(jù)客戶的實(shí)際需求進(jìn)行微創(chuàng)新，應(yīng)用新技術(shù)，正是我們向前走的法寶。到現(xiàn)在，我們也一直有一部分同事獨(dú)立于研發(fā)之外，堅(jiān)持在做新技術(shù)的艱苦探索，就是為了更多有用的微創(chuàng)新能夠加入到IP-guard或者我們的其他產(chǎn)品中，為用戶帶來更實(shí)在的收益。我們在Computex上獲過獎(jiǎng)，對于這個(gè)獎(jiǎng)項(xiàng)，與其說是頒給了優(yōu)秀的技術(shù)，我們更傾向于理解為這是對我們根據(jù)用戶需求進(jìn)行微創(chuàng)新的鼓勵(lì)。”