沙箱系統(tǒng)在中央企業(yè)的應(yīng)用

摘 要：隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊呈現(xiàn)出復(fù)雜化、自動化和智能化的特點。同時，作為國家經(jīng)濟命脈的中央企業(yè)，更容易成為網(wǎng)絡(luò)犯罪者的攻擊對象。面對這些新興的網(wǎng)絡(luò)攻擊手段，傳統(tǒng)的網(wǎng)絡(luò)防御手段已經(jīng)難以應(yīng)對。因此，通過分析傳統(tǒng)網(wǎng)絡(luò)防御手段的弊端及中央企業(yè)存在的網(wǎng)絡(luò)安全問題，引入沙箱系統(tǒng)安全模型，并為中央企業(yè)應(yīng)用沙箱模型提供建議。

關(guān)鍵詞：沙箱系統(tǒng);網(wǎng)絡(luò)安全;中央企業(yè);應(yīng)用舉例

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.042

本文著錄格式：申宇.沙箱系統(tǒng)在中央企業(yè)的應(yīng)用[J].軟件，2021，42（02）：135-137

The Application of Sandbox System in Central Enterprise

SHEN Yu

（China Huadian Corporation， Beijing? 100031）

【Abstract】：With the continuous development of information technology， network attack presents the characteristics of complexity， automation and intelligence. At the same time， as the lifeblood of the national economy， the central enterprises are more likely to become the target of cyber criminals. In the face of these new means of network attack， the traditional means of network defense has been difficult to deal with. Therefore， by analyzing the disadvantages of traditional network defense means and the network security problems existing in central enterprises， we introduce the sandbox system security model， and provide suggestions for central enterprises to apply the sandbox model.

【Key words】：sandbox system;network security;a central enterprise;application;for example

0 引言

隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)的普及率大大提高，人們的工作、生活等與互聯(lián)網(wǎng)的關(guān)系越來越密切。2021年2月3日，中國互聯(lián)網(wǎng)絡(luò)信息中心所發(fā)布的第47次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》表明，截至到2020年12月，我國網(wǎng)民數(shù)量達到9.89億，互聯(lián)網(wǎng)普及程度提高到了70.4%[1]。隨著普及率的提高，越來越多的人們可以通過網(wǎng)絡(luò)進行工作、交流、購物以及支付等活動，企業(yè)可以通過網(wǎng)絡(luò)進行產(chǎn)品宣傳銷售以及數(shù)據(jù)的儲存，政府部門則可以利用網(wǎng)絡(luò)實現(xiàn)政務(wù)公開、意見征集等功能。網(wǎng)絡(luò)安全不僅影響著個人和企業(yè)的隱私、金融安全，還影響著政府政務(wù)安全。在網(wǎng)絡(luò)眾多參與者中，中央企業(yè)從事著關(guān)系國家重要安全的行業(yè)，在國民經(jīng)濟中發(fā)揮著重要作用，是國民經(jīng)濟的重要支柱，關(guān)系著全國經(jīng)濟的發(fā)展[2]。近年來，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，互聯(lián)網(wǎng)所受到的安全威脅呈現(xiàn)出復(fù)雜化、規(guī)?；⒆詣踊忍攸c，這使得傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)越來越難以應(yīng)對新出現(xiàn)的問題。為了解決上述問題，本文探討了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的缺點，調(diào)研中央企業(yè)的安全管理現(xiàn)狀并介紹沙箱模型的原理及優(yōu)勢，希望這些能為解決中央企業(yè)的網(wǎng)絡(luò)安全問題提供新的思路。

1 傳統(tǒng)安全架構(gòu)的缺陷及風險分析

1.1 被動防御技術(shù)

被動防御技術(shù)包括防火墻、Virtual Private Network（VPN）、數(shù)據(jù)加密、身份認證等技術(shù)。隨著病毒制造者能力的不斷提升和病毒傳播速度的進一步加快，幾乎所有的被動防御技術(shù)都失去了作用，比如防火墻技術(shù)僅在系統(tǒng)的邊界對威脅進行防御，其對內(nèi)部的威脅缺少可靠的防御手段[2]。不同于過去簡單的IT架構(gòu)中存在明顯防御邊界，現(xiàn)今復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)為病毒從系統(tǒng)內(nèi)部攻擊提供了可能。此外，由于被動防御的防御能力與接入系統(tǒng)前的系統(tǒng)配置相關(guān)[3]，其防御的對象僅僅是已知的威脅或攻擊，而在面對新的病毒及漏洞時則無法做出及時有效的反應(yīng)，因此其具有靜態(tài)和被動的特點。同時，攻擊者利用開發(fā)公司監(jiān)測到病毒攻擊和發(fā)布補丁的這一時間差，可以設(shè)計針對性的病毒來攻擊網(wǎng)絡(luò)漏洞。綜上所述，現(xiàn)今傳統(tǒng)的被動防御技術(shù)雖然能夠為網(wǎng)絡(luò)安全提供一定的保護，但是由于其存在的被動性和滯后性缺點，顯然對新興的攻擊方法和安全漏洞難以檢測、識別并及時處理，在現(xiàn)今復(fù)雜的網(wǎng)絡(luò)環(huán)境中存在較大缺陷。

1.2主動防御技術(shù)

針對被動防御技術(shù)的被動性和滯后性的缺陷，人們在網(wǎng)絡(luò)安全領(lǐng)域引入了主動防御技術(shù)。主動防御技術(shù)則主要包括網(wǎng)絡(luò)引誘、蜜罐技術(shù)、安全反擊、入侵檢測及網(wǎng)絡(luò)安全態(tài)勢預(yù)警等技術(shù)。相較于被動的防御模式，主動防御技術(shù)具有自動響應(yīng)、多層協(xié)同防御、即時防范等特點。但主動防御技術(shù)在識別一種病毒的行為時，需要允許病毒在系統(tǒng)中運行。我們知道，讓病毒在系統(tǒng)中運行本身就是一種高風險行為，如何在病毒造成危害前阻止其運行是目前亟待解決的問題[3]。此外，主動防御還存在著諸如入侵行為的檢測效率不高，誤報率和漏報率較高以及對入侵預(yù)測技術(shù)的研究不足等問題[4]。

總之，隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，無論是主動防御技術(shù)還是被動防御技術(shù)，它們都難以對最新的病毒攻擊做出及時有效的反應(yīng)并進行有效識別[3]。因此，現(xiàn)今需要一種新興技術(shù)對各類病毒和安全漏洞進行全面的檢測、識別并處理。

2沙箱系統(tǒng)技術(shù)原理

所謂沙箱技術(shù)，實際上是一種模擬的虛假操作系統(tǒng)運行環(huán)境，在這個環(huán)境中，各類有風險的攻擊行為、破壞行為可以任意執(zhí)行而不會對原系統(tǒng)產(chǎn)生破壞[5]。本文將通過調(diào)研中央企業(yè)的安全管理現(xiàn)狀，探討傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的缺點，并介紹沙箱模型的原理及其優(yōu)勢。

沙箱也叫沙盒，其原理是把程序生成和修改的資源重定向到一組嚴格控制的資源（如內(nèi)存緩存或硬盤）中。程序操作的并不是真實的資源，而是虛擬的資源或者是一個副本[6]，也是實際運行中的瀏覽器的鏡像，其原理如圖1所示。當系統(tǒng)中沒有沙箱時（圖1b），程序在硬盤的操作位置不固定，程序可能會修改系統(tǒng)文件，而當存在沙箱時（圖1c），程序只能在劃定的空間內(nèi)對硬盤進行操作，而且其資源訪問、運行狀態(tài)等都會受到嚴格的記錄和控制。當程序在沙箱中的行為暴露其病毒屬性時，沙箱將對病毒進行特征標記并執(zhí)行“回滾”操作，將沙箱內(nèi)的病毒及其所造成的痕跡完全消除，以此來識別病毒并防止病毒在運行過程中對系統(tǒng)造成破壞，從而保證系統(tǒng)安全。

3中央企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀分析

我們知道，中央企業(yè)的信息安全對我國國家安全有著極大的聯(lián)系。近年來，外國攻擊者對我國大型中央企業(yè)的威脅和攻擊越來越頻繁，嚴重威脅我國企業(yè)部門的信息安全。一旦攻擊者成功得手，對我國的知識產(chǎn)權(quán)和技術(shù)創(chuàng)新成果等所造成的損失不可估量。網(wǎng)絡(luò)安全公司UpGuard于2019年的報道顯示，一臺被用于存儲美國俄克拉荷馬州證監(jiān)會數(shù)據(jù)的服務(wù)器遭受攻擊，共計3TB的文件泄露到公網(wǎng)，其中包含眾多政府文件及FBI調(diào)查報告，還包括數(shù)十萬雇員的個人信息等。

目前來看，中央企業(yè)所面臨的問題，主要包含以下幾個方面：

（1）企業(yè)內(nèi)部職能部門數(shù)據(jù)保護權(quán)責交叉，資源協(xié)調(diào)難度大。

（2）對網(wǎng)絡(luò)安全的宣傳不足，員工網(wǎng)絡(luò)安全意識薄弱等問題。

（3）在技術(shù)方面，部分企業(yè)所使用的國外產(chǎn)品存在一定的安全風險，而國產(chǎn)化產(chǎn)品的水平還需進一步完善提升。

此外，隨著云辦公、網(wǎng)絡(luò)辦公的興起，各大企業(yè)網(wǎng)絡(luò)移動平臺的建設(shè)及網(wǎng)絡(luò)安全保證將成為新的問題。

4 沙箱系統(tǒng)安全模型應(yīng)用舉例

針對企業(yè)所面臨的網(wǎng)絡(luò)辦公問題，本文主要介紹瀏覽器沙箱系統(tǒng)安全模型的應(yīng)用案例。隨著網(wǎng)絡(luò)辦公的興起，瀏覽器成為人們進入互聯(lián)網(wǎng)的“門戶”。同時，越來越多的網(wǎng)絡(luò)服務(wù)如電子郵件、網(wǎng)絡(luò)辦公、資源管理、文件交流及等都能夠直接通過瀏覽器進行操作。因此，當用戶在瀏覽網(wǎng)頁或享受網(wǎng)絡(luò)服務(wù)時，會不經(jīng)意下載惡意程序或運行惡意代碼[7]。因此，在設(shè)計企業(yè)內(nèi)部人員所使用的瀏覽器時，可以引入沙箱技術(shù)，即將每一個標簽頁設(shè)計為一個小的“沙箱”，其原理如圖2-a。當用戶進行下載或運行可疑程序時，瀏覽器可以將該程序載入到沙箱中，并允許其運行。如果程序在運行中表現(xiàn)出病毒的特征，系統(tǒng)對其進行標注并執(zhí)行“回滾”操作抹除其存在，使得安全威脅無法影響到系統(tǒng)本身，借此來維護系統(tǒng)網(wǎng)絡(luò)安全[8]。除此之外，為了進一步增強沙箱系統(tǒng)安全模型抵御攻擊的能力，可以采用內(nèi)外兩層的沙箱系統(tǒng)安全設(shè)計（圖2-b）。內(nèi)外兩層的沙箱系統(tǒng)設(shè)計與單層沙箱相比，將瀏覽器進一步用沙箱隔離，使得內(nèi)層沙箱與主操作系統(tǒng)進行分離。通過這種雙層的沙箱系統(tǒng)安全設(shè)計，避免出現(xiàn)內(nèi)層沙箱失效或被攻破后程序可以直接對主操作系統(tǒng)進行攻擊的問題。當內(nèi)層沙箱被攻破后，外層的沙箱可以通過迅速執(zhí)行“回滾”操作，防止病毒或攻擊的進一步擴散[9]。這種內(nèi)外“雙保險”的沙箱模型，能夠?qū)ζ髽I(yè)的網(wǎng)絡(luò)安全進行更有效的保護。

5結(jié)語

隨著網(wǎng)絡(luò)的進一步發(fā)展和互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全將越來越受到人們的關(guān)注。在面臨不同于過去的威脅時，僅僅使用傳統(tǒng)的安全防御技術(shù)顯然難以應(yīng)對越來越復(fù)雜化、自動化的網(wǎng)絡(luò)攻擊行為。中央企業(yè)作為我國國家重要的經(jīng)濟支柱，保證其安全的重要性不言而喻。沙箱系統(tǒng)技術(shù)模型，為保護企業(yè)的網(wǎng)絡(luò)安全提供了新的解決思路。通過將傳統(tǒng)的主、被動防御技術(shù)和沙箱技術(shù)相結(jié)合，實現(xiàn)三位一體的網(wǎng)絡(luò)安全“保護傘”，可以更好的為企業(yè)網(wǎng)絡(luò)安全保駕護航。因此，為了解決上述的問題，沙箱技術(shù)的誕生為解決傳統(tǒng)防御技術(shù)缺點找到了新的方向。

參考文獻

[1] 莫開偉.中國網(wǎng)民數(shù)量與結(jié)構(gòu)凸顯三大問題[N].國際金融報，2021-02-08（003）.

[2] 葉馬力.零信任安全模型在央企安全管理中的應(yīng)用研究[J].電子世界，2019（11）：164-165.

[3] 姚曄.信息安全走向主動防御[J].遼寧行政學院學報，2008（10）：227.

[4] 高曉飛，申普兵.網(wǎng)絡(luò)安全主動防御技術(shù)[J].計算機安全，2009（1）：38-40.

[5] 郭騫.基于沙盒技術(shù)的應(yīng)用層蜜罐軟件實現(xiàn)[D].南京：東南大學，2018.

[6] 陳珂，柯文德，王愛國，等.基于沙盒技術(shù)的行為分析系統(tǒng)研究[J].計算機技術(shù)與發(fā)展，2015，25（8）：166-169.

[7] 王洋，王欽.沙盒安全技術(shù)的發(fā)展研究[J].軟件導(dǎo)刊，2009，8（8）：152-153.

[8] 周晟，趙君翊，葛元鵬.主被動防御結(jié)合的智能電網(wǎng)信息安全防護體系[J].電子科技，2015，28（6）：213-215.

[9] 崔海娜.基于虛擬化及重定向技術(shù)的Android沙箱的設(shè)計與實現(xiàn)[D].北京：北京郵電大學，2018.