沙箱系統在中央企業的應用

摘 要：隨著信息技術的不斷發展，網絡攻擊呈現出復雜化、自動化和智能化的特點。同時，作為國家經濟命脈的中央企業，更容易成為網絡犯罪者的攻擊對象。面對這些新興的網絡攻擊手段，傳統的網絡防御手段已經難以應對。因此，通過分析傳統網絡防御手段的弊端及中央企業存在的網絡安全問題，引入沙箱系統安全模型，并為中央企業應用沙箱模型提供建議。

關鍵詞：沙箱系統;網絡安全;中央企業;應用舉例

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.042

本文著錄格式：申宇.沙箱系統在中央企業的應用[J].軟件，2021，42（02）：135-137

The Application of Sandbox System in Central Enterprise

SHEN Yu

（China Huadian Corporation， Beijing? 100031）

【Abstract】：With the continuous development of information technology， network attack presents the characteristics of complexity， automation and intelligence. At the same time， as the lifeblood of the national economy， the central enterprises are more likely to become the target of cyber criminals. In the face of these new means of network attack， the traditional means of network defense has been difficult to deal with. Therefore， by analyzing the disadvantages of traditional network defense means and the network security problems existing in central enterprises， we introduce the sandbox system security model， and provide suggestions for central enterprises to apply the sandbox model.

【Key words】：sandbox system;network security;a central enterprise;application;for example

0 引言

隨著信息技術的不斷發展，互聯網的普及率大大提高，人們的工作、生活等與互聯網的關系越來越密切。2021年2月3日，中國互聯網絡信息中心所發布的第47次《中國互聯網絡發展狀況統計報告》表明，截至到2020年12月，我國網民數量達到9.89億，互聯網普及程度提高到了70.4%[1]。隨著普及率的提高，越來越多的人們可以通過網絡進行工作、交流、購物以及支付等活動，企業可以通過網絡進行產品宣傳銷售以及數據的儲存，政府部門則可以利用網絡實現政務公開、意見征集等功能。網絡安全不僅影響著個人和企業的隱私、金融安全，還影響著政府政務安全。在網絡眾多參與者中，中央企業從事著關系國家重要安全的行業，在國民經濟中發揮著重要作用，是國民經濟的重要支柱，關系著全國經濟的發展[2]。近年來，網絡環境日趨復雜，互聯網所受到的安全威脅呈現出復雜化、規模化、自動化等特點，這使得傳統的網絡安全技術越來越難以應對新出現的問題。為了解決上述問題，本文探討了傳統網絡安全技術的缺點，調研中央企業的安全管理現狀并介紹沙箱模型的原理及優勢，希望這些能為解決中央企業的網絡安全問題提供新的思路。

1 傳統安全架構的缺陷及風險分析

1.1 被動防御技術

被動防御技術包括防火墻、Virtual Private Network（VPN）、數據加密、身份認證等技術。隨著病毒制造者能力的不斷提升和病毒傳播速度的進一步加快，幾乎所有的被動防御技術都失去了作用，比如防火墻技術僅在系統的邊界對威脅進行防御，其對內部的威脅缺少可靠的防御手段[2]。不同于過去簡單的IT架構中存在明顯防御邊界，現今復雜的網絡結構為病毒從系統內部攻擊提供了可能。此外，由于被動防御的防御能力與接入系統前的系統配置相關[3]，其防御的對象僅僅是已知的威脅或攻擊，而在面對新的病毒及漏洞時則無法做出及時有效的反應，因此其具有靜態和被動的特點。同時，攻擊者利用開發公司監測到病毒攻擊和發布補丁的這一時間差，可以設計針對性的病毒來攻擊網絡漏洞。綜上所述，現今傳統的被動防御技術雖然能夠為網絡安全提供一定的保護，但是由于其存在的被動性和滯后性缺點，顯然對新興的攻擊方法和安全漏洞難以檢測、識別并及時處理，在現今復雜的網絡環境中存在較大缺陷。

1.2主動防御技術

針對被動防御技術的被動性和滯后性的缺陷，人們在網絡安全領域引入了主動防御技術。主動防御技術則主要包括網絡引誘、蜜罐技術、安全反擊、入侵檢測及網絡安全態勢預警等技術。相較于被動的防御模式，主動防御技術具有自動響應、多層協同防御、即時防范等特點。但主動防御技術在識別一種病毒的行為時，需要允許病毒在系統中運行。我們知道，讓病毒在系統中運行本身就是一種高風險行為，如何在病毒造成危害前阻止其運行是目前亟待解決的問題[3]。此外，主動防御還存在著諸如入侵行為的檢測效率不高，誤報率和漏報率較高以及對入侵預測技術的研究不足等問題[4]。

總之，隨著網絡技術的迅速發展，無論是主動防御技術還是被動防御技術，它們都難以對最新的病毒攻擊做出及時有效的反應并進行有效識別[3]。因此，現今需要一種新興技術對各類病毒和安全漏洞進行全面的檢測、識別并處理。

2沙箱系統技術原理

所謂沙箱技術，實際上是一種模擬的虛假操作系統運行環境，在這個環境中，各類有風險的攻擊行為、破壞行為可以任意執行而不會對原系統產生破壞[5]。本文將通過調研中央企業的安全管理現狀，探討傳統網絡安全技術的缺點，并介紹沙箱模型的原理及其優勢。

沙箱也叫沙盒，其原理是把程序生成和修改的資源重定向到一組嚴格控制的資源（如內存緩存或硬盤）中。程序操作的并不是真實的資源，而是虛擬的資源或者是一個副本[6]，也是實際運行中的瀏覽器的鏡像，其原理如圖1所示。當系統中沒有沙箱時（圖1b），程序在硬盤的操作位置不固定，程序可能會修改系統文件，而當存在沙箱時（圖1c），程序只能在劃定的空間內對硬盤進行操作，而且其資源訪問、運行狀態等都會受到嚴格的記錄和控制。當程序在沙箱中的行為暴露其病毒屬性時，沙箱將對病毒進行特征標記并執行“回滾”操作，將沙箱內的病毒及其所造成的痕跡完全消除，以此來識別病毒并防止病毒在運行過程中對系統造成破壞，從而保證系統安全。

3中央企業網絡安全管理現狀分析

我們知道，中央企業的信息安全對我國國家安全有著極大的聯系。近年來，外國攻擊者對我國大型中央企業的威脅和攻擊越來越頻繁，嚴重威脅我國企業部門的信息安全。一旦攻擊者成功得手，對我國的知識產權和技術創新成果等所造成的損失不可估量。網絡安全公司UpGuard于2019年的報道顯示，一臺被用于存儲美國俄克拉荷馬州證監會數據的服務器遭受攻擊，共計3TB的文件泄露到公網，其中包含眾多政府文件及FBI調查報告，還包括數十萬雇員的個人信息等。

目前來看，中央企業所面臨的問題，主要包含以下幾個方面：

（1）企業內部職能部門數據保護權責交叉，資源協調難度大。

（2）對網絡安全的宣傳不足，員工網絡安全意識薄弱等問題。

（3）在技術方面，部分企業所使用的國外產品存在一定的安全風險，而國產化產品的水平還需進一步完善提升。

此外，隨著云辦公、網絡辦公的興起，各大企業網絡移動平臺的建設及網絡安全保證將成為新的問題。

4 沙箱系統安全模型應用舉例

針對企業所面臨的網絡辦公問題，本文主要介紹瀏覽器沙箱系統安全模型的應用案例。隨著網絡辦公的興起，瀏覽器成為人們進入互聯網的“門戶”。同時，越來越多的網絡服務如電子郵件、網絡辦公、資源管理、文件交流及等都能夠直接通過瀏覽器進行操作。因此，當用戶在瀏覽網頁或享受網絡服務時，會不經意下載惡意程序或運行惡意代碼[7]。因此，在設計企業內部人員所使用的瀏覽器時，可以引入沙箱技術，即將每一個標簽頁設計為一個小的“沙箱”，其原理如圖2-a。當用戶進行下載或運行可疑程序時，瀏覽器可以將該程序載入到沙箱中，并允許其運行。如果程序在運行中表現出病毒的特征，系統對其進行標注并執行“回滾”操作抹除其存在，使得安全威脅無法影響到系統本身，借此來維護系統網絡安全[8]。除此之外，為了進一步增強沙箱系統安全模型抵御攻擊的能力，可以采用內外兩層的沙箱系統安全設計（圖2-b）。內外兩層的沙箱系統設計與單層沙箱相比，將瀏覽器進一步用沙箱隔離，使得內層沙箱與主操作系統進行分離。通過這種雙層的沙箱系統安全設計，避免出現內層沙箱失效或被攻破后程序可以直接對主操作系統進行攻擊的問題。當內層沙箱被攻破后，外層的沙箱可以通過迅速執行“回滾”操作，防止病毒或攻擊的進一步擴散[9]。這種內外“雙保險”的沙箱模型，能夠對企業的網絡安全進行更有效的保護。

5結語

隨著網絡的進一步發展和互聯網的普及，網絡安全將越來越受到人們的關注。在面臨不同于過去的威脅時，僅僅使用傳統的安全防御技術顯然難以應對越來越復雜化、自動化的網絡攻擊行為。中央企業作為我國國家重要的經濟支柱，保證其安全的重要性不言而喻。沙箱系統技術模型，為保護企業的網絡安全提供了新的解決思路。通過將傳統的主、被動防御技術和沙箱技術相結合，實現三位一體的網絡安全“保護傘”，可以更好的為企業網絡安全保駕護航。因此，為了解決上述的問題，沙箱技術的誕生為解決傳統防御技術缺點找到了新的方向。

參考文獻

[1] 莫開偉.中國網民數量與結構凸顯三大問題[N].國際金融報，2021-02-08（003）.

[2] 葉馬力.零信任安全模型在央企安全管理中的應用研究[J].電子世界，2019（11）：164-165.

[3] 姚曄.信息安全走向主動防御[J].遼寧行政學院學報，2008（10）：227.

[4] 高曉飛，申普兵.網絡安全主動防御技術[J].計算機安全，2009（1）：38-40.

[5] 郭騫.基于沙盒技術的應用層蜜罐軟件實現[D].南京：東南大學，2018.

[6] 陳珂，柯文德，王愛國，等.基于沙盒技術的行為分析系統研究[J].計算機技術與發展，2015，25（8）：166-169.

[7] 王洋，王欽.沙盒安全技術的發展研究[J].軟件導刊，2009，8（8）：152-153.

[8] 周晟，趙君翊，葛元鵬.主被動防御結合的智能電網信息安全防護體系[J].電子科技，2015，28（6）：213-215.

[9] 崔海娜.基于虛擬化及重定向技術的Android沙箱的設計與實現[D].北京：北京郵電大學，2018.