沙盒（Sandbox），也有人稱之為沙箱，是近年來在信息安全領域應用較為廣泛的技術之一。Google Chrome瀏覽器、MS Office2010中都應用了一些沙盒技術來提升其安全性。目前的IT領域中，應用沙盒技術比較廣泛的是殺毒軟件行業(yè)，比如用于病毒實驗甚至是用戶應用中的各種“沙盒”安全模式。

那么，究竟什么是沙盒技術呢？簡單來說，沙盒是一種“環(huán)境”，就是為一些來源不可信、具備破壞力或無法判定程序意圖的程序，提供試驗環(huán)境。然而，沙盒中的所有改動對操作系統(tǒng)不會造成任何損失。

沙盒最基本的出發(fā)點，也是最終的目的，就是為運行在其中的程序提供單獨的環(huán)境，無論運行結果如何，都不對沙盒以外的系統(tǒng)環(huán)境產生任何影響。將這一原理往上層應用中擴展一下，就在理論上為內網安全領域提供了一個新的方向，即應用沙盒技術，隔離那些會對整體內網安全造成危害的行為，從而讓安全風險降到較低水平。

國內知名內網安全產品IP-guard的廠商，溢信科技的研發(fā)總監(jiān)黃凱表示，考慮到沙盒技術本身所帶來的安全特征與內網安全的行業(yè)特征，未來幾年，內網安全領域可能在多個方面會應用到沙盒技術。

一、應用沙盒技術，降低未知程序的安全風險

為了完成各種任務，內網用戶的計算機中可能安裝了多種應用程序，如電子郵件、文本處理、即時通訊等等。通常情況下，成熟的IT系統(tǒng)處于統(tǒng)一的IT策略管理之下，為了防止未知程序所帶來的安全風險，用戶的計算機允許和禁止哪些應用程序，都有明確的規(guī)定。然而，現實的管理中，尤其是國內的很多組織，IT管理并不規(guī)范，用戶的安全知識水平也參差不齊，單純的應用黑名單或者白名單進行管理并不能覆蓋全部的應用，這時，組織的內網安全水平就很大程度上取決于用戶的IT安全意識水平，這顯然是不足取的。

沙盒技術的存在，為解決應用程序合規(guī)性提供了新的思路。應用沙盒技術，IT管理人員可以將凡是不受信任的，或者說不在白名單內的程序都自動放入沙盒中運行，這樣，即使由于用戶的安全意識不足而下載運行了帶有潛在風險的程序，由于運行在沙盒內，程序的運行并不會對沙盒以外的系統(tǒng)產生不良影響，而且由于沙盒的隔離，惡意程序并不能訪問到存在于內網和計算機中的機密信息，從而提升了內網的整體安全水平。同時，對于不在白名單之內但用戶可能確實需要的應用，相比于以往的“一放到底”或者“一禁了之”，沙盒的存在也給出了第三條可選的靈活道路。

二、應用沙盒技術，打造可信的安全內網環(huán)境

用戶使用計算機，會涉及到訪問和使用本地、文檔服務器等各種位置的數據，這時，就存在著信息泄漏的風險。如果不加以限制，由于用戶的疏忽或者主觀惡意行為，信息很有可能會通過網絡、移動存儲設備等各種方式傳播出去。同時，各種間諜和風險程序的存在，也時刻威脅著數據的安全。而沙盒的存在，則為我們指出了另外一條道路，即利用沙盒技術，為涉密應用打造可信的安全環(huán)境。

拿溢信科技自己的內部CRM系統(tǒng)舉例，當用戶需要使用被認為是存儲有高度機密信息的CRM系統(tǒng)時，系統(tǒng)自動的將該程序放入到沙盒中運行。這時，由于處在沙盒之中，沙盒以外的其他程序無法調用CRM程序進程中的數據，CRM中的數據也無法透過沙盒泄漏到其他的進程中去。程序在沙盒中運行結束后，由于沙盒的消失，一切痕跡和數據都隨之消失，從而達到了保密的目的。

事實上，將上面的CRM程序延伸一下，沙盒技術甚至可以幫助實現打造安全環(huán)境的目的。例如，在用戶進入到工作狀態(tài)下，需要訪問或使用一些敏感信息時，即自動的將整個系統(tǒng)置于沙盒環(huán)境之下，同時對于沙盒狀態(tài)下的網絡訪問、設備應用等再利用IP-guard等產品已有的豐富管控功能作出必要的限制，所使用、處理的信息由于處于沙盒環(huán)境下，也處于加密狀態(tài)，一旦用戶工作完成，退出沙盒環(huán)境，則全部信息與操作痕跡都即時刪除。運行于普通環(huán)境下的系統(tǒng)應用不受限制，運行于沙盒環(huán)境下的系統(tǒng)處于高度隔離狀態(tài)，從而達到了普通環(huán)境與保密環(huán)境的完全隔離，建造可信的內網環(huán)境。

三、應用沙盒技術，提升應用的可靠性。

Google收購沙盒技術的鼻祖GreenBorder公司，并在其后推出的 Chrome瀏覽器中應用了沙盒技術，使得多標簽瀏覽狀態(tài)下，每一個標簽都運行在獨立的沙盒中，從而有效避免了以往多標簽瀏覽下標簽崩潰造成的瀏覽器甚至系統(tǒng)崩潰的情況，提升了應用的可靠性。

類似的，在內網安全的一些應用中，沙盒技術也可以有效提高其可靠性。例如近幾年來內網安全領域比較常見的，同時也是IP-guard新產品V+全向文檔加密所應用的文檔透明加密技術，由于是基于進程的加密，即意味著無論打開多少個文檔，由于在進程中只能體現為一個進程，假使因為一些原因導致其中一個文檔損壞，則其他的文檔也都有同樣的損壞風險。應用沙盒技術，可以將每一個文檔的加密過程都置于單獨的沙盒之內，單獨文檔的損壞不會導致其他文檔的損壞，從而能夠有效提高系統(tǒng)的可靠性。

另外，沙盒的隔離特性，還可以使同樣文檔格式但保密要求不同的文檔的加密更加靈活。例如，對于用戶接收的來自外部的文檔，有些可能并不方便進行加密，對于這些文檔，就可以讓其運行在沙盒之中，使用時并不進行加密操作，從而將不同安全級別的文檔在使用時進行了有效的區(qū)隔，讓加密更加實用和靈活。談及這一點，黃凱頗有感觸：“類似這種“微創(chuàng)新”，對于系統(tǒng)的安全性提升并不明顯，但恰恰是這種微小的創(chuàng)新，體現了IP-guard以及其他優(yōu)秀產品從用戶角度出發(fā)、追求用戶體驗提升的產品創(chuàng)新理念。

沙盒技術的局限性

上面提到的是沙盒技術在內網安全領域未來可能的應用方向，其主體思路，都是通過沙盒技術的隔離特性，提升應用的安全性與可靠性，確保局部的風險不影響整體的安全水平。事實上，現在已經有一些內網安全產品應用了沙盒技術，或者說沙盒的理念，如一些磁盤加密環(huán)境切換產品。虛擬機、瘦客戶機等產品，也在一定程度上與沙盒技術有異曲同工之妙。

然而，我們也必須看到，任何一種新興技術的發(fā)展，除了帶來革新性的好處，也都可能有其局限性。在這一點上，沙盒技術也不例外。

首先，沙盒技術并不是殺毒軟件或其安全產品，這也就意味著它只能隔離，無法檢測加密過的或者復雜的安全威脅。因此，認為應用了沙盒之后，一切安全威脅都不再是威脅的想法顯然是不足取的，沙盒并不能徹底的解決所有的問題；其次，由于沙盒的存在，在用戶與應用之間增加了一層應用，理論上，也就多了一層可被攻擊的漏洞。沙盒程序本身并非無懈可擊，這也就可能為惡意行為提供了新的切入點。最后，沙盒技術本身是單一的應用，想要實現上面提到的各種功能，需要針對不同的應用進行特別的優(yōu)化設計，提升其可用性，而這也是考驗產品經理的關鍵所在。

沙盒技術并不神秘，上面提到的幾點，據黃凱透露，都可能出現在未來的IP-guard當中。再次談及創(chuàng)新，黃凱說：“包括沙盒技術在內的很多新技術，其實可能都只是在某個微小的角度，提升了產品的可用性、易用性或者穩(wěn)定性，然而，正是這些微小的創(chuàng)新累積起來，形成了優(yōu)秀的產品。事實上，IP-guard從開始研發(fā)到如今客戶遍布全國乃至世界的十年間，不斷的根據客戶的實際需求進行微創(chuàng)新，應用新技術，正是我們向前走的法寶。到現在，我們也一直有一部分同事獨立于研發(fā)之外，堅持在做新技術的艱苦探索，就是為了更多有用的微創(chuàng)新能夠加入到IP-guard或者我們的其他產品中，為用戶帶來更實在的收益。我們在Computex上獲過獎，對于這個獎項，與其說是頒給了優(yōu)秀的技術，我們更傾向于理解為這是對我們根據用戶需求進行微創(chuàng)新的鼓勵。”