摘 要：随着信息技术的不断发展，网络攻击呈现出复杂化、自动化和智能化的特点。同时，作为国家经济命脉的中央企业，更容易成为网络犯罪者的攻击对象。面对这些新兴的网络攻击手段，传统的网络防御手段已经难以应对。因此，通过分析传统网络防御手段的弊端及中央企业存在的网络安全问题，引入沙箱系统安全模型，并为中央企业应用沙箱模型提供建议。

关键词：沙箱系统;网络安全;中央企业;应用举例

中图分类号：TP309 文献标识码：A DOI：10.3969/j.issn.1003-6970.2021.02.042

本文著录格式：申宇.沙箱系统在中央企业的应用[J].软件，2021，42（02）：135-137

The Application of Sandbox System in Central Enterprise

SHEN Yu

（China Huadian Corporation， Beijing  100031）

【Abstract】：With the continuous development of information technology， network attack presents the characteristics of complexity， automation and intelligence. At the same time， as the lifeblood of the national economy， the central enterprises are more likely to become the target of cyber criminals. In the face of these new means of network attack， the traditional means of network defense has been difficult to deal with. Therefore， by analyzing the disadvantages of traditional network defense means and the network security problems existing in central enterprises， we introduce the sandbox system security model， and provide suggestions for central enterprises to apply the sandbox model.

【Key words】：sandbox system;network security;a central enterprise;application;for example

0 引言

隨着信息技术的不断发展，互联网的普及率大大提高，人们的工作、生活等与互联网的关系越来越密切。2021年2月3日，中国互联网络信息中心所发布的第47次《中国互联网络发展状况统计报告》表明，截至到2020年12月，我国网民数量达到9.89亿，互联网普及程度提高到了70.4%[1]。随着普及率的提高，越来越多的人们可以通过网络进行工作、交流、购物以及支付等活动，企业可以通过网络进行产品宣传销售以及数据的储存，政府部门则可以利用网络实现政务公开、意见征集等功能。网络安全不仅影响着个人和企业的隐私、金融安全，还影响着政府政务安全。在网络众多参与者中，中央企业从事着关系国家重要安全的行业，在国民经济中发挥着重要作用，是国民经济的重要支柱，关系着全国经济的发展[2]。近年来，网络环境日趋复杂，互联网所受到的安全威胁呈现出复杂化、规模化、自动化等特点，这使得传统的网络安全技术越来越难以应对新出现的问题。为了解决上述问题，本文探讨了传统网络安全技术的缺点，调研中央企业的安全管理现状并介绍沙箱模型的原理及优势，希望这些能为解决中央企业的网络安全问题提供新的思路。

1 传统安全架构的缺陷及风险分析

1.1 被动防御技术

被动防御技术包括防火墙、Virtual Private Network（VPN）、数据加密、身份认证等技术。随着病毒制造者能力的不断提升和病毒传播速度的进一步加快，几乎所有的被动防御技术都失去了作用，比如防火墙技术仅在系统的边界对威胁进行防御，其对内部的威胁缺少可靠的防御手段[2]。不同于过去简单的IT架构中存在明显防御边界，现今复杂的网络结构为病毒从系统内部攻击提供了可能。此外，由于被动防御的防御能力与接入系统前的系统配置相关[3]，其防御的对象仅仅是已知的威胁或攻击，而在面对新的病毒及漏洞时则无法做出及时有效的反应，因此其具有静态和被动的特点。同时，攻击者利用开发公司监测到病毒攻击和发布补丁的这一时间差，可以设计针对性的病毒来攻击网络漏洞。综上所述，现今传统的被动防御技术虽然能够为网络安全提供一定的保护，但是由于其存在的被动性和滞后性缺点，显然对新兴的攻击方法和安全漏洞难以检测、识别并及时处理，在现今复杂的网络环境中存在较大缺陷。

1.2主动防御技术

针对被动防御技术的被动性和滞后性的缺陷，人们在网络安全领域引入了主动防御技术。主动防御技术则主要包括网络引诱、蜜罐技术、安全反击、入侵检测及网络安全态势预警等技术。相较于被动的防御模式，主动防御技术具有自动响应、多层协同防御、即时防范等特点。但主动防御技术在识别一种病毒的行为时，需要允许病毒在系统中运行。我们知道，让病毒在系统中运行本身就是一种高风险行为，如何在病毒造成危害前阻止其运行是目前亟待解决的问题[3]。此外，主动防御还存在着诸如入侵行为的检测效率不高，误报率和漏报率较高以及对入侵预测技术的研究不足等问题[4]。

总之，随着网络技术的迅速发展，无论是主动防御技术还是被动防御技术，它们都难以对最新的病毒攻击做出及时有效的反应并进行有效识别[3]。因此，现今需要一种新兴技术对各类病毒和安全漏洞进行全面的检测、识别并处理。

2沙箱系统技术原理

所谓沙箱技术，实际上是一种模拟的虚假操作系统运行环境，在这个环境中，各类有风险的攻击行为、破坏行为可以任意执行而不会对原系统产生破坏[5]。本文将通过调研中央企业的安全管理现状，探讨传统网络安全技术的缺点，并介绍沙箱模型的原理及其优势。

沙箱也叫沙盒，其原理是把程序生成和修改的资源重定向到一组严格控制的资源（如内存缓存或硬盘）中。程序操作的并不是真实的资源，而是虚拟的资源或者是一个副本[6]，也是实际运行中的浏览器的镜像，其原理如图1所示。当系统中没有沙箱时（图1b），程序在硬盘的操作位置不固定，程序可能会修改系统文件，而当存在沙箱时（图1c），程序只能在划定的空间内对硬盘进行操作，而且其资源访问、运行状态等都会受到严格的记录和控制。当程序在沙箱中的行为暴露其病毒属性时，沙箱将对病毒进行特征标记并执行“回滚”操作，将沙箱内的病毒及其所造成的痕迹完全消除，以此来识别病毒并防止病毒在运行过程中对系统造成破坏，从而保证系统安全。

3中央企业网络安全管理现状分析

我们知道，中央企业的信息安全对我国国家安全有着极大的联系。近年来，外国攻击者对我国大型中央企业的威胁和攻击越来越频繁，严重威胁我国企业部门的信息安全。一旦攻击者成功得手，对我国的知识产权和技术创新成果等所造成的损失不可估量。网络安全公司UpGuard于2019年的报道显示，一台被用于存储美国俄克拉荷马州证监会数据的服务器遭受攻击，共计3TB的文件泄露到公网，其中包含众多政府文件及FBI调查报告，还包括数十万雇员的个人信息等。

目前来看，中央企业所面临的问题，主要包含以下几个方面：

（1）企业内部职能部门数据保护权责交叉，资源协调难度大。

（2）对网络安全的宣传不足，员工网络安全意识薄弱等问题。

（3）在技术方面，部分企业所使用的国外产品存在一定的安全风险，而国产化产品的水平还需进一步完善提升。

此外，随着云办公、网络办公的兴起，各大企业网络移动平台的建设及网络安全保证将成为新的问题。

4 沙箱系统安全模型应用举例

针对企业所面临的网络办公问题，本文主要介绍浏览器沙箱系统安全模型的應用案例。随着网络办公的兴起，浏览器成为人们进入互联网的“门户”。同时，越来越多的网络服务如电子邮件、网络办公、资源管理、文件交流及等都能够直接通过浏览器进行操作。因此，当用户在浏览网页或享受网络服务时，会不经意下载恶意程序或运行恶意代码[7]。因此，在设计企业内部人员所使用的浏览器时，可以引入沙箱技术，即将每一个标签页设计为一个小的“沙箱”，其原理如图2-a。当用户进行下载或运行可疑程序时，浏览器可以将该程序载入到沙箱中，并允许其运行。如果程序在运行中表现出病毒的特征，系统对其进行标注并执行“回滚”操作抹除其存在，使得安全威胁无法影响到系统本身，借此来维护系统网络安全[8]。除此之外，为了进一步增强沙箱系统安全模型抵御攻击的能力，可以采用内外两层的沙箱系统安全设计（图2-b）。内外两层的沙箱系统设计与单层沙箱相比，将浏览器进一步用沙箱隔离，使得内层沙箱与主操作系统进行分离。通过这种双层的沙箱系统安全设计，避免出现内层沙箱失效或被攻破后程序可以直接对主操作系统进行攻击的问题。当内层沙箱被攻破后，外层的沙箱可以通过迅速执行“回滚”操作，防止病毒或攻击的进一步扩散[9]。这种内外“双保险”的沙箱模型，能够对企业的网络安全进行更有效的保护。

5结语

随着网络的进一步发展和互联网的普及，网络安全将越来越受到人们的关注。在面临不同于过去的威胁时，仅仅使用传统的安全防御技术显然难以应对越来越复杂化、自动化的网络攻击行为。中央企业作为我国国家重要的经济支柱，保证其安全的重要性不言而喻。沙箱系统技术模型，为保护企业的网络安全提供了新的解决思路。通过将传统的主、被动防御技术和沙箱技术相结合，实现三位一体的网络安全“保护伞”，可以更好的为企业网络安全保驾护航。因此，为了解决上述的问题，沙箱技术的诞生为解决传统防御技术缺点找到了新的方向。

参考文献

[1] 莫开伟.中国网民数量与结构凸显三大问题[N].国际金融报，2021-02-08（003）.

[2] 叶马力.零信任安全模型在央企安全管理中的应用研究[J].电子世界，2019（11）：164-165.

[3] 姚晔.信息安全走向主动防御[J].辽宁行政学院学报，2008（10）：227.

[4] 高晓飞，申普兵.网络安全主动防御技术[J].计算机安全，2009（1）：38-40.

[5] 郭骞.基于沙盒技术的应用层蜜罐软件实现[D].南京：东南大学，2018.

[6] 陈珂，柯文德，王爱国，等.基于沙盒技术的行为分析系统研究[J].计算机技术与发展，2015，25（8）：166-169.

[7] 王洋，王钦.沙盒安全技术的发展研究[J].软件导刊，2009，8（8）：152-153.

[8] 周晟，赵君翊，葛元鹏.主被动防御结合的智能电网信息安全防护体系[J].电子科技，2015，28（6）：213-215.

[9] 崔海娜.基于虚拟化及重定向技术的Android沙箱的设计与实现[D].北京：北京邮电大学，2018.