【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《防止数据泄密技术》,欢迎阅读!
沙盒技术防止数据泄密的优缺点
即使沙盒技术已经被广泛应用到安全产品中,但并不意味着就可以防止数据泄密。其实我们可以从沙盒的技术原理和使用沙盒技术防止数据泄密的动因来看一下。
沙盒主要是防止病毒木马通过浏览器途径感染本机,其主要机制是通过进程及内存等资源隔离,控制沙箱内的进程对本地系统资源的调用,后来逐步推广,形成了类似360的安全桌面,在移动操作系统中也沿用和发展了该技术,杀毒软件中目前沙盒技术也广泛使用。应该说,沙盒技术的应用,将病毒木马传播的风险进行了有效的控制,功不可没。可以说,沙盒技术其安全机制主要是“防外不防内”,其默认安全模型是认为本机操作系统是可靠的,而通过沙盒将不信任的应用程序进行隔离,控制其对本机其他系统资源的调用。
近年来,用户对数据安全逐步重视,希望能够在不增加计算机设备和不太影响便利性的情况下,实现在终端计算机设备上的“一机两用”甚至“一机多用”的环境,防止内部人员有意或者无意泄漏企事业单位机密信息。基于此,参考360等安全桌面,有些不求甚解的厂商推出了基于沙盒技术的数据防泄密方案,仿照360称为各种“安全桌面”,素不知南辕北辙,利用“防外”技术来“防内”,安全威胁模型完全没搞对,出现了系列误导用户的产品。
那么沙盒为什么不能用于数据防泄密呢?
沙盒技术由于从原理上是不信任沙盒内的程序,但信任本机系统的程序和环境,所以其控制机制是限制沙盒内的进程行为,但是由于其在本机运行,无论存储、内存交换还是各种资源,都必须使用本机的,所以从理论上从沙盒(安全桌面)外可以获取沙盒内一切信息,明朝万达对sanboxie的实验证明也确实如此。而回到数据防泄密的根本,正是害怕数据使用者窃取信息,而数据使用者显然具备控制本终端计算机的全部权限,使用者本人可以通过简单的手段从本机操作系统(沙盒外)轻而易举地获取基于沙盒技术构建的“安全桌面”环境中使用的各种敏感信息,让数据防泄密措施形同虚设,沙盒显然无法胜任数据防泄密这种“防内”的安全模型。即便有些基于沙盒的“安全桌面”采用了文件及存储加密措施,但是由于数据内容内存的页交换必然是文明的,所以依然通过简单的工具可以轻而易举地将“安全桌面”内的数据拿出去,所谓“一机两用”的安全桌面隔离措
施成了彻底的笑话。
也就是说虽然沙盒对阻挡病毒有着功不可没的作用,但是沙盒本质上是不信任沙盒内的程序,但是是信任本机系统的程序和环境的。而数据防止泄密的根本,是害怕数据着本身窃取信息,通俗来讲就是防止自己内部人员窃取信息,而内部人员是对计算机拥有全部权限的。所以沙盒技术是不适用于这些企业用户的。
对于公司内部的信息,例如有一些共享的数据,虽然我们会允许员工对数据进行查看,但是是不希望员工对数据进行其他的操作的,也是为了防止数据的二次传播。这个时候我们用沙盒技术就不太适合了。所以我们可以对共享的文件夹加密,对于这些共享的文件夹我们可以试一下共享文件夹加密超级大师,共享文件夹加密超级大师是专门针对企业用户设计的对共享的文件夹进行加密的软件。对于加密的文件夹可以设置不同的权限,比如只读权限,这样员工在使用数据的过程中就只能只读查看数据,无法做其他的操作了。
本文来源:https://www.wddqxz.cn/54f61d1cbb4cf7ec4bfed09b.html
2022-07-09
