驳斥《沙盒用于数据防泄密是重大技术原理性失误》

http://blog.ifeng.com/article/30786929.html

最近网上出现了一篇名为《沙盒用于数据防泄密是重大技术原理性失误》的文章，经作者鉴定，是某不良公司攻击技术领先的竞争对手苏州深信达公司的软文。该公司为何主动公开攻击竞争对手，可能和最近出现的该公司的客户大规模用沙盒加密替换其产品的浪潮有关。个人认为，不论什么原因，都不能成为使用这种伎俩的理由，有这个精力，干嘛不去加大研发力度，更新自己的产品，重塑用户信心和青睐呢？

深信达公司从来不主动攻击任何竞争对手，客户选择深信达沙盒，完全是正常的市场优胜劣汰。此处，暂且不评价该作者是否有心理缺陷，暂且不评价作为一个知名老牌厂家公开攻击竞争对手行为是否合适，暂且不评价是否因为自己产品落后将被淘汰的狗急跳墙心理，此处，作为沙盒防泄密的研发者，对文中的诸多驴唇不对马嘴的技术相关论述实在看不下去了，感慨该文（《沙盒用于数据防泄密是重大技术原理性失误》）作者的技术低下之余，对其错误论调，觉得有必要说明一下，以免误导各位看官。

一、关于沙盒技术原理

该文（《沙盒用于数据防泄密是重大技术原理性失误》）中通过安全浏览器，杀毒中使用沙盒(Sandbox)技术，然后就妄下结论说“防外不防内”，这完全是一个不懂技术瞎嚷嚷，充其量也是对技术一只半解。沙盒技术原理的核心是对用户空间的虚拟和隔离。

所谓虚拟，就是对用户的行为，按照严格的规则，进行虚拟化处理，让用户感受到和真实中一样操作；所谓隔离，就是对数据进行分离隔离，只进不出或者只出不进或者彻底物理分开。比较明显沙盒有sandboxie等，其实，我们日常使用的B/S架构中的IE浏览器，webIIS，JavaVM等，其实都或多或少的用到了这个用户空间隔离理论。大家可能有点不明白了，举个简单的例子，IE打开一个网页，如果无控件，网页的脚本运行在浏览器的虚拟空间内，该脚本是不允许访问本机的物理目录和文件等资源的，否则就没安全性可言了。沙盒技术用于数据防泄密上，是一项创新，但也是该用户空间虚拟和隔离的升级应用。

   TO该文（《沙盒用于数据防泄密是重大技术原理性失误》）作者：长见识了吧。嘿嘿。

二、关于沙盒技术应用于数据防泄密领域的动因

该文（《沙盒用于数据防泄密是重大技术原理性失误》）中称沙盒防泄密系统是仿照各种“安全桌面”，真是让人笑掉大牙。你百度一下SandboxIE为何物，是什么时间发布的？还自称什么安全模型，很是让人无语。深信达公司创新沙盒用来防泄密解决方案，并不是参照SandboxIE，而是独创的内核纵深防御体系基础上，结合沙盒理念，研发出的数据防泄密系统。不管是SandboxIE，还是什么安全桌面，只要分析一下，就知道其构造基本上都是一堆APIHOOK，是纯应用层的虚拟技术。而沙盒防泄密系统是磁盘驱动，卷驱动，文件过滤驱动，网络过滤驱动等若干内核级模块组成的内核级沙盒系统，创造性的实现了只进不出的隔离虚拟化模型。就像一个单位的大门和门卫，你难道就认为他只是阻止外部人员进入的吗？

   TO该文（《沙盒用于数据防泄密是重大技术原理性失误》）作者：知识太贫乏了。。。

三、沙盒加密是可以用于数据防泄密的

该文（《沙盒用于数据防泄密是重大技术原理性失误》）称“沙盒技术由于从原理上是不信任沙盒内的程序”，看了让我一阵好笑，暂且不论深信达的内核级沙盒如何防泄密的，就连对应用层的沙盒浏览器(SandbooxIE)理解都错误，着实让人惊讶。

沙盒浏览器为什么能防病毒入侵？因为病毒在沙盒内运行的时候，对外隔离，感染本地文件都是在沙盒内的影子，都是假的，所以关闭浏览器后本地就不存在病毒影响了。有点难理解？举例子说明：本地有个C:a.doc文件，打开IE浏览器，沙盒启动，病毒也随之启动，沙盒内浏览这个C:a.doc文件，病毒也感染了这个文件，但是由于病毒在沙盒内，感染的是沙盒内的a.doc文件(即C:a.doc的影子),关闭沙盒后，影子消失，那么病毒也感染失败，因为C:a.doc没变化。

如果此时把病毒的行为理解为某人的泄密行为呢？他是不是无法被涉密网页上的内容通过文件保存出来？和信任程序有半毛关系？（不能再说了，再说多了就泄密了。。。）

另外，能从SandboxIE的安全桌面上向外人工拷贝数据，这个很正常啊，因为他是用来防病毒感染的啊，只要防止到文件级的感染就可以了啊。如果SandboxIE的存储目录都加密了，内存加密，COM，LPC，剪切板等进程间通信都隔离了，你还能这么轻易把数据拿走吗？(该打，又指点他了。。。)

SandboxIE尚且如此，更何况专业针对软件公司源代码防泄密需求而开发的，内核级纵深防御的SDC沙盒呢？？自己的产品漏洞多，搞不定，自己技术差，很多事情想不明白，就以为别人也和自己一样，井底之蛙，可笑可笑！！

四、总结

网上到处张贴的《沙盒用于数据防泄密是重大技术原理性失误》一文，是不良公司攻击深信达公司的软文，按照常理来讲，一般但凡有点理智的公司，都不会这样明目张胆的攻击竞争对手，但是这个不良公司这样攻击深信达，理由只有以下几种可能：

1）该公司已经被逼上绝路；

由于产品质量差，技术落后，在研发，技术，产品，市场等各个层面，无法和深信达竞争，阵地大片沦陷，所以才狗急跳墙，出此下策；

2）个别员工龌龊猥琐行为；

个别员工心理龌龊，市场失败后，不总结自己过失，而使用阴招，攻击对手，殊不知这样的乱咬，必会引起大家的愤慨和客户的厌恶；一个公司有这样的员工是老板的悲哀。我如果是该公司老板，绝不允许自己公司有这样猥琐龌龊的人存在！估计这也是为什么市场越做越差，产品技术落后的根源所在。

3）老板所为或者老板指使员工所为。

我觉得这种可能性比较低，几年前曾经在某种媒体上看到过该公司领导人的介绍，也算是有头脸的人物，不应该有这样的心理阴暗面。一般的企业，作为老板必须是仁厚形象，这样才能聚人心，员工跟着放心，否者，哪个员工愿意和一个喜欢玩阴的老板打江山呢？如果有人愿意投奔深信达，我们不要你的技术，不要你的客户，只要你有颗仁厚的心就可以。

至于沙盒用于数据防泄密是不是重大技术原理性失误，欢迎客户联系深信达公司，前来咨询和测试。

另外鉴于有不良公司主动攻击技术领先的深信达公司，深信达公司在此承诺，凡是凭此文（《沙盒用于数据防泄密是重大技术原理性失误》）找到深信达公司，要替换原有产品或者测试沙盒加密系统的，销售价格一律在原有折扣基础上，再做八折优惠，算是为节约了广告费，并为清除市场毒瘤贡献一份力量吧。