基于沙盒的数据安全保护方法、计算机设备及存储介质与流程

1.本技术涉及一种基于沙盒的数据安全保护方法、计算机设备及存储介质，属于网络安全技术领域。


背景技术：

2.移动互联网、物联网、分布式计算、区块链等技术的发展与大规模的应用，不仅改变了人们的生活方式，企业的工作模式也受到了巨大的影响，其具体表现在参与到网络中的用户和设备数量剧增，以至网络的规模爆炸式增长。到目前为止，已有数以亿计的设备接入到了互联网当中，同时互联网承载的业务和应用也随之不断增长壮大，资源的共享方式、运行方式、安全管理和网络的应用模式都因此而发生了根本性的转化。
3.疫情之下，各行各业都采取了不同程度的居家办公模式。远程办公、byod(自带设备办公)已成为常态。如何在满足员工居家办公需求的同时，保证对终端设备的安全可控；如何防止敏感文件外泄；如何避免企业报表、核心代码等数据泄露；这成了企业信息安全的痛点。
4.基于上述情况，提出本技术的技术方案。


技术实现要素：

5.本技术的目的在于提供一种基于沙盒的数据安全保护方法、计算机设备及存储介质，从磁盘读写、数据加密存储、网络访问控制、系统剪贴板控制、dcom虚拟化等多个维度提供了全面的数据保护，解决了各类隐私计算的场景适用问题，可以满足政务、金融、能源、教育、医疗等各类行业数据安全场景的应用。
6.为达到上述目的，本技术提供如下技术方案：第一方面，本技术提供一种基于沙盒的数据安全保护方法，其包括：启动操作系统中沙盒的进程，获取所述进程的第一数据；根据所述第一数据确定数据重定向区；在所述数据重定向区中与所述进程交换所述第一数据；以及，基于所述第一数据，在所述数据重定向区中与所述操作系统交换第二数据；其中，所述第一数据包括文件操作数据、注册表操作数据和剪切板数据。
7.在一些可能的实施方式中，所述在所述数据重定向区中与所述进程交换所述第一数据包括：通过hook技术在用户层将所述文件操作数据重定向至所述数据重定向区；或者，对所述操作系统的内核函数进行修改，在内核态将所述文件操作数据重定向至所述数据重定向区。
8.在一些可能的实施方式中，所述在所述数据重定向区中与所述进程交换所述第一数据包括：通过hook技术在用户层将所述注册表操作数据重定向至所述数据重定向区；或
者，对所述操作系统的内核函数进行修改，在内核态将所述注册表操作数据重定向至所述数据重定向区。
9.在一些可能的实施方式中，在对所述注册表操作数据进行重定向之前，还包括：判断所述进程是否为需要重定向的进行；如果是，则对所述注册表操作数据进行重定向；如果不是，则保持所述注册表操作数据不变。
10.在一些可能的实施方式中，所述在所述数据重定向区中与所述进程交换所述第一数据包括：通过hook技术在用户层注入剪切板控制代码，将所述剪切板数据重定向至所述数据重定向区。
11.在一些可能的实施方式中，在所述数据重定向区中，对所述第一数据进行以下操作中的至少一种：拦截、转发、修改或加密；所述第二数据选择性包括重定向后分别对应所述第一数据中的文件操作数据、注册表操作数据和剪切板数据。
12.在一些可能的实施方式中，所述基于沙盒的数据安全保护方法还包括对所述沙盒的dcom进行虚拟化。
13.在一些可能的实施方式中，所述基于沙盒的数据安全保护方法还包括对所述操作系统的irp包注册预操作函数，在所述操作系统需要处理irp包时，所述沙盒基于预操作函数被配置为进行如下操作：从所述irp包中获取当前进程信息；从所述当前进程信息判断是否是沙盒内进程，如果是沙盒内进程，则直接跳过，否则继续执行下面逻辑；从所述irp包要处理的文件对象中获取要操作的文件信息，并判断所述文件对象是否是沙盒目录下的文件，如果不是则直接跳过，否则继续执行下面逻辑；判断所述进程是否是访问这种类型的沙盒目录下的文件。
14.第二方面，本技术提供一种计算机设备，其包括：处理器和存储器，所述存储器用于存储程序，所述处理器用于从存储器中调用并运行所述程序以执行第一方面所述的基于沙盒的数据安全保护方法。
15.第三方面，本技术提供一种计算机可读存储介质，其包括计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行第一方面所述的基于沙盒的数据安全保护方法。
16.通过本技术的实施例，本技术所公开的基于沙盒的数据安全保护方法、计算机设备及存储介质通过文件隔离、网络隔离、进程隔离、系统剪贴板隔离等技术手段，保护沙盒内数据和信息的安全从磁盘读写、数据加密存储、网络访问控制、系统剪贴板控制、dcom虚拟化等多个维度提供了全面的数据保护，解决了各类隐私计算的场景适用问题，可以满足政务、金融、能源、教育、医疗等各类行业数据安全场景的应用。
17.同时，本技术采用一个独立的轻量化内核，能与外界隔离，具有更好的安全隔离
性。既满足了高级别的数据安全防护要求，又避免了虚拟机技术再建一套操作系统和相关环境所带来的资源消耗，节省了电脑的资源。
18.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
19.图1为本技术实施例提供的一种沙盒的架构示意图。
具体实施方式
20.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
21.在本技术的描述中，需要说明的是，除非另有明确的规定和限定，“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。此外，在本技术的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
22.图1示出了本技术实施例提供的沙盒的架构示意图。
23.如图1所示，本实施例的沙盒架构包括设置在操作系统内核层的驱动模块和设置在用户层的重定向模块。具体的，在本实施例中，驱动模块包括进程监控、hook注入、文件访问拦截、网路流量过滤和策略控制器等。重定向模块包括文件重定向、注册表重定向和剪切板访问控制。
24.对于沙盒内的进程，进程监控获取其第一数据后对其进行如下处理：1）文件重定向在本实施例中，基于hook技术对进程创建、修改、删除、读取等文件操作进行重定向。具体的：在用户层利用hook ntdll.dll文件相关函数注入控制代码，从而对沙盒内运行的进程进行控制，以将第一数据重定向到沙盒指定的目录下，即数据重定向区。
25.在另一实施例中，可以通过对系统内核函数进行修改，而不必对每个在沙盒内启动的进程进行修改。然而，发明人发现该方法存在以下问题：在x64系统下，微软引入了patchguard系统（简称pg），pg随时在监控对内核系统的任何修改，当检测到被内核系统被修改以后，就会导致系统蓝屏（当然，也可以通过驱动来使pg系统失效，但这种方式会导致系统不稳定以及一些兼容性问题）。
26.基于这个原因，采用在用户层实现文件的重定向，其语义更清晰，兼容性和稳定性也更好。
27.2）注册表重定向与文件重定向一样，本技术可以在用户层或内核层使用不同的方式实现注册表操
作的重定向。基于相同原因，优选的，在用户层实现该重定向过程。
28.具体的，判断所述进程是否为需要重定向的进行；如果是，则对所述注册表操作数据进行重定向；如果不是，则保持所述注册表操作数据不变。
29.本实施例的判断过程可以采用如下方法：在沙盒的进程监控中存储需要进行重定向的预设进程id列表，获取所需判断的当前进程id，将当前进程id发送至进程监控，判断当前进程id是否与预设进程id列表中的相同。
30.3）剪切板访问控制为了防止用户通过剪切板把沙盒内的敏感数据拷贝出来导致数据泄密，需要对系统的剪切板功能进行有效控制，可选的，可以是直接对该操作进行拦截；或者，对剪切板数据进行重定向。
31.本实施例通过在应用层注入剪切板控制代码到进程中的方式来实现监控剪切板，注入的控制代码通过hook系统剪切板。该方法较为稳定，通过在驱动中注入目标进程，其注入等级比较高，能有效解决问题。
32.上述实施例中，可以在数据重定向区中对第一数据进行拦截、转发、修改或加密，所形成的第二数据选择性包括重定向后分别对应所述第一数据中的文件操作数据、注册表操作数据和剪切板数据。
33.此外，为了保护沙盒内的文件安全，需要禁止沙盒外的进程访问沙盒内的文件，具体通过文件访问拦截来实现的：在文件访问拦截驱动程序对发送到目标设备的操作请求进行预处理，达到控制文件访问、保护文件安全等目的。安几工作空间采用最新的windows框架发开沙盒内文件保护功能。
34.为了保证用户文件的安全，本沙盒的文件访问控制，增加了透明加密处理。在用户无感的情况下，所有沙盒内的数据，都是通过aes256位高强度加密后存储到硬盘上的。
35.为了保护沙盒目录下的文件安全，本实施例对所述操作系统的irp包注册预操作函数，在所述操作系统需要处理irp包时，所述沙盒基于预操作函数被配置为进行如下操作：从所述irp包中获取当前进程信息；从所述当前进程信息判断是否是沙盒内进程，如果是沙盒内进程，则直接跳过，否则继续执行下面逻辑；从所述irp包要处理的文件对象中获取要操作的文件信息，并判断所述文件对象是否是沙盒目录下的文件，如果不是则直接跳过，否则继续执行下面逻辑；判断所述进程是否是访问这种类型的沙盒目录下的文件。
36.同时，为了保证用户文件的安全，本实施例的沙盒的文件访问控制，增加了透明加密处理。在用户无感的情况下，所有沙盒内的数据，可以通过aes256位高强度加密后存储到硬盘上的。
37.本实施例中，所述基于沙盒的数据安全保护方法还包括对所述沙盒的dcom进行虚拟化，以防止沙盒内程序逃逸，对系统造成破坏。
38.可选的，在本实施例中，可以通过在wordpad.exe插入对象-画笔图片，会启动
mspaint，可以看到mspaint是svchost.exe的子进程。此时需要虚拟化dcom，让沙盒内启动一个dcom服务，这样wordpad.exe直接和沙盒内dcom通信，启动子进程mspaint.exe，作为沙盒内dcom服务的子进程，自然也被拉入沙盒内，如此做到防止沙盒进程逃逸。
39.本实施例中，在驱动的网路流量过滤中，计算机设备对于与服务器进行交互的应用网络数据，可以采用以下方法进行处理：计算机设备获取第一应用数据，将所述第一应用数据发送至wfp过滤框架；所述wfp过滤框架根据预设过滤规则，判断是否将所述第一应用数据进行重定向；若否，放行所述第一应用数据；若是，则重定向所述第一应用数据；对所述第一应用数据进行加密，生成第二应用数据；将所述第二应用数据发送至网关。
40.通过本技术实施例的技术方案，依托于零信任的核心思想，通过wfp实现重定向到本地，实现数据包加密和持续认证。从而保证计算机设备中授权的可见应用在网络流量中发送和接收到的每个数据包都是经过加密后的，有效防止了第三者从物理网络、网络身份、流量攻击等多个角度对系统进行的攻击，解决了windows端的网络数据传输的安全问题，性能问题和稳定问题。
41.其中，所述终端获取第一应用流量数据之前，还包括：计算机设备接收由控制中心发送的应用数据包；解析所述应用数据包，并在所述终端上展示可见应用；其中，所述第一应用数据为所述可见应用中的一个或多个应用的流量数据；所述第一应用数据携带有地址信息和端口信息，所述地址信息包括源地址信息和目的地址信息，所述端口信息包括源端口信息和目的端口信息。
42.通过本技术实施例的技术方案，服务器端向远程接入的终端授权相关可见应用，终端仅需对可见应用的应用流量数据进行重定向到本地。
43.可选的，所述预设过滤规则记录在所述wfp过滤框架的内核层的list中，包括预设地址池和预设端口池；所述wfp过滤框架通过对比所述地址信息、端口信息，和预设地址池、预设端口池，来判断是否将所述第一应用数据进行重定向。
44.在本实施例中，所述判断是否将所述第一应用数据进行重定向，具体包括：初始化wfp过滤引擎，在会话中新建过滤子层，所述过滤子层中添加有注册在所述wfp过滤引擎的ale层中的标注；初始化所述list和资源锁；提供接口，以接收所述第一应用数据，并将所述第一应用数据设置到所述list；遍历所述list中的数据，判断所述地址信息和端口信息是否在所述预设地址池和预设端口池中；若否，放行所述第一应用数据；若是，则重定向所述第一应用数据。
45.通过本技术实施例的技术方案，计算机设备从windows的网络驱动层入手，基于wfp过滤框架，利用wfp过滤引擎进行网络链接的重定向和网络数据的加解密，实现了基于ip和端口的网络访问控制，且权限控制灵活。该架构先进，技术稳定，兼容性高，支持windows7以后所有的windows系统（包括windows7）。
46.作为示例而非限定，所述重定向所述第一应用数据包括：将所述目的地址信息和目的端口信息分别修改为本地地址信息和本地端口信息。
47.在本实施例中，所述对所述第一应用数据进行加密，生成第二应用数据包括：基于预设的加密算法库，与所述网关协商，随机利用所述加密算法库中的加密算法对所述第一应用数据进行加密，以生成所述第二应用数据。
48.在本实施例中，在进行所述重定向所述第一应用数据之前，还包括：创建内核线程，定时遍历进程列表，检测所述终端程序是否还在运行，如不在运行，则终止所述重定向；否则，继续进行所述重定向。
49.可以理解的是，在本技术实施例中，上述系统中的各个组件和模块具体实现为计算机程序（或者也称计算机代码）。为了实现该程序功能，系统需要设置包括至少一个处理器。
50.具体地，处理器的功能主要是解释计算机程序的指令以及处理计算机程序中的数据。其中，该计算机程序的指令以及计算机程序中的数据能够保存在基于沙盒的数据安全保护方法、计算机设备及存储介质的内存和/或外存中。
51.可选地，处理器可能是集成电路芯片，具有信号的处理能力。作为示例而非限定，处理器是可以是通用处理器、数字信号处理器（digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现成可编程门阵列（field programmable gate array，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其中，通用处理器是微处理器等。例如，该处理器是中央处理单元（central processing unit，cpu）。
52.其中，每个处理器包括至少一个处理单元。可选地，该处理单元也称为核心（core），是处理器最重要的组成部分。处理器所有的计算、接受命令、存储命令、处理数据都由核心执行。
53.综上所述，本技术所公开的基于沙盒的数据安全保护方法、计算机设备及存储介质通过文件隔离、网络隔离、进程隔离、系统剪贴板隔离等技术手段，保护沙盒内数据和信息的安全从磁盘读写、数据加密存储、网络访问控制、系统剪贴板控制、dcom虚拟化等多个维度提供了全面的数据保护，解决了各类隐私计算的场景适用问题，可以满足政务、金融、能源、教育、医疗等各类行业数据安全场景的应用。
54.同时，本技术采用一个独立的轻量化内核，能与外界隔离，具有更好的安全隔离性。既满足了高级别的数据安全防护要求，又避免了虚拟机技术再建一套操作系统和相关环境所带来的资源消耗，节省了电脑的资源。
55.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
56.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。