应用系统剩余信息保护的技术实现.pdfVIP

0.引言 随着信息化的推进，信息系统的安全问题成为了世界各国都十分关心的问题。我国则 推出了 GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》（以下简称《基 本要求》）来对信息系统进行保护。 《基本要求》对三级以上信息系统提出了 “剩余信息保护 ”的要求。中国软件评测中心 作为公安部信息安全等级保护测评推荐机构， 在信息系统等级保护测评的过程中发现很多被 测系统在 “剩余信息保护 ”方面做的不是十分到位。 接下来， 本文会较详细地介绍剩余信息保 护的定义、技术实现以及检测方法。 1.剩余信息保护的定义 在介绍《基本要求》中对于剩余信息保护要求项的定义前，先要简单介绍一下一些背 景知识。 1.1 《基本要求》对于要求项的划分 从整体上，《基本要求》为技术要求和管理要求两大类。其中，技术要求按其保护的 侧重点的不同被划分为以下三类： 1) 业务信息安全类（ S 类）：主要关注的是保护数据在存储、传输、处理过程中不被 泄露、破坏和免受未授权的修改。 2) 系统服务安全类（ A 类）：关注的是保护系统连续正常的原型，避免因对系统未授 权修改、破坏而导致系统不可用。 3) 通用安全保护类（ G 类）：既关注保护业务信息的安全性，同时也关注保护系统的 连续可用性。 《基本要求》中的所有的要求项都被分为上述三类，剩余信息保护要求项是在三级以 上系统中才出现的，是属于 S 类的，一般被分为 S3 （适用于三级系统）或者是 S4 （适用于 四级系统）。 此外，技术要求还被划分为物理层面安全要求、网络层面安全要求、主机层面安全要 求（简称 “主机安全 ”）、应用层面安全要求（简称 “应用安全 ”）以及数据和备份恢复层面安 全要求。剩余信息保护要求项是出现在主机安全和应用安全方面的。 1.2 《基本要求》对于剩余信息保护安全项的定义 在主机安全方面，剩余信息保护安全项（ S3 或 S4）的要求包括： 1) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给 其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 2) 应确保系统内的文件、 目录和数据库记录等资源所在的存储空间， 被释放或重新分 配给其他用户前得到完全清除。 在应用安全方面，剩余信息保护安全项（ S3 或 S4）的要求包括： 1) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除， 无论这些信息是存放在硬盘上还是在内存中； 2) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配 给其他用户前得到完全清除。 2.应用系统剩余信息保护的技术实现 从《基本要求》对于剩余信息保护要求项的描述来看，该要求项要保护的客体（也即 对象） ——“剩余信息 ”主要是内存或者硬盘的存储空间， 要保护的时间是被释放或重新分配 给其他用户后。 2.1 内存中的剩余信息保护 内存中剩余信息保护的重点是：在释放内存前，将内存中存储的信息删除，也即将内 存清空或者写入随机的无关信息。 下面以应用程序对用户的身份鉴别流程 （参见图 1）为例， 介绍一下如何对内存中的剩余信息进行保护。假设用户甲在登录应用程序 A 的时候，输入 了用户名和密码。一般情况下，应用程序 A 会先将用户输入的用户名和密码存储在两个字 符串类型（也可能是数组等）变量中。通常情况下， 为了防止攻击者采用自动脚本对应用程 序进行攻击， 应用系统会要求用户输入校验码， 并优先对校验码进行验证。 如果用户输入的 校验码错误， 应用系统应要求用户重新输入校验码。