主機(jī)剩余信息保護(hù)制度

1、剩余信息保護(hù)的定義在介紹基本要求中對于剩余信息保護(hù)要求項(xiàng)的定義前，先要簡單介紹一下一些背景知識。1.1基本要求對于要求項(xiàng)的劃分從整體上，基本要求為技術(shù)要求和管理要求兩大類。其中，技術(shù)要求按其保護(hù)的側(cè)重點(diǎn)的不同被劃分為以下三類：1）業(yè)務(wù)信息安全類（S類）：主要關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改。2）系統(tǒng)服務(wù)安全類（A類）：關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的原型，避免因?qū)ο到y(tǒng)未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。3）通用安全保護(hù)類（G類）：既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。基本要求中的所有的要求項(xiàng)都被分為上述三類，剩余信息保護(hù)要求項(xiàng)是在三級以上系

2、統(tǒng)中才出現(xiàn)的，是屬于S類的，一般被分為S3（適用于三級系統(tǒng)）或者是S4（適用于四級系統(tǒng)）。此外，技術(shù)要求還被劃分為物理層面安全要求、網(wǎng)絡(luò)層面安全要求、主機(jī)層面安全要求（簡稱主機(jī)安全”）、應(yīng)用層面安全要求（簡稱應(yīng)用安全”）以及數(shù)據(jù)和備份恢復(fù)層面安全要求。剩余信息保護(hù)要求項(xiàng)是出現(xiàn)在主機(jī)安全和應(yīng)用安全方面的。1.2剩余信息保護(hù)安全項(xiàng)的定義在主機(jī)安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括：1）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋

3、放或重新分配給其他用戶前得到完全清除。在應(yīng)用安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括：1）應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。應(yīng)用系統(tǒng)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)從基本要求對于剩余信息保護(hù)要求項(xiàng)的描述來看，該要求項(xiàng)要保護(hù)的客體（也即對象）剩余信息”主要是內(nèi)存或者硬盤的存儲(chǔ)空間，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。2.1 內(nèi)存中的剩余信息保護(hù)內(nèi)存中剩余信息保護(hù)的重點(diǎn)是：在釋放內(nèi)存前，將內(nèi)存中存儲(chǔ)的信息刪除，

4、也即將內(nèi)存清空或者寫入隨機(jī)的無關(guān)信息。下面以應(yīng)用程序?qū)τ脩舻纳矸蓁b別流程（參見圖1）為例，介紹一下如何對內(nèi)存中的剩余信息進(jìn)行保護(hù)。假設(shè)用戶甲在登錄應(yīng)用程序A的時(shí)候，輸入了用戶名和密碼。一般情況下，應(yīng)用程序A會(huì)先將用戶輸入的用戶名和密碼存儲(chǔ)在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用自動(dòng)腳本對應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會(huì)要求用戶輸入校驗(yàn)碼，并優(yōu)先對校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回用戶名不存在”（或者

5、較模糊地返回用戶名不存在或者密碼錯(cuò)誤”）。如果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種哈希（hash）算法（通常是MD5算法）對用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫用戶身份信息表中存儲(chǔ)的密碼哈希值進(jìn)行比較。這里需要說明的是，數(shù)據(jù)庫中一般不明文存儲(chǔ)用戶的密碼，而是存儲(chǔ)密碼的MD5值。圖1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程圖通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會(huì)對其使用過的內(nèi)存進(jìn)行清理的。這些存儲(chǔ)著信息的內(nèi)存在程序的身份認(rèn)證函數(shù)（或者方法）退出后，仍然存儲(chǔ)在內(nèi)存中，如果攻擊者對內(nèi)存進(jìn)行掃描就會(huì)得到存儲(chǔ)在其中的信息。為了達(dá)到對剩余信息進(jìn)行保護(hù)的目的，需要身份認(rèn)證函數(shù)在使用

6、完用戶名和密碼信息后，對曾經(jīng)存儲(chǔ)過這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無關(guān)（或者垃圾）信息寫入該內(nèi)存空間，也可以對該內(nèi)存空間進(jìn)行清零操作。下面以C語言為例，對存儲(chǔ)過用戶名和密碼的數(shù)組進(jìn)行清零操作。voidIsCorrectUser（）char*pcUserName=NULL;char*pcPassword=NULL;pcUserName=(char*)malloc(128*sizeof(char);pcPassword=(char*)malloc(128*sizeof(char);GetUserNameAndPassword(pcUserName,pcPassword);CheckUser

7、NameAndPassword(pcUserName,pcPassword);inti=0;for(i=0;i<128;i+)*(pcUserName+i)=0;*(pcPassword+i)=0;free(pcUserName);pcUserName=NULL;free(pcPassword);pcPassword=NULL;return;函數(shù)IsCorrectUser采用malloc函數(shù)為存儲(chǔ)用戶名和密碼分別動(dòng)態(tài)申請了128字節(jié)的內(nèi)存。在使用后，對內(nèi)存進(jìn)行了清空和釋放的操作，這樣就能夠保證對剩余信息的保護(hù)。此外，需要說明的是在GetUserNameAndPassword和CheckU

8、serNameAndPassword函數(shù)中也要同樣對存儲(chǔ)過用戶名和密碼的內(nèi)存進(jìn)行使用后清空操作，才能夠完成對剩余信息的保護(hù)工作。2.2 硬盤中的剩余信息保護(hù)硬盤中剩余信息保護(hù)的重點(diǎn)是：在刪除文件前，將對文件中存儲(chǔ)的信息進(jìn)行刪除，也即將文件的存儲(chǔ)空間清空或者寫入隨機(jī)的無關(guān)信息。下面以應(yīng)用程序?qū)σ粋€(gè)文件的刪除為例，介紹一下如何對硬盤中的剩余信息進(jìn)行保護(hù)。通常應(yīng)用程序在刪除文件的時(shí)候，僅僅是調(diào)用刪除函數(shù)，判斷刪除函數(shù)的返回值是否正常。voidDeleteFile(char*pcFilePath)longlCurrentPosition=0;FILE*fpFilePointer=NULL;intiCo

9、unter=0;charcTempChar='0'fpFilePointer=fopen(pcFilePath,"r+");if(NULL=fpFilePointer)printf("nfailtoopenfile%s",pcFilePath);while(0=feof(fpFilePointer)lCurrentPosition=ftell(fpFilePointer);cTempChar=fgetc(fpFilePointer);if(EOF=cTempChar)break;GetRandomCharacter(&cTempC

10、har);fseek(fpFilePointer,lCurrentPosition,SEEK_SET);fputc(cTempChar,fpFilePointer);lCurrentPosition=lCurrentPosition+1;fseek(fpFilePointer,lCurrentPosition,SEEK_SET);fclose(fpFilePointer);fpFilePointer=NULL;if(0!=remove(pcFilePath)刪除文件失敗，打印錯(cuò)誤信息printf("nfailtoremovefile%s",pcFilePath);retur

11、n;在函數(shù)DeleteFile中，函數(shù)每從文件中讀出一個(gè)字符就調(diào)用GetRandomCharacter函數(shù)對該字符進(jìn)行了操作，并將進(jìn)行操作后的字符寫回文件中。這樣就能夠保證要被刪除的文件中的內(nèi)容也經(jīng)過處理了。而處理的方法可以是將文件中的內(nèi)容都設(shè)置成零，也可以是對原有信息進(jìn)行操作。本文也以C語言為例，給出了如下兩種實(shí)現(xiàn)方式。voidGetRandomCharacter(char*pcChar)intiOperator=0;intiOperand=0;randomize();iOperator=random(4);iOperand=random(128);switch(iOperator)case

12、1:*pcChar=*pcChar+iOperand;break;case2:*pcChar=*pcChar-iOperand;break;case3:*pcChar=*pcChar*iOperand;break;default:*pcChar=iOperand;break;return;應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測方法簡介在應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測方面，主要從訪談、檢查和測試三部分分別描述。1）訪談詢問應(yīng)用系統(tǒng)開發(fā)人員，是否對應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)。如果開發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對剩余信息進(jìn)行保護(hù)。2）檢查查看源代碼，看在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理。檢查應(yīng)用系統(tǒng)操作手冊中是否有相關(guān)的描述。3）測試為了確認(rèn)內(nèi)存中是否有剩余信息，可以在采用內(nèi)存掃描軟件（或者內(nèi)存監(jiān)視軟件）進(jìn)行掃描。對于存儲(chǔ)在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對比恢復(fù)文件和原文件。總結(jié)和討論本文主要針對等保應(yīng)用安全對剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)和檢測做了介紹。對于通用操作系統(tǒng)來說，考慮到系統(tǒng)的運(yùn)行效率，沒有在系統(tǒng)內(nèi)核層面默認(rèn)實(shí)現(xiàn)剩余信息保護(hù)功能，只能通過第三方工具來實(shí)現(xiàn)。對剩余信息的清除是會(huì)對應(yīng)用系統(tǒng)的性能造成影響的。