主機(jī)剩余信息保護(hù)制度

1、在介紹基本要求中對(duì)于剩余信息保護(hù)要求項(xiàng)的定義前，先要簡(jiǎn)單介紹一下一些背景知識(shí)。基本要求對(duì)于要求項(xiàng)的劃分從整體上，基本要求為技術(shù)要求和管理要求兩大類。其中，技術(shù)要求按其保護(hù)的側(cè)重點(diǎn)的不同被劃分為以下三類：1）業(yè)務(wù)信息安全類（S類）：主要關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄露、破壞和免受未授權(quán)的修改。2）系統(tǒng)服務(wù)安全類（A類）：關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的原型，避免因?qū)ο到y(tǒng)未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。3）通用安全保護(hù)類（G類）：既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性?；疽笾械乃械囊箜?xiàng)都被分為上述三類，剩余信息保護(hù)要求項(xiàng)是在三級(jí)以上系統(tǒng)中才出現(xiàn)的，是屬于S類

2、的，一般被分為S3（適用于三級(jí)系統(tǒng)）或者是S4（適用于四級(jí)系統(tǒng)）此外，技術(shù)要求還被劃分為物理層面安全要求、網(wǎng)絡(luò)層面安全要求、主機(jī)層面安全要求（簡(jiǎn)稱“主機(jī)安全”）、應(yīng)用層面安全要求（簡(jiǎn)稱“應(yīng)用安全”）以及數(shù)據(jù)和備份恢復(fù)層面安全要求。剩余信息保護(hù)要求項(xiàng)是出現(xiàn)在主機(jī)安全和應(yīng)用安全方面的。剩余信息保護(hù)安全項(xiàng)的定義在主機(jī)安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括:1）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到

3、完全清除。在應(yīng)用安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括:1）應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。應(yīng)用系統(tǒng)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)從基本要求對(duì)于剩余信息保護(hù)要求項(xiàng)的描述來(lái)看，該要求項(xiàng)要保護(hù)的客體（也即對(duì)象）一一“剩余信息”主要是內(nèi)存或者硬盤的存儲(chǔ)空間，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。內(nèi)存中的剩余信息保護(hù)內(nèi)存中剩余信息保護(hù)的重點(diǎn)是：在釋放內(nèi)存前，將內(nèi)存中存儲(chǔ)的信息刪除，也即將內(nèi)存清空或者寫入隨機(jī)的無(wú)

4、關(guān)信息。下面以應(yīng)用程序?qū)τ脩舻纳矸蓁b別流程（參見(jiàn)圖1）為例，介紹一下如何對(duì)內(nèi)存中的剩余信息進(jìn)行保護(hù)。假設(shè)用戶甲在登錄應(yīng)用程序A的時(shí)候，輸入了用戶名和密碼。一般情況下，應(yīng)用程序A會(huì)先將用戶輸入的用戶名和密碼存儲(chǔ)在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用白動(dòng)腳本對(duì)應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會(huì)要求用戶輸入校驗(yàn)碼，并優(yōu)先對(duì)校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過(guò)后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫(kù)中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回“用戶名不存在”（或者較模糊地返回“用戶名不存在或

5、者密碼錯(cuò)誤”）。如果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種哈希（hash）算法（通常是MD5算法）對(duì)用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫(kù)用戶身份信息表中存儲(chǔ)的密碼哈希值進(jìn)行比較。這里需要說(shuō)明的是，數(shù)據(jù)庫(kù)中一般不明文存儲(chǔ)用戶的密碼，而是存儲(chǔ)密碼的MD5直。圖1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程圖通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會(huì)對(duì)其使用過(guò)的內(nèi)存進(jìn)行清理的。這些存儲(chǔ)著信息的內(nèi)存在程序的身份認(rèn)證函數(shù)（或者方法）退出后，仍然存儲(chǔ)在內(nèi)存中，如果攻擊者對(duì)內(nèi)存進(jìn)行掃描就會(huì)得到存儲(chǔ)在其中的信息。為了達(dá)到對(duì)剩余信息進(jìn)行保護(hù)的目的，需要身份認(rèn)證函數(shù)在使用完用戶名和密碼信息后，對(duì)曾

6、經(jīng)存儲(chǔ)過(guò)這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無(wú)關(guān)（或者垃圾）信息寫入該內(nèi)存空間,也可以對(duì)該內(nèi)存空間進(jìn)行清零操作。下面以C語(yǔ)言為例，對(duì)存儲(chǔ)過(guò)用戶名和密碼的數(shù)組進(jìn)行清零操作。voidIsCorrectUser()(char*pcUserName=NULL;char*pcPassword=NULL;pcUserName=(char*)malloc(128*sizeof(char);pcPassword=(char*)malloc(128*sizeof(char);GetUserNameAndPassword(pcUserName,pcPassword);CheckUserNameAndPassw

7、ord(pcUserName,pcPassword);inti=0;for(i=0;i<128;i+)(*(pcUserName+i)=0;*(pcPassword+i)=0;free(pcUserName);pcUserName=NULL;free(pcPassword);pcPassword=NULL;return;函數(shù)IsCorrectUser采用malloc函數(shù)為存儲(chǔ)用戶名和密碼分別動(dòng)態(tài)申請(qǐng)了128字節(jié)的內(nèi)存。在使用后，對(duì)內(nèi)存進(jìn)行了清空和釋放的操作，這樣就能夠保證對(duì)剩余信息的保護(hù)。此外，需要說(shuō)明的是在GetUserNameAndPassworcKlCheckUserNameAnd

8、PasswordS數(shù)中也要同樣對(duì)存儲(chǔ)過(guò)用戶名和密碼的內(nèi)存進(jìn)行使用后清空操作，才能夠完成對(duì)剩余信息的保護(hù)工作。硬盤中的剩余信息保護(hù)硬盤中剩余信息保護(hù)的重點(diǎn)是：在刪除文件前，將對(duì)文件中存儲(chǔ)的信息進(jìn)行刪除，也即將文件的存儲(chǔ)空間清空或者寫入隨機(jī)的無(wú)關(guān)信息。下面以應(yīng)用程序?qū)σ粋€(gè)文件的刪除為例，介紹一下如何對(duì)硬盤中的剩余信息進(jìn)行保護(hù)。通常應(yīng)用程序在刪除文件的時(shí)候，僅僅是調(diào)用刪除函數(shù),判斷刪除函數(shù)的返回值是否正常。voidDeleteFile(char*pcFilePath)(longICurrentPosition=0;FILE*fpFilePointer=NULL;intiCounter=0;charc

9、TempChar='0'fpFilePointer=fopen(pcFilePath,"r+");if(NULL=fpFilePointer)(printf("nfailtoopenfile%s",pcFilePath);while(0=feof(fpFilePointer)(lCurrentPosition=ftell(fpFilePointer);cTempChar=fgetc(fpFilePointer);if(EOF=cTempChar)break;GetRandomCharacter(&cTempChar);fseek(

10、fpFilePointer,lCurrentPosition,SEEK_SET);fputc(cTempChar,fpFilePointer);lCurrentPosition=lCurrentPosition+1;fseek(fpFilePointer,lCurrentPosition,SEEK_SET);fclose(fpFilePointer);fpFilePointer=NULL;if(0!=remove(pcFilePath)刪除文件失敗，打印錯(cuò)誤信息printf("nfailtoremovefile%s",pcFilePath);return;在函數(shù)Delete

11、File中，函數(shù)每從文件中讀出一個(gè)字符就調(diào)用GetRandomCharacter函數(shù)對(duì)該字符進(jìn)行了操作，并將進(jìn)行操作后的字符寫回文件中。這樣就能夠保證要被刪除的文件中的內(nèi)容也經(jīng)過(guò)處理了。而處理的方法可以是將文件中的內(nèi)容都設(shè)置成零，也可以是對(duì)原有信息進(jìn)行操作。本文也以C語(yǔ)言為例，給出了如下兩種實(shí)現(xiàn)方式。voidGetRandomCharacter(char*pcChar)intiOperator=0;intiOperand=0;randomize();iOperator=random(4);iOperand=random(128);switch(iOperator)(case1:(*pcChar

12、=*pcChar+iOperand;break;case2:(*pcChar=*pcChar-iOperand;break;case3:(*pcChar=*pcChar*iOperand;break;default:(*pcChar=iOperand;break;return;應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測(cè)方法簡(jiǎn)介在應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測(cè)方面，主要從訪談、檢查和測(cè)試三部分分別描述。1) 訪談詢問(wèn)應(yīng)用系統(tǒng)開(kāi)發(fā)人員，是否對(duì)應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)如果開(kāi)發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對(duì)剩余信息進(jìn)行保護(hù)。2）檢查查看源代碼，看在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理。檢查應(yīng)用系統(tǒng)操作手冊(cè)中是否有相關(guān)的描述。3）測(cè)試為了確認(rèn)內(nèi)存中是否有剩余信息，可以在采用內(nèi)存掃描軟件（或者內(nèi)存監(jiān)視軟件）進(jìn)行掃描。對(duì)于存儲(chǔ)在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對(duì)比恢復(fù)文件和原文件?？偨Y(jié)和討論本文主要針對(duì)等保應(yīng)用安全對(duì)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)和檢測(cè)做了介紹。對(duì)于通用操作系統(tǒng)來(lái)說(shuō)，考慮到系統(tǒng)的運(yùn)行效率，沒(méi)有在系統(tǒng)內(nèi)核層面默認(rèn)實(shí)現(xiàn)剩余信息保護(hù)功能，只能通過(guò)第三方工具來(lái)實(shí)現(xiàn)。對(duì)剩余信息的清除是會(huì)對(duì)應(yīng)用系統(tǒng)的性能造成影響的。