應(yīng)用系統(tǒng)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)

1、0.引言隨著信息化的推進(jìn)，信息系統(tǒng)的安全問題成為了世界各國都十分關(guān)心的問題。我國則推出了GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（以下簡稱基本要求）來對信息系統(tǒng)進(jìn)行保護(hù)?；疽髮θ壱陨闲畔⑾到y(tǒng)提出了剩余信息保護(hù)”的要求。中國軟件評測中心作為公安部信息安全等級保護(hù)測評推薦機(jī)構(gòu)，在信息系統(tǒng)等級保護(hù)測評的過程中發(fā)現(xiàn)很多被測系統(tǒng)在剩余信息保護(hù)”方面做的不是十分到位。接下來，本文會較詳細(xì)地介紹剩余信息保護(hù)的定義、技術(shù)實(shí)現(xiàn)以及檢測方法。1 .剩余信息保護(hù)的定義在介紹基本要求中對于剩余信息保護(hù)要求項(xiàng)的定義前，先要簡單介紹一下一些背景知識。1.1 基本要求對于要求項(xiàng)的劃分從整體

2、上，基本要求為技術(shù)要求和管理要求兩大類。其中，技術(shù)要求按其保護(hù)的側(cè)重點(diǎn)的不同被劃分為以下三類：1）業(yè)務(wù)信息安全類（S類）：主要關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改。2）系統(tǒng)服務(wù)安全類（A類）：關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的原型，避免因?qū)ο到y(tǒng)未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。3）通用安全保護(hù)類（G類）：既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性?；疽笾械乃械囊箜?xiàng)都被分為上述三類，剩余信息保護(hù)要求項(xiàng)是在三級以上系統(tǒng)中才出現(xiàn)的，是屬于S類的，一般被分為S3（適用于三級系統(tǒng)）或者是S4（適用于四級系統(tǒng)）。此外，技術(shù)要求還被劃分為物理層面安全要求、

3、網(wǎng)絡(luò)層面安全要求、主機(jī)層面安全要求（簡稱主機(jī)安全”）、應(yīng)用層面安全要求（簡稱應(yīng)用安全”）以及數(shù)據(jù)和備份恢復(fù)層面安全要求。剩余信息保護(hù)要求項(xiàng)是出現(xiàn)在主機(jī)安全和應(yīng)用安全方面的。1.2 基本要求對于剩余信息保護(hù)安全項(xiàng)的定義在主機(jī)安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括：1）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。在應(yīng)用安全方面，剩余信息保護(hù)安全項(xiàng)（S3或S4）的要求包括：1）應(yīng)保證用戶鑒別信

4、息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。2 .應(yīng)用系統(tǒng)剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)從基本要求對于剩余信息保護(hù)要求項(xiàng)的描述來看，該要求項(xiàng)要保護(hù)的客體（也即對象）一一剩余信息”主要是內(nèi)存或者硬盤的存儲空間，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。2.1 內(nèi)存中的剩余信息保護(hù)內(nèi)存中剩余信息保護(hù)的重點(diǎn)是：在釋放內(nèi)存前，將內(nèi)存中存儲的信息刪除，也即將內(nèi)存清空或者寫入隨機(jī)的無關(guān)信息。下面以應(yīng)用程序?qū)τ脩舻纳矸蓁b別流程（參見圖1）為例，介紹一下如何對內(nèi)存

5、中的剩余信息進(jìn)行保護(hù)。假設(shè)用戶甲在登錄應(yīng)用程序A的時(shí)候，輸入了用戶名和密碼。一般情況下，應(yīng)用程序A會先將用戶輸入的用戶名和密碼存儲在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用自動(dòng)腳本對應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會要求用戶輸入校驗(yàn)碼，并優(yōu)先對校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回用戶名不存在”（或者較模糊地返回用戶名不存在或者密碼錯(cuò)誤”）。如果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種哈希（ha

6、sh）算法（通常是MD5算法）對用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫用戶身份信息表中存儲的密碼哈希值進(jìn)行比較。這里需要說明的是，數(shù)據(jù)庫中一般不明文存儲用戶的密碼，而是存儲密碼1腳請時(shí)天柱的舟松鱉海近面胃同廣將入竹*入用戶老拈a.用戶竽u值總在尋討山戶事人寢壯黨R曲從浦枇童中武取咕布M的MD5值。4圖1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程國，圖1應(yīng)用程序?qū)ζ溆脩舻纳矸蓁b別流程圖通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會對其使用過的內(nèi)存進(jìn)行清理的。這些存儲著信息的內(nèi)存在程序的身份認(rèn)證函數(shù)（或者方法）退出后，仍然存儲在內(nèi)存中，如果攻擊者對內(nèi)存進(jìn)行掃描就會得到存儲在其中的信息。為了達(dá)到對剩余

7、信息進(jìn)行保護(hù)的目的,需要身份認(rèn)證函數(shù)在使用完用戶名和密碼信息后，對曾經(jīng)存儲過這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無關(guān)（或者垃圾）信息寫入該內(nèi)存空間，也可以對該內(nèi)存空間進(jìn)行清零操作。下面以C語言為例，對存儲過用戶名和密碼的數(shù)組進(jìn)行清零操作。voidlsCorrectUser()char*pcUserName=NULL;char*pcPassword=NULL;pcUserName=(char*)malloc(128*sizeof(char);pcPassword=(char*)malloc(128*sizeof(char);GetUserNameAndPassword(pcUserName,

8、pcPassword);CheckUserNameAndPassword(pcUserName,pcPassword);inti=0;for(i=0;i128;i+)(*(pcUserName+i)=0;*(pcPassword+i)=0;free(pcUserName);pcUserName=NULL;free(pcPassword);pcPassword=NULL;return;函數(shù)IsCorrectUser采用malloc函數(shù)為存儲用戶名和密碼分別動(dòng)態(tài)申請了128字節(jié)的內(nèi)存。在使用后，對內(nèi)存進(jìn)行了清空和釋放的操作，這樣就能夠保證對剩余信息的保護(hù)。此外，需要說明的是在GetUserName

9、AndPassword和CheckUserNameAndPassword函數(shù)中也要同樣對存儲過用戶名和密碼的內(nèi)存進(jìn)行使用后清空操作，才能夠完成對剩余信息的保護(hù)工作。2.2 硬盤中的剩余信息保護(hù)硬盤中剩余信息保護(hù)的重點(diǎn)是：在刪除文件前，將對文件中存儲的信息進(jìn)行刪除，也即將文件的存儲空間清空或者寫入隨機(jī)的無關(guān)信息。卜面以應(yīng)用程序?qū)σ粋€(gè)文件的刪除為例,介紹一下如何對硬盤中的剩余信息進(jìn)行保護(hù)。通常應(yīng)用程序在刪除文件的時(shí)候，僅僅是調(diào)用刪除函數(shù)，判斷刪除函數(shù)的返回值是否正常。voidDeleteFile(char*pcFilePath)(longlCurrentPosition=0;FILE*fpFile

10、Pointer=NULL;intiCounter=0;charcTempChar=0;fpFilePointer=fopen(pcFilePath,r+);if(NULL=fpFilePointer)(printf(nfailtoopenfile%s,pcFilePath);while(0=feof(fpFilePointer)ICurrentPosition=ftell(fpFilePointer);cTempChar=fgetc(fpFilePointer);if(EOF=cTempChar)break;GetRandomCharacter(&cTempChar);fseek(fpFile

11、Pointer,lCurrentPosition,SEEK_SET);fputc(cTempChar,fpFilePointer);lCurrentPosition=lCurrentPosition+1;fseek(fpFilePointer,lCurrentPosition,SEEK_SET);fclose(fpFilePointer);fpFilePointer=NULL;if(0!=remove(pcFilePath)(刪除文件失敗，打印錯(cuò)誤信息printf(nfailtoremovefile%s,pcFilePath);)return;)在函數(shù)DeleteFile中，函數(shù)每從文件中讀出

12、一個(gè)字符就調(diào)用GetRandomCharacter函數(shù)對該字符進(jìn)行了操作，并將進(jìn)行操作后的字符寫回文件中。這樣就能夠保證要被刪除的文件中的內(nèi)容也經(jīng)過處理了。而處理的方法可以是將文件中的內(nèi)容都設(shè)置成零，也可以是對原有信息進(jìn)行操作。本文也以C語言為例，給出了如下兩種實(shí)現(xiàn)方式。voidGetRandomCharacter(char*pcChar)(intiOperator=0;intiOperand=0;randomize();iOperator=random(4);iOperand=random(128);switch(iOperator)(case 1:(*pcChar=*pcChar+iOpe

13、rand;break;case 2:*pcChar=*pcChar-iOperand;break;)case 3:(*pcChar=*pcChar*iOperand;break;)default:(*pcChar=iOperand;break;)return;3 .應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測方法簡介在應(yīng)用系統(tǒng)剩余信息保護(hù)的檢測方面，主要從訪談、檢查和測試三部分分別描述。1）訪談詢問應(yīng)用系統(tǒng)開發(fā)人員，是否對應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)。如果開發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對剩余信息進(jìn)行保護(hù)。2）檢查查看源代碼，看在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理。檢查應(yīng)用系統(tǒng)操作手冊中是否有相關(guān)的描述。3）測試為了確認(rèn)內(nèi)存中是否有剩余信息，可以在采用內(nèi)存掃描軟件（或者內(nèi)存監(jiān)視軟件）進(jìn)行掃描。對于存儲在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對比恢復(fù)文件和原文件。4 .總結(jié)和討論本文主要針對等保應(yīng)用安全對剩余信息保護(hù)的技術(shù)實(shí)現(xiàn)和檢測做了介紹。對于通用操作系統(tǒng)來說，考慮到系統(tǒng)的運(yùn)行效率，沒有在系統(tǒng)內(nèi)核層面默認(rèn)實(shí)現(xiàn)剩余信息保護(hù)功能，只能通過第三方工具來實(shí)現(xiàn)。對剩余信息的清除