摘 要：隨著信息化進(jìn)程的加快，全球信息量呈爆炸式增長(zhǎng)。隨之而來(lái)的數(shù)據(jù)安全問(wèn)題也日益增多，侵犯?jìng)€(gè)人隱私、竊取個(gè)人信息等違法犯罪行為時(shí)有發(fā)生，數(shù)據(jù)安全問(wèn)題日趨嚴(yán)重，已經(jīng)成為影響國(guó)家公共安全、社會(huì)安全的突出問(wèn)題。數(shù)據(jù)安全中的一個(gè)重要問(wèn)題是對(duì)剩余信息的保護(hù)，即對(duì)用戶使用過(guò)的信息，當(dāng)該用戶不再使用或不再存在時(shí)，應(yīng)當(dāng)采取一定的措施進(jìn)行保護(hù)，防止剩余信息造成用戶隱私的泄露。論文從標(biāo)準(zhǔn)要求、保護(hù)對(duì)象、在等級(jí)保護(hù)測(cè)評(píng)中面臨的挑戰(zhàn)、檢測(cè)方法等多方面對(duì)剩余信息保護(hù)進(jìn)行了分析，為等級(jí)保護(hù)測(cè)評(píng)中的剩余信息保護(hù)測(cè)試提供了全方位的技術(shù)支撐。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全；數(shù)據(jù)安全；等級(jí)保護(hù)；剩余信息保護(hù)

　　中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：B

　　Abstract： With the acceleration of the information process， the global information volume has exploded. The importance of ensuing data security issues is also increasing. Criminal violations such as personal privacy and theft of personal information have occurred from time to time. Data security issues have become increasingly serious and have become a prominent problem affecting national public security and social security. An important issue in data security is the protection of the residual information， that is， the information used by the user. When the user no longer uses or no longer exists， certain measures should be taken to protect the user from leaking the privacy of the remaining information. This paper analyzes the residual information protection from the requirements of standards， protection objects， challenges in the classified protection assessment， and detection methods， and provides a full range of technical support for the residual information testing in the classified protection assessment.

　　Key words： cybersecurity； data security； classified protection； residual information protection

　　1 引言

　　數(shù)據(jù)安全是網(wǎng)絡(luò)安全中的一個(gè)重要方向。數(shù)據(jù)安全中一個(gè)重要的問(wèn)題就是對(duì)剩余信息（Residual Information）保護(hù)，也就是說(shuō)對(duì)用戶使用過(guò)的信息，當(dāng)該用戶不再使用或不再存在時(shí)，應(yīng)當(dāng)采取一定的措施進(jìn)行保護(hù)。在GB/T 22239-2008 《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，剩余信息保護(hù)是對(duì)三級(jí)以上的系統(tǒng)的要求，而在GB/T 22239-2008的修訂版本中，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（征求意見(jiàn)稿）（20170813版）中，剩余信息保護(hù)變?yōu)閷?duì)二級(jí)以上的系統(tǒng)的要求，可見(jiàn)剩余信息保護(hù)的重要性逐漸被得到重視。

　　本文從剩余信息保護(hù)的標(biāo)準(zhǔn)要求、剩余信息保護(hù)的保護(hù)對(duì)象、剩余信息保護(hù)在等級(jí)保護(hù)測(cè)評(píng)中面臨的挑戰(zhàn)以及剩余信息保護(hù)檢測(cè)方法等方面進(jìn)行介紹，為等級(jí)保護(hù)測(cè)評(píng)中剩余信息保護(hù)測(cè)試提供技術(shù)支撐。

　　2 剩余信息保護(hù)的標(biāo)準(zhǔn)要求

　　剩余信息保護(hù)的概念來(lái)源于美國(guó)國(guó)防部的《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（TCSEC，1985），在該準(zhǔn)則的“客體重用”一章中對(duì)剩余信息提出了保護(hù)要求[1]：“……允許分配給其他的客體，但必須確保重用的客體不能從以前用戶所使用的存儲(chǔ)介質(zhì)（磁盤或內(nèi)存）中恢復(fù)信息。”隨著數(shù)據(jù)安全的重要性被世界各國(guó)所重視，各國(guó)相繼出臺(tái)了針對(duì)數(shù)據(jù)安全保護(hù)的法律法規(guī)，尤其對(duì)剩余信息保護(hù)提出了諸多標(biāo)準(zhǔn)要求。

　　2.1 各國(guó)針對(duì)數(shù)據(jù)安全保護(hù)的法律法規(guī)

　　針對(duì)數(shù)據(jù)安全各國(guó)均出臺(tái)了法律法規(guī)進(jìn)行約束，2018年5月25日，歐盟正式施行新的網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)條例《通用數(shù)據(jù)保護(hù)條例》[2]（General Data Protection Regulation，GDPR），嚴(yán)格限制企業(yè)對(duì)個(gè)人數(shù)據(jù)的使用權(quán)，處罰力度空前加強(qiáng)，全方位地保護(hù)上網(wǎng)者的數(shù)據(jù)安全，要求數(shù)據(jù)主體在不希望自身數(shù)據(jù)被利用且無(wú)合法必要理由保留時(shí)，有權(quán)要求刪除該數(shù)據(jù)，這實(shí)質(zhì)上就是對(duì)“剩余信息”提出的保護(hù)要求。Facebook、微軟、Twitter、Apple 等公司紛紛修改其在歐盟境內(nèi)對(duì)用戶個(gè)人數(shù)據(jù)的處理方式。微信也于日前發(fā)布聲明，如歐盟地區(qū)微信客戶有需求，微信平臺(tái)公眾號(hào)運(yùn)營(yíng)者會(huì)在三周內(nèi)，從服務(wù)器中刪除該用戶相關(guān)的所有信息，包括用戶昵稱、頭像、OpenID及與該用戶關(guān)聯(lián)的服務(wù)信息。

　　日本于2003年頒布《個(gè)人信息保護(hù)法》，2015年頒布實(shí)施《個(gè)人信息保護(hù)法》修正案，規(guī)范和限制個(gè)人信息持有者和處理者（政府部門、企業(yè)）的行為。韓國(guó)在2001年頒布《振興信息與通訊網(wǎng)絡(luò)的利用與數(shù)據(jù)保護(hù)法》，2011年頒布《個(gè)人信息保護(hù)法》，規(guī)定個(gè)人信息保護(hù)的基本原則、基準(zhǔn)，信息主體的權(quán)利保障，個(gè)人信息自決權(quán)的救濟(jì)問(wèn)題。

　　習(xí)近平總書記強(qiáng)調(diào)，互聯(lián)網(wǎng)企業(yè)要切實(shí)承擔(dān)起社會(huì)責(zé)任，保護(hù)用戶隱私，保障數(shù)據(jù)安全，維護(hù)網(wǎng)民權(quán)益。要切實(shí)保障國(guó)家數(shù)據(jù)安全，強(qiáng)化國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，明確加強(qiáng)對(duì)個(gè)人信息的保護(hù)，防止信息泄露、毀損、丟失?！蛾P(guān)于做好引導(dǎo)和規(guī)范共享經(jīng)濟(jì)健康良性發(fā)展有關(guān)工作的通知》（發(fā)改辦高技〔2018〕586號(hào)）明確提出保護(hù)個(gè)人信息安全，提高個(gè)人信息保護(hù)水平，防止信息泄露、損毀和丟失。2018年5月1日實(shí)施的GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》從國(guó)家標(biāo)準(zhǔn)層面，規(guī)范了個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個(gè)人信息非法收集、濫用、泄露等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益?？梢?jiàn)，防止信息泄露、保護(hù)數(shù)據(jù)安全已成為時(shí)代主題，是法定事項(xiàng)。

　　2.2 剩余信息保護(hù)的標(biāo)準(zhǔn)要求

　　《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC準(zhǔn)則）進(jìn)一步將殘余信息分成子集殘余信息保護(hù)（FDP_RIP.1.1）和完全殘余信息保護(hù)（FDP_RIP.2.1），要求“確保任何資源的任何殘余信息內(nèi)容，在資源分配或釋放時(shí)，對(duì)于所有客體都是不可再利用的[3]。”從安全功能來(lái)看，要求新產(chǎn)生的客體不能包含以前客體的信息。從安全機(jī)制來(lái)看，要求產(chǎn)品或系統(tǒng)具備刪除或釋放已刪除主體的信息的能力。

　　2008年頒布的GB/T 22239-2008 《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，剩余信息保護(hù)是三級(jí)以上的要求，包括兩條[4]：一是應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；二是應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。

　　GB/T 22239-2008分別針對(duì)主機(jī)安全和應(yīng)用安全提出了剩余信息保護(hù)要求，保護(hù)對(duì)象是鑒別信息、用戶信息，屬于CC準(zhǔn)則中“用戶數(shù)據(jù)”的范疇，具體內(nèi)容是系統(tǒng)內(nèi)的文件、目錄、相關(guān)進(jìn)程等；安全功能的提供者是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用軟件，操作的對(duì)象是用戶信息的存儲(chǔ)介質(zhì)，包括內(nèi)存和磁盤控件。兩者相結(jié)合，即用戶信息（鑒別信息、用戶文件、目錄）等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前應(yīng)該得到“完全清除”。

　　在GB/T 22239-2008的修訂版本中，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（征求意見(jiàn)稿）[5]的第1部分安全通用要求中，在第二級(jí)安全要求中增加了剩余信息保護(hù)的要求，應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。在第三級(jí)及第四級(jí)安全要求中對(duì)剩余信息保護(hù)要求：應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除；應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

　　3 剩余信息保護(hù)的對(duì)象

　　要對(duì)剩余信息進(jìn)行保護(hù)，首先要能識(shí)別剩余信息，以及剩余信息的邏輯載體與物理載體。剩余信息的邏輯載體主要是指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)等；剩余信息的物理載體則是各種類型的存儲(chǔ)介質(zhì)，主要包括機(jī)械磁盤和固態(tài)存儲(chǔ)設(shè)備。

　　3.1 剩余信息的邏輯載體

　　剩余信息的邏輯載體主要是指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)[6]，接下來(lái)具體介紹一下各種邏輯載體中的剩余信息類型。

　　3.1.1 操作系統(tǒng)

　　在操作系統(tǒng)層面，用戶信息主要包括：鑒別信息、用戶擁有的文件或目錄、用戶操作過(guò)程中產(chǎn)生的過(guò)程文件等。

　　鑒別信息：操作系統(tǒng)用戶的鑒別信息主要指用戶名和密碼。Windows操作系統(tǒng)通常保存在C：＼WINDOWS＼system32＼config目錄下的sam文件中；Linux操作系統(tǒng)一般保存在/etc/passwd（或者/etc/shadow）；AIX系統(tǒng)保存在/etc/security/passwd；HP-UX保存在/etc/passwd（或者/etc/shadow）。

　　文件或目錄：操作系統(tǒng)用戶的文件或目錄表現(xiàn)為兩種方式，一是系統(tǒng)管理員專門為其開(kāi)辟的空間，如用戶的根目錄，如Windows下的SystemDrive/Documents and Settings/用戶名，Unix下的/home/用戶名；二是散落在整個(gè)文件系統(tǒng)中，但以該用戶作為標(biāo)記的文件空間，比如用戶創(chuàng)建的，屬主是用戶的文件或目錄。

　　過(guò)程文件：操作系統(tǒng)用戶在使用過(guò)程中產(chǎn)生的信息，如Windows下的Temp文件、Cookies等，Unix下的.sh_history等，這是另一類的用戶信息。

　　3.1.2 數(shù)據(jù)庫(kù)系統(tǒng)

　　在數(shù)據(jù)庫(kù)系統(tǒng)層面，用戶信息主要包括：鑒別信息、數(shù)據(jù)表、數(shù)據(jù)文件等。例如，對(duì)Oracle數(shù)據(jù)庫(kù)，鑒別信息存放于DBA_USERS視圖的Password列中。如果采用口令文件驗(yàn)證，對(duì)于Oracle 10.2.0.1，鑒別信息保存在/oracle/app/product/10.2.0.1/dbs目錄下的Orapwsid文件（或者ORACLE_HOME/dbs/PWDsid.ora）中。數(shù)據(jù)文件保存在/oracle/app/oradata/目錄下，每個(gè)實(shí)例都有自己的數(shù)據(jù)文件，屬于dbf文件類型。

　　從本質(zhì)上來(lái)看，數(shù)據(jù)庫(kù)系統(tǒng)的用戶信息還是操作系統(tǒng)的文件，但不同的數(shù)據(jù)類型，由數(shù)據(jù)庫(kù)管理系統(tǒng)實(shí)現(xiàn)標(biāo)記、管理和分別存儲(chǔ)。

　　3.1.3 應(yīng)用軟件

　　對(duì)應(yīng)用軟件，用戶信息的形式較為多樣化。絕大部分是以數(shù)據(jù)庫(kù)記錄的方式存在，也有以文件方式獨(dú)立存在的。應(yīng)用軟件的用戶，有的就是獨(dú)立的數(shù)據(jù)庫(kù)系統(tǒng)用戶；有的不是獨(dú)立的數(shù)據(jù)庫(kù)系統(tǒng)用戶，而是由多個(gè)登錄到應(yīng)用軟件的用戶共同使用一個(gè)或幾個(gè)數(shù)據(jù)庫(kù)用戶登錄到數(shù)據(jù)庫(kù)。因此，對(duì)應(yīng)用軟件中用戶信息的標(biāo)記就相對(duì)復(fù)雜，也不可能由數(shù)據(jù)庫(kù)系統(tǒng)或操作系統(tǒng)獨(dú)立完成。

　　除了以上信息類型，剩余信息還包括系統(tǒng)中的敏感數(shù)據(jù)。

　　3.2 剩余信息的物理載體

　　剩余信息的物理載體是各種類型的存儲(chǔ)介質(zhì)，主要包括機(jī)械磁盤，固態(tài)存儲(chǔ)設(shè)備（如固態(tài)硬盤SSD、SD卡、TF卡、U盤）等。由于各種存儲(chǔ)介質(zhì)的存儲(chǔ)原理不同，對(duì)剩余信息的安全刪除，實(shí)現(xiàn)剩余信息的保護(hù)措施也不同?；跈C(jī)械磁盤和基于閃存的固態(tài)存儲(chǔ)系統(tǒng)的邏輯結(jié)構(gòu)圖如圖1所示，呈現(xiàn)多層次結(jié)構(gòu)[7]。

　　存儲(chǔ)系統(tǒng)的底層是實(shí)際存儲(chǔ)數(shù)據(jù)的物理介質(zhì)，例如磁盤或閃存存儲(chǔ)器。物理存儲(chǔ)介質(zhì)總是通過(guò)控制器訪問(wèn)?？刂破鞯幕竟δ苁菍⑽锢泶鎯?chǔ)介質(zhì)上的數(shù)據(jù)格式（例如，電壓）轉(zhuǎn)換成上層可理解的格式（例如，二進(jìn)制數(shù)值），并且提供一個(gè)標(biāo)準(zhǔn)化的，定義明確的硬件接口，例如ATA和SCSI接口，它允許從/向物理存儲(chǔ)介質(zhì)讀取/寫入數(shù)據(jù)。

　　機(jī)械磁盤采用數(shù)據(jù)原位更新，因此其控制器通常將邏輯塊地址映射到物理存儲(chǔ)介質(zhì)上的某個(gè)存儲(chǔ)位置。固態(tài)存儲(chǔ)設(shè)備采用非原位更新，通常通過(guò)閃存轉(zhuǎn)換層（Flash Translation Layer，F(xiàn)TL）或閃存專用文件系統(tǒng)（如YAFFS文件系統(tǒng)）進(jìn)行管理。設(shè)備驅(qū)動(dòng)程序以軟件形式，通過(guò)一個(gè)簡(jiǎn)單的通用接口來(lái)整合對(duì)不同類型硬件的訪問(wèn)。塊設(shè)備驅(qū)動(dòng)程序接口允許在邏輯地址中讀取和寫入塊，如塊設(shè)備、內(nèi)存技術(shù)設(shè)備（MTD）、及建立在MTD上的未分類的塊圖像（UBI）設(shè)備驅(qū)動(dòng)。

　　文件系統(tǒng)負(fù)責(zé)通過(guò)設(shè)備驅(qū)動(dòng)程序提供的接口在物理存儲(chǔ)介質(zhì)上的可用塊之間組織邏輯數(shù)據(jù)序列。包括建立在塊設(shè)備之上的塊文件系統(tǒng)，例如FAT32、EXT4和NTFS等；構(gòu)建在MTD設(shè)備之上的閃存文件系統(tǒng)，例如YAFFS；建立在UBI設(shè)備之上的UBI文件系統(tǒng)。存儲(chǔ)系統(tǒng)的最頂層是應(yīng)用層，為用戶提供一個(gè)數(shù)據(jù)操作接口。

　　4 剩余信息保護(hù)面臨的挑戰(zhàn)

　　在GB/T 22239-2008中剩余信息保護(hù)安全項(xiàng)主要體現(xiàn)在主機(jī)安全方面和應(yīng)用安全方面。具體的要求應(yīng)保證用戶（操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶）鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中，應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除[4]。從剩余信息保護(hù)要求項(xiàng)的描述來(lái)看，該要求項(xiàng)要保護(hù)的“剩余信息”主要是內(nèi)存或者硬盤的存儲(chǔ)空間，要保護(hù)的信息是用戶鑒別信息，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。

　　4.1 內(nèi)存中的剩余信息保護(hù)

　　應(yīng)用程序?qū)τ脩舻纳矸蓁b別流程一般情況下是這樣的，應(yīng)用程序會(huì)先將用戶輸入的用戶名和口令存儲(chǔ)在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用自動(dòng)腳本對(duì)應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會(huì)要求用戶輸入校驗(yàn)碼，并優(yōu)先對(duì)校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過(guò)后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫(kù)中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回“用戶名不存在”（或者較模糊地返回“用戶名不存在或者密碼錯(cuò)誤”）。如果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種雜湊算法（通常是MD5算法）對(duì)用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫(kù)用戶身份信息表中存儲(chǔ)的密碼哈希值進(jìn)行比較。這里需要說(shuō)明的是，數(shù)據(jù)庫(kù)中一般不明文存儲(chǔ)用戶的密碼，而是存儲(chǔ)密碼的MD5值。通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會(huì)對(duì)其使用過(guò)的內(nèi)存進(jìn)行清理的。這些存儲(chǔ)著信息的內(nèi)存在程序的身份認(rèn)證函數(shù)（或者方法）退出后，仍然存儲(chǔ)在內(nèi)存中，如果攻擊者對(duì)內(nèi)存進(jìn)行掃描就會(huì)得到存儲(chǔ)在其中的信息。

　　更嚴(yán)重的情況是在涉及到密碼運(yùn)算過(guò)程中，由于內(nèi)存中的剩余信息的不及時(shí)清除帶來(lái)的密鑰數(shù)據(jù)泄露。首先，作為計(jì)算機(jī)系統(tǒng)進(jìn)程中的內(nèi)存數(shù)據(jù)，密鑰也面臨各類系統(tǒng)攻擊和安全威脅，包括Cold-Boot攻擊[8]、DMA攻擊[9-11]、計(jì)算機(jī)系統(tǒng)功能導(dǎo)致的數(shù)據(jù)擴(kuò)散和軟件漏洞導(dǎo)致的內(nèi)存信息泄露[12，13]（例如，OpenSSL心臟出血）。攻擊者可以通過(guò)各種各樣的攻擊獲取密鑰。因此，針對(duì)計(jì)算機(jī)系統(tǒng)中的內(nèi)存信息泄露漏洞和攻擊，各種原理不同的密鑰安全方案近幾年也分別被提出，包括基于寄存器的密鑰安全方案[14]，完全在寄存器中完成密碼計(jì)算，從而抵抗冷啟動(dòng)攻擊、提高內(nèi)存信息泄露攻擊難度；基于TrustZone機(jī)制的密鑰安全方案[15]，利用ARM TrustZone機(jī)制，構(gòu)建隔離的安全計(jì)算環(huán)境。2014年，Intel公司推出SGX機(jī)制，實(shí)現(xiàn)了由CPU硬件創(chuàng)建的隔離計(jì)算環(huán)境，在SGX執(zhí)行環(huán)境中的數(shù)據(jù)，只在Cache中出現(xiàn)、交換到內(nèi)存芯片時(shí)會(huì)自動(dòng)由CPU加密，可以抵抗惡意操作系統(tǒng)以及惡意進(jìn)程讀取敏感數(shù)據(jù)、篡改可執(zhí)行代碼。Intel SGX機(jī)制利用密碼技術(shù)在CPU中創(chuàng)建安全的計(jì)算環(huán)境，也可以在SGX執(zhí)行環(huán)境中實(shí)現(xiàn)密碼算法、由SGX機(jī)制來(lái)保護(hù)密鑰數(shù)據(jù)。但是，近年來(lái)的最新研究成果表明，SGX執(zhí)行環(huán)境仍然面臨著多種側(cè)信道攻擊獲取密鑰等敏感數(shù)據(jù)、控制程序執(zhí)行流程等安全威脅。2018年，Meltdown漏洞和Spectre漏洞的發(fā)現(xiàn)，引起了網(wǎng)絡(luò)空間安全各界的極大關(guān)注。該漏洞影響了不同廠商、不同型號(hào)的大量CPU，使得攻擊者非授權(quán)地讀取數(shù)據(jù)（包括密鑰等敏感數(shù)據(jù)），也可以突破SGX機(jī)制的保護(hù)。這一事件顯示，安全漏洞的發(fā)現(xiàn)會(huì)逐漸從軟件推進(jìn)到硬件，將來(lái)會(huì)有更多的硬件相關(guān)漏洞被發(fā)現(xiàn)。

　　4.2 硬盤上的剩余信息保護(hù)

　　在物理介質(zhì)層，由于沒(méi)有上層文件系統(tǒng)的語(yǔ)義信息，只能通過(guò)消磁或者物理破壞的辦法將數(shù)據(jù)銷毀。在控制器層，可以通過(guò)SCSI和ATA提供的安全擦除命令，擦除存儲(chǔ)設(shè)備上的所有數(shù)據(jù)。以上兩種方法，顯然對(duì)連續(xù)運(yùn)行的操作系統(tǒng)是不可行的。

　　在文件系統(tǒng)層，傳統(tǒng)的塊設(shè)備文件系統(tǒng)，如FAT32、NTFS、EXT2/3/4等，都是通過(guò)修改元數(shù)據(jù)來(lái)指示數(shù)據(jù)被“刪除”。如在FAT32文件系統(tǒng)中，只是通過(guò)將被刪除文件的目錄項(xiàng)的第一個(gè)字節(jié)改為“0xE5”來(lái)指示文件被刪除，而真正的目標(biāo)刪除文件數(shù)據(jù)仍然保存在存儲(chǔ)介質(zhì)中。因此，常規(guī)的文件系統(tǒng)并不支持剩余信息的保護(hù)。

　　在應(yīng)用程序?qū)?，程序只能與兼容可移植操作系統(tǒng)接口（Posix）的文件系統(tǒng)進(jìn)行通信。應(yīng)用層需要通過(guò)文件系統(tǒng)層、驅(qū)動(dòng)器層、控制器層的轉(zhuǎn)換，才能對(duì)最底層的物理介質(zhì)進(jìn)行訪問(wèn)，所以在應(yīng)用層中實(shí)現(xiàn)數(shù)據(jù)的安全刪除是最困難的，而且其達(dá)到的安全程度是最低的[7]，例如一些文件覆蓋工具（Srm 和Wipe等）。

　　目前，主要有機(jī)械磁盤和固態(tài)硬盤兩種存儲(chǔ)設(shè)備。機(jī)械磁盤基于磁性介質(zhì)，采用數(shù)據(jù)的原位更新，也就是說(shuō)，當(dāng)文件被更新（或刪除）時(shí)，舊版本文件可以被新文件（或隨機(jī)信息）替換。固態(tài)存儲(chǔ)設(shè)備由于寫數(shù)據(jù)和擦除數(shù)據(jù)的最小單位不一樣，寫入數(shù)據(jù)之前必須執(zhí)行刪除操作。因此，固態(tài)存儲(chǔ)設(shè)備采用數(shù)據(jù)非原位更新，也就是說(shuō)，更新數(shù)據(jù)時(shí)，不對(duì)原數(shù)據(jù)進(jìn)行修改，而是直接在新位置寫入新數(shù)據(jù)。數(shù)據(jù)非原位更新將會(huì)導(dǎo)致在固態(tài)存儲(chǔ)設(shè)備中存在多個(gè)版本的剩余信息，有研究表明，針對(duì)機(jī)械磁盤的剩余信息保護(hù)措施（比如用隨機(jī)數(shù)重寫、數(shù)據(jù)覆蓋）對(duì)固態(tài)存儲(chǔ)設(shè)備都是不適用的[16]。

　　5 剩余信息保護(hù)的解決方案

　　無(wú)論是內(nèi)存還是硬盤的存儲(chǔ)空間，剩余信息保護(hù)的重點(diǎn)都是：在釋放內(nèi)存前，將存儲(chǔ)的剩余信息刪除，也即將存儲(chǔ)剩余信息的空間清空或者寫入隨機(jī)的無(wú)關(guān)信息。

　　5.1 內(nèi)存中剩余信息保護(hù)的解決方案

　　針對(duì)應(yīng)用程序在內(nèi)存中遺留的信息，為了達(dá)到對(duì)剩余信息進(jìn)行保護(hù)的目的，需要身份認(rèn)證函數(shù)在使用完用戶名和密碼信息后，對(duì)曾經(jīng)存儲(chǔ)過(guò)這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無(wú)關(guān)（或者垃圾）信息寫入該內(nèi)存空間，也可以對(duì)該內(nèi)存空間進(jìn)行清零操作。

　　針對(duì)密鑰數(shù)據(jù)泄露產(chǎn)生的剩余信息保護(hù)問(wèn)題，關(guān)鍵在于構(gòu)建隔離的安全計(jì)算環(huán)境。安全計(jì)算環(huán)境的構(gòu)建依賴加密算法，更依賴計(jì)算環(huán)境物理硬件的安全性。

　　通過(guò)以上介紹我們可以看到，在內(nèi)存中實(shí)現(xiàn)剩余信息的保護(hù)的任務(wù)是艱巨的，這需要在應(yīng)用程序設(shè)計(jì)、開(kāi)發(fā)與使用的各個(gè)階段進(jìn)行有效的數(shù)據(jù)保護(hù)，而且還要針對(duì)各種軟件、硬件安全漏洞的攻擊提供有效的預(yù)防措施，全方位地對(duì)剩余信息進(jìn)行保護(hù)。

　　5.2 硬盤中剩余信息保護(hù)的解決方案

　　對(duì)于硬盤上的剩余信息的保護(hù)，無(wú)論是機(jī)械磁盤還是固態(tài)硬盤，最有效的方法就是通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密，通過(guò)刪除對(duì)應(yīng)密鑰來(lái)對(duì)剩余信息進(jìn)行保護(hù)。但是，前提是系統(tǒng)支持加密操作，且加密操作不會(huì)對(duì)系統(tǒng)帶來(lái)大的開(kāi)銷，而且需要與內(nèi)存中的剩余信息保護(hù)技術(shù)相結(jié)合，實(shí)現(xiàn)真正的剩余信息保護(hù)技術(shù)體系。

　　6 等級(jí)測(cè)評(píng)中剩余信息保護(hù)的檢查方法

　　在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，對(duì)實(shí)際的應(yīng)用系統(tǒng)進(jìn)行剩余信息保護(hù)的檢測(cè)，主要從訪談、檢查和測(cè)試三部分分別進(jìn)行[6]。

　　6.1 訪談

　　詢問(wèn)應(yīng)用系統(tǒng)開(kāi)發(fā)人員，是否對(duì)應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)。首先，詢問(wèn)應(yīng)用系統(tǒng)開(kāi)發(fā)人員對(duì)剩余信息的判斷，以及在內(nèi)存、硬盤中剩余信息保護(hù)的具體措施，如果開(kāi)發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對(duì)剩余信息進(jìn)行保護(hù)。

　　6.2 檢查

　　查看源代碼，重點(diǎn)監(jiān)測(cè)在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理，比如內(nèi)存空間回收、清零；存儲(chǔ)空間是否加密并刪除密鑰，是否使用特定的剩余數(shù)據(jù)清除工具。檢查應(yīng)用系統(tǒng)操作手冊(cè)中是否有相關(guān)的描述。

　　6.3 測(cè)試

　　為了確認(rèn)內(nèi)存中是否有剩余信息，可以采用內(nèi)存掃描軟件（或者內(nèi)存監(jiān)視軟件）進(jìn)行掃描。對(duì)于存儲(chǔ)在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對(duì)比恢復(fù)文件和原文件。

　　7 結(jié)束語(yǔ)

　　剩余信息保護(hù)在等級(jí)保護(hù)測(cè)試中的重要性逐漸凸顯，這是網(wǎng)絡(luò)安全，尤其是數(shù)據(jù)安全逐漸被人們所重視的必然要求。但是從國(guó)內(nèi)外標(biāo)準(zhǔn)和信息系統(tǒng)實(shí)踐來(lái)看，等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)剩余信息保護(hù)的“完全清除”的實(shí)現(xiàn)存在一定的技術(shù)難度。就目前技術(shù)而言，在內(nèi)存中實(shí)現(xiàn)敏感數(shù)據(jù)的快速消除缺乏驗(yàn)證技術(shù)，且會(huì)對(duì)系統(tǒng)性能帶來(lái)一定影響；在機(jī)械磁盤、固態(tài)硬盤等存儲(chǔ)設(shè)備中實(shí)現(xiàn)“消磁”“覆蓋”等要求，對(duì)絕大部分連續(xù)運(yùn)行的信息系統(tǒng)而言也是不現(xiàn)實(shí)的。在應(yīng)用層面，對(duì)用戶數(shù)據(jù)當(dāng)其不再使用時(shí)，應(yīng)該以“標(biāo)記后另存”方式實(shí)現(xiàn)，既滿足系統(tǒng)的安全要求，又符合對(duì)用戶交易記錄的保存要求。對(duì)鑒別數(shù)據(jù)，無(wú)論是管理員還是用戶，做到當(dāng)其不再擔(dān)任這個(gè)角色或不再使用時(shí)，以刪除相應(yīng)的用戶注冊(cè)、同時(shí)修改訪問(wèn)控制策略更有實(shí)際意義。

　　參考文獻(xiàn)

　　[1] Book T O. Department of Defense Trusted Computer System Evaluation Criteria[J]. DoD 5200.28-STD， 1985.

　　[2] e安全.歐盟《通用數(shù)據(jù)保護(hù)條例》合規(guī)指南[OL] https：//www.easyaq.com/news/2092730864.shtml， May 29，2018.

　　[3] GB/T 18336-2008，信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則[S].

　　[4] GB/T 22239—2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

　　[5] 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（征求意見(jiàn)稿）[S].

　　[6] 應(yīng)力.剩余信息保護(hù)——理解與應(yīng)用[J].Industry Express，2012：37-40.

　　[7] Reardon J ， Basin D ， Capkun S . SoK： Secure Data Deletion[C]. Security & Privacy， IEEE， 2013： 301-315.

　　[8] J. Alex Halderman， Seth D. Schoen， Nadia Heninger， William Clarkson， William Paul， Joseph A. Calandrino， Ariel J. Feldman， Jacob Appelbaum， and Edward W. Felten. Lest We Remember： Cold Boot Attacks on Encryption Keys[C]. Communications of the ACM - Security in the Browser， 2009，52（5）：91-98.

　　[9] Colp P， Zhang J， Gleeson J， et al. Protecting Data on Smartphones and Tablets from Memory Attacks[J]. architectural support for programming languages and operating systems， 2015， 43（1）： 177-189.

　　[10] Stewin P， Bystrov I. Understanding DMA malware[C].International conference on detection of intrusions and malware and vulnerability assessment， 2012： 21-41.

　　[11] Blass E， Robertson W K. TRESOR-HUNT： attacking CPU-bound encryption[C]. annual computer security applications conference， 2012： 71-78.

　　[12] Harrison K ， Xu S X S . Protecting Cryptographic Keys from Memory Disclosure Attacks[C]. International Conference on Dependable Systems & Networks， IEEE， 2007：137-143.

　　[13] J. Chow， B. Pfaff， T. Garfinkel， K. Christopher， M. Rosenblum. Understanding Data Lifetime via Whole System Simulation[J]. Proc of Usenix Security Symposium， 2004，l3：321-336.

　　[14] Muller T， Freiling F C， Dewald A， et al. TRESOR runs encryption securely outside RAM[C]. usenix security symposium， 2011： 17-17.

　　[15] Zhang N， Sun K， Lou W， et al. CaSE： Cache-Assisted Secure Execution on ARM Processors[C]. ieee symposium on security and privacy， 2016： 72-90.

　　[16] Wei M Y， Grupp L M， Spada F E， et al. Reliably erasing data from flash-based solid state drives[C]. file and storage technologies， 2011： 8-8.

　　作者簡(jiǎn)介：

　　徐麗娟（1988-），女，漢族，內(nèi)蒙古自治區(qū)呼和浩特人，北京郵電大學(xué)，碩士，中國(guó)軟件評(píng)測(cè)中心；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全。

　　李杺恬（1988-），女，蒙古族，吉林白城人，北京理工大學(xué)，碩士，中國(guó)軟件評(píng)測(cè)中心；主要研究方向和關(guān)注領(lǐng)域：關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)關(guān)鍵設(shè)備安全。

　　唐剛（1981-），男，漢族，北京人，北京航空航天大學(xué)，碩士，中國(guó)軟件評(píng)測(cè)中心，高級(jí)工程師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全檢測(cè)與評(píng)估。

　　徐麗娟　李杺恬　唐剛

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……