數(shù)據(jù)安全之剩余信息保護(hù)

徐麗娟　李杺恬　唐剛

摘? ?要：隨著信息化進(jìn)程的加快，全球信息量呈爆炸式增長。隨之而來的數(shù)據(jù)安全問題也日益增多，侵犯個(gè)人隱私、竊取個(gè)人信息等違法犯罪行為時(shí)有發(fā)生，數(shù)據(jù)安全問題日趨嚴(yán)重，已經(jīng)成為影響國家公共安全、社會(huì)安全的突出問題。數(shù)據(jù)安全中的一個(gè)重要問題是對(duì)剩余信息的保護(hù)，即對(duì)用戶使用過的信息，當(dāng)該用戶不再使用或不再存在時(shí)，應(yīng)當(dāng)采取一定的措施進(jìn)行保護(hù)，防止剩余信息造成用戶隱私的泄露。論文從標(biāo)準(zhǔn)要求、保護(hù)對(duì)象、在等級(jí)保護(hù)測評(píng)中面臨的挑戰(zhàn)、檢測方法等多方面對(duì)剩余信息保護(hù)進(jìn)行了分析，為等級(jí)保護(hù)測評(píng)中的剩余信息保護(hù)測試提供了全方位的技術(shù)支撐。

關(guān)鍵詞：網(wǎng)絡(luò)安全;數(shù)據(jù)安全;等級(jí)保護(hù);剩余信息保護(hù)

中圖分類號(hào)：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： With the acceleration of the information process， the global information volume has exploded. The importance of ensuing data security issues is also increasing. Criminal violations such as personal privacy and theft of personal information have occurred from time to time. Data security issues have become increasingly serious and have become a prominent problem affecting national public security and social security. An important issue in data security is the protection of the residual information， that is， the information used by the user. When the user no longer uses or no longer exists， certain measures should be taken to protect the user from leaking the privacy of the remaining information. This paper analyzes the residual information protection from the requirements of standards， protection objects， challenges in the classified protection assessment， and detection methods， and provides a full range of technical support for the residual information testing in the classified protection assessment.

Key words： cybersecurity; data security; classified protection; residual information protection

1 引言

數(shù)據(jù)安全是網(wǎng)絡(luò)安全中的一個(gè)重要方向。數(shù)據(jù)安全中一個(gè)重要的問題就是對(duì)剩余信息（Residual Information）保護(hù)，也就是說對(duì)用戶使用過的信息，當(dāng)該用戶不再使用或不再存在時(shí)，應(yīng)當(dāng)采取一定的措施進(jìn)行保護(hù)。在GB/T 22239-2008 《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，剩余信息保護(hù)是對(duì)三級(jí)以上的系統(tǒng)的要求，而在GB/T 22239-2008的修訂版本中，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（征求意見稿）（20170813版）中，剩余信息保護(hù)變?yōu)閷?duì)二級(jí)以上的系統(tǒng)的要求，可見剩余信息保護(hù)的重要性逐漸被得到重視。

本文從剩余信息保護(hù)的標(biāo)準(zhǔn)要求、剩余信息保護(hù)的保護(hù)對(duì)象、剩余信息保護(hù)在等級(jí)保護(hù)測評(píng)中面臨的挑戰(zhàn)以及剩余信息保護(hù)檢測方法等方面進(jìn)行介紹，為等級(jí)保護(hù)測評(píng)中剩余信息保護(hù)測試提供技術(shù)支撐。

2 剩余信息保護(hù)的標(biāo)準(zhǔn)要求

剩余信息保護(hù)的概念來源于美國國防部的《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（TCSEC，1985），在該準(zhǔn)則的“客體重用”一章中對(duì)剩余信息提出了保護(hù)要求[1]：“……允許分配給其他的客體，但必須確保重用的客體不能從以前用戶所使用的存儲(chǔ)介質(zhì)（磁盤或內(nèi)存）中恢復(fù)信息。”隨著數(shù)據(jù)安全的重要性被世界各國所重視，各國相繼出臺(tái)了針對(duì)數(shù)據(jù)安全保護(hù)的法律法規(guī)，尤其對(duì)剩余信息保護(hù)提出了諸多標(biāo)準(zhǔn)要求。

2.1 各國針對(duì)數(shù)據(jù)安全保護(hù)的法律法規(guī)

針對(duì)數(shù)據(jù)安全各國均出臺(tái)了法律法規(guī)進(jìn)行約束，2018年5月25日，歐盟正式施行新的網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)條例《通用數(shù)據(jù)保護(hù)條例》[2]（General Data Protection Regulation，GDPR），嚴(yán)格限制企業(yè)對(duì)個(gè)人數(shù)據(jù)的使用權(quán)，處罰力度空前加強(qiáng)，全方位地保護(hù)上網(wǎng)者的數(shù)據(jù)安全，要求數(shù)據(jù)主體在不希望自身數(shù)據(jù)被利用且無合法必要理由保留時(shí)，有權(quán)要求刪除該數(shù)據(jù)，這實(shí)質(zhì)上就是對(duì)“剩余信息”提出的保護(hù)要求。Facebook、微軟、Twitter、Apple 等公司紛紛修改其在歐盟境內(nèi)對(duì)用戶個(gè)人數(shù)據(jù)的處理方式。微信也于日前發(fā)布聲明，如歐盟地區(qū)微信客戶有需求，微信平臺(tái)公眾號(hào)運(yùn)營者會(huì)在三周內(nèi)，從服務(wù)器中刪除該用戶相關(guān)的所有信息，包括用戶昵稱、頭像、OpenID及與該用戶關(guān)聯(lián)的服務(wù)信息。

日本于2003年頒布《個(gè)人信息保護(hù)法》，2015年頒布實(shí)施《個(gè)人信息保護(hù)法》修正案，規(guī)范和限制個(gè)人信息持有者和處理者（政府部門、企業(yè)）的行為。韓國在2001年頒布《振興信息與通訊網(wǎng)絡(luò)的利用與數(shù)據(jù)保護(hù)法》，2011年頒布《個(gè)人信息保護(hù)法》，規(guī)定個(gè)人信息保護(hù)的基本原則、基準(zhǔn)，信息主體的權(quán)利保障，個(gè)人信息自決權(quán)的救濟(jì)問題。

習(xí)近平總書記強(qiáng)調(diào)，互聯(lián)網(wǎng)企業(yè)要切實(shí)承擔(dān)起社會(huì)責(zé)任，保護(hù)用戶隱私，保障數(shù)據(jù)安全，維護(hù)網(wǎng)民權(quán)益。要切實(shí)保障國家數(shù)據(jù)安全，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力?！吨腥A人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，明確加強(qiáng)對(duì)個(gè)人信息的保護(hù)，防止信息泄露、毀損、丟失。《關(guān)于做好引導(dǎo)和規(guī)范共享經(jīng)濟(jì)健康良性發(fā)展有關(guān)工作的通知》（發(fā)改辦高技〔2018〕586號(hào)）明確提出保護(hù)個(gè)人信息安全，提高個(gè)人信息保護(hù)水平，防止信息泄露、損毀和丟失。2018年5月1日實(shí)施的GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》從國家標(biāo)準(zhǔn)層面，規(guī)范了個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個(gè)人信息非法收集、濫用、泄露等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益?？梢?，防止信息泄露、保護(hù)數(shù)據(jù)安全已成為時(shí)代主題，是法定事項(xiàng)。

2.2 剩余信息保護(hù)的標(biāo)準(zhǔn)要求

《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC準(zhǔn)則）進(jìn)一步將殘余信息分成子集殘余信息保護(hù)（FDP_RIP.1.1）和完全殘余信息保護(hù)（FDP_RIP.2.1），要求“確保任何資源的任何殘余信息內(nèi)容，在資源分配或釋放時(shí)，對(duì)于所有客體都是不可再利用的[3]?！睆陌踩δ軄砜矗笮庐a(chǎn)生的客體不能包含以前客體的信息。從安全機(jī)制來看，要求產(chǎn)品或系統(tǒng)具備刪除或釋放已刪除主體的信息的能力。

2008年頒布的GB/T 22239-2008 《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，剩余信息保護(hù)是三級(jí)以上的要求，包括兩條[4]：一是應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中;二是應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。

GB/T 22239-2008分別針對(duì)主機(jī)安全和應(yīng)用安全提出了剩余信息保護(hù)要求，保護(hù)對(duì)象是鑒別信息、用戶信息，屬于CC準(zhǔn)則中“用戶數(shù)據(jù)”的范疇，具體內(nèi)容是系統(tǒng)內(nèi)的文件、目錄、相關(guān)進(jìn)程等;安全功能的提供者是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件，操作的對(duì)象是用戶信息的存儲(chǔ)介質(zhì)，包括內(nèi)存和磁盤控件。兩者相結(jié)合，即用戶信息（鑒別信息、用戶文件、目錄）等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前應(yīng)該得到“完全清除”。

在GB/T 22239-2008的修訂版本中，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（征求意見稿）[5]的第1部分安全通用要求中，在第二級(jí)安全要求中增加了剩余信息保護(hù)的要求，應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。在第三級(jí)及第四級(jí)安全要求中對(duì)剩余信息保護(hù)要求：應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除;應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

3 剩余信息保護(hù)的對(duì)象

要對(duì)剩余信息進(jìn)行保護(hù)，首先要能識(shí)別剩余信息，以及剩余信息的邏輯載體與物理載體。剩余信息的邏輯載體主要是指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等;剩余信息的物理載體則是各種類型的存儲(chǔ)介質(zhì)，主要包括機(jī)械磁盤和固態(tài)存儲(chǔ)設(shè)備。

3.1 剩余信息的邏輯載體

剩余信息的邏輯載體主要是指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)[6]，接下來具體介紹一下各種邏輯載體中的剩余信息類型。

3.1.1 操作系統(tǒng)

在操作系統(tǒng)層面，用戶信息主要包括：鑒別信息、用戶擁有的文件或目錄、用戶操作過程中產(chǎn)生的過程文件等。

鑒別信息：操作系統(tǒng)用戶的鑒別信息主要指用戶名和密碼。Windows操作系統(tǒng)通常保存在C：＼WINDOWS＼system32＼config目錄下的sam文件中;Linux操作系統(tǒng)一般保存在/etc/passwd（或者/etc/shadow）;AIX系統(tǒng)保存在/etc/security/passwd;HP-UX保存在/etc/passwd（或者/etc/shadow）。

文件或目錄：操作系統(tǒng)用戶的文件或目錄表現(xiàn)為兩種方式，一是系統(tǒng)管理員專門為其開辟的空間，如用戶的根目錄，如Windows下的SystemDrive/Documents and Settings/用戶名，Unix下的/home/用戶名;二是散落在整個(gè)文件系統(tǒng)中，但以該用戶作為標(biāo)記的文件空間，比如用戶創(chuàng)建的，屬主是用戶的文件或目錄。

過程文件：操作系統(tǒng)用戶在使用過程中產(chǎn)生的信息，如Windows下的Temp文件、Cookies等，Unix下的.sh_history等，這是另一類的用戶信息。

3.1.2 數(shù)據(jù)庫系統(tǒng)

在數(shù)據(jù)庫系統(tǒng)層面，用戶信息主要包括：鑒別信息、數(shù)據(jù)表、數(shù)據(jù)文件等。例如，對(duì)Oracle數(shù)據(jù)庫，鑒別信息存放于DBA_USERS視圖的Password列中。如果采用口令文件驗(yàn)證，對(duì)于Oracle 10.2.0.1，鑒別信息保存在/oracle/app/product/10.2.0.1/dbs目錄下的Orapwsid文件（或者ORACLE_HOME/dbs/PWDsid.ora）中。數(shù)據(jù)文件保存在/oracle/app/oradata/目錄下，每個(gè)實(shí)例都有自己的數(shù)據(jù)文件，屬于dbf文件類型。

從本質(zhì)上來看，數(shù)據(jù)庫系統(tǒng)的用戶信息還是操作系統(tǒng)的文件，但不同的數(shù)據(jù)類型，由數(shù)據(jù)庫管理系統(tǒng)實(shí)現(xiàn)標(biāo)記、管理和分別存儲(chǔ)。

3.1.3 應(yīng)用軟件

對(duì)應(yīng)用軟件，用戶信息的形式較為多樣化。絕大部分是以數(shù)據(jù)庫記錄的方式存在，也有以文件方式獨(dú)立存在的。應(yīng)用軟件的用戶，有的就是獨(dú)立的數(shù)據(jù)庫系統(tǒng)用戶;有的不是獨(dú)立的數(shù)據(jù)庫系統(tǒng)用戶，而是由多個(gè)登錄到應(yīng)用軟件的用戶共同使用一個(gè)或幾個(gè)數(shù)據(jù)庫用戶登錄到數(shù)據(jù)庫。因此，對(duì)應(yīng)用軟件中用戶信息的標(biāo)記就相對(duì)復(fù)雜，也不可能由數(shù)據(jù)庫系統(tǒng)或操作系統(tǒng)獨(dú)立完成。

除了以上信息類型，剩余信息還包括系統(tǒng)中的敏感數(shù)據(jù)。

3.2 剩余信息的物理載體

剩余信息的物理載體是各種類型的存儲(chǔ)介質(zhì)，主要包括機(jī)械磁盤，固態(tài)存儲(chǔ)設(shè)備（如固態(tài)硬盤SSD、SD卡、TF卡、U盤）等。由于各種存儲(chǔ)介質(zhì)的存儲(chǔ)原理不同，對(duì)剩余信息的安全刪除，實(shí)現(xiàn)剩余信息的保護(hù)措施也不同?；跈C(jī)械磁盤和基于閃存的固態(tài)存儲(chǔ)系統(tǒng)的邏輯結(jié)構(gòu)圖如圖1所示，呈現(xiàn)多層次結(jié)構(gòu)[7]。

存儲(chǔ)系統(tǒng)的底層是實(shí)際存儲(chǔ)數(shù)據(jù)的物理介質(zhì)，例如磁盤或閃存存儲(chǔ)器。物理存儲(chǔ)介質(zhì)總是通過控制器訪問?？刂破鞯幕竟δ苁菍⑽锢泶鎯?chǔ)介質(zhì)上的數(shù)據(jù)格式（例如，電壓）轉(zhuǎn)換成上層可理解的格式（例如，二進(jìn)制數(shù)值），并且提供一個(gè)標(biāo)準(zhǔn)化的，定義明確的硬件接口，例如ATA和SCSI接口，它允許從/向物理存儲(chǔ)介質(zhì)讀取/寫入數(shù)據(jù)。

機(jī)械磁盤采用數(shù)據(jù)原位更新，因此其控制器通常將邏輯塊地址映射到物理存儲(chǔ)介質(zhì)上的某個(gè)存儲(chǔ)位置。固態(tài)存儲(chǔ)設(shè)備采用非原位更新，通常通過閃存轉(zhuǎn)換層（Flash Translation Layer，F(xiàn)TL）或閃存專用文件系統(tǒng)（如YAFFS文件系統(tǒng)）進(jìn)行管理。設(shè)備驅(qū)動(dòng)程序以軟件形式，通過一個(gè)簡單的通用接口來整合對(duì)不同類型硬件的訪問。塊設(shè)備驅(qū)動(dòng)程序接口允許在邏輯地址中讀取和寫入塊，如塊設(shè)備、內(nèi)存技術(shù)設(shè)備（MTD）、及建立在MTD上的未分類的塊圖像（UBI）設(shè)備驅(qū)動(dòng)。

文件系統(tǒng)負(fù)責(zé)通過設(shè)備驅(qū)動(dòng)程序提供的接口在物理存儲(chǔ)介質(zhì)上的可用塊之間組織邏輯數(shù)據(jù)序列。包括建立在塊設(shè)備之上的塊文件系統(tǒng)，例如FAT32、EXT4和NTFS等;構(gòu)建在MTD設(shè)備之上的閃存文件系統(tǒng)，例如YAFFS;建立在UBI設(shè)備之上的UBI文件系統(tǒng)。存儲(chǔ)系統(tǒng)的最頂層是應(yīng)用層，為用戶提供一個(gè)數(shù)據(jù)操作接口。

4 剩余信息保護(hù)面臨的挑戰(zhàn)

在GB/T 22239-2008中剩余信息保護(hù)安全項(xiàng)主要體現(xiàn)在主機(jī)安全方面和應(yīng)用安全方面。具體的要求應(yīng)保證用戶（操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶）鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中，應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除[4]。從剩余信息保護(hù)要求項(xiàng)的描述來看，該要求項(xiàng)要保護(hù)的“剩余信息”主要是內(nèi)存或者硬盤的存儲(chǔ)空間，要保護(hù)的信息是用戶鑒別信息，要保護(hù)的時(shí)間是被釋放或重新分配給其他用戶后。

4.1 內(nèi)存中的剩余信息保護(hù)

應(yīng)用程序?qū)τ脩舻纳矸蓁b別流程一般情況下是這樣的，應(yīng)用程序會(huì)先將用戶輸入的用戶名和口令存儲(chǔ)在兩個(gè)字符串類型（也可能是數(shù)組等）變量中。通常情況下，為了防止攻擊者采用自動(dòng)腳本對(duì)應(yīng)用程序進(jìn)行攻擊，應(yīng)用系統(tǒng)會(huì)要求用戶輸入校驗(yàn)碼，并優(yōu)先對(duì)校驗(yàn)碼進(jìn)行驗(yàn)證。如果用戶輸入的校驗(yàn)碼錯(cuò)誤，應(yīng)用系統(tǒng)應(yīng)要求用戶重新輸入校驗(yàn)碼。在校驗(yàn)碼驗(yàn)證通過后，應(yīng)用系統(tǒng)應(yīng)從數(shù)據(jù)庫中讀取用戶身份信息表，并在其中查找是否存在用戶輸入的用戶名。如果未查找到，則應(yīng)用系統(tǒng)應(yīng)返回“用戶名不存在”（或者較模糊地返回“用戶名不存在或者密碼錯(cuò)誤”）。如果在用戶身份信息表中找到用戶名，應(yīng)用程序一般應(yīng)采用一種雜湊算法（通常是MD5算法）對(duì)用戶輸入的密碼進(jìn)行運(yùn)算得到其哈希值，并與數(shù)據(jù)庫用戶身份信息表中存儲(chǔ)的密碼哈希值進(jìn)行比較。這里需要說明的是，數(shù)據(jù)庫中一般不明文存儲(chǔ)用戶的密碼，而是存儲(chǔ)密碼的MD5值。通常情況下，應(yīng)用系統(tǒng)在使用完內(nèi)存中信息后，是不會(huì)對(duì)其使用過的內(nèi)存進(jìn)行清理的。這些存儲(chǔ)著信息的內(nèi)存在程序的身份認(rèn)證函數(shù)（或者方法）退出后，仍然存儲(chǔ)在內(nèi)存中，如果攻擊者對(duì)內(nèi)存進(jìn)行掃描就會(huì)得到存儲(chǔ)在其中的信息。

更嚴(yán)重的情況是在涉及到密碼運(yùn)算過程中，由于內(nèi)存中的剩余信息的不及時(shí)清除帶來的密鑰數(shù)據(jù)泄露。首先，作為計(jì)算機(jī)系統(tǒng)進(jìn)程中的內(nèi)存數(shù)據(jù)，密鑰也面臨各類系統(tǒng)攻擊和安全威脅，包括Cold-Boot攻擊[8]、DMA攻擊[9-11]、計(jì)算機(jī)系統(tǒng)功能導(dǎo)致的數(shù)據(jù)擴(kuò)散和軟件漏洞導(dǎo)致的內(nèi)存信息泄露[12，13]（例如，OpenSSL心臟出血）。攻擊者可以通過各種各樣的攻擊獲取密鑰。因此，針對(duì)計(jì)算機(jī)系統(tǒng)中的內(nèi)存信息泄露漏洞和攻擊，各種原理不同的密鑰安全方案近幾年也分別被提出，包括基于寄存器的密鑰安全方案[14]，完全在寄存器中完成密碼計(jì)算，從而抵抗冷啟動(dòng)攻擊、提高內(nèi)存信息泄露攻擊難度;基于TrustZone機(jī)制的密鑰安全方案[15]，利用ARM TrustZone機(jī)制，構(gòu)建隔離的安全計(jì)算環(huán)境。2014年，Intel公司推出SGX機(jī)制，實(shí)現(xiàn)了由CPU硬件創(chuàng)建的隔離計(jì)算環(huán)境，在SGX執(zhí)行環(huán)境中的數(shù)據(jù)，只在Cache中出現(xiàn)、交換到內(nèi)存芯片時(shí)會(huì)自動(dòng)由CPU加密，可以抵抗惡意操作系統(tǒng)以及惡意進(jìn)程讀取敏感數(shù)據(jù)、篡改可執(zhí)行代碼。Intel SGX機(jī)制利用密碼技術(shù)在CPU中創(chuàng)建安全的計(jì)算環(huán)境，也可以在SGX執(zhí)行環(huán)境中實(shí)現(xiàn)密碼算法、由SGX機(jī)制來保護(hù)密鑰數(shù)據(jù)。但是，近年來的最新研究成果表明，SGX執(zhí)行環(huán)境仍然面臨著多種側(cè)信道攻擊獲取密鑰等敏感數(shù)據(jù)、控制程序執(zhí)行流程等安全威脅。2018年，Meltdown漏洞和Spectre漏洞的發(fā)現(xiàn)，引起了網(wǎng)絡(luò)空間安全各界的極大關(guān)注。該漏洞影響了不同廠商、不同型號(hào)的大量CPU，使得攻擊者非授權(quán)地讀取數(shù)據(jù)（包括密鑰等敏感數(shù)據(jù)），也可以突破SGX機(jī)制的保護(hù)。這一事件顯示，安全漏洞的發(fā)現(xiàn)會(huì)逐漸從軟件推進(jìn)到硬件，將來會(huì)有更多的硬件相關(guān)漏洞被發(fā)現(xiàn)。

4.2 硬盤上的剩余信息保護(hù)

在物理介質(zhì)層，由于沒有上層文件系統(tǒng)的語義信息，只能通過消磁或者物理破壞的辦法將數(shù)據(jù)銷毀。在控制器層，可以通過SCSI和ATA提供的安全擦除命令，擦除存儲(chǔ)設(shè)備上的所有數(shù)據(jù)。以上兩種方法，顯然對(duì)連續(xù)運(yùn)行的操作系統(tǒng)是不可行的。

在文件系統(tǒng)層，傳統(tǒng)的塊設(shè)備文件系統(tǒng)，如FAT32、NTFS、EXT2/3/4等，都是通過修改元數(shù)據(jù)來指示數(shù)據(jù)被“刪除”。如在FAT32文件系統(tǒng)中，只是通過將被刪除文件的目錄項(xiàng)的第一個(gè)字節(jié)改為“0xE5”來指示文件被刪除，而真正的目標(biāo)刪除文件數(shù)據(jù)仍然保存在存儲(chǔ)介質(zhì)中。因此，常規(guī)的文件系統(tǒng)并不支持剩余信息的保護(hù)。

在應(yīng)用程序?qū)?，程序只能與兼容可移植操作系統(tǒng)接口（Posix）的文件系統(tǒng)進(jìn)行通信。應(yīng)用層需要通過文件系統(tǒng)層、驅(qū)動(dòng)器層、控制器層的轉(zhuǎn)換，才能對(duì)最底層的物理介質(zhì)進(jìn)行訪問，所以在應(yīng)用層中實(shí)現(xiàn)數(shù)據(jù)的安全刪除是最困難的，而且其達(dá)到的安全程度是最低的[7]，例如一些文件覆蓋工具（Srm 和Wipe等）。

目前，主要有機(jī)械磁盤和固態(tài)硬盤兩種存儲(chǔ)設(shè)備。機(jī)械磁盤基于磁性介質(zhì)，采用數(shù)據(jù)的原位更新，也就是說，當(dāng)文件被更新（或刪除）時(shí)，舊版本文件可以被新文件（或隨機(jī)信息）替換。固態(tài)存儲(chǔ)設(shè)備由于寫數(shù)據(jù)和擦除數(shù)據(jù)的最小單位不一樣，寫入數(shù)據(jù)之前必須執(zhí)行刪除操作。因此，固態(tài)存儲(chǔ)設(shè)備采用數(shù)據(jù)非原位更新，也就是說，更新數(shù)據(jù)時(shí)，不對(duì)原數(shù)據(jù)進(jìn)行修改，而是直接在新位置寫入新數(shù)據(jù)。數(shù)據(jù)非原位更新將會(huì)導(dǎo)致在固態(tài)存儲(chǔ)設(shè)備中存在多個(gè)版本的剩余信息，有研究表明，針對(duì)機(jī)械磁盤的剩余信息保護(hù)措施（比如用隨機(jī)數(shù)重寫、數(shù)據(jù)覆蓋）對(duì)固態(tài)存儲(chǔ)設(shè)備都是不適用的[16]。

5 剩余信息保護(hù)的解決方案

無論是內(nèi)存還是硬盤的存儲(chǔ)空間，剩余信息保護(hù)的重點(diǎn)都是：在釋放內(nèi)存前，將存儲(chǔ)的剩余信息刪除，也即將存儲(chǔ)剩余信息的空間清空或者寫入隨機(jī)的無關(guān)信息。

5.1 內(nèi)存中剩余信息保護(hù)的解決方案

針對(duì)應(yīng)用程序在內(nèi)存中遺留的信息，為了達(dá)到對(duì)剩余信息進(jìn)行保護(hù)的目的，需要身份認(rèn)證函數(shù)在使用完用戶名和密碼信息后，對(duì)曾經(jīng)存儲(chǔ)過這些信息的內(nèi)存空間進(jìn)行重新的寫入操作，將無關(guān)（或者垃圾）信息寫入該內(nèi)存空間，也可以對(duì)該內(nèi)存空間進(jìn)行清零操作。

針對(duì)密鑰數(shù)據(jù)泄露產(chǎn)生的剩余信息保護(hù)問題，關(guān)鍵在于構(gòu)建隔離的安全計(jì)算環(huán)境。安全計(jì)算環(huán)境的構(gòu)建依賴加密算法，更依賴計(jì)算環(huán)境物理硬件的安全性。

通過以上介紹我們可以看到，在內(nèi)存中實(shí)現(xiàn)剩余信息的保護(hù)的任務(wù)是艱巨的，這需要在應(yīng)用程序設(shè)計(jì)、開發(fā)與使用的各個(gè)階段進(jìn)行有效的數(shù)據(jù)保護(hù)，而且還要針對(duì)各種軟件、硬件安全漏洞的攻擊提供有效的預(yù)防措施，全方位地對(duì)剩余信息進(jìn)行保護(hù)。

5.2 硬盤中剩余信息保護(hù)的解決方案

對(duì)于硬盤上的剩余信息的保護(hù)，無論是機(jī)械磁盤還是固態(tài)硬盤，最有效的方法就是通過對(duì)數(shù)據(jù)進(jìn)行加密，通過刪除對(duì)應(yīng)密鑰來對(duì)剩余信息進(jìn)行保護(hù)。但是，前提是系統(tǒng)支持加密操作，且加密操作不會(huì)對(duì)系統(tǒng)帶來大的開銷，而且需要與內(nèi)存中的剩余信息保護(hù)技術(shù)相結(jié)合，實(shí)現(xiàn)真正的剩余信息保護(hù)技術(shù)體系。

6 等級(jí)測評(píng)中剩余信息保護(hù)的檢查方法

在等級(jí)保護(hù)測評(píng)過程中，對(duì)實(shí)際的應(yīng)用系統(tǒng)進(jìn)行剩余信息保護(hù)的檢測，主要從訪談、檢查和測試三部分分別進(jìn)行[6]。

6.1 訪談

詢問應(yīng)用系統(tǒng)開發(fā)人員，是否對(duì)應(yīng)用系統(tǒng)中的剩余信息進(jìn)行了保護(hù)。首先，詢問應(yīng)用系統(tǒng)開發(fā)人員對(duì)剩余信息的判斷，以及在內(nèi)存、硬盤中剩余信息保護(hù)的具體措施，如果開發(fā)人員連剩余信息保護(hù)的概念都不清楚，那么也就不可能對(duì)剩余信息進(jìn)行保護(hù)。

6.2 檢查

查看源代碼，重點(diǎn)監(jiān)測在內(nèi)存釋放或者刪除文件前，應(yīng)用系統(tǒng)是否進(jìn)行了處理，比如內(nèi)存空間回收、清零;存儲(chǔ)空間是否加密并刪除密鑰，是否使用特定的剩余數(shù)據(jù)清除工具。檢查應(yīng)用系統(tǒng)操作手冊(cè)中是否有相關(guān)的描述。

6.3 測試

為了確認(rèn)內(nèi)存中是否有剩余信息，可以采用內(nèi)存掃描軟件（或者內(nèi)存監(jiān)視軟件）進(jìn)行掃描。對(duì)于存儲(chǔ)在磁盤中的文件，可以嘗試在應(yīng)用系統(tǒng)刪除文件后，用恢復(fù)軟件恢復(fù)文件，并對(duì)比恢復(fù)文件和原文件。

7 結(jié)束語

剩余信息保護(hù)在等級(jí)保護(hù)測試中的重要性逐漸凸顯，這是網(wǎng)絡(luò)安全，尤其是數(shù)據(jù)安全逐漸被人們所重視的必然要求。但是從國內(nèi)外標(biāo)準(zhǔn)和信息系統(tǒng)實(shí)踐來看，等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)剩余信息保護(hù)的“完全清除”的實(shí)現(xiàn)存在一定的技術(shù)難度。就目前技術(shù)而言，在內(nèi)存中實(shí)現(xiàn)敏感數(shù)據(jù)的快速消除缺乏驗(yàn)證技術(shù)，且會(huì)對(duì)系統(tǒng)性能帶來一定影響;在機(jī)械磁盤、固態(tài)硬盤等存儲(chǔ)設(shè)備中實(shí)現(xiàn)“消磁”“覆蓋”等要求，對(duì)絕大部分連續(xù)運(yùn)行的信息系統(tǒng)而言也是不現(xiàn)實(shí)的。在應(yīng)用層面，對(duì)用戶數(shù)據(jù)當(dāng)其不再使用時(shí)，應(yīng)該以“標(biāo)記后另存”方式實(shí)現(xiàn)，既滿足系統(tǒng)的安全要求，又符合對(duì)用戶交易記錄的保存要求。對(duì)鑒別數(shù)據(jù)，無論是管理員還是用戶，做到當(dāng)其不再擔(dān)任這個(gè)角色或不再使用時(shí)，以刪除相應(yīng)的用戶注冊(cè)、同時(shí)修改訪問控制策略更有實(shí)際意義。

參考文獻(xiàn)

[1] Book T O. Department of Defense Trusted Computer System Evaluation Criteria[J]. DoD 5200.28-STD， 1985.

[2] e安全.歐盟《通用數(shù)據(jù)保護(hù)條例》合規(guī)指南[OL] https：//www.easyaq.com/news/2092730864.shtml， May 29，2018.

[3] GB/T 18336-2008，信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則[S].

[4] GB/T 22239—2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[5] 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（征求意見稿）[S].

[6] 應(yīng)力.剩余信息保護(hù)——理解與應(yīng)用[J].Industry Express，2012：37-40.

[7] Reardon J ， Basin D ， Capkun S . SoK： Secure Data Deletion[C]. Security & Privacy， IEEE， 2013： 301-315.

[8] J. Alex Halderman， Seth D. Schoen， Nadia Heninger， William Clarkson， William Paul， Joseph A. Calandrino， Ariel J. Feldman， Jacob Appelbaum， and Edward W. Felten. Lest We Remember： Cold Boot Attacks on Encryption Keys[C]. Communications of the ACM - Security in the Browser， 2009，52（5）：91-98.

[9] Colp P， Zhang J， Gleeson J， et al. Protecting Data on Smartphones and Tablets from Memory Attacks[J]. architectural support for programming languages and operating systems， 2015， 43（1）： 177-189.

[10] Stewin P， Bystrov I. Understanding DMA malware[C].International conference on detection of intrusions and malware and vulnerability assessment， 2012： 21-41.

[11] Blass E， Robertson W K. TRESOR-HUNT： attacking CPU-bound encryption[C]. annual computer security applications conference， 2012： 71-78.

[12] Harrison K ， Xu S X S . Protecting Cryptographic Keys from Memory Disclosure Attacks[C]. International Conference on Dependable Systems & Networks， IEEE， 2007：137-143.

[13] J. Chow， B. Pfaff， T. Garfinkel， K. Christopher， M. Rosenblum. Understanding Data Lifetime via Whole System Simulation[J]. Proc of Usenix Security Symposium， 2004，l3：321-336.

[14] Muller T， Freiling F C， Dewald A， et al. TRESOR runs encryption securely outside RAM[C]. usenix security symposium， 2011： 17-17.

[15] Zhang N， Sun K， Lou W， et al. CaSE： Cache-Assisted Secure Execution on ARM Processors[C]. ieee symposium on security and privacy， 2016： 72-90.

[16] Wei M Y， Grupp L M， Spada F E， et al. Reliably erasing data from flash-based solid state drives[C]. file and storage technologies， 2011： 8-8.

作者簡介：

徐麗娟（1988-），女，漢族，內(nèi)蒙古自治區(qū)呼和浩特人，北京郵電大學(xué)，碩士，中國軟件評(píng)測中心;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全。

李杺恬（1988-），女，蒙古族，吉林白城人，北京理工大學(xué)，碩士，中國軟件評(píng)測中心;主要研究方向和關(guān)注領(lǐng)域：關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)關(guān)鍵設(shè)備安全。

唐剛（1981-），男，漢族，北京人，北京航空航天大學(xué)，碩士，中國軟件評(píng)測中心，高級(jí)工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全檢測與評(píng)估。