剩余信息保护——理解与应用.pdfVIP

Industry Express 行业来风 剩余信息保护——理解与应用 应 力 海通证券股份有限公司 战略发展与 IT 治理办公室，上海 200001 E-mail ：yingli@ 摘 要 ：本文介绍了剩余信息保护的概念、意义、标准，结合实例详细描述了剩余信息保护的对象及要求，剩余信息 保护的典型应用，最后对剩余信息保护在证券行业中的应用作出了探讨。 关键词 ：证券交易系统 ；病态故障 ；模拟器 ；IT 运维 1 剩余信息保护的标准要求 用户鉴别信息所在的存储空间被释放或再分配给其他 剩余信息（Residual Information，又译为残余信息） 用户前得到完全清除，无论这些信息是存放在硬盘上 保护是要对用户使用过的信息，当该用户不再使用或 还是在内存中 ；（2）应保证系统内的文件、目录和数 不再存在时，应当采取一定的措施进行保护。 据库记录等资源所在的存储空间被释放或重新分配给 剩余信息保护来源于美国国防部的《可信计算机评 其他用户前得到完全清除。 估准则》（TCSEC，1985），该准则的“客体重用”一 《基本要求》分别针对主机安全和应用安全提出了 章中对残余信息提出了保护要求 [1] ：“……允许分配给 剩余信息保护要求，保护对象是鉴别信息、用户信息， 其他的客体，但必须确保重用的客体不能从以前用户所 属于 CC 准则中“用户数据”的范畴，具体内容是系统 使用的存储介质（磁盘或内存）中恢复信息。”在 NIST 内的文件、目录、相关进程等 ；安全功能的提供者是 的另一份文件《自动化系统中数据残余的指南》（1991） 操作系统、数据库系统和应用软件，操作的对象是用 进一步说明了残余信息的要求和处理方法 [2]。 户信息的存储介质，包括内存和磁盘控件。两者相结 《信息技术安全性评估准则》(CC 准则 ) 进一步中 合，即：当存储用户信息（鉴别信息、用户文件、目录） 将残余信息分成子集残余信息保护（FDP_RIP.1.1）和 等资源所在的存储空间，被释放或重新分配给其他用 完全残余信息保护（FDP_RIP.2.1），要求“确保任何 户前应该得到“完全清除”。相对于 TCSEC 和 CC 准 资源的任何残余信息内容，在资源分配或释放时，对 则的“不可再利用”，《基本要求》中对剩余信息保护 于所有客体都是不可再利用的。[3]”从安全功能来看， 的要求更高。 要求新产生的客体不能包含以前客体的信息。从安全 2 剩余信息保护的对象 机制来看，要求产品或系统具备删除或释放已删除主 实施剩余信息保护，首先要区分剩余信息，以及 体的信息的能力。 剩余信息的载体。信息系统层面，剩余信息的逻辑载 2008 年颁布的 GB/T22239-2008 《信息技术 信息 体主要是指操作系统、数据库系统、应用系统 ；其物 系统安全等级保护基本要求》（以下简称“基本要求”） 理载体则是各种类型的存储介质。 以及 2010 年发布的 JR/T 0060—2010《证券期货业信 2.1 操作系统 息系统安全等级保护测评要求》行业标准中，剩余信 在操作系统层面，用户信息主要包括 ：鉴别信息、 息保护是三级以上的要求，包括两条 [4] ：（1）应保证 用户拥有的文件或目录、用户操作过程中产生的的过 37 行业来风 Industry Express 程文件等。 从 TCSEC 或 CC 准则的原意来看，剩余信息保护 1）鉴别信息 ：操作系统用户的鉴