应用系统剩余信息保护的技术实现资料.docxVIP

0.引言 随着信息化的推进，信息系统的安全问题成为了世界各国都十分关心的问题。我国则推出了GB/T 22239-2008 HYPERLINK /magazine/article/DZBZ200911013.htm \t _blank 《信息安全技术信息系统安全等级保护基本要求》（以下简称《基本要求》）来对信息系统进行保护。 《基本要求》对三级以上信息系统提出了“剩余信息保护”的要求。中国软件评测中心作为公安部信息安全等级保护测评推荐机构，在信息系统等级保护测评的过程中发现很多被测系统在“剩余信息保护”方面做的不是十分到位。接下来，本文会较详细地介绍剩余信息保护的定义、技术实现以及检测方法。 1.剩余信息保护的定义 在介绍《基本要求》中对于剩余信息保护要求项的定义前，先要简单介绍一下一些背景知识。 1.1《基本要求》对于要求项的划分 从整体上，《基本要求》为技术要求和管理要求两大类。其中，技术要求按其保护的侧重点的不同被划分为以下三类： 1)??业务信息安全类（S类）：主要关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。 2)??系统服务安全类（A类）：关注的是保护系统连续正常的原型，避免因对系统未授权修改、破坏而导致系统不可用。 3)??通用安全保护类（G类）：既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。 《基本要求》中的所有的要求项