数据安全之剩余信息保护

2019-06-13 01:54:19 网络空间安全2019年1期

徐丽娟 李杺恬 唐刚

摘? ?要?#26680;?#30528;信息化进程的加快,全球信息量?#26102;?#28856;式增长。随之而来的数据安全问题也日益增多,侵犯个人隐私、窃取个人信息等违法犯罪行为时有发生,数据安全问题日趋严重,已经成为影响国家公共安全、社会安全的突出问题。数据安全中的一个重要问题是对剩余信息的保护,即?#26434;?#25143;使用过的信息,当该用户不再使用或不再存在?#20445;?#24212;当采取一定的措施进行保护,?#20048;?#21097;余信息造成用户隐私的泄露。论文从标?#23478;?#27714;、保护对象、在等级保护测?#20048;?#38754;临的挑战、检测方法等多方面对剩余信息保护进行了分析,为等级保护测?#20048;?#30340;剩余信息保护测试提供了全方位的技术支撑。

关键?#21097;?#32593;络安全;数据安全;等级保护;剩余信息保护

中图分类号:TP309? ? ? ? ? 文献标识码:B

Abstract: With the acceleration of the information process, the global information volume has exploded. The importance of ensuing data security issues is also increasing. Criminal violations such as personal privacy and theft of personal information have occurred from time to time. Data security issues have become increasingly serious and have become a prominent problem affecting national public security and social security. An important issue in data security is the protection of the residual information, that is, the information used by the user. When the user no longer uses or no longer exists, certain measures should be taken to protect the user from leaking the privacy of the remaining information. This paper analyzes the residual information protection from the requirements of standards, protection objects, challenges in the classified protection assessment, and detection methods, and provides a full range of technical support for the residual information testing in the classified protection assessment.

Key words: cybersecurity; data security; classified protection; residual information protection

1 引言

数据安全是网络安全中的一个重要方向。数据安全中一个重要的问题就是对剩余信息(Residual Information)保护,也就是说?#26434;?#25143;使用过的信息,当该用户不再使用或不再存在?#20445;?#24212;当采取一定的措施进行保护。在GB/T 22239-2008 《信息技术信息系统安全等级保护基本要求》中,剩余信息保护是对三级以?#31995;?#31995;统的要求,而在GB/T 22239-2008的修订版本中,即《信息安全技术网络安全等级保护基本要求?#32602;?#24449;求意见稿)(20170813版)中,剩余信息保护变为对二级以?#31995;?#31995;统的要求,可见剩余信息保护的重要性逐渐被得到重视。

本文从剩余信息保护的标?#23478;?#27714;、剩余信息保护的保护对象、剩余信息保护在等级保护测?#20048;?#38754;临的挑战以及剩余信息保护检测方法等方面進行介绍,为等级保护测?#20048;?#21097;余信息保护测试提供技术支撑。

2 剩余信息保护的标?#23478;?#27714;

剩余信息保护?#27597;?#24565;来?#20174;?#32654;国国防部的《可信计算机评估准则?#32602;═CSEC,1985),在该准则的“客体重用”一章中对剩余信息提出了保护要求[1]:“……允许分配给其他的客体,但必须确保重用的客体不能从以前用户所使用的存储介?#21097;?#30913;盘或内存)中恢复信息。”随着数据安全的重要性被世界各国所重视,各国相继出台了针对数据安全保护的法律法规,尤其对剩余信息保护提出了诸多标?#23478;?#27714;。

2.1 各国针对数据安全保护的法律法规

针对数据安全各国均出台了法律法规进行约束,2018年5月25日,欧盟正式施行新的网络数据隐私保护条例《通用数据保护条例》[2](General Data Protection Regulation,GDPR),严格限制企业对个人数据的使用权,处罚力度空前加强,全方位地保护上网者的数据安全,要求数据主体在不希望自身数据被利用且无合法必要理由保留?#20445;?#26377;权要求删除该数据,这实质上就是对“剩余信息”提出的保护要求。Facebook、微软、Twitter、Apple 等公司纷纷修改其在欧盟境内?#26434;?#25143;个人数据的处理方式。微信也于日前发布声明,如欧?#35828;?#21306;微信?#31361;в行?#27714;,微信平台公众号运营者会在三周内,从服务器中删除该用户相关的所有信息,包括用户昵称、头像、OpenID及与该用户关联的服务信息。

日本于2003年颁布《个人信息保护法?#32602;?015年颁布实施《个人信息保护法》修正案,规范和限制个人信息持有者和处理者(政府部门、企业)的行为。韩国在2001年颁布《振兴信息与通讯网络的利用与数据保护法?#32602;?011年颁布《个人信息保护法?#32602;?#35268;定个人信息保护的基本原则、基准,信息主体的权利保?#24076;?#20010;人信息自决权的救济问题。

习近平总书记强调,互联网企业要切实承担起社会责任,保护用户隐私,保障数据安全,维护网民权益。要切实保障国家数据安全,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。《中华人民共和国网络安全法》于2017年6月1日正式施行,明确加强对个人信息的保护,?#20048;?#20449;息泄露、毁损、丢失。《关于做好引导和规范共享经济健康良性发展有关工作的通知?#32602;?#21457;改办高技〔2018〕586号)明确提出保护个人信息安全,提高个人信息保护水平,?#20048;?#20449;息泄露、损毁?#25237;?#22833;。2018年5月1日实施的GB/T 35273《信息安全技术个人信息安全规范?#21453;?#22269;家标准层面,规?#35835;?#20010;人信息控?#26222;?#22312;收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个?#35828;?#21512;法权益和社会公共利益。可见,?#20048;?#20449;息泄露、保护数据安全已成为时代主题,是法定事项。

2.2 剩余信息保护的标?#23478;?#27714;

《信息技术安全性评估准则?#32602;–C准则)进一步将残余信息分成子集残余信息保护(FDP_RIP.1.1)和完全残余信息保护(FDP_RIP.2.1),要求“确保任何资源的任何残余信息内容,在资源分配或?#22836;攀保杂?#25152;有客体都是不可再利用的[3]。”从安全功能来看,要求新产生的客体不能包含以前客体的信息。从安全机制来看,要求产品或系统具备删除或?#22836;?#24050;删除主体的信息的能力。

2008年颁布的GB/T 22239-2008 《信息技术信息系统安全等级保护基本要求》中,剩余信息保护是三级以?#31995;?#35201;求,包括两条[4]:一是应保证用户鉴别信息所在的存储空间被?#22836;?#25110;再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还?#31363;?#20869;存中;二是应保证系统内的文件、目录和数据库记录等资源所在的存储空间被?#22836;?#25110;重新分配给其他用户前得到完全清除。

GB/T 22239-2008分别针对主机安全和应用安全提出了剩余信息保护要求,保护对象是鉴别信息、用户信息,属于CC准则?#23567;?#29992;户数据”的范畴,具体内容是系统内的文件、目录、相关进程等;安全功能的提供者是操作系统、数据库系统和应用软件,操作的对象是用户信息的存储介?#21097;?#21253;括内存和磁盘控件。两者相结合,即用户信息(鉴别信息、用户文件、目录)等资源所在的存储空间被?#22836;?#25110;重新分配给其他用户前应该得到“完全清除”。

在GB/T 22239-2008的修订版本中,即《信息安全技术网络安全等级保护基本要求?#32602;?#24449;求意见稿)[5]的第1部分安全通用要求中,在第二级安全要求中增加了剩余信息保护的要求,应保证鉴别信息所在的存储空间被?#22836;?#25110;重新分配前得到完全清除。在第三级及第四级安全要求中对剩余信息保护要求:应保证鉴别信息所在的存储空间被?#22836;?#25110;重新分配前得到完全清除;应保证存有敏感数据的存储空间被?#22836;?#25110;重新分配前得到完全清除。

3 剩余信息保护的对象

要对剩余信息进行保护,首先要能识别剩余信息,以及剩余信息的逻辑载体与物理载体。剩余信息的逻辑载体主要?#20405;?#25805;作系统、数据库系统、应用系统等;剩余信息的物理载体则是各种类型的存储介?#21097;?#20027;要包括机械磁盘和固态存储设备。

3.1 剩余信息的逻辑载体

剩余信息的逻辑载体主要?#20405;?#25805;作系统、数据库系统、应用系统[6],接下来具体介绍一下各种逻辑载体中的剩余信息类型。

3.1.1 操作系统

在操作系统层面,用户信息主要包括:鉴别信息、用户拥有的文件或目录、用户操作过程中产生的过程文件?#21462;?/p>

鉴别信息:操作系统用户的鉴别信息主要指用户名和密码。Windows操作系统通常保存在C:\WINDOWS\system32\config目录下的sam文件中;Linux操作系统一般保存在/etc/passwd(或者/etc/shadow);AIX系统保存在/etc/security/passwd;HP-UX保存在/etc/passwd(或者/etc/shadow)。

文件或目录:操作系统用户的文件或目录表现为两种方式,一是系统管理员专门为其开辟的空间,如用户?#27597;?#30446;录,如Windows下的SystemDrive/Documents and Settings/用户名,Unix下的/home/用户名;二是散落在整个文件系统中,但以该用户作为标记的文件空间,?#28909;?#29992;户创建的,属主是用户的文件或目录。

过程文件:操作系统用户在使用过程中产生的信息,如Windows下的Temp文件、Cookies等,Unix下的.sh_history等,这是另一类的用户信息。

3.1.2 数据库系统

在数据库系统层面,用户信息主要包括:鉴别信息、数据表、数据文件?#21462;?#20363;如,对Oracle数据库,鉴别信息存放于DBA_USERS视图的Password列?#23567;?#22914;果采用口令文件验证,?#26434;贠racle 10.2.0.1,鉴别信息保存在/oracle/app/product/10.2.0.1/dbs目录下的Orapwsid文件(或者ORACLE_HOME/dbs/PWDsid.ora)?#23567;?#25968;据文件保存在/oracle/app/oradata/目录下,每个实例?#21152;兇约?#30340;数据文件,属于dbf文件类型。

從本质上来看,数据库系统的用户信息还是操作系统的文件,但不同的数据类型,由数据库管理系统实现标记、管理和分别存储。

3.1.3 应用软件

?#26434;?#29992;软件,用户信息的形式较为多样化。绝大部分是以数据库记录的方式存在,也有以文件方式独立存在的。应用软件的用户,有的就是独立的数据库系统用户;有的不是独立的数据库系统用户,而是由多个登录到应用软件的用户共同使用一个或几个数据库用户登录到数据库。因此,?#26434;?#29992;软件中用户信息的标记就相对复杂,也不可能由数据库系统或操作系统独立完成。

除了以上信息类型,剩余信息还包括系统中的敏感数据。

3.2 剩余信息的物理载体

剩余信息的物理载体是各种类型的存储介?#21097;?#20027;要包括机械磁盘,固态存储设备(如固态硬盘SSD、SD卡、TF卡、U盘)?#21462;?#30001;于各种存储介质的存储原理不同,对剩余信息的安全删除,实现剩余信息的保护措施也不同。基于机械磁盘?#31361;?#20110;闪存的固态存储系统的逻辑结构图如图1所示,呈现多层次结构[7]。

存储系统的底层是?#23548;?#23384;储数据的物理介?#21097;?#20363;如磁盘或闪存存储器。物理存储介?#39318;?#26159;通过控制器访问。控制器的基本功能是将物理存储介质?#31995;?#25968;据格式(例如,电压)转换成上层可理解?#27597;?#24335;(例如,二进制数?#25285;?#24182;且提供一个标准化的,定义明确的?#24067;?#25509;口,例如ATA和SCSI接口,它允许从/向物理存储介质读取/写入数据。

机械磁盘采用数据原位更新,因此其控制器通常将逻辑块地址?#25104;?#21040;物理存储介质?#31995;?#26576;个存储位置。固态存储设备采用?#31363;?#20301;更新,通常通过闪存转换层(Flash Translation Layer,FTL)或闪存专用文件系统(如YAFFS文件系统)进行管理。设备驱动程序以软件形式,通过一个简单的通用接口来整合对不同类型?#24067;?#30340;访问。块设备驱动程序接口允许在逻辑地址中读取和写入块,如块设备、内存技术设备(MTD)、及建立在MTD?#31995;?#26410;分类的块图像(UBI)设备驱动。

文件系统负责通过设备驱动程序提供的接口在物理存储介质?#31995;?#21487;用块之间组织逻辑数据序?#23567;?#21253;括建立在块设备之?#31995;目?#25991;件系统,例如FAT32、EXT4和NTFS等;构建在MTD设备之?#31995;?#38378;存文件系统,例如YAFFS;建立在UBI设备之?#31995;腢BI文件系统。存储系统的最顶层是应用层,为用户提供一个数据操作接口。

4 剩余信息保护面临的挑战

在GB/T 22239-2008中剩余信息保护安全项主要体现在主机安全方面和应用安全方面。具体的要求应保证用户(操作系统和数据库系统用户)鉴别信息所在的存储空间被?#22836;?#25110;再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还?#31363;?#20869;存中,应保证系统内的文件、目录和数据库记录等资源所在的存储空间被?#22836;?#25110;重新分配给其他用户前得到完全清除[4]。从剩余信息保护要求项的描述来看,该要求项要保护的“剩余信息”主要是内存或者硬盘的存储空间,要保护的信息是用户鉴别信息,要保护的时间是被?#22836;?#25110;重新分配给其他用户后。

4.1 内存中的剩余信息保护

应用程序?#26434;?#25143;的身份鉴别流程一般情况下是这样的,应用程序会先将用户输入的用户名和口令存储在两个字符串类型(也可能是数组等)变量?#23567;?#36890;常情况下,为了?#20048;构?#20987;者采用自动脚本?#26434;?#29992;程序进行攻击,应用系统会要求用户输入校验码,并优先对校验码进行验证。如果用户输入的校验码错误,应用系统应要求用户重新输入校验码。在校验码验证通过后,应用系统应从数据库中读取用户身份信息表,并在其中查找是否存在用户输入的用户名。如果未查?#19994;劍?#21017;应用系统应返回“用户名不存在?#20445;?#25110;者较模糊地返回“用户名不存在或者密码错误?#20445;?#22914;果在用户身份信息表中?#19994;?#29992;户名,应用程序一般应采用一种杂凑算法(通常是MD5算法)?#26434;?#25143;输入的密码进行运算得到其哈希?#25285;?#24182;与数据库用户身份信息表中存储的密码哈希值进行比较。这里需要说明的是,数据库中一般不明文存储用户的密码,而是存储密码的MD5值。通常情况下,应用系统在使用完内存中信息后,是不会对其使用过的内存进行清理的。这些存储着信息的内存在程序的身份认证函数(或者方法)退出后,仍然存储在内存中,如果攻击者对内存进行扫描就会得到存储在其中的信息。

更严重的情况?#31363;?#28041;及到密码运算过程中,由于内存中的剩余信息的不及时清除带来的密钥数据泄露。首先,作为计算机系统进程中的内存数据,密钥也面临各类系统攻击和安全威胁,包括Cold-Boot攻击[8]、DMA攻击[9-11]、计算机系统功能导致的数据扩散和软件漏洞导致的内存信息泄露[12,13](例如,OpenSSL心脏出血)。攻击者可以通过各种各样的攻击获取密钥。因此,针对计算机系统中的内存信息泄露漏洞和攻击,各种原理不同的密钥安全方案近几年也分别被提出,包括基于寄存器的密钥安全方案[14],完全在寄存器中完成密码计算,从而抵?#20272;?#21551;动攻击、提高内存信息泄露攻击难度;基于TrustZone机制的密钥安全方案[15],利用ARM TrustZone机制,构建隔离的安全计算环?#22330;?014年,Intel公?#23601;?#20986;SGX機制,实现了由CPU?#24067;?#21019;建?#27597;?#31163;计算环境,在SGX执行环境中的数据,只在Cache中出现、?#25442;?#21040;内存芯片时会自动由CPU加密,可以抵抗恶意操作系统以及恶意进程读取敏感数据、篡改可执行代码。Intel SGX机?#35780;?#29992;密码技术在CPU中创建安全的计算环境,也可以在SGX执行环境中实?#32622;?#30721;算法、由SGX机制来保护密钥数据。但是,近年来的最新?#33455;?#25104;果表明,SGX执行环境仍然面临着多种侧信道攻击获取密钥等敏感数据、控制程序执行流程等安全威胁。2018年,Meltdown漏洞和Spectre漏洞的发现,引起了网络空间安全各界的极大关注。该漏洞影响了不同厂商、不同型?#35834;?#22823;量CPU,使得攻击者非授权地读取数据(包括密钥等敏感数据),也可以突破SGX机制的保护。这一?#24405;允荊?#23433;全漏洞的发现会逐渐从软件推进到?#24067;?#23558;来会有更多的?#24067;?#30456;关漏洞?#29615;?#29616;。

4.2 硬盘?#31995;?#21097;余信息保护

在物理介质层,由于没有上层文件系统的语义信息,只能通过消磁或者物理破坏的办法将数据销毁。在控制器层,可以通过SCSI和ATA提供的安全擦除命令,擦除存储设备?#31995;?#25152;有数据。以上两种方法,显然对连续运行的操作系统是不?#23578;?#30340;。

在文件系统层,传统的块设备文件系统,如FAT32、NTFS、EXT2/3/4等,都是通过修改元数据来指示数据被“删除”。如在FAT32文件系统中,只是通过将被删除文件的目录项的第一个字节改为“0xE5”来指示文件被删除,而真正的目标删除文件数据仍然保存在存储介质?#23567;?#22240;此,常规的文件系统并不支持剩余信息的保护。

在应用程序层,程序只能与兼容可移植操作系统接口(Posix)的文件系统进行通信。应用层需要通过文件系统层、驱动器层、控制器层的转换,才能对最底层的物理介质进行访?#21097;?#25152;以在应用层中实现数据的安全删除是最困难的,而且其达到的安全程度是最低的[7],例如一些文件覆盖工具(Srm 和Wipe等)。

目前,主要有机械磁盘和固态硬盘两种存储设备。机械磁盘基于磁性介?#21097;?#37319;用数据的原位更新,也就是说,当文件被更新(或删除)?#20445;?#26087;版本文件可以被新文件(或随机信息)替换。固态存储设备由于寫数据和擦除数据的最小单位不一样,写入数据之前必须执行删除操作。因此,固态存储设备采用数据?#31363;?#20301;更新,也就是说,更新数据?#20445;?#19981;对原数据进行修改,而?#20405;?#25509;在新位置写入新数据。数据?#31363;?#20301;更新将会导致在固态存储设备中存在多个版本的剩余信息,有?#33455;?#34920;明,针对机械磁盘的剩余信息保护措施(?#28909;?#29992;随机数重写、数据覆盖)对固态存储设备都是不适用的[16]。

5 剩余信息保护的解决方案

无论是内存还是硬盘的存储空间,剩余信息保护的重点都是:在?#22836;?#20869;存前,将存储的剩余信息删除,?#24067;?#23558;存储剩余信息的空间清空或者写入随机的无关信息。

5.1 内存中剩余信息保护的解决方案

针?#26434;?#29992;程序在内存中遗留的信息,为了达到对剩余信息进行保护的目的,需要身份认证函数在使用完用户名和密码信息后,对曾经存储过这些信息的内存空间进行重新的写入操作,将无关(或者垃圾)信息写入该内存空间,也可以对该内存空间进行清零操作。

针对密钥数据泄露产生的剩余信息保护问题,关键在于构建隔离的安全计算环?#22330;?#23433;全计算环?#36710;?#26500;建依?#23548;用?#31639;法,更依?#23548;?#31639;环境物理?#24067;?#30340;安全性。

通过以上介绍我们可以看到,在内存中实现剩余信息的保护的任务是艰巨的,这需要在应用程序设计、开发与使用?#27597;?#20010;阶段进行?#34892;?#30340;数据保护,而?#19968;?#35201;针对各种软件、?#24067;?#23433;全漏洞的攻击提供?#34892;?#30340;预?#26469;?#26045;,全方位地对剩余信息进行保护。

5.2 硬盘中剩余信息保护的解决方案

?#26434;?#30828;盘?#31995;?#21097;余信息的保护,无论是机械磁盘还是固态硬盘,最?#34892;?#30340;方法就是通过对数据进行加密,通过删除?#26434;?#23494;钥来对剩余信息进行保护。但是,前提是系统支持加密操作,且加密操作不会对系统带来大的开销,而且需要与内存中的剩余信息保护技术相结合,实现真正的剩余信息保护技术体系。

6 等级测?#20048;?#21097;余信息保护的检查方法

在等级保护测评过程中,对?#23548;?#30340;应用系统进行剩余信息保护的检测,主要从访谈、检查和测试三部分分别进行[6]。

6.1 访谈

询问应用系统开发人?#20445;?#26159;否?#26434;?#29992;系统中的剩余信息进行了保护。首先,询问应用系统开发人员对剩余信息的判?#24076;?#20197;及在内存、硬盘中剩余信息保护的具体措施,如果开发人员连剩余信息保护?#27597;?#24565;都不清楚,那么也就不可能对剩余信息进行保护。

6.2 检查

查看源代码,重点监测在内存?#22836;?#25110;者删除文件前,应用系统是否进行了处理,?#28909;?#20869;存空间回收、清零;存储空间是否加密并删除密钥,是否使用特定的剩余数据清除工具。检查应用系统操作手册中是否有相关的描述。

6.3 测试

为了确认内存中是否有剩余信息,可以采用内存扫描软件(或者内存监视软件)进行扫描。?#26434;?#23384;储在磁盘中的文件,可以尝试在应用系统删除文件后,用恢复软件恢复文件,并对比恢复文件和原文件。

7 结束语

剩余信息保护在等级保护测试中的重要性逐渐凸显,这是网络安全,尤其是数据安全逐渐被人们所重视的必然要求。但是从国内外标准和信息系统?#23548;?#26469;看,等级保护标准中对剩余信息保护的“完全清除”的实现存在一定的技术?#35759;取?#23601;目前技术而言,在内存中实?#32622;?#24863;数据的快速消除缺乏验证技术,且会对系统性能带来一定影响;在机械磁盘、固态硬盘等存储设备中实现“消磁”?#26696;?#30422;”等要求,对绝大部分连续运行的信息系统而言也是不?#36136;?#30340;。在应用层面,?#26434;?#25143;数据当其不再使用?#20445;?#24212;该以“标记后另存”方式实现,既满足系统的安全要求,?#22336;?#21512;?#26434;?#25143;交?#20934;?#24405;的保存要求。对鉴别数据,无论是管理?#34987;?#26159;用户,做到当其不再担任这个角色或不再使用?#20445;?#20197;删除相应的用户注册、同时修改访问控制策略更有?#23548;?#24847;义。

参考文献

[1] Book T O. Department of Defense Trusted Computer System Evaluation Criteria[J]. DoD 5200.28-STD, 1985.

[2] e安全.欧盟《通用数据保护条例》合规?#25913;蟍OL] https://www.easyaq.com/news/2092730864.shtml, May 29,2018.

[3] GB/T 18336-2008,信息技术 安全技术 信息技术安全性评估准则[S].

[4] GB/T 22239—2008,信息系统安全等级保护基本要求[S].

[5] 信息安全技术 网络安全等级保护基本要求(征求意见稿)[S].

[6] 应力.剩余信息保护——理解与应用[J].Industry Express,2012:37-40.

[7] Reardon J , Basin D , Capkun S . SoK: Secure Data Deletion[C]. Security & Privacy, IEEE, 2013: 301-315.

[8] J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten. Lest We Remember: Cold Boot Attacks on Encryption Keys[C]. Communications of the ACM - Security in the Browser, 2009,52(5):91-98.

[9] Colp P, Zhang J, Gleeson J, et al. Protecting Data on Smartphones and Tablets from Memory Attacks[J]. architectural support for programming languages and operating systems, 2015, 43(1): 177-189.

[10] Stewin P, Bystrov I. Understanding DMA malware[C].International conference on detection of intrusions and malware and vulnerability assessment, 2012: 21-41.

[11] Blass E, Robertson W K. TRESOR-HUNT: attacking CPU-bound encryption[C]. annual computer security applications conference, 2012: 71-78.

[12] Harrison K , Xu S X S . Protecting Cryptographic Keys from Memory Disclosure Attacks[C]. International Conference on Dependable Systems & Networks, IEEE, 2007:137-143.

[13] J. Chow, B. Pfaff, T. Garfinkel, K. Christopher, M. Rosenblum. Understanding Data Lifetime via Whole System Simulation[J]. Proc of Usenix Security Symposium, 2004,l3:321-336.

[14] Muller T, Freiling F C, Dewald A, et al. TRESOR runs encryption securely outside RAM[C]. usenix security symposium, 2011: 17-17.

[15] Zhang N, Sun K, Lou W, et al. CaSE: Cache-Assisted Secure Execution on ARM Processors[C]. ieee symposium on security and privacy, 2016: 72-90.

[16] Wei M Y, Grupp L M, Spada F E, et al. Reliably erasing data from flash-based solid state drives[C]. file and storage technologies, 2011: 8-8.

作者簡介:

徐丽娟(1988-),女,汉族,内蒙古自治区呼和浩特人,?#26412;┯实?#22823;学,硕士,中国软件评测?#34892;?主要?#33455;?#26041;向和关注领域:网络安全。

李杺恬(1988-),女,蒙古族,吉?#32844;?#22478;人,?#26412;?#29702;工大学,硕士,中国软件评测?#34892;?主要?#33455;?#26041;向和关注领域:关键信息基础设施安全、网络关键设备安全。

唐刚(1981-),?#26657;?#27721;族,?#26412;?#20154;,?#26412;?#33322;空航天大学,硕士,中国软件评测?#34892;模?#39640;级工程师;主要?#33455;?#26041;向和关注领域:网络安全检测与评估。

网络空间安全 2019年1期

网络空间安全的其它文章
数据?#34892;那?#31227;浅析
?
玉皇大帝闯关