安全計算環境-(六)應用系統-6


應用系統

 

控制點

6.剩余信息保護

 

a)

安全要求:應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

要求解讀:應用系統將用戶鑒別信息所在存儲空間(例如硬盤或內存)的內容完全清除后才能分配給其他用戶。例如,某應用系統將用戶的鑒別信息放在內存中處理,處理后沒有及時將其清除,這樣,其他用戶就有可能通過一些非正常手段獲取該用戶的鑒別信息。

檢查方法

詢問系統管理員,了解應用系統是否已采取措施對存儲介質(例如硬盤或內存)中的用戶鑒別信息進行及時的清除,以防止其他用戶非授權獲取用戶鑒別信息。

期望結果

應用系統已采取措施對存儲介質(例如硬盤或內存)中的用戶鑒別信息進行及時的清除。例如,對存儲或調用過用戶鑒別信息的函數或變量及時寫零或置空,及時清除B/S系統中的Session和Cookie信息,以及對存有用戶鑒別信息的臨時文件進行刪除或內容清空等。

b)

安全要求:應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。

要求解讀:應用系統將敏感數據所在存儲空間(例如硬盤或內存)的內容完全清除后才能分配給其他用戶。例如,某應用系統在使用過程中可能會產生一些臨時文件,這些臨時文件中可能會記錄一些敏感信息,如果不加處理就將這些資源分配給其他用戶,其他用戶就有可能獲得其中的敏感信息。

檢查方法

詢問系統管理員,了解應用系統是否已采取措施對存儲介質(例如硬盤或內存)中的敏感數據進行及時的清除,以防止其他用戶非授權獲取敏感數據。

期望結果

應用系統已采取措施對存儲介質(例如硬盤或內存)中的敏感數據進行及時的清除。對存儲或調用過敏感數據的函數或變量及時寫零或置空,及時清除B/S系統中的Session和Cookie信息,以及對存有敏感數據的臨時文件進行刪除或內容清空等。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM