應用系統
控制點
6.剩余信息保護
a)
安全要求:應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
要求解讀:應用系統將用戶鑒別信息所在存儲空間(例如硬盤或內存)的內容完全清除后才能分配給其他用戶。例如,某應用系統將用戶的鑒別信息放在內存中處理,處理后沒有及時將其清除,這樣,其他用戶就有可能通過一些非正常手段獲取該用戶的鑒別信息。
檢查方法
詢問系統管理員,了解應用系統是否已采取措施對存儲介質(例如硬盤或內存)中的用戶鑒別信息進行及時的清除,以防止其他用戶非授權獲取用戶鑒別信息。
期望結果
應用系統已采取措施對存儲介質(例如硬盤或內存)中的用戶鑒別信息進行及時的清除。例如,對存儲或調用過用戶鑒別信息的函數或變量及時寫零或置空,及時清除B/S系統中的Session和Cookie信息,以及對存有用戶鑒別信息的臨時文件進行刪除或內容清空等。
b)
安全要求:應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。
要求解讀:應用系統將敏感數據所在存儲空間(例如硬盤或內存)的內容完全清除后才能分配給其他用戶。例如,某應用系統在使用過程中可能會產生一些臨時文件,這些臨時文件中可能會記錄一些敏感信息,如果不加處理就將這些資源分配給其他用戶,其他用戶就有可能獲得其中的敏感信息。
檢查方法
詢問系統管理員,了解應用系統是否已采取措施對存儲介質(例如硬盤或內存)中的敏感數據進行及時的清除,以防止其他用戶非授權獲取敏感數據。
期望結果
應用系統已采取措施對存儲介質(例如硬盤或內存)中的敏感數據進行及時的清除。對存儲或調用過敏感數據的函數或變量及時寫零或置空,及時清除B/S系統中的Session和Cookie信息,以及對存有敏感數據的臨時文件進行刪除或內容清空等。