0.引言随着信息化的推进,信息系统的安全问题成为了世界各国都十分关心的问题。我国则推出了GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求(以下简称基本要求)来对信息系统进行保护。基本要求对三级以上信息系统提出了“剩余信息保护”的要求。中国软件评测中心作为公安部信息安全等级保护测评推荐机构,在信息系统等级保护测评的过程中发现很多被测系统在“剩余信息保护”方面做的不是十分到位。接下来,本文会较详细地介绍剩余信息保护的定义、技术实现以及检测方法。1.剩余信息保护的定义在介绍基本要求中对于剩余信息保护要求项的定义前,先要简单介绍一下一些背景知识。1.1基本要求对于要求项的划分从整体上,基本要求为技术要求和管理要求两大类。其中,技术要求按其保护的侧重点的不同被划分为以下三类:1)业务信息安全类(S类):主要关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。2)系统服务安全类(A类):关注的是保护系统连续正常的原型,避免因对系统未授权修改、破坏而导致系统不可用。3)通用安全保护类(
