数据不在有用时进行安全销毁

数据销毁安全

PA18数据销毁处置

过程域设定背景和目标

数据销毁有两个目的，一是合规要求，国家法律法规要求重要数据不被泄露；另外就是组织本身的业 务发展或管理需要。计算机或设备在弃置、转售或捐赠前必须将其所有数据彻底删除，无法复原，以免造 成信息泄露，尤其是国家涉密数据。有许多政府机关、民营企业，受限于法律规范，必须确保许多数据的 机密。另外，存储大量、过时的数据不仅消耗硬盘存储空间，而且还会拖慢计算机系统运行速度，甚至可 能增加被黑客攻击的风险。

日常工作过程中，用户往往采取删除、硬盘格式化、文件粉碎等方法销毁数据，这样的做法非常不安 全。以下是对这几种普通的“数据销毁”方式安全性分析。

• 删除文件：删除操作并不能真正擦除磁盘数据区信息。用户的删除命令只是将文件目录项做了一 个删除标记，数据区并没有任何改变。一些数据恢复工具正是利用了这点，绕过文件分配表，直 接读取数据区，恢复被删除的文件。因此，这种数据销毁方法最不安全。
• 格式化硬盘：“格式化”又分为高级格式化、低级格式化、快速格式化等多种类型。多数情况下， 普通用户采用的格式化不会影响硬盘上的数据区。格式化仅仅是为操作系统创建一个全新的空文 件索引。将所有扇区标记为“未使用”状态，让操作系统认为硬盘上没有文件。因此，采用数据 恢复工具软件也可以恢复格式化后数据区中的数据。
• 使用文件粉碎软件：为满足用户彻底删除数据的需要，网上出现了很多所谓的文件粉碎软件，一 些防病毒软件也增加了文件粉碎功能，不过这些软件大多没有通过专门机构的认证，可信度和安 全性都值得怀疑，用于处理一般的私人数据还可以，但不能用于处理带有密级的数据。

基于以上考虑，组织要根据不同要求和需要采取不同的数据销毁策略和技术手段，已实现对数据的有 效销毁，防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄漏风险。

过程域具体标准要求解读

l 制度流程：

——数据销毁场景：什么场景下需要做数据销毁，结合业务和数据重要性需要；
——数据销毁方法：根据数据分类和分级，已经场景需要，确定销毁手段和方法，包括物理销毁和逻辑销毁，比如覆写法、消磁法、捣碎法/剪碎法、焚毁法。
——数据销审批流程：主要针对重要数据，销毁的合理性和必要性评估；
——数据销毁监督流程：设置销毁相关监督角色，监督操作过程，并对审批和销毁过程进行记录控制；
——数据销毁指南：针对不同介质所存储数据的具体销毁方法和技术，比如针对网络存储、闪存、硬盘、磁带、光盘等存储数据所应采用的数据销毁的方法和技术，建立网络数据分布式存储的销毁策略与机制。

l 技术工具：
——数据销毁的技术工具要多样化，保证满足各种类型的数据销毁，比如：针对网络存储数据、针对闪存、硬盘、磁带、光盘等存储数据；保以不可逆方式销毁数据及其副本内容

过程域充分定义级实施指南

两种清除数据需求：

• 清除（Clearing）：在重新使用媒体之前，彻底删除媒体中数据的程序，且在清除媒体中数据之 前，作业环境可提供可接受的保护等级。举例来说，所有内部存储器、缓冲区或其他可重复使用的内存，都必须执行清除，以有效杜绝读取先前储存的数据。
• 销毁（Sanitization）：在重新使用媒体之前，彻底删除媒体中数据的程序，且在销毁媒体中数 据之前，作业环境无法提供可接受的保护等级。例如，当信息系统资源从保密信息管制下释出、 或释出到较低的保密层级使用前，都必须执行数据销毁。

执行数据清除或销毁的方法：

无论旧版DOD 5220.22-M或后来的DSS C&SM，均分别针对磁带、磁盘、光盘、内存等四种类型的储存 媒体，以及同样会暂存数据的打印机，提出了17种删除数据的方式。而这些方式中，有15种适用于储存媒 体，又可分为消磁、覆写、紫外线删除与物理摧毁等基本方式：

• 消磁：可适用于磁带与磁盘，分为 Type I 与 Type II 两种层次的消磁，对应于 Type I、II 两种 类型的磁带。
• 使用消磁要特别注意，首先某些磁带与抽取式硬盘（如 LTO磁带与 Zip 盘片）内含有出厂时预录 的讯息，若强制执行消磁而使这些讯息消失，这些媒体将无法再被重复使用。其次是美国国防部 的 Type I/II 消磁标准已太过老旧，要对当前的磁带实施消磁，最少也得使用消磁能力 2500～ 3000Oe的消磁机；若要消磁硬盘，则需要的消磁能力将达到 4000～5000 Oe 以上。
• 覆写：包括几种不同方法，如把所有储存寻址位置都填入单一字符；所有寻址位置都填入单一字 符后，再随机填入字符；以随机方式覆写所有寻址位置，所有位置都填入二进制 0 值、所有位置 都填入二进制 1 值；或事先透过制造商提供的工具删除芯片中数据，然后把所有寻址位置都填入 单一字符，然后重复三次等等。
• 紫外线照射删除与移除电源：紫外线照射删除适用于 EPROM，移除包括电池在内的所有电源则适 用于 DRAM、 NOVRAM与 SRAM。

l 技术工具参考：

选购消磁机时，必须考虑的产品规格要素有几点： ——要进行数据清除或销毁的储存媒体磁场强度。针对高磁场强度的媒体，必须选择更强力的消磁机。

——需执行数据清除或销毁的储存媒体数量，如果数量不多，可选购手动式的桌上型单卷或多卷装消磁机；如果每月都要销毁上百台硬盘或磁带中的数据，则需选择自动化、有输送带设备 的大型消磁机。

——确认是否有遵循官方认证的需求。比如通过国家保密局认证或军 C+级认证等，若企业为美国或其他西方政府机构的合约商、或业务上牵涉到必须遵循某些美国数据安全管理法令，则需 使用通过特定认证许可的消磁机机型。

l 标准参考：

——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》6.6 节“数据销毁” ——美国国防部 DoD 5220.22-M国家工业安全计划操作手册（National Industrial Security
Program Operating Manual，NISPOM）（95 年 1 月发布，97 年 7 月修正）第 8 章第 3 节的一部分，提供了一个清除与销毁数据方法的参考矩阵表。 ——美国国防部所属国防保安处（Defense Security Service，DSS）提供数据清除与销毁方法参考矩阵表（Clearing and Sanitization Matrix，C&SM）。

——GA/T 1143-2014《信息安全技术 数据销毁软件产品安全技术要求》

参考资料

数据安全能力建设实施指南 V1.0(征求意见稿)