信息销毁的必要性
我国每年大约有几百万个硬盘因损坏、过于陈旧等原因需要淘汰,近亿张软盘、IC卡及磁带需要销毁,如此庞大的销毁规模,如果不能够配合有效的管理手段和技术手段,势必造成难以想象的泄密后果。近几年,存有重要信息的硬盘、磁带失窃或电脑返修时泄秘的事件层出不穷,例如2004年5月全球最大的银行花旗集团下属的花旗金融服务公司就是在快递运送途中,丢失了记录有390万客户银行帐号、交易信息等信息的电脑磁带,至今下落不明;2005年3月时代华纳公司在常规运输途中丢失了存有60万名在职和离职员工及其家庭信息的40盘磁带;2006年6月富士康集团旗下的两家子公司以盗取商业机密为由起诉比亚迪股份有限公司的关键证据就是一块存有双方文件文档资料的硬盘;2008年初闹得纷纷扬扬的“艳照门”事件,其实源于陈冠希的手提电脑硬盘故障拿去检修导致信息外泄。相对于个人信息和商业机密,政府部门、军队和科研院所等有着更高的安全保密要求。目前常用的硬盘磁带都是几百G甚至1T的容量,可记载海量的信息,而这些体积很小的硬盘磁带很容易丢失和被窃走,也很容易遭受有意或无意的损坏,有些重要数据甚至是机密的,价值连城,一旦发生信息数据的丢失或泄密,就会造成不可估量的损失。因此,科学规范的信息销毁手段,完善合理的存储介质管理流程成为必需。
数据销毁作为信息安全的一个重要分支,早已引起世界各国的重视,早在19 85年,美国国防部(DOD)就发布了数据销毁标准(US.DoD.5 200.2 8-STD);2000年《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》第六章第三十四条规定销毁秘密载体,应当确保秘密信息无法还原;2006年3月下发的《江苏省涉密存储载体保密管理办法》第二十八条明确提出,销毁涉密存储载体应先清理载体中的信息,再采用物理或化学的方法彻底销毁,确保信息无法还原,国家保密局和军队安全局还要求涉密硬盘磁带信息销毁前不得带离办公区。
在此简要介绍下硬盘磁带数据销毁的原因,鉴于磁性介质的存储原理和数据读写方法,普通的数据销毁如低级格式化、数据删除等方法都无法彻底清除数据;操作系统和硬盘盘的隐性操作会产生残留数据,为了避免不法分子利用数据残留恢复出原始数据信息,造成安全泄密的风险,在硬盘报废或者送修、捐献前应按不同的保密等级对硬盘数据进行销毁处理。
一直以来,人们对涉密数据清除和销毁在认识上存在误区,认为硬盘经低级格式化、高级格式化操作后或简单的数据覆盖后就万事大吉了,其实不然,现在流行的低级格式化,仅仅是一个简单的写标记过程,所调用的磁道、扇区是经过转换后的,并不是对物理的磁头和磁道进行操作;而高级格式化仅仅是为操作系统创建一个全新的空文件索引,将所有的扇区标记为“未使用”状态,让操作系统认为硬盘上没有文件,经格式化的硬盘只需用EasyRecovery或PC3000就可恢复全部数据;硬盘清零和覆盖的方式至今仍为许多大中型企业所应用,而这种方式也有非常大风险,原因有二,1是硬盘的内部固有机制导致部分数据无法覆盖,比如硬盘的缺陷处理机制.对于磁性存储器来说,通常使用映射的方法来替换受损的磁道或扇区,把坏的和磁介质不稳定的扇区记录下来,做成磁盘缺陷列表,写进磁盘的系统保留区,替换掉原来旧的磁盘缺陷列表,并且通常不再对受损的磁道或扇区进行操作.而且,也有部分软件或病毒程序能将某些扇区故意标记为坏扇区.如果在磁盘的记录间隙、坏的磁道、被故意标记的区域中储存着敏感信息,这些信息仍然可以通过特殊手段被读取。
又如硬盘纠错机制.许多存储器设备支持不同的纠错方案,以便在设备受到损害时进行数据恢复.因此即使一些数据被可靠地擦除,但通过使用存储器设备内建的纠错能力也可能恢复
另外,支持数据缓冲或高速缓存功能的存储器,操作系统把内存数据写人硬盘前是在缓冲区中收集数据,而写人磁盘上数据的最小单位是一个扇区,因此文件的最后一部分通常不会恰好填满最后一个扇区,操作系统就会随机提取缓冲区中称为内存渣滓的数据来填充空余区域,而这些内存渣滓数据在进行删除操作时可能滞留在缓冲区中没有真正得到执行.同样,最后一个簇中没有用到的扇区就原封不动保留原来称为磁盘渣滓的数据.这些被称为渣滓的地方可能包含大量的敏感信息不能被彻底销毁。另外,剩磁效应使数据还原成为可能,所有磁介质都存在剩磁效应问题,磁介质会不同程度地永久性磁化,所以磁介质上记载的信息在一定程度上抹除不净.同时由于每次写人数据时磁场强度并不完全一致,这种不一致性导致新旧数据之间产生“层次”差.剩余磁化及“层次”差都可能通过高灵敏的显微镜探测方法探测到,经过分析与计算,对原始数据进行“深层信号还原”可以恢复以前的影子数据。
分析了目前国内硬盘磁带数据销毁现状及数据销毁的难点,再谈谈现阶段常用的数据销毁技术及优缺点,常见的数据销毁方式分为数据覆写、消磁、盘体销毁三种。
一、数据覆写
数据覆写是将非保密数据写入以前存有敏感数据的存储位置的过程.硬盘上的数据都是以二进制的“1”和"0"形式存储的.使用预先定义的无意义、无规律的信息覆盖硬盘上原先存储的数据,完全覆写后就无法知道原先的数据是0还是1,也就达到了清除数据的目的。根据数据覆写时的具体顺序,软件覆写分为逐位覆写、跳位覆写、随机覆写等模式.根据时间、密级的不同要求,可组合使用上述模式。美国国防部的DOD 5220.22_M标准和北约NATO的多次覆写标准规定了覆写数据的次数,覆写数据的形式。美国国防部订立的硬盘清洗规范,要求数据必须对所要清除的数据区进行三次覆盖,在不了解存储器实际编码方式的情况下,为了尽量增强数据覆写的有效性,正确确定覆写的次数与覆写数据的样式非常重要。采用不同类型的数据,对要删除的数据的存储位置进行多次覆写的方法,是数据销毁的有效途径,处理后的硬盘可以循环使用,适应于密级要求不是很高的场合.特别是需要对某一具体文件进行删除而其它文件不能破坏时,这种方法更为可取。覆写软件必须能确保对介质上所有的可寻址部分执行连续写入,如果在覆写期间发生了错误或坏扇区不能被覆写;软件本身遭到非授权修改时,处理后的硬盘仍有恢复数据的可能.因此该方法不适用于包含高度机密信息的硬盘磁带,同样也不适用于有故障的硬盘或磁带,且费时较长。
二、消磁
消磁操作通常借助消磁机来实现,消磁机的工作原理是对磁性存储介质(如硬盘、磁带)施加瞬间强磁场,使介质表面的磁性颗粒极性方向发生改变,失去表示数据的意义。
下图形象展示了硬盘销毁数据前后的磁性颗粒极性排列方向。
由上图可以看出,销毁前,硬盘盘面上的磁性颗粒沿磁道方向排列,不同的N/S极连接方向分别代表数据“0"或“1",当对其施加足够强的磁场后,磁性颗粒就会改变成沿场强方向顺序排列,两图比较可以看出,经过强磁场处理过的硬盘表面完全失去了表示信息的意义。如果整个硬盘磁带上的数据不加选择的被全部销毁,消磁是一种有效的方法.对一些曾记载过较高密级信息的硬盘磁带,必须使用消磁技术进行处理。消磁最突出的特点就是快捷高效,方便监控和审计,可在办公区操作。消磁后的硬盘不能直接使用,可用于保修服务或丢弃。
三、 盘体销毁
硬盘销毁通常采用物理破坏或化学腐蚀的方法把记录有涉密数据的物理载体完全破坏掉,从而从根本上解决数据泄露的问题。常见的物理破坏方法有在焚化、熔炼和粉碎等。物理破坏需要特定的环境和设备,且费时、费力、效果差,有污染,基本未被广泛采用。
随着信息化的不断深入,数据恢复和搜索技术的迅速发展,单一僵化的数据销毁手段已不能适应时代需要,也会造成资源的严重浪费。制定科学规范的管理流程,配备合适的数据销毁设备,实行信息分密级多环节处理等方式,达到信息利用与安全的完美平衡。