数据销毁方式及安全性分析
发布时间:2009-10-13 10:14◎袁 艺 张晓华 李亚秀
数据安全是信息安全的核心问题之一,数据安全不仅包括数据加密、访问控制、备份与恢复等以保持数据完整性为目的的诸多工作,也包括以完全破坏数据完整性为目的的数据销毁工作。数据销毁是指采用各种技术手段将计算机存储设备中的数据予以彻底删除,避免非授权用户利用残留数据恢复原始数据信息,以达到保护关键数据的目的。由于信息载体的性质不同,与纸质文件相比,数据文件的销毁技术更为复杂,程序更为繁琐,成本更为高昂。在国防、行政、商业等领域,出于保密要求存在着大量需要进行销毁的数据,只有采取正确的销毁方式,才能达到销毁目的。
数据文件通常存储在U盘、硬盘和光盘中。由于这三种存储介质的原理和特点各异,对于这三类介质中数据的销毁方式、实施难度也各不相同。通常说来,硬盘等磁性存储设备以模拟方式存储数字信号,存在剩磁效应,给彻底销毁数据带来了一定困难。U盘采用半导体介质存储数据,是纯“数字”式存储,没有剩磁效应,只需进行完全覆盖操作就能安全销毁数据,因而销毁难度较小。光盘的脆弱性也降低了物理销毁的难度,实现起来相对比较容易。因此,本文重点介绍硬盘数据的销毁。
硬盘数据存储原理
要了解硬盘数据的销毁,必须先搞清硬盘数据存储的基本原理。硬盘的数据结构主要由固件区、主引导记录、各分区系统引导记录、文件分配表、文件目录区、数据区等区域组成。文件分配表是一个文件寻址系统,目录区用于配合文件分配表准确定位文件,数据区是用于存放数据,它占据了硬盘的大部分空间。硬盘里有一组磁盘片,磁道在盘片上呈同心圆分布,读写磁头在盘片的表面来回移动访问硬盘的各个区域,因此文件可以随机地分布在磁盘的各个位置上,同一文件的各个部分不一定会顺序存放。存放在磁盘上的数据以簇为分配单位,大的文件可能占用多达数千、数万簇,分散在整个磁盘上。操作系统的文件子系统负责文件各个部分的组织和管理,其基本原理是用一个类似首簇的文件起点入口,再包含一个指向下一簇地址的指针,从而找到文件的下一簇,依此类推,直到出现文件的结束标志为止。从以上原理我们可以知道,数据是随机存放在数据区的,只要数据区没有被破坏,数据就没有完全销毁,就存在恢复的可能。
此外,每块硬盘在出厂时其扇区上都会保留一小部分存储空间,这部分保留起来的存储空间被称为替换扇区,由于替换扇区处于隐藏状态,所以操作系统无法访问该区域。而持有固件区密码的硬盘厂家却能访问替换扇区内的数据。因此,硬盘在出厂时就可能被预留后门,把硬盘工作过程中的有关数据转存到替换扇区,成为数据销毁的死角。所以要安全销毁硬盘数据,不仅要销毁标准扇区中的数据,还要销毁替换扇区中的数据。
硬盘数据销毁还需要考虑的一个重要问题就是剩磁效应。由于磁介质会不同程度地永久性磁化,所以磁介质上记载的数据在一定程度上是抹除不净的。同时,由于每次写入数据时磁场强度并不完全一致,这种不一致性导致新旧数据之间产生“层次”差。剩余磁化及“层次”差都可能通过高灵敏的磁力扫描隧道显微镜探测到,经过分析与计算,对原始数据进行“深层信号还原”,从而恢复原始数据。尽管普通企业和个人难以得到这种尖端设备,但对于间谍机关来说却绝非难事。据不确切消息透露,美国军方甚至具备恢复被覆盖6次以上数据的能力。
数据销毁的误区
在日常使用过程中,用户往往采用删除、格式化硬盘、文件粉碎等办法来“销毁”数据,这是极不安全的做法。以下是对这几种“销毁”方式的安全性分析。
一是删除文件。事实上,删除操作并不能真正擦除磁盘数据区信息。操作系统由于考虑到操作效率等诸多方面因素,用户所使用的删除命令,只是将文件目录项做一个删除标记,把它们在文件分配表中所占用的簇标记为空簇,并没有对数据区进行任何改变。一些数据恢复工具软件正是利用这一点,绕过文件分配表,直接读取数据区,恢复被删除的文件,因此这种销毁数据的方法最不安全。
二是格式化硬盘。“格式化”又分高级格式化、低级格式化、快速格式化、分区格式化等多种类型。大多数情况下,普通用户采用的格式化不会影响到硬盘上的数据区。格式化仅仅是为操作系统创建一个全新的空文件索引,将所有的扇区标记为“未使用”状态,让操作系统认为硬盘上没有文件。因此,采用数据恢复工具软件也可以恢复格式化后数据区中的数据。
三是硬盘分区。对于“硬盘分区”这一操作,操作系统也只是修改了硬盘主引导记录和系统引导扇区,绝大部分的数据区并没有被修改。
四是使用文件粉碎软件。为满足用户彻底删除文件的需要,网上出现了一些专门的所谓文件粉碎软件,一些反病毒软件也增加了文件粉碎功能,不过这些软件大多没有通过专门机构的认证,其可信度和安全程度都值得怀疑,用于处理一般的私人数据还可以,而不能用于处理带密级的数据。
综上所述,当我们采取删除、格式化等常规操作来“销毁”数据时,事实上数据并没有被真正销毁,在新数据写入硬盘同一存储空间前,该数据会一直保留,从而存在被他人刻意恢复的风险。
数据软销毁
数据销毁方式可以分为软销毁和硬销毁两种。软销毁又称逻辑销毁,即通过数据覆盖等软件方法销毁数据。硬销毁则通过采用物理、化学方法直接销毁存储介质,从而彻底销毁其中的数据。
数据软销毁通常采用数据覆写法。数据覆写是将非保密数据写入以前存有敏感数据的硬盘簇的过程。硬盘上的数据都是以二进制的“1”和“0”形式存储的。使用预先定义的无意义、无规律的信息反复多次覆盖硬盘上原先存储的数据,就无法知道原先的数据是“1”还是“0”,也就达到了销毁数据的目的。
根据数据覆写时的具体顺序,可将其分为逐位覆写、跳位覆写、随机覆写等模式。根据时间、密级的不同要求,可组合使用上述模式。美国国防部网络与计算机安全标准和北约的多次覆写标准,规定了覆写数据的次数和覆写数据的格式,覆写次数与存储介质有关,有时与其敏感性有关,有时因国防部的需求有所不同。在不了解存储器实际编码方式的情况下,为了尽量增强数据覆写的有效性,正确确定覆写次数与覆写数据格式非常重要。
数据覆写法处理后的硬盘可以循环使用,适应于密级要求不是很高的场合,特别是需要对某一具体文件进行销毁而其他文件不能破坏时,这种方法更为可取。笔者认为到目前为止,数据覆写是较安全、最经济的数据软销毁方式。需要注意的是,覆写软件必须能确保对硬盘上所有的可寻址部分执行连续写入。如果在覆写期间发生了错误或坏扇区不能被覆写,或软件本身遭到非授权修改时,处理后的硬盘仍有恢复数据的可能,因此该方法不适用于存储高密级数据的硬盘,这类硬盘必须实施硬销毁。
数据硬销毁
数据硬销毁是指采用物理破坏或化学腐蚀的方法把记录涉密数据的物理载体完全破坏掉,从而从根本上解决数据泄露问题的销毁方式。数据硬销毁可分为物理销毁和化学销毁两种方式。物理销毁又可分为消磁,熔炉中焚化、熔炼,借助外力粉碎,研磨磁盘表面等方法。
消磁是磁介质被擦除的过程。销毁前硬盘盘面上的磁性颗粒沿磁道方向排列,不同的N/S极连接方向分别代表数据“0”或“1”,对硬盘施加瞬间强磁场,磁性颗粒就会沿场强方向一致排列,变成了清一色的“0”或“1”,失去了数据记录功能。如果整个硬盘上的数据需要不加选择地全部销毁,那么消磁是一种有效的方法。不过对于一些经消磁后仍达不到保密要求的磁盘或已损坏需废弃的涉密磁盘,以及曾记载过绝密信息的磁盘,就必须送专门机构作焚烧、熔炼或粉碎处理了。物理销毁方法费时、费力,一般只适用于保密要求较高的场合。化学销毁是指采用化学药品腐蚀、溶解、活化、剥离磁盘记录表面的数据销毁方法。化学销毁方法只能由专业人员在通风良好的环境中进行。
应注意的几个问题
在实际工作中,采取何种数据销毁方式,需要结合实际情况进行综合考虑。对于存有涉密信息的光盘,可以直接采用锤击、碾压等方法进行物理粉碎处理。目前,光盘粉碎机种类较多,价格也可以承受,建议需要经常销毁涉密光盘的单位购买使用,以提高销毁效率。对于存有涉密信息的U盘和硬盘,经过专业认证的软件进行多次数据覆写后,可以继续使用,但不能用于非保密计算机或联入互联网使用。如果涉密U盘和硬盘出现硬件故障后报废,则要送有关部门实行硬销毁。
在数据销毁过程中,还应注意以下问题:一是必须严格执行有关标准。目前,国家保密局已经制定颁发了强制标准《涉及国家秘密的载体销毁与信息消除安全保密要求》,对于涉密载体的销毁要遵照此标准执行,不可心存侥幸,擅自处理。二是要注意销毁备份数据。用户可能在他处对一些重要的涉密数据进行了备份,也需要一并销毁。涉密数据在处理和使用过程中,操作系统或应用软件的缓存中可能还存有数据内容的临时文件,也需要找出来一并销毁。
(摘自中国保密在线)