不要相信任何人。隨著時(shí)間的推移,越來(lái)越多的企業(yè)機(jī)構(gòu)開(kāi)始正視電子數(shù)據(jù)安全問(wèn)題,無(wú)論它是否隸屬于受管制的特殊行業(yè)。如何妥善地管理存檔數(shù)據(jù),成為眾多企業(yè)揮之不去的夢(mèng)魘,中間任何一個(gè)環(huán)節(jié)出錯(cuò),都有可能給公司帶來(lái)滅頂之災(zāi),永無(wú)翻身之日。數(shù)據(jù)泄漏的渠道多種多樣,最新的一個(gè)發(fā)現(xiàn)是“送到存儲(chǔ)供應(yīng)商那兒維修的故障磁盤(pán)”。是不是覺(jué)得很不可思議?
當(dāng)供應(yīng)商收到送修磁盤(pán)時(shí),有的會(huì)將盤(pán)片拆開(kāi)來(lái),換下故障的部件,然后將修好的磁盤(pán)返還給用戶;有時(shí)候只是做一個(gè)簡(jiǎn)單的診斷測(cè)試,確認(rèn)有故障后,干脆換一塊 新的磁盤(pán)給用戶。換下來(lái)的故障部件,乃至整塊磁盤(pán),都將會(huì)用于組裝新的磁盤(pán);或者,簡(jiǎn)單地維修一下,就直接流入二手市場(chǎng)。也就是說(shuō),如果原用戶殘留在故障 硬盤(pán)內(nèi)的數(shù)據(jù)沒(méi)有被清洗掉的話,極有可能泄露出去。
“我曾經(jīng)拿到一批為數(shù)25臺(tái)的筆記本電腦,使用的全是經(jīng)過(guò)翻新的二手磁盤(pán),上面殘留了不少以前用戶的數(shù)據(jù),”來(lái)自J&J PRD Instrument PC Support的系統(tǒng)支持分析師Paul Ressler介紹說(shuō),“也就是說(shuō),如果我對(duì)其中的內(nèi)容感興趣的話,只要借助合適的軟件工具,就可以將它們還原出來(lái)。”
聽(tīng)上去是不是挺恐怖的?隨著終端用戶們對(duì)私人敏感數(shù)據(jù)的安全意識(shí)不斷加強(qiáng),企業(yè)機(jī)構(gòu)所承受的壓力只會(huì)越來(lái)越大。由賓夕法尼亞州共和黨議員Arlen Specter和佛蒙特州民主黨議員Patrick Leahy共同起草的《個(gè)人隱私及安全數(shù)據(jù)法案》,在上周召開(kāi)的參議院議會(huì)上獲得了兩黨的一致支持。這項(xiàng)提案將被修憲,成為現(xiàn)行法律。依照其中的條款規(guī) 定,凡是存檔了任何形式的用戶私人信息資料——比如說(shuō),郵件發(fā)送清單——的公司機(jī)構(gòu),都必須通告資料所有者本人,讓他們知道該公司保有了他們的哪些信息數(shù) 據(jù),而且,應(yīng)該為資料所有者提供修改錯(cuò)誤信息的機(jī)會(huì)。如果資料持有人(即:公司機(jī)構(gòu))丟失了敏感的個(gè)人信息資料,或是有跡象顯示這些資料已經(jīng)泄露出去,或 存在外泄的風(fēng)險(xiǎn),資料持有人必須第一時(shí)間通知資料所有者、執(zhí)法機(jī)關(guān)和信用報(bào)告代理機(jī)構(gòu)。
現(xiàn)在,越來(lái)越多的企業(yè)和用戶開(kāi)始關(guān)注送修磁盤(pán)所引發(fā)的數(shù)據(jù)外泄問(wèn)題,“威脅到數(shù)據(jù)安全的因素變得越來(lái)越多,除了小偷和黑客之外,從存儲(chǔ)柜和服務(wù)器機(jī)箱中取出的故障磁盤(pán),也日漸演變?yōu)橹卮箅[患,必須引起高度重視,”一位用戶指出。
對(duì)于送往異地修理的故障磁盤(pán),用戶提出了幾項(xiàng)建議,“符合國(guó)防部標(biāo)準(zhǔn)的擦除處理(Department of Defense wipe)”就屬于其中之一,至少將磁盤(pán)格式化并寫(xiě)入數(shù)據(jù)7次(注:其步驟包括完全格式化磁盤(pán),然后寫(xiě)入由0和1組成的數(shù)據(jù)流;反轉(zhuǎn)數(shù)據(jù)流中的0和1并再 次寫(xiě)入;最后,寫(xiě)入隨機(jī)的數(shù)據(jù)流)。這些一來(lái),即使以后有人想辦法還原了舊磁盤(pán)里的殘存數(shù)據(jù),也只能得到一些不可讀的垃圾信息。
據(jù)用戶們反應(yīng),有一些軟件程序可有效擦除磁盤(pán)內(nèi)殘留的數(shù)據(jù),比如說(shuō)Ultimate Boot for Windows和BartPE,它們大多是由一些熱愛(ài)編程的程序設(shè)計(jì)師們利用業(yè)余時(shí)間編寫(xiě)的;此外,諸如OnTrack Inc.之類的數(shù)據(jù)容災(zāi)恢復(fù)服務(wù)外包商也推出專門(mén)的磁盤(pán)覆蓋服務(wù)。不過(guò),無(wú)論你選擇以上哪種方案,都必須滿足一個(gè)前提:磁盤(pán)并沒(méi)有出故障。
也有一些用戶建議對(duì)磁盤(pán)上的數(shù)據(jù)實(shí)行加密處理,“防患于未然,是十分必要的,”一位用戶表示,“對(duì)磁盤(pán)上的數(shù)據(jù)進(jìn)行加密。無(wú)論是你使用的是DAS系統(tǒng)、 NAS系統(tǒng)還是SAN系統(tǒng),都有多種加密技術(shù)可供挑選。”當(dāng)然,這種處理方法也存在一定“弊病”,比如說(shuō),系統(tǒng)的整體性能會(huì)受到影響、存儲(chǔ)成本增加,等 等。
另一些用戶主張對(duì)磁盤(pán)做“消磁”處理,通過(guò)產(chǎn)生瞬時(shí)強(qiáng)磁場(chǎng)達(dá)到銷毀數(shù)據(jù)的目的。目前市面上有各種品牌的消磁機(jī)出售——“在連鎖的Radio Shack電子產(chǎn)品零售商店內(nèi)就能買(mǎi)到,”來(lái)自某大型宇航機(jī)構(gòu)的系統(tǒng)工程師Brett Osborne表示——不要求磁盤(pán)上的數(shù)據(jù)能夠被正常訪問(wèn)或操作,換言之,這種方案對(duì)故障磁盤(pán)同樣適用。
“消磁處理,如果操作得當(dāng)?shù)脑挘麄€(gè)過(guò)程會(huì)非常簡(jiǎn)單。它可以有效地擦除任何磁盤(pán)上的任何數(shù)據(jù),特別適合于存在重復(fù)利用價(jià)值的存儲(chǔ)設(shè)備,”Osborne表示。
不過(guò),Osborne本人也承認(rèn),“如果處理的對(duì)象是關(guān)鍵業(yè)務(wù)數(shù)據(jù)的話,不建議采用這種辦法。理論上來(lái)講,即使是經(jīng)過(guò)消磁處理的磁盤(pán),上面存放的數(shù)據(jù)也是可以還原的,世事難料啊!”
物理銷毀:最穩(wěn)妥的解決之道
事實(shí)上,我們不得不承認(rèn),隨著科技水平的不斷提高,沒(méi)有數(shù)據(jù)是絕對(duì)無(wú)法修復(fù)的。
“1986年,‘挑戰(zhàn)者’號(hào)宇宙飛船發(fā)射升空后沒(méi)多久就爆炸了,3周后,在大西洋底打撈出來(lái)的機(jī)身殘骸中找到了黑匣子,它被送到了亞利桑那州 Tucson,在專業(yè)實(shí)驗(yàn)室內(nèi)進(jìn)行數(shù)據(jù)重組,”來(lái)自日立數(shù)據(jù)系統(tǒng)有限公司(HDS)的高級(jí)存儲(chǔ)應(yīng)用主管Claus Mikkelsen介紹說(shuō),“哪怕磁介質(zhì)經(jīng)歷了如此可怕的大爆炸、并在咸海水中浸泡了3周之久,哪怕最后送到實(shí)驗(yàn)室中的只是一塊塊的磁盤(pán)碎片,上面存儲(chǔ)的 數(shù)據(jù)經(jīng)過(guò)重組之后,全部被修復(fù)了。要知道,這是20年前發(fā)生的事情了,當(dāng)時(shí)的科技水平已經(jīng)這么發(fā)達(dá)了。”
順便補(bǔ)充一句,沒(méi)有公司愿意耗費(fèi)時(shí)間和人力資源,來(lái)對(duì)故障的磁盤(pán)驅(qū)動(dòng)器實(shí)行消磁處理。大多數(shù)用戶一致認(rèn)為,徹底銷毀物理磁介質(zhì),才是最穩(wěn)妥的解決辦法,否則,很難確保磁盤(pán)上殘存的數(shù)據(jù)不會(huì)流入第三者手中。
Ressler表示,“以前,美國(guó)陸戰(zhàn)隊(duì)的一個(gè)哥們?cè)?jīng)告訴我,他從不擔(dān)心數(shù)據(jù)外泄的問(wèn)題,軍隊(duì)有軍隊(duì)的解決辦法:將需要銷毀的磁盤(pán)扔在地上,隨便調(diào)來(lái)一輛M1A1 Abrams坦克,在上面來(lái)回碾上幾回,你覺(jué)得還能剩下點(diǎn)什么呢?”
“當(dāng)然,”Ressler默然,“并不是每個(gè)人都調(diào)用得了M1A1 Abrams坦克……”
歸根究底還是存儲(chǔ)供應(yīng)商的錯(cuò),他們所做出的“銷毀所有故障磁盤(pán)”的承諾,毫無(wú)信譽(yù)可言——送修的磁盤(pán)或磁盤(pán)零部件都無(wú)一例外地被投入循環(huán)再使用。
供應(yīng)商難逃罪責(zé)
有一些存儲(chǔ)供應(yīng)商已漸漸意識(shí)到問(wèn)題的嚴(yán)重性,并出臺(tái)了一系列改善措施。諸如EMC、HDS、HP之類的大廠商希望通過(guò)推出上門(mén)維修故障磁盤(pán)、按照DoD標(biāo)準(zhǔn)擦除磁盤(pán)殘存數(shù)據(jù)、物理銷毀磁盤(pán)等服務(wù),來(lái)緩解用戶的擔(dān)憂。
不過(guò),一旦談起“供應(yīng)商是否愿意就整個(gè)過(guò)程承擔(dān)最終的法律責(zé)任”這一問(wèn)題時(shí),所有的廠商都會(huì)變得支支吾吾,拒絕給出明確的承諾。所以,也難怪用戶們會(huì)對(duì)供應(yīng)商喪失信心。
“供應(yīng)商們并不愿意合同中出現(xiàn)‘liability(責(zé)任)’之類的字眼兒,這會(huì)給他們帶來(lái)很大的壓力,”EMC公司的公共關(guān)系部主管Michael Gallant解釋說(shuō),“這個(gè)單詞,往往成為判定合同一方有無(wú)違約、或做出不當(dāng)行為的最終依據(jù)。事實(shí)上,究竟誰(shuí)是誰(shuí)非,應(yīng)該結(jié)合具體的案例來(lái)判斷,不能一 概而論。”
“我不想談責(zé)任問(wèn)題,”惠普(HP)Storageworks事業(yè)部的高級(jí)技術(shù)專家Abbot Schindler表示,“這牽涉到法律條文,顯然不是我的強(qiáng)項(xiàng)。”
“惠普是我們公司的重要存儲(chǔ)供應(yīng)商,”一位用戶介紹說(shuō),“當(dāng)我們?cè)儐?wèn)能否確保送修磁盤(pán)上的數(shù)據(jù)的安全,能否保證送修后的磁盤(pán)在被送到其它地方(比如說(shuō)二級(jí) 市場(chǎng)、流水線)之前,所有殘留的數(shù)據(jù)都被加密或擦除時(shí),惠普拒絕給出肯定的答復(fù)。我本來(lái)以為存儲(chǔ)供應(yīng)商會(huì)主動(dòng)承擔(dān)起‘銷毀磁盤(pán)殘留數(shù)據(jù)’的責(zé)任——惠普的 回避態(tài)度,讓我對(duì)故障磁盤(pán)的數(shù)據(jù)安全性十分擔(dān)憂。”
據(jù)Schindler介紹,惠普公司會(huì)將返修的磁盤(pán)驅(qū)動(dòng)器送回到制造商那兒,不同的制造商會(huì)采取不同的處理方式。有些磁盤(pán)制造商會(huì)將故障磁盤(pán)拆成零部件, 重新進(jìn)行組裝;有些磁盤(pán)制造商只是對(duì)故障磁盤(pán)進(jìn)行簡(jiǎn)單的翻新,然后就重新推出市場(chǎng)。Schindler承認(rèn),惠普公司暫時(shí)尚未出臺(tái)一套規(guī)范的措施,來(lái)監(jiān)控 磁盤(pán)制造商處理故障磁盤(pán)的流程。
用戶們普遍認(rèn)為,將數(shù)據(jù)中心內(nèi)送出的故障磁盤(pán)交由第三方來(lái)處理,相對(duì)可靠一些。未來(lái)的某一天,磁盤(pán)供應(yīng)商或制造商或許會(huì)承擔(dān)起第三方的“角色”;但是,現(xiàn) 階段,這個(gè)“第三方”特指的是諸如OnTrack Data Recovery、Iron Mountain Inc.之類可提供負(fù)法律責(zé)任的數(shù)據(jù)安全保障的存儲(chǔ)服務(wù)機(jī)構(gòu)。
此外,Ressler和Osborne也一致認(rèn)為,企業(yè)用戶送回廠商那兒維修的故障磁盤(pán),必須由專人或?qū)iT(mén)的運(yùn)輸公司押送,三方必須簽署正式的合同,確保 這批磁盤(pán)會(huì)如數(shù)地送回到企業(yè)手中(無(wú)論是修好還是沒(méi)修好),這樣一來(lái),企業(yè)仍然可以采取其它手段來(lái)處理這批磁盤(pán),避免資料外泄。
“這種處理方式并不適合我們公司,因?yàn)椋覀兊奶幚矸椒ǜ鼮楹?jiǎn)單,哪怕是磁盤(pán)出現(xiàn)了故障,我們也不會(huì)送回到原廠或供應(yīng)商那兒維修,總而言之,就是不讓數(shù)據(jù) 流到公司之外的地方。”Osborne表示,“如果其它企業(yè)出于某種原因,不得不將存放著數(shù)據(jù)的介質(zhì)送到公司之外的地方,至少應(yīng)該與供應(yīng)商簽署一份責(zé)任合 同,明確最低安全與非公開(kāi)要求;或者,干脆向那些口碑較好的、經(jīng)驗(yàn)豐富的、可提供安全擔(dān)保的第三方存儲(chǔ)服務(wù)機(jī)構(gòu)尋求幫助
如何進(jìn)行數(shù)據(jù)清除
由于磁盤(pán)可以重復(fù)使用,前面的數(shù)據(jù)被后面的數(shù)據(jù)覆寫(xiě)后,前面的數(shù)據(jù)被還原的可能性就大大降低了,隨著被覆寫(xiě)次數(shù)的增多,能夠被還原的可能性就趨于0, 但相應(yīng)的時(shí)間支出也就越多。密級(jí)要求的高低對(duì)應(yīng)著不同的標(biāo)準(zhǔn),低密級(jí)要求的就是一次性將磁盤(pán)全部覆寫(xiě);高密級(jí)要求則須進(jìn)行多次多規(guī)則覆寫(xiě)。
♂參考: 美國(guó)國(guó)防部 DOD 的 5220.22M 標(biāo)準(zhǔn);北約 NATO 的標(biāo)準(zhǔn)
參考標(biāo)準(zhǔn)實(shí)質(zhì)就是多次覆寫(xiě)的標(biāo)準(zhǔn),規(guī)定了覆蓋數(shù)據(jù)的次數(shù),覆蓋數(shù)據(jù)的形式。
* 覆寫(xiě)原理(Overwriting)
覆寫(xiě)是指使用預(yù)先定義的格式——無(wú)意義、無(wú)規(guī)律的信息來(lái)覆蓋硬盤(pán)上原先存儲(chǔ)的數(shù)據(jù)。這是銷毀數(shù)據(jù)的既有效又可操作的方法。如果數(shù)據(jù)被“成功”的完全覆寫(xiě),即使只覆寫(xiě)一次,也可以認(rèn)為數(shù)據(jù)是不可恢復(fù)的。
硬盤(pán)上的數(shù)據(jù)都是以二進(jìn)制的“1”和“0”形式存儲(chǔ)的。完全覆寫(xiě)后也就無(wú)法知道原先的數(shù)據(jù)是“1”還是“0”了,也就達(dá)到了清除數(shù)據(jù)的目的。
* 覆寫(xiě)的方法:
根據(jù)覆寫(xiě)時(shí)的具體順序,軟件覆寫(xiě)分為逐位覆寫(xiě)、跳位覆寫(xiě)、隨機(jī)覆寫(xiě)等模式,根據(jù)時(shí)間、密級(jí)的不同要求,可組合使用上述模式,可靠的專業(yè)清除軟件應(yīng)同時(shí)支持多種模式。
* 覆寫(xiě)的局限性:
既然,一次完全的覆寫(xiě)就可以徹底清除數(shù)據(jù),那標(biāo)準(zhǔn)為什么還要規(guī)定須多次覆寫(xiě)呢?因?yàn)榇判盘?hào)泄露了數(shù)據(jù)的歷史痕跡,可以通過(guò)特殊的專業(yè)設(shè)備來(lái)識(shí)別痕跡進(jìn)而恢復(fù)被覆蓋的數(shù)據(jù)。這也是相關(guān)標(biāo)準(zhǔn)的制定原因。
如果磁頭定位系統(tǒng)不是足夠精確,那么在進(jìn)行覆寫(xiě)時(shí),原先的數(shù)據(jù)不會(huì)被完全精確的覆蓋。由于磁道的偏移,可以將原先的數(shù)據(jù)從當(dāng)前磁道的痕跡辨別出來(lái)。(見(jiàn)上圖)
但是這是需要專門(mén)的特殊設(shè)備的,而且這種設(shè)備也是受控的、限制銷售的,通常只有特別的部門(mén)才可能擁有;因此說(shuō),被覆蓋的數(shù)據(jù)使用現(xiàn)有的技術(shù)是不可恢復(fù)的,到目前為止,數(shù)據(jù)清除是最安全的、最經(jīng)濟(jì)的銷毀數(shù)據(jù)的方法
數(shù)據(jù)刪除也是數(shù)據(jù)安全?
刪除磁盤(pán)數(shù)據(jù)的常規(guī)方法主要有:刪除和格式化。從實(shí)現(xiàn)方法和實(shí)際效果看,二者差別不大。
* 刪除(Delete):
“刪除(Delete)”是刪除數(shù)據(jù)最便捷的方法,如:經(jīng)常采用的“Delete”的系統(tǒng)刪除命令。實(shí)際上并沒(méi)有真正的將數(shù)據(jù)從硬盤(pán)上刪除,只是將文件的索引刪除而已,讓操作系統(tǒng)和使用者認(rèn)為文件已經(jīng)刪除,又可以把騰出空間存儲(chǔ)新的數(shù)據(jù)。
這種方法是最不安全的,只能欺騙普通使用者,但也是大家所熟知的。數(shù)據(jù)恢復(fù)極易恢復(fù)此類不見(jiàn)的數(shù)據(jù),而且也有很多專門(mén)進(jìn)行數(shù)據(jù)恢復(fù)的軟件。
* 格式化(Format)
“格式化”有許多不同的含義:物理的或低級(jí)格式化,操作系統(tǒng)的格式化,快速格式化,分區(qū)格式化等等…
大多數(shù)情況下,普通用戶采用的格式化不會(huì)影響到硬盤(pán)上的數(shù)據(jù)。格式化僅僅是為操作系統(tǒng)創(chuàng)建一個(gè)全新的空的文件索引,將所有的扇區(qū)標(biāo)記為“未使用”的狀態(tài),讓操作系統(tǒng)認(rèn)為硬盤(pán)上沒(méi)有文件。
因此,格式化后的硬盤(pán)數(shù)據(jù)也是能夠恢復(fù)的,也就意味著數(shù)據(jù)的不安全。