不要相信任何人。随着时间的推移,越来越多的企业机构开始正视电子数据安全问题,无论它是否隶属于受管制的特殊行业。如何妥善地管理存档数据,成为众多企业挥之不去的梦魇,中间任何一个环节出错,都有可能给公司带来灭顶之灾,永无翻身之日。数据泄漏的渠道多种多样,最新的一个发现是“送到存储供应商那儿维修的故障磁盘”。是不是觉得很不可思议?
当供应商收到送修磁盘时,有的会将盘片拆开来,换下故障的部件,然后将修好的磁盘返还给用户;有时候只是做一个简单的诊断测试,确认有故障后,干脆换一块 新的磁盘给用户。换下来的故障部件,乃至整块磁盘,都将会用于组装新的磁盘;或者,简单地维修一下,就直接流入二手市场。也就是说,如果原用户残留在故障 硬盘内的数据没有被清洗掉的话,极有可能泄露出去。
“我曾经拿到一批为数25台的笔记本电脑,使用的全是经过翻新的二手磁盘,上面残留了不少以前用户的数据,”来自J&J PRD Instrument PC Support的系统支持分析师Paul Ressler介绍说,“也就是说,如果我对其中的内容感兴趣的话,只要借助合适的软件工具,就可以将它们还原出来。”
听上去是不是挺恐怖的?随着终端用户们对私人敏感数据的安全意识不断加强,企业机构所承受的压力只会越来越大。由宾夕法尼亚州共和党议员Arlen Specter和佛蒙特州民主党议员Patrick Leahy共同起草的《个人隐私及安全数据法案》,在上周召开的参议院议会上获得了两党的一致支持。这项提案将被修宪,成为现行法律。依照其中的条款规 定,凡是存档了任何形式的用户私人信息资料——比如说,邮件发送清单——的公司机构,都必须通告资料所有者本人,让他们知道该公司保有了他们的哪些信息数 据,而且,应该为资料所有者提供修改错误信息的机会。如果资料持有人(即:公司机构)丢失了敏感的个人信息资料,或是有迹象显示这些资料已经泄露出去,或 存在外泄的风险,资料持有人必须第一时间通知资料所有者、执法机关和信用报告代理机构。
现在,越来越多的企业和用户开始关注送修磁盘所引发的数据外泄问题,“威胁到数据安全的因素变得越来越多,除了小偷和黑客之外,从存储柜和服务器机箱中取出的故障磁盘,也日渐演变为重大隐患,必须引起高度重视,”一位用户指出。
对于送往异地修理的故障磁盘,用户提出了几项建议,“符合国防部标准的擦除处理(Department of Defense wipe)”就属于其中之一,至少将磁盘格式化并写入数据7次(注:其步骤包括完全格式化磁盘,然后写入由0和1组成的数据流;反转数据流中的0和1并再 次写入;最后,写入随机的数据流)。这些一来,即使以后有人想办法还原了旧磁盘里的残存数据,也只能得到一些不可读的垃圾信息。
据用户们反应,有一些软件程序可有效擦除磁盘内残留的数据,比如说Ultimate Boot for Windows和BartPE,它们大多是由一些热爱编程的程序设计师们利用业余时间编写的;此外,诸如OnTrack Inc.之类的数据容灾恢复服务外包商也推出专门的磁盘覆盖服务。不过,无论你选择以上哪种方案,都必须满足一个前提:磁盘并没有出故障。
也有一些用户建议对磁盘上的数据实行加密处理,“防患于未然,是十分必要的,”一位用户表示,“对磁盘上的数据进行加密。无论是你使用的是DAS系统、 NAS系统还是SAN系统,都有多种加密技术可供挑选。”当然,这种处理方法也存在一定“弊病”,比如说,系统的整体性能会受到影响、存储成本增加,等 等。
另一些用户主张对磁盘做“消磁”处理,通过产生瞬时强磁场达到销毁数据的目的。目前市面上有各种品牌的消磁机出售——“在连锁的Radio Shack电子产品零售商店内就能买到,”来自某大型宇航机构的系统工程师Brett Osborne表示——不要求磁盘上的数据能够被正常访问或操作,换言之,这种方案对故障磁盘同样适用。
“消磁处理,如果操作得当的话,整个过程会非常简单。它可以有效地擦除任何磁盘上的任何数据,特别适合于存在重复利用价值的存储设备,”Osborne表示。
不过,Osborne本人也承认,“如果处理的对象是关键业务数据的话,不建议采用这种办法。理论上来讲,即使是经过消磁处理的磁盘,上面存放的数据也是可以还原的,世事难料啊!”
物理销毁:最稳妥的解决之道
事实上,我们不得不承认,随着科技水平的不断提高,没有数据是绝对无法修复的。
“1986年,‘挑战者’号宇宙飞船发射升空后没多久就爆炸了,3周后,在大西洋底打捞出来的机身残骸中找到了黑匣子,它被送到了亚利桑那州 Tucson,在专业实验室内进行数据重组,”来自日立数据系统有限公司(HDS)的高级存储应用主管Claus Mikkelsen介绍说,“哪怕磁介质经历了如此可怕的大爆炸、并在咸海水中浸泡了3周之久,哪怕最后送到实验室中的只是一块块的磁盘碎片,上面存储的 数据经过重组之后,全部被修复了。要知道,这是20年前发生的事情了,当时的科技水平已经这么发达了。”
顺便补充一句,没有公司愿意耗费时间和人力资源,来对故障的磁盘驱动器实行消磁处理。大多数用户一致认为,彻底销毁物理磁介质,才是最稳妥的解决办法,否则,很难确保磁盘上残存的数据不会流入第三者手中。
Ressler表示,“以前,美国陆战队的一个哥们曾经告诉我,他从不担心数据外泄的问题,军队有军队的解决办法:将需要销毁的磁盘扔在地上,随便调来一辆M1A1 Abrams坦克,在上面来回碾上几回,你觉得还能剩下点什么呢?”
“当然,”Ressler默然,“并不是每个人都调用得了M1A1 Abrams坦克……”
归根究底还是存储供应商的错,他们所做出的“销毁所有故障磁盘”的承诺,毫无信誉可言——送修的磁盘或磁盘零部件都无一例外地被投入循环再使用。
供应商难逃罪责
有一些存储供应商已渐渐意识到问题的严重性,并出台了一系列改善措施。诸如EMC、HDS、HP之类的大厂商希望通过推出上门维修故障磁盘、按照DoD标准擦除磁盘残存数据、物理销毁磁盘等服务,来缓解用户的担忧。
不过,一旦谈起“供应商是否愿意就整个过程承担最终的法律责任”这一问题时,所有的厂商都会变得支支吾吾,拒绝给出明确的承诺。所以,也难怪用户们会对供应商丧失信心。
“供应商们并不愿意合同中出现‘liability(责任)’之类的字眼儿,这会给他们带来很大的压力,”EMC公司的公共关系部主管Michael Gallant解释说,“这个单词,往往成为判定合同一方有无违约、或做出不当行为的最终依据。事实上,究竟谁是谁非,应该结合具体的案例来判断,不能一 概而论。”
“我不想谈责任问题,”惠普(HP)Storageworks事业部的高级技术专家Abbot Schindler表示,“这牵涉到法律条文,显然不是我的强项。”
“惠普是我们公司的重要存储供应商,”一位用户介绍说,“当我们询问能否确保送修磁盘上的数据的安全,能否保证送修后的磁盘在被送到其它地方(比如说二级 市场、流水线)之前,所有残留的数据都被加密或擦除时,惠普拒绝给出肯定的答复。我本来以为存储供应商会主动承担起‘销毁磁盘残留数据’的责任——惠普的 回避态度,让我对故障磁盘的数据安全性十分担忧。”
据Schindler介绍,惠普公司会将返修的磁盘驱动器送回到制造商那儿,不同的制造商会采取不同的处理方式。有些磁盘制造商会将故障磁盘拆成零部件, 重新进行组装;有些磁盘制造商只是对故障磁盘进行简单的翻新,然后就重新推出市场。Schindler承认,惠普公司暂时尚未出台一套规范的措施,来监控 磁盘制造商处理故障磁盘的流程。
用户们普遍认为,将数据中心内送出的故障磁盘交由第三方来处理,相对可靠一些。未来的某一天,磁盘供应商或制造商或许会承担起第三方的“角色”;但是,现 阶段,这个“第三方”特指的是诸如OnTrack Data Recovery、Iron Mountain Inc.之类可提供负法律责任的数据安全保障的存储服务机构。
此外,Ressler和Osborne也一致认为,企业用户送回厂商那儿维修的故障磁盘,必须由专人或专门的运输公司押送,三方必须签署正式的合同,确保 这批磁盘会如数地送回到企业手中(无论是修好还是没修好),这样一来,企业仍然可以采取其它手段来处理这批磁盘,避免资料外泄。
“这种处理方式并不适合我们公司,因为,我们的处理方法更为简单,哪怕是磁盘出现了故障,我们也不会送回到原厂或供应商那儿维修,总而言之,就是不让数据 流到公司之外的地方。”Osborne表示,“如果其它企业出于某种原因,不得不将存放着数据的介质送到公司之外的地方,至少应该与供应商签署一份责任合 同,明确最低安全与非公开要求;或者,干脆向那些口碑较好的、经验丰富的、可提供安全担保的第三方存储服务机构寻求帮助
如何进行数据清除
由于磁盘可以重复使用,前面的数据被后面的数据覆写后,前面的数据被还原的可能性就大大降低了,随着被覆写次数的增多,能够被还原的可能性就趋于0, 但相应的时间支出也就越多。密级要求的高低对应着不同的标准,低密级要求的就是一次性将磁盘全部覆写;高密级要求则须进行多次多规则覆写。
♂参考: 美国国防部 DOD 的 5220.22M 标准;北约 NATO 的标准
参考标准实质就是多次覆写的标准,规定了覆盖数据的次数,覆盖数据的形式。
* 覆写原理(Overwriting)
覆写是指使用预先定义的格式——无意义、无规律的信息来覆盖硬盘上原先存储的数据。这是销毁数据的既有效又可操作的方法。如果数据被“成功”的完全覆写,即使只覆写一次,也可以认为数据是不可恢复的。
硬盘上的数据都是以二进制的“1”和“0”形式存储的。完全覆写后也就无法知道原先的数据是“1”还是“0”了,也就达到了清除数据的目的。
* 覆写的方法:
根据覆写时的具体顺序,软件覆写分为逐位覆写、跳位覆写、随机覆写等模式,根据时间、密级的不同要求,可组合使用上述模式,可靠的专业清除软件应同时支持多种模式。
* 覆写的局限性:
既然,一次完全的覆写就可以彻底清除数据,那标准为什么还要规定须多次覆写呢?因为磁信号泄露了数据的历史痕迹,可以通过特殊的专业设备来识别痕迹进而恢复被覆盖的数据。这也是相关标准的制定原因。
如果磁头定位系统不是足够精确,那么在进行覆写时,原先的数据不会被完全精确的覆盖。由于磁道的偏移,可以将原先的数据从当前磁道的痕迹辨别出来。(见上图)
但是这是需要专门的特殊设备的,而且这种设备也是受控的、限制销售的,通常只有特别的部门才可能拥有;因此说,被覆盖的数据使用现有的技术是不可恢复的,到目前为止,数据清除是最安全的、最经济的销毁数据的方法
数据删除也是数据安全?
删除磁盘数据的常规方法主要有:删除和格式化。从实现方法和实际效果看,二者差别不大。
* 删除(Delete):
“删除(Delete)”是删除数据最便捷的方法,如:经常采用的“Delete”的系统删除命令。实际上并没有真正的将数据从硬盘上删除,只是将文件的索引删除而已,让操作系统和使用者认为文件已经删除,又可以把腾出空间存储新的数据。
这种方法是最不安全的,只能欺骗普通使用者,但也是大家所熟知的。数据恢复极易恢复此类不见的数据,而且也有很多专门进行数据恢复的软件。
* 格式化(Format)
“格式化”有许多不同的含义:物理的或低级格式化,操作系统的格式化,快速格式化,分区格式化等等…
大多数情况下,普通用户采用的格式化不会影响到硬盘上的数据。格式化仅仅是为操作系统创建一个全新的空的文件索引,将所有的扇区标记为“未使用”的状态,让操作系统认为硬盘上没有文件。
因此,格式化后的硬盘数据也是能够恢复的,也就意味着数据的不安全。