雷磊 王越 孟粉霞

西北核技術(shù)研究所 陜西 710024

0 前言

數(shù)據(jù)安全的核心是存儲安全，在現(xiàn)今IT飛速發(fā)展的時(shí)代，無論是政府機(jī)關(guān)、軍隊(duì)、還是企業(yè)、家庭的重要數(shù)據(jù)大都以電子形式存儲在臺式機(jī)硬盤、筆記本硬盤、可移動(dòng)硬盤、服務(wù)器硬盤、存儲磁帶庫、移動(dòng)硬盤、U盤、數(shù)碼存儲卡中。很多部門對于各自的敏感數(shù)據(jù)已經(jīng)擁有一套相對可靠的安全保護(hù)措施，然而還有一部分部門或個(gè)人對此重視不夠，僅停留在簡單常規(guī)地操作級別，從而存在敏感數(shù)據(jù)被竊取的風(fēng)險(xiǎn)和隱患。

1 數(shù)據(jù)的安全存儲及應(yīng)用

1.1 數(shù)據(jù)加密

數(shù)據(jù)加密目前是計(jì)算機(jī)系統(tǒng)對信息進(jìn)行保護(hù)的一種最可靠的辦法，它利用密碼技術(shù)對信息進(jìn)行加密，把加密后的密文信息存儲在存儲介質(zhì)中，實(shí)現(xiàn)敏感數(shù)據(jù)存儲和傳送過程中的機(jī)密性保護(hù)。數(shù)據(jù)加密有各種分類方法，按照實(shí)現(xiàn)手段可以分為四種：主機(jī)軟件加密(代表產(chǎn)品主要包括Symantec Veritas NetBackup、IBM TSM)、加密存儲安全交換機(jī)(代表產(chǎn)品包括CipherMax CM系列、思科的MDS系列)、嵌入式專門加密設(shè)備以及基于存儲層的存儲設(shè)備。

1.2 訪問控制

目前訪問控制技術(shù)主要致力于三個(gè)方面的研究：操作系統(tǒng)本身的訪問控制、邊界訪問控制、應(yīng)用系統(tǒng)的訪問控制。對操作系統(tǒng)的訪問控制能力，首先是開展對安全操作系統(tǒng)的研究?，F(xiàn)在的操作系統(tǒng)的大多數(shù)是C1、C2級，安全操作系統(tǒng)可以達(dá)到B1級。安全操作系統(tǒng)主要是提高了操作系統(tǒng)的強(qiáng)制訪問控制能力、安全審計(jì)能力、密碼存取能力，對進(jìn)程、文件、目錄的保護(hù)都得到加強(qiáng)。邊界訪問控制主要通過防火墻系統(tǒng)、支持VLAN的網(wǎng)絡(luò)設(shè)備來實(shí)現(xiàn)。應(yīng)用系統(tǒng)的訪問控制一般在應(yīng)用系統(tǒng)開發(fā)中單獨(dú)實(shí)現(xiàn)；有時(shí)也可以通過調(diào)用底層的操作系統(tǒng)訪問控制功能或者數(shù)據(jù)庫管理系統(tǒng)訪問控制功能。

1.3 備份與恢復(fù)

目前普遍的方法是對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的重要數(shù)據(jù)通過先進(jìn)的安全備份軟件進(jìn)行定期的增量備份和完全備份。所有備份操作都由安全備份軟件自動(dòng)完成。Acronis True Image是這方面的突出產(chǎn)品，它可以通過本地和網(wǎng)絡(luò)兩種方式進(jìn)行備份，采用的網(wǎng)絡(luò)備份設(shè)計(jì)如圖1所示，裝有Acronis的服務(wù)器定期通過網(wǎng)絡(luò)對主要服務(wù)器進(jìn)行增量備份和完全備份，所有終端也可以通過Acronis備份服務(wù)器進(jìn)行網(wǎng)絡(luò)備份。此備份恢復(fù)體系已經(jīng)在實(shí)踐中得到廣泛的應(yīng)用，并完成了數(shù)次災(zāi)難性恢復(fù)任務(wù)，很好地保證了服務(wù)器的正常運(yùn)行和敏感數(shù)據(jù)的完整保存。

圖1 服務(wù)器和終端備份系統(tǒng)設(shè)計(jì)圖

2 數(shù)據(jù)銷毀

數(shù)據(jù)加密、訪問控制、備份與恢復(fù)是我們進(jìn)行敏感數(shù)據(jù)日常安全存儲的必要環(huán)節(jié)，在現(xiàn)今IT時(shí)代技術(shù)已經(jīng)比較成熟，被廣泛應(yīng)用于需要存儲重要數(shù)據(jù)的各個(gè)領(lǐng)域。但是當(dāng)我們不再需要這些數(shù)據(jù)，但是又不能泄露它們否則會(huì)造成巨大損失時(shí)，就需要徹底銷毀它們，這時(shí)就遇到了一個(gè)比較重要的問題——數(shù)據(jù)銷毀。

2.1 存儲原理

磁盤是一種采用磁介質(zhì)的數(shù)據(jù)存儲設(shè)備，數(shù)據(jù)存儲在密封于潔凈的硬盤驅(qū)動(dòng)器內(nèi)腔的若干個(gè)磁盤片上。這些盤片一般是在以鋁為主要成份的片基表面涂上磁性介質(zhì)所形成，在讀取數(shù)據(jù)時(shí)，通過磁頭將磁粒子的不同極性轉(zhuǎn)換成不同的電脈沖信號，再利用數(shù)據(jù)轉(zhuǎn)換器將這些原始信號變成電腦可以使用的數(shù)據(jù)，寫的操作正好與此相反。

在現(xiàn)今通用的Windows操作系統(tǒng)中使用三種文件系統(tǒng)FAT(文件分區(qū)表)、FAT32(32位文件分區(qū)表)和NTFS(NT文件系統(tǒng))。在FAT文件系統(tǒng)下，每一個(gè)磁盤被分成固定大小的簇。簇最少為512字節(jié)，其大小可以成倍增長，最大為32K。每個(gè)簇都由惟一的索引號即一個(gè)16位二進(jìn)制數(shù)來標(biāo)識。因?yàn)?6位二進(jìn)制數(shù)最大為65536，所以FAT分區(qū)所擁有的簇的數(shù)量不可能超過65536個(gè)。簇的個(gè)數(shù)和大小的限制，就是FAT分區(qū)為什么不能超過2GB的原因。FAT中的入口連接著組成一個(gè)文件的各個(gè)簇，文件的目錄入口包含其第一個(gè)簇的索引號，而該簇在FAT中的入口又包含著下一個(gè)簇的索引號，依此類推。一個(gè)文件的最后一簇對應(yīng)的FAT入口則包含著一個(gè)特殊的文件終止符。未使用的簇和損壞的簇也會(huì)用特殊代碼標(biāo)識出來。FAT文件系統(tǒng)主要用于DOS及早期的Windows版本使用。FAT32文件的原理幾乎與此相同，但它的簇更小，而且由于FAT入口是32位，所以其容量理論上可以超過40億字節(jié)。NTFS是一個(gè)相當(dāng)高級的文件系統(tǒng)，它的主文件表(MFT)是一個(gè)非常完整的數(shù)據(jù)庫，它負(fù)責(zé)對磁盤上的每個(gè)文件進(jìn)行索引。每個(gè)MFT的入口通常為1K大小，其中記錄了大量的文件信息。在MFT中，NTFS磁盤上的每個(gè)文件(包括MFT自身)至少有一映射項(xiàng)。因此在訪問文件時(shí)首先要從MFT中找到文件所在的簇的位置，然后才能到相應(yīng)的簇去讀取。此文件系統(tǒng)主要應(yīng)用在Windows NT以及之后的Windows 2000、Windows Server2003、Windows XP、Windows 7等。

2.2 常規(guī)刪除

通過對數(shù)據(jù)存儲原理的了解，我們向硬盤里存放文件時(shí),系統(tǒng)首先會(huì)在文件分配表內(nèi)寫上文件名稱、大小，并根據(jù)數(shù)據(jù)區(qū)的空閑空間在文件分配表上繼續(xù)寫上文件內(nèi)容在數(shù)據(jù)區(qū)的起始位置。然后開始向數(shù)據(jù)區(qū)寫上文件的真實(shí)內(nèi)容，一個(gè)文件存放操作才算完畢。

但是我們的常規(guī)刪除操作卻非常簡單，當(dāng)我們需要?jiǎng)h除一個(gè)文件時(shí)，系統(tǒng)只是在文件分配表內(nèi)在該文件前面寫一個(gè)刪除標(biāo)志，表示該文件已被刪除，他所占用的空間已被“釋放”，其他文件可以使用他占用的空間，但是數(shù)據(jù)區(qū)所存儲的數(shù)據(jù)并沒有真正被刪除。所以，當(dāng)我們刪除文件又想找回它(數(shù)據(jù)恢復(fù))時(shí)，只需用工具將刪除標(biāo)志去掉，數(shù)據(jù)被恢復(fù)回來了。當(dāng)然，前提是沒有新的文件寫入，該文件所占用的空間沒有被新內(nèi)容覆蓋。

格式化操作和常規(guī)刪除相似，都僅僅是對文件分配表進(jìn)行操作，不過格式化是將所有文件都加上刪除標(biāo)志，或干脆將文件分配表清空，系統(tǒng)將認(rèn)為硬盤分區(qū)上不存在任何內(nèi)容。但格式化操作并沒有對數(shù)據(jù)區(qū)做任何操作，目錄空了，內(nèi)容還在，借助數(shù)據(jù)恢復(fù)知識和相應(yīng)工具，數(shù)據(jù)仍然能夠被恢復(fù)回來。

再進(jìn)一步的數(shù)據(jù)清理就是硬盤分區(qū)了。對于“硬盤分區(qū)”這一操作，操作系統(tǒng)也只是修改了硬盤主引導(dǎo)記錄和系統(tǒng)引導(dǎo)扇區(qū)，絕大部分的數(shù)據(jù)區(qū)并沒有被修改，仍然非常容易就被恢復(fù)大部分?jǐn)?shù)據(jù)。筆者使用工具DataExplore進(jìn)行常規(guī)刪除恢復(fù)的操作結(jié)果如圖2所示。

圖2 用DataExploreOP

在一臺PC機(jī)上通過Shift+Delete刪除一個(gè)包含有若干文檔的文件夾之后，用DataExplore在該分區(qū)上進(jìn)行恢復(fù)，結(jié)果該文件夾的所有文檔被完整地恢復(fù)了出來。

綜上所述，當(dāng)我們采取刪除、格式化等常規(guī)操作來銷毀數(shù)據(jù)時(shí)，事實(shí)上數(shù)據(jù)并沒有被真正銷毀，在新數(shù)據(jù)寫入硬盤同一存儲空間前，該數(shù)據(jù)會(huì)一直保留，從而存在被他人刻意恢復(fù)的風(fēng)險(xiǎn)。

2.3 數(shù)據(jù)軟銷毀

數(shù)據(jù)軟銷毀又稱邏輯銷毀，即通過數(shù)據(jù)覆蓋等軟件方法銷毀數(shù)據(jù)。通常采用數(shù)據(jù)覆寫法。數(shù)據(jù)覆寫是將非保密數(shù)據(jù)寫入以前存有敏感數(shù)據(jù)的硬盤簇的過程。硬盤上的數(shù)據(jù)都是以二進(jìn)制的“1”和“0”形式存儲的。使用預(yù)先定義的無意義、無規(guī)律的信息反復(fù)多次覆蓋硬盤上原先存儲的數(shù)據(jù)，就無法知道原先的數(shù)據(jù)是“1”還是“0”，也就達(dá)到了銷毀數(shù)據(jù)的目的。

根據(jù)數(shù)據(jù)覆寫時(shí)的具體順序，軟件覆寫分為逐位覆寫、跳位覆寫、隨機(jī)覆寫等模式。根據(jù)時(shí)間、密級的不同要求，可組合使用上述模式。美國國防部 Network & Computer Security的 DOD 5220122_ M 標(biāo)準(zhǔn)和北約 NATO 的多次覆寫標(biāo)準(zhǔn)規(guī)定了覆寫數(shù)據(jù)的次數(shù)，覆寫數(shù)據(jù)的形式。美國國防部訂立的磁盤清洗規(guī)范，要求數(shù)據(jù)必須對所要清除的數(shù)據(jù)區(qū)進(jìn)行三次覆蓋：第一次用一個(gè)8位的字符覆蓋， 第二次用該字符全反轉(zhuǎn)的字符0 和1覆蓋，最后再用隨機(jī)字符覆蓋。如先用0011 0101 覆蓋，接著用1100 1010，然后用1001 0111。覆寫必須完成的次數(shù)與存儲介質(zhì)有關(guān)，有時(shí)與其敏感性有關(guān)，有時(shí)因需求有所不同。在不了解存儲器實(shí)際編碼方式的情況下，為了盡量增強(qiáng)數(shù)據(jù)覆寫的有效性，正確確定覆寫次數(shù)與覆寫數(shù)據(jù)格式非常重要。數(shù)據(jù)覆寫法處理后的硬盤可以循環(huán)使用，適應(yīng)于密級要求不是很高的場合，特別是需要對某一具體文件進(jìn)行銷毀而其他文件不能破壞時(shí)，這種方法更為可取。本人認(rèn)為到目前為止，數(shù)據(jù)覆寫是較安全、最經(jīng)濟(jì)的數(shù)據(jù)軟銷毀方式。需要注意的是，覆寫軟件必須能確保對硬盤上所有的可尋址部分執(zhí)行連續(xù)寫入。如果在覆寫期間發(fā)生了錯(cuò)誤或壞扇區(qū)不能被覆寫，或軟件本身遭到非授權(quán)修改時(shí)，處理后的硬盤仍有恢復(fù)數(shù)據(jù)的可能，因此該方法不適用于存儲高機(jī)密級數(shù)據(jù)的硬盤。而且即使原來文件的數(shù)據(jù)被覆蓋，也并不意味著完全不能恢復(fù)。

目前，有兩種辦法可以用來讀取硬盤上被覆蓋的數(shù)據(jù)。

第一種方法是當(dāng)硬盤讀寫頭在硬盤上寫入一位數(shù)據(jù)時(shí)，它使用的信號強(qiáng)度只是用來寫入一位數(shù)據(jù)，并不會(huì)影響到相鄰位的數(shù)據(jù)。由于這個(gè)寫入信號并不是很強(qiáng)，因此可以通過它寫入的數(shù)據(jù)位的絕對信號強(qiáng)度來判斷此前該數(shù)據(jù)位所保存的是何種數(shù)據(jù)。換句話說，如果二進(jìn)制數(shù)據(jù)0被二進(jìn)制數(shù)據(jù)1所覆蓋，其信號強(qiáng)度會(huì)比二進(jìn)制數(shù)據(jù)1被覆蓋要弱一些。使用專門的硬件就可以檢測出準(zhǔn)確的信號強(qiáng)度。把被覆蓋區(qū)域讀出的信號減去所覆蓋數(shù)據(jù)的標(biāo)準(zhǔn)信號強(qiáng)度，就能獲得原先數(shù)據(jù)的一個(gè)副本。更令人吃驚的是，這一恢復(fù)過程可以被重復(fù)7次之多。因此如果你想避免別人使用這種方法來竊取你的數(shù)據(jù)，你至少要覆蓋該區(qū)域7次，而且每次還應(yīng)該使用不同的隨機(jī)數(shù)據(jù)。

第二種數(shù)據(jù)恢復(fù)技術(shù)則是利用了硬盤讀寫頭的另一個(gè)特點(diǎn)：讀寫頭每次進(jìn)行寫操作的位置并不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數(shù)據(jù)(也被稱為影子數(shù)據(jù))，便可通過特殊手段恢復(fù)出來。只有多次重復(fù)地覆寫數(shù)據(jù)才能消除這些磁道邊緣的影子數(shù)據(jù)。

2.4 數(shù)據(jù)硬銷毀

數(shù)據(jù)硬銷毀是指采用物理破壞或化學(xué)腐蝕的方法把記錄涉密數(shù)據(jù)的物理載體完全破壞掉，從根本上解決數(shù)據(jù)泄露問題的銷毀方式。數(shù)據(jù)硬銷毀可分為物理銷毀和化學(xué)銷毀兩種方式。物理銷毀又可分為消磁，熔爐中焚化、熔煉，借助外力粉碎，研磨磁盤表面等方法。

消磁是磁介質(zhì)被擦除的過程。銷毀前硬盤盤面上的磁性顆粒沿磁道方向排列，不同的N/S極連接方向分別代表數(shù)據(jù)“0”或“1”，對硬盤施加瞬間強(qiáng)磁場，磁性顆粒就會(huì)沿場強(qiáng)方向一致排列，變成了清一色的“0”或“1”，失去了數(shù)據(jù)記錄功能。如果整個(gè)硬盤上的數(shù)據(jù)需要不加選擇地全部銷毀，那么消磁是一種有效的方法。不過對于一些經(jīng)消磁后仍達(dá)不到保密要求的磁盤或已損壞需廢棄的涉密磁盤，以及曾記載過絕密信息的磁盤，就必須送專門機(jī)構(gòu)作焚燒、熔煉或粉碎處理了。物理銷毀方法費(fèi)時(shí)、費(fèi)力，一般只適用于保密要求較高的場合。

化學(xué)銷毀是指采用化學(xué)藥品腐蝕、溶解、活化、剝離磁盤記錄表面的數(shù)據(jù)銷毀方法?；瘜W(xué)銷毀方法只能由專業(yè)人員在通風(fēng)良好的環(huán)境中進(jìn)行?；瘜W(xué)腐蝕的特點(diǎn)是安全級別高，缺點(diǎn)是代價(jià)太高，難以普及，只適合國家情報(bào)等有極其特殊需要的部門。

針對軍方、銀行、高度商業(yè)機(jī)密用途的硬盤自毀式技術(shù)已經(jīng)得到了很多部門廣泛注意，在自毀式程序的作用下，一旦電腦遭到偷竊、系統(tǒng)遇到不法的入侵，抑或硬盤遭到強(qiáng)行而粗野的拆卸，硬盤內(nèi)部程序會(huì)在最短的時(shí)間內(nèi)(一般在0.1秒內(nèi))刪除硬盤上的所有數(shù)據(jù)或者啟動(dòng)硬盤內(nèi)的化學(xué)制劑，將所有硬盤盤片磁介質(zhì)層完全破壞，從而徹底銷毀數(shù)據(jù)。不僅如此，還采用了獨(dú)特的觸發(fā)機(jī)制。除常規(guī)的聯(lián)網(wǎng)觸發(fā)、手動(dòng)觸發(fā)等觸發(fā)模式，還可通過內(nèi)置的GPS全球定位系統(tǒng)來確定硬盤許可范圍，一旦越界就會(huì)觸發(fā)。

在實(shí)際應(yīng)用中銷毀數(shù)據(jù)典型做法是對于涉密程度不高的報(bào)廢計(jì)算機(jī)硬盤采用低級格式化加覆寫的方法，此方法可以使硬盤循環(huán)使用，節(jié)約成本，但僅限于低密級硬盤。對于密級較高的報(bào)廢計(jì)算機(jī)硬盤則采用先常規(guī)刪除數(shù)據(jù)、消磁然后焚燒的做法，基本上完全消除了泄密隱患。磁盤銷毀流程圖如圖3所示。

圖3 數(shù)據(jù)銷毀流程圖

3 結(jié)束語

本文首先介紹了數(shù)據(jù)安全存儲的三個(gè)基本環(huán)節(jié)：加密存儲、訪問控制、備份恢復(fù)的基本概念及技術(shù)，并給出了數(shù)據(jù)安全存儲在典型企業(yè)中的具體設(shè)計(jì)方案和應(yīng)用。同時(shí)從原理上詳細(xì)分析了目前在數(shù)據(jù)銷毀方面存在的各種不安全做法，針對不同密級部門提出了相對應(yīng)的數(shù)據(jù)銷毀方式。此外，對于實(shí)際應(yīng)用的工具和產(chǎn)品也做了簡要的介紹，在實(shí)際數(shù)據(jù)安全防護(hù)應(yīng)用中還應(yīng)結(jié)合產(chǎn)品和技術(shù)措施不斷完善防護(hù)技術(shù)，才能做到持久動(dòng)態(tài)發(fā)展的數(shù)據(jù)安全防護(hù)能力。

[1] Katzan.H.標(biāo)準(zhǔn)數(shù)據(jù)加密算法[M].人民郵電出版社.2007.

[2] 劉揚(yáng),陳曉鵬,苑新玲.基于企業(yè)涉密檢測的數(shù)據(jù)安全解決方案[J].計(jì)算機(jī)工程與設(shè)計(jì).2008.

[3] 唐朔飛.計(jì)算機(jī)組成原理[M].高等教育出版社.2002.

[4] 尹燕彬,文偉平.計(jì)算機(jī)數(shù)據(jù)安全刪除和隱私保護(hù)[J].信息網(wǎng)絡(luò)安全.2009.

[5] 徐鵬,薛建鋒.數(shù)據(jù)中心容災(zāi)系統(tǒng)研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2007.

[6] 左鋒.信息安全體系模型研究[J].信息安全與通信保密.2010.

[7] 王建峰.數(shù)據(jù)銷毀:數(shù)據(jù)安全領(lǐng)域的重要分支[J].計(jì)算機(jī)安全.2006.

[8] 徐菁,朱有佃,賴凡.論磁性存儲介質(zhì)的數(shù)據(jù)銷毀技術(shù)[J].西南師范大學(xué)學(xué)報(bào)(自然科學(xué)版).2007.