以国家级标准销毁储存媒体数据

低阶格式化、泡水、焚烧、消磁、敲击使盘片变形等等,是坊间流传的种种如何彻底销毁储存媒体数据的方法,但对企业来说,这些方法的适用性可能大有问题。

一来许多方法的有效性并无法得到确认,而且缺乏明确的操作标准来指引使用者,如依据怎样的程序执行、执行到怎样的程度,才能达到销毁数据的效果;二来大多数储存媒体(特别是硬盘)在设计上都已考虑防护撞击、变形与屏蔽外部磁力影响的问题,要透过物理破坏来销毁数据,实际执行也不容易。

为了实现更有效、执行上也更明确可行的数据销毁工作,参考各国官方认可的数据销毁程序与规范,并导入遵循规范的产品,将是更适合企业环境的作法。

在数据销毁这个领域,美国国防部的DOD 5220.22-M标准或许是最广为人知,也是应用最广的一套规范。

认识美国国防部DOD 5220.22-M标准

许多人都把DOD 5220.22-M直接当作数据清除与销毁的标准,事实上这种看法有所误解。DOD 5220.22-M是美国国防部在「国家工业安全计划(National Industrial Security Program)」下,所制定的「国家工业安全计划操作手册(National Industrial Security Program Operating Manual,NISPOM)」。

NISPOM这份手册涵盖的范围很广,数据清除与销毁只占旧版手册(95年1月发布,97年7月修正)第8章第3节的一部分,其中提供了一个清除与销毁数据方法的参考矩阵表。而最新版(2006年2月发布)NISPOM中,资料清除与销毁更只剩两小段,清除与销毁数据的方法矩阵表也被删除,改由国防部所属国防保安处(Defense Security Service,DSS)提供数据清除与销毁方法参考矩阵表(Clearing and Sanitization Matrix,C&SM)。

尽管现在的新版DOD 5220.22-M已不再提供任何具体的数据清除与销毁方法,但旧版手册的方法仍有参考价值。其中定义了两种清除数据需求:

● 清除(Clearing):在重新使用媒体之前,彻底删除媒体中数据的程序,且在清除媒体中数据之前,作业环境可提供可接受的保护等级。举例来说,所有内部存储器、缓冲区或其他可重复使用的内存,都必须执行清除,以有效杜绝读取先前储存的数据。

● 销毁(Sanitization):在重新使用媒体之前,彻底删除媒体中数据的程序,且在销毁媒体中数据之前,作业环境无法提供可接受的保护等级。例如,当信息系统资源从保密信息管制下释出、或释出到较低的保密层级使用前,都必须执行数据销毁。

执行数据清除或销毁的方法

无论旧版DOD 5220.22-M或后来的DSS C&SM,均分别针对磁带、磁盘、光盘、内存等四种类型的储存媒体,以及同样会暂存数据的打印机,提出了17种删除数据的方式。而这些方式中,有15种适用于储存媒体,又可分为消磁、覆写、紫外线删除与物理摧毁等基本方式。

适用的储存媒体类型

四种储存媒体包括:

● 磁带:分为Type I、II、III等3类,Type I指磁化记录时的磁场强度为350厄斯特(oersted,磁场强度单位,缩写为Oe)以下,Type II介于351与750Oe之间,Type III则大于750Oe。

由于DOD 5220.22-M这张参考表制定的时间相当早(距今已超过10年),因此前述磁带磁化磁场强度标准已与当前的产品有相当落差,如目前最普遍使用的LTO-3、4磁带,磁场强度便分别高达2600与2710Oe。

● 磁盘:包括Bernoulli式磁盘、软盘、不可移动的硬盘与可移动的硬盘等4种类型。

● 光盘:包括可多次读写、只读与一次写入多次读取(WORM)等3种。

● 内存:包括动态随机存取内存(DRAM)、静态随机存取内存(SRAM)、只读存储器(ROM)、可程序化只读存储器(PROM)、可程序化可抹除只读存储器(EPROM)、快闪EPROM(Flash EPROM)、电子可变只读存储器(EAPROM)、电子可抹除只读存储器(EEPROM)、非挥发性RAM(NOVRAM),还有古老的磁芯、磁泡、磁阻与镀磁线等13种内存。

而针对前述四类储存媒体,分别有以下几种彻底删除数据的方法:

● 消磁:可适用于磁带与磁盘,分为Type I与Type II两种层次的消磁,对应于Type I、II两种类型的磁带。

使用消磁要特别注意二件事,首先某些磁带与抽取式硬盘(如LTO磁带与Zip盘片)内含有出厂时预录的讯息,若强制执行消磁而使这些讯息消失,这些媒体将无法再被重复使用。其次是美国国防部的Type I/II消磁标准已太过老旧,要对当前的磁带实施消磁,最少也得使用消磁能力2500~3000Oe的消磁机;若要消磁硬盘,则需要的消磁能力将达到4000~5000 Oe以上。

● 覆写:包括几种不同方法,如把所有储存寻址位置都填入单一字符;所有寻址位置都填入单一字符后,再随机填入字符;以随机方式覆写所有寻址位置,所有位置都填入二进制0值、所有位置都填入二进制1值;或事先透过制造商提供的工具删除芯片中数据,然后把所有寻址位置都填入单一字符,然后重复三次等等。

● 紫外线照射删除与移除电源

紫外线照射删除适用于EPROM,移除包括电池在内的所有电源则适用于DRAM、NOVRAM与SRAM。

● 物理摧毁:包括使储存媒体破裂、焚化、彻底粉碎、切成条状与融化等方式。除了手动摧毁外,目前已有厂商推出可将硬盘盘片穿刺、打洞的自动化设备。

符合规范要求的数据销毁产品

美国国防部的数据清除与销毁方法参考矩阵提出了一些彻底销毁数据的方式,不过要特别注意的是,从2007年11月起,覆写已不再被美国国防部列为可接受的资料「销毁」手段(但仍可用于「清除」),因此要销毁磁性储存媒体中的数据,合乎规范的可用方法只剩消磁与物理摧毁。

考虑到物理摧毁的程序十分麻烦且耗时,实际环境中显然是以消磁较为方便。目前已有许多厂商推出适用的消磁设备产品,我们也在附表下方,简单讨论了挑选消磁机规格该注意的事项。

消磁机的选购要点

选购消磁机时,必须考虑的产品规格要素有几点:

● 要进行数据清除或销毁的储存媒体磁场强度。针对高磁场强度的媒体,必须选择更强力的消磁机。

● 需执行数据清除或销毁的储存媒体数量,如果数量不多,可选购手动式的桌上型单卷或多卷装消磁机;如果每月都要销毁上百台硬盘或磁带中的数据,则需选择自动化、有输送带设备的大型消磁机。

● 确认是否有遵循官方认证的需求。目前台湾尚未对IT系统的数据销毁制定具体规范,但若企业为美国或其他西方政府机构的合约商、或业务上牵涉到必须遵循某些美国数据安全管理法令,则需使用通过特定认证许可的消磁机机型。