數(shù)據(jù)擦除及銷毀平臺的研發(fā)思路與工作實(shí)踐關(guān)鍵點(diǎn)解析

尚 方，張 爽，王孝余，劉 生，姜 鵬，劉峙麟

(1.國網(wǎng)黑龍江省電力有限公司電力科學(xué)研究院，哈爾濱 150030；2.黑龍江大學(xué) 數(shù)據(jù)科學(xué)與技術(shù)學(xué)院，哈爾濱 150080；3.哈爾濱工業(yè)大學(xué) 航天學(xué)院，哈爾濱 150001)

1 國家電網(wǎng)有限公司電子數(shù)據(jù)擦除現(xiàn)狀

隨著“大云物移智”的全面發(fā)展，信息安全問題越來越受到人們的關(guān)注。大量信息存儲在各種存儲介質(zhì)中，為人們提供了極大的便利，但同時也面臨著數(shù)據(jù)泄露的風(fēng)險(xiǎn)，確保數(shù)據(jù)安全成為信息安全研究的一個主要方向[1-2]。數(shù)據(jù)屬于企業(yè)的重要資產(chǎn)，與企業(yè)的發(fā)展息息相關(guān)[3-6]。國家電網(wǎng)有限公司作為國家支柱企業(yè)，一直把信息安全作為日常生產(chǎn)中一個重要環(huán)節(jié)來對待[7]。其信息化程度處于中國先進(jìn)隊(duì)列，信息化管理水平、人員素質(zhì)、信息安全設(shè)備的使用情況優(yōu)于大部分企事業(yè)單位。國家電網(wǎng)有限公司應(yīng)用的存儲介質(zhì)類型多，范圍廣，且數(shù)量極為龐大，存儲介質(zhì)中存有公司的各種重要信息和工作資料[8]。在電子數(shù)據(jù)的擦除和銷毀方面，公司有迫切的需求[9]。

為此，公司制定了一系列的管理規(guī)定和指導(dǎo)意見，也出臺了專門的企業(yè)標(biāo)準(zhǔn)，從管理上嚴(yán)格把關(guān)；還通過國家電網(wǎng)有限公司數(shù)據(jù)恢復(fù)和銷毀中心，研發(fā)了專用的并行電子數(shù)據(jù)擦除平臺，并在系統(tǒng)內(nèi)多個試點(diǎn)單位進(jìn)行推廣，取得了良好的效果。該平臺目前有兩個版型，均已經(jīng)應(yīng)用3年以上。通過對平臺設(shè)計(jì)過程中一些關(guān)鍵點(diǎn)的設(shè)計(jì)思路進(jìn)行剖析，以及對使用中需要關(guān)注的一些工作技巧和技術(shù)關(guān)鍵點(diǎn)進(jìn)行詳解，為其他大型企事業(yè)單位的類似應(yīng)用場合提供了良好的解決方案，為數(shù)據(jù)擦除及銷毀行業(yè)技術(shù)的發(fā)展提供了實(shí)踐經(jīng)驗(yàn)。

2 數(shù)據(jù)銷毀與數(shù)據(jù)擦除的概念和標(biāo)準(zhǔn)的探析

2.1 數(shù)據(jù)銷毀與數(shù)據(jù)擦除的概念詳解

數(shù)據(jù)銷毀是把存儲介質(zhì)上的數(shù)據(jù)徹底清除掉，使之不能被讀取和數(shù)據(jù)恢復(fù)的技術(shù)手段[10-11]。業(yè)內(nèi)通常根據(jù)數(shù)據(jù)被破壞的效果，直接用數(shù)據(jù)銷毀這個詞指代“邏輯銷毀”以及“物理銷毀”兩種情況。為了明確這兩個截然不同的概念，根據(jù)2017年發(fā)布的電力行業(yè)標(biāo)準(zhǔn)DL/T 1757—2017《電子數(shù)據(jù)恢復(fù)和銷毀技術(shù)要求》，通過“存儲介質(zhì)是否會遭到破壞”這個關(guān)鍵點(diǎn)的對比，把“數(shù)據(jù)擦除”這個詞專門指代業(yè)內(nèi)人士所說的“邏輯銷毀”這個概念；而對已經(jīng)發(fā)生了存儲介質(zhì)被破壞的“物理銷毀”情況，指定了一個專有名詞，即“數(shù)據(jù)銷毀”。根據(jù)存儲介質(zhì)被破壞的程度和方法，分成2個等級。

數(shù)據(jù)擦除技術(shù)是指對存儲介質(zhì)內(nèi)電子數(shù)據(jù)進(jìn)行破壞，但存儲介質(zhì)可繼續(xù)使用，在行業(yè)標(biāo)準(zhǔn)中，其標(biāo)準(zhǔn)定義為：“使用預(yù)先定義的無意義、無規(guī)律的信息覆蓋存儲介質(zhì)上原數(shù)據(jù)，達(dá)到對存儲介質(zhì)內(nèi)電子數(shù)據(jù)進(jìn)行銷毀的目的。”而“物理銷毀”包括2個等級：一級銷毀和二級銷毀。一級銷毀是指存儲介質(zhì)銷毀后形成的殘留物或殘片上不存在信息，或不存在任何有價值的信息，采用現(xiàn)有的技術(shù)措施無法重組恢復(fù)出有價值的信息，可直接廢棄；二級銷毀是指存儲介質(zhì)銷毀后形成的殘留物或殘片上仍含有信息，存在被恢復(fù)出信息的風(fēng)險(xiǎn)，在信息涉密程度許可的情況下可以使用?？梢姟皵?shù)據(jù)擦除”的概念還是容易理解的，但是“數(shù)據(jù)銷毀”的概念兩級分類不夠直觀。為了清晰地說明這兩種情況的不同，下面以磁盤和磁帶為例進(jìn)行說明。

1)通過強(qiáng)磁場把磁盤和磁帶消除磁性后，原來記錄的磁信號不能再次讀取到，符合“殘留物或殘片上不存在信息”這種情況，是一級銷毀。

2)通過高溫，把磁盤熔化成液體或把磁帶焚毀成灰，符合“殘留物或殘片上不存在信息”這種情況，是一級銷毀。

3)通過碎紙機(jī)類型產(chǎn)品，把磁盤盤片打碎成小碎塊或把磁帶剪碎成小碎片，這種情況符合“存儲介質(zhì)銷毀后形成的殘留物或殘片上仍含有信息”，是二級銷毀。

當(dāng)然，對于光盤、flash存儲芯片等，都有其專門對應(yīng)的一級、二級數(shù)據(jù)銷毀方式。但不管什么介質(zhì)，不論是采用一級銷毀、二級銷毀還是數(shù)據(jù)擦除方式來處理，對于數(shù)據(jù)恢復(fù)來說都是非常困難的，甚至可以說是不可能完成的任務(wù)[12]。但是，為了安全起見，涉密的存儲介質(zhì)在選擇擦除方式時，一般都采用了銷毀的方式。

2.2 文件系統(tǒng)刪除數(shù)據(jù)方式

文件系統(tǒng)可以理解為一本書，前面是目錄，后面是正文，目錄中標(biāo)明了正文中每一頁的內(nèi)容。如果僅是通過操作系統(tǒng)來刪除一個文件，相當(dāng)于先是在目錄中尋找到這個文件的索引，然后把這個文件的名字從目錄中擦掉，再把這個文件所在的正文內(nèi)容頁碼標(biāo)記為“空白，可用”而已。而不會繼續(xù)到正文頁碼中去把這幾頁正文記錄的數(shù)據(jù)完整地擦掉。之所以這樣處理，是因?yàn)閮牲c(diǎn)。其中重要的一點(diǎn)是這樣僅擦除目錄的方式可以極大地提升工作效率，尤其是像下載的電影或者大的軟件包等，如果要把正文頁都覆蓋一遍的話，硬盤動輒需要寫入幾個G的數(shù)據(jù)，這個過程對于CPU和系統(tǒng)的整個性能都會造成非常大的影響，而采用只刪除目錄而不涉及正文的方式可以非常快的完成；另外一點(diǎn)是，也沒有必要對后面的正文進(jìn)行逐個刪除，尤其是像操作系統(tǒng)以及各種軟件的緩存文件等，需要隨時更新覆蓋，覆蓋之后只會讀取到最后一次寫入的信息，前面寫什么已經(jīng)無所謂了。從文件系統(tǒng)的數(shù)據(jù)刪除機(jī)制來看，想要徹底的刪除數(shù)據(jù)必須要完整細(xì)致地把文件目錄和正文內(nèi)容徹底覆蓋。

2.3 標(biāo)準(zhǔn)擦除數(shù)據(jù)方式

如果數(shù)據(jù)已經(jīng)覆蓋，用普通的數(shù)據(jù)恢復(fù)軟件或者設(shè)備工具只能讀取到最后一次寫入的信息，原來的數(shù)據(jù)不能再次讀到，在這種情況下就相當(dāng)于已經(jīng)把數(shù)據(jù)擦除掉。然而，通過一些特殊的手段，可以直接從盤片上讀取被覆蓋的數(shù)據(jù)，這就是標(biāo)準(zhǔn)擦除存在的原因，因此在設(shè)計(jì)電子數(shù)據(jù)擦除和銷毀平臺時，考慮到了可以直接采用標(biāo)準(zhǔn)擦除的方案，又增加了對于專門區(qū)域采用設(shè)定字符覆蓋指定次數(shù)的人性化設(shè)計(jì)。因?yàn)樵诙啻尾脸龑?shí)踐中，發(fā)現(xiàn)用戶有既要保存好信息，又要刪除特殊數(shù)據(jù)的需求。使用特殊的方法和設(shè)備來讀取已經(jīng)覆蓋到的磁信號，其理論依據(jù)有兩種：

1)根據(jù)磁信號的強(qiáng)弱，來判斷這個信號曾經(jīng)記錄過什么信息。例如，如果某個信號記錄的位置A原來記錄的是0，后來被覆蓋成1；而另外一個信號記錄位置B原來記錄的是1，后來被覆蓋的還是1，那么A和B當(dāng)前1的磁信號強(qiáng)度應(yīng)該是不同的，可以通過精確地測量信號強(qiáng)度的實(shí)際值，再通過經(jīng)驗(yàn)及多次的組合嘗試，來恢復(fù)數(shù)據(jù)。因?yàn)榇蓬^向磁盤寫入數(shù)據(jù)的時候，并不是完整地把磁極寫成介質(zhì)飽和磁化的情況，磁盤上相鄰信息位非常近，如果每個信息位都寫飽和的話，彼此之間就會產(chǎn)生影響，所以信號的強(qiáng)度不是越強(qiáng)越好，不應(yīng)超過一定的范圍，這就為此種判斷方法提供了可能。

2)磁頭在向磁盤上寫入數(shù)據(jù)的時候，后一次寫入的位置不會絕對精確定位在上次寫入的點(diǎn)上，換句話說，寫入新數(shù)據(jù)也不能把以前的信息徹底覆蓋掉?；谶@個原理，可以把原來的信息讀出來，同樣也要經(jīng)過多次的調(diào)試和組合。

但是，這兩種方式都是從理論上說明恢復(fù)的過程，而隨著覆蓋次數(shù)的增多，尋找某次寫入內(nèi)容的難度就會成倍加大。從實(shí)際操作來看，這兩種方式都需要專門的設(shè)備在無塵環(huán)境中讀取盤片上的信息，更需要大量的時間進(jìn)行嘗試，花費(fèi)的人力、物力是極其昂貴的，當(dāng)要恢復(fù)的覆蓋數(shù)據(jù)量比較大時，尤其是對于需要整體使用的數(shù)據(jù)庫文件、壓縮包信息等數(shù)據(jù)，僅恢復(fù)整塊數(shù)據(jù)中的一部分，結(jié)果依舊無法使用。因此，對于非涉密信息，業(yè)內(nèi)公認(rèn)只需覆蓋一次，就足以對數(shù)據(jù)進(jìn)行徹底破壞了。

為了防止利用磁化信號的強(qiáng)弱等手段來恢復(fù)之前覆蓋的數(shù)據(jù)信息，數(shù)據(jù)擦除技術(shù)標(biāo)準(zhǔn)專門做了一些設(shè)置，國家電網(wǎng)有限公司的企業(yè)標(biāo)準(zhǔn)Q/GDW 1937—2013《國家電網(wǎng)公司非國家秘密電子數(shù)據(jù)銷毀、清除和恢復(fù)技術(shù)要求》遵循的是“用字符、他的補(bǔ)碼和隨機(jī)字符覆蓋可尋址的存儲單元并進(jìn)行校驗(yàn)”的指導(dǎo)思想，分別采用了3次擦除和7次擦除的規(guī)范，按照現(xiàn)在技術(shù)的發(fā)展水平，從理論上就已經(jīng)達(dá)到了不可恢復(fù)的目的。相比較來看，電力行業(yè)的標(biāo)準(zhǔn)DL/T 1757—2017《電子數(shù)據(jù)恢復(fù)和銷毀技術(shù)要求》也對非國家秘密的電子數(shù)據(jù)擦除提出了技術(shù)指導(dǎo)，其明確推薦“存有非涉密電子數(shù)據(jù)的存儲介質(zhì)擦除次數(shù)宜為3次”，而對于有涉密情況的擦除次數(shù)為6次。以3次的擦除方法為例，填充字符應(yīng)是兩位十六進(jìn)制字符，第一次應(yīng)使用AAH(10101010B)，第二次應(yīng)使用55H(01010101B)，第三次應(yīng)使用隨機(jī)數(shù)。在電子數(shù)據(jù)擦除平臺的設(shè)計(jì)中，也引入了這樣的設(shè)計(jì)思想。

3 國家電網(wǎng)有限公司電子數(shù)據(jù)擦除現(xiàn)狀

3.1 電子數(shù)據(jù)擦除和銷毀平臺硬件設(shè)計(jì)及接口布局的探析

電子數(shù)據(jù)擦除和銷毀平臺可以為多種介質(zhì)提供并行高速的電子數(shù)據(jù)擦除和銷毀任務(wù)，且能滿足在不同場合下的需要。因此目前設(shè)計(jì)了兩個版本：一個是主要用在機(jī)房內(nèi)部的，機(jī)架式結(jié)構(gòu)，用于對保密要求高的不得帶出機(jī)房的硬盤擦除和銷毀；另一個版本是放在實(shí)驗(yàn)室、辦公區(qū)的，展臺式結(jié)構(gòu)，用于給文檔管理部門、信息運(yùn)維部門使用，工作界面簡潔明了。兩個版本都設(shè)置多種類型的源盤接口，并且配置了消磁模塊。源盤外接口包括：2.5寸和3.5寸硬盤的SATA/SAS復(fù)用口, USB 2.0/3.0復(fù)用口、SCSI、IDE接口、含TF卡、SD卡、記憶棒、miniSSD復(fù)合接口等，如圖1所示。這些接口可以滿足國家電網(wǎng)有限公司所有的存儲介質(zhì)需求。兩種版本的配置差異較大，專用于不同場合。兩個版本配置情況，詳見表1。

圖1 電子數(shù)據(jù)并行擦除及銷毀平臺展臺式版本接口示意圖

表1 電子數(shù)據(jù)并行擦除及銷毀平臺兩種版本的配置

機(jī)架式設(shè)備采用了分體式設(shè)計(jì)，主機(jī)和從機(jī)都采用4U機(jī)箱設(shè)計(jì)，具有良好的散熱功能，工作功率高，內(nèi)置了通過國家保密局認(rèn)定的消磁機(jī)。特意增加了SATA/SAS復(fù)用盤倉和外接口，便于機(jī)房內(nèi)服務(wù)器為主體的工作情況。設(shè)置了用于搬運(yùn)的提手以及腳墊，還在設(shè)備的外框采用了金屬及橡膠護(hù)角加固，防止磕碰。

展臺式設(shè)備根據(jù)文檔工作人員使用特點(diǎn)，采用觸摸屏，利用引導(dǎo)方式，便于用戶操作。還根據(jù)工作特點(diǎn)，加裝了打印模塊，隨時打印工作報(bào)告。電源取電也是采用普通插排式接口，可以直接從墻壁插座取市電。也加裝了適合直聯(lián)服務(wù)器的ESATA接口。

3.2 電子數(shù)據(jù)擦除和銷毀系統(tǒng)工作效率的探析

電子數(shù)據(jù)擦除是把存儲介質(zhì)特定區(qū)域內(nèi)完全覆寫，所以會消耗大量的時間，以最大速度寫入數(shù)據(jù)是電子數(shù)據(jù)擦除需要重點(diǎn)考慮的問題。影響擦除速度的關(guān)鍵因素包括存儲介質(zhì)本身的情況、擦除裝置運(yùn)算速度、工作環(huán)境溫度、連接信號線的品質(zhì)等。

存儲介質(zhì)本身狀態(tài)是影響最大的因素，且往往不容易改變[12]。例如USB2.0接口理論速度為60 Mb/s，根據(jù)經(jīng)驗(yàn)工作速度一般不超過20 Mb/s，而USB3.0接口的實(shí)測速度也常常超過150 Mb/s。存儲介質(zhì)的種類對擦除設(shè)備的影響，同樣是SATA接口，實(shí)測SSD硬盤要比機(jī)械式硬盤的擦除設(shè)備快一些；同樣是SATA硬盤，企業(yè)級高品質(zhì)硬盤實(shí)測會比低品質(zhì)級硬盤速度快一些；進(jìn)一步來說，即使是同一個機(jī)械式硬盤，因?yàn)槠渫馊€速度要大于內(nèi)圈線速度，也會導(dǎo)致外圈的擦除速度比內(nèi)圈快30%左右，這是其內(nèi)在性能決定的，在擦除過程中無法更改。但是要充分考慮到這些因素，尤其是對于大規(guī)模的擦除任務(wù)，在計(jì)算每個存儲單元、Flash磁盤時都要考慮到這些問題，然后有針對性地采取最優(yōu)解決方案。同時，在進(jìn)行所需人員和設(shè)備數(shù)量預(yù)估時，也要充分考慮所有存儲單元的整體情況、設(shè)備散熱情況及介質(zhì)擦除效果驗(yàn)證情況等，可見不同接口的工作速度差異非常大。因此，在實(shí)際工作中需要充分地掌握這些技術(shù)和經(jīng)驗(yàn)，才能夠減少工作時間，從而可以精準(zhǔn)預(yù)估一個擦除和銷毀任務(wù)需要的人員、設(shè)備數(shù)量和工作時長。

3.3 關(guān)于電子數(shù)據(jù)系統(tǒng)工作方法的探析

電子數(shù)據(jù)擦除和銷毀平臺經(jīng)過了幾年的應(yīng)用實(shí)踐，現(xiàn)將一些在工作中容易被忽視的問題總結(jié)如下：

1)有些移動硬盤，還存在通過轉(zhuǎn)換口把SATA或者小IDE口轉(zhuǎn)成USB口的情況，遇到這類情況，一定要盡量減少轉(zhuǎn)接過程，盡量使用硬盤原接口來擦除，可以避免重復(fù)轉(zhuǎn)換造成的速度下降。

2)對于大容量磁盤來說，如果需要對存儲介質(zhì)銷毀的話，采用高磁場消磁是最便捷最節(jié)省人力、物力的方式，且磁盤外觀上沒有變化。如果銷毀的數(shù)目不大的話(如100塊盤以內(nèi))，盡量采用此種方式。但需要注意在銷毀過程中，磁場的強(qiáng)度和消磁時間需要達(dá)標(biāo)，且要在消磁工作完成之后，進(jìn)行必要的復(fù)測。

3)機(jī)械類硬盤在長期高速工作的狀態(tài)下，會出現(xiàn)發(fā)熱現(xiàn)象。因此，要注意包括平臺自身的各個關(guān)鍵部位溫升情況，如果溫度過高，要采用合理的方式為設(shè)備降溫或者休息。剛經(jīng)過數(shù)據(jù)擦除的硬盤，其表面溫度高，操作人員在插拔硬盤時需要采用帶手套等保護(hù)措施，防止硬盤跌落、損傷等情況出現(xiàn)。

4 結(jié) 語

數(shù)據(jù)擦除和銷毀能力是信息安全的一項(xiàng)重要保證，是計(jì)算機(jī)應(yīng)用領(lǐng)域發(fā)展的方向。該文介紹了電子數(shù)據(jù)并行擦除及銷毀平臺的研發(fā)思路和電子數(shù)據(jù)擦除和銷毀設(shè)備的研發(fā)及應(yīng)用情況。所研發(fā)的設(shè)備已經(jīng)得到實(shí)際應(yīng)用，并取得了良好的效果，設(shè)備運(yùn)行期間，積累了大量的實(shí)際工作經(jīng)驗(yàn)，為其他大型企事業(yè)單位提供了相關(guān)問題的解決方案，也為數(shù)據(jù)擦除和銷毀行業(yè)的技術(shù)發(fā)展和管理提升提供了借鑒經(jīng)驗(yàn)。該平臺下一步將會在國有大型企事業(yè)單位、科研機(jī)構(gòu)等對保密要求高的工作場景中進(jìn)行推廣。