数据清理: 企业不可忽视的敏感数据处置环节, 国际标准下的安全实践

大家好，欢迎来到IT知识分享网。

天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移、网络安全、数据销毁等解决方案，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。

天津鸿萌科贸发展有限公司是众多国际主流数据取证、数据恢复、数据销毁、数据备份及同步软件的授权代理商：Miray(HDClone/HDShredder)、Killdisk、Passware、PassMark、ElcomSoft、R-Studio、Systools、GetData、Stellar、ReclaiMe、UFS Explorer、VNR、SyncBack Pro、ViceVersa Pro 等。

为什么需要数据清理

作为一种相对较新的技术，绝大多数人、企业和组织都未充分认识到数字数据存储安全的重要性。普通硬盘存储着数千个文件，其中许多包含敏感信息。在硬盘的整个使用寿命期间，遗留在硬盘上的可恢复敏感信息的可能性极高。

现代存储环境正在快速发展。数据在其生命周期中可能流经多个组织、系统和存储介质。随着互联网和数据存储系统向分布式云架构转型，数据传播的普遍性只会越发增强。因此，随着敏感数据被收集和保留在媒介上的潜在风险的不断增加，越来越多的主体承担起有效清理存储媒介的责任。这一责任不仅仅属于那些敏感数据的创建者或最终存放地点的组织，也包括在途中临时存储或处理信息的中间方。高效且有效地管理从数据产生到处置的整个过程，是所有处理数据的组织的共同责任。

“数据清理”指的是通过一定的处理过程，使介质上目标数据在一定难度等级之上难以访问和难以恢复。

采用先进的访问控制和加密技术，有助于降低攻击者直接获取敏感信息的可能性。因此，试图获取敏感信息的各方可能会将注意力转向其他途径，比如尝试从未充分清理的介质上残留的数据中获取信息。因此，采用有效的清理技术和对存储介质的追踪管理，是确保组织能够有效防止敏感数据被未授权披露的重要措施。信息保护至关重要，这些信息可能存储在纸质、光盘、电子或磁性介质上。

如果介质已过时或无法再使用，组织可以按照适用法律法规，通过慈善捐赠、内部或外部转让、或回收方式进行处理。即使是内部转移，也需要高度谨慎，因为法律和道德义务使得保护诸如个人识别信息（PII）等数据比以往任何时候都更为重要。无论介质的最终目的地在哪里，组织都必须确保在介质离开其控制或不再需要按照数据的机密等级进行保护之后，不会存留任何容易被恢复的残留数据。

数据清理的类型

国际安全标准 NIST 800-88（存储介质清理指南）定义了不同的数据清理类型。

关于数据清理，主要关注点是确保数据不会被无意中泄露。数据清理是对存储在特定介质类型上的数据的表现形式进行清理。

当存储介质被重新利用或达到使用寿命终点时，组织会根据存储介质上信息的系统生命周期决策采取相应的清理措施。例如，装在未开封包装中的光盘中的大量商业软件，通常不包含机密数据。因此，可能会决定仅仅丢弃该介质，而不进行任何清理。相反，组织可能更需要将处理过个人可识别信息（PII）的硬盘进行数据清理，随后再合理对硬盘本身进行处置。

在没有进行数据清理的情况下处置硬盘，这种做法只在信息披露不会对组织任务产生影响、不会导致资产损失、也不会对个人造成伤害的情况下才能考虑。信息的安全等级，结合内部环境因素，决定了处理存储媒介的决策。关键首先是从信息保密角度考虑，然后根据介质类型进行判断。清理是指通过一定的努力水平，使存储介质上的目标数据（即受清理技术影响的数据）变得无法访问。尝试恢复数据所需的努力程度可能会有所不同。根据 NIST SP 800-88 Rev. 1 指南，介质清理的操作包括“clear 清除”、“purge 净化”和“Destroy 销毁”三类。

清除（Clear）

清除采用逻辑技术，保护所有用户可访问存储位置中的数据，防止被简单的非侵入式数据恢复技术恢复。通常通过对存储设备执行标准的读写命令，比如用新值重写，或通过菜单选项将设备重置为出厂状态（如果不支持重写）。

对于HDD/SSD/SCSI/USB等存储介质，意味着使用批准和验证的重写技术/方法/工具对存储介质进行覆盖。清除模式至少应使用固定数据值（如全零）执行一次覆盖操作。可以选择执行多次写入或更复杂的覆盖值。

净化（Purge）

净化采用物理或逻辑技术，使利用现代实验室技术恢复目标数据变得不可行。

对于HDD/SSD/SCSI/USB等存储介质，意味着使用ATA安全擦除（SECURE ERASE）、ATA加密混淆（CRYPTO SCRAMBLE EXT）、ATA扩展覆盖（EXT OVERWRITE）、ATA/SCSI存储净化（SANITIZE）以及其他底层控制器指令。

销毁（Destroy）

销毁指通过现代实验室技术使目标数据恢复变得不可能，且会对存储介质造成物理损伤，以致不可再用于存储用途。

对于HDD/SSD/SCSI存储介质，这意味着粉碎（Shred）、瓦解（Disintegrate）、碾碎（Pulverize）或在有许可证的焚烧炉中焚毁设备（Incinerate）。

建议用户按类别对信息进行分类，评估其所存储介质的性质，考量保密风险，制定未来的存储媒介处理方案。之后，组织可以选择适合的清理类型。所选方案应考虑成本、环境影响等因素，作出能最大程度减少保密风险并满足其他限制的决策。

国际数据清理标准

目前国际权威的数据清理标准如下：

• US DoD 5220.22-M
• US DoE M205.1-2
• Canadian CSEC ITSG-06
• Canadian OPS-II
• British HMG IS5 Baseline
• British HMG IS5 Enhanced
• Russian GOST p50739-95
• US Army AR380-19
• US Air Force 5020
• NAVSO P-5329-26 RL
• NCSC-TG-025
• NSA 130-2
• NIST 800-88
• NIST 800-88 rev.1
• German VSITR
• Bruce Schneier
• Peter Gutmann
• Australian ISM-6.2.93
• IEEE Std 2883-2022
• 等等

擦除（Erase）机密数据

现代的数据加密方法有效地阻止网络攻击者从存储的数据库文件中提取敏感数据。

试图获取机密数据的攻击者变得更加机智，会寻找可能暂存数据的位置。例如，Windows 的 DELETE 命令仅更改文件的属性和位置，使操作系统不再在 FAT/exFAT 卷上查找该文件。而在 NTFS 文件系统中的情况也类似。

一种攻击途径是从被丢弃的硬盘残余数据中恢复数据。在删除硬盘、可移动磁盘或 USB 设备上的机密数据时，确保提取所有的痕迹以防止数据被恢复，这一点尤为重要。

大多数关于敏感磁性数据处理的官方指南，并没有考虑到当今存储密度的提高以及操作系统在删除数据时采用的技术手段。

过去，删除个人信息或公司商业机密通常使用格式化（FORMAT）命令或磁盘分区（FDISK）命令。采用这些方法，用户会觉得自己已完全删除了数据，从而高枕无忧。

使用格式化命令时，Windows会显示类似的提示信息：
“格式化磁盘会删除磁盘上的所有信息。”

实际上，格式化工具会在根区域创建新的空目录，而不会触及之前存储的数据。此外，还会存储被替换掉的 FAT 表的镜像，以便使用 UNFORMAT 命令进行恢复。

而 FDISK 仅仅清除分区表（位于硬盘的第一个扇区），不会对其他部分做任何处理。

此外，大多数硬盘还包含隐藏区域（在逻辑访问层面无法访问和定位的磁盘区域）。

清除（Wipe）机密数据

硬盘中可能存在一些临时存储的机密数据。用户也可能已经删除了文件，并且清空了回收站。在仍在使用本地硬盘的情况下，这些未占用的空间中可能仍然存在敏感信息。

对逻辑驱动器的已删除数据进行清除（wipe）并不意味着删除现有的文件和文件夹。它会处理所有未占用的磁盘空间，使得之前删除文件的恢复变得不可能。已安装的应用程序和现有数据不会受到此操作的影响。

在系统磁盘上清除未使用空间时，必须在从CD/DVD/USB启动的操作系统环境下运行这个过程。因此，wipe 或 erase 操作会使用一个位于本地硬盘之外的操作系统，不会受到 Windows 系统缓存的干扰。这意味着，可以将已删除的 Windows 系统记录彻底清除。

数据恢复

随着数据恢复技术的不断进步，即使硬盘被 wipe 和拆解，在许多情况下仍然可以恢复数据。安全机构使用先进的应用程序寻找与网络犯罪相关的证据。此外，还存在一些相关机构，采用复杂的信道编码技术，例如 PRML（Partial Response Maximum Likelihood），这是一种用来重建磁盘上数据的技术。其他方法包括利用磁力显微镜以及基于擦除带图案的数据信息进行恢复。

市场上有价格昂贵、极其先进的数据恢复系统。有相当一部分数据可以通过现成的数据恢复工具轻松恢复，从而让已删除的机密数据变得非常容易被访问。

需要一种更加安全可靠的数据销毁方案，可以将硬盘或可移动设备上的所有数据彻底销毁，无法被未来任何方式恢复。完成销毁操作后，你可以放心进行存储设备的处理、回收、出售或捐赠，无需担心数据泄露。

鸿萌数据销毁方案支持多种国际数据清理与销毁标准，包括美国国防部5220.22-M（DoD 5220.22-M）和国家标准与技术研究院（NIST）800-88标准。使用该方案擦除硬盘后，可以确信所有敏感信息将永久被销毁。

该方案可以从任何可以通过USB启动、CD/DVD启动的计算机上永久删除数据。对硬盘数据的访问是在物理层面通过BIOS（基本输入输出系统）实现的，绕过了操作系统中的逻辑驱动结构组织。无论操作系统、文件系统或机器类型如何，该方案都能销毁所有存储设备上的所有数据。这意味着无论目标计算机使用何种操作系统或文件系统，都不会影响清理操作的效果。