計算機數(shù)據(jù)安全存儲技術(shù)及應(yīng)用

雷磊 王越 孟粉霞

西北核技術(shù)研究所 陜西 710024

0 前言

數(shù)據(jù)安全的核心是存儲安全，在現(xiàn)今IT飛速發(fā)展的時代，無論是政府機關(guān)、軍隊、還是企業(yè)、家庭的重要數(shù)據(jù)大都以電子形式存儲在臺式機硬盤、筆記本硬盤、可移動硬盤、服務(wù)器硬盤、存儲磁帶庫、移動硬盤、U盤、數(shù)碼存儲卡中。很多部門對于各自的敏感數(shù)據(jù)已經(jīng)擁有一套相對可靠的安全保護措施，然而還有一部分部門或個人對此重視不夠，僅停留在簡單常規(guī)地操作級別，從而存在敏感數(shù)據(jù)被竊取的風(fēng)險和隱患。

1 數(shù)據(jù)的安全存儲及應(yīng)用

1.1 數(shù)據(jù)加密

數(shù)據(jù)加密目前是計算機系統(tǒng)對信息進行保護的一種最可靠的辦法，它利用密碼技術(shù)對信息進行加密，把加密后的密文信息存儲在存儲介質(zhì)中，實現(xiàn)敏感數(shù)據(jù)存儲和傳送過程中的機密性保護。數(shù)據(jù)加密有各種分類方法，按照實現(xiàn)手段可以分為四種：主機軟件加密(代表產(chǎn)品主要包括Symantec Veritas NetBackup、IBM TSM)、加密存儲安全交換機(代表產(chǎn)品包括CipherMax CM系列、思科的MDS系列)、嵌入式專門加密設(shè)備以及基于存儲層的存儲設(shè)備。

1.2 訪問控制

目前訪問控制技術(shù)主要致力于三個方面的研究：操作系統(tǒng)本身的訪問控制、邊界訪問控制、應(yīng)用系統(tǒng)的訪問控制。對操作系統(tǒng)的訪問控制能力，首先是開展對安全操作系統(tǒng)的研究。現(xiàn)在的操作系統(tǒng)的大多數(shù)是C1、C2級，安全操作系統(tǒng)可以達到B1級。安全操作系統(tǒng)主要是提高了操作系統(tǒng)的強制訪問控制能力、安全審計能力、密碼存取能力，對進程、文件、目錄的保護都得到加強。邊界訪問控制主要通過防火墻系統(tǒng)、支持VLAN的網(wǎng)絡(luò)設(shè)備來實現(xiàn)。應(yīng)用系統(tǒng)的訪問控制一般在應(yīng)用系統(tǒng)開發(fā)中單獨實現(xiàn)；有時也可以通過調(diào)用底層的操作系統(tǒng)訪問控制功能或者數(shù)據(jù)庫管理系統(tǒng)訪問控制功能。

1.3 備份與恢復(fù)

目前普遍的方法是對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的重要數(shù)據(jù)通過先進的安全備份軟件進行定期的增量備份和完全備份。所有備份操作都由安全備份軟件自動完成。Acronis True Image是這方面的突出產(chǎn)品，它可以通過本地和網(wǎng)絡(luò)兩種方式進行備份，采用的網(wǎng)絡(luò)備份設(shè)計如圖1所示，裝有Acronis的服務(wù)器定期通過網(wǎng)絡(luò)對主要服務(wù)器進行增量備份和完全備份，所有終端也可以通過Acronis備份服務(wù)器進行網(wǎng)絡(luò)備份。此備份恢復(fù)體系已經(jīng)在實踐中得到廣泛的應(yīng)用，并完成了數(shù)次災(zāi)難性恢復(fù)任務(wù)，很好地保證了服務(wù)器的正常運行和敏感數(shù)據(jù)的完整保存。

圖1 服務(wù)器和終端備份系統(tǒng)設(shè)計圖

2 數(shù)據(jù)銷毀

數(shù)據(jù)加密、訪問控制、備份與恢復(fù)是我們進行敏感數(shù)據(jù)日常安全存儲的必要環(huán)節(jié)，在現(xiàn)今IT時代技術(shù)已經(jīng)比較成熟，被廣泛應(yīng)用于需要存儲重要數(shù)據(jù)的各個領(lǐng)域。但是當(dāng)我們不再需要這些數(shù)據(jù)，但是又不能泄露它們否則會造成巨大損失時，就需要徹底銷毀它們，這時就遇到了一個比較重要的問題——數(shù)據(jù)銷毀。

2.1 存儲原理

磁盤是一種采用磁介質(zhì)的數(shù)據(jù)存儲設(shè)備，數(shù)據(jù)存儲在密封于潔凈的硬盤驅(qū)動器內(nèi)腔的若干個磁盤片上。這些盤片一般是在以鋁為主要成份的片基表面涂上磁性介質(zhì)所形成，在讀取數(shù)據(jù)時，通過磁頭將磁粒子的不同極性轉(zhuǎn)換成不同的電脈沖信號，再利用數(shù)據(jù)轉(zhuǎn)換器將這些原始信號變成電腦可以使用的數(shù)據(jù)，寫的操作正好與此相反。

在現(xiàn)今通用的Windows操作系統(tǒng)中使用三種文件系統(tǒng)FAT(文件分區(qū)表)、FAT32(32位文件分區(qū)表)和NTFS(NT文件系統(tǒng))。在FAT文件系統(tǒng)下，每一個磁盤被分成固定大小的簇。簇最少為512字節(jié)，其大小可以成倍增長，最大為32K。每個簇都由惟一的索引號即一個16位二進制數(shù)來標(biāo)識。因為16位二進制數(shù)最大為65536，所以FAT分區(qū)所擁有的簇的數(shù)量不可能超過65536個。簇的個數(shù)和大小的限制，就是FAT分區(qū)為什么不能超過2GB的原因。FAT中的入口連接著組成一個文件的各個簇，文件的目錄入口包含其第一個簇的索引號，而該簇在FAT中的入口又包含著下一個簇的索引號，依此類推。一個文件的最后一簇對應(yīng)的FAT入口則包含著一個特殊的文件終止符。未使用的簇和損壞的簇也會用特殊代碼標(biāo)識出來。FAT文件系統(tǒng)主要用于DOS及早期的Windows版本使用。FAT32文件的原理幾乎與此相同，但它的簇更小，而且由于FAT入口是32位，所以其容量理論上可以超過40億字節(jié)。NTFS是一個相當(dāng)高級的文件系統(tǒng)，它的主文件表(MFT)是一個非常完整的數(shù)據(jù)庫，它負責(zé)對磁盤上的每個文件進行索引。每個MFT的入口通常為1K大小，其中記錄了大量的文件信息。在MFT中，NTFS磁盤上的每個文件(包括MFT自身)至少有一映射項。因此在訪問文件時首先要從MFT中找到文件所在的簇的位置，然后才能到相應(yīng)的簇去讀取。此文件系統(tǒng)主要應(yīng)用在Windows NT以及之后的Windows 2000、Windows Server2003、Windows XP、Windows 7等。

2.2 常規(guī)刪除

通過對數(shù)據(jù)存儲原理的了解，我們向硬盤里存放文件時,系統(tǒng)首先會在文件分配表內(nèi)寫上文件名稱、大小，并根據(jù)數(shù)據(jù)區(qū)的空閑空間在文件分配表上繼續(xù)寫上文件內(nèi)容在數(shù)據(jù)區(qū)的起始位置。然后開始向數(shù)據(jù)區(qū)寫上文件的真實內(nèi)容，一個文件存放操作才算完畢。

但是我們的常規(guī)刪除操作卻非常簡單，當(dāng)我們需要刪除一個文件時，系統(tǒng)只是在文件分配表內(nèi)在該文件前面寫一個刪除標(biāo)志，表示該文件已被刪除，他所占用的空間已被“釋放”，其他文件可以使用他占用的空間，但是數(shù)據(jù)區(qū)所存儲的數(shù)據(jù)并沒有真正被刪除。所以，當(dāng)我們刪除文件又想找回它(數(shù)據(jù)恢復(fù))時，只需用工具將刪除標(biāo)志去掉，數(shù)據(jù)被恢復(fù)回來了。當(dāng)然，前提是沒有新的文件寫入，該文件所占用的空間沒有被新內(nèi)容覆蓋。

格式化操作和常規(guī)刪除相似，都僅僅是對文件分配表進行操作，不過格式化是將所有文件都加上刪除標(biāo)志，或干脆將文件分配表清空，系統(tǒng)將認為硬盤分區(qū)上不存在任何內(nèi)容。但格式化操作并沒有對數(shù)據(jù)區(qū)做任何操作，目錄空了，內(nèi)容還在，借助數(shù)據(jù)恢復(fù)知識和相應(yīng)工具，數(shù)據(jù)仍然能夠被恢復(fù)回來。

再進一步的數(shù)據(jù)清理就是硬盤分區(qū)了。對于“硬盤分區(qū)”這一操作，操作系統(tǒng)也只是修改了硬盤主引導(dǎo)記錄和系統(tǒng)引導(dǎo)扇區(qū)，絕大部分的數(shù)據(jù)區(qū)并沒有被修改，仍然非常容易就被恢復(fù)大部分?jǐn)?shù)據(jù)。筆者使用工具DataExplore進行常規(guī)刪除恢復(fù)的操作結(jié)果如圖2所示。

圖2 用DataExploreOP

在一臺PC機上通過Shift+Delete刪除一個包含有若干文檔的文件夾之后，用DataExplore在該分區(qū)上進行恢復(fù)，結(jié)果該文件夾的所有文檔被完整地恢復(fù)了出來。

綜上所述，當(dāng)我們采取刪除、格式化等常規(guī)操作來銷毀數(shù)據(jù)時，事實上數(shù)據(jù)并沒有被真正銷毀，在新數(shù)據(jù)寫入硬盤同一存儲空間前，該數(shù)據(jù)會一直保留，從而存在被他人刻意恢復(fù)的風(fēng)險。

2.3 數(shù)據(jù)軟銷毀

數(shù)據(jù)軟銷毀又稱邏輯銷毀，即通過數(shù)據(jù)覆蓋等軟件方法銷毀數(shù)據(jù)。通常采用數(shù)據(jù)覆寫法。數(shù)據(jù)覆寫是將非保密數(shù)據(jù)寫入以前存有敏感數(shù)據(jù)的硬盤簇的過程。硬盤上的數(shù)據(jù)都是以二進制的“1”和“0”形式存儲的。使用預(yù)先定義的無意義、無規(guī)律的信息反復(fù)多次覆蓋硬盤上原先存儲的數(shù)據(jù)，就無法知道原先的數(shù)據(jù)是“1”還是“0”，也就達到了銷毀數(shù)據(jù)的目的。

根據(jù)數(shù)據(jù)覆寫時的具體順序，軟件覆寫分為逐位覆寫、跳位覆寫、隨機覆寫等模式。根據(jù)時間、密級的不同要求，可組合使用上述模式。美國國防部 Network & Computer Security的 DOD 5220122_ M 標(biāo)準(zhǔn)和北約 NATO 的多次覆寫標(biāo)準(zhǔn)規(guī)定了覆寫數(shù)據(jù)的次數(shù)，覆寫數(shù)據(jù)的形式。美國國防部訂立的磁盤清洗規(guī)范，要求數(shù)據(jù)必須對所要清除的數(shù)據(jù)區(qū)進行三次覆蓋：第一次用一個8位的字符覆蓋， 第二次用該字符全反轉(zhuǎn)的字符0 和1覆蓋，最后再用隨機字符覆蓋。如先用0011 0101 覆蓋，接著用1100 1010，然后用1001 0111。覆寫必須完成的次數(shù)與存儲介質(zhì)有關(guān)，有時與其敏感性有關(guān)，有時因需求有所不同。在不了解存儲器實際編碼方式的情況下，為了盡量增強數(shù)據(jù)覆寫的有效性，正確確定覆寫次數(shù)與覆寫數(shù)據(jù)格式非常重要。數(shù)據(jù)覆寫法處理后的硬盤可以循環(huán)使用，適應(yīng)于密級要求不是很高的場合，特別是需要對某一具體文件進行銷毀而其他文件不能破壞時，這種方法更為可取。本人認為到目前為止，數(shù)據(jù)覆寫是較安全、最經(jīng)濟的數(shù)據(jù)軟銷毀方式。需要注意的是，覆寫軟件必須能確保對硬盤上所有的可尋址部分執(zhí)行連續(xù)寫入。如果在覆寫期間發(fā)生了錯誤或壞扇區(qū)不能被覆寫，或軟件本身遭到非授權(quán)修改時，處理后的硬盤仍有恢復(fù)數(shù)據(jù)的可能，因此該方法不適用于存儲高機密級數(shù)據(jù)的硬盤。而且即使原來文件的數(shù)據(jù)被覆蓋，也并不意味著完全不能恢復(fù)。

目前，有兩種辦法可以用來讀取硬盤上被覆蓋的數(shù)據(jù)。

第一種方法是當(dāng)硬盤讀寫頭在硬盤上寫入一位數(shù)據(jù)時，它使用的信號強度只是用來寫入一位數(shù)據(jù)，并不會影響到相鄰位的數(shù)據(jù)。由于這個寫入信號并不是很強，因此可以通過它寫入的數(shù)據(jù)位的絕對信號強度來判斷此前該數(shù)據(jù)位所保存的是何種數(shù)據(jù)。換句話說，如果二進制數(shù)據(jù)0被二進制數(shù)據(jù)1所覆蓋，其信號強度會比二進制數(shù)據(jù)1被覆蓋要弱一些。使用專門的硬件就可以檢測出準(zhǔn)確的信號強度。把被覆蓋區(qū)域讀出的信號減去所覆蓋數(shù)據(jù)的標(biāo)準(zhǔn)信號強度，就能獲得原先數(shù)據(jù)的一個副本。更令人吃驚的是，這一恢復(fù)過程可以被重復(fù)7次之多。因此如果你想避免別人使用這種方法來竊取你的數(shù)據(jù)，你至少要覆蓋該區(qū)域7次，而且每次還應(yīng)該使用不同的隨機數(shù)據(jù)。

第二種數(shù)據(jù)恢復(fù)技術(shù)則是利用了硬盤讀寫頭的另一個特點：讀寫頭每次進行寫操作的位置并不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數(shù)據(jù)(也被稱為影子數(shù)據(jù))，便可通過特殊手段恢復(fù)出來。只有多次重復(fù)地覆寫數(shù)據(jù)才能消除這些磁道邊緣的影子數(shù)據(jù)。

2.4 數(shù)據(jù)硬銷毀

數(shù)據(jù)硬銷毀是指采用物理破壞或化學(xué)腐蝕的方法把記錄涉密數(shù)據(jù)的物理載體完全破壞掉，從根本上解決數(shù)據(jù)泄露問題的銷毀方式。數(shù)據(jù)硬銷毀可分為物理銷毀和化學(xué)銷毀兩種方式。物理銷毀又可分為消磁，熔爐中焚化、熔煉，借助外力粉碎，研磨磁盤表面等方法。

消磁是磁介質(zhì)被擦除的過程。銷毀前硬盤盤面上的磁性顆粒沿磁道方向排列，不同的N/S極連接方向分別代表數(shù)據(jù)“0”或“1”，對硬盤施加瞬間強磁場，磁性顆粒就會沿場強方向一致排列，變成了清一色的“0”或“1”，失去了數(shù)據(jù)記錄功能。如果整個硬盤上的數(shù)據(jù)需要不加選擇地全部銷毀，那么消磁是一種有效的方法。不過對于一些經(jīng)消磁后仍達不到保密要求的磁盤或已損壞需廢棄的涉密磁盤，以及曾記載過絕密信息的磁盤，就必須送專門機構(gòu)作焚燒、熔煉或粉碎處理了。物理銷毀方法費時、費力，一般只適用于保密要求較高的場合。

化學(xué)銷毀是指采用化學(xué)藥品腐蝕、溶解、活化、剝離磁盤記錄表面的數(shù)據(jù)銷毀方法。化學(xué)銷毀方法只能由專業(yè)人員在通風(fēng)良好的環(huán)境中進行。化學(xué)腐蝕的特點是安全級別高，缺點是代價太高，難以普及，只適合國家情報等有極其特殊需要的部門。

針對軍方、銀行、高度商業(yè)機密用途的硬盤自毀式技術(shù)已經(jīng)得到了很多部門廣泛注意，在自毀式程序的作用下，一旦電腦遭到偷竊、系統(tǒng)遇到不法的入侵，抑或硬盤遭到強行而粗野的拆卸，硬盤內(nèi)部程序會在最短的時間內(nèi)(一般在0.1秒內(nèi))刪除硬盤上的所有數(shù)據(jù)或者啟動硬盤內(nèi)的化學(xué)制劑，將所有硬盤盤片磁介質(zhì)層完全破壞，從而徹底銷毀數(shù)據(jù)。不僅如此，還采用了獨特的觸發(fā)機制。除常規(guī)的聯(lián)網(wǎng)觸發(fā)、手動觸發(fā)等觸發(fā)模式，還可通過內(nèi)置的GPS全球定位系統(tǒng)來確定硬盤許可范圍，一旦越界就會觸發(fā)。

在實際應(yīng)用中銷毀數(shù)據(jù)典型做法是對于涉密程度不高的報廢計算機硬盤采用低級格式化加覆寫的方法，此方法可以使硬盤循環(huán)使用，節(jié)約成本，但僅限于低密級硬盤。對于密級較高的報廢計算機硬盤則采用先常規(guī)刪除數(shù)據(jù)、消磁然后焚燒的做法，基本上完全消除了泄密隱患。磁盤銷毀流程圖如圖3所示。

圖3 數(shù)據(jù)銷毀流程圖

3 結(jié)束語

本文首先介紹了數(shù)據(jù)安全存儲的三個基本環(huán)節(jié)：加密存儲、訪問控制、備份恢復(fù)的基本概念及技術(shù)，并給出了數(shù)據(jù)安全存儲在典型企業(yè)中的具體設(shè)計方案和應(yīng)用。同時從原理上詳細分析了目前在數(shù)據(jù)銷毀方面存在的各種不安全做法，針對不同密級部門提出了相對應(yīng)的數(shù)據(jù)銷毀方式。此外，對于實際應(yīng)用的工具和產(chǎn)品也做了簡要的介紹，在實際數(shù)據(jù)安全防護應(yīng)用中還應(yīng)結(jié)合產(chǎn)品和技術(shù)措施不斷完善防護技術(shù)，才能做到持久動態(tài)發(fā)展的數(shù)據(jù)安全防護能力。

[1] Katzan.H.標(biāo)準(zhǔn)數(shù)據(jù)加密算法[M].人民郵電出版社.2007.

[2] 劉揚,陳曉鵬,苑新玲.基于企業(yè)涉密檢測的數(shù)據(jù)安全解決方案[J].計算機工程與設(shè)計.2008.

[3] 唐朔飛.計算機組成原理[M].高等教育出版社.2002.

[4] 尹燕彬,文偉平.計算機數(shù)據(jù)安全刪除和隱私保護[J].信息網(wǎng)絡(luò)安全.2009.

[5] 徐鵬,薛建鋒.數(shù)據(jù)中心容災(zāi)系統(tǒng)研究[J].計算機工程與設(shè)計.2007.

[6] 左鋒.信息安全體系模型研究[J].信息安全與通信保密.2010.

[7] 王建峰.數(shù)據(jù)銷毀:數(shù)據(jù)安全領(lǐng)域的重要分支[J].計算機安全.2006.

[8] 徐菁,朱有佃,賴凡.論磁性存儲介質(zhì)的數(shù)據(jù)銷毀技術(shù)[J].西南師范大學(xué)學(xué)報(自然科學(xué)版).2007.