李建臣
(92538部隊,遼寧大連 116041)
隨著信息技術的日益發展,各類信息系統和控制系統中廣泛應用了大容量存儲設備,隨之而來的存儲數據安全銷毀問題也越來越突出。黨政軍機關、金融機構、科研院所等許多有高度安全保密需求的單位,都對存儲載體的安全銷毀有很高要求。如何選用安全可靠適用的銷毀方式,防止數據泄密、防范惡意恢復刪除后的數據,備受人們關注。本文以機械硬盤、固態硬盤、U盤等常見的大容量存儲載體為研究對象,分析當前安全銷毀的技術手段,探討存儲載體銷毀技術的現狀與應用。
當前,數字存儲載體多種多樣,磁介質和半導體介質存儲占主導地位。針對存儲介質的分類和特點,多名學者對相應的銷毀技術進行了深入研究[1-3]。當前,數據銷毀技術可分為2類:軟銷毀技術和硬銷毀技術,下面按分類介紹具體的銷毀方法。
軟銷毀技術作用于數據層面,主要是通過數據覆寫等軟件方法銷毀數據或者擦除數據。
1.1.1 銷毀特點
由于磁介質和半導體介質在數據存儲原理和存取方式上存在明顯不同,針對其采用的軟銷毀技術也不相同。
(1)磁介質。機械硬盤的磁頭通過磁化每個磁粒子來存儲數據,每個磁極表示一個0或者1的狀態。磁介質的剩磁效應導致磁化后會出現邊緣殘留和不完全磁化的現象,因此通常一遍覆蓋并不能將數據徹底刪除,使用專業設備分析磁盤可恢復覆蓋前的數據。
(2)半導體介質。針對使用NAND Flash技術的固態硬盤和閃存盤,其Flash存儲器以浮柵晶體管作為基本存儲單元,浮柵晶體管將數據以電荷的形式存儲于浮柵中,通過浮柵上電子的數目可以區分浮柵晶體管存儲的值。理想情況下,可通過擦除操作將電子全部移出浮柵。但實際情況下,擦除操作可以移出大部分電子,仍然有少量電子留在浮柵中。由于浮柵單元數據殘留問題,浮柵中的電子很難完全擦除干凈,殘余電子數目將影響浮柵晶體管的閾值電壓或漏電流等器件參數。借助FIB技術可以反推出擦除前的數據。
1.1.2 銷毀方法
(1)低級格式化。與常用的高級格式化相比,低級格式化是對磁盤更加徹底的格式化。低級格式化將磁盤劃分出柱面和磁道,再將磁道劃分為若干個扇區,將每個扇區的所有字節全部置零,并標記、替換檢測出來的壞道。低級格式化只支持對整塊磁盤的數據進行銷毀,大容量磁盤的銷毀時間較長,因此在緊急情況下銷毀數據時并不適用。低級格式化之后的磁盤依然可以使用,但低級格式化是對磁盤扇區進行磁記錄軌跡(磁道)的高強度磁化,這是一種損耗性操作,對磁盤壽命有一定的負面影響。低級格式化能夠完全擦除磁盤中的數據,但全盤數據只是被零簡單地覆蓋一次,還不夠徹底。
(2)全盤覆寫。數據覆寫是數據銷毀技術中既復雜又實用的一種方法,通過采用特定的覆寫規則和覆寫序列覆蓋存儲介質上的原有數據。它既能保證存儲介質讀寫數據等功能完好,又最大限度地對數據進行清除,選擇有效的覆寫方法和覆寫次數是保證已銷毀數據不被恢復的關鍵。國內外主流的覆寫標準或參考有DoD 5220.22-M[4]標準、HMG IS5標準[5]、Gutmann標準[6]和BMB21-2007《涉及國家秘密的載體銷毀與信息消除安全保密要求》等。不同的標準安全性不同,消耗的時間也不相同,安全級越高的覆寫算法,一般時間開銷越大,可根據安全需求采用不同安全級的覆寫算法來取得安全需求和性能需求之間的平衡。
(3)改進型覆寫。為了改進覆寫的方法和效果,多名學者進行了有益的研究。
1)提高銷毀速度的研究有:辛睿山提出了面向大容量Flash存儲器的快速深度擦除算法,在基本架構上添加快速深度擦除電路,優先覆寫高優先級塊后,再進行整體擦除,可在短時間內破壞文件完整性,使得每個文件都無法被完整有效地恢復,從而實現快速擦除的目的[7]。Tianran Xiao等人提出了基于NAND Flash的SSD單文件銷毀方法,對每個文件加入獨一無二的頭部,在進行單文件數據銷毀時在全盤范圍內對具有該特征的文件進行銷毀[8]。
2)增強銷毀安全性的研究有:Chen Liu等人提出了數據加密銷毀策略[9],將數據銷毀問題轉化為對密鑰存儲塊的銷毀問題,大幅加快了銷毀速度且滿足數據安全銷毀的要求。之后,該團隊又提出一個優化方案,對一個SSD進行功能劃分,劃分為加密區和非加密區,優先銷毀加密區的數據,加快了數據銷毀的速度,也在一定程度上減少了銷毀操作給SSD帶來的損耗[10]。于游等人提出了基于AES加密存儲的磁盤銷毀策略,僅需對存儲在磁盤中的AES解密密鑰進行覆寫,就可使攻擊者無法對磁盤中的密文進行解密[11]。熊臣宇提出了一種在SSD中基于密碼學的文件快速銷毀方法,將全盤數據的銷毀問題通過密碼學方法轉化為銷毀密鑰存儲塊上的密鑰的銷毀問題,減少了銷毀時長[12]。
3)提高銷毀效果的研究有:針對Flash存儲器,其浮柵單元數據殘留現象的本質是擦除后浮柵中殘留電子數與擦除前存儲數據具有相關性,辛睿山提出可采取2種覆寫方法削減這種相關性。第一種是加入一些隨機因素,如控制擦除時間,使得相關性被破壞。第二種是采用多次覆寫某些序列的方法,減弱相關性,使得在現有技術條件下,這種相關性不能被檢測出來[7]。
軟銷毀技術一般是在不使用專用設備的情況下銷毀數據,不論是低級格式化還是各種覆寫手段,這些軟件層面的方法并不能對存儲載體的物理構造形成不可逆的改變,因此通常可重復使用軟銷毀后的存儲介質。但缺點是,存儲介質被擦除后都可能留有一些物理特性使數據能夠被重建,從而導致殘留在其中的數據信息可能被攻擊者非法獲取[1]。
硬銷毀技術作用于載體硬件層面,主要是通過對存儲介質的永久性破壞來達到徹底的數據銷毀或數據擦除的目的。
1.2.1 消磁
消磁法適用于磁介質的存儲設備,該方法通過專用強力消磁設備,使用遠超磁介質矯頑磁性的磁力直接對盤片進行消磁,使得消磁后的磁體排序錯亂而丟失信息[13]。消磁法可分直流消磁法和交流消磁法2種,交流消磁法的消磁效果要優于直流消磁法,交流消磁技術安全性更高。此方法最明顯的特點是高效,它可在瞬間完成銷毀任務,但經過消磁處理的存儲介質無法再次重復使用[14]。專用的消磁器能夠達到這個效果,但是對于家庭環境能夠獲得的人造磁體來說很難實現徹底消磁。且該方法適用于磁介質載體已和外殼分離的情況,分離過程需要人工干預,因此不適用于緊急情況下數據自動銷毀的場合。
1.2.2 化學腐蝕
化學腐蝕法是采用化學制劑對存儲介質進行腐蝕破壞的銷毀方法,通常使用鹽酸、醋酸、硫酸等腐蝕性液體噴涂或浸泡磁介質,使磁粉溶解、活化、剝離甚至溶毀硬盤,以達到破壞載體構造、銷毀數據的目的。銷毀時,應確保存儲盤片的各個部位完全受到腐蝕液體的浸泡。該方法需使用專用的化學制劑,操作要求高,且有一定的危險性,適用于專業人員在通風良好的環境中進行。
1.2.3 物理粉碎
物理粉碎法是通過重擊、切削、研磨、砸碎、剪碎、搗碎、絞碎等物理手段將存儲介質進行粉碎性破壞的銷毀方法。實施此方法,務必要將存儲載體粉碎成無法重組的極小顆粒,讓人無法從介質殘骸中恢復出數據。大多數存儲載體都可使用此方法進行銷毀,但該方法并不能從根本上完全銷毀數據,存在數據被恢復的可能性。
1.2.4 焚毀
焚毀法是采用高溫焚燒存儲載體,使存儲介質和盤片熔化,從而銷毀數據的方法。焚燒前需要先將存儲載體的外殼拆除,并確保存儲盤片的各個部分被均勻徹底焚燒。達到一定的時間和強度后,焚毀法可銷毀絕大多數載體,但該方法具有一定的危險性,操作時應在空曠、通風的場所中進行。
1.2.5 爆炸
爆炸法是在存儲載體上增加爆炸毀傷裝置,通過爆炸手段實施銷毀的方法。爆炸使爆炸點附近的介質上產生急劇的壓力跳躍,這將直接造成存儲介質被破壞。使用電雷管銷毀有很多優勢,因此常被選作爆炸單元,其工作原理是:通電后,橋絲電阻產生熱量引燃引火藥頭,引火藥頭迸發出的火焰激發雷管爆炸。何國斌設計了一種使用瞬發電雷管的防丟失自毀移動硬盤,爆炸產生的破壞力可將盤片炸為細小的片狀或使得信息存儲介質從結構上受到破壞達到不可恢復的狀態[15]。但爆炸法存在封裝尺寸過大和安全隱患的問題,且對微小尺寸的存儲載體難以實現精準毀傷。
1.2.6 高壓電
高壓電法是將升壓電路引入Flash存儲載體,通過對存儲芯片的不可逆擊穿實現銷毀的方法。航空領域常用28V航空直流電源進行銷毀設計,王博等人將28V電源接入無人機存儲關鍵信息的NVRAM的供電管腳,燒毀NVRAM進行銷毀[16]。遲鵬程首先將28V電壓升至90V,然后將能量儲存在儲能模塊中,并將能量以高壓脈沖的形式釋放到NAND Flash的VDD管腳進行物理燒毀[17]。蔡屹等人采用限流升壓電路,控制瞬時電流的抬升和負載電壓的回落,有效完成電流敏感型固態硬盤的銷毀[18]。
硬銷毀技術可完全破壞芯片的存儲功能,從而實現更高安全等級的銷毀。大部分硬銷毀技術能絕對保證數據被安全銷毀,但是硬銷毀技術將完全破壞存儲介質,導致存儲介質無法再次使用,因此通常在保密要求更加嚴苛的情況下使用。
上述各種銷毀方法各有優缺點,也各有不同的應用場合。保密需求等級一般,要求存儲載體可重復利用時,可選用軟銷毀技術手段;保密需求等級高,可選用硬銷毀技術手段;有合適的銷毀場地時,可選用化學腐蝕和焚毀方法;有銷毀專用設備時,可選用消磁和物理粉碎方法;對銷毀時限要求高時,可選用爆炸和高壓電方法。
為增強銷毀效果,可在時間允許的情況下,按照先使用軟銷毀技術、后使用硬銷毀技術的順序,復用多種銷毀方法。劉磊等人提出了一種數據快速銷毀的方法,采用了密鑰格式化、芯片物理燒毀及燒毀檢測三重保護機制,任何一種數據銷毀機制都是不可逆操作,所以數據銷毀安全徹底,使密鑰及時被擦除并不可恢復,從而保護了數據的安全[19]。
近年來,銷毀技術的需求不斷增長,銷毀技術的應用前景非常廣闊,數據銷毀技術不能僅僅停留在簡單應用上。它可以向超快速銷毀、易銷毀存儲介質、多手段融合、無污染銷毀、資源化利用等方向發展,更好地解決銷毀技術安全性、可靠性、時效性、適用性等關鍵問題。