数据擦除及销毁平台的研发思路与工作实践关键点解析

2021-08-19 04:10王孝余刘峙麟
黑龙江电力 2021年3期
关键词:存储介质磁盘硬盘

尚 方,张 爽,王孝余,刘 生,姜 鹏,刘峙麟

(1.国网黑龙江省电力有限公司电力科学研究院,哈尔滨 150030;2.黑龙江大学 数据科学与技术学院,哈尔滨 150080;3.哈尔滨工业大学 航天学院,哈尔滨 150001)

1 国家电网有限公司电子数据擦除现状

随着“大云物移智”的全面发展,信息安全问题越来越受到人们的关注。大量信息存储在各种存储介质中,为人们提供了极大的便利,但同时也面临着数据泄露的风险,确保数据安全成为信息安全研究的一个主要方向[1-2]。数据属于企业的重要资产,与企业的发展息息相关[3-6]。国家电网有限公司作为国家支柱企业,一直把信息安全作为日常生产中一个重要环节来对待[7]。其信息化程度处于中国先进队列,信息化管理水平、人员素质、信息安全设备的使用情况优于大部分企事业单位。国家电网有限公司应用的存储介质类型多,范围广,且数量极为庞大,存储介质中存有公司的各种重要信息和工作资料[8]。在电子数据的擦除和销毁方面,公司有迫切的需求[9]。

为此,公司制定了一系列的管理规定和指导意见,也出台了专门的企业标准,从管理上严格把关;还通过国家电网有限公司数据恢复和销毁中心,研发了专用的并行电子数据擦除平台,并在系统内多个试点单位进行推广,取得了良好的效果。该平台目前有两个版型,均已经应用3年以上。通过对平台设计过程中一些关键点的设计思路进行剖析,以及对使用中需要关注的一些工作技巧和技术关键点进行详解,为其他大型企事业单位的类似应用场合提供了良好的解决方案,为数据擦除及销毁行业技术的发展提供了实践经验。

2 数据销毁与数据擦除的概念和标准的探析

2.1 数据销毁与数据擦除的概念详解

数据销毁是把存储介质上的数据彻底清除掉,使之不能被读取和数据恢复的技术手段[10-11]。业内通常根据数据被破坏的效果,直接用数据销毁这个词指代“逻辑销毁”以及“物理销毁”两种情况。为了明确这两个截然不同的概念,根据2017年发布的电力行业标准DL/T 1757—2017《电子数据恢复和销毁技术要求》,通过“存储介质是否会遭到破坏”这个关键点的对比,把“数据擦除”这个词专门指代业内人士所说的“逻辑销毁”这个概念;而对已经发生了存储介质被破坏的“物理销毁”情况,指定了一个专有名词,即“数据销毁”。根据存储介质被破坏的程度和方法,分成2个等级。

数据擦除技术是指对存储介质内电子数据进行破坏,但存储介质可继续使用,在行业标准中,其标准定义为:“使用预先定义的无意义、无规律的信息覆盖存储介质上原数据,达到对存储介质内电子数据进行销毁的目的。”而“物理销毁”包括2个等级:一级销毁和二级销毁。一级销毁是指存储介质销毁后形成的残留物或残片上不存在信息,或不存在任何有价值的信息,采用现有的技术措施无法重组恢复出有价值的信息,可直接废弃;二级销毁是指存储介质销毁后形成的残留物或残片上仍含有信息,存在被恢复出信息的风险,在信息涉密程度许可的情况下可以使用。可见“数据擦除”的概念还是容易理解的,但是“数据销毁”的概念两级分类不够直观。为了清晰地说明这两种情况的不同,下面以磁盘和磁带为例进行说明。

1)通过强磁场把磁盘和磁带消除磁性后,原来记录的磁信号不能再次读取到,符合“残留物或残片上不存在信息”这种情况,是一级销毁。

2)通过高温,把磁盘熔化成液体或把磁带焚毁成灰,符合“残留物或残片上不存在信息”这种情况,是一级销毁。

3)通过碎纸机类型产品,把磁盘盘片打碎成小碎块或把磁带剪碎成小碎片,这种情况符合“存储介质销毁后形成的残留物或残片上仍含有信息”,是二级销毁。

当然,对于光盘、flash存储芯片等,都有其专门对应的一级、二级数据销毁方式。但不管什么介质,不论是采用一级销毁、二级销毁还是数据擦除方式来处理,对于数据恢复来说都是非常困难的,甚至可以说是不可能完成的任务[12]。但是,为了安全起见,涉密的存储介质在选择擦除方式时,一般都采用了销毁的方式。

2.2 文件系统删除数据方式

文件系统可以理解为一本书,前面是目录,后面是正文,目录中标明了正文中每一页的内容。如果仅是通过操作系统来删除一个文件,相当于先是在目录中寻找到这个文件的索引,然后把这个文件的名字从目录中擦掉,再把这个文件所在的正文内容页码标记为“空白,可用”而已。而不会继续到正文页码中去把这几页正文记录的数据完整地擦掉。之所以这样处理,是因为两点。其中重要的一点是这样仅擦除目录的方式可以极大地提升工作效率,尤其是像下载的电影或者大的软件包等,如果要把正文页都覆盖一遍的话,硬盘动辄需要写入几个G的数据,这个过程对于CPU和系统的整个性能都会造成非常大的影响,而采用只删除目录而不涉及正文的方式可以非常快的完成;另外一点是,也没有必要对后面的正文进行逐个删除,尤其是像操作系统以及各种软件的缓存文件等,需要随时更新覆盖,覆盖之后只会读取到最后一次写入的信息,前面写什么已经无所谓了。从文件系统的数据删除机制来看,想要彻底的删除数据必须要完整细致地把文件目录和正文内容彻底覆盖。

2.3 标准擦除数据方式

如果数据已经覆盖,用普通的数据恢复软件或者设备工具只能读取到最后一次写入的信息,原来的数据不能再次读到,在这种情况下就相当于已经把数据擦除掉。然而,通过一些特殊的手段,可以直接从盘片上读取被覆盖的数据,这就是标准擦除存在的原因,因此在设计电子数据擦除和销毁平台时,考虑到了可以直接采用标准擦除的方案,又增加了对于专门区域采用设定字符覆盖指定次数的人性化设计。因为在多次擦除实践中,发现用户有既要保存好信息,又要删除特殊数据的需求。使用特殊的方法和设备来读取已经覆盖到的磁信号,其理论依据有两种:

1)根据磁信号的强弱,来判断这个信号曾经记录过什么信息。例如,如果某个信号记录的位置A原来记录的是0,后来被覆盖成1;而另外一个信号记录位置B原来记录的是1,后来被覆盖的还是1,那么A和B当前1的磁信号强度应该是不同的,可以通过精确地测量信号强度的实际值,再通过经验及多次的组合尝试,来恢复数据。因为磁头向磁盘写入数据的时候,并不是完整地把磁极写成介质饱和磁化的情况,磁盘上相邻信息位非常近,如果每个信息位都写饱和的话,彼此之间就会产生影响,所以信号的强度不是越强越好,不应超过一定的范围,这就为此种判断方法提供了可能。

2)磁头在向磁盘上写入数据的时候,后一次写入的位置不会绝对精确定位在上次写入的点上,换句话说,写入新数据也不能把以前的信息彻底覆盖掉。基于这个原理,可以把原来的信息读出来,同样也要经过多次的调试和组合。

但是,这两种方式都是从理论上说明恢复的过程,而随着覆盖次数的增多,寻找某次写入内容的难度就会成倍加大。从实际操作来看,这两种方式都需要专门的设备在无尘环境中读取盘片上的信息,更需要大量的时间进行尝试,花费的人力、物力是极其昂贵的,当要恢复的覆盖数据量比较大时,尤其是对于需要整体使用的数据库文件、压缩包信息等数据,仅恢复整块数据中的一部分,结果依旧无法使用。因此,对于非涉密信息,业内公认只需覆盖一次,就足以对数据进行彻底破坏了。

为了防止利用磁化信号的强弱等手段来恢复之前覆盖的数据信息,数据擦除技术标准专门做了一些设置,国家电网有限公司的企业标准Q/GDW 1937—2013《国家电网公司非国家秘密电子数据销毁、清除和恢复技术要求》遵循的是“用字符、他的补码和随机字符覆盖可寻址的存储单元并进行校验”的指导思想,分别采用了3次擦除和7次擦除的规范,按照现在技术的发展水平,从理论上就已经达到了不可恢复的目的。相比较来看,电力行业的标准DL/T 1757—2017《电子数据恢复和销毁技术要求》也对非国家秘密的电子数据擦除提出了技术指导,其明确推荐“存有非涉密电子数据的存储介质擦除次数宜为3次”,而对于有涉密情况的擦除次数为6次。以3次的擦除方法为例,填充字符应是两位十六进制字符,第一次应使用AAH(10101010B),第二次应使用55H(01010101B),第三次应使用随机数。在电子数据擦除平台的设计中,也引入了这样的设计思想。

3 国家电网有限公司电子数据擦除现状

3.1 电子数据擦除和销毁平台硬件设计及接口布局的探析

电子数据擦除和销毁平台可以为多种介质提供并行高速的电子数据擦除和销毁任务,且能满足在不同场合下的需要。因此目前设计了两个版本:一个是主要用在机房内部的,机架式结构,用于对保密要求高的不得带出机房的硬盘擦除和销毁;另一个版本是放在实验室、办公区的,展台式结构,用于给文档管理部门、信息运维部门使用,工作界面简洁明了。两个版本都设置多种类型的源盘接口,并且配置了消磁模块。源盘外接口包括:2.5寸和3.5寸硬盘的SATA/SAS复用口, USB 2.0/3.0复用口、SCSI、IDE接口、含TF卡、SD卡、记忆棒、miniSSD复合接口等,如图1所示。这些接口可以满足国家电网有限公司所有的存储介质需求。两种版本的配置差异较大,专用于不同场合。两个版本配置情况,详见表1。

图1 电子数据并行擦除及销毁平台展台式版本接口示意图

表1 电子数据并行擦除及销毁平台两种版本的配置

机架式设备采用了分体式设计,主机和从机都采用4U机箱设计,具有良好的散热功能,工作功率高,内置了通过国家保密局认定的消磁机。特意增加了SATA/SAS复用盘仓和外接口,便于机房内服务器为主体的工作情况。设置了用于搬运的提手以及脚垫,还在设备的外框采用了金属及橡胶护角加固,防止磕碰。

展台式设备根据文档工作人员使用特点,采用触摸屏,利用引导方式,便于用户操作。还根据工作特点,加装了打印模块,随时打印工作报告。电源取电也是采用普通插排式接口,可以直接从墙壁插座取市电。也加装了适合直联服务器的ESATA接口。

3.2 电子数据擦除和销毁系统工作效率的探析

电子数据擦除是把存储介质特定区域内完全覆写,所以会消耗大量的时间,以最大速度写入数据是电子数据擦除需要重点考虑的问题。影响擦除速度的关键因素包括存储介质本身的情况、擦除装置运算速度、工作环境温度、连接信号线的品质等。

存储介质本身状态是影响最大的因素,且往往不容易改变[12]。例如USB2.0接口理论速度为60 Mb/s,根据经验工作速度一般不超过20 Mb/s,而USB3.0接口的实测速度也常常超过150 Mb/s。存储介质的种类对擦除设备的影响,同样是SATA接口,实测SSD硬盘要比机械式硬盘的擦除设备快一些;同样是SATA硬盘,企业级高品质硬盘实测会比低品质级硬盘速度快一些;进一步来说,即使是同一个机械式硬盘,因为其外圈线速度要大于内圈线速度,也会导致外圈的擦除速度比内圈快30%左右,这是其内在性能决定的,在擦除过程中无法更改。但是要充分考虑到这些因素,尤其是对于大规模的擦除任务,在计算每个存储单元、Flash磁盘时都要考虑到这些问题,然后有针对性地采取最优解决方案。同时,在进行所需人员和设备数量预估时,也要充分考虑所有存储单元的整体情况、设备散热情况及介质擦除效果验证情况等,可见不同接口的工作速度差异非常大。因此,在实际工作中需要充分地掌握这些技术和经验,才能够减少工作时间,从而可以精准预估一个擦除和销毁任务需要的人员、设备数量和工作时长。

3.3 关于电子数据系统工作方法的探析

电子数据擦除和销毁平台经过了几年的应用实践,现将一些在工作中容易被忽视的问题总结如下:

1)有些移动硬盘,还存在通过转换口把SATA或者小IDE口转成USB口的情况,遇到这类情况,一定要尽量减少转接过程,尽量使用硬盘原接口来擦除,可以避免重复转换造成的速度下降。

2)对于大容量磁盘来说,如果需要对存储介质销毁的话,采用高磁场消磁是最便捷最节省人力、物力的方式,且磁盘外观上没有变化。如果销毁的数目不大的话(如100块盘以内),尽量采用此种方式。但需要注意在销毁过程中,磁场的强度和消磁时间需要达标,且要在消磁工作完成之后,进行必要的复测。

3)机械类硬盘在长期高速工作的状态下,会出现发热现象。因此,要注意包括平台自身的各个关键部位温升情况,如果温度过高,要采用合理的方式为设备降温或者休息。刚经过数据擦除的硬盘,其表面温度高,操作人员在插拔硬盘时需要采用带手套等保护措施,防止硬盘跌落、损伤等情况出现。

4 结 语

数据擦除和销毁能力是信息安全的一项重要保证,是计算机应用领域发展的方向。该文介绍了电子数据并行擦除及销毁平台的研发思路和电子数据擦除和销毁设备的研发及应用情况。所研发的设备已经得到实际应用,并取得了良好的效果,设备运行期间,积累了大量的实际工作经验,为其他大型企事业单位提供了相关问题的解决方案,也为数据擦除和销毁行业的技术发展和管理提升提供了借鉴经验。该平台下一步将会在国有大型企事业单位、科研机构等对保密要求高的工作场景中进行推广。

猜你喜欢
存储介质磁盘硬盘
叶腊石聚合成型及其旋转磁盘的制作方法
它的好 它的坏 详解动态磁盘
HiFi级4K硬盘播放机 亿格瑞A15
Egreat(亿格瑞)A10二代 4K硬盘播放机
HDFS数据动态分布设计与实现
解决Windows磁盘签名冲突
服务器更换硬盘后的同步问题
一种使用存储介质驱动的方式
Windows系统下动态磁盘卷的分析与研究
电子档案离线存储介质的选择分析