李建臣

（92538部隊(duì)，遼寧大連 116041）

0.引言

隨著信息技術(shù)的日益發(fā)展，各類(lèi)信息系統(tǒng)和控制系統(tǒng)中廣泛應(yīng)用了大容量存儲(chǔ)設(shè)備，隨之而來(lái)的存儲(chǔ)數(shù)據(jù)安全銷(xiāo)毀問(wèn)題也越來(lái)越突出。黨政軍機(jī)關(guān)、金融機(jī)構(gòu)、科研院所等許多有高度安全保密需求的單位，都對(duì)存儲(chǔ)載體的安全銷(xiāo)毀有很高要求。如何選用安全可靠適用的銷(xiāo)毀方式，防止數(shù)據(jù)泄密、防范惡意恢復(fù)刪除后的數(shù)據(jù)，備受人們關(guān)注。本文以機(jī)械硬盤(pán)、固態(tài)硬盤(pán)、U盤(pán)等常見(jiàn)的大容量存儲(chǔ)載體為研究對(duì)象，分析當(dāng)前安全銷(xiāo)毀的技術(shù)手段，探討存儲(chǔ)載體銷(xiāo)毀技術(shù)的現(xiàn)狀與應(yīng)用。

1.銷(xiāo)毀方法分析

當(dāng)前，數(shù)字存儲(chǔ)載體多種多樣，磁介質(zhì)和半導(dǎo)體介質(zhì)存儲(chǔ)占主導(dǎo)地位。針對(duì)存儲(chǔ)介質(zhì)的分類(lèi)和特點(diǎn)，多名學(xué)者對(duì)相應(yīng)的銷(xiāo)毀技術(shù)進(jìn)行了深入研究[1-3]。當(dāng)前，數(shù)據(jù)銷(xiāo)毀技術(shù)可分為2類(lèi)：軟銷(xiāo)毀技術(shù)和硬銷(xiāo)毀技術(shù)，下面按分類(lèi)介紹具體的銷(xiāo)毀方法。

1.1 軟銷(xiāo)毀技術(shù)

軟銷(xiāo)毀技術(shù)作用于數(shù)據(jù)層面，主要是通過(guò)數(shù)據(jù)覆寫(xiě)等軟件方法銷(xiāo)毀數(shù)據(jù)或者擦除數(shù)據(jù)。

1.1.1 銷(xiāo)毀特點(diǎn)

由于磁介質(zhì)和半導(dǎo)體介質(zhì)在數(shù)據(jù)存儲(chǔ)原理和存取方式上存在明顯不同，針對(duì)其采用的軟銷(xiāo)毀技術(shù)也不相同。

（1）磁介質(zhì)。機(jī)械硬盤(pán)的磁頭通過(guò)磁化每個(gè)磁粒子來(lái)存儲(chǔ)數(shù)據(jù)，每個(gè)磁極表示一個(gè)0或者1的狀態(tài)。磁介質(zhì)的剩磁效應(yīng)導(dǎo)致磁化后會(huì)出現(xiàn)邊緣殘留和不完全磁化的現(xiàn)象，因此通常一遍覆蓋并不能將數(shù)據(jù)徹底刪除，使用專(zhuān)業(yè)設(shè)備分析磁盤(pán)可恢復(fù)覆蓋前的數(shù)據(jù)。

（2）半導(dǎo)體介質(zhì)。針對(duì)使用NAND Flash技術(shù)的固態(tài)硬盤(pán)和閃存盤(pán)，其Flash存儲(chǔ)器以浮柵晶體管作為基本存儲(chǔ)單元，浮柵晶體管將數(shù)據(jù)以電荷的形式存儲(chǔ)于浮柵中，通過(guò)浮柵上電子的數(shù)目可以區(qū)分浮柵晶體管存儲(chǔ)的值。理想情況下，可通過(guò)擦除操作將電子全部移出浮柵。但實(shí)際情況下，擦除操作可以移出大部分電子，仍然有少量電子留在浮柵中。由于浮柵單元數(shù)據(jù)殘留問(wèn)題，浮柵中的電子很難完全擦除干凈，殘余電子數(shù)目將影響浮柵晶體管的閾值電壓或漏電流等器件參數(shù)。借助FIB技術(shù)可以反推出擦除前的數(shù)據(jù)。

1.1.2 銷(xiāo)毀方法

（1）低級(jí)格式化。與常用的高級(jí)格式化相比，低級(jí)格式化是對(duì)磁盤(pán)更加徹底的格式化。低級(jí)格式化將磁盤(pán)劃分出柱面和磁道，再將磁道劃分為若干個(gè)扇區(qū)，將每個(gè)扇區(qū)的所有字節(jié)全部置零，并標(biāo)記、替換檢測(cè)出來(lái)的壞道。低級(jí)格式化只支持對(duì)整塊磁盤(pán)的數(shù)據(jù)進(jìn)行銷(xiāo)毀，大容量磁盤(pán)的銷(xiāo)毀時(shí)間較長(zhǎng)，因此在緊急情況下銷(xiāo)毀數(shù)據(jù)時(shí)并不適用。低級(jí)格式化之后的磁盤(pán)依然可以使用，但低級(jí)格式化是對(duì)磁盤(pán)扇區(qū)進(jìn)行磁記錄軌跡（磁道）的高強(qiáng)度磁化，這是一種損耗性操作，對(duì)磁盤(pán)壽命有一定的負(fù)面影響。低級(jí)格式化能夠完全擦除磁盤(pán)中的數(shù)據(jù)，但全盤(pán)數(shù)據(jù)只是被零簡(jiǎn)單地覆蓋一次，還不夠徹底。

（2）全盤(pán)覆寫(xiě)。數(shù)據(jù)覆寫(xiě)是數(shù)據(jù)銷(xiāo)毀技術(shù)中既復(fù)雜又實(shí)用的一種方法，通過(guò)采用特定的覆寫(xiě)規(guī)則和覆寫(xiě)序列覆蓋存儲(chǔ)介質(zhì)上的原有數(shù)據(jù)。它既能保證存儲(chǔ)介質(zhì)讀寫(xiě)數(shù)據(jù)等功能完好，又最大限度地對(duì)數(shù)據(jù)進(jìn)行清除，選擇有效的覆寫(xiě)方法和覆寫(xiě)次數(shù)是保證已銷(xiāo)毀數(shù)據(jù)不被恢復(fù)的關(guān)鍵。國(guó)內(nèi)外主流的覆寫(xiě)標(biāo)準(zhǔn)或參考有DoD 5220.22-M[4]標(biāo)準(zhǔn)、HMG IS5標(biāo)準(zhǔn)[5]、Gutmann標(biāo)準(zhǔn)[6]和BMB21-2007《涉及國(guó)家秘密的載體銷(xiāo)毀與信息消除安全保密要求》等。不同的標(biāo)準(zhǔn)安全性不同，消耗的時(shí)間也不相同，安全級(jí)越高的覆寫(xiě)算法，一般時(shí)間開(kāi)銷(xiāo)越大，可根據(jù)安全需求采用不同安全級(jí)的覆寫(xiě)算法來(lái)取得安全需求和性能需求之間的平衡。

（3）改進(jìn)型覆寫(xiě)。為了改進(jìn)覆寫(xiě)的方法和效果，多名學(xué)者進(jìn)行了有益的研究。

1）提高銷(xiāo)毀速度的研究有：辛睿山提出了面向大容量Flash存儲(chǔ)器的快速深度擦除算法，在基本架構(gòu)上添加快速深度擦除電路，優(yōu)先覆寫(xiě)高優(yōu)先級(jí)塊后，再進(jìn)行整體擦除，可在短時(shí)間內(nèi)破壞文件完整性，使得每個(gè)文件都無(wú)法被完整有效地恢復(fù)，從而實(shí)現(xiàn)快速擦除的目的[7]。Tianran Xiao等人提出了基于NAND Flash的SSD單文件銷(xiāo)毀方法，對(duì)每個(gè)文件加入獨(dú)一無(wú)二的頭部，在進(jìn)行單文件數(shù)據(jù)銷(xiāo)毀時(shí)在全盤(pán)范圍內(nèi)對(duì)具有該特征的文件進(jìn)行銷(xiāo)毀[8]。

2）增強(qiáng)銷(xiāo)毀安全性的研究有：Chen Liu等人提出了數(shù)據(jù)加密銷(xiāo)毀策略[9]，將數(shù)據(jù)銷(xiāo)毀問(wèn)題轉(zhuǎn)化為對(duì)密鑰存儲(chǔ)塊的銷(xiāo)毀問(wèn)題，大幅加快了銷(xiāo)毀速度且滿足數(shù)據(jù)安全銷(xiāo)毀的要求。之后，該團(tuán)隊(duì)又提出一個(gè)優(yōu)化方案，對(duì)一個(gè)SSD進(jìn)行功能劃分，劃分為加密區(qū)和非加密區(qū)，優(yōu)先銷(xiāo)毀加密區(qū)的數(shù)據(jù)，加快了數(shù)據(jù)銷(xiāo)毀的速度，也在一定程度上減少了銷(xiāo)毀操作給SSD帶來(lái)的損耗[10]。于游等人提出了基于AES加密存儲(chǔ)的磁盤(pán)銷(xiāo)毀策略，僅需對(duì)存儲(chǔ)在磁盤(pán)中的AES解密密鑰進(jìn)行覆寫(xiě)，就可使攻擊者無(wú)法對(duì)磁盤(pán)中的密文進(jìn)行解密[11]。熊臣宇提出了一種在SSD中基于密碼學(xué)的文件快速銷(xiāo)毀方法，將全盤(pán)數(shù)據(jù)的銷(xiāo)毀問(wèn)題通過(guò)密碼學(xué)方法轉(zhuǎn)化為銷(xiāo)毀密鑰存儲(chǔ)塊上的密鑰的銷(xiāo)毀問(wèn)題，減少了銷(xiāo)毀時(shí)長(zhǎng)[12]。

3）提高銷(xiāo)毀效果的研究有：針對(duì)Flash存儲(chǔ)器，其浮柵單元數(shù)據(jù)殘留現(xiàn)象的本質(zhì)是擦除后浮柵中殘留電子數(shù)與擦除前存儲(chǔ)數(shù)據(jù)具有相關(guān)性，辛睿山提出可采取2種覆寫(xiě)方法削減這種相關(guān)性。第一種是加入一些隨機(jī)因素，如控制擦除時(shí)間，使得相關(guān)性被破壞。第二種是采用多次覆寫(xiě)某些序列的方法，減弱相關(guān)性，使得在現(xiàn)有技術(shù)條件下，這種相關(guān)性不能被檢測(cè)出來(lái)[7]。

軟銷(xiāo)毀技術(shù)一般是在不使用專(zhuān)用設(shè)備的情況下銷(xiāo)毀數(shù)據(jù)，不論是低級(jí)格式化還是各種覆寫(xiě)手段，這些軟件層面的方法并不能對(duì)存儲(chǔ)載體的物理構(gòu)造形成不可逆的改變，因此通?？芍貜?fù)使用軟銷(xiāo)毀后的存儲(chǔ)介質(zhì)。但缺點(diǎn)是，存儲(chǔ)介質(zhì)被擦除后都可能留有一些物理特性使數(shù)據(jù)能夠被重建，從而導(dǎo)致殘留在其中的數(shù)據(jù)信息可能被攻擊者非法獲取[1]。

1.2 硬銷(xiāo)毀技術(shù)

硬銷(xiāo)毀技術(shù)作用于載體硬件層面，主要是通過(guò)對(duì)存儲(chǔ)介質(zhì)的永久性破壞來(lái)達(dá)到徹底的數(shù)據(jù)銷(xiāo)毀或數(shù)據(jù)擦除的目的。

1.2.1 消磁

消磁法適用于磁介質(zhì)的存儲(chǔ)設(shè)備，該方法通過(guò)專(zhuān)用強(qiáng)力消磁設(shè)備，使用遠(yuǎn)超磁介質(zhì)矯頑磁性的磁力直接對(duì)盤(pán)片進(jìn)行消磁，使得消磁后的磁體排序錯(cuò)亂而丟失信息[13]。消磁法可分直流消磁法和交流消磁法2種，交流消磁法的消磁效果要優(yōu)于直流消磁法，交流消磁技術(shù)安全性更高。此方法最明顯的特點(diǎn)是高效，它可在瞬間完成銷(xiāo)毀任務(wù)，但經(jīng)過(guò)消磁處理的存儲(chǔ)介質(zhì)無(wú)法再次重復(fù)使用[14]。專(zhuān)用的消磁器能夠達(dá)到這個(gè)效果，但是對(duì)于家庭環(huán)境能夠獲得的人造磁體來(lái)說(shuō)很難實(shí)現(xiàn)徹底消磁。且該方法適用于磁介質(zhì)載體已和外殼分離的情況，分離過(guò)程需要人工干預(yù)，因此不適用于緊急情況下數(shù)據(jù)自動(dòng)銷(xiāo)毀的場(chǎng)合。

1.2.2 化學(xué)腐蝕

化學(xué)腐蝕法是采用化學(xué)制劑對(duì)存儲(chǔ)介質(zhì)進(jìn)行腐蝕破壞的銷(xiāo)毀方法，通常使用鹽酸、醋酸、硫酸等腐蝕性液體噴涂或浸泡磁介質(zhì)，使磁粉溶解、活化、剝離甚至溶毀硬盤(pán)，以達(dá)到破壞載體構(gòu)造、銷(xiāo)毀數(shù)據(jù)的目的。銷(xiāo)毀時(shí)，應(yīng)確保存儲(chǔ)盤(pán)片的各個(gè)部位完全受到腐蝕液體的浸泡。該方法需使用專(zhuān)用的化學(xué)制劑，操作要求高，且有一定的危險(xiǎn)性，適用于專(zhuān)業(yè)人員在通風(fēng)良好的環(huán)境中進(jìn)行。

1.2.3 物理粉碎

物理粉碎法是通過(guò)重?fù)?、切削、研磨、砸碎、剪碎、搗碎、絞碎等物理手段將存儲(chǔ)介質(zhì)進(jìn)行粉碎性破壞的銷(xiāo)毀方法。實(shí)施此方法，務(wù)必要將存儲(chǔ)載體粉碎成無(wú)法重組的極小顆粒，讓人無(wú)法從介質(zhì)殘骸中恢復(fù)出數(shù)據(jù)。大多數(shù)存儲(chǔ)載體都可使用此方法進(jìn)行銷(xiāo)毀，但該方法并不能從根本上完全銷(xiāo)毀數(shù)據(jù)，存在數(shù)據(jù)被恢復(fù)的可能性。

1.2.4 焚毀

焚毀法是采用高溫焚燒存儲(chǔ)載體，使存儲(chǔ)介質(zhì)和盤(pán)片熔化，從而銷(xiāo)毀數(shù)據(jù)的方法。焚燒前需要先將存儲(chǔ)載體的外殼拆除，并確保存儲(chǔ)盤(pán)片的各個(gè)部分被均勻徹底焚燒。達(dá)到一定的時(shí)間和強(qiáng)度后，焚毀法可銷(xiāo)毀絕大多數(shù)載體，但該方法具有一定的危險(xiǎn)性，操作時(shí)應(yīng)在空曠、通風(fēng)的場(chǎng)所中進(jìn)行。

1.2.5 爆炸

爆炸法是在存儲(chǔ)載體上增加爆炸毀傷裝置，通過(guò)爆炸手段實(shí)施銷(xiāo)毀的方法。爆炸使爆炸點(diǎn)附近的介質(zhì)上產(chǎn)生急劇的壓力跳躍，這將直接造成存儲(chǔ)介質(zhì)被破壞。使用電雷管銷(xiāo)毀有很多優(yōu)勢(shì)，因此常被選作爆炸單元，其工作原理是：通電后，橋絲電阻產(chǎn)生熱量引燃引火藥頭，引火藥頭迸發(fā)出的火焰激發(fā)雷管爆炸。何國(guó)斌設(shè)計(jì)了一種使用瞬發(fā)電雷管的防丟失自毀移動(dòng)硬盤(pán)，爆炸產(chǎn)生的破壞力可將盤(pán)片炸為細(xì)小的片狀或使得信息存儲(chǔ)介質(zhì)從結(jié)構(gòu)上受到破壞達(dá)到不可恢復(fù)的狀態(tài)[15]。但爆炸法存在封裝尺寸過(guò)大和安全隱患的問(wèn)題，且對(duì)微小尺寸的存儲(chǔ)載體難以實(shí)現(xiàn)精準(zhǔn)毀傷。

1.2.6 高壓電

高壓電法是將升壓電路引入Flash存儲(chǔ)載體，通過(guò)對(duì)存儲(chǔ)芯片的不可逆擊穿實(shí)現(xiàn)銷(xiāo)毀的方法。航空領(lǐng)域常用28V航空直流電源進(jìn)行銷(xiāo)毀設(shè)計(jì)，王博等人將28V電源接入無(wú)人機(jī)存儲(chǔ)關(guān)鍵信息的NVRAM的供電管腳，燒毀NVRAM進(jìn)行銷(xiāo)毀[16]。遲鵬程首先將28V電壓升至90V，然后將能量?jī)?chǔ)存在儲(chǔ)能模塊中，并將能量以高壓脈沖的形式釋放到NAND Flash的VDD管腳進(jìn)行物理燒毀[17]。蔡屹等人采用限流升壓電路，控制瞬時(shí)電流的抬升和負(fù)載電壓的回落，有效完成電流敏感型固態(tài)硬盤(pán)的銷(xiāo)毀[18]。

硬銷(xiāo)毀技術(shù)可完全破壞芯片的存儲(chǔ)功能，從而實(shí)現(xiàn)更高安全等級(jí)的銷(xiāo)毀。大部分硬銷(xiāo)毀技術(shù)能絕對(duì)保證數(shù)據(jù)被安全銷(xiāo)毀，但是硬銷(xiāo)毀技術(shù)將完全破壞存儲(chǔ)介質(zhì)，導(dǎo)致存儲(chǔ)介質(zhì)無(wú)法再次使用，因此通常在保密要求更加嚴(yán)苛的情況下使用。

1.3 銷(xiāo)毀方法的選擇

上述各種銷(xiāo)毀方法各有優(yōu)缺點(diǎn)，也各有不同的應(yīng)用場(chǎng)合。保密需求等級(jí)一般，要求存儲(chǔ)載體可重復(fù)利用時(shí)，可選用軟銷(xiāo)毀技術(shù)手段；保密需求等級(jí)高，可選用硬銷(xiāo)毀技術(shù)手段；有合適的銷(xiāo)毀場(chǎng)地時(shí)，可選用化學(xué)腐蝕和焚毀方法；有銷(xiāo)毀專(zhuān)用設(shè)備時(shí)，可選用消磁和物理粉碎方法；對(duì)銷(xiāo)毀時(shí)限要求高時(shí)，可選用爆炸和高壓電方法。

為增強(qiáng)銷(xiāo)毀效果，可在時(shí)間允許的情況下，按照先使用軟銷(xiāo)毀技術(shù)、后使用硬銷(xiāo)毀技術(shù)的順序，復(fù)用多種銷(xiāo)毀方法。劉磊等人提出了一種數(shù)據(jù)快速銷(xiāo)毀的方法，采用了密鑰格式化、芯片物理燒毀及燒毀檢測(cè)三重保護(hù)機(jī)制，任何一種數(shù)據(jù)銷(xiāo)毀機(jī)制都是不可逆操作，所以數(shù)據(jù)銷(xiāo)毀安全徹底，使密鑰及時(shí)被擦除并不可恢復(fù)，從而保護(hù)了數(shù)據(jù)的安全[19]。

2.結(jié)語(yǔ)

近年來(lái)，銷(xiāo)毀技術(shù)的需求不斷增長(zhǎng)，銷(xiāo)毀技術(shù)的應(yīng)用前景非常廣闊，數(shù)據(jù)銷(xiāo)毀技術(shù)不能僅僅停留在簡(jiǎn)單應(yīng)用上。它可以向超快速銷(xiāo)毀、易銷(xiāo)毀存儲(chǔ)介質(zhì)、多手段融合、無(wú)污染銷(xiāo)毀、資源化利用等方向發(fā)展，更好地解決銷(xiāo)毀技術(shù)安全性、可靠性、時(shí)效性、適用性等關(guān)鍵問(wèn)題。