李建臣

（92538部隊，遼寧大連 116041）

0.引言

隨著信息技術(shù)的日益發(fā)展，各類信息系統(tǒng)和控制系統(tǒng)中廣泛應(yīng)用了大容量存儲設(shè)備，隨之而來的存儲數(shù)據(jù)安全銷毀問題也越來越突出。黨政軍機關(guān)、金融機構(gòu)、科研院所等許多有高度安全保密需求的單位，都對存儲載體的安全銷毀有很高要求。如何選用安全可靠適用的銷毀方式，防止數(shù)據(jù)泄密、防范惡意恢復(fù)刪除后的數(shù)據(jù)，備受人們關(guān)注。本文以機械硬盤、固態(tài)硬盤、U盤等常見的大容量存儲載體為研究對象，分析當(dāng)前安全銷毀的技術(shù)手段，探討存儲載體銷毀技術(shù)的現(xiàn)狀與應(yīng)用。

1.銷毀方法分析

當(dāng)前，數(shù)字存儲載體多種多樣，磁介質(zhì)和半導(dǎo)體介質(zhì)存儲占主導(dǎo)地位。針對存儲介質(zhì)的分類和特點，多名學(xué)者對相應(yīng)的銷毀技術(shù)進行了深入研究[1-3]。當(dāng)前，數(shù)據(jù)銷毀技術(shù)可分為2類：軟銷毀技術(shù)和硬銷毀技術(shù)，下面按分類介紹具體的銷毀方法。

1.1 軟銷毀技術(shù)

軟銷毀技術(shù)作用于數(shù)據(jù)層面，主要是通過數(shù)據(jù)覆寫等軟件方法銷毀數(shù)據(jù)或者擦除數(shù)據(jù)。

1.1.1 銷毀特點

由于磁介質(zhì)和半導(dǎo)體介質(zhì)在數(shù)據(jù)存儲原理和存取方式上存在明顯不同，針對其采用的軟銷毀技術(shù)也不相同。

（1）磁介質(zhì)。機械硬盤的磁頭通過磁化每個磁粒子來存儲數(shù)據(jù)，每個磁極表示一個0或者1的狀態(tài)。磁介質(zhì)的剩磁效應(yīng)導(dǎo)致磁化后會出現(xiàn)邊緣殘留和不完全磁化的現(xiàn)象，因此通常一遍覆蓋并不能將數(shù)據(jù)徹底刪除，使用專業(yè)設(shè)備分析磁盤可恢復(fù)覆蓋前的數(shù)據(jù)。

（2）半導(dǎo)體介質(zhì)。針對使用NAND Flash技術(shù)的固態(tài)硬盤和閃存盤，其Flash存儲器以浮柵晶體管作為基本存儲單元，浮柵晶體管將數(shù)據(jù)以電荷的形式存儲于浮柵中，通過浮柵上電子的數(shù)目可以區(qū)分浮柵晶體管存儲的值。理想情況下，可通過擦除操作將電子全部移出浮柵。但實際情況下，擦除操作可以移出大部分電子，仍然有少量電子留在浮柵中。由于浮柵單元數(shù)據(jù)殘留問題，浮柵中的電子很難完全擦除干凈，殘余電子數(shù)目將影響浮柵晶體管的閾值電壓或漏電流等器件參數(shù)。借助FIB技術(shù)可以反推出擦除前的數(shù)據(jù)。

1.1.2 銷毀方法

（1）低級格式化。與常用的高級格式化相比，低級格式化是對磁盤更加徹底的格式化。低級格式化將磁盤劃分出柱面和磁道，再將磁道劃分為若干個扇區(qū)，將每個扇區(qū)的所有字節(jié)全部置零，并標(biāo)記、替換檢測出來的壞道。低級格式化只支持對整塊磁盤的數(shù)據(jù)進行銷毀，大容量磁盤的銷毀時間較長，因此在緊急情況下銷毀數(shù)據(jù)時并不適用。低級格式化之后的磁盤依然可以使用，但低級格式化是對磁盤扇區(qū)進行磁記錄軌跡（磁道）的高強度磁化，這是一種損耗性操作，對磁盤壽命有一定的負面影響。低級格式化能夠完全擦除磁盤中的數(shù)據(jù)，但全盤數(shù)據(jù)只是被零簡單地覆蓋一次，還不夠徹底。

（2）全盤覆寫。數(shù)據(jù)覆寫是數(shù)據(jù)銷毀技術(shù)中既復(fù)雜又實用的一種方法，通過采用特定的覆寫規(guī)則和覆寫序列覆蓋存儲介質(zhì)上的原有數(shù)據(jù)。它既能保證存儲介質(zhì)讀寫數(shù)據(jù)等功能完好，又最大限度地對數(shù)據(jù)進行清除，選擇有效的覆寫方法和覆寫次數(shù)是保證已銷毀數(shù)據(jù)不被恢復(fù)的關(guān)鍵。國內(nèi)外主流的覆寫標(biāo)準(zhǔn)或參考有DoD 5220.22-M[4]標(biāo)準(zhǔn)、HMG IS5標(biāo)準(zhǔn)[5]、Gutmann標(biāo)準(zhǔn)[6]和BMB21-2007《涉及國家秘密的載體銷毀與信息消除安全保密要求》等。不同的標(biāo)準(zhǔn)安全性不同，消耗的時間也不相同，安全級越高的覆寫算法，一般時間開銷越大，可根據(jù)安全需求采用不同安全級的覆寫算法來取得安全需求和性能需求之間的平衡。

（3）改進型覆寫。為了改進覆寫的方法和效果，多名學(xué)者進行了有益的研究。

1）提高銷毀速度的研究有：辛睿山提出了面向大容量Flash存儲器的快速深度擦除算法，在基本架構(gòu)上添加快速深度擦除電路，優(yōu)先覆寫高優(yōu)先級塊后，再進行整體擦除，可在短時間內(nèi)破壞文件完整性，使得每個文件都無法被完整有效地恢復(fù)，從而實現(xiàn)快速擦除的目的[7]。Tianran Xiao等人提出了基于NAND Flash的SSD單文件銷毀方法，對每個文件加入獨一無二的頭部，在進行單文件數(shù)據(jù)銷毀時在全盤范圍內(nèi)對具有該特征的文件進行銷毀[8]。

2）增強銷毀安全性的研究有：Chen Liu等人提出了數(shù)據(jù)加密銷毀策略[9]，將數(shù)據(jù)銷毀問題轉(zhuǎn)化為對密鑰存儲塊的銷毀問題，大幅加快了銷毀速度且滿足數(shù)據(jù)安全銷毀的要求。之后，該團隊又提出一個優(yōu)化方案，對一個SSD進行功能劃分，劃分為加密區(qū)和非加密區(qū)，優(yōu)先銷毀加密區(qū)的數(shù)據(jù)，加快了數(shù)據(jù)銷毀的速度，也在一定程度上減少了銷毀操作給SSD帶來的損耗[10]。于游等人提出了基于AES加密存儲的磁盤銷毀策略，僅需對存儲在磁盤中的AES解密密鑰進行覆寫，就可使攻擊者無法對磁盤中的密文進行解密[11]。熊臣宇提出了一種在SSD中基于密碼學(xué)的文件快速銷毀方法，將全盤數(shù)據(jù)的銷毀問題通過密碼學(xué)方法轉(zhuǎn)化為銷毀密鑰存儲塊上的密鑰的銷毀問題，減少了銷毀時長[12]。

3）提高銷毀效果的研究有：針對Flash存儲器，其浮柵單元數(shù)據(jù)殘留現(xiàn)象的本質(zhì)是擦除后浮柵中殘留電子數(shù)與擦除前存儲數(shù)據(jù)具有相關(guān)性，辛睿山提出可采取2種覆寫方法削減這種相關(guān)性。第一種是加入一些隨機因素，如控制擦除時間，使得相關(guān)性被破壞。第二種是采用多次覆寫某些序列的方法，減弱相關(guān)性，使得在現(xiàn)有技術(shù)條件下，這種相關(guān)性不能被檢測出來[7]。

軟銷毀技術(shù)一般是在不使用專用設(shè)備的情況下銷毀數(shù)據(jù)，不論是低級格式化還是各種覆寫手段，這些軟件層面的方法并不能對存儲載體的物理構(gòu)造形成不可逆的改變，因此通?？芍貜?fù)使用軟銷毀后的存儲介質(zhì)。但缺點是，存儲介質(zhì)被擦除后都可能留有一些物理特性使數(shù)據(jù)能夠被重建，從而導(dǎo)致殘留在其中的數(shù)據(jù)信息可能被攻擊者非法獲取[1]。

1.2 硬銷毀技術(shù)

硬銷毀技術(shù)作用于載體硬件層面，主要是通過對存儲介質(zhì)的永久性破壞來達到徹底的數(shù)據(jù)銷毀或數(shù)據(jù)擦除的目的。

1.2.1 消磁

消磁法適用于磁介質(zhì)的存儲設(shè)備，該方法通過專用強力消磁設(shè)備，使用遠超磁介質(zhì)矯頑磁性的磁力直接對盤片進行消磁，使得消磁后的磁體排序錯亂而丟失信息[13]。消磁法可分直流消磁法和交流消磁法2種，交流消磁法的消磁效果要優(yōu)于直流消磁法，交流消磁技術(shù)安全性更高。此方法最明顯的特點是高效，它可在瞬間完成銷毀任務(wù)，但經(jīng)過消磁處理的存儲介質(zhì)無法再次重復(fù)使用[14]。專用的消磁器能夠達到這個效果，但是對于家庭環(huán)境能夠獲得的人造磁體來說很難實現(xiàn)徹底消磁。且該方法適用于磁介質(zhì)載體已和外殼分離的情況，分離過程需要人工干預(yù)，因此不適用于緊急情況下數(shù)據(jù)自動銷毀的場合。

1.2.2 化學(xué)腐蝕

化學(xué)腐蝕法是采用化學(xué)制劑對存儲介質(zhì)進行腐蝕破壞的銷毀方法，通常使用鹽酸、醋酸、硫酸等腐蝕性液體噴涂或浸泡磁介質(zhì)，使磁粉溶解、活化、剝離甚至溶毀硬盤，以達到破壞載體構(gòu)造、銷毀數(shù)據(jù)的目的。銷毀時，應(yīng)確保存儲盤片的各個部位完全受到腐蝕液體的浸泡。該方法需使用專用的化學(xué)制劑，操作要求高，且有一定的危險性，適用于專業(yè)人員在通風(fēng)良好的環(huán)境中進行。

1.2.3 物理粉碎

物理粉碎法是通過重擊、切削、研磨、砸碎、剪碎、搗碎、絞碎等物理手段將存儲介質(zhì)進行粉碎性破壞的銷毀方法。實施此方法，務(wù)必要將存儲載體粉碎成無法重組的極小顆粒，讓人無法從介質(zhì)殘骸中恢復(fù)出數(shù)據(jù)。大多數(shù)存儲載體都可使用此方法進行銷毀，但該方法并不能從根本上完全銷毀數(shù)據(jù)，存在數(shù)據(jù)被恢復(fù)的可能性。

1.2.4 焚毀

焚毀法是采用高溫焚燒存儲載體，使存儲介質(zhì)和盤片熔化，從而銷毀數(shù)據(jù)的方法。焚燒前需要先將存儲載體的外殼拆除，并確保存儲盤片的各個部分被均勻徹底焚燒。達到一定的時間和強度后，焚毀法可銷毀絕大多數(shù)載體，但該方法具有一定的危險性，操作時應(yīng)在空曠、通風(fēng)的場所中進行。

1.2.5 爆炸

爆炸法是在存儲載體上增加爆炸毀傷裝置，通過爆炸手段實施銷毀的方法。爆炸使爆炸點附近的介質(zhì)上產(chǎn)生急劇的壓力跳躍，這將直接造成存儲介質(zhì)被破壞。使用電雷管銷毀有很多優(yōu)勢，因此常被選作爆炸單元，其工作原理是：通電后，橋絲電阻產(chǎn)生熱量引燃引火藥頭，引火藥頭迸發(fā)出的火焰激發(fā)雷管爆炸。何國斌設(shè)計了一種使用瞬發(fā)電雷管的防丟失自毀移動硬盤，爆炸產(chǎn)生的破壞力可將盤片炸為細小的片狀或使得信息存儲介質(zhì)從結(jié)構(gòu)上受到破壞達到不可恢復(fù)的狀態(tài)[15]。但爆炸法存在封裝尺寸過大和安全隱患的問題，且對微小尺寸的存儲載體難以實現(xiàn)精準(zhǔn)毀傷。

1.2.6 高壓電

高壓電法是將升壓電路引入Flash存儲載體，通過對存儲芯片的不可逆擊穿實現(xiàn)銷毀的方法。航空領(lǐng)域常用28V航空直流電源進行銷毀設(shè)計，王博等人將28V電源接入無人機存儲關(guān)鍵信息的NVRAM的供電管腳，燒毀NVRAM進行銷毀[16]。遲鵬程首先將28V電壓升至90V，然后將能量儲存在儲能模塊中，并將能量以高壓脈沖的形式釋放到NAND Flash的VDD管腳進行物理燒毀[17]。蔡屹等人采用限流升壓電路，控制瞬時電流的抬升和負載電壓的回落，有效完成電流敏感型固態(tài)硬盤的銷毀[18]。

硬銷毀技術(shù)可完全破壞芯片的存儲功能，從而實現(xiàn)更高安全等級的銷毀。大部分硬銷毀技術(shù)能絕對保證數(shù)據(jù)被安全銷毀，但是硬銷毀技術(shù)將完全破壞存儲介質(zhì)，導(dǎo)致存儲介質(zhì)無法再次使用，因此通常在保密要求更加嚴(yán)苛的情況下使用。

1.3 銷毀方法的選擇

上述各種銷毀方法各有優(yōu)缺點，也各有不同的應(yīng)用場合。保密需求等級一般，要求存儲載體可重復(fù)利用時，可選用軟銷毀技術(shù)手段；保密需求等級高，可選用硬銷毀技術(shù)手段；有合適的銷毀場地時，可選用化學(xué)腐蝕和焚毀方法；有銷毀專用設(shè)備時，可選用消磁和物理粉碎方法；對銷毀時限要求高時，可選用爆炸和高壓電方法。

為增強銷毀效果，可在時間允許的情況下，按照先使用軟銷毀技術(shù)、后使用硬銷毀技術(shù)的順序，復(fù)用多種銷毀方法。劉磊等人提出了一種數(shù)據(jù)快速銷毀的方法，采用了密鑰格式化、芯片物理燒毀及燒毀檢測三重保護機制，任何一種數(shù)據(jù)銷毀機制都是不可逆操作，所以數(shù)據(jù)銷毀安全徹底，使密鑰及時被擦除并不可恢復(fù)，從而保護了數(shù)據(jù)的安全[19]。

2.結(jié)語

近年來，銷毀技術(shù)的需求不斷增長，銷毀技術(shù)的應(yīng)用前景非常廣闊，數(shù)據(jù)銷毀技術(shù)不能僅僅停留在簡單應(yīng)用上。它可以向超快速銷毀、易銷毀存儲介質(zhì)、多手段融合、無污染銷毀、資源化利用等方向發(fā)展，更好地解決銷毀技術(shù)安全性、可靠性、時效性、適用性等關(guān)鍵問題。