磁盘泄密威胁和数据销毁技术综述

磁盘泄密威胁和数据销毁技术综述
中软通用产品研发中心 陈尚义

内容摘要：政府部门的有关规定对涉密计算机的磁盘数据销毁做出了明确规定，个人隐私在网络化和信息化条件下逐渐成为挑战，商业机密和知识产权保护成为难题。磁盘数据泄密事故频繁发生。本文在讨论磁盘数据销毁方面存在的问题基础上，探讨了磁存储介质泄密的安全隐患的和各种类型的数据恢复工具。接着文章讨论了数据销毁的常用办法。

关键词：泄密 数据销毁 磁盘 磁介质 数据恢复 安全 内网安全

1 引言
政府机关、金融机构和大量企事业单位涉及国家秘密，有关法律法规对数据保密作出了明确规定，国家保密局对涉及国家秘密的载体销毁与信息消除推出强制标准《涉及国家秘密的载体销毁与信息消除安全保密要求》，对硬盘、磁带等磁性存储介质数据销毁提出了明确要求，要求对磁介质采取物理消磁、化学溶解和焚烧等措施，物理粉碎的颗粒度必须达到相关标准；所有涉密计算机外出前必须经过数据销毁等。
高科技企业和外资企业，其大量的知识产权和商业机密成为保护对象；个人隐私在网络化和信息化环境下也成为挑战。
然而，由于数据没有及时销毁或销毁不彻底，造成的泄密事件接连不断地发生：2007年9月，英国广播公司、《泰晤士报》、《世界新闻报》等相继报道，英国EDS公司丢失了一块硬盘，硬盘上包含有“英格兰和威尔士全国罪犯管理署”雇员(其中包括监狱工作人员)的资料，造成数百万英镑的损失，同时，监狱工作人员被迫调换工作地点、全家搬迁[2]；2008年5月众多门户网站以《香港汇丰银行遗失大量客户资料》为标题报道了汇丰银行电脑服务器失窃事件； 07年底因电脑返修而导致的艳照门事件至今令人印象深刻。纽约时报的一项基础隐私调查表明，人们在硬盘中数据的清除上存在着普遍的错误认识。绝大多数的人们并不知道仅仅删除文件是不够的，因为这样做并没有真正的将数据从计算机上清除干净。调查发现，事实上仅有33%的二手硬盘将数据清除干净。
只要有人欲从废弃的储存介质中取得数据，就是一种安全威胁。如何彻底销毁数据，成为国家政府机关、军队和军工企业、高技术公司乃至个人，迫切需要解决的问题。
针对数据销毁，目前主要的方法有[3][4]：
1. 覆写法。也叫数据擦除法。由于介质是可以重复使用的，当前面的数据被后面的数据覆盖时，即使透过工具还可以对以前的数据进行还原，但随着被覆写次数的增多，数据恢复的难度加大。
2. 消磁法。存储介质使用的都是磁性技术，若能破坏其磁性结构，既有的数据便不复存在。但这很可能导致介质无法再使用。
3. 捣碎法。又称剪碎法，物理地破坏实体的储存介质，如将光盘片捣碎、绞碎至极小的颗粒，让人无法从介质残骸中恢复出数据。
4. 焚毁法。让介质化为灰烬，数据永久不复存在。
上述各种方法各有优缺点，也各有不同的应用场合。例如，覆写法虽然费时，销毁数据的效果也不如焚毁法来得完全、彻底，但可以重复使用存储介质；捣碎法和焚毁法，虽然对数据的销毁比较彻底，但存在销毁过程的监控、费用和环保等因素。
下面要介绍的技术被用于数据覆盖法。这是最复杂的数据销毁技术，既要保证数据最大可能的彻底销毁,又要保证介质的存储功能不被损坏。

2 磁盘泄密的隐患和威胁

2.1 泄密隐患和威胁
在详细介绍数据销毁技术原理和实现方法之前，我们首先讨论几种可能的泄密隐患。在此基础上，再针对各种不同的泄密隐患，采取不同的技术和方法。
隐患之一，使用痕迹。
磁介质上被用来存放系统临时文件、注册表数据、互联网浏览器缓存、历史记录和cookies等。从这些数据本身，很容易恢复秘密数据，造成无意泄密事故。
隐患之二，扇区间隙[1]。
在较老式的硬盘中，硬盘的每个磁道都包含相同数量的扇区，这样一来，外圈磁道的扇区显然要比里圈磁道的扇区大很多。因此外圈磁道的扇区之间存在较大的缝隙，这个缝隙就是扇区间隙。扇区间隙可能被用来保存隐藏的数据，从而造成故意泄密。
隐患之三，潜伏数据。
磁盘驱动器以簇为单位为文件分配磁盘空间。每个簇只能由一个文件占用，即使这个文件很小，也决不允许两个以上的文件共用一个簇。一般情况下，文件不可能正好充满整个簇。在簇没被文件充满的部分，存放一些未知的数据，可能是系统生成的随机数，也有可能是上一个文件的残骸，我们称这部分数据为潜伏数据。潜伏数据是泄密的一大隐患。
隐患之四，文件删除不彻底。
使用操作系统命令删除的文件，实际上只是将文件转移到“回收站”，并没有真正删除。即便清空“回收站”，该文件也只是仅仅被OS忽略而已。在Windows下，被删除的文件的名字的第一个字母被改成特殊字符，文件原先所占用的簇会被标记为可用（Available）簇，但原来的数据并没有马上被删除。直到下一次你保存某个文件时，如果这些簇被用到，才会用新的数据覆盖老的数据。在此之前，数据一直会保持完好无损，通过FAT恢复方法和现成数据恢复方法就可以轻松找到被删除的文件[8]：
FAT恢复。向磁盘写文件时，文件分配表（FAT）帮助文件系统找到磁盘上的可用扇区。一个磁盘有两个FAT，即FAT1和FAT2。FAT2是用来备份的，必要时可以用FAT2中的值覆盖FAT1达到恢复的目的。被删除的文件可以通过这样的方式得到恢复。
现场数据恢复。对于那些被删除的文件，如果现场未被破坏，即文件被删除后硬盘未发生过写操作，那么可根据系统的分配算法进行恢复。因为系统建立一个文件时，是根据某分配算法决定文件占用的数据块位置。当该文件被删除后，它所占用的数据块被释放，又回到系统的分配表中，这时如果重新建立一个文件，系统根据原来的分配算法分配出的数据块必定跟该文件原来占用的数据块一致，再如果我们知道该文件所占的字节数，只要调用系统的数据分配算法，就可以实现恢复。
隐患之五，覆盖信号弱。
一般认为，磁盘里的数据由0和1组成，其实不然。所以简单的磁盘擦除仍然存在较大隐患。
在硬盘上写入一位数据时，读写头使用的信号有强弱之分。在写入一位（bit）数据时，为了不影响相邻的数据位，写入信号并不强[7]。因此，可以通过数据位的绝对信号强弱，来判断此前该位所保存的数据。事实上，如果用二进制数1覆盖0，其信号强度会比0覆盖1要弱一些。使用专门的硬件就可以检测出准确的信号强度。把被覆盖区域读出的信号减去所覆盖数据的标准信号强度，就能获得原数据的副本。
更令人吃惊的是，这一恢复过程可以被重复7次！因此如果你想避免别人使用这种方法来窃取你的数据，你至少要覆盖该区域7次，而且每次还应该使用不同的随机数据。
隐患之六，影子数据
硬盘读写头每次进行写操作的位置并不十分精确。在磁道的边缘能侦测到原有的数据（也称影子数据），这些磁道边缘的影子数据，只有重复地被覆盖才能消除。
隐患之七，坏簇数据
高级格式化时，如果发现坏扇区，那么整个簇都会被标记为坏簇，操作系统从此不在问津。然而，并不是坏簇中所有的扇区都是坏的，由于这个原因，不法分子就有机可乘，可以将秘密数据写到坏簇中完好的扇区中。
况且，一个扇区是否为“坏”，是格式化程序在当时条件下的一种判断。这个判断不一定准确，所以就有了所谓的“物理坏扇区”和“逻辑坏扇区”之分。逻辑坏扇区是系统的一种误判，可以修复。不法分子可以利用那些逻辑坏扇区来隐藏秘密数据，造成信息泄露。

2.2 数据恢复工具[8] [9]
Final Data Standard在硬盘分区表完全破坏，连硬盘都无法找到的情况下还能恢复硬盘数据。在操作系统环境下删除一个文件，只有目录信息从FAT中删除，文件数据仍然留在磁盘上。所以，这样的文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的，即便清空了回收站，也能做到。另外，FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下，如果目录结构被部分破坏也可以恢复，只要数据仍然保存在硬盘上。
Harddisk Data Recovery是硬盘文件系统恢复工具。该工具不像其他修复工具那样需要写入数据，从而有可能把硬盘搞得更糟。它可以在内存重建文件系统，并可以安全地把数据传输到另外一个设备，支持FAT16/32.NTFS。
Easy Recovery是非常强大的硬盘数据恢复工具。它能够帮恢复丢失的数据以及重建文件系统。Easy Recovery不会向原始驱动器写入任何东西，而是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。可以从被病毒破坏或是己经格式化的硬盘中恢复数据，被破坏的硬盘中丢失的引导记录、BIOS参数数据块、分区表，FAT表、引导区都可以恢复。
磁盘医生NDD是Norton公司开发的著名的磁盘工具，功能也非常强大。
WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。保密检查人员经常用它来检测涉密计算机是否带出了重要文件。WinHex得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。

3. 数据销毁技术介绍
对磁盘数据的清除，有两个指标可以评价其效果：全面性和彻底性。全面性，是指将磁盘内的多少数据进行了清除，有没有留有死角；而彻底性，是恢复清除后数据的可能性和难度。
从销毁对象来分，目前常用的主要分为低级格式化和文件粉碎法两个方法，从数据销毁的彻底性来分，常用的方法又以Gutmann方法和US DoD 5220-22.M方法为主。

3.1 低级格式化[5]
这种方法用来对整块磁盘的数据销毁。
低级格式化就是将空白的磁盘划分出柱面和磁道，再将磁道划分为若干个扇区。低级格式化只能针对一块硬盘而不能支持单独的某一个分区。因此，我们可以认为，对磁盘的这种格式化是对数据的“全面”清除，但还不够“彻底”。
说它全面，是因为低级格式化清除了硬盘分区信息、引导扇区、文件分配表（FAT）、文件目录表（FDT）和数据区（DATA）等所有信息[8]。说它不彻底，指的是数据只是被简单地覆盖，没有考虑上述介绍的影子数据隐患、写信号弱隐患等问题。

3.2文件粉碎法[6]
这种方法用来销毁指定文件的数据。
大家已经明白，只要磁盘上的数据没有被删除或者替换，就有可能恢复原来的文件。所以我们要想彻底删除一个文件，方法就是将该文件所在的簇上的数据用垃圾数据全部替换掉，这样就算能够找到这些簇，得到的也是一些无用的数据，不能恢复原来的文件了。向要删除文件所在的簇多次写人垃圾数据，这就是大部分数据粉碎工具如Clean Disk Security，Smart Real Delete等的工作原理。有的数据粉碎工具还可以采用不同算法如Gutmann对该文件进行覆盖，并且将该文件的名字、创建时间、大小等信息全部清零。
数据粉碎后应该保证关于该文件的一切信息（文件目录项、FAT表中登记的项、文件所占用的簇）都被清零，不能被恢复。特别重要的是，这种方法必须覆盖文件所占最后一簇的潜伏数据。

3.4 Gutmann方法[10]
又叫古特曼方法。它的理论依据是1996年奥克兰大学计算机科学学院皮特.古特曼教授在第六届USENIX安全会议上所作的论文-《安全删除磁固存储器上的数据》。这是迄今为止最安全的数据删除方法--覆盖数据35次，使得任何还原数据的企图都是徒劳的。遗憾的是这种方法会耗费相当长的时间。
另外，古特曼方法只是一种擦除技术，可以用在文件粉碎法中，也可以用在对某一簇或某一扇区的擦除上。古特曼方法不考虑全面性，只考虑数据销毁的彻底性。

3.5 US DoD 5220-22.M方法[10]
US DoD 5220-22.M方法是美国国防部《清理和消毒标准》中的一部分，这种方法仅仅需要覆盖数据几次，安全性没有古特曼方法高，但耗费的时间却相对较少。当然这覆盖数据的几次都是有讲究的，比如使用补码及随机数字来覆盖数据等。

4 结论
当你带着涉密计算机出差时，当你归还租借的计算机担心暴露自己的隐私时，当你捐献自己的旧计算机时，抑或你要把自己的机子送人，或者你的公司或你的父母每周都要检查你在计算机上的活动时，尽管你已经删除了很多数据，你还是担心泄密和隐私泄漏。所以专业的数据销毁工具是很必要的。
数据销毁产品要根据使用对象和场合，在泄密安全性、易用性和性能方面做出平衡。对那些安全级别很高的涉及国家利益和国家安全领域，上述各种安全隐患都是要消除的，这就可能出现这样的情况：数据覆盖法很费事，不如直接用前面提及的捣毁和焚毁法，来得彻底、全面和经济；对那些防止个人隐私的数据销毁来说，其数据销毁的彻底性要求就低得多。
这里介绍了几个常用的数据恢复工具，目的是为了帮助读者检验数据销毁的效果。一般情况下，销毁的数据如果不能被恢复，销毁的彻底性就足够了。这也算是一种平衡方法吧。当然，数据恢复的工具远不止上述介绍的几种。

参考文献
[1] http://www.lygnews.com/www/gcej/shbst/webinfo/2008/08/1218017160104752.htm
[2] http://news.sohu.com/20080908/n259427480.shtml
[3] http://news.sohu.com/20080908/n259427480.shtml
[4] http://lc3.blog.ccidnet.com/blog-htm-do-showone-uid-49135-type-blog-itemid-185414.html
[5] http://baike.baidu.com/view/47106.htm
[6] http://www.51nb.com/forum/thread-806749-1-1.html
[7] http://hi.baidu.com/cnhttp/blog/item/b834df3d685687ce9f3d6284.html
[8] http://www.chinaitpower.com/A/2003-11-20/62929.html [9] http://baike.baidu.com/view/252021.htm?fr=ala0
[10] http://hi.baidu.com/byceen/blog/item/a377759b64f177b2c8eaf471.html