尚 方，張 爽，王孝余，劉 生，姜 鵬，劉峙麟

(1.國網(wǎng)黑龍江省電力有限公司電力科學研究院，哈爾濱 150030；2.黑龍江大學 數(shù)據(jù)科學與技術學院，哈爾濱 150080；3.哈爾濱工業(yè)大學 航天學院，哈爾濱 150001)

1 國家電網(wǎng)有限公司電子數(shù)據(jù)擦除現(xiàn)狀

隨著“大云物移智”的全面發(fā)展，信息安全問題越來越受到人們的關注。大量信息存儲在各種存儲介質(zhì)中，為人們提供了極大的便利，但同時也面臨著數(shù)據(jù)泄露的風險，確保數(shù)據(jù)安全成為信息安全研究的一個主要方向[1-2]。數(shù)據(jù)屬于企業(yè)的重要資產(chǎn)，與企業(yè)的發(fā)展息息相關[3-6]。國家電網(wǎng)有限公司作為國家支柱企業(yè)，一直把信息安全作為日常生產(chǎn)中一個重要環(huán)節(jié)來對待[7]。其信息化程度處于中國先進隊列，信息化管理水平、人員素質(zhì)、信息安全設備的使用情況優(yōu)于大部分企事業(yè)單位。國家電網(wǎng)有限公司應用的存儲介質(zhì)類型多，范圍廣，且數(shù)量極為龐大，存儲介質(zhì)中存有公司的各種重要信息和工作資料[8]。在電子數(shù)據(jù)的擦除和銷毀方面，公司有迫切的需求[9]。

為此，公司制定了一系列的管理規(guī)定和指導意見，也出臺了專門的企業(yè)標準，從管理上嚴格把關；還通過國家電網(wǎng)有限公司數(shù)據(jù)恢復和銷毀中心，研發(fā)了專用的并行電子數(shù)據(jù)擦除平臺，并在系統(tǒng)內(nèi)多個試點單位進行推廣，取得了良好的效果。該平臺目前有兩個版型，均已經(jīng)應用3年以上。通過對平臺設計過程中一些關鍵點的設計思路進行剖析，以及對使用中需要關注的一些工作技巧和技術關鍵點進行詳解，為其他大型企事業(yè)單位的類似應用場合提供了良好的解決方案，為數(shù)據(jù)擦除及銷毀行業(yè)技術的發(fā)展提供了實踐經(jīng)驗。

2 數(shù)據(jù)銷毀與數(shù)據(jù)擦除的概念和標準的探析

2.1 數(shù)據(jù)銷毀與數(shù)據(jù)擦除的概念詳解

數(shù)據(jù)銷毀是把存儲介質(zhì)上的數(shù)據(jù)徹底清除掉，使之不能被讀取和數(shù)據(jù)恢復的技術手段[10-11]。業(yè)內(nèi)通常根據(jù)數(shù)據(jù)被破壞的效果，直接用數(shù)據(jù)銷毀這個詞指代“邏輯銷毀”以及“物理銷毀”兩種情況。為了明確這兩個截然不同的概念，根據(jù)2017年發(fā)布的電力行業(yè)標準DL/T 1757—2017《電子數(shù)據(jù)恢復和銷毀技術要求》，通過“存儲介質(zhì)是否會遭到破壞”這個關鍵點的對比，把“數(shù)據(jù)擦除”這個詞專門指代業(yè)內(nèi)人士所說的“邏輯銷毀”這個概念；而對已經(jīng)發(fā)生了存儲介質(zhì)被破壞的“物理銷毀”情況，指定了一個專有名詞，即“數(shù)據(jù)銷毀”。根據(jù)存儲介質(zhì)被破壞的程度和方法，分成2個等級。

數(shù)據(jù)擦除技術是指對存儲介質(zhì)內(nèi)電子數(shù)據(jù)進行破壞，但存儲介質(zhì)可繼續(xù)使用，在行業(yè)標準中，其標準定義為：“使用預先定義的無意義、無規(guī)律的信息覆蓋存儲介質(zhì)上原數(shù)據(jù)，達到對存儲介質(zhì)內(nèi)電子數(shù)據(jù)進行銷毀的目的?！倍拔锢礓N毀”包括2個等級：一級銷毀和二級銷毀。一級銷毀是指存儲介質(zhì)銷毀后形成的殘留物或殘片上不存在信息，或不存在任何有價值的信息，采用現(xiàn)有的技術措施無法重組恢復出有價值的信息，可直接廢棄；二級銷毀是指存儲介質(zhì)銷毀后形成的殘留物或殘片上仍含有信息，存在被恢復出信息的風險，在信息涉密程度許可的情況下可以使用?？梢姟皵?shù)據(jù)擦除”的概念還是容易理解的，但是“數(shù)據(jù)銷毀”的概念兩級分類不夠直觀。為了清晰地說明這兩種情況的不同，下面以磁盤和磁帶為例進行說明。

1)通過強磁場把磁盤和磁帶消除磁性后，原來記錄的磁信號不能再次讀取到，符合“殘留物或殘片上不存在信息”這種情況，是一級銷毀。

2)通過高溫，把磁盤熔化成液體或把磁帶焚毀成灰，符合“殘留物或殘片上不存在信息”這種情況，是一級銷毀。

3)通過碎紙機類型產(chǎn)品，把磁盤盤片打碎成小碎塊或把磁帶剪碎成小碎片，這種情況符合“存儲介質(zhì)銷毀后形成的殘留物或殘片上仍含有信息”，是二級銷毀。

當然，對于光盤、flash存儲芯片等，都有其專門對應的一級、二級數(shù)據(jù)銷毀方式。但不管什么介質(zhì)，不論是采用一級銷毀、二級銷毀還是數(shù)據(jù)擦除方式來處理，對于數(shù)據(jù)恢復來說都是非常困難的，甚至可以說是不可能完成的任務[12]。但是，為了安全起見，涉密的存儲介質(zhì)在選擇擦除方式時，一般都采用了銷毀的方式。

2.2 文件系統(tǒng)刪除數(shù)據(jù)方式

文件系統(tǒng)可以理解為一本書，前面是目錄，后面是正文，目錄中標明了正文中每一頁的內(nèi)容。如果僅是通過操作系統(tǒng)來刪除一個文件，相當于先是在目錄中尋找到這個文件的索引，然后把這個文件的名字從目錄中擦掉，再把這個文件所在的正文內(nèi)容頁碼標記為“空白，可用”而已。而不會繼續(xù)到正文頁碼中去把這幾頁正文記錄的數(shù)據(jù)完整地擦掉。之所以這樣處理，是因為兩點。其中重要的一點是這樣僅擦除目錄的方式可以極大地提升工作效率，尤其是像下載的電影或者大的軟件包等，如果要把正文頁都覆蓋一遍的話，硬盤動輒需要寫入幾個G的數(shù)據(jù)，這個過程對于CPU和系統(tǒng)的整個性能都會造成非常大的影響，而采用只刪除目錄而不涉及正文的方式可以非?？斓耐瓿?；另外一點是，也沒有必要對后面的正文進行逐個刪除，尤其是像操作系統(tǒng)以及各種軟件的緩存文件等，需要隨時更新覆蓋，覆蓋之后只會讀取到最后一次寫入的信息，前面寫什么已經(jīng)無所謂了。從文件系統(tǒng)的數(shù)據(jù)刪除機制來看，想要徹底的刪除數(shù)據(jù)必須要完整細致地把文件目錄和正文內(nèi)容徹底覆蓋。

2.3 標準擦除數(shù)據(jù)方式

如果數(shù)據(jù)已經(jīng)覆蓋，用普通的數(shù)據(jù)恢復軟件或者設備工具只能讀取到最后一次寫入的信息，原來的數(shù)據(jù)不能再次讀到，在這種情況下就相當于已經(jīng)把數(shù)據(jù)擦除掉。然而，通過一些特殊的手段，可以直接從盤片上讀取被覆蓋的數(shù)據(jù)，這就是標準擦除存在的原因，因此在設計電子數(shù)據(jù)擦除和銷毀平臺時，考慮到了可以直接采用標準擦除的方案，又增加了對于專門區(qū)域采用設定字符覆蓋指定次數(shù)的人性化設計。因為在多次擦除實踐中，發(fā)現(xiàn)用戶有既要保存好信息，又要刪除特殊數(shù)據(jù)的需求。使用特殊的方法和設備來讀取已經(jīng)覆蓋到的磁信號，其理論依據(jù)有兩種：

1)根據(jù)磁信號的強弱，來判斷這個信號曾經(jīng)記錄過什么信息。例如，如果某個信號記錄的位置A原來記錄的是0，后來被覆蓋成1；而另外一個信號記錄位置B原來記錄的是1，后來被覆蓋的還是1，那么A和B當前1的磁信號強度應該是不同的，可以通過精確地測量信號強度的實際值，再通過經(jīng)驗及多次的組合嘗試，來恢復數(shù)據(jù)。因為磁頭向磁盤寫入數(shù)據(jù)的時候，并不是完整地把磁極寫成介質(zhì)飽和磁化的情況，磁盤上相鄰信息位非常近，如果每個信息位都寫飽和的話，彼此之間就會產(chǎn)生影響，所以信號的強度不是越強越好，不應超過一定的范圍，這就為此種判斷方法提供了可能。

2)磁頭在向磁盤上寫入數(shù)據(jù)的時候，后一次寫入的位置不會絕對精確定位在上次寫入的點上，換句話說，寫入新數(shù)據(jù)也不能把以前的信息徹底覆蓋掉?；谶@個原理，可以把原來的信息讀出來，同樣也要經(jīng)過多次的調(diào)試和組合。

但是，這兩種方式都是從理論上說明恢復的過程，而隨著覆蓋次數(shù)的增多，尋找某次寫入內(nèi)容的難度就會成倍加大。從實際操作來看，這兩種方式都需要專門的設備在無塵環(huán)境中讀取盤片上的信息，更需要大量的時間進行嘗試，花費的人力、物力是極其昂貴的，當要恢復的覆蓋數(shù)據(jù)量比較大時，尤其是對于需要整體使用的數(shù)據(jù)庫文件、壓縮包信息等數(shù)據(jù)，僅恢復整塊數(shù)據(jù)中的一部分，結果依舊無法使用。因此，對于非涉密信息，業(yè)內(nèi)公認只需覆蓋一次，就足以對數(shù)據(jù)進行徹底破壞了。

為了防止利用磁化信號的強弱等手段來恢復之前覆蓋的數(shù)據(jù)信息，數(shù)據(jù)擦除技術標準專門做了一些設置，國家電網(wǎng)有限公司的企業(yè)標準Q/GDW 1937—2013《國家電網(wǎng)公司非國家秘密電子數(shù)據(jù)銷毀、清除和恢復技術要求》遵循的是“用字符、他的補碼和隨機字符覆蓋可尋址的存儲單元并進行校驗”的指導思想，分別采用了3次擦除和7次擦除的規(guī)范，按照現(xiàn)在技術的發(fā)展水平，從理論上就已經(jīng)達到了不可恢復的目的。相比較來看，電力行業(yè)的標準DL/T 1757—2017《電子數(shù)據(jù)恢復和銷毀技術要求》也對非國家秘密的電子數(shù)據(jù)擦除提出了技術指導，其明確推薦“存有非涉密電子數(shù)據(jù)的存儲介質(zhì)擦除次數(shù)宜為3次”，而對于有涉密情況的擦除次數(shù)為6次。以3次的擦除方法為例，填充字符應是兩位十六進制字符，第一次應使用AAH(10101010B)，第二次應使用55H(01010101B)，第三次應使用隨機數(shù)。在電子數(shù)據(jù)擦除平臺的設計中，也引入了這樣的設計思想。

3 國家電網(wǎng)有限公司電子數(shù)據(jù)擦除現(xiàn)狀

3.1 電子數(shù)據(jù)擦除和銷毀平臺硬件設計及接口布局的探析

電子數(shù)據(jù)擦除和銷毀平臺可以為多種介質(zhì)提供并行高速的電子數(shù)據(jù)擦除和銷毀任務，且能滿足在不同場合下的需要。因此目前設計了兩個版本：一個是主要用在機房內(nèi)部的，機架式結構，用于對保密要求高的不得帶出機房的硬盤擦除和銷毀；另一個版本是放在實驗室、辦公區(qū)的，展臺式結構，用于給文檔管理部門、信息運維部門使用，工作界面簡潔明了。兩個版本都設置多種類型的源盤接口，并且配置了消磁模塊。源盤外接口包括：2.5寸和3.5寸硬盤的SATA/SAS復用口, USB 2.0/3.0復用口、SCSI、IDE接口、含TF卡、SD卡、記憶棒、miniSSD復合接口等，如圖1所示。這些接口可以滿足國家電網(wǎng)有限公司所有的存儲介質(zhì)需求。兩種版本的配置差異較大，專用于不同場合。兩個版本配置情況，詳見表1。

圖1 電子數(shù)據(jù)并行擦除及銷毀平臺展臺式版本接口示意圖

表1 電子數(shù)據(jù)并行擦除及銷毀平臺兩種版本的配置

機架式設備采用了分體式設計，主機和從機都采用4U機箱設計，具有良好的散熱功能，工作功率高，內(nèi)置了通過國家保密局認定的消磁機。特意增加了SATA/SAS復用盤倉和外接口，便于機房內(nèi)服務器為主體的工作情況。設置了用于搬運的提手以及腳墊，還在設備的外框采用了金屬及橡膠護角加固，防止磕碰。

展臺式設備根據(jù)文檔工作人員使用特點，采用觸摸屏，利用引導方式，便于用戶操作。還根據(jù)工作特點，加裝了打印模塊，隨時打印工作報告。電源取電也是采用普通插排式接口，可以直接從墻壁插座取市電。也加裝了適合直聯(lián)服務器的ESATA接口。

3.2 電子數(shù)據(jù)擦除和銷毀系統(tǒng)工作效率的探析

電子數(shù)據(jù)擦除是把存儲介質(zhì)特定區(qū)域內(nèi)完全覆寫，所以會消耗大量的時間，以最大速度寫入數(shù)據(jù)是電子數(shù)據(jù)擦除需要重點考慮的問題。影響擦除速度的關鍵因素包括存儲介質(zhì)本身的情況、擦除裝置運算速度、工作環(huán)境溫度、連接信號線的品質(zhì)等。

存儲介質(zhì)本身狀態(tài)是影響最大的因素，且往往不容易改變[12]。例如USB2.0接口理論速度為60 Mb/s，根據(jù)經(jīng)驗工作速度一般不超過20 Mb/s，而USB3.0接口的實測速度也常常超過150 Mb/s。存儲介質(zhì)的種類對擦除設備的影響，同樣是SATA接口，實測SSD硬盤要比機械式硬盤的擦除設備快一些；同樣是SATA硬盤，企業(yè)級高品質(zhì)硬盤實測會比低品質(zhì)級硬盤速度快一些；進一步來說，即使是同一個機械式硬盤，因為其外圈線速度要大于內(nèi)圈線速度，也會導致外圈的擦除速度比內(nèi)圈快30%左右，這是其內(nèi)在性能決定的，在擦除過程中無法更改。但是要充分考慮到這些因素，尤其是對于大規(guī)模的擦除任務，在計算每個存儲單元、Flash磁盤時都要考慮到這些問題，然后有針對性地采取最優(yōu)解決方案。同時，在進行所需人員和設備數(shù)量預估時，也要充分考慮所有存儲單元的整體情況、設備散熱情況及介質(zhì)擦除效果驗證情況等，可見不同接口的工作速度差異非常大。因此，在實際工作中需要充分地掌握這些技術和經(jīng)驗，才能夠減少工作時間，從而可以精準預估一個擦除和銷毀任務需要的人員、設備數(shù)量和工作時長。

3.3 關于電子數(shù)據(jù)系統(tǒng)工作方法的探析

電子數(shù)據(jù)擦除和銷毀平臺經(jīng)過了幾年的應用實踐，現(xiàn)將一些在工作中容易被忽視的問題總結如下：

1)有些移動硬盤，還存在通過轉換口把SATA或者小IDE口轉成USB口的情況，遇到這類情況，一定要盡量減少轉接過程，盡量使用硬盤原接口來擦除，可以避免重復轉換造成的速度下降。

2)對于大容量磁盤來說，如果需要對存儲介質(zhì)銷毀的話，采用高磁場消磁是最便捷最節(jié)省人力、物力的方式，且磁盤外觀上沒有變化。如果銷毀的數(shù)目不大的話(如100塊盤以內(nèi))，盡量采用此種方式。但需要注意在銷毀過程中，磁場的強度和消磁時間需要達標，且要在消磁工作完成之后，進行必要的復測。

3)機械類硬盤在長期高速工作的狀態(tài)下，會出現(xiàn)發(fā)熱現(xiàn)象。因此，要注意包括平臺自身的各個關鍵部位溫升情況，如果溫度過高，要采用合理的方式為設備降溫或者休息。剛經(jīng)過數(shù)據(jù)擦除的硬盤，其表面溫度高，操作人員在插拔硬盤時需要采用帶手套等保護措施，防止硬盤跌落、損傷等情況出現(xiàn)。

4 結 語

數(shù)據(jù)擦除和銷毀能力是信息安全的一項重要保證，是計算機應用領域發(fā)展的方向。該文介紹了電子數(shù)據(jù)并行擦除及銷毀平臺的研發(fā)思路和電子數(shù)據(jù)擦除和銷毀設備的研發(fā)及應用情況。所研發(fā)的設備已經(jīng)得到實際應用，并取得了良好的效果，設備運行期間，積累了大量的實際工作經(jīng)驗，為其他大型企事業(yè)單位提供了相關問題的解決方案，也為數(shù)據(jù)擦除和銷毀行業(yè)的技術發(fā)展和管理提升提供了借鑒經(jīng)驗。該平臺下一步將會在國有大型企事業(yè)單位、科研機構等對保密要求高的工作場景中進行推廣。