計算機數據安全存儲技術及應用

雷磊 王越 孟粉霞

西北核技術研究所 陜西 710024

0 前言

數據安全的核心是存儲安全，在現今IT飛速發展的時代，無論是政府機關、軍隊、還是企業、家庭的重要數據大都以電子形式存儲在臺式機硬盤、筆記本硬盤、可移動硬盤、服務器硬盤、存儲磁帶庫、移動硬盤、U盤、數碼存儲卡中。很多部門對于各自的敏感數據已經擁有一套相對可靠的安全保護措施，然而還有一部分部門或個人對此重視不夠，僅停留在簡單常規地操作級別，從而存在敏感數據被竊取的風險和隱患。

1 數據的安全存儲及應用

1.1 數據加密

數據加密目前是計算機系統對信息進行保護的一種最可靠的辦法，它利用密碼技術對信息進行加密，把加密后的密文信息存儲在存儲介質中，實現敏感數據存儲和傳送過程中的機密性保護。數據加密有各種分類方法，按照實現手段可以分為四種：主機軟件加密(代表產品主要包括Symantec Veritas NetBackup、IBM TSM)、加密存儲安全交換機(代表產品包括CipherMax CM系列、思科的MDS系列)、嵌入式專門加密設備以及基于存儲層的存儲設備。

1.2 訪問控制

目前訪問控制技術主要致力于三個方面的研究：操作系統本身的訪問控制、邊界訪問控制、應用系統的訪問控制。對操作系統的訪問控制能力，首先是開展對安全操作系統的研究。現在的操作系統的大多數是C1、C2級，安全操作系統可以達到B1級。安全操作系統主要是提高了操作系統的強制訪問控制能力、安全審計能力、密碼存取能力，對進程、文件、目錄的保護都得到加強。邊界訪問控制主要通過防火墻系統、支持VLAN的網絡設備來實現。應用系統的訪問控制一般在應用系統開發中單獨實現；有時也可以通過調用底層的操作系統訪問控制功能或者數據庫管理系統訪問控制功能。

1.3 備份與恢復

目前普遍的方法是對服務器操作系統和數據庫的重要數據通過先進的安全備份軟件進行定期的增量備份和完全備份。所有備份操作都由安全備份軟件自動完成。Acronis True Image是這方面的突出產品，它可以通過本地和網絡兩種方式進行備份，采用的網絡備份設計如圖1所示，裝有Acronis的服務器定期通過網絡對主要服務器進行增量備份和完全備份，所有終端也可以通過Acronis備份服務器進行網絡備份。此備份恢復體系已經在實踐中得到廣泛的應用，并完成了數次災難性恢復任務，很好地保證了服務器的正常運行和敏感數據的完整保存。

圖1 服務器和終端備份系統設計圖

2 數據銷毀

數據加密、訪問控制、備份與恢復是我們進行敏感數據日常安全存儲的必要環節，在現今IT時代技術已經比較成熟，被廣泛應用于需要存儲重要數據的各個領域。但是當我們不再需要這些數據，但是又不能泄露它們否則會造成巨大損失時，就需要徹底銷毀它們，這時就遇到了一個比較重要的問題——數據銷毀。

2.1 存儲原理

磁盤是一種采用磁介質的數據存儲設備，數據存儲在密封于潔凈的硬盤驅動器內腔的若干個磁盤片上。這些盤片一般是在以鋁為主要成份的片基表面涂上磁性介質所形成，在讀取數據時，通過磁頭將磁粒子的不同極性轉換成不同的電脈沖信號，再利用數據轉換器將這些原始信號變成電腦可以使用的數據，寫的操作正好與此相反。

在現今通用的Windows操作系統中使用三種文件系統FAT(文件分區表)、FAT32(32位文件分區表)和NTFS(NT文件系統)。在FAT文件系統下，每一個磁盤被分成固定大小的簇。簇最少為512字節，其大小可以成倍增長，最大為32K。每個簇都由惟一的索引號即一個16位二進制數來標識。因為16位二進制數最大為65536，所以FAT分區所擁有的簇的數量不可能超過65536個。簇的個數和大小的限制，就是FAT分區為什么不能超過2GB的原因。FAT中的入口連接著組成一個文件的各個簇，文件的目錄入口包含其第一個簇的索引號，而該簇在FAT中的入口又包含著下一個簇的索引號，依此類推。一個文件的最后一簇對應的FAT入口則包含著一個特殊的文件終止符。未使用的簇和損壞的簇也會用特殊代碼標識出來。FAT文件系統主要用于DOS及早期的Windows版本使用。FAT32文件的原理幾乎與此相同，但它的簇更小，而且由于FAT入口是32位，所以其容量理論上可以超過40億字節。NTFS是一個相當高級的文件系統，它的主文件表(MFT)是一個非常完整的數據庫，它負責對磁盤上的每個文件進行索引。每個MFT的入口通常為1K大小，其中記錄了大量的文件信息。在MFT中，NTFS磁盤上的每個文件(包括MFT自身)至少有一映射項。因此在訪問文件時首先要從MFT中找到文件所在的簇的位置，然后才能到相應的簇去讀取。此文件系統主要應用在Windows NT以及之后的Windows 2000、Windows Server2003、Windows XP、Windows 7等。

2.2 常規刪除

通過對數據存儲原理的了解，我們向硬盤里存放文件時,系統首先會在文件分配表內寫上文件名稱、大小，并根據數據區的空閑空間在文件分配表上繼續寫上文件內容在數據區的起始位置。然后開始向數據區寫上文件的真實內容，一個文件存放操作才算完畢。

但是我們的常規刪除操作卻非常簡單，當我們需要刪除一個文件時，系統只是在文件分配表內在該文件前面寫一個刪除標志，表示該文件已被刪除，他所占用的空間已被“釋放”，其他文件可以使用他占用的空間，但是數據區所存儲的數據并沒有真正被刪除。所以，當我們刪除文件又想找回它(數據恢復)時，只需用工具將刪除標志去掉，數據被恢復回來了。當然，前提是沒有新的文件寫入，該文件所占用的空間沒有被新內容覆蓋。

格式化操作和常規刪除相似，都僅僅是對文件分配表進行操作，不過格式化是將所有文件都加上刪除標志，或干脆將文件分配表清空，系統將認為硬盤分區上不存在任何內容。但格式化操作并沒有對數據區做任何操作，目錄空了，內容還在，借助數據恢復知識和相應工具，數據仍然能夠被恢復回來。

再進一步的數據清理就是硬盤分區了。對于“硬盤分區”這一操作，操作系統也只是修改了硬盤主引導記錄和系統引導扇區，絕大部分的數據區并沒有被修改，仍然非常容易就被恢復大部分數據。筆者使用工具DataExplore進行常規刪除恢復的操作結果如圖2所示。

圖2 用DataExploreOP

在一臺PC機上通過Shift+Delete刪除一個包含有若干文檔的文件夾之后，用DataExplore在該分區上進行恢復，結果該文件夾的所有文檔被完整地恢復了出來。

綜上所述，當我們采取刪除、格式化等常規操作來銷毀數據時，事實上數據并沒有被真正銷毀，在新數據寫入硬盤同一存儲空間前，該數據會一直保留，從而存在被他人刻意恢復的風險。

2.3 數據軟銷毀

數據軟銷毀又稱邏輯銷毀，即通過數據覆蓋等軟件方法銷毀數據。通常采用數據覆寫法。數據覆寫是將非保密數據寫入以前存有敏感數據的硬盤簇的過程。硬盤上的數據都是以二進制的“1”和“0”形式存儲的。使用預先定義的無意義、無規律的信息反復多次覆蓋硬盤上原先存儲的數據，就無法知道原先的數據是“1”還是“0”，也就達到了銷毀數據的目的。

根據數據覆寫時的具體順序，軟件覆寫分為逐位覆寫、跳位覆寫、隨機覆寫等模式。根據時間、密級的不同要求，可組合使用上述模式。美國國防部 Network & Computer Security的 DOD 5220122_ M 標準和北約 NATO 的多次覆寫標準規定了覆寫數據的次數，覆寫數據的形式。美國國防部訂立的磁盤清洗規范，要求數據必須對所要清除的數據區進行三次覆蓋：第一次用一個8位的字符覆蓋， 第二次用該字符全反轉的字符0 和1覆蓋，最后再用隨機字符覆蓋。如先用0011 0101 覆蓋，接著用1100 1010，然后用1001 0111。覆寫必須完成的次數與存儲介質有關，有時與其敏感性有關，有時因需求有所不同。在不了解存儲器實際編碼方式的情況下，為了盡量增強數據覆寫的有效性，正確確定覆寫次數與覆寫數據格式非常重要。數據覆寫法處理后的硬盤可以循環使用，適應于密級要求不是很高的場合，特別是需要對某一具體文件進行銷毀而其他文件不能破壞時，這種方法更為可取。本人認為到目前為止，數據覆寫是較安全、最經濟的數據軟銷毀方式。需要注意的是，覆寫軟件必須能確保對硬盤上所有的可尋址部分執行連續寫入。如果在覆寫期間發生了錯誤或壞扇區不能被覆寫，或軟件本身遭到非授權修改時，處理后的硬盤仍有恢復數據的可能，因此該方法不適用于存儲高機密級數據的硬盤。而且即使原來文件的數據被覆蓋，也并不意味著完全不能恢復。

目前，有兩種辦法可以用來讀取硬盤上被覆蓋的數據。

第一種方法是當硬盤讀寫頭在硬盤上寫入一位數據時，它使用的信號強度只是用來寫入一位數據，并不會影響到相鄰位的數據。由于這個寫入信號并不是很強，因此可以通過它寫入的數據位的絕對信號強度來判斷此前該數據位所保存的是何種數據。換句話說，如果二進制數據0被二進制數據1所覆蓋，其信號強度會比二進制數據1被覆蓋要弱一些。使用專門的硬件就可以檢測出準確的信號強度。把被覆蓋區域讀出的信號減去所覆蓋數據的標準信號強度，就能獲得原先數據的一個副本。更令人吃驚的是，這一恢復過程可以被重復7次之多。因此如果你想避免別人使用這種方法來竊取你的數據，你至少要覆蓋該區域7次，而且每次還應該使用不同的隨機數據。

第二種數據恢復技術則是利用了硬盤讀寫頭的另一個特點：讀寫頭每次進行寫操作的位置并不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數據(也被稱為影子數據)，便可通過特殊手段恢復出來。只有多次重復地覆寫數據才能消除這些磁道邊緣的影子數據。

2.4 數據硬銷毀

數據硬銷毀是指采用物理破壞或化學腐蝕的方法把記錄涉密數據的物理載體完全破壞掉，從根本上解決數據泄露問題的銷毀方式。數據硬銷毀可分為物理銷毀和化學銷毀兩種方式。物理銷毀又可分為消磁，熔爐中焚化、熔煉，借助外力粉碎，研磨磁盤表面等方法。

消磁是磁介質被擦除的過程。銷毀前硬盤盤面上的磁性顆粒沿磁道方向排列，不同的N/S極連接方向分別代表數據“0”或“1”，對硬盤施加瞬間強磁場，磁性顆粒就會沿場強方向一致排列，變成了清一色的“0”或“1”，失去了數據記錄功能。如果整個硬盤上的數據需要不加選擇地全部銷毀，那么消磁是一種有效的方法。不過對于一些經消磁后仍達不到保密要求的磁盤或已損壞需廢棄的涉密磁盤，以及曾記載過絕密信息的磁盤，就必須送專門機構作焚燒、熔煉或粉碎處理了。物理銷毀方法費時、費力，一般只適用于保密要求較高的場合。

化學銷毀是指采用化學藥品腐蝕、溶解、活化、剝離磁盤記錄表面的數據銷毀方法。化學銷毀方法只能由專業人員在通風良好的環境中進行。化學腐蝕的特點是安全級別高，缺點是代價太高，難以普及，只適合國家情報等有極其特殊需要的部門。

針對軍方、銀行、高度商業機密用途的硬盤自毀式技術已經得到了很多部門廣泛注意，在自毀式程序的作用下，一旦電腦遭到偷竊、系統遇到不法的入侵，抑或硬盤遭到強行而粗野的拆卸，硬盤內部程序會在最短的時間內(一般在0.1秒內)刪除硬盤上的所有數據或者啟動硬盤內的化學制劑，將所有硬盤盤片磁介質層完全破壞，從而徹底銷毀數據。不僅如此，還采用了獨特的觸發機制。除常規的聯網觸發、手動觸發等觸發模式，還可通過內置的GPS全球定位系統來確定硬盤許可范圍，一旦越界就會觸發。

在實際應用中銷毀數據典型做法是對于涉密程度不高的報廢計算機硬盤采用低級格式化加覆寫的方法，此方法可以使硬盤循環使用，節約成本，但僅限于低密級硬盤。對于密級較高的報廢計算機硬盤則采用先常規刪除數據、消磁然后焚燒的做法，基本上完全消除了泄密隱患。磁盤銷毀流程圖如圖3所示。

圖3 數據銷毀流程圖

3 結束語

本文首先介紹了數據安全存儲的三個基本環節：加密存儲、訪問控制、備份恢復的基本概念及技術，并給出了數據安全存儲在典型企業中的具體設計方案和應用。同時從原理上詳細分析了目前在數據銷毀方面存在的各種不安全做法，針對不同密級部門提出了相對應的數據銷毀方式。此外，對于實際應用的工具和產品也做了簡要的介紹，在實際數據安全防護應用中還應結合產品和技術措施不斷完善防護技術，才能做到持久動態發展的數據安全防護能力。

[1] Katzan.H.標準數據加密算法[M].人民郵電出版社.2007.

[2] 劉揚,陳曉鵬,苑新玲.基于企業涉密檢測的數據安全解決方案[J].計算機工程與設計.2008.

[3] 唐朔飛.計算機組成原理[M].高等教育出版社.2002.

[4] 尹燕彬,文偉平.計算機數據安全刪除和隱私保護[J].信息網絡安全.2009.

[5] 徐鵬,薛建鋒.數據中心容災系統研究[J].計算機工程與設計.2007.

[6] 左鋒.信息安全體系模型研究[J].信息安全與通信保密.2010.

[7] 王建峰.數據銷毀:數據安全領域的重要分支[J].計算機安全.2006.

[8] 徐菁,朱有佃,賴凡.論磁性存儲介質的數據銷毀技術[J].西南師范大學學報(自然科學版).2007.