SecureWipe计算机硬盘信息消除工具系统技术白皮书

SecureWipe计算机硬盘信息消除工具系统V3.5技术白皮书【2009年4月第二版】文档范围本文主要介绍计算机硬盘信息消除工具系统（以下简称SecureWipe）的相关特性、主要功能和关键技术等。期望读者期望了解本产品主要技术特性的系统管理员、网络管理员、应用数据管理员等。本文假设您对下面的知识有一定的了解：系统管理Windows操作系统数据信息数据销毁数据安全获得帮助安全相关资料可以访问公司网站：您也可以给我们的技术支持发电子邮件，Email地址是：support@获取更详尽的智恒联盟信息安全专业服务信息、商务信息，您可通过如下方式和我们联系：北京总部地址：北京市北三环西路48号北京科技会展中心2号楼8层B座

邮编：100086

电话400-6765-208

传真/p>

网址：格式约定需要您输入的变量使用斜体字本文中所有图例均为屏幕截取菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：有用的使用技巧、建议和对其他文档的引用等信息。表示需要读者注意的信息。目录一、背景概述 5二、风险分析及国家政策要求 6三、常见数据销毁技术分析 83.1数据销毁方法 83.2注意事项 11四、系统功能及关键技术介绍 124.1主要功能 134.2系统特点 13五、技术实现原理 14六、服务支持 19七、资料参考 19八、资质文件 20SecureWipe-最可信赖的数据销毁专家PAGEPAGE21©版权所有北京智恒联盟科技有限公司一、背景概述在各类政府企事业单位每天的工作中将产生大量的电子数据，每个数据都将经历“产生、传输、处理、废弃”这样四个环节。这些数据有些是日常文件，有些仅是工作秘密，有些是涉及国家秘密的。通常情况下信息在产生、传输、处理的几个过程中数据信息安全问题都得到较高的重视，对于一些重要的数据常不惜代价来确保这些数据的安全，而往往忽视了“废弃”这样的环节。硬盘容量过小、硬件升级换代，往往将这些“存储过涉密信息”的介质随意丢弃处理，或仅仅做简单格式化等处理。这样的薄弱环节其实最容易被国外间谍机构所利用，从废弃的硬盘中可以轻而易举的恢复出所想要的重要数据。这类事件不仅仅发生在我国，在其他各国都有发生过，引起各国的广泛重视。我国每年大约有几百万个涉密硬盘因损坏、过于陈旧等原因需要淘汰，如此庞大的销毁规模，如果不能够配合有效的管理手段和技术手段，势必造成难以想象的泄密后果。相对于个人信息和商业机密，政府部门、军队和科研院所等有着更高的安全保密要求。目前常用的硬盘磁带都是几百G甚至几T的容量，可记载海量的信息，而这些体积很小的硬盘磁带很容易丢失和被窃走，也很容易遭受有意或无意的损坏，有些重要数据甚至是机密的，一旦发生信息数据的丢失或泄密，就会造成对国家和社会不可估量的损失。因此，科学规范的信息数据消除手段，完善合理的存储介质管理流程成为必需。二、风险分析及国家政策要求Windows在删除文件的时候并不是真正的把文件从硬盘上抹去，而仅仅是标记了“可写”来表明“这块空间可以覆盖”。也就是说，如果没有别的文件来覆盖这块区域，这些文件就一直保留着。格式化是删除数据最便捷的方法，但其实只是将文件的索引删除而已，为操作系统创建一个全新的空的文件索引，将所有的扇区标记为“未使用”的状态，让操作系统和使用者认为文件已经删除，又可以把腾出空间存储新的数据。经格式化的硬盘只需用简单的软件就可恢复全部数据；这就造就了反删除软件，就是利用这个原理来恢复文件的。目前存在众多数据恢复系统极易恢复此类消除的数据，如：EasyRecovery、PowerDataRecovery、FinalData、RecoverMyFiles、PC3000等恢复软件；数据销毁作为信息安全的一个重要分支，早已引起世界各国的重视，早在1985年，美国国防部(DOD)就发布了数据销毁标准(美国国防部DOD的5220.22M标准)和；2000年《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》第六章第三十四条规定销毁秘密载体，应当确保秘密信息无法还原；2006年3月下发的《江苏省涉密存储载体保密管理办法》第二十八条明确提出，销毁涉密存储载体应先清理载体中的信息，再采用物理或化学的方法彻底销毁，确保信息无法还原，国家保密局和军队安全局还要求涉密硬盘磁带信息消除前不得带离办公区。最新的国家保密标准系列文档中制定了BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》，在信息消除部分明确要求了详细的数据消除技术要求。另外，在分级保护标准中(BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》)针对涉密信息系统也提出了对于“介质安全—介质报废”中，报废处理的涉密信息存储介质在其他信息系统内重新使用或利用前，应进行信息消除处理。另外，还有以下情形的存储介质处理过程中，通常容易被忽视：磁盘在跨部门重复使用；打印机、复印机的硬盘存储介质维修或更换；涉密网中有关信息采集设备返修或丢弃；专用存储设备的维修和更新换代；……

除了我国的分级保护规定中有相关的规定，在我国最新的等级保护建设要求里明确提出：“保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全销毁；”“确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全销毁。”以上要求对磁盘的剩余信息消除提出了明确的要求，其中就包含了磁盘等存储介质在重新分配给其他用户前需要做彻底的数据销毁，所谓彻底删除，即不可恢复。三、常见数据销毁技术分析3.1数据销毁方法数据销毁的目的是为了不让外界看到相关数据或永久性不可恢复，因此需要谨慎对待，目前在各个国家和行业均采用不同的数据销毁方案，方法不同，各有优略势，一共分为数据覆写法、消磁法和物理销毁法。方法一：数据覆写法由于磁带是可以重复使用的，当前面的数据被后面一笔数据覆写过去时，就算可以透过软件进行数据还原，随着被覆写次数的增多，非结构性数据被复原，需要解读的时间也越久，企业就可以评估数据被复原的风险是否能够承担。其中，低程度的就是将磁带或磁盘完全覆写，高程度则需符合美国国防部DoD5220-22-M认证程序，让硬盘每一个空间都被重复覆写。由于磁盘可以重复使用，前面的数据被后面的数据覆写后，前面的数据被还原的可能性就大大降低了，随着被覆写次数的增多，能够被还原的可能性就趋于0，但相应的时间支出也就越多。密级要求的高低对应着不同的标准，低密级要求的就是一次性将磁盘全部覆写；高密级要求则须进行多次多规则覆写。参考标准实质就是多次覆写的标准，规定了覆盖数据的次数，覆盖数据的格式。

覆写原理（Overwriting）覆写是指使用预先定义的格式——无意义、无规律的信息来覆盖\o"硬盘"硬盘上原先\o"存储"存储的数据。这是销毁数据的既有效又可操作的方法，如果数据被“成功”的完全覆写，即使只覆写一次，也可以认为数据是不可恢复的。硬盘上的数据都是以二进制的“1”和“0”形式存储的。完全覆写后也就无法知道原先的数据是“1”还是“0”了，也就达到了销毁数据的目的。覆写的方法：根据覆写时的具体顺序，\o"软件"软件覆写分为逐位覆写、跳位覆写、随机覆写等模式，根据时间、密级的不同要求，可组合使用上述模式。覆写的局限性：如果磁头定位系统不是足够精确，在进行覆写时，原先的数据不会被完全精确的覆盖。由于磁道的偏移，可以将原先的数据从当前磁道的痕迹辨别出来。因为磁信号泄露了数据的历史痕迹，可以通过特殊的专业设备来识别痕迹进而恢复被覆盖的数据。所以，往往需要进行多次擦除，这也是相关标准的制定原因(如美国国防部的DOD5220.22_M标准和北约NATO)。如果需要做恢复，但是这是需要专门的特殊设备的，而且这种设备也是受控的、限制销售的，通常只有特别的部门才可能拥有。因此说，被覆盖的数据使用现有的技术是不可恢复的，到目前为止，通过覆写达到数据销毁是最\o"安全"安全的和最经济的销毁数据的方法。处理后的硬盘可以循环使用，特别是需要对某一具体文件进行删除而其它文件不能破坏时，这种方法最为实用。销毁系统必须能确保对介质上所有的可寻址部分执行连续写入。方法二：消磁法磁盘或是磁带等储存介质，都是磁性技术，若能破坏其磁性结构，既有的数据便不复存在。我国在个别场所要求部分数据依法必须销毁的数据等，不论是磁盘或磁带，都是进行消磁的动作，让储存于介质上的资料，能做到完全消失。消磁最突出的特点就是——高效，1秒钟之内就完成了，后果是\o"硬盘"硬盘再也不能使用了，如果希望循环能够使用硬盘，不能采用这种方法。方法三：物理销毁捣碎法/剪碎法破坏实体的储存介质，让数据无法被系统读出，也是确保数据机密性与安全性的方法之一。除了进行磁盘的低级格式化外，采用实体捣碎的方式，让数据储存介质残骸，无法被恢复利用。如将储存数据的光盘片，进行大型机器捣碎、绞碎的动作，如果搭配焚毁法将真正达到不可恢复的效果。焚毁法几乎每一个需要淘汰的储存介质最终都会面临，焚毁让数据真正化为灰烬，永久不复存在，但由此也会带来一定的环境污染。这些方法的共同点是费时、费力、效果差，基本未被广泛采用。化学腐蚀法一旦电脑遭到偷窃、系统遇到不法的入侵，抑或硬盘被拆卸，硬盘内部会自动释放出化学喷雾剂，将所有硬盘\o"盘片"盘片磁介质层完全破坏，从而彻底销毁数据。不仅如此，还采用了独特的触发机制，除常规的联网触发、手动触发等触发模式，还可通过内置的\o"GPS"GPS全球定位系统来确定硬盘许可范围，一旦越界就会触发化学腐蚀，这类技术在国际国内有极少的应用。3.2注意事项一些特殊情况的处理时，如对于磁盘来说，通常使用映射的方法来替换受损的磁道或扇区，把坏的和磁介质不稳定的扇区记录下来，做成磁盘缺陷列表，写进磁盘的系统保留区，替换掉原来旧的磁盘缺陷列表，并且通常不再对受损的磁道或扇区进行操作。如果在磁盘的记录间隙、坏的磁道、被故意标记的区域中储存着敏感信息，这些信息仍然可以通过特殊手段被读取。因此，经过信息销毁的介质不能被降低密级使用。四、系统功能及关键技术介绍SecureWipe计算机硬盘信息消除工具系统是北京智恒联盟科技有限公司针对我国信息化建设中的应用数据消除不彻底的风险而开发出的信息保护系统，可以完全销毁系统中的信息，确保数据不被恶意恢复而造成信息泄露。对数据完全擦除，不留痕迹。是我国各行业，尤其是党政首脑机关、国防、外交、国家安全、军工等要害部门保密信息化建设中不可缺少的工具。该系统严格执行BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》能够灵活的实现对硬盘数据的销毁。一旦销毁，任何方法都不能够恢复，彻底解决用户的后顾之忧。销毁对象主要包含：各种硬盘。系统支持所有的磁盘分区格式，包括FAT系列、NTFS系列等进行信息消除。4.1主要功能支持磁盘空间信息进行完全消除；支持单个磁盘以及多个磁盘信息消除；支持各类格式硬盘信息消除；4.2系统特点先进的磁盘物理读写技术：采用先进的磁盘读写技术，直接对磁盘的物理扇区进行多次反复的写操作，直到擦写过后的磁盘扇区内数据无法恢复。完善的数据销毁算法，确保文件相关信息彻底销毁：对文件在磁盘上所有存放位置进行一一销毁，确保文件不会在磁盘上留下任何痕迹。进行整个磁盘的数据销毁，销毁后的整个磁盘不存在任何数据，无法通过软件技术手段恢复。操作简单快捷，只需点击几下鼠标，即可完成相应数据的彻底销毁。密码口令为10位数字+字母方式；非授权用户输入3次错误后系统锁定，需重启登陆正确密码后方可登陆；五、技术实现原理我们要理彻底销毁的数据，首先要搞清楚磁盘如何保存数据。硬盘驱动器里面有一组盘片，数据就保存在盘片的磁道（Track）上，磁道在盘片上呈同心圆分布，读/写磁头在盘片的表面移动访问硬盘的各个区域，因此文件可以随机地分布到磁盘的各个位置，同一文件的各个部分不一定要顺序存放。存放在磁盘上的数据以簇为分配单位，簇的大小因操作系统和逻辑卷大小的不同而不同。如果一个硬盘的簇大小是4K，那么保存1K的文件也要占用4K的磁盘空间。大的文件可能占用多达数千、数万的簇，分散到整个磁盘上，操作系统的文件子系统负责各个部分的组织和管理。当前，Windows支持的硬盘文件系统共有三种。第一种是FAT，即所谓的文件分配表（FileAllocationTable），它是最古老文件系统，从DOS时代开始就已经有了。Windows95引入了第二种文件系统，即FAT32，WindowsNT4.0则引入了第三种文件系统NTFS。目前的windowsXP以及Windows2003也都支持NTFS格式，由于其安全性设计是目前应用比较多的一种格式，这三种文件系统的基本原理都一样，都用一个类似目录的结构来组织文件，目录结构包含一个指向文件首簇的指针，首簇的FAT入口又包含一个指向下一簇地址的指针，依此类推，直至出现文件的结束标记为止。读取硬盘上被覆盖的数据通常有两种办法。读/写磁头向磁盘写入数据时，它会将磁化数据位的信号调整到某个适当的强度，但信号不是越强越好，不应超出一定的界限，以免影响相邻的数据位。由于信号强度不足以使存储媒介达到饱和的磁化状态，所以实际记录在媒介上的信号受到以前保存在同一位置的信号的影响，例如，如果原来记录的数据位是0，现在被一个1覆盖，那么实际记录在磁盘媒介上的信号强度肯定不如原来数据位是1的强度。专用的硬件设备能够精确地检测出信号强度的实际值，将这个值减去当前数据位的标准强度，就得到了被覆盖数据的副本。理论上，这个过程可以向前递推七次，所以如果要彻底销毁文件，必须反复覆盖数据七次以上，每次都用随机生成的数据覆盖。这方面美国国防部订立的磁盘销毁规范，它要求数据必须覆盖三次：第一次用一个8位的字符覆盖，第二次用该字符的补码（0和1全反转的字符）覆盖，最后用一个随机字符覆盖。这个销毁方法不适用于包含高度机密信息的媒介，如绝密级信息，这类介质必须进行消磁处理，或者采用物理销毁方法。扇区的第一个主要部分是标识符。标识符，就是扇区头标，包括组成扇区三维地址的三个数字：扇区所在的磁头（或盘面）、磁道（或柱面号）以及扇区在磁道上的位置即扇区号。扇区头标中还包括一个字段，其中有显示扇区是否能可靠存储数据，或者是否已发现某个故障因而不宜使用的标记。有些硬盘控制器在扇区头标中还记录有指示字，可在原扇区出错时指引磁盘转到替换扇区或磁道。最后，扇区头标以循环冗余校验（CRC）值作为结束，以供控制器检验扇区头标的读出情况，确保准确无误。扇区的第二个主要部分是存储数据的数据段，可分为数据和保护数据的纠错码（ECC）。在初始准备期间，计算机用512个虚拟信息字节（实际数据的存放地）和与这些虚拟信息字节相应的ECC数字填入这个部分。系统将文件存储到磁盘上时，按柱面、磁头、扇区的方式进行，即最先是第1磁道的第一磁头下（也就是第1盘面的第一磁道）的所有扇区，然后，是同一柱面的下一磁头，……，一个柱面存储满后就推进到下一个柱面，直到把文件内容全部写入磁盘。系统也以相同的顺序读出数据。读出数据时通过告诉磁盘控制器要读出扇区所在的柱面号、磁头号和扇区号（物理地址的三个组成部分）进行。磁盘控制器则直接使磁头部件步进到相应的柱面，连通相应的磁头，等待要求的扇区移动到磁头下。在扇区到来时，磁盘控制器读出每个扇区的头标，把这些头标中的地址信息与期待检出的磁头和柱面号做比较（即寻道），然后，寻找要求的扇区号。待磁盘控制器找到该扇区头标时，根据其任务是写扇区还是读扇区，来决定是转换写电路，还是读出数据和尾部记录。找到扇区后，磁盘控制器必须在继续寻找下一个扇区之前对该扇区的信息进行后处理。如果是读数据，控制器计算此数据的ECC码，然后，把ECC码与已记录的ECC码相比较。如果是写数据，控制器计算出此数据的ECC码，与数据一起存储。在控制器对此扇区中的数据进行必要处理期间，磁盘继续旋转。采用简单的覆盖文件还不能销毁硬盘上的所有敏感数据，因为数据可能隐藏在某些意料之外的地方，所以文件占用的每一个扇区都必须彻底销毁，向磁盘写入文件时，文件的最后一部分通常不会恰好填满最后一个扇区，这时操作系统就会随机地提取一些内存数据来填充空余区域。从内存获取的数据称为RAMSlack（内存渣滓），它可