国家标准《网络安全技术 数据销毁软件产品技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据全国网络安全标准化技术委员会《关于17项网络安全国家标准项目立项

的通知》（网安字[2024]2号），《网络安全技术数据销毁软件产品技术规范》

由上海辰锐信息科技有限公司承办，计划号：2024XXXX-T-XXX。该标准由全国网

络安全标准化技术委员会归口管理。该标准由全国网络安全标准化技术委员会

（SAC/TC260）归口管理。

1.2主要起草单位和工作组成员

《网络安全技术数据销毁软件产品技术规范》由上海辰锐信息科技有限公

司负责起草，参与单位包括公安部第三研究所、厦门市美亚柏科信息股份有限公

司、联想(北京)有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、

国家信息中心、长扬科技（北京）股份有限公司、西安交大捷普网络科技有限公

司、北京数安行科技有限公司、北京北信源软件股份有限公司、北京中超伟业信

息安全技术股份有限公司、大唐高鸿信安（浙江）信息科技有限公司等30余家单

位。主要起草人：陈妍、章倩、李旋、黄志炜、赵臻、邢希双、刘俊、李慧敏等。

1.3主要工作过程

1)草稿

2023年7月，全国网络安全标准化技术委员会发布了《关于发布2023年度

第二批网络安全国家标准需求的通知》，数据销毁软件产品的技术规范是其中一

项。

根据项目工作要求，我单位立即成立了标准申报小组，并邀请该类产品生产

厂商、产品测评认证机构、科研院所等单位组建了标准编制组，联合申报该标准，

并组织编写了申报材料。编制组人员首先对所参阅的产品、文档以及标准进行反

复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修

改的基础上，开始具体的编制工作。

2023年7月至8月，对国内外数据销毁软件产品的相关技术文档以及有关

标准进行前期基础调研。在调研期间，主要对数据销毁软件产品历年计算机信息

系统安全专用产品销售许可、网络安全专用产品检测和认证的记录、报告以及相

关的技术文档材料进行了筛选、汇总、分析，对数据销毁软件产品的技术发展动

1

向进行了研究，对技术文档和标准进行了分析理解。以上述研究为基础，形成了

标准草稿（第一稿）。

2023年8月，全国网络安全标准化技术委员会WG5组在北京召开2023年工

作组第二次全体会议，组织研讨2023年第二批立项标准。标准编制组介绍了数

据销毁软件产品的定义、重要应用场景和作用，汇报了标准立项的意义和重要性、

标准编制组成员及相关研究基础、标准研究的目标和应用推广方案，以及标准草

稿的主要架构和重要技术要求条款。现场专家和WG5组成员对标准立项材料进行

了深入讨论。

2023年9月，2023年国家网络安全宣传周期间，全国网络安全标准化技术

委员会在福州组织召开2023年第二批网络安全国家标准立项专家评审会。标准

编制组汇报了标准拟解决的问题、标准草稿整体框架、标准化解决方案和标准应

用实施方案。现场专家对标准立项的意义、标准化解决方案和应用实施方案进行

了质询和讨论，对标准草稿进行了审查。随后，根据专家意见，结合GB42250，

统一了标准的模板。

2023年10月，WG5提供了网络安全产品国标模板，编制组根据模板要求，

对标准草稿进行了大幅调整，主要包括按照GB42250的目录架构对产品自身安

全、安全保障要求部分进行修改，形成标准草稿（第二稿）。

2024年2月，全国网络安全标准化技术委员会发布了《关于17项网络安全

国家标准项目立项的通知》，同意该标准立项，并由上海辰锐信息科技有限公司

牵头负责该标准的制定工作。并确定标准名称为《网络安全技术数据销毁软件

产品技术规范》。随后，标准编制组在全国网络安全标准化技术委员会网站公开

征集参编单位，目前编制组成员共31家。

2024年3月，国家市场监督管理总局国家标准技术审评中心组织召开2024

年信息技术领域推荐性国家标准立项评估会。标准编制组汇报了该标准立项的必

要性和可行性、适用范围、拟解决的主要问题、技术先进性和创新性、与现有法

律法规及相关标准的协调配套、实施主体及建议等内容。

2024年3月到4月，标准组内部针对标准草稿文本召开了三次讨论，并征

求了编制组内的意见，形成了标准草稿（第三稿）。

2024年4月，WG5对该标准指定了责任专家，并组织专家对标准进行研讨，

2

与会专家（包括本标准的责任专家）听取了编制组的汇报，审阅了标准文本，并

反馈了修改意见。编制组对专家意见进行讨论和处理，形成了标准草稿（第四稿）。

2)征求意见稿

2024年6月，在网安标委2024年第一次“标准周”上进行了标准汇报，成

员单位对标准进行了质询，最终建议标准形成征求意见稿。编制组对会议意见进

行讨论和处理，形成标准征求意见稿（第一稿）。

2024年7月，WG5组织责任专家开会，编制组针对会议周意见进行汇报，专

家们对标准进行质询。编制组对会议意见进行讨论和处理，形成标准征求意见稿

（第二稿）。

2024年9月全国网络安全标准化技术委员会秘书处在北京召开网络安全国

家标准审查会，与会专家一致同意通过对该项标准的审查，建议编制工作组根据

本次会议意见修改后，发起公开征求意见；会后，标准编制组对标准进行了修改

完善，形成了标准征求意见稿（第三稿）。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

为了使本标准与现有其他国家标准保持协调一致，本标准的制定参考了现行

的其他国家标准，主要有GB42250-2022、GB/T18336、GB/T25069等。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

1.实用性原则

标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产

品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产

单位的交流，使得标准更贴近产品实际情况，保证操作性。

2.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标

准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的

标准。本标准的编写始终遵循这一原则。

3.兼容性原则

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一

3

致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

2.2编制背景

数据安全成为热点，国内外均希望通过法律和技术手段加强数据安全保障，

数据销毁是数据全生命周期中的重要一环，数据的完全销毁能保障数据不被泄露

和非法使用。数据销毁是对数据及数据存储媒体通过相应的操作手段，使数据彻

底删除且无法通过任何手段恢复的过程。

当用户不需要文件时，通常采取删除、硬盘格式化、文件粉碎等方法来销毁

数据。由数据磁盘存储原理可知，在新数据写入硬盘同一存储空间之前，该数据

会一直保留并没有被真正销毁，从而存在被他人蓄意恢复的风险，最终导致数据

泄露。比如①删除文件：删除命令只是将文件目录项做了一个删除标记，数据区

并没有任何改变。由于删除操作不能真正擦除磁盘数据区信息，一些数据恢复工

具正是利用了这点，绕过文件分配表直接读取数据区，恢复被删除的文件，这种

数据销毁方法最不安全。②格式化硬盘：格式化仅仅是为操作系统创建一个全新

的空文件索引，将所有扇区标记为“未使用”状态，让操作系统认为硬盘上没有

文件。“格式化”又分为高级格式化、低级格式化、快速格式化等多种类型。多

数情况下，格式化不会影响硬盘上的数据区。因此，采用数据恢复软件工具也可

以恢复格式化后硬盘中的数据。③使用文件粉碎软件，粉碎工具软件所具有的文

件粉碎功能，大多没有通过专门机构的认证，用于处理带有密级的数据，其可信

度和安全性都不高。因此，只有采取正确彻底的数据销毁方法，才能达到完全数

据销毁的目的。

数据销毁一般包含硬销毁和软销毁两种手段，硬销毁是通过物理、化学等方

法直接销毁存储数据的介质，软销毁是通过覆写等软件方法，对数据存储的区域

进行多次覆写，两种手段都是为了达到无法复原数据的目的。本标准所指的数据

销毁软件产品采用的是软销毁的技术手段，适用各类操作系统和存储介质。

本项目拟制定推荐性国家标准，用于规范网络安全专用产品中的数据销毁软

件产品的技术要求和测试评价方法，该标准是GB42250-2022《信息安全技术网

络安全专用产品安全技术要求》的配套标准，该产品也被列入网络安全专用产品

目录。数据销毁是数据生命周期中的重要一环，数据销毁软件产品是确保数据销

4

毁能够安全、可靠、有效地完成的技术保障。

数据销毁软件产品以软件形式安装在需要销毁的主机上，将非敏感数据覆写

入以前存有敏感数据的存储位置，达到清除数据的目的。数据销毁软件产品保护

的资产是用户不再需要但仍然敏感的信息，这些信息对用户而言虽然不再具有价

值，但是一旦被非授权用户得到，依然会对用户的信息安全造成影响。

2.3编制目的

项目通过调研国内外的数据销毁软件相关标准及产品情况，提出符合我国实

际需求的数据销毁软件产品的技术要求，为研制数据销毁软件产品的单位提供标

准支撑，为政府部门、企事业单位等采购数据销毁软件产品提供参考，也为第三

方检测机构对数据销毁软件产品的检测提供依据和方法。

2.4标准主要制定依据

1、GB42250

GB42250-2022《信息安全技术网络安全专用产品安全技术要求》是网络安

全专用产品的强制性国家标准，所有网络安全专用产品都必须符合其要求。本标

准的自身安全要求和安全保障要求引用GB42250中的条款作为通用要求。

2、GB/T18336

GB/T18336《信息技术安全技术信息技术安全评估准则》是评估信息技术

产品和系统安全性的基础准则。本标准的安全保障要求主要参考GB/T18336中

的相关条款。

3、GA/T1143-2014《信息安全技术数据销毁软件产品安全技术要求》

2.5编制思路

1.充分调研国内外标准，主要包括：NIST800-88-2014《Guidelinesfor

MediaSanitization》、IEEEStd2883^-2022《Standardfor

𝑻

SanitizingStorage》、ISO/IEC27040：2015《Informationtechnology

—Securitytechniques—Storagesecurity》、ISO/IEC27040:2024

《Informationtechnology—Securitytechniques—Storage

security》、GB/T31500-2015《信息安全技术—存储介质数据恢复服务

要求》（修订中）、GB/T《数据安全技术二手电子产品信息清除技术要求》

（征求意见稿）、GB/T37939-2019《信息安全技术网络存储安全技术要

5

求》，并梳理该标准与其他标准的关系。特别是明确了与制定中的GB/T

《数据安全技术二手电子产品信息清除技术要求》的关系。二手电子产

品该标准主要规定了二手电子产品信息清除各个环节应遵循的技术要求，

主要是对电子产品厂商和二手电子产品经销者制定要求，包括让经销者

制定信息安全管理体系和信息技术服务管理体系。我们的标准聚焦数据

销毁的方法及手段，能为二手电子产品标准提供销毁工具的支撑。

2.安全功能要求参考GA/T1143-2014的内容，并广泛征集数据销毁软件产

品厂商及用户单位意见，对新的销毁场景、销毁技术、销毁需求等进行

了充分的调研，保证安全功能可落地实现，且体现产品的发展方向。

3.自身安全要求和安全保障要求以GB42250为通用基础要求，在GB42250

基础上，结合产品自身特点增加其他的自身安全要求条款。

4.安全保障要求以GB42250为通用基础要求,在GB42250基础上增加

GB/T18336中要求的安全保障条款。“

5.测试评价方法广泛征集产品检测、认证机构意见，并在征求意见过程中

对标准的进行测试验证，保障测试方法就有可操作性。

6.针对产品互联互通方面，由于数据销毁软件产品主要是对数据进行销毁，

销毁后不涉及互联互通。因此，本标准中未提出产品互联互通方面的要

求。

2.6标准主要内容

1)标准结构

本标准的编写格式和方法依照GB/T1.1—2020标准化工作导则第一部分：

标准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围

2.规范性引用文件

3.术语和定义

4.缩略语

5.概述

6.安全技术要求

6

7.测试评价方法

8.附录A（资料性）数据销毁软件产品安全技术要求等级划分和对应测试

评价方法

2)范围、规范性引用文件、术语和定义和缩略语

该部分定义了本标准适应的范围，所引用的其它标准情况及以何种方式引用，

术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“存储介质”、“数据销毁”、“数据擦除”、“数据销毁软件产

品”、“数据覆写”、“擦除指令”、“指令擦除”、“数据删除”、“检索擦除”、“加密

擦除”、“可见扇区”、“隐藏扇区”、“主机保护区域”、“设备配置覆盖”、“元数据”、

“临时文件”、“上网痕迹”、“文件间隙”、“擦除校验”等重要概念。

缩略语部分主要列出本标准中用的缩略语全称及中文解释。

3)概述

该部分首先明确对数据销毁软件产品是一类产品，并对各类产品进行了介绍；

然后介绍了技术要求中安全功能要求、自身安全保护要求和安全保障要求的主要

内容；最后对产品级别的划分做出说明。

数据销毁软件产品是一种用于数据擦除的工具，它用于确保被清除的数据无

法被当前较为先进的实验室工具和技术恢复，且存储介质仍能被重复使用。数据

销毁软件产品保护的资产是用户不再需要但仍然敏感的数据，这些数据对用户而

言虽然不再具有价值，但是一旦被非授权用户得到，依然会对用户的信息安全造

成影响。

根据数据存储介质的原理和特点，存储介质可分为光学存储介质、磁性存储

介质、闪存存储介质等。其中，光学存储介质主要包括CD、DVD等；磁性存储介

质主要包括硬盘驱动器、软盘、磁带等；闪存存储介质主要包括固态硬盘、U盘、

SD卡、CF卡、eMMC等。存储介质种类繁多，且存储介质不同，数据销毁的方法

也不同。比如CD、DVD主要采用物理手段进行数据销毁，闪存存储介质无法保证

部分擦除功能的有效性，因此数据销毁软件产品应根据存储介质类型提供合适的

数据擦除方法。

此外，不同场景下数据擦除的要求和产品的部署方式也各不相同。数据擦除

场景包括全部数据擦除场景、部分数据擦除场景、存储系统场景、移动智能终端

7

场景、云计算场景等；产品部署方式则是与被擦除数据所在的存储介质分开部署，

或部署在被擦除数据所在的存储介质上。

4)技术要求

安全功能要求是对数据销毁软件产品应具备的安全功能提出具体要求，包括

数据擦除场景选择、擦除方法、擦除校验、擦除执行条件、擦除任务管理、擦除

提示、擦除报告、安全审计等；数据擦除场景选择包括全部数据擦除场景、部分

数据擦除场景、存储系统场景、移动智能终端场景、云计算场景，存储系统场景

又分为存储阵列和分布式存储，而存储阵列和分布式存储又分别包括块存储、文

件存储和对象存储。需要注意的是，一款产品在进行数据擦除场景选择时可选择

支持一种或多种。自身安全要求是对数据销毁软件产品的自身安全保护提出具体

要求，包括标识和鉴别、用户分级、自身安全审计、稳定性和容错性。安全保障

要求针对数据销毁软件产品的开发和使用文档的内容提出具体的要求，例如供应

链安全、设计与开发、生产和交付、运维服务保障、用户信息保护等。

5)测试评价方法

测试评价方法对测试环境与工具，以及技术要求的测评方法、预期结果和判

定方法进行了说明。

6)等级划分

对数据销毁软件产品基本级、增强级的划分做出了说明。

7)附录A（规范性）数据销毁软件产品安全技术要求等级划分和对应测试

评价方法

附录A为规范性附录，列出了数据销毁软件产品安全技术要求等级划分及对

应的测试评价方法。

2.7新旧标准内容对比

制定标准，不涉及。

三、主要试验[或验证]情况分析

3.1试验验证的分析、综述报告

本标准应用验证工作计划在征求意见稿阶段实施。

3.2技术经济论证

本标准的实施将有助于为国内相关研发厂商、产品使用单位和检验检测机构

的测评工作提供支持，确保要求、方法的一致性，提高检测的准确性、规范性、

8

公平性，产品的合规性，以及数据的保护能力，从而降低第三方测评机构的测评

开销和企业自身的合规投入。

3.3预期的经济效益、社会效益和生态效益

根据中共中央、国务院印发的《国家标准化发展纲要》中的要求，强化标准

实施应用。为此，本项目将遵循国家“完善认证认可、检验检测、政府采购、招

投标等活动中应用先进标准机制，推进以标准为依据开展宏观调控、产业推进、

行业管理、市场准入和质量监管”的思路，结合牵头单位和参与单位的优势，开

展标准的实施应用。

随着数据保护和隐私安全的日益重要，数据销毁软件产品的市场需求将不断

增长。制定标准将促进产品的规范化和标准化，从而满足市场的广泛需求，带动

相关产业链的发展。通过制定统一的标准，可以减少生产过程中的不确定性和重

复劳动，降低生产成本。同时，标准化产品将提高生产效率，减少资源浪费，进

一步提升经济效益。

数据销毁软件产品的广泛应用将有助于提高数据安全和隐私保护水平，减少

因数据泄露和滥用导致的社会问题。这将对个人、企业和社会产生积极影响，提

升社会信任度和安全感。数据销毁软件产品的标准化将推动信息技术的发展和创

新，促进新技术、新产品的不断涌现，这将有助于提升国家的科技实力和国际竞

争力。

通过制定数据销毁软件产品标准，可以促进资源的合理利用和节约，减少生

产过程中的能源消耗和环境污染，这将对环境保护和可持续发展产生积极影响。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。

五、产业化情况、推广应用论证和预期达到的经济效果

随着数据安全意识的提高、数据隐私法规的日趋严格（如欧盟的GDPR、中

国的个人信息保护法等），以及企业对敏感信息保护的需求增加，数据销毁软件

产品的市场需求持续增长。特别是在金融、医疗、政府、国防等行业，以及涉及

知识产权、商业秘密和个人隐私的领域，对数据销毁软件的依赖性尤为显著。市

场上已经涌现出众多专业的数据销毁软件产品，如Blancco、Eraser、KillDisk、

Certus16等，涵盖桌面端、移动端以及企业级解决方案，满足不同规模、不同

9

行业用户的需求。这些产品通常支持多种数据销毁标准（如DoD5220.22-M、

Gutmann等），具备对硬盘、固态硬盘、移动存储设备等多种存储介质的数据擦

除功能。数据销毁软件产品不断进行技术革新，如引入远程销毁、自动化销毁流

程、销毁过程审计等功能，以适应数字化转型趋势和云环境下的数据销毁需求。

数据销毁软件产品的产业化发展势头良好，其推广应用不仅能帮助企业满足法规

要求、保障信息安全，还有助于优化内部流程、降低成本、促进资源再利用，从

而带来显著的经济效益。随着数字化进程加速和数据保护需求持续增长，预计未

来数据销毁软件市场将持续扩大，其经济效果将进一步显现。

六、采用国际标准和国外先进标准情况

美国国防部在1995年制定的国家工业安全计划操作手册（NISPOMDOD

5220.22-M）中提供了数据清除