正規公司通常有嚴格的合規監管。越來越多的國家、地區和州法規規定了敏感信息的安全處理和處置。然而,它們很少涵蓋安全固態硬盤(固態磁盤)擦除。
為了解決安全數據處理的這一部分,本文提出了兩個問題:“您ITAD供應商的固態硬盤擦除過程真的安全嗎?”和“你為什麼要關心這個過程?”
為什麼我應該關心安全固態硬盤擦除過程?
固態硬盤的價格已經趨穩,最近的市場趨勢顯示,這類硬盤在全球企業公司中廣泛使用。固態硬盤可以用在個人電腦、筆記本電腦、服務器(各種形式,如PCIe卡等)以及混合或全閃存陣列。需要快速處理的數據庫系統也更多地依賴底層固態硬盤來替換或擴展速度較慢的機械硬盤系統。
另一方面,許多監管嚴格的公司正處於技術範式的轉變之中。大多數公司都在轉變他們的數據存儲和運營方法,將敏感信息系統轉移到雲中。這使得他們的信息技術團隊面臨淘汰內部存儲設備的問題,包括那些使用固態硬盤的設備。
許多IT或IT系統團隊相信他們的IT資產處置(ITAD)供應商會為他們完成這種涉密、報廢磁盤的清理和處置。不幸的是,許多ITAD服務提供商並不清楚各種方法在安全擦除固態硬盤方面的效果。
ITAD供應商的固態硬盤擦除流程是否真正安全?
仔細觀察一下ITAD用於固態硬盤的數據擦除過程是否真正安全。不幸的是,在太多的情況下,答案是“不”。
許多ITAD供應商按照常見的行業慣例來清除或擦除數據。這些實踐基於傳統的硬盤驅動器系統。然而,由於固態硬盤技術與硬盤技術差異很大,大多數傳統硬盤擦除和磁盤擦除方法對固態硬盤無效。清除固態硬盤的各種無效方法如下:
1、粉碎。固態硬盤通常採用小型芯片組的形式,而大多數ITAD供應商的磁盤粉碎設備並不是為了將固態硬盤芯片粉碎成足夠小的碎片,使其內容不可恢復而設計的。在這種情況下,一種尺寸並不適合所有硬盤:傳統硬盤粉碎在固態硬盤上使用時會留下大量可用的數據。
2、消磁。固態硬盤不像硬盤那樣使用磁場。因為消磁依賴於減少或消除部分磁場來破壞數據的過程,所以這個過程對固態硬盤無效。
3、使用重複數據覆蓋模式。固態硬盤技術可以壓縮或消除這種類型的“零填充”(或重複位數據),這樣就不會完全寫入固態硬盤的物理層。
4、加密。一些信息技術團隊可能認為加密設備,然後丟棄加密密鑰,就足以保護固態硬盤的生命週期。然而,許多支持驅動器級加密的固態硬盤系統往往將相關密鑰直接包含在設備本身上。即使密鑰模糊不清,數據仍會保留在設備上。只要底層數據仍然存在,就有在未來某個時刻被解密的風險。
5、內置刪除功能。信息技術團隊認為,如果他們使用固態硬盤製造商的內置刪除實用程序、固態硬盤命令集和專有算法進行刪除,將解決任何問題。不幸的是,這些固態硬盤製造商的做法往往會留下可恢復的數據。近年來,加州大學聖地亞哥分校(UCSD)和北愛荷華大學的大學教授都發現了這種製造商內部方法的問題。在UCSD,研究人員發現某些固態硬盤系統出現了誤報。研究中,固態硬盤設備表明它已經執行了固態硬盤數據的安全刪除,但底層數據仍然存在。對於那些監管嚴格的公司來說,固態硬盤供應商專有算法也是令人擔憂的。
即使是NIST制定的標準普爾800-88Rev. 1 ,“介質清理指南”也提請注意固態硬盤清理 “實施中的變化”,需要對所使用的任何安全刪除方法進行額外驗證(請參見我們的NIST快速入門指南)。
如何避免固態硬盤擦除中的誤報?
隨著固態硬盤市場的成熟,新標準最終將有助於完善或糾正許多問題,包括固態硬盤的安全擦除問題。但是,在產品多次迭代的固態硬盤市場中,製造商(和供應商算法)之間的差異仍然存在。
那麼,銀行或其ITAD供應商應該做些什麼?
尋求外部第三方軟件供應商來為您完成大部分繁重的工作。
1、尋找擁有自己的“超級算法”的供應商,這些算法支持所有的固態硬盤安全協議,包括所有供應商的品牌和型號。這種超級算法能夠識別並克服供應商特定擦除實現中的差異或弱點。
2、您還應該尋找能夠擦除設備邏輯層和物理層固態硬盤數據的獨立軟件。這包括固件級擦除。還應包括通過多次隨機覆蓋來補償壓縮的能力,以確保數據寫入固態硬盤的全部邏輯容量。此類軟件還要能夠覆蓋阻止使用內部SSD擦除命令的 BIOS 鎖。(正確使用這些命令對於實現NIST級擦除是必要的。)
3、最後,尋找能夠執行自己的詳細驗證、審計跟蹤和報告的軟件,以確保固態硬盤的內容被真正擦除。
軟件供應商應該通過數據取證或恢復組織 (如資產處置和信息安全聯盟)的獨立測試來證明他們成功的擦除過程。可以選擇淼一科技。淼一的軟件擦除工具涵蓋所有常見固態硬盤接口,擦除過程安全可控,可避免出現數據洩露的風險。
