以國家級標準銷毀儲存媒體數據

低階格式化、泡水、焚燒、消磁、敲擊使碟片變形等等，是坊間流傳的種種如何徹底銷毀儲存媒體數據的方法，但對企業來說，這些方法的適用性可能大有問題。

一來許多方法的有效性並無法得到確認，而且缺乏明確的操作標準來指引使用者，如依據怎樣的程序執行、執行到怎樣的程度，才能達到銷毀數據的效果；二來大多數儲存媒體（特別是硬碟）在設計上都已考慮防護撞擊、變形與屏蔽外部磁力影響的問題，要透過物理破壞來銷毀數據，實際執行也不容易。

為了實現更有效、執行上也更明確可行的數據銷毀工作，參考各國官方認可的數據銷毀程序與規範，並導入遵循規範的產品，將是更適合企業環境的作法。

在數據銷毀這個領域，美國國防部的DOD 5220.22-M標準或許是最廣為人知，也是應用最廣的一套規範。

認識美國國防部DOD 5220.22-M標準

許多人都把DOD 5220.22-M直接當作數據清除與銷毀的標準，事實上這種看法有所誤解。DOD 5220.22-M是美國國防部在「國家工業安全計劃（National Industrial Security Program）」下，所制定的「國家工業安全計劃操作手冊（National Industrial Security Program Operating Manual，NISPOM）」。

NISPOM這份手冊涵蓋的範圍很廣，數據清除與銷毀只佔舊版手冊（95年1月發布，97年7月修正）第8章第3節的一部分，其中提供了一個清除與銷毀數據方法的參考矩陣表。而最新版（2006年2月發布）NISPOM中，資料清除與銷毀更只剩兩小段，清除與銷毀數據的方法矩陣表也被刪除，改由國防部所屬國防保安處（Defense Security Service，DSS）提供數據清除與銷毀方法參考矩陣表（Clearing and Sanitization Matrix，C&SM）。

儘管現在的新版DOD 5220.22-M已不再提供任何具體的數據清除與銷毀方法，但舊版手冊的方法仍有參考價值。其中定義了兩種清除數據需求：

● 清除（Clearing）：在重新使用媒體之前，徹底刪除媒體中數據的程序，且在清除媒體中數據之前，作業環境可提供可接受的保護等級。舉例來說，所有內部存儲器、緩衝區或其他可重複使用的內存，都必須執行清除，以有效杜絕讀取先前儲存的數據。

● 銷毀（Sanitization）：在重新使用媒體之前，徹底刪除媒體中數據的程序，且在銷毀媒體中數據之前，作業環境無法提供可接受的保護等級。例如，當信息系統資源從保密信息管制下釋出、或釋出到較低的保密層級使用前，都必須執行數據銷毀。

執行數據清除或銷毀的方法

無論舊版DOD 5220.22-M或後來的DSS C&SM，均分別針對磁帶、磁碟、光碟、內存等四種類型的儲存媒體，以及同樣會暫存數據的印表機，提出了17種刪除數據的方式。而這些方式中，有15種適用於儲存媒體，又可分為消磁、覆寫、紫外線刪除與物理摧毀等基本方式。

適用的儲存媒體類型

四種儲存媒體包括：

● 磁帶：分為Type I、II、III等3類，Type I指磁化記錄時的磁場強度為350厄斯特（oersted，磁場強度單位，縮寫為Oe）以下，Type II介於351與750Oe之間，Type III則大於750Oe。

由於DOD 5220.22-M這張參考表制定的時間相當早（距今已超過10年），因此前述磁帶磁化磁場強度標準已與當前的產品有相當落差，如目前最普遍使用的LTO-3、4磁帶，磁場強度便分別高達2600與2710Oe。

● 磁碟：包括Bernoulli式磁碟、軟盤、不可移動的硬碟與可移動的硬碟等4種類型。

● 光碟：包括可多次讀寫、只讀與一次寫入多次讀取（WORM）等3種。

● 內存：包括動態隨機存取內存（DRAM）、靜態隨機存取內存（SRAM）、只讀存儲器（ROM）、可程序化只讀存儲器（PROM）、可程序化可抹除只讀存儲器（EPROM）、快閃EPROM（Flash EPROM）、電子可變只讀存儲器（EAPROM）、電子可抹除只讀存儲器（EEPROM）、非揮發性RAM（NOVRAM），還有古老的磁芯、磁泡、磁阻與鍍磁線等13種內存。

而針對前述四類儲存媒體，分別有以下幾種徹底刪除數據的方法：

● 消磁：可適用於磁帶與磁碟，分為Type I與Type II兩種層次的消磁，對應於Type I、II兩種類型的磁帶。

使用消磁要特別注意二件事，首先某些磁帶與抽取式硬碟（如LTO磁帶與Zip碟片）內含有出廠時預錄的訊息，若強制執行消磁而使這些訊息消失，這些媒體將無法再被重複使用。其次是美國國防部的Type I/II消磁標準已太過老舊，要對當前的磁帶實施消磁，最少也得使用消磁能力2500～3000Oe的消磁機；若要消磁硬碟，則需要的消磁能力將達到4000～5000 Oe以上。

● 覆寫：包括幾種不同方法，如把所有儲存尋址位置都填入單一字符；所有尋址位置都填入單一字符後，再隨機填入字符；以隨機方式覆寫所有尋址位置，所有位置都填入二進位0值、所有位置都填入二進位1值；或事先透過製造商提供的工具刪除晶片中數據，然後把所有尋址位置都填入單一字符，然後重複三次等等。

● 紫外線照射刪除與移除電源

紫外線照射刪除適用於EPROM，移除包括電池在內的所有電源則適用於DRAM、NOVRAM與SRAM。

● 物理摧毀：包括使儲存媒體破裂、焚化、徹底粉碎、切成條狀與融化等方式。除了手動摧毀外，目前已有廠商推出可將硬碟碟片穿刺、打洞的自動化設備。

符合規範要求的數據銷毀產品

美國國防部的數據清除與銷毀方法參考矩陣提出了一些徹底銷毀數據的方式，不過要特別注意的是，從2007年11月起，覆寫已不再被美國國防部列為可接受的資料「銷毀」手段（但仍可用於「清除」），因此要銷毀磁性儲存媒體中的數據，合乎規範的可用方法只剩消磁與物理摧毀。

考慮到物理摧毀的程序十分麻煩且耗時，實際環境中顯然是以消磁較為方便。目前已有許多廠商推出適用的消磁設備產品，我們也在附表下方，簡單討論了挑選消磁機規格該注意的事項。

消磁機的選購要點

選購消磁機時，必須考慮的產品規格要素有幾點：

● 要進行數據清除或銷毀的儲存媒體磁場強度。針對高磁場強度的媒體，必須選擇更強力的消磁機。

● 需執行數據清除或銷毀的儲存媒體數量，如果數量不多，可選購手動式的桌上型單卷或多卷裝消磁機；如果每月都要銷毀上百臺硬碟或磁帶中的數據，則需選擇自動化、有輸送帶設備的大型消磁機。

● 確認是否有遵循官方認證的需求。目前臺灣尚未對IT系統的數據銷毀制定具體規範，但若企業為美國或其他西方政府機構的合約商、或業務上牽涉到必須遵循某些美國數據安全管理法令，則需使用通過特定認證許可的消磁機機型。

未經允許不得轉載：DOIT » 以國家級標準銷毀儲存媒體數據