英国NCSC：安全清理并处置存储介质

如何确保数据无法从电子存储介质中恢复。

本指南适用于需要确保电子存储介质上保存的数据在离开组织控制后不会被未经授权的人士读取的组织。

它将帮助组织保护数据，防止普通用户使用市售数据恢复工具或使用取证服务读取数据。这是基于政府安全分类政策威胁模型中描述的官方数据保护措施。

注意：本指南不会保护数据不被技术熟练、资金充足的实验室读取。

• 如果媒体存储了HMG安全等级为 SECRET 或以上的数据，则应遵循单独的指导，该指导可从正常NCSC联系点 (PoC) 处获取。
• 用于存储官方数据的介质不应重新用于存储机密或更高级别的数据，即使已经遵循了净化过程。

什么是电子存储介质？

本指南将电子存储介质 (ESM) 定义为“需要电力来读取和写入的数据存储”。这包括以下介质：

• 硬盘驱动器 (HDD)
• 固态硬盘 (SSD)
• 存储芯片（如SRAM、DRAM）
• 基于闪存的介质（例如USB驱动器和SD/microSD 卡）
• 磁性介质（例如磁带和软盘）
• 光学媒体（如CD、DVD和蓝光）

现在几乎每件电子产品都包含某种形式的 ESM。非智能设备可能只有少量内存，因为它会缓冲通过它的数据，而笔记本电脑或服务器可能包含数 TB 的数据。 

所有连接的设备、所有计算机和智能手机、物联网 (IoT) 设备、路由器和交换机、许多外围设备（如显示器、记忆棒和记忆卡）无论是在网络中还是在工业控制系统中都将包含 ESM。 

识别绝对不包含 ESM 的电子设备或识别设备包含哪种类型的 ESM并不容易。甚至有从退役的复印机和打印机中检索出几 GB 的敏感文件的例子。原因如下：

• 本指南以同样的方式对待所有类型的ESM  
• 任何你认为可能包含ESM的设备都应该被清理

不太可能包含任何ESM的电子设备类型可能包括电源装置和变压器、风扇、简易耳机、鼠标和天线。在出售或处理这些物品之前，请撕掉所有表明设备所有权的标签或标记。 

什么是清理？

清理是处理存储介质上保存的数据以降低检索和重建可能性的过程。任何存储了对您的业务敏感的数据的介质都应在设备离开组织控制之前进行清理。仅仅按下“删除”键是不够的。

某些形式的清理将允许您重新使用介质，而其他形式的清理则具有破坏性并会导致介质无法使用。 

何时对媒体进行净化 

在许多情况下需要清理存储介质： 

• 重复使用：如果想将设备分配给不同的用户，或者在组织内重新利用设备。 
• 出售：可能想要出售（或捐赠）不再满足组织需求的设备。
• 维修：可能需要将有故障的设备退回给供应商进行维修或更换。 
• 处置：可能希望清理组织不再需要的媒体，特别是当您对提供清理服务的第三方缺乏信心时。 

不清理的风险

如果介质未经过清理，敏感数据可能会残留其中。如果介质丢失或被盗，可能会给您的企业带来以下问题：

• 关键数据可能被对手或竞争对手恢复和使用
• 关于您的客户或员工的私人或个人数据可能被用于实施欺诈或身份盗窃
• 你的知识产权可能会被收回并公开发布，导致声誉和收入损失
• 个人信息可能泄露，违反 GDPR

清理前

在所有情况下，包含敏感数据的媒体都将处于其正常运行环境之外，因此会受到来自不同用户组、第三方或不太受信任的组织和个人的更大风险。为了确定最佳方法，需要：

了解数据、数据价值以及它对组织外部的潜在价值。NCSC的资产管理指南可以帮助您做到这一点。

了解哪些资产包含（或应该假定包含）ESM，以及哪些资产处理了对您的组织有价值的数据。 

记录ESM的生命周期（即它用于存储什么、在哪里存储以及存储多长时间）。

制定再利用和处置政策，让企业中的每个人都了解关键角色。我们在本文档末尾 附上了一份示例政策。

在做出购买决定时，请确保您了解最终的清理要求。

确保您手头有制造商的文档，以便在需要时知道如何净化媒体。

准备ESM以供重复使用

当准备重新部署设备时（或退回设备进行维修或更换，或出售设备时），所需的程序将取决于加密的存在。    

对于具有加密功能的设备 

对于具有加密选项的设备（例如 Windows 上的 BitLocker 和 macOS 上的 FileVault），制造商通常会提供“恢复出厂设置”功能，删除加密密钥，使数据无法读取。完成此操作后，设备可以重新使用或发布到组织外部（即出售或捐赠），对敏感数据的风险最小。 

所有设备的操作方式都不同，因此使用这些重置程序无法保证所有用户数据都无法读取。但是对于大多数设备而言，“恢复出厂设置”将提供令人满意的保证。请参阅制造商的支持网站以获取有关如何执行此操作的详细说明。请注意，NCSC 还提供了有关从智能手机、平板电脑、笔记本电脑和台式电脑中安全删除数据或恶意软件的单独指南。 

对于没有加密的设备 

• 对于不使用加密的设备，应遵循以下步骤。可以使用商业工具来执行和验证多种类型的 ESM 的覆盖（以及检查元数据）。对于包含多种类型的 ESM 的设备（例如混合驱动器或笔记本电脑），遵循这些步骤尤为重要。

• 使用固定数据值（例如全零）覆盖整个用户可访问的内存空间。在某些情况下，制造商可能会提供说明或工具来帮助完成此操作（例如ATA或 NVMe Sanitize 命令）。

• 检查设备元数据以获取有关重新映射和坏扇区的信息。如果此信息显示已进行重新映射或存在坏扇区，则数据可能仍留在设备上。

• 完全关闭设备电源至少15分钟。这包括在可行的情况下取出所有电池。如果无法取出电池，则数据可能仍留在设备上。

• 应读回用户可访问内存的所有内容，以验证它们确实包含第一步写入的固定值。如果验证失败，则数据可能仍留在设备上。

对于可能残留数据的设备

如果无法完成上述步骤，或者没有制造商提供的重置，则可能无法访问设备中的所有内存空间。这意味着存在一个剩余风险，即技术熟练、资金充足的数据恢复实验室可以恢复设备上的任何数据。在许多情况下，这可能不是一个问题，但风险所有者需要对此感到满意。 

当数据需要高于官方级别的保护时，数据所有者可以选择实施额外的保护，例如不允许在可能丢失个人数据（或其他特别敏感数据）的环境中重复使用。 

处置 ESM

对于大多数设备和环境，在处置 ESM 之前，重复使用步骤也将提供足够的清理。但是，这些步骤可能还不够： 

• 数据可能保留在设备上的位置（参见上文）  
• 如果设备存储了更敏感的数据（例如个人身份信息，或已应用额外处理警告的数据）  
• 如果由于其他原因而存在较高的风险

在这种情况下，应移除访问数据的手段。这可以通过将介质物理破坏成6毫米或更小的颗粒来实现。重要的是，在破坏后验证产生的颗粒大小。请注意，在这些情况下，在破坏之前仍应擦除数据（以与上述重复使用步骤相同的方式） 。

市面上出售的粉碎机和研磨机可以销毁介质，也有商业清理和销毁服务提供商。NCSC为希望向中央政府 (HMG) 客户提供清理服务的公司提供清理保证 (CAS-S)计划。

消磁也可用于对磁性介质进行清理，但用户必须了解消磁器的特定强度，因此必须检查消磁器是否具有足够的能力从设备中删除所有数据。例如，并非所有消磁器都适用于所有硬盘驱动器技术。 

有关安全销毁的更多信息，请参阅国家保护安全局 (NPSA) 指南。 

样品再利用及处置政策

可以根据以下考虑来制定有关存储介质处置的政策： 

• 是否了解，如果设备在重新使用或处置之前没有进行适当的清理，会给组织带来哪些风险？ 
• 某些设备的捐赠或转售是否存在政策限制？ 
• 是否考虑过遵守环境政策（例如WEEE）的义务？ 
• 在采购时，是否知道实际如何实现清理，以及其对全寿命成本的影响？
• 员工是否具备现场拆卸某些设备的技能，以尽量减少必须送去销毁而不是回收的废物量？ 
• 员工是否具备对某些类型的设备进行清理的技能？这是否比使用第三方销毁服务提供商更具成本效益？ 
• 是否有持有公认认证或按照公认标准（如CAS-S或ADISA 认证）的处置公司？
• 有多少物理存储空间来存储报废设备？存储的安全安排是什么？需要存储报废设备多长时间才能积累到经济上可行的数量？ 
• 是否有任何数据被第三方持有，例如在云端？应始终寻求这些第三方的保证，确保在合同到期后（即直到数据残余最终被覆盖或ESM被处置），数据将继续受到充分保护，免受未经授权用户的侵害。