ITAD供应商没有告诉你的事

正规公司通常有严格的合规监管。越来越多的国家、地区和州法规规定了敏感信息的安全处理和处置。然而,它们很少涵盖安全固态硬盘(固态磁盘)擦除。

为了解决安全数据处理的这一部分,本文提出了两个问题:“您ITAD供应商的固态硬盘擦除过程真的安全吗?”和“你为什么要关心这个过程?”

为什么我应该关心安全固态硬盘擦除过程?

固态硬盘的价格已经趋稳,最近的市场趋势显示,这类硬盘在全球企业公司中广泛使用。固态硬盘可以用在个人电脑、笔记本电脑、服务器(各种形式,如PCIe卡等)以及混合或全闪存阵列。需要快速处理的数据库系统也更多地依赖底层固态硬盘来替换或扩展速度较慢的机械硬盘系统。

另一方面,许多监管严格的公司正处于技术范式的转变之中。大多数公司都在转变他们的数据存储和运营方法,将敏感信息系统转移到云中。这使得他们的信息技术团队面临淘汰内部存储设备的问题,包括那些使用固态硬盘的设备。

许多IT或IT系统团队相信他们的IT资产处置(ITAD)供应商会为他们完成这种涉密、报废磁盘的清理和处置。不幸的是,许多ITAD服务提供商并不清楚各种方法在安全擦除固态硬盘方面的效果。

ITAD供应商的固态硬盘擦除流程是否真正安全?

仔细观察一下ITAD用于固态硬盘的数据擦除过程是否真正安全。不幸的是,在太多的情况下,答案是“不”。

许多ITAD供应商按照常见的行业惯例来清除或擦除数据。这些实践基于传统的硬盘驱动器系统。然而,由于固态硬盘技术与硬盘技术差异很大,大多数传统硬盘擦除和磁盘擦除方法对固态硬盘无效。清除固态硬盘的各种无效方法如下:

1、粉碎。固态硬盘通常采用小型芯片组的形式,而大多数ITAD供应商的磁盘粉碎设备并不是为了将固态硬盘芯片粉碎成足够小的碎片,使其内容不可恢复而设计的。在这种情况下,一种尺寸并不适合所有硬盘:传统硬盘粉碎在固态硬盘上使用时会留下大量可用的数据。

2、消磁。固态硬盘不像硬盘那样使用磁场。因为消磁依赖于减少或消除部分磁场来破坏数据的过程,所以这个过程对固态硬盘无效。

3、使用重复数据覆盖模式。固态硬盘技术可以压缩或消除这种类型的“零填充”(或重复位数据),这样就不会完全写入固态硬盘的物理层。

4、加密。一些信息技术团队可能认为加密设备,然后丢弃加密密钥,就足以保护固态硬盘的生命周期。然而,许多支持驱动器级加密的固态硬盘系统往往将相关密钥直接包含在设备本身上。即使密钥模糊不清,数据仍会保留在设备上。只要底层数据仍然存在,就有在未来某个时刻被解密的风险。

5、内置删除功能。信息技术团队认为,如果他们使用固态硬盘制造商的内置删除实用程序、固态硬盘命令集和专有算法进行删除,将解决任何问题。不幸的是,这些固态硬盘制造商的做法往往会留下可恢复的数据。近年来,加州大学圣地亚哥分校(UCSD)和北爱荷华大学的大学教授都发现了这种制造商内部方法的问题。在UCSD,研究人员发现某些固态硬盘系统出现了误报。研究中,固态硬盘设备表明它已经执行了固态硬盘数据的安全删除,但底层数据仍然存在。对于那些监管严格的公司来说,固态硬盘供应商专有算法也是令人担忧的。

即使是NIST制定的标准普尔800-88Rev. 1 ,“介质清理指南”也提请注意固态硬盘清理 “实施中的变化”,需要对所使用的任何安全删除方法进行额外验证(请参见我们的NIST快速入门指南)。

如何避免固态硬盘擦除中的误报?

随着固态硬盘市场的成熟,新标准最终将有助于完善或纠正许多问题,包括固态硬盘的安全擦除问题。但是,在产品多次迭代的固态硬盘市场中,制造商(和供应商算法)之间的差异仍然存在。

那么,银行或其ITAD供应商应该做些什么?

寻求外部第三方软件供应商来为您完成大部分繁重的工作。

1、寻找拥有自己的“超级算法”的供应商,这些算法支持所有的固态硬盘安全协议,包括所有供应商的品牌和型号。这种超级算法能够识别并克服供应商特定擦除实现中的差异或弱点。

2、您还应该寻找能够擦除设备逻辑层和物理层固态硬盘数据的独立软件。这包括固件级擦除。还应包括通过多次随机覆盖来补偿压缩的能力,以确保数据写入固态硬盘的全部逻辑容量。此类软件还要能够覆盖阻止使用内部SSD擦除命令的 BIOS 锁。(正确使用这些命令对于实现NIST级擦除是必要的。)

3、最后,寻找能够执行自己的详细验证、审计跟踪和报告的软件,以确保固态硬盘的内容被真正擦除。

软件供应商应该通过数据取证或恢复组织 (如资产处置和信息安全联盟)的独立测试来证明他们成功的擦除过程。可以选择淼一科技。淼一的软件擦除工具涵盖所有常见固态硬盘接口,擦除过程安全可控,可避免出现数据泄露的风险。