数据销毁:
计算机或设备在弃置、转售或捐赠前必须将其所有数据彻底删除,并无法复原,以免造成信息泄露,尤其是国家涉密
数据。
总述
有许多政府机关、民营企业,受限于法律规范,必须确保许多数据的机密。他们都可以用不同方式达到数据销毁的目的,也各自忍受其可承受的最高风险。
销毁方式
下列几种政府或企业采用的数据销毁方式,不见得最完美,却也是企业、机关在衡量所采用方式的时间、金钱以及效益上的最大公约数。
方法一:覆写法
由于磁带是可以重复使用的,当前面的数据被后面一笔数据覆写过去时,就算可以透过软件进行数据还原,随着被覆写次数的增多,非结构性数据被复原,需要解读的时间也越久,企业就可以评估数据被复原的风险是否能够承担。其中,低程度的就是将磁带或磁盘完全覆写;高程度则需符合美国国防部DoD 5220-22-M 保安认证程序,结合数种清除与覆写程序,让硬盘每一个空间都被重复清除与覆写。
方法二:消磁法
磁盘或是磁带等储存媒体,都是磁性技术,若能破坏其磁性结构,既有的数据便不复存在。行政院研考会档案管理局在意销毁数据是否彻底,该单位简任视察李延禧表示,档案管理局汰旧的储存媒体中的档案数据,或者是依法必须销毁的数据等,不论是磁盘或磁带,首先,都是先进行消磁的动作,让储存于媒体上的资料,能做到完全消失。一般企业可以购买小型消磁机做单卷消磁,但消磁机磁波高,大量消磁委托专门公司较迅速安全。
方法三:捣碎法/剪碎法
破坏实体的储存媒体,让数据无法被系统读出,也是确保数据机密性与安全性的方法之一。法务部信息处长陈泉锡指出,法务部多数数据为前案、前科纪录的数据,属于永久保存的档案,比较容易遇到在系统转移时的数据销毁,除了进行
磁盘、磁带的低阶格式化外,更采用实体捣碎的方式,让数据储存媒体残骸,无法被有心人士利用。另外,某电信公司也同样将储存数据的光盘片,进行大型机器捣碎、绞碎的动作。
虽然有人质疑用这种数据销毁方式并不安全,采用此种数据销毁方式的企业,衡量能承担的最大风险外,搭配焚毁法有加分的效益。
方法四:焚毁法
几乎每一个需要汰换的储存媒体最终都会面临,藉由焚毁让数据真正化为灰烬,永久不复存在。电信公司的储存媒体藉由焚毁,达到数据保密的目的;台湾人寿也用焚毁,让重复使用、必须汰换的磁带寿终正寝,其计算机中心协理张庆童表示,这个过程中,信息主管被要求,必须亲临现场监督旧数据焚毁状况与进度,落实数据保全的最后一步。
有心人士若从弃置储存媒体取得数据,对企业都是风险。引进合乎企业最大效益的数据销毁方式,对多数企业的IT人员,是必须慎重面对的。
如果有一款“可信的消磁机”,且价格低廉,对IT管理人员多好啊。 据说消磁机在欧美应用广泛,不知国内的上海、北京等城市的涉密单位在用吗?
相关法规
从法规来看,当数据被加密且无法读取时,数据就算是被销毁了。HIPAA中就规定如果以电子版的形式存储患者病历,需要保证只有特定人员能够浏览病历。底线是如果你将患者病历存储到一台计算机里,将计算机扔掉来保证数据销毁。驱动中数据需要被抹去而不仅仅是删除掉,数据需要被销毁。不是法规对数据销毁有多少监管要求,而是全面理解法规解释的唯一方法就是采用数据销毁技术。