物理销毁数据存储 – 需考虑的事项

最近，David Spark（CISOseries.com，Twitter: @dspark，LinkedIn）在为某篇文章工作时，邀请我就物理数据销毁提供一些见解。以下是我对此主题的完整思考：

考虑数据销毁时的初始步骤基本上与数据保护的第一步相同：花时间了解您正在处理的数据类型。数据分类策略将决定该数据必须如何处理的某些方面。它是您产品的专有源代码吗？员工的笔记本电脑？包含个人身份信息（PII）的工资服务器硬盘？网站备份？客户数据？还是现场间谍的绝密列表？更敏感的数据需要采取更多措施来确保数据无法恢复。而数据无法恢复正是数据销毁的目标。可以应用风险管理技术来确定数据未被恢复的关键性、如果被恢复的威胁，以及组织可能面临的损失。

数据销毁的策略和程序必须考虑法律和财务数据的保留要求和保留期限。存储的数据是否需要转移到其他地方存储，以及存储多久？如果您将数据从本地服务器迁移到云端，则需要回答更多问题：新位置是否遵循基于位置的限制？新位置是否满足与旧位置相同的标准并遵守相同的法律（例如 HIPAA、GDPR、CCPA 等）？在移动任何数据到新位置之前，需要考虑数据治理。

许多关于物理数据销毁（例如硬盘或 RAM）的担忧涉及对供应链的依赖。这可能涉及运输或转移到另一个设施。远程工作者在雇佣终止时可能会将笔记本电脑寄回组织（或者可能不会）。有些服务会上门收取您的资产，并将其带到销毁地点。销毁的验证将基于某种形式的信任。资产的保管链是此过程的关键部分。如果可能，在将资产送离现场销毁之前，应使用软件清理。即使硬盘已加密，其存储的数据可能并未加密。如果存储介质功能正常，在物理粉碎之前，删除并覆盖（根据需要多次）介质上存储的任何数据非常重要。

组织可能考虑在内部和现场处理资产的物理销毁。如果组织有多个地点，这可能意味着为每个地点购买消磁设备（如果适用）和/或粉碎机。这可能并不理想，原因有几个。首先，这些机器可能非常昂贵。其次，正确进行数据销毁可能很棘手。第三，可能需要多种清理和销毁方法，并且可能因制造商和/或资产类型而异。处置资产导致数据暴露的风险可能超过将资产交给信誉良好、专注于资产销毁且流程完全透明和可审计的专业服务提供商的风险。

粉碎并非在所有情况下都提供最佳的安全级别，也并非总是必要的，特别是如果资产可以重复使用，这使得软件清理可能更具成本效益。固态硬盘（SSD）无法消磁，已擦除或删除的文件仍有一定机会被恢复。如果您计划重复使用 SSD，您应该了解清理基于闪存的介质可能会缩短其寿命。

虽然我曾看到声称半英寸或 2 毫米的碎片足以使 SSD“销毁”，但 NIST 800-88v1 警告说，除非“使用最先进的实验室技术检索目标数据不可行”，否则设备“不被视为已销毁”。实现这一目标的方法似乎极端，但它们是：“分解、粉碎、熔化和焚烧。这些清理方法通常在外包金属销毁或许可焚烧设施进行，这些设施具有有效、安全且可靠执行这些活动的特定能力。” 这些方法将比在内部做一些事情并称之为完成更昂贵，但如果数据被归类为足够高的级别，NIST 方法可能是完全减轻潜在数据恢复风险的唯一方式。

最终，数据销毁是关于最小化风险，因此数据的敏感性将决定需要多少努力和预算来将该风险降低到组织可接受的水平。对于某些资产，软件清理和粉碎的组合可能是合适的。NIST 方法可能适用于其他资产。您的流程应考虑这些因素，并为不同类型的介质（SSD 与 HDD）、不同的数据分类以及可能不同的客户或合同需求制定多个支持程序。