你知道嗎？被刪除的電腦文件，其實可以被黑客“秒恢復”！

日常工作中，我們都有過刪除電腦文件的經(jīng)歷，但很多人似乎從未深究過，這些文件是否真的徹底刪干凈了。總覺得把它們一鍵送入“回收站”，然后再點擊一個“清空回收站”，就萬事大吉。

但事實并非如此，刪除的文件雖然已經(jīng)從回收站消失，但其實仍然存在于我們的電腦系統(tǒng)中，這些文件并沒有真正地消失，而是被移動到了其他地方。

要知道，在某些刪除的文件中，很可能包含大量的機密信息和敏感數(shù)據(jù)。如果這些數(shù)據(jù)處理不當，被黑客利用工具恢復并加以利用，很可能會給公司或個人帶來巨大損失。

根據(jù)此前Blancco與Ontrack聯(lián)合開展的《Privacy for Sale》研究發(fā)現(xiàn)，超過40%的二手硬盤含有以前用戶留下來的數(shù)據(jù)。這些遺留的數(shù)據(jù)包括辦公室和員工的大量電子郵件、照片和文件，這使用戶及雇主面臨隱私、財務和聲譽等受損的風險。此外，超過15%的硬盤含有敏感信息。那么如何確保文件真正消失，對我們來說至關重要。

刪除的文件到底去哪了？

事實上，當我們在電腦上刪除一個文件時，實際上只是將文件從文件系統(tǒng)中的目錄結構中移除，刪除的文件數(shù)據(jù)依然存留在電腦硬盤空間中。

簡單來說，就是數(shù)據(jù)仍在硬盤中。但在電腦上看，原來存放文件數(shù)據(jù)的空間被標識為空白的區(qū)域了，這個空白區(qū)域是可以隨時寫進新數(shù)據(jù)。換句話說，刪除文件也只是刪除了指向數(shù)據(jù)的指針信息，并沒有實際刪除數(shù)據(jù)本被刪除的文件仍然存在于硬盤中，只是變得不可見而已。

刪除命令只是將文件目錄項做了一個刪除標記，數(shù)據(jù)區(qū)并沒有仟何改變。由于刪除操作不能真正擦除磁盤數(shù)據(jù)區(qū)信息，一些數(shù)據(jù)恢復工具正是利用了這點，才能繞過文件分配表直接讀取數(shù)據(jù)區(qū)，繼而恢復被刪除的文件。

看到這里可能有人想問，如果一鍵刪除到回收站無法徹底銷毀數(shù)據(jù)，那格式化硬盤呢？事實上格式化僅僅是為操作系統(tǒng)創(chuàng)建一個全新的空文件索引，和清空回收站幾乎同理，操作后只是將所有扇區(qū)標記為“未使用”狀態(tài)，讓操作系統(tǒng)認為硬盤上沒有文件而已。多數(shù)情況下，格式化不會影響硬盤上的數(shù)據(jù)區(qū)。因此，采用數(shù)據(jù)恢復軟件工具也可以恢復格式化后硬盤中的數(shù)據(jù)。

綜合來看，由于信息載體的性質不同，與紙質文件相比，數(shù)據(jù)文件通常存儲在物理存儲介質(如U盤、磁帶、硬盤和光盤)等，其銷毀技術更為復雜，操作更為繁瑣。無論是重新格式化硬盤（尤其是采用快速格式化）、從活動環(huán)境中刪除文件，甚至將文件拖到回收站，信息依然存在。所有這些方法只是刪除了指向數(shù)據(jù)的指針信息，并沒有實際刪除數(shù)據(jù)本身。刪除文件時，采用經(jīng)過認證和驗證的有效數(shù)據(jù)清理方法至關重要。只有采取正確徹底的數(shù)據(jù)銷毀方法，才能達到完全脫密的目的。

數(shù)據(jù)銷毀不充分的嚴重后果讓人“不寒而栗”

在當今信息爆炸的時代，數(shù)據(jù)已經(jīng)成為企業(yè)最為寶貴的資產(chǎn)之一。隨著大數(shù)據(jù)、云計算以及物聯(lián)網(wǎng)等前沿科技的迅猛發(fā)展，企業(yè)所積累、儲存和處理的數(shù)據(jù)量正以前所未有的速度激增。

但數(shù)據(jù)所帶來的龐大價值也伴隨著前所未有的安全隱憂。諸如數(shù)據(jù)泄露、非法使用以及個人隱私侵權等問題頻頻出現(xiàn)，對企業(yè)的經(jīng)濟利益和品牌形象造成了嚴重影響。因此，數(shù)據(jù)銷毀作為整個數(shù)據(jù)生命周期管理中的關鍵環(huán)節(jié)，其對企業(yè)的重要性不言而喻。

如果企業(yè)在銷毀冗余數(shù)據(jù)時并未做到100%銷毀，那么企業(yè)不僅會有一種錯誤的安全感，還可能導致大量信息，比如電子郵件、機密文件及其他敏感信息泄露，這些信息一旦被黑客非法利用，極易給企業(yè)帶來高危安全風險。

據(jù)身份盜竊資源中心（Identity Theft Resource Centre）稱，除了入侵風險外，更嚴格的數(shù)據(jù)保護規(guī)則意味著企業(yè)絕不能在信息管理方面有所松懈，比如《個人信息保護法》（POPIA）和《通用數(shù)據(jù)保護條例》（GDPR）。POPIA和GDPR推動了同樣的存儲限制原則，該原則支持企業(yè)在個人數(shù)據(jù)不再需要時刪除這些數(shù)據(jù)。此外，數(shù)據(jù)存儲成本和存儲限制是許多公司面臨的重大挑戰(zhàn)。

而數(shù)據(jù)銷毀作為數(shù)據(jù)處理活動中的“終結”，若在該環(huán)節(jié)出現(xiàn)紕漏，導致數(shù)據(jù)泄露，不僅會損害個人信息權利主體的權益，還有可能造成企業(yè)商業(yè)秘密外泄，甚至有可能影響社會、國家的安全和發(fā)展。前述后果并非危言聳聽，數(shù)據(jù)泄密事件每年都在發(fā)生，除了惡意攻擊以外，很多情況下都是由于數(shù)據(jù)處理者在銷毀數(shù)據(jù)時并未妥當操作所致。

此前特斯拉就曾被報道其廢棄零件存在用戶數(shù)據(jù)泄露的隱患。特斯拉的媒體控制單元（MCU）存儲了用戶大量隱私數(shù)據(jù)，雖然特斯拉要求人工確認廢棄的媒體控制單元接口是否被徹底毀壞，但事實上該廢棄的媒體控制單元可被交易，且接口未被損壞的單元售價更高。而收了這樣媒體控制單元的黑客表示，根據(jù)上面遺留的用戶信息，能夠輕松獲取到用戶的電話號碼及私人地址。

企業(yè)因對辦公設備中的數(shù)據(jù)銷毀處理有所疏忽，而被他人非法獲取機密信息，從而以企業(yè)名義對用戶實施詐騙的情形并非個例。而且并非單單只有電腦內(nèi)的數(shù)據(jù)可能出現(xiàn)此類泄露事件，企業(yè)廢棄的路由器、打印機、碎紙機等等多種設備，都可能因為數(shù)據(jù)銷毀不徹底而導致出現(xiàn)安全事件。

此前，網(wǎng)絡安全公司ESET的研究人員在線購買了18臺二手核心路由器并對設備中保留的數(shù)據(jù)進行了測試，設備包括包括思科（ASA 5500）的4臺設備，F(xiàn)ortinet（Fortigate系列）的3臺設備和來自瞻博網(wǎng)絡（SRX系列服務網(wǎng)關）的11臺設備。測試后，研究人員Cameron Camp和Tony Anscombe發(fā)現(xiàn)這些設備中，有一半以上都保存著可訪問的完整配置數(shù)據(jù)，仍可正常使用。測試結果顯示，其中1臺設備在抵達時已無法正常工作，被從測試中淘汰，2臺設備是彼此的鏡像，在評估結果中算作一個。在剩余的16臺設備中，僅有5臺設備的數(shù)據(jù)被徹底清除，2臺設備的數(shù)據(jù)幾乎全部清除，其中保存的配置數(shù)據(jù)訪問難度較大。其余9臺設備中均保留著前用戶配置網(wǎng)絡和系統(tǒng)連接的完整配置數(shù)據(jù)，包括所有者信息，任何人都可輕松訪問。研究人員表示，一些路由器保留了客戶信息，允許第三方連接到網(wǎng)絡的數(shù)據(jù)，甚至是“作為受信任方連接到其他網(wǎng)絡的憑據(jù)”。此外，在上述測試中，保留了完整配置數(shù)據(jù)的9臺路由器中有8臺還保存了路由器到路由器身份驗證密鑰和哈希。公司機密列表擴展到本地或云中托管的敏感應用程序的完整映射。例如：Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。攻擊者可根據(jù)路由器泄露的應用程序粒度和特定版本，在整個網(wǎng)絡拓撲中部署特定的漏洞利用。

而對于企業(yè)來說，如此詳細的內(nèi)部信息通常只有“高級權限人員”才能訪問，例如網(wǎng)絡管理員及其經(jīng)理。

可就是因為數(shù)據(jù)銷毀不徹底，黑客就能輕松通過二手核心路由器中的這些敏感信息輕松制定攻擊路徑和計劃，深入網(wǎng)絡而不被發(fā)現(xiàn)。有了如此詳細的網(wǎng)絡信息，模擬網(wǎng)絡或內(nèi)部主機對于攻擊者來說會簡單得多，特別是二手路由器設備通常還包含VPN憑據(jù)或其他容易破解的身份驗證令牌。

更糟糕的是，通過分析二手路由器中的信息，研究人員發(fā)現(xiàn)其中一些路由器來自托管IT提供商的環(huán)境，這些托管提供商運營著很多大公司的網(wǎng)絡。比如托管安全服務提供商MSSP，該提供商為各個領域，例如教育、金融、醫(yī)療、制造業(yè)等數(shù)百個客戶處理網(wǎng)絡。這個測試結果著實有點讓人不寒而栗，數(shù)據(jù)銷毀的重要性不言而喻。

雖然目前我國還未在全國范圍內(nèi)針對數(shù)據(jù)銷毀頒布有效的法律法規(guī)，但各地已陸續(xù)就規(guī)范政務數(shù)據(jù)與公共數(shù)據(jù)管理、監(jiān)管企業(yè)數(shù)據(jù)合規(guī)出臺了相應的文件，并于其中明確強調應建立數(shù)據(jù)銷毀制度：

*資料整理自各地政府官網(wǎng)

數(shù)據(jù)銷毀是數(shù)據(jù)安全的最后一道防線

數(shù)據(jù)銷毀的落地，除了制度層面的規(guī)范以外，技術實現(xiàn)情況亦至關重要，沒有銷毀技術的支撐，制度只能淪為“空中樓閣”。目前的數(shù)據(jù)銷毀技術基本可分為兩大類：

第一個是銷毀介質，即直接對存儲數(shù)據(jù)的介質進行銷毀。例如：通過焚燒、高溫、粉碎等物理手段進行破壞；通過消磁機對機械磁盤施加強磁場進行消磁，已達到數(shù)據(jù)銷毀的作用；或使用各種酸堿液腐蝕介質進行化學銷毀。

其次是擦除數(shù)據(jù)，即不破壞介質，僅對數(shù)據(jù)本身進行銷毀處理，也被稱為邏輯銷毀。例如：通過數(shù)據(jù)覆蓋進行數(shù)據(jù)清除，使其不可再“恢復”至原始數(shù)據(jù)；通過加密設置使其“以現(xiàn)階段的計算機算力無法破解”。

數(shù)據(jù)銷毀技術各有優(yōu)劣，于數(shù)據(jù)處理者而言，其應根據(jù)所掌握的數(shù)據(jù)情況，綜合考慮技術成本與銷毀效果等選擇適合自己的數(shù)據(jù)銷毀技術，盡可能地降低數(shù)據(jù)銷毀環(huán)節(jié)的風險。同時，企業(yè)還應就數(shù)據(jù)銷毀建立專門的管理制度，明確該環(huán)節(jié)的對象、規(guī)則、流程、責任等，從而規(guī)范具體操作人員的銷毀行為，以有條不紊地開展數(shù)據(jù)銷毀活動。

不過目前能夠自行配置較為完善的數(shù)據(jù)銷毀技術的主體仍屬少數(shù)，銷毀介質需要專門的設備、工具及場地，擦除數(shù)據(jù)需要可靠的技術與人員，即對數(shù)據(jù)處理者的要求較高。并且，數(shù)據(jù)處理者自行銷毀所存儲的數(shù)據(jù)，一方面較為缺乏監(jiān)督能力，“既當運動員又當裁判員”，導致在數(shù)據(jù)必須銷毀的情況下，難以確保銷毀的真實效果；另一方面，“家賊難防”，為了利益鋌而走險的情況無法杜絕，故存在數(shù)據(jù)銷毀的員工轉賣數(shù)據(jù)的風險。因此不少企業(yè)會選擇委托第三方權威機構代為處理。但在選擇時也應注意務必要委托具有相關資質的單位，確保數(shù)據(jù)銷毀的安全可靠。

目前我國尚無通用的有關數(shù)據(jù)銷毀的公開國家標準，但在該領域，美國國防部的DOD 5220.22技術標準應用較為廣泛，可以此作為參考，評價第三方是否達到甚至超過該標準之要求。

此外，公開可查的國家標準，為2011年公布，其中BMB21-2007標準是“涉及國家秘密的載體銷毀與信息消除安全保密要求”，即對涉國家秘密的載體銷毀和信息消除的標準進行了明確。并且，據(jù)查，前述標準應已更新為BMB21-2019，且數(shù)據(jù)銷毀行業(yè)內(nèi)確有個別單位能夠達到該標準、具備國家保密科技測評中心頒布的“涉密信息系統(tǒng)產(chǎn)品檢測證書”。因此，數(shù)據(jù)處理者亦可根據(jù)要求較高的相關國家標準，以此審核第三方數(shù)據(jù)銷毀的技術能力。

后記

數(shù)據(jù)銷毀作為數(shù)據(jù)安全建設中非常重要的一環(huán)，可以有效防止數(shù)據(jù)泄露、濫用或不當使用，保護個人隱私和企業(yè)機密。未經(jīng)安全銷毀的數(shù)據(jù)可能被黑客竊取，或者被不法分子用于非法活動，給企業(yè)和個人造成難以彌補的損失。因此，數(shù)據(jù)安全建設必須將數(shù)據(jù)銷毀作為一個重要的環(huán)節(jié)，以保證數(shù)據(jù)安全的全周期管理。

同時，對于一些過期的、冗余的數(shù)據(jù)進行銷毀，也可以減少存儲空間的占用，提高數(shù)據(jù)處理效率。規(guī)范的數(shù)據(jù)銷毀流程可以切實幫助企業(yè)避免在法律上承擔不必要的風險。因此，對于企業(yè)而言，建立健全數(shù)據(jù)銷毀制度并確保銷毀技術完備可靠是十分必要的。