数据销毁处理

• 为了满足合规要求及组织机构本身的业务发展需求，组织机构需要对数据进行销毁处理。因为数据销毁处理要求针对数据的内容进行清除和净化，以确保攻击者无法通过存储介质中的数据内容进行恶意恢复，从而造成严重的敏感信息泄露问题。

建立负责数据销毁处理的职能部门

• 为了避免攻击者可能通过恶意恢复被销毁的数据，从而造成敏感数据泄露事件的发生，在条件允许的情况下，组织机构应该设立数据销毁安全管理部门，并招募相关的管理人员和技术人员，负责为公司的数据销毁处理提供必要的技术支持，为组织机构制定整体的数据销毁处置策略和管理制度，为技术人员建立规范的数据销毁流程和审批机制，并推动相关要求在组织机构中切实可靠地执行。除此之外，数据销毁安全管理部门还需要为业务团队提供技术支持，以对不同数据销毁场景的风险进行评估，并制定针对数据销毁进行审批和监督的流程，为数据销毁审批人员（技术人员）进行专门的安全意识培训，确保其可以按照国家的相关法律法规和标准销毁个人信息、重要数据等敏感信息。

明确数据销毁处理岗位的能力要求

• 数据销毁处理安全管理团队成员具备如下能力要求：

  • 具备良好的数据安全风险意识。

  • 熟悉国家法律法规及组织机构所属行业的政策和监管要求。

  • 能够严格按照网络安全法，数据安全法，个人信息保护法等国家法律法规和行业规范去执行。

  • 相关管理人员具备一定的数据销毁安全管理经验。

  • 拥有良好的数据销毁安全专业知识基础且通过了岗位能力测试。

  • 熟悉主流的数据销毁安全策略，管理流程和技术工具。

  • 能够根据不同数据销毁业务场景进行相应的风险评估。

  • 能够主动根据政策变化和技术发展更新相关的知识和技能。

  • 具备结合业界标准，合规准则和业务场景制定标准化数据销毁安全审批和监督流程的能力。

• 数据销毁处理安全部门技术人员具备如下能力要求：

  • 具备良好的数据销毁安全风险意识。

  • 熟悉相关的法律法规及政策要求。

  • 熟悉主流厂商的数据销毁方案。

  • 熟悉主流的数据销毁安全检测工具或检测平台及其使用方法。

  • 拥有一年以上的数据销毁安全审核经验。

  • 能够充分理解并执行由管理人员制定的数据销毁安全策略方案。

  • 具备监督操作过程，对审批和销毁数据的过程进行记录和控制的能力。

  • 能够主动根据政策变化和技术发展更新相关的知识和技能。

  • 具备对突发的数据销毁事件进行应急处理的能力。

数据销毁处理岗位的建设及人员能力的评估方法

• 1.调研访谈

  • 对数据销毁安全部门管理人员的访谈内容为：

  • 确认其在制定整体的数据销毁处置策略和管理制度上、在定义数据销毁场景上、在根据数据分类分级结果选取不同的数据销毁方法上、在制定数据销毁的审批和监督流程上、在对重要数据的销毁进行合理性和必要性的评估评审上、在规定标准的数据销毁安全检测工具上、在建立数据销毁审计日志的管理规范上、在制定定制化的数据销毁安全监督和审计流程上、在对数据销毁的业务场景进行风险评估上，是否符合相关的法律规定，是否能胜任该岗位。同时，调研访谈还应该确认管理人员是否明确定义了数据销毁的对象、方式和要求等；管理人员是否设置了数据销毁相关的监督角色，以监督操作过程，并对审批和销毁过程进行记录和控制。

  • 对数据销毁安全部门技术人员的访谈内容为：

  • 确认其是否具有一年以上的数据销毁安全审批经验；是否熟悉数据销毁安全的相关合规要求；是否能够按照国家相关法律法规和管理人员制定的数据销毁处置规范对个人重要数据和敏感信息进行销毁；是否能够准确地实施由管理人员制定的定制化数据销毁监管流程；是否能够清楚地记录与保存每一次的数据销毁事件，以便发生突发情况时能够进行及时的应急处置与追责溯源。

• 2.问卷调查

  • 数据销毁安全部门管理人员是否制定了针对公司有效的数据销毁处置原则与管理规范；是否依据数据分类分级标准建立了数据销毁策略和管理制度；是否明确定义了数据销毁的场景对象、方式和相关要求；是否可以对不同的数据销毁安全业务场景进行风险评估；是否可以根据不同的数据销毁业务场景的安全需求制定出能够适应对应场景的定制化数据销毁监管流程标准；是否依据国家的相关法律法规对数据销毁的过程进行了严格规范的监管；是否规定了统一的数据销毁安全审查工具或监管系统及相关的使用标准，以用于应对突发情况，并追责溯源。

• 3.流程观察

  • 以中立的视角观察公司数据销毁安全部门管理人员的工作流程，包括在为公司制定整体的数据销毁处置原则及管理规范时，为公司建立数据销毁流程和审批机制时，为不同的数据销毁业务场景提供安全风险评估时，为不同的业务场景制定定制化数据销毁安全监管流程方案时，为不同的数据销毁安全场景定义数据销毁的场景、对象、方法和需求时，是否可以识别出此中可能存在的数据销毁安全风险，工作流程是否贴合组织机构的内部框架，能否满足不同业务场景的安全需求，是否符合国家相关法律法规的要求，方法流程是否符合标准。

  • 以中立的视角观察公司数据销毁安全部门技术人员的工作流程，包括在审核待销毁的数据内容时，审核数据销毁的工作流程时，管理与审核数据销毁的日志记录时，使用覆写法、消磁法、删除法和格式化等数据销毁方法时，对重要的需要被销毁的数据进行合理性评估时，是否可以识别出其中可能存在的安全风险，方法流程是否符合标准，是否符合国家相关法律法规的要求。

• 4.技术检测

  • 数据销毁处理阶段的技术检测，需要使用技术工具检测数据销毁的工作流程是否符合安全规范与法律规定；检测数据销毁过程中的数据内容和业务场景等指标，以确保既没有出现任何不符合数据分类分级标准的情况，也没有出现超出数据销毁授权范围的情况；检测数据销毁过程中的日志内容已被正确有效地记录与保存，确保当出现突发情况时能够快速进行应急处置；检测数据销毁的方式是否符合标准，以及数据销毁的要求是否能够得到满足。

明确数据销毁安全管理的目的

• 数据销毁有两个目的：

• 一个是合规要求，即国家法律法规要求的重要数据不得泄露；

• 另外一个就是组织本身的业务发展或管理需要。

• 在日常工作过程中，用户往往会采取删除、硬盘格式化、文件粉碎等方法销毁数据，但这些做法大都非常不安全。建立针对数据内容的清除和净化机制，可以实现对数据的有效销毁，防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄露问题。

数据销毁安全管理的内容

• 组织机构内的数据销毁安全部门管理人员必须严格遵守组织制定的数据销毁安全管理制度，定期整理自己所保管的数据资料，对于日常需要归档的数据应妥善保管，对于不需要归档且已过期作废的数据、日常办公作废的数据（包括一般文件、重要文件、机密文件），不得随便丢弃、不得倒入垃圾桶内，不得交予保洁人员，以防止泄密事件的发生。同时，组织需要制定数据销毁审批流程及数据销毁监督流程。

明确数据销毁审批流程

• 组织人员对筛选后需要销毁的数据资料进行整理和分类：对于在工作中形成的个人临时性草稿及文字废纸，应由组织人员通过碎纸机进行破碎销毁；对于工作过程中形成的日常办公作废文件（指一般性文件和重要文件），需要由上级领导部门鉴定确已无保存价值，待上级部门审核通过后，再由数据销毁安全管理部门现场监督相关人员使用碎纸机进行破碎销毁；对于日常办公过程中形成的作废数据（指机密数据）；

  • （1）组织人员根据实际情况，结合业务和数据的重要性，明确需要销毁的数据，并在数据销毁平台上提出相应的数据销毁申请，此申请需要填写的内容包括申请人、销毁内容，涉及部门、销毁原因等。经上级领导审批后，提报数据销毁安全管理部门审批。

  • （2）数据销毁安全管理部门接到数据销毁申请后，组织相关人员开展数据销毁评审会议，对所申请的数据进行合理性和必要性评估，并根据数据分类分级的结果，评审数据销毁的手段和方法，其中包括物理销毁和逻辑销毁等，比如覆写法、消磁法、捣碎法/剪碎法、焚毁法，或者配置必要的数据销毁工具等，确保能以不可逆的方式销毁数据内容。对于已通过评审的数据销毁申请，数据销毁安全管理部门需要在数据销毁管理平台上录入数据销毁实施期限并确认销毁申请审核。若评审结果为否决销毁，则由数据销毁安全管理部门在数据销毁管理平台进行否决需求操作。

  • （3）为防止机密数据泄露给未经授权的人员，各部门人员应将需要销毁的数据送到数据销毁安全管理部门，由存储介质安全管理部门按照评审通过的销毁方法统一进行安全销毁。注意，未经审核和评审的机密数据，组织人员不得擅自销毁

制定数据销毁监督流程

• 织机构应制定数据销毁监督流程。在销毁数据时，组织机构需要设置负责数据销毁的相关监督人员，让他们监督数据的销毁过程，确保数据销毁操作符合要求，并对审批和销毁过程进行记录和控制。

使用技术工具

• 这里提到的对数据进行销毁的技术工具主要包含两个层面的内容：

• 一个是逻辑层面的数据软销毁技术。

• 另一个是物理层面的硬销毁技术。

• 数据是看不见摸不着的东西，其存储在媒体介质中才有了实质感，数据一般存储在常规的存储介质中，如闪存、光盘、硬盘、磁带等。对于组织来说，数据要么是存储在本地介质中，要么就是存储在网络上，如云环境、网络存储中。不管数据存储在何处，组织机构都需要依靠一套统一的数据销毁工具来对需要销毁的数据进行安全销毁。

本地数据销毁技术

• 删除和格式化操作是计算机用户最常用的两种清除数据的方式，但其实它们并不是真正意义上的数据销毁方法。

• 以Windows系统为例，硬盘数据以簇为基本单位存储，且存储位置以一种链式指针结构分布在整个磁盘中。删除操作就是在文件系统上新创建一个空的文件头簇，然后将删除文件占用的其他簇都变为“空”，从而让文件系统“误以为”该文件已经被清除了。

• 数据存储在不同的存储介质中，因此数据销毁的技术各不相同。这是由于不同的介质写入数据的原理不同，而在介质中，数据销毁的基本方法就是写入数据的相同操作或逆操作。

• 磁盘写数据的原理是在磁盘扇区空间中规则地写入数据，销毁磁盘数据的思想就是向需要销毁的数据所在的磁盘扇区中反复写入无意义的随机数据，比如“0”“1”比特，覆盖并替换原有数据，达到数据不可读的目的，从而实现销毁数据的目的。《信息安全技术　数据销毁软件产品安全技术要求》（GA T 1143—2014）中也对磁盘数据销毁技术进行了阐述。

• 数据覆写：将非敏感数据写入以前存有敏感数据的存储位置，以达到清除数据的目的。

• 3次数据销毁方法：对指定的目标磁盘以数据覆写的方式进行擦写，磁头经过各区段覆写3次，第1次通过固定字符覆写，第二次通过固定字符的补码覆写，第3次通过随机字符进行覆写。

• 7次数据销毁方法：对指定的目标磁盘以数据覆写的方式进行擦写，磁头经过各区段覆写7次，第1次和第2次通过固定字符及其补码覆写，接下来分别用单字符、随机字符覆写，然后再分别用固定字符及其补码覆写，最后使用随机字符进行覆写。

• 除了上述国内相关标准之外，国外也有许多具有影响力的数据销毁技术标准。美军的数据销毁标准DOD-5200.22M便是使用了多达7次的重写覆盖来达到销毁效果的方法，除此之外，目前主流的重写算法还有DOD-5200.22M简单标准、RCMP TSSIT OPS-Ⅱ标准，以及Gutmann数据35次重写算法等。对于不同安全级别的需求，可采用不同强度的重写算法。

• 光盘的写数据原理是在光盘表面刻录深浅不一的凹槽，从而以光反射不同的平面带来的差异来存储数据，所以销毁光盘中数据的原理就是再次进行刻录，破坏掉原本的凹槽，即可达到销毁数据的目的。

• 对于内存、ROM这样的半导体存储器来说，写入数据的原理是根据半导体导电的可控性来表示“0”和“1”，进而记录数据，所以可以对半导体完全断电来销毁其中记录的数据。

网络数据销毁技术

• 在网络存储、私有云、公有云等技术日益成熟的情况下，越来越多的组织机构选择不在本地存储设备中存储数据，而是将数据存储在网络上（或者说云上）。网络（云）存储中数据的销毁技术与本地存储中数据的销毁技术有很大区别，在本地存储环境中，组织机构作为存储介质及数据的完全控制属主，可以利用多种技术实现数据销毁，并且可以确认数据是否已被真正销毁。对于网络（云）存储环境来说，组织机构则失去了对存储介质和存储数据的完全控制权，而且即使完成了数据销毁的相关操作，也无法确认数据是否已被真正销毁。

• 针对像网络数据这种人工不可控的数据销毁需求，目前常用的有两种较为有效的数据销毁方式：

• 一种是基于密钥销毁的数据不可用销毁方式。

  • 基于密钥销毁的数据不可用销毁方式不会销毁数据本身，它销毁的是加密数据的密钥，进而实现数据不可访问的目的。

  • 组织机构可以将密钥存储在本地，当需要进行数据销毁操作时，首先对被销毁的数据使用密钥进行加密，然后进行数据销毁操作，最后再将本地存储的密钥进行销毁。

  • 对于加密后的网络数据销毁使用网络存储提供的一般销毁方式，如：删除或格式化等。

• 另外一种是基于时间过期机制的数据自销毁方式。

  • 基于时间过期机制的数据自销毁方式是云存储环境下的另外一种安全的数据销毁方式，其思想也是通过数据不可用来实现数据销毁的目的。

  • 在网络存储中，或者与其连接的其他环境中，安装一个数据自销毁程序，在数据销毁前对数据打上一个过期时间标记，然后对网络数据进行删除销毁操作。当攻击者通过数据恢复或其他途径访问已销毁的数据时，一旦数据自销毁程序根据时间标记信息监测到其为过期数据的访问，就会立即启动数据重写、覆写、再次删除等销毁操作，这时，攻击者便无法正常访问已被销毁的数据，从而确保了网络数据销毁的安全性。

• 以上两种方式在实际场景中，既可以单独使用，也可以根据实际情况结合使用。

技术工具的使用目标和工作流程

• 本地数据销毁

  • 能够安全有效地销毁常见的本地存储介质中的数据，如光盘，磁盘，内存等。

• 网络数据销毁

  • 能够安全有效地销毁网络存储中的数据，并且具备一定的技术措施，如通过加密，过期机制等来确保网络数据不能被恢复使用。

• 数据销毁安全管理

  • 能够安全有效地控制和管理数据销毁处置的过程，并记录全过程信息以供追责溯源。