数据安全已上升为国家安全战略，数据安全生命周期的治理已成为大数据时代的必备实践！

一、PA18 数据销毁处置

1.充分定义级能力描述

• 组织建设

1）组织应设立统一负责数据销毁管理的岗位和人员，负责制定销毁处置规范，并推动相关要求在业务部门落地实施行。

• 制度流程

1）应依照数据分类分级建立数据销毁策略和管理制度，明确数据销毁的场景、销毁对象、销毁方式和销毁要求；

2) 应建立规范的数据销毁流程和审批机制，设置销毁相关监督角色, 监督操作过程，并对审批和销毁过程进行记录控制；

3)应按国家相关法律和标淮销毁个人信息、重要数据等敏感数据。

• 技术工具

1）应针对网络存储数据，建立硬销毁和软销毁的数据销毁方法和技术，如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制。

2）应配置必要的数据销毁技术手段与管控措施，确保以不可逆方式销毁敏感数据及其副本内容。

• 人员能力

1）负责数据销毁安全工作的人员应熟悉数据销毁的相关合规要求，能够主动根据政策变化和技术发展更新相关知识和技能。

2. 标准解读

数据销毁有两个目的，一是合规要求，国家法律法规要求重要数据不被泄露:另一个就是组织本身的业务发展或管理需要。计算机或设备在弃置、转告或捐赠前必须将其所有数据彻底删除，无法复原，以免造成信息泄露， 尤其是国家涉密数据。在日常工作过程中，用户往往会采取删除、硬盘格式化、文件粉碎等方法销毁数据，但这些做法大都非常不安全。建立针对数据内容的清除和净化机制，可以实现对数据的有效销毁，防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄露问题。为了满足合规要求及组织机构本身的业务发展需求，组织机构需要对数据进行销毁处理。因为数据销毁处理要求针对数据的内容进行清除和净化，以确保攻击者无法通过存储介质中的数据内容进行恶意恢复，从而造成严重的敏感信息泄露问题。

3. 组织机构和制度流程

为了避免攻击者可能通过恶意恢复被销毁的数据，从而造成敏感数据泄露事件的发生，在条件允许的情况下，组织机构应该设立数据销毁安全管理部门，并招募相关的管理人员和技术人员，负责为公司的数据销毁处理提供必要的技术支持，为组织机构制定整体的数据销毁处置策略和管理制度，为技术人员建立规范的数据销毁流程和审批机制，并推动相关要求在组织机构中切实可靠地执行。

《XXXX单位数据销毁处置规范》主要包括：

• 数据销毁场景:什么场景下需要做数据销毁，结合业务和数据重要性需要:；
• 数据销毁方法:根据数据分类和分級，已经场景需要，确定销毁手段和方法，包括物理销毁和逻辑销毀，比如覆写法、消磁法、捣碎法/ 剪碎法、焚毀法。
• 数据销毁审批流程:主要针对重要数据，销毁的合理性和必要性评估；
• 数据销毁监督流程:设置销毀相关监督角色，监督操作过程，并对审批和销毁过程进行记录控制；
• 数据销毁指南:针对不同介质所存储数据的具体销毁方法和技术 ，比如针对网络存储、闪存、硬盛、磁带、光盘等存储数据所应采用的数据销毁的方法和技术，建立网络数据分布式存储的销毁策略与机制。

4. 技术工具

数据销毁的技术工具要多样化，保证满足各种类型的数据销毁，比如:针对网络存储数据、针对闪存、硬盘、磁带、光盘等存储数据，保以不可逆方式销毁数据及其副本内容。主要包含两个层次的销毁，一个是逻辑层面的数据软销毁技术，另一个是物理层面的硬销毁技术。

磁盘数据存储的原理

硬盘的数据结构主要由固件区、主引导记录、各分区系统引导记录、文件分配表、文件目录区、数据区等区域组成。文件分配表是一个文件寻址系统，目录区用于配合文件分配表准确定位文件，数据区是用于存放数据,它占据了硬盘的大部分空间。硬盘里有一组磁盘片，磁道在盘片上呈同心圆分布，读写磁头在盘片的表面来回移动访问硬盘的各个区域，因此文件可以随机地分布在磁盘的各个位置上，同一文件的各个部分不一定会顺序存放。存放在磁盘上的数据以簇为分配单位，大的文件可能占用多达数千、数万簇，分散在整个磁盘上。操作系统的文件子系统负责文件各个部分的组织和管理，其基本原理是用一个类似首簇的文件起点入口，再包含一个指向下一簇地址的指针，从而找到文件的下一簇，依此类推，直到出现文件的结束标志为止。从以上原理我们可以知道，数据是随机存放在数据区的，只要数据区没有被破坏，数据就没有完全销毁，就存在恢复的可能。此外，每块硬盘在出厂时其扇区上都会保留一小部分存储空间，这部分保留起来的存储空间被称为替换扇区，由于替换扇区处于隐藏状态，所以操作系统无法访问该区域。而持有固件区密码的硬盘厂家却能访问替换扇区内的数据。因此，硬盘在出厂时就可能被预留后门，把硬盘工作过程中的有关数据转存到替换扇区，成为数据销毁的死角。所以要安全销毁硬盘数据，不仅要销毁标准扇区中的数据，还要销毁替换扇区中的数据。

硬盘数据销毁还需要考虑的一个重要问题就是剩磁效应。由于磁介质会不同程度地永久性磁化，所以磁介质上记载的数据在一定程度上是抹除不净的。同时，由于每次写入数据时磁场强度并不完全一致，这种不一致性导致新旧数据之间产生“层次”差。剩余磁化及“层次”差都可能通过高灵敏的磁力扫描隧道显微镜探测到，经过分析与计算，对原始数据进行“深层信号还原”，从而恢复原始数据。尽管普通企业和个人难以得到这种尖端设备，但对于间谍机关来说却绝非难事。据不确切消息透露，美国军方甚至具备恢复被覆盖6次以上数据的能力。

日常销毁技术

删除文件 : 删除操作并不能真正擦除磁盛数据区信息 。 用户删除命令只是对文件目录进行删除标记 ，数据区并没有任何改变，一些数据恢复工具正是利用此点，绕过文件分配表，直接读取数据区，恢复被删除文件，此种销毁方法最不安全。

格式化硬盘:“ 格式化” 又分为高级格式化、低级格式化、快速格式化等多种类型。多数情況下，普通用户采用的格式化不会影响硬盛上的数据区。格式化仅仅是为操作系统创建一个全新的空文件素引。将所有扇区标记为“未使用” 状态，让操作系统认为硬盛上没有文件。因此，采用数据恢复工具软件也可以恢复格式化后数据区中的数据。

使用文件粉碎软件:为满足用户彻底删除数据的需要，网上出现了很多所调的文件粉碎软件，一些防病毒软件也增加了文件粉碎功能，不过这些软件大多没有通过专门机构的认证，可信度和安全性都值得怀疑，用于处理一 般的私人数据还可以，但不能用于处理带有密级的数据。

本地数据销毁技术

• 删除和格式化操作是计算机用户最常用的两种清除数据的方式，但其实它们并不是真正意义上的数据销毁方法。

• 以Windows系统为例，硬盘数据以簇为基本单位存储，且存储位置以一种链式指针结构分布在整个磁盘中。删除操作就是在文件系统上新创建一个空的文件头簇，然后将删除文件占用的其他簇都变为“空”，从而让文件系统“误以为”该文件已经被清除了。

• 数据存储在不同的存储介质中，因此数据销毁的技术各不相同。这是由于不同的介质写入数据的原理不同，而在介质中，数据销毁的基本方法就是写入数据的相同操作或逆操作。

• 磁盘写数据的原理是在磁盘扇区空间中规则地写入数据，销毁磁盘数据的思想就是向需要销毁的数据所在的磁盘扇区中反复写入无意义的随机数据，比如“0”“1”比特，覆盖并替换原有数据，达到数据不可读的目的，从而实现销毁数据的目的。

• 数据覆写：将非敏感数据写入以前存有敏感数据的存储位置，以达到清除数据的目的。