信息时代,各类组织的成功运作无疑严重信赖各类型的数据,为保障数据的安全,人们会使用各类控制措施如对数据进行安全等级划分、采用加密措施、设置访问权限控制等等,然而多数会忽略数据生命周期中的最后一环——数据销毁或回收处理的安全。
由昆明亭长朗然科技有限公司赞助的一项安全调查表明:大量含有敏感信息的电脑介质和纸张在丢弃之前并未得到充分的彻底删除,以至于它们落入到犯罪分子的手中。
在西方发达国家,专门从他人的垃圾桶中寻找宝贵信息的一个专用名词叫Dumpster Diving。特别是大型公司有大量的办公垃圾,但这些东西一但变成垃圾,重要的信息就被丢弃者忘记,但这些信息却成了攻击者的金矿。攻击者们往往伪装成垃圾回收人员、清洁工或拾荒者,甚至连法律都未禁止人们收集和分析大公司丢弃在外部的垃圾。
这些垃圾中到底有没有金矿呢?看看攻击者们都在找寻哪些东西以及准备如何加以利用便能清楚知晓:
- 即时贴上的密码或内容,便于利用这些密码尝试登录公司系统,以及了解公司的内部活动;
- 电话号码,邮件地址等通讯信息,以便分析出公司的组织架构和策划发动社交工程攻击;
- 日程计划,以便了解哪些人在哪些时间会离开公司,进而好利用这些时机发动有针对性的攻击;
- 系统手册和包装物,了解公司所使用的信息系统,以便重点研究相关系统的漏洞,提高攻击的成功率;
- 邮件、产品源代码等,了解帐户、项目、商务等信息以及核心产品的研发计划;
- 磁盘、光盘等,读取或尝试恢复其中的数据信息;
那么公司应该如何防范攻击者们通过Dumpster Diving的方式来获得这些数据呢?无疑在对包含各类敏感数据进行丢弃之前需要进行彻底删除,对纸质类的机密数据,通过碎纸机便可轻松粉碎再回收利用,这种简单的方式便让攻击者干瞪眼。而存储电子数据的电脑设备和存储样式繁多,科技产品更新换代速度飞快,要彻底删除需要特别的技术手段甚至专业的工具,不过常见的方法包括使用彻底删除软件,重复向数据区域写操作10次以上。一次性不可擦写的CDR光盘之类可以使用物理破坏,比如折断、粉碎、烧毁或放在微波炉中烘烤。新型的智能移动设备多数包含一键清除系统数据或恢复到默认出厂设置等功能。
要说的是除非进行了物理的不可逆损毁,类似多次重复填充数据的软件彻底删除方式都存在被成功恢复的可能,所以公司应该根据数据保密的级别,对于最高级别的数据,要进行彻底销毁,非进行不可逆物理损坏莫属。
最后,还有一项最重要的,是要教育公司的全体员工,让全员认识到彻底删除数据的必要性和掌握基本的数据彻底删除的操作指南,否则有再先进的设备和再完善的垃圾回收流程但是最终用户不会使用或不配合也无济于事。