Знищення інформації, збереженої на НЖМД

Нерідко старі комп'ютери (разом з жорсткими дисками) вивозяться разом з усіма даними, на захист яких були витрачені гроші й час; у великих організаціях це відбувається майже щодня.

У той час, як існують не тільки закони, але й апаратні засобу, що забороняють або перешкоджаючі несанкціонованому доступу до конфіденційної інформації, зняття даних зі списаного НЖМД дозволяє зацікавленій особі не тільки обійти системи безпеки без прояву зовнішніх ознак, але й зробити це практично законно.

Багато керівників організацій і користувачі комп'ютерів не знають, що просте видалення файлів або навіть переформатування жорсткого диска фактично не видаляє дані. Варто тільки якось записати інформацію на НЖМД і вилучити її з магнітної пам'яті диска буде дуже складно. Тому, видалося б, нешкідливий акт списання старого комп'ютера або передача його в іншу організацію - найбільш простий шлях відкриття доступу до інформації з обмеженим доступом.

Крім тієї конфіденційної інформації, про яку знають користувачі (бухгалтерської, фінансової, особистої, перспективні розробки), на ПК може зберігатися безліч інших конфіденційних даних, які не завжди відомі операторові. Додатка й операційний системи зберігають паролі, ключі шифрування й інші дані з обмеженим доступом у різних місцях, включаючи файли конфігурації й тимчасові файли. Операційні системи довільним образом записують уміст пам'яті у файл підкачування на диску, що не дає можливості довідатися, що із цих даних дійсно збережене на носії.

Забезпечення надійного знищення корпоративної інформації наприкінці життєвого циклу НЖМД вимагає ретельного опрацювання питань безпеки інформації.

Видалення даних із НЖМД саме по собі не забезпечує захисту інформації. Процес захисту повинен ґрунтуватися на ряді погоджених методик, що забезпечують в остаточному підсумку високу ймовірність знищення інформації.

Хоча жодна з методик не може гарантувати 100% надійність знищення інформації, існують основні положення й умови захисту інформації:

1. Необхідність фізичного захисту НЖМД. Крадіжка ПК або окремих накопичувачів приводить до витоку інформації, тому необхідно забезпечити їхню фізичну схоронність із моменту закінчення строку експлуатації до одержання документованого підтвердження про знищення даних.

2. Систематичний контроль і ведення звітності. Систематичний контроль має на увазі відстеження накопичувачів, що вибувають із експлуатації, контроль процесу знищення інформації й складання звіту про відхилення в цьому процесі й допущених помилках. Необхідно фіксувати наступні відомості:

· унікальний ідентифікаційний код знищуваного накопичувача;

· дату й час знищення;

· ПІБ виконавця;

· використану методику знищення.

Таким чином, процедура забезпечення захисту інформації, збереженої на НЖМД, повинна включати наступні дії:

1. Фізичний захист інформації, що включає в себе інвентаризацію й обмеження доступу до НЖМД.

2. Систематичний контроль над процесом заміни, передачі й знищення інформації на НЖМД.

3. Використання стандартизованих методик по знищенню інформації на НЖМД.

4. Систематична перевірка процесів знищення інформації на НЖМД.

5. Періодичний контроль надійності знищення інформації з довільно обраних НЖМД.

6. Вибір методик і способів для знищення інформації на несправних НЖМД, шляхом аналізу категорійності збереженої на них інформації.

7. Забезпечення процедури збору й знищення НЖМД.

8. Ведення звітності по кожному знищеному НЖМД.

У цей час існує кілька способів знищення інформації, що збережена на НЖМД. Знищення передбачає стирання або видалення інформації з жорсткого диска таким чином, що її неможливо відновити ні обробкою на комп'ютерах за допомогою спеціального ПО, ні за допомогою лабораторних засобів (наприклад, аналізповерхні магнітних пластин за допомогою скануючого мікроскопу).

Способи знищення інформації на НЖМД діляться на три великих групи:

1. Програмні, в основу яких покладено знищення інформації, що записана на магнітному носії, за допомогою штатних засобів запису інформації на магнітних носіях. У випадку знищення інформації на НЖМД програмним методом, він може бути повторно використаний в інших ПК, після інсталяції нової ОС і додатків. Знищення проводиться найбільш простим і природнім способом - перезаписом інформації. Перезапис - це процес запису несекретних даних в область пам'яті, де раніше втримувалися секретні дані. Слід зазначити дуже важливу деталь - при перезаписі інформації працездатність НЖМД повністю зберігається, у випадку, якщо він був повністю справним. На зношеному або несправному НЖМД провести надійне знищення інформації практично неможливо.

2. Механічні, пов'язані з механічним ушкодженням основи, на яку нанесений магнітний шар - фізичний носій інформації.

3. Фізичні, пов'язані з фізичними принципами цифрового запису на магнітний носій, і засновані на перебудові структури магнітного матеріалу робочих поверхонь носія.

По способу впливу на накопичувач можливо виділити дві групи:

ü без руйнування гермокамери й робочих поверхонь НЖМД;

ü з руйнуванням НЖМД.

Програмні методи знищення інформації на НЖМД можуть реалізовувати:

1. Початковий рівень (рівень 0). Це найбільш проста й часто застосовувана форма знищення інформації на НЖМД. Замість повного очищення жорсткого диска в завантажувальний сектор, основну й резервну таблиці розділів записується послідовність нулів. Однак у цьому випадку дані на диску не знищуються, до них ускладнюється доступ. Повний доступ до інформації на НЖМД легко відновлюється за допомогою спеціальних програм аналізу секторів диска (Norton Diskedit, Winhex).

2. Рівень 1. Проводиться запис послідовності нулів або одиниць у сектори даних. При цьому знищується не тільки завантажувальна область, але й дані. Звичайним користувачам у цьому випадку практично неможливо відновити знищену інформацію. Проте, існує можливість відновлення інформації при стиранні перезаписом. В основі її лежать:

· помилки оператора й неправильне використання ПО;

· відмова ПО перезаписувати весь адресний простір диска;

· залишкова інформація в дефектних секторах;

· аналіз зон залишкової намагніченості й ефекті країв доріжок.

Відновити інформацію, вилучену цим методом, стандартними засобами неможливо. Для відновлення потрібні спеціальні знання і обладнання.

3. Рівень 1+. Використовуються декілька циклів перезапису інформації. Чим більше циклів перезапису інформації, тем складніше відновити вилучені дані. Це пов'язане з неточністю позиціонування голівки. Чим більше раз голівка перезапише дані, тем вище ймовірність, що вона зітре зони залишкової намагніченості на краях доріжки.

Послідовності, що прописуються в сектори даних, стандартизовані. Найбільш часто застосовані наведені в таблиці 2.


Таблиця 2.

Алгоритми знищення даних

Алгоритм Зміст алгоритму
Посібник із захисту інформації МО США (NISPOM) Dod 5220.22-M, 1995 р. Кількість циклів записи - 3. Цикл 1 - запис довільного коду. Цикл 2 - запис інвертованого коду. Цикл 3 - запис випадкових кодів. Примітка NISPOM забороняє використання цього алгоритму для знищення даних із грифом: "СОВ.СЕКРЕТНО" Альтернативні способи ( відповідно до NISPOМ): - розмагнічування; - фізичне руйнування
Стандарт VISR, 1999 р. (Німеччина) Кількість циклів записи - 3. Цикл 1 - запис нулів. Цикл 2 - запис одиниць. Цикл 3 - запис коду із чергуванням нулів і одиниць.
ДЕРЖСТАНДАРТ Р50739-95г. (Росія) Для класів захисту даних 1..3 Кількість циклів записи - 2. Цикл 1 - запис нулів. Цикл 2 - запис випадкових кодів. Для класів захисту даних 4..6. Один цикл запису нулів.
Алгоритм Брюса Шнейера (Bruce Schneier) Кількість циклів записи - 7. Цикл 1- запис одиниць. Цикл 2 - запис нулів. Цикли 3..7 - запис випадкових кодів
Алгоритм Пітера Гутманна (Peter Gutman) Кількість циклів - 35. Цикли 1..4 - запис довільного коду. Цикли 5..6 - запис кодів 55h, AАh. Цикли 7..9 - запис кодів 92h, 49h, 24h. Цикли 10..25 - послідовний запис кодів від 00, 11h, 22h і т.д. до Ffh. Цикли 26..28 - аналогічно циклам 7..9. Цикли 29..31 - запис коду 6Dh, B6h. Цикли 32..35 - аналогічно циклам 1..4.

Перезапис утрудняє процес відновлення інформації, але така можливість залишається. Для відновлення інформації потрібно дуже дороге й складне встаткування й ПО.

Перезапис інформації на НЖМД може проводитися як на ПК, так і поза ним за допомогою спеціальних приладів, наприклад, виріб EPOS Tester HDD (рис. 9.4).

Рис. 9.4 Тестер HDD із програмним методом знищення інформації

Висновки по програмних методах знищення інформації на НЖМД:

Недоліки:

ü Низька надійність знищення інформації. Після застосування програмних методів стирання інформації перезаписом є можливість відновлення інформації кваліфікованим експертом за допомогою або без спеціальних засобів.

ü Тривалий час перезапису інформації носія (десятки хвилин, годинник). При багаторазовому перезапису час знищення інформації для одного носія множиться на кількість проходів.

ü Перезапис інформації можливий тільки на справному НЖМД.

Переваги:

ü Є можливість повторного використання НЖМД;

ü Низька ціна й вартість експлуатації ПО або спеціальних засобів.

Ухвалення рішення про вибір методу знищення інформації часто пов'язане з оцінкою ризиків. Тому вибір методу знищення інформації шляхом перезапису тісно пов'язаний з відповідями на запитання:

- Яка ймовірність потенційної загрози?

- Які зусилля може прикласти зловмисник для відновлення обмеженої до доступу інформації?

- Якщо його дії увінчаються успіхом, які можливі наслідки?

Механічні (фізичні) методи знищення даних на НЖМД застосовують, за звичай, коли необхідна підвищена надійність знищення інформації, при цьому руйнується сам носій інформації.

Вартість накопичувачів на жорстких дисках значно знизилася за останні роки. Тому, як і у випадку гнучких магнітних дисків, для багатьох компаній може бути економічно доцільно знищувати їх, а не видаляти секретну інформацію. Але тут ми зустрічаємося із проблемою високої вартості обладнання для механічного знищення й процесом контролю знищення у випадку наявності цього обладнання.

Механічні методи знищення інформації підрозділяються на:

· Механічного впливу. Здрібнювання носія шляхом пропущення через обладнання здрібнювання (шредер). НЖМД руйнується механічно так, щоб виключити можливість прочитання інформації яким-небудь способом з його робочих дисків. При цьому методі існує небезпека, що при здрібнюванні можуть залишатися фрагменти, досить великі, щоб відновити інформацію в лабораторних умовах. Розкриття корпуса гермокамери в робочому приміщенні (поза чистою кімнатою) приводить до забруднення пластин і висновку НЖМД із ладу. У сучасному НЖМД пил, як наждаком, стирає робочий шар до основи (прозорої скляної підложи) уже через кілька годин роботи з розкритою гермокамерою. Часто використовувані на практиці методи свердлення отворів і удари молотком по приводу насправді зовсім не знищують або знищують тільки малу частину інформації.

· Термічні. Нагрівання носія до температури плавлення в спеціальних печах. При цьому способі гарантія знищення інформації наступає при розігріві носія до температури 800-1000оС. У цьому випадку інформація стає абсолютно не відновлюваної по цілому комплексу причин, у тому числі й через перехід магнітного матеріалу робочого шару через точку Кюрі. Такий спосіб знищення інформації може бути рекомендований для носіїв, що містять державну таємницю. Зауважимо, що пожежа в приміщенні, де перебувають НЖМД не приводять до знищення інформації.

· Піротехнічні. Руйнування носія вибухом.

· Металотермічні. Знищення підложи диску, на яку нанесене магнітне покриття.

· Хімічні. Руйнування робочого шару або основи носія хімічно агресивними середовищами.

· Радіаційні. Руйнування носія іонізуючими випромінюваннями.

У таблиці 3 наведені основні показники механічних методів знищення інформації на НЖМД.

Таблиця 3.

Фізичні методи знищення інформації на НЖМД

Механічні Здрібнювання носія, його руйнування механічним впливом. Руйнуючий метод. Можливо гарантоване знищення.
Термічний Нагрівання носія до температури руйнування його основи (або до крапки Кюрі) Руйнуючий метод. Гарантоване знищення.
Піротехнічний Руйнування носія вибухом Руйнуючий метод. Можливо гарантоване знищення. Проблема забезпечення безпеки оператора.
Металотермічний Знищення основи носія шляхом високотемпературного синтезу Руйнуючий метод. Гарантоване знищення.
Хімічний Руйнування робочого шару або основи носія хімічно агресивними середовищами. Руйнуючий метод. Гарантоване знищення. Проблема забезпечення безпеки оператора.
Радіаційний Руйнування носія іонізуючими випромінюваннями Руйнуючий метод. Небезпека опромінення.

Деякі з наведених методів екологічно небезпечні, інші можуть забезпечити високу надійність знищення інформації, але вимагають настільки специфічного й коштовного обладнання, яке можуть дозволити собі лише деякі корпоративні користувачі.

Всі ці методи виключають можливість подальшого використання НЖМД.

Фізичні способи пов'язані з фізичними принципами цифрового запису на магнітний носій, і засновані на перебудові структури магнітного матеріалу робочих поверхонь носія. Найбільше широко застосовується вплив на робочу поверхню жорсткого диска магнітним полям. У силу певних особливостей конструкції жорстких дисків і застосовуваного в них способу запису в цей час застосовується в основному вплив потужним магнітним імпульсом з метою намагнічування робочої поверхні до насичення.

Таким чином, залежно від того, від яких загроз необхідний захист, можна вибрати адекватний метод знищення інформації. При цьому вірогідність знищення інформації повинна бути підтверджена тем або іншим способом.

Особливо це відноситься до методів знищення інформації, при яких зовні диск залишається неушкодженим.

Найбільші труднощі викликає підтвердження надійності знищення інформації шляхом впливу магнітного імпульсу. Фактично в цьому випадку придатні тільки різні методи візуалізації магнітних полів розсіювання.

Для підтвердження знищення інформації не обов'язково її повністю відновлювати. Але якщо в процесі контролю якості знищення будуть виявлені залишки інформації, то при застосуванні більш складних методів її можна буде відновити.

Тому для завдань контролю якості знищення інформації найбільш придатний метод Биттера. Більше того, завдання контролю якості знищення інформації (принаймні, при знищенні інформації впливом магнітного імпульсу) можна ще більш спростити.

Дійсно, синхродоріжка на поверхні жорсткого диска записується при виготовленні диска набагато могутнішим полем, ніж під час експлуатації диска записуються дані. Тому, якщо на поверхні диска не виявлені залишки синхродоріжки, те можна гарантувати, що всі дані тим більше знищені. Наявність же синхродоріжки після візуалізації магнітних полів методом Биттера можуть бути виявлені навіть без застосування мікроскопа.