随着现代信息化建设的不断发展,计算机在工作中的使用日益普及,存储载体在办公、信息存放中得到了全面的应用,办公用秘密电子文档也主要存放在各种存储载体上,特别是硬盘、软盘及近几年发展起来的移动存储设备,为办公信息传递信息存储带来了极大的方便,也给办公秘密电子文档保密工作带来极大隐患。
一、对电子存储载体操作的误区
1.删除文件
我们大部分人包括一些有些计算机知识的人,都认为文件删除就是将存储载体上文件数据都彻底的删除掉,其实不然。删除文件时,操作系统只是在dir区到该文件名,将该文件名的第一个字母改写为删除删除标记”e5”,把该文件在fat区的相应的链接簇标记改写为空,而data区的簇仍保存着原文件的数据,对带有删除标记的文件,操作系统不借助其他工具是无法看到文件数据的,对操作系统而言,文件是被删除了,而实际情况是文件的数据仍然存在于data区,用特殊工具这些数据可全部读出。
在windows下,删除的文件被放进了回收站,回收站的文件是可以被恢复的,当然这些文件也没有被彻底删除。打开回收站我们看到”清空回收站”功能,点击”清空回收站”,回收站的内容消失,操作系统只是将dir区回
收站子目录下的删除文件及参数删除,将fat表下相应的链路清空,释放dir区、fat区、data区相应的区域,使该区域可能被新的数据所覆盖,而实际存放数据的data区并没有改变,文件的真正数据还存在data区,这些数据还可通过专用工具进行恢复。
因此,不管是dos下的删除文件还是windows低级格式化下的删除文件以及清空回收站,都没有将真正存储文件数据的data区内相应的区域进行写入操作,文件的数据没有被真正删除,还可以通过一些工具将数据恢复。
2.分区
对已经存储过数据的硬盘来说,分区根本不对data区进行任何操作,只是由分区程序(fdisk)在0柱面1扇区写入mbr信息,重新逻辑驱动器。原先写入data区的数据仍然保存在原来的区域,用特殊的工具还是能读出来的。因此,对硬盘重新分区无法彻底删除原先存储的数据。
3.高级格式化
高级格式化只是重新建立了dbr区、fat区和dir区,对data区只是重新规划了起始值,它对data区没有进行任何写入操作,也就是说data区的数据没有进行任何覆盖和擦除操作。因此,对一个已经使用过的硬盘进行高级格式化,并不能彻底删除其原有的数据。
通过以上对硬盘的操作探讨,我们不难得出结论,无论是删除文件、对硬盘进行分区还是高级格式化,都无法彻底删除硬盘上原有的数据,这些数据还是有可能被泄露。
二、数据恢复技术
要彻底删除硬盘上的机密数据,我们就要从硬盘的数据恢复技术讲起。硬盘数据恢复技术分为软件数据恢复技术和软件、硬件、硬件结合数据恢复技术。
软件数据恢复技术主要是针对硬盘组织结构的五个区域进行分析和操作,这些数据恢复都是在操作系统环境下进行,必须在data区域的数据没有被覆盖和破坏的情况下进行的。软件的数据恢复通过数据恢复应用软件,一般懂计算机知识的人员都可进行操作使用,这些数据恢复软件可以对本地存储载体进行数据恢复,还可通过网络对远端存储载体进行数据恢复,但软件恢复技术对存储载体硬件损坏、data区数据被覆盖、完全低级格式化、全盘清零、强磁场破坏的存储载体的数据恢复是无能为力的。
采用软、硬件结合的数据恢复方式,主要是使用恢复用的仪器设备对接触到存储载体进行的。这些设备的恢复原理也是大同小异,都是把硬盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,盘面上的磁信号不同(0和1)反映到激光束发射的信号上也是不同的。通过仪器的扫描,可把整个硬
盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。这种设备的数据恢复率是相当惊人的,当然,这样的操作也是非常专业的,也只能用在国家安全级别的用途上,这样级别的数据恢复设备主要都是由美国人掌握。
三、如何彻底删除硬盘原在数据
我们需要记住的关键一点是,恢复数据远比彻底删除数据要简单。要想彻底删除存储载体上存储过的原有秘密数据,最有效的方法就是将存储过秘密数据的载体进行物理销毁,但这样做会造成设备浪费。下面简单介绍几种删除秘密数据的方法:
1.对存储载体进行低级格式化
低级格式化会对硬盘寿命有影响,所以一般不会对硬盘做低格操作。低级格式化用软件恢复数据方法是无法恢复秘密数据的。
2.用数据删除应用软件删除存储载体秘密数据
目前,有很多删除存储载体数据的应用软件,例如 darik’s bootandnuke 1.0.7 是删除全盘数据的应用软件;
disk redactor v1.7 和 erasers 软件是删除存储载体空闲区域的应用软件。经过这些应用软件删除后的数据,用软件数据恢复方法是无法恢复原有数据的。
3.用无关的数据覆盖存储载体
先用操作系统的删除文件操作删除秘密文件并清空回收站,再用无关的数据文件写入存储载体,对原有的fat、dir、data区的数据进行覆盖,也能防止用软件恢复技术恢复数据。但这种数据覆盖一定要将存储载体所有的区域都要覆盖掉,特别是data区的数据。这种方法,对病毒或人为将数据写入存储载体的隐藏区域或将数据写入存储载体的”坏磁道”上的秘密数据无法进行覆盖。
以上删除方法操作一次可阻止用软件恢复数据方法恢复秘密数据,但一次删除操作无法阻止用仪器和软件相结合的技术来恢复你存储载体上原先存过的数据,这就需要你存储过秘密数据的载体不丢失或不借与他人使用,要想彻底删除存储载体上的秘密数据,一是以上删除数据方法要重复六次(有些资料4-5次以上);二是将存储载体永久消磁处理;三是彻底物理销毁存储载体。
防止电子涉密存储载体泄密,不仅要通过技术手段阻断涉密存储载体随意使用,还要普及存储载体的原理、结构及存储载体数据恢复技术和存储载体数据彻底删除技术,知道如何使用存储载体,阻断因对存储载体一些知识存在模糊概念而产生的侥幸心理,把好秘密通过存储载体泄露关口。
发布评论