其乐融融的IT技术小站

数据清理技术:标准、实践、法规

【51CTO.com快译】遵循有效的数据清理流程可以减少组织的数据被盗或泄露的机会,并提高合规性。

[[375430]]

作为数据存储和保留活动的一部分,组织必须在存储介质中完全删除数据,甚至需要毁坏存储数据的存储介质。而数据清理是完全不可逆地破坏存储设备上数据的过程。

可以清理的媒体设备包括磁盘、闪存设备、CD和DVD。如果对设备进行了适当的清理,则不应有可用的残留数据,甚至高级取证工具也无法恢复任何数据。数据清理技术包括擦除数据的专用软件、连接到存储介质并擦除数据的专用设备,以及采用物理方法销毁存储介质以便无法恢复数据的过程。

数据清理在备份中的重要性

一旦不再需要备份数据或清理过期的数据,组织就必须根据数据保留策略来存档或销毁。如果组织在内部部署数据中心存储数据,则可以基于存储介质使用各种数据清理技术进行完全销毁。IT组织在进行审核时,审核员需要检查和验证数据销毁活动的证据。

如果组织将数据存储在异地,例如在云备份存储,则云计算供应商必须为其销毁客户数据,然后验证其数据是否已被正确地完全销毁,并且无法恢复。组织在与云存储或其他托管服务提供商合作之前,需要研究其用于销毁数据的过程,并了解如何证明已经对数据进行了完全销毁。非现场数据存储公司如果不能证明数据销毁,将意味着数据可能会被恢复,尤其是在存储供应商遭受网络攻击以获取客户数据的情况下。

标准和实践

行业机构ARMA International发布的《记录和信息媒体的合同销毁》标准提供了有关如何销毁数据和存储介质的指南。客户和数据销毁供应商都可以遵循并使用。

美国国家标准与技术研究所出版的NIST特别出版物800-88第1版《存储介质清理指南》(2015年2月),根据组织对信息数据保密性的分类,提供了详细的数据存储介质清理指南。它支持另一种广泛使用的NIST标准SP 800-53的关键条款,该标准名称为《美国联邦信息系统和组织的建议的安全控制》。

有关数据清理技术的其他标准和法规还包括:

  • 《通用数据保护条例》(GDPR)的多个部分,例如第17条的删除权;
  • PCI DSS(支付卡行业数据安全标准)第3.1、3.2、9.8.2和10.7节;
  • ISO/IEC 27001,信息安全管理,第A.8.3.2节,存储介质的处置,以及A.11.2.7,安全地处置或重复使用设备;
  • 纽约州金融服务公司的网络安全要求23 NYCRR 500,第500.13节,数据保留限制。

制定数据清理政策的重要性

首先建立数据销毁策略以补充组织的数据保留策略。数据保留政策和程序是美国许多现行法律中的特定要求,例如《萨班斯-奥克斯利法案》(SOX)和《健康保险携带与责任法案》(HIPAA)。数据销毁策略可确保不再使用的设备和媒质的内容被安全地删除、销毁或覆盖,从而使以后检索重要数据变得极为困难或不可能。制定数据销毁策略还可以减少数据或隐私泄露的可能性,从而降低组织可能面临的责任。

除了数据销毁策略外,组织还应具有正式的文档编制程序,以确认用于销毁数据和存储介质的过程。因此,要求数据管理政策和程序的大多数法规都提供所有数据保留和销毁活动的正式文件,这可以向法院提供证据,证明任何有关数据都已经被销毁。

数据销毁策略及其关联的销毁过程中的关键组件之一是用于安全销毁数据和存储介质的技术。通常使用以下四种技术:

  • 覆盖。通常通过软件实现,这个过程可以简单安全地使用新数据覆盖存储介质,也被称为擦除,只要在存储媒质中写入大量数据即可(例如采用0和1或特定的字符模式)。
  • 消磁。这项技术使用称为消磁器的设备​​以电子方式消除磁盘或驱动器的磁场。而在正确使用消磁后,磁盘将无法使用。但是,磁盘制造商可能会在工厂重新格式化磁盘。
  • 加密。加密通常用于保护数据不被未经授权的访问,也可用于使存储设备上的数据无法访问。使用强大的密钥可以有效地防止对存储在设备上的所有数据进行加密和解密。通过销毁加密密钥,加密数据将永久不可访问。
  • 物理破坏。这种技术通常被认为是最安全和永久的破坏方法。必须彻底销毁存储介质,因为即使是一小块磁盘也可能包含数据。典型的技术包括将存储介质进行研磨或粉碎;焚化;将腐蚀性化学物质(如硫酸)施加到磁盘表面;使存储介质汽化或液化;或对存储介质施加极高的电压进行破坏。

相关法规

《萨班斯-奥克斯利法案》(SOX)要求组织制定严格的记录保留策略和程序,但未指定特定的数据存储格式。它要求组织管理人员对其信息建立内部控制,以确保完整性、正确性和快速访问权限。但是,SOX法规还要求对上市公司进行审计的会计师事务所在完成审计后至少保留七年的相关审计文件。违反者将会面临最高1000万美元的罚款和20年的监禁。

与SOX法案类似,HIPAA法案侧重于保护电子个人健康信息。HIPAA法案中的数据清理条款可以在第164.306节“安全标准”、第164.308节“行政保障”和第164.314节“组织要求”中的“安全规则”(C部分)中找到。

有效使用数据清理技术可以最大程度地减少具有价值的数据被盗或泄露的机会。组织有多种选择永久销毁数据和存储介质。而采用正确的数据清理政策,组织就可以经济高效地满足数据销毁要求,并遵守相关法规。

原文标题:Data sanitization techniques: Standards, practices, legislation,作者:Paul Kirvan

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: