儲存介質安全

• 儲存介質安全是資料儲存安全中的一個重要部分，對資料的儲存介質（如磁碟，硬碟，虛擬容器，虛擬機器等）進行管理，可以有效防範因為儲存介質的不當使用而引發的資料洩露風險。

建立負責儲存介質安全的職能部門

• 在條件允許的情況下，組織機構應該設立一個數據儲存介質安全管理部門，並確定相關人員負責管理公司整體的儲存介質安全，包括學習市面上常用 的資料儲存介質安全管理思想，結合公司的實際情況，為公司制定整體的資料儲存介質安全管理方案和標準，建立儲存介質的審批，使用和記錄等流程，通過常規與隨機相結合的方式檢查公司儲存介質的狀態和流程，考查其是否符合介質儲存規範和介質使用規範等，以及是否存在其他的風險薄弱點。

明確儲存介質安全崗位的能力要求

• 具備良好的資料安全風險意識。
• 熟悉國家網路安全法律法規，以及組織機構所屬行業的政策和監管要求。
• 熟悉不同儲存介質訪問和使用的差異性。
• 熟悉公司實際情況，根據實際情況明確組織機構對資料儲存介質進行儲存，訪問和使用的實際場景。
• 能夠依據資料分類分級的結果來確定其對資料儲存介質的要求。
• 能夠制定出有效的，符合公司實際情況的資料儲存介質安全管理制度。

儲存介質安全崗位的建設及人員能力的評估方法

• 調研訪談
  • 主要是對資料儲存介質安全部門管理人員的訪談。
  • 確認是否熟悉常用的資料儲存介質管理方案。
  • 是否清楚公司內部訪問和使用資料儲存介質的場景。
  • 是否建立了明確的儲存介質安全管理制度。
  • 是否對儲存介質進行了分類分級並全部打上了專屬標籤。
  • 是否明確了儲存介質的使用要求，例如：設立了使用規範制度，設立審批機制，設立測試流程等。
  • 是否定期或隨機審查儲存介質的狀態，以防出現紕漏。
• 問卷調查
  • 是否制定了可靠且有效的儲存介質安全管理制度。
  • 是否明確了儲存介質的存放環境管理制度。
  • 是否對主要儲存區域做了劃分(比如：防塵，防水，防電等分類標識 )。
  • 是否制定了明確的儲存介質使用流程。
  • 是否能提供諸如申請表單，使用記錄，儲存介質狀態等一系列的書面證明。
  • 是否明確了儲存介質的購買，維修，測試等規範。
  • 是否定期對儲存介質進行審查。
  • 是否能夠提供相關工具對介質進行淨化，訪問和審計等操作。
• 流程觀察
  • 以中立的視角觀察資料儲存介質安全部門管理人員的工作流程，包括公司制定整體的儲存介質安全管理制度，儲存介質使用和審批制度，針對儲存介質的測試和維修等相關制度時流程是否符合標準，在對儲存介質進行常規或隨機檢查時所選擇的檢查項是否合理，尤其是相關人員所制定的儲存介質安全管理方案能否契合公司內部環境。
• 技術檢測
  • 確認其是否能夠實時監控儲存介質的狀態，包括儲存介質的使用情況，效能指標，報錯資訊等等。
  • 針對儲存介質每一次使用，技術工具需要檢測其是否可以收到相應的使用記錄和審計資訊。
  • 針對資料儲存環境，技術工具需要檢測其儲存環境與標籤標註的環境是否一致，分類的劃分是否符合資料儲存介質安全管理制度。

明確儲存介質安全管理的目的

• 資料儲存介質可分為物理實體介質（比如：磁碟，硬碟)和虛擬儲存介質(比如：虛擬容器，虛擬盤)。針對資料儲存介質進行訪問和使用的場景，組織機構需要提供有效的技術和管理手段，防止出現因對介質的不當使用而引發資料洩露問題。

儲存介質的定義

• 儲存介質是指儲存資料的載體，包括檔案檔案，計算機硬碟，U盤，行動硬碟，儲存卡，光碟，快閃記憶體和列印的媒體等。

儲存介質採購規範

• 儲存介質應由儲存介質安全管理部門統一進行採購。
• 採購儲存介質時需要遵循申報，審批，採購，標識，入賬的流程。
• 採購儲存介質時應選擇可靠的品牌，以確保產品的質量。
• 採購儲存介質時應進行防病毒等安全性檢測，在確保儲存介質安全的情況下入賬。

儲存介質存放規範

• 資料儲存介質由儲存介質安全管理部門統一進行管理。
• 儲存介質的存放環境應採取防火，防盜，防水，防塵，防震，防腐蝕及防靜電等措施，從而防止儲存介質遭到盜竊，損毀，未經授權的修改，以及其中所村資訊的非法洩露等。
• 對於磁帶，磁碟等帶有磁性的儲存介質，應注意儲存環境符合要求，以保證其長期有效。
• 應根據所儲存資料的容量和重要性，合理選擇相應的資料儲存介質。
• 資料儲存介質必須具有明確的分類標識，標識必須包括儲存資料的內容，歸屬，大小，儲存期限，保密程度等，並結合資料型別和管理策略統一命名，儲存介質的標識必須是醒目的。
• 建立資料儲存介質保管清單，由儲存介質安全管理部門根據保管清單對介質的使用現狀進行定期檢查，檢查內容包括完整性(資料是否損壞或丟失)和可用性(介質是否受到物理破壞)。
• 一旦有儲存介質出現問題，就必須及時報告給上級領導部門。
• 根據資料備份的需求，確定進行異地儲存的備份介質。

儲存介質運輸規範

• 儲存介質在運輸過程中，必須採取密封處理。
• 應選擇可靠的速遞公司承擔介質的傳遞工作，應在與速遞公司的合同中約定介質的傳遞時間和傳遞期間的安全保障(防火，防震，防潮，防磁，防盜)等方面的要求。速遞公司的資質，介質傳遞流程和速遞合同等須獲得儲存介質安全管理部門的批准。
• 對存有敏感業務資訊的介質進行異地傳輸時，應選擇本單位的可靠人員進行傳遞並使用專用的安全箱包進行包裝。
• 移動儲存介質的接收應履行登記，入賬等手續。
• 儲存介質安全管理部門需要對儲存介質的運輸過程進行詳細的記錄。

儲存介質使用規範

• 啟用新的儲存介質或使用移動儲存介質時，必須進行安全檢查和查殺病毒處理。
• 儲存介質的使用需要在受控的辦公場所的指定計算機連線。
• 非本單位的移動儲存介質一律不得與涉密計算機連線。
• 應避免在高溫，強磁場的環境下使用儲存介質。
• 涉密和非涉密的儲存介質禁止交叉使用。
• 因公務需要而攜帶儲存介質外出時，必須經過儲存介質安全管理部門審批同意並登記。
• 由於儲存介質體積小，易於流傳，因此在使用時應對其安全保管，防止丟失。
• 如使用移動介質對敏感資料進行轉移儲存，則需要在使用前對移動介質進行格式化，並在使用後立即刪除敏感資料。
• 複製移動儲存介質中的資訊，應經過儲存介質安全管理部門的批准，並履行登記手續，複製件應視同原件進行管理。
• 複製移動儲存介質中的資訊時，不得改變其知悉範圍，並由儲存介質安全管理部門進行監督。

儲存介質維修規範

• 儲存介質的維修應經過儲存介質安全管理部門審批。
• 對於送外維修的介質，應首選清除介質中的敏感資料。
• 移動儲存介質需要送外維修時，必須到儲存介質安全管理部門指定的單位進行維修，由儲存介質安全管理部門全程陪同監督。
• 儲存介質的維修應由儲存介質安全管理部門負責，並對維修人員，維修物件，維修內容，維修前後的狀況進行監督和記錄。

儲存介質銷燬規範

• 儲存介質的銷燬應經過儲存介質安全管理部門審批，未通過審批不得自行銷燬。
• 為防止敏感資訊洩露給未授權的人員，各部門應將需要銷燬的儲存介質送到儲存介質安全管理部門，由儲存介質安全管理部門統一進行安全銷燬。
• 儲存介質銷燬之前，儲存介質安全管理部門需要對介質中所含的資訊進行風險評估，以確定儲存介質的處理方式。
• 任何含有敏感資訊的中間儲存介質，都需要銷燬其中所存的資訊。
• 任何儲存介質，在用於儲存保密資訊之前，都必須進行格式化。
• 刪除儲存介質中的敏感資訊後，必須執行重複寫操作，以防止因資料恢復而導致的敏感資訊洩露。
• 含有硬複製形式的敏感資訊儲存介質的報廢處理方式是粉粹或燒燬。
• 儲存介質安全管理部門需要記錄對儲存介質所做的處置，以備審查。
• 被銷燬介質上的備份內容如果未到備份儲存期限，則應將備份內容複製到較新的介質上，並將複製後的介質歸檔。

使用技術工具

• 儲存介質指的是儲存資料的介質，是一種物理載體，不管是本地資料還是網路上的資料，最終都是儲存在這樣的物理載體上，常見的儲存介質有硬碟，軟盤 ，記憶體，光碟，磁帶等。而儲存介質作為一種物理載體，就會存在損壞，故障，壽命有限，以及安全性等問題。因此需要利用相應的技術工具來管理儲存介質，從而保證儲存介質中的資料能夠安全，可靠地執行，避免出現數據丟失，損壞，洩露等問題。

儲存介質的常見型別

• 磁介質
  • 我們日常使用的硬碟其實全稱為硬磁碟，除了硬碟之外，還有，磁卡，軟盤，磁帶。
• 半導體介質
  • 半導體一般分為兩大類，即隨機存取儲存器（RAM）和只讀儲存器（ROM），半導體介質具有體積小，儲存速度快，儲存密度高，與邏輯電路對接方便等優點。
• 光碟介質
  • 一種利用光資訊作為資料載體的記錄材料，它利用鐳射掃描的原理進行讀寫，光碟作為一種十分重要的儲存介質，具有可以存放大量資料的特性，常見的有CD，DVD，VCD。

儲存介質的監控技術

• 對於光碟介質，需要監控和審計的重要行為就是燒錄。
• 製作加密光碟，並規定只有使用特定的金鑰才可以讀取光碟的寫入資料。
• 只有在系統上註冊過的燒錄機才能進行光碟燒錄作業。
• 在光碟燒錄全生命週期(包括燒錄申請發起，審批了，燒錄資源授權等)中，均需要有相應的管理人員進行審批，並只有審批通過後才能進行最終的燒錄作業。
• 支援全面的日誌審計，如使用者名稱稱，燒錄檔名，檔案處理方式，檔案密級，任務提交時間，燒錄檔案分數，檔案包含頁數，使用燒錄機名稱，實際操作人，任務狀態等資訊。
• 磁介質和半導體介質的典型代表分別是硬碟和記憶體。
• 本地儲存介質的監控和審計技術已經十分成熟了，Windows有資源監視器，Linux有top,htop,iotop等。
• Linux上提供友好視覺化介面的工具，例如：開源Cockpit，基於Web的管理工具。

基於資料擦除的介質淨化技術

• 對儲存介質中的資料執行清除操作，這種操作也稱為介質淨化。
• 一般來說，只有可重複使用的，可擦除的儲存介質才能進行清除操作，一次性的，不可擦除的儲存介質是無法進行清除操作的，需要廢棄時只有使用物理手段進行銷燬，淨化的原則之一就是儘量做到不可恢復，以防止淨化後的儲存介質被有心人利用進行資料恢復。
• 光碟的資料清除操作只需要用燒錄機對光碟進行燒錄操作即可，目前的燒錄機軟體都帶有物理完全擦除功能，其原理就是通過重新燒錄凹槽覆蓋原本的凹槽，從而達到擦除資料的目的，擦除光碟的過程是一種物理過程，所以光碟上的資料基本上是無法恢復的。
• 半導體儲存器的類別包含RAM和ROM兩大類。
  • RAM屬於易失性儲存器，這種儲存器的特點是需要不斷加電重新整理才能保持資料，完全斷電一段時間後，其中的資料就會完全小時且無法恢復，所以RAM通常用於作為電子裝置的記憶體。
  • ROM則是非易失性儲存器，不能通過斷電來進行資料清除，其資料清除過程涉及較為複雜的物理過程，擦除方法通常是在源極之間加高壓，從而形成電場，通過F-N(Fowler-Nordheim)隧道效應實現擦除操作。
• 磁碟儲存器是最主要的儲存介質之一，對於磁碟資料的清除手段主要包含如下：
  • 反覆對同一磁碟扇區寫入無意義的資料，從而把資料還原的可能性降至最低。
  • 磁碟扇區清零操作，即多次(至少一次)對磁碟的所有扇區全部用0或全部用1寫入，使得磁碟上的所有資料全部丟失，這種清除方式比較徹底，但耗時稍長。
  • 直接訪問主檔案列表，找到檔案的具體儲存位置，並解碼二進位制檔案，從而徹底清除檔案，這種方法減少了對作業系統的依賴，避免了大量盲目填寫無效檔案的操作，同時，這種方法還可以保護磁碟，延長其使用壽命。
  • 目前使用較多的專業磁碟清除工具有：Darik's Boot and Nuke, HDShredder等

技術工具的使用目標和工作流程

• 儲存介質管理
  • 提供統一的管理平臺，管理所有儲存介質的使用，記錄等情況，以便對儲存介質進行更好的管理。
• 儲存介質監控
  • 能夠實時監控所有儲存介質的使用情況，包括狀態，用量，效能等情況。
• 儲存介質掃描
  • 能夠對儲存介質進行定期掃描，掃描儲存介質各方面情況，並自動生成掃描報告。
• 儲存介質清除
  • 對於不同種類的儲存介質，能夠進行邏輯層面的，徹底的低損或無損清除，以保證需要重複使用的儲存介質在歷史資料清除乾淨的前提下不會被損壞。