为什么写
去年夏天,一家位于厦门的科技公司员工在二手交易平台上买了一块二手硬盘,结果在检查硬盘内容时惊讶地发现里面存有大量企业级的数据。这些数据包括一家建筑公司的项目投标书、工程图纸、财务预算和客户合同。经过溯源发现,这块硬盘来自该建筑公司半年前淘汰的一批旧电脑,当时公司的行政人员找了一个收二手电脑的小商贩把所有旧电脑处理掉了,没有对硬盘做任何数据清除。
更令人大跌眼镜的是,这块硬盘上还存有公司的邮箱登录缓存、VPN配置文件和数字证书。利用这些信息,持有者完全可以登录到该公司的内部系统。虽然这位买家最终主动联系了建筑公司并归还了硬盘,但这件事如果落到了别有用心的人手中,后果不堪设想。
带来哪些隐患
废旧设备数据清除的问题在国内企业中普遍存在,每年都有大量因为旧设备处置不当导致的泄密事件被曝光。
很多人对数据删除存在根本性的误解。以为把文件拖进回收站再清空就安全了,以为格式化硬盘就把数据彻底删除了,以为覆盖几次文件数据就不可恢复了。这些都是错误的认知。普通的文件删除只是删除了文件的索引信息,数据本身仍然完整地存在于存储介质上。使用免费的数据恢复软件,可以在几分钟内找回大量"已删除"的文件。即便是格式化操作,也只是抹去了文件系统的索引,真正的数据仍然可以恢复。
企业处理废旧设备的流程普遍不规范。调查显示,超过七成的中小企业没有书面的废旧设备处置流程。设备淘汰时往往是行政人员直接联系收旧货的商贩,一手交钱一手交货,根本不会关心这些设备上是否还残存着企业数据。在数据安全法和个人信息保护法实施的背景下,这种随意的处置方式已经不仅仅是管理漏洞,而是可能触犯法律的违法行为。
处置二手设备的渠道也存在安全隐患。一些小商贩专门收购企业淘汰的电脑和服务器,然后通过数据恢复手段获取其中的商业信息再转卖牟利。这并不是危言耸听,类似的灰色产业链确实存在。更有甚者,有些设备处置公司本身就存在内鬼,表面上承诺了数据销毁服务,实际上把回收的硬盘转手卖给了地下数据黑产。
不同类型的数据存储设备有不同的清除要求。硬盘、固态硬盘、U盘、手机、打印机硬盘、复印机硬盘,每种设备的数据清除方式都不一样。特别是固态硬盘,因为其内部存在磨损平衡和坏块管理机制,常规的数据清除方法效果有限。企业如果对所有设备采用一刀切的数据处置方式,很可能有些设备的数据并没有被真正擦除。
给我们什么提醒
废旧设备的数据清除工作看似小事,但它关系到企业的数据安全底线。
建立并执行严格的废旧设备处置流程非常关键。企业应当制定书面的废旧设备处置规范,规定所有存储设备在处置前必须经过指定的数据清除流程。这个流程包括什么级别的设备需要物理销毁、什么级别的设备可以多次覆写、数据清除后由谁验收签字等具体环节。
物理销毁是最彻底的手段。对于承载了高度敏感数据的硬盘、U盘等存储介质,由专业人员使用专业设备进行物理销毁是最保险的选择。硬盘粉碎机、消磁机这些设备虽然需要投入一定的成本,但相比于可能发生的泄密损失,这笔投入是值得的。
外包数据销毁服务要选对合作伙伴。如果企业选择将数据销毁工作外包,一定要核实服务商的资质和信誉。签署正式的保密协议和销毁协议,明确双方的权利义务。在条件允许的情况下,企业可以派人全程监督数据销毁过程,确保数据真正被彻底清除。
处置记录要完整留存。每一次设备处置都应当有完整的台账记录,包括设备型号、序列号、存储内容类型、数据清除方式、操作人员、验收人、处置时间等信息。这些记录不仅是企业内部管理的需要,也是未来证明企业已经履行数据安全义务的重要证据。
企业启示
废旧设备的数据安全是企业数据全生命周期管理的最后一个环节,也是最容易出问题的环节。北京企密安信息安全技术有限公司建议,企业应当把设备的"善后"工作纳入安全管理制度之中,从采购、使用、维修到报废处置,全链条覆盖。数据安全不是管到设备被淘汰就结束了,而是要管到数据被彻底销毁的那一刻。
