IT 資產處置(ITAD):安全資料銷毀的完整指南
IT 資產處置(ITAD)是處理 IT 設備退役、回收或重新利用過程中不可或缺的步驟,旨在確保機敏資料在處置過程中得到妥善銷毀,防止未經授權的存取或資料洩漏。本文提供 ITAD 的高層次概述,涵蓋定義、資料銷毀方法、全球標準,以及安全和合規的 IT 資產管理中需考慮的關鍵因素。
什麼是 IT 資產處置(ITAD)?
IT 資產處置,或稱 ITAD,是指安全處理已到生命週期終點的 IT 資產的過程。這包括資料載具設備,例如電腦、伺服器、儲存裝置和網路設備。ITAD 的目的是確保機敏資料徹底銷毀,以防止未經授權的存取或洩漏。此外,ITAD 也涵蓋環保和可持續性的實踐,也是企業責任策略的一部分。
ITAD 中的資料銷毀方法
ITAD 中的資料銷毀方法通常分為邏輯銷毀和物理銷毀,針對不同設備條件和生命週期策略各有其優勢。
- 邏輯銷毀(抹除/擦除、加密擦除和消磁)
- 抹除或擦除:此方法透過軟體以0、1或隨機模式至少覆寫資料一次,使原始資料無法讀取。此方法通常適用於計劃轉售或回收的完整裝置。然而,對於受損或部分受損的儲存裝置,抹除無法完全移除資料,因為軟體抹除依賴於硬碟正常運作,以確保所有資料區塊都被徹底覆蓋。使用抹除軟體的關鍵挑戰在於軟體本身可能存在無法察覺的問題,例如程式錯誤或漏洞,這可能會導致資料無法完全抹除。由於軟體錯誤以及抹除軟體供應鏈中的潛在風險無法完全排除,僅依賴軟體自行檢測錯誤是不足夠的。因此,獨立的驗證程序,例如使用資料救援軟體軟體測試,對於確認抹除過程的效果至關重要。以下是一些可能影響基於軟體的抹除可靠性的因素:
- 軟體完整性及供應鏈風險:抹除軟體中的程式錯誤(Bug)、軟體供應商基礎設施被入侵,或供應鏈風險可能導致抹除工具無法徹底擦除資料。
- 裝置安全問題:被惡意軟體感染的裝置(特別是內核層級的惡意軟體或 CMOS 層級病毒)可能阻止抹除軟體正常運行。此外,CMOS 等級惡意軟體可能會干擾 USB 啟動的抹除軟體,甚至假裝已成功完成抹除過程。
- 裝置支援與技術進展:許多抹除解決方案無法支援路由器、交換機或其他裝置,這需要額外的專業知識來支援抹除操作。隨著 SSD 和閃存技術的快速發展,研究進度已落後,難以確定有效的抹除方法以及新型儲存媒體所需的抹除次數,以確保資料完全消除。
- 資料抹除過程中的不確定性: 各種抹除標準,例如 Peter Gutmann 的 35 次覆寫方法,都是基於研究得出的一些結論,原理是經過多次覆寫後,即使在實驗室環境中也無法救援資料。然而,由於硬體設計的差異、韌體不一致性以及機械限制等諸多因素,抹除軟體的效果無法保證。這些變數意味著,即使是高度可信賴的抹除方法,也無法確保完全移除數據,尤其是在較新的或較複雜的儲存設備上。
- 加密擦除:也稱為Cryptographic Erasure/Crypto Erase,做法是不抹除加密資料,僅安全地擦除加密金鑰。這種方法的前提是,由於現代加密演算法的穩健性,如果沒有加密金鑰,即使使用先進的硬體,解密資料也將花費非常長的時間。加密擦除的安全性取決於在合理的時間範圍內無法暴力破解加密金鑰,這使其成為一種有效且高效的資料擦除方法。此技術對於自我加密硬碟 (SED) 和其他支援本機加密的裝置特別有價值。雖然從理論上講,透過將強大的硬體(例如 200,000 個 Nvidia H200 GPU)連結在一起可以加快暴力破解加密金鑰的速度,但對於目前的技術來說,這仍然非常不切實際。然而,未來計算速度進步會帶來不確定性。例如,高速連接多台量子電腦可能會大幅改變格局。隨著硬體的不斷發展,更快、更有效率的處理最終可能會挑戰加密擦除安全性的假設。這種不斷發展的情況強調需要持續評估資料擦除方法,以確保長期資料安全。
- 消磁:消磁透過強大的磁場擦除磁性儲存裝置(如硬碟和磁帶)上的數據,藉由擾亂其磁性排列來達到資料清除的效果。此方法也適用於損壞或部分損壞的磁性儲存設備。為了確保消磁的有效性,消磁機所產生的磁力(以奧斯特(Oersted, Oe)為單位)必須超過儲存媒體的抗磁力/矯頑力(coercivity)。雖然消磁對磁性媒體非常有效,但會使裝置無法再使用,且無法應用於固態硬碟(SSD)或其他基於快閃記憶體的儲存裝置。消磁的一個限制是它不會留下任何肉眼可見的證據,因此難以確認消磁機在每次操作中是否正常運行,以及操作人員是否確實將硬碟放入消磁機並進行了消磁。儘管有些消磁機內建測量功能,可顯示每次使用時產生的奧斯特 (Oe) 強度,但更完善的方法是使用第三方驗證技術來確認消磁機運作正常,並確保硬碟確實經過處理。此額外的驗證在需要嚴格記錄資料銷毀成功的環境中能提供更高的保障。
- 抹除或擦除:此方法透過軟體以0、1或隨機模式至少覆寫資料一次,使原始資料無法讀取。此方法通常適用於計劃轉售或回收的完整裝置。然而,對於受損或部分受損的儲存裝置,抹除無法完全移除資料,因為軟體抹除依賴於硬碟正常運作,以確保所有資料區塊都被徹底覆蓋。使用抹除軟體的關鍵挑戰在於軟體本身可能存在無法察覺的問題,例如程式錯誤或漏洞,這可能會導致資料無法完全抹除。由於軟體錯誤以及抹除軟體供應鏈中的潛在風險無法完全排除,僅依賴軟體自行檢測錯誤是不足夠的。因此,獨立的驗證程序,例如使用資料救援軟體軟體測試,對於確認抹除過程的效果至關重要。以下是一些可能影響基於軟體的抹除可靠性的因素:
- 物理銷毀(切碎、研磨、解體、粉碎、鑽孔/打孔、壓碎)
- 物理銷毀通過物理改變儲存媒體來使數據無法還原,包括切碎、研磨、解體、粉碎、鑽孔/打孔、壓碎等技術。這些方法能夠徹底破壞儲存設備,使其無法再使用,特別適用於無法通過邏輯擦除的損壞或部分損壞的設備,或是需要遵循特定標準或法規要求的情況。EN 15713 和 ISO/IEC 21964 等標準提供了根據資料機敏度等級粉碎顆粒大小的指引,為採用物理破壞的 ITAD 流程提供了非常有價值的參考。對於快閃儲存媒體,務必確保每個記憶體晶片都已被銷毀,而不僅僅是主電路板,否則還是可以通過「晶片重組修復技術」還原數據。
全球引用最廣泛的資料銷毀標準
多項國際標準指引組織實施安全且合規的資料銷毀方法:
- ISO/IEC 27001:2013 及 ISO/IEC 27001:2022: ISO/IEC 27001:2013 和 ISO/IEC 27001:2022: 這些廣泛採用的標準提供了一個全面的資訊安全管理框架,將資料銷毀流程納入更廣泛的安全政策中。2022 年修訂版針對新興技術和不斷演變的威脅引入了更新的控制集合。值得注意的是,新增的附錄 A 8.10 規定:「儲存在資訊系統、設備或任何其他儲存媒體中的資訊,在不再需要時應當刪除。」此項特定控制強調在資料不再需要時,應安全刪除所有媒體中的資料,以防止未經授權的存取或誤用。
- DoD 5220.22-M:也稱為國家工業安全計畫操作手冊 (NISPOM),在早期經常被引用為資料清理標準,很大程度上是因為當時幾乎不存在其他資料銷毀標準。手冊本身僅包含兩段有關資料清理的資訊。在實踐中,資料銷毀行業結合了 DoD 5220.22-M、各種 DoD 備忘錄以及國防部所屬國防保安處(Defense Security Service,DSS)的資料清除與銷毀方法參考矩陣表(Clearing and Sanitization Matrix,C&SM)中的元素,形成了坊間流傳的《DoD 5220.22-M 標準》,其中包括著名的DoD 3次覆寫 和DoD 7次覆寫方法。然而,截至 2007 年 6 月版的 DSS C&SM,它明確提到「對於磁性儲存媒體的資料清除,不再接受軟體覆寫;只接受消磁或物理破壞」。
- NIST Special Publication 800-88 Revision 1:NIST 800-88 是美國的媒體清除指南,根據媒體類型指定資料清除的建議方法,提供適用於廣泛資料敏感度的清除協議。
- DIN 66399:這是一項德國標準,針對媒體類型進行分類,並根據安全等級指定物理銷毀方法,透過定義各種儲存媒體的顆粒大小,使銷毀技術與資料機敏性保持一致。
- EN 15713:2009 及 EN 15713:2023:這是一項歐盟標準專注於「機密與敏感資料的安全銷毀」,詳述適用於處理機密資料的設施之安全銷毀流程操作要求。這些標準為資料銷毀提供了絕佳的參考依據,尤其適合在歐洲營運的公司、需要處理歐洲資料或個人識別信息(PII)、或需要遵循GDPR法規的企業。
- ISO/IEC 21964:2018:ISO/IEC 21964:2018,通常稱為資料銷毀標準,針對不同存儲媒體的物理銷毀安全進行指導,並依碎片大小分類銷毀方式。此標準在多方面與 EN 15713 相似,可視為 EN 15713 的全球版標準。
其他ITAD相關標準和認證
除了核心的全球和廣泛認知的 ITAD 標準之外,其他認證還支援資料安全性、合規性和永續性:
- NPSA Standards (前身為 CPNI):英國國家保護安全局提供機敏資訊的安全處理和銷毀指引,特別適用於公共部門。
- NSA 評估產品清單(EPLs):美國國家安全局的評估產品清單包括政府級安全認證的資料銷毀設備,例如認證的粉碎機和消磁機。
- NAID AAA Certification:由國際資料銷毀協會管理,NAID AAA 認證服務提供商的安全資料銷毀實踐,並進行例行審核。
有效 ITAD 的關鍵考量
一個全面的 ITAD 策略需考慮安全、合規和可持續性,涵蓋在資料安全和環境責任中至關重要的因素。
- 環境、社會和治理(ESG)影響
- 可持續的 ITAD 實踐有助於減少碳排放和廢物。 R2(負責任回收) 及 e-Stewards 等認證要求認證的回收商遵循嚴格的環保標準,確保電子廢料的負責任回收或處置。
- 設備範圍:應銷毀的資料類型
- ITAD必須涵蓋所有資料載具設備,包括硬碟、SSD、NVMe、手機、平板電腦、智慧卡/晶片卡、SIM卡、數位門禁、門禁卡、RAID控制器、TPM、影印、列印、傳真、多功能事務機、視訊會議系統、網路設備(如路由器、交換機、無線基地台控制器、無線存取點/WAP、網路負載平衡器)和專用硬體(如 RADIUS/ TACACS+、硬體安全模組HSM、IDS/IPS、代理伺服器設備)。每種類型的設備都可能儲存存取權限、設定檔、日誌、個資和敏感訊息,需謹慎處理以防止未經授權的存取。
- 考慮新型儲存媒體
- 快閃記憶體媒體技術不斷發展,出現了 SLC(單層單元)、MLC(多層單元)、TLC(三層單元)、QLC(四層單元)和 3D NAND 等進步。在使用軟體抹除方法時,這些發展帶來了很大的不確定性,因為資料抹除的有效性可能會根據特定技術及其底層架構的不同而有所不同。
- 本地法規和合規性
- 符合當地法規要求至關重要,例如歐盟的《一般資料保護法規》(GDPR)。GDPR 的違規行為(例如不當的資料銷毀)可能會導致高額罰款,最高可達公司年全球營業額的 4%。任何儲存歐盟公民資料的媒體均在 GDPR 的範疇內,無論該媒體位於何處。瞭解資產所在地的法規環境,是確保 ITAD 作業合規並降低財務風險的關鍵。
- 與認證的 ITAD 供應商合作
- 認證的 ITAD 供應商能夠確保資料銷毀的專業性,遵循行業最佳實踐和標準。應選擇具備資安專業知識(例如資料還原專家、 晶片重組修復技術 及專家)的供應商,他們可以評估銷毀需求,並執行適當的銷毀等級。認證供應商還提供可重複、可審計的流程,使用認證的設備來提供一致和可靠的結果。
- 可重複和認證的流程及設備
- 透過已認證的銷毀設備與標準化流程(例如 NSA EPL 認可的粉碎機或消磁機)可確保資料銷毀的一致性與合規性。為符合安全標準,組織應定義清晰的指導原則,將資料的敏感性等級與媒體類型對應到適當的銷毀方式。也必須建立驗證規範,指定每種設備類型的檢查比例,並設立損壞程度的標準,以確保所有的記憶體晶片、晶片及磁條被銷毀到不可還原的程度。
- 明確界定各方的責任與要求
- 為了確保在 ITAD 流程中的責任分工明確,應清楚界定各方的責任與要求。例如,外包的 ITAD 服務供應商需要持有 ISO 27001 或同等資料銷毀相關認證,並負責物流、媒體驗證及執行銷毀程序。內部團隊則可能負責記錄物流和銷毀需求、根據敏感度對媒體進行分類、維護媒體序列號記錄、監督現場銷毀,並確保符合既定標準。內部團隊需要明訂從設備退役後到銷毀的最長時間範圍,並訂立 ITAD 服務供應商完成銷毀、提供證書和報告設定最後期限。
- 詳細的驗證與審核
- 驗證步驟,例如使用不同的第三方復原軟體對每個碟進行深入的資料復原測試、對每個磁性儲存媒體使用 消磁驗證技術 、監控每次消磁的強度、驗證所需的粉碎粒度、詳細檢查破壞程度,以提供證據的資料安全。全面的審計和認證可協助組織維持清晰、記錄的監管鏈,確認資料銷毀符合監管和安全標準。
- 物流風險管理
- 為了在運輸過程中降低風險,可以考慮進行到府銷毀,或使用具 GPS 追蹤功能的可上鎖貨車,並採取額外的安全措施,例如可上鎖的物流箱、黑色收縮膜、可識別公司的一次性使用流水號鋼絲帶和一次性使用防篡改封條。這些預防措施可保護數據完整性,並有助於防止在物流過程中未經授權的訪問。
- 多步驟銷毀 / 雙重安全 / 縱深防禦保護
- 結合多層次的保護措施確保數據安全。例如,磁性媒體應在退役或損壞當日進行消磁處理,並在下次安排的 ITAD 處理流程前安全鎖存,直至進行最終的現場物理銷毀,並搭配安全的物流與監控流程,形成縱深防禦策略。
結論
在當今資料敏感和環保意識日益增強的世界中,實施一個安全、合規且負責任的 IT 資產處置(ITAD)流程至關重要。遵循既定標準、與認證供應商合作,並使用認證流程和設備,能確保有效的資料銷毀和合規操作。一個完善的 ITAD 計畫不僅防止資料外洩,還支持 ESG(環境、社會與治理)倡議,推動可持續發展和負責任的資產處置,這在日益互聯且環保意識提升的社會中尤為重要。