企业安全

对于很多IT专业人员而言，携带自己设备到工作场所（BYOD）是一个被滥用的营销术语。但不可争辩的事实是，越来越多的员工将他们的智能手机和平板电脑带到工作场所，这给网络管理人员带来BYOD挑战远远不仅限于安全问题。
BYOD挑战一：网络安全
　　安全无疑是所有BYOD挑战的头号问题，这也是很多企业拒绝采用BYOD策略的最常见原因。例如，美国华盛顿州的Wenatchee Valley医疗中心出于安全考虑而拒绝接受BYOD，该医院系统只允许智能手机通过McAfee的企业移动管理产品来访问电子邮件和日历系统，并且这些手机还需要符合严格安全要求。
　　该医疗中心高级工程师Don Lester 表示：“保护病人的医疗信息是最重要的事情，而消费级设备根本没有达到这种水平—即信息可以在任何个人设备上得到合理的保护。”
　　Gartner公司移动和通信研究主管David Willis表示，一般情况下，IT部门习惯于在终端到终端模式中进行管理，即他们来控制设备的选择和应用的安装。“然而，现在我们正在朝着这样的方向发展：不仅是由用户选择设备，而且他们控制设备上的一切。用户设备的企业端只是另一套应用。”
　　从好的方面来看，也有一些产品可以加强BYOD安全，包括移动设备管理和针对移动的网络访问控制。然而，仅解决安全问题并不能保证BYOD的成功。
BYOD挑战二：领导不支持
　　网络专业人员被夹在一场对峙的中间：最终用户和一些企业部门要求提供BYOD连接，但C级管理人员并不赞同集中化策略。在全球极度分散的重型设备制造商的高级解决方案工程师Jonathan Davis表示，让企业的多个子公司达成相同的技术策略非常困难，BYOD已经不可能了。事实上，Davis的公司拒绝部署全球BYOD策略，并指示IT部门不应该在网络中支持消费级设备。然而个别业务部门正在申请特例。IT部门没办法部署全面的策略，但他们也不能完全阻止BYOD，因为业务领导人正在要求特殊处理。
　　“业务领导层说：‘我们在无线网络中不支持iPad和 iPhone，’”Davis表示，“但同时，我们不允许使用基于证书的硬件身份验证，所以当有人试图连接到我们的无线网络时会发现，唯一需要的是他们账号。这样就又给网络增加了计划外的工作量。”
　　因此，无线接入点（AP）充斥着流氓设备，DHCP服务器的地址也被耗尽，因为IT不知道有多少台设备连接到网络。Davis表示，他可以简单地在其全球无线局域网中的VLAN上部署访问控制清单（ACL），阻止所有这些设备的MAC地址，“但业务部门不会允许我们这样做，我们有点举步维艰。”
　　在现实中，Davis被迫支持零零散散的BYOD策略，而没有适当的工具来进行管理。“一个业务部门建立了一个自定义系统，可以让iPad与服务器通信，”他表示，“最初的计划是购买具有蜂窝服务的iPad，将服务器放在DMZ中，这样它就可以从互联网来访问服务器。”
　　IT没有反对这个策略，因为它没有违反安全政策，iPad不会接触到企业网络。然而，该业务部门最终放弃了，因为他们认为这个解决方案太昂贵，并且让他们对环境没有足够的控制权。“他们说，我们要将iPad连接到企业网络，”Davis表示，“我们拒绝了，这完全违反政策。于是，他们要求获得‘特赦’。”
BYOD挑战三：扩展基础设施来应对各种设备
　　即使CEO或者CIO赞同BYOD策略，他们通常不清楚这会带来多少流量增长，以及它将如何影响整个IT生态系统。美国布兰迪斯大学的校园里大约有6000名用户，由于很多用户携带多个无线设备，该校园网络经常同时有15000台连接的设备。更严重的是，用户往往不知道自己的设备连接了。例如，最新的Mac笔记本即使在休眠状态也会保持连接，定期“醒来”连接到网络来检查电子邮件和执行其他定期更新。该学学网络服务和系统主管John Turner表示，连接设备的数量之多使高层管理人员有“脑袋爆炸”的感觉。
　　“最大的挑战是增长，呈指数增长，”Turner表示，“这超出最初的设计，并且超出了现实，使我们需要扩展。”处理增加的网络需求的一种方法是采用深入和全面的网络监控。“解决这一问题的部分在于了解网络上发生的事情，并且获取真正有用的情报，”Turner表示，“为什么人们会连接到网络？他们连接多长时间？他们使用了多少数据？他们是谁？”
　　其他企业选择升级无线局域网来处理大量涌入的设备。他们使用802.11n取代802.11a/b/g基础设施，并部署无线接入点来提供最大的带宽和覆盖范围。然而，他们还是遇到了麻烦。即使有一个更大的新网络，Davis仍不断接到生产部门的电话，称他们遇到无线网络问题。
　　接入点饱和是一个普遍的问题。当Davis的公司升级其无线局域网时，他们计划每个接入点支持28个设备。但当他检查连接性时，他发现76个客户端连接到一个接入点，因为他们有太多iOS设备，他表示，“我看到这个客户端数量后说，‘这是一个问题，你的用户连接了iPhone和iPad，而这些都是不受支持的。’”
　　业务部门领导人告诉员工断开这些设备与网络的连接，这开始有效，但到下一周，当问题平息后，他们又开始重新连接。然后我们又面对同样的问题，我又接到相同的电话。在一段时间后，从用户和管理层的角度来看，这成为一个网络问题，而不是员工问题，也不是政策问题。
　　Davis唯一的选择是向网络添加更多的接入点。然而，为BYOD进行扩展不仅仅只是解决接入点饱和问题。“你开始试图解决问题，你发现本地DHCP的IP地址耗尽，”Davis表示，“然后，你会发现多了45台iPhone，而一星期以前还没有。这类事情在我们的总部发生过，也遍布整个北美。我想这是否是无线问题，但开始调查时，你会发现这是因为人们在滥用网络。”
　　提供网络服务的传统办法（例如DHCP和DNS）无法立即扩展来满足BYOD的需求，Turner表示，多年来，他的网络依赖于内部专家来维持开源DHCP和DNS服务器。“我们看到在15分钟的时间内，在我们的DHCP服务器上，有数以十万计的地址请求，”Turner表示，“我无法告诉你之前这种地址请求的数量，因为我们以前连看都不用看。”
　　开源专家Brandeis和其他企业都习惯使用DHCP、DNS和其他服务，但这些服务都无法为BYOD进行扩展。Turner正在考虑是否继续聘请更多的开源专业人员，还是完全改变战略，购买商业DDI（DNS、DHCP和IP地址管理）产品。但IT部门很难向高层管理人员解释这种开支。

BYOD挑战四：故障排除和客户端支持
　　一旦基础设施已经为BYOD准备就绪，IT部门必须确保用户可以访问他们需要的应用和服务。这又是一个很容易出现问题的地方。“IT现在必须能够弄清楚业务部门交付的应用，还是用户设备有问题，”Gartner的Willis表示，“这需要一套新的方法，这也意味着应用交付人员需要思考，在不影响设备安全的情况下，他们如何能够交付应用。”
　　为了应对挑战，IT部门应该明确作为BYOD用户协议的一部分，支持哪些设备和软件版本。很多企业还在这些协议中涵盖了安全政策。Davis表示：“如果我们每年给你钱购买硬件，你必须同意你的硬件符合一定的规范。否则，IT部门将会发现自己试图支持的是500MHz处理器的旧的iBook。”
　　Dimension Data Americas企业移动主管Darryl Wilson表示，有些企业限制用户只能购买少数受支持的设备。但设备更新速度非常快，每三个月就会推出新的手机，你如何确定支持哪些设备呢？
　　有些企业采用自助服务的方式来减轻IT负担。在这种情况下，IT部门发布支持wiki或者博客文章，让用户找到解决自己问题的解决办法。然而，自助支持可能不够，特别是在BYOD领域，每个问题都很独特，不可能总是能在wiki上找到解决答案。
　　“没有人有完全相同版本的操作系统或者完全相同的硬件，”Turner表示，“我们发现特制版本的Windows 7手机，出于某种原因会假设路由器网关的IP地址，这样做会导致整个子网关闭。谷歌并没有给出答案。我们追踪到这名用户，并没有发现什么奇怪的地方，这是wiki上无法解决的随机问题之一。”
　　Wilson表示，因此一些IT部门采用混合的方法，即他们帮助小部分VIP用户解决问题，让其他人自己解决问题。对于Turner，无线局域网供应商Aruba Networks正在创建更大的客户端故障排除wiki，贯穿多所大学，这给用户提供了更好的机会以找到解决问题的办法。Turner表示，这种wiki可以跨越大学客户用户群。
　　“我们看到越来越多的医院对协作解决BYOD问题有兴趣，”他表示，“很多金融机构联系我，询问我们一直以来是怎么操作的。我还没有看到银行业相互协作，但他们也有咨询我们。”
BYOD挑战五：员工抵触情绪
　　Gartner的Willis表示，最终用户需求推动着BYOD趋势，随着工作和玩乐之间的界线变得模糊，员工可能开始会产生抵触情绪，这可能会使企业放缓实现100%的BYOD。一些企业已经实现80%的BYOD，总是不能实现最后的20%，说实话，我们没有要求人们去Office Depot购买办公椅，为什么我们要求他们购买智能手机？
　　在未来，已经接受BYOD的用户可能会开始后悔自己的决定。“人们很关心自己的个人数据在这些设备上的隐私，”Willis表示，“我的雇主在监看我的个人生活吗？我的雇主在追踪我要去的地方吗？随着时间的推移，这种担心会越来越多。员工将会开始担心在下班后是否被跟踪，或者他们是否必须在星期五晚上8点回复电子邮件。有一些真正的劳动关系方面的问题需要解决。”
　　部署和用户隐私问题可能是高层管理人员头疼的问题，IT部门将会被夹在中间，IT将被要求执行高层解决这些冲突的任何策略，而这可能会招致员工抵触。
 
 

如果你曾经与计算机安全专家进行过咨询，你可能会认为他们对于安全问题似乎有点偏执，但这并非不是一件好事。偏执是有效安全防护的一个重要组成部分。相反，偏执的缺乏则会是一个危险因素，这一弱点尤其体现在企业Mac电脑的安全问题方面。

不管人们是否喜欢美国前国防部长唐纳德·拉姆斯菲尔德，在听到他那段著名的"未知的未知"发言时还是肯定会忍俊不禁：

在企业数据安全防护技术的历史发展中，到目前为止，已经经历了三个发展阶段。最初的入侵检测，发展到中期的杀毒，直至现在的数据加密技术。企业数据安全防护是一个既漫长又曲折的工作。

就像照明开关或者ON按钮，通用随插即用（Universal Plug and Play，UPnP）协议是终端用户在网络设备日常使用中最常用的，但也是经常被忽视的。与广义的即插即用不同，UPnP允许网络设备通过IP相互连接，而不需要终端用户的任何配置。例如，当用户插入一台计算机到以太网LAN，UPnP是最有可能用于设备发现的协议。
　　简单地把设备插入，不需要终端用户进行任何配置就可以让它正常运作，这能给终端用户带来更好的体验。然而，UPnP协议最大的优势可能也是其最大的弱点。漏洞管理供应商Rapid7的研究人员发现，数百万终端用户设备会响应来自互联网的UPnP发现请求，这个简单而深刻的发现提高了人们对UPnP安全风险的认识。所以对企业来说，UPnP安全吗？　
　　UPnP安全风险 　　通常情况下，UPnP是结合动态主机配置协议（DHCP）服务器使用，虽然它并不一定需要这个服务器。在DHCP为中心的架构中，终端用户可能通过任何网络允许的媒介插入设备，如果该终端设备启用了DHCP，该设备将会立即广播简单服务发现协议消息，以定位DHCP服务器。
　　如果DHCP服务器被找到，将会进行信息交换，终端设备将分配一个IP地址。如果DHCP没有被找到，终端设备通常会被配置为允许它自动配置IP地址，但不能与网络上同样也是自动配置IP地址的其他设备相冲突。
　　当来自互联网的合法应用程序试图进入某个的网络时，UPnP提供端口映射功能，允许这些设备在防火墙穿过网络地址转换机制。这通常在简单对象访问协议（SOAP）保护下进行，UPnP这个基于 XML 的协议与HTTP消息结合使用毫无问题。以前人们认为UPnP带来很多便利，而不是漏洞，然而Rapid7对该功能进行了研究，其研究结果引起安全专业人士的恐慌。这种恐慌主要围绕两个主要问题。
　　首先， HTTP消息几乎都是通过TCP端口80来交换。在企业级的防火墙通常会允许端口80的网络流量，原因在于大多数连接互联网的企业网络都有某种Web服务器可供公众访问，所以TCP端口80通常是开放的。
　　其次，UPnP不是特定供应商的协议，所以，任何修复程序、缓解或者更新不是来自某个集中存储库而随后推送到终端用户处。这些修复程序将由不同供应商发布，但在向后兼容性、跨平台功能和整体功能等问题上，很少有人去解决。
　　这看起来很棘手。从企业的角度来看，明智的网络管理员应该在可行的情况下，禁用所有UPnP功能。除非管理员的网络要使用网络电话（VoIP ）或其他需要端口转发的服务（例如网络地址转换、SSH通道等），否则都应该禁用UPnP来避免不必要的风险，直到在网络和IT安全行业的巨头合作提出可行解决办法。
 

测试网络的外围很重要，但攻击者可能已经位于网络内部。攻击者可能是一位有不满情绪的员工，或者是利用防火墙内服务和周边安全防御的外部人员。如果要测试内部安全控制，那么您需要考虑多个方面，包括各种内部测试、您可能希望使用的测试技术和测试员工的重要性（社会工程测试）。
　　一个单位的内部网络可能会受到各种方式的检测、分析和攻击。一些最常见的内部测试类型包括：
　　• 内部攻击：这种渗透测试技术可以模拟由授权个人发起的恶意活动，他有组织网络的合法连接。例如，如果访问规则太过于宽松，那么IT管理员就可能将其他人挡在网络之外。
　　• 外部攻击：这种渗透测试技术会检查外部人员通过宽松的服务访问内部。它可能会攻击超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、结构化查询语言(SQL)、远程桌面(RDP)或其他服务。有一些在线服务专门会销售受限企业资源的访问权限。
　　• 盗取设备攻击：这种攻击接近于物理攻击，因为它针对于组织的设备。它可能会专门盗取CEO的笔记本电脑、智能手机、复印机或单位的备份磁带。无论是什么设备，其目标都一样：提取重要信息、用户名和密码。
　　• 物理进入：这种测试技术专门测试组织的物理控制。要对房门、大门、锁、守卫、闭路电视（CCTV）和警报器进行测试，检查它们是否会被绕过。一种常用的方法是使用撞匙打开机械锁，用Arduino板打开电子锁。
　　• 绕过验证攻击：这种测试技术会寻找无线接入端和调制解调器。其目标是了解系统是否安全，并提供足够的验证控制。如果可以绕过控制，那么道德黑客可能会尝试了解能够获得哪一级别的系统控制。
　　渗透测试团队的网络知识结构不同，所采用的测试技术也会有所不同
　　• 黑盒测试可以模拟外部攻击，因为外部人员通常不知道所攻击网络或系统的内部情况。简单地说，安全团队完全不了解目标网络及其系统。攻击者必须收集关于目标的各种信息，然后才能确定它的优缺点。
　　• 白盒测试则采用与黑盒测试完全相反的方法。这种安全测试的前提是，安全测试人员完全了解网络、系统和基础架构。这种信息允许安全测试人员采用一种更规范化的方法，它不仅能够查看所提供的信息，还能够验证它的准确性。所以，黑盒测试在收集信息时会花费更长的时间，白盒测试则在漏洞检测时花费更多时间。
　　• 灰盒测试有时候指的是只了解部分情况的测试。灰盒测试人员只知道部分的内部结构。
　　无论采用哪一种渗透测试方法，其目的都是对组织的网络、策略和安全控制进行系统的检查。一个良好的渗透测试还可以检查组织的社会成分。社会工程攻击的目标是组织的员工，其目的是通过操纵员工获得私密信息。近几年来，许多成功的攻击案例都组合使用了社会和技术攻击手段。Ghostnet和Stuxnet就是这样两个例子。如果您需要在执行内部渗透测试之后更新政策，那么一个很好的资源是SANS政策项目。要通过良好的控制、政策和流程对员工进行长期培训，才能够很好地对抗这种攻击手段。
 

写《浅谈企业漏洞收集平台建设》时候就想要找黑锅审一下，因为担心我对黑锅观点的理解不够透彻，毕竟技术水平差距在那边，理解不到位也很正常。结果那天晚上写完一下就发了。今天黑锅看完以后表示我还是没有理解清楚有偏差，于是大笔一挥来一篇《再谈企业漏洞收集平台建设》。晚上到家才看见，迅速读完以后感觉松了一口气。应该说黑锅还是认可我的观点的。可是为什么还要写这篇三谈：
一方面对建设平台的理念需要补充阐述，另外一个方面是因为我在写《浅谈企业漏洞收集平台建设》，由于一些惯性思维的原因，导致一些关键的地方都没有交代清楚，引起一些不必要的误会，所以需要这篇文章来弥补。 首先要明确也是要强调的一点，尊重白帽子这个要素，这也是在建设企业漏洞收集平台前就必须明确的。企业漏洞收集平台是甲方和白帽子的交互平台，也就是说参与到这个平台的白帽子是认可企业和得到企业的认可的，应该受到尊重，尊重不仅仅是通过奖励来体现，还有在对白帽子提交的漏洞的重视，在白帽子的深入沟通上等等。可以说白帽子对平台的认可是最宝贵的财富没有之一。综合这些方面，腾讯的TSRC无疑是走在了其他平台的前面，很多建设和运营经验成果都值得其他平台借鉴和学习的。例如平台人员和白帽子一对一的漏洞跟踪，邀请白帽子参与漏洞争议裁决，还有最重要的是平台运营的态度是端正的，只要这个能保持下去平台就会有更好的发展，我每次找lake2的时候，他都很认真的听我的建议，而且落实去做，这个让我很感动。这些宝贵的经验也是其他平台所要学习的，任何一个漏洞平台如果离开了白帽子的支持，就算平台开发做的再好，有再多的资金支持也不可能运转下去，对企业安全产生帮助。
其次要说的还是平台建设上的人治和法治问题，这个话题在浅谈还是再谈里面都已经有很多说明了。这里就简单作出一些总结，首先运营人员的技术水平是必须提高的，当然这个技术水平不仅仅是安全技术，还有对安全的理解，企业漏洞的深入认识，当然还有最重要的沟通能力，但是需要企业会综合人员工作分配还有人员成长上问题考虑，不能保证人员的稳定。所以为了适应人员的变动，还是需要有足够的规范条例，通过规范条例来解决通用性的问题，当然没有条例规范是完美和绝对适用的，必须再用人工来辅以修正。这也是黑锅所说的“应该把以上的一些因素的权重来实现一个修正的评分模式”。我的观点是，虽然法治和人治是冲突的，但是在运营中尽量以法治为准，人治辅助，对于出现启动人工判定时候，需要检查条例和规范是否合理。整个运营趋势应该是无限趋近规范处理，人工干预降低到最低。
最后想说的是漏洞收集平台获得的漏洞对企业来说是一笔巨大的财富，黑锅语“当这样平台的运营人员是幸福的，就像一个图书馆（图书馆的威力，你们都懂的！）”，在沙龙开始前几天，我虽然知道不可能，但还是向lake2提出，想获得一个进这个图书馆看看的机会，最后被lake2拒绝了。当然开放这个图书馆还有很多的路需要去走，我们期待这一天能早日到来。在企业内部，应该能认真分析一个漏洞，从成因，到发现方法，到可能造成的损失，从每个漏洞里面都学到足够的价值，才是我们建设企业漏洞收集平台的最终目的。
结束前还是想用一些篇幅写一点关于甲方企业安全工作的问题，因为看之前一篇文章留言里有很多朋友提了一些看法，我也看见lake2在留言里有回复，我作为一个多个甲方企业工作过的安全人也想在这里简单说一些酸甜苦辣吧。从外部看甲方企业安全工作者的确存在很多问题，比如对漏洞研究较浅，各种奇怪的工作分配。这些问题说起来也很简单，就是由企业性质决定的，因为企业不是靠安全来赚钱，用这个最简单的理由就可以把安全人员踢到最边缘的位置上，有个不恰当的比喻：不失火时候谁也不愿意看到消防队而失火以后又埋怨为什么有消防队还失火。
这个情况虽然残酷，但确实很多甲方安全工作者真实情况。这些年因为持续不断的安全事件教育和信息安全被重视，才让安全工作成为必备的岗位，得到认可，是多么的不容易。而腾讯能率先开启企业收集平台则显得更加难能可贵，这也是为啥我在《腾讯安全沙龙参后感》里面写能成立这个平台，并且能做成这样是多么的不容易，我们向安全的先行者—TSRC致敬。应该说再有几年发展，甲方安全人员应该能摆脱技术落后的帽子，真正向乙方安全人员看齐。
 

不要相信任何人。随着时间的推移，越来越多的企业机构开始正视电子数据安全问题，无论它是否隶属于受管制的特殊行业。如何妥善地管理存档数据，成为众多企业挥之不去的梦魇，中间任何一个环节出错，都有可能给公司  
带来灭顶之灾，永无翻身之日。数据泄漏的渠道多种多样，最新的一个发现是“送到存储供应商那儿维修的故障磁盘”。是不是觉得很不可思议？ 
  当供应商收到送修磁盘时，有的会将盘片拆开来，换下故障的部件，然后将修好的磁盘返还给用户；有时候只是做一个简单的诊断测试，确认有故障后，干脆换一块 新的磁盘给用户。换下来的故障部件，乃至整块磁盘，都将会用于组装新的磁盘；或者，简单地维修一下，就直接流入二手市场。也就是说，如果原用户残留在故障 硬盘内的数据没有被清洗掉的话，极有可能泄露出去。
  “我曾经拿到一批为数25台的笔记本电脑，使用的全是经过翻新的二手磁盘，上面残留了不少以前用户的数据，”来自J&J PRD Instrument PC Support的系统支持分析师Paul Ressler介绍说，“也就是说，如果我对其中的内容感兴趣的话，只要借助合适的软件工具，就可以将它们还原出来。”
  听上去是不是挺恐怖的？随着终端用户们对私人敏感数据的安全意识不断加强，企业机构所承受的压力只会越来越大。由宾夕法尼亚州共和党议员Arlen Specter和佛蒙特州民主党议员Patrick Leahy共同起草的《个人隐私及安全数据法案》，在上周召开的参议院议会上获得了两党的一致支持。这项提案将被修宪，成为现行法律。依照其中的条款规 定，凡是存档了任何形式的用户私人信息资料——比如说，邮件发送清单——的公司机构，都必须通告资料所有者本人，让他们知道该公司保有了他们的哪些信息数 据，而且，应该为资料所有者提供修改错误信息的机会。如果资料持有人（即：公司机构）丢失了敏感的个人信息资料，或是有迹象显示这些资料已经泄露出去，或 存在外泄的风险，资料持有人必须第一时间通知资料所有者、执法机关和信用报告代理机构。
  现在，越来越多的企业和用户开始关注送修磁盘所引发的数据外泄问题，“威胁到数据安全的因素变得越来越多，除了小偷和黑客之外，从存储柜和服务器机箱中取出的故障磁盘，也日渐演变为重大隐患，必须引起高度重视，”一位用户指出。
  对于送往异地修理的故障磁盘，用户提出了几项建议，“符合国防部标准的擦除处理（Department of Defense wipe）”就属于其中之一，至少将磁盘格式化并写入数据7次（注：其步骤包括完全格式化磁盘，然后写入由0和1组成的数据流；反转数据流中的0和1并再 次写入；最后，写入随机的数据流）。这些一来，即使以后有人想办法还原了旧磁盘里的残存数据，也只能得到一些不可读的垃圾信息。
  据用户们反应，有一些软件程序可有效擦除磁盘内残留的数据，比如说Ultimate Boot for Windows和BartPE，它们大多是由一些热爱编程的程序设计师们利用业余时间编写的；此外，诸如OnTrack Inc.之类的数据容灾恢复服务外包商也推出专门的磁盘覆盖服务。不过，无论你选择以上哪种方案，都必须满足一个前提：磁盘并没有出故障。
  也有一些用户建议对磁盘上的数据实行加密处理，“防患于未然，是十分必要的，”一位用户表示，“对磁盘上的数据进行加密。无论是你使用的是DAS系统、 NAS系统还是SAN系统，都有多种加密技术可供挑选。”当然，这种处理方法也存在一定“弊病”，比如说，系统的整体性能会受到影响、存储成本增加，等 等。 另一些用户主张对磁盘做“消磁”处理，通过产生瞬时强磁场达到销毁数据的目的。目前市面上有各种品牌的消磁机出售——“在连锁的Radio Shack电子产品零售商店内就能买到，”来自某大型宇航机构的系统工程师Brett Osborne表示——不要求磁盘上的数据能够被正常访问或操作，换言之，这种方案对故障磁盘同样适用。 “消磁处理，如果操作得当的话，整个过程会非常简单。它可以有效地擦除任何磁盘上的任何数据，特别适合于存在重复利用价值的存储设备，”Osborne表示。 不过，Osborne本人也承认，“如果处理的对象是关键业务数据的话，不建议采用这种办法。理论上来讲，即使是经过消磁处理的磁盘，上面存放的数据也是可以还原的，世事难料啊！”
  物理销毁：最稳妥的解决之道
  事实上，我们不得不承认，随着科技水平的不断提高，没有数据是绝对无法修复的。 “1986年，‘挑战者’号宇宙飞船发射升空后没多久就爆炸了，3周后，在大西洋底打捞出来的机身残骸中找到了黑匣子，它被送到了亚利桑那州 Tucson，在专业实验室内进行数据重组，”来自日立数据系统有限公司（HDS）的高级存储应用主管Claus Mikkelsen介绍说，“哪怕磁介质经历了如此可怕的大爆炸、并在咸海水中浸泡了3周之久，哪怕最后送到实验室中的只是一块块的磁盘碎片，上面存储的 数据经过重组之后，全部被修复了。要知道，这是20年前发生的事情了，当时的科技水平已经这么发达了。”
顺便补充一句，没有公司愿意耗费时间和人力资源，来对故障的磁盘驱动器实行消磁处理。大多数用户一致认为，彻底销毁物理磁介质，才是最稳妥的解决办法，否则，很难确保磁盘上残存的数据不会流入第三者手中。 Ressler表示，“以前，美国陆战队的一个哥们曾经告诉我，他从不担心数据外泄的问题，军队有军队的解决办法：将需要销毁的磁盘扔在地上，随便调来一辆M1A1 Abrams坦克，在上面来回碾上几回，你觉得还能剩下点什么呢？” “当然，”Ressler默然，“并不是每个人都调用得了M1A1 Abrams坦克……”  归根究底还是存储供应商的错，他们所做出的“销毁所有故障磁盘”的承诺，毫无信誉可言——送修的磁盘或磁盘零部件都无一例外地被投入循环再使用。 供应商难逃罪责 有一些存储供应商已渐渐意识到问题的严重性，并出台了一系列改善措施。诸如EMC、HDS、HP之类的大厂商希望通过推出上门维修故障磁盘、按照DoD标准擦除磁盘残存数据、物理销毁磁盘等服务，来缓解用户的担忧。 不过，一旦谈起“供应商是否愿意就整个过程承担最终的法律责任”这一问题时，所有的厂商都会变得支支吾吾，拒绝给出明确的承诺。所以，也难怪用户们会对供应商丧失信心。 “供应商们并不愿意合同中出现‘liability（责任）’之类的字眼儿，这会给他们带来很大的压力，”EMC公司的公共关系部主管Michael Gallant解释说，“这个单词，往往成为判定合同一方有无违约、或做出不当行为的最终依据。事实上，究竟谁是谁非，应该结合具体的案例来判断，不能一 概而论。” “我不想谈责任问题，”惠普（HP）Storageworks事业部的高级技术专家Abbot Schindler表示，“这牵涉到法律条文，显然不是我的强项。”
  “惠普是我们公司的重要存储供应商，”一位用户介绍说，“当我们询问能否确保送修磁盘上的数据的安全，能否保证送修后的磁盘在被送到其它地方（比如说二级 市场、流水线）之前，所有残留的数据都被加密或擦除时，惠普拒绝给出肯定的答复。我本来以为存储供应商会主动承担起‘销毁磁盘残留数据’的责任——惠普的 回避态度，让我对故障磁盘的数据安全性十分担忧。” 据Schindler介绍，惠普公司会将返修的磁盘驱动器送回到制造商那儿，不同的制造商会采取不同的处理方式。有些磁盘制造商会将故障磁盘拆成零部件， 重新进行组装；有些磁盘制造商只是对故障磁盘进行简单的翻新，然后就重新推出市场。Schindler承认，惠普公司暂时尚未出台一套规范的措施，来监控 磁盘制造商处理故障磁盘的流程。 用户们普遍认为，将数据中心内送出的故障磁盘交由第三方来处理，相对可靠一些。未来的某一天，磁盘供应商或制造商或许会承担起第三方的“角色”；但是，现 阶段，这个“第三方”特指的是诸如OnTrack Data Recovery、Iron Mountain Inc.之类可提供负法律责任的数据安全保障的存储服务机构。 此外，Ressler和Osborne也一致认为，企业用户送回厂商那儿维修的故障磁盘，必须由专人或专门的运输公司押送，三方必须签署正式的合同，确保 这批磁盘会如数地送回到企业手中（无论是修好还是没修好），这样一来，企业仍然可以采取其它手段来处理这批磁盘，避免资料外泄。 “这种处理方式并不适合我们公司，因为，我们的处理方法更为简单，哪怕是磁盘出现了故障，我们也不会送回到原厂或供应商那儿维修，总而言之，就是不让数据 流到公司之外的地方。”Osborne表示，“如果其它企业出于某种原因，不得不将存放着数据的介质送到公司之外的地方，至少应该与供应商签署一份责任合 同，明确最低安全与非公开要求；或者，干脆向那些口碑较好的、经验丰富的、可提供安全担保的第三方存储服务机构寻求帮助
  如何进行数据清除 由于磁盘可以重复使用，前面的数据被后面的数据覆写后，前面的数据被还原的可能性就大大降低了，随着被覆写次数的增多，能够被还原的可能性就趋于0， 但相应的时间支出也就越多。密级要求的高低对应着不同的标准，低密级要求的就是一次性将磁盘全部覆写；高密级要求则须进行多次多规则覆写。     ♂参考： 美国国防部 DOD 的 5220.22M 标准；北约 NATO 的标准 参考标准实质就是多次覆写的标准，规定了覆盖数据的次数，覆盖数据的形式。 * 覆写原理（Overwriting） 覆写是指使用预先定义的格式——无意义、无规律的信息来覆盖硬盘上原先存储的数据。这是销毁数据的既有效又可操作的方法。如果数据被“成功”的完全覆写，即使只覆写一次，也可以认为数据是不可恢复的。 硬盘上的数据都是以二进制的“1”和“0”形式存储的。完全覆写后也就无法知道原先的数据是“1”还是“0”了，也就达到了清除数据的目的。 * 覆写的方法： 根据覆写时的具体顺序，软件覆写分为逐位覆写、跳位覆写、随机覆写等模式，根据时间、密级的不同要求，可组合使用上述模式，可靠的专业清除软件应同时支持多种模式。 * 覆写的局限性： 既然，一次完全的覆写就可以彻底清除数据，那标准为什么还要规定须多次覆写呢？因为磁信号泄露了数据的历史痕迹，可以通过特殊的专业设备来识别痕迹进而恢复被覆盖的数据。这也是相关标准的制定原因。 如果磁头定位系统不是足够精确，那么在进行覆写时，原先的数据不会被完全精确的覆盖。由于磁道的偏移，可以将原先的数据从当前磁道的痕迹辨别出来。（见上图） 但是这是需要专门的特殊设备的，而且这种设备也是受控的、限制销售的，通常只有特别的部门才可能拥有；因此说，被覆盖的数据使用现有的技术是不可恢复的，到目前为止，数据清除是最安全的、最经济的销毁数据的方法
  数据删除也是数据安全？ 删除磁盘数据的常规方法主要有：删除和格式化。从实现方法和实际效果看，二者差别不大。 * 删除（Delete）： “删除（Delete）”是删除数据最便捷的方法，如：经常采用的“Delete”的系统删除命令。实际上并没有真正的将数据从硬盘上删除，只是将文件的索引删除而已，让操作系统和使用者认为文件已经删除，又可以把腾出空间存储新的数据。 这种方法是最不安全的，只能欺骗普通使用者，但也是大家所熟知的。数据恢复极易恢复此类不见的数据，而且也有很多专门进行数据恢复的软件。 * 格式化（Format） “格式化”有许多不同的含义：物理的或低级格式化，操作系统的格式化，快速格式化，分区格式化等等… 大多数情况下，普通用户采用的格式化不会影响到硬盘上的数据。格式化仅仅是为操作系统创建一个全新的空的文件索引，将所有的扇区标记为“未使用”的状态，让操作系统认为硬盘上没有文件。 因此，格式化后的硬盘数据也是能够恢复的，也就意味着数据的不安全。 

虽然cnhawk总是一名“终结者”，但是从TSRC平台建设开始，给各大企业平台的建设过程里，却提供了大量的“建设”性的建议，一个名副其实的“建设者”。每次lake2和我pk的时候，老是说：“你等着，我找hawk总秒杀你！” 奇怪的是，很多回合过去了，却很多走向了共同的点子上…..