當(dāng)自動(dòng)駕駛汽車(chē)工程師Andrew Levandowski從谷歌公司離職跳槽到Uber公司工作時(shí)，他聲稱(chēng)在幾個(gè)星期之后才發(fā)現(xiàn)在他的衣柜找出了五個(gè)裝滿(mǎn)了源代碼、設(shè)計(jì)和工程文件的硬盤(pán)。將硬盤(pán)切碎似乎是一種安全處理的好方法，但是當(dāng)谷歌公司的無(wú)人駕駛汽車(chē)業(yè)務(wù)部門(mén)Waymo公司起訴Levandowski所就職的Uber公司，并聲稱(chēng)他竊取了這些資料文件時(shí)，其結(jié)果是令人尷尬的(這兩家公司在法庭訴訟之后，僅用了五天就意外地達(dá)成和解)。

 

數(shù)據(jù)中心應(yīng)該有更好的流程來(lái)處理可能存儲(chǔ)企業(yè)或客戶(hù)機(jī)密數(shù)據(jù)的廢舊硬盤(pán)。但數(shù)據(jù)擦除專(zhuān)家Blancco公司最近的一項(xiàng)調(diào)查顯示，很多組織未能正確處理退役硬盤(pán)，并面臨暴露客戶(hù)和員工信息的罰款風(fēng)險(xiǎn)，或者存儲(chǔ)硬件方面浪費(fèi)了數(shù)十萬(wàn)美元。

 

 

這個(gè)調(diào)查報(bào)告表明，有四分之一的組織根據(jù)退貨授權(quán)流程(RMA)條款，每年至少花費(fèi)5萬(wàn)美元對(duì)硬盤(pán)進(jìn)行更換，另外39%的組織每年花費(fèi)超過(guò)10萬(wàn)美元。在過(guò)去兩年中，超過(guò)一半的組織因?yàn)闆](méi)有遵守?cái)?shù)據(jù)保護(hù)法，因此遭到處罰，并可能提高了成本。

 

更糟糕的是，參與調(diào)查的全球600位數(shù)據(jù)中心專(zhuān)業(yè)人員表示，似乎并不知道他們處理硬盤(pán)的方式不安全，并且沒(méi)有遵守歐洲通用數(shù)據(jù)保護(hù)法規(guī)或?qū)⒂?020年1月生效的加利福尼亞州的數(shù)字隱私法。

 

企業(yè)沒(méi)有遵循正確程序進(jìn)行處理硬盤(pán)并不是什么新鮮事。但潛在的后果如今有所不同。 “組織需要有效的數(shù)據(jù)保留和處理政策和程序。”數(shù)據(jù)保護(hù)咨詢(xún)機(jī)構(gòu)Privacy Matters公司常務(wù)董事Pat Walshe表示，“這不是新事物，幾十年來(lái)一直是道德和合規(guī)數(shù)據(jù)管理的關(guān)鍵方面。退貨授權(quán)(RMA)硬盤(pán)驅(qū)動(dòng)器也不例外。不同的是，由于未能以保護(hù)人們數(shù)據(jù)的方式處理個(gè)人數(shù)據(jù)而產(chǎn)生的責(zé)任。”

 

 

盡管將數(shù)據(jù)安全性、隱私性、合規(guī)性和效率列為首要任務(wù)，但很少有受訪者擁有有效的流程來(lái)刪除數(shù)據(jù)和清理硬盤(pán)以便重復(fù)使用或返回制造商，或者進(jìn)行審核以確保完成此操作。只有三分之一的受訪者表示使用自動(dòng)遠(yuǎn)程工具進(jìn)行安全擦除。其他受訪者表示，通過(guò)人工刪除機(jī)架和服務(wù)器的硬盤(pán)驅(qū)動(dòng)器，一半受訪者表示通過(guò)人工實(shí)施刪除，另一半受訪者表示將硬盤(pán)驅(qū)動(dòng)器存放在現(xiàn)場(chǎng)。

 

具有諷刺意味的是，他們已經(jīng)意識(shí)到數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。Blancco公司企業(yè)和云擦除解決方案副總裁Fredrik Forslund表示，“他們?cè)诳臻e空間存放存儲(chǔ)硬件，這會(huì)增加成本。這些用戶(hù)沒(méi)有從這些硬件中獲得任何剩余價(jià)值，反而需要占用寶貴的資源和空間存放和管理，而且在大多數(shù)情況下，很多企業(yè)會(huì)因?yàn)闆](méi)有退回硬盤(pán)驅(qū)動(dòng)器而受到供應(yīng)商的處罰”。

 

對(duì)于不再使用的硬盤(pán)驅(qū)動(dòng)器，超過(guò)一半的企業(yè)都會(huì)使用免費(fèi)的在線工具(如DBAN)手動(dòng)擦除。“他們只是從互聯(lián)網(wǎng)上下載一些東西，并將其作為流程的一部分運(yùn)行，這非常可怕。”Forslund指出，“免費(fèi)的在線工具只選用于個(gè)人使用，這意味著他們將面臨許可證問(wèn)題，而且沒(méi)有審計(jì)跟蹤。”

 

如果企業(yè)決定物理性銷(xiāo)毀磁盤(pán)，SSD硬盤(pán)的銷(xiāo)毀也會(huì)造成更多的麻煩。“即使銷(xiāo)毀的SSD硬盤(pán)也可能會(huì)發(fā)現(xiàn)數(shù)據(jù)。”Forslund指出。雖然像Microsoft Azure和谷歌云這樣的超大規(guī)模云計(jì)算供應(yīng)商使用碎紙機(jī)處理驅(qū)動(dòng)器(谷歌使用機(jī)器人自動(dòng)化銷(xiāo)毀)，但這在傳統(tǒng)的企業(yè)數(shù)據(jù)中心中很少見(jiàn)。除非拍攝每個(gè)驅(qū)動(dòng)器的序列號(hào)以及粉碎過(guò)程，否則沒(méi)有進(jìn)行審計(jì)跟蹤。相反，一些擔(dān)心安全性的組織使用具有強(qiáng)磁性的消磁器來(lái)擦除數(shù)據(jù)，而并不是物理?yè)p壞硬盤(pán)驅(qū)動(dòng)器。但當(dāng)今的硬盤(pán)外殼將會(huì)阻擋磁性，另外SSD硬盤(pán)的數(shù)據(jù)并不會(huì)受到磁鐵的影響。

 

第三方服務(wù)可以通過(guò)審計(jì)跟蹤提供有效的物理粉碎措施，但是在傳輸過(guò)程中將會(huì)增加保護(hù)驅(qū)動(dòng)器的成本。“用戶(hù)需要服務(wù)提供商安全地將硬盤(pán)運(yùn)送到他們的設(shè)施。”Forslund說(shuō)，“很多安全團(tuán)隊(duì)都不會(huì)允許這種運(yùn)輸。如果允許這樣做，就會(huì)有嚴(yán)格的要求，例如采用武裝押運(yùn)車(chē)輛運(yùn)輸驅(qū)動(dòng)器，這會(huì)花費(fèi)很多費(fèi)用。這就是大量存放的廢舊硬盤(pán)成本高昂的原因：因?yàn)檫@是一項(xiàng)繁瑣的操作。”

 

 

通過(guò)簡(jiǎn)單地刪除密鑰對(duì)硬盤(pán)進(jìn)行密碼擦除越來(lái)越流行，因?yàn)樗瓤焖儆趾?jiǎn)單。根據(jù)研究報(bào)告，64%的組織使用密碼刪除措施，而這一比例在醫(yī)療保健和制藥等受監(jiān)管行業(yè)中甚至更高。

 

Forslund警告說(shuō)，“這并不是萬(wàn)無(wú)一失的措施，用戶(hù)需要一直加密存儲(chǔ)設(shè)備的數(shù)據(jù)，因?yàn)槿绻谌魏螘r(shí)候開(kāi)放，就可能會(huì)有數(shù)據(jù)泄漏。用戶(hù)需要有一個(gè)良好的系統(tǒng)來(lái)管理加密密鑰，因此不必?fù)?dān)心丟失可能用于恢復(fù)數(shù)據(jù)的密鑰。”

 

驗(yàn)證和審核擦除非常重要，即使硬盤(pán)的數(shù)據(jù)已被刪除，而管理工具將其標(biāo)記為失敗。Forslund公司估計(jì)，在70%到80%的情況下，廢舊的硬盤(pán)可以被擦除到可審核的級(jí)別，這意味著數(shù)據(jù)也可以使用正確的工具從中恢復(fù)。

 

如今，有關(guān)硬盤(pán)退役的有效性研究很少，但Moor Insights&Strategy公司高級(jí)分析師Steve McDowell表示，通常是流程而不是政策問(wèn)題。他說(shuō)：“大多數(shù)IT組織確實(shí)有相關(guān)的政策，但對(duì)硬盤(pán)和其他設(shè)備進(jìn)行適當(dāng)?shù)那謇砗突厥眨词乖谥贫讼嚓P(guān)政策的情況下，也會(huì)沒(méi)有很好地實(shí)施或錯(cuò)失。大多數(shù)組織都非常精明，在電腦報(bào)廢之前移除硬盤(pán)，但這些硬盤(pán)的處置通常只不過(guò)是相當(dāng)于垃圾填埋場(chǎng)的電子回收。”

 

他警告說(shuō)，“隨著退役的存儲(chǔ)設(shè)備越來(lái)越多，其安全處理的問(wèn)題將超越硬盤(pán)驅(qū)動(dòng)器本身的處理。存儲(chǔ)系統(tǒng)開(kāi)始使用多個(gè)級(jí)別的持久緩存進(jìn)行構(gòu)建，這只會(huì)隨著行業(yè)開(kāi)始部署服務(wù)器級(jí)內(nèi)存(例如Intel Optane)等技術(shù)而加速，在這些技術(shù)中，靜態(tài)加密可能不是一個(gè)很好的選擇。”

 

這些存儲(chǔ)硬件設(shè)備將無(wú)法在一段時(shí)間內(nèi)返回廠商或進(jìn)行回收，但高容量和高價(jià)格將使它們正確集成到涵蓋整個(gè)存儲(chǔ)生命周期的資產(chǎn)管理系統(tǒng)中變得更加重要。