涉密數(shù)據(jù)恢復過程中的失泄密隱患分析及對策研究

隨著信息技術的飛速發(fā)展，越來越多的涉密信息以電子數(shù)據(jù)的形式生成、傳輸和存儲。與傳統(tǒng)紙介質相比，電子載體信息存儲量大、密度高，一旦發(fā)生故障，將會導致大量數(shù)據(jù)的丟失。當前，涉密數(shù)據(jù)恢復需求量不斷增加與數(shù)據(jù)恢復機構保密水平停滯不前的矛盾日益突出，涉密數(shù)據(jù)恢復過程中存在大量失泄密隱患，給國家和軍隊秘密造成了嚴重威脅。

一、失泄密隱患分析

（一）數(shù)據(jù)恢復機構是否具備資質

目前，國內的數(shù)據(jù)恢復服務市場處于極不規(guī)范的狀態(tài)，主要表現(xiàn)在缺乏行業(yè)標準、缺乏從業(yè)人員執(zhí)業(yè)準則、缺乏行業(yè)領導者。由此產(chǎn)生了一系列行業(yè)亂象，如隨意復制、泄露他人數(shù)據(jù)以牟取不正當利益；故意破壞他人數(shù)據(jù)、損壞他人介質以防止同行競爭等。在涉密數(shù)據(jù)恢復領域，目前僅有為數(shù)不多的幾家機構取得了國家保密局頒發(fā)的涉密數(shù)據(jù)恢復單項資質。然而市場上有大量的公司或個人，為了經(jīng)濟利益虛假宣傳，自稱能夠進行涉密數(shù)據(jù)恢復，并簽訂所謂的保密合同。如果因為急需數(shù)據(jù)，在不了解真相的情況下，將涉密載體交給這些“三無”公司進行數(shù)據(jù)恢復，必然導致涉密信息失控，給保密工作帶來嚴重危害。

（二）數(shù)據(jù)恢復人員是否可信

無論是具備涉密數(shù)據(jù)恢復資質的單位，還是普通的數(shù)據(jù)恢復公司，在招聘和考核人員時，往往以技術能力作為唯一標準，而對工作中應當具有的職業(yè)操守，甚至品德修養(yǎng)、政治表現(xiàn)等方面并不關心。作為一名合格的數(shù)據(jù)恢復人員，不僅要有精湛的技術，更要有高度的責任心，自覺為用戶保守各類秘密。對于從事涉密數(shù)據(jù)恢復的人員，如果疏于審查、放松管理、忽視教育，必將導致其職業(yè)道德缺失，責任意識淡薄，增加了被滲透和策反的風險，使得涉密信息掌握在不可靠的人手中，增加了失泄密風險。

（三）數(shù)據(jù)恢復設備是否安全

數(shù)據(jù)恢復設備可分為軟件和硬件兩類，軟件設備主要用于分析和修復邏輯故障，以及掃描和復制載體的數(shù)據(jù)存儲區(qū)域，常用工具包括WinHex、R-Studio、FinalData、EasyRecovery等。這類工具軟件絕大多數(shù)由國外公司研制開發(fā)，國內目前廣泛使用的均為破解版。由于未經(jīng)過權威部門的安全檢測，因此無法確定其中是否包含收集信息的后門或木馬程序。

硬件設備方面，目前被廣泛使用的為俄羅斯ACELab生產(chǎn)的PC3000系列產(chǎn)品，包括PC3000-UDMA、PC3000-SCSI、PC3000-Protable等。PC3000可以對硬盤的固件區(qū)（FirmwareArea）進行讀寫，能夠有效修復因固件損壞導致的各類故障，同時也提供了高速穩(wěn)定的數(shù)據(jù)鏡像功能。但該設備在使用前需向ACELab提交主機硬件信息，注冊并安裝對方下發(fā)的授權文件后才能正常激活使用。在每次升級時，均需再次提交設備主機的硬件信息。雖然ACELab宣稱提交的信息僅用于綁定設備，且數(shù)據(jù)包中不包含用戶數(shù)據(jù)，但目前仍然缺乏有效的技術手段進行驗證。2015年曝光的間諜網(wǎng)絡“方程式小組”（EquationGroup），能夠通過惡意代碼編輯硬盤固件模塊，并在硬盤上開辟隱藏存儲空間，以備攻擊者在一段時間后取回竊取的數(shù)據(jù)，由此可見，ACELab目前采用的這種升級技術存在著嚴重的安全隱患此外，用于運行軟件工具和安裝硬件設備的涉密計算機本身也可能存在各類問題，如違規(guī)連接外部網(wǎng)絡，交叉使用存儲載體等。

（四）涉密數(shù)據(jù)是否被非授權訪問

涉密數(shù)據(jù)恢復前，首先需要檢測載體狀態(tài)。由于這個過程包含了大量的讀寫操作（如訪問單個文件、制作載體鏡像等），而大多數(shù)人對數(shù)據(jù)恢復設備和技術的原理并不清楚，從而無法確定數(shù)據(jù)恢復人員的每一個操作是否對涉密信息進行了訪問或復制，使得整個數(shù)據(jù)恢復過程存在明顯的失泄密隱患。例如，數(shù)據(jù)恢復人員聲稱要對故障載體進行掃描檢測，實際上對涉密信息進行了復制鏡像操作；以測試文件有效性的名義，私自閱讀涉密文檔；使用個人數(shù)碼設備拍攝電子文檔內容或直接截取屏幕信息等。一些單位或個人對數(shù)據(jù)恢復的理解存在誤區(qū)，認為涉密載體已經(jīng)損壞，無法讀取數(shù)據(jù)，可以放心地交給數(shù)據(jù)恢復機構，無需全程旁站陪同，實時監(jiān)督。殊不知一旦故障排除，數(shù)據(jù)恢復人員就可以隨意訪問和復制數(shù)據(jù)，涉密信息也將徹底失控。

二、對策

（一）數(shù)據(jù)恢復服務機構

作為提供涉密數(shù)據(jù)恢復服務的機構，應當做到以下幾點：

1.制定嚴格的工作流程

數(shù)據(jù)恢復工作可簡單劃分為診斷、恢復、核對三個階段。診斷前，應查看涉密載體所屬單位開具的介紹信，并對涉密載體的關鍵信息進行登記；恢復階段，應盡量使用用戶單位提供的存儲載體進行備份、鏡像等操作，因特殊原因需使用其他載體的，應告知用戶單位并征得對方同意后方可操作；恢復結束后，應詳細記錄數(shù)據(jù)恢復過程，包括采取的具體操作、是否發(fā)生數(shù)據(jù)轉儲等，用戶單位簽字確認后，將載體、配件等一并交還。

2.創(chuàng)建安全的工作環(huán)境

工作區(qū)域應劃分為涉密工作區(qū)和非密工作，確保專機專用、專盤專用。數(shù)據(jù)恢復任務結束后，應對產(chǎn)生的臨時文件執(zhí)行數(shù)據(jù)擦除操作，防止涉密信息知悉范圍擴大。在訪問和復制涉密數(shù)據(jù)前，應征得用戶單位同意，嚴禁私自閱讀、留存、傳播涉密信息。

（二）涉密數(shù)據(jù)所屬單位

作為涉密數(shù)據(jù)所屬單位，在數(shù)據(jù)恢復過程中需要注意以下事項：

1.數(shù)據(jù)恢復前的審批報備將涉密載體帶出前，需向本單位保密主管部門提出申請。審批通過后，由保密主管部門開具介紹信并對外出載體登記備案。需要再次強調的是，一定要在具備相關資質的單位進行涉密數(shù)據(jù)恢復工作。

2.數(shù)據(jù)恢復中的旁站陪同為杜絕涉密信息非授權訪問、涉密數(shù)據(jù)私自復制留存，涉密載體或存儲部件被替換等失泄密。兩者之間應具有物理邊界或明顯的區(qū)分標志。涉密工作區(qū)內使用的計算機，應當按照其處理信息的最高密級定密，與一切外部網(wǎng)絡物理隔離。如需從外部導入數(shù)據(jù)（如病毒庫更新、軟件升級等），應采用信息單向導入設備或相應的技術手段。

涉密工作區(qū)內應安裝視頻監(jiān)控系統(tǒng)，確保涉密載體的去向始終可控可查。對于修建了無塵工作室的單位，應在工作臺附近加裝監(jiān)控設備，確保開盤過程處于監(jiān)督之下，確保不發(fā)生私自替換存儲部件的情況。嚴禁將個人存儲載體或具有攝錄功能的設備帶入涉密工作區(qū)。

3.強化人員和設備管理從事涉密數(shù)據(jù)恢復的工作人員，應按涉密人員進行管理，在上崗前與其簽訂保密責任書。保密管理部門要及時掌握人員思想動向，定期組織教育，強化人員保密意識。用于制作鏡像、拷貝數(shù)據(jù)、存檔備份的計算機和存儲載體應按照存儲信息的最高密級定密隱患，涉密信息所屬單位應安排專人全程旁站陪同。具備條件的單位還應安排雙人同時前往，相互監(jiān)督。當需要恢復的數(shù)據(jù)密級很高或極為敏感時，應在讀取操作執(zhí)行前（如列出文件目錄、打開個別文檔等）要求操作人員回避。數(shù)據(jù)恢復后的檢查核對恢復結束后應對數(shù)據(jù)的有效性、完整性進行檢查，查驗數(shù)據(jù)時應使用本單位涉密計算機。取回送修載體前應對其進行檢查，確保序列號相同，配件完整。

三、結語

大量數(shù)據(jù)的電子化，使得涉密數(shù)據(jù)恢復的需求日益增加。要杜絕數(shù)據(jù)恢復過程中的失泄密隱患，必須前往具備相應資質的數(shù)據(jù)恢復部門，在可靠的人員的監(jiān)督陪同下，按照科學合理的流程實施操作。此外，保持定期備份數(shù)據(jù)的良好習慣，能夠有效降低意外發(fā)生時因數(shù)據(jù)丟失而造成的損失。

 

（作者：張帆 杜樂晗）