数据安全生命周期学习：存储数据安全与销毁

数据安全已上升为国家安全战略，数据安全生命周期的治理已成为大数据时代的必备实践！

存储介质安全

1.充分定义级能力描述

• 组织建设

1）组织机构设立统一负责存储介质使用管理的岗位和人员。

• 制度流程

1）制定存储介质访问和使用安全策略和管理规范，建立介质使用的审批和记录流程。

2）建立购买或存储介质的规范流程，要求通过可信渠道购买或获取存储介质，并针对各类存储介质建立标准的存储介质净化规程。

3）对存储介质进行标记，明确介质存储的数据对象。

4）对存储介质进行常规和随机检查流程，确保存储介质的使用符合机构公布的关于介质使用的规范。

• 技术工具

1）组织机构采取有效的介质净化工具对存储介质进行净化处理。

2）对介质访问和使用行为进行记录和审计。

• 人员能力

1）负责该项工作的人员熟悉介质使用的相关合规要求，熟悉不同存储介质访问和使用的差异性。

2. 标准解读

存储介质安全是数据存储安全中的一个重要部分，对数据的存储介质（如磁盘，硬盘，虚拟容器，虚拟机等）进行管理，可以有效防范因为存储介质的不当使用而引发的数据泄露风险。数据存储介质可分为物理实体介质（比如：磁盘，硬盘) 和虚拟存储介质 (比如：虚拟容器，虚拟盘)。存储介质是指存储数据的载体，包括文件档案，计算机硬盘，U 盘，移动硬盘，存储卡，光盘，闪存和打印的媒体等。

3. 组织建设和制度流程

组织机构应该设立一个数据存储介质安全管理部门，并确定相关人员负责管理公司整体的存储介质安全。针对数据存储介质进行访问和使用的场景，组织机构需要提供有效的技术和管理手段，防止出现因对介质的不当使用而引发数据泄露问题。

制度流程可以参考以下案例：

《XXXX公司存储介质安全管理规范》

主要关键点为存储介质 及其分 类定义，介质管理员职责、介质管理要求、介 质 存 放 环 境 要 求，介质运输安全，介质使用规范， 介质维修规范，介质销毀规范等。

4. 技术实现

（1）对存储媒体进行监控和审计，以及数据的清除。

1. 对于光盘介质，需要监控和审计的重要行为就是刻录。
2. 制作加密光盘，并规定只有使用特定的密钥才可以读取光盘的写入数据。
3. 只有在系统上注册过的刻录机才能进行光盘刻录作业。
4. 在光盘刻录全生命周期 (包括刻录申请发起，审批了，刻录资源授权等) 中，均需要有相应的管理人员进行审批，并只有审批通过后才能进行最终的刻录作业。
5. 支持全面的日志审计，如用户名称，刻录文件名，文件处理方式，文件密级，任务提交时间，刻录文件分数，文件包含页数，使用刻录机名称，实际操作人，任务状态等信息。
6. 磁介质和半导体介质的典型代表分别是硬盘和内存。
7. 本地存储介质的监控技术已经十分成熟了，Windows 有资源监视器，Linux 有 top,htop,iotop 等。审计技术一般可能就是通过审计系统日志。
8. Linux 上提供友好可视化界面的工具，例如：开源 Cockpit，基于 Web 的管理工具，可以自行安装部署体验，直观的主机监控和日志组合审计还是不错的。

1）对于硬盘的监控

使用操作系统自带的日志记录功能。在Windows操作系统中，可以打开事件查看器，选择“Windows日志”>“系统”，然后在筛选器中输入“Disk”或“Harddisk”，即可查看与硬盘相关的操作记录。2. 使用第三方软件。有一些专门的软件可以记录硬盘的操作历史，如DiskPulse、Hard Disk Sentinel等。这些软件可以记录硬盘的读写操作、文件的创建、修改和删除等信息，并提供图形化的界面进行查看和分析。Linux系统中，使用`cat /var/log/messages` 等 Linux 命令查看Linux硬盘操作日志，命令控制台会显示一系列的操作日志信息，帮助用户了解 hard disk 的使用情况。Linux内存管理的日志记录，可以使用“dmesg”命令来检查和查看系统的内存管理日志信息。

2）数据擦除的介质净化技术

介质净化一般针对可重复性存储的介质，像光盘类的一次性存储介质只需刻录机进行数据擦除即可。

半导体介质包含RAM和ROM两类，RAM属于易失性存储，相当于运行内存，断电即消失，且无法恢复，一般当做电子设备的内存。ROM非易失性存储，其数据清除过程涉及较为复杂的物理过程，擦除方法通常是在源极之间加高压，从而形成电场，通过 F-N (Fowler-Nordheim) 隧道效应（写入也是通过该隧道效应）实现擦除操作，相当于设备机身内存。

再就是磁盘存储器（硬盘）是最主要的存储介质之一，对于磁盘数据的清除手段主要包含如下：

1. 反复对同一磁盘扇区写入无意义的数据，从而把数据还原的可能性降至最低。
2. 磁盘扇区清零操作，即多次 (至少一次) 对磁盘的所有扇区全部用 0 或全部用 1 写入，使得磁盘上的所有数据全部丢失，这种清除方式比较彻底，但耗时稍长，此操作跟格式化不一样，一般格式化是可以进行数据恢复的，高格、低格、快格、扇区清除都是有区别的。
3. Windows的文件系统NTFS清除磁盘数据，直接访问主文件列表，找到文件的具体存储位置，并解码二进制文件，从而彻底清除文件，这种方法减少了对操作系统的依赖，避免了大量盲目填写无效文件的操作，同时，这种方法还可以保护磁盘，延长其使用寿命，也可以防止避免恢复数据。
4. 目前使用较多的专业磁盘清除工具有：DBAN, HDShredder 等

消除的标注可以参考一些BM要求或者SJ 20901-200 4硬磁盘信息消除器通用规范等。

5. 技术总结

• 存储介质管理

提供统一的管理平台，管理所有存储介质的使用，记录等情况，以便对存储介质进行更好的管理。

• 存储介质监控

能够实时监控所有存储介质的使用情况，包括状态，用量，性能等情况。

• 存储介质扫描

能够对存储介质进行定期扫描，扫描存储介质各方面情况，并自动生成扫描报告。

• 存储介质清除

对于不同种类的存储介质，能够进行逻辑层面的，彻底的低损或无损清除，以保证需要重复使用的存储介质在历史数据清除干净的前提下不会被损坏。

现在了解最多的是存储介质的硬盘数据的统一管理，也就是传统的落地数据和文件的防护，回到了基于内容和行为的数据防护，也就回到了传统的数据安全防护产品和终端防护产品，像终端DLP、数据库DLP、终端管理软件、EDR、XDR、杀毒软件，以及现在的综合数据安全治理平台，都可以实现硬盘、光盘数据以及部分内存的统一监控、管理、审计、扫描、清除等行为。

（1）内存学习

但是市面上对于内存的统一监测和管理是相对较少的，这里对基于内存数据的学习整理如下：

计算机体系结构决定了任何数据都需要经过CPU进行运算，其数据都需要经过内存进行存储，理论上基于CPU指令集和内存这一层面实现的安全方案可以有效防御所有威胁。内存保护技术的核心原理是所有威胁和攻击无论如何伪装逃避安全软件的检测，它最终要造成危害都必定会在内存中“展现”和执行。

一台正常工作的电脑内存中可能包含各种敏感数据，这些数据可以是正在运行的应用程序和系统进程使用的临时数据。以下是一些可能存储在电脑内存中的敏感数据示例：

1. 密码和凭证信息：用户登录到网站、应用程序或操作系统时，其密码和凭证信息可能会存储在内存中。这些信息可能在登录期间被应用程序或浏览器使用，并在登录后保留在内存中供后续使用。
2. 加密密钥和令牌：在使用加密通信或加密存储时，密钥和令牌可能会被存储在内存中，以便进行加密和解密操作。这些密钥和令牌是保护敏感数据的重要组成部分。
3. 剪贴板数据：剪贴板中复制的数据（例如复制的文本、图像或文件路径等）可能会暂时存储在内存中，这些数据可以被其他应用程序读取，因此需要谨慎处理。
4. 临时文件数据：有些应用程序和系统可能会将临时文件的内容加载到内存中进行处理。这些临时文件可能包含敏感信息，因此需要妥善处理和清理。
5. 数据库连接字符串和配置信息：在应用程序连接到数据库或其他远程服务时，其连接字符串和配置信息可能会存储在内存中，如果泄漏，可能导致数据安全问题。
6. 会话信息：在网络应用程序中，用户的会话信息（例如会话ID、登录状态等）可能会存储在内存中，以便跟踪用户的操作状态。
7. 个人信息：一些应用程序在运行时可能会暂时存储用户的个人信息，例如姓名、地址、电话号码等。
8. 加密文件的解密数据：如果用户解密了一个加密的文件，解密后的数据可能会暂时存储在内存中，这时候该数据也是敏感的。

需要特别注意的是，内存中的数据是易失性的，电脑关机或程序关闭后，这些数据通常会被清除。当前黑客攻击样式较多，区别于传统的基于特征码、基于内容基于行为的检测，内存攻击、无文件攻击、二进制漏洞利用攻击、内存组建注册等攻击行为也屡见不鲜，因此内存数据的防护也应该加强学习。

那什么是内存攻击：

内存攻击指的是攻击者利用软件安全漏洞，构造恶意输入导致软件在处理输入数据时出现非预期错误，将输入数据写入内存中的某些特定敏感位置，从而劫持软件控制流，转而执行外部输入的指令代码，造成目标系统被获取远程控制或拒绝服务。

内存攻击的表面原因是软件编写错误，诸如过滤输入的条件设置缺陷、变量类型转换错误、逻辑判断错误、指针引用错误等；但究其根本原因，是现代电子计算机在实现图灵机模型时，没有在内存中严格区分数据和指令，这就存在外部输入数据成为指令代码从而被执行的可能。任何操作系统级别的防护措施都不可能完全根除现代计算机体系结构上的这个弊端，只能试图去阻止攻击者利用 (Exploit)。

当前市面上有大部分安全厂家无针对性的内存安全防护产品，但还是存在部分厂家已经针对内存进行了相关产品的研发，出现了一系列内存保护软件，可以实现内存攻击监测、内存行为监测、二进制漏洞攻击拦截、Rootkit / Bootkit拦截、无文件攻击监测，以及基于内存访问和程序执行的细粒度的实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为，并且应该也可以实现统一管理、监控、审计和清除等一系列操作。

内存监测思路如下：

1）基于内存访问行为监控的漏洞攻击识别技术

系统上有内核，内核上跑了很多业务和进程，内存保护产品会通过4种技术，根据不同场景捕获漏洞，判断攻击行为：

1. · 基于内存虚拟化的内存访问监控技术，发现异常内存执行行为。如把存放数据的内存当代码去运行，就会被认为是异常的。
2. 基于硬件调试寄存器的监控技术。
3. 基于内存断点的监控技术，监控漏洞shellocode固定访问点位和路径。
4. 基于Hook内存相关API的监控技术，监控内存属性修改等行为。

最后结合系统或进程上下文分析，排除部分误报，包括部分正常软件行为后判断存在漏洞攻击。

2） 基于程序执行行为监控的恶意代码识别技术

从应用层、系统层、内核层三个层面进行监控：

1. 内存层监控内存访问，发现内存或漏洞利用攻击；
2. 系统层用NGAV技术监控少数CPU指令，如恶意代码防范（Rootkit、Bootkit、挖矿、勒索）和入侵检测（Perl、反弹shell）。要抓尽量多的行为，避免抓的行为少而导致检出率低，误报高的情况；
3. 应用层通过RASP技术、无文件攻击动态防护技术、应用层系统行为监控等技术，检测内存马攻击、Webshell后门、中间件漏洞利用攻击、无文件攻击、系统行为采集