從數位鑑識角度探討個人資料保護觀念(2) – 檔案刪除之後 真的安全嗎？

 檔案刪除了嗎？  別被系統騙了

在刪除檔案時，你是否曾經發現檔案刪除的速度超快，而檔案是否真的從硬碟實際儲存位置將檔案內容清空呢？當然不是，當我們將檔案刪除並從垃圾桶清理乾淨的瞬間，作業系統並未真的將檔案徹底刪除，只是將檔案名稱註記為刪除狀態，並將檔案配置表內的實體儲存位置索引資訊之連結釋放出來，告訴作業系統這些實體位置為空閒未使用狀態，如此一來作業系統就可以再利用這些空間儲存資料。

至於原先儲存已刪除檔案內容的實體位置內的資料，作業系統並未作任何處理，也正是因為這樣，檔案刪除的速度才可以如此之快，然而這也意味著已刪除的檔案內容仍然躺在硬碟內原來的位置，只要透過一些檔案救援軟體就可將已刪除的檔案救回。我們在進行數位鑑識時，就會搜尋檢視這些未使用的區域是否殘留著曾經使用過的檔案資訊。

事實上，作業系統在刪除檔案時會做這樣的流程設計，主要還是效率考量，當我們將檔案儲存到硬碟時，依據檔案大小及儲存位置不同而耗費相當的時間，以目前市面上數位鑑識專用的硬碟對拷設備為例，拷貝速率最快可達7GB/min，拷貝一顆500GB的硬碟就需耗費將近72分鐘（這還是理想值，實際上通常超過2小時以上）。筆者曾經在筆記型電腦上做測試，試著將一個1.2GB的檔案徹底刪除，該台NB的硬碟轉速為7200轉，結果耗費將近15秒以上，如此可以想見徹底刪除檔案將是一件相當耗費時間的工作，也能理解為何OS會有這樣的設計。 

              資料來源：本文作者整理，2011/7。

道高一尺魔高一丈

在國際上許多國家對於資料銷毀的技術都訂定了一套標準程序，可供企業依循，舉例來說美國國防部所訂定的DoD 5220-22.M資料銷毀標準程序，要求在銷毀資料時必須複寫3次亂數資料，而Peter Gutmann與Colin Plumb提出的檔案銷毀標準，最高銷毀等級Gutmann重複寫入次數更高達35次。

近年來，由於資安意識逐漸抬頭，一些檔案徹底清除工具也日益受到重視，像是頗具代表性的Eraser，這些工具所採用的方法就是覆蓋資料，當然這些工具也提供符合上述國際資料銷毀標準程序的運作模式供客戶使用。這些工具所做的就是在你刪除檔案時，將檔案實體儲存位置的內容覆寫入亂數資料或寫入零，如此一來，就算是利用檔案救援軟體也無法將檔案救回。筆者曾經在一些鑑識案件中，發現有些被鑑識電腦裡竟然安裝了Eraser、CClean之類的反鑑識軟體，可見未來科技犯罪的偵防挑戰越來越大，真是道高一尺魔高一丈。

你可以更安全地處理資料

現今網際網路的普及以及資料傳遞安全機制成熟，伴隨著線上交易也越趨頻繁，每天幾乎都要面對機敏資料的處理作業，這些機敏資料不是自己的，就是客戶或廠商的，企業該如何安全地處理這些機敏資料？在此提供2點建議：

1.資料使用與儲存：在資料使用與儲存階段，建議可以採用文件加密軟體，最起碼要將文件設定密碼保護。常見的文件加密軟體有全硬碟加密、檔案加密、虛擬磁碟加密、USB防身碟加密及DRM文件保護系統。

2.資料徹底銷毀：可採用像是Eraser、CClean等軟體，將要銷毀之資料交給這類軟體，由其將儲存於硬碟實體位置之資料徹底清除，使用者不須花太多心思煩惱這個有點難度的工作。

隨著新版個資法即將上路，未來資安要求勢將日趨嚴謹，雖然上述機制可以協助企業解決問題，但這並不代表資料的處理或銷毀就完全安全，筆者認為最重要的還是個人日常在處理這些機敏資料時，須隨時保持警戒心才是上策。

（本文作者現任職於系統整合公司）