信息安全手册：媒体指南

媒体使用

媒体管理政策

由于媒体能够存储敏感或机密数据，因此制定、实施和维护媒体管理政策非常重要，以确保所有类型的媒体及其存储的数据都得到适当的保护。在许多情况下，组织的媒体管理政策将与其可移动媒体使用政策紧密相关。

制定、实施和维护媒体管理政策。

可移动媒体使用政策

制定可移动媒体使用政策可以降低数据泄露、数据丢失和数据被盗的可能性和后果。为此，可移动媒体使用政策可能涵盖以下内容：

• 允许的可移动媒体类型和用途

• 可移动媒体的注册和标签

• 可移动介质的处理和保护

• 报告丢失或被盗的可移动媒体

• 在可移动介质使用寿命结束时对其进行清理或销毁。

制定、实施和维护可移动媒体使用政策。

可移动媒体寄存器

开发、实施、维护和定期验证可移动媒体注册表可以帮助组织追踪和核算授权的可移动媒体，以及识别组织内使用的任何未经授权的可移动媒体。

可移动媒体寄存器定期开发、实施、维护和验证。

标签介质

标签介质可帮助人员识别其敏感性或分类，并确保在其存储、处理和使用方面采取适当的措施。

虽然文本保护标记通常用于标记介质，但在某些情况下可能需要使用颜色保护标记或其他标记方案。在这种情况下，需要记录标记方案，并需要对人员进行使用培训。

除信息技术设备内内部安装的固定介质外，介质都贴有反映其敏感度或分类的保护标记。

媒体分类

未正确分类的媒体可能会被不当存储和处理，被没有适当安全许可的人员访问，或用于未经授权使用的系统。

媒体按其存储的数据的最高敏感度或分类进行分类，除非媒体已被归类为更高的敏感度或分类。

媒体仅用于被授权处理、存储或传达其敏感性或分类的系统。

重新分类媒体

某些活动可能需要或允许更改媒体的敏感度或分类。例如，当媒体连接到缺乏可确保只读访问机制的系统时、当媒体被清理或销毁时，或者当存储在媒体上的数据敏感度或分类发生变化时。

任何连接到比该媒体敏感度或分类更高的系统的媒体都会被重新归类为更高的敏感度或分类，除非该媒体是只读的或系统具有可以确保只读访问的机制。

在将媒体重新归类为较低的敏感度或分类之前，会对媒体进行消毒或销毁，并做出重新分类的正式行政决定。

处理媒体

由于媒体很容易被放错地方或被盗，因此应采取措施保护存储在媒体上的数据。在某些情况下，对媒体应用加密可能会改变处理媒体的方式。处理方式的任何变化都需要基于媒体的原始敏感度或分类以及用于加密媒体的加密设备或软件的保证级别。

以适合其敏感度或分类的方式处理媒体。存储在媒体上的所有数据都经过加密。

首次使用前对介质进行杀毒

首次使用前对介质进行杀毒有助于降低网络供应链风险，例如新介质含有恶意代码。此外，在不同安全域中首次使用前对介质进行杀毒可以防止发生潜在的数据泄露。介质在首次使用前要经过消毒。媒体在不同安全域中重复使用之前会经过净化。

使用媒体进行数据传输

强烈建议在属于不同安全域的系统之间传输数据的组织使用一次性写入介质。如果操作得当，例如使用已完成的不可重写光盘，这将确保目标系统中的数据不会被意外传输或恶意泄露到用于数据传输的介质上，然后再传输到另一个系统（例如原始源系统）。或者，如果没有使用合适的一次性写入介质，则目标系统应具有一种可确保只读访问的机制，例如通过只读设备或硬件写阻止程序。但是，使用只读机制并不能免于失败或泄露，因此，每次传输数据后仍应清理可重写介质。

值得注意的是，对于大多数非易失性闪存介质，可以在数据传输后对其进行清理和重新分类，以便再次将其连接到其他系统。但对于 SECRET 和 TOP SECRET 非易失性闪存介质则无法做到这一点，因为清理后无法重新分类。

在属于不同安全域的两个系统之间手动传输数据时，除非目标系统具有可确保只读访问的机制，否则使用一次写入媒体。

在属于不同安全域的两个系统之间手动传输数据时，可重写媒体在每次传输数据后都会被清理。

媒体净化

混合硬盘

对混合硬盘进行杀毒时，将非易失性磁性介质与包含非易失性闪存介质的电路板分开，然后分别进行杀毒。

固态硬盘

对固态硬盘进行清理时，适用对非易失性闪存介质进行清理的方法。

媒体清理流程和程序

使用经过批准的方法对介质进行清理可确保在清理后不会遗留任何数据。这些指南中描述的方法不仅旨在防止常见的数据恢复做法，而且还可防止将来可能出现的数据恢复做法。

开发、实施和维护介质消毒流程以及支持介质消毒程序。

挥发性介质消毒

在对易失性介质进行清理时，断电后等待的指定时间是基于将安全系数应用于研究建议的防止数据恢复的时间。如果易失性介质被覆盖后无法读回，或者数据仍然存在，则需要销毁。

通过切断电源至少 10 分钟来对挥发性介质进行消毒。

机密和绝密易失性介质通过至少一次随机模式全部覆盖进行清理，然后读回进行验证。

消毒后挥发性介质的处理

研究表明，挥发性介质可能存在短期剩磁效应。例如，在正常室温下剩磁效应可持续数分钟，在极低温度下剩磁效应可持续数小时。此外，由于长时间连续存储静态数据，某些挥发性介质可能会因物理变化而遭受长期剩磁效应。正是由于这些原因，在某些情况下，绝密挥发性介质在消毒后仍能保持其等级。

阻止对最高机密易失性介质进行重新分类的典型情况包括在设备每次启动时将静态加密密钥存储在同一内存位置，或者在设备上显示静态图像并在易失性介质中存储数月。

经过清理后，如果 TOP SECRET 易失性介质在较长时间内存储了静态数据，或者在较长时间内将数据重复存储或写入同一内存位置，则该介质仍会保留其分类。

非挥发性磁性介质消毒

非挥发性磁性介质包括非挥发性磁性硬盘、磁带和软盘。虽然非挥发性磁带和软盘可以通过至少一次（如果是 2001 年之前或 15 GB 以下的，则为三次）以随机模式覆盖，然后读回进行验证来清理，但由于非挥发性磁性硬盘使用主机保护区、设备配置覆盖表和增长缺陷表，因此需要额外考虑。

非易失性磁性硬盘的主机保护区和设备配置覆盖表通常对计算机的统一可扩展固件接口或操作系统不可见。因此，对非易失性磁性硬盘的可读扇区进行任何清理都不会影响主机保护区和设备配置覆盖表中列出的扇区中包含的任何数据。一些清理程序包括将非易失性磁性硬盘重置为默认状态的功能，从而删除任何主机保护区或设备配置覆盖。这允许清理程序在后续清理过程中查看非易失性磁性硬盘的全部内容。

现代非易失性磁性硬盘驱动器会在硬件层面自动重新分配坏扇区的空间。这些坏扇区保存在所谓的增长缺陷表或“g 列表”中。如果数据存储在随后添加到增长缺陷表中的扇区中，则清理非易失性磁性硬盘驱动器不会覆盖此类数据。虽然非易失性磁性硬盘驱动器可能会将这些扇区视为坏扇区，但这通常是因为这些扇区不再符合预期的性能标准，而不是因为无法读取或写入它们。高级技术附件 (ATA) 安全擦除命令内置于 2001 年后非易失性磁性硬盘驱动器的固件中，并且能够访问已添加到增长缺陷表中的扇区。

现代非易失性磁性硬盘还包含一个主要缺陷表或“p 列表”。主要缺陷表包含后期制作过程中发现的坏扇区列表。主要缺陷表中列出的扇区永远不会存储任何数据，因为在首次使用非易失性磁性硬盘之前，这些扇区被标记为不可访问。

非挥发性磁性介质进行清理，方法是使用随机模式将其全部覆盖至少一次（如果是 2001 年之前或 15 GB 以下，则覆盖三次），然后读回进行验证。在对非易失性磁性硬盘进行清理之前，主机保护区和设备配置覆盖表会被重置。

除了块覆盖软件之外，还使用 ATA 安全擦除命令来确保非易失性磁性硬盘的增长缺陷表被覆盖。

非挥发性磁性介质消毒后的处理

由于对非挥发性磁性介质的消毒过程的担忧，SECRET 和 TOP SECRET 非挥发性磁性介质在消毒后仍保留其分类。

经过消毒后，SECRET 和 TOP SECRET 非挥发性磁性介质将保留其分类。

非易失性可擦除可编程只读存储介质消毒

对非易失性可擦除可编程只读存储器 (EPROM) 进行消毒时，应采用制造商规定的三倍紫外线擦除时间，以在消毒过程中提供额外的确定性。

非挥发性 EPROM 介质的消毒方式是应用制造商指定的三倍紫外线擦除时间，然后用随机模式将其全部覆盖至少一次，然后读回进行验证。

非挥发性电可擦除可编程只读存储介质消毒

采用随机模式的单次覆盖被认为适合于清除非易失性电可擦可编程只读存储器 (EEPROM) 介质。

非易失性 EEPROM 介质通过使用随机模式至少完全覆盖一次进行清理，然后读回进行验证。

非挥发性可擦除和电可擦除可编程只读存储介质消毒后的处理

由于对从非易失性 EPROM 和 EEPROM 介质中恢复数据的研究很少，因此机密和绝密 EPROM 和 EEPROM 介质在清理后仍保留其分类。

经过消毒后，SECRET 和 TOP SECRET 非易失性 EPROM 和 EEPROM 介质将保留其分类。

非易失性闪存介质消毒

对于非易失性闪存介质，一种称为磨损均衡的技术可确保写入均匀分布在每个内存块上。此功能要求非易失性闪存介质以随机模式覆盖两次，因为这有助于确保所有内存块都被覆盖。

非易失性闪存介质通过使用随机模式至少两次完全覆盖进行清理，然后读回进行验证。

消毒后对非易失性闪存介质的处理

由于非易失性闪存介质采用了耗损均衡技术，且存在损坏内存块的可能性，因此在清理过程中可能不会覆盖所有内存块。因此，SECRET 和 TOP SECRET 非易失性闪存介质在清理后仍保留其分类。

经过消毒后，SECRET 和 TOP SECRET 非易失性闪存介质将保留其分类。

无法成功净化的介质

在某些情况下，由于介质故障或损坏，消毒过程可能会失败。在这种情况下，需要在处理之前销毁故障或损坏的介质。

无法成功消毒的故障或损坏的介质在处置前应销毁。

介质销毁

媒体销毁流程和程序

制定、实施和维护媒体销毁流程和程序将确保组织以适当且一致的方式进行媒体销毁。

媒体销毁流程以及支持媒体销毁程序均已开发、实施和维护。

无法消毒的介质

有些介质类型无法被净化。因此，在处理之前需要先销毁它们。

以下媒体类型在处置前应销毁：

• 缩微胶片和缩微胶卷

• 光碟

• 可编程只读存储器

• 只读存储器

• 其他无法消毒的介质类型。

介质销毁设备

当物理销毁媒体时，使用认可的设备可以一定程度上确保其存储的数据确实被销毁。

核准的设备包括安全建设和设备委员会的安全设备评估产品清单中所列的销毁设备，以及澳大利亚安全情报组织 (ASIO) 的安全设备指南-009、光学介质粉碎机和安全设备指南-018、销毁机中所列的设备。ASIO 的安全设备指南可从保护性安全政策 GovTEAMS 社区或通过电子邮件联系 ASIO 获取。

如果使用消磁器销毁介质，美国国家安全局会维护磁性消磁器的 NSA/CSS 评估产品列表以及有关常见磁性介质类型及其相关磁场强度和方向的信息。

销毁媒体时使用安全建设和设备委员会批准的设备或 ASIO 批准的设备。

如果使用消磁器销毁介质，则应使用经美国国家安全局评估的消磁器。

介质销毁方法

下文所述的销毁方法旨在确保数据恢复不可能或不切实际。

能够将缩微胶片粉碎成细粉的设备，在显微镜检查下，每个颗粒上显示的连续字符不超过 5 个，用于销毁缩微胶片和缩微胶卷。

静电存储设备使用熔炉/焚化炉、锤磨机、分解机或研磨机/砂光机销毁。

使用熔炉/焚化炉、锤磨机、粉碎机、消磁器或切割来销毁磁性软盘。

使用熔炉/焚化炉、锤磨机、粉碎机、研磨机/砂光机或消磁器销毁磁性硬盘。

使用熔炉/焚化炉、锤磨机、粉碎机、消磁器或切割来销毁磁带。

使用熔炉/焚化炉、锤磨机、粉碎机、研磨机/砂光机或切割来销毁光盘。

使用熔炉/焚化炉、锤磨机或粉碎机销毁半导体存储器。

使用锤磨机、粉碎机、研磨机/砂光机或切割销毁的介质会产生不大于 9 毫米的介质废料颗粒。

介质废颗粒处理

机密和绝密媒体销毁后，正常的会计和验证流程和程序不再适用。但是，根据所用的销毁方法以及产生的媒体废弃物颗粒大小，可能仍需要将其作为分类废弃物进行存储和处理。

机密介质销毁产生的介质废料颗粒如果小于或等于 3 毫米，则按官方规定存储和处理；如果大于 3 毫米且小于或等于 6 毫米，则按受保护规定存储和处理；如果大于 6 毫米且小于或等于 9 毫米，则按机密规定存储和处理。

销毁 TOP SECRET 介质产生的介质废料颗粒如果小于或等于 3 毫米，则按“官方”存储和处理，如果大于 3 毫米且小于或等于 9 毫米，则按“机密”存储和处理。

消磁磁介质

消磁会改变磁性介质的磁性，从而永久损坏数据。消磁时需要小心谨慎，因为磁场强度不足的消磁器不会有效。此外，自 2006 年以来，垂直磁性介质已逐渐取代纵向磁性介质。由于一些较旧的消磁器只能破坏纵向磁性介质，因此需要注意确保还使用具有合适磁性方向的消磁器。此外，为了确保以正确的方式使用消磁器以有效破坏磁性介质，应遵循消磁器制造商提供的产品特定说明。最后，为了在使用消磁器后提供额外的保证，应通过使任何内部盘片变形来物理损坏磁性介质。

使用具有合适磁场强度和磁方向的消磁器销毁磁性介质。遵循消磁器制造商提供的产品特定说明。使用消磁器后，磁性介质会因内部盘片变形而受到物理损坏。

监督销毁

为了验证介质是否被适当销毁，销毁过程需要至少一名获得授权的人员进行监督。

媒体销毁应在至少一名获得许可的人员的监督下进行。

监督媒体销毁的人员会监督其处理直至销毁点，并确保销毁成功完成。

责任物资销毁监管

成功销毁存储有责任材料的介质比其他介质更重要。因此，销毁应由至少两名经过批准的人员监督，并在销毁后签署销毁证书。

存储责任材料的介质的销毁应在至少两名经过审查的人员的监督下进行。

负责监督存储责任材料的介质销毁的人员监督其处理直至销毁点，确保销毁成功完成，并在之后签署销毁证书。

外包媒体销毁

虽然存储可追溯材料的媒体不能外包，但存储不可追溯材料的媒体可以外包，只要使用国家信息销毁协会 AAA 认证的销毁服务即可，如澳大利亚安全情报机构 (ASIO) 的《保护性安全通函-167 安全机密信息的外部销毁》中所述。此出版物可通过电子邮件从保护性安全政策 GovTEAMS 社区或澳大利亚安全情报机构获取。

存储责任材料的介质的销毁不外包。在外包销毁存储不可追溯材料的媒体时，应使用国家信息销毁协会 AAA 认证的销毁服务，并获得 ASIO 的保护性安全通告-167 的认可。

媒体处置

媒体处置流程和程序

制定、实施和维护媒体处理的流程和程序将确保组织以适当且一致的方式进行媒体处理。

媒体处置流程以及支持媒体处置程序均已开发、实施和维护。

媒体处置

在媒体被发布到公共领域之前，需要对其进行清理、销毁或解密。由于清理、销毁或解密后的媒体仍然存在安全风险，尽管风险很小，因此需要由相关机构正式授权将其发布到公共领域。此外，作为处置流程的一部分，移除表明所有者、敏感度、分类或任何其他可能将媒体与其先前使用联系起来的标记和标记，将确保其在处置后不会引起过度关注。

在处置前，应移除表明所有者、敏感度、分类或任何其他可将介质与其之前用途联系起来的标记和标志。

在消毒、销毁或解密之后，做出正式的行政决定，将媒体或其废物发布到公共领域。

— 欢迎关注