今天的閃存使嵌入式系統(tǒng)比以往任何時(shí)候都更輕、更快、更節(jié)能、更緊湊成為可能。由于沒(méi)有移動(dòng)部件，其可靠性無(wú)與倫比，是堅(jiān)固應(yīng)用的完美存儲(chǔ)介質(zhì)。然而，閃存的性質(zhì)也使得與傳統(tǒng)的磁性存儲(chǔ)相比，安全擦除數(shù)據(jù)更加困難。旨在最大限度地延長(zhǎng)驅(qū)動(dòng)器壽命的現(xiàn)代磨損均衡算法非常有效，但也使得單獨(dú)加密文件或確保數(shù)據(jù)被完全擦除變得困難。一切都不會(huì)丟失：整個(gè)驅(qū)動(dòng)器加密使工程師能夠提供強(qiáng)大的數(shù)據(jù)安全性，即使使用現(xiàn)代閃存驅(qū)動(dòng)器也是如此。對(duì)于軍事應(yīng)用，它的好處是顯而易見(jiàn)的，既可以保護(hù)數(shù)據(jù)，也可以按一下按鈕安全地擦除敏感數(shù)據(jù)。

2001年，一架美國(guó)海軍EP-3E Aries II偵察機(jī)與中國(guó)噴氣式飛機(jī)相撞，被迫降落在海南島的一個(gè)中國(guó)軍用機(jī)場(chǎng)。它的機(jī)組人員只有二十分鐘的時(shí)間來(lái)銷(xiāo)毀敏感數(shù)據(jù)，然后在槍口下被命令下飛機(jī)。他們求助于將熱咖啡倒入硬盤(pán)驅(qū)動(dòng)器并用斧頭攻擊電子設(shè)備。

不幸的是，這種方法是不夠的。根據(jù)一些說(shuō)法，數(shù)據(jù)仍然可以被中國(guó)計(jì)算機(jī)專(zhuān)家恢復(fù)，這一事件對(duì)美國(guó)情報(bào)部門(mén)來(lái)說(shuō)是一個(gè)重大挫折。在幾年后的另一起事件中，尷尬的美國(guó)官員從新聞媒體獲悉，從阿富汗軍事基地拿走的閃存驅(qū)動(dòng)器不僅在附近的集市上出售，而且還包含秘密文件，列出目標(biāo)殺害或俘虜?shù)臄橙?，并描述了?qū)逐不合作的地方官員的努力。

像這樣的網(wǎng)絡(luò)安全事件向我們展示了鎖定敏感數(shù)據(jù)的挑戰(zhàn)性，以及當(dāng)安全程序失敗時(shí)可能會(huì)造成多大的破壞。軍事和情報(bào)專(zhuān)業(yè)人員越來(lái)越意識(shí)到需要在多個(gè)層面上對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)強(qiáng)化，以保護(hù)它們免受任何可以想象的威脅。

堅(jiān)實(shí)的基礎(chǔ)

保護(hù)嵌入式系統(tǒng)首先要保護(hù)數(shù)據(jù)本身，因此即使攻擊者獲得了訪問(wèn)權(quán)限，他們?nèi)匀粫?huì)受到最終的、牢不可破的安全基巖層的阻礙。實(shí)現(xiàn)此目標(biāo)有兩種互補(bǔ)的方法：加密數(shù)據(jù)和銷(xiāo)毀數(shù)據(jù)。

安全硬盤(pán)的第一道防線(xiàn)是加密

最新的安全閃存驅(qū)動(dòng)器可以使用任何已知或可預(yù)見(jiàn)的技術(shù)實(shí)際上無(wú)法破解的算法來(lái)保護(hù)其所有數(shù)據(jù)：AES 256 位。訪問(wèn)驅(qū)動(dòng)器上的數(shù)據(jù)需要兩個(gè)安全密鑰 - 實(shí)際上是很長(zhǎng)的密碼。

其中一個(gè)密鑰由驅(qū)動(dòng)器本身生成，存儲(chǔ)在驅(qū)動(dòng)器內(nèi)部的安全區(qū)域，永遠(yuǎn)不會(huì)向外界透露;另一個(gè)密鑰為授權(quán)用戶(hù)所知。只能使用兩個(gè)鍵讀取數(shù)據(jù)。試圖通過(guò)嘗試每一種可能的組合來(lái)猜測(cè)密鑰，將需要數(shù)萬(wàn)億年的時(shí)間。

在正常操作中，每當(dāng)具有加密 SSD（固態(tài)驅(qū)動(dòng)器或閃存驅(qū)動(dòng)器）的系統(tǒng)通電時(shí)，都會(huì)請(qǐng)求用戶(hù)的密鑰。根據(jù)應(yīng)用程序的不同，驅(qū)動(dòng)器可以請(qǐng)求其他用戶(hù)重新授權(quán)，或者訪問(wèn)更敏感的數(shù)據(jù)和操作，或者定時(shí)地。

AES 驅(qū)動(dòng)器包含硬件，可在后臺(tái)加密和解密所有數(shù)據(jù)，因?yàn)樗粚?xiě)入磁盤(pán)，因此對(duì)驅(qū)動(dòng)器性能沒(méi)有影響。存儲(chǔ)在驅(qū)動(dòng)器中的所有數(shù)據(jù)始終受到牢不可破的 AES 256 位加密保護(hù)。

基于“需要知道”的數(shù)據(jù)訪問(wèn)

AES 驅(qū)動(dòng)器符合 TCG OPAL 2.0 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)允許使用多個(gè)密碼或密鑰，每個(gè)密碼或密鑰都適用于不同級(jí)別的安全許可和不同的數(shù)據(jù)訪問(wèn)模式。

在現(xiàn)代情況下，一架類(lèi)似于美國(guó)EP-3E的偵察機(jī)的機(jī)組人員可能只有一個(gè)密碼，允許他們的機(jī)載傳感器將收集的情報(bào)數(shù)據(jù)寫(xiě)入安全驅(qū)動(dòng)器。在執(zhí)行任務(wù)期間，他們的傳感器可以自由地將數(shù)據(jù)寫(xiě)入驅(qū)動(dòng)器，但機(jī)組人員將不擁有之后讀取數(shù)據(jù)所需的密碼。

因此，機(jī)組人員在物理上無(wú)法向敵人透露數(shù)據(jù)。此外，驅(qū)動(dòng)器的AES 256位加密將防止敵人進(jìn)入，即使飛機(jī)完好無(wú)損。只有當(dāng)飛機(jī)安全返回基地時(shí)，數(shù)據(jù)才能由擁有更高級(jí)別密碼的人員讀取，而機(jī)上機(jī)組人員并不擁有該密碼。

最后的手段 – 擦除或銷(xiāo)毀

能夠安全地擦除或銷(xiāo)毀驅(qū)動(dòng)器上的物理數(shù)據(jù)，為真正強(qiáng)大的軍事信息系統(tǒng)提供了最后一層防御。如果資產(chǎn)落入敵對(duì)手中，或者對(duì)手通過(guò)其他方式獲得訪問(wèn)權(quán)限，及時(shí)銷(xiāo)毀數(shù)據(jù)仍然會(huì)挫敗他們的所有努力，并讓他們持有一個(gè)無(wú)用的硬件，不再有任何秘密可以放棄。

具有內(nèi)置海量數(shù)據(jù)刪除功能的自加密驅(qū)動(dòng)器也帶來(lái)了更多平凡的好處。最值得注意的是，作為正常操作的一部分，它們加快了存儲(chǔ)介質(zhì)的輕松處置或重新分配。強(qiáng)大的數(shù)據(jù)清理策略有助于防止敏感數(shù)據(jù)（包括國(guó)家數(shù)據(jù)保護(hù)法涵蓋的個(gè)人數(shù)據(jù)）意外泄露。

根據(jù)最終用戶(hù)的組織標(biāo)準(zhǔn)和政府法規(guī)，可以根據(jù)操作要求單獨(dú)或一起使用各種緊急數(shù)據(jù)刪除模式。

在現(xiàn)場(chǎng)啟動(dòng)驅(qū)動(dòng)器擦除操作

緊急驅(qū)動(dòng)器擦除操作可以直接通過(guò)物理操作或遠(yuǎn)程完成。當(dāng)然，將驅(qū)動(dòng)器從外殼中取出并將微小的跳線(xiàn)移動(dòng)到擦除引腳上并不是戰(zhàn)斗或緊急情況的合適任務(wù) - 這可能需要很多分鐘，需要小心和手動(dòng)靈巧。因此，實(shí)際實(shí)現(xiàn)通常會(huì)將擦除引腳鏈接到更易于訪問(wèn)的外部控件。這應(yīng)該防止意外激活，并且可能需要密鑰、雙操作員或多個(gè)步驟才能激活。

遠(yuǎn)程擦除

軍事和情報(bào)部門(mén)越來(lái)越多地考慮用遙控無(wú)人機(jī)取代偵察機(jī)，例如參與海南事件的美國(guó)海軍EP-3E。雖然這有助于使有價(jià)值的人員免受傷害，但它可能會(huì)使數(shù)據(jù)更加脆弱。

考慮一個(gè)場(chǎng)景，當(dāng)一個(gè)充滿(mǎn)敏感數(shù)據(jù)的驅(qū)動(dòng)器登上一架正在敵方領(lǐng)土上空墜落的無(wú)人機(jī)時(shí)。無(wú)法物理訪問(wèn)擦除跳線(xiàn)引腳。激活擦除功能的替代方法是通過(guò)控制計(jì)算機(jī)通過(guò)驅(qū)動(dòng)器接口發(fā)送的命令遠(yuǎn)程激活。盡管此操作過(guò)程可能會(huì)加劇對(duì)意外或惡意激活的擔(dān)憂(yōu)，但良好、安全的系統(tǒng)設(shè)計(jì)可以緩解這些問(wèn)題。內(nèi)置的遠(yuǎn)程擦除功能也使編程擦除功能成為可能。例如，如果無(wú)人機(jī)與其基地失去聯(lián)系，或者檢測(cè)到未經(jīng)授權(quán)的物理訪問(wèn)嘗試，則可以對(duì)無(wú)人機(jī)進(jìn)行編程以擦除其數(shù)據(jù)。

多種數(shù)據(jù)刪除方法

宜鼎國(guó)際的數(shù)據(jù)刪除技術(shù)包括快速擦除、安全擦除和銷(xiāo)毀功能。通過(guò)快速擦除，將發(fā)送內(nèi)部閃存擦除命令并刪除閃存上的數(shù)據(jù)。由于擔(dān)心殘留數(shù)據(jù)可能會(huì)留在驅(qū)動(dòng)器上，因此可以使用更嚴(yán)格的擦除功能，稱(chēng)為安全擦除。安全擦除通過(guò)執(zhí)行一系列更復(fù)雜的步驟（包括擦除和物理覆蓋）以及可能重復(fù)這些步驟來(lái)刪除數(shù)據(jù)。

存在許多安全擦除過(guò)程，其中大部分是由美國(guó)軍方和情報(bào)部門(mén)設(shè)計(jì)的。宜鼎硬盤(pán)支持許多標(biāo)準(zhǔn);用戶(hù)可以選擇使用的特定標(biāo)準(zhǔn)。

緊急數(shù)據(jù)刪除

查看各種擦除模式所需的時(shí)間，快速擦除是迄今為止最快的，通常需要大約 5 到 10 秒，具體取決于磁盤(pán)大小和寫(xiě)入速度。安全擦除需要幾分鐘，有時(shí)甚至幾小時(shí)才能完全擦除所有數(shù)據(jù)。但是，由于幾乎所有安全擦除標(biāo)準(zhǔn)的第一步實(shí)際上是快速擦除操作，因此在這些情況下，較慢的安全擦除速度似乎不會(huì)增加任何額外的安全隱患。

“銷(xiāo)毀”功能是一個(gè)專(zhuān)有過(guò)程，可有效地使所有數(shù)據(jù)（包括控制驅(qū)動(dòng)器的固件）無(wú)法恢復(fù)。此功能是一個(gè)物理自毀過(guò)程，它故意超過(guò)每個(gè)閃存芯片的電壓規(guī)格來(lái)破壞硬件。銷(xiāo)毀操作是不可逆的：不僅數(shù)據(jù)無(wú)法訪問(wèn)，而且驅(qū)動(dòng)器無(wú)法修復(fù)并使其再次運(yùn)行。

終極數(shù)據(jù)安全性

當(dāng)我們考慮前面討論的中國(guó)和阿富汗的軍事數(shù)據(jù)泄露案例時(shí)，我們可以看到，如果今天發(fā)生此類(lèi)事件，新的安全技術(shù)如何確保數(shù)據(jù)安全。閃存驅(qū)動(dòng)器內(nèi)置的一鍵式擦除技術(shù)使忙碌、戰(zhàn)斗緊張的機(jī)組人員能夠快速擦除敏感數(shù)據(jù)。如果驅(qū)動(dòng)器完好無(wú)損地落入敵方手中，加密仍然會(huì)使驅(qū)動(dòng)器無(wú)法讀取，即使是最熟練和最堅(jiān)定的對(duì)手。

審核編輯：郭婷