当前的数据销毁标准是什么？

安全处置敏感的电子信息几乎是每个现代企业或组织都非常关心的问题，但处理方法却不尽相同。使用软件擦除硬盘驱动器和其他存储设备的数据销毁标准不下 20 种，建议使用NIST 批准的碎纸机进行物理销毁的方法也各不相同。

虽然这些数据销毁标准旨在定义销毁数据的最佳实践，但事实上，有如此多的标准会让最终用户难以辨别。请查看一些最常见的基准，了解它们之间的区别，并了解哪种标准适合您的组织。

NIST 800-88 和 DoD 5220.22-M：最受欢迎的标准

美国国家标准与技术研究院 (NIST) 800-88 是美国公认的现行行业标准。它是 CompuCycle 用于安全销毁数据的两个标准之一。NIST 800-88 概述了四种不同类型的数据清理：

1. 处理：只需丢弃含有非机密信息的纸质文件或其他媒体。
2. 清除：使电子数据不可读和不可恢复，如数据覆盖。请注意，只按删除键并不符合这一标准。
3. 清除：保护数据免受 "实验室攻击 "或技术高超的数据窃贼的攻击。对于 2001 年以后生产的大多数 ATA 硬盘（也称为 IDE 硬盘），清除等同于清理。但是，对于其他类型的磁性介质和较旧的介质，有必要通过称为消磁的过程使用磁场对数据进行消毒，或在 ATA 硬盘上运行安全擦除命令。
4. 破坏：物理销毁，"消毒的最终形式"。销毁过程包括分解、粉碎、焚烧、熔化和切碎。

十多年来，DoD 5220.22-M 是一种广泛使用的数据清除方法，源自国家工业安全计划 (NISP) 发布的操作手册。如今，许多 IT 资产处置公司仍在参考该手册，尽管它已经过时，国防部和其他政府机构也不再使用。

事实上，认为 DoD 5220.22-M 是数据清除的行业标准的想法是一个神话。它从来就不是为此目的而制定的。NIST 800-88 是当前的行业基准。

其他数据销毁标准选项

某些提供商或某些地理区域可能会采用的其他数据销毁标准包括

• HMG 信息安全标准 5：与国防部 5220.22-M 一样，IS5（或 "CESG 标准"）也是英国政府的标准，要求进行消磁、一次或三次覆盖或物理销毁。安全擦除--一种在 SATA 或 PATA 型硬盘上使用固件的流行方法--未获批准。
• BSI-GS：该协议由德国联邦信息安全办公室使用，其特点是在移除隐藏驱动器后用随机数据覆盖一次。
• 空军系统安全指令 8580：最新的空军标准要求进行两次伪随机覆盖，然后再以设定的 1 和 0 模式进行覆盖。必须目视检查至少 1%的最终覆盖数据，以确保覆盖成功。
• 海军参谋部出版物 (NAVSO P-5239-26)：同样是三道程序标准，海军使用两个预定字符和一个随机字符，并在程序结束时进行验证。

这些只是目前使用的几种标准。在使用数据销毁软件时，你可能还会看到 "古特曼方法 "或 "PRNG"（伪随机数生成器）等术语选项。与其说这些是标准，不如说它们是覆写方法，在覆写次数或过程中使用的确切字符方面有所不同。

物理销毁标准

敏感数据不仅仅指 "软拷贝 "或电子数据，硬拷贝同样是一个不可忽视的重要数据领域。幸运的是，标准更加统一，因为结果更容易验证。

纸质文件就是硬拷贝的一个明显例子。不过，通常用于打印员工徽章的 PVC 打印机经常会在打印机色带上留下打印内容的虚拟镜像，而不知情的用户往往会将其原封不动地丢弃。电子数据设备如果损坏或无法使用软件擦除，同样需要手动销毁，以提供全面保护。

物理销毁的黄金标准来自美国国家安全局（NSA），该机构公开了自己关于销毁包含 "绝密 "信息的媒体设备的指导方针。例如，国家安全局对碎纸机的建议是文件碎片不超过 1 毫米乘 5 毫米。对于硬盘驱动器和其他电子设备，该局规定在碎纸时边缘长度为 2-5 毫米，或在焚烧时将材料化为灰烬。

有关美国国家安全局批准的存储设备消毒设备的完整列表，请访问www.nsa.gov/resources/everyone/media-destruction/。

哪种数据消毒标准适合您？

选择最佳数据销毁标准需要考虑以下变量：

• 您需要的安全程度
• 您的行业要求
• 您是否希望重复使用这些设备
• 您在时间和成本方面的资源

您希望将最高级别保护的数据清除标准（如 NIST 800-88）与物理销毁相结合。这样，即使您的设备是固态硬盘 (SSD)，其存储信息的物理空间很小，非 NIST 批准的粉碎机可能会遗漏，但您仍然可以获得数据已被覆盖的额外安全性。

许多行业都有专门的法律法规来规范公民个人数据的处理方式，但指导意见往往比较模糊。例如，美国卫生与公众服务部 (HHS) 要求医疗保健提供商采取 "适当 "措施，保护电子媒体上受保护的健康信息 (PHI)，这是《健康保险可携性与责任法案》(HIPAA) 法规的一部分。

HHS 向从业人员推荐 NIST SP 800-88，这是有充分理由的。符合 800-88 标准是确保您在所有企业环境中都能尽职尽责遵守政府法规的最佳途径，这也是我们在 CompuCycle 使用该标准的原因。

如何达到所需的数据销毁标准

CompuCycle 这样的专业数据清理公司可以按照您指定的任何级别对设备进行清理，并在清理完成后提供一份清单报告和一份数据清理证书或一份数据销毁证书（取决于所使用的清理方法），以符合法规要求。这项工作将由 "与流程中任何部分都没有利害关系的人员 "完成，这是 NIST 800-88 中的一项重要准则。物理销毁后，使用可信供应商是最安全的数据处理方法。

不过，也有一些免费程序可以帮助你按照设定的标准使数据无法恢复，例如 DBAN，这是一款开源数据抹除工具。虽然该程序提供六种不同的数据销毁标准，但它不能擦除固态硬盘，不提供技术支持，而且只建议在家中使用。其他免费的 DIY 程序还包括 Securely File Shredder、Freeraser 和 Bitkiller，这些程序可让你选择不同的销毁方法。