强化闪存存储，实现终极数据安全性

　　今天的闪存使嵌入式系统比以往任何时候都更轻、更快、更节能、更紧凑成为可能。由于没有移动部件，其可靠性无与伦比，是坚固应用的完美存储介质。然而，闪存的性质也使得与传统的磁性存储相比，安全擦除数据更加困难。旨在最大限度地延长驱动器寿命的现代磨损均衡算法非常有效，但也使得单独加密文件或确保数据被完全擦除变得困难。一切都不会丢失：整个驱动器加密使工程师能够提供强大的数据安全性，即使使用现代闪存驱动器也是如此。对于军事应用，它的好处是显而易见的，既可以保护数据，也可以按一下按钮安全地擦除敏感数据。

　　2001年，一架美国海军EP-3E Aries II侦察机与中国喷气式飞机相撞，被迫降落在海南岛的一个中国军用机场。它的机组人员只有二十分钟的时间来销毁敏感数据，然后在枪口下被命令下飞机。他们求助于将热咖啡倒入硬盘驱动器并用斧头攻击电子设备。

　　不幸的是，这种方法是不够的。根据一些说法，数据仍然可以被中国计算机专家恢复，这一事件对美国情报部门来说是一个重大挫折。在几年后的另一起事件中，尴尬的美国官员从新闻媒体获悉，从阿富汗军事基地拿走的闪存驱动器不仅在附近的集市上出售，而且还包含秘密文件，列出目标杀害或俘虏的敌人，并描述了驱逐不合作的地方官员的努力。

　　像这样的网络安全事件向我们展示了锁定敏感数据的挑战性，以及当安全程序失败时可能会造成多大的破坏。军事和情报专业人员越来越意识到需要在多个层面上对信息系统进行网络强化，以保护它们免受任何可以想象的威胁。

　　坚实的基础

　　保护嵌入式系统首先要保护数据本身，因此即使攻击者获得了访问权限，他们仍然会受到最终的、牢不可破的安全基岩层的阻碍。实现此目标有两种互补的方法：加密数据和销毁数据。

　　安全硬盘的第一道防线是加密

　　最新的安全闪存驱动器可以使用任何已知或可预见的技术实际上无法破解的算法来保护其所有数据：AES 256 位。访问驱动器上的数据需要两个安全密钥 - 实际上是很长的密码。

　　其中一个密钥由驱动器本身生成，存储在驱动器内部的安全区域，永远不会向外界透露;另一个密钥为授权用户所知。只能使用两个键读取数据。试图通过尝试每一种可能的组合来猜测密钥，将需要数万亿年的时间。

　　在正常操作中，每当具有加密 SSD（固态驱动器或闪存驱动器）的系统通电时，都会请求用户的密钥。根据应用程序的不同，驱动器可以请求其他用户重新授权，或者访问更敏感的数据和操作，或者定时地。

　　AES 驱动器包含硬件，可在后台加密和解密所有数据，因为它被写入磁盘，因此对驱动器性能没有影响。存储在驱动器中的所有数据始终受到牢不可破的 AES 256 位加密保护。

　　基于“需要知道”的数据访问

　　AES 驱动器符合 TCG OPAL 2.0 标准，该标准允许使用多个密码或密钥，每个密码或密钥都适用于不同级别的安全许可和不同的数据访问模式。

　　在现代情况下，一架类似于美国EP-3E的侦察机的机组人员可能只有一个密码，允许他们的机载传感器将收集的情报数据写入安全驱动器。在执行任务期间，他们的传感器可以自由地将数据写入驱动器，但机组人员将不拥有之后读取数据所需的密码。

　　因此，机组人员在物理上无法向敌人透露数据。此外，驱动器的AES 256位加密将防止敌人进入，即使飞机完好无损。只有当飞机安全返回基地时，数据才能由拥有更高级别密码的人员读取，而机上机组人员并不拥有该密码。

　　最后的手段 – 擦除或销毁

　　能够安全地擦除或销毁驱动器上的物理数据，为真正强大的军事信息系统提供了最后一层防御。如果资产落入敌对手中，或者对手通过其他方式获得访问权限，及时销毁数据仍然会挫败他们的所有努力，并让他们持有一个无用的硬件，不再有任何秘密可以放弃。

　　具有内置海量数据删除功能的自加密驱动器也带来了更多平凡的好处。最值得注意的是，作为正常操作的一部分，它们加快了存储介质的轻松处置或重新分配。强大的数据清理策略有助于防止敏感数据（包括国家数据保护法涵盖的个人数据）意外泄露。

　　根据最终用户的组织标准和政府法规，可以根据操作要求单独或一起使用各种紧急数据删除模式。

　　在现场启动驱动器擦除操作

　　紧急驱动器擦除操作可以直接通过物理操作或远程完成。当然，将驱动器从外壳中取出并将微小的跳线移动到擦除引脚上并不是战斗或紧急情况的合适任务 - 这可能需要很多分钟，需要小心和手动灵巧。因此，实际实现通常会将擦除引脚链接到更易于访问的外部控件。这应该防止意外激活，并且可能需要密钥、双操作员或多个步骤才能激活。

　　远程擦除

　　军事和情报部门越来越多地考虑用遥控无人机取代侦察机，例如参与海南事件的美国海军EP-3E。虽然这有助于使有价值的人员免受伤害，但它可能会使数据更加脆弱。

　　考虑一个场景，当一个充满敏感数据的驱动器登上一架正在敌方领土上空坠落的无人机时。无法物理访问擦除跳线引脚。激活擦除功能的替代方法是通过控制计算机通过驱动器接口发送的命令远程激活。尽管此操作过程可能会加剧对意外或恶意激活的担忧，但良好、安全的系统设计可以缓解这些问题。内置的远程擦除功能也使编程擦除功能成为可能。例如，如果无人机与其基地失去联系，或者检测到未经授权的物理访问尝试，则可以对无人机进行编程以擦除其数据。

　　多种数据删除方法

　　宜鼎国际的数据删除技术包括快速擦除、安全擦除和销毁功能。通过快速擦除，将发送内部闪存擦除命令并删除闪存上的数据。由于担心残留数据可能会留在驱动器上，因此可以使用更严格的擦除功能，称为安全擦除。安全擦除通过执行一系列更复杂的步骤（包括擦除和物理覆盖）以及可能重复这些步骤来删除数据。

　　存在许多安全擦除过程，其中大部分是由美国军方和情报部门设计的。宜鼎硬盘支持许多标准;用户可以选择使用的特定标准。

　　紧急数据删除

　　查看各种擦除模式所需的时间，快速擦除是迄今为止最快的，通常需要大约 5 到 10 秒，具体取决于磁盘大小和写入速度。安全擦除需要几分钟，有时甚至几小时才能完全擦除所有数据。但是，由于几乎所有安全擦除标准的第一步实际上是快速擦除操作，因此在这些情况下，较慢的安全擦除速度似乎不会增加任何额外的安全隐患。

　　“销毁”功能是一个专有过程，可有效地使所有数据（包括控制驱动器的固件）无法恢复。此功能是一个物理自毁过程，它故意超过每个闪存芯片的电压规格来破坏硬件。销毁操作是不可逆的：不仅数据无法访问，而且驱动器无法修复并使其再次运行。

　　终极数据安全性

　　当我们考虑前面讨论的中国和阿富汗的军事数据泄露案例时，我们可以看到，如果今天发生此类事件，新的安全技术如何确保数据安全。闪存驱动器内置的一键式擦除技术使忙碌、战斗紧张的机组人员能够快速擦除敏感数据。如果驱动器完好无损地落入敌方手中，加密仍然会使驱动器无法读取，即使是最熟练和最坚定的对手。

　　审核编辑：郭婷