طرق حذف البيانات الحساسة

قد يعتقد المستخدمون أنه عند حذف ملف من محرك الأقراص الثابتة ، فإن المستند لم يعد موجودًا. ومع ذلك ، يدرك متخصصو تكنولوجيا المعلومات أن البيانات نفسها قد تبقى.

ومع ذلك ، قد لا يفهم حتى متخصصي تكنولوجيا المعلومات ذوي الخبرة الاختلافات بين الأنواع المختلفة لمحو ملفات محرك الأقراص الثابتة ، أو معايير الكتابة فوق البيانات ، أو عندما تفشل هذه الأساليب في حذف البيانات من محرك الأقراص الثابتة. اعتمادًا على حساسية المعلومات ، قد يحتاج متخصص تكنولوجيا المعلومات إلى متابعة مستويات أكثر تعقيدًا من الحذف أو حتى تدمير محرك الأقراص الثابتة نفسه.

نتحدث قليلاً عن كيفية تخزين محركات الأقراص الثابتة ومحركات الأقراص المحمولة للبيانات ، ولكن بالنسبة إلى محترفي الأمان المكلفين بالأدلة الجنائية الرقمية ومسؤوليات الامتثال ، فإن المناقشة ليست أكاديمية على الإطلاق.

1. حذف البيانات الأساسية #

إذا استمر استخدام محرك الأقراص الثابتة (أو محرك أقراص USB) ، فإن حذف ملف من خلال نظام التشغيل يعبر كافياً. ومع ذلك ، يجب تذكير المستخدمين بإفراغ مجلد المهملات على سطح المكتب ؛ خلاف ذلك ، يكون تم نقل الملف ببساطة إلى مجلد المهملات.

بمجرد إفراغ المستخدم لمجلد المهملات ، يقوم نظام التشغيل بإزالة معلومات الملف من دليل التخزين. ثم سيتم تمييز جزء التخزين -الذي تم تسجيله مسبقًا على أنه مشغول- على أنه متاح لإعادة الكتابة.

من المهم ملاحظة أن بيانات الملف نفسها لا تزال موجودة على محرك الأقراص الثابتة حتى يقوم محرك الأقراص الثابتة بالكتابة فوق البيانات ببيانات جديدة. بمرور الوقت ، على الرغم من ذلك ، يجب في النهاية استبدال أي ملف محذوف ببيانات جديدة طالما ظل جهاز التخزين قيد الاستخدام.

2. محركات الأقراص الصلبة وطرق حذفها #

يقوم المستخدمون بتخزين البيانات محليًا على محركات الأقراص الثابتة (أقراص ممغنطة أو ذاكرة فلاش) أو محركات أقراص USB (ذاكرة فلاش) أو محركات أقراص الشبكة المشتركة. قد تكون محركات أقراص الشبكة افتراضية أو فعلية ، أو قائمة على السحابة أو خادم محلي ، وتكون إما محرك أقراص ثابت واحد أو مجموعة متكررة من الأقراص المستقلة (RAID) مع بيانات مكتوبة على محركات أقراص ثابتة متعددة.

بينما تركز المقالة هنا بشكل أساسي على محركات الأقراص الفعلية ، تنطبق نفس المبادئ على محركات الأقراص الافتراضية. سواء كان محرك الأقراص الظاهري جزءًا من محرك أقراص ثابت فعلي أكبر ، أو يشتمل على محركات أقراص صلبة فعلية متعددة ، أو موجودًا فقط في ذاكرة الكمبيوتر ، فمن المحتمل أن تتم كتابة بيانات محرك الأقراص الظاهري في وقت ما على ذاكرة فلاش أو طبق مادي للتخزين.

لفهم كيفية عمل طرق الحذف الأكثر شمولاً على أي محرك أقراص ، نحتاج إلى فهم التفاصيل الفنية حول تخزين بيانات محرك الأقراص الثابتة. على وجه التحديد ، يجب أن يكون لدينا فهم أساسي لكيفية كتابة الملفات في التخزين ، وأنواع تقنيات محركات الأقراص الثابتة ، ومتى قد يتعذر الوصول إلى البيانات الموجودة على محرك الأقراص الثابتة لنظام التشغيل.

أساسيات كتابة الملف

عندما يحتاج نظام التشغيل إلى كتابة ملف على محرك أقراص ، فإنه يفحص محرك الأقراص لتحديد مساحة فارغة. ستتألف المساحة من قطاع واحد أو أكثر من المساحة على محرك الأقراص.

تباينت أحجام قطاعات محركات الأقراص الثابتة بمرور الوقت ، ولكن محركات الأقراص الحالية تستخدم ما بين 512 بايت و 4096 بايت. إذا لم يشغل الملف كل المساحة في القطاع ، فسيكون جزء من القطاع فارغًا. إذا زاد حجم الملف لاحقًا ، فسيشغل قطاعات إضافية.

سيحتفظ نظام التشغيل بعد ذلك بدليل للملفات والمواقع المرتبطة بها على محرك الأقراص. نظرًا لأن القطاعات لا تحتاج إلى أن تكون مستمرة ، فبمجرد استخدام محرك الأقراص الثابتة لفترة من الوقت ، قد تتم كتابة الملفات في العديد من المواقع المختلفة وتصبح غير فعالة. على الرغم من أن بعض تطبيقات تنظيف محرك الأقراص الثابتة يمكنها إعادة تنظيم الملفات الموجودة على محرك الأقراص أو إعادة كتابتها لتعظيم القطاعات المستمرة.

يؤدي الحذف البسيط للملف إلى إزالة الملف من دليل ملفات نظام التشغيل. ومع ذلك ، فإنه لا يحل محل البيانات المكتوبة في قطاعات الملف المختلفة على القرص الصلب.

المغناطيسي أو محركات الأقراص المحمولة (ذاكرة الفلاش)؟

تستخدم محركات الأقراص الثابتة إحدى تقنيتين مختلفتين: الأطباق المغناطيسية أو ذاكرة الفلاش. يصبح الاختلاف بين هاتين التقنيتين مهمًا في الحذف استنادًا إلى الاختلاف في تخزين البيانات للبيانات وإدارة تقادم الوسائط.

  1. محركات الأقراص الصلبة ذات الطبق المغناطيسي

تقوم محركات الأقراص الثابتة المغناطيسية بتخزين البيانات في قطاعات على محرك الأقراص الثابتة عن طريق جذب الأطباق الموجودة داخل محرك الأقراص. سيتم تخصيص بعض القطاعات الموجودة على محرك الأقراص للبرامج الثابتة التي تدير محرك الأقراص الثابتة وتتواصل مع نظام التشغيل.

مع تقدم العمر في محرك الأقراص ، ستصبح المغنطة أقل وضوحًا ، وستجد رؤوس محركات الأقراص الثابتة التي تقرأ البيانات صعوبة في معرفة الفرق بين الأصفار والآحاد في الملف الثنائي. بمجرد أن تنخفض البيانات الثنائية إلى ما دون الحد المحدد مسبقًا للخطأ ، سيقوم محرك الأقراص الثابتة بوضع علامة على هذا القطاع على أنه فاشل ونسخ البيانات إلى قطاع جديد من محرك الأقراص الثابتة.

لن تقوم البرامج الثابتة للمحرك المغناطيسي عادةً بإخطار نظام التشغيل بشأن إعادة تعيين القطاعات التالفة. بدلاً من ذلك ، ستقوم البرامج الثابتة المُدارة لمحرك الأقراص الثابتة بإعادة توجيه مكالمات نظام التشغيل للقطاعات المعاد تخصيصها للقطاع الجديد تلقائيًا.

  1. محركات الأقراص الصلبة بذاكرة فلاش

محركات أقراص فلاش ترانزستورات على شرائح ذاكرة البوابة العائمة داخل محرك الأقراص الثابتة أو محرك أقراص فلاش USB. تتم كتابة الذاكرة في الخلايا ، والتي تعادل في الحجم والوظيفة القطاعات الموجودة على القرص الصلب المغناطيسي. سيتم تخصيص شريحة منفصلة أو جزء من شريحة ذاكرة للبرنامج الثابت الذي يدير محرك الأقراص المحمول ويتصل بنظام التشغيل.

مع تقدم العمر في محرك الأقراص ، تقوم خوارزمية إدارة محرك الأقراص المحمول بحساب عدد مرات القراءة / الكتابة لكل خلية ذاكرة. بمجرد إجراء عدد محدد مسبقًا من وظائف القراءة / الكتابة ، تعتبر الخلية معرضة لخطر الفشل ، وسيتم تمييز الخلية على أنها سيئة ، وسيتم نسخ بياناتها إلى خلية جديدة.

كما هو الحال مع محركات الأقراص المغناطيسية ، لن تقوم البرامج الثابتة بإعلام نظام التشغيل بالخلايا التالفة أو نسخ البيانات إلى الخلايا الجديدة. بدلاً من ذلك ، سيقوم برنامج الإدارة بإدارة العملية بشكل غير مرئي وإعادة توجيه طلبات البيانات إلى المواقع الجديدة.

بيانات محرك الأقراص التي يتعذر الوصول إليها

لن يتمكن نظام التشغيل عادةً من الوصول إلى أجزاء كبيرة من كل محرك أقراص ثابت. إدارة البرامج الثابتة لمحرك الأقراص الثابتة محمية من الوصول والكتابة ، كما سيتم حجز جزء من محرك الأقراص الثابتة بواسطة البرامج الثابتة كبدائل مستقبلية للقطاعات التالفة.

القطاعات التالفة غير متوفرة بشكل عام لنظام التشغيل. يمكن لأدوات استعادة البيانات استخدام البرنامج الثابت لمحرك الأقراص لمحاولة قراءة البيانات من القطاعات الفاشلة ، ولكن هذا يتطلب معدات وبرامج متخصصة.

يمكن أيضًا إخفاء بعض القطاعات الموجودة على محرك الأقراص الثابتة من نظام التشغيل أو تخصيصها لأنظمة تشغيل مختلفة. على سبيل المثال ، قد يتم إعداد جهاز كمبيوتر للتشغيل في نظام Linux أو Windows ، وقد يصل كل نظام تشغيل إلى أجزاء مختلفة من محرك الأقراص الثابتة المنسق باستخدام تقنيات نظام ملفات مختلفة.

أقل شيوعًا ، قد ينشئ الأشخاص عمدًا قطاعات مخفية على محرك الأقراص لإخفاء البيانات. في بعض الأحيان يكون هذا لأسباب حميدة ، ولكن غالبًا ما تجد جهات إنفاذ القانون أن هذه التقنية تُستخدم لإخفاء البيانات المرتبطة بأنشطة غير قانونية.

3. إعادة تهيئة محرك الأقراص #

عند إعادة تعيين جهاز كمبيوتر إلى مستخدم جديد أو إزالة محرك أقراص ثابت لوضعه في جهاز مختلف ، قد نرغب في عدم تمكن المستخدم الجديد من الوصول إلى جميع البيانات السابقة. في هذه الحالة ، نقوم غالبًا بإعادة تهيئة القرص الصلب باستخدام نظام التشغيل.

ستؤدي إعادة تهيئة محرك الأقراص إلى حذف جميع أدلة الملفات الموجودة على محرك الأقراص الثابتة وإتاحة جميع القطاعات لنظام التشغيل لتخزين الملفات. ومع ذلك ، قد لا يؤدي هذا المستوى من محو البيانات إلى حذف جميع البيانات الموجودة على محرك الأقراص.

لن يتعرف نظام التشغيل على القطاعات المخفية ، وقد لا تتم إعادة التهيئة لتلك القطاعات. كما لن يمكن الوصول إلى القطاعات السيئة لإعادة التنسيق.

4. طريقة الكتابة فوق البيانات #

عندما تقوم شركة أو فرد بترقية أجهزة الكمبيوتر المحمولة أو الهواتف أو مسجلات الفيديو الرقمية ، فإن الأجهزة القديمة ستظل مفيدة لأشخاص آخرين. بينما قد يتم بيع هذه المعدات أو التبرع بها ، لا يرغب المالكون السابقون في إتاحة بياناتهم للمستخدمين الجدد.

يمكن أن تكون إعادة تهيئة محركات الأقراص الثابتة كافية ، ولكن لتحقيق مستويات أعلى من اليقين ، تتوفر العديد من معايير محو محرك الأقراص. ستقوم كل تقنية بالكتابة فوق البيانات الجديدة فوق جميع القطاعات المتاحة على القرص الصلب.

من بين هذه المعايير ، يوفر ATA Secure Erase معيار محو البيانات الأكثر كفاءة لأنه يستخدم مرورًا واحدًا للكتابة فوق البيانات الموجودة على القرص الصلب. تعتبر طريقة المحو هذه مقبولة بشكل عام لمعظم الأغراض ، وفرصة استرداد البيانات بنجاح بعد عملية المسح الآمن تكاد تكون معدومة.

ضع في اعتبارك أن الكتابة فوق البيانات الموجودة على محرك أقراص ثابتة بسعة 1 تيرابايت قد تستغرق من أربع إلى ست ساعات لمرور واحد – حتى لفترة أطول إذا كان محرك الأقراص قديمًا أو في حالة تعطل. لن يستفيد معظم الأشخاص من الأمان الإضافي المكون من ثلاثة إلى سبعة تصاريح للكتابة وسيكتفون بالمسح الآمن.

5. عندما تفشل عملية المسح #

حتى خوارزمية الكتابة فوق البيانات الأكثر قوة قد تفشل في محو جميع البيانات الموجودة على القرص الصلب.

ستصل معظم عمليات محو محرك الأقراص الثابتة المستند إلى البرامج إلى محرك الأقراص من خلال نظام التشغيل. لا يمكن لهذه التطبيقات التعرف على البيانات الموجودة في القطاعات التالفة أو القطاعات المخفية أو الوصول إليها أو حذفها أو الكتابة فوقها.

يمكن شراء الأجهزة للوصول مباشرة إلى محركات الأقراص الثابتة ، ولكن بعض الأجهزة تعمل ببساطة بإصدار خفيف من Linux أو Windows وسيكون لها نفس قيود الحذف مثل الكمبيوتر. يجب على المشترين الذين يحتاجون إلى استبدال القطاعات التالفة التحقق من أن الأداة أو البرنامج المستخدم سيصل إلى البيانات على مستوى البرنامج الثابت لمحرك الأقراص الثابتة.

قد يتعذر الوصول إلى بعض محركات الأقراص الثابتة بسبب كلمات مرور محرك الأقراص الثابتة على مستوى البرامج الثابتة. في هذه الحالات ، يجب إزالة كلمة المرور قبل الوصول إلى أي بيانات أو حذفها أو الكتابة فوقها.

في أوقات أخرى ، قد تتلف البرامج الثابتة للتحكم ، أو قد يواجه محرك الأقراص الثابتة فشلًا في قطاعات محرك الأقراص الثابتة التي تحتوي على البرامج الثابتة. في هذه الحالة ، لن تكون البرامج الثابتة للإدارة متاحة لتسهيل الكتابة فوق محرك الأقراص.

يمكن لبعض خبراء استعادة البيانات استعادة أو استعادة البرامج الثابتة والقدرة على قراءة البيانات من محركات الأقراص الفاشلة. على الرغم من أن محرك الأقراص قد يكون قد فشل ، فقد تحتوي الألواح المغناطيسية أو رقائق الذاكرة على بيانات يمكن قراءتها من قبل أشخاص عازمين للغاية على استعداد لاستثمار الكثير من الوقت أو المال.

6. التدمير بالكامل (تحطيم الجهاز) #

عندما يجب تدمير البيانات بيقين مطلق ، يجب تدمير وسائط التخزين. بالنسبة لمحركات الأقراص الثابتة المغناطيسية ، ستدمر أجهزة إزالة المغنطيسي إمكانية استخدام محرك الأقراص في جميع القطاعات – بما في ذلك قطاعات البرامج الثابتة.

يمكن استخدام أدوات التمزيق على كل من محركات الأقراص الثابتة المغناطيسية ومحركات الأقراص الثابتة المحمولة ، وستقوم بتقطيع محركات الأقراص إلى أجزاء صغيرة جدًا بحيث لا تكون مفيدة لاستعادة البيانات العملية. يمكن أن تجعل التدريبات أيضًا محركات الأقراص غير قابلة للقراءة بشكل عام ، ولكن خبراء استعادة البيانات قد يستخرجون البيانات من أقسام لم يتم تدميرها من طبق أو شريحة ذاكرة.

من المحتمل ألا يحتاج الكثير من الناس أبدًا إلى ضمان التدمير الكامل. ومع ذلك ، ستكون هناك دائمًا حالات استخدام تتطلب الكتابة فوق محركات الأقراص الثابتة أولاً ثم إتلافها فعليًا لضمان عدم إمكانية الوصول إلى البيانات.

ختاماً

هناك فرق كبير بين إمكانية استخراج البيانات واحتمالية استخراج البيانات من القرص الصلب الذي تم محوه. بالنسبة لمعظم الناس ، سيكون المسح الآمن أو إعادة تهيئة القرص الصلب أكثر من كافٍ للتخلص من فرصة معقولة لاستعادة البيانات.

يتطلب الحذف متعدد التمريرات المتخصصة شراء أجهزة أو حلول برمجية ، وسيستهلك الحذف وقت تكنولوجيا المعلومات ومواردها للتنفيذ. يجب أن يكون مستوى الحذف المحدد مناسبًا لحالة الاستخدام وقيمة البيانات والموارد المتاحة.

شارك هذا المقال: