數據存儲介質銷燬：護航數據安全的最後一公里

隨着互聯網的快速發展，網絡化已經深入到人們的方方面面，隨之而來的是各類涉密敏感數據幾何倍的增長。而近年來信息安全事件頻頻發生，數據安全的重要性日益凸顯。如何防止數據泄漏，是企業關注並且急需解決的問題之一。

數據安全主要涉及到兩個方向：

一、網絡信息安全，互聯網時代不法份子藉助網絡安全漏洞盜竊、破壞、泄漏各種信息數據，給企業造成極大的損失。現在各種網絡安全產品不斷的衍進，來滿足可能存在的信息安全漏洞，這類數據安全大家比較容易理解，騰訊也有專門的團隊來保障網絡安全。

二、數據載體安全，是數據安全的末端（即本文稱之爲數據安全的最後一公里），是最容易被忽略的環節。企業裏最大的數據載體是存儲着企業運營及業務數據的運營設備的存儲介質，一般分爲磁性介質HDD和非磁性介質SSD兩類。若服務器在涉及到數據存儲介質安全風險的運營場景，不對存儲介質妥善處理，企業將面臨非常大的數據泄露風險。本文將重點講述騰訊在面臨百萬級服務器規模時如何通過保護數據載體安全來護航數據的最後一公里。

傳統數據存儲介質銷燬方法

我們先來看看存儲介質銷燬的傳統方法：在量小、規模小的時候大家通常是購買辦公級的消磁機和錘子，採用簡單粗暴的方式進行介質的銷燬（如圖1）。當量和規模稍大的時候，一般會找外部公司進行處理，或者通過壓路機等更加粗暴的方式進行銷燬。

簡單粗暴的方法成本低，量小的時候操作效率也高；外部公司處理則省事，但成本較高。當量達到一定規模的時候，簡單粗暴的方法效率和可執行性低，而外部公司則成本非常高昂。同時無論量大量小，這兩種方法均存在同樣的問題：難以保障障儲介質100%被銷燬保證其數據不可恢復，且難以回溯具體某一臺機器的某一個硬盤的處理情況。

圖1 傳統的數據存儲介質銷燬方法

騰訊每年需退役存儲介質數十萬片，銷燬數量巨大，且分散在騰訊全球的數據中心。傳統的數據銷燬方案無論在效率上、還是在質量和成本上均完全滿足不了騰訊服務器數據存儲介質安全服務器運營需求。爲此，騰訊通過點線面結合的方案設計，及大型銷燬工廠的定製開發，形成了一套完整的海量存儲介質銷燬的解決方案，完美解決了數據安全的最後一公里，避免了因數據存儲介質泄漏而對公司造成的重大損失。

騰訊數據存儲介質銷燬解決方案

騰訊服務器運營場景複雜，涉及到數據存儲介質安全的運營場景多樣（如圖2），且每個場景對數據存儲介質銷燬的需求各異（如表1）。

圖2 數據存儲介質銷燬運營場景

表1 服務器運營場景對數據存儲介質銷燬需求

面對上述問題，單靠一種方案是不可能完成的。根據騰訊的服務器量級、分佈特點及運營場景的不同，騰訊創新地設計了 “3”層存儲介質銷燬模式（如圖3）：

● 第1層：建設三個大型的數據存儲介質銷燬工廠，以區域爲面覆蓋國內所有IDC，在銷燬工廠提供完善的解決方案，集中處理整個公司數據存儲介質銷燬任務；

● 第2層，騰訊數十個IDC數據存儲介質銷燬中心，通過IDC內小型銷燬中心的建設，存儲介質的數據安全在IDC中快速、安全地閉環處理，滿足需要在IDC內完成數據銷燬工作的需求；

● 第3層，近百萬臺服務器節點，通過自動化工具，採用數據低格的方式，處理單臺服務器節點的數據銷燬工作；

圖3  騰訊“3”層數據存儲介質銷燬模式

“3”層數據存儲介質銷燬模式像一張網一樣保障騰訊全球百萬級服務器數據存儲介質銷燬工作（如圖4）。

圖4 騰訊數據存儲介質銷燬網絡

在整套方案中，不論是大型銷燬工廠、小型銷燬中心，還是服務器單節點在保證數據銷燬的基本前提下，更是保證了整個過程的可回溯。接下來，具體看看“3”層數據存儲介質銷燬模式的具體情況。

數據銷燬工廠

數據銷燬工廠（如圖5）是騰訊服務器團隊及相關兄弟團隊根據自身業務需求，自行設計和定製的，主要用於大規模存儲介質的銷燬，單個工廠銷燬年產能超過數十萬片，並涵蓋了HDD、SSD兩大類存儲介質的銷燬。

圖5 騰訊數據銷燬工廠示意圖

銷燬工廠是騰訊設計定製的“智能放盤→掃描→拍照→（HDD）消磁→粉粹”全自動全封閉式的流水作業，過程中人爲是無法干預的。騰訊更是定製了粉碎用的刀具，確保粉碎後的顆粒無法進行數據恢復。整個過程與騰訊存儲介質銷燬管控平臺自動對接，實現全程自動控制，且整個銷燬全程可控可追溯（如圖6）。

圖6 存儲介質銷燬過程

這裏需要特別提出的是在銷燬工廠的方案設計過程中，根據騰訊的標準及流程，設計定製大型的全自動銷燬設備過程耗費了大量的資源和時間。國內數據銷燬設備的發展比較滯後，大型數據銷燬設備資源非常有限，大多數供應商還是停留在傳統的辦公級或小型的設備的層面，我們要找的供應商除了具備傳統的大型銷燬設備硬件設計和製造功能力，還必須有創新研發能力和軟件開發能力，按騰訊的要求開發出控制整個銷燬過程的自動化控制模塊的軟件開發能力。

經過徹底銷燬的存儲介質廢渣，我們會找資質齊全的知名的並經騰訊認證的電子垃圾回收服務商回收並進行綠色環保處理。

IDC銷燬中心

數據銷燬工廠的銷燬效率高，但缺點是場地要求大，投入成本太高，不適合在每個IDC內使用，所以針對需要在IDC內部進行數據銷燬的場景，我們設計了小型的、靈活的、建設週期短的IDC內數據銷燬中心，IDC內數據銷燬中心同樣必須滿足騰訊的銷燬標準和銷燬流程，且對銷燬中心的環境和人員都有安全控制要求。

圖7 IDC銷燬中心示意圖

服務器銷燬節點

第一層數據銷燬工廠和第二層IDC數據銷燬中心，對數據存儲介質銷燬都是破壞性的銷燬。對於存儲介質運營過程中既需要把數據進行安全銷燬又要求存儲介質不會被破壞的場景就不實用了，如：服務器從A地調撥到B，服務器調撥出A地的物流過程中存在數據存儲介質安全風險。針對這類場景我們就得藉助於業界的在線銷燬技術和供應商的在線銷燬工具，以服務器爲單位對其存儲介質的數據進行在線銷燬。常用的方法如存儲介質格式化技術，經過3次數據覆蓋想要恢復數據已經不可能了。

圖8存儲介質格式化示意圖

結束語

騰訊“3”層數據存儲介質銷燬模式爲全球百萬級服務器存儲介質提供數據銷燬服務，保障着騰訊十億級用戶信息和公司運營數據的安全。但針對騰訊海外IDC，在滿足騰訊安全及資產管理標準情況，我們制定一套認證體系，選擇並認證當地資質齊全的知名的服務商上門提供數據存儲介質銷燬服務。經過徹底銷燬的存儲介質，找當地資質齊全的知名的經騰訊認證的電子垃圾回收服務商進行資產回收並進行綠色環保處理。後續我們將探索針對海外IDC特點的數據存儲介質銷燬方案。

最後，騰訊服務器數據存儲介質安全工作還在繼續，銷燬工廠運營將引入智能機器人等措施提高操作效率，我們將從存儲介質或服務器研發設計出發，從軟硬件底層來保護其數據安全。