iShredder 是否兼容 NIST SP 800-88？什么是符合性声明？

本自我声明确认，iShredder™ 软件（适用于 Android、iOS、Windows、macOS 和 Windows Server）实现了 NIST Special Publication 800-88 Revision 1 – Guidelines for Media Sanitization 的要求。该文件由美国国家标准与技术研究院（NIST）发布，描述了不可逆数据删除（“介质净化”）的最佳实践。

NIST SP 800-88 将安全级别划分为三类：

1. Clear（逻辑删除 / 覆盖写入）
2. Purge（增强方法，包括基于硬件的擦除命令或密码学擦除）
3. Destroy（物理销毁）

由于 NIST SP 800-88 并不是传统意义上的可认证标准，因此符合性证明主要通过推荐方法的实现以及对擦除过程的完整文档记录来体现。许多组织——从政府机构到云服务提供商——都依赖这些指南来确保安全的数据处置。
 

1. 数据分类与擦除方法的选择

NIST SP 800-88 强调，应根据数据分类来选择合适的擦除方法（Clear、Purge 或 Destroy）：

• Clear：适用于敏感性较低的数据。
• Purge：适用于还需要防御高级取证分析的数据。
• Destroy：适用于绝不允许恢复且不再需要重复使用存储介质的数据（物理销毁）。

iShredder™ 通过提供所有相关方法来支持这一流程。管理员和相关责任人员可以根据所需安全级别（Clear/Purge）选择并记录合适的功能。

 

2. NIST SP 800-88 —— 数据擦除要求

2.1 Clear

• 定义：
  一种逻辑擦除方法，使用预定义模式（例如 0 或随机值）对所有用户可寻址存储区域执行（至少）一次覆盖。
• 目标：
  使简单的软件工具无法再恢复数据。
• 限制：
  在极少数情况下，专门的实验室方法（例如针对较旧 HDD）仍可能发现残留痕迹，因此对高度敏感数据而言，Clear 并不总是足够。

2.2 Purge

• 定义：
  更高级的方法，可抵御先进取证分析。除（多次）覆盖外，还特别包括硬件命令（Secure Erase、Sanitize）和密码学擦除（Crypto Erase）。
• 目标：
  可靠移除即使是难以到达的数据区域（例如 SSD 上的 HPA/DCO 与 wear-leveling 预留区域）。
• 示例方法：
  ATA Secure Erase 或 Sanitize 命令（Block Erase、Crypto Erase）。
  移除/禁用 HPA（Host Protected Area）和 DCO（Device Configuration Overlay）。
  通过销毁加密密钥执行密码学擦除（自加密硬盘、带 Secure Enclave 的 iOS 设备等）。

2.3 Destroy

• 定义：
  物理销毁（例如粉碎、碾碎、焚烧），使恢复在实践中几乎不可能。
• 适用场景：
  当存储介质不再重复使用，或介质严重损坏以至于软件方法（Clear/Purge）已无法起作用时，建议采用。
   

3. iShredder™ 中的实现

iShredder™ 的设计目标是让 NIST SP 800-88 中定义的擦除方法——包括 Clear 与 Purge——能够在不同平台环境（Android、iOS、Windows、macOS、Windows Server）中使用。该软件还支持自动验证并生成详细的擦除报告。

3.1 iShredder™ 中的 Clear 流程

• 单次覆盖：
  默认情况下，iShredder™ 会使用固定模式或随机模式（例如 0x00、0xFF 或随机字节）覆盖存储介质上的所有逻辑扇区。
• 验证：
  写入完成后，iShredder™ 可选择执行抽样检查或完整验证，以确认所有区域都被正确覆盖。
• 文档记录：
  每一次擦除过程，iShredder™ 都会生成擦除日志，其中包括：
  - 日期和时间
  - 负责操作员
  - 设备或硬盘信息（序列号、型号）
  - 使用的擦除模式
  - 验证结果（读取扇区数量、是否存在错误）

因此，iShredder™ 满足 NIST 对 Clear 的要求。
 

3.2 iShredder™ 中的 Purge 流程

Purge 在一定程度上使用与 Clear 相同的技术，但又通过硬件辅助或密码学擦除方式进行扩展，以抵御高级取证恢复尝试：

硬件命令：

• 适用于兼容 HDD/SSD 的 ATA Secure Erase 或 Sanitize（Overwrite EXT、Block Erase、Crypto Erase）。
• 禁用/移除 HPA 和 DCO，以确保隐藏扇区不会被遗漏。
• 根据设备情况：执行厂商原生重置流程，指示内部存储控制器擦除全部闪存块或缓存区域。
   

密码学擦??（Crypto Erase）：
对于自加密硬盘（SED）或iOS 设备（Secure Enclave），iShredder 可以有针对性地移除加密密钥。没有该密钥，数据将变得不可读。
此外，还可执行验证步骤，例如检查密钥是否已真正失效，或者写入的模式是否已正确应用。

3.3 Destroy 流程

iShredder™ 本身不执行物理销毁（Destroy）。如果存储介质：
已经严重损坏而无法被完全覆盖，或包含特别高保护等级的数据且不应再被重复使用，那么根据 NIST SP 800-88，物理销毁可能是唯一选项。
在这些情况下，iShredder™ 会记录擦除过程是否未完整完成（例如存在坏扇区），以便组织在必要时启动Destroy流程。
 

4. 对特殊存储场景的处理

4.1 损坏或“棘手”的存储介质

根据 NIST SP 800-88，损坏的硬盘可能会导致无法通过软件访问所有扇区。iShredder™ 会检测并记录故障区域。如果无法对其进行逻辑覆盖，则建议采用物理销毁（Destroy），以确保剩余数据无法再被访问。

4.2 虚拟化环境 / 云存储

虚拟磁盘： 在处理虚拟硬盘之前，iShredder™ 可以先对虚拟机中的全部数据区域执行覆盖（Clear/Purge）。

云中的密码学擦除： 很多云服务商默认会对客户数据进行加密，并在回收资源时仅删除密钥（Crypto Erase）。如果能够物理访问底层硬盘，iShredder™ 也可作为云端密钥销毁的补充。

4.3 移动设备（iOS/Android）

• iShredder™ iOS： 使用硬件支持的安全核心（Secure Enclave），并可通过移除系统加密密钥实现Purge。
• iShredder™ Android： 实现覆盖流程，并计划支持厂商特定命令，以便在该平台上也达到 Purge 级别（例如在兼容智能手机上通过 OEM 的安全擦除功能）。
   

5. 验证与报告

NIST 的一个核心要求是对擦除结果进行验证（Verify）。在擦除过程中，iShredder™ 会自动提供：

Full Verify：
完整验证（complete verification），用于获得最高安全性。

 

Erasure Report：

其中包含所有相关信息（例如序列号、时间、擦除方法、验证结果）。如有需要，报告还可进行防篡改签名，并可纳入审计流程（ISO 27001、GDPR、内部资产处置流程等）。它也支持 NIST SP 800-88 Revision 1 Appendix G（Sample Certificate of Sanitization）的要求。

6. 组织层面与合规性

• 组织责任：
  遵循 NIST SP 800-88 要求组织在内部明确规定何时使用 Clear、Purge 或 Destroy。iShredder™ 提供的是技术工具；最终决策由用户或组织自行承担。
• 其他标准（GDPR、ISO 27001、HIPAA 等）：
  NIST SP 800-88 在很多情况下被视为“当前技术水平”的体现，并可支持其他隐私与安全要求（例如 GDPR、PCI-DSS、HIPAA）的合规。比如，符合 NIST 的擦除流程可以帮助更轻松地实现符合 GDPR 的数据删除。
• 限制：
  在极少数情况下（例如介质损坏或固件容易被篡改），可能无法完整执行 Purge 或 Clear。在这种情况下，必须改用 Destroy 流程或其他替代方法。iShredder™ 会指出这些特殊情况。
   

7. 总结

iShredder™ 解决方案满足 NIST SP 800-88 Revision 1 的所有核心要求：

• Clear：至少对所有可寻址存储区域执行一次覆盖，并进行验证。
• Purge：借助硬件辅助的安全擦除 / sanitize 命令或密码学擦除来满足更高的安全需求（特别适用于 SSD 和移动设备）。
• Destroy：在 iShredder™ 的软件层面未实现，因为物理销毁不属于软件范围。若有需要，iShredder™ 会记录擦除状态，以便组织自行启动 Destroy 流程。

通过其NIST 符合性方法与全面文档记录（包括验证和报告功能），iShredder™ 确保被删除的数据无法再被恢复。这为企业、政府机构及其他组织提供了合法合规、可审计且国际认可的数据处置支持。
 

法律说明

NIST SP 800-88 是一项公认指南，但不是正式的认证标准。选择并执行（Clear、Purge、Destroy）的责任由用户或组织承担。
物理销毁 对于特别敏感或损坏的介质可能是必须的。iShredder 仅执行基于软件的擦除方法。
免责声明： 擦除流程的有效性以硬件完好和硬盘功能正常为前提。如遇固件错误或硬件损坏，可能无法实现完整的软件擦除。
 

来源

NIST Special Publication 800-88 Revision 1 – Guidelines for Media Sanitization
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

公开的符合性声明与白皮书
- 例如：AWS（aws.amazon.com）、Microsoft Azure（azure.microsoft.com）
- NIST SP 800-88 在云基础设施中的实现

iShredder™ 内部产品文档和技术白皮书
- 关于算法、验证以及设备兼容性的详细信息
- https://www.protectstar.com
 

本声明基于我们所掌握的最佳知识编写，并反映了 iShredder™ 软件当前的开发状态。 借助 iShredder™ 中实现的功能（Clear/Purge，包括验证与文档记录），NIST SP 800-88 Revision 1 的要求得以满足。因此，组织可以保留一份可审计的证明，证明数据删除已成功完成。