企业选用何种硬盘更能保护电子数据丨反舞弊调查中的电子数据取证⑦

本文由星瀚反舞弊法律中心出品:星瀚反舞弊法律中心作为上海星瀚律师事务所向客户企业提供专业、高效的反舞弊法律服务的基地,由上海星瀚律师事务所于2016年4月成立,...


本文由星瀚反舞弊法律中心出品:

星瀚反舞弊法律中心作为上海星瀚律师事务所向客户企业提供专业、高效的反舞弊法律服务的基地,由上海星瀚律师事务所于2016年4月成立,在星瀚律师事务所高级合伙人、反舞弊中心负责人汪银平律师领衔下,中心与多家内控、反舞弊等机构、论坛建立了长期的外部合作机制,向客户提供最专业、最前沿的反舞弊法律资讯和服务。

目前,星瀚反舞弊法律中心已经承办了数量众多的反舞弊刑事案件,涉及金融、航运、汽车制造、互联网、教育、化妆品、家装等多个行业,涵盖职务侵占、商业贿赂、侵犯著作权、窃取商业秘密等多种刑事犯罪,其中不少案件在业内具有相当程度的影响力。

上期我们就电子数据恢复作了一些基础性的介绍,并以机械硬盘为例加以说明。本期就接着上期话题,对目前广泛使用闪存类存储介质的数据存储恢复机理作个简要介绍,并初步探讨一下数据恢复的可行性。

固态硬盘(Solid State Disk)——用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)组成,其在接口规范和定义、外形和尺寸、功能、使用方法上与普通硬盘都完全一致。被广泛应用于军事、车载、工控、视频监控、网络监控、网络终端、电力、医疗、航空、导航设备等诸多领域。

1、读写速度快

尤其在读写零碎文件时,固态硬盘速度要比机械硬盘快几十倍。最明显的感受就是开机时间,固态硬盘基本10多秒就能完成操作系统启动,进入系统后还不用等待,而大多数机械硬盘的启动时间要几分钟,并且进入系统后硬盘仍继续疯狂读取数据,要等上好一段时间才能正常使用系统。

2、使用寿命长(这里一直有个误区)

对于稍微了解一点固态硬盘知识的人来说,都会认为固态硬盘的写入次数是有限的,而这也的确是个事实。但实际上,固态硬盘寿命足以使用很长时间,举个形象的例子来说,一个目前最普遍使用的容量——128g固态硬盘,就算每天高频大量进行写入操作,其使用寿命也大于十年。另外,固态硬盘寿命和容量成正比,容量翻倍寿命也翻倍,也就是说,要写死一个256GB的固态硬盘,你得从大学毕业用到孩子上大学!对比来看,机械硬盘则由于机械结构的精密性,震动和高温都会导致损坏,根据实际使用数据统计,普通的机械硬盘用了几年之后一般都会产生“坏道”(损坏的存储单元)。从这点上看,机械硬盘并没有固态硬盘耐用!

3、防震抗摔

固态硬盘使用闪存颗粒制作,内部不存在任何机械部件,即使在高速移动甚至伴随翻转倾斜的情况下也不会影响到正常使用,在发生碰撞和震荡时能够将数据丢失的可能性降到最小。

4、低功耗、无噪音、发热小

没有机械结构的固态硬盘,在功耗上明显低于传统硬盘,噪音值为0分贝,发热量小、散热快。

1、意外断电时容易损坏

固态硬盘最主要的“敌人”不是日常频繁写入的操作,而是意外意外断电,这是由固态硬盘的内在构成所决定的(此处不作技术解释,了解即可),为了使固态硬盘的寿命延长,可以花一二百块钱买个小型的UPS(不间断电源),防止电脑意外断电即可。

2、贵!贵!贵!

说多少遍缺点,最大的缺点仍旧是个“贵”字!当下主流的128GB或者256GB固态硬盘,价格从300到800不等,而同样价格,可以买到从1T到3T容量的机械硬盘。如果是存储电影、音乐、大量文档,选择机械硬盘还是适合的,因为放在固态硬盘里带来的读写速度也不会给我们带来明显的提升。

个人计算机从CPU、内存到显卡近些年都呈现非常大的技术革新和性能提成,计算机整体性能的瓶颈早就卡在了硬盘上,固态硬盘的出现才改变了这个现状。

对于普通用户来说,固态硬盘带来的性能和速度提升是显而易见的,但对于电子数据恢复来说,固态硬盘则变得难以预测。

上期分享说过,传统的机械硬盘上如果数据被删除或者硬盘格式化,仍旧有非常大的概率能够把原始数据恢复出来。而对于固态硬盘,根据实测数据的不完全统计,在默认设置的情况下,90%的概率是无法恢复的。

固态硬盘数据恢复低成功率的关键,在于它和机械硬盘完全不同的结构和数据存储机理,接下来,我们就讲讲固态硬盘的存储方式。

大多数民用固态硬盘都是用“闪存”而不是磁盘来作为存储介质,根据容量不同,固态硬盘安装有不同数量的闪存模块,在新数据写入之前闪存必须进行擦除操作,这样的擦写操作是有次数限制(也就是寿命)的。

为了保证固态硬盘随时都有可以写入空间,平均各个闪存模块的擦写频率,就要用到一个名为FTL的动态链表来记录和维护这些操作的数据信息。

由于FTL链表的动态特性,就使得固态硬盘的数据存放位置和外部存取地址不能一一对应,除了固态硬盘控制器外,谁都不知道数据到底存放在硬盘的哪个闪存模块中,所以使用数据恢复软件按操作系统在写入时记录的地址,根本无法找到想要恢复的数据。

(一)还是先说结论:

如果固态硬盘关闭Trim指令功能,数据有可能可以恢复。

反之,数据基本不可恢复。

(二)Trim指令简介

TRIM指令是微软联合各大SSD厂商所开发的一项技术,它告诉闪存固态存储设备要擦除哪些数据,当相关页面的数据可以被覆盖时,操作系统会发给固态硬盘一个TRIM指令,因为在写入操作过程中不用花时间去擦除原本的数据,写入速度要快得多。

当我们在操作系统中删除一个文件时,系统并没有真正删掉这个文件的数据,它只是把这些数据占用的地址标记为“空”,即可以覆盖使用。但这只是在文件系统层面的操作,硬盘本身并不知道那些地址的数据已经无效,除非系统通知它要在这些地址写入新的数据。

闪存不允许覆盖,只能先擦除再写入,要得到空闲闪存空间进行写入,就必须进行数据擦除。在没有Trim的情况下,SSD无法事先知道那些被删除的数据页已经是无效的,必须到系统要求在相同的地方写入数据时才知道那些数据可以被擦除,这样就无法在最适当的时机做出最好的优化,既影响效率性能,又影响固态硬盘的寿命。

打开Trim指令可以提高固态硬盘性能,同时延长使用寿命,但数据恢复基本无法实现。而当硬盘上存有重要数据的情况下,关闭Trim功能则能提高数据恢复的概率,更大程度保障数据安全,也给电子数据取证提供更多的机会。

从数据保障和电子数据恢复的角度,建议还是将固态硬盘作为操作系统和程序的安装盘,而个人信息则还是存在机械硬盘中更为安全。

企业用户的计算机可以使用小容量固态硬盘+大容量机械硬盘的方式更为妥帖,既保证了计算机的性能和运行速度,又给数据恢复提供了可行的机会。

文丨周晓鸣(星瀚反舞弊研究中心)

编丨唐诗颖

本文为星瀚原创,如需转载,请联系本公众号后台。

不应视为针对特定事务的法律意见或依据。

星瀚同行开放日邀您参加!