home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / greenncsc.txt

< prev

next >

Wrap

Text File  |  1999-11-04  |  57KB  |  1,095 lines

---

1. A Guide to Understanding Data Remanence in
2. Automated Information Systems
3.  
4. NCSC-TG-025 
5.  
6. Library No. 5-236,082 
7.  
8. Version-2 
9.  
10. FOREWORD
11.  
12. The National Computer Security Center is issuing A Guide to Understanding
13. Data Remanence in Automated Information Systems as part of the "Rainbow
14. Series" of documents our Technical Guidelines Program produces. In the
15. Rainbow Series, we discuss in detail the features of the Department of
16. Defense Trusted Computer System Evaluation Criteria (DoD 5200.28-STD) and
17. provide guidance for meeting each requirement. The National Computer
18. Security Center, through its Trusted Product Evaluation Program, evaluates
19. the security features of commercially-produced computer systems. Together,
20. these programs ensure that organizations are capable of protecting their
21. important data with trusted computer systems. While data remanence is not
22. a directly evaluated criterion of trusted computing systems, it is an
23. issue critical to the safeguarding of information used by trusted
24. computing systems. 
25.  
26. A Guide to Understanding Data Remanence in Automated Information Systems
27. is intended for use by personnel responsible for the secure handling of
28. sensitive or classified automated information system memory and secondary
29. storage media. It is important that they be aware of the retentive
30. properties of such media, the known risks in attempting to erase and
31. release it, and the approved security procedures that will help prevent
32. disclosure of sensitive or classified information. This version supersedes
33. CSC-STD-005-85, Department of Defense Magnetic Remanence Security
34. Guideline, dated 15 November 1985. 
35.  
36. As the Director, National Computer Security Center, l invite your
37. suggestions for revising this document. We plan to review this document as
38. the need arises. 
39.  
40.      Patrick R. Gallagher, JR September 1991 
41.      Director National Computer Security Center 
42.  
43. ACKNOWLEDGMENTS
44.  
45. The National Computer Security Center extends recognition to Captain James
46. K. Goldston, United States Air Force, for providing engineering support
47. and as primary author and preparer of this guideline. We thank the many
48. people involved in preparing this document. Their careful review and input
49. were invaluable. The National Computer Security Center extends recognition
50. to Dr. Blaine W. Burnham and David N. Kreft, without whom this revision
51. could not have taken place. Other reviewers that provided much needed
52. input are Carole S. Jordan, Lawrence M. Sudduth, and Kim Johnson-Braun and
53. George L. Cipra. 
54.  
55. INTRODUCTION
56.  
57. Data remanence is the residual physical representation of data that has
58. been in some way erased. After storage media is erased there may be some
59. physical characteristics that allow data to be reconstructed. This
60. document discusses the role data remanence plays when storage media is
61. erased for the purposes of reuse or release. 
62.  
63. Various documents have been published that detail procedures for clearing,
64. purging, declassifying, or destroying automated information system (AIS)
65. storage media. [1,2,4, 5, 6, 8,9,13 and 16] The Department of Defense
66. (DoD) published DoD Directive 5200.28, Security Requirements for Automated
67. Information Systems, [17] and its corresponding security manual DoD
68. 5200.28-M, Automated Data Processing Security Manual, [1] in 1972 and
69. 1973, respectively. These two documents were amended in 1979, in response
70. to the Defense Science Board Task Force recommendation to establish
71. uniform DoD policy for computer security requirements, controls, and
72. measures. The directive was again revised in March 1988, and efforts are
73. underway to revise the manual. 
74.  
75. DoD 5200.28-M addresses DoD requirements for the secure handling and
76. disposal of AlS memory and secondary storage media. While the Department
77. of Defense requires the use of DoD Directive 5200.28 and DoD 5200.28-M by
78. DoD components, the heads of DoD components may augment these requirements
79. to meet their needs by prescribing more detailed guidelines and
80. instructions provided they are consistent with these policies. DoD
81. contractors and subcontractors who participate in the Defense Industrial
82. Security Program (DISP) are required to comply with DoD 5220.22-M,₧
83. Industrial Security Manual for Safeguarding Classified Information. [8]
84. The Defense Investigative Service is responsible for the promulgation of
85. the policy reflected in DoD 5220.22-M. Unlike these policy documents, A
86. Guide To Understanding Data Remanence In Automated Information Systems
87. does not provide requirements. 
88.  
89. Sometime during the life cycle of an AIS, its primary and secondary
90. storage may need to be reused, declassified, destroyed, or released. It is
91. important that security officers, computer operators, and other users or
92. guardians of AS resources be informed of the risks involving the reuse,
93. declassification, destruction, and release of AlS storage media. They also
94. should be knowledgeable of the risks inherent in changing the sensitivity
95. level of AS storage media or of moving media from an installation with a
96. specific security posture tone that is less secure. They should use proper
97. procedures to prevent a possible disclosure of sensitive information
98. contained on such media. ("Sensitive" in this document refers to
99. classified and sensitive but unclassified information.) The procedures and
100. guidelines in this document are based on research, investigation, current
101. policy, and standard practice. 
102.  
103. This guideline is divided as follows: Section 2 provides information on
104. using this guideline and introduces DoD terminology. Section 3 discusses
105. the use of degaussers and references the Degausser Products List (DPL), a
106. listing of DoD evaluated degaussers. Section 4, "Risk Considerations," has
107. information similar to that found in version 1 of this document, except
108. for the modification of Section 4.2, "Effects of Heat and Age," and the
109. addition of information on overwriting and degaussing. Section 5 addresses
110. DoD endorsed erasure standards. Recently developed storage technologies
111. and disk exercisers are discussed in Section 6. Section 7 addresses areas
112. needing further investigation and provides references to additional
113. information on the science of magnetics, as it pertains to magnetic
114. remanence. 
115.  
116. 1.1 PURPOSE
117.  
118. The purpose of this publication is to provide information to personnel
119. responsible for the secure handling of sensitive AlS memory and secondary
120. storage media. (However, this guidance applies to any electronic or
121. magnetic storage media, e.g., instrumentation tape.) This guideline
122. provides information relating to the clearing, purging, declassification,
123. destruction, and release of most AlS storage media. While data remanence
124. is not a directly evaluated criterion of trusted computing systems, it is
125. an issue critical to the safeguarding of information used by trusted
126. computing systems and, as such, is addressed in this National Computer
127. Security Center (NCSC) guideline. The NCSC publishes this document because
128. the community using trusted computing systems has expressed the desire for
129. this information. Additionally, readers should note that this is a
130. guideline only and they should not use it in lieu of policy. 
131.  
132. 1.2 HISTORY
133.  
134. As early as 1960 the problem caused by the retentive properties of AIS
135. storage media (i.e., data remanence) was recognized. It was known that
136. without the application of data removal procedures, inadvertent disclosure
137. of sensitive information was possible should the storage media be released
138. into an uncontrolled environment. Degaussing, overwriting, data
139. encryption, and media destruction are some of the methods that have been
140. employed to safeguard against disclosure of sensitive information. Over a
141. period of time, certain practices have been accepted for the clearing and
142. purging of AIS storage media. 
143.  
144. A series of research studies were contracted by the DoD to the Illinois
145. Institute of Technology, Research Institute and completed in 1981 and
146. 1982. They have confirmed the validity of the degaussing practices as
147. applied to magnetic tape media [19] Additional research conducted at the
148. Carnegie-Mellon University using communication theory and magnetic
149. modeling experiments designed to detect digital information from erased
150. disks has provided test data on the erasability of magnetic disks. [11,
151. 21, and 22] This work, along with DoD research that has not yet been
152. released, provides the basis for the disk degaussing standard. More
153. studies are planned or underway to ensure the adequacy of DoD degaussing
154. standards. 
155.  
156. On 2 January 1981, the Director of the National Security Agency assumed
157. responsibility for computer security within the Department of Defense. As
158. a result, the Department of Defense Computer Security Center (DoDCSC),
159. officially chartered by DoD Directive 5215.1, was established at the
160. National Security Agency. (3] The DoDCSC Division of Standards (now
161. Division of Standards, Criteria, and Guidelines) was subsequently formed
162. and tasked to support a broad range of computer security related subjects.
163. The DoDCSC became the NCSC in 1985, as amended in National Security
164. Decision Directive 145. [15] As part of its mission to provide information
165. useful for the secure operation of AISs, the NCSC published the Department
166. of Defense Magnetic Remanence Security Guideline, which is version 1 of
167. this guideline. 
168.  
169. 2. GENERAL INFORMATION
170.  
171. An AIS and its storage media should be safeguarded in the manner
172. prescribed for the highest classification of information ever processed by
173. the AIS. That is, until the AIS and its associated storage media are
174. subjected to an approved purging procedure and administratively
175. declassified. There should be continuous assurance that sensitive
176. information is protected and not allowed to be placed in a circumstance
177. wherein a possible compromise can occur. There are two primary levels of
178. threat that the protector of information must guard against: keyboard
179. attack (information scavenging through system software capabilities) and
180. laboratory attack information scavenging through laboratory means).
181. Procedures should be implemented to address these threats before the AlS
182. is procured, and the procedures should be continued throughout the life
183. cycle of the AS. 
184.  
185. 2.1 USE OF THIS GUIDELINE
186.  
187. Designated Approving Authorities and Information System Security Officers
188. (ISSOs) may refer to this guideline when selecting or evaluating specific
189. methods to clear, purge, declassify, or destroy AIS storage media. DoD
190. components may include the information provided in this guideline in their
191. security training and awareness program; however, they should not use this
192. guideline in lieu of existing policies. 
193.  
194. Guidelines in this document have two degrees of emphasis. Those that are
195. most important to the secure handling of AIS storage media have such
196. wording as "the 1550 should . . . .,, Guidance of lesser criticality has
197. such wording as "it is good practice" or "it may be." Thus, the word "may"
198. denotes less emphasis or concern than the word "should." 
199.  
200. 2.2 IMPORTANT DEFINITIONS
201.  
202. This section provides definitions and their amplification critical to
203. understanding the issues in remanence. A comprehensive glossary follows
204. Section 7. 
205.  
206. Clearing: The removal of sensitive data from an AIS at the end of a period
207. of processing, including from AlS storage devices and other peripheral
208. devices with storage capacity, in such a way that there is assurance,
209. proportional to the sensitivity of the data, that the data may not be
210. reconstructed using normal system apabilities, i.e., through the keyboard.
211. (This may include use of advanced diagnostic utilities.) An AIS need not
212. be disconnected from any external network before a clear. [1, draft
213. version] 
214.  
215. Clearing can be used when the secured physical environment (where the
216. media was used) is maintained. In other words, the media is reused within
217. the same AIS and environment previously used. 
218.  
219. In an operational computer, clearing can usually be accomplished by an
220. overwrite of unassigned system storage space, provided the system can be
221. trusted to provide separation of the storage space and unauthorized users.
222. For example, a single overwrite of a file or all system storage, if the
223. circumstance warrants such an action, is adequate to ensure that previous
224. information cannot be reconstructed through a keyboard attack. Note:
225. Simply removing pointers to a file, which can occur when a file is simply
226. deleted in some systems, will not generally render the previous
227. information unrecoverable through normal system capabilities (i.e.,
228. diagnostic routines). 
229.  
230. Purging: The removal of sensitive data from an AlS at the end of a period
231. of processing, including from AlS storage devices and other peripheral
232. devices with storage capacity, in such a way that there is assurance,
233. proportional to the sensitivity of the data, that the data may not be
234. reconstructed through open-ended laboratory techniques. An AlS must be
235. disconnected from any external network before a purge. [17] 
236.  
237. Purging must be used when the secured physical environment (where the
238. media was used) will not be maintained. In other words, media scheduled to
239. be released from a secure facility to a non-cleared maintenance facility
240. or similar non-secure environment must be purged. 
241.  
242. Note: The purging definition allows a hierarchy of data eradication
243. procedures, although current standards do not take advantage of this. That
244. is, removing data with "assurance, proportional to the sensitivity of the
245. data, that the data may not be reconstructed" implies that standards can
246. be developed to be applied hierarchically. 
247.  
248. For example, a standard could be developed that allowed a security officer
249. to degauss CONFIDENTIAL tapes by 80 db, SECRET tapes by 90 db, etc.
250. Practice has shown, however, that this is not a feasible approach.
251. Authorized clearing and purging procedures are detailed in DoD 5200.28-M
252. and sometimes further amplified in DoD component regulations. 
253.  
254. 1 Declassification: A procedure and an administrative action to remove the
255. security classification of the subject media. The procedural aspect of
256. declassification is the actual purging of the media and removal of any
257. labels denoting classification, possibly replacing them with labels
258. denoting that the storage media is unclassified. The administrative aspect
259. is realized through the submission to the appropriate authority of a
260. decision memorandum to declassify the storage media. 
261.  
262. Whether declassifying or downgrading the storage media, the memorandum
263. should include the following: 
264.  
265.      a. A description of the media (type, manufacturer, model, and serial
266.      number). 
267.      b. The media's classification and requested reclassification as a
268.      result of this action. 
269.      c. A description of the purging procedures to include the make, model
270.      number, and serial number of the degausser used and the date of the
271.      last degausser test if degaussing is done; or the accreditation
272.      statement of the software if overwriting is done; or the description
273.      of and authorization to use the purging procedure if the purging
274.      procedure is different from the preceding procedures. 
275.      d. The names of the people executing the procedures and verifying the
276.      results. 
277.      e. The reason for the downgrade, declassification, or release. 
278.      f. The concurrence of the data owner that the action is nece,ssary. 
279.      g. The intended recipient or destination of the AIS and storage
280.      media. 
281.  
282. Coercivlty measured in oersteds (Oe), is a property of magnetic material
283. used as a measure of the amount of applied magnetic field (of opposite
284. polarity) required to reduce magnetic induction to zero from its remanent
285. state, i.e., taking the media from a recorded state to an unrecorded
286. state. Coercivity values are available from the manufacturer or vendor. 
287.  
288. Type I Tape: Magnetic tape with coercivity not exceeding 350 Oe (also
289. known as low-energy tape), for example, iron oxide coated tape. Note: The
290. maximum coercivity level has changed from 325 Oe to 350 Oe. 
291.  
292. Magnetic disks, i.e., oxide particles on a metal substrate, also have
293. varying coercivity levels. Research has shown, however, that the physical
294. remanence properties of disks are easier to address. Because of this,
295. disks are treated as Type I media and are discussed in more detail later. 
296.  
297. Type II Tape: Magnetic tape with coercivity ranging from 351 to 750 Oe
298. (also known as high-energy tape), for example, chromium dioxide coated
299. tape. 
300.  
301. The determination of the Types l and II definitions was largely a result
302. of the tape manufacturing industry. Low-energy tapes were developed first,
303. and they have coercivities around 300 Oe + 10%. The next generation tape
304. was high-energy tape, whose coercivity is around 650 Oe + 10%. There have
305. been no naturally occurring plateaus for which to define a Type Ill tape.
306. As a practical matter, there are no degaussers that can yet meet the
307. requirements of National Security Agency/Central Security Service
308. (NSA/CSS) Specification Ll 4-4-A for tapes above Type Il. [13] 
309.  
310. Type 111 Tape: Magnetic tape with coercivity above 750 Oe, for example,
311. cobalt-modified iron oxide coated tape and metallic particle coated tape.
312. This definition is provided so these media may be discussed. 
313.  
314. Degausser: A device that can generate a magnetic field for degaussing
315. magnetic storage media. A Type l degausser can purge Type I tapes and all
316. magnetic disks. A Type Il degausser can purge both Types IA and Il tapes.
317. There are, at present, no Type III degaussers. Currently, all Type 1,11,
318. and Ill tapes may be cleared with a Type l degausser. However, Type Ill
319. tapes with higher than the current maximum coercivity may be developed
320. that would not be clearable with a Type I degausser. Refer to the DPL for
321. Type Ill degausser availability. Section 3 discusses degaussers further. 
322.  
323. Permanent Magnet Degausser: A hand-held permanent magnet that has
324. satisfied the requirement to degauss floppy disks, disk platters, magnetic
325. drum surfaces, bubble memory chips, and thin film memory modules. It is
326. not used to degauss magnetic tape. 
327.  
328. 2.3 OBJECT REUSE AND DATA REMANENCE
329.  
330. The issue of data scavenging on multiuser systems was recognized to be an
331. area of concern long before the DoD 5200.28-STD, Trusted Computer System
332. Evaluation Criteria (TCSEC),[20] became the metric with which to evaluate
333. trusted systems. The TCSEC reflects this concern with its requirement that
334. a Trusted Computing Base (TCB) have a mechanism that enforces an object
335. reuse policy. This mechanism must ensure that no user can use the TCB
336. interface to recover another user's data from recycled storage media
337. (e.g., memory or disk pages). Object reuse in trusted computing systems is
338. comparable (in most respects) to "clearing." 
339.  
340. Object reuse can be implemented so that the address space that contained
341. the object (file) is cleared upon deallocation (the net result is that
342. unallocated address space is cleared) or upon allocation (the net result
343. is that unallocated address space may contain data residue). (Note: There
344. are other ways to implement object reuse which do not involve clearing.)
345. Information from a common data storage pool cannot normally be retrieved
346. through the keyboard. 
347.  
348. Some comparisons have been made between trusted systems that satisfy the
349. object reuse requirement and overwrite programs that do only clearing or
350. purging; however, it should be noted that overwrite programs cannot be
351. trusted in the same sense as trusted systems. This is primarily because of
352. the environment in which overwrite programs must operate. 
353.  
354. Trusted systems are designed with an object reuse mechanism that is
355. protected and supported by the TCB, substantiating the degree of trust
356. placed in the object reuse mechanism. Commercially available overwrite
357. programs are usually designed to operate on several different systems and
358. are not evaluated with the same rigor as trusted systems; however, any
359. overwrite program should be protected from unauthorized modification.
360. These two security features provide a similar aspect of data
361. confidentiality but satisfy different computer security requirements. 
362.  
363. 3. DEGAUSSERS
364.  
365. DoD 5200.28-M requires that degaussing equipment be tested and approved by
366. a laboratory of a DoD component or a commercial testing laboratory where
367. the evaluation tests may be certified. Test methods and performance
368. criteria are promulgated in DoD 5200.28-M. National Security
369. Agency/Central Security Service (NSA/CSS) Specification L1 4-4-A, Magnetic
370. Tape Degausser, [13] is an updated version of DoD 5200.28-M degausser
371. testing requirements. The NSA/CSS has ensured that degausser testing
372. criteria are current by publishing NSA/CSS Specification L1 4-4-A. 
373.  
374. 3.1 A PRIMER
375.  
376. Data are stored in magnetic media by making very small areas called
377. magnetic domains change their magnetic alignment to be in the direction of
378. an applied magnetic field. This phenomena occurs in much the same way that
379. a compass needle points in the direction of the earth's magnetic field.
380. Degaussing, commonly called erasure, leaves the domains in random patterns
381. with no preference to orientation, thereby rendering previous data
382. unrecoverable. There are some domains whose magnetic alignment is not
383. randomized after degaussing. The information that these domains represent
384. is commonly called magnetic remanence. Proper degaussing will ensure that
385. there is insufficient magnetic remanence to reconstruct the data. 
386.  
387. Erasure via degaussing may be accomplished in two ways: in AC erasure, the
388. media is degaussed by applying an alternating field that is reduced in
389. amplitude over time from an initial high value (i.e., AC powered); in DC
390. erasure, the media is saturated by applying a unidirectional field (i.e.,
391. DC powered or by employing a permanent magnet). 
392.  
393. 3.2 DEGAUSSER TESTING
394.  
395. The DoD has adopted the National Security Agency security standard for
396. degaussing equipment, which requires degaussers to reduce a special
397. worst-case analog test signal by 90 decibels (db). More simply stated,
398. degaussing must reduce the test signal to one billionth (1 part in 109) of
399. its original strength. However, the signals recorded on magnetic media are
400. easier to erase than the worst-case test signal. This signal is a test
401. signal that magnetically saturates a tape and is set forth in references 1
402. and 13. After the test signal is recorded on the tape, the tape is
403. degaussed and the residual signal is evaluated against the 90 db standard.
404. This quantifies degausser effectiveness. 
405.  
406. 3.3 LABELING TAPES
407.  
408. It is difficult to distinguish the different types of magnetic tape from
409. appearance alone. For this reason, it is recommended that responsible
410. personnel ensure that type labels (i.e., Type 1,11, or lll) are applied to
411. the tape reels upon initial use. The label should remain on the reel until
412. the tape is cut from the reel or the reel is destroyed. 
413.  
414. In some cases, adding another label to the tape could introduce the
415. possibility of operator error in shops where the reel is already crowded
416. with labels. Some facilities require the security officer to use the
417. manufacturer's label to determine tape coercivity. In any case, strict
418. inventory controls should be in place to ensure that tapes can be
419. identified by type so the correct purge procedure is used. 
420.  
421. 3.4 DEGAUSSER PRODUCTS LIST (DPL)
422.  
423. The list of magnetic degaussers that satisfy the requirements in NSA/CSS
424. Specification L1 4-4-A is included in the NSA's Information Systems
425. Security Products and Services Catalogue [10] as the DPL. The catalogue is
426. updated quarterly and is available through the U.S. Government Printing
427. Office. 
428.  
429. 3.5 DEGAUSSING EQUIPMENT FAILURE
430.  
431. Because of the possibility of equipment failure, degaussing equipment
432. should be periodically tested to verify correct operation throughout the
433. life cycle of the equipment. Preventive maintenance should be done on a
434. regular schedule to preclude mechanical or electrical problems. Some
435. manufacturers have maintenance contracts and recommended maintenance
436. schedules to ensure the integrity of the degaussing procedure. 
437.  
438. To provide a rough estimate of degausser effectiveness, an on-site test of
439. generated magnetic field strength may be done by using a gaussmeter for
440. some models of Type l degaussers. (Some Type l degaussers cannot be tested
441. in this manner because the degaussing field is not accessible.) However, a
442. more extensive test is required to maintain an adequate degree of
443. assurance that the degausser is operating correctly. Both Type l and ll
444. degaussers may be periodically tested more extensively by testing against
445. the 90 db test signal strength reduction requirement in NSA/CSS
446. Specification L1 4-4-A using the following procedure: have the tape
447. prerecorded with the specified test signal (in a testing laboratory),
448. degauss the tape, then return the tape to the laboratory where it can be
449. tested for the remanent signal level. [13] Check with local authorities or
450. engineering personnel to determine if such a service is available to your
451. organization. There are two companies listed in the DPL, Integra
452. Technologies Corporation and Data Security, Incorporated, that can test an
453. installed degausser's effectiveness. 
454.  
455. Although this periodic test is not a DoD requirement, it is highly
456. recommended. 
457.  
458. After a degausser is installed, it should be tested periodically
459. (approximately every six months) for its first two years of operation.
460. This data can be used to develop a histogram of the degausser's operation.
461. Based on this information, an informed decision can be made about
462. extending the interval between testing, e.g., every 9 months, yearly,
463. every 18 months, etc. 
464.  
465. Note that it is erroneous to assume that even a newly installed degausser,
466. let alone a degausser several years old, is providing sufficient erasure.
467. It is not prudent to rely upon one DoD evaluation of the degausser
468. manufacturer's product line because of possible product failure. 
469.  
470. 4. RISK CONSIDERATIONS
471.  
472. Many risks should be considered when reuse or release of AIS storage media
473. is anticipated. AIS security personnel, operations personnel, users, and
474. other designated responsible persons should be aware of these risks before
475. attempting to declassify or make any decision to release storage media. 
476.  
477. 4.1 DESTINATION OF RELEASED MEDIA
478.  
479. The risk of compromise of sensitive data increases when AlS storage media
480. is released for any reason outside of the controlled environment.
481. Personnel should consider the media's destination when evaluating this
482. risk. 
483.  
484. 4.2 EFFECTS OF HEAT AND AGE
485.  
486. Version 1 of this document reported that magnetic media stored for either
487. an extended period of time or under high temperature conditions (120
488. degrees Fahrenheit or greater) becomes more difficult to degauss or erase.
489. Additional research is in progress to validate the effects of heat and age
490. on the erasure process. [14] 
491.  
492. 4.3 MECHANICAL STORAGE DEVICE EQUIPMENT FAILURE
493.  
494. Some of the early disk drives required manual alignment of read/write
495. heads. The effectiveness of an overwrite on this technology base may be
496. reduced because of equipment failure or mechanical faults, such as
497. misalignment of read/write heads. Hardware preventive maintenance
498. procedures should be done on schedule, and records should be maintained in
499. an effort to prevent this problem. 
500.  
501. 4.4 STORAGE DEVICE SEGMENTS NOT RECEPTIVE TO OVERWRITE
502.  
503. A compromise of sensitive data may occur if media is released when an
504. addressable segment of a storage device (such as unusable or "bad" tracks
505. in a disk drive or inter-record gaps in tapes) is not receptive to an
506. overwrite. As an example, a disk platter may develop unusable tracks or
507. sectors; however, sensitive data may have been previously recorded in
508. these areas. It may be difficult to overwrite these unusable tracks.
509. Before sensitive information is written to a disk, all unusable tracks,
510. sectors, or blocks should be identified (mapped). During the life cycle of
511. a disk, additional unusable areas may be identified. If this occurs and
512. these tracks cannot be overwritten, then sensitive information may remain
513. on these tracks. In this case, overwriting is not an acceptable purging
514. method and the media should be degaussed or destroyed. 
515.  
516. 4.5 OVERWRITE SOFTWARE AND CLEARING
517.  
518. Overwriting is an effective method of clearing data. In an operational
519. system, an overwrite of unassigned system storage space can usually
520. accomplish this, provided the system can be trusted to provide separation
521. of system resources and unauthorized users. For example, a single
522. overwrite of a file (or all system storage, if the circumstance warrants
523. such an action) is adequate to ensure that previous information cannot be
524. reconstructed through a keyboard attack. Note: Simply removing pointers to
525. the file will not generally render the previous information unrecoverable.
526. Software used for clearing should be under strict configuration controls.
527. See A Guide to Understanding Configuration Management in Trusted Systems
528. for additional information on this subject. [7] 
529.  
530. 4.6 OVERWRITE SOFTWARE AND PURGING
531.  
532. The DoD has approved overwriting and degaussing for purging data, although
533. the effectiveness of overwriting cannot be guaranteed without examining
534. each application. If overwriting is to be used in a specific application,
535. software developers must design the software such that the software
536. continues to write to all addressable locations on the media, in spite of
537. intermediate errors. All such errors in usable sectors should be reported
538. with a listing of current content. In addition, unusable sectors must be
539. completely overwritten, because the unusable sector list will not show
540. whether the sector ever contained any sensitive data. If any errors occur
541. while overwriting or if any unusable sector could not be overwritten, then
542. degaussing is required. 
543.  
544. There are additional risks to trusting overwrite software to purge disks.
545. The environment in which the software must operate is difficult to
546. constrain. For this reason, care must be exercised during software
547. development to ensure the software cannot be subverted. The overwrite
548. software should be protected at the level of the media it purges, and
549. strict configuration controls should be in place on both the operating
550. system the software must run under and the software itself. The overwrite
551. software must be protected from unauthorized modification. [7] 
552.  
553. 4.7 CONTRACTUAL OBLIGATION
554.  
555. Leased equipment containing nonremovable magnetic storage media should not
556. be returned to the vendor unless the media is declassified using an
557. approved procedure. Problems may be encountered obtaining warranty repair
558. service or returning the equipment at termination of lease. Contractual
559. maintenance agreements should address the issue of degaussed media and its
560. effect on equipment warranties. 
561.  
562. 4.8 MAINTENANCE
563.  
564. Proper purging is especially important in relation to maintenance, whether
565. routine or not. Purge procedures should be conducted and the device
566. declassified before uncleared personnel undertake maintenance actions. If
567. purging is impractical, prohibitively expensive, or could destroy the
568. device, then precautions should be taken to reduce the threat to sensitive
569. information on the device. Maintenance actions should be observed by an
570. individual who has been provided with guidance so that improper actions
571. can be discerned and unauthorized disclosure can be prevented. 
572.  
573. If test and diagnostic equipment (T & DE) is used on an AIS that has not
574. been purged, there is a possibility that the T & DE can capture sensitive
575. information. To prevent unauthorized disclosure, the T & DE should either
576. be purged after use or remain safeguarded at the highest level of
577. information resident on the AIS. 
578.  
579. For example, if a sensitive disk drive is serviced, the escort official
580. should know that the maintenance person is not allowed to remove the
581. damaged disk from the facility. The escort also should be capable of
582. identifying when a maintenance person has altered the protective
583. characteristics of the device. 
584.  
585. 4.9 DATA SENSITIVITY
586.  
587. AlS storage media may have contained information so sensitive that
588. authorities decided to never allow declassification of the AlS or its
589. storage media. Examples of such sensitive information are communications
590. security (COMSEC) information marked CRYPTO or Single Integrated
591. Operational Plan (SlOP) information. In these cases, the holder of the
592. media should not attempt to declassify or release the media except as
593. directed by proper organizational approving authorities. [9] Destruction
594. may be the only alternative to indefinite storage of such highly sensitive
595. media. 
596.  
597. 4.10 DEGAUSSING
598.  
599. Although degaussing is the best method for purging most magnetic storage
600. media, it is not without risk. Degaussers can be used improperly. For
601. example, the media may be removed before the degaussing cycle is complete.
602. Also, degaussers can fail or have a reduced capability over time. Good
603. degausser design can alleviate much, but not all, of this risk. This risk
604. can be mitigated by periodic testing (see Section 3.5, "Degaussing
605. Equipment Failure"). 
606.  
607. Mistakenly using a Type l degausser to purge Type ll tape is another risk.
608. Type I degaussers cannot purge Type ll tape. Magnetic tape should have a
609. label applied to the reel that identifies the coercivity of the media,
610. because coercivity cannot always be distinguished by physical appearance.
611. Strict inventory controls should be in place to ensure tapes can be
612. identified by type so the correct purge procedure is used. If type labels
613. are used, they should not be removed from the reel unless the tape is cut
614. from the reel or the reel itself is destroyed. Labels that show
615. classification should not be removed from the reel until the media is
616. declassified. See Section 3.3, "Labeling Tapes," for more information
617. about labels. 
618.  
619. 5. STANDARDS
620.  
621. 5.1 GENERIC PROCEDURES
622.  
623. There are two primary procedures allowed by DoD policy for clearing and
624. purging AIS memory and secondary storage media that have processed
625. sensitive information: overwriting and degaussing. [1] Other procedures
626. are media specific and this section details them where appropriate. The
627. need for destruction arises when the media reaches the end of its useful
628. life. 
629.  
630. 5.1.1 OVERWRITING
631.  
632. Overwriting is a process whereby unclassified data are written to storage
633. locations that previously held sensitive data. To satisfy the DoD clearing
634. requirement, it is sufficient to write any character to all data locations
635. in question. To purge the AIS storage media, the DoD requires overwriting
636. with a pattern, then its complement, and finally with another pattern;
637. e.g., overwrite first with 0011 0101, followed by 11001010, then 1001
638. 0111. The number of times an overwrite must be accomplished depends on the
639. storage media, sometimes on its sensitivity, and sometimes on differing
640. DoD component requirements. In any case, a purge is not complete until a
641. final overwrite is made using unclassified data. 
642.  
643. 5.1.2 DEGAUSSING
644.  
645. Degaussing is a process whereby the magnetic media is erased, i.e.,
646. returned to its initial virgin state. To satisfy the DoD requirement on
647. degaussing a classified magnetic tape, the degausser must have met DoD
648. testing requirements as discussed in Section 3, "Degaussers." 
649.  
650. 5.1.3 DESTRUCTION
651.  
652. It is good practice to purge media before submitting it for destruction.
653. Media may generally be destroyed by one of the following methods.
654. (Although approved methods, options d and e use acid, which is dangerous
655. and excessive, to remove recording surfaces. Options a, b, and c are
656. recommended over d and e.) 
657.  
658.      a. Destruction at an approved metal destruction facility, i.e.,
659.      smelting, disintegration, or pulverization. 
660.      b. Incineration. 
661.      c. Application of an abrasive substance (emery wheel or disk sander)
662.      to a magnetic disk or drum recording surface. Make certain that the
663.      entire recording surface is completely removed before disposal. Also,
664.      ensure proper protection from inhaling the abraded dust. 
665.      d. Application of concentrated hydriodic acid (55% to 58% solution)
666.      to a gamma ferric oxide disk surface. Acid solutions should be used
667.      in a well-ventilated area only by qualified personnel. 
668.      e. Application of acid activator Dubais Race A (8010 181 7171) and
669.      stripper Dubais Race B (8010 181 7170) to a magnetic drum recording
670.      surface. Technical acetone (6810 184 4796) should then be applied to
671.      remove residue from the drum surface. The above should be done in a
672.      well-ventilated area, and personnel must wear eye protection. Extreme
673.      caution must be observed when handling acid solutions. This procedure
674.      should be done only by qualified and approved personnel. 
675.  
676. For additional information on destruction techniques and emergency
677. destruction, see Institute for Defense Analyses (IDA) Report R-321,
678. Emergency Destruction of Information Storing Media. [6] 
679.  
680. 5.2 SPECIFIC PROCEDURES
681.  
682. DoD 5200.28-M provides accepted DoD procedures to clear, purge,
683. declassify, and destroy storage media. This section, "Standards," is a
684. reflection of those procedures but does not provide the entire procedure
685. (e.g., use three overwrites to purge disks). This is because these
686. standards are evolving and this document, A Guide to Understanding Data
687. Remanence in Automated Information Systems, is not to be construed as
688. replacing policy. 
689.  
690. 5.2.1 MAGNETIC TAPES
691.  
692. Although overwriting can be used for clearing this media, the method is
693. time consuming and generally never used. Also, inter-record gaps may
694. preclude proper clearing. A better method for clearing Type 1,11, and Ill
695. tapes is degaussing with a Type l or Type II degausser. This procedure is
696. considered acceptable for clearing, but not purging, all types of tapes. 
697.  
698. Degaussing with an appropriate degausser is the only method the DoD
699. accepts for purging this media. Specifically, a Type I degausser can purge
700. only Type tapes, and Type II degaussers can purge Types l and Il tapes. No
701. degausser presently exists that is capable of purging Type III tapes in
702. accordance with NSA/CSS Specification L1 4-4-A. 
703.  
704. 5.2.2 MAGNETIC HARD DISKS
705.  
706. The DoD has approved both overwriting and degaussing as methods to clear
707. or purge this media. See Section 4, "Risk Considerations," and DoD
708. 5200.28-M for additional information. Degaussed disks will generally
709. require restoration of factory installed timing tracks. Type I degaussers
710. and approved hand-held magnets can purge this media up to a coercivity
711. level of 1100 oersteds. If hand-held magnets are used, then the magnet
712. must be placed in almost direct contact with the disk, separated by only a
713. tissue to prevent scratching the disk. Sometimes it is possible to insert
714. the magnet between the platters without disassembling them. As a practical
715. matter, if the drive must be disassembled, it is usually easier to destroy
716. the platters than to degauss and then reinstall them. 
717.  
718. Recently completed research has indicated that degaussing is an effective
719. method to purge rigid disk media. Large cavity degaussing equipment can be
720. used to erase the data from sealed disk packs and Winchester style hard
721. disk drives while the platters remain in the drive. Care must be exercised
722. to ensure that the disk drive is not encasqd in a material that conducts a
723. magnetic field. Research has shown that aluminum housings on Winchester
724. disk drives attenuate the degaussing field by only about 2 db. Operational
725. guidance is now being developed for the DoD. 
726.  
727. 5.2.3 MAGNETIC DRUMS
728.  
729. The DoD has approved both overwriting and degaussing as methods to clear
730. or purge this media. See Section 4, "Risk Considerations," and DoD
731. 5200.28-M for additional information. Type l degaussers and approved
732. hand-held magnets can purge this media, with the latter being the only
733. practical alternative. 
734.  
735. 5.2.4 MAGNETIC FLOPPY DISKS AND CARDS
736.  
737. The DoD has approved overwriting for clearing, but not purging, magnetic
738. floppy disks. Degaussing is the preferred method. The technology of
739. magnetic cards is old and not generally used. Degaussing with Type I
740. degaussers or approved hand-held magnets is the only DoD accepted method
741. of purging floppy disks and cards, regardless of their coercivity. See DoD
742. 5200.28-M for additional information. 
743.  
744. 5.2.5 MAGNETIC CORE MEMORY
745.  
746. The DoD has approved both overwriting and degaussing as methods to clear
747. or purge magnetic core memory. Type l degaussers and hand-held magnets can
748. purge this media. See DoD 5200.28-M for additional information. 
749.  
750. 5.2.6 PLATED WIRE MEMORY
751.  
752. There are restrictions on overwriting magnetic plated wire memory based on
753. the amount of time that information was resident in the same memory
754. location. See DoD 5200.28-M for additional information. 
755.  
756. 5.2.7 THIN FILM MEMORY
757.  
758. The DoD has approved both overwriting and degaussing as methods to clear
759. or purge thin film memory. Type l degaussers and approved hand-held
760. magnets can purge this media. 
761.  
762. 5.2.8 MAGNETIC BUBBLE MEMORY
763.  
764. The DoD has approved both overwriting and degaussing as methods to clear
765. or purge magnetic bubble memory. An alternative procedure for magnetic
766. bubble memory modules that have been designed with a built-in bias voltage
767. control is to adjust (i.e., raise) the bias voltage to a level that would
768. cause ttr;e collapse of all the magnetic bubbles. On some bubble devices a
769. chip erase is invoked by pulsing the z-coil. If the memory was designed
770. with a bias control, information will be available from the vendor on the
771. correct bias voltage level to apply to cause the collapse of all the
772. magnetic bubbles. Type l degaussers and approved hand-held magnets can
773. purge this media. Degaussed bubble memory will generally require
774. reinitialization with programs available from the manufacturer. Bubble
775. memory has not been shown to exhibit any magnetic remanence after
776. application of any of these purging methods. 
777.  
778. 5.2.9 RANDOM ACCESS MEMORY (RAM)
779.  
780. The DoD has approved both overwriting and removal of power as methods to
781. clear or purge RAM. See DoD 5200.28-M for additional information. 
782.  
783. 5.2.10 READ ONLY MEMORY (ROM)
784.  
785. Because data is permanently stored in ROM, clearing and purging this media
786. has no relevance. See DoD 5200.28-M for additional information. 
787.  
788. 5.2.11 ERASABLE PROGRAMMABLE READ ONLY MEMORY (UVPROM)
789.  
790. The DoD has approved the use of ultraviolet light to clear or purge
791. UVPROM. 
792.  
793. See DoD 5200.28-M for additional information. 
794.  
795. 5.2.12 ELECTRICALLY ERASABLE READ ONLY MEMORY (EEPROM)
796.  
797. The DoD has approved different forms of overwriting (e.g., single-step
798. chip erase, individual overwriting, etc.) as methods to clear or purge
799. EEPROM. See DoD 5200.28-M for additional information. 
800.  
801. 6. OTHER STORAGE AND OVERWRITE TECHNOLOGY
802.  
803. 6.1 OPTICAL DISKS
804.  
805. The following are examples of optical disks: CD-ROM (ReadOnly), WORM
806. (WriteOnce~ReadMany), and magneto-optical (ReadManyWriteMany). Currently,
807. no procedures exist that are considered adequate to ensure purging of
808. these media. Magneto-optical disk technology uses a combination of laser
809. optics and magnetics to obtain data densities far surpassing those of
810. magnetic disks alone. Magneto-optical disks can be cleared by a single
811. overwrite, although purging by overwrite is not considered adequate. 
812.  
813. 6.2 FERROMAGNETIC RAM
814.  
815. This technology couples magnetics with semiconductor random access memory
816. to provide data retention after power is removed. There have been no
817. standards published providing procedures to ensure clearing or purging of
818. these media. However, consistency with all other types of storage media
819. would dictate that a single overwrite is sufficient for clearing. 
820.  
821. 6.3 DISK EXERCISERS
822.  
823. As noted earlier in Section 4.6, "Overwrite Software and Purging," many
824. drawbacks exist to using overwrite software for purging disks. Some of
825. these drawbacks are not applicable to disk exercisers, which use a
826. dedicated operating system. Winchester disk manufacturers use disk
827. exercisers to do as their name implies-put Winchester disk drives through
828. their paces. To purge a Winchester drive, the Winchester unit must be
829. plugged into the disk exerciser. The disk exerciser is able to write to
830. any part of a disk regardless of whether the operating system labeled the
831. sector unusable. Some of these "exercisers" also have the capability of
832. writing at different frequencies. This makes them a more effective
833. alternative to overwrite software; however, their ability to purge disks
834. has not been tested. 
835.  
836. 7. FUTURE DIRECTIONS
837.  
838. Several areas in data remanence can benefit from more investigation. After
839. the adequacy of overwrites to ensure purging is determined, the use of
840. disk exercisers for the purging of magnetic disks should be researched.
841. Because of the increasing use of magneto-optical disks, research should be
842. initiated on methods to purge this media also. 
843.  
844. A good primer on magnetic coatings used for disks and tapes is Particulate
845. Magnetic Recording: A Review, by Michael P. Sharrock. [18] For a discourse
846. on future storage trends, see Data Storage in 2000-Trends in Data Storage
847. Technologies, by Mark H. Kryder. [12] The IEEE Transactions on Magnetics
848. provides a wealth of information on the field of magnetics1 with entire
849. sections devoted to engineering-level discussions related to magnetic
850. remanence in AIS storage media. 
851.  
852. Announcements concerning cavity degaussers should be forthcoming. See the
853. Degausser Products List for these announcements and for announcements
854. about decisions concerning magnetic media degaussing. 
855.  
856. DoD policy, procedures, and guidance need continual refinement to keep
857. pace with the evolving storage technologies. Although there is no focal
858. point responsible for ensuring erasure standards are current, various
859. agencies have sponsored research that has ensured our erasure standards
860. provide an adequate degree of security. This has caused duplication of
861. effort at times, but it has also provided additional validation of earlier
862. work. However, a focal point would ensure research is duplicated only when
863. necessary. As storage technology advances and clear and purge procedures
864. are developed and refined, this guideline will be periodically updated to
865. reflect the changes. DoD 5200.28-M should be updated also. 
866.  
867. GLOSSARY
868.  
869. Automated Information System. An assembly of computer hardware, firmware,
870. and/or software configured to collect, create, communicate, compute,
871. disseminate, process, store, and/or control data or information. 
872.  
873. AlS Storage Media. The physical substance(s) used by an AS system upon
874. which data are recorded. 
875.  
876. Clearing AIS Storage Media. Removal of sensitive data from an AS at the
877. end of a period of processing, including from AlS storage devices and
878. other peripheral devices with storage capacity, in such a way that there
879. is assurance, proportional to the sensitivity of the data, that the data
880. may not be reconstructed using normal system capabilities, i.e., through
881. the keyboard. An AlS need not be disconnected from any external network
882. before a clear. 
883.  
884. Coercive Force. A negative or reverse magnetic force applied for reducing
885. magnetic induction to zero. 
886.  
887. Coerciviry. The amount of applied magnetic field (of opposite polarity)
888. required to reduce magnetic induction to zero. It is often used to
889. represent the ease with which magnetic media can be degaussed. 
890.  
891. Configuration Control. The process of controlling modifications to the
892. system's hardware, firmware, software, and documentation that provide
893. sufficient assurance that the system is protected against the introduction
894. of improper modifications before, during, and after system implementation.
895. Compare "configuration management." 
896.  
897. Configuration Management. The management of security features and
898. assurances through control of changes made to a system's hardware,
899. software, firmware, documentation, test, test fixtures and test
900. documentation throughout the development and operational life of the
901. system. Compare "configuration control." 
902.  
903. Data. A representation of facts, concepts, information, or instructions
904. suitable for communication, interpretation, or processing by humans or by
905. an AIS. 
906.  
907. Declassification of AlS Storage Media. A procedure and an administrative
908. decision to remove the security classification of the subject media. 
909.  
910. Degausser. A device that can generate a magnetic field for degaussing
911. magnetic storage media. 
912.  
913. Degausslng. To reduce magnetic induction to zero by applying a reverse
914. magnetizing field. Also called "demagnetizing." 
915.  
916. Degausser Products List (DPL). A list of commercially produced degaussers
917. that meet National Security Agency specifications as set forth in
918. reference 13. The National Security Agency includes this list in their
919. Information Systems Security Products and Services Catalogue. 
920.  
921. Designated Approving Authority (DAA). The official who has the authority
922. to decide to accept the security safeguards prescribed for an AlS or the
923. official who may be responsible for issuing an accreditation statement
924. that records the decision to accept those safeguards. The DAA must be at
925. an organizational level such that he or she has the authority to evaluate
926. the overall mission requirements of the AlS and provide definitive
927. directions to AlS developers or owners relative to the risk in the
928. security posture of the AIS. 
929.  
930. Downgrade. A procedure and an administrative decision to reduce the
931. security classification of the subject media. 
932.  
933. Erasure. A process by which data recorded on storage media is removed. 
934.  
935. Gauss. A unit mea,sure of the magnetic flux density produced by a
936. magnetizing force. 
937.  
938. InformatIon System Security Officer (1550). The person responsible to the
939. DAA for ensuring that security is provided for and implemented throoghout
940. the life cycle of an AS from the beginning of the system concept
941. development phase through its design, development, operation, maintenance,
942. and secure disposal. 
943.  
944. Information Systems Security Products and Services Catalogue (INFOSEC
945. Catalog). A catalog issued quarterly by the National Security Agency to
946. assist in the selection of products and services that will provide an
947. appropriate level of information security. The National Security Agency
948. issues the DPL in this publication, which is available through the
949. Government Printing Office. Inter-Record Gap. The "area" between data
950. records on a magnetic tape. Keyboard Attack. Data scavenging through
951. resources available to normal system users, which may include advanced
952. software diagnostic tools. 
953.  
954. Laboratory Attack. Data scavenging through the aid of what could be
955. precise or elaborate equipment. 
956.  
957. Magnetic Field Intensity. The magnetic force required to produce a desired
958. magnetic flux, given as the symbol H (see definition of "oersted"). 
959.  
960. Magnetic Flux. Lines of force representing a magnetic field. 
961.  
962. Magnetic Flux Density. The representation of the strength of a magnetic
963. field, given as the symbol B (see definition of "gauss"). 
964.  
965. Magnetic Remanence. The magnetic flux density that remains in a magnetic
966. circuit after the removal of an applied magnetic field. For discussion
967. purposes, it is better to characterize magnetic remanence as the magnetic
968. representation of residual information that remains on magnetic media
969. after the media has been erased. 
970.  
971. Magnetic Saturation. The condition in which an increase in magnetizing
972. force will produce little or no increase in magnetization. 
973.  
974. Object Reuse. The reassignment to some subject of a medium (e.g., page
975. frame, disk sector, or magnetic tape) that contained one or more objects.
976. To be securely reassigned, no residual data from the previously contained
977. object(s) can be available to the new subject through standard system
978. mechanisms. 
979.  
980. Oersted. A unit of magnetic field strength. 
981.  
982. Overwrite Procedure. A procedure to destroy data recorded on AIS storage
983. media by recording patterns of unclassified data over the data stored on
984. the media. 
985.  
986. Permanent Magnet Degausser. Hand-held permanent magnet that generates a
987. magnetic field for degaussing magnetic storage media. 
988.  
989. Purge. The removal of sensitive data from an AIS at the end of a period of
990. processing, including from AIS storage devices and. other peripheral
991. devices with storage capacity, in such a way that there is assurance
992. proportional to the sensitivity of the data that the data may not be
993. reconstructed through open-ended laboratory techniques. An AIS must be
994. disconnected from any external network before a purge. 
995.  
996. Remanence. The residual information that remains on storage media after
997. erasure. 
998.  
999. Scavenging. Searching through object residue (file storage space) to
1000. acquire unauthorized data. 
1001.  
1002. Trusted Computer System Evaluation Criteria (TCSEC). A document published
1003. by the National Computer Security Center containing a uniform set of basic
1004. requirements and evaluation classes for assessing degrees of assurance in
1005. the effectiveness of hardware and software security controls built into
1006. systems. These criteria are intended for use in the design and evaluation
1007. of systems that will process and/or store sensitive or classified data.
1008. This document is DoD 5200.28-STD and is often called The Criteria or The
1009. Orange Book. 
1010.  
1011. Trusted Computing Base (TCB). The totality of protection mechanisms within
1012. a computer system, including hardware, firmware, and software, the
1013. combination of which is responsible for enforcing a security policy. A TCB
1014. consists of one or more components that together enforce a unified
1015. security policy over a product or system. The ability of a TCB to
1016. correctly enforce a security policy depends solely on the mechanisms
1017. within the TCB and on the correct input by system administrative personnel
1018. of parameters (e.g., a user's clearance) related to the security policy. 
1019.  
1020. Trusted Computing System. A system that employs sufficient hardware and
1021. software integrity measures to allow its use for simultaneously processing
1022. a range of sensitive or classified information. 
1023.  
1024. Type l Tape. Magnetic tape whose coercivity does not exceed 350 oersteds
1025. (also known as low-energy tape). 
1026.  
1027. Type II Tape. Magnetic tape whose coercivity ranges from 351 oersteds up
1028. to 750 oersteds (also known as high-energy tape). 
1029.  
1030. Type III Tape. Magnetic tape whose coercivity exceeds 750 oersteds. 
1031.  
1032. REFERENCES
1033.  
1034.      1. Automated Data Processing Security Manual, Department of Defense
1035.      Manual, DoD 5200.28-M, January 1973 with change pages in June 1979
1036.      (now under revision). 
1037.      2. Care and Handling of Computer Magnetic Storage Media, Department
1038.      of Commerce, National Bureau of Standards Special Publication
1039.      500-101, June 1983. 
1040.      3. Computer Security Evaluation Center, Department of Defense
1041.      Directive, DoDD 5215.1,25 October 1982. 
1042.      4. Department of the Navy Automated Data Processing Security Program,
1043.      Chief of Naval Operations Instruction, OPNAVlNST 5239.1A with change
1044.      1, 3 August 1982. 
1045.      5. Department of the Navy Automated Information System Security
1046.      Program, Secretary of the Navy Instruction, SECNAVINST 5239.2, 1
1047.      November 1989. 
1048.      6. "Emergency Destruction of Information Storing Media," Institute
1049.      for Defense Analyses Report, R-321, December 1987. 
1050.      7. A Guide to Understanding Configuration Management in Trusted
1051.      Systems, National Computer Security Center Technical Guideline,
1052.      NCSC-TG-006, Version 1,28 March 1988. 
1053.      8. Industrial Security Manual for Safeguarding Classified
1054.      Information, Department of Defense Manual, DoD 5220.22-M, June 1987. 
1055.      9. Information Systems Security, Army Regulation, AR 380-19, 4
1056.      September 1990. 
1057.      10. Information Systems Security Products and Services Catalogue,
1058.      National Security Agency, quarterly publication. 
1059.      11. Katti, Romney R., "Erasure in Magnetic Recording Media," doctoral
1060.      dissertation, Carnegie-Mellon University, 12 April 1988. 
1061.      12. Kryder, Mark H., "Data Storage in 2000-Trends in Data Storage
1062.      Technologies," IEEE Transactions on Magnetics, VoI. 25, No. 6,
1063.      November 1989. 
1064.      13. Magnetic Tape Degausser, National Security Agency/Central
1065.      Security Service (NSA/CSS) Specification L1 4-4-A, 31 October 1985. 
1066.      14. Mountfield, K. R., and M. H. Kryder, "The Effect of Erasure in
1067.      Particulate Disk Media," IEEE Transactions On Magnetics, Vol. 25, No.
1068.      5, September 1989. 
1069.      15. National Policy on Telecommunications and Automated Information
1070.      Systems Security, National Security Decision Directive, NSDD 145, 17
1071.      September 1984. 
1072.      16. Remanence Security, Air Force Systems Security Instruction, AFSSI
1073.      5020,15 April 1991. 
1074.      17. Security Requirements for Automated Information Systems,
1075.      Department of Defense Directive, DoDD 5200.28, March 1988. 
1076.      18. Sharrock, Michael P., "Particulate Magnetic Recording: A Review,"
1077.      lEEE Transactions on Magnetics, Vol. 25, No. 6, November 1989. 
1078.      19. "Signal Processing Applications Techniques to Magnetic Erasrnre
1079.      Data," Illinois Institute of Technology, Research Institute, Final
1080.      Reports for Projects E06522, K06005, and K06051, February 1982,
1081.      September 1982, and March 1984 respectively. 
1082.      20. Trusted Computer System Evaluation Criteria, Department of
1083.      Defense Standard, DoD 5200.28-STD, December 1985. 
1084.      21. Veeravalli, Venugopal V., "Detection of Digital Information From
1085.      Erased Magnetic Disks," masters thesis, Carnegie-Mellon University,
1086.      1987. 
1087.      22. Wiesen, Kurt, "Modeling of Magnetic Media," masters thesis,
1088.      Carnegie-~eIlon University, July 1986. 
1089.  
1090.  
1091.  
1092.  
1093.  
1094.  
1095.