計算機數(shù)據(jù)在不同時間以不同的狀態(tài)存在：傳輸中的數(shù)據(jù)（流經(jīng)網(wǎng)絡的信息）;使用中的數(shù)據(jù)（計算機程序正在訪問和操作的活動數(shù)據(jù)）;以及靜態(tài)數(shù)據(jù)（稱為 DAR），或物理存儲在存儲設備（如固態(tài)驅(qū)動器）中的數(shù)據(jù)。許多網(wǎng)絡安全解決方案專注于保護傳輸中的數(shù)據(jù)和使用中的數(shù)據(jù)，但忽略了保護 DAR。

MFA 要求用戶提供多個證據(jù)，這些證據(jù)組合在一起以驗證用戶的身份。根據(jù)應用程序的不同，在登錄時或嘗試訪問應用程序甚至特定文件夾或文件時可能需要 MFA。MFA 結合了兩個或多個獨立的憑據(jù)：用戶知道的內(nèi)容（例如密碼）、用戶擁有的內(nèi)容（例如身份驗證應用）和用戶身份（例如，生物識別手掌靜脈掃描）。由于大多數(shù) MFA 實現(xiàn)使用兩個因素，因此通常稱為雙因素身份驗證或 2FA。

使用 MFA 保護數(shù)據(jù)時，有五個重要注意事項。

1. 了解數(shù)據(jù)的敏感性：首先，請注意，并非所有數(shù)據(jù)都受到相同級別的保護。在美國，由于所有聯(lián)邦部門都是行政部門的一部分，因此數(shù)據(jù)分類系統(tǒng)受行政命令而不是法律管轄。截至2009年，信息目前可能分為三個級別之一：機密，秘密和絕密。隨后的行政命令可能會改變這些分類以及與每個分類相關的保護級別。

2. 使用自加密驅(qū)動器：盡管有行政命令，但敏感數(shù)據(jù)需要加密。自加密驅(qū)動器 （SED） 在將數(shù)據(jù)寫入驅(qū)動器時對其進行加密，該驅(qū)動器具有自包含驅(qū)動器加密密鑰 （DEK）。密鑰和加密過程對用戶是透明的。

SED 加密驅(qū)動器上的所有內(nèi)容，稱為全磁盤加密 （FDE），包括操作系統(tǒng) （OS）、應用程序和數(shù)據(jù)。驅(qū)動器上加密稱為硬件 FDE （HWFDE），并使用嵌入式加密引擎 （EE），該引擎應提供 256 位 AES 加密。

SED 應遵守 TCG Opal 標準，這是在 SED 中管理加密和解密的安全標準。 SED 通常通過美國國家標準與技術研究院 （NIST） 制定的聯(lián)邦信息處理標準 （FIPS） 認證。例如，F(xiàn)IPS 140-2 L2 認證可確保 SED 的 EE 經(jīng)過正確設計和保護;L2 確保有明顯證據(jù)表明任何試圖物理篡改驅(qū)動器的行為。

國家信息保障伙伴關系 （NIAP） 負責美國實施通用標準 （CC），這是用于 IT 產(chǎn)品安全認證的國際標準 （ISO/IEC 15408）。CC是一個框架，構成了聯(lián)邦機構和關鍵基礎設施要求的政府驅(qū)動的認證計劃的基礎。

3. 采用預啟動身份驗證：指定的安全官員或管理員將定義用于驗證對 SED 的訪問的用戶角色和身份管理。眾所周知，構成操作系統(tǒng)一部分的密碼安全性很弱，容易受到黑客攻擊，因此第一級授權獲取 （AA） 應該在操作系統(tǒng)啟動之前進行，在這種情況下，它被稱為預啟動身份驗證 （PBA）。

每個用戶都應具有單獨分配的密碼，該密碼授權 SED 使用其加密密鑰解鎖數(shù)據(jù)。安全官員應能夠添加新用戶并撤銷對現(xiàn)有用戶的訪問權限。當用戶的訪問權限被撤銷時，該用戶甚至無法啟動操作系統(tǒng)。

更強大的PBA實現(xiàn)將包括MFA。

4. 多因素身份驗證方法：除了用戶名/密碼之外，MFA 還需要另一種形式的身份驗證。一種方法是使用安全加密狗，例如YubiKey，其中包含許可證密鑰或用戶插入設備USB端口的其他加密保護機制。美國國防部 （DoD），包括文職雇員和承包商人員，使用稱為通用訪問卡 （CAC） 的智能卡，在這種情況下，計算機必須配備物理讀卡器。

其他 MFA 方法包括應用程序（通常在智能手機上），這些應用程序提供同步到要求身份驗證的設備或系統(tǒng)的一次性代碼。利用智能手機無處不在的還有一個基于短信的系統(tǒng)，該系統(tǒng)將在短信中包含一次性代碼。

5. 提供銷毀數(shù)據(jù)的功能：在各種情況下，可能需要銷毀存儲在 SED 上的任何數(shù)據(jù)。良性情況是指組織決定升級其計算機和/或驅(qū)動器、在組織內(nèi)傳輸計算機和/或驅(qū)動器，或在組織外部處置或回收計算機和/或驅(qū)動器。最壞的情況是，未經(jīng)授權的實體獲得驅(qū)動器的控制權，目的是訪問數(shù)據(jù)。

使用基于操作系統(tǒng)的標準“刪除”功能刪除文件和文件夾是不夠的，因為經(jīng)驗豐富的黑客仍然可以檢索部分或全部數(shù)據(jù)。用于存儲機密數(shù)據(jù)的 SED 應支持特殊的硬件功能，以執(zhí)行安全擦除（將零寫入驅(qū)動器上存儲數(shù)據(jù)的每個區(qū)域）和加密擦除（擦除存儲在驅(qū)動器上的任何加密密鑰，從而使存儲在驅(qū)動器上的任何加密數(shù)據(jù)對不良行為者不可讀且無用）。

為了解決最壞的情況，組織的指定安全官員應該能夠定義由驅(qū)動器本身自動啟動的擦除過程;例如，如果 AA 失敗指定次數(shù)，則會導致驅(qū)動器自行擦除。

對于配備適當 PBA 的 SED，存儲在磁盤上的任何數(shù)據(jù)在 AA 發(fā)生之前基本上都是不可見的，從而防止不良行為者克隆驅(qū)動器以規(guī)避允許的 AA 嘗試次數(shù)限制。

綜上所述。..

一些組織錯誤地認為在操作系統(tǒng)啟動后采用 MFA（如指紋掃描或面部識別）可提供高度的信心。但是，一旦操作系統(tǒng)啟動，其驅(qū)動器上的任何數(shù)據(jù)都會暴露給復雜的黑客或潛在的民族國家不良行為者。

通過將 MFA 用作使用 HWFDE 實施的 PBA 環(huán)境的一部分，可以實現(xiàn)最高級別的置信度和安全性，該環(huán)境是在 FIPS + CC 認證和驗證的 SED 上實現(xiàn)的。

審核編輯：郭婷