計算機(jī)數(shù)據(jù)在不同時間以不同的狀態(tài)存在：傳輸中的數(shù)據(jù)（流經(jīng)網(wǎng)絡(luò)的信息）;使用中的數(shù)據(jù)（計算機(jī)程序正在訪問和操作的活動數(shù)據(jù)）;以及靜態(tài)數(shù)據(jù)（稱為 DAR），或物理存儲在存儲設(shè)備（如固態(tài)驅(qū)動器）中的數(shù)據(jù)。許多網(wǎng)絡(luò)安全解決方案專注于保護(hù)傳輸中的數(shù)據(jù)和使用中的數(shù)據(jù)，但忽略了保護(hù) DAR。

MFA 要求用戶提供多個證據(jù)，這些證據(jù)組合在一起以驗證用戶的身份。根據(jù)應(yīng)用程序的不同，在登錄時或嘗試訪問應(yīng)用程序甚至特定文件夾或文件時可能需要 MFA。MFA 結(jié)合了兩個或多個獨立的憑據(jù)：用戶知道的內(nèi)容（例如密碼）、用戶擁有的內(nèi)容（例如身份驗證應(yīng)用）和用戶身份（例如，生物識別手掌靜脈掃描）。由于大多數(shù) MFA 實現(xiàn)使用兩個因素，因此通常稱為雙因素身份驗證或 2FA。

使用 MFA 保護(hù)數(shù)據(jù)時，有五個重要注意事項。

1. 了解數(shù)據(jù)的敏感性：首先，請注意，并非所有數(shù)據(jù)都受到相同級別的保護(hù)。在美國，由于所有聯(lián)邦部門都是行政部門的一部分，因此數(shù)據(jù)分類系統(tǒng)受行政命令而不是法律管轄。截至2009年，信息目前可能分為三個級別之一：機(jī)密，秘密和絕密。隨后的行政命令可能會改變這些分類以及與每個分類相關(guān)的保護(hù)級別。

2. 使用自加密驅(qū)動器：盡管有行政命令，但敏感數(shù)據(jù)需要加密。自加密驅(qū)動器 （SED） 在將數(shù)據(jù)寫入驅(qū)動器時對其進(jìn)行加密，該驅(qū)動器具有自包含驅(qū)動器加密密鑰 （DEK）。密鑰和加密過程對用戶是透明的。

SED 加密驅(qū)動器上的所有內(nèi)容，稱為全磁盤加密 （FDE），包括操作系統(tǒng) （OS）、應(yīng)用程序和數(shù)據(jù)。驅(qū)動器上加密稱為硬件 FDE （HWFDE），并使用嵌入式加密引擎 （EE），該引擎應(yīng)提供 256 位 AES 加密。

SED 應(yīng)遵守 TCG Opal 標(biāo)準(zhǔn)，這是在 SED 中管理加密和解密的安全標(biāo)準(zhǔn)。 SED 通常通過美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 制定的聯(lián)邦信息處理標(biāo)準(zhǔn) （FIPS） 認(rèn)證。例如，F(xiàn)IPS 140-2 L2 認(rèn)證可確保 SED 的 EE 經(jīng)過正確設(shè)計和保護(hù);L2 確保有明顯證據(jù)表明任何試圖物理篡改驅(qū)動器的行為。

國家信息保障伙伴關(guān)系 （NIAP） 負(fù)責(zé)美國實施通用標(biāo)準(zhǔn) （CC），這是用于 IT 產(chǎn)品安全認(rèn)證的國際標(biāo)準(zhǔn) （ISO/IEC 15408）。CC是一個框架，構(gòu)成了聯(lián)邦機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施要求的政府驅(qū)動的認(rèn)證計劃的基礎(chǔ)。

3. 采用預(yù)啟動身份驗證：指定的安全官員或管理員將定義用于驗證對 SED 的訪問的用戶角色和身份管理。眾所周知，構(gòu)成操作系統(tǒng)一部分的密碼安全性很弱，容易受到黑客攻擊，因此第一級授權(quán)獲取 （AA） 應(yīng)該在操作系統(tǒng)啟動之前進(jìn)行，在這種情況下，它被稱為預(yù)啟動身份驗證 （PBA）。

每個用戶都應(yīng)具有單獨分配的密碼，該密碼授權(quán) SED 使用其加密密鑰解鎖數(shù)據(jù)。安全官員應(yīng)能夠添加新用戶并撤銷對現(xiàn)有用戶的訪問權(quán)限。當(dāng)用戶的訪問權(quán)限被撤銷時，該用戶甚至無法啟動操作系統(tǒng)。

更強(qiáng)大的PBA實現(xiàn)將包括MFA。

4. 多因素身份驗證方法：除了用戶名/密碼之外，MFA 還需要另一種形式的身份驗證。一種方法是使用安全加密狗，例如YubiKey，其中包含許可證密鑰或用戶插入設(shè)備USB端口的其他加密保護(hù)機(jī)制。美國國防部 （DoD），包括文職雇員和承包商人員，使用稱為通用訪問卡 （CAC） 的智能卡，在這種情況下，計算機(jī)必須配備物理讀卡器。

其他 MFA 方法包括應(yīng)用程序（通常在智能手機(jī)上），這些應(yīng)用程序提供同步到要求身份驗證的設(shè)備或系統(tǒng)的一次性代碼。利用智能手機(jī)無處不在的還有一個基于短信的系統(tǒng)，該系統(tǒng)將在短信中包含一次性代碼。

5. 提供銷毀數(shù)據(jù)的功能：在各種情況下，可能需要銷毀存儲在 SED 上的任何數(shù)據(jù)。良性情況是指組織決定升級其計算機(jī)和/或驅(qū)動器、在組織內(nèi)傳輸計算機(jī)和/或驅(qū)動器，或在組織外部處置或回收計算機(jī)和/或驅(qū)動器。最壞的情況是，未經(jīng)授權(quán)的實體獲得驅(qū)動器的控制權(quán)，目的是訪問數(shù)據(jù)。

使用基于操作系統(tǒng)的標(biāo)準(zhǔn)“刪除”功能刪除文件和文件夾是不夠的，因為經(jīng)驗豐富的黑客仍然可以檢索部分或全部數(shù)據(jù)。用于存儲機(jī)密數(shù)據(jù)的 SED 應(yīng)支持特殊的硬件功能，以執(zhí)行安全擦除（將零寫入驅(qū)動器上存儲數(shù)據(jù)的每個區(qū)域）和加密擦除（擦除存儲在驅(qū)動器上的任何加密密鑰，從而使存儲在驅(qū)動器上的任何加密數(shù)據(jù)對不良行為者不可讀且無用）。

為了解決最壞的情況，組織的指定安全官員應(yīng)該能夠定義由驅(qū)動器本身自動啟動的擦除過程;例如，如果 AA 失敗指定次數(shù)，則會導(dǎo)致驅(qū)動器自行擦除。

對于配備適當(dāng) PBA 的 SED，存儲在磁盤上的任何數(shù)據(jù)在 AA 發(fā)生之前基本上都是不可見的，從而防止不良行為者克隆驅(qū)動器以規(guī)避允許的 AA 嘗試次數(shù)限制。

綜上所述。..

一些組織錯誤地認(rèn)為在操作系統(tǒng)啟動后采用 MFA（如指紋掃描或面部識別）可提供高度的信心。但是，一旦操作系統(tǒng)啟動，其驅(qū)動器上的任何數(shù)據(jù)都會暴露給復(fù)雜的黑客或潛在的民族國家不良行為者。

通過將 MFA 用作使用 HWFDE 實施的 PBA 環(huán)境的一部分，可以實現(xiàn)最高級別的置信度和安全性，該環(huán)境是在 FIPS + CC 認(rèn)證和驗證的 SED 上實現(xiàn)的。

審核編輯：郭婷