計(jì)算機(jī)數(shù)據(jù)在不同時(shí)間以不同的狀態(tài)存在：傳輸中的數(shù)據(jù)（流經(jīng)網(wǎng)絡(luò)的信息）;使用中的數(shù)據(jù)（計(jì)算機(jī)程序正在訪問(wèn)和操作的活動(dòng)數(shù)據(jù)）;以及靜態(tài)數(shù)據(jù)（稱(chēng)為 DAR），或物理存儲(chǔ)在存儲(chǔ)設(shè)備（如固態(tài)驅(qū)動(dòng)器）中的數(shù)據(jù)。許多網(wǎng)絡(luò)安全解決方案專(zhuān)注于保護(hù)傳輸中的數(shù)據(jù)和使用中的數(shù)據(jù)，但忽略了保護(hù) DAR。

MFA 要求用戶(hù)提供多個(gè)證據(jù)，這些證據(jù)組合在一起以驗(yàn)證用戶(hù)的身份。根據(jù)應(yīng)用程序的不同，在登錄時(shí)或嘗試訪問(wèn)應(yīng)用程序甚至特定文件夾或文件時(shí)可能需要 MFA。MFA 結(jié)合了兩個(gè)或多個(gè)獨(dú)立的憑據(jù)：用戶(hù)知道的內(nèi)容（例如密碼）、用戶(hù)擁有的內(nèi)容（例如身份驗(yàn)證應(yīng)用）和用戶(hù)身份（例如，生物識(shí)別手掌靜脈掃描）。由于大多數(shù) MFA 實(shí)現(xiàn)使用兩個(gè)因素，因此通常稱(chēng)為雙因素身份驗(yàn)證或 2FA。

使用 MFA 保護(hù)數(shù)據(jù)時(shí)，有五個(gè)重要注意事項(xiàng)。

1. 了解數(shù)據(jù)的敏感性：首先，請(qǐng)注意，并非所有數(shù)據(jù)都受到相同級(jí)別的保護(hù)。在美國(guó)，由于所有聯(lián)邦部門(mén)都是行政部門(mén)的一部分，因此數(shù)據(jù)分類(lèi)系統(tǒng)受行政命令而不是法律管轄。截至2009年，信息目前可能分為三個(gè)級(jí)別之一：機(jī)密，秘密和絕密。隨后的行政命令可能會(huì)改變這些分類(lèi)以及與每個(gè)分類(lèi)相關(guān)的保護(hù)級(jí)別。

2. 使用自加密驅(qū)動(dòng)器：盡管有行政命令，但敏感數(shù)據(jù)需要加密。自加密驅(qū)動(dòng)器 （SED） 在將數(shù)據(jù)寫(xiě)入驅(qū)動(dòng)器時(shí)對(duì)其進(jìn)行加密，該驅(qū)動(dòng)器具有自包含驅(qū)動(dòng)器加密密鑰 （DEK）。密鑰和加密過(guò)程對(duì)用戶(hù)是透明的。

SED 加密驅(qū)動(dòng)器上的所有內(nèi)容，稱(chēng)為全磁盤(pán)加密 （FDE），包括操作系統(tǒng) （OS）、應(yīng)用程序和數(shù)據(jù)。驅(qū)動(dòng)器上加密稱(chēng)為硬件 FDE （HWFDE），并使用嵌入式加密引擎 （EE），該引擎應(yīng)提供 256 位 AES 加密。

SED 應(yīng)遵守 TCG Opal 標(biāo)準(zhǔn)，這是在 SED 中管理加密和解密的安全標(biāo)準(zhǔn)。 SED 通常通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 制定的聯(lián)邦信息處理標(biāo)準(zhǔn) （FIPS） 認(rèn)證。例如，F(xiàn)IPS 140-2 L2 認(rèn)證可確保 SED 的 EE 經(jīng)過(guò)正確設(shè)計(jì)和保護(hù);L2 確保有明顯證據(jù)表明任何試圖物理篡改驅(qū)動(dòng)器的行為。

國(guó)家信息保障伙伴關(guān)系 （NIAP） 負(fù)責(zé)美國(guó)實(shí)施通用標(biāo)準(zhǔn) （CC），這是用于 IT 產(chǎn)品安全認(rèn)證的國(guó)際標(biāo)準(zhǔn) （ISO/IEC 15408）。CC是一個(gè)框架，構(gòu)成了聯(lián)邦機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施要求的政府驅(qū)動(dòng)的認(rèn)證計(jì)劃的基礎(chǔ)。

3. 采用預(yù)啟動(dòng)身份驗(yàn)證：指定的安全官員或管理員將定義用于驗(yàn)證對(duì) SED 的訪問(wèn)的用戶(hù)角色和身份管理。眾所周知，構(gòu)成操作系統(tǒng)一部分的密碼安全性很弱，容易受到黑客攻擊，因此第一級(jí)授權(quán)獲取 （AA） 應(yīng)該在操作系統(tǒng)啟動(dòng)之前進(jìn)行，在這種情況下，它被稱(chēng)為預(yù)啟動(dòng)身份驗(yàn)證 （PBA）。

每個(gè)用戶(hù)都應(yīng)具有單獨(dú)分配的密碼，該密碼授權(quán) SED 使用其加密密鑰解鎖數(shù)據(jù)。安全官員應(yīng)能夠添加新用戶(hù)并撤銷(xiāo)對(duì)現(xiàn)有用戶(hù)的訪問(wèn)權(quán)限。當(dāng)用戶(hù)的訪問(wèn)權(quán)限被撤銷(xiāo)時(shí)，該用戶(hù)甚至無(wú)法啟動(dòng)操作系統(tǒng)。

更強(qiáng)大的PBA實(shí)現(xiàn)將包括MFA。

4. 多因素身份驗(yàn)證方法：除了用戶(hù)名/密碼之外，MFA 還需要另一種形式的身份驗(yàn)證。一種方法是使用安全加密狗，例如YubiKey，其中包含許可證密鑰或用戶(hù)插入設(shè)備USB端口的其他加密保護(hù)機(jī)制。美國(guó)國(guó)防部 （DoD），包括文職雇員和承包商人員，使用稱(chēng)為通用訪問(wèn)卡 （CAC） 的智能卡，在這種情況下，計(jì)算機(jī)必須配備物理讀卡器。

其他 MFA 方法包括應(yīng)用程序（通常在智能手機(jī)上），這些應(yīng)用程序提供同步到要求身份驗(yàn)證的設(shè)備或系統(tǒng)的一次性代碼。利用智能手機(jī)無(wú)處不在的還有一個(gè)基于短信的系統(tǒng)，該系統(tǒng)將在短信中包含一次性代碼。

5. 提供銷(xiāo)毀數(shù)據(jù)的功能：在各種情況下，可能需要銷(xiāo)毀存儲(chǔ)在 SED 上的任何數(shù)據(jù)。良性情況是指組織決定升級(jí)其計(jì)算機(jī)和/或驅(qū)動(dòng)器、在組織內(nèi)傳輸計(jì)算機(jī)和/或驅(qū)動(dòng)器，或在組織外部處置或回收計(jì)算機(jī)和/或驅(qū)動(dòng)器。最壞的情況是，未經(jīng)授權(quán)的實(shí)體獲得驅(qū)動(dòng)器的控制權(quán)，目的是訪問(wèn)數(shù)據(jù)。

使用基于操作系統(tǒng)的標(biāo)準(zhǔn)“刪除”功能刪除文件和文件夾是不夠的，因?yàn)榻?jīng)驗(yàn)豐富的黑客仍然可以檢索部分或全部數(shù)據(jù)。用于存儲(chǔ)機(jī)密數(shù)據(jù)的 SED 應(yīng)支持特殊的硬件功能，以執(zhí)行安全擦除（將零寫(xiě)入驅(qū)動(dòng)器上存儲(chǔ)數(shù)據(jù)的每個(gè)區(qū)域）和加密擦除（擦除存儲(chǔ)在驅(qū)動(dòng)器上的任何加密密鑰，從而使存儲(chǔ)在驅(qū)動(dòng)器上的任何加密數(shù)據(jù)對(duì)不良行為者不可讀且無(wú)用）。

為了解決最壞的情況，組織的指定安全官員應(yīng)該能夠定義由驅(qū)動(dòng)器本身自動(dòng)啟動(dòng)的擦除過(guò)程;例如，如果 AA 失敗指定次數(shù)，則會(huì)導(dǎo)致驅(qū)動(dòng)器自行擦除。

對(duì)于配備適當(dāng) PBA 的 SED，存儲(chǔ)在磁盤(pán)上的任何數(shù)據(jù)在 AA 發(fā)生之前基本上都是不可見(jiàn)的，從而防止不良行為者克隆驅(qū)動(dòng)器以規(guī)避允許的 AA 嘗試次數(shù)限制。

綜上所述。..

一些組織錯(cuò)誤地認(rèn)為在操作系統(tǒng)啟動(dòng)后采用 MFA（如指紋掃描或面部識(shí)別）可提供高度的信心。但是，一旦操作系統(tǒng)啟動(dòng)，其驅(qū)動(dòng)器上的任何數(shù)據(jù)都會(huì)暴露給復(fù)雜的黑客或潛在的民族國(guó)家不良行為者。

通過(guò)將 MFA 用作使用 HWFDE 實(shí)施的 PBA 環(huán)境的一部分，可以實(shí)現(xiàn)最高級(jí)別的置信度和安全性，該環(huán)境是在 FIPS + CC 認(rèn)證和驗(yàn)證的 SED 上實(shí)現(xiàn)的。

審核編輯：郭婷