計算機數據在不同時間以不同的狀態存在：傳輸中的數據（流經網絡的信息）;使用中的數據（計算機程序正在訪問和操作的活動數據）;以及靜態數據（稱為 DAR），或物理存儲在存儲設備（如固態驅動器）中的數據。許多網絡安全解決方案專注于保護傳輸中的數據和使用中的數據，但忽略了保護 DAR。

MFA 要求用戶提供多個證據，這些證據組合在一起以驗證用戶的身份。根據應用程序的不同，在登錄時或嘗試訪問應用程序甚至特定文件夾或文件時可能需要 MFA。MFA 結合了兩個或多個獨立的憑據：用戶知道的內容（例如密碼）、用戶擁有的內容（例如身份驗證應用）和用戶身份（例如，生物識別手掌靜脈掃描）。由于大多數 MFA 實現使用兩個因素，因此通常稱為雙因素身份驗證或 2FA。

使用 MFA 保護數據時，有五個重要注意事項。

1. 了解數據的敏感性：首先，請注意，并非所有數據都受到相同級別的保護。在美國，由于所有聯邦部門都是行政部門的一部分，因此數據分類系統受行政命令而不是法律管轄。截至2009年，信息目前可能分為三個級別之一：機密，秘密和絕密。隨后的行政命令可能會改變這些分類以及與每個分類相關的保護級別。

2. 使用自加密驅動器：盡管有行政命令，但敏感數據需要加密。自加密驅動器 （SED） 在將數據寫入驅動器時對其進行加密，該驅動器具有自包含驅動器加密密鑰 （DEK）。密鑰和加密過程對用戶是透明的。

SED 加密驅動器上的所有內容，稱為全磁盤加密 （FDE），包括操作系統 （OS）、應用程序和數據。驅動器上加密稱為硬件 FDE （HWFDE），并使用嵌入式加密引擎 （EE），該引擎應提供 256 位 AES 加密。

SED 應遵守 TCG Opal 標準，這是在 SED 中管理加密和解密的安全標準。 SED 通常通過美國國家標準與技術研究院 （NIST） 制定的聯邦信息處理標準 （FIPS） 認證。例如，FIPS 140-2 L2 認證可確保 SED 的 EE 經過正確設計和保護;L2 確保有明顯證據表明任何試圖物理篡改驅動器的行為。

國家信息保障伙伴關系 （NIAP） 負責美國實施通用標準 （CC），這是用于 IT 產品安全認證的國際標準 （ISO/IEC 15408）。CC是一個框架，構成了聯邦機構和關鍵基礎設施要求的政府驅動的認證計劃的基礎。

3. 采用預啟動身份驗證：指定的安全官員或管理員將定義用于驗證對 SED 的訪問的用戶角色和身份管理。眾所周知，構成操作系統一部分的密碼安全性很弱，容易受到黑客攻擊，因此第一級授權獲取 （AA） 應該在操作系統啟動之前進行，在這種情況下，它被稱為預啟動身份驗證 （PBA）。

每個用戶都應具有單獨分配的密碼，該密碼授權 SED 使用其加密密鑰解鎖數據。安全官員應能夠添加新用戶并撤銷對現有用戶的訪問權限。當用戶的訪問權限被撤銷時，該用戶甚至無法啟動操作系統。

更強大的PBA實現將包括MFA。

4. 多因素身份驗證方法：除了用戶名/密碼之外，MFA 還需要另一種形式的身份驗證。一種方法是使用安全加密狗，例如YubiKey，其中包含許可證密鑰或用戶插入設備USB端口的其他加密保護機制。美國國防部 （DoD），包括文職雇員和承包商人員，使用稱為通用訪問卡 （CAC） 的智能卡，在這種情況下，計算機必須配備物理讀卡器。

其他 MFA 方法包括應用程序（通常在智能手機上），這些應用程序提供同步到要求身份驗證的設備或系統的一次性代碼。利用智能手機無處不在的還有一個基于短信的系統，該系統將在短信中包含一次性代碼。

5. 提供銷毀數據的功能：在各種情況下，可能需要銷毀存儲在 SED 上的任何數據。良性情況是指組織決定升級其計算機和/或驅動器、在組織內傳輸計算機和/或驅動器，或在組織外部處置或回收計算機和/或驅動器。最壞的情況是，未經授權的實體獲得驅動器的控制權，目的是訪問數據。

使用基于操作系統的標準“刪除”功能刪除文件和文件夾是不夠的，因為經驗豐富的黑客仍然可以檢索部分或全部數據。用于存儲機密數據的 SED 應支持特殊的硬件功能，以執行安全擦除（將零寫入驅動器上存儲數據的每個區域）和加密擦除（擦除存儲在驅動器上的任何加密密鑰，從而使存儲在驅動器上的任何加密數據對不良行為者不可讀且無用）。

為了解決最壞的情況，組織的指定安全官員應該能夠定義由驅動器本身自動啟動的擦除過程;例如，如果 AA 失敗指定次數，則會導致驅動器自行擦除。

對于配備適當 PBA 的 SED，存儲在磁盤上的任何數據在 AA 發生之前基本上都是不可見的，從而防止不良行為者克隆驅動器以規避允許的 AA 嘗試次數限制。

綜上所述。..

一些組織錯誤地認為在操作系統啟動后采用 MFA（如指紋掃描或面部識別）可提供高度的信心。但是，一旦操作系統啟動，其驅動器上的任何數據都會暴露給復雜的黑客或潛在的民族國家不良行為者。

通過將 MFA 用作使用 HWFDE 實施的 PBA 環境的一部分，可以實現最高級別的置信度和安全性，該環境是在 FIPS + CC 認證和驗證的 SED 上實現的。

審核編輯：郭婷