2019年5月21日,美国总统管理与预算办公室(简称OMB),向各执行部门与机构负责人发布了关于改进政府身份、凭证与访问管理(简称ICAM)政策的备忘录。该文件对美国政府身份管理的内涵、范围、标准、机构职责以及工作机制等进行了系统阐述,较为清楚的反映了美国政府开展身份管理工作的政策思路,也从另一层面体现了其大数据背景下国家机构数据体系化治理思维。
一、数据安全成为美国改进政府身份管理政策的直接动因
美国OMB此次发布文件中专门表示“技术的进步使得更多业务往来与数字交互成为可能,为联邦政府提供了实现更快、更可靠连接与运营能力的机遇。同时也出现了新的挑战,身份信息泄露变得愈发普遍”。
针对于此,美国政府强调将继续专注于网络安全和风险管理,以保证对身份数据的安全性管控。
网络空间的快速发展,使得各类组织机构的业务都向数字化领域广泛映射,随之而来的是大量的机构数据泄露事件,给国家政府、机构部门和企业单位带来巨大的安全风险。
其中,政府机构作为职能部门,有关各种身份管理的数据治理事关国家安全和社会稳定。这种威胁态势驱动世界各国政府对此越来越重视,并纷纷采取了各种政策、技术与管理措施。
美国政府一贯重视网络空间的安全风险管控和治理,已经发布了一系列的标准、文件对此加以规范。这次改进ICAM政策,是美国政府为适应新的环境、新的技术变化,而采取的一次重要政策更新,是对其以往数据安全保护政策的继承与发展。
二、体系化管理是美国政府“身份管理政策”的重要内涵
OMB文件中专门对“身份管理”的内涵进行了界定,体系化特征突出。文件表示“身份是指某一主体的特定表示,例如个人、设备、非人实体(NPE)或者自动化技术,其至少涉及一种联邦主体或者联邦资源,例如联邦信息、联邦信息系统、联邦设施或安全区域等”。
这个定义涵盖了政府机构业务涉及的各个方面,管理的对象不仅是政府机构人员,还包括设备、系统、技术和设施,实现了对业务领域的全面覆盖,体现出这是一个全范围综合管理体系。
另外,ICAM政策“身份管理”内涵还延伸到政府机构为民众提供服务的过程中,将信任机制纳入到管理范畴。
文件中表示引用身份概念有两种情形,一种是联邦机构身份,即员工、承包商以及机构用户;另一种是公共身份,是联邦机构为了实现自身使命及业务目标而与之交互,但又不对其直接进行管理的主体,也就是在向美国民众提供服务过程中的管理对象,目标是建立民众对政府机构服务的信用机制。
三、网络安全基础从凭证生命周期管理转向身份生命周期管理
美国政府认为过去依赖凭证的信任机制已经难以保证政府网络安全。为此,要转变观念,从风险管理视角构成一套全面的身份证明方法,用以保障隐私性与安全性。强调各政府机构必须在实施美国国家标准与技术研究院(NIST)、人事管理办公室(OPM)以及国土安全部(DHS)发布的与身份管理相关政策文件基础上,强化由联邦政府向其各级员工、承包商以及其他机构用户提供基于标准、安全且可靠的身份识别形式,用于身份证明、审查,从而以权威方式将凭证持有人身份与认证流程进行绑定,实现在管理访问控制的全流程身份确认,避免因为凭证泄露或丢失而引发安全威胁风险。同时,这种全程身份验证,还能够解决跨政府部门间的身份识别,作为联邦政府员工或承包商间共享及传输信息的加密联系方式。
四、运用身份机制是破除机构间信息壁垒、构建政府资源管理体系的有效途径
此次备忘录文件指出,“政府机构内彼此交织的技术架构给资源访问、网络保护以及信息保障等管理工作带来了复杂性挑战。必须从单纯管理边界区域的内外访问,逐步转变为利用身份机制建立起联邦政府资源管理体系,从而为用户及信息系统的访问活动管理建立新的风险控制基础。”
为此, OMB提出各政府部门都应建立ICAM机构,建立符合标准要求的身份运用机制。主要措施包含设立首席信息官和信息安全官、高级机构隐私官以及法律、采购等人员,定义并维护统一的综合性ICAM政策、流程与技术解决方案路线图等。并且各级机构应对各类设备、非人实体以及机器人流程自动化、人工智能等自动化技术的数字化生命周期加以管理,支持其机构风险管理能力,从而有效管理并执行ICAM相关工作。
五、建立民众整体信任实施身份管理的重要保证
美国ICAM政策明确,对于数字服务交付而言,提高联邦政府与公众交互的整体信任度与安全性至关重要。各级机构必须采取与数字产品固有风险水平相适应的方式,来管理服务公共用户的数据风险,充分考虑所收集数据的敏感性。这些是建立民众对政府服务信任机制的重要保证。
因此,各级机构应确保向公众消费者提供的联邦数字服务中的身份证明符合NIST指南与政府ICAM要求;并将用于确定个人身份的个人身份信息(简称PII)收集水平限制在合法授权范围之内,确保收集工作符合相关性与合理必要性的要求,并采取有力的保护措施;各级机构应利用符合机构确定可接受风险级别的现有凭证与身份联动机制,而非从零开始强制要求用户使用新的凭证流程或功能;各级机构应利用由联邦政府提供或企业提供的共享服务,从而向公众提供身份保障与认证服务等。通过采取身份管理措施机制,获取民众信任,才能为进一步收集民众身份信息,管理身份数据安全提供基础条件。
网络时代,政府机构、企事业单位乃至小的团队组织,都需要在网络空间运营和处理大量的业务,进行广泛的沟通联系,网络空间的身份管理成为的首要安全问题,美国政府的ICAM政策已成体系,其经验做法具有重要的参考借鉴意义。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
