标准解读 身份与访问管理(IAM)及其国际标准简析

2019-12-23 01:22谢宗晓龚喜杰
中国质量与标准导报 2019年10期
关键词:章节框架管理系统

谢宗晓 龚喜杰

1 引言

在信息安全中,访问管理(access management)在管理访问方(可能是人或其他实体)和信息资源之间的关系中起着举足轻重的作用,严格上讲,身份管理(Identity Management,IDM)1)本身也是访问管理的一部分。访问管理通过对客体的鉴别(authentication)与授权(authorization),从而实现对信息资源访问的控制。

在实践中,实现身份鉴别(identity authentication)和实体鉴别(entity authentication)的身份管理系统(Identity Management System,IMS)往往被作为独立的功能处理,因此,加上访问管理系统(Access Management System,AMS),身份管理和访问管理经常被一起合称为身份与访问管理(Identity and Access Management,IAM)。

身份管理系统(IMS)与访问管理系统(AMS)的关系,在ISO/IEC 29146:2016中的描述如图1所示。在已经发布的国际标准中,与IAM相关的国际标准如表1所示。

2 关于身份管理的ISO/IEC 24760

如表1所述,ISO/IEC 24760共有3个部分,关注的是身份管理,所以与隐私(privacy)管理联系

紧密。在描述与其他标准之间关系的时候,提出为一系列相关标准提供了应用基础,尤其强调了隐私相关标准,具体如表2所示。

ISO/IEC 24760-1有最新发布的2019版,之前有2011版。该标准不仅定义了身份管理的相关术语,还定义了身份、身份管理以及他们之间相互关系的核心概念。ISO/IEC 24760-1引用了ITU-T X.1252(Baseline identity management terms and definitions,身份管理术语与定义基线)。截至2019年7月,ITU-T已经发布了13个关于身份管理的系列标准,编号从X.1250至X.12793)。

ISO/IEC 24760-2最新版本发布于2015年,其定义了一个身份管理系统的参考框架,同时也给出了该框架部署与运维的要求。在该标准中,架构的设计基于ISO/IEC/IEEE 42010《系统与软件工程 架构描述》(Systems and software engineering — Architecture description),所以是一個很理论化的框架,架构要包括:利益相关者、角色、视图、模型、组件、过程和信息流与行动。ISO/IEC 24760-2:2015正文共有6章,前4章为固定内容的章节,第5章即描述了上述参考框架,第6章给出了身份信息管理的要求。此外,还包括了4个资料性附录。

ISO/IEC 24760-3的最新版本于2016年发布,其为身份信息管理以及身份管理系统与ISO/IEC 24760-1和ISO/IEC 24760-2符合性提供了指引。ISO/IEC 24760-3的前4章也是固定内容的章节,第5章先描述了风险评估,因为身份管理系统不但要管理身份信息的错误风险,而且要保障其中存储、处理以及传输信息的机密性、完整性和可用性。考虑到后续还有控制等章节,这个逻辑与ISO/IEC 27002等标准保持了顺序一致。第6章为身份信息与标识符,第7章为身份信息使用审计,第8章为控制目标与控制,沿用ISO/IEC 27002的方式,第8章的描述分为控制、应用指南和其他信息。最后,该标准包含了2个规范性附录。

3 关于访问管理的ISO/IEC 29146

ISO/IEC 29146最新版本发布于2016年,该标准定义并建立了一个访问管理的框架,不仅如此,还提供了相关架构、组间和管理函数的解释。

ISO/IEC 29146: 2016正文共有8章、1个资料性附录。前4章为通用固定内容的章节,第5章为概念,第6章为参考框架,第7章为额外要求与关注,第8章为实践。对比上文的讨论,ISO/IEC 29146: 2016相当于一个整合版本的ISO/IEC 24760,只是不再分成不同部分而已。但是ISO/IEC 29146中对于参考架构的描述不再与ISO/IEC/IEEE 42010保持一致,而是给了一个比较简单明了的图示(见图2)。

第7章,首先指出对管理信息(administrative information)的访问应该严格,然后列举了现有的访问控制模型及其策略,附录A中又详细介绍了这些模型,IBAC、RBAC、ABAC、CBAC和PBAC,最后讨论了法律法规要求,类似的内容,在ISO/IEC 24760中放到了ISO/IEC 24760-2的附录A中。

第8章(实践)的标题与ISO/IEC 24760-3一致,其中描述方式也是沿用ISO/IEC 27002。虽然只有一章的内容,此处也是从识别威胁、脆弱性等风险要素开始讨论。也就是说,无论ISO/IEC 29146还是ISO/IEC 24760,都考虑了整体的风险管理框架。限于篇幅,此处不再分析其中具体控制的异同点。

4 关于实体鉴别保证的ISO/IEC 29115

ISO/IEC 29115的有效版本发布于2013年,新版标准的研发已经到了工作草案(Work Draft,WD)阶段。ISO/IEC 29115与ITU-T X.1254也比较类似,但是存在一定差异,该标准给出了一个实体鉴别的保障框架(Entity Authentication Assurance Framework,EAAF),这其中包括了所有技术的、管理的以及流程的控制。其中对于阶段和控制的分类还是比较清晰的。例如,图3所示的框架示意图。

ISO/IEC 29115:2013包含10章正文、2个资料性附录。前4章为通用内容章节,第5章又强调了应(shall)、宜(should)、可(may)和能(can)在标准中的用法4),第6章描述了4个不同的保障层次,第7章描述了其中涉及的角色,第8章是阶段与技术方面的讨论,第9章则是管理与组织方面的讨论,第8章和第9章与图3一一对应。第10章描述了各个阶段可能所面临的威胁。由于涉及凭证等身份管理的内容,因此附录A为隐私保护,此外,凭证管理在附录B中有介绍,例如,凭证的分类等。

5 小结

本文主要介绍了身份与访问管理相关的国际标准,主要包括,关于身份管理的ISO/IEC24760,关于访问管理的ISO/IEC29146,以及关于鉴别保证的ISO/IEC29115。关于凭证的相关介绍,可以参考文献[1],其中也介绍了关于鉴别模式的标准,ISO/IEC9798系列包含了6个部分。在本文中讨论的标准多以框架为主,而在文献[1] 中,则偏重具体的控制。

参考文献

[1] 谢宗晓, 董坤祥, 甄杰. 身份与访问管理(IAM)相关控制浅析[J]. 中国质量与标准导报,2019(6):22-25.

猜你喜欢
章节框架管理系统
基于单片机MCU的IPMI健康管理系统设计与实现
框架
基于物联网的IT运维可视化管理系统设计与实现
高中数学章节易错点提前干预的策略研究
浅谈框架网页的学习
基于分布式数据库Cedar的高效工单管理系统设计与实现
基于Jmeter对Node框架性能的测试研究
利用“骨架突破法”,提高复习效率
八仙过海,各显神通
基于.NET框架的内容管理系统设计与实现