標(biāo)準(zhǔn)解讀 身份與訪問管理（IAM）及其國際標(biāo)準(zhǔn)簡(jiǎn)析

謝宗曉 龔喜杰

1 引言

在信息安全中，訪問管理（access management）在管理訪問方（可能是人或其他實(shí)體）和信息資源之間的關(guān)系中起著舉足輕重的作用，嚴(yán)格上講，身份管理（Identity Management，IDM）1）本身也是訪問管理的一部分。訪問管理通過對(duì)客體的鑒別（authentication）與授權(quán)（authorization），從而實(shí)現(xiàn)對(duì)信息資源訪問的控制。

在實(shí)踐中，實(shí)現(xiàn)身份鑒別（identity authentication）和實(shí)體鑒別（entity authentication）的身份管理系統(tǒng)（Identity Management System，IMS）往往被作為獨(dú)立的功能處理，因此，加上訪問管理系統(tǒng)（Access Management System，AMS），身份管理和訪問管理經(jīng)常被一起合稱為身份與訪問管理（Identity and Access Management，IAM）。

身份管理系統(tǒng)（IMS）與訪問管理系統(tǒng)（AMS）的關(guān)系，在ISO/IEC 29146：2016中的描述如圖1所示。在已經(jīng)發(fā)布的國際標(biāo)準(zhǔn)中，與IAM相關(guān)的國際標(biāo)準(zhǔn)如表1所示。

2 關(guān)于身份管理的ISO/IEC 24760

如表1所述，ISO/IEC 24760共有3個(gè)部分，關(guān)注的是身份管理，所以與隱私（privacy）管理聯(lián)系

緊密。在描述與其他標(biāo)準(zhǔn)之間關(guān)系的時(shí)候，提出為一系列相關(guān)標(biāo)準(zhǔn)提供了應(yīng)用基礎(chǔ)，尤其強(qiáng)調(diào)了隱私相關(guān)標(biāo)準(zhǔn)，具體如表2所示。

ISO/IEC 24760-1有最新發(fā)布的2019版，之前有2011版。該標(biāo)準(zhǔn)不僅定義了身份管理的相關(guān)術(shù)語，還定義了身份、身份管理以及他們之間相互關(guān)系的核心概念。ISO/IEC 24760-1引用了ITU-T X.1252（Baseline identity management terms and definitions，身份管理術(shù)語與定義基線）。截至2019年7月，ITU-T已經(jīng)發(fā)布了13個(gè)關(guān)于身份管理的系列標(biāo)準(zhǔn)，編號(hào)從X.1250至X.12793）。

ISO/IEC 24760-2最新版本發(fā)布于2015年，其定義了一個(gè)身份管理系統(tǒng)的參考框架，同時(shí)也給出了該框架部署與運(yùn)維的要求。在該標(biāo)準(zhǔn)中，架構(gòu)的設(shè)計(jì)基于ISO/IEC/IEEE 42010《系統(tǒng)與軟件工程 架構(gòu)描述》（Systems and software engineering — Architecture description），所以是一個(gè)很理論化的框架，架構(gòu)要包括：利益相關(guān)者、角色、視圖、模型、組件、過程和信息流與行動(dòng)。ISO/IEC 24760-2：2015正文共有6章，前4章為固定內(nèi)容的章節(jié)，第5章即描述了上述參考框架，第6章給出了身份信息管理的要求。此外，還包括了4個(gè)資料性附錄。

ISO/IEC 24760-3的最新版本于2016年發(fā)布，其為身份信息管理以及身份管理系統(tǒng)與ISO/IEC 24760-1和ISO/IEC 24760-2符合性提供了指引。ISO/IEC 24760-3的前4章也是固定內(nèi)容的章節(jié)，第5章先描述了風(fēng)險(xiǎn)評(píng)估，因?yàn)樯矸莨芾硐到y(tǒng)不但要管理身份信息的錯(cuò)誤風(fēng)險(xiǎn)，而且要保障其中存儲(chǔ)、處理以及傳輸信息的機(jī)密性、完整性和可用性?？紤]到后續(xù)還有控制等章節(jié)，這個(gè)邏輯與ISO/IEC 27002等標(biāo)準(zhǔn)保持了順序一致。第6章為身份信息與標(biāo)識(shí)符，第7章為身份信息使用審計(jì)，第8章為控制目標(biāo)與控制，沿用ISO/IEC 27002的方式，第8章的描述分為控制、應(yīng)用指南和其他信息。最后，該標(biāo)準(zhǔn)包含了2個(gè)規(guī)范性附錄。

3 關(guān)于訪問管理的ISO/IEC 29146

ISO/IEC 29146最新版本發(fā)布于2016年，該標(biāo)準(zhǔn)定義并建立了一個(gè)訪問管理的框架，不僅如此，還提供了相關(guān)架構(gòu)、組間和管理函數(shù)的解釋。

ISO/IEC 29146： 2016正文共有8章、1個(gè)資料性附錄。前4章為通用固定內(nèi)容的章節(jié)，第5章為概念，第6章為參考框架，第7章為額外要求與關(guān)注，第8章為實(shí)踐。對(duì)比上文的討論，ISO/IEC 29146： 2016相當(dāng)于一個(gè)整合版本的ISO/IEC 24760，只是不再分成不同部分而已。但是ISO/IEC 29146中對(duì)于參考架構(gòu)的描述不再與ISO/IEC/IEEE 42010保持一致，而是給了一個(gè)比較簡(jiǎn)單明了的圖示（見圖2）。

第7章，首先指出對(duì)管理信息（administrative information）的訪問應(yīng)該嚴(yán)格，然后列舉了現(xiàn)有的訪問控制模型及其策略，附錄A中又詳細(xì)介紹了這些模型，IBAC、RBAC、ABAC、CBAC和PBAC，最后討論了法律法規(guī)要求，類似的內(nèi)容，在ISO/IEC 24760中放到了ISO/IEC 24760-2的附錄A中。

第8章（實(shí)踐）的標(biāo)題與ISO/IEC 24760-3一致，其中描述方式也是沿用ISO/IEC 27002。雖然只有一章的內(nèi)容，此處也是從識(shí)別威脅、脆弱性等風(fēng)險(xiǎn)要素開始討論。也就是說，無論ISO/IEC 29146還是ISO/IEC 24760，都考慮了整體的風(fēng)險(xiǎn)管理框架。限于篇幅，此處不再分析其中具體控制的異同點(diǎn)。

4 關(guān)于實(shí)體鑒別保證的ISO/IEC 29115

ISO/IEC 29115的有效版本發(fā)布于2013年，新版標(biāo)準(zhǔn)的研發(fā)已經(jīng)到了工作草案（Work Draft，WD）階段。ISO/IEC 29115與ITU-T X.1254也比較類似，但是存在一定差異，該標(biāo)準(zhǔn)給出了一個(gè)實(shí)體鑒別的保障框架（Entity Authentication Assurance Framework，EAAF），這其中包括了所有技術(shù)的、管理的以及流程的控制。其中對(duì)于階段和控制的分類還是比較清晰的。例如，圖3所示的框架示意圖。

ISO/IEC 29115：2013包含10章正文、2個(gè)資料性附錄。前4章為通用內(nèi)容章節(jié)，第5章又強(qiáng)調(diào)了應(yīng)（shall）、宜（should）、可（may）和能（can）在標(biāo)準(zhǔn)中的用法4），第6章描述了4個(gè)不同的保障層次，第7章描述了其中涉及的角色，第8章是階段與技術(shù)方面的討論，第9章則是管理與組織方面的討論，第8章和第9章與圖3一一對(duì)應(yīng)。第10章描述了各個(gè)階段可能所面臨的威脅。由于涉及憑證等身份管理的內(nèi)容，因此附錄A為隱私保護(hù)，此外，憑證管理在附錄B中有介紹，例如，憑證的分類等。

5 小結(jié)

本文主要介紹了身份與訪問管理相關(guān)的國際標(biāo)準(zhǔn)，主要包括，關(guān)于身份管理的ISO/IEC24760，關(guān)于訪問管理的ISO/IEC29146，以及關(guān)于鑒別保證的ISO/IEC29115。關(guān)于憑證的相關(guān)介紹，可以參考文獻(xiàn)[1]，其中也介紹了關(guān)于鑒別模式的標(biāo)準(zhǔn)，ISO/IEC9798系列包含了6個(gè)部分。在本文中討論的標(biāo)準(zhǔn)多以框架為主，而在文獻(xiàn)[1] 中，則偏重具體的控制。

參考文獻(xiàn)

[1] 謝宗曉， 董坤祥， 甄杰. 身份與訪問管理（IAM）相關(guān)控制淺析[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2019（6）：22-25.