美商务部NSTIC国家项目办公室与国家电信与信息管理局合作,共同推进NSTIC实施。NSTIC国家项目办公室的主要职责包括:一是促进私营机构参与身份生态系统建设;二是为实现可信身份战略的愿景,建立必要的具有一致性的法律和策略框架;三是与业界合作,研究需要制定的新标准和合作领域;四是支持为达成计划目标所需要的跨机构的协作与协调;五是对国家战略及实现活动的进度进行评估,包括目的、目标及里程碑等;六是促进重要的网络空间可信身份国家战略的引导项目和其他实现项目的开展。
此外,为推进身份生态体系建设,美国国家标准技术研究院投入资金,设立了由私营机构主导的指导委员会——身份生态体系指导小组(IDESG)。IDESG于2012年8月正式成立,主要职责是基于NSTIC的指导原则,研究制定网络可信身份生态体系框架及一系列网络可信身份标准、最佳实践和协议。
NSTIC发布后,在美国政府的支持下,IDESG积极开展网络可信身份体系框架制定工作,并于2015年10月15日发布了《网络可信身份生态体系框架》第一版(以下简称体系框架第一版)。体系框架第一版包含了体系框架功能模块、体系框架基本功能要求及补充指南、体系框架认证机制等三个核心文件,为所有身份框架体系的参与者提供了一套基本的标准和政策。在该体系框架下,私营机构可以建立多个信任框架,例如,建立用于识别智能卡物理和逻辑访问的信任框架,或建立由移动电话供应商开发的、使消费者和企业能够使用移动设备进行安全、隐私增强的身份和访问管理的信任框架。
NSTIC发布后,NSTIC国家项目办公室启动实施试点计划,推动可实现NSTIC愿景和网络可信身份服务市场的发展。2012—2016年,试点计划共支持了24个项目,提供了4500多万美元资助。如表5-1所示,试点项目覆盖医疗、金融、教育、零售、航空航天、政府等领域,主要集中在三个方面:一是身份服务市场发展;二是新兴的身份服务框架和组件;三是身份服务标准和互操作性。试点机构既包括政府部门,也包括私营机构。例如,2014年美国政府拨款240万美元给密歇根州和宾夕法尼亚州,用于开展可信身份识别系统的试点工作,主要试点内容是可信身份的跨地区互联互通和电子政务统一ID项目;在技术方案层面,两个地区采用了州内政府部门使用统一身份数据库的技术,并积极探索使用隐私增强技术。又如,2016年美国政府拨款375万美元给ID.me公司,主要试点内容是向得克萨斯州奥斯汀市提供一种共享经济相关利益各方均可接受的身份解决方案,向缅因州提供联邦身份模型以增加公民获得福利的机会,并在联邦和州两级演示可互操作的凭据。
表5-1 2012—2016年NSTIC试点项目
续表
数据来源:赛迪智库整理 2019.12
2017年NIST发布的新修订的数字身份指南(NIST SP 800-63)系列标准,为联邦机构提供数字身份服务提出了要求。该系列标准包括数字身份指南、注册和身份证明指南、身份认证和身份数据全生命周期管理指南等,描述了身份框架概述,在数字系统中使用身份认证器、凭据和断言,以及选择保证级别的基于风险的过程。与旧版本相比,新版NIST SP 800-63有几个重大变化:一是将保证级别分解为身份证明、身份认证和联合声明等几个独立的部分;二是创建了多个章节,明显区分规范性语言和信息性语言,使得每个章节都包含强制性要求和推荐性措施;三是在英国和加拿大同行的支持下,对身份认证进行了重大改革,支持通过虚拟渠道进行亲自认证;四是阐明了基于知识的认证仅限于身份认证过程的特定部分;五是解决了集中生物特征匹配所需的安全性问题等。
总的来说,NIST SP 800-63-2较前者增加了更加详细的表述,明确提出AAL的分级要求,而NIST SP 800-63-3的主要区别在于体系结构方面的划分,将NISTSP 800-63-2提出的LOA细分为身份保证等级IAL、认证保证等级AAL和联合保证等级FAL,更加注重可信身份体系的建设,细分了可信身份管理过程。
2019年3月,美国参议院提出《2019年商业人脸识别隐私法案》,是美国关于人脸识别隐私保护的第一部法案,被认为是联邦监管的重大举措。该法案规定,商业公司在使用人脸识别技术时需要经过用户的明确同意,同时要求对投入市场应用的人脸识别技术进行第三方测试,以确保其符合准确性标准,避免可能对消费者造成的损害。
法案禁止在未经用户同意的情况下,将用户数据提供给第三方实体。法案还明确定义了数据控制者以及数据处理者,以便明晰两类主体在研发或销售人脸识别产品或服务、存储人脸识别数据中的具体要求。法案还要求人脸识别运营商应满足联邦贸易委员会和国家标准与技术研究院确定的数据安全性、最小化、留存等标准。
2019年4月,美国参议院提出《隐私权利法案》,旨在从立法层面全面保护个人数据。该法案明确定义了个人数据,还要求联邦贸易委员会出台立法,赋予个人若干权利,包括接收关于数据控制者收集、使用、存储和共享其个人数据通知的权利,被收集和使用个人信息时的选择加入权利,访问个人数据处理活动有关细节的权利,访问可携式电子表中个人数据的权利,纠正不准确的个人数据的权利,要求删除个人数据的权利等。
2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(SP800-207)(以下简称《草案》),对外征求意见。《草案》包含零信任架构的定义,相关逻辑模块,及可部署方案和潜在困难。《草案》还为拟将迁移到零信任安全架构的组织提供了总体路线图,并讨论了可能影响或确实影响零信任架构的相关国家政策。
目前,零信任安全战略已开始在美国联邦网络安全政策和方案中试验,本次草案发布的目的是为了开展更多研究及标准化,以帮助各机构制定和实施零信任安全战略。
2019年9月,美国政府管理与预算办公室(Office of Management and Budget,OMB)更新了于2007年生效、旨在监管美国联邦政府各部门如何接入互联网的《可信互联网线路》(Trusted Internet Connection,TIC)政策,新版政策包含了如何帮助美国政府用户从“该政策制定之初无法想象的现代科技、能力、软件”中获益的路线图,并纳入了与云计算、托管服务等新技术相关的新规定。
《可信互联网线路》政策的最初目标是削减美国联邦政府各机构接入公众互联网的线路,并明确对单一设施或办公室对外互联网线路的管理措施。为方便实际操作,该政策的早期版本对安全检查和隔离措施进行了若干规定,其直接结果就是导致美国政府用户的联网速度受到影响。目前美国联邦政府用户的流量通常会经由基于公开互联网的虚拟专用网络(VPN),到达运营商的安全边界设备,而后再通过“可信互联网线路”,最终到达政府机构的数据中心。
新版《可信互联网线路》政策将由若干个渠道实施,美国联邦政府首席信息安全官委员会(Federal Chief Information Security Office Council)将向相关行业发起一个有关“可信互联网线路”的试点项目需求征集,以对新用例及其文档进行细化。国土安全部、美国政府总务署(General Services Administration,GSA)和首席信息安全官委员会将负责管理这些试点项目,美国政府总务署还将更新关键的合约渠道,以匹配新版《可信互联网线路》政策。新版《可信互联网线路》政策还将推动服务于美国政府各机构的托管服务提供商加强网络安全数据的收集和管理。