NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
为了限制不必要的身份重新验证,特别是非PIV用户的身份验证,组织接受由其他机构或组织以相应保障级别进行的验证。身份验证应符合组织的安全政策以及适用于所访问的系统、应用程序或信息的身份保障级别。接受经外部验证的身份是跨机构和组织管理联合身份的基本组成部分。
仅接受符合NIST标准的外部认证器,适用于可公开访问的组织系统(例如面向公众的网站)。外部认证器由非联邦政府实体颁发,并符合[SP 800-63B]标准。经批准的外部认证器符合或超出联邦政府整体的最低技术、安全、隐私和组织成熟度要求。达到或超过联邦要求使依赖联邦政府的方可以在指定的验证者保证级别下,信任与身份验证交易相关的外部验证者。
接受符合个人身份验证(PIV)要求的凭证适用于实施逻辑访问控制和物理访问控制系统的组织。符合PIV要求的凭证是指联邦机构颁发的、符合FIPS出版物201及其支持性指导文件的凭证。PIV卡发行机构的充分性和可靠性通过[SP 800-79-2]授权。接受符合PIV要求的凭证包括派生的PIV凭证,其使用方法在[SP 800-166]中有所说明。美国国防部通用访问卡(CAC)是PIV凭证的一个例子。
接受来自其他联邦机构的个人身份验证(PIV)凭证适用于逻辑和物理访问控制系统。PIV 凭证是指由联邦机构颁发、符合 FIPS 第 201 号出版物及其支持性指南的凭证。PIV 卡发行机构的适当性和可靠性通过 [SP 800-79-2] 进行评估和授权。
PIV-I 凭证的接受可以由 PIV、PIV-I 以及其他商业或外部身份提供者实现。个人身份验证(PIV)I 合规凭证的接受和验证适用于逻辑访问控制系统和物理访问控制系统。PIV-I 凭证的接受和验证涉及那些希望与美国政府 PIV 系统互操作并且能够被依赖于联邦政府的各方信任的非联邦身份证发行机构。联邦桥认证机构 (FBCA) 的 X.509 证书政策涵盖了 PIV-I 要求。PIV-I 卡与所引用参考文献中定义的 PIV 证书相一致。PIV-I 证书是由 PIV-I 提供者颁发的证书,其 PIV-I 证书策略映射到联邦桥 PIV-I 证书策略。PIV-I 提供者已与 FBCA(直接或通过其他 PKI 桥)进行交叉认证,其策略已被映射并批准为符合 FBCA 证书策略中定义的 PIV-I 策略要求。
如果通过重放之前的身份验证消息无法实现成功的身份验证,则身份验证过程可以抵抗重放攻击。防重放技术包括使用随机数或挑战的协议,例如时间同步或加密认证器。
在多因素认证中,要求使用与用户尝试访问的系统分离的设备作为其中一个因素的目的是减少系统上存储的身份验证器或凭据被泄露的可能性。攻击者可能会破坏这些身份验证器或凭据,从而冒充授权用户。在单独的设备上(例如硬件令牌)实施其中一个因素,可以提供更强的安全机制,并在身份验证过程中增加信任程度。
对手可能会破坏组织使用的个人身份验证机制,并随后尝试冒充合法用户。为了应对这一威胁,组织可能会采用特定的技术或机制,并制定协议来评估可疑行为。可疑行为可能包括访问个人通常不需要在其职务、角色或责任范围内访问的信息;访问量超过个人日常访问的数量;或尝试从可疑的网络地址访问信息。当预先设定的条件或触发事件发生时,组织可以要求个人提供额外的身份验证信息。自适应身份验证的另一个潜在用途是根据访问记录的数量或类型增加验证机制的强度。自适应身份验证不能取代多因素身份验证,也不是用来避免使用多因素身份验证机制,但可以增强多因素身份验证的实现。
为了让对手在身份验证过程中更难冒充合法用户,组织可以使用带外方法来确保与注册记录中的地址关联的个人与参与注册的个人是同一人。确认可以采取临时注册代码或验证通知的形式。这些文物的收货地址是从记录中获取的,而不是用户自行提供的。地址可以包括实体地址或数字地址。家庭住址是实体地址的一个例子。电子邮件地址和电话号码是数字地址的例子。
对于IA-2、IA-3、IA-8和IA-9中涵盖的每个实体,重要的是要在中央(受保护的)存储中持续维护每个已认证实体的属性。
系统的身份验证反馈不会提供允许未授权人员破坏身份验证机制的信息。对于某些类型的系统,例如具有相对较大显示器的台式机或笔记本电脑,这种威胁(称为肩窥)可能是显著的。对于其他类型的系统,例如具有小显示屏的移动设备,威胁可能不那么严重,并且需要权衡由于小键盘导致的输入错误的可能性增加。因此,隐藏身份验证反馈的方式会相应地进行选择。隐藏身份验证反馈包括在用户在输入设备上输入密码时显示星号,或者在短时间内显示反馈后再将其隐藏。
认证器包括密码、加密设备、生物特征、证书、一次性密码设备和身份证件。设备认证器包括证书和密码。初始认证器内容是认证器的实际内容(例如初始密码)。相比之下,认证器内容的要求包含特定的标准或特性(例如密码的最小长度)。开发人员可能会提供带有出厂默认身份验证凭据(即密码)的系统组件,以便进行初始安装和配置。默认身份验证凭据通常众所周知,容易被发现,且存在重大风险。保护个人身份验证器的要求可以通过控制措施 PL-4 或 PS-6 来实施,对于个人持有的身份验证器适用;对于存储在组织系统中的身份验证器,包括以哈希或加密格式存储的密码或可通过管理员权限访问的包含加密或哈希密码的文件,则通过控制措施 AC-3、AC-6 和 SC-28 来实施。系统通过组织定义的设置和对各种身份验证器特性的限制来支持身份验证器管理(例如,最低密码长度、时间同步一次性令牌的验证时间窗口,以及生物识别认证验证阶段允许的拒绝次数)。可以采取措施来保护个人认证器,包括保持对认证器的持有、不与他人分享认证器,以及在认证器丢失、被盗或泄露时立即报告。认证器管理包括在不再需要时为临时访问发放和撤销认证器。
与基于密码的认证不同,密码认证提供用户输入的密码与存储密码的精确匹配,生物识别认证则不提供精确匹配。根据生物识别类型和采集机制的不同,呈现的生物识别信息与作为比较基础的存储生物识别信息之间可能存在一定的差异。匹配性能是指生物识别算法正确匹配真实用户并拒绝其他用户的比率。生物识别性能要求包括匹配率,它反映了系统所使用的生物识别匹配算法的准确性。
在系统组件交付和安装之前更改认证器,将系统在安装时要求组织更改默认认证器的要求进一步扩展,要求开发人员和/或安装人员在交付和/或安装之前为系统组件提供唯一认证器或更改默认认证器。然而,它通常不适用于商业现成信息技术产品的开发者。在组织采购系统或系统组件时,采购文件中可以包含对独特认证器的要求。
跨组织标识管理提供了在进行涉及信息处理、存储或传输的跨组织活动时识别个人、群体、角色或设备的能力。
本地连接是指与设备的连接,该设备在不使用网络的情况下进行通信。网络连接是指与设备的连接,该设备通过网络进行通信。远程连接是指与设备的连接,该设备通过外部网络进行通信。双向认证为更高风险的连接提供更强的保护,以验证其他设备的身份。
在加密模块中,可能需要身份验证机制来验证访问该模块的操作员,并确认该操作员有权承担所请求的角色并执行该角色内的服务。
设备认证是指根据设备的配置和已知操作状态对设备进行识别和验证。设备认证可以通过设备的加密哈希来确定。如果设备证明是识别和认证的手段,那么通过配置管理流程处理设备的补丁和更新非常重要,以确保补丁和更新的执行是安全的,并且不会干扰对其他设备的识别和认证。
需要唯一设备到设备识别和认证的设备按类型、设备或类型与设备的组合进行定义。组织定义的设备类型包括不属于组织的设备。系统使用共享的已知信息(例如用于设备识别或组织认证解决方案(例如,电气与电子工程师协会(IEEE)802标准)的介质访问控制[MAC]、传输控制协议/互联网协议[TCP/IP]地址1x 和可扩展认证协议 [EAP],具有 EAP-传输层安全性 [TLS] 认证的 RADIUS 服务器,Kerberos) 用于识别和认证局域网和广域网中的设备。组织根据系统的安全类别及任务或业务需求确定所需的认证机制强度。由于在大规模实施设备认证时存在挑战,组织可以根据任务或业务需求,将该控制的应用限制在有限数量或类型的设备上。
联合身份解决方案可能会由于对个人的跟踪和分析而带来更高的隐私风险。使用标识映射表或加密技术让凭证服务提供者和受信方相互隔离,或使身份属性对传输方的可见性降低,可以减少这些隐私风险。
动态主机配置协议(DHCP)是客户端可以动态接收网络地址分配的一种方式的例子。
身份验证需要在身份与用于确认身份的认证器之间建立某种形式的绑定。在传统方法中,绑定是通过预先将身份和认证器提供给系统来建立的。例如,用户名(即身份)和密码(即认证器)之间的绑定。通过在系统中将身份和认证器作为一对进行配置,可以完成身份验证。新的认证技术允许在系统外实现身份与认证器之间的绑定。例如,对于智能卡凭证,身份和认证器在智能卡上绑定在一起。使用这些凭证,系统可以对尚未预先配置的身份进行身份验证,并在验证后动态地配置身份。在这些情况下,组织可以预期身份的动态配置。与适当的权威机构建立的预先信任关系和验证身份及相关凭证的机制是必不可少的。
与假设已预注册用户账户为静态的传统识别方法相比,许多分布式系统在运行时为之前未知的实体建立标识符。当在运行时为之前未知的实体建立标识符时,组织可以预见并为标识符的动态建立做好准备。与相关机构建立预先设定的信任关系和机制,以验证凭证和相关标识,是至关重要的。
缓存的身份验证器用于在网络不可用时对本地计算机进行身份验证。如果缓存的身份验证信息已过时,则身份验证信息的有效性可能存在疑问。
联合认证为组织在进行涉及信息处理、存储或传输的跨组织活动时,提供了对个人和设备进行身份验证的能力。使用特定的经过批准的外部组织列表进行身份验证,有助于确保这些组织经过审查并值得信赖。
经美国总务管理局(GSA)批准的产品和服务是指通过 GSA 合规计划(如适用)批准,并列入 GSA 批准产品清单的产品和服务。GSA 为团队提供指导,帮助他们设计和构建符合联邦身份、凭证和访问管理(FICAM)政策、技术和实施模式的功能性和安全系统。
非组织用户包括除 IA-2 明确涵盖的组织用户之外的系统用户。非组织用户在进行 AC-14 中明确标识和记录之外的访问时,会被唯一识别并进行身份验证。可能需要对访问联邦系统的非组织用户进行身份识别和身份验证,以保护联邦、专有或与隐私相关的信息(国家安全系统除外)。在平衡确保访问联邦信息和系统的便捷性与保护和充分减轻风险的需求时,组织会考虑许多因素,包括安全性、隐私性、可扩展性和实用性。
组织可以通过遵守《国家安全与个人身份验证政策第12号》(HSPD 12)的要求来满足身份识别和认证要求。组织用户包括员工或组织认为具有与员工相当地位的个人(例如,承包商和访问研究人员)。用户的唯一身份识别和认证适用于除 AC-14 明确规定的访问之外的所有访问,以及通过授权使用组认证器而无需个人认证的访问。由于进程是以组和角色的名义执行的,组织可能需要对组账户中的个人进行唯一标识,或者对个人活动进行详细的问责。组织使用密码、物理认证器或生物识别技术来验证用户身份,或者在多因素认证的情况下,使用上述方法的某种组合。对组织系统的访问被定义为本地访问或网络访问。本地访问是指用户或代表用户操作的进程对组织系统的任何访问,其中访问是通过直接连接而非使用网络获得的。网络访问是指用户(或代表用户操作的进程)通过网络连接(即非本地访问)访问组织系统的行为。远程访问是一种网络访问类型,涉及通过外部网络进行通信。内部网络包括局域网和广域网。在组织控制的端点与非组织控制的端点之间进行网络连接时使用加密的虚拟专用网络,可能被视为内部网络,以保护在网络中传输信息的机密性和完整性。非组织用户的身份识别和认证要求在 IA-8 中有描述。
常见的设备标识符包括媒体访问控制(MAC)地址、互联网协议(IP)地址或设备唯一的令牌标识符。个别标识符的管理不适用于共享系统账户。通常,个别标识符是分配给个人的系统账户的用户名。在这种情况下,AC-2 的账户管理活动使用 IA-4 提供的账户名称。标识符管理还涉及未必与系统账户关联的个人标识符。防止标识符重复使用意味着要防止将先前使用过的个人、组、角色、服务或设备标识符分配给不同的个人、组、角色、服务或设备。
识别个人身份的特征包括承包商、外国公民和非组织用户。通过这些特征识别个人身份可以提供关于组织人员正在交流的人的额外信息。例如,对于政府员工来说,了解电子邮件中的某个人是承包商可能会很有用。
身份凭证,例如文档证据或文档与生物识别的组合,可以减少个人使用虚假身份来建立身份的可能性,或者至少增加潜在对手的工作难度。可接受的证据形式应与系统、角色及用户账户相关权限的风险相一致。
身份凭证的验证和核实增加了对帐户和标识符正在为正确用户建立,并且认证器正被绑定到该用户的信心。验证是指确认凭证是真实且有效的过程,并且凭证中包含的数据是正确的、最新的,并且与某个个人相关。验证确认并建立所声称身份与提供证据的用户实际存在之间的联系。验证和确认身份证据的可接受方法应与用户账户所关联的系统、角色和权限的风险保持一致。
身份验证是收集、验证和确认用户身份信息的过程,其目的是建立访问系统所需的凭证。身份验证旨在减轻用户注册和账户建立过程中的威胁。规定身份验证身份保障级别的标准和指南包括 [SP 800-63-3] 和 [SP 800-63A]。组织可能需要遵守涉及收集身份证据的法律、行政命令、指令、法规或政策。组织人员会就此类要求咨询高级机构隐私官员和法律顾问。
亲自或通过可信的外部方发放认证器可以增强和强化身份验证过程的可信度。
面对面核实可以减少欺诈性证件的发放,因为它要求个人亲自到场,提供实体身份证件,并与指定注册机构进行实际的面对面交流。
在进行共享组身份验证之前进行个人身份验证,可以降低使用组账户或认证器的风险。
一种适用于整个组织的公钥基础设施(PKI)信任存储内容管理方法,有助于提高整个组织基于PKI的身份验证凭据的准确性和时效性。
多因素身份验证需要使用两个或多个不同的因素来完成身份验证。身份验证因素定义如下:你知道的东西(例如,个人识别码 [PIN])、你拥有的东西(例如,物理认证器,如加密私钥)、或者你自身的特征(例如,生物特征)。具有物理认证器的多因素认证解决方案包括提供基于时间或质询-响应输出的硬件认证器,以及智能卡,如美国政府个人身份验证卡(Personal Identity Verification card)或国防部通用访问卡(DoD Common Access Card)。除了在系统级别对用户进行身份验证外,组织还可以根据需要在应用程序级别采用身份验证机制,以增强信息安全性。无论访问类型(即本地、网络、远程)如何,非特权账户都会使用适合风险级别的多因素选项进行身份验证。组织可以为特定类型的访问提供额外的安全措施,例如额外的或更严格的身份验证机制。
多因素身份验证需要使用两个或多个不同的因素来完成身份验证。身份验证因素定义如下:你知道的东西(例如,个人识别码 [PIN])、你拥有的东西(例如,物理认证器,如加密私钥)、或者你自身的特征(例如,生物特征)。具备物理身份验证器的多因素身份验证解决方案包括提供基于时间或质询-响应输出的硬件身份验证器以及智能卡,例如美国政府个人身份验证(PIV)卡或国防部(DoD)通用访问卡。此外,这些解决方案还可用于在系统级别(即在登录时,组织可以自行决定在应用程序层面使用认证机制,以提供更高的安全性。无论访问类型(即本地、网络、远程)如何,高权限账户都使用适合风险级别的多因素认证选项进行身份验证。组织可以为特定类型的访问添加额外的安全措施,例如额外的或更严格的身份验证机制。
当个人在多个系统上拥有账户并使用相同的身份验证方式(如密码)时,如果其中一个账户被入侵,可能会导致其他账户也被入侵。替代方法包括在所有系统上使用不同的身份验证方式(密码)、采用单点登录或联合身份验证机制,或在所有系统上使用某种形式的一次性密码。组织还可以使用行为规则(参见 PL-4)和访问协议(参见 PS-6)来降低多个系统账户带来的风险。
除了应用程序之外,其他形式的静态存储还包括访问脚本和功能键。组织在确定嵌入式或存储的认证器是加密还是未加密形式时会格外谨慎。如果认证器以存储的方式使用,那么这些表示就被视为未加密的认证器。
带外认证是指使用两条独立的通信路径来识别和验证用户或设备对信息系统的身份。第一条路径(即带内路径)用于识别和验证用户或设备,通常也是信息流通的路径。第二条路径(即,使用带外路径) 用于独立验证身份验证和/或所请求的操作。例如,用户通过笔记本电脑对其希望访问的远程服务器进行身份验证,并通过该通信路径请求服务器执行某些操作。随后,服务器通过用户的手机联系用户,以验证所请求的操作确实是由用户发起的。用户可以通过电话向个人确认预期的操作,或通过电话提供身份验证代码。可以使用带外身份验证来减轻实际或可疑的“中间人”攻击。启动的条件或标准包括可疑活动、新的威胁指标、升级的威胁等级,或所请求交易中信息的影响或分类级别。
成对的假名标识符是一种由身份提供者生成的、不透明且不可猜测的订阅者标识符,用于特定的个别依赖方。生成不包含订阅者任何识别信息的不同成对假名标识符可以防止对订阅者的活动跟踪和分析,从而超出组织设定的操作需求。成对的化名标识符对于每个依赖方都是唯一的,除非在依赖方能够证明存在合理的关系以证明相关性的操作需求,或者所有方都同意以这种方式进行关联的情况下。
基于密码的身份验证适用于所有密码,无论它们是在单因素还是多因素身份验证中使用。长密码或密码短语优于较短的密码。强制的组成规则提供的安全性提升有限,同时会降低可用性。然而,组织可能会选择为密码生成制定某些规则(例如)。在某些情况下(例如长密码的最小字符长度),可以执行此要求,并可在 IA-5(1)(h) 中强制执行。例如,当密码被遗忘时,可以进行账户恢复。经过加密保护的密码包括带盐的一次性加密哈希密码。常用的、易被攻破的或预期的密码列表包括从以前泄露的数据集中获取的密码、字典词汇以及重复或连续的字符。该列表还包括特定于上下文的词汇,例如服务名称、用户名及其衍生词。
对于使用静态密码的系统来说,确保密码足够复杂并且不同系统不使用相同密码通常是一个挑战。密码管理器可以解决这个问题,因为它会自动为不同账户生成并存储强密码。使用密码管理器的一个潜在风险是对手可能会针对由密码管理器生成的密码集合进行攻击。因此,密码集合需要受到保护,包括对密码进行加密(参见 IA-5(1)(d))并将集合离线存储在令牌中。
身份识别和认证政策与程序涉及在系统和组织中实施的IA系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定身份识别和认证政策及程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策和程序是更可取的,并且可能不需要针对具体任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致身份识别和认证政策及程序更新的事件包括评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。
生物特征不构成秘密。这些特征可以通过在线网页访问获得,使用手机相机拍摄他人的照片以获取其面部图像(无论其是否知情),或者从他人接触过的物品上获取(例如,潜在指纹),或者捕捉高分辨率图像(例如,虹膜图案)。包括活体检测在内的展示攻击检测技术,可以通过使伪造用于欺骗生物识别传感器的物品变得困难,从而降低此类攻击的风险。
禁止将账户标识作为公共标识适用于任何用于通信的公开账户标识,例如电子邮件和即时消息。禁止使用与某些公共标识相同的系统账户标识,例如电子邮件地址中的个人标识部分,可以使对手更难猜测用户标识。仅禁止将账户标识符作为公共标识符而不实施其他辅助控制措施,只会使猜测标识符变得更加复杂。还需要对身份验证器和凭证进行额外保护,以保护账户安全。
对于包含多种安全类别信息且各类别之间缺乏可靠物理或逻辑隔离的系统,用于授予系统访问权限的认证器应按照系统上信息的最高安全类别进行保护。信息的安全类别是在安全分类过程中确定的。
公钥加密是个人、机器和设备的有效身份验证机制。对于 PKI 解决方案,证书路径的状态信息包括证书撤销列表或证书状态协议响应。对于PIV卡,证书验证涉及构建和验证到通用策略根信任锚的证书路径,其中包括证书策略处理。实现撤销数据的本地缓存以支持路径发现和验证,也有助于在组织无法通过网络访问撤销信息的情况下保持系统可用性。
除了与设备锁相关的重新认证要求外,组织还可能在某些情况下要求对个人进行重新认证,包括在角色、认证器或凭证发生变化时,系统的安全类别发生变化时,执行特权功能时,经过固定时间段后,或定期进行时。
可能需要身份识别和认证的服务包括使用数字证书的网络应用程序,或查询数据库的服务或应用程序。系统服务和应用程序的身份识别与认证方法包括信息或代码签名、来源图以及表明服务来源的电子签名。关于身份识别和认证声明有效性的决定可以由与执行这些决定的服务分开的服务来做。这种情况可能出现在分布式系统架构中。在这种情况下,作出身份识别和认证的决定(而不是实际的标识符和认证数据)会提供给需要据此决定采取行动的服务。
单点登录使用户只需登录一次即可访问多个系统资源。组织会权衡单点登录功能所带来的操作效率与通过一次身份验证访问多个系统所引入的风险。单点登录可以提供提高系统安全性的机会,例如,通过为可能无法原生支持多因素身份验证的现有和新应用程序及系统添加多因素身份验证的能力。
将主管或赞助人的授权作为注册流程的一部分,可以提供额外的审查,以确保用户的管理链知晓该账户,该账户对于执行组织的任务和职能是必不可少的,并且用户的权限适合其在组织中预期的职责和权限。
各组织根据开放身份管理标准定义身份管理的配置文件。为了确保开放身份管理标准在文档中所述的可行性、健壮性、可靠性、可持续性和互操作性,联邦政府会根据适用的法律、行政命令、指令、政策、法规、标准和指南对这些标准和技术实现进行评估和范围界定。