政府的身份证明计划
Posted: Sun Dec 15, 2024 5:18 am
在这个大规模数据泄露和猛烈网络攻击的时代,我们的个人信息已变得越来越不私密。
我们曾经视为神圣的个人信息——社会安全号码、地址和驾驶执照号码——现在却可以在互联网上被任何人随意利用。根据 Javelin Strategy & Research 的数据,仅在 2016 年,美国就有 1540 万人成为身份欺诈的受害者——比前一年增加了 1310 万人。
诈骗者滥用的数据正是受害者在接受商品和服务之前向联邦机构、医疗保健提供者和其他实体核实身份时所依赖的信息。那么机构可以做些什么来正确识别人员并确保他们的身份与他们所说的一致呢?答案就是身份验证。
美国国家标准与技术研究院 (NIST) 将身份验证定义为“确定个人身份的唯一性和有效性,以便提供权利或服务的一种手段”。正确的身份验证包括验证身份证件、个人资料信息、生物特征信息以及个人相关信息或事件的知识。
为了更好地了解政府身份验证的现状、面临的挑战以及正在采取的措施,GovLoop 最近与来自不同组织的政府和行业专家举行了一次圆桌讨论,其中包括 NIST、国土安全部和 Experian,后者专门从事所有市场的身份管理和欺诈检测。
身份验证为何如此重要
国土安全部网络安全和通信办公室处长迈克尔·达菲首先解释了身份验证的目的。作为代表美国人民和联邦用户运营政府 IT 安全系统的机构,国土安全部需要了解谁在与政府互动并使用其网络。
国土安全部还希望确保与政府网络互动的任何人都确信他们实际上是在与美国政府互动,而不是与邪恶势力互动。所有机构都是如此。
NIST 高级标准和技术顾问 Paul Grassi 表示:“我们希望能够在正确的时间为正确的人提供正确的服务。”
政府在身份证明方面采取了哪些措施
Grassi 的机构通过其特别出版物 800-63为这些努力做出了贡献。该出版物为实 荷兰电话 施数字身份服务的联邦机构提供了技术要求。这是一件大事,因为我们所做的很多事情都是在线进行的,机构需要一种方法来确保员工、承包商和私人是他们声称的身份,并且他们有必要的凭证来证明这一点。
“我们承认身份识别很难,验证也很难,但事实也确实如此,”Grassi 在谈到 NIST 出版物时说道。“我们之所以会遭遇违规,就是因为让事情变得简单。如今所做的许多验证都不符合 800-63 的规定。我们彻底颠覆了验证方式,以减轻 Equifax 和 OPM(人事管理办公室)等违规行为的发生。”
国土安全部正在开展一项政府范围的项目,以补充目前的身份证明工作。
达菲说:“我的主要目标之一是确保政府系统的用户和政府系统的政府用户确信他们发送和接收的信息是安全的。”
为了实现这一目标,国土安全部发布了一项指令,要求各机构开始实施 DMARC(基于域的消息认证、报告和一致性)。根据dmarc.org的说法,这种电子邮件认证、政策和报告协议“是一种让电子邮件发件人和收件人更容易确定某封邮件是否合法来自发件人以及如果不是该如何处理的方法” 。 “这使得识别垃圾邮件和网络钓鱼邮件变得更加容易,并将它们拒之门外。”
达菲表示,国土安全部预计这项政策需要一年时间才能在所有联邦部门和机构实施。
“从 2017 年到 2018 年,我们不希望看到大量来自 .gov [电子邮件地址] 的鱼叉式网络钓鱼攻击,”达菲说。
下一步是什么?
Experian 反欺诈和身份解决方案高级业务顾问 Keir Breitenfeld 表示,在身份验证方面,公共部门总体上领先于私营部门。
谈到 NIST 和政府部门正在开展的工作,Breitenfeld 表示,私营部门应该努力达到 NIST 800-63 标准。“[行业] 需要明白这是我们前进的方向,”他说。
对于任何必须验证和认证身份的组织来说,平衡点在于让用户体验尽可能顺畅,同时对涉及敏感数据的风险交易保留更严格的要求。
这就是为什么 Breitenfeld 建议机构在身份验证方面针对不同的用户使用不同的“工作流程”。这可能包括允许用户通过电话、亲自或通过其他虚拟方式验证身份。
“[但]你不能假设这是一个防欺诈的过程,”他说。机构必须承认欺诈会发生,并愿意分享已知的欺诈实例和案例。
他说:“如果我们能够分享更多,而又不冒声誉和责任风险,那就至关重要了。”
我们曾经视为神圣的个人信息——社会安全号码、地址和驾驶执照号码——现在却可以在互联网上被任何人随意利用。根据 Javelin Strategy & Research 的数据,仅在 2016 年,美国就有 1540 万人成为身份欺诈的受害者——比前一年增加了 1310 万人。
诈骗者滥用的数据正是受害者在接受商品和服务之前向联邦机构、医疗保健提供者和其他实体核实身份时所依赖的信息。那么机构可以做些什么来正确识别人员并确保他们的身份与他们所说的一致呢?答案就是身份验证。
美国国家标准与技术研究院 (NIST) 将身份验证定义为“确定个人身份的唯一性和有效性,以便提供权利或服务的一种手段”。正确的身份验证包括验证身份证件、个人资料信息、生物特征信息以及个人相关信息或事件的知识。
为了更好地了解政府身份验证的现状、面临的挑战以及正在采取的措施,GovLoop 最近与来自不同组织的政府和行业专家举行了一次圆桌讨论,其中包括 NIST、国土安全部和 Experian,后者专门从事所有市场的身份管理和欺诈检测。
身份验证为何如此重要
国土安全部网络安全和通信办公室处长迈克尔·达菲首先解释了身份验证的目的。作为代表美国人民和联邦用户运营政府 IT 安全系统的机构,国土安全部需要了解谁在与政府互动并使用其网络。
国土安全部还希望确保与政府网络互动的任何人都确信他们实际上是在与美国政府互动,而不是与邪恶势力互动。所有机构都是如此。
NIST 高级标准和技术顾问 Paul Grassi 表示:“我们希望能够在正确的时间为正确的人提供正确的服务。”
政府在身份证明方面采取了哪些措施
Grassi 的机构通过其特别出版物 800-63为这些努力做出了贡献。该出版物为实 荷兰电话 施数字身份服务的联邦机构提供了技术要求。这是一件大事,因为我们所做的很多事情都是在线进行的,机构需要一种方法来确保员工、承包商和私人是他们声称的身份,并且他们有必要的凭证来证明这一点。
“我们承认身份识别很难,验证也很难,但事实也确实如此,”Grassi 在谈到 NIST 出版物时说道。“我们之所以会遭遇违规,就是因为让事情变得简单。如今所做的许多验证都不符合 800-63 的规定。我们彻底颠覆了验证方式,以减轻 Equifax 和 OPM(人事管理办公室)等违规行为的发生。”
国土安全部正在开展一项政府范围的项目,以补充目前的身份证明工作。
达菲说:“我的主要目标之一是确保政府系统的用户和政府系统的政府用户确信他们发送和接收的信息是安全的。”
为了实现这一目标,国土安全部发布了一项指令,要求各机构开始实施 DMARC(基于域的消息认证、报告和一致性)。根据dmarc.org的说法,这种电子邮件认证、政策和报告协议“是一种让电子邮件发件人和收件人更容易确定某封邮件是否合法来自发件人以及如果不是该如何处理的方法” 。 “这使得识别垃圾邮件和网络钓鱼邮件变得更加容易,并将它们拒之门外。”
达菲表示,国土安全部预计这项政策需要一年时间才能在所有联邦部门和机构实施。
“从 2017 年到 2018 年,我们不希望看到大量来自 .gov [电子邮件地址] 的鱼叉式网络钓鱼攻击,”达菲说。
下一步是什么?
Experian 反欺诈和身份解决方案高级业务顾问 Keir Breitenfeld 表示,在身份验证方面,公共部门总体上领先于私营部门。
谈到 NIST 和政府部门正在开展的工作,Breitenfeld 表示,私营部门应该努力达到 NIST 800-63 标准。“[行业] 需要明白这是我们前进的方向,”他说。
对于任何必须验证和认证身份的组织来说,平衡点在于让用户体验尽可能顺畅,同时对涉及敏感数据的风险交易保留更严格的要求。
这就是为什么 Breitenfeld 建议机构在身份验证方面针对不同的用户使用不同的“工作流程”。这可能包括允许用户通过电话、亲自或通过其他虚拟方式验证身份。
“[但]你不能假设这是一个防欺诈的过程,”他说。机构必须承认欺诈会发生,并愿意分享已知的欺诈实例和案例。
他说:“如果我们能够分享更多,而又不冒声誉和责任风险,那就至关重要了。”