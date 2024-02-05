标签
掌握身份安全：FICAM 最佳实践指南

对联邦和州政府及机构而言，身份认证是构建稳健安全体系的核心。每天有大量个人向商业和公共机构提供机密个人信息，这要求政府机构必须执行严格的安全措施来保护其资产。

2021 年 5 月发布的第 14028 号行政命令强调了强化安全的需求，呼吁提升国家网络安全态势。该行政命令通过强调身份与访问管理 (IAM) 系统的现代化，突出了保护数字资产与缓解网络威胁的重要性。与此同时，联邦身份、凭证与访问管理 (FICAM) 计划在构建政府安全身份与访问管理体系方面始终发挥着关键作用。

本文将深入探讨这些原则，阐明部署 FICAM 系统的优势，并提供实施最佳实践的见解。

FICAM 定义

联邦身份、凭证与访问管理 (ICAM) 是一套全面的安全协议框架，旨在协助联邦机构管理、监控并保护对其资源的访问。FICAM 确保只有经授权的人员才能出于正当理由访问受认可的资源，从而保护组织免受未授权访问的企图。

FICAM（联邦身份、凭证与访问管理）是专为联邦实体设计的 ICAM 协议、方法论及系统的延伸框架。它使联邦机构能够规范对文件、网络、服务器及实体场所等受保护资源的访问权限。

FICAM 核心原则

ICAM 安全体系建立在三大基础支柱之上：身份、凭证与访问。以下章节将分别阐述各概念，并说明 FICAM 如何实施这些原则

身份管理

身份指定义个体的属性集合。在联邦语境中，通常涵盖机构收集的个人或生物特征信息。身份管理是通过策略编排使组织能够建立、维护及删除用户身份的过程，这对身份验证、用户账户管理及准确账户记录维护至关重要。

身份管理的核心环节是治理，它指导着 ICAM 功能与活动，包括识别安全风险与违规行为的分析工作。

凭证管理本质上是对个人身份的实质化证明。凭证管理使组织能够签发、监控、更新及撤销访问凭证，通过特定逻辑关联身份信息，这对账户注册、信息维护与资源分配不可或缺。

访问管理

访问管理确保仅授权人员可访问资源或执行特定操作。此外，访问管理原则涵盖联邦机制的运行组成部分，使机构能够接受其他实体颁发的身份、属性及凭证。这增强了系统互操作性，并促进智能访问决策。访问管理对于定义访问策略规则、确定权限以及用户认证授权具有关键作用。

FICAM 目标

FICAM 设定了五大战略目标，旨在提升政府技术体验的安全性与效能。这些目标亦致力于促进联邦法规合规、简化数字政府服务访问流程、强化安全体系，并营造可信赖、可互操作且成本可控的环境。

FICAM 架构

ICAM 细分架构阐明了组织应如何识别、认证和授权来自不同部门的个体，从而实现可信且

可互操作的资源访问。它有助于提升安全态势与效率，降低身份盗用和数据泄露风险，并加强对个人可识别信息 (PII) 的保护。

FICAM 本质上是一个面向政府机构的综合框架，聚焦于企业身份实践、策略及信息安全规范。它为 IT 系统、应用程序和网络提供了通用框架，并向读者说明了塑造 FICAM 体系的标准与政策。

多项联邦法律、政策与标准（包括 OMB 通告 A-108、OMB 19-17、第 13883 号行政命令及 NIST SP 800-63-3）共同构成了 FICAM 项目设计的架构原则基础。完整标准列表可在此处查阅。

您可借助 IBM 技术，通过以下架构示例推动 FICAM 部署：

图示架构为参考模型，用于突出 FICAM 实施的关键环节。建议采用统一的策略执行与决策点，以确保访问决策的一致性与标准化。随后可通过利用开箱即用 (OOTB) 组件，或与机构现有解决方案集成来增强安全决策能力。这些组件能通过提供多重身份验证、终端设备分析及 SIEM 工具威胁情报等功能来完善 FICAM 架构。

ICAM 和 FICAM 入门指南

为遵循政策标准并成功实施 ICAM，请参考以下准则：

避免供应商锁定

选择如 IBM Security Verify SaaS 这类供应商，其解决方案基于开放标准，能与众多合作伙伴集成，通过广泛整合实现互操作性，从而构建稳健的身份与访问管理体系。

实施多重身份验证

多重身份验证能够降低访问入侵风险，并增强对每位用户身份可信度的确认。通过采用防网络钓鱼的验证方式（如 FIDO 联盟提供的通行密钥）及经认证的产品（如 Verify SaaS），可有效提升安全防护水平。

采用自适应访问机制

自适应访问与威胁情报源结合时，能提供针对认证攻击的强效防御。这种集成不仅增强了与用户登录相关的上下文分析能力，还能根据计算得出的风险评分提供明智的访问决策建议。

评估任何“自适应”供应商时，需重点关注系统生成建议的质量。仅收集用户代理类型、地理位置、IP地址风险等“静态”上下文信息是不够的。应考虑通过评估打字速度、鼠标移动等生物特征上下文来扩展分析维度。目前多数供应商仅提供静态上下文分析，少数具备检测生物特征变化甚至识别终端设备上虚拟机存在的能力。

采用端到端基于属性的访问控制

该访问控制模式依据属性设定访问权限，使管理员能灵活制定访问策略，有效弥合安全防护、数据隐私与合规要求之间的缺口。建议将此模式与特权访问管理工具结合使用，以进一步加强最敏感身份验证信息的安全保护。

确保 API 访问安全

为增强互操作性，应采用 OAuth2 等开放标准部署 ICAM 功能。考虑实施 API 访问管理机制以保护相关资源并强化认证安全。

遵循上述准则并借助 IBM® Security Verify SaaS，组织能够提升安全态势、确保持续合规，并有效保护敏感信息。

FICAM 的优势

实施 FICAM 使联邦机构能够应对关键的安全挑战。它提供了标准化框架来降低身份盗用与数据泄露风险，促进合规性，并通过联邦互操作与 PIV 凭证兼容性连接各联邦机构，从而全面提升安全水平。

借助 IBM Security Verify 技术

运用 IBM 的身份与访问管理技术，对政府或联邦机构实施联邦身份、凭证与访问管理 (FICAM) 计划具有关键作用。IBM 解决方案经过精心设计，可与现有基础设施无缝集成，使机构无需对当前系统进行大规模改造即可提升安全防护。这种互操作性至关重要——它能在不影响运营的前提下增强安全措施，尤其适用于普遍运行多种传统系统的政务环境。此外，IBM 技术能有效支持 OAuth 与 FIDO2 等现代协议，帮助机构在多样且不断演变的数字环境中维持高安全性、用户友好的访问体验，并确保数据完整性与机密性。

值得强调的是，IBM 解决方案为传统环境提供了广泛支持，这对仍依赖老旧技术的机构具有重要价值。这使得机构能够在继续使用现有系统的同时，享受先进的安全与合规功能，实现平衡且适应性强的安全策略。此外，IBM 技术对个人身份验证 (PIV) 凭证与通用访问卡 (CAC) 凭证的全面支持，在联邦领域发挥着至关重要的作用。它既保障了对敏感信息与系统的安全可靠访问，又赋予机构精细的访问控制能力，从而有效防范未授权访问与潜在安全漏洞。

本质上，IBM 身份与访问管理技术提供了多层面且适应性强的安全解决方案。它使政府机构能够在多元技术生态中，强化安全态势、保护敏感资产、遵循不断演进的安全标准，同时维持运营效率与用户便利性。
