谢宗晓 龚喜杰

1 引言

在信息安全中，访问管理（access management）在管理访问方（可能是人或其他实体）和信息资源之间的关系中起着举足轻重的作用，严格上讲，身份管理（Identity Management，IDM）1）本身也是访问管理的一部分。访问管理通过对客体的鉴别（authentication）与授权（authorization），从而实现对信息资源访问的控制。

在实践中，实现身份鉴别（identity authentication）和实体鉴别（entity authentication）的身份管理系统（Identity Management System，IMS）往往被作为独立的功能处理，因此，加上访问管理系统（Access Management System，AMS），身份管理和访问管理经常被一起合称为身份与访问管理（Identity and Access Management，IAM）。

身份管理系统（IMS）与访问管理系统（AMS）的关系，在ISO/IEC 29146：2016中的描述如图1所示。在已经发布的国际标准中，与IAM相关的国际标准如表1所示。

2 关于身份管理的ISO/IEC 24760

如表1所述，ISO/IEC 24760共有3个部分，关注的是身份管理，所以与隐私（privacy）管理联系

紧密。在描述与其他标准之间关系的时候，提出为一系列相关标准提供了应用基础，尤其强调了隐私相关标准，具体如表2所示。

ISO/IEC 24760-1有最新发布的2019版，之前有2011版。该标准不仅定义了身份管理的相关术语，还定义了身份、身份管理以及他们之间相互关系的核心概念。ISO/IEC 24760-1引用了ITU-T X.1252（Baseline identity management terms and definitions，身份管理术语与定义基线）。截至2019年7月，ITU-T已经发布了13个关于身份管理的系列标准，编号从X.1250至X.12793）。

ISO/IEC 24760-2最新版本发布于2015年，其定义了一个身份管理系统的参考框架，同时也给出了该框架部署与运维的要求。在该标准中，架构的设计基于ISO/IEC/IEEE 42010《系统与软件工程 架构描述》（Systems and software engineering — Architecture description），所以是一個很理论化的框架，架构要包括：利益相关者、角色、视图、模型、组件、过程和信息流与行动。ISO/IEC 24760-2：2015正文共有6章，前4章为固定内容的章节，第5章即描述了上述参考框架，第6章给出了身份信息管理的要求。此外，还包括了4个资料性附录。

ISO/IEC 24760-3的最新版本于2016年发布，其为身份信息管理以及身份管理系统与ISO/IEC 24760-1和ISO/IEC 24760-2符合性提供了指引。ISO/IEC 24760-3的前4章也是固定内容的章节，第5章先描述了风险评估，因为身份管理系统不但要管理身份信息的错误风险，而且要保障其中存储、处理以及传输信息的机密性、完整性和可用性。考虑到后续还有控制等章节，这个逻辑与ISO/IEC 27002等标准保持了顺序一致。第6章为身份信息与标识符，第7章为身份信息使用审计，第8章为控制目标与控制，沿用ISO/IEC 27002的方式，第8章的描述分为控制、应用指南和其他信息。最后，该标准包含了2个规范性附录。

3 关于访问管理的ISO/IEC 29146

ISO/IEC 29146最新版本发布于2016年，该标准定义并建立了一个访问管理的框架，不仅如此，还提供了相关架构、组间和管理函数的解释。

ISO/IEC 29146： 2016正文共有8章、1个资料性附录。前4章为通用固定内容的章节，第5章为概念，第6章为参考框架，第7章为额外要求与关注，第8章为实践。对比上文的讨论，ISO/IEC 29146： 2016相当于一个整合版本的ISO/IEC 24760，只是不再分成不同部分而已。但是ISO/IEC 29146中对于参考架构的描述不再与ISO/IEC/IEEE 42010保持一致，而是给了一个比较简单明了的图示（见图2）。

第7章，首先指出对管理信息（administrative information）的访问应该严格，然后列举了现有的访问控制模型及其策略，附录A中又详细介绍了这些模型，IBAC、RBAC、ABAC、CBAC和PBAC，最后讨论了法律法规要求，类似的内容，在ISO/IEC 24760中放到了ISO/IEC 24760-2的附录A中。

第8章（实践）的标题与ISO/IEC 24760-3一致，其中描述方式也是沿用ISO/IEC 27002。虽然只有一章的内容，此处也是从识别威胁、脆弱性等风险要素开始讨论。也就是说，无论ISO/IEC 29146还是ISO/IEC 24760，都考虑了整体的风险管理框架。限于篇幅，此处不再分析其中具体控制的异同点。

4 关于实体鉴别保证的ISO/IEC 29115

ISO/IEC 29115的有效版本发布于2013年，新版标准的研发已经到了工作草案（Work Draft，WD）阶段。ISO/IEC 29115与ITU-T X.1254也比较类似，但是存在一定差异，该标准给出了一个实体鉴别的保障框架（Entity Authentication Assurance Framework，EAAF），这其中包括了所有技术的、管理的以及流程的控制。其中对于阶段和控制的分类还是比较清晰的。例如，图3所示的框架示意图。

ISO/IEC 29115：2013包含10章正文、2个资料性附录。前4章为通用内容章节，第5章又强调了应（shall）、宜（should）、可（may）和能（can）在标准中的用法4），第6章描述了4个不同的保障层次，第7章描述了其中涉及的角色，第8章是阶段与技术方面的讨论，第9章则是管理与组织方面的讨论，第8章和第9章与图3一一对应。第10章描述了各个阶段可能所面临的威胁。由于涉及凭证等身份管理的内容，因此附录A为隐私保护，此外，凭证管理在附录B中有介绍，例如，凭证的分类等。

5 小结

本文主要介绍了身份与访问管理相关的国际标准，主要包括，关于身份管理的ISO/IEC24760，关于访问管理的ISO/IEC29146，以及关于鉴别保证的ISO/IEC29115。关于凭证的相关介绍，可以参考文献[1]，其中也介绍了关于鉴别模式的标准，ISO/IEC9798系列包含了6个部分。在本文中讨论的标准多以框架为主，而在文献[1] 中，则偏重具体的控制。

参考文献

[1] 谢宗晓， 董坤祥， 甄杰. 身份与访问管理（IAM）相关控制浅析[J]. 中国质量与标准导报，2019（6）：22-25.