查看原文
其他

​澳大利亚政府发布数字化身份框架草案

2017-11-20 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全11月18日讯 澳大利亚政府已经发布一系列文件,用于概述澳大利亚国内数字化身份信息在收集、存储与使用方面的安全性与可用性标准。

可信数字化身份框架

澳大利亚政府已经公布其可信数字化身份框架的公开草案,其中对公民数字化身份信息的管理工作作出了约定,据息其将与Govpass数字化平台配合起效。

这14份文件草案包含:

  • 可信框架结构与概述;

  • 可信框架认证流程;

  • 隐私评估;

  • 核心隐私要求;

  • 核心安全保护要求;

  • 核心用户体验要求;

  • 核心风险管理要求;

  • 核心欺诈控制要求;

  • 数字化身份证明标准;

  • 数字化身份验证证书标准;

  • 信息安全文档指南;

  • 风险管理指南。

以下只介绍其中几个要点:

“身份联动”认证机制

澳大利亚数字化转型副部长Angus Taylor(安格斯·泰勒)在本周四表示:“这套框架提出了一项面向全国的统一数字化身份管理办法。”“其中包括面向供应商的认证、隐私、安全、风险与欺诈管理要求,同时亦提出了可用性与可访问性标准。这套框架将与数字化转型机构的Govpass技术平台一道,共同经历目前的beta测试阶段。”

根据澳大利亚可信数字化身份框架结构与概述文件的说明,其中“身份联动”认证将基于可信框架,而非传统的服务水平协议(简称SLA),旨在提升更理想的透明度与规模化效果。

DTA

文件解释称,“数字化转型机构(简称DTA)将与其它各级政府机构与主要私营部门合作,负责推进澳大利亚全国各联邦政府身份生态系统(即‘身份联动’)。身份联动计划的实施与运营将由可信数字化身份框架进行指导。”

其提供了必要的结构与控制手段,为参与者提供信心,确保联动体系内所有经过认证的供应方皆已经履行认证义务,因此被认定为可信参与方。”

核心隐私要求

可信数字化身份框架核心隐私要求则概述了这套可信框架下必须履行的隐私要求,包括隐私治理; 隐私影响评估; 数据泄露响应管理; 隐私政策; 个人信息收集的相关通知; 收集与使用限制; 在收集信息前征得同意; 跨境与承包商披露; 政府身份; 访问、更正与仪表板; 个人信息质量; 隐私投诉处理; 以及信息的销毁与去识别化。

举例来说,处理此类数据的澳大利亚企业必须制定一套全面的“隐私责任”制度,涵盖整体隐私责任与审计要求; 接受年度隐私审计; 向澳大利亚信号局(简称ASD)、可信框架认证机构以及澳大利亚信息专员办公室(简称OAIC)报告因“严重”数据泄露事故而受到影响的个人; 建立政策以概述是否以及向哪些海外方披露信息; 发布年度透明度报告; 并通过仪表板确保用户能够在“尚未确定的时间范围内”访问自己的元数据。

身份服务供应商亦不准在未经同意的情况下收集各类敏感信息,例如面部图像; 且此类信息一旦被用于进行个人身份验证,即应被销毁; 同时为用户提供投诉服务。

核心保护安全要求

澳大利亚可信数字化身份框架核心保护安全要求涵盖了各参与方必须向身份系统内提交的最小限制的安全控制信息。

其中具体包括网络、操作系统、数据库与内部用户访问安全; IT资产保护; 网络安全事件应对策略; 物理与环境安全; 使用经认可的加密算法、协议与模块; 安全意识保护与员工培训; 安全漏洞与威胁评估; 连续监测与事件记录; 以及事件响应管理。

文件同时补充称,“申请方必须在保护其身份服务、基础业务流程以及信息资产免受恶意软件与脚本侵害方面发挥积极作用,包括但不限于:实施控制以防止 48 31716 48 15263 0 0 2142 0 0:00:14 0:00:07 0:00:07 2841 48 31716 48 15263 0 0 1878 0 0:00:16 0:00:08 0:00:08 3118 48 31716 48 15263 0 0 1697 0 0:00:18 0:00:08 0:00:10 3426限制病毒与木马软件的扩散。”

用于支持身份服务的设备必须在物理与环境安全层面得到严格保护……用于支持身份服务的一切形式介质与存储设备必须得到控制与物理保护。”

申请方还必须设立信息技术安全经理(简称ISM)与信息技术安全官(简称ITSO); 使用具备实时警报与可用性监控能力的服务; 确保仅使用ASD认可的安全产品; 预测容量要求以避免系统过载; 同时进行年度独立评估。

数字化身份比较标准

澳大利亚可信数字化身份框架数字化身份比较标准(简称IdP)中则提出了在收集生物识别数据并使用面部图像匹配时应当遵循的标准。IdP要求利用ASD批准的加密算法对面部图像进行加密; 立即删除面部图像; 在面部验证服务(简称FVS)中使用“活性检测检查”以确保面部图像来自真实的人; 同时确保提供面部图像的人士为被检查文件的合法拥有者。要求同时补充称,“IdP不得存储利用FVS收集及匹配的面部图像或生物特征数据,或向身份交换机构或其它第三方披露面部图像内容。”

核心风险管理要求

澳大利亚可信数字化身份框架核心风险管理要求主要涵盖供应商必须承担的风险缓解责任; 可信数字化身份框架核心欺诈控制要求定义了欺诈活动的预防、检测、报告、调查以及受害者支持工作中的控制措施; 可信数字化身份框架核心用户体验要求则负责确保申请方的身份系统符合“简单易用”要求。

数字化转型Govpass技术持续部署

截至今年12月8日之前,澳大利亚政府将持续接收对这14份文件草案的反馈意见。

云服务供应商Vault Systems于上周宣布其作为Govpass数字化身份解决方案的平台选项。而就在上个月,数字化转型机构(简称DTA)则概述了Govpass的申请流程——该系统将把用户面部图像与其医疗卡、驾驶执照与出生证明进行匹配。

DTA公司的CEO Gavin Slater(盖文·斯莱特)指出,“个人信息的隐私与保护一直是DTA在数字化身份工作方面的关注重点。在为政府的个人信息存储工作建立信任方面,绝不能够接受任何妥协。”

“Vault的开放标准云一直是Govpass的完全解决方案,能够提供一定程度的安全性与主权保障,这一点对于证明政府管理机制的简单性、安全性与保障能力至关重要。”

Vault Systems、Sliced Tech与Macquarie Government也都已经通过了ASD关于存储高度保密性政府信息的认证流程。

DTA公司CDOPeter Alexander(彼特·亚历山大)在上个月向众议院财税常务委员会时指出,澳大利亚税务局、人类服务部以及澳大利亚邮政因“已经拥有大量身份数据“,因此将负责Govpass的管理工作。

Taylor则于上周表示,澳大利亚政府将投入时间逐步开发并部署Govpass,但不会选择过于躁进的方式。他表示,“我一直将正确实现数字化身份机制作为自己的最优任务之一。重要的是,一定要强调‘正确实现’。如果我们过于激进,我认为我们反而可能拖慢未来几年的数字化转型进程。”

澳大利亚联邦政府于今年5月公布了Govpass发展计划,宣称将在2017至2018财年内投入2270万澳元以完成该项发展计划的下一阶段。Govpass将提供一套可信数字化身份框架,用于帮助民众获得必要的身份证明并借此顺利以在线方式使用政府服务。这项举措还未来将有望被扩大至企业范围之内。Govpass将对接现有文件与面部验证服务,从而建立更为广泛的身份体系。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/267710245.shtml


推荐阅读:


▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存