代码改变世界

美国网络空间安全体系(8):美国网络欺诈和身份盗用威胁应对措施

2020-05-04 21:50  微言晓意  阅读(518)  评论(0编辑  收藏  举报

据统计,2010年美国有810万人遭受身份盗用或网络欺诈,造成370亿美元损失;美国金融机构每周会遭受16次网络“钓鱼”攻击,每年造成240-940万美元损失。2011年美国共发生314246件投诉案例,较2010年的303809件增加3.4%,损失金额月4.8亿美元。
网络账户缺乏互用性给用户带来不便和隐患,用户和服务提供者之间难以进行双向认证,又增加了在线服务的难度。统一的网络认证账户会提供更加安全、更加充分的隐私保护,并能够在各类业务中使用。

自2004年以来,可信任的网络身份由美国国家政策上升到国家战略,由基于互联网的分布式身份管理服务体系上升到可信网络身份生态系统,由小布什政府时期的网络身份管理规划,到奥巴马政府时期的到发扬被赋予制度地位,已成为美国引领全球进行网络身份管理的政策标杆。

阶段一:适用于联邦政府的身份管理标准策略

2004年8月,美国出台了国土安全第12号总统令(HSPD-12),为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略,该总统令有79个政府部门参与执行。

为配合该法令的实施,美国美国国家标准学会(ANSI)成立了防止身份盗窃与身份治理标准组,NIST同时发布了《联邦个人识别认证系统的最小化要求描述》。

阶段二:身份管理范围及扩大至更多的政府部门和企业

2009年1月21日,美国白宫发布《透明与开发政府备忘录》,宣布在政府网站提供更多的互动式资源,吸引用户积极参与政府决策过程的直接互动,以便增强政府网站和用户间的互动性。

截至2009年9月9日,十多家高新科技企业宣布支持奥巴马政府的初步试验计划,承担基于OpenID、Information Card等数字身份技术的数字身份识别服务,简化用户使用政府网站的注册过程。

2010年3月3日,多家美国信息技术企业宣布联合成立开发身份交换组织(Open Identity Exchange,OIX),旨在向公共身份服务系统、私有身份服务系统提供数字身份凭证互换的信任机制。

阶段三:身份管理范围推广到整个网络空间

美国总统奥巴马在《网络空间政策评估》报告中呼吁“建立更加安全、可信赖的在线环境”。他指出:安全的网络空间对美国经济的健康发展至关重要,提高在线身份信用水平是预防和减少在线欺诈和身份盗窃的关键步骤。

2011年1月5日,美国白宫正式发布美国国家网络空间可信身份国家战略(NSTIC),将美国网络身份管理由国家政策时期转型到国家战略时期,并完成了由基于互联网的分布式身份管理服务体系向国家可信网络身份生态系统的战略跃升,提出在全美构建一个由身份服务供应商和依赖方共同组成的互通共用的网络可信网络身份生态系统。
NSTIC将战略的实施部门由原来的美国DoD改为DoC,责成美国NIST牵头负责可信身份战略的部署和实施工作。

根据2012财年预算法案,美国联邦政府计划出资2450万美元,在DoC成立身份生态系统指导工作组,具体负责部署实施国家可信网络身份生态系统。

2012年9月,NIST宣布拨款900万美元,用以支持启动五个身份生态系统试点项目,开发并测试用于在线互动环节的身份强认证技术和隐私保护技术。

在DoC身份生态指导工作组指导下,NIST成立了可信身份生态系统NPO,具体负责全美可信身份生态系统组织架构的建设工作。