让我们迈入数字时代！更新的《数字身份指南》现已发布！

今天是个重要的日子！《数字身份指南》第四版终于正式发布……这是一段令人兴奋的旅程，NIST很荣幸能参与其中。

我们可以期待什么？

作为近四年协作过程的成果——包括基础研究、两次公开草案以及来自公众的大约6000条独立意见——特别出版物800-63《数字身份指南》的第四版，旨在应对自2017年该系列上次重大修订以来不断变化的数字环境。

第四版中提出的指南阐述了满足身份证明、认证和联邦的数字身份保证级别的过程和技术要求——包括安全和隐私要求，以及对改进数字身份解决方案和技术的客户体验的考量。该指南还将身份管理确立为一个跨职能过程，涉及代表网络安全、隐私、可用性、项目完整性、任务和业务部门以及其他专业领域的专业人士。

第四版中的身份风险管理已继续演变为一项更能有效满足组织及其服务对象需求的“团队运动”。

第四版还包括许多实质性的内容变更，例如：

• 更新了风险管理的背景设定，重构了风险管理流程，并对加强跨职能参与提出了新的期望。
• 新的推荐持续评估指标。
• 扩展了针对身份证明流程的欺诈要求和推荐措施。
• 重构了身份证明控制措施，以更好地定义身份证明的角色和类型。
• 增加了针对注入攻击和伪造媒体（例如“深度伪造”）的控制措施。
• 集成了可同步的认证器（例如，同步的通行密钥）。
• 在联邦模型中体现了用户控制的钱包概念。
• 还有……对于那些正在寻找此内容的人（我们知道你们的存在），文件中还包含了对密码组成和更换期望的更改。

所有这些变更都代表了NIST SP 800-63第3版的广泛更新——大量借鉴了现实世界的经验教训和创新。

这些指南最终旨在通过提供一个理解在线风险和控制措施的框架，来使数字世界的导航更加安全和便捷，从而更好地保护我们关键的网络服务。

我们未来将走向何方？

我们的旅程当然不会随着第四版的发布而结束。

与之前的修订版一样，实施资源已在开发中，我们正在探索诸如机器可读的符合性标准和数字身份风险管理工具等概念。

虽然意见征询期已结束，但我们始终欢迎参与、反馈和问题。请通过电子邮件联系我们：dig-comments@nist.gov。

快速链接 | 探索各卷：

• 《数字身份指南》| NIST SP 800-63 第4版
• 卷A | 身份证明与注册
• 卷B | 认证与认证器管理
• 卷C | 联邦与断言

我们的第四版公开网络研讨会已于2025年8月20日举行 | 查看活动录像和幻灯片

关于作者

Ryan Galluzzo Ryan是美国国家标准与技术研究院(NIST)应用网络安全部门的数字身份项目负责人。在此职位上，他协调数字身份项目、计划和工作，以推进NIST的标准与指南，并推动基础研究以促进数字身份领域的创新。他为多份NIST特别出版物做出了贡献，包括NIST SP 800-63《数字身份指南》。在加入NIST之前，Ryan是德勤会计师事务所的专家负责人，在那里他花费了超过10年的时间，为包括美国国税局(IRS)、总务管理局(GSA)和NIST在内的多个联邦机构提供网络安全和身份管理方面的主题见解。

Connie LaSalle Connie LaSalle在NIST领导一个技术专家团队，他们的工作致力于推进整个数字生态系统中网络安全和隐私实践的研究与标准化。Connie曾代表NIST担任商务部的局联络员，就与全球标准生态系统、国家的计量需求以及关键和新兴技术（如数字身份、隐私增强技术、网络安全、人工智能、区块链，以及这些主题与美国经济和国家安全利益的交叉点）相关的战略和政策选项向高级领导人提供建议。Connie为NIST带来了多年的行业经验，包括管理客户成功和产品开发团队；联邦IT咨询；以及全球科技政策工作。她的经验还包括联邦政府服务，特别是在白宫管理与预算办公室领导多项网络安全和IT现代化计划，并担任美国司法部首席信息官的首席政策顾问。

Andrew Regenscheid Andrew Regenscheid是NIST计算机安全部门内应用密码学的一个项目负责人。作为密码技术小组15年的一员，Andrew一直致力于应用密码算法和工具来提高计算机平台、通信协议和认证机制的安全性。作为个人身份验证标准计划的技术负责人，Andrew负责为联邦政府雇员和承包商制定身份管理标准和技术指南，同时作为NIST SP 800-63的合著者，为NIST更广泛的数字身份指导组合做出贡献。

评论

Zaw Lwin Htoo 于 2025年8月2日 上午10:44 NIST数字

回复

添加新评论

您必须启用JavaScript才能使用此表单。