金融服務安全國際標準發(fā)展及其分析

謝宗曉 董坤祥 甄杰

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之五十五

在2018年11月刊的本專欄中[1]，我們介紹了金融信息安全標準的采標情況，因此，重點還是以國家標準為綱。本期分析ISO/TC 68/SC 2已經(jīng)發(fā)布和正在開發(fā)的標準，目的是得出金融服務安全相關國際標準的發(fā)展趨勢，或者應該的發(fā)展方向。

謝宗曉（特約編輯）

Development and analysis of? ISO standards for financial service security

Xie Zongxiao （China Financial Certification Authority， CFCA）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Business Planning， Chongqing Technology and Business University）

Abstract： This article? analyzes the 16 published standards and the 7 standards under development in ISO/TC 68/SC 2， suggests that subsequent development should be business-led. In terms of breadth， we should develop a generalized security model that does not stop at system security， and in terms of depth， we should step up to the level of business process and combine security control with it.

Key words： financial service， information security， standard

1 ISO/TC 68/SC 2的基本架構

ISO/TC 68為ISO金融服務（Financial Services）標準化技術委員會，成立于1972年，目前秘書處設在美國國家標準委員會（American National Standards Institute，ANSI），關于安全（Security）的分委員會SC 2成立于1981年，目前秘書處設在英國標準協(xié)會（British Standards Institution，BSI）。

我國金融標準化技術委員會（SAC/TC 180）是國家標準化管理委員會授權，在金融領域內(nèi)從事全國性標準化工作的技術組織，負責金融業(yè)標準化技術歸口管理工作和國際標準化組織中銀行與相關金融業(yè)務標準化技術委員會（ISO/TC 68、TC 222）的歸口管理工作。

ISO/TC 68/SC 2全稱為ISO金融服務技術委員會 安全分會（Financial Services， Security）1），主要有5個工作組（WG），具體如表1所示。

2 ISO/TC 68/SC 2發(fā)布及開發(fā)中標準綜述

截至2019年6月底，ISO/TC 68/SC 2發(fā)布且有效的標準16項，開發(fā)中的標準7項。在表2和表3中，我們對這些標準逐一進行了介紹，并在后續(xù)給出大致的分析。

3 金融信息安全標準開發(fā)存在的問題

3.1 關于ISO 11568的合并

ISO 11568共有6個部分，統(tǒng)稱為密鑰管理。目前有效的有：第1部分（原則）、第2部分（對稱密碼及其密鑰管理和生命周期）以及第4部分（非對稱密碼系統(tǒng)及其密鑰管理和生命周期）。已經(jīng)被廢止的也有3個部分：第3部分（對稱密碼的生命周期），并入了第2部分、第5部分（非對稱密碼的生命周期）并入了第4部分，以及第6部分（密鑰管理框架）。整體而言，密鑰管理和生命周期合并是合理的。

但是，最新發(fā)布的ISO CD 11568計劃將目前有效的幾個部分都融合在一起，且在正文的描述中，初始密鑰的生成應用的是AES DUKPT（Derived Unique Key Per Transaction），但是，在我國的金融應用中，3DES和AES會被SM4及相關算法替代。這種合并存在一定的問題，應該盡量避免在密鑰管理的標準中，過度綁定具體的加密算法，這已經(jīng)背離了密鑰管理過程控制的本意。

如果密鑰管理與算法綁定，在國家標準采標的過程中會存在諸多問題，據(jù)Trish McGinness介紹，Australian Payments Network是澳大利亞目前的監(jiān)管機構，就是參考ISO 11568確定被允許的密碼算法，如果一旦算法和密鑰管理綁定，那么這種參考就變得沒有意義。例如，PCI DSS3）也涉及加密算法，但同時也接受其他方法的等效性。就是說，不用具體到某種加密算法。

國家標準大多為等同采用或者修改采用。在之前的ISO 11568架構中，原則作為第一部分，之后又包括了對稱密碼的和非對稱密碼等要求。在相應的國家標準的開發(fā)過程中，這種架構是有益的。據(jù)我們所知，不止中國對密碼采用強監(jiān)管，美國和俄羅斯等國家也一樣。換句話說，既然密碼算法都是強監(jiān)管，國際標準最多會以修改采用的形式被各國所采用，而不可能是等同采用形式采用。那么，在未來的開發(fā)中，應該考慮盡量地模塊化，從而以最小的代價被修改。如果一定以大一統(tǒng)的形式發(fā)布某個標準，例如ISO 11568，不但不會使該標準應用范圍更加廣泛，相反，只能導致更多的國家棄用該標準。

形如ISO 11568這類標準，只要涉及密碼算法，就必須國產(chǎn)化，最小改動成本是，將國外算法替換為SM國產(chǎn)系列算法，這也是目前絕大部分ISO/IEC JTC 1/SC 27的常見辦法。對算法安全性而言，只能有國家密碼管理局等相關單位才能界定，其他機構目前尚無這樣的能力。

3.2 關于ISO/TR 13569的撤銷

ISO/TR 13569：2005在國際標準化2018年（第三十八次）會議上已經(jīng)被廢止了，在某種程度上已經(jīng)失去了討論的意義。之所以又重提，是因為在金融領域，其框架與ISO/IEC 27002保持兼容的標準有2個：ISO/TR 13569：2005和ISO/IEC TR 27015：2012。

但是ISO/IEC TR 27015：2012早于ISO/TR 13569：2005就被廢止了，業(yè)內(nèi)影響較大的網(wǎng)站4）在分析原因的時候，認為安全還是業(yè)務為主，因為有ISO/TR 13569：2005導致ISO/IEC TR 27015：2012失去了推廣意義。就標準合法性而言，他們認為，這會導致在本已經(jīng)是嚴格監(jiān)管的環(huán)境中，增加了合規(guī)負擔。

上述理由有一定的道理，既然是金融信息安全，就應該是為了保證金融業(yè)務的順利進行，那么，由金融行業(yè)的信息安全專家負責，應該會比信息安全專家負責，更合理一些。事實上，對比ISO/IEC TR 27015：2012和ISO/TR 13569：2005，這也得到了印證，ISO/IEC TR 27015幾乎沒有提到任何可能的金融業(yè)務，更沒有公司治理。當然，在ISO/IEC 27000中沒有提治理結構等，這不難理解，因為這種現(xiàn)狀存在于絕大部分組織中5），ISO/IEC 27001針對所有的組織是通用的。但是金融機構對治理是比較重視的，這在BASELⅢ或者MAS TRMG6）中都有明確的體現(xiàn)?；蛘哒f，從治理結構開始要求，然后考慮金融機構的業(yè)務信息安全，是有必要的。

金融行業(yè)是強監(jiān)管的，這毫無疑問，因為合規(guī)壓力大，并導致產(chǎn)生了監(jiān)管科技（Regtech）7），但是，如果因此就將相關標準廢止了，是把因果關系搞反了。因為合規(guī)壓力大，絕對不是源自推薦性標準，而技術報告（Technical Report，TR）的發(fā)布，是想指導金融機構合規(guī)，而不是在本就已經(jīng)混亂的監(jiān)管中，增加一項監(jiān)管。

3.3 關于ISO 21188的開發(fā)

關于ISO 21188：2018是否需要交由ISO/IEC JTC 1/SC 27曾經(jīng)被討論過，ISO/IEC 27000標準中確實有關于行業(yè)應用的，例如，上文中我們提到的ISO/IEC TR 27015：2012，就是專門關于金融行業(yè)的ISO/IEC 27001應用，但是屬于兩碼事。從標準結構來看，區(qū)別很大。

當然，這其中有一個問題，ISO 21188中討論的PKI金融特征也不明顯。不過，即便如此，醫(yī)療行業(yè)的也是單獨出的，例如，ISO 17090-5：2017《醫(yī)療信息 公鑰基礎設施》（Health informatics —Public key infrastructure），除非是都歸屬到ISO/IEC JTC 1/SC 27。

但是，值得注意的是，ISO/IEC JTC 1/SC 27已經(jīng)立項了ISO/IEC WD 27099《公鑰基礎設施 實踐與策略框架》（Public key infrastructure — Practices and policy framework）。

4 金融信息安全標準應該轉向業(yè)務主導

ISO/TC 68/SC 2已經(jīng)發(fā)布和正在開發(fā)的所有標準，統(tǒng)計信息如表4所示。

從表4中可以看出，密碼相關的標準占據(jù)了主流，發(fā)布了9項，加上實際ISO 9564-2：2014也是關于密碼算法的，一共有10項。當然，這也符合目前信息安全領域的情況，即密碼學依然是信息安全的重中之重。但是問題在于，這里面的諸多標準并沒有明顯的金融特征，與金融業(yè)務的聯(lián)系并不緊密。

在后續(xù)的開發(fā)中，應該是按照這樣的順序考慮。第一層是算法，算法必須是公開的，應該均由ISO/IEC JTC 1/SC 27處理是肯定的;第二層是密碼算法的選擇和應用，ISO/TR 14742：2010關注密碼算法的使用建議ISO 9564-2：2014給出了核準的PIN加密算法;第三層是相關的設備要求，不同的行業(yè)有不同的應用場景，那么必然會開發(fā)不同的設備，例如國內(nèi)的密碼產(chǎn)品檢測制度;第四層是相應的管理要求，密鑰必須是保密的，討論的是管理流程，不同的行業(yè)，應該有不同的管理要求，也需要考慮行業(yè)的實際情況。第二層、第三層和第四層應該是ISO/TC 68/SC 2關注的重點。

更重要的是，密碼只能解決安全的一部分，更多的安全問題是與業(yè)務流程結合在一起，例如，電信詐騙。在金融信息安全領域，最亟待解決的問題是，應該有業(yè)務安全的基本框架，在這個基本框架的基礎上，分析主營業(yè)務的流程，并將安全控制整合其中?？梢钥紤]開發(fā)金融業(yè)務安全的“最佳實踐”，這其中不僅包括信息安全，也要包括業(yè)務邏輯設計安全，業(yè)務參數(shù)安全管理等。

綜上所述，金融信息安全標準與主營業(yè)務的結合仍然停留在表面，發(fā)展到現(xiàn)在，絕大部分金融業(yè)務的功能都是比較成型的，這意味著業(yè)務流程也比較固定了，從深度而言，安全控制應該轉向業(yè)務主導，到流程層面，從廣度而言，系統(tǒng)安全僅僅是金融服務安全的一部分，絕對不是全部，應該開發(fā)更為全面的基于業(yè)務的安全框架。

參考文獻

[1] 謝宗曉，劉淑敏.金融行業(yè)信息安全相關國家標準簡析[J].中國質(zhì)量與標準導報， 2018（11）：28-34.

[2] 謝宗曉，周常寶.信息安全治理及其標準介紹[J].中國標準導?報，2015（10）：38-40，45.

[3] 賈海云，謝宗曉.基于全面風險管理視角的金融網(wǎng)絡安全管理標準框架[J].中國質(zhì)量與標準導報， 2018（8）：24-28.