美國金融網絡安全標準及其開發框架介紹

謝宗曉　李寬

美國國家標準協會（American National Standards Institute，ANSI）建立于1918年，是目前負責管理和協調美國推薦性標準（voluntary standards）和合格性評定體系（conformity assessment system）的機構。

ANSI是一個私人的非營利組織，但其實際承擔了國家標準化的功能。但是，與ISO等機構不同，ANSI是一個后建立的松散組織，或者說，本來已經有了很多團體或者協會在從事標準化工作，但是為了統一協調，后建立了ANSI，因此其標準開發組織也呈現出分散、多元和自組織等特點，這些協會或團體，經ANSI認可后就可以參與其中，即認可的標準委員會（Accredited Standards Committee），例如，ASC X9是為金融服務行業開發和發布標準的非營利組織。

由于上述原因，也帶來了另外一個問題，就是ANSI的標準分類維度并不統一，或者說，分類的設計并不完備。例如，ANSI的標準包1），有的是按照發布機構，例如，X9標準集;有的是按照具體事項，例如，職業健康（Occupational Health & Safety，OHSAS）。

1 ASC X9機構設置

ASC X9總部設在美國馬里蘭州的安那波利斯市（Annapolis），其工作職責類似于全國金融標準化技術委員會（SAC/TC 180）（以下簡稱金標委），不但負責金融行業的標準化工作，也負責與國際標準化組織ISO的對接，同時也是標準和行業之間的紐帶，如圖1所示。

ASC X9下設5個分委員會（subcommittee），其名稱與主要職能，如表1所示。

ASC X9F是本文中重點關注的分委員會。

同時，ASC X9負責對接ISO/TC 68 金融服務（financial services）、ISO/TC 321電子商務交易保障（transaction assurance in E-commerce）和ISO/TC 322 可持續金融（sustainable finance）。這和我國國家標準委對各個標委會的分工有一定的區別，金標委負責國際標準化組織下設的ISO/TC 68、ISO/TC 222（個人理財標準化技術委員會）及ISO/TC 322的歸口管理工作。

2 ASC X9發布的網絡安全標準及簡析

截至2020年底，ASC X9發布了125項美國國家標準（American National Standards），在本文中，主要介紹金融網絡安全相關標準，即ASC X9F正在開發和已經發布的標準。按照我們的理解，將其分為4類，分別為支付安全;金融科技;通用安全;密碼技術。

按照上述分類及其包含的具體標準，如表2～表6所示。

其中，表2為支付安全標準，主要子類包括：支付敏感數據和標記化。

表3為金融科技標準，主要子類包括：零信任、云計算、量子計算和生物識別。

表4為通用安全標準，主要子類包括：通用框架、鑒別與授權、網絡攻防、無線安全、時間戳和數據安全。

表5為密碼技術標準，主要子類包括：對稱密碼、公鑰密碼、密碼協議、密鑰管理、隨機數、質數證書和加密設備。

3 小結

在本文中，我們對ASC X9F正在開發和已經發布的所有51項標準，按照支付安全、金融科技、通用安全和密碼技術進行了分類，并按照關鍵詞進行了子分類。整體而言，ASC X9截至目前發布了125項標準，ASC X9F還是最活躍的分委員會之一。從其標準分布來看，存在的問題和ISO/TC 68/SC 2是一致的，即技術安全相關的標準偏多，業務安全相關的標準相對較少。

ASC X9的工作模式，也給我國金融標準化工作以啟發。

一是積極參與并轉化應用國際標準。從目前看，ISO/TC 68的秘書就一直是ASC X9的人員，對ISO/TC 68重要的工作組，ASC X9也積極派專家參與。可以說，這些標準中的主要技術內容能夠確保與美國對相關方面的標準訴求兼容，加上語言的優勢，可以實現國際標準的發布即轉化。

二是組織協調金融的各相關方，統籌制定相關的金融標準。從標準的數量上看，目前ASC X9組織制定的金融標準，僅為我國所制定金融國家標準和行業標準的一半，而標準的內容則技術性十分強，標準化對象粒度劃分很細，各個標準之間也不易發生交集，易于落地和應用，也不會導致標準的應用者需要在多個標準之間再做比對、分析和選擇。

三是其下轄分委會的劃分，并未隨著ISO/TC 68的變更而改變，而是依舊保持了必要的業務條線對口關系。我國的金標委目前也是這樣的結構，并進一步在秘書處建立了與ISO/TC 68各個分委會對應的專家組，這樣的多維管理結構，目前看是與我國當前的金融標準化工作配套協調的。

四是ASC X9統籌對口金融服務和電子商務交易保障的標準化工作，可以做到對電子商務的全場景的標準化，對與商業場景相關的供應鏈金融的標準化十分有利。如果我們的金融標準和電子商務的標準能夠進一步的加強協調，必要時甚至可以組建聯合工作組，將可有效提高工作的協調性。

參考文獻

[1] 謝宗曉，李寬.歐盟網絡與信息安全監管框架介紹[J].中國質量與標準導報， 2019（11）：22-25.