金融服务安全国际标准发展及其分析
2019-09-10谢宗晓董坤祥甄杰
谢宗晓 董坤祥 甄杰
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之五十五
在2018年11月刊的本专栏中[1],我们介绍了金融信息安全标准的采标情况,因此,重点还是以国家标准为纲。本期分析ISO/TC 68/SC 2已经发布和正在开发的标准,目的是得出金融服务安全相关国际标准的发展趋势,或者应該的发展方向。
谢宗晓(特约编辑)
Development and analysis of ISO standards for financial service security
Xie Zongxiao (China Financial Certification Authority, CFCA)
Dong Kunxiang (School of Management Science and Engineering, Shandong University of Finance and Economics)
Zhen Jie (School of Business Planning, Chongqing Technology and Business University)
Abstract: This article analyzes the 16 published standards and the 7 standards under development in ISO/TC 68/SC 2, suggests that subsequent development should be business-led. In terms of breadth, we should develop a generalized security model that does not stop at system security, and in terms of depth, we should step up to the level of business process and combine security control with it.
Key words: financial service, information security, standard
1 ISO/TC 68/SC 2的基本架构
ISO/TC 68为ISO金融服务(Financial Services)标准化技术委员会,成立于1972年,目前秘书处设在美国国家标准委员会(American National Standards Institute,ANSI),关于安全(Security)的分委员会SC 2成立于1981年,目前秘书处设在英国标准协会(British Standards Institution,BSI)。
我国金融标准化技术委员会(SAC/TC 180)是国家标准化管理委员会授权,在金融领域内从事全国性标准化工作的技术组织,负责金融业标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会(ISO/TC 68、TC 222)的归口管理工作。
ISO/TC 68/SC 2全称为ISO金融服务技术委员会 安全分会(Financial Services, Security)1),主要有5个工作组(WG),具体如表1所示。
2 ISO/TC 68/SC 2发布及开发中标准综述
截至2019年6月底,ISO/TC 68/SC 2发布且有效的标准16项,开发中的标准7项。在表2和表3中,我们对这些标准逐一进行了介绍,并在后续给出大致的分析。
3 金融信息安全标准开发存在的问题
3.1 关于ISO 11568的合并
ISO 11568共有6个部分,统称为密钥管理。目前有效的有:第1部分(原则)、第2部分(对称密码及其密钥管理和生命周期)以及第4部分(非对称密码系统及其密钥管理和生命周期)。已经被废止的也有3个部分:第3部分(对称密码的生命周期),并入了第2部分、第5部分(非对称密码的生命周期)并入了第4部分,以及第6部分(密钥管理框架)。整体而言,密钥管理和生命周期合并是合理的。
但是,最新发布的ISO CD 11568计划将目前有效的几个部分都融合在一起,且在正文的描述中,初始密钥的生成应用的是AES DUKPT(Derived Unique Key Per Transaction),但是,在我国的金融应用中,3DES和AES会被SM4及相关算法替代。这种合并存在一定的问题,应该尽量避免在密钥管理的标准中,过度绑定具体的加密算法,这已经背离了密钥管理过程控制的本意。
如果密钥管理与算法绑定,在国家标准采标的过程中会存在诸多问题,据Trish McGinness介绍,Australian Payments Network是澳大利亚目前的监管机构,就是参考ISO 11568确定被允许的密码算法,如果一旦算法和密钥管理绑定,那么这种参考就变得没有意义。例如,PCI DSS3)也涉及加密算法,但同时也接受其他方法的等效性。就是说,不用具体到某种加密算法。
国家标准大多为等同采用或者修改采用。在之前的ISO 11568架构中,原则作为第一部分,之后又包括了对称密码的和非对称密码等要求。在相应的国家标准的开发过程中,这种架构是有益的。据我们所知,不止中国对密码采用强监管,美国和俄罗斯等国家也一样。换句话说,既然密码算法都是强监管,国际标准最多会以修改采用的形式被各国所采用,而不可能是等同采用形式采用。那么,在未来的开发中,应该考虑尽量地模块化,从而以最小的代价被修改。如果一定以大一统的形式发布某个标准,例如ISO 11568,不但不会使该标准应用范围更加广泛,相反,只能导致更多的国家弃用该标准。
形如ISO 11568这类标准,只要涉及密码算法,就必须国产化,最小改动成本是,将国外算法替换为SM国产系列算法,这也是目前绝大部分ISO/IEC JTC 1/SC 27的常见办法。对算法安全性而言,只能有国家密码管理局等相关单位才能界定,其他机构目前尚无这样的能力。
3.2 关于ISO/TR 13569的撤销
ISO/TR 13569:2005在国际标准化2018年(第三十八次)会议上已经被废止了,在某种程度上已经失去了讨论的意义。之所以又重提,是因为在金融领域,其框架与ISO/IEC 27002保持兼容的标准有2个:ISO/TR 13569:2005和ISO/IEC TR 27015:2012。
但是ISO/IEC TR 27015:2012早于ISO/TR 13569:2005就被废止了,业内影响较大的网站4)在分析原因的时候,认为安全还是业务为主,因为有ISO/TR 13569:2005导致ISO/IEC TR 27015:2012失去了推广意义。就标准合法性而言,他们认为,这会导致在本已经是严格监管的环境中,增加了合规负担。
上述理由有一定的道理,既然是金融信息安全,就应该是为了保证金融业务的顺利进行,那么,由金融行业的信息安全专家负责,应该会比信息安全专家负责,更合理一些。事实上,对比ISO/IEC TR 27015:2012和ISO/TR 13569:2005,这也得到了印证,ISO/IEC TR 27015幾乎没有提到任何可能的金融业务,更没有公司治理。当然,在ISO/IEC 27000中没有提治理结构等,这不难理解,因为这种现状存在于绝大部分组织中5),ISO/IEC 27001针对所有的组织是通用的。但是金融机构对治理是比较重视的,这在BASELⅢ或者MAS TRMG6)中都有明确的体现。或者说,从治理结构开始要求,然后考虑金融机构的业务信息安全,是有必要的。
金融行业是强监管的,这毫无疑问,因为合规压力大,并导致产生了监管科技(Regtech)7),但是,如果因此就将相关标准废止了,是把因果关系搞反了。因为合规压力大,绝对不是源自推荐性标准,而技术报告(Technical Report,TR)的发布,是想指导金融机构合规,而不是在本就已经混乱的监管中,增加一项监管。
3.3 关于ISO 21188的开发
关于ISO 21188:2018是否需要交由ISO/IEC JTC 1/SC 27曾经被讨论过,ISO/IEC 27000标准中确实有关于行业应用的,例如,上文中我们提到的ISO/IEC TR 27015:2012,就是专门关于金融行业的ISO/IEC 27001应用,但是属于两码事。从标准结构来看,区别很大。
当然,这其中有一个问题,ISO 21188中讨论的PKI金融特征也不明显。不过,即便如此,医疗行业的也是单独出的,例如,ISO 17090-5:2017《医疗信息 公钥基础设施》(Health informatics —Public key infrastructure),除非是都归属到ISO/IEC JTC 1/SC 27。
但是,值得注意的是,ISO/IEC JTC 1/SC 27已经立项了ISO/IEC WD 27099《公钥基础设施 实践与策略框架》(Public key infrastructure — Practices and policy framework)。
4 金融信息安全标准应该转向业务主导
ISO/TC 68/SC 2已经发布和正在开发的所有标准,统计信息如表4所示。
从表4中可以看出,密码相关的标准占据了主流,发布了9项,加上实际ISO 9564-2:2014也是关于密码算法的,一共有10项。当然,这也符合目前信息安全领域的情况,即密码学依然是信息安全的重中之重。但是问题在于,这里面的诸多标准并没有明显的金融特征,与金融业务的联系并不紧密。
在后续的开发中,应该是按照这样的顺序考虑。第一层是算法,算法必须是公开的,应该均由ISO/IEC JTC 1/SC 27处理是肯定的;第二层是密码算法的选择和应用,ISO/TR 14742:2010关注密码算法的使用建议ISO 9564-2:2014给出了核准的PIN加密算法;第三层是相关的设备要求,不同的行业有不同的应用场景,那么必然会开发不同的设备,例如国内的密码产品检测制度;第四层是相应的管理要求,密钥必须是保密的,讨论的是管理流程,不同的行业,应该有不同的管理要求,也需要考虑行业的实际情况。第二层、第三层和第四层应该是ISO/TC 68/SC 2关注的重点。
更重要的是,密码只能解决安全的一部分,更多的安全问题是与业务流程结合在一起,例如,电信诈骗。在金融信息安全领域,最亟待解决的问题是,应该有业务安全的基本框架,在这个基本框架的基础上,分析主营业务的流程,并将安全控制整合其中。可以考虑开发金融业务安全的“最佳实践”,这其中不仅包括信息安全,也要包括业务逻辑设计安全,业务参数安全管理等。
综上所述,金融信息安全标准与主营业务的结合仍然停留在表面,发展到现在,绝大部分金融业务的功能都是比较成型的,这意味着业务流程也比较固定了,从深度而言,安全控制应该转向业务主导,到流程层面,从广度而言,系统安全仅仅是金融服务安全的一部分,绝对不是全部,应该开发更为全面的基于业务的安全框架。
参考文献
[1] 谢宗晓,刘淑敏.金融行业信息安全相关国家标准简析[J].中国质量与标准导报, 2018(11):28-34.
[2] 谢宗晓,周常宝.信息安全治理及其标准介绍[J].中国标准导 报,2015(10):38-40,45.
[3] 贾海云,谢宗晓.基于全面风险管理视角的金融网络安全管理标准框架[J].中国质量与标准导报, 2018(8):24-28.