美国金融网络安全标准及其开发框架介绍

2021-06-29谢宗晓李宽

中国质量与标准导报 2021年2期

谢宗晓　李宽

美国国家标准协会（American National Standards Institute，ANSI）建立于1918年，是目前负责管理和协调美国推荐性标准（voluntary standards）和合格性评定体系（conformity assessment system）的机构。

ANSI是一个私人的非营利组织，但其实际承担了国家标准化的功能。但是，与ISO等机构不同，ANSI是一个后建立的松散组织，或者说，本来已经有了很多团体或者协会在从事标准化工作，但是为了统一协调，后建立了ANSI，因此其标准开发组织也呈现出分散、多元和自组织等特点，这些协会或团体，经ANSI认可后就可以参与其中，即认可的标准委员会（Accredited Standards Committee），例如，ASC X9是为金融服务行业开发和发布标准的非营利组织。

由于上述原因，也带来了另外一个问题，就是ANSI的标准分类维度并不统一，或者说，分类的设计并不完备。例如，ANSI的标准包1），有的是按照发布机构，例如，X9标准集;有的是按照具体事项，例如，职业健康（Occupational Health & Safety，OHSAS）。

1 ASC X9机构设置

ASC X9总部设在美国马里兰州的安那波利斯市（Annapolis），其工作職责类似于全国金融标准化技术委员会（SAC/TC 180）（以下简称金标委），不但负责金融行业的标准化工作，也负责与国际标准化组织ISO的对接，同时也是标准和行业之间的纽带，如图1所示。

ASC X9下设5个分委员会（subcommittee），其名称与主要职能，如表1所示。

ASC X9F是本文中重点关注的分委员会。

同时，ASC X9负责对接ISO/TC 68 金融服务（financial services）、ISO/TC 321电子商务交易保障（transaction assurance in E-commerce）和ISO/TC 322 可持续金融（sustainable finance）。这和我国国家标准委对各个标委会的分工有一定的区别，金标委负责国际标准化组织下设的ISO/TC 68、ISO/TC 222（个人理财标准化技术委员会）及ISO/TC 322的归口管理工作。

2 ASC X9发布的网络安全标准及简析

截至2020年底，ASC X9发布了125项美国国家标准（American National Standards），在本文中，主要介绍金融网络安全相关标准，即ASC X9F正在开发和已经发布的标准。按照我们的理解，将其分为4类，分别为支付安全;金融科技;通用安全;密码技术。

按照上述分类及其包含的具体标准，如表2～表6所示。

其中，表2为支付安全标准，主要子类包括：支付敏感数据和标记化。

表3为金融科技标准，主要子类包括：零信任、云计算、量子计算和生物识别。

表4为通用安全标准，主要子类包括：通用框架、鉴别与授权、网络攻防、无线安全、时间戳和数据安全。

表5为密码技术标准，主要子类包括：对称密码、公钥密码、密码协议、密钥管理、随机数、质数证书和加密设备。

3 小结

在本文中，我们对ASC X9F正在开发和已经发布的所有51项标准，按照支付安全、金融科技、通用安全和密码技术进行了分类，并按照关键词进行了子分类。整体而言，ASC X9截至目前发布了125项标准，ASC X9F还是最活跃的分委员会之一。从其标准分布来看，存在的问题和ISO/TC 68/SC 2是一致的，即技术安全相关的标准偏多，业务安全相关的标准相对较少。

ASC X9的工作模式，也给我国金融标准化工作以启发。

一是积极参与并转化应用国际标准。从目前看，ISO/TC 68的秘书就一直是ASC X9的人员，对ISO/TC 68重要的工作组，ASC X9也积极派专家参与。可以说，这些标准中的主要技术内容能够确保与美国对相关方面的标准诉求兼容，加上语言的优势，可以实现国际标准的发布即转化。

二是组织协调金融的各相关方，统筹制定相关的金融标准。从标准的数量上看，目前ASC X9组织制定的金融标准，仅为我国所制定金融国家标准和行业标准的一半，而标准的内容则技术性十分强，标准化对象粒度划分很细，各个标准之间也不易发生交集，易于落地和应用，也不会导致标准的应用者需要在多个标准之间再做比对、分析和选择。

三是其下辖分委会的划分，并未随着ISO/TC 68的变更而改变，而是依旧保持了必要的业务条线对口关系。我国的金标委目前也是这样的结构，并进一步在秘书处建立了与ISO/TC 68各个分委会对应的专家组，这样的多维管理结构，目前看是与我国当前的金融标准化工作配套协调的。

四是ASC X9统筹对口金融服务和电子商务交易保障的标准化工作，可以做到对电子商务的全场景的标准化，对与商业场景相关的供应链金融的标准化十分有利。如果我们的金融标准和电子商务的标准能够进一步的加强协调，必要时甚至可以组建联合工作组，将可有效提高工作的协调性。

参考文献

[1] 谢宗晓，李宽.欧盟网络与信息安全监管框架介绍[J].中国质量与标准导报， 2019（11）：22-25.