金融行業(yè)信息安全相關(guān)國家標(biāo)準(zhǔn)簡析

2018-11-28 08:22:34謝宗曉劉淑敏

中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報 2018年11期

謝宗曉劉淑敏

（中國金融認(rèn)證中心）

1 標(biāo)準(zhǔn)研發(fā)機構(gòu)

全國金融標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC 180）負(fù)責(zé)金融業(yè)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會（ISO/TC 68、ISO/TC 222）的歸口管理工作。其中，ISO/TC 68和ISO/TC 222分別為金融服務(wù)（Financial services）與個人理財（Personal financial planning）。

SAC/TC 180下設(shè)證券、保險、印制3個分技術(shù)委員會，分別負(fù)責(zé)開展證券、保險、印制專業(yè)標(biāo)準(zhǔn)化工作。同時，設(shè)有7個工作組（WG），分別如表1所示。

表1 SAC/TC 180的工作組設(shè)置

據(jù)統(tǒng)計，截至2018年6月30日，SAC/TC 180共發(fā)布標(biāo)準(zhǔn)293項，其中國家標(biāo)準(zhǔn)63項，行業(yè)標(biāo)準(zhǔn)230項1）http://www.cfstc.org/jinbiaowei/2929586/index.html，根據(jù)SAC/TC 180官網(wǎng)發(fā)布的“金融標(biāo)準(zhǔn)目錄”。。其中與信息安全相關(guān)的標(biāo)準(zhǔn)共36項，其中國家標(biāo)準(zhǔn)有17項，行業(yè)標(biāo)準(zhǔn)有19項。

截至2018年8月底，與SAC/TC 180對應(yīng)的ISO/TC 68發(fā)布標(biāo)準(zhǔn)55項，在研標(biāo)準(zhǔn)10項2）https://www.iso.org/committee/49650.html，根據(jù)ISO官網(wǎng)的統(tǒng)計數(shù)據(jù)。，信息安全相關(guān)標(biāo)準(zhǔn)主要集中于ISO/TC 68/SC 2金融服務(wù)安全（Financial Services, Security），SC 2已經(jīng)發(fā)布了74項，目前有效標(biāo)準(zhǔn)共17項，在研標(biāo)準(zhǔn)4項。ISO/TC 68/SC 2的架構(gòu)，如表2所示。

表2 ISO/TC 68/SC 2的架構(gòu)

續(xù)表 2

金融國家標(biāo)準(zhǔn)的17項均等同或修改采用ISO/TC 68/SC 2發(fā)布的標(biāo)準(zhǔn)，為了保持版本有效性，標(biāo)識主要參考國際標(biāo)準(zhǔn)編號，或者說在本部分的介紹中，實際是按照ISO/TC 68/SC 2發(fā)布的標(biāo)準(zhǔn)為主線。

2 公鑰基礎(chǔ)設(shè)施（PKI）

ISO 21188：2018 Public key infrastructure for financial services—Practices and policy framework（《用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架》）目前是唯一有效的PKI相關(guān)標(biāo)準(zhǔn)，之前存在的ISO 15782已經(jīng)廢止。但這兩個標(biāo)準(zhǔn)關(guān)注點并不太一樣，在ISO 21188：2006前言中也明確指出：ISO 15782第1和第2部分定義了供金融業(yè)使用的證書管理系統(tǒng)，但沒有包括證書策略和認(rèn)證業(yè)務(wù)要求。本標(biāo)準(zhǔn)制定了通過證書策略、認(rèn)證業(yè)務(wù)說明、控制目標(biāo)和控制程序來管理PKI的框架，對ISO 15782第1部分和第2部分進行補充。也就是說，作為行業(yè)應(yīng)用，ISO 21188并不關(guān)注定義PKI。

表3是上述標(biāo)準(zhǔn)的版本演化及其與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系。

表3 PKI相關(guān)標(biāo)準(zhǔn)版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

3 密碼及其應(yīng)用

3.1 ISO/TR 19038：2005 Banking and related financial services—Triple DEA—Modes of operation— Implementation guidelines（《銀行業(yè)務(wù)和相關(guān)金融業(yè)務(wù) 三重數(shù)據(jù)加密算法操作模式實施指南》）

ISO/TR 1903：2005是算法的一種操作模式實現(xiàn)，在ISO/IEC 18033-3中定義了分組密碼算法，在ISO/IEC 10116中給出了分組密碼的操作模式。ISO/TR 19038：2005被修改采用為GB/T 27927—2011。

3.2 ISO/TR 14742：2010 Financial services—Recommendations on cryptographic algorithms and their use（《金融服務(wù) 密碼算法及其使用建議》）

ISO/TR 14742：2010中的建議主要是針對算法選擇和密鑰長度等，但并不涉及密碼算法本身。該標(biāo)準(zhǔn)目前尚無國家標(biāo)準(zhǔn)與之對應(yīng)。該版本在2013年經(jīng)評審后，依然有效，但目前正在改版中。

3.3 ISO 13491-1：2016 Financial services—Secure cryptographic devices (retail)—Part 1: Concepts, requirements and evaluation methods[《金融服務(wù) 安全加密設(shè)備（零售）第1部分：概念、要求和評估方法》]

3.4 ISO 13491-2：2017 Financial services—Secure cryptographic devices (retail)—Part 2：Security compliance checklists for devices used in financial transactions [《金融服務(wù) 安全加密設(shè)備（零售）第2部分：金融交易中設(shè)備安全符合性檢測清單》]

ISO 13491-1：2016是關(guān)于安全加密設(shè)備（SCDs）的，依據(jù)的加密過程在ISO 9564、ISO 16609和 ISO 11568中定義。ISO 13491-1：2016之前的版本為ISO 13491-1：2007，被等同采用為GB/T 21079.1—2011，但是要注意，ISO 13491-1：2007的名稱為Banking（銀行業(yè)務(wù)）。

ISO 13491-2：2017版本變化則比較頻繁，當(dāng)然，這種檢測清單類的標(biāo)準(zhǔn)改版都比較及時。ISO 13491-2：2017之前分別有 ISO 13491-2：2016，ISO 13491-2：2005 和 ISO 13491-2：2000。其中，ISO 13491-1：2005被修改采用為GB/T 20547.2—2006。

表4是上述標(biāo)準(zhǔn)的版本演化及其與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系。

表4 密碼及其應(yīng)用ISO/TR 19038等相關(guān)標(biāo)準(zhǔn)版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

續(xù)表 4

3.5 ISO 16609：2012 Financial services—Requirements for message authentication using symmetric techniques（《金融服務(wù) 采用對稱加密技術(shù)進行報文鑒別的要求》）

ISO 16609：2012目前正在評審中。ISO 16609的發(fā)展過程與ISO 21188比較類似，中間經(jīng)歷了幾次較大的改版。例如，ISO 8730和ISO 8731均已經(jīng)停止更新，內(nèi)容并入ISO 16609中。具體版本演化可以參考表5。其中，ISO 16609：2004被修改采用為 GB/T 27929—2011。

表5 ISO 16609版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

4 密鑰管理相關(guān)

4.1 ISO 11568-1：2005 Banking—Key management (retail)—Part 1：Principles [《銀行業(yè)務(wù) 密鑰管理（零售）第1部分：一般原則》]

4.2 ISO 11568-2：2012 Financial services—Key management (retail)—Part 2：Symmetric ciphers, their key management and life cycle [《金融服務(wù) 密鑰管理（零售）第2部分：對稱密碼及其密鑰管理和生命周期》]

4.3 ISO 11568-4：2007 Banking—Key management (retail)—Part 4：Asymmetric cryptosystems—Key management and life cycle[《銀行業(yè)務(wù) 密鑰管理（零售）第4部分：非對稱密碼系統(tǒng)及其密鑰管理和生命周期》]

ISO 11568本來一共有6部分，被廢止的3部分如表6所示。

表6 被廢止的ISO 11568的3部分

ISO 11568改版內(nèi)容反復(fù)調(diào)整，如表7所示，ISO 11568-5和ISO 11568-6都被整合進其他部分，目前，該標(biāo)準(zhǔn)正在改版，將會被統(tǒng)一為ISO/AWI 11568 Financial services—Key management(retail)—Principles, symmetric ciphers and asymmetric cryptosystems, their key management and life cycle [《金融服務(wù) 密鑰管理（零售）原則、對稱密碼和非對稱密碼，及其密鑰管理和生命周期》]。

ISO 11568主要部分版本與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系如表7所示。

表7 ISO 11568主要部分版本與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

注意，國家標(biāo)準(zhǔn)GB/T 27909共有3部分，分別為：1）一般原則；2）對稱密碼及其密鑰管理和生命周期；3）非對稱密碼系統(tǒng)及其密鑰管理和生命周期。但是多出一個在用的國家標(biāo)準(zhǔn)，GB/T 21082.4—2007，對應(yīng)的國際標(biāo)準(zhǔn)也是ISO 11568-4，這是因為ISO 11568-4：1998是關(guān)于公開密鑰密碼系統(tǒng)的，到了ISO 11568-4:2007卻被修改成了關(guān)于非對稱密碼的，所以導(dǎo)致ISO 11568-4的不同版本對應(yīng)2項完全不同的國家標(biāo)準(zhǔn)。

4.4 ISO 13492：2007 Financial services—Key management related data element—Application and usage of ISO 8583 data elements 53 and 96（《金融服務(wù) 密鑰管理相關(guān)數(shù)據(jù)元 ISO 8583數(shù)據(jù)元53和96的應(yīng)用和用途》）

ISO 13492：2007在2011年經(jīng)過評審后依然有效，目前正在改版中，已經(jīng)有最新版的ISO/DIS 13492 Financial services—Key management related data element—Application and usage of ISO 8583 data elements for encryption（《金融服務(wù)密鑰管理相關(guān)數(shù)據(jù)元用于加密的ISO 8583數(shù)據(jù)元的應(yīng)用和用途》）。

ISO 13492:2007之前有版本ISO 13492:1998，該版本被等同采用為GB/T 21081—2007。

4.5 ISO 20038：2017 Banking and related financial services—Key wrap using AES（《銀行及相關(guān)金融服務(wù) 密鑰包》）

ISO 20038：2017定義了一種打包傳輸密鑰的方法，目前ISO 20038：2017尚沒有與之對應(yīng)的國家標(biāo)準(zhǔn)。

上述2個標(biāo)準(zhǔn)的版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系如表8所示。

表8 密鑰管理相關(guān)標(biāo)準(zhǔn)ISO 13492等版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

5 信息安全/隱私管理

5.1 ISO/TR 13569：2005 Financial services—Information security guidelines（《金融服務(wù) 信息安全指南》）

ISO/TR 13569：2005是比較重要的金融信息安全管理標(biāo)準(zhǔn)，在本系列的其他文章中已經(jīng)進行了詳細(xì)的介紹。

5.2 ISO 19092：2008 Financial services—Biometrics—Security framework（《金融服務(wù) 生物特征識別安全框架》）

ISO 19092：2008在2013年經(jīng)過評審后版本依然有效，之前的版本ISO 19092-1：2006被修改采用為GB/T 27912—2011。

5.3 ISO/TR 21941：2017 Financial services—Third-party payment service providers（《金融服務(wù) 第三方支付服務(wù)供應(yīng)商》）

ISO/TR 21941：2017目前尚沒有國家標(biāo)準(zhǔn)與之對應(yīng)。

上述3個標(biāo)準(zhǔn)的版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系如表9所示。

表9 信息安全/隱私管理標(biāo)準(zhǔn)ISO/TR 13569等版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系

5.4 ISO 9564-1：2017 Financial services—Personal Identification Number (PIN) management and security—Part 1：Basic principles and requirements for PINs in card-based systems（《銀行業(yè)務(wù) 個人識別碼的管理和安全第1部分：卡基系統(tǒng)中聯(lián)機PIN處理的基本原則和要求》）

5.5 ISO 9564-2：2014 Financial services—Personal Identification Number (PIN) management and security—Part 2：Approved algorithms for PIN encipherment（《銀行業(yè)務(wù) 個人識別碼的管理和安全第2部分：核準(zhǔn)的PIN加密算法》）

5.6 ISO 9564-4：2016 Financial services—Personal Identification Number (PIN) management and security—Part 4：Requirements for PINhandling in eCommerce for Payment Transactions（《銀行業(yè)務(wù) 個人識別碼的管理和安全第4部分：電子商務(wù)支付業(yè)務(wù)中的PIN處理指南》）

ISO 9564本來有4部分，ISO 9564-3被廢止，被并入ISO 9564-1：2011。

ISO 9564-1版本變化較多，其中ISO 9564-1：2002被修改采用為GB/T 21078.1—2007。同時需要注意，由于版本的時間關(guān)系，GB/T 21078共有3部分，其中，GB/T 21078.2—2011對應(yīng)ISO 9564-3：2003，GB/T 21078.3—2011則對應(yīng)ISO/TR 9564-4：2004。

ISO 9564的版本演化及與國家標(biāo)準(zhǔn)的對應(yīng)關(guān)系如表10所示。