作者:北京银联金科科技有限公司(银行卡检测中心) 高强裔
随着互联网、移动互联网、物联网等技术的发展,信息技术已日渐成为支撑,甚至引导金融业务发展的重要推动要素之一。金融基础业务、核心流程、客户关系、行业间往来等事物和活动均已运行在信息化支撑载体之上,各类业务关键信息、金融消费者个人金融信息等重要数据也均已不同形式转化为数字资产传输、存储在金融基础设施之中。 如何以传统的网络安全标准保障新型信息化技术在金融行业的应用,成为金融标准化工作面临的新课题。
网络安全标准是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用,测评中保证其一致性、可靠性、可控性、先进性和符合性的技术规范与技术依据,是网络安全保障体系建设的重要内容。纵观欧美金融领域网络安全标准化工作情况,除国际标准化组织金融服务技术委员会安全分委会(ISO/TC68/SC2)承担包括金融服务的公钥基础设施、零售银行安全等金融细分技术领域信息安全标准化工作外,总体呈现标准分散、行政管理制度与技术标准边界不甚清晰的情况。如,支付领域的网络安全标准由支付卡产业信息安全标准委员会(PCISSC)、EMVCo等国际产业论坛与行业组织,推动该领域包括信息安全在内的技术标准制定与应用落地工作。又如,国际清算银行(BIS)、金融稳定理事会(FSB)等国际组织也均在自身工作领域中,以规范或报告的方式发布有关金融业务细分领域的网络安全技术要求或工作指南。甚至在某些细分技术应用场景中,各国行政部门也会以技术规范的方式发布有关信息技术与网络安全的规定或细则。
欲借他山之石,琢玉为己用,则需立足于网络安全标准的框架下,研究欧美在内的全球网络安全标准体系结构与工作进展,制定符合我国金融行业技术特点的网络安全标准体系,以实现技术标准指导并保障金融信息科技产品与服务全生命周期的网络安全可控、在控的目标。 本文选择国际标准化组织(ISO)、美国国家标准和技术研究院(NIST)、欧盟网络和信息安全局(ENISA)为对象,就三者在网络安全标准化工作的情况进行概要性描述,以供金融行业网络安全标准的研制工作参考。
国际标准化组织网络安全标准化概述1.ISO/IEC/JTC1/SC27技术委员会。国际标准化组织(ISO)和国际电工委员会(IEC)于1987年联合成立信息技术委员会JTC1,尤其负责在国际标准化组织中承担信息技术领域的标准化工作。JTC1技术委员会下设SC27工作组负责信息技术领域安全技术(IT Security Techniques)的标准化工作,该工作组也是国际信息安全领域比较活跃的国际标准化组织。JTC1目前已发布ISO国际标准182件,在研标准项目72项。
JTC1/SC27内含5个常设工作组,各工作组在JTC1中负责领域关系详见下图。在管理咨询、数据安全等领域SC27内设有专门的研究工作组。同时,JTC1与ISO/TC 307在区块链和分布式账本技术的信息安全领域成立了联合工作组ISO/TC 307/JWG 4。JTC1/SC27也与ISO/TC 68/SC 2等31个ISO与IEC技术委员会、48个包括IEEE、ITU、ETSI、ISACA在内的国际技术组织与联盟建立有联络员机制。
图 ISO/IEC/JTC1/SC27工作组
2.各工作组标准化工作情况概述。 WG1信息安全管理体系工作组主要负责ISO/ISC 27000系列标准的研制与维护工作, 其中ISO/IEC 27003-2017《信息安全管理体系指南》(第二版)、ISO/IEC 27005-2018《信息安全风险管理》(第三版)为该组近期在信息安全管理核心标准族中的重要工作成果。同时,WG1在27000系列标准的部分细分领域与应用指南方面,承担最佳实践与技术指南的研制工作,如ISO/IEC 27017-2015即为在云服务中实施基于ISO/IEC 27002信息安全控制的最佳实践,该标准被包括CSA等国际云计算标准化组织广泛参考使用。
WG2密码学与安全机制工作组主要围绕密码算法、实体鉴别、密钥管理、随机数生成与测试、秘密共享等领域开展工作,该组也是我国实质性参与较活跃的工作组。我国推动了SM系列算法纳入ISO/IEC 11889、ISO/IEC 14888-3、ISO/IEC 10118-3、ISO/IEC 18033-3等标准的进程。
WG3安全评估、测试与规范工作组主要负责开发与维护信息安全工程有关的安全评估、测试、认证相关标准,其标准覆盖范围包括但不限于信息系统、组件、产品。WG3工作组的核心标准为ISO/IEC 15408《信息技术安全评估通用准则》(Common Criteria,缩写为CC),该标准及其应用衍生准则为欧盟区域对于信息技术产品的通用安全评估与认证准则。
WG4工作组主要负责与安全控制和服务有关的技术标准研制,该工作组更强调信息安全标准在信息系统与产品中的安全应用,以及上述系统与产品的全生命周期的安全控制:业务联系性、安全事件管理等ICT操作安全;信息系统生命周安全控制;安全设计、安全集成、供应链安全等组织控制过程安全;可信服务安全等。
值得注意的是,云计算、物联网、网络安全、虚拟化、存储安全等信息技术的安全控制类标准也是WG4工作组的工作范畴。
WG5身份管理与隐私保护技术工作组主要负责对身份管理、隐私保护、生物特征鉴别技术进行标准要研究。ISO/IEC 29100隐私框架,以及围绕该标准制定的一系列隐私信息与个人身份信息(personally identifiable infor-mation,缩写为PII)相关信息安全标准归属于该工作组。同时,WG5与WG1就信息安全管理体系中的隐私保护;与WG4就大数据安全中的隐私保护进行跨组合作。
美国国家标准和技术研究院网络安全标准化概述1.美国国家标准和技术研究院概述。美国的标准化牵头机构为美国国家标准协会(ANSI),该协会的主要重要工作是协调美国联邦范围内自愿性共识标准的制定,并在国际上代表美国参与标准化工作。ANSI并不直接牵头撰写技术标准,其依据“共识、程序正当、开放”的原则,对标准的开发者进行认证。在网络安全领域,美国国家标准和技术研究院(National Institute of Standards and Technology,以下简称NIST)作为奥巴马时期《网络空间安全国家行动计划》(CNAP计划),以及特朗普于2018年9月签署的《美国国家网络战略》中有关网络安全标准的主要起草单位,在美国的网络安全技术标准研制工作中扮演者关键性角色。
NIST于1901年由美国国会发起成立,目前隶属于美国联邦政府商务部技术司。该组织为非监管性质的联邦部门,是美国测量技术和标准的国家级研究机构。NIST内设5个实验室2个研究中心,其中信息技术实验室(ITL)下设的计算机安全部门(CSD)为NIST网络安全有关标准的主要制定部门。
2.NIST网络安全出版物。NIST通过发布标准和指南等出版物的方式,为美国联邦政府的网络安全管理提供技术标准支撑。NIST出版的技术标准大多数不具备强制效力,仅为美国政府部门与企业等组织机构提供框架性或指导类参考。该机构网络安全领域有关的出版物主要包括:联邦信息处理标准(FIPS)系列、特别出版物800(SP 800)计算机安全系列、特别出版物1800(SP 1800)网络安全实践指南系列、NIST内部或机构间研究报告(NISTIR)系列和NIST信息技术实验室公告。
(1)联邦信息处理标准(FIPS)系列。FIPS为美国联邦信息处理标准(Federal Information Processing Standard)的缩写,是在美国政府计算机标准化计划范围内开发的标准族,主要描述文件处理、加密算法和其他信息技术(在非军用政府机构及与这些机构合作的政府承包商和供应商中应用)的标准。NIST在制定完成FIPS系列标准后,需依据美国1996年《信息技术管理改革法案》第5131条款、2002年《联邦信息安全管理法案》(FISMA法案)、2014年《联邦信息安全现代化法案》(FISMA法案)等联邦法律,经美国商务部部长签署后发布。因此FIPS大部分为事实性的强制标准,要求多数的(国家安全部门除外)联邦政府部门按照标准中的规定执行。若相关产品需在美国政府部门或相关机构使用,需提交其产品(或软件)符合FIPS技术标准的证明。
与密码算法、密码模块相关信息安全标准多数在FIPS系列标准族中。同时该标准族还包含FISMA法案中要求的部分联邦信息和信息系统风险管理相关标准,如标号为FIPS 200的联邦信息和信息系统的最低安全要求。FISMA法案中大部分风险管理相关控制措施与实施指南归属于特殊出版物800系列标准。
(2)特别出版物(SP 800)系列。特殊出版物800系列为NIST依据FISMA法案开发的网络安全指导性指南、技术规范、技术建议与年度报告的集合,其旨在支撑美国联邦政府信息系统与数据的信息安全和隐私保护需求。SP 800系列标准本身并不具备强制效力,联邦政府法律、法规和政策性文件可规定相关组织是否必须(或鼓励)遵从SP 800的有关要求。
目前,SP 800系列已经出版了200余本信息安全相关的正式文件,形成了覆盖信息安全体系设计、信息技术风险管理、安全控制措施、安全意识培训与教育等一系列信息安全技术措施与安全管理的技术标准体系。虽然其并非正式法定的技术标准,但在信息安全实际工作中,该系列标准配套SP 1800,已成为美国与国际信息安全领域广泛认可的技术标准。
欧盟网络和信息安全局网络安全标准合作情况介绍欧盟网络和信息安全局(ENISA)为欧盟的网络安全专业化中心,其作用是推动和落实欧盟《网络与信息系统安全指令》,协调欧盟机构、成员国和企业界的网络安全合作,分析网络安全威胁并向各方提供分析结果,提供相关咨询和帮助,协助欧盟开展国际合作等,以此提升欧盟整体的网路安全水平。 ENISA的具体工作包括: 为欧盟与成员国提供包括国家网络安全战略、关键基础设施和服务安全、网络危机管理、数据安全与隐私保护等方面的咨询与协调工作;实施欧盟范围内计算机安全事件应急响应组织(CSIRT)、信息共享和分析中心(ISAC)、网络安全演习等工作的组织协调与能力建设;为欧盟范围内网络威胁识别与风险管理提供服务;为欧盟成员国与有关企业提供网络安全专家培训教育等。
ENISA累计发行网络安全有关出版物338件,其最新出版物为《云和物联网的安全融合》。
以上为本文对欧美三家网络安全标准研究机构标准化工作情况的概要说明,望能对金融行业网络安全标准化工作提供一定的参考。
本文节选自《金融电子化》2018年10月刊
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
