标准规范下载简介
GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求.pdf8.1.1.2安全审计查阅
根据对安全审计的不同要求,安全审计查阅分为 a)审计功能部件应为管理员提供查看日志所有信息的能力。 b)审计功能部件应以适于阅读和解释的方式向阅读者提供日志信息
8.1.1.5审计日志保护
8.1.2用户数据保护
DB11/T 1657-2019 生产安全事故隐患排查治理信息系统 数据元规范8.1.21 访问控制
建立访问控制策略,通过对主、客体设置敏感标记,实现对用户、设备、应用程序等不同主体不同粗
度的访问控制机制。 系统中有两类主体:一类是特权用户,包括系统管理员、系统安全员和系统审计员;另一类是处理专 门事务的系统进程。 系统中的客体是指主体所能操作的对象,包括作为图像处理、数据存储的对象和为用户服务的进 程。前者主要包括:已登记人脸模板、人脸采集样本、识别结果;后者主要包括:系统管理员操作进程、数 据库操作进程、安全员操作进程、审计员操作进程
8.1.2.2数据存储安全
本项功能应: a)具备对人脸等个人信息数据加密存储能力,满足数据保密性保护要求; b) 利用存储访问控制模块实施人脸数据用户身份标识与鉴别策略、数据访问控制策略,并实现相 关安全控制措施,防止非授权的访问用户人脸数据。
8.1.2.3数据传输安全
8.1.3个人信息保护
应对用户人脸模板等公民个人隐私信息进行保护,包括但不限于以下功能: a)无关联保护,应防止通过应用程序或数据库关联到存储的人脸模板数据; b) 机密性保护,应防止非授权用户对人脸模板数据的访问; 残余信息保护,要求系统安全功能有能力确保,对于安全控制范围内的某个已定义的客体进行 资源的配给或回收时,剩余信息是不可用的
系统的安全功能应能为自身的应用提供可靠的时间
系统的安全功能应能为自身的应用提供可靠的时间
系统应具有备份和恢复功能,在系统运行中出现致使信息丢失的故障时,能进行信息恢复;在系 中出现致使系统无法运行的故障时,能进行系统恢复
系统应提供系统管理员、安全管理员和审计管理员的角色定义。 系统管理员:安装、配置、维护系统;建立和管理用户账户;执行系统的备份和恢复。 安全管理员:维护用户属性定义;管理秘密信息质量量度;维护人脸算法参数设置、识别决策策略。 审计管理员:配置审计参数;查看和维护审计日志。 系统应具备使主体与角色相关联的能力,并保证一个身份不应同时具备多个角色的权限。一个人 不应同时拥有多个角色,系统应在系统设计时对角色的管理进行相关限制。 本级系统角色的安全功能管理应按表1中的配置对授权的角色修改安全功能的能力进行 限制。
表1授权的角色对于安全功能的管理
8.2.1.1安全审计数据产生
8.2.1.2安全审计查阅
根据对安全审计的不同要求,安全审计查阅应分别支持: a)审计功能部件应为管理员提供查看日志所有信息的能力。 b)审计功能部件应以适于阅读和解释的方式向阅读者提供日志信息。
8.2.1.5审计日志保护
8.2.2用户数据保护
8.2.2.1访问控制
建立访问控制策略,通过对主、客体设置附加敏感标记,实现对用户、设备、应用程序等不同主体不 司粒度的访问控制机制。对人脸模板数据库的访问控制粒度应为库/表级、记录级、字段级。 系统中有两类主体:一类是特权用户,包括系统管理员、系统安全员和系统审计员;另一类是处理专 门事务的系统进程。 识别系统中的客体是指主体所能操作的对象,包括作为图像处理、数据存储的对象和为用户服务的 进程。前者主要包括:已登记人脸模板、人脸采集样本、人脸识别结果;后者主要包括:系统管理员操作 进程、数据库操作进程、安全员操作进程、审计员操作进程。
8.2.2.2数据存储安全
本项功能应: a)具备对人脸等个人信息数据加密存储能力,满足数据保密性和完整性保护要求; b) 利用存储访问控制模块实施人脸数据用户身份标识与鉴别策略、数据访问控制策略,并实现相 关安全控制措施,防止非授权的访问和算改用户人脸数据; C)具备对人脸数据进行备份的能力以及相应的恢复控制措施,
8.2.2.3数据传输安全
本项功能应: 采用满足数据传输安全策略相应的安全控制措施,如安全通道、可信通道、数据加密等 具备在构建传输通道前对两端主体身份进行鉴别的能力; c) 具备对传输数据的完整性进行检测的能力以及相应的恢复控制措施; d)支持数据真实性检测,应采用国家规定的签名密码算法及组合算法鉴别数据的来源。
本项功能应: a) 采用满足数据传输安全策略相应的安全控制措施,如安全通道、可信通道、数据加密等 b): 具备在构建传输通道前对两端主体身份进行鉴别的能力; c) 具备对传输数据的完整性进行检测的能力以及相应的恢复控制措施; d)支持数据真实性检测,应采用国家规定的签名密码算法及组合算法鉴别数据的来源。
8.2.3个人信息保护
应对用户人脸模板等公民个人信息进行保护,提供以下功能: a)无关联保护,应防止通过应用程序或数据库关联到存储的人脸模板数据。 b)机密性保护,应防止非授权用户对人脸模板数据的访问。 残余信息保护,要求系统安全功能有能力确保,对于安全控制范围内的某个已定义的客体进行 资源的配给或回收时,剩余信息是不可用的。 d)脱敏处理保护,提供以下功能: 配置数据脱敏支持工具或服务组件,支持如泛化、抑制、干扰等数据脱敏技术。 一配置脱敏数据识别和脱敏效果验证工具或服务组件,确保数据脱敏的合规性。 能在屏蔽信息时保留其原始数据格式和属性,满足使用脱敏数据进行开发与测试要求。 对数据脱敏处理过程相应的操作进行记录,满足数据脱敏处理安全审计要求。
安全功能应能为自身的应用提供可靠的时间戳,
系统应具有备份和恢复功能,并可在需要时调用备份功能,使在系统失败或者其他产重错误的 能够重建系统。执行备份的频率取决于系统或者应用的重要性。在系统备份数据中应保存足够自 使系统能够重建备份时的系统状态。系统应通过数字签名、杂凑等方式防止备份数据受到未授 改。关键安全参数和其他机密信息应以加密形式存储。
系统应提供系统管理员、安全管理员和审计管理员的角色定义。 系统管理员:安装、配置、维护系统;建立和管理用户账户;执行系统的备份和恢复。 安全管理员:维护用户属性定义;管理秘密信息质量量度;维护人脸算法参数设置、识别决策策略。 审计管理员:配置审计参数;查看和维护审计日志。 系统应具备使主体与角色相关联的能力,并保证一个身份不应同时具备多个角色的权限。一个人 不应同时拥有多个角色,系统应在系统设计时对角色的管理进行相关限制。 本级系统角色的安全功能管理应按 对授权的角色修改安全功能的能力进行限制
表2授权的角色对于安全功能的管理
应具备GB/T18336.32015中EAL3级能力
A.3系统安全功能要求
系统安全功能要求见表A.3。
表A.3系统安全功能要求
A.4系统安全保障要求
系统安全保障要求见表A.4。
表A.4系统安全保障
附录B (资料性附录) 远程人脸识别系统安全描述
本附录所描述的安全问题描述、安全目的和安全需求,均为了保护本标准中所描述的受保 产。
B.1.2.2系统配置数据
人脸采集模块、人脸识别模块、人脸比对策
B.1.2.3人脸图像数据
由系统采集的人脸图像数据。
由系统采集的人脸图像数据。
B.1.2.4人脸处理数据
B.1.2.5输入数据
B.1.2.6传输数据
传输数据包括: a)采集模块与处理模块之间传输的数据; b)人脸数据库与比对模块之间传输的数据; c)存储介质与比对模块之间传输的数据; d)系统与识别应用程序之间传输的数据
B.1.3安全功能数据类
系统安全功能数据是指由人脸识别系统产生或为其产生的数据,这些数据可能会影响系统安全功 能的运行。
安全功能数据是指由人脸识别系统产生或为其产生的数据,这些数据可能会影响系统安全功
B.1.3.2安全功能受保护数据
除系统的管理者和拥有者外,不准许改变内容但允许公开内容的数据
注:不管是数据的非管理者用户还是数据的非拥有者用户,对系统安全功能受保护数据的改变可能 运行安全,但对这类数据的泄露是可接受的。 示例:用户和终端的标识数据、用户或系统状态数据、终端和网络状态信息和配置设置、设备安全状态等均为评 安全功能受保护数据
B.1.3.3安全功能保密数据
除系统的管理者和拥有者外,既不准许改变内容也不准许公开内容的数据。 注:不管是数据的非管理者用户还是数据的非拥有者的用户,对评估对象安全功能保密数据的改变和泄露均可能 影响该系统的运行安全。 示例:用户和采集前端的鉴别数据、用户口令、审计记录数据、数字证书的私钥、访间控制表等均为系统保密数据
人脸识别系统作为多种身份 信息系统的边界,其安全威胁主要来自恶意用户 对真实身份的伪造与隐瞒,包括假冒者试图与他人人脸特征参考匹配,以窃取主体的身份标识,也包括 隐瞒身份者试图避免与自已人脸特征参考匹配,以逃脱审计。同时,人脸识别系统作为一种信息系统, 自身也面临信息系统通常遇到的各种安全威胁
B.2.2人脸识别系统安全威分析
B.2.3人脸识别技术安全性分析
用户每次提交的人脸识别样本都不会完全相 系统的性能要求以概率来定义。 详,人脸识别系统存在统计错误,以至冒名顶替者也可能会被授权访问受保护的资源,而合法的用户却
被拒绝访问。经授权的管理用户可通过设定阀值来决定系统的错误接受率FAR和错误拒绝率FRR, 从而调整系统安全级别。人脸识别系统的FAR和FRR具有负相关性,为了调整人脸识别系统安全性 的设置以降低FAR,却会导致FRR的提高,反之亦然。 人脸识别系统的安全性要求部署人员评估人脸识别决策策略对FAR和FRR的影响,以确定人脸 识别系统部署后的性能。根据系统的安全需要,基于风险评估,设定整体的决策策略(不可伪造鉴别、鉴 别失败、注册识别率等)
有关系统运行环境所做出的假定,其目的是使系统有能力提供安全功能。如果系统放在一个不满 这些假定的运行环境中,那么该系统就不可能提供它的所有安全功能。这样的假定可以是有关该运 行环境的物理方面、人员方面和连接方面,主要包括: 系统的客户端运行在可信环境中。 系统独立的物理部件之间,系统和环境之间的通信路径应进行保护(如物理保护、加密等)。 在系统和运行环境之间存储、传输人脸识别数据(包括特征参考模板、与用户标识符的绑定等) 时应进行保护,防止人脸识别数据内容的暴露和算改。 假设个体用户的人脸特征在一定时间范围内稳定的,并可供传感器识别。 假设注册用户的身份可通过正确的程序来验证。 管理员是可信的,经过正式培训且遵循管理员指南。 系统应满足运行的环境条件,包括光线、位置、角度、距离、遮挡等人脸识别环境以及声纹、语音 等人脸辅助因子的环境检测。 系统应满足运行的硬件条件
B.4.2针对评估对象的安全且的
B.4.2.1防止系统配置数据和人脸处理数据未授权的泄露和更改
系统各模块均应保护系统配置数据和人 数据,以免未经授权泄露和更改。 宗例1:对操作用户进行标识与鉴别, 示例2:对不同的操作划分不同的用户权限
B.4.2.2防止输入数据和传输数据的伪造、抵赖和未授权更改
系统各模块均应保护输入数据和传输数据,以免伪造、抵赖和未授权变更。 示例1:信息传输应对通信方进行标识和鉴别,其中的标识应可与事先的设置进行比对。 示例2:信息传输应正确鉴别传输数据。但不同组件在物理上部署于同一环境时,其对通信方的标识和鉴别可采用 不同于网络传输时标识和鉴别的方式进行,也可不再鉴别传输数据,
2.3防止受保护数据和保密数据伪造和未授权
系统各模块均应保护受保护数据和保密数据,以免伪造和未授权变更。
B.4.2.4防止安全功能保密数据泄鑫
系统各模块均应保护安全功能保密数据以免未
模块均应保护安全功能保密数据以免未授权泄露
B.4.2.5产生安全日志
B.4.2.6防止旁路攻击
系统各模块均应防止旁路攻击,避免攻击者从旁路通道通过非授权的验证。
B.4.2.7密码模块和密码算法安全
系统必须以一个安全的方式支持密码功能,其使用的密码算法必须符合国家、行业或组织要求的密 码管理相关标准或规范。
B.4.2.8防伪造攻击
DB22/T 5021-2019 Ⅱ型耐热聚乙烯(PE-RTⅡ)供热管道工程技术标准应防止攻击者使用高质量的伪造假体通过验证
B.4.2.9防重放攻击
B.4.2.10防遗留信息攻击
B.4.2.11人脸特征参考模板安全保护
系统应防止攻击者在登记、比对过程中
B.4.3针对评估对象运行环境的安全目的
DB11/T 827-2019 废旧爆炸物品销毁处置安全管理规程系统内部应能使用可信信道。 系统与人脸识别应用程序之间应使 可信路径