信息安全技术 远程人脸识别系统技术要求-编制说明

国家标准征求意见稿资料工作简况本标准的任务来源是国家标准化管理委员会，任务编号为20160783-T-469。 本标准承办单位为公安部安全与警用电子产品质量检测中心，协作单位为公安部第一研究所、北京数字认证股份有限公司、支付宝（中国）网络技术有限公司、北京旷视科技有限公司、广州云从信息科技有限公司、中国信息安全测评中心、中国金融认证中心、中国电子技术标准化研究院、北京远鉴科技有限公司、深圳市亚略特生物识别科技有限公司、广州广电运通金融电子股份有限公司、深圳市腾讯计算机系统有限公司。2015年3月，公安部安全与警用电子产品质量检测中心作为召集单位，申请国家信息安全标准编制任务《信息安全技术人脸识别认证系统技术要求》，2015年8月，签订国家信息安全标准编制任务合同，启动标准项目编制工作。2015年7月，检测中心组织参编单位召开标准编制单位第一次工作会，对标准编制的组织形式及任务分工进行了安排，在此基础上形成标准草案第一稿。2015年11月，检测中心组织参编单位召开标准编制单位第二次工作会，讨论应具备的功能要求、性能要求。同时，依据远程人脸识别认证系统所面临的安全问题分析，将其划分为基本级和增强级两个安全级别，分别提出了安全功能要求，在此基础上形成标准草案第二稿。2016年5月，检测中心组织参编单位召开标准编制单位第三次工作会，讨论系统架构、流程，形成标准草稿第三稿。2016年7月，检测中心组织参编单位召开标准编制单位第四次工作会，讨论活体检测技术，根据PAD(presentationattackdetection)的通用分类，将原有的分类改为自发性、主动性、多因子的活体检测分类，形成标准草稿第四稿。2017年3月6日，检测中心在北京应物会议中心组织召开了《信息安全技术基于互联网的人脸识别认证系统技术要求》标准讨论会议。会议邀请WG4组专家就标准草案进行了评审。专家建议标准名称调整为《信息安全技术远程人脸识别认证系统技术要求》，并考虑人脸、指纹、虹膜标准的一致性问题。2017年3月22日，检测中心组织召开生物特征识别安全标准讨论会。会议召集《信息安全技术远程人脸识别认证系统技术要求》、《信息安全技术指纹识别系统技术要求》、《信息安全技术虹膜识别系统技术要求》三个标准的十二家主要编制单位就WG4组专家建议进行研讨，并形成新版本的《信息安全技术远程人脸识别认证系统技术要求》标准草案。2017年4月，参加TC260WG42017年第一次工作组会议周，32个成员单位现场投票，WG4组建议2017年4月30日之前形成新一版标准草案。2017年7月，编制项目组内部工作会议，增加活体检测分级要求。2017年8月23日，参加TC260WG42017年第二次工作组会议周，WG4组建议2017年9月23日之前形成新一版标准草案，标准名称变为《信息安全技术基于可信环境的远程人脸识别认证系统技术要求》。2017年10月16日，参加TC2602017年第二次工作组会议周WG4组第三次会议。经28个成员单位现场投票，WG4组的结论是形成征求意见稿，在2017年11月15日之前提交。2017年10月26日，参加TC260秘书处组织的国家标准专家审查会，会议邀请中科院工信所、解放军信息安全测评认证中心、中国电子标准化研究院、中科院软件所、中国信息通信研究院、北京大学、国家金融IC卡安全检测中心等7位专家，对人脸、指纹、虹膜三项生物特征相关安全标准进行了评审。专家建议调整文本框架，从基本功能、性能、安全功能、安全保障4个部分进行描述，保证三个标准的结构一致。2017年11月，参加TC260WG4秘书处组织的国家标准专家审查会。按照信安标委会“关于46项信安标委标准报批稿专家审查发现的共性问题”统一要求，补充完善编制说明。2018年1月，根据《信息安全技术指纹识别系统技术要求》及《信息安全技术虹膜识别系统技术要求》标准送审稿审查会会议意见修改标准文本结构，保持人脸、指纹、虹膜三个标准的结构一致性。2018年4月，参加TC260WG42018年第一次工作组会议周会议。二、标准编制原则和确定主要内容的论据及解决的主要问题本标准在编制过程中在遵循以下原则：1、先进性本标准在起草过程中，结合了我国当前的信息安全技术的发展水平，深入分析国际标准划组织（包括ISO/IEO-第一联合技术委员会、ITU-国际电信联盟、NIST-美国国家标准与技术研究院、FIDO-在线快速身份认证联盟等）制定的生物特征识别相关技术标准内容，吸收并采纳了国际上信息安全的先进思想和优秀标准的先进模式，使本标准满足信息安全技术进一步发展的需要。2、兼容性在本标准起草过程中，要与现行的国家信息安全方面的相关标准、条例保持一致。特别参考了GB17859-1999《计算机信息系统安全保护等级划分准则》、GB/T20271-2006《信息安全技术信息系统安全通用技术要求》、GB/T18336.2-2008《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》中的相关内容。3、可操作性在充分考虑当前人脸别系统发展需求、用户接受度和技术成熟度现状的同时，兼顾行业发展创新的趋势，从满足客户服务需求出发，制定本标准，使利用人脸识别系统进行身份验证有标准可循。本标准主要内容包括以下7个章节：第一章阐述本标准的目的及适用范围。第二章列举制订本标准规范性引用的内容。第三章对本标准中术语、定义和缩略语进行规定。第四章对标准定义的参考模型进行阐述。本标准定义的基于可信环境的远程人脸识别认证系统，由客户端、服务器端、安全传输通道组成。第五章定义了基于可信环境的远程人脸识别认证系统的等级划分原则。第六章分别描述了基础级、增强级的基于可信环境的远程人脸识别认证系统的基本功能要求。第七章分别描述了基础级、增强级的基于可信环境的远程人脸识别认证系统的性能要求。第八章分别描述了基础级、增强级的基于可信环境的远程人脸识别认证系统的安全功能要求。第九章分别描述了基础级、增强级的基于可信环境的远程人脸识别认证系统的安全保障要求。三、主要试验[或验证]情况分析本标准适用于采用人脸识别技术进行用户身份鉴别与认证的各种互联网应用。本标准通过分析人脸识别认证系统的安全性，规避人脸识别认证系统的潜在安全风险，规范人脸识别认证系统的安全功能，为各类人脸识别认证应用提供了基础安全方案参考。本标准的主要起草单位覆盖生物特征供应者、脸识别认证服务供应者、人脸识别认证用户、信息安全服务供应者等各个环节，实现了基于可信环境的远程人脸识别认证系统的解决方案和人脸识别认证产品，并已经在金融、电信、社保等国内市场进行大规模推广应用，其安全性、可靠性和高扩展性都已得到市场的认可。四、知识产权情况说明本标准未涉及已知的专利等知识产权内容。六、采用国际标准和国外先进标准情况（本章无内容）七、与现行相关法律、法规、规章及相关标准的协调性本标准在编制过程中，已经查阅了《中华人民共和国网络安全法》、《中华人民共和国电子签名法》等相关法规，确保本标准内容遵守相关法律规定。同时查阅了《GB/T20271-2006信息安全技术信息系统通用安全技术要求》、《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》等信息安全国家标准以及《GB/T26238-2010信息技术生物特征识别术语》等生物特征相关标准，确保相关内容和术语与这些标准的内容保持协调一致。八、重大分歧意见的处理经过和依据在TC260WG42017年第二次工作组会议周，组内一致决议标准名称变为《信息安全技术基于可信环境的远程人脸识别认证系统技术要求》。其他详见标准意见汇总处理表。九、标准性质的建议本标准建议是推荐性国家标准。十、贯彻标准的要求和措施建议（本章无内容）十一、替代或废止现行相关标准的建议（本章无内容）十二、其它应予说明的事项（本章无内容）国家标准《信息安全技术基于可信环境的远程人脸识别认证系统技术要求》（征求意见稿）编制说明国家标准《