本标准规定了基于可信环境采用人脸识别技术在服务器端进行身份认证的信息系统的功能、性能和安全要求、安全保障要求,并根据GB 17859-1999和GB/T 18336.3-2015的等级划分思想及安全保障要求,将系统划分为基本级和增强级。
本标准适用于基于可信环境采用人脸识别技术在服务器端进行身份认证的信息系统的设计与实现,系统的测试、管理也可参照使用。
目次
前言4
1范围5
2规范性引用文件5
3术语和定义、缩略语5
4系统概述7
4.1系统参考模型7
4.2客户端说明7
4.3服务器端说明8
4.4安全传输通道8
5安全分级9
6功能要求9
6.1基本级要求9
6.1.1用户标识9
6.1.2人脸采集与处理9
6.1.3人脸质量判断9
6.1.4活体检测9
6.1.5人脸注册10
6.1.6用户鉴别10
6.2增强级要求12
6.2.1用户标识12
6.2.2人脸采集与处理要求12
6.2.3人脸质量判断13
6.2.4活体检测13
6.2.5人脸注册13
6.2.6用户鉴别14
7性能要求16
7.1基本级要求16
7.1.1人脸注册16
7.1.2人脸验证16
7.1.3活体检测防范能力16
7.2增强级要求16
7.2.1人脸注册16
7.2.2人脸验证16
7.2.3活体检测防范能力16
8安全要求17
8.1基本级要求17
8.1.1安全审计17
8.1.2用户数据保护18
8.1.3个人信息保护18
8.1.4时间戳19
8.1.5备份与恢复19
8.1.6安全管理19
8.2增强级要求19
8.2.1安全审计19
8.2.2用户数据保护20
8.2.3个人信息保护21
8.2.4时间戳21
8.2.5备份与恢复21
8.2.6安全管理22
9安全保障要求22
9.1基本级要求22
9.2增强级要求22
附录A(规范性附录)基于可信环境的远程人脸识别认证系统基本级和增强级要求24
附录B(资料性附录)基于可信环境的远程人脸识别认证系统安全描述26
参考文献30
展开全文
- 信息安全技术 机器学习算法安全评估规范(征求意见稿)
- 信息安全技术 网络安全等级保护大数据基本要求(T/ISEAA 002-2021)
- 信息安全技术 网络支付服务数据安全指南(征求意见稿)
- 信息安全技术 人脸识别数据安全要求(征求意见稿)
- 信息安全技术 公民网络电子身份标识格式规范(GB/T 36632-2018)
- 信息安全技术 公民网络电子身份标识安全技术要求 第3部分:eID验证服务消息及其处理规则(GB/T 36629.3-2018)
- 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求
- 信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019)
- 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
- 信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)
- 信息安全技术 数据交易服务安全要求(征求意见稿)
- 信息安全技术 基于可信环境的远程人脸识别认证系统技术要求(征求意见稿)
- 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
- 信息安全技术 个人信息安全规范( GB/T 35273-2017)
- 移动终端支付可信环境技术规范(JR/T 0156-2017)