本标准规定了基于可信环境采用人脸识别技术在服务器端进行身份认证的信息系统的功能、性能和安全要求、安全保障要求,并根据GB 17859-1999和GB/T 18336.3-2015的等级划分思想及安全保障要求,将系统划分为基本级和增强级。
本标准适用于基于可信环境采用人脸识别技术在服务器端进行身份认证的信息系统的设计与实现,系统的测试、管理也可参照使用。
前 言 4
1 范围 5
2 规范性引用文件 5
3 术语和定义、缩略语 5
4 系统概述 7
4.1 系统参考模型 7
4.2 客户端说明 7
4.3 服务器端说明 8
4.4 安全传输通道 8
5 安全分级 9
6 功能要求 9
6.1 基本级要求 9
6.1.1 用户标识 9
6.1.2 人脸采集与处理 9
6.1.3 人脸质量判断 9
6.1.4 活体检测 9
6.1.5 人脸注册 10
6.1.6 用户鉴别 10
6.2 增强级要求 12
6.2.1 用户标识 12
6.2.2 人脸采集与处理要求 12
6.2.3 人脸质量判断 13
6.2.4 活体检测 13
6.2.5 人脸注册 13
6.2.6 用户鉴别 14
7 性能要求 16
7.1 基本级要求 16
7.1.1 人脸注册 16
7.1.2 人脸验证 16
7.1.3 活体检测防范能力 16
7.2 增强级要求 16
7.2.1 人脸注册 16
7.2.2 人脸验证 16
7.2.3 活体检测防范能力 16
8 安全要求 17
8.1 基本级要求 17
8.1.1 安全审计 17
8.1.2 用户数据保护 18
8.1.3 个人信息保护 18
8.1.4 时间戳 19
8.1.5 备份与恢复 19
8.1.6 安全管理 19
8.2 增强级要求 19
8.2.1 安全审计 19
8.2.2 用户数据保护 20
8.2.3 个人信息保护 21
8.2.4 时间戳 21
8.2.5 备份与恢复 21
8.2.6 安全管理 22
9 安全保障要求 22
9.1 基本级要求 22
9.2 增强级要求 22
附录A(规范性附录) 基于可信环境的远程人脸识别认证系统基本级和增强级要求 24
附录B(资料性附录) 基于可信环境的远程人脸识别认证系统安全描述 26
参考文献 30
展开全文
- 信息安全技术 机器学习算法安全评估规范(征求意见稿)
- 信息安全技术 网络安全等级保护大数据基本要求(T/ISEAA 002-2021)
- 信息安全技术 网络支付服务数据安全指南(征求意见稿)
- 信息安全技术 人脸识别数据安全要求(征求意见稿)
- 信息安全技术 公民网络电子身份标识格式规范(GB/T 36632-2018)
- 信息安全技术 公民网络电子身份标识安全技术要求 第3部分:eID验证服务消息及其处理规则(GB/T 36629.3-2018)
- 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求
- 信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019)
- 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
- 信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)
- 信息安全技术 数据交易服务安全要求(征求意见稿)
- 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
- 信息安全技术 基于可信环境的远程人脸识别认证系统技术要求
- 信息安全技术 个人信息安全规范( GB/T 35273-2017)
- 移动终端支付可信环境技术规范(JR/T 0156-2017)