Page 37 - 金融科技视界2022-11期
P. 37
BCTC Dynamic
中心动态
一,通过播放预录制视频,
或利用图像处理或三维建
模软件,将静态照片转化为
动 态 视 频 的 方 式,使 虚假
人脸信息与预存信息吻合;
其二,通过在设备上植入后
门,在通过特定程序劫持摄
像头、劫持人脸识别App或
者相关应用,绕过人脸识别系统。其三,通过劫持人脸
识别系统与服务器之间的报文信息,对人脸识别进行篡 对评估对象进行攻击试验,以验证其活体检
改,将真实信息替换为虚假信息,破解人脸识别系统。 测能力。包括静态纸质图像、静态电子图像、
因此,在如何确保可用性、易用性、高效性的基础 动态电子图像、合成CG视频、纸质面具、三维
上,有效提升人脸识别的安全性,是相关行业都必须要 面具/头模、识别器官替换区域等内容。
交出高分答卷的难题。 注入攻击测试 通过各种方式寻找评估对
象的薄弱点,采用非常规的手段向评估对象输
04 入一组精心构造的数据,迫使评估对象做出错
与时俱进 误判断,达到欺骗成功的目的。注入攻击用于
两项测评解决“人脸痛点” 验证评估对象在运行时的综合防护能力,包括
静态分析、动态调试、对运行环境的检测、虚
为解决上述所提到的人脸识别破解问题,国家金融 拟摄像头传递数据、对网络环境的识别、对操
科技测评中心(银行卡检测中心,简称中心)联合产学研 作系统的识别、通信报文分析、渗透性攻击等
机构建成生物识别检测实验室,在已开展人脸识别线下 内容。
支付有关产品的安全测试的基础上,进一步结合《数据 提供人脸数据安全合规评估——人脸
安全法》、《个人信息保护法》、《个人金融信息保护技术 识别技术应用场景合规评估
规范》等法律法规、行业规范以及金融应用场景特点, 评估内容根据GB/T 35273-2020《信
制订了“金融场景人脸识别技术应用安全与合规专项测 息安 全 技 术 个人信息安 全 规 范》、GB/ T
评”服务。 40660-2021《信息安全技术 生物特征识别信
金融场景人脸识别技术应用安全与合规专项测评服 息保护基本要求》等相关规范,对人脸数据在
务面向在各类金融场景中应用人脸识别技术的相关金融 收集、存储、使用、删除等生命周期中的合规
行业从业机构、系统与设备提供商,针对终端设备、APP 与安全管理进行评估分析,提供应用建议。
客户端、SDK、API接口、后台系统等与人脸识别技术相 对于相关金融行业、支付机构、算法及终
关的软硬件、系统,从技术安全与合规两方面进行综合 端厂商等企业,人脸识别注定是一场持续“战
测评,为人脸识别技术在金融场景的应用提供保障。 役”,其不仅需要国家不断完善相关法律法
针对人脸识别技术有关软硬件的测评——人脸识 规,也需要相关企业在技术方面与时俱进,极
别技术安全测试 大程度提高犯罪分子的破解成本,削减其可
呈现攻击测试 通过使用多种假体道具,在距离、角 能获得的非法收益,使他们难以破解、不敢破
度和灯光等不同条件下,模拟点头、张嘴和眨眼等动作, 解、也不能破解。
2022.11 金融科技视界 35
