《信息安全技術(shù) 虹膜識別產(chǎn)品測評標(biāo)準(zhǔn)》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXX—XXXX

信息安全技術(shù)

虹膜識別系統(tǒng)測評方法

Informationsecuritytechnology

Testandevaluationmethodforirisrecognitionsystem

（報(bào)批稿）

200X-××-××發(fā)布200X-××-××實(shí)施

國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

I

II

引言

本標(biāo)準(zhǔn)用以指導(dǎo)測評者如何測試和評價(jià)虹膜識別系統(tǒng)，說明不同安全保護(hù)級別的虹膜識

別系統(tǒng)的測試和評價(jià)方法。

本標(biāo)準(zhǔn)按照GB/T20979-2007，即《信息安全技術(shù)虹膜識別技術(shù)要求》開發(fā)的虹膜識別

系統(tǒng)提出了測試和評價(jià)標(biāo)準(zhǔn)。

第4章是對虹膜識別系統(tǒng)測評環(huán)境和條件的簡要描述，其中：測評環(huán)境要求為測評前置

條件，對開發(fā)者的自測試和測試者的測試結(jié)果進(jìn)行評價(jià)為測試后置條件。

第5章是對虹膜識別系統(tǒng)基本功能和性能測評的全面描述。身份識別產(chǎn)品基本功能和性

能的測評是指對虹膜識別系統(tǒng)所提供的用于進(jìn)行身份識別的基本功能和性能要求的測試和評

價(jià)。

第6章是對不同等級的虹膜識別系統(tǒng)在基本功能與性能、安全功能和安全保證方面的不

同技術(shù)要求的描述。

第5章和第6章是基本測評內(nèi)容的總體描述，自第二級起，每級較前級新增加的內(nèi)容用

黑體字標(biāo)出。

本標(biāo)準(zhǔn)著重于對按照GB/T20979-2007開發(fā)的虹膜識別系統(tǒng)中的虹膜識別產(chǎn)品的測評，

即對虹膜識別系統(tǒng)中用以實(shí)現(xiàn)虹膜識別功能的產(chǎn)品的測評。本標(biāo)準(zhǔn)中所稱虹膜識別產(chǎn)品均指

上述意義上的產(chǎn)品。本標(biāo)準(zhǔn)中虹膜識別系統(tǒng)的含義與GB/T20979-2007相同。

III

信息安全技術(shù)

虹膜識別系統(tǒng)測評方法

1范圍

本標(biāo)準(zhǔn)依據(jù)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則的要求，按照GB/T20979-2007

《信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求》，制定虹膜識別產(chǎn)品的測試與評價(jià)方法。

本標(biāo)準(zhǔn)適用于依據(jù)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則的要求》，按照GB/T

20979-2007《信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求》所開發(fā)的虹膜識別系統(tǒng)的測試與評價(jià)，對

虹膜識別系統(tǒng)的設(shè)計(jì)、管理也可參照使用。

2規(guī)范性引用文件

下列文件中的有關(guān)條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其

隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版本均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)

達(dá)成協(xié)議的各方研究使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本

標(biāo)準(zhǔn)。

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則

GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T20979-2007信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求

3術(shù)語和定義

GB17859-1999、GB/T20271-2006和GB/T20979-2007中確立的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

4測評環(huán)境和測評程序

4.1測試環(huán)境

虹膜識別產(chǎn)品的測試環(huán)境應(yīng)滿足以下要求：

a)對虹膜識別產(chǎn)品的測試應(yīng)在其實(shí)際運(yùn)行環(huán)境或體現(xiàn)實(shí)際運(yùn)行環(huán)境的模擬環(huán)境進(jìn)行；

b)典型的實(shí)際運(yùn)行環(huán)境或模擬環(huán)境應(yīng)具有：

——測評申請者提供的要求測評的虹膜識別系統(tǒng)（含產(chǎn)品）及自測試文檔；

——可以隨機(jī)采集虹膜樣本的使用者人群；

——可以對所測評的虹膜識別系統(tǒng)（含產(chǎn)品）的功能性能進(jìn)行測試的軟件工具；

——可以對所測評的虹膜識別系統(tǒng)（含產(chǎn)品）進(jìn)行測試的計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境。

c)對獨(dú)立使用的虹膜識別產(chǎn)品，應(yīng)按產(chǎn)品測評要求進(jìn)行獨(dú)立測評；

d)對與計(jì)算機(jī)信息系統(tǒng)聯(lián)機(jī)運(yùn)行的虹膜識別產(chǎn)品，應(yīng)進(jìn)行聯(lián)機(jī)測評；

1

4.2測評程序

虹膜識別產(chǎn)品測評應(yīng)按照以下測評程序進(jìn)行：

a)開發(fā)者應(yīng)先進(jìn)行自測試，并提供相應(yīng)的測試文檔和測試結(jié)果；

b)測試者應(yīng)根據(jù)本標(biāo)準(zhǔn)對開發(fā)者提交測試的虹膜識別產(chǎn)品進(jìn)行測試，得出測試結(jié)果；

c)測試者應(yīng)對被測虹膜識別產(chǎn)品的自測試和測試者的測試結(jié)果做出評估。

5基本功能與性能測評

5.1基本功能測評

5.1.1自包含功能測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供自包含功能自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下方式

進(jìn)行自包含功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，分析虹膜識別產(chǎn)品是否具有自包含功能；

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查虹膜識別核心算法的運(yùn)行環(huán)境、關(guān)鍵

數(shù)據(jù)的生成及存儲環(huán)境屬于下述何種狀況：

——在虹膜識別產(chǎn)品自置的計(jì)算機(jī)中；

——在虹膜識別產(chǎn)品內(nèi)含的微處理芯片中。

c)分析評估：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的自包含功能：

——在虹膜識別產(chǎn)品自置的計(jì)算機(jī)制中：具有虹膜識別系統(tǒng)級的自包含功能；

——在虹膜識別產(chǎn)品內(nèi)含的微處理芯片中：具有虹膜識別芯片級的自包含功能。

5.1.2虹膜圖像采集與處理測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供虹膜圖像采集與處理功能的自測試文檔。虹膜識別產(chǎn)品測評者

應(yīng)通過以下方式進(jìn)行圖像處理功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供對虹膜圖像

進(jìn)行處理的功能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的圖像采集與處理功能

是否滿足：

——用戶虹膜圖像由虹膜識別設(shè)備采集，不應(yīng)以任何其他方式輸入；

——只處理現(xiàn)場采集的用戶虹膜圖像；

c)分析評價(jià)：對文檔檢查結(jié)構(gòu)和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的圖像處理功能。

5.1.3用戶標(biāo)識測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供用戶標(biāo)識功能的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下

方式進(jìn)行用戶標(biāo)識功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供用戶標(biāo)識功

2

能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的用戶標(biāo)識功能是否滿

足：

——對所有需要用虹膜特征識別的用戶均進(jìn)行了用戶標(biāo)識；

——所有用戶在用戶登錄時(shí)都進(jìn)行了標(biāo)識；

——用戶標(biāo)識以用戶名、用戶ID、組ID實(shí)現(xiàn)；

——每個(gè)用戶只有一個(gè)用戶標(biāo)識；

——超級用戶以外的一般用戶不能自行更改用戶標(biāo)識。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的用戶標(biāo)識功能。

5.1.4用戶登記測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供用戶登記功能的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下

方式進(jìn)行用戶登記功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供用戶登記功

能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的用戶登記功能是否滿

足：

——對所有需要用虹膜特征識別的用戶進(jìn)行登記；

——用戶登記應(yīng)在安全員的監(jiān)控下進(jìn)行，安全員實(shí)施其操作前應(yīng)先對其進(jìn)行使用虹膜識

別的身份識別；

——只應(yīng)對獲準(zhǔn)進(jìn)行用戶登記的用戶生成模板特征序列，存入特征序列數(shù)據(jù)庫。

——同一用戶在不同計(jì)算機(jī)信息系統(tǒng)中的模板特征序列應(yīng)具有共同的數(shù)據(jù)庫記錄結(jié)構(gòu)；

——對同一計(jì)算機(jī)信息系統(tǒng)，用戶登記是一次性過程，重新登記和數(shù)據(jù)庫更新應(yīng)由安全

員做出決定；

——在不同計(jì)算機(jī)信息系統(tǒng)共享同一特征序列數(shù)據(jù)庫的情況下，應(yīng)保證被共享的特征序

列數(shù)據(jù)庫的數(shù)據(jù)一致性；

——用戶登記應(yīng)列為安全審計(jì)事項(xiàng)；

——用于用戶登記的虹膜識別設(shè)備應(yīng)具有用戶識別功能。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的用戶登記功能。

5.1.5用戶識別測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供用戶識別功能的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下

方式進(jìn)行用戶識別功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供用戶識別功

3

能，了解用戶識別功能是否包括了用戶辨識和用戶確認(rèn)功能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的用戶識別功能是否滿

足：

——虹膜識別產(chǎn)品具有以用戶虹膜圖像作為唯一需要的用戶識別信息進(jìn)行用戶識別的

功能；

——進(jìn)行用戶識別時(shí)，應(yīng)使用實(shí)時(shí)采集的用戶虹膜圖像；

——進(jìn)行用戶識別時(shí)，應(yīng)實(shí)時(shí)生成樣本特征序列；

——進(jìn)行用戶辨識時(shí)，應(yīng)將實(shí)時(shí)生成的樣本特征序列與特征序列數(shù)據(jù)庫中的模板特征序

列逐一進(jìn)行比對，以確定特征序列數(shù)據(jù)庫中是否有該用戶的候選者。

——進(jìn)行用戶確認(rèn)時(shí)，還應(yīng)給出虹膜圖像外的其他用戶身份信息，如用戶ID；

——進(jìn)行用戶確認(rèn)時(shí)，應(yīng)根據(jù)所給用戶身份信息，從特征序列數(shù)據(jù)庫中檢索出該用戶的

模板特征序列，并將實(shí)時(shí)生成的樣本特征序列與模板特征序列進(jìn)行比對，以確定該用戶

是否為所給用戶身份信息的實(shí)際持有者；

——確定虹膜識別產(chǎn)品是否具有用戶辨識功能和用戶確定功能兩項(xiàng)功能，或是僅具有兩

項(xiàng)功能中的一項(xiàng)。

——用戶識別應(yīng)列為安全審計(jì)事項(xiàng)。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的用戶識別功能。

5.1.6識別失敗判定及處理測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供識別失敗判定及處理功能的自測試文檔。虹膜識別產(chǎn)品測評者

應(yīng)通過以下方式進(jìn)行識別失敗判定及處理功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供識別失敗判

定及處理功能，了解識別失敗判定及處理功能是否在用戶登記或用戶識別過程中。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查當(dāng)出現(xiàn)以下情形中的一項(xiàng)或多項(xiàng)時(shí)，

其文檔所描述的識別失敗判定及處理功能是否能準(zhǔn)確地判斷出識別失敗：

——設(shè)備故障：虹膜特征身份識別設(shè)備故障，不能成功捕捉圖像；

——像質(zhì)障礙：捕捉的圖像質(zhì)量不適于生成模板特征序列或生成樣本特征序列；

——超時(shí)斷開：終端操作超時(shí)斷開；

——數(shù)據(jù)庫故障：特征序列數(shù)據(jù)庫故障且在規(guī)定嘗試次數(shù)內(nèi)未能消除；

——嘗試超次：對用戶確認(rèn)與用戶識別，應(yīng)分別設(shè)定警告次數(shù)閾值，連續(xù)警告次數(shù)大于

該閾值時(shí)視作識別失?。?/p>

并提供以下識別失敗處理功能：

——制定識別失敗返回值表；

——在出現(xiàn)識別失敗情況時(shí)按照識別失敗返回值表返回錯(cuò)誤代碼或錯(cuò)誤值；

4

——針對不同識別失敗原因進(jìn)行相應(yīng)處理。

d)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的識別失敗判定及處理功能，對因像質(zhì)障礙引起的識別失敗，應(yīng)評測在正確使用情況

下該類障礙出現(xiàn)的頻繁程度。

5.1.7防偽造功能測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供防偽造功能的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下方

式進(jìn)行防偽造功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供防偽造功能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的防偽造功能是否可以

對以下防偽造功能進(jìn)行檢測：

——防照片偽造：應(yīng)能檢測或防止使用照片偽造識別圖像；

——防隱形鏡片偽造：應(yīng)能檢測或防止在隱形鏡片上復(fù)制偽造身份識別圖像；

——防復(fù)制偽造：應(yīng)能檢測或防止對當(dāng)前用戶識別數(shù)據(jù)的復(fù)制和非授權(quán)保存；

——防錄像偽造：應(yīng)能檢測或防止使用錄像偽造識別圖像；

——防死亡虹膜偽造：應(yīng)能檢測或防止用已經(jīng)死亡的虹膜組織取代活體虹膜組織。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的防偽造功能。

5.1.8警告與報(bào)警測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供警告與報(bào)警功能的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以

下方式進(jìn)行警告與報(bào)警功能的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否提供警告與報(bào)警

功能。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其文檔所描述的警告與報(bào)警功能是否

滿足：

——進(jìn)行用戶確認(rèn)時(shí)，如用戶不是所給用戶ID或其他用戶身份信息的持有者，或在進(jìn)

行用戶辨識時(shí)，特征序列數(shù)據(jù)庫中無用戶的候選者，應(yīng)給出警告信息；

——檢測出偽造識別圖像、識別數(shù)據(jù)，或復(fù)制、非授權(quán)保存圖像、數(shù)據(jù)，或非授權(quán)數(shù)據(jù)

庫操作時(shí)應(yīng)給出報(bào)警信息。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的警告與報(bào)警功能。

5.2基本性能測評

5.2.1錯(cuò)誤接受率與錯(cuò)誤拒絕率測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供錯(cuò)誤接受率與錯(cuò)誤拒絕率的自測試文檔。虹膜識別產(chǎn)品測評者

應(yīng)通過以下方式進(jìn)行錯(cuò)誤接受率與錯(cuò)誤拒絕率的測試與評價(jià)：

5

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否進(jìn)行了錯(cuò)誤接受

率與錯(cuò)誤拒絕率測試。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其是否具有文檔所描述的錯(cuò)誤接受率

與錯(cuò)誤拒絕率。測試應(yīng)滿足：

——應(yīng)使用隨機(jī)樣本；

——應(yīng)通過檢測，確定進(jìn)行了用戶登記的不同虹膜組織的總數(shù)；

——應(yīng)通過檢測，確定進(jìn)行了用戶識別的不同虹膜組織的總數(shù)；

——在統(tǒng)計(jì)比對次數(shù)時(shí)，同一虹膜組織的所有模板特征序列與任一虹膜組織的所有樣本

特征序列之間的所有比對，僅計(jì)為一次比對；

——應(yīng)測試錯(cuò)誤接受率：在用戶識別時(shí)，對于本該產(chǎn)生拒絕結(jié)果的比對，錯(cuò)誤地產(chǎn)生了

接受結(jié)果，統(tǒng)計(jì)產(chǎn)生這類錯(cuò)誤結(jié)果的比對次數(shù)與總比對次數(shù)的比率；

——應(yīng)測試錯(cuò)誤拒絕率：在用戶識別時(shí)，對于本該產(chǎn)生接受結(jié)果的比對，錯(cuò)誤地產(chǎn)生了

拒絕結(jié)果，統(tǒng)計(jì)產(chǎn)生這類錯(cuò)誤結(jié)果的比對次數(shù)與總比對次數(shù)的比率；

——應(yīng)能對錯(cuò)誤接受率和錯(cuò)誤拒絕率進(jìn)行調(diào)節(jié)，使其中之一變大時(shí)另一個(gè)變小，以滿足

不同的應(yīng)用需要；

——虹膜特征身份識別產(chǎn)品身份認(rèn)證的可靠性應(yīng)由錯(cuò)誤接受率和錯(cuò)誤拒絕率度量，應(yīng)以

虹膜識別產(chǎn)品能夠同時(shí)達(dá)到的錯(cuò)誤接受率和錯(cuò)誤拒絕率作為該產(chǎn)品錯(cuò)誤接受率和錯(cuò)誤

拒絕率的測定值；

——不同安全保護(hù)等級的虹膜特征身份識別產(chǎn)品應(yīng)具有與該等級相應(yīng)的錯(cuò)誤接受率與

錯(cuò)誤拒絕率；

——應(yīng)在使用者正確使用設(shè)備的條件下對錯(cuò)誤接受率和錯(cuò)誤拒絕率進(jìn)行評測。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的錯(cuò)誤接受率與錯(cuò)誤拒絕率設(shè)計(jì)。

5.2.2響應(yīng)時(shí)間測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供響應(yīng)時(shí)間的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下方式

進(jìn)行響應(yīng)時(shí)間的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品是否進(jìn)行了響應(yīng)時(shí)間

測試。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其是否達(dá)到文檔所描述的響應(yīng)時(shí)間要

求，以主頻為450MHz的CPU進(jìn)行衡量，虹膜識別產(chǎn)品應(yīng)滿足：

——用戶登記時(shí)間在30秒以下；

——用戶識別時(shí)間在2秒以下；

——特征序列比對速率在25，000次/秒以上。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

6

求的響應(yīng)時(shí)間設(shè)計(jì)。

5.2.3適用范圍測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供適用范圍的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下方式

進(jìn)行適用范圍的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品的適用范圍是否滿足

適用范圍要求。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其是否滿足以下要求：

——適用于不同人種的身份識別；

——既適用于本地用戶的登記與識別，也適用于遠(yuǎn)地用戶的登記與識別；

——既適用于一般用戶的登記與識別，也適用于特權(quán)用戶的登記與識別。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否具有所要

求的適用范圍設(shè)計(jì)。虹膜識別產(chǎn)品應(yīng)能適用于黃種人的身份識別，對其他人種，應(yīng)評測

其識別技術(shù)對于人種的獨(dú)立性。

5.2.4使用安全條件測試與評價(jià)

虹膜識別產(chǎn)品的開發(fā)者應(yīng)提供使用安全條件的自測試文檔。虹膜識別產(chǎn)品測評者應(yīng)通過以下

方式進(jìn)行使用安全條件的測試與評價(jià)：

a)檢查文檔：檢查自測試文檔，根據(jù)文檔的描述，了解虹膜識別產(chǎn)品的使用安全條件。

b)實(shí)際測試：通過對虹膜識別產(chǎn)品的實(shí)際測試，考查其使用安全條件是否滿足：

——使用者與設(shè)備無接觸方式，使用時(shí)虹膜圖像采集設(shè)備無痕跡殘留；

——不應(yīng)使用紫外光和遠(yuǎn)紅外光線進(jìn)行照明；

——可以在無自然光照明的環(huán)境中工作。

c)分析評價(jià)：對文檔檢查結(jié)果和實(shí)際測試情況進(jìn)行綜合分析，確定被測產(chǎn)品是否滿足所要

求的使用安全條件。

6分等級測評

6.1第一級產(chǎn)品測評

6.1.1基本功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的基本功能與性能是否滿足第一級信息

安全系統(tǒng)的要求：

6.1.1.1自包含功能測試與評價(jià)

應(yīng)按5.1.1所描述的要求與方法進(jìn)行自包含功能的測試與評價(jià)，確定虹膜識別產(chǎn)品是否具有用

戶系統(tǒng)級的自包含功能。

6.1.1.2虹膜圖像采集與處理測試與評價(jià)

應(yīng)按5.1.2所描述的要求與方法進(jìn)行圖像處理功能的測試與評價(jià)，并且：

——可保存用戶登記虹膜圖像和用戶識別虹膜圖像；

——可以文件形式保存虹膜圖像；

7

——應(yīng)實(shí)時(shí)刪除未保存的虹膜圖像。

6.1.1.3用戶標(biāo)識測試與評價(jià)

應(yīng)按5.1.3所描述的要求與方法進(jìn)行用戶標(biāo)識功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的用戶標(biāo)

識功能是否滿足5.1.3中的要求。

6.1.1.4用戶登記測試與評價(jià)

應(yīng)按5.1.4所描述的要求與方法進(jìn)行用戶登記功能的測試與評價(jià)，并且：

a)用戶登記可以兩幅可用圖像實(shí)現(xiàn)；

b)可以文件形式存貯與虹膜特征序列數(shù)據(jù)庫記錄具有相同形式的用戶模板特征序列；

c)在以數(shù)據(jù)庫存儲模板特征序列時(shí)，用戶登記功能應(yīng)滿足5.1.4中的要求；

d)在數(shù)據(jù)庫記錄或文件中，有效載荷數(shù)據(jù)部分可為空數(shù)據(jù)；

e)在數(shù)據(jù)庫記錄或文件中，簽名部分可為空數(shù)據(jù)。

6.1.1.5用戶識別測試與評價(jià)

應(yīng)按5.1.5所描述的要求與方法進(jìn)行用戶識別功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的圖像處

理功能是否滿足5.1.5中的要求，并且：

a)用戶識別應(yīng)以兩幅可用圖像實(shí)現(xiàn)；

b)用戶識別可以只具有用戶辨識功能或用戶確認(rèn)功能。

6.1.1.6識別失敗判定及處理測試與評價(jià)

按5.1.6所描述的要求與方法進(jìn)行識別失敗判定及處理功能的測試與評價(jià)，確定虹膜識別產(chǎn)品

是否滿足5.1.6中的要求，并且：

a）應(yīng)能對設(shè)備故障、像質(zhì)障礙、超時(shí)斷開所引起的識別失敗事件進(jìn)行判定。

b）應(yīng)能在識別失敗時(shí)，按規(guī)定次數(shù)進(jìn)行重新識別。

c）應(yīng)在用戶未能通過用戶確認(rèn)或用戶識別時(shí)顯示識別失敗信息。

6.1.1.7防偽造處理測試與評價(jià)

按5.1.7所描述的要求與方法進(jìn)行以下防偽造功能的測試與評價(jià)。

a)應(yīng)滿足防復(fù)制偽造要求；

b)在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)。

6.1.2基本性能測評

6.1.2.1錯(cuò)誤接受率與錯(cuò)誤拒絕率測試與評價(jià)

應(yīng)按5.2.1所描述的要求與方法進(jìn)行錯(cuò)誤接受率與錯(cuò)誤拒絕率的測試與評價(jià)，測定虹膜識別產(chǎn)

品的錯(cuò)誤接受率和錯(cuò)誤拒絕率，并應(yīng)滿足：

a)錯(cuò)誤接受率不大于萬分之一；

b)在錯(cuò)誤接受率不大于萬分之一時(shí)，錯(cuò)誤拒絕率不大于百分之一。

6.1.2.2響應(yīng)時(shí)間測試與評價(jià)

應(yīng)按5.2.2所描述的要求與方法進(jìn)行響應(yīng)時(shí)間的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.2

8

中的要求。

6.1.2.3適用范圍測試與評價(jià)

應(yīng)按5.2.3所描述的要求與方法進(jìn)行適用范圍的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.3

中的要求。

6.1.2.4使用安全條件測試與評價(jià)

應(yīng)按5.2.4所描述的要求與方法進(jìn)行使用安全條件的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足

5.2.4中的要求。

6.1.3自身安全功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的自身安全功能是否滿足第一級信息安

全系統(tǒng)的要求：

6.1.3.1物理安全測試與評價(jià)

應(yīng)按GB/T20979-20076.1.3.1的要求，從以下方面對物理安全進(jìn)行測試與評價(jià)：

a)設(shè)備安全

應(yīng)按GB/T20979-20076.1.3.1.2的要求，對設(shè)備安全進(jìn)行測試與評價(jià)。

b)記錄介質(zhì)安全

應(yīng)按GB/T20979-20076.1.3.1.3的要求，對記錄介質(zhì)安全進(jìn)行測試與評價(jià)。

6.1.3.2運(yùn)行安全測試與評價(jià)

應(yīng)按GB/T20979-20076.1.3.2的要求，從以下方面進(jìn)行測試與評價(jià)：

a)風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析應(yīng)包括以下內(nèi)容：

1.1.1.1——分析由于人為的和自然的原因?qū)缒ぷR別產(chǎn)品所造成的安全風(fēng)險(xiǎn)；

1.1.1.2——描述虹膜識別產(chǎn)品存在的安全風(fēng)險(xiǎn)，以及克服這些風(fēng)險(xiǎn)的辦法；

1.1.1.3——在確定虹膜識別產(chǎn)品所提供的基本功能與性能，所存儲、傳輸和處理數(shù)據(jù)的保

護(hù)需求的基礎(chǔ)上，確定虹膜識別產(chǎn)品的安全等級為第一級。

1.1.1.4b)安全審計(jì)

1.1.1.5應(yīng)按GB/T20979-20076.1.3.2.3的要求，進(jìn)行以下安全審計(jì)測試與評價(jià)：

——對復(fù)制偽造事件做出響應(yīng)；

1.1.1.6——在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)；

1.1.1.7——對各項(xiàng)審計(jì)事件產(chǎn)生、保護(hù)審計(jì)數(shù)據(jù)，提供審計(jì)數(shù)據(jù)查閱功能。

c)備份與故障恢復(fù)

應(yīng)按GB/T20979-20076.2.3.2.4的要求，滿足以下要求：

——對模板特征序列及審計(jì)數(shù)據(jù)進(jìn)行信息備份。

6.1.3.3數(shù)據(jù)安全測試與評價(jià)

a)特權(quán)用戶身份識別

按GB/T20979-20076.1.3.3.1的要求，對進(jìn)入虹膜識別系統(tǒng)對該系統(tǒng)進(jìn)行管理操作的特權(quán)用

戶（如系統(tǒng)管理員）進(jìn)行身份識別，并且：

9

——特權(quán)用戶的身份識別應(yīng)使用虹膜識別；

b)訪問控制

按GB/T20979-20076.1.3.3.2的要求，對以下訪問控制功能進(jìn)行檢測：

——虹膜圖像采集進(jìn)程、虹膜圖像處理進(jìn)程、模板特征序列生成進(jìn)程、樣本特征序列生成進(jìn)

程、特征序列比對進(jìn)程應(yīng)自動進(jìn)行，不應(yīng)有人工干預(yù)；

——確定特權(quán)用戶對模板特征序列的存儲管理權(quán)限；

——虹膜識別產(chǎn)品應(yīng)具有虹膜圖像及圖像處理過程的輸出圖像的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有樣本特征序列以及比對用模板特征序列的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有用戶識別結(jié)果的自動傳輸、自動顯示與自動刪除功能。

c)數(shù)據(jù)完整性保護(hù)

按GB/T20979-20076.1.3.3.3的要求，對以下數(shù)據(jù)完整性功能進(jìn)行檢測：

——虹膜識別產(chǎn)品應(yīng)具有數(shù)據(jù)完整性保護(hù)算法；

——虹膜識別產(chǎn)品應(yīng)能使用數(shù)據(jù)完整性保護(hù)算法對存儲和傳輸?shù)暮缒ぬ卣餍蛄羞M(jìn)行數(shù)據(jù)完整

性保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用模板特征序列自動生成進(jìn)程、樣本特征序列自動生成進(jìn)程對處理過

程中的虹膜特征序列進(jìn)行數(shù)據(jù)完整性保護(hù)。

d)數(shù)據(jù)保密性保護(hù)

按GB/T20979-20076.1.3.3.3的要求，對以下數(shù)據(jù)保密性功能進(jìn)行檢測：

——虹膜識別產(chǎn)品應(yīng)能用特權(quán)用戶對模板特征序列的存儲管理授權(quán)對模板特征序列進(jìn)行數(shù)據(jù)

保密性保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用用戶應(yīng)用系統(tǒng)的信息安全功能對被傳輸?shù)暮缒ぷR別特征序列和用戶

識別結(jié)果進(jìn)行數(shù)據(jù)保密性保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用虹膜圖像及虹膜圖像處理的輸出圖像的自動刪除功能進(jìn)行剩余敏感

信息的保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用樣本特征序列、比對用模板特征序列和用戶識別結(jié)果的自動刪除功

能進(jìn)行剩余敏感信息的保護(hù)。

6.1.4安全保證測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的安全保證是否滿足第一級信息安全系

統(tǒng)的要求：

6.1.4.1虹膜識別產(chǎn)品自身安全保護(hù)測試與評價(jià)

按GB/T20271-2006中6.2.4的要求檢查自測試文檔，分析虹膜識別產(chǎn)品是否具有以下自身安

全保護(hù)功能：

a)具有程序完整性；

b)能夠正確、不間斷運(yùn)行；

10

c)有可靠的時(shí)間戳支持；

d)受到物理攻擊時(shí)能及時(shí)進(jìn)行報(bào)告。

6.1.4.2虹膜識別產(chǎn)品設(shè)計(jì)與實(shí)現(xiàn)測試與評價(jià)

按GB/T20271-2006中6.2.5的要求檢查自測試文檔，在虹膜識別產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)中：

a）文檔編寫是否符合要求；

b）產(chǎn)品實(shí)現(xiàn)過程是否符合設(shè)計(jì)要求。

6.1.4.3虹膜識別產(chǎn)品安全管理測試與評價(jià)

按GB/T20271-2006中6.2.5的要求檢查自測試文檔，檢查以下安全管理是否制定有相應(yīng)的操

作、運(yùn)行規(guī)程和行為規(guī)章制度：

a)虹膜識別產(chǎn)品的功能管理；

b)虹膜識別產(chǎn)品的安全角色的定義。

6.2第二級產(chǎn)品測評

6.2.1基本功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的基本功能與性能是否滿足第二級信息

安全系統(tǒng)的要求：

6.2.1.1自包含功能測試與評價(jià)

應(yīng)按5.1.1所描述的要求與方法進(jìn)行自包含功能的測試與評價(jià)，確定虹膜識別產(chǎn)品是否具有以

下自包含功能：

a)虹膜識別算法、關(guān)鍵數(shù)據(jù)的生成具有虹膜識別芯片級自包含功能；

b)關(guān)鍵數(shù)據(jù)的存儲具有虹膜識別系統(tǒng)級自包含功能。

6.2.1.2虹膜圖像采集與處理測試與評價(jià)

應(yīng)按5.1.2所描述的要求與方法進(jìn)行圖像處理功能的測試與評價(jià)，并且：

——可保存用戶登記虹膜圖像和用戶識別虹膜圖像；

——應(yīng)保存用戶登記虹膜圖像；

——虹膜圖像應(yīng)以數(shù)據(jù)庫形式保存；

——應(yīng)實(shí)時(shí)刪除未保存的虹膜圖像。

6.2.1.3用戶標(biāo)識測試與評價(jià)

應(yīng)按5.1.3所描述的要求與方法進(jìn)行用戶標(biāo)識功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的用戶標(biāo)

識功能是否滿足5.1.3中的要求。

6.2.1.4用戶登記測試與評價(jià)

應(yīng)按5.1.4所描述的要求與方法進(jìn)行用戶登記功能的測試與評價(jià)，并應(yīng)：

a)用戶登記以兩幅可用圖像實(shí)現(xiàn)；

b)以數(shù)據(jù)庫形式存儲模板特征序列；

c)數(shù)據(jù)庫記錄中，有效載荷數(shù)據(jù)部分不應(yīng)為空數(shù)據(jù)；

e)在數(shù)據(jù)庫記錄中，簽名部分可為空數(shù)據(jù)。

11

6.2.1.5用戶識別測試與評價(jià)

應(yīng)按5.1.5所描述的要求與方法進(jìn)行用戶識別功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的圖像處

理功能是否滿足5.1.5中的要求，并且：

a)用戶識別應(yīng)以兩幅可用圖像實(shí)現(xiàn)；

b)用戶識別應(yīng)具有用戶辨識和用戶確認(rèn)兩種功能。

6.2.1.6識別失敗判定及處理測試與評價(jià)

按5.1.6所描述的要求與方法進(jìn)行識別失敗判定及處理功能的測試與評價(jià)，確定虹膜識別產(chǎn)品

是否滿足5.1.6中的要求，并且：

a)應(yīng)能對設(shè)備故障、像質(zhì)障礙、超時(shí)斷開所引起的識別失敗事件進(jìn)行判定；

b)應(yīng)分析識別失敗事件產(chǎn)生的原因，提出減少識別失敗事件的措施；

c)應(yīng)能在識別失敗時(shí)，按規(guī)定次數(shù)進(jìn)行重新識別；

d)應(yīng)在用戶未能通過用戶確認(rèn)或用戶識別時(shí)顯示識別失敗信息；

e)應(yīng)將超過規(guī)定次數(shù)的識別失敗作為安全審計(jì)事項(xiàng)。

6.2.1.7防偽造測試與評價(jià)

按5.1.7所描述的要求與方法進(jìn)行以下防偽造功能的測試與評價(jià)。

a)應(yīng)滿足防復(fù)制偽造要求；

b)應(yīng)能檢測出使用復(fù)制偽造信息的重放攻擊事件；

c)應(yīng)有防隱形鏡片攻擊功能；

d)在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)。

6.2.2基本性能測評

6.2.2.1錯(cuò)誤接受率與錯(cuò)誤拒絕率測試與評價(jià)

應(yīng)按5.2.1所描述的要求與方法進(jìn)行錯(cuò)誤接受率與錯(cuò)誤拒絕率的測試與評價(jià)，測定虹膜識別產(chǎn)

品的錯(cuò)誤接受率和錯(cuò)誤拒絕率，并且：

a)錯(cuò)誤接受率不大于十萬分之一；

b)在錯(cuò)誤接受率不大于十萬分之一時(shí)，錯(cuò)誤拒絕率不大于百分之一；

c)用戶登記時(shí)，同一虹膜存入模板特征數(shù)據(jù)庫中的模板特征序列測試數(shù)據(jù)不少于兩組；d)

用戶識別時(shí)，同一虹膜實(shí)時(shí)生成的樣本特征序列測試數(shù)據(jù)不少于三組。

6.2.2.2響應(yīng)時(shí)間測試與評價(jià)

應(yīng)按5.2.2所描述的要求與方法進(jìn)行響應(yīng)時(shí)間的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.2

中的要求。

6.2.2.3適用范圍測試與評價(jià)

應(yīng)按5.2.3所描述的要求與方法進(jìn)行適用范圍的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.3

中的要求。

12

6.2.2.4使用安全條件測試與評價(jià)

應(yīng)按5.2.4所描述的要求與方法進(jìn)行使用安全條件的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足

5.2.4中的要求。

6.2.3自身安全功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的自身安全功能是否滿足第二級信息安

全系統(tǒng)的要求：

6.2.3.1物理安全測試與評價(jià)

應(yīng)按GB/T20979-20076.2.3.1的要求，從以下方面對物理安全進(jìn)行測試與評價(jià)：

c)設(shè)備安全

應(yīng)按GB/T20979-20076.2.3.1.2的要求，對設(shè)備安全進(jìn)行測試與評價(jià)。

d)記錄介質(zhì)安全

應(yīng)按GB/T20979-20076.2.3.1.3的要求，對記錄介質(zhì)安全進(jìn)行測試與評價(jià)。

6.2.3.2運(yùn)行安全測試與評價(jià)

應(yīng)按GB/T20979-20076.2.3.2的要求，從以下方面進(jìn)行測試與評價(jià)：

a）風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析應(yīng)包括以下內(nèi)容：

1.1.1.8——分析由于人為的和自然的原因?qū)缒ぷR別產(chǎn)品所造成的安全風(fēng)險(xiǎn)；

1.1.1.9——描述虹膜識別產(chǎn)品存在的安全風(fēng)險(xiǎn)，以及克服這些風(fēng)險(xiǎn)的辦法；

1.1.1.10——描述產(chǎn)品設(shè)計(jì)前和運(yùn)行前的靜態(tài)風(fēng)險(xiǎn)分析方法和過程，及所發(fā)現(xiàn)的虹膜識別

產(chǎn)品潛在安全隱患；

1.1.1.11——分析產(chǎn)品運(yùn)行過程中可能遭受到的攻擊事件；

1.1.1.12——在確定虹膜識別產(chǎn)品所提供的基本功能與性能，所存儲、傳輸和處理數(shù)據(jù)的

保護(hù)需求的基礎(chǔ)上，確定虹膜識別產(chǎn)品的安全等級為第二級。

1.1.1.13b)安全審計(jì)

1.1.1.14應(yīng)按GB/T20979-20076.2.3.2.3的要求進(jìn)行安全審計(jì)測試與評價(jià)，并且：

——對復(fù)制偽造事件做出響應(yīng)；

——對隱形鏡片攻擊事件做出響應(yīng)；

——對非授權(quán)進(jìn)行數(shù)據(jù)庫操作事件做出響應(yīng)；

——對使用復(fù)制偽造信息的重放攻擊事件做出響應(yīng)；

——在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)；

——對各項(xiàng)審計(jì)事件產(chǎn)生、保護(hù)審計(jì)數(shù)據(jù)，提供審計(jì)數(shù)據(jù)查閱功能。

c)備份與故障恢復(fù)

應(yīng)按GB/T20979-20076.2.3.2.4的要求，滿足以下要求：

——對模板特征序列及審計(jì)數(shù)據(jù)進(jìn)行信息備份；

——在虹膜識別產(chǎn)品運(yùn)行中出現(xiàn)致使信息丟失的故障時(shí)，能依據(jù)備份信息進(jìn)行信息恢復(fù)。

13

6.2.3.3數(shù)據(jù)安全測試與評價(jià)

a)特權(quán)用戶身份識別

應(yīng)按GB/T20979-20076.2.3.3.1的要求，對進(jìn)入虹膜識別系統(tǒng)對該系統(tǒng)進(jìn)行管理操作的特權(quán)

用戶（如系統(tǒng)管理員）進(jìn)行身份識別，并且：

——特權(quán)用戶的身份識別應(yīng)使用虹膜識別；

——特權(quán)用戶對模板特征序列的操作應(yīng)列為審計(jì)事件。

b)訪問控制

應(yīng)對以下訪問控制功能進(jìn)行檢測：

——虹膜圖像采集進(jìn)程、虹膜圖像處理進(jìn)程、模板特征序列生成進(jìn)程、樣本特征序列生成進(jìn)

程、特征序列比對進(jìn)程應(yīng)自動進(jìn)行，不應(yīng)有人工干預(yù)；

——確定特權(quán)用戶對模板特征序列的存儲管理權(quán)限；

——虹膜識別產(chǎn)品應(yīng)具有虹膜圖像及圖像處理過程的輸出圖像的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有樣本特征序列以及比對用模板特征序列的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有用戶識別結(jié)果的自動傳輸、自動顯示與自動刪除功能。

并應(yīng)按照GB/T20979-2007附錄C表C.2所表示的主、客體對應(yīng)關(guān)系及操作規(guī)則，通過對

主、客體設(shè)置敏感標(biāo)記，實(shí)現(xiàn)對虹膜識別數(shù)據(jù)和虹膜特征序列數(shù)據(jù)信息的訪問控制：

——模板特征序列數(shù)據(jù)庫記錄中的不透明數(shù)據(jù)（含模板特征序列及有效載荷）只能由模板特

征序列生成進(jìn)程寫入，由特征序列比對進(jìn)程讀出；

——模板特征序列生成進(jìn)程、樣本特征序列生成進(jìn)程、特征序列比對進(jìn)程應(yīng)由虹膜識別產(chǎn)品

芯片級自包含功能中實(shí)現(xiàn)；

c)數(shù)據(jù)完整性保護(hù)

應(yīng)按GB/T20979-20076.2.3.3.3的要求，對以下數(shù)據(jù)完整性功能進(jìn)行檢測：

——虹膜識別產(chǎn)品在虹膜特征序列存儲傳輸中應(yīng)具有數(shù)據(jù)完整性功能；

——虹膜識別產(chǎn)品在虹膜特征序列存儲傳輸中應(yīng)具有抗篡改功能；

——虹膜識別產(chǎn)品應(yīng)能用模板特征序列自動生成進(jìn)程、樣本特征序列自動生成進(jìn)程對處理過

程中的虹膜特征序列進(jìn)行數(shù)據(jù)完整性保護(hù)。

d)數(shù)據(jù)保密性保護(hù)

應(yīng)按GB/T20979-20076.2.3.3.3的要求，對以下數(shù)據(jù)保密性功能進(jìn)行檢測：

——虹膜識別產(chǎn)品應(yīng)能用特權(quán)用戶對模板特征序列的存儲管理授權(quán)對模板特征序列進(jìn)行數(shù)據(jù)

保密性保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用用戶應(yīng)用系統(tǒng)的信息安全功能對被傳輸?shù)暮缒ぷR別特征序列和用戶

識別結(jié)果進(jìn)行數(shù)據(jù)保密性保護(hù)；

——虹膜識別產(chǎn)品應(yīng)能用虹膜圖像及虹膜圖像處理的輸出圖像的自動刪除功能進(jìn)行剩余敏感

信息的保護(hù)；

14

——虹膜識別產(chǎn)品應(yīng)能用樣本特征序列、比對用模板特征序列和用戶識別結(jié)果的自動刪除功

能進(jìn)行剩余敏感信息的保護(hù)。

——虹膜識別產(chǎn)品應(yīng)有模板特征序列加密存儲功能，不以明碼形式固定存儲虹膜特征序列；

——在虹膜特征序列被泄露時(shí)，虹膜識別產(chǎn)品應(yīng)有虹膜特征序列撤消機(jī)制；

——在C/S結(jié)構(gòu)中，虹膜識別產(chǎn)品應(yīng)有服務(wù)器對客戶機(jī)端的認(rèn)證功能；

6.2.4安全保證測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的安全保證是否滿足第二級信息安全系

統(tǒng)的要求：

6.2.4.1虹膜識別產(chǎn)品自身安全保護(hù)測試與評價(jià)

應(yīng)按GB/T20271-2006中6.2.4的要求檢查自測試文檔，分析虹膜識別產(chǎn)品是否具有以下自

身安全保護(hù)功能：

a)具有程序完整性；

b)能夠正確、不間斷運(yùn)行；

c)有可靠的時(shí)間戳支持；

d)受到物理攻擊時(shí)能及時(shí)進(jìn)行報(bào)告。

6.2.4.2虹膜識別產(chǎn)品設(shè)計(jì)與實(shí)現(xiàn)測試與評價(jià)

應(yīng)按GB/T20271-2006中6.2.5的要求檢查自測試文檔，在虹膜識別產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)中：

a)文檔編寫是否符合要求；

b)產(chǎn)品實(shí)現(xiàn)過程是否符合設(shè)計(jì)要求。

6.2.4.3虹膜識別產(chǎn)品安全管理測試與評價(jià)

應(yīng)按GB/T20271-2006中6.2.5的要求檢查自測試文檔，檢查以下安全管理是否制定相應(yīng)的

操作、運(yùn)行規(guī)程和行為規(guī)章制度：

a)虹膜識別產(chǎn)品的功能管理；

b)虹膜識別產(chǎn)品的安全角色的定義。

6.3第三級產(chǎn)品測評

6.3.1基本功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的基本功能與性能是否滿足第三級信息

安全系統(tǒng)的要求：

6.3.1.1自包含功能測試與評價(jià)

應(yīng)按5.1.1所描述的要求與方法進(jìn)行自包含功能的測試與評價(jià)，確定虹膜識別產(chǎn)品是否具有以

下自包含功能：

a)虹膜識別算法、關(guān)鍵數(shù)據(jù)的生成具有虹膜識別芯片級自包含功能；

b)關(guān)鍵數(shù)據(jù)的存儲具有虹膜識別芯片統(tǒng)級自包含功能。

6.3.1.2虹膜圖像采集與處理測試與評價(jià)

應(yīng)按5.1.2所描述的要求與方法進(jìn)行圖像處理功能的測試與評價(jià)，并且：

15

——應(yīng)保存用戶登記虹膜圖像

——應(yīng)保存用戶識別虹膜圖像；

——虹膜圖像應(yīng)以數(shù)據(jù)庫形式保存；

——應(yīng)實(shí)時(shí)刪除未保存的虹膜圖像。

6.3.1.3用戶標(biāo)識測試與評價(jià)

應(yīng)按5.1.3所描述的要求與方法進(jìn)行用戶標(biāo)識功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的用戶標(biāo)

識功能是否滿足5.1.3中的要求，并且：

——不應(yīng)使用用戶組ID；

6.3.1.4用戶登記測試與評價(jià)

應(yīng)按5.1.4所描述的要求與方法進(jìn)行用戶登記功能的測試與評價(jià)，并應(yīng)：

a)用戶登記以四幅可用圖像實(shí)現(xiàn)；

b)以數(shù)據(jù)庫形式存儲模板特征序列；

c)數(shù)據(jù)庫記錄中，有效載荷數(shù)據(jù)部分不應(yīng)為空數(shù)據(jù)；

e)在數(shù)據(jù)庫記錄中，簽名部分不應(yīng)為空數(shù)據(jù)。

6.3.1.5用戶識別測試與評價(jià)

應(yīng)按5.1.5所描述的要求與方法進(jìn)行用戶識別功能的測試與評價(jià)，確定虹膜識別產(chǎn)品的圖像處

理功能是否滿足5.1.5中的要求，并且：

a)用戶識別應(yīng)以兩幅可用圖像實(shí)現(xiàn)；

b)用戶識別應(yīng)具有用戶辨識和用戶確認(rèn)兩種功能。

6.3.1.6識別失敗判定及處理測試與評價(jià)

按5.1.6所描述的要求與方法進(jìn)行識別失敗判定及處理功能的測試與評價(jià)，確定虹膜識別產(chǎn)品

是否滿足5.1.6中的要求，并且：

a)應(yīng)能對設(shè)備故障、像質(zhì)障礙、超時(shí)斷開所引起的識別失敗事件進(jìn)行判定；

b)應(yīng)分析識別失敗事件產(chǎn)生的原因，提出減少識別失敗事件的措施；

c)虹膜識別產(chǎn)品應(yīng)能長期穩(wěn)定運(yùn)行；

d)應(yīng)能在識別失敗時(shí)，按規(guī)定次數(shù)進(jìn)行重新識別；

e)應(yīng)在用戶未能通過用戶確認(rèn)或用戶識別時(shí)顯示識別失敗信息；

f)應(yīng)將超過規(guī)定次數(shù)的識別失敗作為安全審計(jì)事項(xiàng)。

6.3.1.7防偽造測試與評價(jià)

按5.1.7所描述的要求與方法進(jìn)行以下防偽造功能的測試與評價(jià)。

a)應(yīng)滿足防復(fù)制偽造要求；

b)應(yīng)能檢測出使用復(fù)制偽造信息的重放攻擊事件；

c)應(yīng)有防隱形鏡片攻擊功能；

d)應(yīng)有防圖片攻擊功能；

16

d)應(yīng)有防錄相攻擊功能；

e)應(yīng)有辨識非活體虹膜組織圖像的功能；

f)在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)。

6.3.2基本性能測評

6.3.2.1錯(cuò)誤接受率與錯(cuò)誤拒絕率測試與評價(jià)

應(yīng)按5.2.1所描述的要求與方法進(jìn)行錯(cuò)誤接受率與錯(cuò)誤拒絕率的測試與評價(jià)，測定虹膜識別產(chǎn)

品的錯(cuò)誤接受率和錯(cuò)誤拒絕率，并應(yīng)滿足：

a)錯(cuò)誤接受率不大于三十萬分之一；

b)在錯(cuò)誤接受率不大于三十萬分之一時(shí)，錯(cuò)誤拒絕率不大于百分之一；

c)用戶登記時(shí)，同一虹膜存入模板特征數(shù)據(jù)庫中的模板特征序列測試數(shù)據(jù)不少于三組；

d)用戶識別時(shí)，同一虹膜實(shí)時(shí)生成的樣本特征序列測試數(shù)據(jù)不少于四組。

6.3.2.2響應(yīng)時(shí)間測試與評價(jià)

應(yīng)按5.2.2所描述的要求與方法進(jìn)行響應(yīng)時(shí)間的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.2

中的要求。

6.3.2.3適用范圍測試與評價(jià)

應(yīng)按5.2.3所描述的要求與方法進(jìn)行適用范圍的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足5.2.3

中的要求。

6.3.2.4使用安全條件測試與評價(jià)

應(yīng)按5.2.4所描述的要求與方法進(jìn)行使用安全條件的測試與評價(jià)，確定虹膜識別產(chǎn)品是否滿足

5.2.4中的要求。

6.3.3自身安全功能測評

應(yīng)從以下方面進(jìn)行測試與評價(jià)，以確定虹膜識別產(chǎn)品的自身安全功能是否滿足第三級信息安

全系統(tǒng)的要求：

6.3.3.1物理安全測試與評價(jià)

應(yīng)按GB/T20979-20076.3.3.1的要求，從以下方面對物理安全進(jìn)行測試與評價(jià)：

a)設(shè)備安全

應(yīng)按GB/T20979-20076.3.3.1.2的要求，對設(shè)備安全進(jìn)行測試與評價(jià)。

b)記錄介質(zhì)安全

應(yīng)按GB/T20979-20076.3.3.1.3的要求，對記錄介質(zhì)安全進(jìn)行測試與評價(jià)。

6.3.3.2運(yùn)行安全測試與評價(jià)

應(yīng)按GB/T20979-20076.3.3.2的要求，從以下方面進(jìn)行測試與評價(jià)：

a)風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析應(yīng)包括以下內(nèi)容：

1.1.1.15——分析由于人為的和自然的原因?qū)缒ぷR別產(chǎn)品所造成的安全風(fēng)險(xiǎn)；

1.1.1.16——描述虹膜識別產(chǎn)品存在的安全風(fēng)險(xiǎn)，以及克服這些風(fēng)險(xiǎn)的辦法；

17

1.1.1.17——描述產(chǎn)品設(shè)計(jì)前和運(yùn)行前的靜態(tài)風(fēng)險(xiǎn)分析方法和過程，及所發(fā)現(xiàn)的虹膜識別

產(chǎn)品潛在安全隱患；

1.1.1.18——分析產(chǎn)品運(yùn)行過程中可能遭受到的攻擊事件；

1.1.1.19——描述產(chǎn)品運(yùn)行過程中的動態(tài)風(fēng)險(xiǎn)分析方法和過程，及所測試、跟蹤并記錄的

與風(fēng)險(xiǎn)有關(guān)的活動、產(chǎn)品運(yùn)行期的安全漏洞，以及相應(yīng)的產(chǎn)品脆弱性分析；

1.1.1.20——描述所采用風(fēng)險(xiǎn)分析工具，所收集、分析、輸出的數(shù)據(jù)，所確定的危險(xiǎn)的嚴(yán)

重性等級、危險(xiǎn)的可能性及所確定安全對策。

1.1.1.21——在確定虹膜識別產(chǎn)品所提供的基本功能與性能，所存儲、傳輸和處理數(shù)據(jù)的

保護(hù)需求的基礎(chǔ)上，確定虹膜識別產(chǎn)品的安全等級為第三級。

1.1.1.22b)安全審計(jì)

1.1.1.23應(yīng)按GB/T20979-20076.3.3.2.3的要求進(jìn)行安全審計(jì)測試與評價(jià)，并應(yīng)滿足：

——對復(fù)制偽造事件做出響應(yīng)；

——對隱形鏡片攻擊事件做出響應(yīng)；

——對圖片攻擊事件做出響應(yīng)；

——對錄相攻擊事件做出響應(yīng)；

——對使用非活體虹膜組織圖像事件做出響應(yīng)；

——對非授權(quán)進(jìn)行數(shù)據(jù)庫操作事件做出響應(yīng)；

——對使用復(fù)制偽造信息的重放攻擊事件做出響應(yīng)；

——在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)；

——對各項(xiàng)審計(jì)事件產(chǎn)生、保護(hù)審計(jì)數(shù)據(jù)，提供審計(jì)數(shù)據(jù)查閱功能。

c)備份與故障恢復(fù)

應(yīng)按GB/T20979-20076.3.3.2.4的要求，滿足以下要求：

——對模板特征序列及審計(jì)數(shù)據(jù)進(jìn)行信息備份；

——在虹膜識別產(chǎn)品運(yùn)行中出現(xiàn)致使信息丟失的故障時(shí)，能依據(jù)備份信息進(jìn)行信息恢復(fù)。

6.3.3.3數(shù)據(jù)安全測試與評價(jià)

a)特權(quán)用戶身份識別

應(yīng)按GB/T20979-20076.3.3.3.1的要求，對進(jìn)入虹膜識別系統(tǒng)對該系統(tǒng)進(jìn)行管理操作的特權(quán)

用戶（如系統(tǒng)管理員）進(jìn)行身份識別，并且：

——特權(quán)用戶的身份識別應(yīng)使用虹膜識別；

——特權(quán)用戶對模板特征序列的操作應(yīng)列為審計(jì)事件。

——特權(quán)用戶全部操作均應(yīng)列為審計(jì)事件。

b)訪問控制

應(yīng)對以下訪問控制功能進(jìn)行檢測：

——虹膜圖像采集進(jìn)程、虹膜圖像處理進(jìn)程、模板特征序列生成進(jìn)程、樣本特征序列生成進(jìn)

程、特征序列比對進(jìn)程應(yīng)自動進(jìn)行，不應(yīng)有人工干預(yù)；

18

——確定特權(quán)用戶對模板特征序列的存儲管理權(quán)限；

——虹膜識別產(chǎn)品應(yīng)具有虹膜圖像及圖像處理過程的輸出圖像的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有樣本特征序列以及比對用模板特征序列的自動刪除功能；

——虹膜識別產(chǎn)品應(yīng)具有用戶識別結(jié)果的自動傳輸、自動顯示與自動刪除功能。

并應(yīng)按照GB/T20979-2007附錄C表C.2所表示的主、客體對應(yīng)關(guān)系及操作規(guī)則，通過對

主、客體設(shè)置敏感標(biāo)記，實(shí)現(xiàn)對虹膜識別數(shù)據(jù)和虹膜特