國家標(biāo)準(zhǔn)《信息安全技術(shù) 指紋識(shí)別系統(tǒng)技術(shù)要求》（征求意見稿）編制說明

PAGE1GA××××—2002PAGE工作簡況任務(wù)來源《信息安全技術(shù)指紋識(shí)別系統(tǒng)技術(shù)要求》是國家標(biāo)準(zhǔn)化管理委員會(huì)2011年下達(dá)的信息安全國家標(biāo)準(zhǔn)制定項(xiàng)目，國標(biāo)計(jì)劃號(hào)為：20111598-T-469。由公安部安全與警用電子產(chǎn)品質(zhì)量檢測中心主要負(fù)責(zé)起草。深圳市亞略特生物識(shí)別科技有限公司、浙江維爾生物識(shí)別技術(shù)股份有限公司、長春鴻達(dá)信息科技股份有限公司、北京凝思科技有限公司、深圳中控生物識(shí)別技術(shù)有限公司、阿里巴巴（北京）軟件服務(wù)有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。主要工作過程1、2007年，承擔(dān)了國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項(xiàng)《信息安全技術(shù)指紋識(shí)別系統(tǒng)技術(shù)要求》（草案）標(biāo)準(zhǔn)預(yù)編項(xiàng)目，2010年該項(xiàng)目通過了驗(yàn)收，形成了標(biāo)準(zhǔn)草案及課題研究報(bào)告；2、2011年11月，我中心組織參編單位杭州維爾公司、深圳亞略特公司召開標(biāo)準(zhǔn)編制單位第一次研討會(huì)，對(duì)標(biāo)準(zhǔn)編制的組織形式及任務(wù)分工進(jìn)行了安排，在此基礎(chǔ)上形成標(biāo)準(zhǔn)草案第一稿。3、2012年3月，我中心組織參編單位杭州維爾公司、深圳亞略特公司召開標(biāo)準(zhǔn)編制單位第二次研討會(huì)，建議增加標(biāo)準(zhǔn)附錄數(shù)據(jù)格式要求、指紋認(rèn)證中心要求，在此基礎(chǔ)上形成標(biāo)草案第一稿（第二版）。4、2012年5月，組織全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)有關(guān)專家召開《信息安全技術(shù)指紋識(shí)別系統(tǒng)技術(shù)要求》標(biāo)準(zhǔn)征求意見會(huì)。根據(jù)專家建議修改標(biāo)準(zhǔn)，統(tǒng)一標(biāo)準(zhǔn)中使用的各種術(shù)語，將指紋認(rèn)證中心命名為指紋管理中心，實(shí)現(xiàn)用戶管理、身份管理資源管理等安全管理功能。5、2012年7月，我中心組織參編單位杭州維爾公司、深圳亞略特公司召開標(biāo)準(zhǔn)編制單位第三次研討會(huì)，修改安全審計(jì)和訪問控制部分相關(guān)內(nèi)容、指紋識(shí)別中心以及各級(jí)性能指標(biāo)等相關(guān)內(nèi)容、指紋數(shù)據(jù)格式部分相關(guān)內(nèi)容。組織標(biāo)準(zhǔn)編制單位針對(duì)專家評(píng)審意見修改標(biāo)準(zhǔn)文本，形成標(biāo)準(zhǔn)草案第二稿。6、2012年12月，課題單位結(jié)合第二代居民身份證指紋識(shí)別測試、指紋采集前端系統(tǒng)測試、指紋管理系統(tǒng)測試等相關(guān)工作，驗(yàn)證指紋性能指標(biāo)，修改標(biāo)準(zhǔn)，形成標(biāo)準(zhǔn)草案第二稿（第二版）。7、2013年7月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織召開了標(biāo)準(zhǔn)項(xiàng)目檢查會(huì)議，專家組聽取了標(biāo)準(zhǔn)工作組的匯報(bào)內(nèi)容，就標(biāo)準(zhǔn)的適用范圍、標(biāo)準(zhǔn)的邊界、標(biāo)準(zhǔn)分等級(jí)原則、標(biāo)準(zhǔn)術(shù)語等問題進(jìn)行了質(zhì)詢，并提出了標(biāo)準(zhǔn)修改建議。建議建立指紋識(shí)別系統(tǒng)概念模型，明確系統(tǒng)規(guī)約，區(qū)分指紋識(shí)別系統(tǒng)自身的功能與提供保護(hù)的功能，并進(jìn)一步征求相關(guān)行業(yè)用戶意見。8、2013年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處在蘭州召開了信息安全生物特征識(shí)別標(biāo)準(zhǔn)及技術(shù)應(yīng)用研討會(huì)，吸收北京凝思科技有限公司參與《信息系統(tǒng)安全指紋識(shí)別系統(tǒng)技術(shù)要求》國家標(biāo)準(zhǔn)的編制工作，從安全操作系統(tǒng)設(shè)計(jì)的角度對(duì)標(biāo)準(zhǔn)提出建議。9、2014年3月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織召開了標(biāo)準(zhǔn)項(xiàng)目檢查會(huì)議，專家組建議明確標(biāo)準(zhǔn)編制目標(biāo)，說明指紋識(shí)別系統(tǒng)分級(jí)的意義、原則。10、2014年7月，項(xiàng)目組邀請(qǐng)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5組技術(shù)專家組織召開標(biāo)準(zhǔn)研討會(huì)。專家組聽建議明確指紋識(shí)別系統(tǒng)術(shù)語，定義指紋識(shí)別系統(tǒng)的內(nèi)涵、外延及邊界，從應(yīng)用的角度梳理指紋識(shí)別系統(tǒng)應(yīng)具備的功能。11、2015年7月，邀請(qǐng)WG5技術(shù)組專家并組織浙江維爾、北京凝思科技、中控科技、支付寶等標(biāo)準(zhǔn)編制單位召開了標(biāo)準(zhǔn)工作會(huì)議，專家組提建議優(yōu)化指紋識(shí)別系統(tǒng)基本模型。12、2016年1月19日，通過了安標(biāo)委WG5組的草案專家審查會(huì)。會(huì)后按照專家意見，對(duì)文本進(jìn)行了修改完善，形成了最終草案文本。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)在編制過程中在遵循以下原則：1、先進(jìn)性本標(biāo)準(zhǔn)在起草過程中，結(jié)合了我國當(dāng)前的信息安全技術(shù)的發(fā)展水平，吸收并采納了國際上信息安全的先進(jìn)思想和優(yōu)秀標(biāo)準(zhǔn)的先進(jìn)模式，使本標(biāo)準(zhǔn)滿足信息安全技術(shù)進(jìn)一步發(fā)展的需要。2、兼容性在本標(biāo)準(zhǔn)起草過程中，要與現(xiàn)行的國家信息安全方面的相關(guān)標(biāo)準(zhǔn)、條例保持一致。特別參考了GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》、GB/T18336.2-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求》中的相關(guān)內(nèi)容。3、可操作性在充分考慮當(dāng)前指紋識(shí)別系統(tǒng)發(fā)展需求、用戶接受度和技術(shù)成熟度現(xiàn)狀的同時(shí)，兼顧行業(yè)發(fā)展創(chuàng)新的趨勢(shì)，從滿足客戶服務(wù)需求出發(fā)，制定本標(biāo)準(zhǔn)，使利用指紋識(shí)別系統(tǒng)進(jìn)行身份驗(yàn)證有標(biāo)準(zhǔn)可循。2.2主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了指紋識(shí)別系統(tǒng)功能及其安全技術(shù)要求。本標(biāo)準(zhǔn)適用于指紋識(shí)別系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，對(duì)指紋識(shí)別系統(tǒng)的測試、管理也可參照使用。本標(biāo)準(zhǔn)主要框架如下：1范圍2規(guī)范性引用文件 3術(shù)語、定義和縮略語 4指紋識(shí)別系統(tǒng)5指紋識(shí)別系統(tǒng)安全描述 5.1受保護(hù)資產(chǎn) 5.2安全威脅分析5.3安全目的 5.4安全分級(jí) 6分等級(jí)技術(shù)要求 6.1第一級(jí)技術(shù)要求 6.2第二級(jí)技術(shù)要求 6.3第三級(jí)技術(shù)要求 附錄A（資料性附錄）指紋識(shí)別身份鑒別機(jī)制 附錄B（資料性附錄）指紋識(shí)別系統(tǒng)評(píng)估對(duì)象說明 附錄C（資料性附錄）指紋特征信息記錄格式（BIR） 附錄D（資料性附錄）指紋識(shí)別系統(tǒng)基本功能接口定義 參考文獻(xiàn) 主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)征求意見稿是在深入研究指紋識(shí)別系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國內(nèi)指紋識(shí)別系統(tǒng)應(yīng)用，廣泛聽取了專家意見和建議的基礎(chǔ)上形成的。項(xiàng)目組調(diào)研了國內(nèi)、國際生物特征識(shí)別標(biāo)準(zhǔn)化工作進(jìn)展及信息安全標(biāo)準(zhǔn)化工作進(jìn)展，分析總結(jié)了國內(nèi)、國際生物特征識(shí)別標(biāo)準(zhǔn)規(guī)范、信息安全領(lǐng)域相關(guān)生物特征識(shí)別標(biāo)準(zhǔn)，調(diào)研整理了指紋識(shí)別技術(shù)在信息安全領(lǐng)域的發(fā)展，深入結(jié)合第二代居民身份證指紋識(shí)別測試工作，并在國產(chǎn)安全操作系統(tǒng)上對(duì)指紋識(shí)別產(chǎn)品和接口進(jìn)行了實(shí)際測試。本標(biāo)準(zhǔn)對(duì)指紋識(shí)別系統(tǒng)的安全威脅、安全目的進(jìn)行了分析，規(guī)避指紋識(shí)別系統(tǒng)的潛在安全風(fēng)險(xiǎn)，提出指紋識(shí)別系統(tǒng)的安全技術(shù)要求，規(guī)范指紋識(shí)別技術(shù)在信息安全領(lǐng)域的應(yīng)用，推動(dòng)我國具有自主知識(shí)產(chǎn)權(quán)的指紋識(shí)別技術(shù)的發(fā)展，為信息系統(tǒng)安全保護(hù)及社會(huì)保安提供有效、實(shí)用的人體身份鑒別功能。本標(biāo)準(zhǔn)作為實(shí)施指南，不與直接的經(jīng)濟(jì)效益掛鉤。本標(biāo)準(zhǔn)對(duì)于促進(jìn)國家基于指紋識(shí)別認(rèn)證的信息安全工作，具有基礎(chǔ)而重要的意義。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對(duì)比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)在編制過程中遵循了《GB/T29268.1-2012信息技術(shù)生物特征識(shí)別性能測試和報(bào)告原則與框架（ISO/IEC19795-1）》、《GB/T27912-2011金融服務(wù)生物特征識(shí)別安全框架(IS019092-1：2006，MOD)》等ISO生物特征識(shí)別領(lǐng)域相關(guān)標(biāo)準(zhǔn)，以及《GB/T18336.2-2008信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第2部分：安全功能要求(ISO/IEC15408-2:2006,IDT)》等ISO信息安全領(lǐng)域相關(guān)標(biāo)準(zhǔn)，在技術(shù)上與國際標(biāo)準(zhǔn)保持一致。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)要與《GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、《GB/T25070-2010信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等信息安全國家標(biāo)準(zhǔn)以及《GB/T26238-2010信息技術(shù)生物特征識(shí)別術(shù)語》等生物特征相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致，提供指紋識(shí)別系統(tǒng)信息安全領(lǐng)域的實(shí)施層標(biāo)準(zhǔn)指導(dǎo)。重大分歧意見的處理經(jīng)過和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）標(biāo)準(zhǔn)編制組將編制標(biāo)準(zhǔn)宣貫材料，從標(biāo)準(zhǔn)制訂原則、制訂依據(jù)、主要技術(shù)內(nèi)容、實(shí)施過程中的注意事