国家标准《信息安全技术 指纹识别系统技术要求》（征求意见稿）编制说明

PAGE1GA××××—2002PAGE工作简况任务来源《信息安全技术指纹识别系统技术要求》是国家标准化管理委员会2011年下达的信息安全国家标准制定项目，国标计划号为：20111598-T-469。由公安部安全与警用电子产品质量检测中心主要负责起草。深圳市亚略特生物识别科技有限公司、浙江维尔生物识别技术股份有限公司、长春鸿达信息科技股份有限公司、北京凝思科技有限公司、深圳中控生物识别技术有限公司、阿里巴巴（北京）软件服务有限公司等单位共同参与了该标准的起草工作。主要工作过程1、2007年，承担了国家信息安全战略研究与标准制定工作专项《信息安全技术指纹识别系统技术要求》（草案）标准预编项目，2010年该项目通过了验收，形成了标准草案及课题研究报告；2、2011年11月，我中心组织参编单位杭州维尔公司、深圳亚略特公司召开标准编制单位第一次研讨会，对标准编制的组织形式及任务分工进行了安排，在此基础上形成标准草案第一稿。3、2012年3月，我中心组织参编单位杭州维尔公司、深圳亚略特公司召开标准编制单位第二次研讨会，建议增加标准附录数据格式要求、指纹认证中心要求，在此基础上形成标草案第一稿（第二版）。4、2012年5月，组织全国信息安全标准化技术委员会有关专家召开《信息安全技术指纹识别系统技术要求》标准征求意见会。根据专家建议修改标准，统一标准中使用的各种术语，将指纹认证中心命名为指纹管理中心，实现用户管理、身份管理资源管理等安全管理功能。5、2012年7月，我中心组织参编单位杭州维尔公司、深圳亚略特公司召开标准编制单位第三次研讨会，修改安全审计和访问控制部分相关内容、指纹识别中心以及各级性能指标等相关内容、指纹数据格式部分相关内容。组织标准编制单位针对专家评审意见修改标准文本，形成标准草案第二稿。6、2012年12月，课题单位结合第二代居民身份证指纹识别测试、指纹采集前端系统测试、指纹管理系统测试等相关工作，验证指纹性能指标，修改标准，形成标准草案第二稿（第二版）。7、2013年7月，全国信息安全标准化技术委员会组织召开了标准项目检查会议，专家组听取了标准工作组的汇报内容，就标准的适用范围、标准的边界、标准分等级原则、标准术语等问题进行了质询，并提出了标准修改建议。建议建立指纹识别系统概念模型，明确系统规约，区分指纹识别系统自身的功能与提供保护的功能，并进一步征求相关行业用户意见。8、2013年9月，全国信息安全标准化技术委员会秘书处在兰州召开了信息安全生物特征识别标准及技术应用研讨会，吸收北京凝思科技有限公司参与《信息系统安全指纹识别系统技术要求》国家标准的编制工作，从安全操作系统设计的角度对标准提出建议。9、2014年3月，全国信息安全标准化技术委员会组织召开了标准项目检查会议，专家组建议明确标准编制目标，说明指纹识别系统分级的意义、原则。10、2014年7月，项目组邀请全国信息安全标准化技术委员会WG5组技术专家组织召开标准研讨会。专家组听建议明确指纹识别系统术语，定义指纹识别系统的内涵、外延及边界，从应用的角度梳理指纹识别系统应具备的功能。11、2015年7月，邀请WG5技术组专家并组织浙江维尔、北京凝思科技、中控科技、支付宝等标准编制单位召开了标准工作会议，专家组提建议优化指纹识别系统基本模型。12、2016年1月19日，通过了安标委WG5组的草案专家审查会。会后按照专家意见，对文本进行了修改完善，形成了最终草案文本。编制原则和主要内容2.1编制原则本标准在编制过程中在遵循以下原则：1、先进性本标准在起草过程中，结合了我国当前的信息安全技术的发展水平，吸收并采纳了国际上信息安全的先进思想和优秀标准的先进模式，使本标准满足信息安全技术进一步发展的需要。2、兼容性在本标准起草过程中，要与现行的国家信息安全方面的相关标准、条例保持一致。特别参考了GB17859-1999《计算机信息系统安全保护等级划分准则》、GB/T20271-2006《信息安全技术信息系统安全通用技术要求》、GB/T18336.2-2008《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》中的相关内容。3、可操作性在充分考虑当前指纹识别系统发展需求、用户接受度和技术成熟度现状的同时，兼顾行业发展创新的趋势，从满足客户服务需求出发，制定本标准，使利用指纹识别系统进行身份验证有标准可循。2.2主要内容本标准规定了指纹识别系统功能及其安全技术要求。本标准适用于指纹识别系统的设计与实现，对指纹识别系统的测试、管理也可参照使用。本标准主要框架如下：1范围2规范性引用文件 3术语、定义和缩略语 4指纹识别系统5指纹识别系统安全描述 5.1受保护资产 5.2安全威胁分析5.3安全目的 5.4安全分级 6分等级技术要求 6.1第一级技术要求 6.2第二级技术要求 6.3第三级技术要求 附录A（资料性附录）指纹识别身份鉴别机制 附录B（资料性附录）指纹识别系统评估对象说明 附录C（资料性附录）指纹特征信息记录格式（BIR） 附录D（资料性附录）指纹识别系统基本功能接口定义 参考文献 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果本标准征求意见稿是在深入研究指纹识别系统相关标准的基础上，充分调研国内指纹识别系统应用，广泛听取了专家意见和建议的基础上形成的。项目组调研了国内、国际生物特征识别标准化工作进展及信息安全标准化工作进展，分析总结了国内、国际生物特征识别标准规范、信息安全领域相关生物特征识别标准，调研整理了指纹识别技术在信息安全领域的发展，深入结合第二代居民身份证指纹识别测试工作，并在国产安全操作系统上对指纹识别产品和接口进行了实际测试。本标准对指纹识别系统的安全威胁、安全目的进行了分析，规避指纹识别系统的潜在安全风险，提出指纹识别系统的安全技术要求，规范指纹识别技术在信息安全领域的应用，推动我国具有自主知识产权的指纹识别技术的发展，为信息系统安全保护及社会保安提供有效、实用的人体身份鉴别功能。本标准作为实施指南，不与直接的经济效益挂钩。本标准对于促进国家基于指纹识别认证的信息安全工作，具有基础而重要的意义。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准在编制过程中遵循了《GB/T29268.1-2012信息技术生物特征识别性能测试和报告原则与框架（ISO/IEC19795-1）》、《GB/T27912-2011金融服务生物特征识别安全框架(IS019092-1：2006，MOD)》等ISO生物特征识别领域相关标准，以及《GB/T18336.2-2008信息技术安全技术信息技术安全评估准则第2部分：安全功能要求(ISO/IEC15408-2:2006,IDT)》等ISO信息安全领域相关标准，在技术上与国际标准保持一致。与有关的现行法律、法规和强制性国家标准的关系本标准要与《GB/T20271-2006信息安全技术信息系统通用安全技术要求》、《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》等信息安全国家标准以及《GB/T26238-2010信息技术生物特征识别术语》等生物特征相关标准协调一致，提供指纹识别系统信息安全领域的实施层标准指导。重大分歧意见的处理经过和依据详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）标准编制组将编制标准宣贯材料，从标准制订原则、制订依据、主要技术内容、实施过程中的注意事