DB32∕T 2888.3-2016 江苏省国家教育考试标准化考点建设技术标准 第3部分：考生身份验证系统

1、ICS 35.240 L77 备案号：49014-2016 DB32 江苏省地方标准 DB32/T 2888.3-2016 江苏省国家教育考试标准化考点建设技术 标准 第 3 部分:考生身份验证系统 Jiangsu Province National Education Examination Test Standardization Construction Technology Standards Part 3 : Examinee Identity Authentication System 2016 - 03 - 10 发布 2016 - 04 - 10 实施 江苏省质量技术监督局 发

2、 布 DB32/T 2888.3-2016 目 次 前 言 .II 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 技术要求 .2 4.1 系统架构 .2 4.2 系统设计要求 .2 4.3 考生身份采集验证终端硬件 .2 4.4 考生身份验证系统软件平台 .3 5 安全性要求 .4 5.1 物理安全 .4 5.2 运行安全 .4 5.3 信息安全 .5 5.4 通信和网络安全 .5 6 可靠性要求 .5 DB32/T 2888.3-2016 前 言 本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。 江苏省国家教育考试标准化考点

3、建设技术标准分为六个部分： 第1部分：总则 第2部分：考试综合业务系统 第3部分：考生身份验证系统 第4部分：作弊防控系统 第5部分：视频及网络监控系统 第6部分：应急指挥系统 本部分为DB32/T 2888-2016江苏省国家教育考试标准化考点建设技术标准的第3部分。 本部分由江苏省教育考试院提出并归口。 本部分起草单位：江苏省教育考试院、南京市产品质量监督检验院、江苏苏测软件检测技术有限公 司。 本部分主要起草人：王婧宇、蔡虹、谢佩章、龚伟、高玮、谭雄飞、荣鼎慧、陈亚。 DB32/ T 2888.32016 1 江苏省国家教育考试标准化考点建设技术标准 第 3 部分 考生身份验证系统 1

4、范围 本标准规定了江苏省国家教育考试标准化考点建设中考生身份验证系统的技术要求、安全性要求、 可靠性要求。 本标准适用于江苏省国家教育考试标准化考点建设中考生身份验证系统。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA 449 居民身份证术语 GA 773 指纹自动识别术语 GA/T 390 计算机信息系统安全等级保护通用技术要求 GA/T 625 活体指纹图像采集技术规范 GA/T 893 安防生物特征识别应用术语 GA/T 1011 居民身份证指

5、纹采集器通用技术要求 3 术语和定义 GA 449、GA/T 625、GA 773、GA/T 893、GA/T 1011、GA/T 390界定的以及下列术语和定义适用于 本文件 3.1 注册 enrolment 考生报名登记其身份证信息、指纹信息，采集指纹图像，提取图像特征并存储的过程。 3.2 注册成功 enrolment success 考生报名登记身份证信息、指纹信息，采集的身份证信息全面，指纹图像特征符合提取要求。 3.3 注册失败 enrolment failure 考生报名登记身份证信息、指纹信息，采集的身份证信息不完整或指纹图像特征不符合提取要 求。 DB32/ T 2888.3

6、2016 2 4 技术要求 4.1 系统架构 考生身份验证系统建设结构由前端考生身份采集验证终端硬件和相关考生身份验证系统软件平台 两大部分组成。 4.2 系统设计要求 4.2.1 安全性 4.2.1.1 系统支持数据加密，充分保证数据导入导出的传输安全性。 4.2.1.2 对系统采取必要的安全保护措施，防止非法接入、非法访问、病毒感染和黑客攻击，防雷击、 过载、断电和人为破坏等。 4.2.1.3 系统具备完善的权限管理功能。用模块（对应系统菜单）、功能（对应模块的子功能）两级 定义系统功能权限， 用角色定义一组系统模块、 功能集合， 通过向用户分配角色来管理用户权限。 同时， 通过对象权限定

7、义用户能操作的数据，如全省、地市、区县、学校的数据。 4.2.1.4 验证用户的访问权限和优先级，监测和记录用户进行的访问和操作等；验证接入设备的合法 性，并注册合法设备。 4.2.2 接口融合性 与现有考试综合业务管理系统的无缝融合方面， 将根据目前考试综合业务管理系统的实际情况， 可 作到尽可能少改变现有系统及应用流程，实现考生身份验证系统和考试综合业务管理系统的无缝融合。 4.2.3 扩展性 考生身份验证系统的设计应充分考虑考试管理业务上的可扩充性， 当需要在考生身份验证中采用二 维码验证或人像验证功能时， 可将系统由二代身份证验证、 指纹验证扩展到支持二维码验证和人像验证。 4.2.4

8、 规范性和实用性 控制协议、接口协议、采集方式、传输协议等应符合本标准中的规定。应设计合理，结构简单，切 合实际，有效地提高工作效率，满足教育监考业务工作需求。 4.2.5 易操作性 提供清晰、简洁、友好的中文人机交互界面，操控简便、灵活，易学易用，便于管理和维护。 4.2.6 可靠性 采用成熟、 稳定和通用的技术和设备， 关键部分应有备份、 冗余措施， 能够保证系统长期稳定运行， 有较强的容错和系统恢复能力。 4.2.7 可维护性 系统应具备自检、故障诊断及故障弱化功能，在出现故障时，应能得到及时、快速的修复。 4.3 考生身份采集验证终端硬件 4.3.1 功能要求 DB32/ T 2888

9、.32016 3 应满足现场环境要求和功能使用要求，同时应符合现行国家标准和行业标准有关技术要求。具体 要求如下： a) 设备应集二代身份证信息读取和验证、活体指纹采集、语音提示、数据交换、软件支撑、摄像 （可选）、二维码识别(可选)等功能。 b) 考生身份验证终端基本参数：高清显示屏5寸，分辨率1024600或触摸屏（分辨率800 480,电容触摸屏）, CPU1GHz,ROM512MB, RAM512MB，存储容量4G；支持电池供电使 用，电池容量满足正常工作时间8小时，当该设备仅用于采集时，可不自带屏幕，允许通过 外接屏幕的方式来实现显示。 c) 二代身份证：符合公安部GA450标准；符

10、合ISO14443Type B国际标准；读卡距离（05）cm， 无盲区，对各类身份证兼容性好；读卡时间1s；具有身份证核验系统专用模块,可读取、解 密和查询第二代居民身份证全部信息包括指纹信息；支持判定身份证内有无指纹信息。 d) 指纹采集:具有活体指纹识别功能，按压式采集，设备符合公安部GA/T1011 2012；图像分辨率 500DPI，允许误差范围-1%+2%；指纹有效图像尺寸宽12.75mm，高17.93mm；传感器原始 指纹图像像素宽大于等于256像素点，高大于等于360像素点，不得进行插值放大等软件处理； 图像畸变率2%；图像疵点在指纹有效图像尺寸范围内，不能含有直径大于3个像素点

11、的连 续图像疵点，直径小于等于3个像素点的连续图像疵点不超过3个，单帧采集时间小于等于 0.25秒；支持不同手指如干手指、湿手指、粗糙手指适应功能，能够采集清晰指纹图像；指纹 算法符合GA 1012-2012要求，当错误拒绝率为0.5%时，错误接受率应不大于0.05%。 e) 语音：设备内嵌音箱，能够对信息采集进行语音提示，语音提示要求准确、清晰。 f) 数据交换：MINI（micro） USB接口与计算机通信，预留有线或者无线网络接口。能够无缝接 入江苏省教育考试院身份验证中心， 确保将身份采集信息和验证能够通过接口导出上传至身份 验证平台系统。 g) 终端软件：支持机读身份证证件信息并显示

12、，支持识别二维码（可选）中并显示基本信息和指 纹信息；支持显示、查询和统计指纹校验结果；能够根据指纹图像文件生成特征码；能够通过 识别的身份证证件或二维码（可选）中的指纹信息与校验指纹信息进行算法比对；指纹比对算 法符合GA 1012-2012要求。操作界面清晰明了，操作简单便捷；支持对无指纹考生进行基本信 息校验。考生身份采集验证终端软件宜基于目前主流的Android或IOS系统。 h) 摄像头（可选）：摄像头像素：不低于200万；分辨率：不低于19201080。通讯接口：USB 接口通讯；USB接口供电。 4.3.2 协调性 各种配套设备的性能及技术要求应协调一致，保证系统的质量损失在可接

13、受的范围内。 4.4 考生身份验证系统软件平台 考生身份验证系统软件平台应当与考试综合业务系统无缝连接，并可分为3个主要子功能模块：考 生信息采集、考生入场验证、统计报表展示。 4.4.1 考生信息采集 4.4.1.1 考生报名注册的时候通过考生身份采集验证终端读取二代身份证信息、指纹信息并绑定注册 到考生报名信息中，供入场验证的时候再次采集考生身份证和指纹信息并比对验证。 4.4.1.2 采用语音和文字提示考生进行读取身份证、采集指纹操作。身份证信息读取成功，则保存考 生身份信息；身份证信息读取失败，通过语音或文字提示考生再次尝试；对于无二代身份证的考生，可 DB32/ T 2888.320

14、16 4 以使用国家规定的合法证件进行输入报名。采集指纹操作成功，则保存考生指纹特征信息；采集指纹操 作失败，通过语音或文字提示考生再次尝试；对于考务不要求采集指纹的考试项目，可略过此过程。 4.4.2 考生入场验证 4.4.2.1 考生身份采集验证终端通过数据交换功能导入考试编排数据包括考场号、座位号、考试科目 及其对应的考生报名注册信息，并初始化相关数据，准备考生入场验证。 4.4.2.2 入场验证时刷取考生二代身份证或指纹，与下载在验证终端中的考生报名注册信息进行实时 比对识别，如果比对成功则认为该考生为合法考生，同时记录验证数据；如果比对不成功，交由考务工 作人员处理予以特殊标记，或标

15、记为设备异常允许考试，或标记为替考舞弊禁止考试；身份证信息或指 纹读取失败，通过语音和文字提示考生再次尝试。 4.4.2.3 考试结束后，考生身份采集验证终端可通过数据交换功能上传考生入场验证结果。 4.4.3 统计报表展示 4.4.3.1 考生信息采集阶段，可对考生信息进行查询、统计，可以按考生的特征信息查询某个考生的 报考信息；可根据不同类别对采集信息进行统计。考生入场验证阶段，可对参考、缺考、替考考生等信 息进行查询、统计。 4.4.3.2 考点可对本考点内的考生入场验证信息进行汇总统计；考区可对本考区内的考生入场验证信 息进行汇总统计。 5 安全性要求 5.1 物理安全 5.1.1 设

16、备安全 5.1.1.1 应按照GA/T 390-2002中4.1.2.1的设备标记要求、计算中心防盗和机房外部设备的防盗要求 实现设备的安全保护。 5.1.1.2 应按照GA/T 390-2002中4.1.2.2的基本运行支持、安全可用要求和不间断运行要求设计和实 现设备的可用性。 5.1.2 防雷接地要求 应整体设计系统的防雷和接地。系统各组成部分的防雷和接地设计应遵从GB50348-2004中3.9节相 关规定。 5.1.3 记录介质安全 应按照GA/T 390-2002中4.1.3的有用数据介质保护、重要数据介质保护、秘密数据介质保护和关键 数据介质保护的要求进行记录介质安全保护。 5.

17、2 运行安全 5.2.1 网络安全监控 应设置分布式探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作。宜使 用防火墙、入侵检测系统、漏洞扫描工具来保障网络通信的安全。 5.2.2 防病毒 应安装病毒防杀产品，做好病毒防御。 DB32/ T 2888.32016 5 5.2.3 备份与故障恢复 应对某些重要的数据进行定期备份， 对重要的设备进行冗余设置实现双机热备或者冷备， 对重要的 数据应做异地备份。 5.2.4 漏洞修复 应及时修复网络系统和应用系统中发现的漏洞，确保系统安全。 5.3 信息安全 5.3.1 身份验证 应对接入系统的设备和用户进行身份认证。 设备应采用UU

18、ID进行唯一标识。 宜采用基于PKI/CA体系 的数字证书认证方式结合口令密码技术做双因子认证。 5.3.2 访问控制 在身份鉴别的基础上， 系统宜采用某种访问控制模型对用户进行访问控制 （例如基于角色的访问控 制或者基于属性证书的访问控制）。 5.3.3 防抵赖 数据源应对需要防抵赖的数据进行数字签名运算。 5.3.4 完整性保护 ，系统宜采用数字摘要、数字时间戳及数字水印等技术，防止信息的完整性被破坏。 5.3.5 数据保密 应对需要保密的数据在存储和传输过程中进行加密。 5.3.6 安全域隔离 应将网络与考生身份验证系统划分为不同的安全域， 如公共网络等， 不同的安全域之间应进行相应 的隔离。 当需要在公网和专网之间进行数据交换时， 必须采取国家管理部门认可的安全隔离措施进行物 理隔离。 5.4 通信和网络安全 5.4.1 基于专网传输的安全 当考生身份验证系统的传输网络依托专网时，考生身份验证系统的安全受到专网安全措施的保证， 可不增加额外的安全措施。 5.4.2 基于公共网络传输的安全 当考生身份验证系统的传输网络依托公共数字网络时，可选用VPN 专用通道保证传输的安全性。 5.4.3 专网的接入安全 当其它网络需要与专网进行数据交换时，必须采取相应措施保证专网的安全。 6 可靠性要求 DB32/ T 2888.