金融人脸识别线上身份认证应用风险和安全防控建议
金融人脸识别线上身份认证应用背景
人脸识别作为数字经济的典型代表,在数字化治理、产业数字化、数字产业化等“四化框架”中发挥着重要作用。人脸识别产业已率先商业化,形成成熟产业,并持续增大,预计2024年市场规模突破百亿元人民币。《“十四五”规划和2035远景目标纲要》指出要加快建设人工智能等数字经济重点产业,人脸识别是其中成熟度和产业化程度最高的技术之一。人脸识别在金融领域的应用不断深入,广泛应用于线上开户、密码重置、额度提升、大额转账、预留手机号码修改等服务,提高了办事效率,重构了金融服务体验。
存在的安全风险
人脸识别技术应用的安全问题逐渐暴露,攻击手段多样,案例频发。主要风险包括:
- 呈现攻击:通过仿冒方式欺骗活体检测算法,使用照片、电子屏展示的伪造视频、高精度3D头模等手段。
- 注入攻击:通过抓包技术、定制ROM手机、系统函数劫持等方式绕过人脸识别系统。
- 对抗样本攻击:技术门槛高,不作为黑灰产的主要攻击手段。
人脸识别基本技术流程包括人脸采集、活体检测、人脸比对,各个环节均存在潜在安全风险,如系统摄像头被劫持、接口劫持、数据包拦截替换、假人脸欺骗、特殊设计的人脸装饰欺骗等。
安全防控建议
建议采用技术和业务双轮驱动的安全防控策略:
- 技术层面:增强人脸识别算法和系统应用层面的安全防护能力,包括呈现攻击防御、注入攻击防御、对抗样本攻击防御、人脸数据防劫持篡改、APP应用防破解等。
- 业务层面:优化业务逻辑、建设安全保障体系,包括错误次数管控、多因子身份认证、业务风控、安全管理等。
中国信通院“护脸计划”介绍
中国信通院云大所于2021年4月发起“护脸计划”,旨在推动人脸应用安全、合规,平衡好人脸技术的发展和治理。计划由政府机构、技术研发机构、应用相关单位等共同推进,目的在于深入研究人脸技术及应用带来的新风险,持续探索可信人脸应用范式,推动相关产业健康发展。
- 规范文件编制:编制《人脸识别系统通用可信能力要求》、《金融APP人脸识别线上身份认证安全能力要求》、《人脸信息处理合规操作指南》、《面向人脸识别系统的人脸信息保护基础能力要求》等文件。
- 安全评测实验室:建成具备复现主流攻击的人脸识别安全评测实验室,可进行各类攻击手段的安全测试。
- 安全、合规测试评估:开展人脸识别安全评测、金融APP人脸识别安全能力评测、个人信息(人脸)保护能力评估、个人信息处理者合规风险评估等。
“护脸计划”已成为用户技术选型的重要参考,产业影响巨大,并得到政府监管部门的认可。
