网络安全：保护生物识别信息

随着成本下降与可靠性相应增加，生物识别安全性已经获得了广泛的关注。如今，指纹、声音、虹膜图案和面部识别被认为是可行且值得信赖的身份认证方法。

它们可以用于数字化识别并允许人们访问国家、建筑、系统和设备。面部扫描识别用于机场和边境控制系统来识别人，允许人们离开一个国家进入另一个国家。

在其他情况下，这项技术可以用来打开大门，让经批准的用户进入高级安全区域。在家庭中，语音识别被用来控制供暖、照明和娱乐系统，很多人都用它来进行快速的信息搜索。

指纹技术提供了一种快速打开智能手机和平板电脑设备的方法。虽然生物识别特征难以复制，但使用它们的系统仍存在一些安全问题。

就像密码可能被盗一样，指纹和其他生物特征标记也很容易受到所谓的演示攻击。例如，网络罪犯可以使用假指纹或戴着用面部扫描制作的3D打印面具来进入系统。

然而，与密码不同的是，生物识别标记是不能更改的，这使得网络罪犯可以永久访问任何需要生物识别认证的电脑或电子设备。威胁是真实存在的。

2019年，安全研究人员入侵了一个包含100多万人指纹和面部识别信息的英国数据库。该数据库的知名用户包括英国警方、国防承包商和银行。

最新更新的IEC/ISO 24745强调，“必须采取适当的措施保护生物识别系统的安全和生物识别数据主体的隐私。”该标准为生物特征信息在存储和传输过程中根据保密性、完整性和可更新性/可撤销性的各种要求提供了保护指导。

该标准还提供了对生物特征信息的安全和隐私兼容的管理和处理的要求和建议。主题包括：

• 生物识别学和生物识别系统应用模型所面临的威胁和固有对策的分析

• 生物特征参考(BR)和身份参考(IR)之间的安全绑定的安全要求

• 具有不同场景的生物识别系统应用模型的存储和比较

• 关于在生物特征信息处理过程中保护个人隐私的指南

本文件不包括与物理安全、环境安全和加密技术的密钥管理相关的一般管理问题。