|
(圖片來源:Pixabay)
隨著網路安全日益受到重視,雖然大家都知道增加密碼強度對於資安的重要性,但往往是一堆密碼根本記不住,如何捨棄這些惱人的密碼,回歸以人體特徵之生物辨識技術已成為一股新浪潮。運用生物辨識技術,個人的身體就是密碼,不怕遺失、不易複製,不用擔心遭人盜用,可兼顧該項技術於各領域應用時之「方便」與「安全」。
生物辨識技術(Biometrics,
亦稱生物測定學),指的是利用人體生理或行為上獨一無二的特徵來達到身分辨識或認證的目的。可運用之生理特徵(physiological
characteristics)包含人臉、指紋、掌紋、血管、虹膜以及視網膜等,而行為特徵(behavioral
characteristics)則如聲紋、步態以及簽名辨識等。生物辨識技術並不是一項新觀念,凡是犯罪偵防、海關出入境管制以及各種數位裝置的身份認證均已廣泛運用此項技術,而隨著物聯網技術蓬勃發展,生物辨識技術的應用及需求也因此迅速擴張。
國內生物辨識技術的應用正方興未艾,以「人臉辨識」技術為例,新北市立圖書館於2018年8月14日在新北市圖總館、蘆洲仁愛智慧圖書館及捷運三重iReading智慧借還書站,啟用人臉辨識服務,結合自助借還書機與智慧圖書館的門禁功能,除了可「刷臉」借書,到新北市部分智慧圖書館也可憑臉入館,一張卡都不用帶。又交通部為推動機場智慧化,於台北松山機場首次建置人臉辨識智慧化通關系統,除前由移民署於機場查驗櫃檯已建置之e-Gate自動通關系統外,在進入管制區(e-Check)及登機門(e-Board)亦設置智慧化通關系統,於今(2021)年3月24日起試辦半年,開放出境旅客體驗智慧通關免註冊,該項試辦係採自願性,由旅客進入管制區的自助通關設備,自行建置專屬ID,包含登機證、護照和臉部特徵,登機時不必再出示護照,只要經人臉辨識即可,旅客個人資料將於登機後1小時自動刪除,運用科技降低機場查驗人力負擔,提升準確度,強化航空保安,營造智慧機場的國際形象。
生物辨識技術可作為一種有效的身分驗證方式,其使用日益廣泛,所面臨的威脅可能以演示攻擊(presentation
attacks)(註1)的形式出現,透過呈現自然生物識別特徵或者具有複製、偽造特徵的仿製品來破壞系統安全措施,故如何確保生物辨識技術之安全性至關重要。有鑑於此,國際標準化組織(ISO)分別於2020年9月及10月間公布ISO/IEC
19989「資訊安全—生物辨識系統安全性評估的準則和方法學(Information
security — Criteria and methodology for security evaluation of
biometric systems)」系列標準,作為與ISO/IEC
19792(註2)、ISO/IEC
15408系列(註3、註4、註5)以及ISO/IEC
18045(註6)標準之間的橋樑。目前ISO/IEC
19989之系列標準,共計有ISO/IEC
19989-1:2020、ISO/IEC
19989-2:2020、ISO/IEC
19989-3:2020等3份標準,茲簡述如下:
ISO/IEC
19989-1:2020「資訊安全—生物辨識系統安全性評估之準則和方法學—第1部:框架(Information
security — Criteria and methodology for security evaluation of
biometric systems — Part 1:
Framework)」,建立生物辨識系統安全評估的一般框架,其中包括擴充的安全功能性組件及對此等方法學之補充活動,以及評估人員於應對這些活動的指導或建議。該標準僅適用於單一生物特徵類型的評估標的(Target
of Evaluation, 簡稱TOE),但是允許從安全功能需求(Security Functional Requirements,
SFRs)中的多個特徵中選擇一個特徵加以運用。
ISO/IEC
19989-2:2020「資訊安全—生物辨識系統安全性評估之準則和方法學—第2部:生物辨識性能(Information security
— Criteria and methodology for security evaluation of biometric
systems — Part 2: Biometric recognition performance)」,係就ISO/IEC
19989-1中規定的有關生物辨識性能的補充活動,對生物辨識系統的開發人員和評估人員提出要求和建議。該標準專門針對採用ISO/IEC
15408系列標準的生物特徵辨識系統效能進行安全性評估。
ISO/IEC
19989-3:2020「資訊安全—生物辨識系統安全性評估之準則和方法學—第3部:演示攻擊檢測(Information security
— Criteria and methodology for security evaluation of biometric
systems — Part 3: Presentation attack detection)」,著眼於對應用ISO/IEC
15408系列標準的演示攻擊檢測進行安全評估。該標準就ISO/IEC
19989-1中規定的有關演示攻擊檢測的補充活動,向生物辨識系統的開發人員和評估人員提出要求和建議。
以上各項ISO國際標準相關資訊可參考ISO官網,此外,本局已和ISO簽有授權合約,民眾只需支付權利金,即可合法取得即時並已制定公布的標準資料,歡迎各界多加利用。如需查詢本局外國標準館藏狀況、價格及購買方式,請至本局「標準資料查詢系統」查詢或撥打服務專線02-23431980洽詢。
|
註1: |
演示攻擊(presentation
attacks):亦稱展示攻擊、呈現攻擊、欺騙攻擊或偽冒攻擊等,係指向獲取生物特徵數據的系統展示假冒的生物特徵樣本,目的是干擾相關的認證程序。攻擊者透過非法方式冒用合法用戶的生物特徵,來欺騙生物辨識系統取得合法用戶系統存取權限及重要資料,如透過特殊的工具蒐集指紋並進而欺騙指紋感測器,利用錄音重播、語音合成和語音轉換的方式欺騙聲音感測器,又或者以複製、偽造的照片、影片、面具來欺瞞人臉辨識系統。 |
|
註2: |
ISO/IEC 19792:2009「資訊技術—安全技術—生物辨識技術的安全評估(Information
technology — Security techniques — Security evaluation of
biometrics)」,該標準涵蓋了生物辨識系統安全評估期間要考慮之生物辨識的特定層面和原理。該標準要求在具體評估或認證方案中使用之前,需要將其納入並進行調整。ISO/IEC
19792定義了在生物辨識系統的安全評估中必須考慮的各個領域。它也規定了評估人員的要求,並提供對生物辨識系統進行安全評估的指南。它可以作為開發具體評估和測試方法的框架,以將生物特徵評估的要求整合到現有評估和認證方案中。 |
|
註3: |
ISO/IEC 15408系列標準是由共同準則(Common
Criteria,
CC)計畫贊助組織,將其資訊技術安全評估共同準則第1部至第3部,授與ISO/IEC而制定之國際標準。這些系列準則係作為評估資訊技術(Information
technology,
IT)產品和系統安全性質的基礎之用途,並藉由制定這種共同準則的基礎促使IT安全評估的結果能對更多人來說是有意義的。其中,ISO/IEC
15408-1:2009「資訊技術—安全技術—資訊技術安全評估準則—第1部:簡介及一般模型(Information
technology — Security techniques — Evaluation criteria for
IT security — Part 1: Introduction and general
model)」,該份標準是ISO/IEC
15408的簡介,它定義了IT安全評估的一般概念和原理,並提出了評估的一般模型。 |
|
註4: |
ISO/IEC 15408-2:2008「資訊技術—安全技術—資訊技術安全評估準則—第2部:安全功能組件(Information
technology — Security techniques — Evaluation criteria for
IT security — Part 2: Security functional
components)」,該份標準建立一個功能組件的集合,作為表達TOE功能需求的標準方式,該標準記載著功能組件、屬別和類別的集合。 |
|
註5: |
ISO/IEC 15408-3:2008「資訊技術—安全技術—資訊技術安全評估準則—第3部:安全保證組件(Information
technology — Security techniques — Evaluation criteria for
IT security — Part 3: Security assurance
components)」,該份標準建立一個安全保證組件的集合作為表達TOE保證需求的標準方式,並記載著安全保證組件、屬別和類別的集合,並定義了評估保護剖繪(Protection
Profile,簡稱PP,為TOE中與實作獨立的安全需求集合之目錄,可以滿足特定顧客的需求)及安全標的(Security
Target,簡稱ST,為安全需求的集合及規格,用來作為評估已知TOE的基礎)和提出評估保證等級(Evaluation
Assurance Level,簡稱EAL)。評估保證等級是共同準則預先定義用來估計TOE保證的等級。 |
|
註6: |
ISO/IEC 18045:2008「資訊技術—安全技術—資訊技術安全評估之方法學(Information
technology — Security techniques — Methodology for IT
security evaluation)」,描述了在採用ISO/IEC
15408所定義的準則和評估證據進行評估時,評估者應執行的最少舉措,係ISO/IEC 15408的配套標準。 |
參考資料來源:ISO
News 、ISO/IEC
19989-1:2020、ISO/IEC
19989-2:2020、ISO/IEC
19989-3:2020、ISO/IEC
19792:2009、ISO/IEC
15408系列、ISO/IEC
18045:2008
|
小安心
