顶象学院首页>文章详情

人脸识别的三类安全风险及四类防护思路

2022-02-21|小象 3742

人脸识别技术是基于人面部特征数据进行身份识别的一项生物特征识别技术。随着大数据、人工智能、云计算、5G等技术迅猛发展,人脸识别技术获得了广泛应用空间。手机解锁、身份验证、上班打卡等,人脸识别技术在金融、医疗、安检、支付、文娱等诸多领域得到普及,这为数字经济社会发展和人们日常生活带来了新机遇。带来便捷的同时,各类风险隐患层出不穷。

2021年央视“3·15”晚会上,一起人脸识别事件引发社会广泛议论。某卫浴品牌多个门店在消费者不知情的情况下,利用摄像头违规窃取人脸数据。一旦顾客进入门店,就会被摄像头抓取并生成自动编号,顾客人脸信息被偷偷获取。

“换脸”、“偷脸”、“丢脸”现象层出不穷,除了人脸识别技术本就存在的不足和缺陷,还有商家对于人脸识别的滥用和不负责外,以及技术的滥用。

undefined

人脸识别面临的三类风险

顶象业务安全专家分析,目前人脸识别风险主要分为仿冒、攻击、盗取等三类。

第一类,通过各类手段实现人脸信息的仿冒登录。

欺骗:戴上眼镜、帽子、面具等伪装手段,通过检测方式判定为异常,因此可以混淆算法判断,达到欺骗系统的目的。

劫持:破解设备或系统端口,通过数据包劫持,把通过交互活体检测的真人图像替换为攻击用的数字样本,达到欺骗后台系统算法的效果,使其做出误判。

第二类,通过对人脸识别系统的攻击,实现人脸识别系统的终止。

阻塞:DDoS流量攻击方式阻塞识别与认证,使人脸识别系统失效。

篡改:远程入侵篡改人脸识别系统验证流程、信息、数据等,使虚假或无效人脸数据通过。认证,

劫持:通过劫持传输、验证、数据库等信息,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。

第三类,通过盗取人脸识别信息,实现人脸冒用。

通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后非法进行冒用。

“护脸”需要监管与技术并行

发展与安全并重,监管部门多措并举推进人脸安全应用。2021年7月,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确对公民的人脸识别数据提出保护。各地区也都出台了相应的人脸识别措施,比如不得强制采取人脸识别信息等等。

为了规范人脸应用健康发展,行业机构逐步牵头引领标准制订。2021年4月7日,中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”,旨在通过标准制定、测试评估、行业自律等手段,增进行业和社会共识,促进产业健康发展,为人脸识别技术和应用“正名”,促进产业健康发展。

近日第二批“可信人脸应用守护计划”成员单位公布,顶象等多家企业入选。顶象将与各界通力合作,积极探索人脸应用治理与发展的可信指引,助力人脸识别应用安全发展,共建可信的人脸应用生态。

技术上的“护脸”创新也在不断涌现,目前来看分为四类。

第一类,提升人脸数据多维性。源头数据采集更复杂。使用3D多维人像采集,让人像更加立体多维,从而避免人脸遭仿冒。

第二类,提升人脸识别精准度。通过模型和算法提高真伪判别;基于空间域的检测,例如图像取证的检测、生物频率,如GAN的伪影检测、基于生物信号的检测,视声不一致以及视觉上不自然等。

第三类,保障人脸识别系统安全性。对人像识别做二次验证;防范API接口被篡改劫持,保证输出效果、生成网络效果的真实、发现设备和系统端口、通讯的异常;及时预警,防止灌入虚假人像、混淆真假人像、库内人像信息被篡改;保证人脸数据存储以及传输的完整性、机密性等。

第四类,提升人脸识别应用的风控能力。通过全生命周的安全管理,增强人脸识别从源头到应用全链条的预警、拦截、防护能力,提升人脸识别应用的风险预警及安全防护能力。

以顶象近日拦截发现的“考勤打卡神器”为例。该工具是破解了某保险公司的官方App,通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,代理人输入自己的工号、上传照片即完成“考勤打卡”。

顶象移动态势感知防御系统基于威胁探针、流计算、机器学习等先进技术,集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体的主动安全防御平台,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防控虚假考勤、人脸识别作弊、打卡作弊等风险,良好保障公司正常考勤秩序。

目前,顶象移动态势感知防御系统已在多家保险公司应用。其中,在某保险公司省级分公司部署后,当月发现10000+名代理人通过劫持人脸信息进行虚假考勤打卡,当月拦截阻止超过15万次风险操作,为分公司挽回500万元的代理费用。

QQ扫码
获取方案价格

微信扫码
获取方案价格

加入社群

扫码进群领
【业务安全】资料礼包

在线咨询
400-878-6123