重磅!顶象发布《人脸识别安全白皮书》
近日,顶象发布《人脸识别安全白皮书》(点此,免费下载 )。该白皮书共有8章73节,系统对人脸识别的组成、人脸识别的内在缺陷、人脸识别的潜在安全隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。
人脸识别已进入生活的方方面面
人脸与指纹、虹膜等生物特征均具有唯一性、难以复制性,采集和使用上具有非接触性、非强制性、多并发性、隐藏性和简单易用性等特点。通过影像设备或模块,捕捉或采集含有人脸的图像或视频,并能够自动进行跟踪、分析、检测、识别的一系列技术。
人脸识别是一个集人工智能、机器识别、机器学习、模型理论、专家系统、视频图像处理等多种专业技术,是生物特征识别的最新应用。人脸识别系统主要由人脸采集、人脸检测、人脸图像预处理、人脸特征提取、人脸图像匹配、人脸图像识别等六部分组成。
人脸识别是基于人面部特征数据进行身份识别的一项生物特征技术,用于手机解锁、身份验证、上班打卡、社区、考勤、乘车、购物等,在金融、医疗、安检、支付、文娱等诸多领域得到普及,为数字经济社会发展和人们日常生活带来了新机遇。
数据显示,2021年中国人脸识别市场规模为56亿元,预计2022年达到68亿元,到2024年突破100亿元;年均保持23%增速。其中,人脸识别应用最多是安防占54%,其次是金融占16%。此后分别是娱乐10%、医疗7%、电商零售6%、出行3%、政务2%、其他2%。
人脸识别面临三类攻击挑战
睡梦中手机被刷脸登录转走几万元、人脸信息被冒用贷款、十块钱就购买5000张人脸信息,门店自动抓取人脸信息用于发广告、小偷用面具骗过社区人脸识别门禁、储户存款遭刷脸盗走200万元、现场打印照片登录他人账号、破解人脸系统进行虚假考勤打卡...一系列人脸识别安全事件引发社会关注。
顶象最新发布的《人脸识别安全白皮书》显示,当前阶段人脸风险主要集中在人脸信息泄露、人脸识别算法不精准和人脸识别系统不安全等三个方面。
人脸信息泄露。人脸是重要的隐私信息,利用各种技术和手段,在未经同意允许或批准的前提下,通过公开或非法手段,收集、保存、盗取正常的人脸数据,一旦信息出现泄露,不仅被不法分子进行用于诈骗,更可能被反复贩卖牟利。
人脸识别算法不精准。戴上眼镜、帽子、面具,或者制作高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均,骗过人脸识别算法和活体监测算法。
人脸识别系统不安全。破解人脸识别应用或安全保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。
保障人脸安全,需要在三方面入手
基于人脸安全现状,《人脸识别安全白皮书》建议在保障人脸信息安全、增强人脸识别精准度、保障人脸识别系统安全三方面入手。
保障人脸信息安全。人脸信息采集时,在人脸识别设备处设置显著标识,向个人信息主体告知处理规则。依据《个人信息保护法》完善隐私政策,将涉及人脸信息等个人敏感信息的条款重点标出。加大对人脸信息采集、存储、加工、传输各环节违规行为的惩戒力度。对于滥采、滥用的,需适当加大惩戒力度,形成有效震慑,增强公众的安全感。建立人脸信息定期销毁机制,要求人脸信息本地化存储的同时,在一定周期内定期销毁相关数据。
提升人脸识别精准度。基于纹理的方法分析人脸图像样本中的微观纹理图案,进一步增强照片和真人的识别度;通过计算头发而非面部的傅里叶光谱,增强人脸视频检测的精准度。增加唇语活体检测;增加图像的纹理、光线、背景、屏幕反射检测;使用专门的红外摄像头对人脸进行三维结构采集等。
保障人脸识别系统安全。对人脸识别应用、App、客户端进行代码混淆、加密加壳、权限控制,做好终端环境安全检测;对数据通讯传输混淆加密,防止信息传输过程中遭到窃听、篡改、冒用;建专属的风控模型,为发现潜在风险、未知威胁、保障人脸识别安全提供策略支撑。
人脸识别系统安全的能力要求及解决方案
基于人脸识别特殊性及风险现状,《人脸识别安全白皮书》认为,要保障人脸识别系统安全需要具有四方面能力:拥有基于设备指纹、操作行为、AI策略模型的应用端、智能设备层面的安全感知的能力;除了通过传统的加固混淆技术,还需要具备基于风险感知,进行多维分析,并提供与终端、业务紧密结合的响应处置的能力;能够对环境风险、运行时攻击、异常行为的监测、预警、具有威胁时自动触发防护策略及处置、关联关系挖掘、以及数据沉淀的闭环处置;此外,满足监管合规要求至关重要。
《白皮书》提供了详细的安全解决方案。顶象防御云基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。
其中集成的顶象业务安全感知防御平台,是一个设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体的主动安全防御平台,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防控各类人脸识别系统风险。具有威胁可视化、威胁可追溯、设备关联分析、多账户管理、覆盖多平台、开放数据接入、主动防御机制、支持防御策略和处置自定义和全流程防控等特点。已经为保险、银行、出行、互联网等多家单位提供人脸识别系统安全保障。
免费下载《人脸识别安全白皮书》:https://www.dingxiang-inc.com/uploads/face-recognition-security.pdf