《白皮书》:保障人脸安全,需要在三方面入手
为全面分析人脸识别市场现状、面临的风险隐患及有效的安全保障措施,顶象近日发布《人脸识别安全白皮书》 (点此,免费下载 ) 。该白皮书对保障人脸信息安全、提升人脸识别算法精准度和保障人脸识别系统安全三方面给出了具体指导建议。
人脸安全面临多重风险挑战
睡梦中手机被刷脸登录转走几万元,人脸信息被冒用贷款,十块钱购买5000张人脸信息,门店自动抓取人脸信息用于广告、小偷用面具骗过社区人脸识别门禁、储户存款遭刷脸盗走二百万、现场打印照片登录他人账号、破解人脸系统进行虚假考勤打卡...一系列人脸识别安全事件引发全社会关注。
由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子甚至会开发作弊工具来破解、干扰、攻击人脸识别技术背后的应用和算法,进而引发盗窃、诈骗、侵入住宅等犯罪,危及被害人的数据安全、财产安全乃至人身安全。
人脸识别遭遇的威胁攻击包含人脸信息泄露、算法不精准、应用遭破解。风险隐患是一个点,安全防护需要一个面。因此,在人脸识别安全方面,需要在多方面加强防护,提升整体安全能力。基于人脸风险现状,顶象日前发布的《人脸识别安全白皮书》建议在保障人脸信息安全、提升人脸识别算法精准度和保障人脸识别系统安全三方面入手。
保障人脸信息安全
事前采集告知。人脸信息采集时,在人脸识别设备处设置显著标识,向个人信息主体告知处理规则。依据《个人信息保护法》完善隐私政策,将涉及人脸信息等个人敏感信息的条款重点标出。
事后定期销毁。建立人脸信息定期销毁机制,要求人脸信息本地化存储的同时,在一定周期内定期销毁相关数据。
加大滥用惩戒。加大对人脸信息采集、存储、加工、传输各环节违规行为的惩戒力度。对于滥采、滥用的,需适当加大惩戒力度,形成有效震慑,增强公众的安全感。
提升人脸识别算法的精准度
增加算法检测。基于纹理的方法分析人脸图像样本中的微观纹理图案,进一步增强照片和真人的识别度;通过计算头发而非面部的傅里叶光谱,增强人脸视频检测的精准度。
增加唇语检测。除了点头、眨眼、转头等动作外,可以随机要求被检测者做几个连续性动作,并判断彼此连贯性。同时,增加唇语活体检测。系统给出的一组随机数字,根据摄像头捕获到的嘴唇动作特征,进一步核验是真人还是录制的视频。
颜色漫反射检测。人脸识别系统根据捕获到的图像的纹理、光线、背景、屏幕反射等特征,判断是否是真人。例如,通过在设备的屏幕上叠加不同颜色的背景,使屏幕对应颜色的光线映射到人脸上,这些漫反射的光线与打印照片、屏幕显示照片等的反射有明显区别。
红外摄像头扫描。通过近红外激光器的光线投射,再由专门的红外摄像头采集,由此得到人脸三维结构,进而辅助判别人脸真伪。
保障人脸识别系统安全
客户端安全。对人脸识别应用、App、客户端进行代码混淆、加密加壳、权限控制,做好终端环境安全检测,检查设备是否有代码注入、关键API遭hook、root/越狱等风险,防范API接口、摄像头被篡改劫持。
通讯传输安全。对数据通讯传输混淆加密,防止信息传输过程中遭到窃听、篡改、冒用。
部署全链路风控。风控决策引擎能够全面检测设备环境,实时发现注入、二次打包、劫持等各类风险及异常操作,增强人脸识别从源头到应用的预警、拦截、防护能力。
构建专属模型。基于历史业务沉淀的数据,搭建专属的风控模型,为发现潜在风险、未知威胁、保障人脸识别安全提供策略支撑。
顶象《人脸识别安全白皮书》共有8章73节。系统对人脸 识别组成、人脸识别的潜在风险隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。