本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架,介绍了生物特征识别技术的类型,阐述了有关应用问题。本标准也描述了实现架构,详细规定了有效管理的最小安全要求,也为专业人员提供了控制目标和使用建议。
本标准包括:
———使用生物特征识别技术,通过验证其声称的身份或识别其个体身份,对参与金融服务的人员和
雇员身份进行鉴别;
———根据风险管理的要求,对用户登记时提交的凭证进行确认,以支持身份鉴别;
———在整个生命周期内,包括登记、传输、存储、身份确认、身份识别以及终止等过程,对生物特征信
息进行管理;
———生物特征识别信息在其生命周期内的安全性,包括数据完整性、源鉴别和机密性;
———生物特征识别机制在逻辑和物理访问控制中的应用;
———保护金融机构及其客户的监控措施;
———在整个生物特征识别信息生命周期中所使用的物理硬件的安全性。
本标准不包括:
———个体生物特征识别信息的隐私权和所有权;
———有关数据采集、信号处理与生物特征数据匹配、以及生物特征匹配决策流程等方面的具体技术;
———生物特征识别技术在非鉴别方面的便利性应用,如语音识别、用户交互和匿名访问控制等方面的使用。
本标准适用于由于数据机密性或其他原因而对生物特征信息进行加密的强制方式。
前言 Ⅰ
引言 Ⅲ
1 范围 1
2 符合性 1
3 规范性引用文件 1
4 术语和定义 2
5 缩略语 7
6 生物特征识别技术概述 7
7 技术方面的考虑 10
8 生物特征识别结构的基本原理 14
9 管理和安全要求 18
10 安全基础设施 22
11 生物特征身份确认的控制目标 24
附录A (资料性附录) 事件日志 47
附录B(规范性附录) 生物特征登记 50
附录C (规范性附录) 安全考虑 51
附录D (规范性附录) 生物特征识别设备的安全要求 61
附录E (资料性附录) 现有的应用 63
参考文献 65
