Hà Nội, 8/2014 MỤc lụC 1 Tên gọi và ký hiệu của tcvn 3

tải về 175.36 Kb.

Chuyển đổi dữ liệu	10.08.2016
Kích	175.36 Kb.
	#16359

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –

ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC

Hà Nội, 8/2014

MỤC LỤC

1 Tên gọi và ký hiệu của TCVN 3

2 Đặt vấn đề 3

3 Sở cứ xây dựng các yêu cầu kỹ thuật 6

3.1 Tổng hợp, phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả nghiên cứu liên quan đến tới công nghệ sinh trắc học 6

3.2 Rà soát các tiêu chuẩn và quy chuẩn kỹ thuật quốc gia về công nghệ sinh trắc học 7

3.3 Lựa chọn tài liệu làm cơ sở cho việc biên soạn 9

4 Giải thích nội dung TCVN 13

4.1 Mục tiêu quản lý 13

4.2 Tóm tắt các nội dung chính 13

5 Bảng đối chiếu nội dung TCVN với các tài liệu tham khảo 17

6 Kết luận và kiến nghị áp dụng 18

1 Tên gọi và ký hiệu của TCVN

Tên tiêu chuẩn: “Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh trắc học”.

Ký hiệu tiêu chuẩn: TCVN xxxx:xxxx

2 Đặt vấn đề

Thời gian gần đây, cùng với sự phát triển như vũ bão của khoa học và công nghệ thì tình hình mất an toàn thông tin cá nhân cũng có nhiều diễn biến phức tạp, xuất hiện ngày càng nhiều nguy cơ, đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh. Để đảm bảo an toàn trong các giao dịch phục vụ đời sống thường ngày như giao dịch ngân hàng, tiêu dùng trực tuyến, gửi/nhận email hoặc thậm chí chỉ đơn giản như đăng nhập vào chiếc điện thoại thông minh với nhiều dữ liệu, album ảnh gia đình v.v..., mỗi cá nhân cần phải thiết lập và ghi nhớ rất nhiều mật khẩu và mã số PIN (Personal Identification Number) cho những tài khoản giao dịch đó. Đối với một mật khẩu hoặc mã số PIN thông thường, độ dài có thể từ 5 - 8 ký tự hoặc cũng có thể từ 12 – 15 ký tự bao gồm các chữ cái, chữ số, viết hoa hoặc viết thường. Mật khẩu càng dài và không phổ biến thì mức độ an toàn càng cao. Tuy nhiên, để người sử dụng ghi nhớ được chúng thì quả là việc khó khăn.

Sinh trắc học hay Công nghệ sinh trắc học (thuật ngữ khoa học: Biometric) là công nghệ sử dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, mống mắt, khuôn mặt... để nhận diện. Đây được coi là công cụ xác thực nhân thân hữu hiệu nhất mà người ta sử dụng phổ biến vẫn là nhận dạng vân tay bởi đặc tính ổn định và độc nhất của nó và cho đến nay, nhận dạng dấu vân tay vẫn được xem là một trong những phương pháp sinh trắc tin cậy nhất.

Mỗi người có một đặc điểm sinh học duy nhất. Dữ liệu sinh trắc học của từng cá nhân với đặc điểm khuôn mặt, ảnh chụp võng mạc, giọng nói sẽ được kết hợp với nhau bằng phần mềm để tạo ra mật khẩu dành cho những giao dịch điện tử, phương thức đó là "công nghệ sinh trắc đa nhân tố". Sự phát triển của công nghệ đã thay đổi từ việc lăn tay trên mực và lưu trữ trên giấy sang quét trên máy và lưu trữ kỹ thuật số.

Hình ảnh: Các đặc trưng sinh trắc học phổ biến

Những thiết bị điện tử có khả năng sử dụng dữ liệu sinh trắc học trong thời gian thực để bảo vệ thông tin bí mật của con người. Con người sẽ không phải tạo, lưu giữ hay ghi nhớ mật khẩu dành cho thư điện tử, thẻ ngân hàng v.v... Chính phủ một số nước đã thực hiện việc thắt chặt an ninh và quản lý hộ chiếu bằng cách thử nghiệm công nghệ sinh trắc học, chip RFID. Hãng Cross Match Technologies thiết kế ứng dụng xác thực sinh trắc học dùng công nghệ nhận diện gương mặt để lấy được đối tượng từ một đám đông. Tại Mỹ, Thẻ tín dụng sắp tới kỳ trở thành đồ cổ, trong các chuỗi siêu thị Thrifway, khách hàng trả tiền mua hàng bằng cách sử dụng ngón tay. Craig Federighi, Phó chủ tịch cấp cao của Apple về công nghệ phần mềm,công bố với các nhà phát triển tại hội nghị WDC 2014 vừa qua rằng: có hơn 83% người dùng iPhone 5s sử dụng bảo mật vân tay TouchID để bảo vệ thiết bị của mình. Hoạt động thực tế trong việc nhận diện khuôn mặt đang được triển khai mạnh mẽ. Cục Điều tra Liên bang Mỹ FBI đang có kế hoạch bổ sung thêm 52 triệu bức ảnh vào cơ sở dữ liệu thế hệ tiếp theo vào năm 2015.

Tuy nhiên, đi đôi với những tiện ích, ứng dụng mà công nghệ sinh trắc học đem lại cho phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh cũng như các giao dịch phục vụ đời sống thường ngày của người dân thì hệ thống sinh trắc học luôn tiềm ẩn những lỗ hổng và các mối đe dọa. Ví dụ, một kẻ tấn công có thể mạo danh người khác đăng ký vào hệ thống, bằng cách đưa ra một vật giả mạo có chứa bản sao các đặc trưng sinh trắc học của nạn nhân hoặc bằng cách điều khiển cơ sở dữ liệu đăng ký để thay thế tham chiếu sinh trắc học của nạn nhân với kẻ mạo danh nhằm xâm nhập vào hệ thống ngân hàng và rút trộm tiền từ tài khoản của nạn nhân v.v...

Bảng dưới đây so sánh các công nghệ nhận dạng sinh trắc học (H:cao; M: Trung bình; L: Thấp):

Đặc trưng

sinh trắc học

Tính rộng rãi

Tính phân biệt

Tính ổn định

Tính dễ thu nạp

Tính hiệu quả

Tính chấp nhận được

Tính giả mạo

Vân bàn tay

M

M

M

M

M

M

L

Dạng hình học bàn tay

M

M

M

H

M

M

M

Vân tay

M

H

H

M

H

M

M

Dáng đi

M

L

L

H

L

H

M

Khuôn mặt

H

L

M

H

L

H

H

Nhiệt khuôn mặt

H

H

L

H

M

H

L

Thói quen gõ phím

L

L

L

M

L

M

M

Mùi

H

H

H

L

L

M

L

Tai

M

M

H

M

M

H

M

Võng mạc

H

H

M

L

H

L

L

Mống mắt

H

H

H

M

H

L

L

Chỉ tay

M

H

H

M

H

M

M

Giọng nói

M

L

L

M

L

H

H

Chữ ký

L

L

L

H

L

H

H

ADN

H

H

H

L

H

L

L

Tại Việt Nam, công nghệ sinh trắc học đang đi vào đời sống với các ứng dụng như chấm công, điểm danh v.v... các công nghệ nhận diện vân tay, gương mặt, mống mắt, võng mạc, giọng nói không còn xa lạ, các đầu quét và đầu đọc vân tay đều được tích hợp sẵn trong nhiều sản phẩm như máy chấm công, khóa cửa, két sắt v.v... những sản phẩm này được bán rộng rãi trên thị trường, tuy nhiên việc sử dụng các công nghệ này còn gặp khó khăn và thiếu đồng bộ. Hệ thống tiêu chuẩn, quy chuẩn kỹ thuật về công nghệ sinh trắc học nhằm khuyến nghị hoặc bắt buộc áp dụng hoàn toàn chưa có. Đây là một hạn chế đặc biệt đối với các cơ quan nhà nước, tổ chức, doanh nghiệp có yêu cầu cao về an toàn, bảo mật. Do đó, TCVN xxxx:xxxx hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics khi ban hành sẽ có thể đáp ứng nhu cầu thực tế về đánh giá an toàn sinh trắc học của xã hội.

3 Sở cứ xây dựng các yêu cầu kỹ thuật

3.1 Tổng hợp, phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả nghiên cứu liên quan đến tới công nghệ sinh trắc học

Theo số liệu thống kê, tình hình tiêu chuẩn quốc tế về công nghệ sinh trắc học hiện nay có khoảng hơn 100 tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả nghiên cứu có liên quan đã được ban hành:

Từ vựng (ISO/IEC 2382-37);
Các kỹ thuật an toàn (ISO/IEC 19792, 24761);
Giao diện chương trình ứng dụng sinh trắc học (bộ ISO/IEC 19784);
Khung định dạng trao đổi sinh trắc học chung (bộ ISO/IEC 19785);
Định dạng hoán đổi dữ liệu sinh trắc học (bộ ISO/IEC 19794), phương pháp kiểm thử sự phù hợp đối với định dạng hoán đổi dữ liệu sinh trắc học (bộ ISO/IEC 29109);
Kiểm thử và báo cáo hiệu suất sinh trắc học (bộ ISO/IEC 19795);
Sinh trắc học (ISO/IEC 24708, 24714, 24722, 29141, 29144, 29164);
Kiểm thử sự phù hợp đối với giao diện chương trình ứng dụng sinh trắc học (BioAPI) (bộ ISO/IEC 24709);
Hồ sơ sinh trắc học đối với khả năng tương tác và hoán đổi dữ liệu (bộ ISO/IEC 24713);
Hướng dẫn sinh trắc học (ISO/IEC 24741);
Dữ liệu căn chỉnh, gia tăng và hợp nhất sinh trắc học (bộ ISO/IEC 29159);
Chất lượng mẫu sinh trắc học (bộ ISO/IEC 29794).

Trong số các tiêu chuẩn, tài liệu kỹ thuật đó, đặc biệt phải kể đến 07 tiêu chuẩn, tài liệu kỹ thuật đã được ban hành nhằm nâng cao an toàn sinh trắc học. Đó là:

ISO/IEC 19792:2009, Information technology - Security techniques - Security evaluation of biometrics (ISO/IEC 19792:2009, Công nghệ thông tin - Các kỹ thuật an toàn –Đánh giá an toàn sinh trắc học);
ISO/IEC 24761:2009, Information technology- Security techniques -Authentication context for biometrics (ISO/IEC 24761:2009, Công nghệ thông tin - Các kỹ thuật an toàn – Ngữ cảnh xác thực cho sinh trắc học);
ISO/IEC 19784-1:2006/Amd 3:2010, Support for interchange of certificates and security assertions, and other security aspects (ISO/IEC 19784-1:2006/Amd 3:2010, Hỗ trợ trao đổi chứng nhận và sự xác nhận an toàn, và các khía cạnh an toàn khác);
ISO/IEC 19785-4:2010, Information technology - Common Biometric Exchange Formats Framework - Part 4: Security block format specifications (ISO/IEC 19785-4:2010, Công nghệ thông tin – Khung định dạng giao dịch sinh trắc học phổ biến – Phần 4: Đặc điểm kỹ thuật định dạng khối an toàn);
ISO/IEC 24745:2011, Information technology - Security techniques - Biometric information protection (ISO/IEC 24745:2011, Công nghệ thông tin – Các kỹ thuật an toàn – Sự bảo vệ thông tin sinh trắc học);
ISO 19092-1 Financial Services - Biometrics - Part 1: Security framework (ISO 19092-1 Các dịch vụ tài chính – Sinh trắc học – Phần 1: Khung an toàn);
ISO 19092 Financial Services - Biometrics - Part 2: Message syntax and cryptographic requirements (ISO 19092 Các dịch vụ tài chính – Sinh trắc học – Phần 2:Cú pháp thông điệp và các yêu cầu mã hóa).

Ngoài ra, Tổ chức tiêu chuẩn hóa quốc tế (ISO) vẫn đang tiếp tục kết hợp với Ủy ban kỹ thuật điện Quốc tế (IEC) để xây dựng thêm rất nhiều tiêu chuẩn, tài liệu kỹ thuật nhằm phục vụ cho nhu cầu chuẩn hóa an toàn sinh trắc học.

3.2 Rà soát các tiêu chuẩn và quy chuẩn kỹ thuật quốc gia về công nghệ sinh trắc học

Việt Nam hiện nay tuy chưa có tổ chức nào có đủ khả năng xây dựng, tự sản xuất được các sản phẩm, hệ thống ứng dụng công nghệ sinh trắc học đầy đủ mà chủ yếu là nhập khẩu hoặc phân phối trung gian nhưng công nghệ sinh trắc học đã sớm được quan tâm và ứng dụng tại Việt Nam. Bộ Công an đã sớm nghiên cứu ứng dụng sinh trắc học trong nghiệp vụ điều tra, quản lý từ thủ công đến tự động hóa. Việt Nam là một trong số ít những nước thu thập được dấu vân tay trên chứng minh thư nhân dân. Một số cơ quan/tổ chức/cá nhân khác cũng có những công trình nghiên cứu cấp Bộ, cấp nhà nước v.v... nhằm đẩy mạnh ứng dụng sinh trắc học tại Việt Nam như:

STT	Tên đề tài, dự án	Thời gian	Chủ trì đề tài / điều phối
Các đề tài nghiên cứu cơ bản cấp Nhà nước
1	Nghiên cứu mã sinh trắc học và thẩm định xác thực sinh trắc học nhằm ứng dụng trong giao dịch điện tử. Mã số : KHCB.2.011.06	2006-2008	PGS.TS Nguyễn Thị Hoàng Lan
2	, “Nghiên cứu ứng dụng hệ thống kiểm soát truy cập mạng và an ninh thông tin dựa trên sinh trắc học sử dụng công nghệ nhúng”. Mã số: KC.01/06-10	2010	Nguyễn Thị Hoàng Lan và các cộng sự
Các đề tài nghiên cứu KHCN hợp tác quốc tế
1	Xây dựng hệ nhận dạng người nói tiếng Việt bán tự động ứng dụng trong giám định âm thanh hình sự, hợp tác với Viện nghiên cứu Châu Á	2005-2007	PGS.TS Đặng Văn Chuyết
2	Đề tài KHCN theo nghị định thư hợp tác với Malaysia : Hệ thống an ninh sinh trắc học BioPKI (BioPKI Based Information Security System)	2006-2008	PGS.TS Nguyễn Thị Hoàng Lan
Các nghiên cứu, phát triển khác
1	Tích hợp các kỹ thuật so khớp ảnh trong hộ chiếu sinh trắc học	16/5/2012	Dư Phương Hạnh, Nguyễn Ngọc Hóa
2	Nghiên cứu và ứng dụng kỹ thuật nhận dạng mống mắt trong xác thực sinh trắc học”, mã số QC.08.04.	2009	TS. Nguyễn Ngọc Hóa
3	Bảo mật truy cập dựa trên hệ BioPKI và ứng dụng để bảo mật hệ vân tay C@FRIS	2010	Nguyễn Văn Toàn, Nguyễn Thị Hương Thủy, Nguyễn Ngọc Kỷ, Nguyễn Thị Hoàng Lan
4	Kết quả nghiên cứu ứng dụng công nghệ nhận dạng vân tay để tự động hóa các hệ thống căn cước công dân và căn cước can phạm”	2004	Nguyễn Ngọc Kỷ, Nguyễn Thị Hương Thủy, Nguyễn Thanh Phương, Nguyễn Việt Tiệp
5	BioPKI model and Remote Access Control using Bio-Etoken in BioPKI System", IEEERIVF 2010 Addendum Contribution Proceeding	2010.	Nguyễn Thị Hoàng Lan, Nguyễn Văn Toàn
6	Mật mã sinh trắc	2009	Hồ Văn Hương, Đào Thị Ngọc Thùy

Đối với tình hình tiêu chuẩn hóa, Việt Nam hiện đã ban hành rất nhiều tiêu chuẩn quốc gia và dự thảo tiêu chuẩn quốc gia lĩnh vực thông tin và truyền thông. Tuy nhiên trong số đó, chưa hề có tiêu chuẩn hay dự thảo tiêu chuẩn nào đề cập đến công nghệ sinh trắc học nói chung, hay đánh giá an toàn sinh trắc học nói riêng.

3.3 Lựa chọn tài liệu làm cơ sở cho việc biên soạn

Tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 của Tổ chức tiêu chuẩn hóa Quốc tế là một trong những tiêu tiêu chuẩn nhằm nâng cao an toàn cho hệ thống sinh trắc học đã được ban hành. Tiêu chuẩn nhằm hướng dẫn chi tiết về “Đánh giá an toàn sinh trắc học”

3.3.1 Giới thiệu về tiêu chuẩn ISO/IEC 19792:2009 và vai trò của tiêu chuẩn trong ngữ cảnh đánh giá an toàn sinh trắc học

a) Giới thiệu về tiêu chuẩn ISO/IEC 19792:2009

Qua những phân tích nêu trên, việc sử dụng tiêu chuẩn ISO/IEC 19792:2009 làm tài liệu chuẩn cho việc xây dựng Tiêu chuẩn Việt Nam về “Đánh giá an toàn sinh trắc học” là hoàn toàn phù hợp.

ISO/IEC 19792 được soạn thảo bởi Ủy ban kỹ thuật ISO/TC JTC1, Công nghệ thông tin, tiểu ban SC 27, Các kỹ thuật an toàn Công nghệ thông tin.

Phiên bản hiện tại: ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics, bao gồm các đặc điểm chính như sau:

- Mục tiêu:

Tiêu chuẩn này cung cấp hướng dẫn chi tiết các đối tượng cần được giải quyết trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn được khuyến nghị áp dụng đối với tất cả các tổ chức, cá nhân có sự tương tác với hệ thống sinh trắc học.

- Nội dung:

Tiêu chuẩn bao gồm những khía cạnh và các nguyên tắc sinh trắc học cụ thể được xem xét trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không đề cập đến những khía cạnh phi sinh trắc học, khía cạnh mà có thể là thành phần của sự đánh giá an toàn tổng thể một hệ thống sử dụng công nghệ sinh trắc học.

- Cấu trúc:

+ Tổng quan về đánh giá an toàn sinh trắc học (điều 4 và điều 5)

+ Khái niệm tổng thể cho đánh giá an toàn hệ thống sinh trắc học (điều 6)

+ Những khía cạnh thống kê tỷ lệ lỗi an toàn có liên quan (điều 7)

+ Giao dịch với đánh giá lỗ hổng của hệ thống sinh trắc học và những miêu tả việc đánh giá theo những khía cạnh riêng biệt (điều 8 và điều 9)

+ Ngoài ra, Phụ lục A cung cấp mô hình tham chiếu của hệ thống sinh trắc học trong ngữ cảnh đánh giá an toàn. Mô hình tham chiếu này dựa trên hệ thống sinh trắc học tổng quan và bao gồm các hệ thống con bổ sung, các thành phần và quá trình quan trọng trong ngữ cảnh của tiêu chuẩn này.

b) Vai trò của tiêu chuẩn trong ngữ cảnh đánh giá an toàn sinh trắc học

ISO/IEC 19792:2009 có vai trò là một tiêu chuẩn khung, hướng dẫn áp dụng các phương pháp đánh giá sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể. Tiêu chuẩn này xác định các lĩnh vực quan trọng khác nhau cần được xem xét trong đánh giá an toàn hệ thống sinh trắc học, xác định các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học. Bên cạnh đó, Tiêu chuẩn này có chức năng thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học do mình cung cấp.

3.3.2 Khả năng áp dụng tiêu chuẩn ISO/IEC 19792:2009 tại Việt Nam

a) Lý do áp dụng

Hiện nay, Việc sử dụng công nghệ sinh trắc học được áp dụng rộng rãi trong đời sống của các nước công nghiệp phát triển. Công nghệ sinh trắc học không những được sử dụng trong lĩnh vực hình sự mà còn được sử dụng trong việc xác nhận nhân thân của cá nhân khi truy cập mạng hoặc mở khoá. Một số ngân hàng đã bắt đầu thanh toán thẻ ATM sử dụng máy đọc vân tay. Trong y học, dựa trên những bức tranh vân tay đặc trưng, các nhà nghiên cứu phát hiện ra những bệnh do sai lệch gen. Trong các xã hội công nghiệp hiện đại, ngành vân tay học còn trợ giúp các bậc phụ huynh trong việc phát triển năng khiếu và hạn chế hoặc khắc phục phần nào những khiếm khuyết của con cái bằng cách đọc vân tay để dự báo tiềm năng v.v...

Dự án Luật Căn cước công dân là nội dung thảo luận chính tại Phiên họp toàn thể lần thứ 14 của Ủy ban Quốc phòng và An ninh diễn ra sáng ngày 6/5/2014, tại Hà Nội. Theo dự thảo tờ trình Chính phủ về dự án Luật này, thẻ căn cước công dân là giấy tờ tùy thân có giá trị chứng nhận căn cước của công dân Việt Nam, do cơ quan có thẩm quyền cấp từ cơ sở dữ liệu căn cước công dân cho những người dân có quốc tịch Việt Nam. Bộ Công an, đơn vị soạn thảo dự án dự tính những công dân sinh từ ngày 01/01/2016 sẽ được UBND xã, phường, thị trấn cấp thẻ căn cước công dân có số định danh cá nhân ngay khi làm thủ tục khai sinh. Với những người sinh trước ngày 01/01/2016 và sinh từ ngày 1/1/2016 nhưng chưa được cấp số định danh cá nhân khi đăng ký khai sinh thì sẽ được cấp số định danh cá nhân khi làm thẻ căn cước công dân.

Số định danh cá nhân trên thẻ căn cước công dân là mã số công dân gồm 12 chữ số, được xác lập từ Cơ sở dữ liệu quốc gia về dân cư do Bộ Công an quản lý thống nhất trên toàn quốc, cùng với một số thông tin cơ bản như họ và tên khai sinh, họ và tên gọi khác, ngày, tháng, năm sinh, giới tính, dân tộc v.v... Mỗi mã số công dân được cấp cho một công dân duy nhất, không trùng lặp với công dân khác.

Trên thẻ căn cước công dân cũng có thông tin về nơi thường trú của công dân. Dự kiến chậm nhất từ ngày 01/01/2020, việc cấp thẻ căn cước công dân được triển khai đồng bộ trên toàn quốc. Sau khi hoàn thiện cơ sở dữ liệu quốc gia về dân cư, thẻ căn cước công dân sẽ được áp dụng công nghệ sinh trắc học, được gắn chip để trở thành thẻ công dân điện tử, giúp người dân loại bỏ khá nhiều loại giấy tờ tùy thân khi tham gia các giao dịch trong đời sống hàng ngày.

Cũng trong đà phát triển đó, Tổ chức Tiêu chuẩn Quốc tế đã phối hợp chặt chẽ với Ủy ban kỹ thuật điện để xây dựng hàng loạt tiêu chuẩn hướng dẫn sinh trắc học và nâng cao an toàn cho hệ thống sinh trắc học, trong đó có Tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 hướng dẫn chi tiết về “Đánh giá an toàn sinh trắc học”

Tuy nhiên, Việt Nam thì hoàn toàn chưa có tiêu chuẩn quốc gia nào đáp ứng nhu cầu thực tế về nâng cao an toàn cho hệ thống sinh trắc học. Do vậy, việc xây dựng tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh trắc học”là hoàn toàn cần thiết và mang tính khả thi. Tiêu chuẩn sẽ bổ sung vào hệ thống TCVN về đánh giá an toàn sinh trắc học và giúp các cơ quan chuyên môn, các tổ chức xây dựng, thực hiện và tham gia vào quá trình đánh giá một cách khoa học, đồng bộ và hiệu quả. Ngoài ra, tiêu chuẩn cũng là một hướng dẫn giúp các tổ chức kiểm soát và liên tục cải tiến hệ thống sinh trắc học của mình, góp phần thúc đẩy ứng dụng công nghệ sinh trắc học tại Việt Nam.

b) Sở cứ và phương pháp áp dụng

Tổ chức Tiêu chuẩn Quốc tế ISO đã ban hành tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 để phục vụ cho mục đích hướng dẫn “Đánh giá an toàn sinh trắc học”.

Với vai trò là một tiêu chuẩn hướng dẫn áp dụng các phương pháp đánh giá sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể, tiêu chuẩn ISO/IEC 19792:2009 đã được nhiều Quốc gia sử dụng làm tài liệu gốc nhằm xây dựng các tiêu chuẩn quốc gia tương đương hoặc có chỉnh sửa như Đan Mạch, Hà Lan, Anh, Đức v.v.... Do vậy, nhóm chủ trì dự thảo tiêu chuẩn thống nhất và xây dựng tiêu chuẩn quốc gia dựa vào tiêu chuẩn quốc tế ISO/IEC 19792:2009.

Trên cơ sở rà soát các tiêu chuẩn Việt Nam và Quốc tế về đánh giá an toàn sinh trắc học và sau khi tham khảo các phương pháp xây dựng tiêu chuẩn/quy chuẩn kỹ thuật, nhóm chủ trì thống nhất xây dựng tiêu chuẩn theo phương pháp chấp thuận nguyên vẹn (có chỉnh sửa về thể thức trình bày theo quy định hiện hành về thể thức trình bày tiêu chuẩn quốc gia) tiêu chuẩn quốc tế ISO/IEC 19792:2009.

Một số thuật ngữ như “goat”, “lamb” hay “wolf” là tên các đối tượng trong công nghệ sinh trắc học. Vì vậy, chủ trì đề tài đề xuất giữ nguyên tên tiếng anh của các đối tượng này theo các ý kiến góp ý của Viện Tiêu chuẩn Chất lượng Việt Nam, Tổng cục Tiêu chuẩn Đo lường Chất lượng.

Ngoài ra, điều 2 tiêu chuẩn quốc tế ISO/IEC 19792:2009 mô tả sự phù hợp của việc đánh giá an toàn hệ thống sinh trắc học đối với tiêu chuẩn này. Vậy nên, chủ trì đề tài đề xuất chấp thuận nguyên vẹn điều “2. Sự phù hợp” trong dự thảo tiêu chuẩn Việt Nam.

4 Giải thích nội dung TCVN

4.1 Mục tiêu quản lý

Cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học, xác định các yêu cầu cho đánh giá viên và thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học do mình cung cấp.

Khuyến nghị áp dụng tại Việt Nam để quá trình đánh gía an toàn sinh trắc học được hiệu quả, chất lượng và chuyên nghiệp.

4.2 Tóm tắt các nội dung chính

Dự thảo tiêu chuẩn bao gồm 09 điều và 01 phụ lục, cụ thể như sau:

1 PHẠM VI ÁP DỤNG

2 SỰ PHÙ HỢP

3 TÀI LIỆU VIỆN DẪN

4 THUẬT NGỮ VÀ ĐỊNH NGHĨA

5 THUẬT NGỮ VIẾT TẮT

6 ĐÁNH GIÁ AN TOÀN

7 TỶ LỆ LỖI CỦA HỆ THỐNG SINH TRẮC HỌC

8 ĐÁNH GIÁ LỖ HỔNG

9 QUYỀN RIÊNG TƯ

PHỤ LỤC A – MÔ HÌNH THAM CHIẾU CỦA HỆ THỐNG SINH TRẮC HỌC

THƯ MỤC TÀI LIỆU THAM KHẢO

4.2.1 Phạm vi áp dụng

Tiêu chuẩn này quy định các vấn đề cần được giải quyết trong đánh giá an toàn hệ thống sinh trắc học, bao gồm những khía cạnh và các nguyên tắc sinh trắc học cụ thể được xem xét trong đánh giá an toàn hệ thống sinh trắc học như: khái niệm tổng thể cho việc đánh giá an toàn hệ thống sinh trắc học, những khía cạnh thống kê tỷ lệ lỗi an toàn có liên quan, đánh giá lỗ hổng của hệ thống sinh trắc học, đánh giá theo những khía cạnh riêng biệt,

Tiêu chuẩn này có liên quan đến cả hai nhóm đánh giá viên và nhà phát triển: xác định các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học, thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn.

4.2.2 Sự phù hợp

Để phù hợp với tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học cần được lập kế hoạch, thực hiện và báo cáo theo những yêu cầu quy chuẩn nêu trong tiêu chuẩn.

Những khía cạnh cụ thể về việc đánh giá an toàn hệ thống sinh trắc học:

- tỷ lệ lỗi thống kê (điều 7),

- lỗ hổng sinh trắc học đặc biệt (điều 8),

- tính riêng tư (điều 9).

Lưu ý rằng sự phù hợp với tiêu chuẩn này được giới hạn trong việc áp dụng các phương pháp đánh giá sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể. Sự phù hợp không bao gồm các kế hoạch liên quan đến các vấn đề như hành động được thực hiện trong trường hợp một hệ thống được đánh giá không đáp ứng được các tiêu chí và mục tiêu đánh giá an toàn có liên quan.

4.2.3 Tài liệu viện dẫn

ISO/IEC 19795-1:2006, Biometric performance testing and reporting — Part 1: Principles and framework (ISO/IEC 19795-1:2006 – Kiểm thử và báo cáo hiệu suất sinh trắc học – Phần 1: Các nguyên tắc và khung)

4.2.4 Thuật ngữ và định nghĩa

Tiêu chuẩn đưa ra 11 thuật ngữ và định nghĩa tổng quan, 10 thuật ngữ và định nghĩa về Hệ thống sinh trắc học, 12 thuật ngữ và định nghĩa về Quy trình sinh trắc học, 11 thuật ngữ và định nghĩa về Tỷ lệ lỗi, 2 thuật ngữ và định nghĩa về Thống kê.

4.2.5 Thuật ngữ viết tắt

Tiêu chuẩn sử dụng 08 thuật ngữ viết tắt.

4.2.6 Đánh giá an toàn

Điều này làm rõ hơn phạm vi của tiêu chuẩn này tại điều 1 và cung cấp ngữ cảnh mà trong đó đánh giá an toàn sinh trắc học được tiến hành.

Tiêu chuẩn này chủ yếu hướng vào việc đánh giá an toàn chính hệ thống sinh trắc học chứ không hoàn toàn là các ứng dụng sinh trắc học. Một ứng dụng sinh trắc học bao gồm một hệ thống sinh trắc học và các thành phần phần cứng và phần mềm có thể khác, cùng với một môi trường hoạt động, quy trình tổ chức và chính sách cung cấp tập hợp các chức năng của ứng dụng. Những yếu tố bổ sung có thể có lỗ hổng bảo mật riêng hoặc có thể khuyếch đại hoặc giảm thiểu các lỗ hổng được sở hữu bởi chính các hệ thống sinh trắc học.

Phương pháp đánh giá sự an toàn kỹ thuật của hệ thống sinh trắc học: cần xây dựng mô hình mối đe dọa/rủi ro cho các ứng dụng và đánh giá liệu các lỗ hổng phi sinh trắc học cụ thể khác có tồn tại trong hệ thống tổng thể và những tác động của bất kỳ lỗ hổng sinh trắc học đã được phát hiện ra có thể có trong an toàn hệ thống tổng thể.

4.2.7 Tỷ lệ lỗi của hệ thống sinh trắc học

Điều này giới thiệu khái niệm về sự kiểm thử tỷ lệ lỗi an toàn có liên quan trong ngữ cảnh đánh giá an toàn hệ thống sinh trắc học. Tỷ lệ lỗi thống kê có thể đo lường được cho các thuật toán sinh trắc học đơn lẻ (thường sử dụng cơ sở dữ liệu có sẵn từ trước của mẫu sinh trắc học), hoặc cho các hệ thống mà người dùng cung cấp các mẫu sinh trắc học trực tiếp cho bộ cảm biến của các thành phần thu thập dữ liệu. Kiểm thử tỷ lệ lỗi của các thuật toán sinh trắc học thường được sử dụng để so sánh hiệu suất giữa các thuật toán khác nhau và để định lượng kết quả thay đổi nhờ phát triển thuật toán. Kiểm thử thuật toán là giá trị giới hạn trong việc đánh giá an toàn vì những lỗi về thuật toán chỉ do một nguồn gốc của lỗi trong một hệ thống sinh trắc học. Điều này thường cần thiết để tiến hành đo lường lỗi thống kê của hệ thống sinh trắc học sử dụng các mẫu sinh trắc học được thu lại bởi các thành phần thu thập của hệ thống từ các đối tượng thực trong một kiểm thử kịch bản. Tuy nhiên, kiểm thử thống kê một thuật toán có thể góp phần vào sự hiểu biết cần thiết của hệ thống sinh trắc học, điều này cần thiết để chuẩn bị cho việc kiểm thử hoặc để tìm ra một yêu cầu về tỷ lệ lỗi tối đa của hệ thống sinh trắc học.

4.2.8 Đánh giá lỗ hổng

Điều này cung cấp hướng dẫn đánh giá lỗ hổng. Lỗ hổng kỹ thuật được xử lý theo các nhóm tương ứng với lỗ hổng tiềm ẩn trong hệ thống sinh trắc học, dựa trên tính lý thuyết và kinh nghiệm thực tế. Việc khai thác một lỗ hổng tiềm ẩn thường sẽ liên quan đến nhiều thành phần. Ví dụ, một vật giả mạo cần phải được chấp nhận bởi bộ cảm biến và vượt qua bất kỳ sự phòng chống giả mạo nào; vượt qua bước phân tích chất lượng thu hồi; thành công trước khi bị xử lý và tính năng khai thác được và vượt qua bất kỳ sự kiểm tra kiểm soát chất lượng tiếp theo nào. Các bước này thường sẽ liên quan đến nhiều hơn một thành phần của hệ thống.

4.2.9 Tính riêng tư

Điều này chi tiết hoạt động của đánh giá viên cần thiết để giải quyết những mối quan tâm riêng khi xử lý và lưu trữ dữ liệu sinh trắc học. Đây là một mối quan tâm bảo mật vốn có cho các hệ thống sinh trắc học vì dữ liệu được sử dụng để xác thực cá thể và có thể được điều chỉnh bởi những ràng buộc sử dụng được xác định bởi luật pháp hay quy tắc thực hành ở các nước khác nhau.

4.2.10 Phụ lục A

Phụ lục A mô tả mô hình tham chiếu của một hệ thống sinh trắc học trong ngữ cảnh đánh giá an toàn. Mô hình tham chiếu này dựa trên hệ thống sinh trắc học tổng quan và bao gồm các hệ thống con bổ sung, thành phần và quá trình quan trọng trong ngữ cảnh của tiêu chuẩn này.

5 Bảng đối chiếu nội dung TCVN với các tài liệu tham khảo

Điều	TCVN	TÀI LIỆU VIỆN DẪN ISO/IEC 19792:2009	SỬA ĐỔI/BỔ SUNG
1	Phạm vi áp dụng	Scope	Chấp thuận nguyên vẹn
2	Sự phù hợp	Conformance	Chấp thuận nguyên vẹn
3	Tài liệu viện dẫn	Normative references	Chấp thuận nguyên vẹn
4	Thuật ngữ và định nghĩa	Terms and definitions	Chấp thuận nguyên vẹn
4.1	Tổng quan	General
4.2	Hệ thống sinh trắc học	Biometric systems
4.3	Quá trình sinh trắc học	Biometric processes
4.4	Tỷ lệ lỗi	Error rates
4.5	Thống kê	Statistical
5	Thuật ngữ viết tắt	Abbreviated terms	Chấp thuận nguyên vẹn
6	Đánh giá an toàn	Security evaluation
6.1	Tổng quan	Overview
6.2	Phương pháp	Methodology
7	Tỷ lệ lỗi của hệ thống sinh trắc học	Error rates of biometric systems	Chấp thuận nguyên vẹn
7.1	Giới thiệu	Introduction
7.2	Khái niệm – Kiểm tra tỷ lệ lỗi an toàn có liên quan	Concept – Testing security-relevant error rates
8	Đánh giá lỗ hổng	Vulnerability assessment	Chấp thuận nguyên vẹn
8.1	Giới thiệu	Introduction
8.2	Đánh giá lỗ hổng	Vulnerability assessment
8.3	Lỗ hổng phổ biến trong hệ thống sinh trắc học	Common vulnerabilities of biometric systems
9	Tính riêng tư	Privacy	Chấp thuận nguyên vẹn
9.1	Tổng quan	Overview	Chấp thuận nguyên vẹn
	Phụ lục A (tham khảo) – Mô hình tham chiếu của hệ thống sinh trắc học	Annex A (informative) Reference model of a biometric system	Chấp thuận nguyên vẹn
	Thư mục tài liệu tham khảo	Bibliography	Chấp thuận nguyên vẹn

6 Kết luận và kiến nghị áp dụng

Với xu thế phát triển ngày càng mạnh mẽ của khoa học và công nghệ, việc ứng dụng công nghệ sinh trắc học ngày càng trở nên rộng rãi trong các lĩnh vực của đời sống kinh tế - xã hội, y học, an ninh, quốc phòng v.v... thì những vấn đề mất an toàn hệ thống sinh trắc học như mạo danh, giả dạng, tấn công từ chối dịch vụ khiến hệ thống sinh trắc học bị hư hỏng, từ chối hoặc nhận dạng sai ngày càng phổ biến. Với vai trò là một tiêu chuẩn khung, hướng dẫn áp dụng các phương pháp đánh giá an toàn sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể, việc xây dựng dự thảo tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh trắc học” là đặc biệt cần thiết trong tình hình Việt Nam hoàn toàn chưa có tiêu chuẩn quốc gia khuyến nghị áp dụng cho đánh giá an toàn sinh trắc học như hiện nay.

Nhóm chủ trì đề tài khuyến nghị áp dụng tiêu chuẩn này cho các tổ chức, cá nhân nhằm xác định những khía cạnh quan trọng, cần được xem xét trong đánh giá an toàn hệ thống sinh trắc học, đồng thời cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học, xác định các yêu cầu cho đánh giá viên và thông báo cho nhà phát triển hệ thống sinh trắc học các yêu cầu cần thiết về việc đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học do mình cung cấp, kiểm soát và từ đó liên tục cải tiến hệ thống sinh trắc học, cũng như thúc đẩy việc sử dụng công nghệ sinh trắc học để đáp ứng nhu cầu thực tế tại Việt Nam.

Каталог: Upload -> Store -> tintuc -> vietnam
vietnam -> BỘ thông tin truyềN thông thuyết minh đỀ TÀi xây dựng quy chuẩn kỹ thuật thiết bị giải mã truyền hình số MẶT ĐẤt set – top box (stb)
vietnam -> Kết luận số 57-kl/tw ngày 8/3/2013 của Ban Bí thư về tiếp tục đẩy mạnh công tác đào tạo, bồi dưỡng lý luận chính trị cho cán bộ lãnh đạo, quản lý các cấp
vietnam -> BỘ thông tin và truyềN thôNG
vietnam -> Quyết định số 46-QĐ/tw ngày 1/11/2011 của Ban Chấp hành Trung ương do đồng chí Nguyễn Phú Trọng ký về Hướng dẫn thực hiện các quy định về công tác kiểm tra, giám sát và kỷ luật của Đảng trong Chương VII và Chương VIII điều lệ Đảng khoá XI
vietnam -> Lời nói đầu 6 quy đỊnh chung 7
vietnam -> Mẫu số: 31 (Ban hành kèm theo Quyết định số 1131/2008/QĐ ttcp ngày 18 tháng 6 năm 2008 của Tổng thanh tra)
vietnam -> BỘ thông tin và truyềN thông học viện công nghệ BƯu chính viễN thông việt nam viện khoa học kỹ thuật bưU ĐIỆN
vietnam -> Quy định số 173- qđ/TW, ngày 11/3/2013 của Ban Bí thư về kết nạp lại đối với đảng viên bị đưa ra khỏi Đảng, kết nạp quần chúng VI phạm chính sách dân số và kế hoạch hóa gia đình vào Đảng
vietnam -> RÀ soáT, chuyểN ĐỔi nhóm các tiêu chuẩn ngành phao vô tuyến chỉ VỊ trí khẩn cấp hàng hảI (epirb) sang qui chuẩn kỹ thuậT
vietnam -> HÀ NỘI 2012 MỤc lục mở ĐẦU 2 chưƠng tổng quan về DỊch vụ truy nhập internet cố ĐỊnh băng rộng tại việt nam 3

tải về 175.36 Kb.

Chia sẻ với bạn bè của bạn: