计算机信息系统安全等级保护应用系统技术要求-全国信息安全标准化(共5页).doc

《计算机信息系统安全等级保护应用系统技术要求-全国信息安全标准化(共5页).doc》由会员分享，可在线阅读，更多相关《计算机信息系统安全等级保护应用系统技术要求-全国信息安全标准化(共5页).doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上信息安全技术 虹膜识别产品测评方法编制说明1 工作简要过程11 任务来源本标准对依据GB/T 20979-2007 信息安全技术 虹膜识别技术要求开发的虹膜识别产品提出了测试和评价标准。本标准由全国信息安全标准化技术委员会（安标委）提出，由安标委秘书处第五工作组负责组织实施，由北京凯平艾森（Arithen）信息技术有限公司负责具体编制工作。12 采用国际和国外标准情况本标准编制过程中，主要参考了以下国外和国际标准：美国国防部标准：可信计算机系统安全评估准则（TCSEC）；国际信息安全标准：ISO/IEC 15408-X：1999Information technolo

2、gysecurity techniquesEvaluation criteria for IT security / Common Criteria for Information Technology Security Evaluation（简称CC）（IT安全评估准则 / 信息技术安全性评估公共准则）国际生物识别测试标准：ISO/IEC JTC 1/SC 37 ISO/IEC 19795- 2006/2007Biometric Performance Testing and Reporting Standards（生物识别性能测试与报告标准）Part 1：principles and fr

3、amework（第一部分：原则与框架）Part 2: testing methodologies for technology and scenario evaluation（第二部分：技术与方案评估的测试方法学）ISO/IEC 19795由两部分标准组成，ISO/IEC 19795-1与ISO/IEC 19795-2。第一部分测试生物识别的错误率和吞吐率，该标准中的生物识别（biometric）一词是生物识别系统和生物识别设备的通称。第二部分标准中，技术测试即方法测试，这种测试使用已有生物特征样本进行静态测试，以对不同算法进行比较；方案（scenario 情节，方案）测试是指按照前后相接的测

4、试项目进行测试，例如，一个进程接一个进程地进行测试。本标准对第一部分的借鉴较多，这部分标准中关于测试数据的公平性原则、测试现场性能的原则、以及测试结果的可用范围分析等内容对本标准的编制有借鉴和指导意义。13 主要工作过程1）成立编制组本标准编制组于2006年8月成立，共由5人组成。2）明确编制原则编制组在对GB17859-1999计算机信息系统安全保护等级划分准则和GB/T 20979-2007虹膜识别系统技术要求等标准进行了解和熟悉的基础上，确定了本标准的编制原则为：l 以虹膜识别系统技术要求关于虹膜识别系统的各个安全等级的技术要求为基本依据，确定对虹膜识别产品的基本性能、基本功能、分等级安

5、全要求的测试与评价；l 以生物识别通用测试与评价要求为依据，结合虹膜识别系统的具体情况，确定其具体的测试与评价要求。3）确定编制内容本标准用以测试按照GB/T 20979-2007开发的虹膜识别产品的基本功能、基本性能、自身安全功能和安全保证功能，并按照信息系统分等级保护的原则，对用于不同安全等级的虹膜识别产品的测评方法分别作了规定。本标准是GB/T 20979-2007的配套标准，用于对按照GB/T 20979-2007开发的虹膜识别产品进行测评，因此，本标准按照GB/T 20979-2007确定了编制内容，并参照GB/T 20979-2007的结构进行章节划分，使测评方法和技术要求基本上能

6、够一一对应。GB/T 20979-2007将信息系统划分为三个安全等级，本标准也遵循了这一划分方式。本标准第四至第六章的章节名称如下：第四章 测评环境和条件 第二节 基本性能测评第一节 测评环境 第六章 安全等级保护分等级测评第二节 测评条件 第一节 第一级系统测评第五章 基本功能与性能测评 第二节 第二级系统测评第一节 基本功能测评 第三节 第三级系统测评4）组织专家评审本标准曾于于2007年6月、2008年4月、2008年10月和2008年11月进行了四次汇报及评审，并于2008年12月17日，12月23日分别经过WG5生物特征识别组成员单位评审及安标委秘书处组织的评审，形成了送审稿。评审

7、意见处理表另附。2 确定标准主要内容的论据21 编制原则为了使我国安全产品的开发，从一开始就与国际接轨，本标准的编写参考了国际有关标准，主要有美国的TCSEC、国际标准CC、国际生物识别测试标准等。同时，虹膜识别系统测试与评价又要符合我国的实际情况，遵从我国有关法律、法规的规定，并与已有的相关安全标准相兼容。具体编制原则与要求如下：1）先进性 本标准是国际第一个虹膜识别产品测评标准。标准是技术发展的产物。先进的标准同时又推动技术的发展。在经济全球化的时代环境下，要制定出先进的信息安全标准，要使我国的虹膜识别产品具有国际竞争能力，必须参考国际先进标准，吸收其精华，制定出具有先进水平的标准。虹膜识

8、别产品测评方法的编写遵循了这一原则。 2）实用性虹膜识别产品测评方法必须可用，才能有实际意义。本标准是在对我国虹膜识别产品进行深入考察，对我国虹膜识别产品的应用需求和应用状况进行深入分析的基础上制定的，制定过程中力求具有实用性和可操作性，并能对虹膜识别产品的开发起到一定的指导作用。 3）兼容性虹膜识别产品测评方法既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。因此，虹膜识别产品测评方法的编写以虹膜识别系统技术要求的等级划分为基本依据，与其它的相关标准相兼容，符合我国已经发布的有关政策、法律和法规的规定。22 标准编制过程中要解决的问题221 技术要求与测评方法本标准是与虹膜识别

9、系统技术要求相配套的对虹膜识别系统进行测试与评价的标准。如何理解这两个标准之间的关系，对于用好标准具有重要的意义。这里仅从以下方面进行间要说明。）关于技术要求标准技术要求标准，特别是分等级的技术要求标准，实际上是从技术角度对等级的划分给出的要求，是衡量其是否达到一定技术要求的准绳。所以这类标准称为“技术要求”标准。这些“技术要求”或“准则”，在文本中对具体技术进行的规范，通常都是以要求的形式给出的。每一个等级的“技术要求”，表明该等级在技术上应达到的要求。至于如何确定其是否真正达到了所提出的要求，在“准则”中，或者说在“技术要求”中是不涉及的，而这正是测试与评价标准需要明确的。一个典型的信息安

10、全专用产品的技术要求的技术要求的内容依本应包括：l 对产品的功能的要求；l 对产品的性能的要求；l 对产品自身安全功能的要求；l 对产品自身安全保证的要求。）关于测试与评价标准测试与评价标准是与技术要求标准相配套的标准。按照技术要求标准对每一个安全等级所提出的技术要求，测试与评价标准应给出为确定其达到相应等级所应采取的测试与评价的方法和过程的要求。这些测试与评价要求应严格对照技术要求的内容进行描述。一个典型的信息安全产品的测试与评价标准的内容一般应包括：l 对测试与评价的环境和条件的要求；l 对产品的功能进行测试与评价的要求；l 对产品的性能进行测试与评价的要求；l 对产品的自身安全功能进行测

11、试的要求；l 对产品的自身安全保证进行测试的要求。222 标准编制过程中的关键问题标准编制过程中，必须解决的一个关键问题是，如何将技术要求体现为产品测评方法。技术要求带有抽象性，如何把抽象的技术要求体现为产品性能要求，再将产品性能要求物化并量化，最终给出这些性能的测评方法，并使之规范化，是本标准编制过程中贯彻始终的关键问题。这些问题也正是专家们多次指出并要求解决的问题。编制组经过长时间的努力，可以说在本标准中，对GB/T 20979-2007中的全部技术要求都实现了上述过程。举例说明如下：可靠性是虹膜识别产品最主要的性能，可靠性体现为错误率，即错误接受率和错误拒绝率。在GB/T 20979-2

12、007中，相关的技术要求如下：错误接受率和错误拒绝率a) 在总测试次数不小于一万次时，错误接受率不大于万分之一，错误拒绝率不大于百分之一；b) 在总测试次数不小于十万次时，错误接受率不大于十万分之一，错误拒绝率不大于百分之一；c) 在总测试次数不小于三十万次时，错误接受率不大于三十万分之一，错误拒绝率不大于千分之一。本标准将上述技术要求转化成了产品测评要求，并规定了如下所述的测评方法：可靠性测试与评价a) 检查文档：检查自测试文档，根据文档的描述，了解虹膜识别系统是否进行了可靠性测试。b) 实际测试：通过对虹膜识别系统的实际测试，考查其是否具有文档所描述的可靠性。可靠性测试应满足：l 可靠性测

13、试应使用随机样本；l 应通过检测，确定进行了用户登记的不同虹膜组织的总数；l 应通过检测，确定进行了用户识别的不同虹膜组织的总数；l 在统计比对次数时，同一虹膜组织的所有模板特征序列与任一虹膜组织的所有样本特征序列之间的所有比对，仅计为一次比对；l 应测试错误接受率：在用户识别时，对于本该产生拒绝结果的比对，错误地产生了接受结果，统计产生这类错误结果的比对次数与总比对次数的比率；l 应测试错误拒绝率：在用户识别时，对于本该产生接受结果的比对，错误地产生了拒绝结果，统计产生这类错误结果的比对次数与总比对次数的比率；l 应能对错误接受率和错误拒绝率进行调节，使其中之一变大时另一个变小，以满足不同的

14、应用需要；l 虹膜特征身份识别系统的可靠性应由错误接受率和错误拒绝率度量，应以虹膜识别系统能够同时达到的错误接受率和错误拒绝率作为该系统错误接受率和错误拒绝率的测定值；l 不同安全保护等级的虹膜识别系统应具有与安全等级要求相应的可靠性；l 可在使用者正确使用设备的条件下对错误接受率和错误拒绝率进行评测。c) 分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测系统是否具有所要求的可靠性设计。3使用建议本标准适用于虹膜识别系统的测试与评价，对于虹膜识别系统的设计开发、管理和使用也可参考。本标准按照虹膜识别系统技术要求的等级划分，规定了不同等级的虹膜识别系统的测试与评价要求。在使用该标准时

15、，首先应把虹膜识别系统看成是一个用于进行身份鉴别的安全机制，同时要把虹膜识别系统看成是一个专用的信息处理系统。只有这样，才能更完整地理解该标准的内容。4贯彻标准的要求和实施建议 本标准的编制目标是为确定虹膜识别产品是否达到虹膜识别系统技术要求所规定的安全等级而进行的测试与评价提供指导。虹膜识别作为生物特征身份鉴别的主要技术之一，在信息系统安全和其它独立应用的安全方面将发挥重要作用，我国具有自主知识产权的虹膜识别技术已经具有相当高的水平，其应用领域将快速扩展。为了推进这一安全技术的发展，建议在实施信息系统安全等级保护的同时，大力宣传、贯彻该标准，把它作为其一项重要的安全措施，让更多的与信息安全相关的人员学习它、了解它、使用它，并有更多的业内人士研究它、发展它、完善它，以推进虹膜身份鉴别技术的发展，有更多、更好的虹膜识别产品得到更广泛的应用。 虹膜识别产品测评方法编制组20086年11月专心-专注-专业