Tải bản đầy đủ (.doc) (18 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (395.49 KB, 18 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –
ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC

Hà Nội, 8/2014


MỤC LỤC

1 Tên gọi và ký hiệu của TCVN.............................................................................3
2 Đặt vấn đề...........................................................................................................3
3 Sở cứ xây dựng các yêu cầu kỹ thuật...............................................................6
3.1 Tổng hợp, phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả
nghiên cứu liên quan đến tới công nghệ sinh trắc học........................................6
3.2 Rà soát các tiêu chuẩn và quy chuẩn kỹ thuật quốc gia về công nghệ sinh
trắc học................................................................................................................7
3.3 Lựa chọn tài liệu làm cơ sở cho việc biên soạn............................................8
4 Giải thích nội dung TCVN..............................................................................12
4.1 Mục tiêu quản lý..........................................................................................12
4.2 Tóm tắt các nội dung chính.........................................................................13
5 Bảng đối chiếu nội dung TCVN với các tài liệu tham khảo.........................13
6 Kết luận và kiến nghị áp dụng...........................................................................17


1 Tên gọi và ký hiệu của TCVN
Tên tiêu chuẩn: “Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh
trắc học”.


Ký hiệu tiêu chuẩn: TCVN xxxx:xxxx
2 Đặt vấn đề
Thời gian gần đây, cùng với sự phát triển như vũ bão của khoa học và công nghệ thì
tình hình mất an toàn thông tin cá nhân cũng có nhiều diễn biến phức tạp, xuất hiện ngày
càng nhiều nguy cơ, đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ
phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh. Để đảm bảo an toàn trong các
giao dịch phục vụ đời sống thường ngày như giao dịch ngân hàng, tiêu dùng trực tuyến,
gửi/nhận email hoặc thậm chí chỉ đơn giản như đăng nhập vào chiếc điện thoại thông minh
với nhiều dữ liệu, album ảnh gia đình v.v..., mỗi cá nhân cần phải thiết lập và ghi nhớ rất
nhiều mật khẩu và mã số PIN (Personal Identification Number) cho những tài khoản giao
dịch đó. Đối với một mật khẩu hoặc mã số PIN thông thường, độ dài có thể từ 5 - 8 ký tự
hoặc cũng có thể từ 12 – 15 ký tự bao gồm các chữ cái, chữ số, viết hoa hoặc viết thường.
Mật khẩu càng dài và không phổ biến thì mức độ an toàn càng cao. Tuy nhiên, để người sử
dụng ghi nhớ được chúng thì quả là việc khó khăn.
Sinh trắc học hay Công nghệ sinh trắc học (thuật ngữ khoa học: Biometric) là công
nghệ sử dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay,
mống mắt, khuôn mặt... để nhận diện. Đây được coi là công cụ xác thực nhân thân hữu hiệu
nhất mà người ta sử dụng phổ biến vẫn là nhận dạng vân tay bởi đặc tính ổn định và độc
nhất của nó và cho đến nay, nhận dạng dấu vân tay vẫn được xem là một trong những
phương pháp sinh trắc tin cậy nhất.
Mỗi người có một đặc điểm sinh học duy nhất. Dữ liệu sinh trắc học của từng cá nhân
với đặc điểm khuôn mặt, ảnh chụp võng mạc, giọng nói sẽ được kết hợp với nhau bằng phần
mềm để tạo ra mật khẩu dành cho những giao dịch điện tử, phương thức đó là "công nghệ
sinh trắc đa nhân tố". Sự phát triển của công nghệ đã thay đổi từ việc lăn tay trên mực và lưu
trữ trên giấy sang quét trên máy và lưu trữ kỹ thuật số.

3


Hình ảnh: Các đặc trưng sinh trắc học phổ biến

Những thiết bị điện tử có khả năng sử dụng dữ liệu sinh trắc học trong thời gian thực để
bảo vệ thông tin bí mật của con người. Con người sẽ không phải tạo, lưu giữ hay ghi nhớ
mật khẩu dành cho thư điện tử, thẻ ngân hàng v.v... Chính phủ một số nước đã thực hiện việc
thắt chặt an ninh và quản lý hộ chiếu bằng cách thử nghiệm công nghệ sinh trắc học, chip
RFID. Hãng Cross Match Technologies thiết kế ứng dụng xác thực sinh trắc học dùng công
nghệ nhận diện gương mặt để lấy được đối tượng từ một đám đông. Tại Mỹ, Thẻ tín dụng
sắp tới kỳ trở thành đồ cổ, trong các chuỗi siêu thị Thrifway, khách hàng trả tiền mua hàng
bằng cách sử dụng ngón tay. Craig Federighi, Phó chủ tịch cấp cao của Apple về công nghệ
phần mềm,công bố với các nhà phát triển tại hội nghị WDC 2014 vừa qua rằng: có hơn 83%
người dùng iPhone 5s sử dụng bảo mật vân tay TouchID để bảo vệ thiết bị của mình. Hoạt
động thực tế trong việc nhận diện khuôn mặt đang được triển khai mạnh mẽ. Cục Điều tra
Liên bang Mỹ FBI đang có kế hoạch bổ sung thêm 52 triệu bức ảnh vào cơ sở dữ liệu thế hệ
tiếp theo vào năm 2015.
Tuy nhiên, đi đôi với những tiện ích, ứng dụng mà công nghệ sinh trắc học đem lại cho
phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh cũng như các giao dịch phục vụ
đời sống thường ngày của người dân thì hệ thống sinh trắc học luôn tiềm ẩn những lỗ hổng
và các mối đe dọa. Ví dụ, một kẻ tấn công có thể mạo danh người khác đăng ký vào hệ
thống, bằng cách đưa ra một vật giả mạo có chứa bản sao các đặc trưng sinh trắc học của
nạn nhân hoặc bằng cách điều khiển cơ sở dữ liệu đăng ký để thay thế tham chiếu sinh trắc
học của nạn nhân với kẻ mạo danh nhằm xâm nhập vào hệ thống ngân hàng và rút trộm tiền
từ tài khoản của nạn nhân v.v...
Bảng dưới đây so sánh các công nghệ nhận dạng sinh trắc học (H:cao; M: Trung bình; L: Thấp):

Đặc trưng
sinh trắc học

Tính
rộng rãi

Tính

phân

Tính ổn Tính dễ
định
thu nạp

Tính
hiệu

Tính
chấp

Tính
giả mạo

4


biệt

quả

nhận
được

Vân bàn tay

M

M


M

M

M

M

L

Dạng hình học bàn
tay

M

M

M

H

M

M

M

Vân tay


M

H

H

M

H

M

M

Dáng đi

M

L

L

H

L

H

M


Khuôn mặt

H

L

M

H

L

H

H

Nhiệt khuôn mặt

H

H

L

H

M

H


L

Thói quen gõ phím

L

L

L

M

L

M

M

Mùi

H

H

H

L

L


M

L

Tai

M

M

H

M

M

H

M

Võng mạc

H

H

M

L


H

L

L

Mống mắt

H

H

H

M

H

L

L

Chỉ tay

M

H

H


M

H

M

M

Giọng nói

M

L

L

M

L

H

H

Chữ ký

L

L


L

H

L

H

H

ADN

H

H

H

L

H

L

L

Tại Việt Nam, công nghệ sinh trắc học đang đi vào đời sống với các ứng dụng như
chấm công, điểm danh v.v... các công nghệ nhận diện vân tay, gương mặt, mống mắt, võng
mạc, giọng nói không còn xa lạ, các đầu quét và đầu đọc vân tay đều được tích hợp sẵn
trong nhiều sản phẩm như máy chấm công, khóa cửa, két sắt v.v... những sản phẩm này được

bán rộng rãi trên thị trường, tuy nhiên việc sử dụng các công nghệ này còn gặp khó khăn và
thiếu đồng bộ. Hệ thống tiêu chuẩn, quy chuẩn kỹ thuật về công nghệ sinh trắc học nhằm
khuyến nghị hoặc bắt buộc áp dụng hoàn toàn chưa có. Đây là một hạn chế đặc biệt đối với
các cơ quan nhà nước, tổ chức, doanh nghiệp có yêu cầu cao về an toàn, bảo mật. Do đó,
TCVN xxxx:xxxx hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 19792:2009,
Infomation Technology - Security techniques – Security evaluation of biometrics khi ban
hành sẽ có thể đáp ứng nhu cầu thực tế về đánh giá an toàn sinh trắc học của xã hội.
3 Sở cứ xây dựng các yêu cầu kỹ thuật
5


3.1 Tổng hợp, phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả nghiên
cứu liên quan đến tới công nghệ sinh trắc học
Theo số liệu thống kê, tình hình tiêu chuẩn quốc tế về công nghệ sinh trắc học hiện nay
có khoảng hơn 100 tiêu chuẩn quốc tế, tài liệu kỹ thuật, các kết quả nghiên cứu có liên quan
đã được ban hành:
- Từ vựng (ISO/IEC 2382-37);
- Các kỹ thuật an toàn (ISO/IEC 19792, 24761);
- Giao diện chương trình ứng dụng sinh trắc học (bộ ISO/IEC 19784);
- Khung định dạng trao đổi sinh trắc học chung (bộ ISO/IEC 19785);
- Định dạng hoán đổi dữ liệu sinh trắc học (bộ ISO/IEC 19794), phương pháp kiểm thử
sự phù hợp đối với định dạng hoán đổi dữ liệu sinh trắc học (bộ ISO/IEC 29109);
- Kiểm thử và báo cáo hiệu suất sinh trắc học (bộ ISO/IEC 19795);
- Sinh trắc học (ISO/IEC 24708, 24714, 24722, 29141, 29144, 29164);
- Kiểm thử sự phù hợp đối với giao diện chương trình ứng dụng sinh trắc học (BioAPI)
(bộ ISO/IEC 24709);
- Hồ sơ sinh trắc học đối với khả năng tương tác và hoán đổi dữ liệu (bộ ISO/IEC
24713);
- Hướng dẫn sinh trắc học (ISO/IEC 24741);
- Dữ liệu căn chỉnh, gia tăng và hợp nhất sinh trắc học (bộ ISO/IEC 29159);

- Chất lượng mẫu sinh trắc học (bộ ISO/IEC 29794).
Trong số các tiêu chuẩn, tài liệu kỹ thuật đó, đặc biệt phải kể đến 07 tiêu chuẩn, tài liệu
kỹ thuật đã được ban hành nhằm nâng cao an toàn sinh trắc học. Đó là:
1. ISO/IEC 19792:2009, Information technology - Security techniques - Security
evaluation of biometrics (ISO/IEC 19792:2009, Công nghệ thông tin - Các kỹ thuật
an toàn –Đánh giá an toàn sinh trắc học);

6


2. ISO/IEC 24761:2009, Information technology- Security techniques -Authentication
context for biometrics (ISO/IEC 24761:2009, Công nghệ thông tin - Các kỹ thuật an
toàn – Ngữ cảnh xác thực cho sinh trắc học);
3. ISO/IEC 19784-1:2006/Amd 3:2010, Support for interchange of certificates and
security assertions, and other security aspects (ISO/IEC 19784-1:2006/Amd 3:2010,
Hỗ trợ trao đổi chứng nhận và sự xác nhận an toàn, và các khía cạnh an toàn
khác);
4. ISO/IEC 19785-4:2010, Information technology - Common Biometric Exchange
Formats Framework - Part 4: Security block format specifications (ISO/IEC 197854:2010, Công nghệ thông tin – Khung định dạng giao dịch sinh trắc học phổ biến –
Phần 4: Đặc điểm kỹ thuật định dạng khối an toàn);
5. ISO/IEC 24745:2011, Information technology - Security techniques - Biometric
information protection (ISO/IEC 24745:2011, Công nghệ thông tin – Các kỹ thuật
an toàn – Sự bảo vệ thông tin sinh trắc học);
6. ISO 19092-1 Financial Services - Biometrics - Part 1: Security framework (ISO
19092-1 Các dịch vụ tài chính – Sinh trắc học – Phần 1: Khung an toàn);
7. ISO 19092 Financial Services - Biometrics - Part 2: Message syntax and
cryptographic requirements (ISO 19092 Các dịch vụ tài chính – Sinh trắc học –
Phần 2:Cú pháp thông điệp và các yêu cầu mã hóa).
Ngoài ra, Tổ chức tiêu chuẩn hóa quốc tế (ISO) vẫn đang tiếp tục kết hợp với Ủy ban
kỹ thuật điện Quốc tế (IEC) để xây dựng thêm rất nhiều tiêu chuẩn, tài liệu kỹ thuật nhằm

phục vụ cho nhu cầu chuẩn hóa an toàn sinh trắc học.
3.2 Rà soát các tiêu chuẩn và quy chuẩn kỹ thuật quốc gia về công nghệ sinh trắc học
Việt Nam hiện nay tuy chưa có tổ chức nào có đủ khả năng xây dựng, tự sản xuất được
các sản phẩm, hệ thống ứng dụng công nghệ sinh trắc học đầy đủ mà chủ yếu là nhập khẩu
hoặc phân phối trung gian nhưng công nghệ sinh trắc học đã sớm được quan tâm và ứng
dụng tại Việt Nam. Bộ Công an đã sớm nghiên cứu ứng dụng sinh trắc học trong nghiệp vụ điều tra,
quản lý từ thủ công đến tự động hóa. Việt Nam là một trong số ít những nước thu thập được dấu vân tay trên
chứng minh thư nhân dân. Một số cơ quan/tổ chức/cá nhân khác cũng có những công trình nghiên cứu cấp
Bộ, cấp nhà nước v.v... nhằm đẩy mạnh ứng dụng sinh trắc học tại Việt Nam như:
7


STT

Tên đề tài, dự án

Thời gian

Chủ trì đề tài /
điều phối

Các đề tài nghiên cứu cơ bản cấp Nhà nước
1

Nghiên cứu mã sinh trắc học và thẩm định xác thực sinh trắc
PGS.TS
học nhằm ứng dụng trong giao dịch điện tử. Mã số : 2006-2008 Nguyễn
Thị
KHCB.2.011.06
Hoàng Lan


2

, “Nghiên cứu ứng dụng hệ thống kiểm soát truy cập mạng
và an ninh thông tin dựa trên sinh trắc học sử dụng công
nghệ nhúng”. Mã số: KC.01/06-10

2010

Nguyễn
Thị
Hoàng Lan và
các cộng sự

Các đề tài nghiên cứu KHCN hợp tác quốc tế
1

Xây dựng hệ nhận dạng người nói tiếng Việt bán tự động
PGS.TS Đặng
ứng dụng trong giám định âm thanh hình sự, hợp tác với 2005-2007
Văn Chuyết
Viện nghiên cứu Châu Á

2

Đề tài KHCN theo nghị định thư hợp tác với Malaysia : Hệ
PGS.TS
thống an ninh sinh trắc học BioPKI (BioPKI Based 2006-2008 Nguyễn
Thị
Information Security System)

Hoàng Lan

Các nghiên cứu, phát triển khác
1


Phương
Tích hợp các kỹ thuật so khớp ảnh trong hộ chiếu sinh trắc
16/5/2012 Hạnh, Nguyễn
học
Ngọc Hóa

2

Nghiên cứu và ứng dụng kỹ thuật nhận dạng mống mắt trong
xác thực sinh trắc học”, mã số QC.08.04.

3

4

Bảo mật truy cập dựa trên hệ BioPKI và ứng dụng để bảo
mật hệ vân tay C@FRIS

Kết quả nghiên cứu ứng dụng công nghệ nhận dạng vân tay
để tự động hóa các hệ thống căn cước công dân và căn cước
can phạm”

2009


TS.
Nguyễn
Ngọc Hóa

2010

Nguyễn Văn
Toàn, Nguyễn
Thị
Hương
Thủy, Nguyễn
Ngọc
Kỷ,
Nguyễn
Thị
Hoàng Lan

2004

Nguyễn Ngọc
Kỷ, Nguyễn
Thị
Hương
Thủy, Nguyễn
Thanh
Phương,
8


5


6

BioPKI model and Remote Access Control using Bio-Etoken
in BioPKI System", IEEERIVF 2010 Addendum
Contribution Proceeding

Mật mã sinh trắc

Nguyễn
Tiệp

Việt

2010.

Nguyễn
Hoàng
Nguyễn
Toàn

Thị
Lan,
Văn

2009

Hồ
Văn
Hương, Đào

Thị
Ngọc
Thùy

Đối với tình hình tiêu chuẩn hóa, Việt Nam hiện đã ban hành rất nhiều tiêu chuẩn quốc
gia và dự thảo tiêu chuẩn quốc gia lĩnh vực thông tin và truyền thông. Tuy nhiên trong số đó,
chưa hề có tiêu chuẩn hay dự thảo tiêu chuẩn nào đề cập đến công nghệ sinh trắc học nói
chung, hay đánh giá an toàn sinh trắc học nói riêng.
3.3 Lựa chọn tài liệu làm cơ sở cho việc biên soạn
Tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques –
Security evaluation of biometrics ngày 01/8/2009 của Tổ chức tiêu chuẩn hóa Quốc tế là một
trong những tiêu tiêu chuẩn nhằm nâng cao an toàn cho hệ thống sinh trắc học đã được ban
hành. Tiêu chuẩn nhằm hướng dẫn chi tiết về “Đánh giá an toàn sinh trắc học”
3.3.1 Giới thiệu về tiêu chuẩn ISO/IEC 19792:2009 và vai trò của tiêu chuẩn trong ngữ
cảnh đánh giá an toàn sinh trắc học
a) Giới thiệu về tiêu chuẩn ISO/IEC 19792:2009
Qua những phân tích nêu trên, việc sử dụng tiêu chuẩn ISO/IEC 19792:2009 làm tài
liệu chuẩn cho việc xây dựng Tiêu chuẩn Việt Nam về “Đánh giá an toàn sinh trắc học” là
hoàn toàn phù hợp.
ISO/IEC 19792 được soạn thảo bởi Ủy ban kỹ thuật ISO/TC JTC1, Công nghệ thông
tin, tiểu ban SC 27, Các kỹ thuật an toàn Công nghệ thông tin.
Phiên bản hiện tại: ISO/IEC 19792:2009, Infomation Technology - Security techniques –
Security evaluation of biometrics, bao gồm các đặc điểm chính như sau:
- Mục tiêu:
9


Tiêu chuẩn này cung cấp hướng dẫn chi tiết các đối tượng cần được giải quyết trong
đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn được khuyến nghị áp dụng đối với tất cả
các tổ chức, cá nhân có sự tương tác với hệ thống sinh trắc học.

- Nội dung:
Tiêu chuẩn bao gồm những khía cạnh và các nguyên tắc sinh trắc học cụ thể được xem
xét trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không đề cập đến những khía
cạnh phi sinh trắc học, khía cạnh mà có thể là thành phần của sự đánh giá an toàn tổng thể một
hệ thống sử dụng công nghệ sinh trắc học.
- Cấu trúc:
+ Tổng quan về đánh giá an toàn sinh trắc học (điều 4 và điều 5)
+ Khái niệm tổng thể cho đánh giá an toàn hệ thống sinh trắc học (điều 6)
+ Những khía cạnh thống kê tỷ lệ lỗi an toàn có liên quan (điều 7)
+ Giao dịch với đánh giá lỗ hổng của hệ thống sinh trắc học và những miêu tả việc đánh
giá theo những khía cạnh riêng biệt (điều 8 và điều 9)
+ Ngoài ra, Phụ lục A cung cấp mô hình tham chiếu của hệ thống sinh trắc học trong ngữ
cảnh đánh giá an toàn. Mô hình tham chiếu này dựa trên hệ thống sinh trắc học tổng quan và
bao gồm các hệ thống con bổ sung, các thành phần và quá trình quan trọng trong ngữ cảnh của
tiêu chuẩn này.
b) Vai trò của tiêu chuẩn trong ngữ cảnh đánh giá an toàn sinh trắc học
ISO/IEC 19792:2009 có vai trò là một tiêu chuẩn khung, hướng dẫn áp dụng các phương
pháp đánh giá sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể. Tiêu chuẩn
này xác định các lĩnh vực quan trọng khác nhau cần được xem xét trong đánh giá an toàn hệ
thống sinh trắc học, xác định các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện
việc đánh giá an toàn hệ thống sinh trắc học. Bên cạnh đó, Tiêu chuẩn này có chức năng thông
báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị
trước cho việc đánh giá an toàn hệ thống sinh trắc học do mình cung cấp.
3.3.2 Khả năng áp dụng tiêu chuẩn ISO/IEC 19792:2009 tại Việt Nam
a) Lý do áp dụng

10


Hiện nay, Việc sử dụng công nghệ sinh trắc học được áp dụng rộng rãi trong đời sống của

các nước công nghiệp phát triển. Công nghệ sinh trắc học không những được sử dụng trong
lĩnh vực hình sự mà còn được sử dụng trong việc xác nhận nhân thân của cá nhân khi truy cập
mạng hoặc mở khoá. Một số ngân hàng đã bắt đầu thanh toán thẻ ATM sử dụng máy đọc vân
tay. Trong y học, dựa trên những bức tranh vân tay đặc trưng, các nhà nghiên cứu phát hiện ra
những bệnh do sai lệch gen. Trong các xã hội công nghiệp hiện đại, ngành vân tay học còn trợ
giúp các bậc phụ huynh trong việc phát triển năng khiếu và hạn chế hoặc khắc phục phần nào
những khiếm khuyết của con cái bằng cách đọc vân tay để dự báo tiềm năng v.v...
Dự án Luật Căn cước công dân là nội dung thảo luận chính tại Phiên họp toàn thể lần
thứ 14 của Ủy ban Quốc phòng và An ninh diễn ra sáng ngày 6/5/2014, tại Hà Nội. Theo dự
thảo tờ trình Chính phủ về dự án Luật này, thẻ căn cước công dân là giấy tờ tùy thân có giá
trị chứng nhận căn cước của công dân Việt Nam, do cơ quan có thẩm quyền cấp từ cơ sở dữ
liệu căn cước công dân cho những người dân có quốc tịch Việt Nam. Bộ Công an, đơn vị
soạn thảo dự án dự tính những công dân sinh từ ngày 01/01/2016 sẽ được UBND xã,
phường, thị trấn cấp thẻ căn cước công dân có số định danh cá nhân ngay khi làm thủ tục
khai sinh. Với những người sinh trước ngày 01/01/2016 và sinh từ ngày 1/1/2016 nhưng
chưa được cấp số định danh cá nhân khi đăng ký khai sinh thì sẽ được cấp số định danh cá
nhân khi làm thẻ căn cước công dân.
Số định danh cá nhân trên thẻ căn cước công dân là mã số công dân gồm 12 chữ số,
được xác lập từ Cơ sở dữ liệu quốc gia về dân cư do Bộ Công an quản lý thống nhất trên
toàn quốc, cùng với một số thông tin cơ bản như họ và tên khai sinh, họ và tên gọi khác,
ngày, tháng, năm sinh, giới tính, dân tộc v.v... Mỗi mã số công dân được cấp cho một công
dân duy nhất, không trùng lặp với công dân khác.
Trên thẻ căn cước công dân cũng có thông tin về nơi thường trú của công dân. Dự kiến
chậm nhất từ ngày 01/01/2020, việc cấp thẻ căn cước công dân được triển khai đồng bộ trên
toàn quốc. Sau khi hoàn thiện cơ sở dữ liệu quốc gia về dân cư, thẻ căn cước công dân sẽ
được áp dụng công nghệ sinh trắc học, được gắn chip để trở thành thẻ công dân điện tử, giúp
người dân loại bỏ khá nhiều loại giấy tờ tùy thân khi tham gia các giao dịch trong đời sống
hàng ngày.
Cũng trong đà phát triển đó, Tổ chức Tiêu chuẩn Quốc tế đã phối hợp chặt chẽ với Ủy ban
kỹ thuật điện để xây dựng hàng loạt tiêu chuẩn hướng dẫn sinh trắc học và nâng cao an toàn

11


cho hệ thống sinh trắc học, trong đó có Tiêu chuẩn ISO/IEC 19792:2009, Infomation
Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 hướng
dẫn chi tiết về “Đánh giá an toàn sinh trắc học”
Tuy nhiên, Việt Nam thì hoàn toàn chưa có tiêu chuẩn quốc gia nào đáp ứng nhu cầu thực
tế về nâng cao an toàn cho hệ thống sinh trắc học. Do vậy, việc xây dựng tiêu chuẩn “Công
nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh trắc học”là hoàn toàn cần thiết
và mang tính khả thi. Tiêu chuẩn sẽ bổ sung vào hệ thống TCVN về đánh giá an toàn sinh trắc
học và giúp các cơ quan chuyên môn, các tổ chức xây dựng, thực hiện và tham gia vào quá
trình đánh giá một cách khoa học, đồng bộ và hiệu quả. Ngoài ra, tiêu chuẩn cũng là một
hướng dẫn giúp các tổ chức kiểm soát và liên tục cải tiến hệ thống sinh trắc học của mình, góp
phần thúc đẩy ứng dụng công nghệ sinh trắc học tại Việt Nam.
b) Sở cứ và phương pháp áp dụng
Tổ chức Tiêu chuẩn Quốc tế ISO đã ban hành tiêu chuẩn ISO/IEC 19792:2009,
Infomation Technology - Security techniques – Security evaluation of biometrics ngày
01/8/2009 để phục vụ cho mục đích hướng dẫn “Đánh giá an toàn sinh trắc học”.
Với vai trò là một tiêu chuẩn hướng dẫn áp dụng các phương pháp đánh giá sinh trắc học
được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể, tiêu chuẩn ISO/IEC 19792:2009 đã
được nhiều Quốc gia sử dụng làm tài liệu gốc nhằm xây dựng các tiêu chuẩn quốc gia tương
đương hoặc có chỉnh sửa như Đan Mạch, Hà Lan, Anh, Đức v.v.... Do vậy, nhóm chủ trì dự
thảo tiêu chuẩn thống nhất và xây dựng tiêu chuẩn quốc gia dựa vào tiêu chuẩn quốc tế
ISO/IEC 19792:2009.
Trên cơ sở rà soát các tiêu chuẩn Việt Nam và Quốc tế về đánh giá an toàn sinh trắc học
và sau khi tham khảo các phương pháp xây dựng tiêu chuẩn/quy chuẩn kỹ thuật, nhóm chủ trì
thống nhất xây dựng tiêu chuẩn theo phương pháp chấp thuận nguyên vẹn (có chỉnh sửa về
thể thức trình bày theo quy định hiện hành về thể thức trình bày tiêu chuẩn quốc gia)
tiêu chuẩn quốc tế ISO/IEC 19792:2009.
Một số thuật ngữ như “goat”, “lamb” hay “wolf” là tên các đối tượng trong công nghệ

sinh trắc học. Vì vậy, chủ trì đề tài đề xuất giữ nguyên tên tiếng anh của các đối tượng này theo
các ý kiến góp ý của Viện Tiêu chuẩn Chất lượng Việt Nam, Tổng cục Tiêu chuẩn Đo lường
Chất lượng.

12


Ngoài ra, điều 2 tiêu chuẩn quốc tế ISO/IEC 19792:2009 mô tả sự phù hợp của việc đánh
giá an toàn hệ thống sinh trắc học đối với tiêu chuẩn này. Vậy nên, chủ trì đề tài đề xuất chấp
thuận nguyên vẹn điều “2. Sự phù hợp” trong dự thảo tiêu chuẩn Việt Nam.
4 Giải thích nội dung TCVN
4.1 Mục tiêu quản lý
Cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học, xác định các
yêu cầu cho đánh giá viên và thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh
trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học do mình
cung cấp.
Khuyến nghị áp dụng tại Việt Nam để quá trình đánh gía an toàn sinh trắc học được hiệu
quả, chất lượng và chuyên nghiệp.
4.2 Tóm tắt các nội dung chính
Dự thảo tiêu chuẩn bao gồm 09 điều và 01 phụ lục, cụ thể như sau:
1 PHẠM VI ÁP DỤNG
2 SỰ PHÙ HỢP
3 TÀI LIỆU VIỆN DẪN
4 THUẬT NGỮ VÀ ĐỊNH NGHĨA
5 THUẬT NGỮ VIẾT TẮT
6 ĐÁNH GIÁ AN TOÀN
7 TỶ LỆ LỖI CỦA HỆ THỐNG SINH TRẮC HỌC
8 ĐÁNH GIÁ LỖ HỔNG
9 QUYỀN RIÊNG TƯ
PHỤ LỤC A – MÔ HÌNH THAM CHIẾU CỦA HỆ THỐNG SINH TRẮC HỌC

THƯ MỤC TÀI LIỆU THAM KHẢO
4.2.1 Phạm vi áp dụng
13


Tiêu chuẩn này quy định các vấn đề cần được giải quyết trong đánh giá an toàn hệ thống
sinh trắc học, bao gồm những khía cạnh và các nguyên tắc sinh trắc học cụ thể được xem xét
trong đánh giá an toàn hệ thống sinh trắc học như: khái niệm tổng thể cho việc đánh giá an toàn
hệ thống sinh trắc học, những khía cạnh thống kê tỷ lệ lỗi an toàn có liên quan, đánh giá lỗ
hổng của hệ thống sinh trắc học, đánh giá theo những khía cạnh riêng biệt,
Tiêu chuẩn này có liên quan đến cả hai nhóm đánh giá viên và nhà phát triển: xác định
các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống
sinh trắc học, thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm
giúp họ chuẩn bị trước cho việc đánh giá an toàn.
4.2.2 Sự phù hợp
Để phù hợp với tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học cần được lập
kế hoạch, thực hiện và báo cáo theo những yêu cầu quy chuẩn nêu trong tiêu chuẩn.
Những khía cạnh cụ thể về việc đánh giá an toàn hệ thống sinh trắc học:
- tỷ lệ lỗi thống kê (điều 7),
- lỗ hổng sinh trắc học đặc biệt (điều 8),
- tính riêng tư (điều 9).
Lưu ý rằng sự phù hợp với tiêu chuẩn này được giới hạn trong việc áp dụng các phương
pháp đánh giá sinh trắc học được mô tả và tuân thủ các yêu cầu quy chuẩn cụ thể. Sự phù hợp
không bao gồm các kế hoạch liên quan đến các vấn đề như hành động được thực hiện trong
trường hợp một hệ thống được đánh giá không đáp ứng được các tiêu chí và mục tiêu đánh giá
an toàn có liên quan.
4.2.3 Tài liệu viện dẫn
ISO/IEC 19795-1:2006, Biometric performance testing and reporting — Part 1: Principles
and framework (ISO/IEC 19795-1:2006 – Kiểm thử và báo cáo hiệu suất sinh trắc học – Phần
1: Các nguyên tắc và khung)

4.2.4 Thuật ngữ và định nghĩa
Tiêu chuẩn đưa ra 11 thuật ngữ và định nghĩa tổng quan, 10 thuật ngữ và định nghĩa về
Hệ thống sinh trắc học, 12 thuật ngữ và định nghĩa về Quy trình sinh trắc học, 11 thuật ngữ và
định nghĩa về Tỷ lệ lỗi, 2 thuật ngữ và định nghĩa về Thống kê.
14


4.2.5 Thuật ngữ viết tắt
Tiêu chuẩn sử dụng 08 thuật ngữ viết tắt.
4.2.6 Đánh giá an toàn
Điều này làm rõ hơn phạm vi của tiêu chuẩn này tại điều 1 và cung cấp ngữ cảnh mà
trong đó đánh giá an toàn sinh trắc học được tiến hành.
Tiêu chuẩn này chủ yếu hướng vào việc đánh giá an toàn chính hệ thống sinh trắc học
chứ không hoàn toàn là các ứng dụng sinh trắc học. Một ứng dụng sinh trắc học bao gồm một
hệ thống sinh trắc học và các thành phần phần cứng và phần mềm có thể khác, cùng với một
môi trường hoạt động, quy trình tổ chức và chính sách cung cấp tập hợp các chức năng của
ứng dụng. Những yếu tố bổ sung có thể có lỗ hổng bảo mật riêng hoặc có thể khuyếch đại
hoặc giảm thiểu các lỗ hổng được sở hữu bởi chính các hệ thống sinh trắc học.
Phương pháp đánh giá sự an toàn kỹ thuật của hệ thống sinh trắc học: cần xây dựng mô
hình mối đe dọa/rủi ro cho các ứng dụng và đánh giá liệu các lỗ hổng phi sinh trắc học cụ thể
khác có tồn tại trong hệ thống tổng thể và những tác động của bất kỳ lỗ hổng sinh trắc học đã
được phát hiện ra có thể có trong an toàn hệ thống tổng thể.
4.2.7 Tỷ lệ lỗi của hệ thống sinh trắc học
Điều này giới thiệu khái niệm về sự kiểm thử tỷ lệ lỗi an toàn có liên quan trong ngữ cảnh
đánh giá an toàn hệ thống sinh trắc học. Tỷ lệ lỗi thống kê có thể đo lường được cho các thuật
toán sinh trắc học đơn lẻ (thường sử dụng cơ sở dữ liệu có sẵn từ trước của mẫu sinh trắc học),
hoặc cho các hệ thống mà người dùng cung cấp các mẫu sinh trắc học trực tiếp cho bộ cảm
biến của các thành phần thu thập dữ liệu. Kiểm thử tỷ lệ lỗi của các thuật toán sinh trắc học
thường được sử dụng để so sánh hiệu suất giữa các thuật toán khác nhau và để định lượng kết
quả thay đổi nhờ phát triển thuật toán. Kiểm thử thuật toán là giá trị giới hạn trong việc đánh

giá an toàn vì những lỗi về thuật toán chỉ do một nguồn gốc của lỗi trong một hệ thống sinh
trắc học. Điều này thường cần thiết để tiến hành đo lường lỗi thống kê của hệ thống sinh trắc
học sử dụng các mẫu sinh trắc học được thu lại bởi các thành phần thu thập của hệ thống từ
các đối tượng thực trong một kiểm thử kịch bản. Tuy nhiên, kiểm thử thống kê một thuật toán
có thể góp phần vào sự hiểu biết cần thiết của hệ thống sinh trắc học, điều này cần thiết để
chuẩn bị cho việc kiểm thử hoặc để tìm ra một yêu cầu về tỷ lệ lỗi tối đa của hệ thống sinh trắc
học.
15


4.2.8 Đánh giá lỗ hổng
Điều này cung cấp hướng dẫn đánh giá lỗ hổng. Lỗ hổng kỹ thuật được xử lý theo các
nhóm tương ứng với lỗ hổng tiềm ẩn trong hệ thống sinh trắc học, dựa trên tính lý thuyết và
kinh nghiệm thực tế. Việc khai thác một lỗ hổng tiềm ẩn thường sẽ liên quan đến nhiều thành
phần. Ví dụ, một vật giả mạo cần phải được chấp nhận bởi bộ cảm biến và vượt qua bất kỳ sự
phòng chống giả mạo nào; vượt qua bước phân tích chất lượng thu hồi; thành công trước khi bị
xử lý và tính năng khai thác được và vượt qua bất kỳ sự kiểm tra kiểm soát chất lượng tiếp
theo nào. Các bước này thường sẽ liên quan đến nhiều hơn một thành phần của hệ thống.
4.2.9 Tính riêng tư
Điều này chi tiết hoạt động của đánh giá viên cần thiết để giải quyết những mối quan tâm
riêng khi xử lý và lưu trữ dữ liệu sinh trắc học. Đây là một mối quan tâm bảo mật vốn có cho
các hệ thống sinh trắc học vì dữ liệu được sử dụng để xác thực cá thể và có thể được điều
chỉnh bởi những ràng buộc sử dụng được xác định bởi luật pháp hay quy tắc thực hành ở các
nước khác nhau.
4.2.10 Phụ lục A
Phụ lục A mô tả mô hình tham chiếu của một hệ thống sinh trắc học trong ngữ cảnh đánh
giá an toàn. Mô hình tham chiếu này dựa trên hệ thống sinh trắc học tổng quan và bao gồm các
hệ thống con bổ sung, thành phần và quá trình quan trọng trong ngữ cảnh của tiêu chuẩn này.
5 Bảng đối chiếu nội dung TCVN với các tài liệu tham khảo
Điề

u
1
2
3
4
4.1

TCVN

TÀI LIỆU VIỆN DẪN
ISO/IEC 19792:2009

Phạm vi áp dụng

Scope

Sự phù hợp

Conformance

Tài liệu viện dẫn

Normative references

Thuật ngữ và định nghĩa
Tổng quan

Terms and definitions
General


SỬA ĐỔI/BỔ
SUNG
Chấp thuận
nguyên vẹn
Chấp thuận
nguyên vẹn
Chấp thuận
nguyên vẹn

16


4.2
4.3
4.4
4.5
5
6
6.1
6.2
7
7.1
7.2
8
8.1
8.2
8.3
9
9.1


Hệ thống sinh trắc học
Quá trình sinh trắc học
Tỷ lệ lỗi
Thống kê
Thuật ngữ viết tắt
Đánh giá an toàn
Tổng quan
Phương pháp
Tỷ lệ lỗi của hệ thống sinh trắc
học
Giới thiệu
Khái niệm – Kiểm tra tỷ lệ lỗi an
toàn có liên quan
Đánh giá lỗ hổng
Giới thiệu
Đánh giá lỗ hổng
Lỗ hổng phổ biến trong hệ thống
sinh trắc học
Tính riêng tư
Tổng quan
Phụ lục A (tham khảo) – Mô hình
tham chiếu của hệ thống sinh
trắc học
Thư mục tài liệu tham khảo

Biometric systems
Biometric processes
Error rates
Statistical
Abbreviated terms

Security evaluation
Overview
Methodology
Error rates of biometric
systems
Introduction
Concept – Testing securityrelevant error rates
Vulnerability assessment
Introduction
Vulnerability assessment
Common vulnerabilities of
biometric systems
Privacy
Overview
Annex
A
(informative)
Reference model of a
biometric system
Bibliography

Chấp thuận
nguyên vẹn

Chấp thuận
nguyên vẹn

Chấp thuận
nguyên vẹn


Chấp thuận
nguyên vẹn
Chấp thuận
nguyên vẹn
Chấp thuận
nguyên vẹn
Chấp thuận
nguyên vẹn

6 Kết luận và kiến nghị áp dụng
Với xu thế phát triển ngày càng mạnh mẽ của khoa học và công nghệ, việc ứng dụng
công nghệ sinh trắc học ngày càng trở nên rộng rãi trong các lĩnh vực của đời sống kinh tế xã hội, y học, an ninh, quốc phòng v.v... thì những vấn đề mất an toàn hệ thống sinh trắc học
như mạo danh, giả dạng, tấn công từ chối dịch vụ khiến hệ thống sinh trắc học bị hư hỏng, từ
chối hoặc nhận dạng sai ngày càng phổ biến. Với vai trò là một tiêu chuẩn khung, hướng dẫn
áp dụng các phương pháp đánh giá an toàn sinh trắc học được mô tả và tuân thủ các yêu cầu
17


quy chuẩn cụ thể, việc xây dựng dự thảo tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an
toàn – Đánh giá an toàn sinh trắc học” là đặc biệt cần thiết trong tình hình Việt Nam hoàn toàn
chưa có tiêu chuẩn quốc gia khuyến nghị áp dụng cho đánh giá an toàn sinh trắc học như hiện
nay.
Nhóm chủ trì đề tài khuyến nghị áp dụng tiêu chuẩn này cho các tổ chức, cá nhân nhằm
xác định những khía cạnh quan trọng, cần được xem xét trong đánh giá an toàn hệ thống sinh
trắc học, đồng thời cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học,
xác định các yêu cầu cho đánh giá viên và thông báo cho nhà phát triển hệ thống sinh trắc học
các yêu cầu cần thiết về việc đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho
việc đánh giá an toàn hệ thống sinh trắc học do mình cung cấp, kiểm soát và từ đó liên tục cải
tiến hệ thống sinh trắc học, cũng như thúc đẩy việc sử dụng công nghệ sinh trắc học để đáp
ứng nhu cầu thực tế tại Việt Nam.


18



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×