首批！梆梆安全入选可信人脸识别守护计划成员

“可信人脸识别守护计划”（简称“护脸计划”）成员首批名单正式公布，梆梆安全成功通过审核，成为首批“护脸计划”成员。

图部分首批成员名单

近年来，人脸识别技术落地势头迅猛，被广泛应用于公共安全、场所进出、信息处理等领域。然而，随着人脸识别的大规模应用，也暴露出隐私泄露、技术滥用、偏见歧视等问题，屡屡成为社会焦点，行业规范工作刻不容缓。

基于此，2021年4月，中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸识别守护计划”，希望通过标准制定、测试评估、行业自律等手段，增进行业和社会共识，促进产业健康发展，为人脸识别技术和应用“正名”。

自“护脸计划”成立以来，梆梆安全一直积极支持并深度参与“护脸计划”各项工作的开展。作为网络安全企业，梆梆安全在人脸识别等新技术安全发展领域做足功课，提出从人脸识别绕过看技术与业务双轮驱动的风控升级，率先实现了对“人脸识别”绕过等安全风险的监测并将其落地。

移动端“护脸”应充分考虑前端数据安全

梆梆安全基于在移动安全领域的实践，结合近年来人脸识别信息泄露等安全事件进行分析发现，以人脸识别绕过为代表的技术化攻击及风控绕过技术成为黑、灰产的通用普适性攻击技术，进一步影响企业的业务安全。

截止目前，国内大型金融、运营商、政府等移动应用均遭受过人脸识别绕过攻击，给业务安全带来严重影响。如下图所示，人脸识别绕过攻击发生的根源仍然在于移动应用前端数据造假及业务逻辑劫持绕过。

图手机APP人脸认证过程

目前手机APP的人脸认证过程通常都是前端SDK做完活体检测后，截取视频照片，发往服务端，进行人证信息的比对，在这个过程中有多种技术化方式进行人脸攻击，包括传输层抓包、应用函数劫持、系统函数劫持、底层摄像头驱动篡改（定制ROM）等。而企业在数字化转型过程中很容易忽略移动业务形态变化给业务安全带来的影响，导致企业移动业务风控缺失。

传统企业的业务风控重点在于防范灰产，如批量刷单、开卡、薅羊毛、电信诈骗等，但对于黑客及违规风险防范不足，如黑客攻击层面：渗透测试及漏洞挖掘、应用破解和调试攻击等；业务违规层面：违规打卡、违规签到以及违规巡检等。传统业务驱动下的风控基本模型如下图所示，风控系统综合前端采集数据（设备基础信息、网络IP地址信息、地理位置信息、音视频信息）、业务交易数据（手机号、账号、交易类型、交易金额、收获地址）和第三方数据（运营商数据、安全厂商情报数据、互联网厂商数据、公安、人民银行等官方数据），综合评估交易的风险状况，并进行风险决策。

图传统交易风控流程

而技术化攻击手段对传统风控最大的挑战在于，前端数据造假从而导致风控规则及模型失效。如依赖于GPS坐标信息来判断用户是否在常规交易地点，但这种信息在前端造假后极容易伪造出常规交易地点而欺骗风控。

双轮驱动下的业务风控

近年来，针对APP、SDK、H5等前端应用的技术化攻击方式不断发展，攻击方式及技术路线日渐成熟。传统的业务驱动的风控系统在技术化攻击的背景下，需要在进行风控系统升级时纳入技术风险维度的判断依据。在技术与业务双轮驱动下的业务风控逻辑架构如下图所示：

图业务风控逻辑架构

技术风险分析引擎通过前端的设备、系统环境、运行时攻击、用户行为、应用及进程风险等多个维度，综合分析当前交易设备的风险等级及风险评分，同时业务风险分析引擎通过用户账户、用户交易等多个维度，综合分析当前交易的业务风险等级及业务风险评分。业务风控系统的交易处置决策引擎综合技术、业务的分析结果，决策当前交易的处置方式。在业务与技术的双轮驱动下，企业的业务安全能力能够走上一个新的台阶。

数字经济时代，恶意攻击人脸识别系统、非法采集以及滥用人脸信息的事件时有发生，当前的人脸识别技术存在明显的安全漏洞，对社会和公众财产安全造成重大隐患，亟须进行系统性的安全排查和堵漏。《中华人民共和国个人信息保护法》等法律的不断落地实施为人脸信息保护提供法律指引，监管治理行动也将驱动行业规范化发展，“护脸计划”的推进，必将推动行业秩序形成。企业需要在人脸识别技术应用和信息安全之间找到平衡，保障用户人脸信息安全，为人脸识别技术和应用“正名”。