2024 年 12 月 4 日，中国建设银行股份有限公司发布《人脸识别专项安全检测服务》招标公告。

  背景：随着人脸应用场景范围的继续扩展，人脸识别攻击事件频发，近年以来，媒体多次报道人脸识别被成功攻击的案例，引起社会高度关注。2020 年以来，我行研发的政务类 APP、手机银行 APP 等人脸识别功能也多次被犯罪分子攻击，极度影响客户权益和财产安全。监督管理的机构对人脸安全格外的重视，2021 年 12 月 9 日，人民银行科技司约谈我部和网络金融部，提出我行手机银行 APP 人脸识别验证功能存在可被成功攻击的问题，要求我行尽快完成整改，并借助外部力量持续加强人脸识别技术应用的安全检测；银保监会《关于加强人脸识别技术应用安全管理的通知》（银保监办便函〔2021〕1083 号））要求加强对人脸识别技术的安全检测和测试，“对使用人脸识别技术的应用系统要加强安全测试，及时修复漏洞，严禁应用系统‘带病上线’，加强人脸识别技术应用安全评估”。为落实监督管理的机构有关要求，需借助专业化安全检验测试的机构开展人脸识别安全专项检测服务，开展重点 APP 常规版本人脸识别场景的专项安全检测。以满足监督管理的机构目前对于加强人脸识别技术应用安全检查的要求。

  服务内容： 提供重要 App 人脸识别活体检验测试能力、对抗样本检验测试能力、防攻击能力等方面的安全测试评估，形成安全检测服务报告。

  1、活体检测防“呈现攻击”测试，主要检验测试人脸识别时捕捉到的人脸图像是否来源于活体，可通过静态照片、动态视频、面具头模等手段检验对活体的识别程度。活体检测攻击样本具体可分为二维静态纸质图像、二维静态电子图像、二维动态图像、三维面具、三维头模等。要求在不同光线、距离、角度等外因的影响下开展多维度的攻击试验。

  2、网络安全测试，测试人脸识别通信过程中的数据完整性和保密性是不是满足 GB/T 22239—2019 中 8.1.2.2 的相关要求。

  移动设施安全测试：通过人工渗透的方式，采用包括但不限于越权测试、信息泄露测试、防重放测试、反编译测试等方式对 APP 进行渗透测试，检验 APP 环境安全，挖掘人脸识别相关场景的逻辑漏洞，如越权认证、获取非必要敏感信息、重放攻击等。

  合成视频/照片攻击：通过技术方法如劫持设备摄像头、劫持函数调用或者通过破解协议等方式来进行数据篡改，实现人脸识别系统错误接受攻击行为。包括但不限于使用 ROOT 设备、框架、模拟器、定制 ROM 手机或进程注入等技术方法使用录制的视频、AI 合成视频和照片绕过人脸识别。