SIM卡全生命周期内制定的网络安全治理方案是什么
SIM卡全生命周期内制定的网络安全治理方案是:
卡片生产环节:在SIM卡的生产环节,对生产厂家制定相关标准,要求SIM卡供应商资质达标,规范生产流程,加强对生产厂家的监督及增加厂验等手段确保SIM卡生产厂家对敏感数据(IMSI、Ki)的安全管理,避免敏感数据在生产过程中发生人为泄露。
卡片(数据)运输环节:采用实体SIM卡通过物流公司运送,SIM卡数据通过运营商专业系统提交的方法。不但采用实体卡与SIM卡数据分开交付,而且SIM卡数据的收货采用运营商自己开发的专业系统进行接收,除此之外,数据流可以采用各种加密手段和权限管理手段,降低了泄露风险。
发卡放号环节:目前运营商发卡放号除了营业厅、社会销售等传统的发卡渠道,还有一些涉及新技术的发卡渠道,如空白卡远程写卡、自助终端写卡以及远程写卡等。传统的发卡放号渠道由于无法接触到SIM卡敏感数据Ki,其管理也相对比较完善,主要重点加强操作人员的安全操作意识,防止SIM卡其他数据在内部发生泄露。对于新技术发卡渠道,则要采用新技术手段防止发卡渠道发生SIM卡数据泄密行为。早期的空白卡远程写卡系统,后台的资源系统接收到终端的写卡请求后,将敏感的SIM卡8元数据组(包含IMSI、Ki在内的8个SIM卡数据)通过明文的方式直接发到远程电脑客户端,然后由客户端写入空白卡中完成SIM卡发卡放号,由于涉及敏感数据在网络及终端的传输,所以加大了泄密的概率。因此,对于这类新的发卡放号方式必须确保在敏感数据被写入SIM卡之前都是处于加密状态,以防止数据在传输过程中被泄密。改进的远程写卡方式在写卡放号过程中采用端到端的加密方式,后台数据采用硬加密机进行加密,加密后的数据只有写进SIM卡后,由SIM卡本身完成数据解密,然后完成写卡放号,从而确保在敏感数据被写入SIM之前都是处于加密状态,防止数据在传输过程中泄密。
SIM卡使用环节:SIM卡使用环节是SIM卡整个生命周期中最长的一个环节,其具备了登网通信的功能,并且涉及资费支出,手机用户将是这个环节的主体,因此避免这个环节中用户主动或被动复制SIM卡将是防治的重点。引导用户使用SIM卡开机密码(PIN),以及培养一些良好的使用手机的习惯,都可以降低被非法复制的概率,避免用户SIM卡被动复制,造成不必要的经济损失.
SIM卡复制后的监控:当SIM卡被复制后,应通过监控手段发现SIM卡登网异常行为,并进行有效锁定,以避免更大的损失。主要是通过网络和计费系统进行监控,重点监控的指标是登网的异常,包括短时间的异地登网,同IMSI的登网,以及话费的异常。通过一系列监控指标可以判断SIM卡是否被复制,可以将用户列入黑名单并锁卡,提示用户去营业厅完成解锁,以达到事后监控的目的。