趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
SIM卡全生命周期內制定的網絡安全治理方案是:
卡片生產環節:在SIM卡的生產環節,對生產廠家制定相關標準,要求SIM卡供應商資質達標,規范生產流程,加強對生產廠家的監督及增加廠驗等手段確保SIM卡生產廠家對敏感數據(IMSI、Ki)的安全管理,避免敏感數據在生產過程中發生人為泄露。
卡片(數據)運輸環節:采用實體SIM卡通過物流公司運送,SIM卡數據通過運營商專業系統提交的方法。不但采用實體卡與SIM卡數據分開交付,而且SIM卡數據的收貨采用運營商自己開發的專業系統進行接收,除此之外,數據流可以采用各種加密手段和權限管理手段,降低了泄露風險。
發卡放號環節:目前運營商發卡放號除了營業廳、社會銷售等傳統的發卡渠道,還有一些涉及新技術的發卡渠道,如空白卡遠程寫卡、自助終端寫卡以及遠程寫卡等。傳統的發卡放號渠道由于無法接觸到SIM卡敏感數據Ki,其管理也相對比較完善,主要重點加強操作人員的安全操作意識,防止SIM卡其他數據在內部發生泄露。對于新技術發卡渠道,則要采用新技術手段防止發卡渠道發生SIM卡數據泄密行為。早期的空白卡遠程寫卡系統,后臺的資源系統接收到終端的寫卡請求后,將敏感的SIM卡8元數據組(包含IMSI、Ki在內的8個SIM卡數據)通過明文的方式直接發到遠程電腦客戶端,然后由客戶端寫入空白卡中完成SIM卡發卡放號,由于涉及敏感數據在網絡及終端的傳輸,所以加大了泄密的概率。因此,對于這類新的發卡放號方式必須確保在敏感數據被寫入SIM卡之前都是處于加密狀態,以防止數據在傳輸過程中被泄密。改進的遠程寫卡方式在寫卡放號過程中采用端到端的加密方式,后臺數據采用硬加密機進行加密,加密后的數據只有寫進SIM卡后,由SIM卡本身完成數據解密,然后完成寫卡放號,從而確保在敏感數據被寫入SIM之前都是處于加密狀態,防止數據在傳輸過程中泄密。
SIM卡使用環節:SIM卡使用環節是SIM卡整個生命周期中最長的一個環節,其具備了登網通信的功能,并且涉及資費支出,手機用戶將是這個環節的主體,因此避免這個環節中用戶主動或被動復制SIM卡將是防治的重點。引導用戶使用SIM卡開機密碼(PIN),以及培養一些良好的使用手機的習慣,都可以降低被非法復制的概率,避免用戶SIM卡被動復制,造成不必要的經濟損失.
SIM卡復制后的監控:當SIM卡被復制后,應通過監控手段發現SIM卡登網異常行為,并進行有效鎖定,以避免更大的損失。主要是通過網絡和計費系統進行監控,重點監控的指標是登網的異常,包括短時間的異地登網,同IMSI的登網,以及話費的異常。通過一系列監控指標可以判斷SIM卡是否被復制,可以將用戶列入黑名單并鎖卡,提示用戶去營業廳完成解鎖,以達到事后監控的目的。
推薦文章
