YD∕T 3949-2021 物联网卡安全管理技术要求(通信).pdf

1、 1 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 物联网卡安全管理技术要求 The security manage requirements for card of IoT （报批稿） -发布 -实施 发 布 ICS 35.110 CCS M11 I 目目 次次 前前 言言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 物联网卡行业分类 . 1 4.1 行业分类原则 . 1 4.2 行业分类与定义 . 1 4.2.1 车联网 . 2 4.2.2 公共服务 . 2 4.2.3

2、 零售服务 . 2 4.2.4 智慧家居 . 2 4.2.5 智慧农业 . 2 4.2.6 智慧工业 . 2 4.2.7 智慧医疗 . 2 4.2.8 智慧物流 . 2 4.2.9 其他 . 2 5 物联网卡安全风险监测技术要求 . 3 5.1 基本要求 . 3 5.2 监测模型要求 . 3 5.2.1 挪用异常监测 . 3 5.2.2 滥用异常监测 . 3 5.2.3 其他异常使用监测 . 4 5.3 结果输出 . 4 5.3.1 结果可视化 . 4 5.3.2 报告输出 . 4 5.4 上报要求 . 4 5.5 指标要求 . 4 5.5.1 漏报率 . 4 5.5.2 监测时间要求 . 4

3、 5.5.3 监测结果留存时间 . 4 6 风险用户划分要求 . 4 6.1 划分类别 . 4 6.2 划分原则 . 5 6.2.1 总体原则 . 5 6.2.2 物联网卡原生风险分类 . 5 6.2.3 物联网卡动态风险变化划分原则. 6 6.3 处置及时性要求 . 6 II 前前 言言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国

4、联合网络通信集团有限公司。 本文件主要起草人：林美玉、毕然、邓东丰、崔颖、白盼盼、芦玥、张敏、刘涛、尹娜、王一鸣、全建斌、闫晓睿、王淑玲、张聪毅。 1 物联网卡物联网卡安全安全管理技术管理技术要求要求 1 范围 本文件规定了电信企业对物联网卡安全管理的技术要求， 具体包括： 行业分类要求、 监测模型要求、风险用户划分要求。 本文件适用于电信企业对物联网卡的安全管理。 2 规范性引用文件 YD/T XXXX物联网卡安全监测与管理平台数据采集接口规范 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 物联网卡 IoT card 基于蜂窝移动通信网络，采用物联网专

5、用号码作为终端业务号码，承载于物联网移动核心网专用网元上，用于物与物、物与人通信的用户识别卡。 3.1.2 漏报率 omission rate 没有被监测和记录到的违规行为占全部物联网卡违规行为的比例。 3.2 缩略语 下列缩略语适用于本文件。 APN：接入点（Access Point Name） APP：应用软件（Application） eSIM：嵌入式 SIM 卡（Embedded Subscriber Identity Module） IMEI：国际移动设备识别码（International Mobile Equipment Identity） IMSI：国际移动用户识别码（Inter

6、national Mobile Subscriber Identification Number） PDA：掌上电脑（Personal Digital Assistant） T-BOX：车载 T-BOX（Telematics-Box） URL：统一资源定位符（Uniform Resource Location） WLAN：无线局域网（Wireless Local Area Network） 4 物联网卡行业分类 4.1 行业分类原则 结合当前电信企业已发展的物联网卡中数量占比较高的物联网行业，力求覆盖市场上已有的物联网卡应用场景，对物联网进行行业分类。鉴于物联网行业发展较为迅速，更新迭代速度较

7、快，后续可根据市场变化对物联网卡的行业分类进行跟进和更新。 4.2 行业分类与定义 2 4.2.1 车联网 车联网是以车内网、 车际网和车载移动互联网为基础， 按照约定的通信协议和数据交互标准， 利用装载在车辆上的电子标签、传感器、摄像头、定位设备、语音设备等装置，在车-X（X：车、路、行人及互联网等）之间，进行无线通讯和信息交换的大系统网络。包括T-BOX、智能后视镜、行车记录仪、OBD等设备、车载WLAN设备等。 4.2.2 公共服务 公共服务指通过国家权力介入或公共资源投入为企业、 组织或个人从事生产、 生活、 发展和娱乐等活动提供的服务。 公共服务应用物联网技术的典型业务是基础设施与市

8、政设施的智能化管理， 如智能抄表、智能路灯、智能井盖、智能停车场、安防视频监控、公务人员移动办公、共享单车等，以及环境保护信息化管理，如空气监测、水质污染监测等。 4.2.3 零售服务 零售服务在物联网技术上的应用主要在于利用信息化手段，对商品的生产、流通与销售过程进行高效管理。包括自助服务类设备，如自动售货机、自助点唱机等，以及支付类设备，如无线POS机等。 4.2.4 智慧家居 智慧家居以住宅为平台，利用综合布线技术、网络通信技术、系统设计方案安全防范技术、自动控制技术、 音视频技术将家居生活有关的设施集成， 构建高效的住宅设施与家庭日程事务的管理系统， 提升家居安全性、便利性、舒适性、艺

9、术性。包括用户的可穿戴设备、安防视频监控、智能家电、智能消防等领域。 4.2.5 智慧农业 智慧农业将物联网技术运用到传统农业中去，运用传感器与平台的信息交互，通过平台对农业生产进行监测、控制，以达到农业信息化、自动化管理。其应用主要是大棚监测、畜牧定位等。 4.2.6 智慧工业 智慧工业利用物联网技术，集中远程监控工业生产设备以实时掌握设备的运行状态和工作环境参数。主要应用为生产环境监控、能耗监控、智能工业机器人、无人机等。 4.2.7 智慧医疗 智慧医疗通过利用物联网技术，使医院实现物资管理可视化、医疗信息数字化、医疗过程数字化、医疗流程科学化。主要应用为病人佩戴的医疗可穿戴设备、医生手持

10、的PDA诊疗仪器、医疗设备上安装的监控设备等。 4.2.8 智慧物流 智慧物流是指通过智能硬件、物联网、大数据等技术手段，提高物流系统分析决策和智能执行的能力，提升物流系统的智能化、自动化水平。主要包括货物上安装的定位跟踪设备、物流人员手持的终端设备、仓储监控设备、智能快递柜等。 4.2.9 其他 3 除上述八类物联网行业外，其余物联网应用均为此分类。 5 物联网卡安全风险监测技术要求 5.1 基本要求 电信企业应将全部物联网卡的全部业务，包括语音、短信、流量，均纳入监测模型进行监测。 5.2 监测模型要求 5.2.1 挪用异常监测 监测模型应覆盖基本的物联网卡被挪用的场景，包括： a) 机卡

11、分离监测 机卡分离是指物联网卡被从一个物联网终端中拔出，在另一个终端设备中使用的行为。电信企业应根据用户提供的终端设备IMEI值或IMEI池，将其与物联网卡的IMSI进行绑定。在用户无法提供IMEI值或IMEI池时，电信企业可通过抓取并记录物联网卡第一次发生通信行为时的终端IMEI值，将其与物联网卡的IMSI进行绑定。当IMSI与终端IMEI值的绑定关系发生变化或用在非IMEI池中的终端上时，电信企业应能及时发现，并输出相关的机卡分离记录。 b) 手机终端使用监测 手机终端使用是指物联网卡被放置在手机终端上使用的行为。电信企业应基于各企业内部的手机终端IMEI库， 对物联网卡所使用的设备IME

12、I值进行监测。 当发现物联网卡被使用在手机终端上时， 应输出相关的手机终端使用记录。 c) 跨地区使用监测 跨地区使用是指某些可以固定在某个位置或省市使用的物联网设备发生通信位置变化的行为。电信企业应针对可固定在某个位置或省市使用的物联网卡进行跨地区使用监测，当发现物联网卡的通讯位置发生变化时，应输出相关的跨地区使用记录。 可固定在某个位置或省市使用的物联网卡使用场景包括但不限于以下场景： 智能抄表场景，如电表、水表等； 能源监控场景，如路灯监测设备、环境监测设备等； 电梯安防场景，如电梯语音报警、电梯监控等。 5.2.2 滥用异常监测 监测模型应覆盖基本的物联网卡功能被滥用的场景，包括： a

13、) 超阈值使用监测 超阈值使用是指物联网卡每个月的短信实际使用量超过开户时选择的使用量阈值的行为。电信企业应对物联网卡超阈值使用的行为进行监测，且在发现物联网卡超阈值使用后，应输出相关的超阈值使用记录。 b) 超白名单使用监测 超白名单使用是指物联网卡的语音主被叫号码超出开户时设定的语音白名单号码、短信收发号码超出开户时设定的短信白名单号码、访问的IP地址超出定向访问IP白名单号码的通信行为。电信企业应对物联网卡超白名单使用的情况进行监测，且在发现物联网卡超白名单使用后，应输出相关的超白名单使用记录。 c) 不合理使用监测 不合理使用是指未登记实际使用人的物联网卡发生访问典型人联网APP的行为

14、。电信企业应通过分析物联网卡实际访问的URL地址，查看其是否典型人联网应用访问地址。当发现物联网卡发生不合理访问行为时，应输出相关的不合理使用记录。 典型人联网APP包括但不限于以下几类： 视频网站类，如优酷、爱奇艺、腾讯视频等； 社交媒体类，如微博、微信、QQ、抖音等； 购物类，如淘宝、唯品会、京东等。 4 5.2.3 其他异常使用监测 监测模型应涉及其他的异常使用场景，包括： a) 异常流量使用监测 异常流量使用是指物联网卡当月流量使用量大于前三个月月均流量使用量2倍以上的行为。电信企业应对物联网卡异常流量使用的行为进行监测，且在发现物联网卡流量使用异常后，应输出相关的异常流量使用记录。

15、b) 异常短信使用监测 异常短信使用是指物联网卡当月短信使用量大于前三个月月均短信发送量2倍以上的行为。电信企业应对物联网卡短信异常使用的行为进行监测，且在发现物联网卡短信使用异常后，应输出相关的异常短信使用记录。 c) 漫游至诈骗高发区使用监测 漫游至诈骗高发区使用是指物联网卡漫游至公安部公布的诈骗高发区使用的行为。电信企业应针对物联网卡的使用地点进行监测，当发现物联网卡漫游至诈骗高发区使用时，应输出相关的漫游至诈骗高发区使用记录。 注：诈骗高发区域应参考公安部发布的诈骗高发地市名单。 d）其他监测模型 对于超出以上9类监测模型的，企业可自行定义。 5.3 结果输出 5.3.1 结果可视化

16、电信企业相关系统或管理平台应支持对监测模型配置、监测记录、日志信息的可视化展示与操作功能，例如：导入、导出、查询等。 5.3.2 报告输出 电信企业相关系统或管理平台应支持以通用的文档格式输出监测结果，如WORD、HTML、EXCEL、PDF 等。 5.4 上报要求 电信企业相关系统应按照 YD/T XXXX物联网卡安全监测与管理平台数据采集接口规范的相关要求，根据数据采集策略将企业监测结果上报至物联网卡安全监测与管理平台。 5.5 指标要求 5.5.1 漏报率 电信企业相关系统对物联网卡违规行为的监测漏报率应不高于10%。 5.5.2 监测时间要求 电信企业应对物联网卡的使用行为进行实时或准

17、实时的监测，在物联网卡发生违规行为后，电信企业监测到该违规行为的时延应不超过24个小时。 5.5.3 监测结果留存时间 电信企业对物联网卡的监测结果留存时间应不低于6个月。 6 风险用户划分要求 6.1 划分类别 5 电信企业应从物联网卡功能开通情况、 使用行为两个维度， 建立物联网用户风险识别模型， 按照风险等级划分原则将全部物联网用户划分为高风险用户、 中风险用户、 低风险用户三个级别， 对物联网用户进行识别和标记。通过识别模型精准筛选出高风险用户，及时限制其通信能力，乃至关停处理。 物联网卡的功能开通情况包括非定向语音、定向语音、非定向短信、定向短信、非定向流量、定向流量。 物联网卡的使

18、用行为包括机卡分离、手机终端使用、跨地区使用、超阈值使用、超白名单使用、不合理访问、异常流量使用、异常短信使用、漫游至诈骗高发区使用、其他异常使用。 6.2 划分原则 6.2.1 总体原则 物联网卡用户的风险等级将从物联网卡的功能开通情况、使用行为两个维度，按照每个维度里不同安全风险系数的指标，构成高风险用户、中风险用户、低风险用户三类用户，风险等级判定规则见图 1，对物联网卡用户安全等级进行划分。 图 1 物联网用户风险等级判定 6.2.2 物联网卡原生风险分类 开通非定向语音的物联网卡用户为高风险用户；开通非定向短信或非定向流量的物联网卡用户为中风险用户；开通定向功能或有限制大小流量的物联

19、网卡用户为低风险用户。物联网卡开通功能情况定义如下： a）开通非定向语音功能 开通非定向语音功能指开通了语音通信服务，但未做定向语音呼叫限制的物联网卡。 b）开通非定向短信或非定向流量功能 开通非定向短信或非定向流量功能指开通了短信或数据业务，但未做定向限制的物联网卡。 c）开通定向功能 开通定向功能指开通了语音、 短信或流量业务， 且均为定向限制的物联网卡。 定向语音限制即物联网卡只能与特定的号码进行语音呼入和呼出；定向短信限制即物联网卡仅能与平台端口号之间发送或接收 6 短信；定向流量限制即采用专用 APN、定向 IP、定向 URL 等方式实现的定向控制技术，仅能与指定平台进行通信。 6.

20、2.3 物联网卡动态风险变化划分原则 在物联网卡使用过程中，若发生手机终端使用、超白名单使用、不合理访问等疑似违规使用行为即为高风险用户；若发生机卡分离、跨地区使用、超阈值使用、漫游至敏感区域使用、异常使用等疑似违规使用行为即为中风险用户；若物联网卡用户若连续 30 天终端正常使用，则风险等级降一级，直至为低风险用户；若企业已对高风险用户和中风险用户进行处置，则直接降级为低风险用户。 a）在手机终端使用 在手机终端使用指电信企业通过对比通信话单中 IMEI 值属于个人手机终端的物联网卡。 b）超白名单使用 超白名单使用指电信企业通过对比通信话单中主被叫号码、短信发送或接收号码，超出开户信息中约

21、定的语音或短信白名单号码的物联网卡。 c）不合理访问 不合理访问指发生访问典型人联网 APP 的 URL 地址的物联网卡。典型人联网 APP 见 5.2.2 节。 d）机卡分离 机卡分离指电信企业通过分析通信话单，监测到 IMEI 值发生变化的物联网卡。 e）跨地区使用 跨地区使用指电信企业通过分析话单，监测到某些可以固定在某个位置或省市使用的物联网设备发生通信位置变化的物联网卡。 f）超阈值使用 超阈值使用指电信企业通过分析话单中用户的实际业务使用量，监测到超出开户时套餐订购用量的物联网卡。 g）漫游至敏感区域使用 漫游至敏感区域使用指电信企业通过分析网络留存数据中用户发生通信行为的位置，监测到用户在敏感区域使用的物联网卡。 h）异常使用 异常使用指电信企业通过分析物联网卡每月的实际短信或流量用量，监测到用户当月短信使用量超过自身订购套餐可用免费资源，且大于前三个月月均流量使用量 2 倍以上的物联网卡；或检测到用户当月流量使用量大于前三个月月均流量使用量 2 倍以上的物联网卡。 i）终端正常使用 终端正常使用指未出现机卡分离、超白名单使用、异常使用、不合理访问等违规行为的物联网卡。 6.3 处置及时性要求 电信企业应每日处理识别到的风险数据结果， 并在 7 天内完成高风险用户行为的核实、 反馈和处理，在 15 天内完成中风险用户行为的核实、反馈和处理。