物聯(lián)網(wǎng)基礎(chǔ)安全物聯(lián)網(wǎng)卡安全分類管理規(guī)范本文件規(guī)定了物聯(lián)網(wǎng)卡安全分類管理的基本要求，主要包括：物聯(lián)網(wǎng)卡功能定義、安全管理技術(shù)措施、安全管理要求和入網(wǎng)管理要求等。本文件適用于指導(dǎo)電信企業(yè)開(kāi)展物聯(lián)網(wǎng)卡安全管理工作。其中，電信企業(yè)包括基礎(chǔ)電信企業(yè)和移動(dòng)通信轉(zhuǎn)售企業(yè)。2規(guī)范性引用文件本文件沒(méi)有規(guī)范性引用文件。3術(shù)語(yǔ)、定義和縮略語(yǔ)3.1術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1.1物聯(lián)網(wǎng)卡IoTcard基于蜂窩移動(dòng)通信網(wǎng)絡(luò)，采用物聯(lián)網(wǎng)專用號(hào)碼作為終端業(yè)務(wù)號(hào)碼，承載于物聯(lián)網(wǎng)移動(dòng)核心網(wǎng)專用網(wǎng)元上，用于物與物、物與人通信的用戶識(shí)別卡。3.1.2用戶入網(wǎng)useraccesstothenetwork用戶辦理物聯(lián)網(wǎng)卡開(kāi)戶、過(guò)戶等業(yè)務(wù)。3.1.3專用號(hào)段dedicatednumbersection行業(yè)主管部門頒發(fā)給電信企業(yè)的用于物聯(lián)網(wǎng)、機(jī)器通信等專用碼號(hào)資源。3.1.4卡片限定cardlimitation通過(guò)嵌入、焊接、非標(biāo)等方式，實(shí)現(xiàn)物聯(lián)網(wǎng)卡與終端物理綁定的技術(shù)手段，從而有效防止3.1.5機(jī)卡綁定machinecardbinding針對(duì)可插拔的普通SIM卡，通過(guò)在相應(yīng)的系統(tǒng)平臺(tái)配置機(jī)卡綁定參數(shù)實(shí)現(xiàn)物聯(lián)網(wǎng)卡與終端3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APN接入點(diǎn)名稱URLVPDN網(wǎng)際互連協(xié)議用戶身份識(shí)別模塊統(tǒng)一資源定位符虛擬專有撥號(hào)網(wǎng)絡(luò)UniformResourceLocatorVirtualPrivateDialNetwork4物聯(lián)網(wǎng)卡開(kāi)通功能定義4.1語(yǔ)音功能4.1.1定向語(yǔ)音定向語(yǔ)音是指使用物聯(lián)網(wǎng)卡只能與特定號(hào)碼進(jìn)行語(yǔ)音通話，包括呼入和呼出方向。各電信企業(yè)應(yīng)按最小必要原則，嚴(yán)格限制語(yǔ)音通話的白名單號(hào)碼數(shù)量，原則上語(yǔ)音呼入和呼出的白名單號(hào)碼數(shù)量合計(jì)不超過(guò)5個(gè)。明確電信企業(yè)審核責(zé)任人，并留存簽字審核表。4.1.2非定向語(yǔ)音非定向語(yǔ)音是指使用物聯(lián)網(wǎng)卡可進(jìn)行語(yǔ)音通話的對(duì)象不受限制，包括呼入和呼出。4.2短信功能4.2.1定向短信定向短信是指使用物聯(lián)網(wǎng)卡僅能與短信管理平臺(tái)號(hào)碼進(jìn)行收發(fā)短信，不允許物聯(lián)網(wǎng)卡與物聯(lián)網(wǎng)卡之間、物聯(lián)網(wǎng)卡與公眾移動(dòng)網(wǎng)電話號(hào)碼之間收發(fā)短信。各物聯(lián)網(wǎng)卡對(duì)應(yīng)的短信管理平臺(tái)號(hào)碼由電信企業(yè)自行分配，原則上每張物聯(lián)網(wǎng)卡綁定的平臺(tái)號(hào)碼數(shù)量（含發(fā)送和接收）合計(jì)不明確電信企業(yè)審核責(zé)任人，并留存簽字審核表。4.2.2非定向短信非定向短信是指使用物聯(lián)網(wǎng)卡發(fā)送或接收短信的對(duì)象不受限制。4.3流量功能根據(jù)物聯(lián)網(wǎng)卡流量功能是否受限，可分為定向流量和非定向流量。按照物聯(lián)網(wǎng)卡使用流量額度，可以分為大流量和小流量。結(jié)合安全風(fēng)險(xiǎn)，物聯(lián)網(wǎng)卡流量功能可分為定向流量、非定向小流量和非定向大流量。4.3.1定向流量定向流量是指可通過(guò)技術(shù)措施限定物聯(lián)網(wǎng)卡僅能訪問(wèn)特定的IP或URL地址，原則上定向流量訪問(wèn)的IP和URL地址白名單數(shù)量合計(jì)不超過(guò)10個(gè)。電信企業(yè)應(yīng)嚴(yán)格限制定向流量白名單變更次數(shù)，對(duì)于確需變更的，電信企業(yè)應(yīng)加強(qiáng)審核，明確電信企業(yè)審核責(zé)任人，并留存簽字審核表。4.3.2非定向小流量非定向小流量是指使用物聯(lián)網(wǎng)卡可訪問(wèn)公網(wǎng)IP或URL地址不受限制，且月均使用流量不超4.3.3非定向大流量非定向大流量是指使用物聯(lián)網(wǎng)卡可訪問(wèn)公網(wǎng)IP或URL地址不受限制，且月均使用流量大于5物聯(lián)網(wǎng)卡安全管理措施5.1前置規(guī)范管理5.1.1專用號(hào)段電信企業(yè)在發(fā)展物聯(lián)網(wǎng)用戶時(shí)，應(yīng)嚴(yán)格使用物聯(lián)網(wǎng)卡專用號(hào)段，并定期對(duì)專用號(hào)段使用合5.1.2卡片限定卡片限定主要表現(xiàn)為貼片卡、eSIM卡和異形卡等，其中異形卡是通過(guò)改變SIM卡的形狀和大小，僅在特定物聯(lián)網(wǎng)終端中可以使用。5.1.3機(jī)卡綁定機(jī)卡綁定的具體實(shí)現(xiàn)方式可分為兩類：一類是電信企業(yè)在網(wǎng)絡(luò)側(cè)簽約服務(wù)器上或連接管理平臺(tái)上配置終端設(shè)備唯一標(biāo)識(shí)號(hào)與物聯(lián)網(wǎng)號(hào)碼、終端設(shè)備唯一標(biāo)識(shí)庫(kù)與物聯(lián)網(wǎng)號(hào)碼庫(kù)的綁定關(guān)系；另一類是在終端側(cè)采用機(jī)卡互鎖方式。物聯(lián)網(wǎng)機(jī)卡綁定僅能由電信企業(yè)進(jìn)行操作，不得由購(gòu)卡用戶自行操作。5.1.3.1網(wǎng)絡(luò)側(cè)機(jī)卡綁定一是通過(guò)簽約服務(wù)器簽約功能實(shí)現(xiàn)綁定。物聯(lián)網(wǎng)號(hào)碼在簽約服務(wù)器簽約機(jī)卡綁定功能；用戶提前告知電信企業(yè)物聯(lián)網(wǎng)終端的設(shè)備唯一標(biāo)識(shí)號(hào)信息，由電信企業(yè)在網(wǎng)絡(luò)側(cè)進(jìn)行配置，將設(shè)備唯一標(biāo)識(shí)號(hào)與相應(yīng)的物聯(lián)網(wǎng)號(hào)碼進(jìn)行綁定；或終端首次發(fā)生通信行為時(shí)，通過(guò)省內(nèi)無(wú)線網(wǎng)絡(luò)接入后，上報(bào)實(shí)際設(shè)備的唯一標(biāo)識(shí)號(hào)到核心網(wǎng)元設(shè)備，核心網(wǎng)元設(shè)備將用戶硬件信息上報(bào)到簽約服務(wù)器，簽約服務(wù)器將設(shè)備唯一標(biāo)識(shí)號(hào)與物聯(lián)網(wǎng)號(hào)碼進(jìn)行綁定；之后，終端再次發(fā)生通信行為時(shí)，簽約服務(wù)器核對(duì)用戶的硬件信息和綁定的物聯(lián)網(wǎng)號(hào)碼是否一致，如不一致，則直接拒絕二是通過(guò)連接管理平臺(tái)實(shí)現(xiàn)綁定。終端首次發(fā)生通信行為時(shí)，通過(guò)網(wǎng)絡(luò)側(cè)抓取終端設(shè)備的唯一標(biāo)識(shí)號(hào)，并在電信企業(yè)物聯(lián)網(wǎng)連接管理平臺(tái)上存儲(chǔ)該設(shè)備唯一標(biāo)識(shí)號(hào)與物聯(lián)網(wǎng)號(hào)碼的對(duì)應(yīng)關(guān)系，后續(xù)物聯(lián)網(wǎng)卡請(qǐng)求連接到網(wǎng)絡(luò)時(shí)，物聯(lián)網(wǎng)連接管理平臺(tái)自動(dòng)檢查設(shè)備的唯一標(biāo)識(shí)號(hào)與物聯(lián)網(wǎng)號(hào)碼的對(duì)應(yīng)關(guān)系，如不一致，則拒絕物聯(lián)網(wǎng)卡接入?；蛘哂脩籼崆案嬷娦牌髽I(yè)物聯(lián)網(wǎng)終當(dāng)終端發(fā)生通信行為時(shí)，通過(guò)網(wǎng)絡(luò)側(cè)抓取終端設(shè)備的唯一標(biāo)識(shí)號(hào)，并將抓取到的設(shè)備唯一標(biāo)識(shí)號(hào)抄送給連接管理平臺(tái)，由平臺(tái)將該設(shè)備唯一標(biāo)識(shí)號(hào)與設(shè)備唯一標(biāo)識(shí)庫(kù)進(jìn)行比較。如果不在設(shè)備唯一標(biāo)識(shí)庫(kù)內(nèi)，則拒絕為用戶提供服務(wù)。5.1.3.2終端側(cè)機(jī)卡互鎖方式在物聯(lián)網(wǎng)卡內(nèi)單獨(dú)設(shè)置一個(gè)區(qū)域，用于存儲(chǔ)要綁定的終端設(shè)備唯一標(biāo)識(shí)號(hào)；用戶提前告知電信企業(yè)物聯(lián)網(wǎng)終端的設(shè)備唯一標(biāo)識(shí)號(hào)信息，由電信企業(yè)寫(xiě)入物聯(lián)網(wǎng)卡內(nèi)；終端開(kāi)機(jī)后讀取出物聯(lián)網(wǎng)卡內(nèi)存儲(chǔ)的設(shè)備唯一標(biāo)識(shí)號(hào)，并與終端自身設(shè)備唯一標(biāo)識(shí)號(hào)進(jìn)行比較，判斷是否一致。如不一致，則停止通信功能服務(wù)。采用此種方式的物聯(lián)網(wǎng)終端需要具備判斷設(shè)備唯一標(biāo)識(shí)號(hào)的5.2業(yè)務(wù)功能限定5.2.1區(qū)域限制對(duì)于終端設(shè)備位置固定的物聯(lián)網(wǎng)場(chǎng)景，如水表、電表、市政監(jiān)控設(shè)備、環(huán)境監(jiān)測(cè)設(shè)備等，應(yīng)嚴(yán)格限定物聯(lián)網(wǎng)卡使用位置地點(diǎn)，如綁定基站標(biāo)識(shí)或限制接入基站數(shù)量等。對(duì)于終端設(shè)備限定在一定地理范圍內(nèi)使用的物聯(lián)網(wǎng)場(chǎng)景，電信企業(yè)應(yīng)通過(guò)技術(shù)手段嚴(yán)格限定其使用區(qū)域，限定區(qū)域不得超過(guò)省級(jí)范圍。5.2.2限額管控限額管控是指結(jié)合使用場(chǎng)景和使用需求，限制物聯(lián)網(wǎng)卡的業(yè)務(wù)使用量。電信企業(yè)應(yīng)結(jié)合物聯(lián)網(wǎng)卡的網(wǎng)絡(luò)制式、使用需求，對(duì)物聯(lián)網(wǎng)卡業(yè)務(wù)使用量進(jìn)行分檔限額管理。對(duì)于達(dá)到限定使用量的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)及時(shí)暫停服務(wù)。5.2.3定向訪問(wèn)5.2.3.1定向語(yǔ)音定向語(yǔ)音的實(shí)現(xiàn)方式主要包括：網(wǎng)絡(luò)側(cè)通過(guò)智能網(wǎng)進(jìn)行語(yǔ)音控制，以及其他可以實(shí)現(xiàn)與固定的號(hào)碼進(jìn)行語(yǔ)音通話的技術(shù)手段。通過(guò)智能網(wǎng)進(jìn)行語(yǔ)音控制主要是通過(guò)智能網(wǎng)的業(yè)務(wù)控制設(shè)備來(lái)限制語(yǔ)音呼入和呼出的白名單，從而實(shí)現(xiàn)物聯(lián)網(wǎng)卡的定向語(yǔ)音功能。具體流程為，當(dāng)主叫發(fā)起呼叫后，經(jīng)過(guò)信令交換設(shè)備，交換設(shè)備檢測(cè)到智能語(yǔ)音業(yè)務(wù)后向業(yè)務(wù)控制設(shè)備報(bào)告，業(yè)務(wù)控制設(shè)備根據(jù)交換設(shè)備上報(bào)來(lái)的呼叫事件啟動(dòng)不同的業(yè)務(wù)邏輯，并向交換設(shè)備發(fā)出呼叫控制指令，指示交換設(shè)備進(jìn)行下一步動(dòng)作，例如收號(hào)、接續(xù)、放音等等，從而實(shí)現(xiàn)各種智能業(yè)務(wù)。5.2.3.2定向短信定向短信的實(shí)現(xiàn)方式可通過(guò)專用短信中心和專用網(wǎng)關(guān)控制短信收發(fā)號(hào)碼，實(shí)現(xiàn)物聯(lián)網(wǎng)卡僅可以與特定平臺(tái)號(hào)碼收發(fā)短信。點(diǎn)對(duì)平臺(tái)定向短信的實(shí)現(xiàn)流程為：當(dāng)用戶申請(qǐng)開(kāi)通短信功能時(shí)，電信企業(yè)為其分配一個(gè)短信接入號(hào)碼，即短信管理平臺(tái)號(hào)碼。電信企業(yè)在相關(guān)平臺(tái)上配置短信接入號(hào)碼后，配置后的短當(dāng)物聯(lián)網(wǎng)終端發(fā)送短信時(shí)，會(huì)經(jīng)過(guò)省移動(dòng)交換設(shè)備轉(zhuǎn)發(fā)至專用短信中心，經(jīng)過(guò)物聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)關(guān)5.2.3.3定向流量定向流量的實(shí)現(xiàn)方式包括：專線VPDN、專用APN、網(wǎng)絡(luò)側(cè)設(shè)置訪問(wèn)白名單、接入側(cè)控制，以及其他可以實(shí)現(xiàn)僅訪問(wèn)固定的IP或URL地址的方式。a）專線VPDN專線VPDN是通過(guò)IP承載網(wǎng)及傳輸專線的方式實(shí)現(xiàn)的。采用此種方式，需要客戶平臺(tái)通過(guò)傳輸專線連接至省公司的AR設(shè)備，通過(guò)IP專網(wǎng)MPLSVPN+GRE（L2TP、IPsec）隧道的方式與物聯(lián)網(wǎng)核心網(wǎng)專網(wǎng)設(shè)備互通。專用APN是通過(guò)各類VPN技術(shù)在公網(wǎng)疏通的邏輯隧道進(jìn)行接入的。通過(guò)GRE方式實(shí)現(xiàn)企業(yè)VPN方案，終端通過(guò)IP方式的PDP/承載激活接入到移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)提供到客戶數(shù)據(jù)中心企業(yè)的接入。電信企業(yè)通過(guò)APN標(biāo)識(shí)用戶業(yè)務(wù)種類，同時(shí)對(duì)用戶的業(yè)務(wù)訪問(wèn)權(quán)限進(jìn)行控c）網(wǎng)絡(luò)側(cè)設(shè)置訪問(wèn)白名單網(wǎng)絡(luò)側(cè)設(shè)置訪問(wèn)白名單的具體實(shí)現(xiàn)流程如下：在物聯(lián)網(wǎng)專用網(wǎng)元上設(shè)置物聯(lián)網(wǎng)用戶開(kāi)戶及策略控制；用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，物聯(lián)網(wǎng)核心網(wǎng)網(wǎng)關(guān)將首先到策略控制網(wǎng)元上查詢用戶簽約時(shí)的業(yè)務(wù)策略，并且使對(duì)應(yīng)的業(yè)務(wù)策略規(guī)則生效；如果用戶訪問(wèn)的IP或URL地址在白名單內(nèi)，則繼續(xù)訪問(wèn)特定的業(yè)務(wù)平臺(tái)或應(yīng)用系統(tǒng)；如果不在白名單內(nèi)，則停止訪問(wèn)。d）接入側(cè)控制接入側(cè)控制主要是通過(guò)在接入側(cè)終端或網(wǎng)關(guān)中配備相應(yīng)的安全能力，使得終端或網(wǎng)關(guān)具備接收、執(zhí)行安全策略以及上報(bào)訪問(wèn)行為數(shù)據(jù)等能力。其中，安全策略包括設(shè)置黑白名單列表、接入側(cè)控制的技術(shù)思路如下：對(duì)于加載安全能力的終端，安全管理平臺(tái)將安全策略直接下發(fā)至終端。終端訪問(wèn)應(yīng)用平臺(tái)時(shí)，自身安全能力將執(zhí)行安全策略，判斷目的IP地址、URL等是否在黑白名單中。如在白名單中，則正常訪問(wèn)；如在黑名單中或不在白名單中，則拒絕訪問(wèn)。對(duì)于已部署安全管控功能的網(wǎng)關(guān)，可實(shí)現(xiàn)流量定向訪問(wèn)。具體實(shí)現(xiàn)為：根據(jù)不同業(yè)務(wù)配置的安地址、URL等是否在黑白名單中。如在白名單中，則正常接續(xù)訪問(wèn)；如在黑名單中或不在白名單5.2.4黑名單限制黑名單限制是指通過(guò)在網(wǎng)絡(luò)側(cè)設(shè)置業(yè)務(wù)訪問(wèn)黑名單，或者在接入側(cè)進(jìn)行安全策略控制，技術(shù)原理及實(shí)現(xiàn)方式同5.2.3節(jié)。為有效防范物聯(lián)網(wǎng)卡被違規(guī)挪用于手機(jī)上網(wǎng)業(yè)務(wù)，黑名單至少應(yīng)包括社交類網(wǎng)站、視頻類網(wǎng)站、購(gòu)物類網(wǎng)站、游戲類網(wǎng)站4種類型的互聯(lián)網(wǎng)應(yīng)用。電信企業(yè)可在此基礎(chǔ)上，針對(duì)不同的物聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景，在黑名單中增加互聯(lián)網(wǎng)應(yīng)用限制。5.3后向使用監(jiān)測(cè)5.3.1業(yè)務(wù)合規(guī)監(jiān)測(cè)業(yè)務(wù)合規(guī)監(jiān)測(cè)包括下列監(jiān)測(cè)模型：a）機(jī)卡分離監(jiān)測(cè)機(jī)卡分離是指物聯(lián)網(wǎng)卡被從一個(gè)物聯(lián)網(wǎng)終端中拔出，在另一個(gè)終端設(shè)備中使用的行為。電信企業(yè)應(yīng)按照前置規(guī)范管理要求對(duì)物聯(lián)網(wǎng)卡與物聯(lián)網(wǎng)終端進(jìn)行機(jī)卡綁定，當(dāng)物聯(lián)網(wǎng)卡與終端的綁定關(guān)系發(fā)生變化或用在非設(shè)備唯一標(biāo)識(shí)庫(kù)中的終端上時(shí)，電信企業(yè)應(yīng)能及時(shí)發(fā)現(xiàn)，并輸出相b）跨區(qū)域使用監(jiān)測(cè)跨區(qū)域使用是指某些可以固定在某個(gè)位置或區(qū)域使用、通常不會(huì)發(fā)生位置移動(dòng)的物聯(lián)網(wǎng)設(shè)備發(fā)生通信位置變化的行為。電信企業(yè)應(yīng)針對(duì)此類物聯(lián)網(wǎng)卡進(jìn)行跨區(qū)域使用監(jiān)測(cè)，通過(guò)分析物聯(lián)網(wǎng)話單數(shù)據(jù)中使用所在地的小區(qū)標(biāo)識(shí)，對(duì)物聯(lián)網(wǎng)卡使用區(qū)域進(jìn)行精細(xì)化監(jiān)測(cè)。如超出物聯(lián)網(wǎng)卡使用區(qū)域，電信企業(yè)應(yīng)輸出相關(guān)的跨區(qū)域使用記錄?？晒潭ㄔ谀硞€(gè)位置使用的物聯(lián)網(wǎng)卡使用場(chǎng)景包括但不限于以下場(chǎng)景：—公共服務(wù)：電梯報(bào)警、視頻監(jiān)控、市政設(shè)施、智能抄表、環(huán)境監(jiān)測(cè)、智慧停車等；—零售服務(wù)：智能廣告等；—智慧農(nóng)業(yè)：環(huán)境監(jiān)測(cè)等；—智慧工業(yè)：采集類設(shè)備、視頻監(jiān)控等；—智慧物流：智能快遞柜、倉(cāng)儲(chǔ)視頻監(jiān)控等。c）超閾值使用監(jiān)測(cè)超閾值使用是指物聯(lián)網(wǎng)卡每個(gè)月的短信、流量實(shí)際使用量超過(guò)開(kāi)戶時(shí)選擇的使用量閾值的行為。電信企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)卡超閾值使用的行為進(jìn)行監(jiān)測(cè)，且在發(fā)現(xiàn)物聯(lián)網(wǎng)卡超閾值使用后，輸出相關(guān)的超閾值使用記錄。d）超白名單使用監(jiān)測(cè)超白名單使用是指物聯(lián)網(wǎng)卡的語(yǔ)音主被叫號(hào)碼超出開(kāi)戶時(shí)設(shè)定的語(yǔ)音白名單號(hào)碼、短信收發(fā)號(hào)碼超出開(kāi)戶時(shí)設(shè)定的短信白名單號(hào)碼、訪問(wèn)的IP或URL地址超出定向訪問(wèn)白名單號(hào)碼的通信行為。電信企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)卡超白名單使用的情況進(jìn)行監(jiān)測(cè)，且在發(fā)現(xiàn)物聯(lián)網(wǎng)卡超白名單使用后，輸出相關(guān)的超白名單使用記錄。5.3.2異常使用監(jiān)測(cè)異常使用監(jiān)測(cè)包括下列監(jiān)測(cè)模型：a）手機(jī)終端使用監(jiān)測(cè)手機(jī)終端使用是指物聯(lián)網(wǎng)卡被放置在手機(jī)終端上使用的行為。電信企業(yè)應(yīng)基于各企業(yè)內(nèi)部的手機(jī)終端設(shè)備唯一標(biāo)識(shí)庫(kù)，對(duì)物聯(lián)網(wǎng)卡所使用的終端設(shè)備唯一標(biāo)識(shí)號(hào)進(jìn)行監(jiān)測(cè)。當(dāng)發(fā)現(xiàn)物聯(lián)網(wǎng)卡被使用在手機(jī)終端上時(shí)，應(yīng)輸出相關(guān)的手機(jī)終端使用記錄。b）異常使用行為監(jiān)測(cè)異常使用行為是指對(duì)于特定物聯(lián)網(wǎng)場(chǎng)景使用的物聯(lián)網(wǎng)卡發(fā)生典型人聯(lián)網(wǎng)應(yīng)用訪問(wèn)的行為。電信企業(yè)應(yīng)通過(guò)分析物聯(lián)網(wǎng)卡實(shí)際訪問(wèn)的URL地址，查看其是否訪問(wèn)了典型人聯(lián)網(wǎng)應(yīng)用。當(dāng)發(fā)現(xiàn)物聯(lián)網(wǎng)卡發(fā)生不合理訪問(wèn)行為時(shí)，應(yīng)輸出相關(guān)的不合理使用記錄，并將人聯(lián)網(wǎng)應(yīng)用的URL同步至黑名單限制列表中。電信企業(yè)可在此基礎(chǔ)上，進(jìn)一步增加其他人聯(lián)網(wǎng)應(yīng)用監(jiān)測(cè)。典型人聯(lián)網(wǎng)應(yīng)用場(chǎng)景包括但不限于社交類網(wǎng)站、視頻類網(wǎng)站、購(gòu)物類網(wǎng)站、游戲類網(wǎng)站。電信企業(yè)可在此基礎(chǔ)上，進(jìn)一步增加其他人聯(lián)網(wǎng)應(yīng)用監(jiān)測(cè)。c）異常流量使用監(jiān)測(cè)異常流量使用是指物聯(lián)網(wǎng)卡當(dāng)月流量使用量大于前三個(gè)月月均流量使用量2倍以上的行為。電信企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)卡異常流量使用的行為進(jìn)行監(jiān)測(cè)，且在發(fā)現(xiàn)物聯(lián)網(wǎng)卡流量使用異常后，應(yīng)輸出相關(guān)的異常流量使用記錄。d）異常短信使用監(jiān)測(cè)異常短信使用是指物聯(lián)網(wǎng)卡當(dāng)月短信使用量大于前三個(gè)月月均短信發(fā)送量2倍以上的行為。電信企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)卡短信異常使用的行為進(jìn)行監(jiān)測(cè)，且在發(fā)現(xiàn)物聯(lián)網(wǎng)卡短信使用異常后，應(yīng)輸出相關(guān)的異常短信使用記錄。5.3.3重點(diǎn)場(chǎng)景監(jiān)測(cè)重點(diǎn)場(chǎng)景監(jiān)測(cè)包括下列監(jiān)測(cè)模型：a）漫游至詐騙高發(fā)區(qū)使用監(jiān)測(cè)漫游至詐騙高發(fā)區(qū)使用是指物聯(lián)網(wǎng)卡漫游至詐騙高發(fā)區(qū)使用的行為。電信企業(yè)應(yīng)針對(duì)物聯(lián)網(wǎng)卡的使用地點(diǎn)進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)物聯(lián)網(wǎng)卡漫游至詐騙高發(fā)區(qū)使用時(shí)，應(yīng)輸出相關(guān)的漫游至詐b）其他監(jiān)測(cè)模型對(duì)于超出以上監(jiān)測(cè)模型的，企業(yè)可自行定義。6物聯(lián)網(wǎng)卡安全管理基本要求6.1基本原則6.1.1責(zé)任對(duì)等原則按照“誰(shuí)銷售、誰(shuí)負(fù)責(zé)”的原則，電信企業(yè)為物聯(lián)網(wǎng)卡安全管理的第一責(zé)任人，應(yīng)采取有效技術(shù)和管理措施加強(qiáng)物聯(lián)網(wǎng)卡安全管理，防止物聯(lián)網(wǎng)卡被挪用或違規(guī)使用。6.1.2最小必要原則物聯(lián)網(wǎng)卡所開(kāi)通功能、業(yè)務(wù)范圍（包括可訪問(wèn)的IP地址、端口、通話及短信號(hào)碼等）須與合同所約定的業(yè)務(wù)場(chǎng)景保持嚴(yán)格一致。6.1.3分類登記原則結(jié)合物聯(lián)網(wǎng)卡開(kāi)通功能、業(yè)務(wù)屬性等因素，通過(guò)綜合評(píng)定物聯(lián)網(wǎng)卡安全風(fēng)險(xiǎn)，分類實(shí)施登6.2總體要求物聯(lián)網(wǎng)卡安全管理總體要求，應(yīng)至少包括以下：a）物聯(lián)網(wǎng)卡默認(rèn)應(yīng)關(guān)閉語(yǔ)音、短信功能。對(duì)于確需開(kāi)通的，須嚴(yán)格實(shí)施定向限制。b）對(duì)于開(kāi)通流量功能的物聯(lián)網(wǎng)卡，應(yīng)設(shè)置最小必要數(shù)據(jù)流量限額。c）對(duì)于開(kāi)通定向大流量的物聯(lián)網(wǎng)卡，須采用機(jī)卡綁定和黑名單限制手段。d）對(duì)于開(kāi)通非定向大流量的物聯(lián)網(wǎng)卡，須嚴(yán)格采用卡片限定技術(shù)措施。e）對(duì)于位置范圍固定的物聯(lián)網(wǎng)卡，須實(shí)施區(qū)域限制。6.3物聯(lián)網(wǎng)卡安全分類管理要求按照物聯(lián)網(wǎng)卡開(kāi)通流量功能的業(yè)務(wù)屬性，可以分為6類場(chǎng)景。其中，場(chǎng)景1為定向大流量，場(chǎng)景2為定向小流量，場(chǎng)景3為使用位置固定的非定向大流量，場(chǎng)景4為使用位置不固定的非定向大流量，場(chǎng)景5為使用位置固定的非定向小流量，場(chǎng)景6為使用位置不固定的非定向小流量。6.3.1開(kāi)通全業(yè)務(wù)功能物聯(lián)網(wǎng)卡對(duì)于開(kāi)通全業(yè)務(wù)功能的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)對(duì)應(yīng)采取管控措施，并做好用戶登記。具體針對(duì)不同的業(yè)務(wù)場(chǎng)景，具體管控措施如下：a）針對(duì)場(chǎng)景1和2，在可實(shí)現(xiàn)流量定向訪問(wèn)限制的情況下，電信企業(yè)應(yīng)實(shí)施定向語(yǔ)音、定向短信和定向流量管控限制，并采取機(jī)卡綁定、限額管控、黑名單限制、使用監(jiān)測(cè)等措施降低安全風(fēng)險(xiǎn)。在此基礎(chǔ)上，電信企業(yè)可登記責(zé)任單位和責(zé)任人信息。b）針對(duì)場(chǎng)景3和4，在流量無(wú)法實(shí)施定向限制，且開(kāi)通大流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向語(yǔ)音、定向短信限制，采取卡片限定、區(qū)域限制、黑名單限制、使用監(jiān)測(cè)等措施，防止作為流量卡使用。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向語(yǔ)音、定向短信限制，采取卡片限定、使用監(jiān)測(cè)等措施，并登記到實(shí)際使用人。c）針對(duì)場(chǎng)景5和6，在流量無(wú)法實(shí)施定向限制，且開(kāi)通小流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向語(yǔ)音、定向短信限制，采取區(qū)域限制、限額管控、黑名單限制，機(jī)卡綁定、使用監(jiān)測(cè)等措施，降低挪用風(fēng)險(xiǎn)。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向語(yǔ)音、定向短信限制，采取限額管控、黑名單限制、機(jī)卡綁定、使用監(jiān)測(cè)等措施，并登記到責(zé)任單位和責(zé)任人。表1開(kāi)通全業(yè)務(wù)功能的物聯(lián)網(wǎng)卡場(chǎng)景及管控要求場(chǎng)景分類123456售前評(píng)估業(yè)務(wù)功能業(yè)務(wù)屬性語(yǔ)短流流量大流位置技術(shù)管控特定措施定向限制√√√√√登記要求通用措施綁定監(jiān)測(cè)個(gè)人單位√√√√√√√√√√√注：“√”代表滿足此條件；“×”代表不滿足此條件；“-”6.3.2開(kāi)通短信和流量功能物聯(lián)網(wǎng)卡對(duì)于開(kāi)通短信和流量功能的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)對(duì)應(yīng)采取管控措施，并做好用戶登記。針對(duì)不同的業(yè)務(wù)場(chǎng)景，具體管控措施如下：a）針對(duì)場(chǎng)景1和2，在可實(shí)現(xiàn)流量定向訪問(wèn)限制的情況下，電信企業(yè)應(yīng)實(shí)施定向短信和定向流量管控限制，并采取機(jī)卡綁定、黑名單限制、限額管控、使用監(jiān)測(cè)等措施降低安全風(fēng)險(xiǎn)。在此基礎(chǔ)上，電信企業(yè)可登記責(zé)任單位和責(zé)任人信息。b）針對(duì)場(chǎng)景3和4，在流量無(wú)法實(shí)施定向限制，且開(kāi)通大流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向短信限制，采取卡片限定、區(qū)域限制、黑名單限制、使用監(jiān)測(cè)等措施，防止作為流量卡使用。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向短信限制，采取卡片限定、使用監(jiān)測(cè)等措施，并登記到實(shí)際使用c）針對(duì)場(chǎng)景5和6，在流量無(wú)法實(shí)施定向限制，且開(kāi)通小流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向短信限制，采取區(qū)域限制、限額管控、黑名單限制，機(jī)卡綁定、使用監(jiān)測(cè)等措施，降低挪用風(fēng)險(xiǎn)。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)實(shí)施定向短信限制，采取限額管控、黑名單限制、機(jī)卡綁定、使用監(jiān)測(cè)等措施，并登記到責(zé)任單位和責(zé)任人。表2開(kāi)通短信和流量功能的物聯(lián)網(wǎng)卡場(chǎng)景及管控要求場(chǎng)景分類123456售前評(píng)估業(yè)務(wù)功能業(yè)務(wù)屬性語(yǔ)短流流量大流位置技術(shù)管控特定措施定向限制√√√√√登記要求通用措施綁定監(jiān)測(cè)個(gè)人單位√√√√√√√√√√√注：“√”代表滿足此條件；“×”代表不滿足此條件；“-”6.3.3僅開(kāi)通流量功能物聯(lián)網(wǎng)卡對(duì)于僅開(kāi)通流量功能的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)對(duì)應(yīng)采取管控措施，并做好用戶登記。具體針對(duì)不同的業(yè)務(wù)場(chǎng)景，具體管控措施如下：a）針對(duì)場(chǎng)景1和2，在可實(shí)現(xiàn)流量定向訪問(wèn)限制的情況下，電信企業(yè)應(yīng)實(shí)施定向流量管控限制，并采取機(jī)卡綁定、黑名單限制、限額管控、使用監(jiān)測(cè)等措施降低安全風(fēng)險(xiǎn)。在此基礎(chǔ)上，電信企業(yè)可登記責(zé)任單位和責(zé)任人信息。b）針對(duì)場(chǎng)景3和4，在流量無(wú)法實(shí)施定向限制，且開(kāi)通大流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)采取卡片限定、區(qū)域限制、黑名單限制、使用監(jiān)測(cè)等措施，防止作為流量卡使用。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)采取卡片限定、使用監(jiān)測(cè)等措施，并登記到實(shí)際使用人。c）針對(duì)場(chǎng)景5和6，在流量無(wú)法實(shí)施定向限制，且開(kāi)通小流量的情況下，針對(duì)位置固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)采取區(qū)域限制、限額管控、黑名單限制，機(jī)卡綁定、使用監(jiān)測(cè)等措施，降低挪用風(fēng)險(xiǎn)。在此基礎(chǔ)上，可登記到責(zé)任單位和責(zé)任人。針對(duì)位置不固定的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)采取限額管控、黑名單限制、機(jī)卡綁定、使用監(jiān)測(cè)等措施，并登記到責(zé)任單位和責(zé)任人。表3僅開(kāi)通流量功能的物聯(lián)網(wǎng)卡場(chǎng)景及管控要求場(chǎng)景分類123456售前評(píng)估業(yè)務(wù)功能業(yè)務(wù)屬性語(yǔ)短流流量大流位置技術(shù)管控特定措施定向限制√√登記要求通用措施綁定監(jiān)測(cè)個(gè)人單位√√√√√√√√√√√注：“√”代表滿足此條件；“×”代表不滿足此條件；“-”7物聯(lián)網(wǎng)卡入網(wǎng)管理規(guī)范7.1辦理渠道要求電信企業(yè)在向用戶銷售物聯(lián)網(wǎng)卡時(shí)，應(yīng)通過(guò)自有實(shí)體渠道或自有人員上門服務(wù)的方式辦理。7.2出示證件要求電信企業(yè)應(yīng)要求用戶提供單位有效證件、責(zé)任人和經(jīng)辦人有效證件、責(zé)任人和經(jīng)辦人的單7.2.1單位證件單位有效證件應(yīng)包括下列有效證件之一：c）加載統(tǒng)一社會(huì)信用代碼的營(yíng)業(yè)執(zhí)照；d）事業(yè)單位法人證書(shū)或社會(huì)團(tuán)體法人登記證書(shū)；e）法律、行政法規(guī)和國(guó)家規(guī)定的其他有效證件或者證明文件。7.2.2個(gè)人證件經(jīng)辦人、責(zé)任人以及實(shí)際使用人應(yīng)按照下列要求出示個(gè)人有效證件：a）居住在中國(guó)境內(nèi)的中國(guó)公民，應(yīng)出具居民身份證、臨時(shí)居民身份證或者戶口簿；b）中國(guó)人民解放軍軍人，中國(guó)人民武裝警察辦理用于個(gè)人或社會(huì)活動(dòng)的電話號(hào)碼，應(yīng)出具居民身份證；辦理用于執(zhí)行公務(wù)、辦理公務(wù)的電話號(hào)碼，應(yīng)出具軍官證、士兵證、警官證等軍隊(duì)、武裝警察部隊(duì)制發(fā)的身份證件，并同時(shí)出具單位相關(guān)證明文件；c）中國(guó)香港、中國(guó)澳門居民，應(yīng)出具港澳居民往來(lái)內(nèi)地通行證、港澳居民居住證或者其他有效旅行證件；中國(guó)臺(tái)灣居民，應(yīng)出具臺(tái)灣居民來(lái)往大陸通行證、臺(tái)灣居民居住證或者其他有d）外國(guó)公民，應(yīng)出具護(hù)照或外國(guó)人永久居留身份證；外國(guó)人永久居留身份證的查驗(yàn)要求、e）如無(wú)法提供第a）至d）項(xiàng)規(guī)定的身份證件的，可以使用法律、行政法規(guī)和國(guó)家規(guī)定的其7.3單位資質(zhì)審核要求電信企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)購(gòu)卡用戶單位資質(zhì)做嚴(yán)格審核，審核要點(diǎn)包括但不限于：a）單位類型：購(gòu)卡用戶應(yīng)為真實(shí)的物聯(lián)網(wǎng)終端生產(chǎn)企業(yè)、物聯(lián)網(wǎng)產(chǎn)品銷售企業(yè)、物聯(lián)網(wǎng)產(chǎn)品集成商、物聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)企業(yè)、提供公共服務(wù)的企事業(yè)單位、具備真實(shí)合理使用場(chǎng)景的其他b）注冊(cè)時(shí)間：電信企業(yè)應(yīng)對(duì)注冊(cè)時(shí)間少于3個(gè)月的購(gòu)卡用戶，嚴(yán)格限制其購(gòu)卡數(shù)量，并加c）單位查驗(yàn)：電信企業(yè)應(yīng)通過(guò)國(guó)家企業(yè)信用信息公示系統(tǒng)等途徑認(rèn)真查驗(yàn)購(gòu)卡用戶證件真實(shí)性、企業(yè)經(jīng)營(yíng)情況和信用情況。并依據(jù)行業(yè)主管部門相關(guān)規(guī)定及要求，對(duì)于被納入物聯(lián)網(wǎng)用戶黑名單的購(gòu)卡用戶，電信企業(yè)不得向其銷售物聯(lián)網(wǎng)卡。d）現(xiàn)場(chǎng)考察：電信企業(yè)應(yīng)對(duì)用戶的使用場(chǎng)景進(jìn)行現(xiàn)場(chǎng)考察，并留存現(xiàn)場(chǎng)考察材料，包括審核人員與行業(yè)單位的照片、設(shè)備照片、生產(chǎn)工廠或辦公場(chǎng)所照片等。e）資料歸檔：電信企業(yè)在完成對(duì)用戶的資質(zhì)審核后，應(yīng)由電信企業(yè)審核人員與用戶經(jīng)辦人或負(fù)責(zé)人現(xiàn)場(chǎng)簽字確認(rèn)，并將簽字單據(jù)和考察資料作為合同資料一并歸檔。7.4合同管理要求電信企業(yè)與用戶簽訂的物聯(lián)網(wǎng)卡銷售合同中，應(yīng)明確物聯(lián)網(wǎng)卡的使用場(chǎng)景、開(kāi)通功能、用戶身份信息登記、安全管理要求、禁止二次轉(zhuǎn)售、防范垃圾短信和騷擾詐騙電話、違約責(zé)任等條款，并對(duì)違約使用和涉嫌違法犯罪活動(dòng)的物聯(lián)網(wǎng)卡約定處罰措施。當(dāng)物聯(lián)網(wǎng)卡停止使用后，電信企業(yè)應(yīng)將物聯(lián)網(wǎng)卡所開(kāi)通的功能全部關(guān)閉，避免物聯(lián)網(wǎng)卡被用作它途。對(duì)于采用定向訪問(wèn)限制的物聯(lián)網(wǎng)卡，電信企業(yè)應(yīng)明確要求用戶不得通過(guò)非法跳轉(zhuǎn)的方式訪問(wèn)公網(wǎng)，如發(fā)現(xiàn)存在違規(guī)行為，電信企業(yè)應(yīng)立即將該用戶名下的同一批次物聯(lián)網(wǎng)卡全部關(guān)停，由此產(chǎn)生的風(fēng)險(xiǎn)由用戶自行承擔(dān)。7.5證件真實(shí)性查驗(yàn)要求對(duì)于單位有效證件，電信企業(yè)應(yīng)根據(jù)有關(guān)部門已公布的單位有效證件判定規(guī)則，查驗(yàn)用戶出示的單位有效證件真實(shí)性。對(duì)于具備技術(shù)查驗(yàn)條件的，電信企業(yè)應(yīng)通過(guò)技術(shù)手段查驗(yàn)單位有效證件及所載信息的真實(shí)性。對(duì)于個(gè)人有效證件，電信企業(yè)應(yīng)使用居民身份證識(shí)別設(shè)備查驗(yàn)居民身份證、外國(guó)人永久居留身份證、港澳臺(tái)居民居住證的真實(shí)性，并通過(guò)居民身份識(shí)別設(shè)備自動(dòng)讀取和錄入用戶身份信息，嚴(yán)禁人工錄入。宜與“全國(guó)公民身份信息庫(kù)”聯(lián)網(wǎng)查驗(yàn)用戶身份信息。