《中华人民共和国反电信网络诈骗法》第六条明确提出:“电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。”
《2023年基础电信企业专业公司网络与信息安全工作专核要点与评分标准》(九)防范治理电信网络诈骗及电信业务实名制基础管理工作第1条“未按要求建立涉诈风险安全评估制度并开展评估报备工作的,每发现一起扣分;落实反诈法相关责任不到位、新用户入网涉案较高或存在其他违规行为的,视情况扣5/10/30分。”
服务范围
根据当前电信业务的涉诈风险情况,对涉及潜在高风险涉诈电信业务包括但不限于语音类业务、短消息类业务、国际通信类业务、呼叫中心类业务、互联网接入类业务、信息服务类业务等类型应进行涉诈风险安全评估,具体范围、类型将随着诈骗形式的变化不断更新。
涉诈风险安全评估对象涵盖《中华人民共和国电信条例》以及《电信业务分类目录》(2019年版)规定的全部业务。
满足下列情形之一的业务和系统平台,应及时启动涉诈风险安全评估:
a)电信业务上线前(含合作推广、试点、试商用);
b)电信业务运营阶段,当业务使用资源、管理流程、技术实现方式、业务功能等方面发生较大变化时。其中:
-业务使用资源发生较大变化,是指业务涉及的电信网络资源类别、属性或分配方式发生较大变化,如设备/网络/平台从传统模式转为云化、容器化模式等;
-管理流程发生较大变化是指业务全生命周期中管理流程发生较大变化,如业务运营主体变更、业务渠道变更等;
-技术实现方式发生较大变化,是指采用新型技术手段,或升级改造业务支撑系统平台,或网络拓扑结构发生较大变化等;
-业务功能发生较大变化,是指业务提供的功能模块、使用方式、信息传播方式或渠道等发生较大变化等情况。
c)基于某一类业务的电信网络诈骗案件频发时;
d)电信主管部门要求企业进行涉诈风险安全评估的。
-标识类资源主要包括手机号码、固话号码、互联网账号等与个人或主体身份直接相关的标识;
-软件类资源主要包括域名、网站、APP、IP地址、小程序、互联网应用平台和服务等信息访问入口和载体;
-硬件类资源主要包括通讯设备、电信线路等。
涉诈风险等级划分表
|
标识 |
描述 |
|
很高 |
业务部分或整体被诈骗分子利用来实施诈骗的可能性很高 |
|
高 |
业务部分或整体被诈骗分子利用来实施诈骗的可能性高 |
|
中 |
业务部分或整体被诈骗分子利用来实施诈骗的可能性中等 |
|
低 |
业务部分或整体被诈骗分子利用来实施诈骗的可能性低 |
|
很低 |
业务部分或整体被诈骗分子利用来实施诈骗的可能性很低 |
1.1.1 残余涉诈风险等级判定
残余涉诈风险评级,是在评估固有涉诈风险的基础上,考虑已有控制措施的有效性,采取适当方法,得出残余涉诈风险等级。评价残余涉诈风险等级,可通过固有涉诈风险与控制措施有效性二维矩阵方式进行确定。表3提供了一种通用的残余涉诈风险等级判定方法,适用于评价业务部分或者整体的残余涉诈风险等级。
表1 残余涉诈风险等级判定表
|
控制措施有效性
固有涉诈风险 |
极其有效 |
有效 |
低效 |
无效 |
|
很高 |
中 |
高 |
很高 |
很高 |
|
高 |
低 |
中 |
高 |
高 |
|
中 |
很低 |
低 |
中 |
中 |
|
低 |
很低 |
很低 |
低 |
低 |
|
很低 |
很低 |
很低 |
很低 |
很低 |
1.1 电信业务固有涉诈风险评估
1.1.1 业务资源层固有涉诈风险评估
业务资源层固有涉诈风险模块的评估要素包括但不限于:
a) 资源范围,应评估业务资源分布区域是否属于涉诈活动高发地区,资源分布地域特点是否符合诈骗窝点集中地区的特征,业务可支配的资源数量等;
b) 资源配置,应评估资源配置对象、数量、功能、获取等应限制的情况,如物联网卡有限制开通的功能,短信端口号码限制位数、区段等;资源与其他资源的绑定关系、绑定时长,如手机号绑定互联网账号等;资源是否可被动态分配,如同一外显号码被反复使用,二次放号,动态IP等;
c) 资源使用,应评估资源使用特征、使用范围等情况,如使用位置不固定、允许自由迁移等。
1.1.2 业务应用层固有涉诈风险评估
业务应用层固有涉诈风险模块的评估要素包括但不限于:
a) 业务功能逻辑,应评估业务功能逻辑支持最大化溯源,如业务无隐藏真实主叫号码、即时通讯业务无阅后即焚等易导致溯源困难的功能;业务功能符合最小化原则,如中间号业务是否保留手机号码注册互联网账号、短信收发等功能,语音类业务是否保留呼叫转移等功能;业务场景是否具有引流推广特征,如端口短信群发短消息场景、呼叫中心集中外呼场景、物联网卡智能家居场景,以及视频网站、招聘网站、搜索引擎和各类网站的广告弹窗等;
b) 业务环境,应评估业务所在的地理环境、当地政策环境等是否受所在地法律法规、管理政策影响;
c) 业务开通,应对业务用户、办理条件、开通流程开展评估:
-在业务用户方面,评估业务用户的类型(政府、企业、个人等),已有的或预计的用户规模、用户信用情况,以及分配资源与用户的绑定或映射关系、绑定时长等要素,如隐私号、呼叫中心号码与用户的对应关系,码号、域名、网址等备案信息,分配给用户IP地址的有效时长;
-在办理条件方面,评估业务是否限制办理企业的规模或资质,是否需要客户提供特定资源或满足指定条件等;
-在开通流程方面,评估业务开通时的办理场所限制、工作人员限制、用户身份确认、申请材料查验、授权审批、资源激活等流程的完善程度,以及是否存在搭售、试用等非常规开通流程,如不限制办理场所,客服人员可以为用户上门办理或直接远程办理业务,客服人员为第三方人员,个人业务允许他人代办,以及eSIM卡实名认证、使用手机号码作为身份认证手段、资源允许远程激活使用、物联网卡搭载销售、提供业务试用等。
d) 业务信息,评估业务作为信息载体和传播渠道,所承载的信息类型复杂程度、信息传播速度、信息传播范围大小等,如即时通信、社交平台、信息发布平台、搜索引擎、视频网站、视频会议等承载的文字、图片、语音、视频、会话等信息,支持线上或线下传播、点对点发送或群发模式,相关信息为主动读取或是被动读取,信息允许跨平台、跨网络传递等。
1.1.1 业务平台层固有涉诈风险评估
业务平台层固有涉诈风险包含渠道及合作方、关键系统设备、开放接口三个子模块。合作方一般指通过协议或其他联合方式,与组织机构共同开发产品或市场的其他机构,可提供业务合作、技术支撑、数据服务等合作。其中,业务合作主要包括业务合作推广、渠道接入等形式;技术支撑主要包括系统开发集成、系统维护、技术支撑等形式。本文所指合作方是业务合作推广、技术支撑、数据服务等的统称。
渠道可划分为自有实体渠道、自有线上渠道、第三方实体渠道、第三方线上渠道、其他渠道等。
业务平台层固有涉诈风险模块的评估要素包括但不限于:
a) 渠道及合作方,考虑各类渠道及合作方的相似性,涉诈风险相关因素涉及:
1) 渠道及合作方的覆盖范围(线下网点数量与分布区域,线上可及地域范围)及相应地区(包括境外国家和地区)的风险高低程度;
2) 通过该渠道及合作方办理业务的历史客户数量、资源数量,办理业务的主要类型和涉诈风险等级;
3) 通过该渠道及合作方建立业务关系的历史客户数量和涉诈风险等级。
b) 关键系统设备,考虑可被利用以直接或间接实施诈骗行为的承载业务的关键系统及设备,包括但不限于业务管理系统、机房、电信网核心网元、落地侧网关、交换机、开卡设备等,考虑被利用的难易程度、安装部署方式、装维人员违规风险等;
c) 开放接口,评估业务承载平台对外进行数据交互、业务交互等的开放接口,如短信API接口、系统API接口等能够被利用以直接或间接实施诈骗行为的风险。
1.1 涉诈风险控制措施有效性评估
1.1.1 通用控制措施有效性评估
1.1.1.1 反诈内控机制评估
反诈内部控制措施有效性评估要素主要包括:
a) 企业对反诈工作的重视程度,反诈内控管理制度体系建设情况;
b) 企业反诈内控管理组织架构、专业队伍建设、反诈工作主要负责人和工作团队的能力与经验;
c) 企业内控机制运转情况,内控措施贯穿整体业务流程的落实情况;
d) 企业对涉及反诈工作获取的个人信息保护情况;
e) 企业反诈监督检查和考核管理机制建设与落实情况;
f) 企业反诈相关投诉举报、申诉救济机制建设与落实情况;
g) 企业反诈相关宣传培训机制建设与落实情况;
h) 企业反诈相关的信息报送机制建设与落实情况。
1.1.1.2 信息化及安全管理评估
信息化及安全管理控制措施有效性评估要素主要包括:
a) 企业反诈相关业务信息系统建设和数据管理中,获取、整合涉诈信息的能力;
b) 业务运行过程中,反诈相关工作的线上化、自动化程度,是否存在关键流程或环节的人工介入,是否具备日志留存和检索功能等;
c) 业务运行的信息化安全管理情况,是否通过相关信息化系统安全等级认证,相关系统是否正常运行。
1.1.1.3 技术防范能力评估
技术防范能力控制措施有效性评估要素主要包括:
a) 涉诈线索监测核查,评估业务运行过程中,企业监测分析业务资源涉诈情况、相关人员异常操作行为,或是结合主管部门通报、公安通报的涉诈情形与掌握的资源进行关联分析,及时、准确、完整还原业务相关涉诈事件的关联人员、发生时间、技术手段等信息的能力;
b) 涉诈行为拦截处置,评估企业对电话、短信、域名/网址/IP、APP、互联网账号等的诈骗接触渠道进行快速、有效、全面阻断的能力。措施包括但不限于支持快速关停、阻断、停止解析、下架等处置方式,对电话卡批量插入设备进行识别和阻断,对不规范国际来话或境外虚假主叫电话、传播涉诈信息或非法引流的涉诈短消息、诱导受害人转账的互联网账号、支持非法资金交易的涉诈域名/网址/IP/APP等进行拦截与处置;
c) 受害用户预警提醒,评估企业基于业务自身特点,向用户及时、精准、有效提供涉诈风险防范提示服务的能力。措施包括但不限于企业为潜在受害用户,免费开通短信提醒、闪信提醒、弹窗提醒、来电提醒、特殊标记提醒等服务,以协助用户提高识骗防骗意识;
d) 涉诈信息报送,评估企业信息报送机制的时效性、完整性,向主管部门及时、准确报送包括但不限于涉诈线索信息、新上线业务、涉诈风险评估与问题整改情况等信息。
1.1.2 专项控制措施有效性评估
1.1.2.1 业务资源风险控制
对业务资源层固有涉诈风险有专项控制措施的,有效性评估要素主要包括:
a) 针对资源范围固有涉诈风险的控制措施,重点在于根据资源所属区域涉诈风险高低,采取技术或管理措施以控制资源分发范围或跟踪分发轨迹,降低涉诈风险。措施包括但不限于限制在特定区域分发此类资源;给资源增加地域属性;记录资源流转途径;具备资源来源核查手段等;
b) 针对资源配置固有涉诈风险的控制措施,重点是基于资源的功能特点,可与其他资源形成的关联关系等,针对分配、安装、变更及回收等环节,规范相关流程要求,明确限制配置的情形,对配置过程进行实时监测,完整、准确记录配置过程,以及时发现、处置涉诈风险。措施包括但不限于依据最小授权原则向资源配置人员分配权限;建立资源配置操作规范;建立资源配置异常监测技术手段;查验相关限制配置情况是否落实,如网络接入方式、短信端口号码位数、区段等;记录包括但不限于资源配置数量、与其他资源的绑定关系和绑定时长;开展资源配置操作审计;
c) 针对资源使用固有涉诈风险的控制措施,重点是在用户使用资源的过程中,针对位置移动(针对位置相对固定的资源)、切换用户、切换终端等高风险操作,配备相应的监测防护手段,以降低涉诈风险。措施包括但不限于监测资源使用情况,对资源状态异常情形进行核查验证;在资源使用过程中不允许移动位置或移动位置后必须二次激活;资源仅能由指定用户使用;定期验证绑定用户的唯一身份信息;当切换为其他用户或其他终端后资源失活等。
1.1.1.1 业务应用风险控制
对业务应用层固有涉诈风险有专项控制措施的,有效性评估要素主要包括:
a) 针对业务功能逻辑固有涉诈风险的控制措施,设计的业务场景应满足溯源要求,结合业务功能逻辑特点,采取技术手段或管理措施降低溯源难度。措施包括但不限于提醒用户来电号码为非真实主叫号码;限制开通特定功能;要求与硬件设备绑定或增加使用条件;完整留存通信信令并延长备份时间;简化业务使用场景,或建立常态化风险排查与处理机制等;
b) 针对业务环境固有涉诈风险的控制措施,对于业务拓展区域存在较高涉诈风险的情形,结合当地地理或政策环境,通过加强管理措施以降低涉诈风险。措施包括但不限于设立反诈部门、配备专职反诈人员;加强当地线上渠道办理业务的管控措施;限制线上服务;提高自查频率,接受外部监督检查;与境外合作方建立反诈协调联动机制等;
c) 针对业务开通固有涉诈风险的控制措施,在识别客户群体涉诈风险等级的基础上,采取与风险等级相对应的身份核验、业务开通方式及流程、第三方监督或退出等管理措施,使涉诈风险得到有效控制。措施包括但不限于:
1) 在业务用户方面,根据已有的或预计的用户类型、规模,制定不同的开通审批层级;要求核实业务办理相关人员信用情况,对存在不良信用或特定情形的用户限制办理频次、渠道,并提高审批层级;记录资源与用户的绑定关系和绑定时长;及时回收未启用或用户停止使用的资源等;
2) 在办理条件方面,针对企业用户,设置企业规模及资质要求;扩充办理条件以提高办理门槛等;
3) 在开通流程方面,严格限制他人代办业务。为用户上门办理时,可派遣企业自有员工及监督人员陪同办理;直接远程办理时,提高业务开通审批层级;采取人脸识别等身份认证手段核验用户真实身份;使用其他业务作为办理通道或身份认证手段时,不以其他业务作为主要的身份认证手段,或是采取交叉核验等方式验证用户信息的真实性;查验加盖单位公章的企业授权证明等材料,留存相关办理凭证;对提交申请材料的真实性进行二次核验;仅允许在指定区域激活资源;对非常规开通用户加强审批等。
d) 针对业务信息固有涉诈风险的控制措施,针对易发布或传播涉诈信息的业务类型,采取加强措施以降低涉诈信息传播风险。措施包括但不限于审核公开发布的信息;过滤关键字;删除涉诈信息;识别潜在受害人并进行预警提醒;设立用户投诉举报受理入口等。
1.1.1.2 业务平台风险控制
对业务平台层固有涉诈风险有专项控制措施的,有效性评估要素主要包括:
a) 针对渠道及合作方固有涉诈风险的控制措施,在识别渠道及合作方自身涉诈风险管控薄弱环节的基础上,围绕渠道及合作方覆盖地区、已有控制措施、历史涉诈风险情况,建立增强性的管理措施,以进一步控制涉诈风险。措施包括但不限于建立渠道及合作方业务涉诈风险台账管理机制;将渠道及合作方反诈工作情况纳入信用管理机制;针对特定情形采取限制客户拓展范围、开展的业务种类等措施;明确划分渠道及合作方对客户身份识别和反诈相关工作的职责;在协议中明确代理商实名制登记的责任和有关违约处置措施;对销售的特定业务资源如物联网卡,核验并登记用户身份信息,将销量、存量及用户实名信息传送给号码归属的电信业务经营者等;对渠道及合作方加强监督管理,定期进行巡检,督促问题整改,对整改不力的及时终止合作;
b) 针对关键系统设备固有涉诈风险的控制措施,应围绕关键系统设备易被利用的环节,在通用防护措施的基础上,进一步强化管理或技术措施,以降低被利用风险。措施包括但不限于建立关键系统设备管控制度;提高关键系统设备使用审批等级;加强监测巡检,定义非法操作并进行识别与告警;建立关键系统设备使用风险台账并定期更新;定期审计关键系统设备使用情况;对于存储或流转易被诈骗分子利用的个人信息的关键系统设备,加强安全管理,提高保护等级;对装维人员尤其是第三方外包人员加强反诈教育培训和监督检查;
c) 针对开放接口固有涉诈风险的控制措施,在全面识别业务对外有数据交互、业务交互等的开放接口的基础上,采取强化的管理或技术措施,以降低被利用风险。措施包括但不限于建立接入认证机制;建立开放接口管理台账并定期更新;加强接口监测分析,对异常接口进行限流或关停等。
1.1 评估总结
评估总结阶段包括召开专家评审会,对电信业务涉诈评估实施过程及评估意见、评估整改落实情况进行总结、审查与核验,并出具评估报告。
