上海軌道交通AFC車站終端設備病毒防護

周 曉

（上海申通地鐵集團有限公司運營管理中心，200070，上海∥工程師）

隨著上海軌道交通網絡化運營的發展，軌道交通客運量不斷增長，自動售檢票（AFC）系統的數據量不斷擴大，系統的安全越顯重要。如何保證業務系統工作安全、正常、可靠，是信息系統的一個重要任務。

在所有計算機安全問題中，計算機病毒是最為嚴重的。這個問題同樣存在于AFC系統之中。經粗略統計，在上海軌道交通已運營的11條線路的AFC車站終端設備中，或多或少有電腦病毒存在，且多次發作，影響運營。因此，必須結合目前AFC系統運營的實際情況加以分析，并建立一套完善的、多級的AFC車站終端設備病毒防護解決方案。

1 現狀分析

運營方面：目前，上海軌道交通AFC車站終端設備由閘機、半自動售票機、自動售票機和自動充值機等組成，這些設備將收集到的信息匯總至車站計算機后，統一發送到中央服務器。在這一過程中，數據收集的有效性、正確性和數據傳輸的完整性是關鍵。如果病毒發作，不僅造成數據收集不及時或不準確，還會造成設備無法繼續運行、甚至運營參數被惡意篡改影響乘客的正常扣款。

硬件方面：終端設備的硬件配置相對較低，硬盤和內存容量較小、CPU（中央處理器）處理能力低，正常的運行程序已占用絕大部分系統資源，可給予第三方病毒防護軟件運行使用的資源不多。

網絡方面：雖然各AFC線路的網絡拓撲已逐漸改造為三層網絡架構，但二層網絡架構依然存在。二層網絡架構通過廣播進行通信傳輸，病毒的傳播性隨之由點蓋面。三層網絡雖然能將廣播域縮小，但無法控制同一廣播域內的病毒傳播，且由于在改造前部分設備已經感染了病毒，因此在三層網絡架構的車站中病毒依然猖獗。

操作系統方面：目前車站終端設備主要使用DOS、Linux、Windows XPE 和 Windows NT 等4種操作系統。針對DOS系統和Linux系統的病毒目前較少，但一旦中毒，清除這2類操作系統病毒的工作量卻最大。后2類操作系統由于都是精簡版的，很多組件和服務無法開啟，導致很多清除病毒工具及內網防護工具無法運行。因此，操作系統的限制，對整個AFC車站終端設備的病毒防護是最具挑戰的。

應用方面：各類車站終端設備除了相應的作業應用外，有的還需開啟數據庫應用和報文傳輸應用，這些應用對網絡帶寬和內存、CPU的使用率都有一定的要求。因此，病毒防護工具對應用的影響必須很小，且可接受。

維護方面：大多為現場維護工作，如需進入系統更新文件，一般都通過U盤進行拷貝，且不能受控。AFC網絡是一個相對封閉的系統，無外網連接，產生病毒最大的可能性就是通過U盤感染設備并傳播到其他設備。

綜上所述，目前車站終端設備完全沒有安全防護的機制，而且在硬件、網絡、操作系統、應用和后期維護中，限制了安全防護工具的使用，滋長了病毒的傳播。

2 測試歷程

AFC車站終端設備的病毒防護這一概念于2008年就已提出并開始了相關的測試工作，歷經5年，直到2012年初才有了適用的產品。其主要的測試歷程如下：

2008年，經過近10年的AFC系統運營后，技術人員注意到AFC系統內的病毒問題，并自發進行研究。嘗試了傳統的病毒防護軟件客戶端及入侵檢測系統等傳統防護手段，實現了對車站計算機系統以上部分進行初級病毒防護，但對車站計算機系統以下的部分無從下手。自發研究遇到了瓶頸，并于2009年年底暫停研究。

2010年，國家信息系統安全等級保護評定中心對清分系統（ACC）進行安全評測，ACC被定為二級信息系統。由于ACC直接接收車站終端設備的交易數據，本次測評中對車站終端設備的安全防護提出了具體要求。雖與多家國內外知名廠商進行了合作與嘗試，但因終端設備的操作系統太過“精簡”，廠商的應用程序均無法順利安裝和運行而再次失敗。

2011年末，開始對國外（A公司）和國產（JM公司）各一款新型安全防護軟件產品進行相關的測試研究，并最終于2012年取得成功。

3 A公司的解決方案

A公司的產品全稱為Hard Disk Firewall（簡為HDF），是用于保護電腦系統文檔（System File）的完整性和加強信息安全的技術解決方案。它的思路是：通過一個系統文檔的保護鎖，阻止包括病毒、惡意軟件、黑客和內賊等入侵，使其不能破壞和感染計算機，保證文檔、系統、應用和運作的完整性。

3.1 HDF與傳統防護軟件的區別

HDF的工作機制是：識別程序中惡意行為的特征來攔截病毒程序進入磁盤，阻止其進行自身復制和傳播。HDF在程序執行過程中對系統讀、寫、刪、改等操作行為進行識別，并判別是否是惡意程序，通過阻止惡意操作來達到保護系統的目的。

傳統的基于病毒庫的殺毒軟件是在病毒進入磁盤之后，利用病毒特征碼對其進行分析。根據病毒特征庫對病毒的定義對目標文件進行掃描分析，以確定目標文件是否為病毒或包含病毒。這種做法需要對病毒特征庫頻繁更新，并依據病毒特征庫對系統進行掃描查毒。該機制會給系統帶來大量資源開銷，病毒特征庫需占用較大的硬盤存儲空間，掃描時占用大量的CPU處理能力、內存空間和磁盤IO開銷，降低系統性能，影響業務系統的使用。此外，如果病毒特征庫不足夠新的話，將不能正確識別新病毒，無法做到對系統的全面保護。

此外，對于利用系統零日漏洞對電腦發起的攻擊行為，基于病毒特征庫的殺毒軟件是無能為力的，因為殺毒軟件無法識別這種攻擊行為。在這種情況下，通過識別攻擊行為特征的防護方式，能提供非常重要的最終基線來防范入侵之病毒和惡意軟件。

3.2 HDF的特點

（1）HDF充分融入 Microsoft Windows（支持Windows 2000、Windows XP、嵌入式 Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista、Windows 7）及Linux操作系統，并與所有病毒防護軟件、防火墻產品兼容。

（2）對于微軟已不再提供更新服務的操作系統，使用HDF可以保護文件系統的完整性，保護系統不被新型病毒攻擊其已知漏洞。

（3）HDF能有效防止通過U盤進行的病毒傳播。

（4）HDF核心組件只有80K大小，運行時占用內存不超過5M，CPU使用率不超過1%。

（5）HDF隱置于內核的機制保證其自身的安全性，通過設置可信賴的進程對特定文件進行操作，重點是文件系統的安全性。HDF也同時保護白名單（信任程序列表）不會被篡改。

（6）積極的安全解決方案。在不影響系統性能的情況下有效地打擊系統漏洞攻擊行為，避免系統受蠕蟲、間諜軟件、木馬、傀儡網絡等感染。

（7）增強企業計算機軟件的管理，不能隨便安裝應用程序于公司計算機系統里，只有經過授權的用戶和系統管理員才可安裝軟件，同時有助于降低用戶支持和幫助的成本。

（8）可自動保證操作和文檔系統的完整性，維持和加強計算機有效性狀態。

（9）相比傳統的防病毒解決方案，其總擁有成本（TCO）要低得多。

（10）HDF提供詳細的審核日志和幫助監察文檔系統的完整性。

3.3 測試案例

本次測試使用車站及現實環境中流行的蠕蟲、木馬程序對測試設備進行模擬攻擊，通過調整HDF軟件不同工作模式，來反映HDF軟件對系統的保護以及安全審計作用。

測試用病毒樣本：Win32.SillyFDC，WORM＿SPYBOT。

測試結果：

（1）HDF軟件開啟保護模式——兩種病毒均無法感染系統，無法把病毒宿主文件復制到目標設備中，且軟件對病毒的攻擊行為在審計日志中進行了記錄。

（2）HDF軟件處于非保護模式——兩種病毒能感染系統，宿主文件能復制到目標設備中，軟件能發現病毒的攻擊行為并在審計日志中進行記錄。

經測試，A公司的解決方案能實現車站終端設備的病毒防護，在開啟保護模式下能拒絕病毒的入侵；在已經帶毒的環境下，可通過臨時關閉保護模式執行帶毒程序，同時對其行為特征進行審計，以做出相應的限制策略以及安全的恢復。

4 JM公司專網防護方案

JM公司專網防護軟件針對專用設備的安全需求，采用一種全新的安全解決思路，從根本上解決專用設備的病毒防范問題。

專網防護與傳統的防火墻、防病毒、入侵檢測系統等基于網絡防護的安全產品不同，其通過控制中心將用戶使用、安裝過的程序或軟件加入到白名單，并下發到網絡內運行的設備主機中，在設備主機正常工作模式下通過白名單對運行程序或軟件進行安全審核，從而從根本上保障Windows系統的安全。即使非法入侵者擁有Windows系統管理員最高權限并進入了操作系統，也不能對經過專網防護技術保護的系統運行或安裝木馬、后門等惡意軟件或程序。專網防護保證了核心或重要數據的安全性不被破壞和遭受任何有害操作，可提升系統的安全等級，構造一個安全的操作系統平臺。

4.1 專網安全防護軟件與殺毒軟件的區別

傳統殺毒軟件對病毒的預防措施類似于對公共場所采取的安全措施。公共場所允許各類人員自由進入，但會通過一些手段對人員進行相應的檢查，并設立監控設備對人員進行監控，發現可疑情況后進行處理。殺毒軟件通過一些靜態監控及行為監控手段實時監控計算機中各種程序的運行情況，并在發現確認病毒或可疑行為時采取相應的措施。專網防護軟件則采用另外一種安全措施。即這些場所只允許需要的人員進入，而其他人員，無論是否有危險、還是非常好的人，只要沒有需要，都不允許進入。這是一種更為可靠的安全措施。

4.2 專網安全防護軟件的特點

（1）安全性高：只允許用戶需要的軟件運行，其他病毒、惡意程序，以及與業務無關的軟件都無法運行，提供極高的安全性。

（2）資源占用更加小且穩定：在程序啟動過程時進行信任檢查，且信任檢查進行預處理，資源占用更加小；在運行過程中資源需求固定，不會有突發性大量的資源占用而影響業務程序的運行。

（3）兼容性高：在入口處對程序進行信任檢查，并在運行時嚴格測試，后續使用一般不需要程序更新，提供了良好的兼容性。

（4）維護容易：通過服務器端可方便全面地管理信任程序，并提供學習機制，客戶端實現無界面操作。

（5）無需升級客戶端：客戶端軟件擺脫傳統殺毒軟件病毒庫日常更新概念，不需要每天進行升級，只有在特殊情況下的軟件程序更新，不會影響客戶端業務程序的運行。

（6）完備的遠程控制：通過控制中心可以實現遠程部署、設置、升級等操作，能減輕管理員的工作負擔，提高工作效率。

（7）分級、分組管理：專網安全防護系統采用分級、分組管理模式，通過部署控制中心、子控制中心的模式實現對客戶端多地點、多網段的統一管理，減少了繁復的重復工作，可提高管理效率，有效降低企業開銷；同時能實現分布式部署，分擔主節點的工作壓力，避免單點故障。

（8）完善的客戶端脫機運行機制：當客戶端處于脫離網絡的情況時，客戶端程序會根據已有的安全程序白名單來執行安全策略，不會因為脫機狀態而中斷安全檢查，更不會為此而影響業務系統的使用。

4.3 專網安全防護軟件的體系結構

4.3.1 控制中心端

控制中心是專網防護系統管理與控制的核心部分，在部署專網防護系統時必須首先安裝。控制中心除對網絡中的計算機進行日常的管理與控制外，還實時記錄專網防護體系內每臺計算機上的信息。專網防護中采用了全新的控制中心管理頁面，通過登錄該頁面，可對全網內的客戶端進行統一管理。

4.3.2 客戶端

專網防護的客戶端分為服務器客戶端和普通客戶端兩種類型。服務器客戶端是針對安裝了服務器版操作系統的計算機而設計的，普通客戶端則是針對安裝了普通版本操作系統的計算機而設計的。在安裝專網防護客戶端時，安裝程序會進行智能判斷，自動安裝合適的客戶端，無需用戶干預安裝過程。客戶端的主要功能是禁止任何除操作系統必備文件及信認程序列表（白名單）中的軟件或程序在部署專網防護客戶端的計算機上運行。

專網防護客戶端以無界面的后臺方式運行，專網防護設置不允許客戶端計算機修改，必須通過控制中心統一管理，以最大程度保證客戶端電腦的安全。客戶端在安裝后，用戶可以通過客戶端控制的只有升級操作。

客戶端隸屬于控制中心，其可自動查找網內的控制中心。一般情況下，客戶端若采用WEB頁面的安裝方式，安裝完畢后即可自動連接到上級控制中心。

4.4 測試案例

本次測試使用車站及現實環境中流行的蠕蟲、木馬程序，使用帶毒U盤對終端設備進行操作，來模擬對測試設備的攻擊。通過對專網防護軟件的審計日志進行分析來反映專網安全防護軟件對設備的保護能力。

首先，在完成專網安全防護系統部署的測試設備中開啟學習模式自動學習信任程序，并將這些程序提交到控制中心進行安全過濾。其次，在閘機上刷卡進出，同時查看軟件運行時的負載情況，查看是否影響原業務。最后，在閘機上運行病毒案例，查看專網防護軟件的防御情況，在控制中心查看防御記錄。

測試結果：

（1）該軟件可以在AFC終端設備的XPE操作系統上部署。

（2）完成軟件部署的設備工作正常，各項業務操作不受影響。

（3）進行病毒模擬攻擊時，該軟件能阻止病毒入侵，審計日志能反映攻擊行為。

經測試，JM專網安全防護產品能實現上海軌道交通AFC車站終端設備的病毒防護，但其Server管理端功能較為簡單，需根據上海軌道交通的實際需求進行定制，如報表和統計等功能。另外，dII文件中毒后的防護工作需要加強，AFC系統運行參數文件的網絡下發環節需要完善。

5 測試工作總結及下階段工作

經過一系列的測試，在平臺適用性方面，A公司的產品解決方案和JM公司的專網安全防護產品在上海軌道交通大部分閘機使用的XPE系統上可以完整部署，但均不支持Dos及Windows NT操作系統的閘機，好在Dos及Windows NT操作系統的車站終端設備數量較少，且都屬于停產設備，即將通過設備大修等方式進行改造。從安全性和穩定性方面來講，在已部署客戶端兩種產品的閘機上運行病毒程序并嘗試部分網絡攻擊行為，兩種產品都進行了阻止，并報告于控制中心，在審計日志中予以反映。整個測試過程中，AFC終端設備日常的業務流程、功能均可正常運行，用戶的業務系統未受任何影響。

下一階段，將根據上海軌道交通運營管理的實際需求，完善該類產品的服務器端功能需求，完善維護管理方面的功能，定制相關的統計分析報表。同時，針對AFC系統的特點，對參數類文件下發等業務流程在系統中的使用及監管進行研究。之后將對已運營車站進行測試，進一步測試產品的適用性、穩定性和可靠性。

［1］賴榮旭，鐘瑋.計算機病毒與防范技術［M］.北京：清華大學出版社，2011.

［2］王倍昌.計算機病毒揭秘與對抗［M］.北京：電子工業出版社，2011.

［3］馬宣興.網絡安全與病毒防范實驗指導手冊［M］.上海：上海交通大學出版社，2011.