地鐵AFC系統安全性探究

楊 珂

(西安地下鐵道有限公司運營分公司 西安 710000)

地鐵AFC系統與地鐵運營的票務收益息息相關，同時也是面向廣大乘客的窗口，在整個地鐵的運營中起著至關重要的作用。因此，地鐵AFC系統的安全性值得新開線路的關注，在健全的安全機制下保證AFC系統可靠、無故障運行，對地鐵的平安運營有著極其重要的意義。筆者結合西安地鐵的實際情況，對AFC系統所涉及的安全問題分類，并對安全管理機制的建立以及系統所面臨的安全問題進行討論。

1 AFC系統安全性概述

地鐵中的現金流和乘客交互窗口的角色要求AFC系統必須是安全的，然而，AFC系統卻面臨著來自內部和外部的兩大類威脅。外部威脅主要是來自系統以外的網絡，入侵者可能通過網絡遠程進入系統，對系統進行多種方式的入侵，如拒絕服務攻擊、針對各種服務的攻擊(DNS、FTP、SMTP、HTTP 等)、各種后門攻擊、針對Windows和Unix的網絡攻擊等等。內部威脅主要來自地鐵系統內部使用者以及乘客對系統造成的威脅，乘客可能對AFC系統設備造成物理上的威脅，而地鐵內部人員在系統的維護過程中，任何操作都有可能對票務數據、系統內部管理數據及系統穩定性帶來極大的威脅。在系統使用過程中，由于對現金的管理和操作，也會帶來收益上的安全威脅。因此，對于AFC系統來說，其所涉及的安全問題，不僅僅體現在通常認識的網絡安全、系統安全性、人員安全性上，還應體現在票卡安全、設備安全、軟件安全、數據安全、收益安全等多方面。按照AFC系統安全涉及的對象，可將AFC系統的安全性劃分為設備安全性、網絡安全性、軟件安全性、數據安全性和管理策略安全性5大類。

2 AFC系統安全對策

針對AFC系統涉及的設備、網絡、系統軟件、系統數據以及管理策略等幾大類安全問題，結合西安地鐵的實際情況，分別對每類安全問題做出分析并提出一些意見，以便為后續線路的建設和運營提供依據。

2.1 加強設備安全性設計

AFC系統具有數目眾多的站級終端設備，因此設備的安全性不容忽視，設備安全性主要表現在兩個方面。

1)作為與乘客交互最多的設備，首先需要保障維修維護人員以及乘客的人身安全，為了達到這一點，需要在AFC系統終端設備設計制造時遵循一定的原則:如所有設備應具備相應的安全保護，設備防水性能良好，設備內各模塊應固定防止隨意移動，所有接頭應具有固定措施;所有設備應有良好的接地措施保證設備金屬外殼不帶電，所有設備及通信線路應具備相應的電源保護措施，所有設備都應配有UPS電源，以防止突然斷電帶來的系統威脅;閘機通道具有人員通過安全保護機制，扇門需要剛柔適中能夠承受乘客的猛烈撞擊對設備帶來的損害，同時也能讓乘客在強制闖過扇門時不受到傷害。另外，設備內部結構設計需要合理，便于人員維修操作，不應有尖利部位導致人員的劃傷。

2)作為與現金收益有直接關系的系統設備應該重視收益安全的設計，錢箱和票箱都應加鎖，且所有錢箱在設備中具有密封性，操作人員不能直接接觸到TVM內找零用的現金、錢箱內的現金和車票，在設備發售車票或者車票回收的過程中，即使是設備的某些部件發生故障，車票只能按設定的路徑進入取票口或者回收箱中，不應散落在設備的其他部位。設備中經常需要更換的票箱與錢箱，由于經常搬運和卸載，因此需要有較寬的接觸面不易傾斜，西安地鐵2號線就是由于票箱立面較窄，易傾斜磕碰而造成票箱的損壞。涉及錢款的部件在拆卸和更換過程中必須經系統授權和身份認證，系統中錢箱的更換都應有日志記錄，可明確顯示卸載人以及卸載時間，卸載時錢箱中錢款的情況，比如西安地鐵現在使用的TVM和檢票機錢箱、票箱都配置唯一的電子標志，TVM和檢票機還配備了電子儲存模塊，對錢箱使用情況進行記錄，進入該錢箱的可累計現金金額、最后一次裝入設備和從設備取出的時間、最后一次取出時的該錢箱內的現金金額以及最后一次取出時的操作人員號碼等內容。

2.2 實現網絡安全性

目前，世界上有65%以上的網站癱瘓是源于病毒、黑客的入侵與攻擊。防火墻和入侵檢測系統是防御這類攻擊的有效辦法，西安地鐵2號線AFC系統處于獨立的專網中(網絡結構見圖1)，僅在小清分系統與西安市一卡通系統留有外部接口，并在此處安裝防火墻，隔離AFC網絡系統和外部網絡，此處的防火墻配置了DOS/DDOS功能，可實現對各種拒絕服務攻擊的有效防范，還配置了ARP欺騙攻擊防范，以及超大ICMP報文攻擊防范，設置了防火墻的告警策略，啟動了防火墻日志功能。

除此之外，采用基于狀態的特征檢測技術，基于協議異常分析的檢測技術和基于流量異常分析的檢測，對付來自外網和內網的攻擊，縮短發現黑客入侵的時間。入侵檢測技術與防火墻共同協作，對AFC系統網絡入口進行多層次安全保護，形成整體縱深的安全防護體系。

雖然AFC系統處于專網環境中，但由于系統升級等需求不可避免地會與外界存儲設備存在交互，因此對于內網的管理，除了應用網絡防病毒體系外，還可以采用漏洞掃描和日志告警功能，使得系統在遭受攻擊之前，可以了解和修復自身網絡安全問題，提早發現漏洞，阻斷病毒傳播。另外，系統還應該具備外部存儲設備的認證功能，即只有被認證過的設備才可以在系統中使用，防止外界存儲設備給系統感染病毒。

2.3 關注軟件和數據安全性

圖1 線路AFC網絡構成

在整個AFC系統中，乘客應用AFC系統在不同層次將產生各種類型的數據，這些海量的數據存在丟失、損壞、被篡改的風險，因此各層次下設備需要根據其自身的需求對相應的數據進行保護，主要工作如圖2所示。

對這些安全需求系統應該采取以下措施:

1)需要有安全產品的應用，即涉及數據的設備都需要有防病毒軟件，以保護系統數據不被外界損壞，硬件采用專用的Unix操作系統，采用Oracle數據庫產品系列。

2)需要安全密鑰系統的應用，通過ISAM和PSAM卡保證所有設備的合法性，通過TAC碼來確保終端交易數據的合法性。西安地鐵2號線采用了3DES對稱密鑰算法，確保數據的加密與外界的隔離，有效地達到了認證的安全性。

3)為了防止數據在闡述過程中被篡改，系統需要應用CRC碼進行校驗。

4)系統需要提供細致的權限管理，在運營過程中由于維護人員眾多，角色不一，因此對系統的誤操作很容易破壞系統的數據，因此，系統需要提供細致的權限管理功能，維護人員為不同角色的人員提供相應權限，防止誤操作和數據的惡意破壞。

圖2 線路AFC各層次數據需求

5)為了保證系統數據的安全性，系統提供數據冗余功能和數據跟蹤功能。西安地鐵2號線SLE設備中的數據在打包向上層設備傳輸前，將數據保存在設備的兩個不同物理空間上，SC、CC將數據再向上層傳輸前，保存4份數據，系統數據根據不同設備分別保存數據的期限為15天或者30天不等，并且提供專門的票卡跟蹤模塊。

6)系統需要提供數據審計功能，系統各個層級不但要對數據的連續性進行審計跟蹤，還要將累計數據進行檢查，防止數據的重復或者丟失。

2.4 完善策略安全性制度

不管整個AFC系統設計得多么完善，由于AFC系統與乘客以及內部管理人員有著密切的交互，因此保證系統的安全性還需要嚴格的安全策略來配合。AFC系統的安全策略除了體現在通常所知的對人、票、現金及設備嚴格的管理制度上，還體現在具有完善的應急管理制度，即具備較為完善的應急預案。

對于人的管理首先需要確定人員與系統交互時的安全等級，根據安全等級，確定安全管理的范圍;對于系統的核心部位中心機房，制定嚴格的出入管理制度，做好出入登記，實行分區控制，限制工作人員出入與己無關的區域，并嚴格限定人員使用系統的權限，對工作調動和離職人員及時調整相應的授權;對于票務管理應該在票務政策中明確各種票卡的使用場景，控制特種票卡的發行數量，做好日常的票卡使用情況分析。西安地鐵2號線對員工票卡的使用建立了一套跟蹤分析系統，監控票卡使用次數和票卡使用地點，如員工的工作地點主要在某一車站，而票卡分析的結果卻是全線頻繁使用，那么這類票卡將被調查分析;對于現金的管理，盡量在人員可能觸碰到現金的地方增加攝像頭做好物理保護，然后明確人員職責，堅持多人負責的原則，制定現金清點、結算、售票等相關規章;對于設備的管理則要制定完備的系統維護制度，維護時必須先經主管和協作部門批準，特別是軟件系統的維護一定需要在測試環境中驗證通過，并在運營結束后進行升級，且升級過程中使用到的外置存儲設備必須獲得系統的認證。涉及錢票時需要有監督人員在場，對故障原因、維護內容和維護前后的情況均詳細記錄，已備查閱，制定設備維護臺賬時應增加需要填寫具體數值的內容，而不僅僅是對所維護內容進行簡單的確認，這樣的臺賬才能較為真實地反映實際維修維護情況。

3 結語

AFC系統的安全性問題包括的不僅僅是通常所認知的網絡安全、數據安全等問題，還包含了設備、管理等安全問題，涵蓋的內容非常廣泛。總之，為了保證AFC系統正確無誤地平穩運行，不但需要從設計角度出發，關注硬件、軟件、網絡的設計問題，也要根據系統架構制定相應的安全管理制度予以配合，才能保證AFC系統良好地運行，真正成為地鐵公司的現金流，成為地鐵的一個亮麗的窗口。

［1］李立綱，洪瀾.廣州地鐵自動售檢票系統安全性探討［J］.都市快軌交通，2006，19(4):33-35.

［2］丁耿，盧曙光，劉樂.深圳地鐵系統安全性研究［J］.都市快軌交通，2006，19(2):89-92.

［3］廣州地下鐵道設計研究院.西安市地鐵二號線一期工程(北客站-韋曲南站)自動售檢票系統集成采購項目［G］.廣州，2009.

［4］王志海.上海軌道交通售檢票系統的應用與發展［J］.城市軌道交通研究，2009(4):52-56.

［5］沈正華.基于J2EE的自動售檢票系統及實現［D］.上海:復旦大學，2006.

［6］祁國俊.西安地鐵的運營籌備管理［J］.城市軌道交通研究，2011(7):19-22.