地鐵AFC系統安全性探討

潘文堯

摘? 要：地鐵AFC系統是利用計算機技術、網絡通信技技術和電子付費等技術，實現購票、檢票、計費、計時和統計分析的綜合智能化信息管理系統。地鐵AFC系統安全性的高低對地鐵票務收益、地鐵安全運營和乘客資金支付都有至關重要的意義。

關鍵詞：地鐵AFC系統安全性

前言：地鐵中的現金流和乘客交互窗口的角色要求AFC系統必須是安全的，然而，AFC系統卻面臨著來自內部和外部的兩大類威脅。外部威脅主要是來自系統以外的網絡，入侵者可能通過網絡遠程進入系統，對系統進行多種方式的入侵，如拒絕服務攻擊、針對各種服務的攻擊、各種后門攻擊、針對Windows和Unix的網絡攻擊等等。

一、影響AFC系統安全性的因素

影響AFC系統安全性的因素可分為外部因素和內部因素：外部因素主要是指外部網絡以不同方式、不同程度入侵AFC系統;內部因素主要是指來自地鐵系統的人員和乘客，表現為失誤操作或惡意破壞和對AFC系統設備造成物理上的威脅。

AFC系統所涉及到的安全問題層面比較廣泛。根據系統中可能產生安全問題的對象，從硬件安全性、軟件安全性和安全管理三方面闡述AFC系統安全性。

二、AFC系統安全對策

2.1 加強設備安全性設計。AFC系統具有數目眾多的站級終端設備，因此設備的安全性不容忽視，設備安全性主要表現在兩個方面。1）作為與乘客交互最多的設備，首先需要保障維修維護人員以及乘客的人身安全，為了達到這一點，需要在AFC系統終端設備設計制造時遵循一定的原則：如所有設備應具備相應的安全保護，設備防水性能良好，設備內各模塊應固定防止隨意移動，所有接頭應具有固定措施;所有設備應有良好的接地措施保證設備金屬外殼不帶電，所有設備及通信線路應具備相應的電源保護措施，所有設備都應配有UPS電源，以防止突然斷電帶來的系統威脅;閘機通道具有人員通過安全保護機制，扇門需要剛柔適中能夠承受乘客的猛烈撞擊對設備帶來的損害，同時也能讓乘客在強制闖過扇門時不受到傷害。另外，設備內部結構設計需要合理，便于人員維修操作，不應有尖利部位導致人員的劃傷。2）作為與現金收益有直接關系的系統設備應該重視收益安全的設計，錢箱和票箱都應加鎖，且所有錢箱在設備中具有密封性，操作人員不能直接接觸到TVM內找零用的現金、錢箱內的現金和車票，在設備發售車票或者車票回收的過程中，即使是設備的某些部件發生故障，車票只能按設定的路徑進入取票口或者回收箱中，不應散落在設備的其他部位。設備中經常需要更換的票箱與錢箱，由于經常搬運和卸載，因此需要有較寬的接觸面不易傾斜，涉及錢款的部件在拆卸和更換過程中必須經系統授權和身份認證，系統中錢箱的更換都應有日志記錄，可明確顯示卸載人以及卸載時間，卸載時錢箱中錢款的情況，對錢箱使用情況進行記錄，進入該錢箱的可累計現金金額、最后一次裝入設備和從設備取出的時間、最后一次取出時的該錢箱內的現金金額以及最后一次取出時的操作人員號碼等內容。

2實現網絡安全性。目前，世界上有65%以上的網站癱瘓是源于病毒、黑客的入侵與攻擊。防火墻和入侵檢測系統是防御這類攻擊的有效辦法，并在此處安裝防火墻，隔離AFC網絡系統和外部網絡，此處的防火墻配置了DOS/DDOS功能，可實現對各種拒絕服務攻擊的有效防范，還配置了ARP欺騙攻擊防范，以及超大ICMP報文攻擊防范，設置了防火墻的告警策略，啟動了防火墻日志功能。酬籌塑口除此之外，采用基于狀態的特征檢測技術，基于協議異常分析的檢測技術和基于流量異常分析的檢測，對付來自外網和內網的攻擊，縮短發現黑客人侵的時間。入侵檢測技術與防火墻共同協作，對AFC系統網絡人口進行多層次安全保護，形成整體縱深的安全防護體系。雖然AFC系統處于專網環境中，但由于系統升級等需求不可避免地會與外界存儲設備存在交互，因此對于內網的管理，除了應用網絡防病毒體系外，還可以采用漏洞掃描和日志告警功能，使得系統在遭受攻擊之前，可以了解和修復自身網絡安全問題，提早發現漏洞，阻斷病毒傳播。

3.關注軟件和數據安全性。在整個AFC系統中，乘客應用AFC系統在不同層次將產生各種類型的數據，這些海量的數據存在丟失、損壞、被篡改的風險，因此各層次下設備需要根據其自身的需求對相應的數據進行保護，對這些安全需求系統應該采取以下措施：1）需要有安全產品的應用，即涉及數據的設備都需要有防病毒軟件，以保護系統數據不被外界損壞，硬件采用專用的Unix操作系統，采用Oracle數據庫產品系列。2）需要安全密鑰系統的應用，通過ISAM和PSAM卡保證所有設備的合法性，通過TAC碼來確保終端交易數據的合法性。3）為了防止數據在闡述過程中被篡改，系統需要應用CRC碼進行校驗。4）系統需要提供細致的權限管理，在運營過程中由于維護人員眾多，角色不一，因此對系統的誤操作很容易破壞系統的數據，因此，系統需要提供細致的權限管理功能，維護人員為不同角色的人員提供相應權限，防止誤操作和數據的惡意破壞。5）為了保證系統數據的安全性，系統提供數據冗余功能和數據跟蹤功能。備中的數據在打包向上層設備傳輸前，將數據保存在設備的兩個不同物理空間上，SC、CC將數據再向上層傳輸前，保存4份數據，系統數據根據不同設備分別保存數據的期限為15天或者30天不等，并且提供專門的票卡跟蹤模塊。

4.4.完善策略安全性制度。不管整個AFC系統設計得多么完善，由于AFC系統與乘客以及內部管理人員有著密切的交互，因此保證系統的安全性還需要嚴格的安全策略來配合。AFC系統的安全策略除了體現在通常所知的對人、票、現金及設備嚴格的管理制度上，還體現在具有完善的應急管理制度，即具備較為完善的應急預案。對于人的管理首先需要確定人員與系統交互時的安全等級，根據安全等級，確定安全管理的范圍;對于系統的核心部位中心機房，制定嚴格的出人管理制度，做好出入登記，實行分區控制，限制工作人員出入與己無關的區域，并嚴格限定人員使用系統的權限，對工作調動和離職人員及時調整相應的授權如員工的工作地點主要在某一車站，而票卡分析的結果卻是全線頻繁使用，那么這類票卡將被調查分析;對于現金的管理，盡量在人員可能觸碰到現金的地方增加攝像頭做好物理保護，然后明確人員職責，堅持多人負責的原則，制定現金清點、結算、售票等相關規章;對于設備的管理則要制定完備的系統維護制度，維護時必須先經主管和協作部門批準，特別是軟件系統的維護一定需要在測試環境中驗證通過，并在運營結束后進行升級，且升級過程中使用到的外置存儲設備必須獲得系統的認證。涉及錢票時需要有監督人員在場，對故障原因、維護內容和維護前后的情況均詳細記錄，已備查閱，制定設備維護臺賬時應增加需要填寫具體數值的內容，而不僅僅是對所維護內容進行簡單的確認，這樣的臺賬才能較為真實地反映實際維修維護情況。

結束語：

AFC系統安全性涉及的層面十分廣。逾鐵AFC系統安全應體現以人為本，人才是安全的核心。為了保證AFC系統正確無誤的平穩運行，需要在硬件安全、軟件安全袒管理層靄等多方協調配合下，在運營過程中不斷完善安全策略。

參考文獻：

[1]陳鵬輝 城市軌道交通自動售檢票系統的現狀與發展趨勢《 城市軌道交通研究》-2019 年第05 期.

[2]楊珂 地鐵AFC系統安全性探究《 都市快軌交通》-2019年第02 期.

[3]李黎 淺談南京地鐵票務系統安全管理《 現代城市軌道交通》-2019年第01 期.