楊 珂

(西安地下鐵道有限公司運營分公司 西安 710000)

地鐵AFC系統(tǒng)與地鐵運營的票務收益息息相關(guān)，同時也是面向廣大乘客的窗口，在整個地鐵的運營中起著至關(guān)重要的作用。因此，地鐵AFC系統(tǒng)的安全性值得新開線路的關(guān)注，在健全的安全機制下保證AFC系統(tǒng)可靠、無故障運行，對地鐵的平安運營有著極其重要的意義。筆者結(jié)合西安地鐵的實際情況，對AFC系統(tǒng)所涉及的安全問題分類，并對安全管理機制的建立以及系統(tǒng)所面臨的安全問題進行討論。

1 AFC系統(tǒng)安全性概述

地鐵中的現(xiàn)金流和乘客交互窗口的角色要求AFC系統(tǒng)必須是安全的，然而，AFC系統(tǒng)卻面臨著來自內(nèi)部和外部的兩大類威脅。外部威脅主要是來自系統(tǒng)以外的網(wǎng)絡，入侵者可能通過網(wǎng)絡遠程進入系統(tǒng)，對系統(tǒng)進行多種方式的入侵，如拒絕服務攻擊、針對各種服務的攻擊(DNS、FTP、SMTP、HTTP 等)、各種后門攻擊、針對Windows和Unix的網(wǎng)絡攻擊等等。內(nèi)部威脅主要來自地鐵系統(tǒng)內(nèi)部使用者以及乘客對系統(tǒng)造成的威脅，乘客可能對AFC系統(tǒng)設(shè)備造成物理上的威脅，而地鐵內(nèi)部人員在系統(tǒng)的維護過程中，任何操作都有可能對票務數(shù)據(jù)、系統(tǒng)內(nèi)部管理數(shù)據(jù)及系統(tǒng)穩(wěn)定性帶來極大的威脅。在系統(tǒng)使用過程中，由于對現(xiàn)金的管理和操作，也會帶來收益上的安全威脅。因此，對于AFC系統(tǒng)來說，其所涉及的安全問題，不僅僅體現(xiàn)在通常認識的網(wǎng)絡安全、系統(tǒng)安全性、人員安全性上，還應體現(xiàn)在票卡安全、設(shè)備安全、軟件安全、數(shù)據(jù)安全、收益安全等多方面。按照AFC系統(tǒng)安全涉及的對象，可將AFC系統(tǒng)的安全性劃分為設(shè)備安全性、網(wǎng)絡安全性、軟件安全性、數(shù)據(jù)安全性和管理策略安全性5大類。

2 AFC系統(tǒng)安全對策

針對AFC系統(tǒng)涉及的設(shè)備、網(wǎng)絡、系統(tǒng)軟件、系統(tǒng)數(shù)據(jù)以及管理策略等幾大類安全問題，結(jié)合西安地鐵的實際情況，分別對每類安全問題做出分析并提出一些意見，以便為后續(xù)線路的建設(shè)和運營提供依據(jù)。

2.1 加強設(shè)備安全性設(shè)計

AFC系統(tǒng)具有數(shù)目眾多的站級終端設(shè)備，因此設(shè)備的安全性不容忽視，設(shè)備安全性主要表現(xiàn)在兩個方面。

1)作為與乘客交互最多的設(shè)備，首先需要保障維修維護人員以及乘客的人身安全，為了達到這一點，需要在AFC系統(tǒng)終端設(shè)備設(shè)計制造時遵循一定的原則:如所有設(shè)備應具備相應的安全保護，設(shè)備防水性能良好，設(shè)備內(nèi)各模塊應固定防止隨意移動，所有接頭應具有固定措施;所有設(shè)備應有良好的接地措施保證設(shè)備金屬外殼不帶電，所有設(shè)備及通信線路應具備相應的電源保護措施，所有設(shè)備都應配有UPS電源，以防止突然斷電帶來的系統(tǒng)威脅;閘機通道具有人員通過安全保護機制，扇門需要剛?cè)徇m中能夠承受乘客的猛烈撞擊對設(shè)備帶來的損害，同時也能讓乘客在強制闖過扇門時不受到傷害。另外，設(shè)備內(nèi)部結(jié)構(gòu)設(shè)計需要合理，便于人員維修操作，不應有尖利部位導致人員的劃傷。

2)作為與現(xiàn)金收益有直接關(guān)系的系統(tǒng)設(shè)備應該重視收益安全的設(shè)計，錢箱和票箱都應加鎖，且所有錢箱在設(shè)備中具有密封性，操作人員不能直接接觸到TVM內(nèi)找零用的現(xiàn)金、錢箱內(nèi)的現(xiàn)金和車票，在設(shè)備發(fā)售車票或者車票回收的過程中，即使是設(shè)備的某些部件發(fā)生故障，車票只能按設(shè)定的路徑進入取票口或者回收箱中，不應散落在設(shè)備的其他部位。設(shè)備中經(jīng)常需要更換的票箱與錢箱，由于經(jīng)常搬運和卸載，因此需要有較寬的接觸面不易傾斜，西安地鐵2號線就是由于票箱立面較窄，易傾斜磕碰而造成票箱的損壞。涉及錢款的部件在拆卸和更換過程中必須經(jīng)系統(tǒng)授權(quán)和身份認證，系統(tǒng)中錢箱的更換都應有日志記錄，可明確顯示卸載人以及卸載時間，卸載時錢箱中錢款的情況，比如西安地鐵現(xiàn)在使用的TVM和檢票機錢箱、票箱都配置唯一的電子標志，TVM和檢票機還配備了電子儲存模塊，對錢箱使用情況進行記錄，進入該錢箱的可累計現(xiàn)金金額、最后一次裝入設(shè)備和從設(shè)備取出的時間、最后一次取出時的該錢箱內(nèi)的現(xiàn)金金額以及最后一次取出時的操作人員號碼等內(nèi)容。

2.2 實現(xiàn)網(wǎng)絡安全性

目前，世界上有65%以上的網(wǎng)站癱瘓是源于病毒、黑客的入侵與攻擊。防火墻和入侵檢測系統(tǒng)是防御這類攻擊的有效辦法，西安地鐵2號線AFC系統(tǒng)處于獨立的專網(wǎng)中(網(wǎng)絡結(jié)構(gòu)見圖1)，僅在小清分系統(tǒng)與西安市一卡通系統(tǒng)留有外部接口，并在此處安裝防火墻，隔離AFC網(wǎng)絡系統(tǒng)和外部網(wǎng)絡，此處的防火墻配置了DOS/DDOS功能，可實現(xiàn)對各種拒絕服務攻擊的有效防范，還配置了ARP欺騙攻擊防范，以及超大ICMP報文攻擊防范，設(shè)置了防火墻的告警策略，啟動了防火墻日志功能。

除此之外，采用基于狀態(tài)的特征檢測技術(shù)，基于協(xié)議異常分析的檢測技術(shù)和基于流量異常分析的檢測，對付來自外網(wǎng)和內(nèi)網(wǎng)的攻擊，縮短發(fā)現(xiàn)黑客入侵的時間。入侵檢測技術(shù)與防火墻共同協(xié)作，對AFC系統(tǒng)網(wǎng)絡入口進行多層次安全保護，形成整體縱深的安全防護體系。

雖然AFC系統(tǒng)處于專網(wǎng)環(huán)境中，但由于系統(tǒng)升級等需求不可避免地會與外界存儲設(shè)備存在交互，因此對于內(nèi)網(wǎng)的管理，除了應用網(wǎng)絡防病毒體系外，還可以采用漏洞掃描和日志告警功能，使得系統(tǒng)在遭受攻擊之前，可以了解和修復自身網(wǎng)絡安全問題，提早發(fā)現(xiàn)漏洞，阻斷病毒傳播。另外，系統(tǒng)還應該具備外部存儲設(shè)備的認證功能，即只有被認證過的設(shè)備才可以在系統(tǒng)中使用，防止外界存儲設(shè)備給系統(tǒng)感染病毒。

2.3 關(guān)注軟件和數(shù)據(jù)安全性

圖1 線路AFC網(wǎng)絡構(gòu)成

在整個AFC系統(tǒng)中，乘客應用AFC系統(tǒng)在不同層次將產(chǎn)生各種類型的數(shù)據(jù)，這些海量的數(shù)據(jù)存在丟失、損壞、被篡改的風險，因此各層次下設(shè)備需要根據(jù)其自身的需求對相應的數(shù)據(jù)進行保護，主要工作如圖2所示。

對這些安全需求系統(tǒng)應該采取以下措施:

1)需要有安全產(chǎn)品的應用，即涉及數(shù)據(jù)的設(shè)備都需要有防病毒軟件，以保護系統(tǒng)數(shù)據(jù)不被外界損壞，硬件采用專用的Unix操作系統(tǒng)，采用Oracle數(shù)據(jù)庫產(chǎn)品系列。

2)需要安全密鑰系統(tǒng)的應用，通過ISAM和PSAM卡保證所有設(shè)備的合法性，通過TAC碼來確保終端交易數(shù)據(jù)的合法性。西安地鐵2號線采用了3DES對稱密鑰算法，確保數(shù)據(jù)的加密與外界的隔離，有效地達到了認證的安全性。

3)為了防止數(shù)據(jù)在闡述過程中被篡改，系統(tǒng)需要應用CRC碼進行校驗。

4)系統(tǒng)需要提供細致的權(quán)限管理，在運營過程中由于維護人員眾多，角色不一，因此對系統(tǒng)的誤操作很容易破壞系統(tǒng)的數(shù)據(jù)，因此，系統(tǒng)需要提供細致的權(quán)限管理功能，維護人員為不同角色的人員提供相應權(quán)限，防止誤操作和數(shù)據(jù)的惡意破壞。

圖2 線路AFC各層次數(shù)據(jù)需求

5)為了保證系統(tǒng)數(shù)據(jù)的安全性，系統(tǒng)提供數(shù)據(jù)冗余功能和數(shù)據(jù)跟蹤功能。西安地鐵2號線SLE設(shè)備中的數(shù)據(jù)在打包向上層設(shè)備傳輸前，將數(shù)據(jù)保存在設(shè)備的兩個不同物理空間上，SC、CC將數(shù)據(jù)再向上層傳輸前，保存4份數(shù)據(jù)，系統(tǒng)數(shù)據(jù)根據(jù)不同設(shè)備分別保存數(shù)據(jù)的期限為15天或者30天不等，并且提供專門的票卡跟蹤模塊。

6)系統(tǒng)需要提供數(shù)據(jù)審計功能，系統(tǒng)各個層級不但要對數(shù)據(jù)的連續(xù)性進行審計跟蹤，還要將累計數(shù)據(jù)進行檢查，防止數(shù)據(jù)的重復或者丟失。

2.4 完善策略安全性制度

不管整個AFC系統(tǒng)設(shè)計得多么完善，由于AFC系統(tǒng)與乘客以及內(nèi)部管理人員有著密切的交互，因此保證系統(tǒng)的安全性還需要嚴格的安全策略來配合。AFC系統(tǒng)的安全策略除了體現(xiàn)在通常所知的對人、票、現(xiàn)金及設(shè)備嚴格的管理制度上，還體現(xiàn)在具有完善的應急管理制度，即具備較為完善的應急預案。

對于人的管理首先需要確定人員與系統(tǒng)交互時的安全等級，根據(jù)安全等級，確定安全管理的范圍;對于系統(tǒng)的核心部位中心機房，制定嚴格的出入管理制度，做好出入登記，實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域，并嚴格限定人員使用系統(tǒng)的權(quán)限，對工作調(diào)動和離職人員及時調(diào)整相應的授權(quán);對于票務管理應該在票務政策中明確各種票卡的使用場景，控制特種票卡的發(fā)行數(shù)量，做好日常的票卡使用情況分析。西安地鐵2號線對員工票卡的使用建立了一套跟蹤分析系統(tǒng)，監(jiān)控票卡使用次數(shù)和票卡使用地點，如員工的工作地點主要在某一車站，而票卡分析的結(jié)果卻是全線頻繁使用，那么這類票卡將被調(diào)查分析;對于現(xiàn)金的管理，盡量在人員可能觸碰到現(xiàn)金的地方增加攝像頭做好物理保護，然后明確人員職責，堅持多人負責的原則，制定現(xiàn)金清點、結(jié)算、售票等相關(guān)規(guī)章;對于設(shè)備的管理則要制定完備的系統(tǒng)維護制度，維護時必須先經(jīng)主管和協(xié)作部門批準，特別是軟件系統(tǒng)的維護一定需要在測試環(huán)境中驗證通過，并在運營結(jié)束后進行升級，且升級過程中使用到的外置存儲設(shè)備必須獲得系統(tǒng)的認證。涉及錢票時需要有監(jiān)督人員在場，對故障原因、維護內(nèi)容和維護前后的情況均詳細記錄，已備查閱，制定設(shè)備維護臺賬時應增加需要填寫具體數(shù)值的內(nèi)容，而不僅僅是對所維護內(nèi)容進行簡單的確認，這樣的臺賬才能較為真實地反映實際維修維護情況。

3 結(jié)語

AFC系統(tǒng)的安全性問題包括的不僅僅是通常所認知的網(wǎng)絡安全、數(shù)據(jù)安全等問題，還包含了設(shè)備、管理等安全問題，涵蓋的內(nèi)容非常廣泛?？傊?，為了保證AFC系統(tǒng)正確無誤地平穩(wěn)運行，不但需要從設(shè)計角度出發(fā)，關(guān)注硬件、軟件、網(wǎng)絡的設(shè)計問題，也要根據(jù)系統(tǒng)架構(gòu)制定相應的安全管理制度予以配合，才能保證AFC系統(tǒng)良好地運行，真正成為地鐵公司的現(xiàn)金流，成為地鐵的一個亮麗的窗口。

［1］李立綱，洪瀾.廣州地鐵自動售檢票系統(tǒng)安全性探討［J］.都市快軌交通，2006，19(4):33-35.

［2］丁耿，盧曙光，劉樂.深圳地鐵系統(tǒng)安全性研究［J］.都市快軌交通，2006，19(2):89-92.

［3］廣州地下鐵道設(shè)計研究院.西安市地鐵二號線一期工程(北客站-韋曲南站)自動售檢票系統(tǒng)集成采購項目［G］.廣州，2009.

［4］王志海.上海軌道交通售檢票系統(tǒng)的應用與發(fā)展［J］.城市軌道交通研究，2009(4):52-56.

［5］沈正華.基于J2EE的自動售檢票系統(tǒng)及實現(xiàn)［D］.上海:復旦大學，2006.

［6］祁國俊.西安地鐵的運營籌備管理［J］.城市軌道交通研究，2011(7):19-22.