孫福杰
【摘 要】自動售檢票系統(tǒng)( Autom at ic Fare Collection,AFC)是集機械制造、電子技術(shù)、計算機通信管理、票務(wù)政策實施和微機實時控制等功能于一體的自動控制系統(tǒng)和信息處理系統(tǒng)。本文主要就地鐵售檢票系統(tǒng)的安全管理問題進行了詳細闡述。
【關(guān)鍵詞】地鐵售檢票系統(tǒng);安全管理;AFC;網(wǎng)絡(luò);票務(wù)
一、地鐵售檢票系統(tǒng)概述
近幾年,隨著我國城市軌道交通事業(yè)的發(fā)展,廣州、上海等城市在地鐵中相繼引入了自動售檢票(AFC)系統(tǒng)。該系統(tǒng)綜合了機械、電子、通信、計算機等學(xué)科,替代傳統(tǒng)的人工售檢票,實現(xiàn)了地鐵運營環(huán)境中售票、進站檢票、出站檢票、票務(wù)數(shù)據(jù)統(tǒng)計和處理等環(huán)節(jié)的自動化,杜絕了人為因素的影響,體現(xiàn)了地鐵票務(wù)管理的現(xiàn)代化水平,同時也極大地方便了乘客。下面就該系統(tǒng)作一簡介。
AFC系統(tǒng)由付費媒介、中央系統(tǒng)、車站系統(tǒng)、通信傳輸系統(tǒng)和電源系統(tǒng)組成。自動售檢票系統(tǒng)框圖如下圖所示。
自動售檢票系統(tǒng)框圖
二、地鐵售檢票系統(tǒng)的特點
1、AFC系統(tǒng)具有對閘機(AGM)、自動售票機(TVM)、自動驗票機(TCM )等就地級設(shè)備的狀態(tài)的監(jiān)測功能。對重要設(shè)備上鎖,并裝有防拆開關(guān),一旦有人非法打開或者破壞箱體,就會產(chǎn)生本地報警。
2、對操作人員采取身份認證管理。車站設(shè)備能夠自動驗證操作員權(quán)限的有效性,限制一個用戶同時登錄2臺或2臺以上不同設(shè)備,并為設(shè)備的操作建立日志。
3、AFC系統(tǒng)對其通信線、電源線進行監(jiān)視,并能對線路短路、斷路進行報警,對重要設(shè)備的導(dǎo)線加裝濾波器,以減少傳輸阻抗和導(dǎo)線間的交叉耦合。
4、AFC設(shè)備均配有漏電保護開關(guān),有良好的接地措施,以保證設(shè)備金屬外殼不帶電。
5、AFC設(shè)備均具備相應(yīng)的安全保護系統(tǒng),其內(nèi)各模塊都是固定的,以防止其隨意移動,此外,所有接頭也具有固定措施。
6、AFC設(shè)備及通信線路均具備相應(yīng)的電源保護如防雷、防浪涌等措施,同時配有相應(yīng)的不間斷電源/電池。
三、地鐵售檢票系統(tǒng)的安全管理要點
(一)網(wǎng)絡(luò)及數(shù)據(jù)的安全管理
1、操作系統(tǒng)的訪問控制
(1)登錄程序
①對操作系統(tǒng)進行訪問必須經(jīng)過一個安全的登錄程序,以盡量減少非授權(quán)訪問的機會。
②登錄的過程應(yīng)該顯示最少的提示,以避免泄漏系統(tǒng)和服務(wù)信息。
③對于嘗試登錄連續(xù)失敗多次的帳號,操作系統(tǒng)應(yīng)該斷開用戶的連接并暫停其帳號。此帳號只能由操作系統(tǒng)管理員重新啟用。
④操作系統(tǒng)必須記錄所有的系統(tǒng)登錄信息, 包括成功和失敗的登錄。
⑤登錄失敗及下一次登錄之前應(yīng)有一定的時間間隔。
(2)用戶識別和認證
①所有用戶都應(yīng)該被識別和認證。
②在用戶認證失敗信息中, 應(yīng)不顯示其具體的失敗原因。例如不能顯示“帳號不存在”或“密碼不正確”等。
③如果由于業(yè)務(wù)要求需要使用共享用戶帳號,那么此共享帳號應(yīng)該得到正式的批準(zhǔn)并明文歸檔。
④操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員必須使用不同的帳號。
⑤所有使用帳號密碼進行認證的系統(tǒng),在帳號密碼傳送過程中,應(yīng)該采用加密保護措施以防止泄漏。
(3)密碼管理系統(tǒng)
①每個用戶必須被分配一個唯一的帳號。
②修改密碼時,操作系統(tǒng)必須提示用戶確認新密碼,以防止輸入錯誤。
③不能明文顯示輸入的密碼。
④密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲。
⑤密碼處理時必須使用單向加密。
⑥當(dāng)密碼接近失效期或者已經(jīng)過期時,操作系統(tǒng)應(yīng)當(dāng)提示或強制用戶修改密碼。
⑦所有默認的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。
2、應(yīng)用系統(tǒng)的訪問控制
(1)信息訪問限制
①應(yīng)用系統(tǒng)必須根據(jù)業(yè)務(wù)應(yīng)用需求來制定訪問控制,并與公司的訪問控制策略相一致。
②應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問權(quán)限,如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。
③必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端,同時應(yīng)對這些輸出功能進行定期檢查,保證不存在輸出多余的信息。
(2)敏感系統(tǒng)的隔離
①應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對系統(tǒng)進行適當(dāng)?shù)母綦x保護。
②敏感系統(tǒng)的各個部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M行保護。
3、系統(tǒng)文件的安全管理
(1)實際運行系統(tǒng)的應(yīng)用軟件控制
①應(yīng)用軟件更新必須由獲得授權(quán)的管理員來執(zhí)行。
②嚴禁在實際運行系統(tǒng)中保留應(yīng)用軟件的源代碼。
③必須建立程序庫統(tǒng)一保管和維護應(yīng)用程序的可執(zhí)行代碼。
④在測試成功、用戶驗收完成, 或相關(guān)的程序庫被更新前, 嚴禁更新實際運行系統(tǒng)中的可執(zhí)行代碼。
⑤必須對程序庫做好訪問控制, 并對程序庫的更新進行日志記錄。
(2)對程序源代碼庫的訪問控制
①應(yīng)該建立程序源代碼庫, 并由指定人員進行統(tǒng)一管理。
②正在開發(fā)或修改的程序不應(yīng)該保存在程序源代碼庫中。
③更新程序源代碼庫和向程序員提供程序源代碼, 應(yīng)通過指定的程序源代碼庫管理員來執(zhí)行, 并且獲得管理層的授權(quán)。
④程序源代碼必須保存在安全的環(huán)境中。
⑤程序源代碼的訪問必須做好相關(guān)記錄。
⑥程序源代碼必須做好版本控制管理, 每一個版本都必須有相應(yīng)的備份。
(二)密鑰安全策略
密鑰系統(tǒng)(KMS)安裝在ICCS上,由ICCS統(tǒng)一維護和管理;系統(tǒng)內(nèi)的密鑰認證由系統(tǒng)內(nèi)各個發(fā)生交易的設(shè)備執(zhí)行。
1、SAM卡的發(fā)行
AFC系統(tǒng)專用SAM 卡均由ICCS統(tǒng)一發(fā)行。
2、SAM卡的注冊
LCC、SC從ICCS領(lǐng)用SAM卡,領(lǐng)用時在ICCS對SAM 卡號進行登記注冊。系統(tǒng)安裝人員和系統(tǒng)維修人員從SC領(lǐng)用SAM 卡,并將之插入到站級設(shè)備的SAM卡槽中。
3、SAM卡的認證
車站級設(shè)備開機時,將報告設(shè)備的SAM卡號,然后由SC應(yīng)用程序?qū)ζ溥M行認證,如出錯,監(jiān)控程序?qū)⒔o予報警,由操作人員進行確認。車站級設(shè)備在開機或SAM卡斷電時,需要重新與SC的認證系統(tǒng)在線進行SAM卡認證,成功后才能進入正常工作模式。
(三)票務(wù)收益安全策略
1、票卡收益的安全性考慮
所有在AFC系統(tǒng)內(nèi)使用車票的詳細交易記錄都保存在ICCS中,在各線路AFC系統(tǒng)內(nèi)使用車票的詳細交易記錄都保存在LCC中,ICCS通過對車票在系統(tǒng)中的使用情況進行跟蹤,可以防止車票被濫用、復(fù)制及偽造等,減少由于欺詐行為而引起的財務(wù)損失。
(1)防止偽造票卡
票卡與售檢票終端之間通過密鑰信息交換可以實現(xiàn)相互驗證,不合格的票卡將被拒絕使用。個性化處理和票卡認證必須有進入第一級別的密鑰(最高級別) ,信息存入票卡內(nèi)的服務(wù)合同分區(qū),則需要有進入第二級別的密鑰。
(2)防止票卡的非法充值
采取積極措施,以防止密鑰泄漏,采用SAM 以預(yù)防非法操作的發(fā)生。如果配有SAM 的設(shè)備持續(xù)1天未與ICCS進行數(shù)據(jù)交換,那么該設(shè)備將被隔離; 如果某一售票設(shè)備1天內(nèi)的交易量超出了限值,并且未與ICCS進行數(shù)據(jù)交換,那么該設(shè)備將被隔離。必須使用密鑰才能為票卡充值,DES對稱算法的密鑰至少128 B,RAS非對稱算法的密鑰至少1024B。一個完整的密鑰必須由2個工作人員完成,其中,每人完成密鑰的1/2。
(3)防止票卡的違規(guī)使用
當(dāng)半免老人票、學(xué)生票等部分優(yōu)惠票種使用時,票亭會發(fā)出聲光報警,提醒站務(wù)人員進行監(jiān)督;對于全免老人票等優(yōu)惠票種,需在票亭激活后才能使用。對票卡實施黑名單制度。將乘客掛失的票卡,被冒用的學(xué)生票、老人票、員工票或其他優(yōu)惠票種列入黑名單,禁止其繼續(xù)使用。
2、現(xiàn)金收益的安全性考慮
操作員在TVM 更換錢箱、補充車票時,必須嚴格按照程序進行,TVM、SC和LCC將分別生成相應(yīng)的審核報告。
在TVM 和閘機所使用的錢箱和票箱都應(yīng)安裝唯一的電子標(biāo)識。錢箱還應(yīng)配備電子儲存模塊來記錄錢箱的使用記錄,如累計進入該錢箱的現(xiàn)金金額、最后一次裝入設(shè)備和從設(shè)備取出的時間、最后一次取出時的該錢箱內(nèi)的現(xiàn)金金額、最后一次取出時的操作人員號碼等內(nèi)容。以上記錄可以通過專用的工具讀取。
設(shè)備內(nèi)部結(jié)構(gòu)緊密、合理,操作人員不能直接接觸到TVM 錢箱內(nèi)的現(xiàn)金和車票。在車站AFC票務(wù)管理室配備視頻監(jiān)視系統(tǒng)、密碼開門的門禁系統(tǒng)及火災(zāi)自動報警系統(tǒng)設(shè)備。所有的交易信息都必須及時上傳到ICCS。
參考文獻:
[1]彭志林,洪瀾.廣州地鐵1、2號線自動售檢票系統(tǒng)的維修組織[J].都市快軌交通,2004.17.
[2]方錦煌.提高地鐵自動售檢票系統(tǒng)設(shè)備的技術(shù)性能[J].城市軌道交通研究,2007.9.
[3]陳曉東,李宇軒.廣州地鐵自動售檢票系統(tǒng)的管理經(jīng)驗[J].地鐵與輕軌,2003.4.