張晶鑫

(無(wú)錫地鐵集團(tuán)有限公司運(yùn)營(yíng)分公司，江蘇 無(wú)錫 214000)

淺析AFC系統(tǒng)防病毒體系

張晶鑫

(無(wú)錫地鐵集團(tuán)有限公司運(yùn)營(yíng)分公司，江蘇 無(wú)錫 214000)

近年來(lái)，自動(dòng)售檢票(AFC)系統(tǒng)在軌道交通中備受重視。自動(dòng)售檢票系統(tǒng)通過(guò)對(duì)客流和收益數(shù)據(jù)的收集為軌道交通企業(yè)各業(yè)務(wù)部門(mén)提供了輔助分析服務(wù)。本文介紹了無(wú)錫地鐵防病毒系統(tǒng)的設(shè)計(jì)思路以及安全管理系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)，從技術(shù)、管理和服務(wù)三個(gè)方面結(jié)合無(wú)錫地鐵實(shí)際對(duì)其做了簡(jiǎn)單說(shuō)明。

無(wú)錫地鐵；自動(dòng)售檢票系統(tǒng)；防病毒

0 引言

隨著我國(guó)軌道交通行業(yè)的不斷發(fā)展，大量采用了國(guó)際先進(jìn)水平的機(jī)電設(shè)備。其中，自動(dòng)售檢票(AFC)系統(tǒng)作為運(yùn)營(yíng)服務(wù)的核心子系統(tǒng)，確保了城市軌道交通運(yùn)營(yíng)服務(wù)的安全、快捷和有效。在運(yùn)營(yíng)的實(shí)踐中，AFC系統(tǒng)的計(jì)算機(jī)病毒防護(hù)工作一直是重中之重。如果AFC系統(tǒng)感染了計(jì)算機(jī)病毒，結(jié)果一定是災(zāi)難性的，因此每個(gè)軌道交通企業(yè)都有自己的一套成熟的病毒防護(hù)體系。

實(shí)踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務(wù)三方面內(nèi)容。下面就無(wú)錫地鐵AFC系統(tǒng)中的防病毒體系予以詳細(xì)闡述。

1 技術(shù)層面：主動(dòng)防御

由于傳統(tǒng)防病毒技術(shù)采取被動(dòng)跟蹤的方式來(lái)進(jìn)行病毒防護(hù)，這種被動(dòng)的防護(hù)方式無(wú)法應(yīng)對(duì)新的惡意軟件的發(fā)展。因此，必須從“主動(dòng)防御”這一觀點(diǎn)出發(fā)，建立一個(gè)覆蓋全網(wǎng)的防病毒體系。相對(duì)于被動(dòng)式病毒響應(yīng)技術(shù)而言，主動(dòng)式反應(yīng)技術(shù)可在最新的惡意軟件沒(méi)有出現(xiàn)之前就形成防御墻，靜侯威脅的到來(lái)，從而避免威脅帶來(lái)的損失?！爸鲃?dòng)防御”主要體現(xiàn)在以下幾個(gè)方面：

1.1 基于應(yīng)用程序的防火墻技術(shù)

防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協(xié)議進(jìn)出。利用防火墻技術(shù)，一方面可以防止病毒利用漏洞滲透進(jìn)入終端，另一方面，更為重要的是可以有效地阻斷病毒傳播路徑。

1.2 具備通用漏洞阻截技術(shù)的入侵防護(hù)

通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開(kāi)與其相匹配的鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進(jìn)行攻擊。如果對(duì)一把鎖的內(nèi)部鎖齒進(jìn)行研究，便可以立即了解到能夠打開(kāi)這把鎖的鑰匙必需具備的特征。

1.3 應(yīng)用程序控制技術(shù)

通過(guò)應(yīng)用程序行為控制，在系統(tǒng)中實(shí)時(shí)監(jiān)控各種程序行為，一旦出現(xiàn)與預(yù)定的惡意行為相同的行為就立即進(jìn)行阻截。

圖1 防病毒系統(tǒng)設(shè)計(jì)

1.4 前瞻性威脅掃描

前瞻性威脅掃描是一種主動(dòng)威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見(jiàn)的威脅。

1.5 終端系統(tǒng)加固

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)網(wǎng)絡(luò)安全不至于因個(gè)別軟件系統(tǒng)的漏洞而受到危害，必須在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

1.6 基于特征的病毒防護(hù)技術(shù)

最后，傳統(tǒng)的病毒防護(hù)技術(shù)僅僅作為主動(dòng)防御的一個(gè)必要補(bǔ)充，防御已知的病毒，對(duì)于已經(jīng)感染病毒的機(jī)器進(jìn)行自動(dòng)的清除和恢復(fù)操作。

2 管理層面：終端準(zhǔn)入控制

2.1 終端準(zhǔn)入控制的實(shí)現(xiàn)方法

2.1.1 手動(dòng)隔離

手動(dòng)隔離在管理實(shí)踐中是使用頻率最高的手段之一。通過(guò)創(chuàng)建一個(gè)隔離組，然后為該組分配特定的隔離策略。當(dāng)通過(guò)人工方式判斷出一個(gè)終端處于高風(fēng)險(xiǎn)或者違規(guī)狀態(tài)時(shí)，將這個(gè)終端手動(dòng)方式移動(dòng)到隔離組中，即達(dá)到了隔離效果。

2.1.2 本地隔離

利用主機(jī)防火墻規(guī)則和智能切換的能力實(shí)現(xiàn)本地隔離。這種方式最易實(shí)現(xiàn)，不需要和網(wǎng)絡(luò)中其他強(qiáng)制服務(wù)器發(fā)生任何關(guān)系。

2.1.3 局域網(wǎng)準(zhǔn)入與隔離

當(dāng)用戶沒(méi)有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是安全檢查不合格時(shí)，局域網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以通知交換機(jī)將該用戶連接的交換機(jī)端口關(guān)閉，或者通知交換機(jī)將該用戶的端口VLAN切換到修復(fù)VLAN，強(qiáng)迫用戶完成安全修復(fù)后才將用戶切換回正常VLAN。

2.1.4 邊界準(zhǔn)入與隔離

在用戶通過(guò)IPSec VPN或SSL VPN甚至是無(wú)線AP試圖連接到企業(yè)內(nèi)網(wǎng)時(shí)，強(qiáng)制網(wǎng)關(guān)實(shí)時(shí)檢查這些用戶的安全性，只有安全性達(dá)標(biāo)的用戶才能訪問(wèn)強(qiáng)制網(wǎng)關(guān)后的局域網(wǎng)。

2.1.5 IP獲取準(zhǔn)入

當(dāng)非企業(yè)員工，或者是企業(yè)員工試圖連接到局域網(wǎng)并試圖自動(dòng)獲取IP地址時(shí)，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)會(huì)首先檢查這些用戶的安全狀態(tài)，檢查合格者分配一個(gè)正常地址范圍內(nèi)的IP地址；不合格的用戶分配另外一個(gè)修復(fù)區(qū)域子網(wǎng)的IP地址。當(dāng)修復(fù)操作全部完成之后，用戶的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求才被放行。

2.2 終端準(zhǔn)入控制的流程

終端準(zhǔn)入控制流程包括：檢查基準(zhǔn)安全策略、隔離控制與自動(dòng)修復(fù)。

檢查基準(zhǔn)安全策略是根據(jù)進(jìn)程、文件、注冊(cè)表等設(shè)置的檢查結(jié)果來(lái)判斷：

1)用戶身份是否合法；2)機(jī)器身份是否合法；3)主機(jī)防火墻是否安裝并運(yùn)行；4)防病毒軟件是否安裝并運(yùn)行，病毒特征庫(kù)是否及時(shí)更新；5)其他指定安全工具是否運(yùn)行、及時(shí)更新；6)操作系統(tǒng)關(guān)鍵安全補(bǔ)丁是否安裝；7)操作系統(tǒng)安全配置是否妥當(dāng)；8)桌面設(shè)置是否妥當(dāng)；9)是否感染特定病毒實(shí)體；10)是否安裝重大違規(guī)軟件等。

隔離控制根據(jù)上述檢查結(jié)果，強(qiáng)制服務(wù)器和網(wǎng)絡(luò)設(shè)備以及客戶端聯(lián)動(dòng)來(lái)決定：

1) 拒絕終端/用戶接入；2) 容許終端/用戶接入；3)隔離終端/用戶(主機(jī)ACL隔離， VLAN隔離，授予隔離IP地址)；4)限制終端/用戶訪問(wèn)權(quán)限；5)應(yīng)用程序、遠(yuǎn)程主機(jī)、時(shí)間、協(xié)議類型、端口等使用權(quán)限；6)關(guān)鍵網(wǎng)段接入權(quán)限；7)交換機(jī)接入權(quán)限；8) 無(wú)線網(wǎng)絡(luò)接入權(quán)限；9) 動(dòng)態(tài)IP地址獲取權(quán)限；10)互聯(lián)網(wǎng)訪問(wèn)權(quán)限；11)遠(yuǎn)程網(wǎng)絡(luò)(VPN)接入權(quán)限；12)域名解析權(quán)限；13)Web應(yīng)用登錄權(quán)限。

自動(dòng)修復(fù)是在隔離或限制接入的情況下，還可以通過(guò)自動(dòng)修復(fù)來(lái)?yè)Q回正常的網(wǎng)絡(luò)訪問(wèn)權(quán)限。修復(fù)的內(nèi)容包括：

1) 自動(dòng)開(kāi)啟IE，連接內(nèi)部安全網(wǎng)站上相關(guān)的提示頁(yè)面；2)自動(dòng)分發(fā)病毒專殺工具；3)自動(dòng)升級(jí)病毒特征庫(kù)；4)自動(dòng)分發(fā)操作系統(tǒng)關(guān)鍵補(bǔ)??；5)自動(dòng)糾正錯(cuò)誤的系統(tǒng)配置；6)分發(fā)并運(yùn)行特定腳本；7)終止指定進(jìn)程；8)停止或啟用指定服務(wù)；9)遠(yuǎn)程關(guān)機(jī)/重啟等。

3 服務(wù)層面

企業(yè)通過(guò)部署防病毒產(chǎn)品只是建立了對(duì)抗攻擊的基礎(chǔ)，還不能達(dá)到真正意義上的安全，只有結(jié)合和采用防病毒安全服務(wù)，才能使企業(yè)的整體安全達(dá)到一個(gè)新的高度。防病毒廠商提供的服務(wù)主要包括以下兩個(gè)方面：

3.1 病毒預(yù)警服務(wù)

病毒預(yù)警服務(wù)為AFC系統(tǒng)對(duì)于新病毒的提前預(yù)警、通知和防范的標(biāo)準(zhǔn)流程，該流程為管理員提供必要的信息和預(yù)警，減少和降低病毒事件的數(shù)量及影響。

3.2 突發(fā)病毒應(yīng)急響應(yīng)服務(wù)

當(dāng)發(fā)現(xiàn)一種未知病毒導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，而現(xiàn)有的防病毒客戶端對(duì)此無(wú)能為力的時(shí)候，可以通過(guò)提交病毒樣本或要求直接上門(mén)服務(wù)的方式，請(qǐng)防病毒廠家協(xié)助解決這些問(wèn)題，避免病毒在系統(tǒng)內(nèi)大規(guī)模擴(kuò)散。

4 結(jié)語(yǔ)

綜上所述，產(chǎn)品+管理+服務(wù)的組合才能從在根本上保證病毒防護(hù)的可靠性。對(duì)以上這些安全技術(shù)進(jìn)行有效的管理，使其真正發(fā)揮作用。通過(guò)統(tǒng)一、集中、實(shí)時(shí)的集中管理，構(gòu)建堅(jiān)固的技術(shù)保障體系。為了把 “三分技術(shù)、七分管理”變成可操作控制程序，需要在實(shí)踐中不斷完善病毒防護(hù)管理手段，再輔以各種防病毒技術(shù)，才能把病毒防護(hù)的管理要求真正落實(shí)下去。

[1]王國(guó)光. 自動(dòng)售檢票系統(tǒng)及關(guān)鍵技術(shù)研究[D].鐵道部科學(xué)研究院,2005.

[2]張彥,史天運(yùn),李仕達(dá),李超. AFC技術(shù)及鐵路自動(dòng)售檢票系統(tǒng)研究[J]. 中國(guó)鐵路,2009,03:50-55.

[3]于明,萬(wàn)燕,蘇厚勤. 城市軌道交通自動(dòng)售檢票系統(tǒng)檢票機(jī)應(yīng)用軟件構(gòu)架設(shè)計(jì)與分析[J]. 城市軌道交通研究,2007,04:37-40.

[4]周曉. 上海軌道交通AFC車(chē)站終端設(shè)備病毒防護(hù)[J]. 城市軌道交通研究,2013,07:51-54.

[5]胡鑫. AFC系統(tǒng)及相關(guān)網(wǎng)絡(luò)技術(shù)研究[D].天津大學(xué),2013.

(編輯 文新梅)

Analysis of Anti-virus System in AFC System

ZHANG Jingxin

(Operation Company of Wuxi Metro Company Ltd., Wuxi 214000, China)

In recent years, AFC system has been highly valued in urban rail transit. AFC system provides auxiliary analysis service for each business department of urban railway transit corporation through the collection of passenger flow and revenue data. This paper introduces the design idea of anti- virus system of Wuxi Metro and the design of safety management system. From the technology, management and service, with the actual combination of Wuxi Metro, a brief description of it is made.

Wuxi Metro; AFC system; anti-virus

2016-12-10

張晶鑫(1989-)。學(xué)士，助理工程師。研究方向：城市軌道交通運(yùn)輸。

U231+.92 ;U293.2+2

A

1672-0601(2017)03-0117-03