潘文尧

摘  要：地铁AFC系统是利用计算机技术、网络通信技技术和电子付费等技术，实现购票、检票、计费、计时和统计分析的综合智能化信息管理系统。地铁AFC系统安全性的高低对地铁票务收益、地铁安全运营和乘客资金支付都有至关重要的意义。

关键词：地铁AFC系统安全性

前言：地铁中的现金流和乘客交互窗口的角色要求AFC系统必须是安全的，然而，AFC系统却面临着来自内部和外部的两大类威胁。外部威胁主要是来自系统以外的网络，入侵者可能通过网络远程进入系统，对系统进行多种方式的入侵，如拒绝服务攻击、针对各种服务的攻击、各种后门攻击、针对Windows和Unix的网络攻击等等。

一、影响AFC系统安全性的因素

影响AFC系统安全性的因素可分为外部因素和内部因素：外部因素主要是指外部网络以不同方式、不同程度入侵AFC系统;内部因素主要是指来自地铁系统的人员和乘客，表现为失误操作或恶意破坏和对AFC系统设备造成物理上的威胁。

AFC系统所涉及到的安全问题层面比较广泛。根据系统中可能产生安全问题的对象，从硬件安全性、软件安全性和安全管理三方面阐述AFC系统安全性。

二、AFC系统安全对策

2.1 加强设备安全性设计。AFC系统具有数目众多的站级终端设备，因此设备的安全性不容忽视，设备安全性主要表现在两个方面。1）作为与乘客交互最多的设备，首先需要保障维修维护人员以及乘客的人身安全，为了达到这一点，需要在AFC系统终端设备设计制造时遵循一定的原则：如所有设备应具备相应的安全保护，设备防水性能良好，设备内各模块应固定防止随意移动，所有接头应具有固定措施;所有设备应有良好的接地措施保证设备金属外壳不带电，所有设备及通信线路应具备相应的电源保护措施，所有设备都应配有UPS电源，以防止突然断电带来的系统威胁;闸机通道具有人员通过安全保护机制，扇门需要刚柔适中能够承受乘客的猛烈撞击对设备带来的损害，同时也能让乘客在强制闯过扇门时不受到伤害。另外，设备内部结构设计需要合理，便于人员维修操作，不应有尖利部位导致人员的划伤。2）作为与现金收益有直接关系的系统设备应该重视收益安全的设计，钱箱和票箱都应加锁，且所有钱箱在设备中具有密封性，操作人员不能直接接触到TVM内找零用的现金、钱箱内的现金和车票，在设备发售车票或者车票回收的过程中，即使是设备的某些部件发生故障，车票只能按设定的路径进入取票口或者回收箱中，不应散落在设备的其他部位。设备中经常需要更换的票箱与钱箱，由于经常搬运和卸载，因此需要有较宽的接触面不易倾斜，涉及钱款的部件在拆卸和更换过程中必须经系统授权和身份认证，系统中钱箱的更换都应有日志记录，可明确显示卸载人以及卸载时间，卸载时钱箱中钱款的情况，对钱箱使用情况进行记录，进入该钱箱的可累计现金金额、最后一次装入设备和从设备取出的时间、最后一次取出时的该钱箱内的现金金额以及最后一次取出时的操作人员号码等内容。

2实现网络安全性。目前，世界上有65%以上的网站瘫痪是源于病毒、黑客的入侵与攻击。防火墙和入侵检测系统是防御这类攻击的有效办法，并在此处安装防火墙，隔离AFC网络系统和外部网络，此处的防火墙配置了DOS/DDOS功能，可实现对各种拒绝服务攻击的有效防范，还配置了ARP欺骗攻击防范，以及超大ICMP报文攻击防范，设置了防火墙的告警策略，启动了防火墙日志功能。酬筹塑口除此之外，采用基于状态的特征检测技术，基于协议异常分析的检测技术和基于流量异常分析的检测，对付来自外网和内网的攻击，缩短发现黑客人侵的时间。入侵检测技术与防火墙共同协作，对AFC系统网络人口进行多层次安全保护，形成整体纵深的安全防护体系。虽然AFC系统处于专网环境中，但由于系统升级等需求不可避免地会与外界存储设备存在交互，因此对于内网的管理，除了应用网络防病毒体系外，还可以采用漏洞扫描和日志告警功能，使得系統在遭受攻击之前，可以了解和修复自身网络安全问题，提早发现漏洞，阻断病毒传播。

3.关注软件和数据安全性。在整个AFC系统中，乘客应用AFC系统在不同层次将产生各种类型的数据，这些海量的数据存在丢失、损坏、被篡改的风险，因此各层次下设备需要根据其自身的需求对相应的数据进行保护，对这些安全需求系统应该采取以下措施：1）需要有安全产品的应用，即涉及数据的设备都需要有防病毒软件，以保护系统数据不被外界损坏，硬件采用专用的Unix操作系统，采用Oracle数据库产品系列。2）需要安全密钥系统的应用，通过ISAM和PSAM卡保证所有设备的合法性，通过TAC码来确保终端交易数据的合法性。3）为了防止数据在阐述过程中被篡改，系统需要应用CRC码进行校验。4）系统需要提供细致的权限管理，在运营过程中由于维护人员众多，角色不一，因此对系统的误操作很容易破坏系统的数据，因此，系统需要提供细致的权限管理功能，维护人员为不同角色的人员提供相应权限，防止误操作和数据的恶意破坏。5）为了保证系统数据的安全性，系统提供数据冗余功能和数据跟踪功能。备中的数据在打包向上层设备传输前，将数据保存在设备的两个不同物理空间上，SC、CC将数据再向上层传输前，保存4份数据，系统数据根据不同设备分别保存数据的期限为15天或者30天不等，并且提供专门的票卡跟踪模块。

4.4.完善策略安全性制度。不管整个AFC系统设计得多么完善，由于AFC系统与乘客以及内部管理人员有着密切的交互，因此保证系统的安全性还需要严格的安全策略来配合。AFC系统的安全策略除了体现在通常所知的对人、票、现金及设备严格的管理制度上，还体现在具有完善的应急管理制度，即具备较为完善的应急预案。对于人的管理首先需要确定人员与系统交互时的安全等级，根据安全等级，确定安全管理的范围;对于系统的核心部位中心机房，制定严格的出人管理制度，做好出入登记，实行分区控制，限制工作人员出入与己无关的区域，并严格限定人员使用系统的权限，对工作调动和离职人员及时调整相应的授权如员工的工作地点主要在某一车站，而票卡分析的结果却是全线频繁使用，那么这类票卡将被调查分析;对于现金的管理，尽量在人员可能触碰到现金的地方增加摄像头做好物理保护，然后明确人员职责，坚持多人负责的原则，制定现金清点、结算、售票等相关规章;对于设备的管理则要制定完备的系统维护制度，维护时必须先经主管和协作部门批准，特别是软件系统的维护一定需要在测试环境中验证通过，并在运营结束后进行升级，且升级过程中使用到的外置存储设备必须获得系统的认证。涉及钱票时需要有监督人员在场，对故障原因、维护内容和维护前后的情况均详细记录，已备查阅，制定设备维护台账时应增加需要填写具体数值的内容，而不仅仅是对所维护内容进行简单的确认，这样的台账才能较为真实地反映实际维修维护情况。

结束语：

AFC系统安全性涉及的层面十分广。逾铁AFC系统安全应体现以人为本，人才是安全的核心。为了保证AFC系统正确无误的平稳运行，需要在硬件安全、软件安全袒管理层霭等多方协调配合下，在运营过程中不断完善安全策略。

参考文献：

[1]陈鹏辉 城市轨道交通自动售检票系统的现状与发展趋势《 城市轨道交通研究》-2019 年第05 期.

[2]杨珂 地铁AFC系统安全性探究《 都市快轨交通》-2019年第02 期.

[3]李黎 浅谈南京地铁票务系统安全管理《 现代城市轨道交通》-2019年第01 期.