浅析轨道交通自动售检票系统安全性分析及解决方法

　　轨道交通AFC系统(自动售检票系统)是以计算机及信息传输网络为基础，以非接触式IC卡为车票信息的存储、传递介质，结合专用售检票终端设备，完成车票的自动和半自动售票、自动检票、计费、收费、统计、清算全过程的自动化管理系统。
　　AFC系统既是轨道交通客流管理的基础系统，也是面向乘客、面向社会的服务系统，涉及到城市轨道交通客流管理、票务管理、现金流动和财务管理，因此，对AFC系统安全性进行分析，建立多层次防范保护机制和完善审计监督体系，对实现系统的安全、稳定运行，具有十分重要的意义。
　　AFC系统的安全体系是组织、管理和技术的综合性体系。
　　1安全组织、管理体系
　　安全组织体系主要是建立和建全系统安全的组织结构，明确各层次的责任，包括决策、管理、实施等。建立从上到下、主管部门与相关部门有机结合的组织体系。
　　安全管理体系是系统安全管理工作的基础，是系统安全的制度保障，完善安全管理体系应从以下几个方面考虑。
　　(1)建立管理体制。管理体制包括建立防范组织、健全规章制度和明确职责三部分。
　　(2)实施管理措施。控制和监督设备运行是实施管理措施的主要内容。通过对管理辅之以技术手段，达到强化管理的目的。
　　(3)加强教育培训。普及安全知识、教授安全措施的具体操作，包括对AFC系统管理、操作及维护人员进行安全培训。
　　2 安全技术体系
　　安全技术体系指充分运用高新技术，采用安全技术防范措施和建立安全机制，形成技术防范体系，这是系统安全的技术保障。以下对车票、系统、数据、网络、设备和收益的安全性进行分析，并提出相应的解决方法。
　　2.1车票的安全性
　　城市轨道交通的车票(指储值类车票)中存储着持卡人的相关信息和存入的现金，如果一旦发生卡中的数据被非法修改和出现伪造卡，乘客和轨道交通运营部门的利益将遭受损失。在将来轨道交通车票一卡多用的情况下，车票的安全性尤为重要。
　　解决方法如下。
　　(1)IC卡车票的选型。采用安全性能高的逻辑加密IC卡芯片作为轨道交通车票介质，在轨道交通车票一卡多用时，还可采用CPU卡,以获取更为完善的安全保护。逻辑加密IC卡自身的安全措施包括：①IC卡具有全球唯一的出厂代码;②IC卡与读写器之间进行3次相互安全认证;③数据读写的密码保护，IC卡中每一扇区有独立的操作密码，IC卡上数据的读写均需提交卡上数据保护密码后方可进行操作;④数据加密传输，IC卡与读写器之间进行数据通信时，采用国际通用DES(加密算法)对数据进行加密处理。
　　(2)采用综合安全措施。车票的安全仅仅依靠IC卡自身的安全保护措施是不够的，还需在AFC应用系统中采取密钥管理系统等措施以提高车票使用的安全性，包括：①采用SAM(安全认证模块)进行密码分散算法，即每张IC卡的各个数据保护密码均通过卡的出厂序列号和系统核心密钥进行DES运算而得到，保证了每张IC卡上的每个数据区的密码均不相同;②设备密钥，在发卡系统和终端售检票设备中配置SAM卡，设备开机时，由AFC系统车站计算机对设备的SAM卡进行认证，出错时将给予报警，设备在重新开机或SAM卡断电时，再次由车站计算机在线进行SAM卡的认证，认证成功后才能进入正常工作模式;③数据验证，读写器的驱动程序进行写入数据验证，确保写入数据的正确性;④数据备份，在IC卡上建立多个数据备份，一旦出现几个数据块中的数据不一致时，通过仲裁的方式来恢复正确的数据;⑤车票稽查，AFC系统中央计算机记录轨道交通所有车票使用的详细交易信息，对车票在系统中的使用情况进行跟踪和合法性检查，发现伪造卡后将伪造卡列入车票黑名单，并及时将黑名单下达到各个车站终端设备中，有效防止伪造车票在系统中的继续使用。
　　2.2系统的安全性
　　AFC系统功能承载在各类服务器和工作站上，为了保证业务数据的正常流通和安全处理，需对服务器进行全方位的防护，防止其瘫痪或被植入后门程序，远程控制窃取数据，以及由于应用程序被病毒感染等原因造成的系统宕机，AFC系统应确保整个系统的安全运行。
　　解决方法如下。
　　(1)采用冗余和集群等技术配置中央计算机系统。
　　(2)身份认证。AFC系统对用户名/编号和密码进行认证，同时，通过对口令文件的加密、不同系统网段中采用不同的密码以及定期更换密码等方式加强访问安全管理。
　　(3)权限控制。建立权限控制，包括对主机、网络系统、数据库系统和文件系统等的权限控制，对数据和文件的许可权进行严格配置和管理，防止非授权用户进行越权操作。
　　(4)软件审计。AFC系统对采集的各种交易数据，对各张票卡、各个充值/消费设备进行严密的跟踪审计和防欺诈分析，包括储值卡余额平衡、票卡计数检验和SAM卡流水检验等。
　　(5)系统日志。建立完善的日志，对进入系统的各项操作都进行真实完整的记录，以利系统的追踪回溯。
　　(6)防病毒。AFC系统软件及其硬件载体具备计算机病毒防护，在AFC系统中的数据库服务器、通信前置服务器、车站服务器、工作站等均配置网络防病毒软件，实现病毒的实时查杀和全面监控。同时，定期地对文挡进行整理、杀毒和病毒库的自动升级，并采用限制使用软驱、限制其它软件拷入等手段，有效防止病毒的侵入。
　　2.3数据的安全性
　　AFC系统为数据管理系统，主要解决数据的准确采集、可靠传输、存储和数据的统计处理。由于处理数据包含财务和个人身份类数据，同时，数据又是整个AFC系统控制和管理的基础，因此，必须保证数据的高度安全。
　　解决方法如下。
　　(1)数据库安全。选择功能强大、成熟可靠的数据库系统，提供良好的数据处理速度、安全机制和可靠数据存储以及强大的备份和恢复能力，通过数据库自身的安全控制体系确保数据的操作安全。
　　(2)数据存储。采用大容量磁盘阵列，通过冗余存储结构、磁盘镜像技术使每一个数据库文件自动分布于每个物理磁盘，保证数据存储的安全。
　　(3)数据存储加密。对于AFC系统中关键和敏感的财务和个人数据，使用密文的形式进行存储加密。
　　(4)数据备份和恢复策略。数据库采用数据库后备、日志、回滚段和控制文件等结构，防止数据的丢失或损坏;在故障发生后，使数据库迅速恢复到故障发生前的时间点上。
　　(5)异地容灾备份。建立数据异地容灾备份系统，在发生灾害时，最大限度地保护系统的数据。
　　2.4网络的安全性
　　在AFC系统中，原始交易数据通过车站局域网、车站与控制中心之间的远距离通信传输通道到达AFC中央级系统。数据在网络传输过程中，涉及安全和财务的数据需防止受到干扰而造成的泄密，包括数据在传输过程防止被窃听、防止受到外部攻击以及局域网络的内部攻击等。
　　解决方法如下。
　　(1)网络结构的安全性。网络结构层次分明，便于网络隔离和安全规划。对网络地址资源分配、VLAN(虚拟局域网)划分、ACL(访问控制列表)配置、路由协议选择、QoS(服务质量)配置等方面进行合理规划。
　　(2)网络管理。对所有网络设备的维护管理启用可靠的认证，采用先进的网络管理平台对网络系统中的所有主机和网络设备进行漏洞扫描，及时补漏，自动发现新增网络接点和检测网络连接。
　　(3)数据加密。采用先进的数据编码和差错控制技术，对在网络上传输的敏感数据和重要数据进行加密及解密，确保数据传送过程中的安全性和完整性。
　　(4)防入侵。网络边界和内部的动态路由协议启用认证，防止路由欺骗。对不同部门或系统的数据接口处采用入侵监测和身份认证等多方位安全方式，限制网络用户的访问权限。
　　2.5设备的安全性
　　设备安全指配置在车站的售检票设备的安全性，包括自动检票机、票房售票机和自动售票机等。售检票设备直接面对乘客，同时也涉及与现金和收益有关的钱箱和票箱的操作，因此，售检票设备的安全性将直接关系到乘客的人身安全和轨道交通运营公司的收益。
　　解决方法如下。
　　(1)身份认证。车站售检票设备在验证操作人员输入的用户名/编号和密码有效后方可允许操作，操作员登录时间和次数超出规定的界限时，设备自动退出登录并进行报警。
　　(2)权限控制。根据AFC系统中央计算机的设置，车站售检票设备能够对其操作权限进行控制，使操作人员不能进行权限之外的任何操作。
　　(3)监测报警。AFC系统对售检票设备的状态、维修门和重要部件模块(如钱箱、票箱)状态进行实时监测。设备维修门锁或面板的打开，重要部件、模块的拆卸和更换必须经授权且操作人员身份通过认证后进行。一旦发生非法打开门或重要部件、模块被异常移动情况时，设备将报警。
　　(4)电气安全。售检票设备配置不间断电源，避免意外断电时设备内数据的丢失。同时，售检票设备的金属外壳可靠接地，保证乘客使用和运营维修人员操作时的人身安全。
　　(5)材料。售检票设备的外壳采用具有足够强度的不绣钢材料，可承受轨道交通车站环境中的碰撞和冲击;闸机扇门外包材料采用柔软材料，防止对乘客造成人身伤害;所有终端售检票设备内的部件模块及连接电线电缆均采用阻燃、低烟、无卤材料制作。
　　(6)紧急疏散。如广州地铁自动检票机选用扇门式检票机，车站发生紧急情况时扇门呈常开状态，确保安全、快速疏散乘客。
　　2.6收益的安全性
　　自动售票机、票房售票机和自动检票机的钱箱和票箱需由操作人员从设备中取出并清点，操作人员在操作设备时，应防止车票的流失和票款的短缺。
　　解决方法如下。
　　(1)操作员在自动售票机上更换钱箱、补充车票时，必须按照程序进行更换，自动售票机产生相应的审核报告。
　　(2)在票房售票机操作员班次结束时，自动生成班次报告。
　　(3)结构设计。与现金交易及车票有关的售检票设备的内部结构设计，需防止操作人员直接接触到设备内的现金和车票，钱箱和票箱从设备中取出时自动锁闭，在使用专用的钥匙打开后方能取出其中的车票和钱钞。
　　(4)钱箱管理。终端售检票设备所使用的钱箱安装唯一的电子标识，钱箱配备电子储存模块，记录钱箱的使用记录。
　　3结束语
　　轨道交通AFC系统的安全体系是由多种安全技术和产品构成的系统，既有技术的因素，更有人的因素。因此，在AFC系统设计、制造、运行和管理过程中，必须根据AFC系统的实际情况选择合适的技术、产品，及时了解系统安全技术的新发展，掌握和应用新的安全技术，同时，强化规范意识和管理，制定安全标准，普及安全教育，从而保证安全系统的贯彻实施。