浅析轨道交通自动售检票系统安全性分析及解决方法.doc

浅析轨道交通自动售检票系统安全性分析 及解决方法轨道交通AFC系统（口动售检票系统）是以计算机及信息传输络为基 础，以非接触式IC卡为车票信息的存储、传递介质，结合专用售检 票终端设备，完成车票的自动和半自动售票、自动检票、计费、收 费、统计、清算全过程的口动化管理系统 AFC系统既是轨道交 通客流管理的基础系统，也是面向乘客、面向社会的服务系统，涉 及到城市轨道交通客流管理、票务管理、现金流动和财务管理，因 此，对AFC系统安全性进行分析，建立多层次防范保护机制和完善 审计监督体系，对实现系统的安全、稳定运行，具有十分重要的意 义AFC系统的安全体系是组织、管理和技术的综合性体系1安全组织、管理体系安全组织体系主要是建立和建全系统安全 的组织结构，明确各层次的责任，包括决策、管理、实施等建立 从上到下、主管部门与相关部门有机结合的组织体系 安全管理 体系是系统安全管理工作的基础，是系统安全的制度保障，完善安 全管理体系应从以下几个方面考虑1）建立管理体制管理体制 包括建立防范组织、健全规章制度和明确职责三部分2）实施管 理措施控制和监督设备运行是实施管理措施的主要内容通过对 管理辅之以技术手段，达到强化管理的目的。

3）加强教育培训 普及安全知识、教授安全措施的具体操作，包括对AFC系统管理、 操作及维护人员进行安全培训2安全技术体系安全技术体系 指充分运用高新技术，采用安全技术防范措施和建立安全机制，形 成技术防范体系，这是系统安全的技术保障以下对车票、系统、 数据、络、设备和收益的安全性进行分析，并提出相应的解决方 法2.1车票的安全性 城市轨道交通的车票（指储值类车票）中存 储着持卡人的相关信息和存入的现金，如果一旦发生卡中的数据被 非法修改和出现伪造卡，乘客和轨道交通运营部门的利益将遭受损 失在将来轨道交通车票一卡多用的情况下，车票的安全性尤为重 要 解决方法如下1）IC卡车票的选型采用安全性能高的逻 辑加密IC卡芯片作为轨道交通车票介质，在轨道交通车票一卡多用 时，还可采用CPU卡，以获取更为完善的安全保护逻辑加密IC卡 自身的安全措施包括：①IC卡具有全球唯一的出厂代码;②IC卡与 读写器之间进行3次相互安全认证;③数据读写的密码保护，IC卡中 每一扇区有独立的操作密码，IC卡上数据的读写均需提交卡上数据 保护密码后方可进行操作;④数据加密传输，IC卡与读写器之间进行 数据通信吋，采用国际通用DES（加密算法）对数据进行加密处理。

2）采用综合安全措施车票的安全仅仅依靠IC卡自身的安全保护 措施是不够的，还需在AFC应用系统中采取密钥管理系统等措施以 提高车票使用的安全性，包括：①采用SAM（安全认证模块）进行密 码分散算法，即每张IC卡的各个数据保护密码均通过卡的出厂序列 号和系统核心密钥进行DES运算而得到，保证了每张IC卡上的每 个数据区的密码均不相同;②设备密钥，在发卡系统和终端售检票设 备中配置SAM卡，设备开机时，由AFC系统车站计算机对设备的 SAM卡进行认证，岀错时将给予报警，设备在重新开机或SAM卡 断电吋，再次由车站计算机进行SAM卡的认证，认证成功后 才能进入正常工作模式;③数据验证，读写器的驱动程序进行写入数 据验证，确保写入数据的正确性;④数据备份，在IC卡上建立多个 数据备份，一旦出现几个数据块中的数据不一致吋，通过仲裁的方 式来恢复正确的数据;⑤车票稽查，AFC系统中央计算机记录轨道交 通所有车票使用的详细交易信息，对车票在系统中的使用情况进行 跟踪和合法性检查，发现伪造卡后将伪造卡列入车票黑名单，并及 吋将黑名单下达到各个车站终端设备中，有效防止伪造车票在系统 中的继续使用2.2系统的安全性 AFC系统功能承载在各类服 务器和工作站上，为了保证业务数据的止常流通和安全处理，需对 服务器进行全方位的防护，防止其瘫痪或被植入后门程序，远程控 制窃取数据，以及由于应用程序被病毒感染等原因造成的系统宕 机，AFC系统应确保整个系统的安全运行。

解决方法如下1） 采用冗余和集群等技术配置中央计算机系统2）身份认证AFC 系统对用户名/编号和密码进行认证，同时，通过对口令文件的加 密、不同系统段中采用不同的密码以及定期更换密码等方式加强访 问安全管理3）权限控制建立权限控制，包括対主机、络系 统、数据库系统和文件系统等的权限控制，对数据和文件的许可权 进行严格配置和管理，防止非授权用户进行越权操作4）软件审 计AFC系统对采集的各种交易数据，对各张票卡、各个充值/消费 设备进行严密的跟踪审计和防欺诈分析，包括储值卡余额平衡、票 卡计数检验和SAM卡流水检验等5）系统日志建立完善的日 志，对进入系统的各项操作都进行真实完整的记录，以利系统的追 踪回溯6）防病毒AFC系统软件及其硬件载体具备计算机病毒 防护，在AFC系统中的数据库服务器、通信前置服务器、车站服务 器、工作站等均配置络防病毒软件，实现病毒的实时查杀和全面监 控同时，定期地对文挡进行整理、杀毒和病毒库的自动升级，并 采用限制使用软驱、限制其它软件拷入等手段，有效防止病毒的侵 入2.3数据的安全性 AFC系统为数据管理系统，主要解决数 据的准确采集、可靠传输、存储和数据的统计处理。

由于处理数据 包含财务和个人身份类数据，同时，数据又是整个AFC系统控制和 管理的基础，因此，必须保证数据的高度安全 解决方法如下 （1）数据库安全选择功能强大、成熟可靠的数据库系统，提供良好 的数据处理速度、安全机制和可靠数据存储以及强大的备份和恢复 能力，通过数据库自身的安全控制体系确保数据的操作安全2） 数据存储采用大容量磁盘阵列，通过冗余存储结构、磁盘镜像技 术使每一个数据库文件自动分布于每个物理磁盘，保证数据存储的 安全3）数据存储加密对于AFC系统中关键和敏感的财务和个 人数据，使用密文的形式进行存储加密4）数据备份和恢复策 略数据库采用数据库后备、口志、回滚段和控制文件等结构，防 止数据的丢失或损坏;在故障发生后，使数据库迅速恢复到故障发生 前的时间点上5）异地容灾备份建立数据异地容灾备份系统， 在发生灾害时，最大限度地保护系统的数据2.4络的安全性在 AFC系统中，原始交易数据通过车站局域、车站与控制中心之间的 远距离通信传输通道到达AFC中央级系统数据在络传输过程中， 涉及安全和财务的数据需防止受到干扰而造成的泄密，包括数据在 传输过程防止被窃听、防止受到外部攻击以及局域络的内部攻击 等。

解决方法如下1）络结构的安全性络结构层次分明，便 于络隔离和安全规划对络地址资源分配、VLAN（虚拟局域戊U分、 ACL（访问控制列表）配置、路由协议选择、QoS（服务质量）配置等方 面进行合理规划2）络管理对所有络设备的维护管理启用可靠 的认证，采用先进的络管理平台对络系统中的所有主机和络设备进 行漏洞扫描，及时补漏，口动发现新增络接点和检测络连接3） 数据加密采用先进的数据编码和差错控制技术，对在络上传输的 敏感数据和重要数据进行加密及解密，确保数据传送过程中的安全 性和完整性4）防入侵络边界和内部的动态路由协议启用认 证，防止路由欺骗对不同部门或系统的数据接口处采用入侵监测 和身份认证等多方位安全方式，限制络用户的访问权限2.5设备 的安全性 设备安全指配置在车站的售检票设备的安全性，包括自 动检票机、票房售票机和口动售票机等售检票设备直接面对乘 客，同吋也涉及与现金和收益有关的钱箱和票箱的操作，因此，售 检票设备的安全性将直接关系到乘客的人身安全和轨道交通运营公 司的收益 解决方法如下1）身份认证车站售检票设备在验 证操作人员输入的用户名/编号和密码有效后方可允许操作，操作员 登录时间和次数超出规定的界限时，设备自动退出登录并进行报 警。

2）权限控制根据AFC系统中央计算机的设置，车站售检票 设备能够对其操作权限进行控制，使操作人员不能进行权限之外的 任何操作3）监测报警AFC系统对售检票设备的状态、维修门 和重耍部件模块（如钱箱、票箱）状态进行实时监测设备维修门锁 或面板的打开，重要部件、模块的拆卸和更换必须经授权且操作人 员身份通过认证后进行一旦发生非法打开门或重要部件、模块被 异常移动情况时，设备将报警4）电气安全售检票设备配置不 间断电源，避免意外断电时设备内数据的丢失同时，售检票设备 的金属外壳可靠接地，保证乘客使用和运营维修人员操作吋的人身 安全5）材料售检票设备的外壳采用具有足够强度的不绣钢材 料，可承受轨道交通车站环境中的碰撞和冲击;闸机扇门外包材料采 用柔软材料，防止对乘客造成人身伤害;所有终端售检票设备内的部 件模块及连接电线电缆均采用阻燃、低烟、无卤材料制作6）紧 急疏散如广州地铁口动检票机选用扇门式检票机，车站发生紧急 情况吋扇门呈常开状态，确保安全、快速疏散乘客2.6收益的安 全性 自动售票机、票房售票机和自动检票机的钱箱和票箱需由操 作人员从设备中取出并清点，操作人员在操作设备时，应防止车票 的流失和票款的短缺。

解决方法如下1）操作员在自动售票机 上更换钱箱、补充车票吋，必须按照程序进行更换，自动售票机产 生相应的审核报告2）在票房售票机操作员班次结束时，自动生 成班次报告3）结构设计与现金交易及车票有关的售检票设备 的内部结构设计，需防止操作人员直接接触到设备内的现金和车 票，钱箱和票箱从设备中取出时自动锁闭，在使用专用的钥匙打开 后方能取出其中的车票和钱钞FAN） （4）钱箱管理终端售检票 设备所使用的钱箱安装唯一的电子标识，钱箱配备电子储存模块， 记录钱箱的使用记录3结束语 轨道交通AFC系统的安全体系 是由多种安全技术和产品构成的系统，既有技术的因素，更有人的 因素因此，在AFC系统设计、制造、运行和管理过程中，必须根 据AFC系统的实际情况选择合适的技术、产品，及时了解系统安全 技术的新发展，掌握和应用新的安全技术，同时，强化规范意识和 管理，制定安全标准，普及安全教育，从而保证安全系统的贯彻实 施单轨交通是指城市中修建的采用电力牵引列车在一条轨道梁上 运行的中运量轨道交通系统，根据车辆与轨道之间的位置关系，单 轨交通乂分为跨坐式单轨交通和悬挂式单轨交通在国内重庆2号 线、3号线以及深圳华侨城的观光单轨都属于跨坐式单轨交通，而 德国乌帕塔、东京上野动物园运行的属于悬挂式单轨交通。

单轨 交通除了在轨道上与地铁以及其他普通铁路不同，单轨交通所使用 的车辆以及作为车辆核心部件的转向架结构差别也是非常大由于 转向架的差异，造成用于车辆的制动部件也具有了不同于常用制动 单元的独特之处，将重点对跨坐式单轨交通车辆中使用的基础制动 夹钳单元进行深入的研究和说明1单轨用基础制动单元1・1气 压转液压（气转液）夹钳单元的需求在常用的轨道交通的制动控制 （低地板车除外）系统中，基础制动中的夹钳单元主要运用的是压缩 空气推动活塞作用到制动盘上产生制动力，压缩空气的来源是通过 车载的空气压缩机提供，而目前处于运行安全考虑，车载的空气压 缩机能够提供的最大空气压力约为0.9〜IMPa跨坐式单轨车辆由 于轨道采用的单条钢筋混凝土梁轨道且无轮缘限位，所以设置了走 行轮、导向轮和稳定轮，由于单轨车辆转向架需要布置众多的橡胶 轮胎，再加上车辆的电机、齿轮箱、控制模块、悬挂装置以及管 路，造成转向架布置基础制动夹钳单元的空间非常有限，不能像普 通地铁车辆一样每个轴上布置2个基础制动夹钳单元，而单轨车辆 的基础制动单元只能缩减成一轴一个基础制动夹钳单元如此一 來，在有限的空压机提供的IMPa压缩空气压力下，目前常使用的 纯空气基础制动夹钳单元将无法满足单轨车辆制动性能的需求。

针 对上述转向架的改变，基础制动夹钳单元必须能够提供足够高的压 力才能满足车辆的制动需求，由于车载空压机压力。