孫福杰

【摘 要】自動(dòng)售檢票系統(tǒng)（ Autom at ic Fare Collection，AFC）是集機(jī)械制造、電子技術(shù)、計(jì)算機(jī)通信管理、票務(wù)政策實(shí)施和微機(jī)實(shí)時(shí)控制等功能于一體的自動(dòng)控制系統(tǒng)和信息處理系統(tǒng)。本文主要就地鐵售檢票系統(tǒng)的安全管理問(wèn)題進(jìn)行了詳細(xì)闡述。

【關(guān)鍵詞】地鐵售檢票系統(tǒng)；安全管理；AFC；網(wǎng)絡(luò)；票務(wù)

一、地鐵售檢票系統(tǒng)概述

近幾年，隨著我國(guó)城市軌道交通事業(yè)的發(fā)展，廣州、上海等城市在地鐵中相繼引入了自動(dòng)售檢票（AFC）系統(tǒng)。該系統(tǒng)綜合了機(jī)械、電子、通信、計(jì)算機(jī)等學(xué)科，替代傳統(tǒng)的人工售檢票，實(shí)現(xiàn)了地鐵運(yùn)營(yíng)環(huán)境中售票、進(jìn)站檢票、出站檢票、票務(wù)數(shù)據(jù)統(tǒng)計(jì)和處理等環(huán)節(jié)的自動(dòng)化，杜絕了人為因素的影響，體現(xiàn)了地鐵票務(wù)管理的現(xiàn)代化水平，同時(shí)也極大地方便了乘客。下面就該系統(tǒng)作一簡(jiǎn)介。

AFC系統(tǒng)由付費(fèi)媒介、中央系統(tǒng)、車站系統(tǒng)、通信傳輸系統(tǒng)和電源系統(tǒng)組成。自動(dòng)售檢票系統(tǒng)框圖如下圖所示。

自動(dòng)售檢票系統(tǒng)框圖

二、地鐵售檢票系統(tǒng)的特點(diǎn)

1、AFC系統(tǒng)具有對(duì)閘機(jī)（AGM）、自動(dòng)售票機(jī)（TVM）、自動(dòng)驗(yàn)票機(jī)（TCM ）等就地級(jí)設(shè)備的狀態(tài)的監(jiān)測(cè)功能。對(duì)重要設(shè)備上鎖，并裝有防拆開關(guān)，一旦有人非法打開或者破壞箱體，就會(huì)產(chǎn)生本地報(bào)警。

2、對(duì)操作人員采取身份認(rèn)證管理。車站設(shè)備能夠自動(dòng)驗(yàn)證操作員權(quán)限的有效性，限制一個(gè)用戶同時(shí)登錄2臺(tái)或2臺(tái)以上不同設(shè)備，并為設(shè)備的操作建立日志。

3、AFC系統(tǒng)對(duì)其通信線、電源線進(jìn)行監(jiān)視，并能對(duì)線路短路、斷路進(jìn)行報(bào)警，對(duì)重要設(shè)備的導(dǎo)線加裝濾波器，以減少傳輸阻抗和導(dǎo)線間的交叉耦合。

4、AFC設(shè)備均配有漏電保護(hù)開關(guān)，有良好的接地措施，以保證設(shè)備金屬外殼不帶電。

5、AFC設(shè)備均具備相應(yīng)的安全保護(hù)系統(tǒng)，其內(nèi)各模塊都是固定的，以防止其隨意移動(dòng)，此外，所有接頭也具有固定措施。

6、AFC設(shè)備及通信線路均具備相應(yīng)的電源保護(hù)如防雷、防浪涌等措施，同時(shí)配有相應(yīng)的不間斷電源/電池。

三、地鐵售檢票系統(tǒng)的安全管理要點(diǎn)

（一）網(wǎng)絡(luò)及數(shù)據(jù)的安全管理

1、操作系統(tǒng)的訪問(wèn)控制

（1）登錄程序

①對(duì)操作系統(tǒng)進(jìn)行訪問(wèn)必須經(jīng)過(guò)一個(gè)安全的登錄程序，以盡量減少非授權(quán)訪問(wèn)的機(jī)會(huì)。

②登錄的過(guò)程應(yīng)該顯示最少的提示，以避免泄漏系統(tǒng)和服務(wù)信息。

③對(duì)于嘗試登錄連續(xù)失敗多次的帳號(hào)，操作系統(tǒng)應(yīng)該斷開用戶的連接并暫停其帳號(hào)。此帳號(hào)只能由操作系統(tǒng)管理員重新啟用。

④操作系統(tǒng)必須記錄所有的系統(tǒng)登錄信息， 包括成功和失敗的登錄。

⑤登錄失敗及下一次登錄之前應(yīng)有一定的時(shí)間間隔。

（2）用戶識(shí)別和認(rèn)證

①所有用戶都應(yīng)該被識(shí)別和認(rèn)證。

②在用戶認(rèn)證失敗信息中， 應(yīng)不顯示其具體的失敗原因。例如不能顯示“帳號(hào)不存在”或“密碼不正確”等。

③如果由于業(yè)務(wù)要求需要使用共享用戶帳號(hào)，那么此共享帳號(hào)應(yīng)該得到正式的批準(zhǔn)并明文歸檔。

④操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員必須使用不同的帳號(hào)。

⑤所有使用帳號(hào)密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號(hào)密碼傳送過(guò)程中，應(yīng)該采用加密保護(hù)措施以防止泄漏。

（3）密碼管理系統(tǒng)

①每個(gè)用戶必須被分配一個(gè)唯一的帳號(hào)。

②修改密碼時(shí)，操作系統(tǒng)必須提示用戶確認(rèn)新密碼，以防止輸入錯(cuò)誤。

③不能明文顯示輸入的密碼。

④密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲(chǔ)。

⑤密碼處理時(shí)必須使用單向加密。

⑥當(dāng)密碼接近失效期或者已經(jīng)過(guò)期時(shí)，操作系統(tǒng)應(yīng)當(dāng)提示或強(qiáng)制用戶修改密碼。

⑦所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。

2、應(yīng)用系統(tǒng)的訪問(wèn)控制

（1）信息訪問(wèn)限制

①應(yīng)用系統(tǒng)必須根據(jù)業(yè)務(wù)應(yīng)用需求來(lái)制定訪問(wèn)控制，并與公司的訪問(wèn)控制策略相一致。

②應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問(wèn)權(quán)限，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。

③必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端，同時(shí)應(yīng)對(duì)這些輸出功能進(jìn)行定期檢查，保證不存在輸出多余的信息。

（2）敏感系統(tǒng)的隔離

①應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x保護(hù)。

②敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。

3、系統(tǒng)文件的安全管理

（1）實(shí)際運(yùn)行系統(tǒng)的應(yīng)用軟件控制

①應(yīng)用軟件更新必須由獲得授權(quán)的管理員來(lái)執(zhí)行。

②嚴(yán)禁在實(shí)際運(yùn)行系統(tǒng)中保留應(yīng)用軟件的源代碼。

③必須建立程序庫(kù)統(tǒng)一保管和維護(hù)應(yīng)用程序的可執(zhí)行代碼。

④在測(cè)試成功、用戶驗(yàn)收完成， 或相關(guān)的程序庫(kù)被更新前， 嚴(yán)禁更新實(shí)際運(yùn)行系統(tǒng)中的可執(zhí)行代碼。

⑤必須對(duì)程序庫(kù)做好訪問(wèn)控制， 并對(duì)程序庫(kù)的更新進(jìn)行日志記錄。

（2）對(duì)程序源代碼庫(kù)的訪問(wèn)控制

①應(yīng)該建立程序源代碼庫(kù)， 并由指定人員進(jìn)行統(tǒng)一管理。

②正在開發(fā)或修改的程序不應(yīng)該保存在程序源代碼庫(kù)中。

③更新程序源代碼庫(kù)和向程序員提供程序源代碼， 應(yīng)通過(guò)指定的程序源代碼庫(kù)管理員來(lái)執(zhí)行， 并且獲得管理層的授權(quán)。

④程序源代碼必須保存在安全的環(huán)境中。

⑤程序源代碼的訪問(wèn)必須做好相關(guān)記錄。

⑥程序源代碼必須做好版本控制管理， 每一個(gè)版本都必須有相應(yīng)的備份。

（二）密鑰安全策略

密鑰系統(tǒng)（KMS）安裝在ICCS上，由ICCS統(tǒng)一維護(hù)和管理；系統(tǒng)內(nèi)的密鑰認(rèn)證由系統(tǒng)內(nèi)各個(gè)發(fā)生交易的設(shè)備執(zhí)行。

1、SAM卡的發(fā)行

AFC系統(tǒng)專用SAM 卡均由ICCS統(tǒng)一發(fā)行。

2、SAM卡的注冊(cè)

LCC、SC從ICCS領(lǐng)用SAM卡，領(lǐng)用時(shí)在ICCS對(duì)SAM 卡號(hào)進(jìn)行登記注冊(cè)。系統(tǒng)安裝人員和系統(tǒng)維修人員從SC領(lǐng)用SAM 卡，并將之插入到站級(jí)設(shè)備的SAM卡槽中。

3、SAM卡的認(rèn)證

車站級(jí)設(shè)備開機(jī)時(shí)，將報(bào)告設(shè)備的SAM卡號(hào)，然后由SC應(yīng)用程序?qū)ζ溥M(jìn)行認(rèn)證，如出錯(cuò)，監(jiān)控程序?qū)⒔o予報(bào)警，由操作人員進(jìn)行確認(rèn)。車站級(jí)設(shè)備在開機(jī)或SAM卡斷電時(shí)，需要重新與SC的認(rèn)證系統(tǒng)在線進(jìn)行SAM卡認(rèn)證，成功后才能進(jìn)入正常工作模式。

（三）票務(wù)收益安全策略

1、票卡收益的安全性考慮

所有在AFC系統(tǒng)內(nèi)使用車票的詳細(xì)交易記錄都保存在ICCS中，在各線路AFC系統(tǒng)內(nèi)使用車票的詳細(xì)交易記錄都保存在LCC中，ICCS通過(guò)對(duì)車票在系統(tǒng)中的使用情況進(jìn)行跟蹤，可以防止車票被濫用、復(fù)制及偽造等，減少由于欺詐行為而引起的財(cái)務(wù)損失。

（1）防止偽造票卡

票卡與售檢票終端之間通過(guò)密鑰信息交換可以實(shí)現(xiàn)相互驗(yàn)證，不合格的票卡將被拒絕使用。個(gè)性化處理和票卡認(rèn)證必須有進(jìn)入第一級(jí)別的密鑰（最高級(jí)別） ，信息存入票卡內(nèi)的服務(wù)合同分區(qū)，則需要有進(jìn)入第二級(jí)別的密鑰。

（2）防止票卡的非法充值

采取積極措施，以防止密鑰泄漏，采用SAM 以預(yù)防非法操作的發(fā)生。如果配有SAM 的設(shè)備持續(xù)1天未與ICCS進(jìn)行數(shù)據(jù)交換，那么該設(shè)備將被隔離； 如果某一售票設(shè)備1天內(nèi)的交易量超出了限值，并且未與ICCS進(jìn)行數(shù)據(jù)交換，那么該設(shè)備將被隔離。必須使用密鑰才能為票卡充值，DES對(duì)稱算法的密鑰至少128 B，RAS非對(duì)稱算法的密鑰至少1024B。一個(gè)完整的密鑰必須由2個(gè)工作人員完成，其中，每人完成密鑰的1/2。

（3）防止票卡的違規(guī)使用

當(dāng)半免老人票、學(xué)生票等部分優(yōu)惠票種使用時(shí)，票亭會(huì)發(fā)出聲光報(bào)警，提醒站務(wù)人員進(jìn)行監(jiān)督；對(duì)于全免老人票等優(yōu)惠票種，需在票亭激活后才能使用。對(duì)票卡實(shí)施黑名單制度。將乘客掛失的票卡，被冒用的學(xué)生票、老人票、員工票或其他優(yōu)惠票種列入黑名單，禁止其繼續(xù)使用。

2、現(xiàn)金收益的安全性考慮

操作員在TVM 更換錢箱、補(bǔ)充車票時(shí)，必須嚴(yán)格按照程序進(jìn)行，TVM、SC和LCC將分別生成相應(yīng)的審核報(bào)告。

在TVM 和閘機(jī)所使用的錢箱和票箱都應(yīng)安裝唯一的電子標(biāo)識(shí)。錢箱還應(yīng)配備電子儲(chǔ)存模塊來(lái)記錄錢箱的使用記錄，如累計(jì)進(jìn)入該錢箱的現(xiàn)金金額、最后一次裝入設(shè)備和從設(shè)備取出的時(shí)間、最后一次取出時(shí)的該錢箱內(nèi)的現(xiàn)金金額、最后一次取出時(shí)的操作人員號(hào)碼等內(nèi)容。以上記錄可以通過(guò)專用的工具讀取。

設(shè)備內(nèi)部結(jié)構(gòu)緊密、合理，操作人員不能直接接觸到TVM 錢箱內(nèi)的現(xiàn)金和車票。在車站AFC票務(wù)管理室配備視頻監(jiān)視系統(tǒng)、密碼開門的門禁系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)備。所有的交易信息都必須及時(shí)上傳到ICCS。

參考文獻(xiàn)：

[1]彭志林，洪瀾.廣州地鐵1、2號(hào)線自動(dòng)售檢票系統(tǒng)的維修組織[J].都市快軌交通，2004.17.

[2]方錦煌.提高地鐵自動(dòng)售檢票系統(tǒng)設(shè)備的技術(shù)性能[J].城市軌道交通研究，2007.9.

[3]陳曉東，李宇軒.廣州地鐵自動(dòng)售檢票系統(tǒng)的管理經(jīng)驗(yàn)[J].地鐵與輕軌，2003.4.