上海軌道交通AFC車站終端設(shè)備病毒防護

周 曉

（上海申通地鐵集團有限公司運營管理中心，200070，上海∥工程師）

隨著上海軌道交通網(wǎng)絡(luò)化運營的發(fā)展，軌道交通客運量不斷增長，自動售檢票（AFC）系統(tǒng)的數(shù)據(jù)量不斷擴大，系統(tǒng)的安全越顯重要。如何保證業(yè)務(wù)系統(tǒng)工作安全、正常、可靠，是信息系統(tǒng)的一個重要任務(wù)。

在所有計算機安全問題中，計算機病毒是最為嚴重的。這個問題同樣存在于AFC系統(tǒng)之中。經(jīng)粗略統(tǒng)計，在上海軌道交通已運營的11條線路的AFC車站終端設(shè)備中，或多或少有電腦病毒存在，且多次發(fā)作，影響運營。因此，必須結(jié)合目前AFC系統(tǒng)運營的實際情況加以分析，并建立一套完善的、多級的AFC車站終端設(shè)備病毒防護解決方案。

1 現(xiàn)狀分析

運營方面：目前，上海軌道交通AFC車站終端設(shè)備由閘機、半自動售票機、自動售票機和自動充值機等組成，這些設(shè)備將收集到的信息匯總至車站計算機后，統(tǒng)一發(fā)送到中央服務(wù)器。在這一過程中，數(shù)據(jù)收集的有效性、正確性和數(shù)據(jù)傳輸?shù)耐暾允顷P(guān)鍵。如果病毒發(fā)作，不僅造成數(shù)據(jù)收集不及時或不準確，還會造成設(shè)備無法繼續(xù)運行、甚至運營參數(shù)被惡意篡改影響乘客的正常扣款。

硬件方面：終端設(shè)備的硬件配置相對較低，硬盤和內(nèi)存容量較小、CPU（中央處理器）處理能力低，正常的運行程序已占用絕大部分系統(tǒng)資源，可給予第三方病毒防護軟件運行使用的資源不多。

網(wǎng)絡(luò)方面：雖然各AFC線路的網(wǎng)絡(luò)拓撲已逐漸改造為三層網(wǎng)絡(luò)架構(gòu)，但二層網(wǎng)絡(luò)架構(gòu)依然存在。二層網(wǎng)絡(luò)架構(gòu)通過廣播進行通信傳輸，病毒的傳播性隨之由點蓋面。三層網(wǎng)絡(luò)雖然能將廣播域縮小，但無法控制同一廣播域內(nèi)的病毒傳播，且由于在改造前部分設(shè)備已經(jīng)感染了病毒，因此在三層網(wǎng)絡(luò)架構(gòu)的車站中病毒依然猖獗。

操作系統(tǒng)方面：目前車站終端設(shè)備主要使用DOS、Linux、Windows XPE 和 Windows NT 等4種操作系統(tǒng)。針對DOS系統(tǒng)和Linux系統(tǒng)的病毒目前較少，但一旦中毒，清除這2類操作系統(tǒng)病毒的工作量卻最大。后2類操作系統(tǒng)由于都是精簡版的，很多組件和服務(wù)無法開啟，導致很多清除病毒工具及內(nèi)網(wǎng)防護工具無法運行。因此，操作系統(tǒng)的限制，對整個AFC車站終端設(shè)備的病毒防護是最具挑戰(zhàn)的。

應(yīng)用方面：各類車站終端設(shè)備除了相應(yīng)的作業(yè)應(yīng)用外，有的還需開啟數(shù)據(jù)庫應(yīng)用和報文傳輸應(yīng)用，這些應(yīng)用對網(wǎng)絡(luò)帶寬和內(nèi)存、CPU的使用率都有一定的要求。因此，病毒防護工具對應(yīng)用的影響必須很小，且可接受。

維護方面：大多為現(xiàn)場維護工作，如需進入系統(tǒng)更新文件，一般都通過U盤進行拷貝，且不能受控。AFC網(wǎng)絡(luò)是一個相對封閉的系統(tǒng)，無外網(wǎng)連接，產(chǎn)生病毒最大的可能性就是通過U盤感染設(shè)備并傳播到其他設(shè)備。

綜上所述，目前車站終端設(shè)備完全沒有安全防護的機制，而且在硬件、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用和后期維護中，限制了安全防護工具的使用，滋長了病毒的傳播。

2 測試歷程

AFC車站終端設(shè)備的病毒防護這一概念于2008年就已提出并開始了相關(guān)的測試工作，歷經(jīng)5年，直到2012年初才有了適用的產(chǎn)品。其主要的測試歷程如下：

2008年，經(jīng)過近10年的AFC系統(tǒng)運營后，技術(shù)人員注意到AFC系統(tǒng)內(nèi)的病毒問題，并自發(fā)進行研究。嘗試了傳統(tǒng)的病毒防護軟件客戶端及入侵檢測系統(tǒng)等傳統(tǒng)防護手段，實現(xiàn)了對車站計算機系統(tǒng)以上部分進行初級病毒防護，但對車站計算機系統(tǒng)以下的部分無從下手。自發(fā)研究遇到了瓶頸，并于2009年年底暫停研究。

2010年，國家信息系統(tǒng)安全等級保護評定中心對清分系統(tǒng)（ACC）進行安全評測，ACC被定為二級信息系統(tǒng)。由于ACC直接接收車站終端設(shè)備的交易數(shù)據(jù)，本次測評中對車站終端設(shè)備的安全防護提出了具體要求。雖與多家國內(nèi)外知名廠商進行了合作與嘗試，但因終端設(shè)備的操作系統(tǒng)太過“精簡”，廠商的應(yīng)用程序均無法順利安裝和運行而再次失敗。

2011年末，開始對國外（A公司）和國產(chǎn)（JM公司）各一款新型安全防護軟件產(chǎn)品進行相關(guān)的測試研究，并最終于2012年取得成功。

3 A公司的解決方案

A公司的產(chǎn)品全稱為Hard Disk Firewall（簡為HDF），是用于保護電腦系統(tǒng)文檔（System File）的完整性和加強信息安全的技術(shù)解決方案。它的思路是：通過一個系統(tǒng)文檔的保護鎖，阻止包括病毒、惡意軟件、黑客和內(nèi)賊等入侵，使其不能破壞和感染計算機，保證文檔、系統(tǒng)、應(yīng)用和運作的完整性。

3.1 HDF與傳統(tǒng)防護軟件的區(qū)別

HDF的工作機制是：識別程序中惡意行為的特征來攔截病毒程序進入磁盤，阻止其進行自身復制和傳播。HDF在程序執(zhí)行過程中對系統(tǒng)讀、寫、刪、改等操作行為進行識別，并判別是否是惡意程序，通過阻止惡意操作來達到保護系統(tǒng)的目的。

傳統(tǒng)的基于病毒庫的殺毒軟件是在病毒進入磁盤之后，利用病毒特征碼對其進行分析。根據(jù)病毒特征庫對病毒的定義對目標文件進行掃描分析，以確定目標文件是否為病毒或包含病毒。這種做法需要對病毒特征庫頻繁更新，并依據(jù)病毒特征庫對系統(tǒng)進行掃描查毒。該機制會給系統(tǒng)帶來大量資源開銷，病毒特征庫需占用較大的硬盤存儲空間，掃描時占用大量的CPU處理能力、內(nèi)存空間和磁盤IO開銷，降低系統(tǒng)性能，影響業(yè)務(wù)系統(tǒng)的使用。此外，如果病毒特征庫不足夠新的話，將不能正確識別新病毒，無法做到對系統(tǒng)的全面保護。

此外，對于利用系統(tǒng)零日漏洞對電腦發(fā)起的攻擊行為，基于病毒特征庫的殺毒軟件是無能為力的，因為殺毒軟件無法識別這種攻擊行為。在這種情況下，通過識別攻擊行為特征的防護方式，能提供非常重要的最終基線來防范入侵之病毒和惡意軟件。

3.2 HDF的特點

（1）HDF充分融入 Microsoft Windows（支持Windows 2000、Windows XP、嵌入式 Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista、Windows 7）及Linux操作系統(tǒng)，并與所有病毒防護軟件、防火墻產(chǎn)品兼容。

（2）對于微軟已不再提供更新服務(wù)的操作系統(tǒng)，使用HDF可以保護文件系統(tǒng)的完整性，保護系統(tǒng)不被新型病毒攻擊其已知漏洞。

（3）HDF能有效防止通過U盤進行的病毒傳播。

（4）HDF核心組件只有80K大小，運行時占用內(nèi)存不超過5M，CPU使用率不超過1%。

（5）HDF隱置于內(nèi)核的機制保證其自身的安全性，通過設(shè)置可信賴的進程對特定文件進行操作，重點是文件系統(tǒng)的安全性。HDF也同時保護白名單（信任程序列表）不會被篡改。

（6）積極的安全解決方案。在不影響系統(tǒng)性能的情況下有效地打擊系統(tǒng)漏洞攻擊行為，避免系統(tǒng)受蠕蟲、間諜軟件、木馬、傀儡網(wǎng)絡(luò)等感染。

（7）增強企業(yè)計算機軟件的管理，不能隨便安裝應(yīng)用程序于公司計算機系統(tǒng)里，只有經(jīng)過授權(quán)的用戶和系統(tǒng)管理員才可安裝軟件，同時有助于降低用戶支持和幫助的成本。

（8）可自動保證操作和文檔系統(tǒng)的完整性，維持和加強計算機有效性狀態(tài)。

（9）相比傳統(tǒng)的防病毒解決方案，其總擁有成本（TCO）要低得多。

（10）HDF提供詳細的審核日志和幫助監(jiān)察文檔系統(tǒng)的完整性。

3.3 測試案例

本次測試使用車站及現(xiàn)實環(huán)境中流行的蠕蟲、木馬程序?qū)y試設(shè)備進行模擬攻擊，通過調(diào)整HDF軟件不同工作模式，來反映HDF軟件對系統(tǒng)的保護以及安全審計作用。

測試用病毒樣本：Win32.SillyFDC，WORM＿SPYBOT。

測試結(jié)果：

（1）HDF軟件開啟保護模式——兩種病毒均無法感染系統(tǒng)，無法把病毒宿主文件復制到目標設(shè)備中，且軟件對病毒的攻擊行為在審計日志中進行了記錄。

（2）HDF軟件處于非保護模式——兩種病毒能感染系統(tǒng)，宿主文件能復制到目標設(shè)備中，軟件能發(fā)現(xiàn)病毒的攻擊行為并在審計日志中進行記錄。

經(jīng)測試，A公司的解決方案能實現(xiàn)車站終端設(shè)備的病毒防護，在開啟保護模式下能拒絕病毒的入侵；在已經(jīng)帶毒的環(huán)境下，可通過臨時關(guān)閉保護模式執(zhí)行帶毒程序，同時對其行為特征進行審計，以做出相應(yīng)的限制策略以及安全的恢復。

4 JM公司專網(wǎng)防護方案

JM公司專網(wǎng)防護軟件針對專用設(shè)備的安全需求，采用一種全新的安全解決思路，從根本上解決專用設(shè)備的病毒防范問題。

專網(wǎng)防護與傳統(tǒng)的防火墻、防病毒、入侵檢測系統(tǒng)等基于網(wǎng)絡(luò)防護的安全產(chǎn)品不同，其通過控制中心將用戶使用、安裝過的程序或軟件加入到白名單，并下發(fā)到網(wǎng)絡(luò)內(nèi)運行的設(shè)備主機中，在設(shè)備主機正常工作模式下通過白名單對運行程序或軟件進行安全審核，從而從根本上保障Windows系統(tǒng)的安全。即使非法入侵者擁有Windows系統(tǒng)管理員最高權(quán)限并進入了操作系統(tǒng)，也不能對經(jīng)過專網(wǎng)防護技術(shù)保護的系統(tǒng)運行或安裝木馬、后門等惡意軟件或程序。專網(wǎng)防護保證了核心或重要數(shù)據(jù)的安全性不被破壞和遭受任何有害操作，可提升系統(tǒng)的安全等級，構(gòu)造一個安全的操作系統(tǒng)平臺。

4.1 專網(wǎng)安全防護軟件與殺毒軟件的區(qū)別

傳統(tǒng)殺毒軟件對病毒的預防措施類似于對公共場所采取的安全措施。公共場所允許各類人員自由進入，但會通過一些手段對人員進行相應(yīng)的檢查，并設(shè)立監(jiān)控設(shè)備對人員進行監(jiān)控，發(fā)現(xiàn)可疑情況后進行處理。殺毒軟件通過一些靜態(tài)監(jiān)控及行為監(jiān)控手段實時監(jiān)控計算機中各種程序的運行情況，并在發(fā)現(xiàn)確認病毒或可疑行為時采取相應(yīng)的措施。專網(wǎng)防護軟件則采用另外一種安全措施。即這些場所只允許需要的人員進入，而其他人員，無論是否有危險、還是非常好的人，只要沒有需要，都不允許進入。這是一種更為可靠的安全措施。

4.2 專網(wǎng)安全防護軟件的特點

（1）安全性高：只允許用戶需要的軟件運行，其他病毒、惡意程序，以及與業(yè)務(wù)無關(guān)的軟件都無法運行，提供極高的安全性。

（2）資源占用更加小且穩(wěn)定：在程序啟動過程時進行信任檢查，且信任檢查進行預處理，資源占用更加小；在運行過程中資源需求固定，不會有突發(fā)性大量的資源占用而影響業(yè)務(wù)程序的運行。

（3）兼容性高：在入口處對程序進行信任檢查，并在運行時嚴格測試，后續(xù)使用一般不需要程序更新，提供了良好的兼容性。

（4）維護容易：通過服務(wù)器端可方便全面地管理信任程序，并提供學習機制，客戶端實現(xiàn)無界面操作。

（5）無需升級客戶端：客戶端軟件擺脫傳統(tǒng)殺毒軟件病毒庫日常更新概念，不需要每天進行升級，只有在特殊情況下的軟件程序更新，不會影響客戶端業(yè)務(wù)程序的運行。

（6）完備的遠程控制：通過控制中心可以實現(xiàn)遠程部署、設(shè)置、升級等操作，能減輕管理員的工作負擔，提高工作效率。

（7）分級、分組管理：專網(wǎng)安全防護系統(tǒng)采用分級、分組管理模式，通過部署控制中心、子控制中心的模式實現(xiàn)對客戶端多地點、多網(wǎng)段的統(tǒng)一管理，減少了繁復的重復工作，可提高管理效率，有效降低企業(yè)開銷；同時能實現(xiàn)分布式部署，分擔主節(jié)點的工作壓力，避免單點故障。

（8）完善的客戶端脫機運行機制：當客戶端處于脫離網(wǎng)絡(luò)的情況時，客戶端程序會根據(jù)已有的安全程序白名單來執(zhí)行安全策略，不會因為脫機狀態(tài)而中斷安全檢查，更不會為此而影響業(yè)務(wù)系統(tǒng)的使用。

4.3 專網(wǎng)安全防護軟件的體系結(jié)構(gòu)

4.3.1 控制中心端

控制中心是專網(wǎng)防護系統(tǒng)管理與控制的核心部分，在部署專網(wǎng)防護系統(tǒng)時必須首先安裝。控制中心除對網(wǎng)絡(luò)中的計算機進行日常的管理與控制外，還實時記錄專網(wǎng)防護體系內(nèi)每臺計算機上的信息。專網(wǎng)防護中采用了全新的控制中心管理頁面，通過登錄該頁面，可對全網(wǎng)內(nèi)的客戶端進行統(tǒng)一管理。

4.3.2 客戶端

專網(wǎng)防護的客戶端分為服務(wù)器客戶端和普通客戶端兩種類型。服務(wù)器客戶端是針對安裝了服務(wù)器版操作系統(tǒng)的計算機而設(shè)計的，普通客戶端則是針對安裝了普通版本操作系統(tǒng)的計算機而設(shè)計的。在安裝專網(wǎng)防護客戶端時，安裝程序會進行智能判斷，自動安裝合適的客戶端，無需用戶干預安裝過程。客戶端的主要功能是禁止任何除操作系統(tǒng)必備文件及信認程序列表（白名單）中的軟件或程序在部署專網(wǎng)防護客戶端的計算機上運行。

專網(wǎng)防護客戶端以無界面的后臺方式運行，專網(wǎng)防護設(shè)置不允許客戶端計算機修改，必須通過控制中心統(tǒng)一管理，以最大程度保證客戶端電腦的安全。客戶端在安裝后，用戶可以通過客戶端控制的只有升級操作。

客戶端隸屬于控制中心，其可自動查找網(wǎng)內(nèi)的控制中心。一般情況下，客戶端若采用WEB頁面的安裝方式，安裝完畢后即可自動連接到上級控制中心。

4.4 測試案例

本次測試使用車站及現(xiàn)實環(huán)境中流行的蠕蟲、木馬程序，使用帶毒U盤對終端設(shè)備進行操作，來模擬對測試設(shè)備的攻擊。通過對專網(wǎng)防護軟件的審計日志進行分析來反映專網(wǎng)安全防護軟件對設(shè)備的保護能力。

首先，在完成專網(wǎng)安全防護系統(tǒng)部署的測試設(shè)備中開啟學習模式自動學習信任程序，并將這些程序提交到控制中心進行安全過濾。其次，在閘機上刷卡進出，同時查看軟件運行時的負載情況，查看是否影響原業(yè)務(wù)。最后，在閘機上運行病毒案例，查看專網(wǎng)防護軟件的防御情況，在控制中心查看防御記錄。

測試結(jié)果：

（1）該軟件可以在AFC終端設(shè)備的XPE操作系統(tǒng)上部署。

（2）完成軟件部署的設(shè)備工作正常，各項業(yè)務(wù)操作不受影響。

（3）進行病毒模擬攻擊時，該軟件能阻止病毒入侵，審計日志能反映攻擊行為。

經(jīng)測試，JM專網(wǎng)安全防護產(chǎn)品能實現(xiàn)上海軌道交通AFC車站終端設(shè)備的病毒防護，但其Server管理端功能較為簡單，需根據(jù)上海軌道交通的實際需求進行定制，如報表和統(tǒng)計等功能。另外，dII文件中毒后的防護工作需要加強，AFC系統(tǒng)運行參數(shù)文件的網(wǎng)絡(luò)下發(fā)環(huán)節(jié)需要完善。

5 測試工作總結(jié)及下階段工作

經(jīng)過一系列的測試，在平臺適用性方面，A公司的產(chǎn)品解決方案和JM公司的專網(wǎng)安全防護產(chǎn)品在上海軌道交通大部分閘機使用的XPE系統(tǒng)上可以完整部署，但均不支持Dos及Windows NT操作系統(tǒng)的閘機，好在Dos及Windows NT操作系統(tǒng)的車站終端設(shè)備數(shù)量較少，且都屬于停產(chǎn)設(shè)備，即將通過設(shè)備大修等方式進行改造。從安全性和穩(wěn)定性方面來講，在已部署客戶端兩種產(chǎn)品的閘機上運行病毒程序并嘗試部分網(wǎng)絡(luò)攻擊行為，兩種產(chǎn)品都進行了阻止，并報告于控制中心，在審計日志中予以反映。整個測試過程中，AFC終端設(shè)備日常的業(yè)務(wù)流程、功能均可正常運行，用戶的業(yè)務(wù)系統(tǒng)未受任何影響。

下一階段，將根據(jù)上海軌道交通運營管理的實際需求，完善該類產(chǎn)品的服務(wù)器端功能需求，完善維護管理方面的功能，定制相關(guān)的統(tǒng)計分析報表。同時，針對AFC系統(tǒng)的特點，對參數(shù)類文件下發(fā)等業(yè)務(wù)流程在系統(tǒng)中的使用及監(jiān)管進行研究。之后將對已運營車站進行測試，進一步測試產(chǎn)品的適用性、穩(wěn)定性和可靠性。

［1］賴榮旭，鐘瑋.計算機病毒與防范技術(shù)［M］.北京：清華大學出版社，2011.

［2］王倍昌.計算機病毒揭秘與對抗［M］.北京：電子工業(yè)出版社，2011.

［3］馬宣興.網(wǎng)絡(luò)安全與病毒防范實驗指導手冊［M］.上海：上海交通大學出版社，2011.