淺析AFC系統防病毒體系

張晶鑫

(無錫地鐵集團有限公司運營分公司，江蘇 無錫 214000)

淺析AFC系統防病毒體系

張晶鑫

(無錫地鐵集團有限公司運營分公司，江蘇 無錫 214000)

近年來，自動售檢票(AFC)系統在軌道交通中備受重視。自動售檢票系統通過對客流和收益數據的收集為軌道交通企業各業務部門提供了輔助分析服務。本文介紹了無錫地鐵防病毒系統的設計思路以及安全管理系統體系結構設計，從技術、管理和服務三個方面結合無錫地鐵實際對其做了簡單說明。

無錫地鐵；自動售檢票系統；防病毒

0 引言

隨著我國軌道交通行業的不斷發展，大量采用了國際先進水平的機電設備。其中，自動售檢票(AFC)系統作為運營服務的核心子系統，確保了城市軌道交通運營服務的安全、快捷和有效。在運營的實踐中，AFC系統的計算機病毒防護工作一直是重中之重。如果AFC系統感染了計算機病毒，結果一定是災難性的，因此每個軌道交通企業都有自己的一套成熟的病毒防護體系。

實踐證明，完整有效的終端安全解決方案包括技術、管理和服務三方面內容。下面就無錫地鐵AFC系統中的防病毒體系予以詳細闡述。

1 技術層面：主動防御

由于傳統防病毒技術采取被動跟蹤的方式來進行病毒防護，這種被動的防護方式無法應對新的惡意軟件的發展。因此，必須從“主動防御”這一觀點出發，建立一個覆蓋全網的防病毒體系。相對于被動式病毒響應技術而言，主動式反應技術可在最新的惡意軟件沒有出現之前就形成防御墻，靜侯威脅的到來，從而避免威脅帶來的損失。“主動防御”主要體現在以下幾個方面：

1.1 基于應用程序的防火墻技術

防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協議進出。利用防火墻技術，一方面可以防止病毒利用漏洞滲透進入終端，另一方面，更為重要的是可以有效地阻斷病毒傳播路徑。

1.2 具備通用漏洞阻截技術的入侵防護

通用漏洞利用阻截技術的思想是：正如只有形狀正確的鑰匙才能打開與其相匹配的鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進行攻擊。如果對一把鎖的內部鎖齒進行研究，便可以立即了解到能夠打開這把鎖的鑰匙必需具備的特征。

1.3 應用程序控制技術

通過應用程序行為控制，在系統中實時監控各種程序行為，一旦出現與預定的惡意行為相同的行為就立即進行阻截。

圖1 防病毒系統設計

1.4 前瞻性威脅掃描

前瞻性威脅掃描是一種主動威脅防護技術，可防御利用已知漏洞的多種變種和前所未見的威脅。

1.5 終端系統加固

為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞，使整個網絡安全不至于因個別軟件系統的漏洞而受到危害，必須在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。

1.6 基于特征的病毒防護技術

最后，傳統的病毒防護技術僅僅作為主動防御的一個必要補充，防御已知的病毒，對于已經感染病毒的機器進行自動的清除和恢復操作。

2 管理層面：終端準入控制

2.1 終端準入控制的實現方法

2.1.1 手動隔離

手動隔離在管理實踐中是使用頻率最高的手段之一。通過創建一個隔離組，然后為該組分配特定的隔離策略。當通過人工方式判斷出一個終端處于高風險或者違規狀態時，將這個終端手動方式移動到隔離組中，即達到了隔離效果。

2.1.2 本地隔離

利用主機防火墻規則和智能切換的能力實現本地隔離。這種方式最易實現，不需要和網絡中其他強制服務器發生任何關系。

2.1.3 局域網準入與隔離

當用戶沒有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是安全檢查不合格時，局域網的網絡準入控制系統可以通知交換機將該用戶連接的交換機端口關閉，或者通知交換機將該用戶的端口VLAN切換到修復VLAN，強迫用戶完成安全修復后才將用戶切換回正常VLAN。

2.1.4 邊界準入與隔離

在用戶通過IPSec VPN或SSL VPN甚至是無線AP試圖連接到企業內網時，強制網關實時檢查這些用戶的安全性，只有安全性達標的用戶才能訪問強制網關后的局域網。

2.1.5 IP獲取準入

當非企業員工，或者是企業員工試圖連接到局域網并試圖自動獲取IP地址時，網絡準入控制系統會首先檢查這些用戶的安全狀態，檢查合格者分配一個正常地址范圍內的IP地址；不合格的用戶分配另外一個修復區域子網的IP地址。當修復操作全部完成之后，用戶的網絡訪問請求才被放行。

2.2 終端準入控制的流程

終端準入控制流程包括：檢查基準安全策略、隔離控制與自動修復。

檢查基準安全策略是根據進程、文件、注冊表等設置的檢查結果來判斷：

1)用戶身份是否合法；2)機器身份是否合法；3)主機防火墻是否安裝并運行；4)防病毒軟件是否安裝并運行，病毒特征庫是否及時更新；5)其他指定安全工具是否運行、及時更新；6)操作系統關鍵安全補丁是否安裝；7)操作系統安全配置是否妥當；8)桌面設置是否妥當；9)是否感染特定病毒實體；10)是否安裝重大違規軟件等。

隔離控制根據上述檢查結果，強制服務器和網絡設備以及客戶端聯動來決定：

1) 拒絕終端/用戶接入；2) 容許終端/用戶接入；3)隔離終端/用戶(主機ACL隔離， VLAN隔離，授予隔離IP地址)；4)限制終端/用戶訪問權限；5)應用程序、遠程主機、時間、協議類型、端口等使用權限；6)關鍵網段接入權限；7)交換機接入權限；8) 無線網絡接入權限；9) 動態IP地址獲取權限；10)互聯網訪問權限；11)遠程網絡(VPN)接入權限；12)域名解析權限；13)Web應用登錄權限。

自動修復是在隔離或限制接入的情況下，還可以通過自動修復來換回正常的網絡訪問權限。修復的內容包括：

1) 自動開啟IE，連接內部安全網站上相關的提示頁面；2)自動分發病毒專殺工具；3)自動升級病毒特征庫；4)自動分發操作系統關鍵補丁；5)自動糾正錯誤的系統配置；6)分發并運行特定腳本；7)終止指定進程；8)停止或啟用指定服務；9)遠程關機/重啟等。

3 服務層面

企業通過部署防病毒產品只是建立了對抗攻擊的基礎，還不能達到真正意義上的安全，只有結合和采用防病毒安全服務，才能使企業的整體安全達到一個新的高度。防病毒廠商提供的服務主要包括以下兩個方面：

3.1 病毒預警服務

病毒預警服務為AFC系統對于新病毒的提前預警、通知和防范的標準流程，該流程為管理員提供必要的信息和預警，減少和降低病毒事件的數量及影響。

3.2 突發病毒應急響應服務

當發現一種未知病毒導致網絡服務癱瘓，而現有的防病毒客戶端對此無能為力的時候，可以通過提交病毒樣本或要求直接上門服務的方式，請防病毒廠家協助解決這些問題，避免病毒在系統內大規模擴散。

4 結語

綜上所述，產品+管理+服務的組合才能從在根本上保證病毒防護的可靠性。對以上這些安全技術進行有效的管理，使其真正發揮作用。通過統一、集中、實時的集中管理，構建堅固的技術保障體系。為了把 “三分技術、七分管理”變成可操作控制程序，需要在實踐中不斷完善病毒防護管理手段，再輔以各種防病毒技術，才能把病毒防護的管理要求真正落實下去。

[1]王國光. 自動售檢票系統及關鍵技術研究[D].鐵道部科學研究院,2005.

[2]張彥,史天運,李仕達,李超. AFC技術及鐵路自動售檢票系統研究[J]. 中國鐵路,2009,03:50-55.

[3]于明,萬燕,蘇厚勤. 城市軌道交通自動售檢票系統檢票機應用軟件構架設計與分析[J]. 城市軌道交通研究,2007,04:37-40.

[4]周曉. 上海軌道交通AFC車站終端設備病毒防護[J]. 城市軌道交通研究,2013,07:51-54.

[5]胡鑫. AFC系統及相關網絡技術研究[D].天津大學,2013.

(編輯 文新梅)

Analysis of Anti-virus System in AFC System

ZHANG Jingxin

(Operation Company of Wuxi Metro Company Ltd., Wuxi 214000, China)

In recent years, AFC system has been highly valued in urban rail transit. AFC system provides auxiliary analysis service for each business department of urban railway transit corporation through the collection of passenger flow and revenue data. This paper introduces the design idea of anti- virus system of Wuxi Metro and the design of safety management system. From the technology, management and service, with the actual combination of Wuxi Metro, a brief description of it is made.

Wuxi Metro; AFC system; anti-virus

2016-12-10

張晶鑫(1989-)。學士，助理工程師。研究方向：城市軌道交通運輸。

U231+.92 ;U293.2+2

A

1672-0601(2017)03-0117-03