探讨地铁AFC 系统中的票务收益安全

摘要：AFC系统的票务收益作为地铁的主营业务收入，其系统数据的还准确性、票务工作的安全性，在地铁日常各项运营活动中占重要地位。本文主要从AFC系统设备、作业流程两个方面，来阐述票务收益的安全工作，提出了各环节可采取的一些措施。

关键词：AFC系统；票务收益安全；系统设备安全；作业流程

中图分类号：U231文献标识码： A

一、系统设备的安全

AFC系统是南京地铁中直接面对乘客，为乘客提供优质服务的系统之一，也是南京地铁最大的收益系统。该系统的安全、稳定及收益数据的准确性，直接关系到接受服务乘客的切身利益，关系到公司的收益安全及日常的经营状态。以下从几个方面来介绍AFC系统的设备安全：

1） 网络安全和病毒防护。AFC系统每个车站都设置成一个相对独立的网络。采用环网设计，保证了网络资源的稳定可靠、合法使用。通过在中央的网络交换机上进行设置，车站和车站之间不能直接通信或者网络访问，必须通过中央服务器才可以进行网络访问，减少了病毒大面积传播的可能性。SC服务器、SC工作站和半自动售票机、自动售票机均安装防病毒软件，可以在线实时升级，可很好地抵御软件病毒的入侵。

2） 防火墙的应用。在车站的终端设备上均安装防火墙软件，除允许的IP可以访问设备磁盘资源外，其余任何IP均不可以访问车站的终端设备，来加强网络访问控制，提升系统性能，从而实现以下安全目标：将AFC系统与其他网络进行有效隔离，避免与外部网络直接通信；对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝；全面监视对服务器的访问，及时发现和组织非法操作。

3） 数据加密。AFC系统内所有的敏感数据采用高安全加密方式，主要包括票卡、读写机具、SC、LCC和数据通信网络内的存储、访问、修改和传输。票卡、读写器和专用终端设备采用高安全加密方式进行传输。SC、LCC 和数据通信网络内的存储、访问、修改和传输通过TCP/IP协议，并采用地铁线网专用的通信协议进行报文组织传输，确保控制信息和关键数据在网络上的安全传输，防止机密信息被恶意窃听、修改、伪造或拦截。

4） 数据传输。AFC系统内的数据生成、保存和上传下载都有安全防护机制，保证数据的完整性和唯一性，保证设备数据不会因为误操作或者恶意破坏而被修改。

系统数据具有如下安全机制：

a.TAC码校验安全，交易数据的最后包含有4个字节的 TAC码，该TAC码是通过一定的算法，根据设备的SAM卡信息与交易数据共同计算出来的，因此该TAC码是唯一的，无法伪造。数据完整性安全交易数据、班次数据和寄存器数据三种数据上传到SC和LCC上，在SC和LCC上会对这三种设备进行一致性审查，已保证数据的准确、安全。b.CRC校验安全，交易文件、参数文件在网络中传输时，均具有CRC校验，该CRC校验码是通过指定算法，将整个文件的内容进行CRC计算校验，交易文件如若发生任何修改都会导致CRC码校验无法通过，可在很高程度上保证交易文件的完整性和防伪性。

5） 数据备份。在网络通信正常的情况下，车站级AFC设备产生的交易数据即时上传到SC服务器，再从SC服务器上传到线路中央计算机，避免了数据长期寄存在设备本地所带来的交易数据丢失的安全隐患。在网络通信中断的情况下，车站级AFC设备产生的交易数据会保留在设备本地，待网络通信恢复正常后，及时将未上传的交易数据补传到SC服务器。在网络通信长期不通的情况下，也可以使用存储介质，导出本地设备中的交易数据，再通过SC服务器上的数据导入功能，将站级设备的离线交易数据导入到SC服务器。

6） 加强系统数据管理。AFC车站终端设备在交易数据产生之后，一方面即时上传交易数据，另一方面定时上传寄存器数据、收益数据，通过2种渠道分别收集交易数据后，各自生成收益报表，再通过报表的数据核对，两表数据一致时视为正常，不一致时则查询相关数据，找出差异的原因，从而增强系统的数据准确性。

二、作业流程的安全管理

任何系统的运作都离不开人员的操作，因此在相对稳定、安全的设备基础上，提高操作人员的业务技能，规范操作人员的执行情况，将更进一步地确保系统设备的安全稳定，有效地保证了地铁的收益安全。

1） 人员权限。AFC系统的操作人员权限分为两大类：AFC设备维修人员权限和车站操作人员权限。车站操作人员又分为普通站务人员及客运值班员，两者分别对应不同级别的操作权限。以POST设备为例，普通站务人员登录POST设备后，可进行票卡分析、发售、更新、退款、行政事物处理等操作，但当票卡闪卡导致锁屏时，普通站务员没有解锁的权限，此时需要客运值班员进行确认解锁，解锁后设备才能投入正常使用，从而确保了设备操作的安全性。而AFC设备维修人员除了具有以上两操作员权限外，为了方面设备的维护维修，还具有退出设备应用软件的权限，也是为了预防非专业人员刻意退出设备应用软件，修改设备本地配置文件或损坏设备交易数据等违规行为的发生，确保设备数据安全。

2） 钥匙交接管理，多部门协作互相监督。对AFC设备的钥匙进行统一管理，规范钥匙借用等级流程，避免多头管理钥匙而产生的漏洞。目前AFC设备钥匙统一由车站人员管理，AFC维修人员需要对设备进行维修、维护作业时，需要向车站人员借用相关钥匙，并填写钥匙借用登记表，使用完毕后及时归还并再次双方确认已归还。对于涉及到设备关键部位的票务钥匙，要求多部门相互协作，相互监督管理。

3） 票款的交接登记。AFC维修人员在维修、维护过程中，从AFC设备中取出的任何纸币、硬币，都需要上交给客运值班员，并做好交接记录表的登记工作，双方确认签名。而从设备中取出的车票，经分析显示为有值车票时，需加封后上交车站，做好登记记录，以防止票务收益流失。

4） 建立规章制度，规范设备操作行为。确定不同部门的安全管理范围，各负其责，相互监督，不能超越自己的管辖范围。车务部门通过认真总结日常票务审核工作中频发的票务问题，制定详细的票务规章制度，要求操作人员严格遵守各项票务制度，按照规范进行日常设备操作。AFC维修部门需要制定完善的设备维护、维修制度及规程，对故障原因，维护内容和维护前后的情况均有详细的记录；建立健全的应急保障措施，确保在紧急情况下，AFC系统能尽快恢复，使损失降至最小；维修人员需严格遵守票务规章制度，形成自检、互检、他检的管理机制，加强票务工作管理。

三、结束语

本文主要从AFC系统设备本身的安全防护措施和系统操作人员的作业流程优化两个方面，来阐述票务收益的安全工作，并针对这些问题提出了各环节可采取的一些措施，期望以此提高票务工作管理水平，减少票务事故的发生，使地铁安全、高效地运营。