浅析AFC系统防病毒体系
2017-05-19张晶鑫
张晶鑫
(无锡地铁集团有限公司运营分公司,江苏 无锡 214000)
浅析AFC系统防病毒体系
张晶鑫
(无锡地铁集团有限公司运营分公司,江苏 无锡 214000)
近年来,自动售检票(AFC)系统在轨道交通中备受重视。自动售检票系统通过对客流和收益数据的收集为轨道交通企业各业务部门提供了辅助分析服务。本文介绍了无锡地铁防病毒系统的设计思路以及安全管理系统体系结构设计,从技术、管理和服务三个方面结合无锡地铁实际对其做了简单说明。
无锡地铁;自动售检票系统;防病毒
0 引言
随着我国轨道交通行业的不断发展,大量采用了国际先进水平的机电设备。其中,自动售检票(AFC)系统作为运营服务的核心子系统,确保了城市轨道交通运营服务的安全、快捷和有效。在运营的实践中,AFC系统的计算机病毒防护工作一直是重中之重。如果AFC系统感染了计算机病毒,结果一定是灾难性的,因此每个轨道交通企业都有自己的一套成熟的病毒防护体系。
实践证明,完整有效的终端安全解决方案包括技术、管理和服务三方面内容。下面就无锡地铁AFC系统中的防病毒体系予以详细阐述。
1 技术层面:主动防御
由于传统防病毒技术采取被动跟踪的方式来进行病毒防护,这种被动的防护方式无法应对新的恶意软件的发展。因此,必须从“主动防御”这一观点出发,建立一个覆盖全网的防病毒体系。相对于被动式病毒响应技术而言,主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙,静侯威胁的到来,从而避免威胁带来的损失。“主动防御”主要体现在以下几个方面:
1.1 基于应用程序的防火墙技术
防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。利用防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,更为重要的是可以有效地阻断病毒传播路径。
1.2 具备通用漏洞阻截技术的入侵防护
通用漏洞利用阻截技术的思想是:正如只有形状正确的钥匙才能打开与其相匹配的锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征。
1.3 应用程序控制技术
通过应用程序行为控制,在系统中实时监控各种程序行为,一旦出现与预定的恶意行为相同的行为就立即进行阻截。
图1 防病毒系统设计
1.4 前瞻性威胁扫描
前瞻性威胁扫描是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。
1.5 终端系统加固
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个网络安全不至于因个别软件系统的漏洞而受到危害,必须在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
1.6 基于特征的病毒防护技术
最后,传统的病毒防护技术仅仅作为主动防御的一个必要补充,防御已知的病毒,对于已经感染病毒的机器进行自动的清除和恢复操作。
2 管理层面:终端准入控制
2.1 终端准入控制的实现方法
2.1.1 手动隔离
手动隔离在管理实践中是使用频率最高的手段之一。通过创建一个隔离组,然后为该组分配特定的隔离策略。当通过人工方式判断出一个终端处于高风险或者违规状态时,将这个终端手动方式移动到隔离组中,即达到了隔离效果。
2.1.2 本地隔离
利用主机防火墙规则和智能切换的能力实现本地隔离。这种方式最易实现,不需要和网络中其他强制服务器发生任何关系。
2.1.3 局域网准入与隔离
当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检查不合格时,局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭,或者通知交换机将该用户的端口VLAN切换到修复VLAN,强迫用户完成安全修复后才将用户切换回正常VLAN。
2.1.4 边界准入与隔离
在用户通过IPSec VPN或SSL VPN甚至是无线AP试图连接到企业内网时,强制网关实时检查这些用户的安全性,只有安全性达标的用户才能访问强制网关后的局域网。
2.1.5 IP获取准入
当非企业员工,或者是企业员工试图连接到局域网并试图自动获取IP地址时,网络准入控制系统会首先检查这些用户的安全状态,检查合格者分配一个正常地址范围内的IP地址;不合格的用户分配另外一个修复区域子网的IP地址。当修复操作全部完成之后,用户的网络访问请求才被放行。
2.2 终端准入控制的流程
终端准入控制流程包括:检查基准安全策略、隔离控制与自动修复。
检查基准安全策略是根据进程、文件、注册表等设置的检查结果来判断:
1)用户身份是否合法;2)机器身份是否合法;3)主机防火墙是否安装并运行;4)防病毒软件是否安装并运行,病毒特征库是否及时更新;5)其他指定安全工具是否运行、及时更新;6)操作系统关键安全补丁是否安装;7)操作系统安全配置是否妥当;8)桌面设置是否妥当;9)是否感染特定病毒实体;10)是否安装重大违规软件等。
隔离控制根据上述检查结果,强制服务器和网络设备以及客户端联动来决定:
1) 拒绝终端/用户接入;2) 容许终端/用户接入;3)隔离终端/用户(主机ACL隔离, VLAN隔离,授予隔离IP地址);4)限制终端/用户访问权限;5)应用程序、远程主机、时间、协议类型、端口等使用权限;6)关键网段接入权限;7)交换机接入权限;8) 无线网络接入权限;9) 动态IP地址获取权限;10)互联网访问权限;11)远程网络(VPN)接入权限;12)域名解析权限;13)Web应用登录权限。
自动修复是在隔离或限制接入的情况下,还可以通过自动修复来换回正常的网络访问权限。修复的内容包括:
1) 自动开启IE,连接内部安全网站上相关的提示页面;2)自动分发病毒专杀工具;3)自动升级病毒特征库;4)自动分发操作系统关键补丁;5)自动纠正错误的系统配置;6)分发并运行特定脚本;7)终止指定进程;8)停止或启用指定服务;9)远程关机/重启等。
3 服务层面
企业通过部署防病毒产品只是建立了对抗攻击的基础,还不能达到真正意义上的安全,只有结合和采用防病毒安全服务,才能使企业的整体安全达到一个新的高度。防病毒厂商提供的服务主要包括以下两个方面:
3.1 病毒预警服务
病毒预警服务为AFC系统对于新病毒的提前预警、通知和防范的标准流程,该流程为管理员提供必要的信息和预警,减少和降低病毒事件的数量及影响。
3.2 突发病毒应急响应服务
当发现一种未知病毒导致网络服务瘫痪,而现有的防病毒客户端对此无能为力的时候,可以通过提交病毒样本或要求直接上门服务的方式,请防病毒厂家协助解决这些问题,避免病毒在系统内大规模扩散。
4 结语
综上所述,产品+管理+服务的组合才能从在根本上保证病毒防护的可靠性。对以上这些安全技术进行有效的管理,使其真正发挥作用。通过统一、集中、实时的集中管理,构建坚固的技术保障体系。为了把 “三分技术、七分管理”变成可操作控制程序,需要在实践中不断完善病毒防护管理手段,再辅以各种防病毒技术,才能把病毒防护的管理要求真正落实下去。
[1]王国光. 自动售检票系统及关键技术研究[D].铁道部科学研究院,2005.
[2]张彦,史天运,李仕达,李超. AFC技术及铁路自动售检票系统研究[J]. 中国铁路,2009,03:50-55.
[3]于明,万燕,苏厚勤. 城市轨道交通自动售检票系统检票机应用软件构架设计与分析[J]. 城市轨道交通研究,2007,04:37-40.
[4]周晓. 上海轨道交通AFC车站终端设备病毒防护[J]. 城市轨道交通研究,2013,07:51-54.
[5]胡鑫. AFC系统及相关网络技术研究[D].天津大学,2013.
(编辑 文新梅)
Analysis of Anti-virus System in AFC System
ZHANG Jingxin
(Operation Company of Wuxi Metro Company Ltd., Wuxi 214000, China)
In recent years, AFC system has been highly valued in urban rail transit. AFC system provides auxiliary analysis service for each business department of urban railway transit corporation through the collection of passenger flow and revenue data. This paper introduces the design idea of anti- virus system of Wuxi Metro and the design of safety management system. From the technology, management and service, with the actual combination of Wuxi Metro, a brief description of it is made.
Wuxi Metro; AFC system; anti-virus
2016-12-10
张晶鑫(1989-)。学士,助理工程师。研究方向:城市轨道交通运输。
U231+.92 ;U293.2+2
A
1672-0601(2017)03-0117-03