AFC软件升级流程风险分析与应对

来源:用户上传      作者:

　　摘 要：广州地铁自动售检票系统（AFC）的票务收益作为地铁的主营业务收入，其系统软件的安全性、数据的准确性、票务工作的安全性，在地铁日常各项运营活动中占重要地位。本文就广州地铁AFC系统软件的安全性方面阐述了AFC系统的概念，分析了AFC系统软件下载升级风险的主要表现，并针对如何降低该风险提出对策。
　　关键词：自动售检票系统；升级风险；对策
　　中图分类号：TP315 文献标识码：A
　　0.引言
　　（1）课题来源及研究意义
　　随着城市化的进程逐步加快，轨道交通的自动化程度越来越高，以计算机控制为核心的轨道交通的运营正朝着开放化、软件化、网络化、智能化等方向发展。自动售检票系统是基于计算机、通信、网络和自动控制等技术，实现轨道交通售票、检票、计费、收费、统计、清分和管理等全过程的系统。其中，对自动售检票系统进行软件升级是不断满足运营建设的必然要求，直接关系到运营的生产经营。然而，就目前售检票系统运作来看，系统下载升级带来诸多风险问题，在现有的规章流程下也存在一定的潜在风险。这就对票务收集造成一定的安全隐患，威胁票务系统的安全。
　　（2）本文的主要研究内容和研究过程
　　本文立足于广州地铁AFC系统，就该系统软件升级下载流程中潜在风险进行研究，研究分为3个阶段，第一，学习AFC专业软件升级工作流程与规章制度；第二，跟岗学习部门级、分部级软件测试与下载工作，分析操作模式中存在的风险点；第三，总结形成本课题完成研究的内容。
　　1.本课题相关技术介绍
　　1.1 自动售检票系统的组成
　　自动售检票系统的组成可划分为车票、车站终端设备、车站计算机系统、线路中央计算机系统、清分系统5个层次。层次结构是按照全封闭的运行方式，以计程收费模式为基础，采用非接触式IC卡为车票介质的组成原则，根据各层次设备和子系统各自的功能、管理职能和所处的位置进行划分的。目前确定的5层结构，是根据我国国情和城市发展现状，综合考虑了轨道交通建设的特点而设置的，具有一定的可伸缩性。
　　1.2 自动售检票系统软件架构
　　由上述自动售票系统划分的5个层次得出了该系统下的软件结构也相对应的不同的软件价结构，每层的软件负责的功能也有多不同，软件结构也有所不同，基于本研究的主要设备，本小节将以站级设备（Station Level Equipment，简称SLE）作为主要介绍。
　　1.2.1 站级设备的硬件环境
　　在站级设备的软件架构设计上，要求设备能够正确处理相应的指令发挥其作用与功能。整个系统以工业控制计算机为中心，通过RS232、RS485或USB串口协议连接IC卡读写器、单程票处理模块、扇门控制模块；通过LVDS或VGA连接乘客信息显示器；通过I/O（输入/输出）总线控制方向指示灯、特殊票指示灯、蜂鸣器、喇叭等辅助设备；紧急状态控制部件也是通过I/O与工控机进行通信，一方面等待工控机的紧急信号，另一方面监视车站的紧急按钮，一旦发现其中一个发出紧急信号，它将控制扇门机构执行紧急状态，主控程序将运行紧急模式下的运营模式。
　　1.2.2 站级设备的软件架构
　　站级设备的操作系统选用嵌入式系统，如广州地铁一二号线的Windows CE、Linnx系统，三号线的Windows Embedded、Windows XP系统等，目的是尽可能地减少占用计算资源；与车站计算机系统的通信系统协议为TCP/IP，版本为IPV4，通过环形或星型组成的局域网。在其设备内部则是通过RS232、RS485串口协议进行通信，设备控制层发布给设备部件的命令能被设备部件接收、识别和执行。通过协议，设备控制层可以通过命令控制设备部件的硬件动作，并为应用逻辑处理层提供接口。每种设备部件所提供的功能是不同的，这就决定了接口也应随设备部件而异。
　　1.3 AFC系统站级设备软件升级下载方式
　　软件的升级是指软件开发者在编写软件的时候，由于设计人员考虑不全面或完善程序功能，在软件发行后，通过对程序的修改或加入新的功能，以升级的方式使软件功能得以完善。AFC系统的软件的升级更新主要以配置文件、参数、主程序、版本程序为主，按不同的接口，下载方式也不一样。
　　1.3.1 SC与SLE接口概述
　　BOM、AGM、TVM、TCM设备通过RJ45接口接入车站区域交换机，通过车站局域网与SC通信。
　　PCA设备在需要时通过USB接口或RJ45直接连接SC，与SC通信。
　　SLE与SC的数据传输协议以TCP/IP协议为基础。
　　1.3.2 SLE升级下载方式
　　通过上面描述，需要对SLE设备进行升级或下载，可以通过参数更新和主程序更新来进行。更新的方式分为自动更新和主动更新。自动更新，也就是把需要更新的内容整合成参数的文件形式通过SC或LCC自动下发到站级设备，站级设备接收到需要的更新的命令，并执行更新程序。主动更新，通过人工方式对单台设备进行手动下载需要更新的文件。相对于自动更新，人工方式更新方法操作比较繁琐，时间消耗较长，但避免了因潜在因数导致的更新失败。
　　1.4 自动售检票系统软件测试下载
　　站级AFC系统新版软件通过测试具备下载到现场的条件后，根据软件修改说明、测试报告及测试记录，通过审批后方可实施下载。软件下载时，须由专业技术人员实施，要确认升级文件是否齐全，提供详细的下载指引，避免出现不必要的差错，确保新软件下载不会对运营造成影响。若软件下载对现场设备运营数据造成影响，需提前做好设备结账。如果软件下载失败或者新版软件下载后运营出现异常，需及时判断故障等级，启动应急流程，退回旧版本软件，迅速修复故障，确保AFC系统设备正常运行，以方便乘客出行。完善AFC系统应急工作，有利于应对现场AFC设备突发性系统故障和大面积故障。应急措施可通过制作AFC系统应急软件或在软件下载前准备已安装的CF卡备用实现。 　　2.软件下载升级流程风险分析
　　2.1 计算机网络安全及病毒防护的风险
　　2.1.1 计算机病毒的特点和传播方式
　　计算机病毒具有以下几个特点：传染性、潜伏性、隐蔽性、破坏性。
　　计算机病毒传播渠道通常有以下几种：通过可移动存储设备传播、通过网络传播、通过计算机专用ASCI芯片和硬盘等不可移动设备传播，或者点对点通过通信系统和无线通道传播。
　　2.1.2 升级下载过程中病毒风险分析
　　就目前软件或参数的升级下载都是从供货商提供的测试软件拷贝到实验室测试，再由实验室拷贝到下发参数的设备，基本都是通过专用存储工具或者邮件传输，整个传输过程都有可能受到病毒的感染。AFC系统一旦发生病毒感染，对设备和数据都具有强大的破坏能力。
　　2.2 数据传输过程风险
　　2.2.1 TVM权限参数下载过程中丢失的案例
　　某日凌晨，LCC向车站SC发出接收0700新版本参数的命令，但因通信中断而被送入LCC缓存中；通信程序恢复连接后，LCC将缓存中的命令下发给SC，SC将新版0700参数从下载目录拷贝至SLE设备下载的FTP目录时，拷贝的文件大小变小了，只拷贝了原来文件的2/3的内容，通过查看异常0700参数的内容发现缺少CRC编码和相应的权限设置。TVM收到SC更新参数的消息后，将内容不全的0700参数下载到了本地，同时删除了本地原来的旧版本参数，造成本次全站TVM操作权限丢失。
　　2.2.2 数据传输过程风险风险分析
　　此类参数下载更新过程中由于存在传输过程中受到一定原因的干扰组成数据传输不全导致的全站故障，其原因包括数据校验失败、数据丢包、数据损坏等，在另一方面也说明传输设备和校验机制也存在一定的安全隐患风险。
　　2.3 设备发生异常的风险
　　2.3.1 故障闸机升级失败的案例
　　某日，在完成了对闸机主程序及读卡器版本的升级工作后，车站反映闸机暂停服务，SC工作站监控界面显示无通信。用键盘进入闸机软件查看时发现错误提示框。
　　2.3.2 设备发生异常的升级风险分析
　　经技术人员检查分析，闸机升级后出现网络中断并弹错误提示框故障是由于软件升级后出现交易文件损坏导致闸机软件运行环境出现错误，这种故障的发生可以通过重做闸机软件来完成修复工作。在升级站级软件时必须严格按照正规流程进行参数的下载和设备的重启工作，避免设备发生异常时进行升级，造成一定的升级失败风险。
　　2.4 软件下载过程人员管理风险
　　2.4.1 TVM地图升级异常的事件案例
　　运营结束后对某站TVM进行地图软件升级。次日运营开始后车站报当站TVM可发售未开通车站单程票。技术人员接报故障后立即前往现场处理，现场设备经降级恢复旧版参数后恢复正常。
　　2.4.2 人员管理风险分析
　　工作人员对设备软件升级工作重视不足，未按要求开展软件升级工作，没有准确掌握当晚升级所用参数存放位置，造成参数下发错误，同时在后续设备检查中，技术人员未按要求仔细核实TVM地图界面更新后的状态，没有及时发现TVM可点选未开通车站的异常现象并处理，最终导致本次事件的发生。
　　2.5 软件缺陷造成的风险
　　任何一个软件项目都是一个复杂的系统工程，软件产品是逻辑产品，是一种具有特殊性质的复杂事物，随着软件工程项目日益复杂与扩大，风险性也随之增大。
　　在广州地铁AFC系统，主要程序功能都需要供货商修改，尽管有技术人员对修改的程序进行严格地测试把关，但都很难避免软件缺陷带来的风险。潜在的风险包括：与开发人员相关经验的风险、开发过程的风险、成本效益的风险、用户使用过程风险、软件质量风险。
　　3.降低风险的可行性分析
　　3.1 加强软件下载过程管理
　　3.1.1 软件供应商管理
　　对软件供应商的管理就是为了提高产品的质量，从源头把关消除软件缺陷带来的一系列风险。对供货商的有效管理，必须建立和完善有效的准入流程，按标准严格执行。要求供货商提供完善有效的升级保障措施、升级风险控制及如何承担升级后造成的损失。对供货商启动定期评审机制，评估其技术水平是否达到要求。
　　3.1.2 软件测试管理
　　对所要升级的软件或者参数是否符合现场使用的要求，就必须经过一套严格的测试过程，对测试数据进行收集、整理、分析，整个过程严谨而复杂。对软件测试进行有效地管理，就必须组建立一只技术过硬的测试团队，良好的测试环境以及测试流程制度，软件版本管理制度等。
　　3.1.3 专业下载人员管理
　　任何系统的运作都离不开人员的操作，因此在相对稳定、安全的设备基础上，提高操作人员的专业技能，规范操作人员的操作，将更进一步确保软件下载的安全稳定，有效减少因人员问题造成的风险。
　　3.1.4 软件下载升级工具管理
　　软件下载工具是指在整个升级过程中传输软件的承载工具，目前包括：发送设备、接收设备、存储介质和升级失败后的辅助工具。此类工具必须有严格的使用及管理制度，杜绝使用私人工具或者任意使用专业工具，对专用工具进行定期检查、杀毒及校验，确保工具的正常使用。
　　3.1.5 应急预案的完善
　　为了防止升级后出现一系列风险后果而事先制定应急处理方案，在每次升级前都必须提供一套完整的应急方案，保证出现风险后迅速、有序、有效进行补救行动，降低事故发生后的损失。定期对应急预案进行分析总结，不断地对应急预案进行完善及修订，确保应急体系发挥最大作用。
　　3.2 建立完善的自动升级回滚系统
　　AFC系统升级是指对AFC系统运行的各类软件进行漏洞修补、增加删除软件功能、更新设备运行参数；自动体现在升级过程中不需要人工干预，选择升级模式和升级包后确定升级对象，自动升级系统能够自动完成升级任务；由于升级操作是AFC系统中很重要的操作，不仅需要对软件的版本进行管理，而且需要对升级过程、升级结果进行跟踪记录，同时对升级后发生异常的，可以进行版本回滚，降至上一版本使用，最大限度地保障运营设备的安全使用。
　　结论
　　本课题通过对AFC系统的部分专业知识介绍以及案例分析，阐述了AFC系统软件下载过程中受到的潜在风险影响，并根据分析对降低该风险点采取措施，提高AFC软件升级工作的安全性，降低AFC系统软件升级造成的影响，为安全运营打下坚实基础。
　　目前AFC系统的升级现状和本人知识水平限制，部分分析结论还有待完善之处，将在今后的工作中做进一步地改进。
　　参考文献
　　[1]孙立中.轨道交通AFC系统软件自动升级系统的设计与实现[D].哈尔滨工业大学，2010.
　　[2]蔡静瑶.地铁AFC系统中的票务收益安全浅析[J].科技风，2014（8）：249-249.
　　[3]呼明，李润锦.浅析广州地铁AFC系统的运营管理模式以及应急保障体系.科技风，2012（17）：40-41.
　　[4]瞿锡成.浅析AFC系统中的数据安全[J].无线互联科技，2012（3）：74-74.
　　[5]徐长盛，高欣，郑晓东，沈杰.生产现场软件更新技术研究[J].控制工程，2010（s3）：155-157.
转载注明来源:https://www.xzbu.com/8/view-11125883.htm