智能停車平臺的安全措施研究

張源　楊瑾瑜　崔猛　王婧　劉曉璐

【摘要】? ? 隨著科技與信息化不斷地發展，智能停車平臺作為當前智慧城市建設推進的重點部分，在給予我們便利、開發的同時，也擁有著極大的安全隱患。本文指出了當前智能停車平臺可能存在的安全隱患，即：服務器端應用安全問題、客戶端腳本安全問題。同時還提出了對應的安全措施與防范：服務端應用安全措施、客戶端腳本安全措施、系統整體安全措施與個人意識防范。

【關鍵詞】? ? 計算機網絡? ? 網絡科技安全? ? 智能停車平臺

引言：

2020年3月兩會召開，在“新基建”被寫入政府的工作報告之后，各城市積極響應工作目標，出臺諸多加強及鼓勵城市智能化建設的有關政策。因而不斷涌現出新興科技優化城市建設模式，創新管理方法。其中，智能停車平臺作為“智慧城市”建設成果產物之一，在維護城市交通秩序中發揮重要作用，同時由于其所具備的功能有效且便民，因此開拓了停車商業市場，許多智能停車平臺相繼問世。停車平臺的出現所帶來的諸多優勢中仍暗藏風險。

國民經濟水平的增加不僅提高了人們的生活質量，繼而汽車銷售量的增加也推動了停車平臺產業的發展。我國的智能停車平臺尚處于發展階段，難免有開發商在以“制作可順利運行的智能停車平臺”為目標時，忽略了細節性的網絡安全問題，如用戶隱私泄露、服務器被病毒植入、訂單數據被非法篡改等。這些問題給平臺帶來物質和聲譽上的不良影響。本文旨在探討當前智能停車平臺存在的安全問題，圍繞平臺客戶端、服務器端及人員意識等方面淺述，并相應給予防范措施。

一、智能停車平臺的安全問題

處于信息化時代的各大互聯網公司都在孜孜不倦地推動智慧城市的建設，致力于將城市變得更加智能、更具信息化。其中對于城市的智能停車項目的建設，目前市面上已經有了許多的產品，但其對于智能停車應用模塊的安全仍然有著較大的缺陷，安全威脅系數較高。故以下應對當前可能出現的常見安全問題進行分析，并提出相應的解決方案，以此提高智能停車場的用戶可信度。

1.1當前智能停車平臺潛在的安全問題

常見的智能停車平臺安全問題可以大致的分成以下兩種：客戶端腳本安全和服務器端應用安全的建設與維護。對于一個新開發的平臺而言，安全是從零開始進行建設的，因此從整體的安全建設而言，亟需安全性的服務器端應用應當優先考慮，避免留下任何隱患。

1.1.1服務器端應用安全問題

1.注入攻擊：

注入攻擊產生的原因就是Web應用程序把用戶輸入的數據當成代碼段進行執行，從而使得攻擊者能夠進行諸如：獲取數據庫信息、利用Web Shell或者UDF函數執行非法命令等非法的操作，對服務器進行破壞。由于智能停車平臺有需要用戶輸入車牌號的操作，因此就有可能被攻擊者利用注入的手段進行攻擊。

2.訪問控制：

對于大多數的智能停車平臺，都會有用戶登錄功能的選項且會有普通用戶、VIP用戶以及管理員等不同的身份存在于平臺當中。因此，對于平臺而言，要能夠確保各角色能夠各司其職，不做權限以外的事。而攻擊者往往會利用系統當中的某些邏輯漏洞進行越權行事、非法訪問等，給系統造成極大損失。

3.加密算法：

機密性是信息系統安全的三大基本要素之一。因此，加密算法選取是否得當、運用是否得當，這些都與網站的安全息息相關。加密算法選取不得當往往會造成平臺在將敏感信息保存到cookie時被攻擊者所讀取到，進而造成系統的損失。

4.分布式拒絕服務（DDos）：

使計算機系統崩潰或其帶寬耗盡或其磁盤被填滿，導致其不能提供正常的服務，就構成拒絕服務攻擊。分布式風暴型拒絕服務攻擊是拒絕服務攻擊中較難處理的，它同時擁有多臺僵尸主機，這給找到“幕后主使”帶來了困難。它是與目前使用的網絡協議密切相關的，它的徹底解決即使不是不可能的，至少也是極為困難的。

1.1.2客戶端腳本安全問題模型

1.跨站腳本攻擊（XSS）：

一種情形就是用戶在客戶端瀏覽了提前被惡意攻擊者插入了惡意腳本的平臺客戶端的頁面或者網頁有，從而導致用戶的瀏覽器或者小程序端被惡意攻擊者控制。還有一種情形就是惡意攻擊者利用這個手段獲取到用戶相應的隱私信息，如剪切板的內容、cookie等敏感信息。

2.跨站點偽造請求攻擊（CSRF）：

當攻擊者在本平臺進行停車付費或者其他操作的時候，攻擊者可以將該頁面構造成一個惡意的鏈接，并誘導其他用戶進行訪問，使得普通用戶間接幫助攻擊者進行付費或者進行其他的操作，從而引起較大的破壞。

二、當前智能停車平臺的防范措施

2.1服務器端應用防范措施

2.1.1注入攻擊防范

1.使用預編譯語句，綁定變量進行防御SQL注入攻擊。當采用預編譯的SQL語句時，會使得SQL語句的語義不發生改變，讓攻擊者無法改變SQL的結構。例如：當平臺要求輸入用戶名或車牌號時采用“user_name=？”，用“？”作為變量，此時當攻擊者插入注入的字符串時也只會被當成普通的字符串來進行處理。

2.嚴格檢查數據類型，例如平臺輸入車牌號的地方要求嚴格使用要求的數據類型，不允許輸入特殊字符，如單引號、反斜杠等等，這樣就可以有效的防止部分注入攻擊。

3.對數據長度進行限制，例如在輸入車牌號的地方，只需要求用戶必須輸入對應的5位字符（數字與字母）作為車牌號即可有效防止部分注入攻擊。

4.采用安全的編碼函數、使用安全的存儲過程、對數據進行過濾編碼等都可以有效的防范注入攻擊。在對抗注入攻擊時只要我們能夠牢記“數據與代碼分離”的原則并在平臺具有用戶輸入的地方進行安全審查，就可以有效的進行防御。

2.1.2訪問控制防范

1.使用Kerberos進行相應的訪問控制。采用認證系統對用戶進行認證并賦予相應的執行權限。運用其垂直權限管理RBAC以及水平權限管理兩種訪問控制系統方式進行有效的訪問控制。

2.無論采取哪種方案，都必須堅持最小特權原則，確保正確的用戶擁有正確的權限。

2.1.3密碼算法

1.盡量不使用ECB模式，不使用流密碼（如RC4）。

2.使用HMAC-SHA1代替MD5等。

3.采用目前我國較為先進的密碼算法，如SM3、SM1等。

2.1.4拒絕服務防范

1.在受到DDos攻擊時可以選擇簡單的屏蔽IP的方法來抵御DDos攻擊，如查看日志，找出可疑IP段，將其屏蔽。因為這些DDos攻擊往往都是來自部分的IP段，在平臺服務器或者路由器上屏蔽這些攻擊者的IP段也是一個抵御DDos攻擊的手段。

2.在一些骨干節點配置防火墻，因為防火墻在發現服務器受到攻擊后，可以將攻擊導向一些提前準備好的“無用”的服務器，這樣可以保護運行中的服務器不被攻擊。

2.2客戶端腳本防范措施

2.2.1跨站腳本攻擊XSS防范

1.采用HttpOnly模式，瀏覽器將禁止所有來自客戶端的腳本訪問讀取帶有HttpOnly屬性的cookie。

2.采用安全的編碼函數進行輸入、輸出的檢查。設置黑白名單，對一些敏感的輸入或者標簽進行篩選。防止不必要的具有危險的標簽輸入到客戶端當中。

2.2.2跨站點偽造請求攻擊CSRF防范

1.采用驗證碼，由于CSRF攻擊往往是利用了用戶不知情的情況下進行了違法操作。因此采用驗證碼的方法，可以強行將用戶參與到每一步關鍵操作中。

2.采用Referer Check進行檢查請求是否來自合法的源;采用Anti CSRF Token值進行防御，利用服務端隨機發送的數值進行校驗，以防止此類的攻擊。

2.3平臺的整體防范

建立防火墻以及DMZ區域。由于防火墻是外部網絡與本地平臺進行網絡通信過程中數據包的必經之路，因此我們需要建立防火墻對平臺設置進行全局保護。通過利用防火墻的包過濾技術，設置黑白名單禁止一些非法的IP或者網站，以此來過濾掉一部分網絡中含有病毒、非法請求的數據包以及防止黑客的非法入侵，進而提高系統平臺的整體安全性。除此之外，還設立DMZ區域，通過DMZ區域將內外網進行隔離，將含有機密信息的服務器與不含機密信息的服務器分割開，以此加強內網服務器的安全性，防止出現數據失竊的情況。

設立IDS系統。IDS（入侵檢測系統）可以對網絡傳輸進行實時的監視。通過對含有機密信息或者高危網絡區域的鏈路設置IDS監聽設備，采用異常檢測與誤用檢測兩種方法混合的方式來對系統異常的行為模式進行匯報，極大地增強了系統整體的安全性能。

三、結束語

綜上，本文針對多方潛在的安全威脅給予了不同防范措施，對于開發者后續的智能停車產品相關研究具備警醒和指導作用。不僅開發商需要彌補當前存在的安全漏洞，加強技術上對平臺的安全管控檢測，作為消費者和使用者的群眾，亦是要提高自身防盜防竊意識，避免讓不法分子有機可乘。

參? 考? 文? 獻

[1] 翟宗香. 計算機網絡信息通信安全防范措施[A]. 山東華宇工學院，2020，

[2]吳翰清.白帽子講web安全：紀念版[M].北京：電子工業出版社， 2014.6：7-230

[3]（美）斯托林斯（Stallings.W）著，白國強等譯.網絡安全基礎：應用與標準（第五版）[M].北京：清華大學出版社，2014（2019.8重印）：100-150

[4]鄭凱中，樊春霞.基于事件觸發的遙操作系統在DOS攻擊下的安全控制[J/OL].南京郵電大學學報（自然科學版），2021（02）：82-89[2021-06-24].

張源（2000.08.17），男，漢，廣西壯族自治區北海市，本科，廣西大學，研究方向：網絡空間安全;

楊瑾瑜（1999.12.05），女，壯，廣西壯族自治區北海市，本科，廣西大學，研究方向：金融數學;

崔猛（1999.08.18），男，漢，中共黨員，河南省駐馬店市，本科，廣西大學，研究方向：網絡空間安全;

王婧（1999.12.03），女，漢，廣西壯族自治區北海市，本科，廣西科技師范學院，研究方向：計算機科學與技術（大數據方向）;

劉曉璐（1999.09.16），女，漢，廣西壯族自治區北海市，本科，桂林理工大學，研究方向：土木工程。