刘风雪
摘要:网络安全问题已经成为一个社会问题和政治问题,它在许多方面都影响着人们的生活。当学生使用拼车软件时,总会担心个人信息泄露以及银行卡信息泄露等一系列问题,这些担心多数都归因于网络技术的漏洞。因此,为防止此类事件再次发生以及为减缓学生使用软件时的担忧。因此主要围绕拼车市场中的网络安全现状、拼车过程中群众的担忧以及存在的问题,讨论了大学城“WE”拼车平台安全问题的解决对策。
关键词:网络安全;大学拼车;防范策略;信息泄露;安全技术
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)18-0020-03
Abstract: Network security has become a social and political issue, which affects people's lives in many ways. When students use carpooling software, they always worry about a series of problems, such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore, in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore, around the current situation of network security in the carpooling market, the concerns of the masses and the existing problems in the carpooling process, this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.
Key words: network security; collegiate carpooling; prevention strategy; information leakage; security technology
1 背景
隨着生活水平的提高,我国人民对于出行的质量要求越来越高,且由于对经济问题的考虑,拼车已经成为人们出行的一大选择。但随之而来更引人关注的是拼车的“安全”问题,大学生失联事故偶有发生,个人信息泄露等问题都让消费者对拼车产生焦虑。而造成这些问题的主要原因就是网络安全问题无法得到保障。
2016年11月7日,我国颁布了《中华人民共和国网络安全法》,习近平主席在网络安全和信息化工作座谈会上的讲话中强调“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。正所谓“聪者听于无声,明者未见于形”,感知网络安全态势是最基础的工作。
校园“we”拼车是一款只为大学生设计的拼车app系统,它将学号与个人信息联系起来,防止社会上的闲杂人等混入其中。且由于学号等条件的限制,乘客“拼”到的车友都是学生身份,大大地降低了危险发生的可能性。
2 拼车软件存在的安全问题
目前的拼车软件的安全问题总体上可以概括为以下四点:
1)信息泄露。此类主要表现为信息被窃听而不被窃取,且这种不破坏信息传输的网络侵犯者被称为消极侵犯者。例如用户身份信息泄露或者银行卡信息泄露。
2)信息被篡改。这种被称为纯粹的信息破坏,其破坏作用最大,破坏者截取信息包,使之消失或失效,或添加对自己有利的信息,误导使用者,这种破坏者被称为积极侵犯。例如用户自身信息被篡改,影响自身效益,或有非法广告入侵,造成虚假宣传,影响用户使用感受。
3)非法使用网络资源。非法用户登录系统进行资源使用,造成资源浪费,损害合法用户的效益。例如此款app只针对学生使用,非学生身份使用app损害合法利益,对合法用户是不公平的举措。
4)人为安全因素。无论系统功能多么强大,如果管理人员不按照要求管理,造成的后果是难以想象的,此类主要表现在安全意识薄弱,安全措施不完善以及管理人员的失误操作等。
3 拼车软件安全问题的原因分析
1)受技术人员的工作经验,能力水平以及系统环境的限制,技术人员无法做到面面俱到,百无漏洞,且软件在使用过程中遇到的各种问题是无法通过预想而进行判断的。
2)目前一些计算机网络系统使用的硬件、软件都是从国外进口而来的,当前技术无法对其进行改进升级和相关自我信息保护。
3)权限设置不明确,导致部分用户获取无权查看的内容且个人信息安全受到威胁。
4)软件经上线时间起,随着用户的增加以及上线时间的增长,将会暴露出越来越多的缺点以及网络漏洞,这些都是无法避免的。且网络安全漏洞并不是修复完就不存在了,它还会随着用户的使用出现新的漏洞,一直不断的“存在”。
5)人才市场短缺,信息人才远远满足不了市场需求,且开发人员年轻化,经验得不到传承,导致网络安全常见问题重复出现。
4 校园“we”拼车APP的安全策略
4.1 加强技术防范
4.1.1 安全技术
1)虚拟网技术
虚拟网技术是基于近年发展的局域网交换技术,使虚拟网外的节点难以直接访问虚拟网内的节点,从而以防止入侵。由于互联网是由很多个网络节点组成的,而每一个网络节点在网上想要被人找到实际上都需要一个IP地址,但是这个地址暴露出去就有被攻击的风险,所以很多时候需要组建一个局域网就像自己家里用的路由器一样,在局域网里有很多节点,每个节点的IP都是自己定义的。这样就可以隐藏真正的服务地址了。例如在此系统中,主要利用虚拟网技术中的隧道技术对数据进行二次打包,将加密过后的数据通过网络传输,以保证数据更加安全、完整的完成传输。
2)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了内部准许通过的其他所有数据,例如爬虫现象,就是指未被授权人员模仿正常用户访问系统,窃取内部信息,对于这一现象,就可以使用防火墙技术对此类现象进行拦截。且防火墙可以定义一个关键点以防止外来入侵,还可以监控网络的安全并在异常情况下给出报警提示,提供网络地址转换功能,防火墙还可以查询或登记Internet的使用情况,为客户提供服务的理想位置。虽然在一定程度上防火墙也存在许多缺点,但是他可以有效地阻止非法用户通过外部网络进入内部网络,进而对客户利益造成不必要的损害。
3)病毒防護技术
病毒一直以来都是威胁系统安全的主要问题之一,若此系统进入病毒的话,将会有可能造成系统瘫痪或对客户的账户安全产生威胁,甚至可能会对顾客的手机造成影响,对这一问题要做的就是采取一定的技术手段来防止病毒对系统的传染和破坏。可以在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件,使用防病毒软件检查和清除病毒。对病毒数据库应不断更新升级,并下发到桌面系统。在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
4)认证技术
认证技术指的是确定使用软件的是谁或使用者是否对软件有使用权限。也就是使用者的物理身份与数字身份是否相符和乘客是否具有学生身份,此技术还可以防止司机或学生查看他们无权查看的信息。对于验证,可以采用静态密码来进行验证,也就是用户在注册时自己所设置的密码。而假设用户忘记自己所设置的密码,还可以采用动态验证来对用户进行验证,也就是对用户在注册时所绑定的手机号发送六位动态数字,每分钟发送一次动态验证数字,数字有效性为一次。
5)加密技术
加密技术指的是信息在传输或者存储过程中,根据一些算法进行编码,例如用户的账号密码在数据库中的存放方式就是加密的,假设用户密码是liufengxue,但是实际在数据库中存的可能是agdyevduebsgsu。
6)安全扫描技术
安全扫描的原理是对网络、主机对外开放的端口、系统可能存在的错误配置等安全漏洞,采取模拟黑客攻击的形式来检测存在的安全漏洞,这是一种极为有效的主动防御技术,结合入侵检测技术和防火墙技术,可以提供拼车系统的网络全方位的防护。
首先,在拼车系统中,采用端口扫描技术,TCP connect扫描是最基本的TCP扫描方法,用操作系统提供的connect()系统与拼车系统的端口进行连接,可检测拼车系统的端口是否处于监听状态。其次采用TCP SYN扫描,发送一个SYN数据包,若返回SYN}ACK数据包,则说明拼车系统端口处于监听状态,需要再发送一个RST数据包来停止此操作。
上述操作可以探测端口的信息,但我们需要在这些信息的基础上,具体问题具体分析,找到问题端口中的错误配置,网络协议漏洞等系统漏洞。
7)入侵检测技术
入侵检测系统是一种用于检测未授权访问行为的软件工具,此项工具应用于拼车系统,可以动态监测访问行为,作为防火墙动态监测的补充。
在拼车系统中,应用入侵检测技术,来对每一个访问该系统的行为进行动态检测,动态检测主要采用特征检测,因为特征检测有检测可靠和误报率低的特点。在特征检测中,通过识别访问拼车系统的流量和应用数据模型来分辨访问者是否存在非法的攻击行为。
4.2 系统的安全设计
1)安全注册
此模块有司机注册和学生乘客注册,主要运用加密技术,将司机的信息和学生的信息进行编码存储进数据库,且司机和乘客在注册时也可设置登录密码来保证自己的个人信息不被泄露,用户还可以通过密码来设置自己的信息是否可以被别人查看以及哪些信息可以被查看。在注册时司机需要输入自己的用户名,手机号以及设置的登录密码,注册成功后,需要进入实名认证(需输入真实姓名,性别,居住地信息,身份证图片以及驾驶证图片)和车辆认证(需输入车辆的型号,颜色,车牌号,以及其他的相关基本信息)阶段,认证成功后,才可以进行接单。学生乘客在注册时也需要输入自己的用户名,手机号,学校的名称和自己的学号以及设置的登录密码。在其他信息满足要求的情况下,只需要验证手机号即可,手机号验证成功之后,就可以对app进行使用。
2)信息核实
信息核实主要运用防火墙技术和认证技术以及入侵检测技术,防火墙用来控制内部网络与外部网络之间的数据流,它可以有效地阻挡不满足安全协议或系统结构的数据进入内务网络,也可以阻挡不法分子恶意的网络攻击,保护合法用户的网络安全。认证技术用来确定司机和学生乘客是否对软件有使用权限,以及在司机或乘客在忘记自己设置的密码时,该如何对软件重新登录继续进行使用,在忘记密码时主要采用对用户发送验证码来确定登陆者身份是否属实,入侵检测技术用于检测是否有穿越防火墙的或企图对系统构成威胁的违反网络安全策略的举动,也可以快速地发现越权行为或不符合系统要求的异常现象。且开发人员对于最初注册时的信息核实准备了双重保障,一个是人工核实,另一个是系统核实,因此在后期会增加很多的客服人员。人工核实主要是核实司机提供的车辆信息和身份信息是否属实,有无犯罪记录以及车检情况是否合格。系统核实主要核实学生的学校名称和学号是否属实。司机或学生的信息如若不符合要求,则需要被返回继续更改,直至改到符合要求为止,司机才可以进行接单,学生才可进行对app的使用。
3)订单安全
在订单模块里主要应用虚拟网技术,其技术通过公共网络服务商搭建专业线路,可以快速地将用户和相关信息结合起来,保证司机或乘客发送的数据信息高速流通以达到彼此共享,还可以数据传输的安全性。且在订单模块里司机和学生乘客的界面也是不同的。司机界面具有随机派单模式和自主接单模式。且当选择随机派单模式时司机还可以选择随机目的地和固定目的地。而选择自主接单模式时则可以根据自己安排的时间来设定何时接单。不同的接单模式让司机有了更多的选择性,司机更是可以根据自己当天的状态来选择喜欢的模式进行工作。学生乘客的界面则分为正在进行的订单子模块和历史订单子模块,点击正在进行的订单则可以查看到达目的地的距离以及导航路线。点击历史订单則可以查看以往的订单信息。
4)地图导航模块
利用GPS定位技术,定位司机所在位置与乘客所在位置以及乘客目的地位置,并为乘客匹配最佳路线,且在乘客用户界面,会显示司机电话以及车辆的颜色和车牌信息,方便与司机实时沟通,还会为乘客计算出司机到达的时间以及到达目的地的时间。
5)支付安全
在到达目的地后,司机点击结束路程,app会根据行驶的公里数和价格标准表计算出乘客所需要支付的价钱。系统会根据乘客绑定的微信账户或者支付宝账户进行自动费用扣除。这一模块也需要用到加密技术来保证用户的账户安全。
6)数据备份
数据备份主要采用基于LAN的备份模式,数据通过LAN备份到磁带中,且备份服务器作为控制中心控制所有的数据,这样就可以集中的管理数据,方便人员操作,提高操作效率。这种模式的缺点是消耗内存大,但由于此系统只限于学生用户,产生的数据量小,所以不用担心。
5 结束语
网络安全问题是一个棘手的问题,需要全社会共同努力不断开发新技术、制订安全防范策略。因此在设计校园“we”拼车app的过程中应用了主流的安全技术,其安全问题是非常乐观的。对大学生来说,它可以让出行变得更方便、高效,不但可以结交到更多的朋友,还可以防止司机的坐地起价。对司机来说,可以减少途中盲目寻客,避免空车现象的产生,又能够省时省油,提高收益。对社会来说,也可以避免社会资源的浪费,从而提高社会资源的利用率。
参考文献:
[1] 刘文才, 孙苗, 邓俊杰. 基于物联网的智慧拼车[J]. 武昌: 武昌理工学院, 2014.
[2] 郑琳琳. 校园智能交通信息系统APP设计研究——以沈航校园为例[D].沈阳: 沈阳航空航天大学, 2016.
[3] 罗宇皓. Android 软件安全分析和系统安全增强研究[D]. 上海: 上海交通大学, 2013.
[4] 王晓飞. 软件安全漏洞发掘技术研究[D].长沙: 国防科学技术大学, 2006.
[5] 王春莲. 基于大数据分析技术的网络安全系统软件开发与设计[J]. 软件工程, 2018, 21(7): 50-52.
[6] 贺星光. 网络安全扫描系统的设计与实现[D].哈尔滨: 哈尔滨工业大学, 2017.
[7] 王玮. 入侵检测系统的研究与实现[D].成都: 电子科技大学, 2013.
[8] 于赫. 网联汽车信息安全问题及 CAN 总线异常检测技术研究[D].长春: 吉林大学, 2016.
【通联编辑:谢媛媛】