劉風(fēng)雪

摘要：網(wǎng)絡(luò)安全問題已經(jīng)成為一個社會問題和政治問題，它在許多方面都影響著人們的生活。當(dāng)學(xué)生使用拼車軟件時，總會擔(dān)心個人信息泄露以及銀行卡信息泄露等一系列問題，這些擔(dān)心多數(shù)都?xì)w因于網(wǎng)絡(luò)技術(shù)的漏洞。因此，為防止此類事件再次發(fā)生以及為減緩學(xué)生使用軟件時的擔(dān)憂。因此主要圍繞拼車市場中的網(wǎng)絡(luò)安全現(xiàn)狀、拼車過程中群眾的擔(dān)憂以及存在的問題，討論了大學(xué)城“WE”拼車平臺安全問題的解決對策。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大學(xué)拼車;防范策略;信息泄露;安全技術(shù)

中圖分類號：TP393? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）18-0020-03

Abstract： Network security has become a social and political issue， which affects people's lives in many ways. When students use carpooling software， they always worry about a series of problems， such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore， in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore， around the current situation of network security in the carpooling market， the concerns of the masses and the existing problems in the carpooling process， this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.

Key words： network security; collegiate carpooling; prevention strategy; information leakage; security technology

1 背景

隨著生活水平的提高，我國人民對于出行的質(zhì)量要求越來越高，且由于對經(jīng)濟(jì)問題的考慮，拼車已經(jīng)成為人們出行的一大選擇。但隨之而來更引人關(guān)注的是拼車的“安全”問題，大學(xué)生失聯(lián)事故偶有發(fā)生，個人信息泄露等問題都讓消費(fèi)者對拼車產(chǎn)生焦慮。而造成這些問題的主要原因就是網(wǎng)絡(luò)安全問題無法得到保障。

2016年11月7日，我國頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，習(xí)近平主席在網(wǎng)絡(luò)安全和信息化工作座談會上的講話中強(qiáng)調(diào)“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時候發(fā)生風(fēng)險。正所謂“聰者聽于無聲，明者未見于形”，感知網(wǎng)絡(luò)安全態(tài)勢是最基礎(chǔ)的工作。

校園“we”拼車是一款只為大學(xué)生設(shè)計(jì)的拼車app系統(tǒng)，它將學(xué)號與個人信息聯(lián)系起來，防止社會上的閑雜人等混入其中。且由于學(xué)號等條件的限制，乘客“拼”到的車友都是學(xué)生身份，大大地降低了危險發(fā)生的可能性。

2 拼車軟件存在的安全問題

目前的拼車軟件的安全問題總體上可以概括為以下四點(diǎn)：

1）信息泄露。此類主要表現(xiàn)為信息被竊聽而不被竊取，且這種不破壞信息傳輸?shù)木W(wǎng)絡(luò)侵犯者被稱為消極侵犯者。例如用戶身份信息泄露或者銀行卡信息泄露。

2）信息被篡改。這種被稱為純粹的信息破壞，其破壞作用最大，破壞者截取信息包，使之消失或失效，或添加對自己有利的信息，誤導(dǎo)使用者，這種破壞者被稱為積極侵犯。例如用戶自身信息被篡改，影響自身效益，或有非法廣告入侵，造成虛假宣傳，影響用戶使用感受。

3）非法使用網(wǎng)絡(luò)資源。非法用戶登錄系統(tǒng)進(jìn)行資源使用，造成資源浪費(fèi)，損害合法用戶的效益。例如此款app只針對學(xué)生使用，非學(xué)生身份使用app損害合法利益，對合法用戶是不公平的舉措。

4）人為安全因素。無論系統(tǒng)功能多么強(qiáng)大，如果管理人員不按照要求管理，造成的后果是難以想象的，此類主要表現(xiàn)在安全意識薄弱，安全措施不完善以及管理人員的失誤操作等。

3 拼車軟件安全問題的原因分析

1）受技術(shù)人員的工作經(jīng)驗(yàn)，能力水平以及系統(tǒng)環(huán)境的限制，技術(shù)人員無法做到面面俱到，百無漏洞，且軟件在使用過程中遇到的各種問題是無法通過預(yù)想而進(jìn)行判斷的。

2）目前一些計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的硬件、軟件都是從國外進(jìn)口而來的，當(dāng)前技術(shù)無法對其進(jìn)行改進(jìn)升級和相關(guān)自我信息保護(hù)。

3）權(quán)限設(shè)置不明確，導(dǎo)致部分用戶獲取無權(quán)查看的內(nèi)容且個人信息安全受到威脅。

4）軟件經(jīng)上線時間起，隨著用戶的增加以及上線時間的增長，將會暴露出越來越多的缺點(diǎn)以及網(wǎng)絡(luò)漏洞，這些都是無法避免的。且網(wǎng)絡(luò)安全漏洞并不是修復(fù)完就不存在了，它還會隨著用戶的使用出現(xiàn)新的漏洞，一直不斷的“存在”。

5）人才市場短缺，信息人才遠(yuǎn)遠(yuǎn)滿足不了市場需求，且開發(fā)人員年輕化，經(jīng)驗(yàn)得不到傳承，導(dǎo)致網(wǎng)絡(luò)安全常見問題重復(fù)出現(xiàn)。

4 校園“we”拼車APP的安全策略

4.1 加強(qiáng)技術(shù)防范

4.1.1 安全技術(shù)

1）虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)是基于近年發(fā)展的局域網(wǎng)交換技術(shù)，使虛擬網(wǎng)外的節(jié)點(diǎn)難以直接訪問虛擬網(wǎng)內(nèi)的節(jié)點(diǎn)，從而以防止入侵。由于互聯(lián)網(wǎng)是由很多個網(wǎng)絡(luò)節(jié)點(diǎn)組成的，而每一個網(wǎng)絡(luò)節(jié)點(diǎn)在網(wǎng)上想要被人找到實(shí)際上都需要一個IP地址，但是這個地址暴露出去就有被攻擊的風(fēng)險，所以很多時候需要組建一個局域網(wǎng)就像自己家里用的路由器一樣，在局域網(wǎng)里有很多節(jié)點(diǎn)，每個節(jié)點(diǎn)的IP都是自己定義的。這樣就可以隱藏真正的服務(wù)地址了。例如在此系統(tǒng)中，主要利用虛擬網(wǎng)技術(shù)中的隧道技術(shù)對數(shù)據(jù)進(jìn)行二次打包，將加密過后的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸，以保證數(shù)據(jù)更加安全、完整的完成傳輸。

2）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了內(nèi)部準(zhǔn)許通過的其他所有數(shù)據(jù)，例如爬蟲現(xiàn)象，就是指未被授權(quán)人員模仿正常用戶訪問系統(tǒng)，竊取內(nèi)部信息，對于這一現(xiàn)象，就可以使用防火墻技術(shù)對此類現(xiàn)象進(jìn)行攔截。且防火墻可以定義一個關(guān)鍵點(diǎn)以防止外來入侵，還可以監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，防火墻還可以查詢或登記Internet的使用情況，為客戶提供服務(wù)的理想位置。雖然在一定程度上防火墻也存在許多缺點(diǎn)，但是他可以有效地阻止非法用戶通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，進(jìn)而對客戶利益造成不必要的損害。

3）病毒防護(hù)技術(shù)

病毒一直以來都是威脅系統(tǒng)安全的主要問題之一，若此系統(tǒng)進(jìn)入病毒的話，將會有可能造成系統(tǒng)癱瘓或?qū)蛻舻馁~戶安全產(chǎn)生威脅，甚至可能會對顧客的手機(jī)造成影響，對這一問題要做的就是采取一定的技術(shù)手段來防止病毒對系統(tǒng)的傳染和破壞?？梢栽诜阑饓?、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件，使用防病毒軟件檢查和清除病毒。對病毒數(shù)據(jù)庫應(yīng)不斷更新升級，并下發(fā)到桌面系統(tǒng)。在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

4）認(rèn)證技術(shù)

認(rèn)證技術(shù)指的是確定使用軟件的是誰或使用者是否對軟件有使用權(quán)限。也就是使用者的物理身份與數(shù)字身份是否相符和乘客是否具有學(xué)生身份，此技術(shù)還可以防止司機(jī)或?qū)W生查看他們無權(quán)查看的信息。對于驗(yàn)證，可以采用靜態(tài)密碼來進(jìn)行驗(yàn)證，也就是用戶在注冊時自己所設(shè)置的密碼。而假設(shè)用戶忘記自己所設(shè)置的密碼，還可以采用動態(tài)驗(yàn)證來對用戶進(jìn)行驗(yàn)證，也就是對用戶在注冊時所綁定的手機(jī)號發(fā)送六位動態(tài)數(shù)字，每分鐘發(fā)送一次動態(tài)驗(yàn)證數(shù)字，數(shù)字有效性為一次。

5）加密技術(shù)

加密技術(shù)指的是信息在傳輸或者存儲過程中，根據(jù)一些算法進(jìn)行編碼，例如用戶的賬號密碼在數(shù)據(jù)庫中的存放方式就是加密的，假設(shè)用戶密碼是liufengxue，但是實(shí)際在數(shù)據(jù)庫中存的可能是agdyevduebsgsu。

6）安全掃描技術(shù)

安全掃描的原理是對網(wǎng)絡(luò)、主機(jī)對外開放的端口、系統(tǒng)可能存在的錯誤配置等安全漏洞，采取模擬黑客攻擊的形式來檢測存在的安全漏洞，這是一種極為有效的主動防御技術(shù)，結(jié)合入侵檢測技術(shù)和防火墻技術(shù)，可以提供拼車系統(tǒng)的網(wǎng)絡(luò)全方位的防護(hù)。

首先，在拼車系統(tǒng)中，采用端口掃描技術(shù)，TCP connect掃描是最基本的TCP掃描方法，用操作系統(tǒng)提供的connect（）系統(tǒng)與拼車系統(tǒng)的端口進(jìn)行連接，可檢測拼車系統(tǒng)的端口是否處于監(jiān)聽狀態(tài)。其次采用TCP SYN掃描，發(fā)送一個SYN數(shù)據(jù)包，若返回SYN}ACK數(shù)據(jù)包，則說明拼車系統(tǒng)端口處于監(jiān)聽狀態(tài)，需要再發(fā)送一個RST數(shù)據(jù)包來停止此操作。

上述操作可以探測端口的信息，但我們需要在這些信息的基礎(chǔ)上，具體問題具體分析，找到問題端口中的錯誤配置，網(wǎng)絡(luò)協(xié)議漏洞等系統(tǒng)漏洞。

7）入侵檢測技術(shù)

入侵檢測系統(tǒng)是一種用于檢測未授權(quán)訪問行為的軟件工具，此項(xiàng)工具應(yīng)用于拼車系統(tǒng)，可以動態(tài)監(jiān)測訪問行為，作為防火墻動態(tài)監(jiān)測的補(bǔ)充。

在拼車系統(tǒng)中，應(yīng)用入侵檢測技術(shù)，來對每一個訪問該系統(tǒng)的行為進(jìn)行動態(tài)檢測，動態(tài)檢測主要采用特征檢測，因?yàn)樘卣鳈z測有檢測可靠和誤報(bào)率低的特點(diǎn)。在特征檢測中，通過識別訪問拼車系統(tǒng)的流量和應(yīng)用數(shù)據(jù)模型來分辨訪問者是否存在非法的攻擊行為。

4.2 系統(tǒng)的安全設(shè)計(jì)

1）安全注冊

此模塊有司機(jī)注冊和學(xué)生乘客注冊，主要運(yùn)用加密技術(shù)，將司機(jī)的信息和學(xué)生的信息進(jìn)行編碼存儲進(jìn)數(shù)據(jù)庫，且司機(jī)和乘客在注冊時也可設(shè)置登錄密碼來保證自己的個人信息不被泄露，用戶還可以通過密碼來設(shè)置自己的信息是否可以被別人查看以及哪些信息可以被查看。在注冊時司機(jī)需要輸入自己的用戶名，手機(jī)號以及設(shè)置的登錄密碼，注冊成功后，需要進(jìn)入實(shí)名認(rèn)證（需輸入真實(shí)姓名，性別，居住地信息，身份證圖片以及駕駛證圖片）和車輛認(rèn)證（需輸入車輛的型號，顏色，車牌號，以及其他的相關(guān)基本信息）階段，認(rèn)證成功后，才可以進(jìn)行接單。學(xué)生乘客在注冊時也需要輸入自己的用戶名，手機(jī)號，學(xué)校的名稱和自己的學(xué)號以及設(shè)置的登錄密碼。在其他信息滿足要求的情況下，只需要驗(yàn)證手機(jī)號即可，手機(jī)號驗(yàn)證成功之后，就可以對app進(jìn)行使用。

2）信息核實(shí)

信息核實(shí)主要運(yùn)用防火墻技術(shù)和認(rèn)證技術(shù)以及入侵檢測技術(shù)，防火墻用來控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，它可以有效地阻擋不滿足安全協(xié)議或系統(tǒng)結(jié)構(gòu)的數(shù)據(jù)進(jìn)入內(nèi)務(wù)網(wǎng)絡(luò)，也可以阻擋不法分子惡意的網(wǎng)絡(luò)攻擊，保護(hù)合法用戶的網(wǎng)絡(luò)安全。認(rèn)證技術(shù)用來確定司機(jī)和學(xué)生乘客是否對軟件有使用權(quán)限，以及在司機(jī)或乘客在忘記自己設(shè)置的密碼時，該如何對軟件重新登錄繼續(xù)進(jìn)行使用，在忘記密碼時主要采用對用戶發(fā)送驗(yàn)證碼來確定登陸者身份是否屬實(shí)，入侵檢測技術(shù)用于檢測是否有穿越防火墻的或企圖對系統(tǒng)構(gòu)成威脅的違反網(wǎng)絡(luò)安全策略的舉動，也可以快速地發(fā)現(xiàn)越權(quán)行為或不符合系統(tǒng)要求的異?，F(xiàn)象。且開發(fā)人員對于最初注冊時的信息核實(shí)準(zhǔn)備了雙重保障，一個是人工核實(shí)，另一個是系統(tǒng)核實(shí)，因此在后期會增加很多的客服人員。人工核實(shí)主要是核實(shí)司機(jī)提供的車輛信息和身份信息是否屬實(shí)，有無犯罪記錄以及車檢情況是否合格。系統(tǒng)核實(shí)主要核實(shí)學(xué)生的學(xué)校名稱和學(xué)號是否屬實(shí)。司機(jī)或?qū)W生的信息如若不符合要求，則需要被返回繼續(xù)更改，直至改到符合要求為止，司機(jī)才可以進(jìn)行接單，學(xué)生才可進(jìn)行對app的使用。

3）訂單安全

在訂單模塊里主要應(yīng)用虛擬網(wǎng)技術(shù)，其技術(shù)通過公共網(wǎng)絡(luò)服務(wù)商搭建專業(yè)線路，可以快速地將用戶和相關(guān)信息結(jié)合起來，保證司機(jī)或乘客發(fā)送的數(shù)據(jù)信息高速流通以達(dá)到彼此共享，還可以數(shù)據(jù)傳輸?shù)陌踩浴Ｇ以谟唵文K里司機(jī)和學(xué)生乘客的界面也是不同的。司機(jī)界面具有隨機(jī)派單模式和自主接單模式。且當(dāng)選擇隨機(jī)派單模式時司機(jī)還可以選擇隨機(jī)目的地和固定目的地。而選擇自主接單模式時則可以根據(jù)自己安排的時間來設(shè)定何時接單。不同的接單模式讓司機(jī)有了更多的選擇性，司機(jī)更是可以根據(jù)自己當(dāng)天的狀態(tài)來選擇喜歡的模式進(jìn)行工作。學(xué)生乘客的界面則分為正在進(jìn)行的訂單子模塊和歷史訂單子模塊，點(diǎn)擊正在進(jìn)行的訂單則可以查看到達(dá)目的地的距離以及導(dǎo)航路線。點(diǎn)擊歷史訂單則可以查看以往的訂單信息。

4）地圖導(dǎo)航模塊

利用GPS定位技術(shù)，定位司機(jī)所在位置與乘客所在位置以及乘客目的地位置，并為乘客匹配最佳路線，且在乘客用戶界面，會顯示司機(jī)電話以及車輛的顏色和車牌信息，方便與司機(jī)實(shí)時溝通，還會為乘客計(jì)算出司機(jī)到達(dá)的時間以及到達(dá)目的地的時間。

5）支付安全

在到達(dá)目的地后，司機(jī)點(diǎn)擊結(jié)束路程，app會根據(jù)行駛的公里數(shù)和價格標(biāo)準(zhǔn)表計(jì)算出乘客所需要支付的價錢。系統(tǒng)會根據(jù)乘客綁定的微信賬戶或者支付寶賬戶進(jìn)行自動費(fèi)用扣除。這一模塊也需要用到加密技術(shù)來保證用戶的賬戶安全。

6）數(shù)據(jù)備份

數(shù)據(jù)備份主要采用基于LAN的備份模式，數(shù)據(jù)通過LAN備份到磁帶中，且備份服務(wù)器作為控制中心控制所有的數(shù)據(jù)，這樣就可以集中的管理數(shù)據(jù)，方便人員操作，提高操作效率。這種模式的缺點(diǎn)是消耗內(nèi)存大，但由于此系統(tǒng)只限于學(xué)生用戶，產(chǎn)生的數(shù)據(jù)量小，所以不用擔(dān)心。

5 結(jié)束語

網(wǎng)絡(luò)安全問題是一個棘手的問題，需要全社會共同努力不斷開發(fā)新技術(shù)、制訂安全防范策略。因此在設(shè)計(jì)校園“we”拼車app的過程中應(yīng)用了主流的安全技術(shù)，其安全問題是非常樂觀的。對大學(xué)生來說，它可以讓出行變得更方便、高效，不但可以結(jié)交到更多的朋友，還可以防止司機(jī)的坐地起價。對司機(jī)來說，可以減少途中盲目尋客，避免空車現(xiàn)象的產(chǎn)生，又能夠省時省油，提高收益。對社會來說，也可以避免社會資源的浪費(fèi)，從而提高社會資源的利用率。

參考文獻(xiàn)：

[1] 劉文才， 孫苗， 鄧俊杰. 基于物聯(lián)網(wǎng)的智慧拼車[J]. 武昌： 武昌理工學(xué)院， 2014.

[2] 鄭琳琳. 校園智能交通信息系統(tǒng)APP設(shè)計(jì)研究——以沈航校園為例[D].沈陽： 沈陽航空航天大學(xué)， 2016.

[3] 羅宇皓. Android 軟件安全分析和系統(tǒng)安全增強(qiáng)研究[D]. 上海： 上海交通大學(xué)， 2013.

[4] 王曉飛. 軟件安全漏洞發(fā)掘技術(shù)研究[D].長沙： 國防科學(xué)技術(shù)大學(xué)， 2006.

[5] 王春蓮. 基于大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)軟件開發(fā)與設(shè)計(jì)[J]. 軟件工程， 2018， 21（7）： 50-52.

[6] 賀星光. 網(wǎng)絡(luò)安全掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱： 哈爾濱工業(yè)大學(xué)， 2017.

[7] 王瑋. 入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[D].成都： 電子科技大學(xué)， 2013.

[8] 于赫. 網(wǎng)聯(lián)汽車信息安全問題及 CAN 總線異常檢測技術(shù)研究[D].長春： 吉林大學(xué)， 2016.

【通聯(lián)編輯：謝媛媛】