劉風(fēng)雪

摘要：網(wǎng)絡(luò)安全問題已經(jīng)成為一個社會問題和政治問題，它在許多方面都影響著人們的生活。當(dāng)學(xué)生使用拼車軟件時，總會擔(dān)心個人信息泄露以及銀行卡信息泄露等一系列問題，這些擔(dān)心多數(shù)都?xì)w因于網(wǎng)絡(luò)技術(shù)的漏洞。因此，為防止此類事件再次發(fā)生以及為減緩學(xué)生使用軟件時的擔(dān)憂。因此主要圍繞拼車市場中的網(wǎng)絡(luò)安全現(xiàn)狀、拼車過程中群眾的擔(dān)憂以及存在的問題，討論了大學(xué)城“WE”拼車平臺安全問題的解決對策。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大學(xué)拼車;防范策略;信息泄露;安全技術(shù)

中圖分類號：TP393? ? ?文獻標(biāo)識碼：A

文章編號：1009-3044（2019）18-0020-03

Abstract： Network security has become a social and political issue， which affects people's lives in many ways. When students use carpooling software， they always worry about a series of problems， such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore， in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore， around the current situation of network security in the carpooling market， the concerns of the masses and the existing problems in the carpooling process， this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.

Key words： network security; collegiate carpooling; prevention strategy; information leakage; security technology

1 背景

隨著生活水平的提高，我國人民對于出行的質(zhì)量要求越來越高，且由于對經(jīng)濟問題的考慮，拼車已經(jīng)成為人們出行的一大選擇。但隨之而來更引人關(guān)注的是拼車的“安全”問題，大學(xué)生失聯(lián)事故偶有發(fā)生，個人信息泄露等問題都讓消費者對拼車產(chǎn)生焦慮。而造成這些問題的主要原因就是網(wǎng)絡(luò)安全問題無法得到保障。

2016年11月7日，我國頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，習(xí)近平主席在網(wǎng)絡(luò)安全和信息化工作座談會上的講話中強調(diào)“維護網(wǎng)絡(luò)安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時候發(fā)生風(fēng)險。正所謂“聰者聽于無聲，明者未見于形”，感知網(wǎng)絡(luò)安全態(tài)勢是最基礎(chǔ)的工作。

校園“we”拼車是一款只為大學(xué)生設(shè)計的拼車app系統(tǒng)，它將學(xué)號與個人信息聯(lián)系起來，防止社會上的閑雜人等混入其中。且由于學(xué)號等條件的限制，乘客“拼”到的車友都是學(xué)生身份，大大地降低了危險發(fā)生的可能性。

2 拼車軟件存在的安全問題

目前的拼車軟件的安全問題總體上可以概括為以下四點：

1）信息泄露。此類主要表現(xiàn)為信息被竊聽而不被竊取，且這種不破壞信息傳輸?shù)木W(wǎng)絡(luò)侵犯者被稱為消極侵犯者。例如用戶身份信息泄露或者銀行卡信息泄露。

2）信息被篡改。這種被稱為純粹的信息破壞，其破壞作用最大，破壞者截取信息包，使之消失或失效，或添加對自己有利的信息，誤導(dǎo)使用者，這種破壞者被稱為積極侵犯。例如用戶自身信息被篡改，影響自身效益，或有非法廣告入侵，造成虛假宣傳，影響用戶使用感受。

3）非法使用網(wǎng)絡(luò)資源。非法用戶登錄系統(tǒng)進行資源使用，造成資源浪費，損害合法用戶的效益。例如此款app只針對學(xué)生使用，非學(xué)生身份使用app損害合法利益，對合法用戶是不公平的舉措。

4）人為安全因素。無論系統(tǒng)功能多么強大，如果管理人員不按照要求管理，造成的后果是難以想象的，此類主要表現(xiàn)在安全意識薄弱，安全措施不完善以及管理人員的失誤操作等。

3 拼車軟件安全問題的原因分析

1）受技術(shù)人員的工作經(jīng)驗，能力水平以及系統(tǒng)環(huán)境的限制，技術(shù)人員無法做到面面俱到，百無漏洞，且軟件在使用過程中遇到的各種問題是無法通過預(yù)想而進行判斷的。

2）目前一些計算機網(wǎng)絡(luò)系統(tǒng)使用的硬件、軟件都是從國外進口而來的，當(dāng)前技術(shù)無法對其進行改進升級和相關(guān)自我信息保護。

3）權(quán)限設(shè)置不明確，導(dǎo)致部分用戶獲取無權(quán)查看的內(nèi)容且個人信息安全受到威脅。

4）軟件經(jīng)上線時間起，隨著用戶的增加以及上線時間的增長，將會暴露出越來越多的缺點以及網(wǎng)絡(luò)漏洞，這些都是無法避免的。且網(wǎng)絡(luò)安全漏洞并不是修復(fù)完就不存在了，它還會隨著用戶的使用出現(xiàn)新的漏洞，一直不斷的“存在”。

5）人才市場短缺，信息人才遠遠滿足不了市場需求，且開發(fā)人員年輕化，經(jīng)驗得不到傳承，導(dǎo)致網(wǎng)絡(luò)安全常見問題重復(fù)出現(xiàn)。

4 校園“we”拼車APP的安全策略

4.1 加強技術(shù)防范

4.1.1 安全技術(shù)

1）虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)是基于近年發(fā)展的局域網(wǎng)交換技術(shù)，使虛擬網(wǎng)外的節(jié)點難以直接訪問虛擬網(wǎng)內(nèi)的節(jié)點，從而以防止入侵。由于互聯(lián)網(wǎng)是由很多個網(wǎng)絡(luò)節(jié)點組成的，而每一個網(wǎng)絡(luò)節(jié)點在網(wǎng)上想要被人找到實際上都需要一個IP地址，但是這個地址暴露出去就有被攻擊的風(fēng)險，所以很多時候需要組建一個局域網(wǎng)就像自己家里用的路由器一樣，在局域網(wǎng)里有很多節(jié)點，每個節(jié)點的IP都是自己定義的。這樣就可以隱藏真正的服務(wù)地址了。例如在此系統(tǒng)中，主要利用虛擬網(wǎng)技術(shù)中的隧道技術(shù)對數(shù)據(jù)進行二次打包，將加密過后的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸，以保證數(shù)據(jù)更加安全、完整的完成傳輸。

2）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了內(nèi)部準(zhǔn)許通過的其他所有數(shù)據(jù)，例如爬蟲現(xiàn)象，就是指未被授權(quán)人員模仿正常用戶訪問系統(tǒng)，竊取內(nèi)部信息，對于這一現(xiàn)象，就可以使用防火墻技術(shù)對此類現(xiàn)象進行攔截。且防火墻可以定義一個關(guān)鍵點以防止外來入侵，還可以監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，防火墻還可以查詢或登記Internet的使用情況，為客戶提供服務(wù)的理想位置。雖然在一定程度上防火墻也存在許多缺點，但是他可以有效地阻止非法用戶通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，進而對客戶利益造成不必要的損害。

3）病毒防護技術(shù)

病毒一直以來都是威脅系統(tǒng)安全的主要問題之一，若此系統(tǒng)進入病毒的話，將會有可能造成系統(tǒng)癱瘓或?qū)蛻舻馁~戶安全產(chǎn)生威脅，甚至可能會對顧客的手機造成影響，對這一問題要做的就是采取一定的技術(shù)手段來防止病毒對系統(tǒng)的傳染和破壞?？梢栽诜阑饓Α⒋矸?wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件，使用防病毒軟件檢查和清除病毒。對病毒數(shù)據(jù)庫應(yīng)不斷更新升級，并下發(fā)到桌面系統(tǒng)。在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

4）認(rèn)證技術(shù)

認(rèn)證技術(shù)指的是確定使用軟件的是誰或使用者是否對軟件有使用權(quán)限。也就是使用者的物理身份與數(shù)字身份是否相符和乘客是否具有學(xué)生身份，此技術(shù)還可以防止司機或?qū)W生查看他們無權(quán)查看的信息。對于驗證，可以采用靜態(tài)密碼來進行驗證，也就是用戶在注冊時自己所設(shè)置的密碼。而假設(shè)用戶忘記自己所設(shè)置的密碼，還可以采用動態(tài)驗證來對用戶進行驗證，也就是對用戶在注冊時所綁定的手機號發(fā)送六位動態(tài)數(shù)字，每分鐘發(fā)送一次動態(tài)驗證數(shù)字，數(shù)字有效性為一次。

5）加密技術(shù)

加密技術(shù)指的是信息在傳輸或者存儲過程中，根據(jù)一些算法進行編碼，例如用戶的賬號密碼在數(shù)據(jù)庫中的存放方式就是加密的，假設(shè)用戶密碼是liufengxue，但是實際在數(shù)據(jù)庫中存的可能是agdyevduebsgsu。

6）安全掃描技術(shù)

安全掃描的原理是對網(wǎng)絡(luò)、主機對外開放的端口、系統(tǒng)可能存在的錯誤配置等安全漏洞，采取模擬黑客攻擊的形式來檢測存在的安全漏洞，這是一種極為有效的主動防御技術(shù)，結(jié)合入侵檢測技術(shù)和防火墻技術(shù)，可以提供拼車系統(tǒng)的網(wǎng)絡(luò)全方位的防護。

首先，在拼車系統(tǒng)中，采用端口掃描技術(shù)，TCP connect掃描是最基本的TCP掃描方法，用操作系統(tǒng)提供的connect（）系統(tǒng)與拼車系統(tǒng)的端口進行連接，可檢測拼車系統(tǒng)的端口是否處于監(jiān)聽狀態(tài)。其次采用TCP SYN掃描，發(fā)送一個SYN數(shù)據(jù)包，若返回SYN}ACK數(shù)據(jù)包，則說明拼車系統(tǒng)端口處于監(jiān)聽狀態(tài)，需要再發(fā)送一個RST數(shù)據(jù)包來停止此操作。

上述操作可以探測端口的信息，但我們需要在這些信息的基礎(chǔ)上，具體問題具體分析，找到問題端口中的錯誤配置，網(wǎng)絡(luò)協(xié)議漏洞等系統(tǒng)漏洞。

7）入侵檢測技術(shù)

入侵檢測系統(tǒng)是一種用于檢測未授權(quán)訪問行為的軟件工具，此項工具應(yīng)用于拼車系統(tǒng)，可以動態(tài)監(jiān)測訪問行為，作為防火墻動態(tài)監(jiān)測的補充。

在拼車系統(tǒng)中，應(yīng)用入侵檢測技術(shù)，來對每一個訪問該系統(tǒng)的行為進行動態(tài)檢測，動態(tài)檢測主要采用特征檢測，因為特征檢測有檢測可靠和誤報率低的特點。在特征檢測中，通過識別訪問拼車系統(tǒng)的流量和應(yīng)用數(shù)據(jù)模型來分辨訪問者是否存在非法的攻擊行為。

4.2 系統(tǒng)的安全設(shè)計

1）安全注冊

此模塊有司機注冊和學(xué)生乘客注冊，主要運用加密技術(shù)，將司機的信息和學(xué)生的信息進行編碼存儲進數(shù)據(jù)庫，且司機和乘客在注冊時也可設(shè)置登錄密碼來保證自己的個人信息不被泄露，用戶還可以通過密碼來設(shè)置自己的信息是否可以被別人查看以及哪些信息可以被查看。在注冊時司機需要輸入自己的用戶名，手機號以及設(shè)置的登錄密碼，注冊成功后，需要進入實名認(rèn)證（需輸入真實姓名，性別，居住地信息，身份證圖片以及駕駛證圖片）和車輛認(rèn)證（需輸入車輛的型號，顏色，車牌號，以及其他的相關(guān)基本信息）階段，認(rèn)證成功后，才可以進行接單。學(xué)生乘客在注冊時也需要輸入自己的用戶名，手機號，學(xué)校的名稱和自己的學(xué)號以及設(shè)置的登錄密碼。在其他信息滿足要求的情況下，只需要驗證手機號即可，手機號驗證成功之后，就可以對app進行使用。

2）信息核實

信息核實主要運用防火墻技術(shù)和認(rèn)證技術(shù)以及入侵檢測技術(shù)，防火墻用來控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，它可以有效地阻擋不滿足安全協(xié)議或系統(tǒng)結(jié)構(gòu)的數(shù)據(jù)進入內(nèi)務(wù)網(wǎng)絡(luò)，也可以阻擋不法分子惡意的網(wǎng)絡(luò)攻擊，保護合法用戶的網(wǎng)絡(luò)安全。認(rèn)證技術(shù)用來確定司機和學(xué)生乘客是否對軟件有使用權(quán)限，以及在司機或乘客在忘記自己設(shè)置的密碼時，該如何對軟件重新登錄繼續(xù)進行使用，在忘記密碼時主要采用對用戶發(fā)送驗證碼來確定登陸者身份是否屬實，入侵檢測技術(shù)用于檢測是否有穿越防火墻的或企圖對系統(tǒng)構(gòu)成威脅的違反網(wǎng)絡(luò)安全策略的舉動，也可以快速地發(fā)現(xiàn)越權(quán)行為或不符合系統(tǒng)要求的異常現(xiàn)象。且開發(fā)人員對于最初注冊時的信息核實準(zhǔn)備了雙重保障，一個是人工核實，另一個是系統(tǒng)核實，因此在后期會增加很多的客服人員。人工核實主要是核實司機提供的車輛信息和身份信息是否屬實，有無犯罪記錄以及車檢情況是否合格。系統(tǒng)核實主要核實學(xué)生的學(xué)校名稱和學(xué)號是否屬實。司機或?qū)W生的信息如若不符合要求，則需要被返回繼續(xù)更改，直至改到符合要求為止，司機才可以進行接單，學(xué)生才可進行對app的使用。

3）訂單安全

在訂單模塊里主要應(yīng)用虛擬網(wǎng)技術(shù)，其技術(shù)通過公共網(wǎng)絡(luò)服務(wù)商搭建專業(yè)線路，可以快速地將用戶和相關(guān)信息結(jié)合起來，保證司機或乘客發(fā)送的數(shù)據(jù)信息高速流通以達到彼此共享，還可以數(shù)據(jù)傳輸?shù)陌踩?。且在訂單模塊里司機和學(xué)生乘客的界面也是不同的。司機界面具有隨機派單模式和自主接單模式。且當(dāng)選擇隨機派單模式時司機還可以選擇隨機目的地和固定目的地。而選擇自主接單模式時則可以根據(jù)自己安排的時間來設(shè)定何時接單。不同的接單模式讓司機有了更多的選擇性，司機更是可以根據(jù)自己當(dāng)天的狀態(tài)來選擇喜歡的模式進行工作。學(xué)生乘客的界面則分為正在進行的訂單子模塊和歷史訂單子模塊，點擊正在進行的訂單則可以查看到達目的地的距離以及導(dǎo)航路線。點擊歷史訂單則可以查看以往的訂單信息。

4）地圖導(dǎo)航模塊

利用GPS定位技術(shù)，定位司機所在位置與乘客所在位置以及乘客目的地位置，并為乘客匹配最佳路線，且在乘客用戶界面，會顯示司機電話以及車輛的顏色和車牌信息，方便與司機實時溝通，還會為乘客計算出司機到達的時間以及到達目的地的時間。

5）支付安全

在到達目的地后，司機點擊結(jié)束路程，app會根據(jù)行駛的公里數(shù)和價格標(biāo)準(zhǔn)表計算出乘客所需要支付的價錢。系統(tǒng)會根據(jù)乘客綁定的微信賬戶或者支付寶賬戶進行自動費用扣除。這一模塊也需要用到加密技術(shù)來保證用戶的賬戶安全。

6）數(shù)據(jù)備份

數(shù)據(jù)備份主要采用基于LAN的備份模式，數(shù)據(jù)通過LAN備份到磁帶中，且備份服務(wù)器作為控制中心控制所有的數(shù)據(jù)，這樣就可以集中的管理數(shù)據(jù)，方便人員操作，提高操作效率。這種模式的缺點是消耗內(nèi)存大，但由于此系統(tǒng)只限于學(xué)生用戶，產(chǎn)生的數(shù)據(jù)量小，所以不用擔(dān)心。

5 結(jié)束語

網(wǎng)絡(luò)安全問題是一個棘手的問題，需要全社會共同努力不斷開發(fā)新技術(shù)、制訂安全防范策略。因此在設(shè)計校園“we”拼車app的過程中應(yīng)用了主流的安全技術(shù)，其安全問題是非常樂觀的。對大學(xué)生來說，它可以讓出行變得更方便、高效，不但可以結(jié)交到更多的朋友，還可以防止司機的坐地起價。對司機來說，可以減少途中盲目尋客，避免空車現(xiàn)象的產(chǎn)生，又能夠省時省油，提高收益。對社會來說，也可以避免社會資源的浪費，從而提高社會資源的利用率。

參考文獻：

[1] 劉文才， 孫苗， 鄧俊杰. 基于物聯(lián)網(wǎng)的智慧拼車[J]. 武昌： 武昌理工學(xué)院， 2014.

[2] 鄭琳琳. 校園智能交通信息系統(tǒng)APP設(shè)計研究——以沈航校園為例[D].沈陽： 沈陽航空航天大學(xué)， 2016.

[3] 羅宇皓. Android 軟件安全分析和系統(tǒng)安全增強研究[D]. 上海： 上海交通大學(xué)， 2013.

[4] 王曉飛. 軟件安全漏洞發(fā)掘技術(shù)研究[D].長沙： 國防科學(xué)技術(shù)大學(xué)， 2006.

[5] 王春蓮. 基于大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)軟件開發(fā)與設(shè)計[J]. 軟件工程， 2018， 21（7）： 50-52.

[6] 賀星光. 網(wǎng)絡(luò)安全掃描系統(tǒng)的設(shè)計與實現(xiàn)[D].哈爾濱： 哈爾濱工業(yè)大學(xué)， 2017.

[7] 王瑋. 入侵檢測系統(tǒng)的研究與實現(xiàn)[D].成都： 電子科技大學(xué)， 2013.

[8] 于赫. 網(wǎng)聯(lián)汽車信息安全問題及 CAN 總線異常檢測技術(shù)研究[D].長春： 吉林大學(xué)， 2016.

【通聯(lián)編輯：謝媛媛】