智能停车平台的安全措施研究.docx

1、 智能停车平台的安全措施研究 张源杨瑾瑜崔猛王婧刘晓璐【摘要】 随着科技与信息化不断地发展，智能停车平台作为当前智慧城市建设推进的重点部分，在给予我们便利、开发的同时，也拥有着极大的安全隐患。本文指出了当前智能停车平台可能存在的安全隐患，即：服务器端应用安全问题、客户端脚本安全问题。同时还提出了对应的安全措施与防范：服务端应用安全措施、客户端脚本安全措施、系统整体安全措施与个人意识防范。【关键词】 计算机网络 网络科技安全 智能停车平台引言：2020年3月两会召开，在“新基建”被写入政府的工作报告之后，各城市積极响应工作目标，出台诸多加强及鼓励城市智能化建设的有关政策。因而不断涌现出新兴科技优

2、化城市建设模式，创新管理方法。其中，智能停车平台作为“智慧城市”建设成果产物之一，在维护城市交通秩序中发挥重要作用，同时由于其所具备的功能有效且便民，因此开拓了停车商业市场，许多智能停车平台相继问世。停车平台的出现所带来的诸多优势中仍暗藏风险。国民经济水平的增加不仅提高了人们的生活质量，继而汽车销售量的增加也推动了停车平台产业的发展。我国的智能停车平台尚处于发展阶段，难免有开发商在以“制作可顺利运行的智能停车平台”为目标时，忽略了细节性的网络安全问题，如用户隐私泄露、服务器被病毒植入、订单数据被非法篡改等。这些问题给平台带来物质和声誉上的不良影响。本文旨在探讨当前智能停车平台存在的安全问题，围

3、绕平台客户端、服务器端及人员意识等方面浅述，并相应给予防范措施。一、智能停车平台的安全问题处于信息化时代的各大互联网公司都在孜孜不倦地推动智慧城市的建设，致力于将城市变得更加智能、更具信息化。其中对于城市的智能停车项目的建设，目前市面上已经有了许多的产品，但其对于智能停车应用模块的安全仍然有着较大的缺陷，安全威胁系数较高。故以下应对当前可能出现的常见安全问题进行分析，并提出相应的解决方案，以此提高智能停车场的用户可信度。1.1当前智能停车平台潜在的安全问题常见的智能停车平台安全问题可以大致的分成以下两种：客户端脚本安全和服务器端应用安全的建设与维护。对于一个新开发的平台而言，安全是从零开始进行

4、建设的，因此从整体的安全建设而言，亟需安全性的服务器端应用应当优先考虑，避免留下任何隐患。1.1.1服务器端应用安全问题1.注入攻击：注入攻击产生的原因就是Web应用程序把用户输入的数据当成代码段进行执行，从而使得攻击者能够进行诸如：获取数据库信息、利用Web Shell或者UDF函数执行非法命令等非法的操作，对服务器进行破坏。由于智能停车平台有需要用户输入车牌号的操作，因此就有可能被攻击者利用注入的手段进行攻击。2.访问控制：对于大多数的智能停车平台，都会有用户登录功能的选项且会有普通用户、VIP用户以及管理员等不同的身份存在于平台当中。因此，对于平台而言，要能够确保各角色能够各司其职，不做

5、权限以外的事。而攻击者往往会利用系统当中的某些逻辑漏洞进行越权行事、非法访问等，给系统造成极大损失。3.加密算法：机密性是信息系统安全的三大基本要素之一。因此，加密算法选取是否得当、运用是否得当，这些都与网站的安全息息相关。加密算法选取不得当往往会造成平台在将敏感信息保存到cookie时被攻击者所读取到，进而造成系统的损失。4.分布式拒绝服务（DDos）：使计算机系统崩溃或其带宽耗尽或其磁盘被填满，导致其不能提供正常的服务，就构成拒绝服务攻击。分布式风暴型拒绝服务攻击是拒绝服务攻击中较难处理的，它同时拥有多台僵尸主机，这给找到“幕后主使”带来了困难。它是与目前使用的网络协议密切相关的，它的彻底

6、解决即使不是不可能的，至少也是极为困难的。1.1.2客户端脚本安全问题模型1.跨站脚本攻击（XSS）：一种情形就是用户在客户端浏览了提前被恶意攻击者插入了恶意脚本的平台客户端的页面或者网页有，从而导致用户的浏览器或者小程序端被恶意攻击者控制。还有一种情形就是恶意攻击者利用这个手段获取到用户相应的隐私信息，如剪切板的内容、cookie等敏感信息。2.跨站点伪造请求攻击（CSRF）：当攻击者在本平台进行停车付费或者其他操作的时候，攻击者可以将该页面构造成一个恶意的链接，并诱导其他用户进行访问，使得普通用户间接帮助攻击者进行付费或者进行其他的操作，从而引起较大的破坏。二、当前智能停车平台的防范措施2

7、.1服务器端应用防范措施2.1.1注入攻击防范1.使用预编译语句，绑定变量进行防御SQL注入攻击。当采用预编译的SQL语句时，会使得SQL语句的语义不发生改变，让攻击者无法改变SQL的结构。例如：当平台要求输入用户名或车牌号时采用“user_name=？”，用“？”作为变量，此时当攻击者插入注入的字符串时也只会被当成普通的字符串来进行处理。2.严格检查数据类型，例如平台输入车牌号的地方要求严格使用要求的数据类型，不允许输入特殊字符，如单引号、反斜杠等等，这样就可以有效的防止部分注入攻击。3.对数据长度进行限制，例如在输入车牌号的地方，只需要求用户必须输入对应的5位字符（数字与字母）作为车牌号即

8、可有效防止部分注入攻击。4.采用安全的编码函数、使用安全的存储过程、对数据进行过滤编码等都可以有效的防范注入攻击。在对抗注入攻击时只要我们能够牢记“数据与代码分离”的原则并在平台具有用户输入的地方进行安全审查，就可以有效的进行防御。2.1.2访问控制防范1.使用Kerberos进行相应的访问控制。采用认证系统对用户进行认证并赋予相应的执行权限。运用其垂直权限管理RBAC以及水平权限管理两种访问控制系统方式进行有效的访问控制。2.无论采取哪种方案，都必须坚持最小特权原则，确保正确的用户拥有正确的权限。2.1.3密码算法1.尽量不使用ECB模式，不使用流密码（如RC4）。2.使用HMAC-SHA1

9、代替MD5等。3.采用目前我国较为先进的密码算法，如SM3、SM1等。2.1.4拒绝服务防范1.在受到DDos攻击时可以选择简单的屏蔽IP的方法来抵御DDos攻击，如查看日志，找出可疑IP段，将其屏蔽。因为这些DDos攻击往往都是来自部分的IP段，在平台服务器或者路由器上屏蔽这些攻击者的IP段也是一个抵御DDos攻击的手段。2.在一些骨干節点配置防火墙，因为防火墙在发现服务器受到攻击后，可以将攻击导向一些提前准备好的“无用”的服务器，这样可以保护运行中的服务器不被攻击。2.2客户端脚本防范措施2.2.1跨站脚本攻击XSS防范1.采用HttpOnly模式，浏览器将禁止所有来自客户端的脚本访问读取

10、带有HttpOnly属性的cookie。2.采用安全的编码函数进行输入、输出的检查。设置黑白名单，对一些敏感的输入或者标签进行筛选。防止不必要的具有危险的标签输入到客户端当中。2.2.2跨站点伪造请求攻击CSRF防范1.采用验证码，由于CSRF攻击往往是利用了用户不知情的情况下进行了违法操作。因此采用验证码的方法，可以强行将用户参与到每一步关键操作中。2.采用Referer Check进行检查请求是否来自合法的源;采用Anti CSRF Token值进行防御，利用服务端随机发送的数值进行校验，以防止此类的攻击。2.3平台的整体防范建立防火墙以及DMZ区域。由于防火墙是外部网络与本地平台进行网络

11、通信过程中数据包的必经之路，因此我们需要建立防火墙对平台设置进行全局保护。通过利用防火墙的包过滤技术，设置黑白名单禁止一些非法的IP或者网站，以此来过滤掉一部分网络中含有病毒、非法请求的数据包以及防止黑客的非法入侵，进而提高系统平台的整体安全性。除此之外，还设立DMZ区域，通过DMZ区域将内外网进行隔离，将含有机密信息的服务器与不含机密信息的服务器分割开，以此加强内网服务器的安全性，防止出现数据失窃的情况。设立IDS系统。IDS（入侵检测系统）可以对网络传输进行实时的监视。通过对含有机密信息或者高危网络区域的链路设置IDS监听设备，采用异常检测与误用检测两种方法混合的方式来对系统异常的行为模式

12、进行汇报，极大地增强了系统整体的安全性能。三、结束语综上，本文针对多方潜在的安全威胁给予了不同防范措施，对于开发者后续的智能停车产品相关研究具备警醒和指导作用。不仅开发商需要弥补当前存在的安全漏洞，加强技术上对平台的安全管控检测，作为消费者和使用者的群众，亦是要提高自身防盗防窃意识，避免让不法分子有机可乘。参 考 文 献1 翟宗香. 计算机网络信息通信安全防范措施A. 山东华宇工学院，2020，2吴翰清.白帽子讲web安全：纪念版M.北京：电子工业出版社， 2014.6：7-2303（美）斯托林斯（Stallings.W）著，白国强等译.网络安全基础：应用与标准（第五版）M.北京：清华大学出版

13、社，2014（2019.8重印）：100-1504郑凯中，樊春霞.基于事件触发的遥操作系统在DOS攻击下的安全控制J/OL.南京邮电大学学报（自然科学版），2021（02）：82-892021-06-24.张源（2000.08.17），男，汉，广西壮族自治区北海市，本科，广西大学，研究方向：网络空间安全;杨瑾瑜（1999.12.05），女，壮，广西壮族自治区北海市，本科，广西大学，研究方向：金融数学;崔猛（1999.08.18），男，汉，中共党员，河南省驻马店市，本科，广西大学，研究方向：网络空间安全;王婧（1999.12.03），女，汉，广西壮族自治区北海市，本科，广西科技师范学院，研究方向：计算机科学与技术（大数据方向）;刘晓璐（1999.09.16），女，汉，广西壮族自治区北海市，本科，桂林理工大学，研究方向：土木工程。 -全文完-