智慧停车网络安全：挑战与应对之策(图文)

智慧停车平台数据泄露事件屡见不鲜，给用户带来了极大的安全隐患。例如，江门公安破获的特大智慧停车平台信息泄露案中，犯罪团伙利用技术手段攻击多个智慧停车平台，非法盗取车辆所在停车场服务器的数据，包括车主及车辆的行踪轨迹、停车位置等。据了解，2022 年威胁猎人风险情报平台捕获到一批 “智慧停车平台” 攻击工具，犯罪团伙将攻击工具部署在 “肉鸡” 服务器上，通过 IP 代理平台获取大量 IP 地址，伪装成不同用户对 API 查询接口发起频繁攻击。由于涉案智慧停车系统存在 API 安全缺陷，黑产可以越权查询其他用户的停车数据，成功窃取车主隐私信息。
而在安徽池州等地，也出现了智慧停车平台隐私问题。“池州智慧停车” 公众号可随便绑定他人车牌号，且能收到绑定车辆出入车位时间等信息。市民质疑其侵犯个人隐私安全，反映多次却迟迟未得到有效解决。直到媒体曝光后，当地主管部门才要求该公众号进行整改。目前，只有通过实名认证的车主才可以查询相关车辆停车的具体时间、地点等信息。
这些事件充分暴露了智慧停车网络安全的严峻形势，不仅让用户的个人隐私面临泄露风险，也给企业带来了经济损失和名誉损失，甚至可能面临较大的法律风险及处罚。

二、安全挑战面面观

（一）系统组成各环节风险

1. 车牌识别：车牌识别由车牌抓拍智能摄像机自动拍照并智能分析出车牌信息回传给后台，但存在隐形安全问题。没有将车牌信息和车主身份挂钩，可能导致有人用伪造车牌进入停车场，也可以伪冒月保车出场，给停车场造成收入损失。

2. 智能抬杆：智能抬杆系统主要根据车牌识别以及后台判断结果自动抬杆，但设计人员担心系统故障、延迟车牌录入等问题，单独保留了应急开闸功能。车场管理人员可以通过手中的遥控器手动开闸，可能私自放入车辆和放出车辆，引发安全问题。

3. 自助缴费：自助缴费一般通过二维码扫码，存在贴在停车场的二维码被人恶意更换的安全风险，会造成车主缴费了却无法出场。此外，停车场一般都是地下室，手机信号一般比较弱，扫码缴费很容易因为信号不行出现无法缴费成功、缴费延迟或者重复缴费的情况。

4. 后台管理：后台管理主要工作是提前录入月保车牌号、续费月保、统计收入等。这里一般都允许管理员手动录入和月保车主扫码续月保。扫码续月保一般没啥问题，但管理员手动录入就有可能会出现私自增加月保车牌的情况。他可以在月初私自增加月保车，月底统计时又删除该车牌，并删除操作日志。

5. 网络传输：目前停车场的网络传输都是采用网线或者光纤传输，传输协议都是 TCP/IP 协议。很多智能停车场系统的传输协议并不是加密传输，这就给技术比较厉害的人留了一个安全口子。他们可以通过监听网络来获取传输的信息，甚至篡改信息，将原本拒绝开闸的信号变成允许开闸的信号。

（二）网络安全挑战

1. API 安全缺陷：智慧停车平台频繁发生数据泄漏的根本原因在于其 API 安全存在缺陷。黑产团伙已逐渐改变攻击方式，将目标瞄准新兴数字化基础设施，如智慧停车平台。2022 年，威胁猎人风险情报平台捕获到一批用于攻击 “智慧停车平台” 的工具，针对多个平台的 API 接口展开大规模攻击，非法获取车辆停车信息，包括位置和停车时长，用以掌握车主的行踪。

2. 网络风险趋势：随着数字化生活的普及，数据通过 API 进行流动已成为常态。企业的线上业务和云通信都依赖 API。但随着 API 数量增多、范围扩大，各种 API 接口暴露在互联网上，现有防护措施难以满足 API 安全管理的需求。这导致业务风险不断扩大，“智慧停车” 等平台成为攻击目标。

3. 黑产攻击原因：需求催生市场，非法找车需求滋生了庞大的 “寻车” 产业。这一产业链涉及黑产工具攻击、数据盗取、GPS 安装、资金交易等环节。在利益的驱动下，“智慧停车平台” 成为黑产攻击的重要目标。例如，2022 年初，犯罪团伙开始使用技术手段攻击市场上十余个主流停车平台，非法获取大量车主车辆位置和轨迹信息，并在 Telegram（TG）、暗网等渠道进行推广；随后，犯罪团伙根据上游贷款公司提供的目标车辆车牌号，在相关停车场派遣人员，在车辆下方安装 GPS 定位设备；最终，犯罪团伙通过精准定位车辆，获取更多车主隐私信息，向上游贷款公司出售信息并提供定位服务，非法获利。

三、防护措施齐上阵

（一）技术保障
智慧停车的网络安全需要多方面的技术保障。腾讯智慧停车解决方案在数据加密方面，在数据传输过程中采用加密技术对数据进行保护，防止数据被窃取或篡改。同时，腾讯智慧停车还做到了数据最小化，仅收集必要的个人信息，并在服务器上进行脱敏处理，减少个人隐私泄露的风险。在隐私保护政策上，制定并执行严格的隐私保护政策，确保用户信息的安全，同时向用户明确说明数据的收集、使用和存储方式，以取得用户的授权。在访问控制方面，对系统进行访问控制，确保只有经过授权的人员才能访问敏感数据，同时对系统进行定期安全审查，及时发现并修复安全漏洞。在数据备份与恢复方面，定期对系统数据进行备份，以便在发生数据丢失或损坏时能及时恢复，同时制定并执行数据恢复计划，确保在突发事件中能迅速恢复系统正常运行。此外，还加强员工的安全培训和意识教育，确保员工了解数据安全的重要性，并按照规定操作和处理敏感信息，遵守适用的法律法规和标准，确保数据处理符合法律要求。
筑梦园科技则采用两地三中心的金融级部署方案和三级等保管理体系。两地三中心，即同城、异地分别建立生产中心、同城容灾中心、异地容灾中心。同城双中心可独立承担关键系统运行，通过高速链路实时同步数据，日常可同时分担业务及管理系统的运行，并可切换运行；灾难情况下可在基本不丢失数据的情况下进行灾备应急切换，保持业务连续运行。异地灾备中心用于双中心的数据备份，当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以用备份数据进行业务的恢复。三级等保管理体系要求严格，认证需要测评内容涵盖等级保护安全技术要求的 5 个层面和安全管理要求的 5 个层面，主要包含信息保护、安全审计、通信保密等在内的近 300 项要求，共涉及测评分类 73 类。技术层面体现在系统安全管理和恶意代码防范上，当有黑客对平台进行攻击时，平台应具备一定的防范能力。

（二）客户端脚本防范

在防范跨站脚本攻击（XSS）方面，可以采用 HttpOnly 模式，浏览器将禁止所有来自客户端的脚本访问读取带有 HttpOnly 属性的 cookie。同时，采用安全的编码函数进行输入、输出的检查，设置黑白名单，对一些敏感的输入或者标签进行筛选，防止不必要的具有危险的标签输入到客户端当中。
在防范跨站点伪造请求攻击（CSRF）方面，可以采用验证码的方法，由于 CSRF 攻击往往是利用了用户不知情的情况下进行了违法操作，因此采用验证码可以强行将用户参与到每一步关键操作中。还可以采用 Referer Check 进行检查请求是否来自合法的源，采用 Anti CSRF Token 值进行防御，利用服务端随机发送的数值进行校验，以防止此类攻击。

（三）整体防范

建立防火墙以及 DMZ 区域是提高系统平台整体安全性的重要措施。防火墙是外部网络与本地平台进行网络通信过程中数据包的必经之路，通过利用防火墙的包过滤技术，设置黑白名单禁止一些非法的 IP 或者网站，以此来过滤掉一部分网络中含有病毒、非法请求的数据包以及防止黑客的非法入侵，进而提高系统平台的整体安全性。除此之外，还设立 DMZ 区域，通过 DMZ 区域将内部网络与外部网络隔离开来，进一步增强系统的安全性。

四、安全意识与未来展望

（一）员工安全意识培训的重要性

员工是智慧停车系统的直接操作者和维护者，他们的安全意识直接关系到系统的安全性。加强员工安全意识培训，可以有效降低人为因素导致的安全风险。例如，培训员工正确识别和处理钓鱼邮件、不随意点击不明链接、不泄露系统密码等，可以防止黑客通过社会工程学手段入侵系统。同时，培训员工对异常情况的敏感度和应对能力，如发现系统异常及时报告，不擅自处理，也能在第一时间阻止安全事件的扩大。
根据相关数据统计，约 60% 的网络安全事件是由人为因素引起的。这充分说明了加强员工安全意识培训的紧迫性和重要性。通过定期组织安全培训、模拟安全事件演练等方式，可以不断提高员工的安全意识和应急处理能力，为智慧停车系统的安全运行提供有力保障。

（二）智慧停车网络安全的未来展望

随着技术的不断发展，智慧停车网络安全也将面临新的挑战和机遇。一方面，人工智能、大数据、区块链等新兴技术的应用，将为智慧停车网络安全提供更强大的技术支持。例如，人工智能可以通过对大量安全数据的分析，提前预警潜在的安全风险；区块链技术可以实现数据的去中心化存储和加密，提高数据的安全性和可信度。
另一方面，随着智慧停车行业的不断发展，行业标准和规范也将逐步完善。政府和相关机构将加强对智慧停车网络安全的监管，推动企业加强安全管理，提高行业整体安全水平。同时，企业之间也将加强合作，共同应对网络安全挑战，建立更加安全、可靠的智慧停车生态系统。
未来，智慧停车网络安全将朝着更加智能化、标准化、协同化的方向发展。我们有理由相信，在各方的共同努力下，智慧停车网络安全将得到有效保障，为用户提供更加安全、便捷的停车服务。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。