江達(dá)福

摘要：在校園普遍應(yīng)用無(wú)線網(wǎng)絡(luò)的背景下，關(guān)于無(wú)線網(wǎng)絡(luò)中一些安全問(wèn)題也逐漸凸顯出來(lái)。該文就校園無(wú)線網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析，探討當(dāng)下校園無(wú)線網(wǎng)絡(luò)中存在的一些安全隱患，并提出有效的解決策略，使得校園可以應(yīng)用安全的無(wú)線網(wǎng)絡(luò)，進(jìn)而保障無(wú)線網(wǎng)絡(luò)用戶(hù)的切身利益。

關(guān)鍵詞：校園；無(wú)線網(wǎng)絡(luò)；安全防護(hù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）02-0019-02

就目前而言，無(wú)線網(wǎng)絡(luò)也就是傳統(tǒng)的有線網(wǎng)絡(luò)延伸，無(wú)線網(wǎng)絡(luò)主要的優(yōu)勢(shì)就是擴(kuò)展能力較強(qiáng)、可移動(dòng)、靈活性較高與安裝簡(jiǎn)單等，實(shí)現(xiàn)了校園內(nèi)隨時(shí)隨地上網(wǎng)。但是校園中無(wú)線網(wǎng)絡(luò)逐漸實(shí)現(xiàn)全覆蓋的情況下，許多潛在的網(wǎng)絡(luò)安全問(wèn)題漸漸顯現(xiàn)，為確保校園的無(wú)線網(wǎng)絡(luò)安全，需要從網(wǎng)絡(luò)管理與網(wǎng)絡(luò)技術(shù)方面兩個(gè)方面加強(qiáng)投入和管理，盡力營(yíng)造一個(gè)高效、潔凈與安全的無(wú)線網(wǎng)絡(luò)應(yīng)用環(huán)境。

1 關(guān)于校園的無(wú)線網(wǎng)特點(diǎn)

1.1 具有較好的寬帶

對(duì)于校園的無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，其比較適用于大量多向或是雙向多媒體數(shù)據(jù)信息的傳輸，就速度而言，單單是標(biāo)準(zhǔn)為802.11b無(wú)線傳輸技術(shù)就能夠提供11Mbps的傳輸速度，也就證明無(wú)線網(wǎng)絡(luò)基本達(dá)到校園用戶(hù)在網(wǎng)速方面的要求。

1.2 不需要布線

就校園無(wú)線網(wǎng)絡(luò)而言，老師與學(xué)生能夠在任何一個(gè)無(wú)線網(wǎng)絡(luò)的覆蓋區(qū)域進(jìn)行上網(wǎng)，可以對(duì)學(xué)校圖書(shū)館資料進(jìn)行檢索，或者是查看作業(yè)與教案，這在一定程度上使得校園的網(wǎng)絡(luò)資源利用率得以提高，同時(shí)方便了學(xué)生與老師的生活、學(xué)習(xí)與工作。

1.3 安裝比較方便

安裝無(wú)線網(wǎng)絡(luò)的過(guò)程比較簡(jiǎn)單，不需要架管穿線、破墻與掘地，通常情況下，只要安裝適當(dāng)?shù)腁P接入點(diǎn)設(shè)備即可，這樣就能構(gòu)建覆蓋整個(gè)地區(qū)或者是建筑物的網(wǎng)絡(luò)。如果網(wǎng)絡(luò)出現(xiàn)故障，也不需要去尋找可能出現(xiàn)故障的線路，只需要查看信號(hào)接收端與發(fā)送端的情況。

1.4 網(wǎng)絡(luò)維護(hù)的成本不高

同有線網(wǎng)絡(luò)布線投資和維護(hù)成本比起來(lái)，校園無(wú)線網(wǎng)絡(luò)能夠讓原本單個(gè)信息點(diǎn)一起接入多個(gè)用戶(hù)的設(shè)備，這在物力與人力資源方面都使得學(xué)校開(kāi)銷(xiāo)與投入大大降低。雖然無(wú)線網(wǎng)絡(luò)搭建過(guò)程初期成本投入比較高，但是在后期的維護(hù)比較方便，且維護(hù)的成本與有線網(wǎng)絡(luò)比起來(lái)降低了許多。

1.5 可擴(kuò)展性與靈活性比較強(qiáng)

通常有線網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)設(shè)備安放位置經(jīng)常會(huì)因?yàn)榫W(wǎng)絡(luò)的信息點(diǎn)具體位置而受到影響，而在校園無(wú)線網(wǎng)絡(luò)則較為靈活，只要校園區(qū)域被無(wú)線網(wǎng)的信號(hào)覆蓋，不管在該區(qū)域的哪一點(diǎn)上都可以順利接入無(wú)線網(wǎng)絡(luò)。此外，因?yàn)闊o(wú)線網(wǎng)絡(luò)的技術(shù)包含中繼組網(wǎng)、對(duì)等與中心等模式，網(wǎng)絡(luò)搭建者可以按照實(shí)際需要靈活的進(jìn)行組網(wǎng)模式選擇。

2 關(guān)于校園的無(wú)線網(wǎng)安全問(wèn)題

2.1 網(wǎng)絡(luò)的監(jiān)聽(tīng)

因?yàn)闊o(wú)線網(wǎng)絡(luò)的開(kāi)放訪問(wèn)特點(diǎn)，許多無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)通信基本是以規(guī)定格式呈現(xiàn)，這就使得非法用戶(hù)比較容易的對(duì)合法用戶(hù)實(shí)行監(jiān)聽(tīng)，在監(jiān)聽(tīng)過(guò)程中破解通信密碼，乘機(jī)接入校園用戶(hù)網(wǎng)絡(luò)，從而惡意的篡改用戶(hù)數(shù)據(jù)。

2.2 信息的重放

從目前的校園無(wú)線網(wǎng)絡(luò)來(lái)看，無(wú)線網(wǎng)絡(luò)如果沒(méi)有充足的安全預(yù)防措施，一些非法用戶(hù)則比較容易利用AP實(shí)施中間人的攻擊與欺騙，即便采用了VPN的保護(hù)措施，非法侵入也在所難免，其可以對(duì)AP或者是授權(quán)的客戶(hù)端實(shí)行雙重的欺騙，從而篡改與竊取網(wǎng)絡(luò)數(shù)據(jù)信息。

2.3 公話(huà)攔截與地址欺騙

在無(wú)線網(wǎng)絡(luò)的環(huán)境中，部分非法用戶(hù)可以通過(guò)竊聽(tīng)與監(jiān)視等方式盜取用戶(hù)IP地址或者是MAC地址詳細(xì)信息，然后使用獲取的信息實(shí)行會(huì)話(huà)攔截、網(wǎng)絡(luò)行騙與網(wǎng)絡(luò)攻擊等，使得合法用戶(hù)切身數(shù)據(jù)安全利益受到損害。

2.4 一些非法用戶(hù)的侵入

因?yàn)闊o(wú)線網(wǎng)絡(luò)的特性就是易獲取與公開(kāi)性，因此這種比較方便開(kāi)放式的訪問(wèn)，容易給部分非法用戶(hù)可以擅自的對(duì)校園網(wǎng)絡(luò)資源進(jìn)行利用，其后果就是既占用無(wú)線信道的資源，使得寬帶成本增加，在一定程度上還導(dǎo)致合法用戶(hù)服務(wù)的服務(wù)質(zhì)量減弱，同時(shí)一些非法用戶(hù)可能違反相關(guān)服務(wù)的條款，以及不遵守相關(guān)法律規(guī)范，進(jìn)而可能造成學(xué)校牽涉各種各樣的法律問(wèn)題。

2.5 無(wú)線的加密密鑰易破解

當(dāng)下無(wú)線互聯(lián)網(wǎng)具有許多較為容易攻擊的特性，其中，無(wú)線加密密鑰可以通過(guò)定向捕捉AP信號(hào)中的網(wǎng)絡(luò)數(shù)據(jù)包，然后使用暴力破解方式破解WEP的密匙，也就是按照監(jiān)聽(tīng)的無(wú)線通信速度以及網(wǎng)絡(luò)信號(hào)來(lái)對(duì)密匙進(jìn)行破解。

2.6 服務(wù)會(huì)被拒絕

這也是當(dāng)前無(wú)線網(wǎng)中一種比較嚴(yán)重的網(wǎng)絡(luò)攻擊手段，其中主要包含兩類(lèi)情況，一類(lèi)是攻擊者泛濫攻擊AP，造成AP出現(xiàn)拒絕服務(wù)的情況。另一類(lèi)是有針對(duì)性的攻擊某一個(gè)節(jié)點(diǎn)，使其不斷的轉(zhuǎn)發(fā)數(shù)據(jù)包，直到資源耗盡無(wú)法工作，通常就是資源耗盡的攻擊。兩種方式比起來(lái)，前者比較嚴(yán)重[1]。

3 關(guān)于校園的無(wú)線網(wǎng)絡(luò)中安全防護(hù)的對(duì)策

3.1 需要建設(shè)校園的無(wú)線網(wǎng)絡(luò)技術(shù)防護(hù)對(duì)策

3.1.1 使用加密的技術(shù)

其中加密技術(shù)中的一種有效方式就是WPA加密的技術(shù)，而WPA主要是為解決網(wǎng)路中WEP的安全性不足所研發(fā)的新型加密方式，然后使用TKIP的算法動(dòng)態(tài)來(lái)形成一百二十八位的密碼，提高無(wú)線網(wǎng)絡(luò)的安全性。其中WPA主要包含校驗(yàn)數(shù)據(jù)的完整性、數(shù)據(jù)認(rèn)證與加密三個(gè)部分，是較為完善的安全管理方案。但是使用WPA的加密短信數(shù)據(jù)包還是會(huì)被破解，進(jìn)而產(chǎn)生WPA2加密技術(shù)。其中WPA2通過(guò)CCMP 來(lái)取代WAP中TKIP的技術(shù)，也是當(dāng)下安全性較高的一項(xiàng)加密技術(shù)，只是該技術(shù)不太支持老舊網(wǎng)卡。因此校園的無(wú)線網(wǎng)建議使用WPA與WPA2相結(jié)合的加密技術(shù)，為更好的防護(hù)校園無(wú)線網(wǎng)絡(luò)，還需要實(shí)時(shí)更換密匙。

3.1.2 使用入侵的檢測(cè)技術(shù)

使用檢測(cè)入侵技術(shù)能夠及時(shí)控制網(wǎng)絡(luò)、采集數(shù)據(jù)與傳輸信息等，以及及時(shí)找出網(wǎng)絡(luò)故障的主要原因，這樣可以確保校園的無(wú)線網(wǎng)絡(luò)正常運(yùn)行，預(yù)防一些非法用戶(hù)竊取與篡改重要數(shù)據(jù)信息。特別是在教學(xué)過(guò)程中，許多老師通過(guò)無(wú)線網(wǎng)絡(luò)來(lái)傳輸教學(xué)資料，為了確保學(xué)生可以更好參與教學(xué)活動(dòng)，就需要對(duì)非法入侵進(jìn)行嚴(yán)格檢測(cè)。其中可以通過(guò)路由查詢(xún)，以及實(shí)時(shí)追蹤等。

3.1.3 接入用戶(hù)認(rèn)證的機(jī)制

1）關(guān)于Web的認(rèn)證。這個(gè)認(rèn)證方式就是給使用者分配地址，當(dāng)用戶(hù)打開(kāi)某一個(gè)網(wǎng)頁(yè)瀏覽器對(duì)網(wǎng)站進(jìn)行訪問(wèn)的過(guò)程中，相關(guān)的認(rèn)證系統(tǒng)就會(huì)在頁(yè)面顯示出來(lái)，用戶(hù)輸入口令與用戶(hù)名稱(chēng)后就可以進(jìn)入網(wǎng)站。例如學(xué)校官方網(wǎng)站，都是獨(dú)立的認(rèn)證網(wǎng)頁(yè)，校園通過(guò)專(zhuān)業(yè)人士創(chuàng)建了自己的認(rèn)證系統(tǒng)，學(xué)生訪問(wèn)校園網(wǎng)站時(shí)就需要輸入相關(guān)名稱(chēng)與口令，才可以進(jìn)行訪問(wèn)與查找資料。而且Web的認(rèn)證沒(méi)有客戶(hù)端的軟件，這在一定程度上使得維護(hù)的工作量大大降低。

2）分類(lèi)的認(rèn)證方式。校園網(wǎng)的用戶(hù)一般包含兩類(lèi)，首先是校內(nèi)的用戶(hù)，其次是來(lái)訪的用戶(hù)。校園老師與學(xué)生就是校內(nèi)的用戶(hù)，為使學(xué)習(xí)與工作可以得到滿(mǎn)足，要盡可能使校園用戶(hù)隨時(shí)隨地可以上網(wǎng)，也就是訪問(wèn)學(xué)校資源與因特網(wǎng)，使得老師教學(xué)資料與學(xué)生具體學(xué)習(xí)資源可以安全傳輸，且這種訪問(wèn)對(duì)安全性的要求比較高，因此主要利用802.1x的方式來(lái)認(rèn)證。其中來(lái)訪用戶(hù)主要包含來(lái)校培訓(xùn)、交流與參觀集體，這類(lèi)用戶(hù)在安全性方面沒(méi)有較高要求，只要可以快速接入因特網(wǎng)就行，因此一般通過(guò)DHCP加強(qiáng)制的Portal方式來(lái)連接校園的無(wú)線網(wǎng)[2]。

3.2 建立校園中無(wú)線網(wǎng)絡(luò)的安全防護(hù)管理策略

3.2.1 構(gòu)建校園中無(wú)線網(wǎng)絡(luò)的安全防護(hù)應(yīng)對(duì)機(jī)制

校園網(wǎng)絡(luò)相關(guān)管理部門(mén)應(yīng)該建立標(biāo)準(zhǔn)化流程來(lái)應(yīng)對(duì)校園的無(wú)線網(wǎng)安全突發(fā)狀況，校園無(wú)線網(wǎng)絡(luò)的管理者可以根據(jù)流程的規(guī)定，實(shí)時(shí)檢測(cè)校園的無(wú)線網(wǎng)絡(luò)信號(hào)狀況、工作狀態(tài)與信息傳輸狀況，快速處理無(wú)線網(wǎng)絡(luò)信息安全問(wèn)題。同時(shí)對(duì)無(wú)線網(wǎng)絡(luò)應(yīng)急預(yù)案進(jìn)行及時(shí)補(bǔ)充更新，保證安全防護(hù)機(jī)制的可靠性。

3.2.2 構(gòu)建可靠安全的無(wú)線網(wǎng)絡(luò)的管理機(jī)制

通常需要對(duì)校園的無(wú)線網(wǎng)絡(luò)進(jìn)行規(guī)范化管理，而規(guī)范過(guò)程中既需要結(jié)合相關(guān)法律、法規(guī)，還要建立完善的管理制度，促進(jìn)校園的無(wú)線網(wǎng)絡(luò)安全使用與運(yùn)行。同時(shí)學(xué)校需要增設(shè)具備決策權(quán)的部門(mén)或者是機(jī)構(gòu)來(lái)管理無(wú)線網(wǎng)絡(luò)，使得校園的無(wú)線網(wǎng)絡(luò)可以安全可靠的為教學(xué)活動(dòng)做貢獻(xiàn)。

綜上所述，校園的無(wú)線網(wǎng)絡(luò)對(duì)于教學(xué)活動(dòng)至關(guān)重要，尤其在當(dāng)下計(jì)算機(jī)網(wǎng)絡(luò)廣泛使用，校園無(wú)線網(wǎng)絡(luò)已經(jīng)與師生學(xué)習(xí)、工作息息相關(guān)，因此，校園的無(wú)線網(wǎng)絡(luò)安全防護(hù)，是當(dāng)前校園安全建設(shè)的重要任務(wù)，也是教學(xué)活動(dòng)順利進(jìn)行的有效保障。

參考文獻(xiàn)：

[1] 蔡向陽(yáng). 校園無(wú)線網(wǎng)絡(luò)的安全防護(hù)研究[J]. 九江職業(yè)技術(shù)學(xué)院學(xué)報(bào)， 2014， 23（02）： 13-17.

[2] 楊榮強(qiáng). 淺析校園無(wú)線網(wǎng)絡(luò)安全問(wèn)題[J]. 福建電腦， 2014， 34（4）： 114-115.