摘 要：校園網(wǎng)絡(luò)服務(wù)于廣大師生，無線網(wǎng)絡(luò)的覆蓋，為教師的教學(xué)、學(xué)生的學(xué)習(xí)及行政辦公帶來極大的便利，同時突出的無線網(wǎng)絡(luò)安全隱患，也給校園網(wǎng)絡(luò)的管理帶來極大的挑戰(zhàn)。本文針對這些問題，對中職學(xué)校無線網(wǎng)絡(luò)安全技術(shù)進行分析和探討。

關(guān)鍵詞：中職無線網(wǎng)絡(luò)；安全技術(shù)

近年來，隨著中職學(xué)校的快速發(fā)展，信息化建設(shè)在不斷推進，無線網(wǎng)絡(luò)技術(shù)逐步在校園網(wǎng)絡(luò)建設(shè)中被應(yīng)用開來。無線網(wǎng)絡(luò)覆蓋體現(xiàn)了一個學(xué)校信息化建設(shè)的水平，它擴展了原來傳統(tǒng)的有線網(wǎng)絡(luò)，實現(xiàn)全校范圍最大面積的網(wǎng)絡(luò)覆蓋。無線網(wǎng)絡(luò)具有個性化、便攜性、可移動性的特點，使廣大師生更充分使用教學(xué)資源。然而，隨著無線網(wǎng)絡(luò)的廣泛使用，安全問題也越來越突出，必須引起我們的高度重視。

1 無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的不同點

1.1 無線網(wǎng)絡(luò)采用開放的傳輸介質(zhì)

傳統(tǒng)網(wǎng)絡(luò)是通過有線方式完成數(shù)據(jù)傳輸?shù)?，?shù)據(jù)通過電纜傳輸?shù)筋A(yù)定位置，在傳輸過程中，物理鏈路遭到破壞，才會引起數(shù)據(jù)泄密；而無線網(wǎng)絡(luò)通過無線電波完成數(shù)據(jù)傳輸，無線接入點（AP）在無線電波信號覆蓋范圍內(nèi)，都可成功接受信號，具有開放性的特點，利用無線網(wǎng)絡(luò)發(fā)射的數(shù)據(jù)僅傳給預(yù)定位置是難以實現(xiàn)的，這就使入侵者乘虛而入，他們可以借助無線網(wǎng)絡(luò)的廣播信號攻擊網(wǎng)絡(luò)，造成網(wǎng)絡(luò)安全的威脅。

1.2 無線網(wǎng)絡(luò)的移動特性

傳統(tǒng)有線網(wǎng)絡(luò)的接入層交換機和用戶終端通過光纖或者雙絞線來接入網(wǎng)絡(luò)，這些硬件設(shè)備在布線時就固定在一個位置，很難大范圍移動。而無線網(wǎng)絡(luò)的硬件設(shè)備一般放置在開放的位置，入侵者可以輕易移動或拆除接入層的AP，增大了安全性管理的難度。

1.3 動態(tài)的拓撲結(jié)構(gòu)

傳統(tǒng)有線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)在網(wǎng)絡(luò)規(guī)劃時已經(jīng)設(shè)計好，是相對固定的，網(wǎng)絡(luò)安全的設(shè)計和網(wǎng)絡(luò)防護相對較為簡單。而無線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是動態(tài)的，非法用戶可以私下接入AP擴展，增加網(wǎng)絡(luò)安全部署的難度。

2 校園無線網(wǎng)絡(luò)存在的安全隱患

校園網(wǎng)面向全校師生，服務(wù)人群多，信息使用復(fù)雜，用戶在使用過程中可能遇到的安全隱患包括無線密鑰破解、拒絕服務(wù)、篡改數(shù)據(jù)、APP攻擊、MAC地址欺騙等，現(xiàn)對部分隱患進行分析。

2.1 無線密鑰破解

因為無線網(wǎng)絡(luò)具有易獲取與開放性的特性，同樣也容易遭到攻擊。為保證無線網(wǎng)絡(luò)接入用戶和數(shù)據(jù)傳輸?shù)陌踩?，管理人員使用IEEE802.11標(biāo)準(zhǔn)中WEP（有線對等保密）協(xié)議的安全機制來設(shè)置密鑰，對網(wǎng)絡(luò)進行加密和認證，這種加密方式是有弱點的，美國聯(lián)邦調(diào)查局的一組人曾經(jīng)通過網(wǎng)上免費的軟件在三分鐘內(nèi)破解一個用 WEP 保護的網(wǎng)絡(luò)。入侵者通過蹭網(wǎng)卡、BT5解碼等軟件非法捕捉AP信號覆蓋區(qū)內(nèi)的數(shù)據(jù)包，對數(shù)據(jù)包進行監(jiān)聽和偵測，從而判斷出無線網(wǎng)絡(luò)中的主機傳輸速度、該AP下的局域網(wǎng)內(nèi)發(fā)射無線信號的主機數(shù)量，收集到足夠WEP弱密鑰加密包后，即可暴力破解WEP密鑰。

2.2 拒絕服務(wù)

拒絕服務(wù)是攻擊無線網(wǎng)絡(luò)時常用的手段，其中一種方式是入侵者泛濫攻擊AP，隨機偽造出客戶端MAC地址，產(chǎn)生大量虛假的客戶端對AP進行連接。由于入侵者的持續(xù)攻擊，會使AP產(chǎn)生錯誤判斷，拒絕服務(wù)。另一種攻擊方式則是使資源耗盡，攻擊某一節(jié)點使其不斷轉(zhuǎn)發(fā)數(shù)據(jù)包，最終耗盡資源使其無法工作。入侵者可以通過病毒從網(wǎng)絡(luò)傳輸協(xié)議上或無線物理鏈路上破壞無線鏈路的信令數(shù)據(jù)、控制數(shù)據(jù)及用戶數(shù)據(jù)的正確傳輸，實現(xiàn)DOS攻擊，網(wǎng)絡(luò)用戶的數(shù)據(jù)在某種程度上會失去對無線鏈路的控制，造成數(shù)據(jù)丟失，這種入侵行為，嚴(yán)重者會導(dǎo)致校園網(wǎng)絡(luò)癱瘓。

2.3 數(shù)據(jù)安全隱患

非法用戶可以通過破解密鑰，接入校園網(wǎng)，占用網(wǎng)絡(luò)帶寬，甚至?xí)粜@服務(wù)器、惡意篡改、盜用師生的數(shù)據(jù)，侵害師生的隱私，帶來個人信息或經(jīng)濟損失，散播謠言以及做出違法的行為，也可能會借助自己掌握的技術(shù)肆意傳播網(wǎng)絡(luò)病毒，讓校園網(wǎng)終端用戶大面積中毒，造成嚴(yán)重的后果。

2.4 APP攻擊

手機軟件開發(fā)的技術(shù)日趨成熟，互聯(lián)網(wǎng)上已經(jīng)有了能控制網(wǎng)絡(luò)設(shè)備的APP。好奇心驅(qū)使下，學(xué)生可以通過下載APP控制校園的無線網(wǎng)絡(luò)設(shè)備，持續(xù)向校園網(wǎng)發(fā)送垃圾文件，導(dǎo)致校園網(wǎng)絡(luò)擁塞，造成APP攻擊。

3 校園無線網(wǎng)絡(luò)安全防御技術(shù)

3.1 健全管理機制，提高網(wǎng)絡(luò)安全意識

中職學(xué)校網(wǎng)絡(luò)管理人員不僅要構(gòu)建網(wǎng)絡(luò)安全防范機制，同時構(gòu)建無線網(wǎng)絡(luò)安全應(yīng)對機制，保證校園無線網(wǎng)絡(luò)的安全性，管理人員實時檢測無線網(wǎng)絡(luò)信號、信息傳輸?shù)葼顩r，及時處理無線網(wǎng)絡(luò)安全問題；并且要定期開展培訓(xùn)來提高師生的信息技術(shù)知識，加強關(guān)于信息安全方面的法律法規(guī)教育，樹立網(wǎng)絡(luò)安全防范的意識。

3.2 提升接入AP的安全技術(shù)

從安全角度出發(fā)，校園網(wǎng)絡(luò)應(yīng)盡量購買較高級別的企業(yè)級AP，這種AP的安全系數(shù)較高，可以設(shè)置用戶接入和訪問的安全策略。另外，可以通過AP檢測技術(shù)，及時有效發(fā)現(xiàn)未授權(quán)使用的AP，從而主動添加和移除這種AP，防止私自拉線接入AP。

3.3 使用用戶準(zhǔn)入認證機制

為防止未授權(quán)用戶占用網(wǎng)絡(luò)資源，有效保護校園無線網(wǎng)絡(luò)安全，可以使用用戶認證方式。其中一種方式是Web認證，Web認證給使用者分配地址，使用者訪問某些網(wǎng)站時，頁面會顯示出相關(guān)認證系統(tǒng)，需要用戶輸入用戶名與口令，然后才可以進入訪問。可以結(jié)合基于802.1X協(xié)議和Radius協(xié)議的身份驗證體系的應(yīng)用安全域技術(shù)，對于入網(wǎng)用戶進行身份驗證，該應(yīng)用安全域采用與網(wǎng)絡(luò)交換機聯(lián)動，通過綁定入網(wǎng)用戶的用戶名和密碼、IP地址、MAC地址、交換機IP和端口等信息來進行身份驗證，多種信息驗證通過后才可接入網(wǎng)絡(luò)，該技術(shù)還可以根據(jù)不同的用戶身份分配不同的訪問權(quán)限，校內(nèi)合法用戶可以訪問校內(nèi)的資源，校外用戶在獲取臨時權(quán)限接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器和網(wǎng)絡(luò)區(qū)域等。同時，在三層交換機下添加一臺行為網(wǎng)關(guān)，用于對上網(wǎng)人員進行實名認證并記錄上網(wǎng)行為日志。

3.4 使用專業(yè)入侵檢測技術(shù)

為防止非法用戶入侵，應(yīng)該使用專業(yè)的無線網(wǎng)絡(luò)入侵檢測系統(tǒng)，能使網(wǎng)絡(luò)管理人員實時監(jiān)控、采集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，及時跟蹤、監(jiān)控一些可疑的數(shù)據(jù)包，通過分析捕獲的數(shù)據(jù)包，可查出IP的來源。入侵檢測不只能防護自身網(wǎng)絡(luò)安全，還能查出攻擊的根源，將入侵者抓獲。防止被非法用戶竊取、篡改用戶信息，保證重要信息的安全性。

4 結(jié)束語

無線網(wǎng)絡(luò)的發(fā)展和普及，給中職學(xué)校的教師教學(xué)、科研、學(xué)生的課程學(xué)習(xí)帶來了極大方便。在建設(shè)無線網(wǎng)絡(luò)的過程中，必須更好地重視無線網(wǎng)絡(luò)的安全性，采取各種有效措施提升安全策略，才能構(gòu)建一個方便、快捷、穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境，保證校園無線網(wǎng)的安全，更好地服務(wù)全校師生。

參考文獻：

[1] 鄧體俊.論校園無線局域網(wǎng)通信安全策略[J].電腦知識與技術(shù)，2015（01）.

[2] 張旭.高校無線校園網(wǎng)安全研究[J].中國科技信息，2016（02）.

[3] 李玉強.校園無線網(wǎng)絡(luò)建設(shè)及安全管理探究[J].中國信息技術(shù)教育，2014（10）.

作者簡介：徐樂真，講師，網(wǎng)絡(luò)工程師，研究方向：計算機網(wǎng)絡(luò)技術(shù)。