鄭州，楊帆

（重慶市教育信息技術(shù)與裝備中心，重慶400020）

基于校園規(guī)?；療o線網(wǎng)絡(luò)入侵安全防御技術(shù)方案的設(shè)計(jì)

鄭州，楊帆

（重慶市教育信息技術(shù)與裝備中心，重慶400020）

隨著校園智慧化建設(shè)的迅速加快、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，未來校園信息化更加關(guān)心的是創(chuàng)新、改變。在國(guó)家“互聯(lián)網(wǎng)+”大戰(zhàn)略背景下，如何利用無線網(wǎng)絡(luò)為業(yè)務(wù)、管理提供更多的創(chuàng)新服務(wù)，這是下一階段許多校園信息化建設(shè)關(guān)注的重點(diǎn)。隨著無線互聯(lián)熱點(diǎn)的普及，人們對(duì)無線WiFi的依賴程度也越來越高，然而隨之而來的無線安全問題也日益嚴(yán)重。為了有效防范和化解風(fēng)險(xiǎn)，更全面地防護(hù)無線安全，必須在無線網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)，以增強(qiáng)公共WiFi平臺(tái)的整體安全。本文進(jìn)行了無線網(wǎng)絡(luò)風(fēng)險(xiǎn)分析、安全需求分析，通過實(shí)際方案的實(shí)驗(yàn)探究了解無線網(wǎng)絡(luò)入侵安全防御技術(shù)。

無線網(wǎng)絡(luò)；入侵安全；防御技術(shù)；實(shí)驗(yàn)方案

一、無線網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

目前，無線WiFi網(wǎng)絡(luò)所面臨的安全威脅大體可分為兩種：一是黑客通過無線攻擊入侵校園WiFi公共平臺(tái)內(nèi)部，獲取內(nèi)部信息，或影響無線網(wǎng)絡(luò)的正常運(yùn)行；二是如何實(shí)施監(jiān)控校園公共WiFi無線網(wǎng)絡(luò)中存在的攻擊及非法熱點(diǎn)，例如DDoS攻擊、暴力破解、釣魚攻擊等。具體分析如下幾點(diǎn)：

1.缺乏無線網(wǎng)絡(luò)威脅監(jiān)控手段

校園公共WiFi網(wǎng)絡(luò)建成后，無線熱點(diǎn)逐漸成為人們?cè)谛@公共場(chǎng)所通訊及獲取信息的重要手段及方式，包括教學(xué)、辦公、出行、休閑娛樂等日常生活和工作。無線網(wǎng)絡(luò)如果被網(wǎng)絡(luò)攻擊或黑客破壞，將使用戶接入大幅降低，嚴(yán)重影響系統(tǒng)性能，將造成網(wǎng)絡(luò)癱瘓、業(yè)務(wù)中斷，甚至社會(huì)生活混亂等情況。

無線局域網(wǎng)傳輸作為開放的傳輸介質(zhì)，很容易被用來發(fā)動(dòng) DoS攻擊。此外，802.11 MAC協(xié)議中的 soft spots也是被用來作為發(fā)動(dòng) DoS攻擊的漏洞。例如以下的DoS攻擊：authentication、association、de-authentication 或 disassociation flood、NAV attack、CTS flood、EAP and EAPOL message floods，這類就可以輕易發(fā)動(dòng)而造成整個(gè)無線局域網(wǎng)絡(luò)癱瘓。從因特網(wǎng)上可以輕易獲得各種DoS工具，如AirJack、FataJack、Void11、Fake AP等等。

2.缺乏無線網(wǎng)絡(luò)安全評(píng)估手段

對(duì)于合法設(shè)備的安全性設(shè)置情況，如是否啟用了適當(dāng)?shù)募用苁侄?、是否啟用了適當(dāng)?shù)陌踩呗缘取?/p>

無法得知在公共范圍內(nèi)，是否有人惡意搭建釣魚AP，無法得知公共無線網(wǎng)絡(luò)是否受到攻擊和威脅，比如無線網(wǎng)絡(luò)是否受到了DoS攻擊、是否有人在對(duì)合法AP進(jìn)行暴力密碼破解等。

3.非法熱點(diǎn)發(fā)現(xiàn)

目前無線局域網(wǎng)接入點(diǎn)（WLAN APs）非常便宜、容易安裝、小巧而容易攜帶。非法的WLAN APs可以無意地或者在網(wǎng)絡(luò)管理人員無法察覺的情況下惡意地接入到已有的網(wǎng)絡(luò)，只需要把一個(gè)小巧的WLAN APs帶到公共WiFi網(wǎng)絡(luò)覆蓋范圍內(nèi)即可使用，瞬間即可建立獨(dú)立熱點(diǎn)。

在很多校園公共場(chǎng)所，用戶為了方便上網(wǎng)，私接無線AP是快速方便無線接入的典型方式，他們安裝的AP幾乎沒有任何安全控制 （例如接入控制列表、Wire Equivalent協(xié)議、802.1X、802.11i等）。由于這些 AP可以連接到網(wǎng)絡(luò)中的任何以太網(wǎng)接口，也就可以無視已有的WLAN安全控制點(diǎn)（如Wi-Fi交換機(jī)和防火墻）。私接AP的無線電覆蓋無法被所在建筑物完全屏蔽，非法用戶這時(shí)就可以通過這些私接 AP溢出的無線電覆蓋連接到網(wǎng)絡(luò)。不可見的電磁場(chǎng)使管制這種意外活動(dòng)變得很困難，即使察覺到他們的存在，找到他們同樣很困難。

終端的不當(dāng)連接也是合法用戶終端與非法熱點(diǎn)AP建立的連接。一些部署在辦公區(qū)周圍的AP可能沒有做任何安全控制，辦公區(qū)內(nèi)的用戶就可能與這些外部AP建立連接。一旦這個(gè)客戶端連接到外部AP，內(nèi)部可信賴的網(wǎng)絡(luò)就置身風(fēng)險(xiǎn)之中，外部不安全的連接通過這個(gè)客戶端就能接入內(nèi)部網(wǎng)絡(luò)。考慮到無線網(wǎng)絡(luò)的安全狀況，我們要防止特定區(qū)域內(nèi)的合法用戶與外部 AP建立連接，進(jìn)而導(dǎo)致內(nèi)部信息外露的情況。

二、安全需求分析

根據(jù)校園公共WiFi無線網(wǎng)絡(luò)的建設(shè)現(xiàn)狀以及風(fēng)險(xiǎn)分析，我們認(rèn)為校園公共WiFi無線網(wǎng)絡(luò)應(yīng)著重解決如下安全需求：

1.安全評(píng)估

對(duì)于無線網(wǎng)絡(luò)的安全防御，首先需要有一套安全評(píng)估系統(tǒng)對(duì)無線網(wǎng)絡(luò)的安全狀況有清晰的了解。它可以了解管理范圍內(nèi)的AP情況，可以區(qū)分出哪些是合法的AP、哪些是非法私搭亂建AP，可以了解合法AP的安全設(shè)置情況，是否有弱密碼、是否開啟了適當(dāng)?shù)募用苁侄?、是否啟用了適當(dāng)?shù)陌踩呗缘取？梢粤私猱?dāng)前無線網(wǎng)絡(luò)，是否在受到諸如DDoS、暴力破解密碼等攻擊，并根據(jù)以上情況，對(duì)網(wǎng)絡(luò)的整體情況進(jìn)行綜合打分，使網(wǎng)絡(luò)管理人員可以對(duì)網(wǎng)絡(luò)的整體安全情況一目了然。

2.熱點(diǎn)管理

AP熱點(diǎn)，是無線網(wǎng)絡(luò)的重要組成部分，只有加強(qiáng)AP的管理，無線網(wǎng)絡(luò)才有安全的基礎(chǔ)。需要以黑白名單的方式，來區(qū)分合法AP和非法私搭亂建AP。對(duì)于非法AP，要能夠進(jìn)行壓制，避免有終端有意或者無意進(jìn)行連接。對(duì)于非法AP，要能夠進(jìn)行定位，可以快速找出私搭亂建者的位置，以便下一步處理。

3.攻擊檢測(cè)預(yù)警

對(duì)于DDoS和暴力破解等攻擊，需要能夠及時(shí)發(fā)現(xiàn)、及時(shí)預(yù)警，以便管理員采取相應(yīng)手段進(jìn)行應(yīng)對(duì)。

4.終端接入管理

為了進(jìn)一步確保終端的安全，需要以黑白名單的形式來設(shè)置終端可接入AP的范圍，以避免終端在無意之間釣魚AP。

三、無線安全解決方案

1.整體思路

針對(duì)當(dāng)前校園公共WiFi建設(shè)遇到的安全風(fēng)險(xiǎn)和需求，為了解決當(dāng)前無線網(wǎng)絡(luò)安全問題，我們應(yīng)專門研究制定一套整體解決方案進(jìn)行驗(yàn)證，該方案從無線攻防的角度進(jìn)行設(shè)計(jì)，以數(shù)據(jù)捕獲能力、協(xié)議分析能力為基礎(chǔ)，可以精準(zhǔn)識(shí)別攻擊行為并快速對(duì)威脅進(jìn)行響應(yīng)，不間斷地對(duì)無線網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)并將無線入侵拒之門外，保護(hù)無線網(wǎng)絡(luò)邊界安全；快捷、直觀、全面的管理方式提高管理效率、降低管理難度，可協(xié)助無線網(wǎng)絡(luò)管理員了解無線環(huán)境安全狀況、為公共無線網(wǎng)絡(luò)安全建設(shè)和防御提供決策依據(jù)；簡(jiǎn)易的部署方式不改變用戶原有網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省用戶投資，獨(dú)立的無線收發(fā)引擎設(shè)備可提供更專注更高效的安全保護(hù)。

根據(jù)當(dāng)前公共WiFi建設(shè)需求、無線接入點(diǎn)AP的設(shè)計(jì)數(shù)量和覆蓋的范圍，考慮到校園WiFi建設(shè)的實(shí)際情況，中等規(guī)模校園一般需要1.15萬個(gè)無線收發(fā)引擎來保障當(dāng)前環(huán)境的無線安全，（1:2的比例，1個(gè)收發(fā)引擎對(duì)應(yīng)2個(gè)無線接入點(diǎn)防護(hù)）以無線攻防思維，為校園構(gòu)建全面的無線安全防護(hù)體系，切實(shí)保護(hù)公共無線網(wǎng)絡(luò)邊界安全。

2.方案架構(gòu)

無線安全防御系統(tǒng)主要由中控服務(wù)器、硬件傳感器和WEB管理平臺(tái)組成，滿足校園公共WiFi系統(tǒng)的更高安全要求，為無線網(wǎng)絡(luò)安全提供更多保護(hù)。管理員通過訪問WEB管理平臺(tái)，能夠及時(shí)發(fā)現(xiàn)是否存在私建熱點(diǎn)、偽造熱點(diǎn)等違規(guī)行為，及時(shí)對(duì)可疑熱點(diǎn)進(jìn)行阻斷和定位，將無線網(wǎng)絡(luò)安全威脅拒之門外。同時(shí)系統(tǒng)提供熱點(diǎn)分布概況分析、客戶端連接熱點(diǎn)趨勢(shì)分析以及安全事件匯總等核心數(shù)據(jù)，幫助校園公共WiFi系統(tǒng)制定更加有針對(duì)性的無線網(wǎng)絡(luò)防護(hù)策略。

3.基礎(chǔ)架構(gòu)（見圖1）

圖1 系統(tǒng)基礎(chǔ)架構(gòu)組成示意圖

4.系統(tǒng)設(shè)計(jì)

考慮到無線校園公共WiFi總體建設(shè)范圍廣、覆蓋面積大、涉及AP終端數(shù)量較多的特點(diǎn)，安全防御系統(tǒng)采用分布式多級(jí)部署方式。其中，設(shè)置一級(jí)總管控中心，用于管理一級(jí)系統(tǒng)范圍AP收發(fā)引擎；在重點(diǎn)區(qū)域核心區(qū)域設(shè)置多個(gè)二級(jí)管理分控制中心，用于管理轄內(nèi)AP收發(fā)引擎并定期向一級(jí)管控中心上報(bào)運(yùn)行情況，同時(shí)一級(jí)管控中心可集中對(duì)下發(fā)無線安全策略，二級(jí)中心也可根據(jù)自身無線環(huán)境特點(diǎn)定制本級(jí)中心的策略。如圖2所示：

5.主要功能

（1）無線熱點(diǎn)阻斷

WiFi熱點(diǎn)是無線網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)的重要設(shè)備，一旦熱點(diǎn)被劫持或其本身就是作為攻擊手段而被建立的，那么該熱點(diǎn)即為惡意熱點(diǎn)。對(duì)于惡意熱點(diǎn)的防范措施而言，有效而精準(zhǔn)的無線熱點(diǎn)阻斷方式作為抑制攻擊的防御手段，在無線安全防御系統(tǒng)中是不可或缺的。本解決方案的阻斷方式有別于其他無線入侵方式系統(tǒng)所使用的射頻干擾技術(shù)進(jìn)行范圍大、輻射強(qiáng)的阻斷，使用技術(shù)領(lǐng)先的協(xié)議阻斷機(jī)制進(jìn)行精準(zhǔn)且智能的惡意熱點(diǎn)阻斷方式。通過熱點(diǎn)阻斷，可允許所在無線網(wǎng)絡(luò)區(qū)域內(nèi)某些特定的熱點(diǎn)可用，而其他無線熱點(diǎn)不可用，該阻斷策略分為手動(dòng)阻斷和自動(dòng)阻斷兩種模式，用戶可自定義設(shè)置。

圖2 架構(gòu)設(shè)計(jì)示意圖

（2）無線攻擊檢測(cè)

保證無線網(wǎng)絡(luò)安全的關(guān)鍵任務(wù)是持續(xù)關(guān)注當(dāng)前無線網(wǎng)絡(luò)的安全狀況，方案通過部署在各個(gè)區(qū)域的高性能無線數(shù)據(jù)收發(fā)引擎裝置，持續(xù)捕獲當(dāng)前無線環(huán)境中所有的數(shù)據(jù)流量，并將數(shù)據(jù)流量實(shí)時(shí)傳輸?shù)街锌胤?wù)器進(jìn)行安全性分析。中控服務(wù)器內(nèi)置無線威脅感知引擎，可將接收到的數(shù)據(jù)與無線攻擊特征庫進(jìn)行智能比對(duì)，能夠針對(duì)無線網(wǎng)絡(luò)數(shù)據(jù)鏈路層的無線網(wǎng)絡(luò)攻擊行為進(jìn)行精準(zhǔn)識(shí)別。一旦發(fā)現(xiàn)惡意行為立即通知收發(fā)引擎采取相應(yīng)措施，將威脅抑制在攻擊發(fā)生之前，達(dá)到實(shí)時(shí)監(jiān)測(cè)的目的。同時(shí)，針對(duì)建立釣魚熱點(diǎn)進(jìn)行釣魚攻擊等惡意行為，無線威脅感知引擎通過熱點(diǎn)安全策略關(guān)聯(lián)性分析技術(shù)，也能進(jìn)行有效識(shí)別，使?jié)摲跓o線網(wǎng)絡(luò)中的各種威脅無處可藏。

（3）安全策略設(shè)置

非白即黑策略，啟用該策略后，把本區(qū)域內(nèi)的合法熱點(diǎn)全部加入白名單，則所有白名單之外的熱點(diǎn)，都會(huì)被自動(dòng)阻斷。報(bào)警策略，可以定義安全事件的報(bào)警級(jí)別、報(bào)警方式等。

（4）無線安全評(píng)估

對(duì)校園公共WiFi系統(tǒng)的無線網(wǎng)絡(luò)安全情況進(jìn)行評(píng)估，主要有以下幾點(diǎn)依據(jù)。無線熱點(diǎn)的安全性設(shè)置，針對(duì)已經(jīng)添加在白名單中的熱點(diǎn)，如加密等級(jí)過低、使用弱口令等，都會(huì)影響到無線網(wǎng)絡(luò)的安全評(píng)級(jí)。

6.方案特點(diǎn)

（1）無線防御實(shí)時(shí)監(jiān)測(cè)

保證無線網(wǎng)絡(luò)安全的關(guān)鍵任務(wù)是持續(xù)關(guān)注當(dāng)前無線網(wǎng)絡(luò)的安全狀況，通過部署高性能無線數(shù)據(jù)收發(fā)引擎裝置，持續(xù)捕獲當(dāng)前無線環(huán)境中所有的數(shù)據(jù)流量，并將數(shù)據(jù)流量實(shí)時(shí)傳輸?shù)街锌胤?wù)器進(jìn)行安全性分析。中控服務(wù)器內(nèi)置無線威脅感知引擎，可將接收到的數(shù)據(jù)與無線攻擊特征庫進(jìn)行智能比對(duì)，能夠針對(duì)無線網(wǎng)絡(luò)數(shù)據(jù)鏈路層的無線網(wǎng)絡(luò)攻擊行為進(jìn)行精準(zhǔn)識(shí)別。一旦發(fā)現(xiàn)惡意行為立即通知收發(fā)引擎采取相應(yīng)措施，將威脅抑制在攻擊發(fā)生之前，達(dá)到實(shí)時(shí)監(jiān)測(cè)的目的。同時(shí)，針對(duì)建立釣魚熱點(diǎn)進(jìn)行釣魚攻擊等惡意行為，無線威脅感知引擎通過熱點(diǎn)安全策略關(guān)聯(lián)性分析技術(shù)，也能進(jìn)行有效識(shí)別，使?jié)摲跓o線網(wǎng)絡(luò)中的各種威脅無處可藏。

（2）惡意熱點(diǎn)精確阻斷

WiFi熱點(diǎn)是無線網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)的重要設(shè)備，一旦熱點(diǎn)被劫持或其本身就是作為攻擊手段而被建立的，那么該熱點(diǎn)即為惡意熱點(diǎn)。對(duì)于惡意熱點(diǎn)的防范措施而言，有效而精準(zhǔn)的無線熱點(diǎn)阻斷方式作為抑制攻擊的防御手段，在無線安全防御系統(tǒng)中是不可或缺的。本方案的阻斷方式有別于其他無線入侵方式系統(tǒng)所使用的射頻干擾技術(shù)進(jìn)行范圍大、輻射強(qiáng)的阻斷，方案使用技術(shù)領(lǐng)先的協(xié)議阻斷機(jī)制進(jìn)行精準(zhǔn)且智能的惡意熱點(diǎn)阻斷。通過熱點(diǎn)阻斷，可允許所在無線網(wǎng)絡(luò)區(qū)域內(nèi)某些特定的熱點(diǎn)使用，而其他無線熱點(diǎn)不可用，該阻斷策略分為手動(dòng)阻斷和自動(dòng)阻斷兩種模式，用戶可自定義設(shè)置。

（3）安全事件智能告警

對(duì)于一款無線安全防御產(chǎn)品來說，監(jiān)測(cè)到無線攻擊事件發(fā)生或檢測(cè)到惡意熱點(diǎn)存在時(shí)，向管理員提供告警信息已經(jīng)是十分普遍的做法。但同時(shí)也帶來一個(gè)問題就是，告警信息過多，管理員疲于應(yīng)付每天系統(tǒng)向他發(fā)出的各種告警，這些告警大多是沒有經(jīng)過過濾和分析過的無用告警，有些則是真正需要被管理員注意到并需要處理的問題，但這些真正的問題很可能被淹沒在大量的無用告警信息之中。本方案搭載事件分析與告警引擎，能夠?qū)χ锌胤?wù)器上報(bào)的安全事件進(jìn)行分析和篩選，并在此基礎(chǔ)上將事件按照安全策略設(shè)定的嚴(yán)重級(jí)別進(jìn)行分類，篩選后告警信息將通過郵件提醒、首頁提示和告警日志三種方式展現(xiàn)給管理員。這樣無用的安全事件告警信息將大大減少，同時(shí)管理員在本方案的管理界面就可以看到他真正關(guān)注的無線安全事件。本解決方案事件分析與告警引擎有效降低無線安全事件誤報(bào)率，極大提高管理員工作效率，降低維護(hù)工作量，讓事件告警更智能。

（4）黑白名單智能管控

無線安全防御系統(tǒng)的主要工作方式分為監(jiān)測(cè)、識(shí)別和阻斷三個(gè)階段。監(jiān)測(cè)功能大多由系統(tǒng)自動(dòng)完成，但絕大多數(shù)無線安全防御系統(tǒng)的識(shí)別與阻斷功能，尤其是阻斷都是由管理員手工完成的：對(duì)于系統(tǒng)監(jiān)測(cè)到的攻擊事件發(fā)生或存在惡意熱點(diǎn)，系統(tǒng)可以向管理員發(fā)出告警提示，并由管理員進(jìn)行處理。但傳統(tǒng)解決方案存在的一個(gè)很大的問題就是：為了及時(shí)處理系統(tǒng)監(jiān)測(cè)的攻擊事件（尤其攻擊者喜歡在半夜進(jìn)行攻擊），管理員甚至需要7×24小時(shí)值班進(jìn)行看管；管理員需要持續(xù)地在大量熱點(diǎn)與終端中進(jìn)行手工排查，查看當(dāng)前無線網(wǎng)絡(luò)中是否存在非法熱點(diǎn)或終端。本方案就是從管理者角度出發(fā)，向用戶提供熱點(diǎn)及終端黑白名單管理功能，首先管理員根據(jù)安全策略對(duì)當(dāng)前無線網(wǎng)絡(luò)環(huán)境內(nèi)的熱點(diǎn)及終端進(jìn)行分類，屬于合法熱點(diǎn)和終端的就劃分至白名單，安全屬性未知的則劃分至未知名單中，有可疑行為的熱點(diǎn)或終端則劃分至黑名單中。同時(shí)系統(tǒng)也將根據(jù)安全策略進(jìn)行自動(dòng)監(jiān)測(cè)，并將監(jiān)測(cè)到的熱點(diǎn)或終端按以上分類方式進(jìn)行區(qū)別對(duì)待，在設(shè)置自動(dòng)阻斷前提下，系統(tǒng)可自動(dòng)阻斷和隔離黑名單中的熱點(diǎn)及終端，這樣可大大提高管理員排查和阻斷的工作效率。

（5）安全審計(jì)報(bào)表

對(duì)于公共WiFi系統(tǒng)來說，報(bào)表不僅是為了向上級(jí)進(jìn)行工作匯報(bào)，更需要通過報(bào)表中的數(shù)據(jù)反映出實(shí)際的問題和應(yīng)對(duì)的策略。但目前絕大多數(shù)同類產(chǎn)品輕視報(bào)表的重要性，甚至沒有報(bào)表功能。有的產(chǎn)品所產(chǎn)生的報(bào)表僅僅是一份堆疊原始采集數(shù)據(jù)的Excel表 （例如日志數(shù)據(jù)、安全事件數(shù)據(jù)、告警信息等）或是毫無意義的大段文字。管理員面對(duì)這樣的審計(jì)報(bào)表很難發(fā)揮報(bào)表應(yīng)有效果。本方案可根據(jù)管理員的需求靈活生成無線安全威脅報(bào)告，并可在生成后自動(dòng)發(fā)送至管理員郵箱，方便管理員抄送至領(lǐng)導(dǎo)郵箱，提高管理員工作效率。同時(shí)管理員也可查看過往已生成的報(bào)告。無線安全威脅報(bào)告包括安全概覽、惡意熱點(diǎn)處理、惡意熱點(diǎn)分布、無線攻擊分布和安全小結(jié)。安全概況可幫助讀者通過整體安全指數(shù)快速概覽當(dāng)前無線安全狀態(tài)，并可知道哪個(gè)區(qū)域安全指數(shù)最高、哪個(gè)區(qū)域安全指數(shù)最低以及惡意熱點(diǎn)和無線攻擊的趨勢(shì)如何。惡意熱點(diǎn)（攻擊事件）處理及分布概況向讀者展示報(bào)告周期內(nèi)，熱點(diǎn)及攻擊事件的處理狀況和分布情況，幫助管理員進(jìn)行有針對(duì)性的排查。由于系統(tǒng)支持分布式多區(qū)域的部署方式，因此管理員可選擇指定區(qū)域詳細(xì)查看該區(qū)域的無線安全狀況，可以根據(jù)報(bào)表中的安全小結(jié)采取相應(yīng)措施。

（6）無線網(wǎng)絡(luò)狀況展示

傳統(tǒng)的無線安全防御系統(tǒng)或國(guó)內(nèi)安全類產(chǎn)品對(duì)事件的描述大多為列表文字化的方式，并且按時(shí)間由遠(yuǎn)及近的排序。滿足業(yè)務(wù)需求永遠(yuǎn)是傳統(tǒng)安全產(chǎn)品的首要任務(wù)，管理員似乎也逐漸接受這種古老的單一維度的展現(xiàn)方式。但是仍有國(guó)內(nèi)部分大的互聯(lián)網(wǎng)安全企業(yè)，深諳應(yīng)如何向用戶提供更好的產(chǎn)品，滿足用戶需求是基本，提高用戶體驗(yàn)才能讓用戶更好地使用產(chǎn)品，在產(chǎn)品設(shè)計(jì)之初便清楚，滿足業(yè)務(wù)需求與提高用戶體驗(yàn)都是一個(gè)解決方案的職責(zé)所在。本方案將互聯(lián)網(wǎng)產(chǎn)品設(shè)計(jì)模式引入傳統(tǒng)安全產(chǎn)品領(lǐng)域，創(chuàng)新性地運(yùn)用多種統(tǒng)計(jì)方式為管理員從多方面展現(xiàn)無線網(wǎng)絡(luò)狀況，創(chuàng)新方式直觀變化，展現(xiàn)當(dāng)前區(qū)域的無線安全變化情況，并在區(qū)域存在風(fēng)險(xiǎn)情況下以分類的形式向管理員描述系統(tǒng)當(dāng)前存在哪些風(fēng)險(xiǎn)。同時(shí)利用餅狀圖、柱狀圖以及趨勢(shì)圖等也為管理員展現(xiàn)不同設(shè)備在當(dāng)前區(qū)域內(nèi)的狀態(tài)。

綜上，校園大規(guī)模公共WiFi系統(tǒng)建設(shè)的環(huán)境不再局限于一個(gè)地方，涉及面積不斷擴(kuò)大，辦公區(qū)域逐漸增多，跨地區(qū)也不再少見，對(duì)管理來說，無線安全的分級(jí)管理勢(shì)在必行。在無線安全防御類系統(tǒng)中設(shè)計(jì)支持基于人員與角色的多中控、多區(qū)域的管理架構(gòu)，能夠極大簡(jiǎn)化區(qū)域管理，通過這種管理架構(gòu)，可將原本各自孤立的無線安全孤島連接起來，既能使總部的安全策略順利上傳下達(dá)，各分部區(qū)域內(nèi)又可以靈活管理，使整個(gè)無線網(wǎng)絡(luò)安全管理效果不因地域而受限，不因人員而不同，同時(shí)能有效避免管理 “越界”，定義角色的無線安全管理機(jī)制，建立起有效防范和化解風(fēng)險(xiǎn)，更全面地防護(hù)無線安全，解決無線網(wǎng)絡(luò)邊界的安全防護(hù)，有效增強(qiáng)公共WiFi平臺(tái)的整體安全。

[1]翟克利,唐占懷.分析我國(guó)智慧城市建設(shè)的現(xiàn)狀及思考[J].城市建設(shè)理論研究（電子版）,2013(13).

[2]360助力東莞打造全國(guó)首個(gè)無線安全城市[N].齊魯晚報(bào),2016-3-14.

[3]360科技公司云事業(yè)部總監(jiān)張曉兵:互聯(lián)網(wǎng)+時(shí)代的安全思想與攻防實(shí)踐[J].通信管理與技術(shù),2015(4).

[4]楊曉雪.對(duì)無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法的應(yīng)用研究[J].信息通信,2015(4).

[5]胡福強(qiáng),許曉東.基于RSS的無線局域網(wǎng)MAC層DOS攻擊的檢測(cè)與定位[J].無線通信技術(shù),2015(2).

（編輯：王天鵬）

TP393

A

1673-8454（2017）11-0088-04