◆陶麗俊

（溧陽(yáng)市天目湖中等專(zhuān)業(yè)學(xué)校 江蘇 213300）

智慧校園建設(shè)中無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題探索

◆陶麗俊

（溧陽(yáng)市天目湖中等專(zhuān)業(yè)學(xué)校 江蘇 213300）

隨著信息技術(shù)的飛速發(fā)展以及中職校信息化建設(shè)的不斷深入，構(gòu)建一個(gè)傳輸高速、部署靈活、安全性好的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境，是當(dāng)前中職校網(wǎng)絡(luò)建設(shè)中一項(xiàng)非常重要的任務(wù)。本文就智慧校園建設(shè)中無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了簡(jiǎn)單的分析。

智慧校園；網(wǎng)絡(luò)安全；無(wú)線(xiàn)網(wǎng)絡(luò)

0 引言

無(wú)線(xiàn)網(wǎng)絡(luò)（wirelessnetwork）是采用無(wú)線(xiàn)通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)。無(wú)線(xiàn)網(wǎng)絡(luò)既包括遠(yuǎn)距離無(wú)線(xiàn)連接的全球語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)，也包括為近距離無(wú)線(xiàn)連接進(jìn)行優(yōu)化的紅外線(xiàn)技術(shù)及射頻技術(shù)，無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)的用途類(lèi)似，最大的不同在于無(wú)線(xiàn)網(wǎng)絡(luò)以無(wú)線(xiàn)電作為傳輸媒介，而有線(xiàn)網(wǎng)絡(luò)利用的是網(wǎng)線(xiàn)。

無(wú)線(xiàn)網(wǎng)絡(luò)的優(yōu)點(diǎn)有許多，具體來(lái)講有以下幾條：（1）實(shí)現(xiàn)了無(wú)縫漫游；無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)在利用無(wú)線(xiàn)終端設(shè)備上網(wǎng)時(shí)，在無(wú)線(xiàn)信號(hào)覆蓋范圍內(nèi)可自由移動(dòng)使用，AP切換不會(huì)帶來(lái)不良影響。（2）實(shí)現(xiàn)了無(wú)線(xiàn)橋接，無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)互通，節(jié)省布線(xiàn)成本。（3）POE供電需要設(shè)備支持，通過(guò)網(wǎng)線(xiàn)供電使無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施更加簡(jiǎn)化。（4）方便管理、易擴(kuò)展；通過(guò)設(shè)置設(shè)備自帶軟件，可以輕松接入網(wǎng)絡(luò)，如有DHCP甚至無(wú)需設(shè)置，用戶(hù)接入數(shù)量多或想增大無(wú)線(xiàn)信號(hào)覆蓋范圍時(shí)，只需增加AP，省去了傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)布線(xiàn)的煩惱。（5）安全性高、移動(dòng)性強(qiáng)，無(wú)線(xiàn)網(wǎng)絡(luò)不在受線(xiàn)纜束縛，用戶(hù)可以在無(wú)線(xiàn)信號(hào)覆蓋范圍內(nèi)實(shí)現(xiàn)移動(dòng)學(xué)習(xí)、辦公，同時(shí)通過(guò)無(wú)線(xiàn)協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸安全性需求。（6）高效率、低成本，無(wú)線(xiàn)網(wǎng)絡(luò)使工作擺脫空間束縛，使工作更加方便快捷、效率更高，一個(gè)無(wú)線(xiàn)AP可同時(shí)接入數(shù)百個(gè)用戶(hù)同時(shí)訪(fǎng)問(wèn)，投資和維護(hù)成本較有線(xiàn)信息點(diǎn)大大降低。

1 智慧校園建設(shè)中的無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題分析

無(wú)線(xiàn)網(wǎng)絡(luò)由于其傳播具有開(kāi)放性，因此容易受到安全攻擊，過(guò)于繁雜的安全設(shè)置又會(huì)降低用戶(hù)的使用體驗(yàn)，如何使安全防御即簡(jiǎn)單又有效，是當(dāng)前業(yè)內(nèi)研究的熱點(diǎn)。校園無(wú)線(xiàn)網(wǎng)絡(luò)在學(xué)生中的使用人數(shù)已經(jīng)達(dá)到了95%以上，無(wú)線(xiàn)網(wǎng)絡(luò)攻擊手段不斷變化，最主要的有以下幾種：

1.1 內(nèi)部外部人員的入侵

在有線(xiàn)網(wǎng)絡(luò)中計(jì)算機(jī)需要連接在網(wǎng)線(xiàn)上才可上網(wǎng)，無(wú)線(xiàn)網(wǎng)絡(luò)則不同，只要在無(wú)線(xiàn)接入點(diǎn)（The wireless access point）覆蓋范圍內(nèi)，任何無(wú)線(xiàn)終端設(shè)備都可以通過(guò)熱點(diǎn)接入無(wú)線(xiàn)網(wǎng)絡(luò)，無(wú)法確定其具體位置，無(wú)線(xiàn)網(wǎng)絡(luò)管理相對(duì)寬松，缺乏傳輸介質(zhì)（如、光纖、雙絞線(xiàn)、同軸電纜等）的物理保護(hù)，致使未經(jīng)授權(quán)的用戶(hù)也可輕易進(jìn)入網(wǎng)絡(luò)，因此存在很大的安全隱患，校園中的科研項(xiàng)目、師生論文等數(shù)據(jù)資料經(jīng)常成為不法分子覬覦的對(duì)象，這些人利用無(wú)線(xiàn)AP開(kāi)放性特點(diǎn)中存在的安全漏洞，通過(guò)會(huì)話(huà)欺騙、攔截等手段入侵網(wǎng)絡(luò)系統(tǒng)，進(jìn)而竊取重要資料，嚴(yán)重影響了校園網(wǎng)的用網(wǎng)安全。

1.2 網(wǎng)絡(luò)竊聽(tīng)

無(wú)線(xiàn)網(wǎng)絡(luò)可以通過(guò)無(wú)線(xiàn)電波將數(shù)據(jù)傳輸?shù)饺魏螣o(wú)線(xiàn)信號(hào)覆蓋的地方，在此范圍內(nèi)可通過(guò)無(wú)線(xiàn)終端設(shè)備接收數(shù)據(jù)，這些數(shù)據(jù)大多以明文格式傳輸，因此在給用戶(hù)提供方便的同時(shí)也極易被人竊取，例如不法分子利用監(jiān)視軟件獲取用戶(hù)網(wǎng)址、聊天信息等，從這些數(shù)據(jù)信息中窺探用戶(hù)隱私，從而謀取不正當(dāng)利益。用戶(hù)數(shù)據(jù)被惡意破解往往會(huì)導(dǎo)致隱私泄露，個(gè)人利益受到威脅，進(jìn)而威脅整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)的安全。

1.3 WEP加密攻擊

WEP加密攻擊大體分為以下幾種：（1）不法分子在windows環(huán)境下直接破解還原無(wú)線(xiàn)網(wǎng)絡(luò)WEP加密密鑰，通過(guò)對(duì)收集到的數(shù)據(jù)包進(jìn)行破解，從而竊取用戶(hù)賬戶(hù)名稱(chēng)和密碼。（2）通過(guò)對(duì)WEP安全協(xié)議的漏洞進(jìn)行偵測(cè)，采取被動(dòng)攻擊或者主動(dòng)攻擊方式，對(duì)無(wú)線(xiàn)存取設(shè)備與用戶(hù)間的通訊進(jìn)行破解。（3）對(duì)WEP驗(yàn)證數(shù)據(jù)包進(jìn)行復(fù)制并反復(fù)發(fā)送虛假數(shù)據(jù)包，進(jìn)而獲取反饋信息，從而縮短收集驗(yàn)證數(shù)據(jù)包的時(shí)間，提高破解速度。因此，WEP加密對(duì)于不法分子來(lái)說(shuō)，無(wú)異于半開(kāi)著的大門(mén)。

1.4 移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊

對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊，可以分為對(duì)移動(dòng)終端的攻擊和對(duì)移動(dòng)核心網(wǎng)絡(luò)的攻擊，兩種攻擊方式相互支持，可提升攻擊效果。其攻擊方式：（1）利用偽基站；（2）利用通信協(xié)議漏洞。兩種攻擊都是以破壞用戶(hù)通信為目的，利用木馬對(duì)數(shù)據(jù)管理網(wǎng)絡(luò)進(jìn)行滲透，竊取用戶(hù)信息，或?qū)σ苿?dòng)設(shè)備進(jìn)行攻擊，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊與有線(xiàn)網(wǎng)絡(luò)攻擊目的相同，只是入口不同而已。

2 保障無(wú)線(xiàn)網(wǎng)絡(luò)安全的應(yīng)對(duì)策略分析

2.1 對(duì)入網(wǎng)用戶(hù)進(jìn)行篩查

從源頭上防止不法分子的入侵無(wú)線(xiàn)網(wǎng)絡(luò)智慧校園無(wú)線(xiàn)網(wǎng)絡(luò)給師生帶來(lái)方便快捷的使用體驗(yàn)的同時(shí)，也存在是很多安全隱患，給師生資料信息帶來(lái)了威脅，降低威脅的最直接辦法就是對(duì)入網(wǎng)用戶(hù)進(jìn)行資格驗(yàn)證，并將無(wú)線(xiàn)客戶(hù)端的物理地址標(biāo)識(shí)加入AP中的MAC地址列表，進(jìn)行手工維護(hù)，實(shí)現(xiàn)對(duì)用戶(hù)的物理地址過(guò)濾，因?yàn)檫@種方式需要手工維護(hù)，所以擴(kuò)展能力不足，并不適用于大型網(wǎng)絡(luò)，同時(shí)，不法分子通過(guò)盜用合法的MAC地址手段入侵，針對(duì)這一問(wèn)題，目前采用VLAN+IP地址+MAC地址來(lái)唯一標(biāo)識(shí)一個(gè)用戶(hù)，防止不法分子魚(yú)目混珠，非法入侵。

在此基礎(chǔ)上，還可利用設(shè)備制造商設(shè)定的服務(wù)集標(biāo)識(shí)符（SSID）對(duì)用戶(hù)群體進(jìn)行分組，客戶(hù)端出示正確的服務(wù)集標(biāo)識(shí)符才能接入無(wú)線(xiàn)網(wǎng)絡(luò)，避免潛在的安全威脅，盡可能避免向外廣播SSID，或者選擇極難猜中的SSID，防止不法分子知道口令短語(yǔ)，進(jìn)而入侵無(wú)線(xiàn)網(wǎng)絡(luò)。

2.2 802．1x擴(kuò)展認(rèn)證協(xié)議

基于802．1x認(rèn)證體系，是由客戶(hù)端設(shè)備、接入設(shè)備、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成，采用標(biāo)準(zhǔn)安全協(xié)議提供集中的用戶(hù)標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)秘鑰管理，從而降低無(wú)線(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

作為RADIUS客戶(hù)端配置的無(wú)線(xiàn)接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器。RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶(hù)端獲得身份驗(yàn)證，并且為會(huì)話(huà)生成唯一密鑰。然后，客戶(hù)機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

2.3 提高師生網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)監(jiān)測(cè)與管理

上述幾條措施可以在一定程度上防范不法分子的攻擊，但卻無(wú)法杜絕，因此校內(nèi)師生應(yīng)從自身出發(fā)，提高安全防范意識(shí)，加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備的管理與監(jiān)測(cè)，定期查看服務(wù)器日志，利用無(wú)錢(qián)入侵監(jiān)測(cè)系統(tǒng)對(duì)不法分子的攻擊行為提前預(yù)警，發(fā)現(xiàn)攻擊行為果斷采取措施，對(duì)異常終端設(shè)備進(jìn)行屏蔽、拉黑，保證其他用戶(hù)和整個(gè)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全。校園無(wú)線(xiàn)網(wǎng)絡(luò)擺脫了實(shí)體線(xiàn)路的束縛，具有廣泛的應(yīng)用需求，保障無(wú)線(xiàn)網(wǎng)絡(luò)信息的安全性是一項(xiàng)長(zhǎng)期的工作，需要根據(jù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，不斷更新網(wǎng)絡(luò)安全策略，更新安全設(shè)備，為無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)提供安全的網(wǎng)絡(luò)環(huán)境。

3 結(jié)束語(yǔ)

隨著無(wú)線(xiàn)終端設(shè)備的日益普及，構(gòu)建穩(wěn)定、安全和高效的無(wú)線(xiàn)網(wǎng)絡(luò)是智慧校園建設(shè)的必然趨勢(shì)，由于無(wú)線(xiàn)網(wǎng)絡(luò)的傳輸介質(zhì)為電磁波，傳輸介質(zhì)的特殊性決定了無(wú)線(xiàn)網(wǎng)絡(luò)更易受到干擾、竊取和破壞，無(wú)線(xiàn)網(wǎng)絡(luò)安全與否直接影響著智慧校園系統(tǒng)的可靠性與穩(wěn)定性，隨著校內(nèi)師生對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的要求越來(lái)越高，無(wú)線(xiàn)網(wǎng)絡(luò)除了為校內(nèi)師生提供方便快捷的上網(wǎng)體驗(yàn)，還要在安全性、私密性方面給予更多保障，這就要求我們面對(duì)當(dāng)前不法分子各種各樣的攻擊手段，不斷調(diào)整應(yīng)對(duì)策略，為校內(nèi)師生提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

[1]胡建龍．現(xiàn)代校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)與管理[J]．中國(guó)教育信息化·高教職教，2015．

[2]肖偉．無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題與解決策略研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016．