◆張 娟 淡 軍

供電企業(yè)無(wú)線局域網(wǎng)安全性分析

◆張 娟 淡 軍

（昆明供電局 云南 650011）

無(wú)線局域網(wǎng)絡(luò)在傳播介質(zhì)上具有公開(kāi)性，因此，它與有線網(wǎng)絡(luò)所受到的威脅一致，都會(huì)面對(duì)針對(duì)TCP/IP協(xié)議漏洞攻擊的威脅，同時(shí)由于無(wú)線局域網(wǎng)絡(luò)的特殊性，在802.11協(xié)議標(biāo)準(zhǔn)中還存在特殊的威脅，因此對(duì)其安全性造成了較為嚴(yán)峻的考驗(yàn)，需要對(duì)供電企業(yè)無(wú)線局域網(wǎng)絡(luò)進(jìn)行安全性分析，并對(duì)檢測(cè)系統(tǒng)進(jìn)行有效管理。本文主要介紹無(wú)線局域網(wǎng)絡(luò)（Wlan）基本的定義，針對(duì)無(wú)線局域網(wǎng)絡(luò)安全技術(shù)研究，同時(shí)介紹了無(wú)線局域網(wǎng)絡(luò)存在的安全隱患，并就某供電公司關(guān)于無(wú)線局域網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀進(jìn)行了研究，有針對(duì)性地闡述如何構(gòu)建安全的企業(yè)無(wú)線局域網(wǎng)，提出了自己的建議和看法，供相關(guān)人員參考。

無(wú)線局域網(wǎng)；供電企業(yè)；安全性；TCP/IP協(xié)議

1 前言

隨著現(xiàn)代信息技術(shù)的飛速發(fā)展，在人們的生產(chǎn)和生活中，無(wú)線局域網(wǎng)絡(luò)主要在空氣中對(duì)數(shù)據(jù)進(jìn)行接收和發(fā)送，這種無(wú)線局域網(wǎng)絡(luò)能夠較為靈活的應(yīng)對(duì)周圍環(huán)境的變化，使得網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)具有可移動(dòng)性，相較于有線傳輸方式來(lái)說(shuō)，能夠較好地改變有線網(wǎng)連通限制的問(wèn)題，極大地方便了人們之間的數(shù)據(jù)連接。供電企業(yè)經(jīng)過(guò)十幾年的信息化發(fā)展，針對(duì)企業(yè)內(nèi)部的信息化安全工作采用了較為有效的措施，在企業(yè)內(nèi)部，無(wú)線局域網(wǎng)絡(luò)一般是作為有線網(wǎng)絡(luò)建設(shè)的補(bǔ)充，同時(shí)它能夠?yàn)槠髽I(yè)移動(dòng)辦公提供快捷的入口。

2 無(wú)線局域網(wǎng)的組成

典型的無(wú)線局域網(wǎng)主要有以下幾個(gè)部分組成：

2.1 工作站

工作站主要是指與無(wú)線媒介相連接的部分，它主要包含MAC實(shí)體。與有線網(wǎng)絡(luò)相比，工作站也經(jīng)常被稱為網(wǎng)絡(luò)適配器或者是接口卡，工作站在通信前后，需要進(jìn)行身份認(rèn)證，在傳輸數(shù)據(jù)前，也需要進(jìn)行加密，主要防止數(shù)據(jù)泄露。

2.2 基本服務(wù)集

基本服務(wù)集是無(wú)線局域網(wǎng)絡(luò)的基本組成部分，它能夠提供所覆蓋的區(qū)域，將區(qū)域內(nèi)部的服務(wù)集合看成一個(gè)橢圓，在其范圍內(nèi)，成員工作站能夠在相互之間進(jìn)行數(shù)據(jù)傳輸。基本服務(wù)機(jī)有三種形式，第一種是集中控制方式，這種控制方式每一個(gè)單元有一個(gè)中心站進(jìn)行控制；第二種是分布對(duì)等式，這種方式是可以在兩個(gè)終端之間直接進(jìn)行通信，不需要中心站點(diǎn)的連接；第三是兩種連接方式的結(jié)合方式，這種被稱為擴(kuò)展服務(wù)組。

2.3 分布系統(tǒng)

分布系統(tǒng)主要連接不同的服務(wù)器，不同的基本服務(wù)器之間的工作站之間聯(lián)通必須通過(guò)分布系統(tǒng)來(lái)實(shí)現(xiàn)。

2.4 網(wǎng)絡(luò)接入點(diǎn)

網(wǎng)絡(luò)接入的訪問(wèn)點(diǎn)也是一個(gè)工作站，這種工作站除了具有基本的工作站性質(zhì)之外，還能夠通過(guò)分發(fā)服務(wù)來(lái)提供分布系統(tǒng)的服務(wù)。

2.5 擴(kuò)展服務(wù)組

擴(kuò)展服務(wù)組主要通過(guò)網(wǎng)絡(luò)接入點(diǎn)和分布系統(tǒng)將多個(gè)基本“服務(wù)集”之間進(jìn)行連接，從而實(shí)現(xiàn)基本服務(wù)集與工作站點(diǎn)相互通信。

3 無(wú)線局域網(wǎng)的特點(diǎn)

與有線局域網(wǎng)相比，無(wú)線局域網(wǎng)具有以下幾種比較鮮明的特點(diǎn)：第一，無(wú)線局域網(wǎng)在安裝上更為便捷。有線網(wǎng)絡(luò)要提前進(jìn)行布線設(shè)計(jì)，并且要有端口才能上網(wǎng)；第二，無(wú)線局域網(wǎng)絡(luò)使用較為靈活，在局域網(wǎng)環(huán)境下，網(wǎng)絡(luò)設(shè)備只需要打開(kāi)相應(yīng)的接收裝置，就能夠連接到無(wú)線局域網(wǎng)中，不像有線局域網(wǎng)受到網(wǎng)線以及接口的限制；第三，經(jīng)濟(jì)上較為節(jié)約，無(wú)線局域網(wǎng)由于省去了布線工程，因此覆蓋范圍內(nèi)只要增加接入點(diǎn)，即可以達(dá)到擴(kuò)展的要求，大大節(jié)約了工程投資；第四，很容易進(jìn)行擴(kuò)展。無(wú)線局域網(wǎng)由于自身靈活的配置方式，用戶可以根據(jù)自身需要來(lái)選擇特定的連接，因此很容易進(jìn)行調(diào)整。

4 無(wú)線局域網(wǎng)絡(luò)存在的安全隱患以及應(yīng)對(duì)的措施

4.1 無(wú)線區(qū)域網(wǎng)絡(luò)的安全性分析

由于無(wú)線局域網(wǎng)絡(luò)在傳輸介質(zhì)上具有特殊性，因此使得信息在傳輸?shù)倪^(guò)程中，可能會(huì)遭到泄露，影響信息使用安全，主要表現(xiàn)在以下幾個(gè)方面內(nèi)容：

第一，可能會(huì)存在竊聽(tīng)。無(wú)線局域網(wǎng)絡(luò)可能被黑客竊聽(tīng)，信息的發(fā)送與接收者無(wú)法檢測(cè)是否信息已經(jīng)泄露；第二，修改數(shù)據(jù)，在無(wú)線局域網(wǎng)絡(luò)中，較強(qiáng)的節(jié)點(diǎn)能夠屏蔽較弱的節(jié)點(diǎn)，可能將自己的數(shù)據(jù)替換，甚至?xí)?duì)于其他節(jié)點(diǎn)產(chǎn)生反應(yīng)；第三，信任的傳遞，如果無(wú)線局域網(wǎng)作為公司的網(wǎng)絡(luò)一部分，可能對(duì)于網(wǎng)絡(luò)攻擊者提供一個(gè)不需要物理接口就可以直接進(jìn)行攻擊的途徑；第四，對(duì)于基礎(chǔ)結(jié)構(gòu)的攻擊?；A(chǔ)結(jié)構(gòu)的攻擊是基于系統(tǒng)中的漏洞，比如說(shuō)錯(cuò)誤的配置，硬件故障等，但是這種攻擊很難進(jìn)行防護(hù)；第五，拒絕服務(wù)，對(duì)于無(wú)線局域網(wǎng)絡(luò)存在一種拒絕服務(wù)的攻擊，網(wǎng)絡(luò)服務(wù)器攻擊者能夠發(fā)送無(wú)線局域網(wǎng)絡(luò)相同的頻率，這種頻率可以作為干擾的信號(hào)，影響無(wú)線網(wǎng)絡(luò)的正常運(yùn)行，用戶在這種情況下無(wú)法登錄到無(wú)線局域網(wǎng)中，影響整個(gè)辦公效率的提高。

4.2 供電企業(yè)無(wú)線局域網(wǎng)安全應(yīng)用實(shí)踐

對(duì)于某供電公司結(jié)合自身業(yè)務(wù)的需要，現(xiàn)在需要構(gòu)建安全的無(wú)線局域網(wǎng)絡(luò)，作為有限網(wǎng)絡(luò)的補(bǔ)充，形成終端辦公的解決方案。在實(shí)際管理中，可以利用集中可管理構(gòu)架無(wú)線局域網(wǎng)絡(luò)來(lái)解決無(wú)線覆蓋的安全性問(wèn)題。整個(gè)供電公司的辦公無(wú)線局域網(wǎng)絡(luò)架構(gòu)主要有幾個(gè)部分組成：中心化集中認(rèn)證服務(wù)器，無(wú)線服務(wù)器，室內(nèi)接入點(diǎn)以及認(rèn)證的網(wǎng)絡(luò)方案，為了保證整個(gè)過(guò)程中的安全通信，需要制定有針對(duì)性的安全保障措施。下面主要談以下幾點(diǎn)：

第一，對(duì)于服務(wù)隱藏標(biāo)識(shí)技術(shù)。服務(wù)器標(biāo)識(shí)符能夠?qū)o(wú)線局域網(wǎng)絡(luò)分為幾個(gè)不同的身份進(jìn)行驗(yàn)證，每一個(gè)獨(dú)立的直網(wǎng)絡(luò)都需要一個(gè)身份驗(yàn)證，因此只有通過(guò)身份驗(yàn)證的用戶，才能夠進(jìn)入無(wú)線局域網(wǎng)絡(luò)中，防止竊聽(tīng)者未經(jīng)授權(quán)侵入本網(wǎng)絡(luò)。同時(shí)對(duì)于資源訪問(wèn)權(quán)限進(jìn)行區(qū)別，對(duì)于相鄰的接入點(diǎn)劃分標(biāo)志，無(wú)線用戶接入必須設(shè)定服務(wù)隱藏標(biāo)識(shí)才能夠進(jìn)行站點(diǎn)之間的通信。如果嘗試連接到無(wú)線網(wǎng)絡(luò)系統(tǒng)，必須提供服務(wù)及標(biāo)識(shí)隱藏，這是一種能夠標(biāo)識(shí)網(wǎng)絡(luò)的字符串，但這只是簡(jiǎn)單的安全保護(hù)措施，因?yàn)樾畔⑿姑苷吣軌驈拿魑闹休^為輕易地竊取。

第二，對(duì)于物理地址進(jìn)行過(guò)濾。每一個(gè)無(wú)線工作站都有唯一的物理地址，對(duì)于媒體訪問(wèn)控制技術(shù)可以使得每一個(gè)局域網(wǎng)對(duì)應(yīng)一個(gè)許可聯(lián)絡(luò)的訪問(wèn)控制地址，如果不再訪問(wèn)控制地址中的清單用戶，將會(huì)拒絕其介入。這種物理地址過(guò)濾技術(shù)只適用于小型的覆蓋范圍，并且它在網(wǎng)絡(luò)上為明碼傳送的模式，很容易被信息盜取者侵入企業(yè)或者是組織內(nèi)部竊取較為機(jī)密的資料。部分無(wú)線局域網(wǎng)絡(luò)可以通過(guò)軟件來(lái)改寫媒體訪問(wèn)的地址，通過(guò)編程將想要訪問(wèn)的地址寫入內(nèi)部，就可以冒充合法的媒體訪問(wèn)地址。媒體訪問(wèn)控制屬于硬件的控制，并不是用戶上的認(rèn)證。

第三，保護(hù)接入技術(shù)。保護(hù)接入技術(shù)是繼承了物理過(guò)濾的原理，它主要的原理是通過(guò)通用的“密匙”配合電腦分組信息的編號(hào)，分別生成不同的密碼。然后對(duì)“密匙”進(jìn)行加密處理，通過(guò)這種加密處理使得所有的客戶端分享信息交換數(shù)據(jù)由不同的“密匙”組成。保護(hù)接入技術(shù)還能夠防止數(shù)據(jù)在傳輸中被篡改，增加了數(shù)據(jù)的認(rèn)證功能，能夠有效解決“密匙”管理上存在的缺陷。

第四，端口的訪問(wèn)技術(shù)。端口訪問(wèn)技術(shù)主要用于端口的訪問(wèn)與控制，可用于局域網(wǎng)中的授權(quán)和認(rèn)證，這種控制技術(shù)引入了擴(kuò)展認(rèn)證協(xié)議，采用了更多的認(rèn)證機(jī)制，從而提高了安全等級(jí)。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)信息已經(jīng)成為供電企業(yè)進(jìn)行電力生產(chǎn)以及業(yè)務(wù)應(yīng)用的重要平臺(tái)，承載內(nèi)部辦公的主要用途，因此已經(jīng)成為供電企業(yè)管理中不可或缺的一環(huán)，無(wú)線區(qū)域網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的重要補(bǔ)充和擴(kuò)展，通信方式具有便捷性，但是應(yīng)該更加關(guān)注其安全性問(wèn)題，通過(guò)設(shè)置相應(yīng)的保護(hù)措施，加強(qiáng)無(wú)線局域網(wǎng)中的安全性，構(gòu)建安全保障系統(tǒng)，才能夠真正做到無(wú)線局域網(wǎng)的應(yīng)用安全，提高辦公效率。

[1]許國(guó)祥. 無(wú)線局域網(wǎng)安全技術(shù)研究與改進(jìn)[D].戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2018.

[2]魯曉帆，曹菲菲.無(wú)線局域網(wǎng)信息傳輸安全保護(hù)方法仿真[J].計(jì)算機(jī)仿真，2018，35（05）：262-265.

[3]劉科楓.無(wú)線局域網(wǎng)的攻擊工具的比較與分析[J].電子技術(shù)與軟件工程，2018（08）：204-205.

[4]高鶯，張琦，陳黎潔，劉宏杰.列控-安全信息傳輸系統(tǒng)可靠性及安全性的形式化分析[J].北京交通大學(xué)學(xué)報(bào)，2018，42（02）：61-68.