朱建幫 何軍

摘 要 隨著信息技術(shù)的不斷發(fā)展 傳統(tǒng)校園網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)發(fā)展迅猛 為智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)提供了可能 對(duì)無(wú)線網(wǎng)絡(luò)特殊的部署方式和傳輸方式所存在的安全隱患進(jìn)行分析 指出無(wú)線網(wǎng)絡(luò)可能面臨的威脅 并列舉黑客常用的攻擊手段 從技術(shù)層面和管理層面提出相應(yīng)的防護(hù)措施 以確保校園擁有安全可靠的無(wú)線網(wǎng)絡(luò)環(huán)境 無(wú)線移動(dòng)業(yè)務(wù)的建設(shè)變得更加便捷 使得無(wú)線網(wǎng)絡(luò)成為智慧校園建設(shè)中不可或缺的一部分 隨著無(wú)線網(wǎng)絡(luò)的發(fā)展 安全性問(wèn)題不可避免地成了智慧校園建設(shè)中備受關(guān)注的重點(diǎn)之一 智慧校園的無(wú)線網(wǎng)絡(luò)安全高度依賴(lài)管理者的技術(shù)水平 通過(guò)提高技術(shù)水平可以建立穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境

關(guān)鍵詞 無(wú)線安全 安全 智慧校園

中圖法分類(lèi)號(hào)tn915?? ?文獻(xiàn)標(biāo)識(shí)碼a

１ 引言

無(wú)線網(wǎng)絡(luò)所面臨的安全威脅主要分為２ 個(gè)部分，其中一種是主動(dòng)攻擊，指未經(jīng)授權(quán)的實(shí)體接入網(wǎng)絡(luò)，并修改信息、數(shù)據(jù)或文件內(nèi)容的攻擊方式，主動(dòng)攻擊的類(lèi)型包括偽裝攻擊、重放攻擊、篡改消息和拒絕服務(wù)攻擊等［１］ 。另一種是被動(dòng)攻擊，指未經(jīng)授權(quán)的實(shí)體僅訪問(wèn)網(wǎng)絡(luò)而不修改其中內(nèi)容的攻擊方式，被動(dòng)攻擊可能是簡(jiǎn)單的竊聽(tīng)或流量分析。其中，竊聽(tīng)是指攻擊者監(jiān)視消息傳送并獲取其內(nèi)容，而流量分析是指攻擊者通過(guò)監(jiān)視消息的傳輸來(lái)分析通信方式，從而獲得大量有價(jià)值的信息以便進(jìn)一步對(duì)網(wǎng)絡(luò)實(shí)施攻擊。

２ 智慧校園建設(shè)中無(wú)線網(wǎng)絡(luò)存在的安全隱患

２．１ 非法ＡＰ

由于無(wú)線網(wǎng)絡(luò)的使用便利性，使智慧校園變得更加靈活，但也給網(wǎng)絡(luò)管理員和安全人員帶來(lái)了一定的工作難度。因?yàn)椋魏稳硕伎梢酝ㄟ^(guò)自己購(gòu)買(mǎi)的接入點(diǎn)（ＡＰ），無(wú)需授權(quán)即可連接到網(wǎng)絡(luò)，許多部門(mén)也未經(jīng)學(xué)校信息中心授權(quán)自行建立了無(wú)線局域網(wǎng)，這些部門(mén)的安全防護(hù)意識(shí)不強(qiáng)，從而給黑客提供了可乘之機(jī)。黑客可以利用非法ＡＰ 接入網(wǎng)絡(luò)，從而帶來(lái)重大安全隱患。攻擊者可以在目標(biāo)主機(jī)和合法ＡＰ 之間建立偽造的非法ＡＰ，并通過(guò)偽造數(shù)據(jù)包、惡意攔截流量以及修改內(nèi)網(wǎng)用戶的數(shù)據(jù)包內(nèi)容，來(lái)獲取內(nèi)部用戶的敏感信息。偽造非法ＡＰ 攻擊如圖１ 所示。

２．２ 數(shù)據(jù)信息的非法截取

無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)利用無(wú)線電波輻射完成，相較于傳統(tǒng)有線網(wǎng)絡(luò)，其連接更為便捷。但由于無(wú)線網(wǎng)絡(luò)暴露在外，為了讓用戶發(fā)現(xiàn)網(wǎng)絡(luò)的存在，必須向客戶端發(fā)送帶有特定參數(shù)的信標(biāo)幀，這也給攻擊者提供了入侵所需的網(wǎng)絡(luò)信息。與有線網(wǎng)絡(luò)相比，攻擊者可以在無(wú)線網(wǎng)絡(luò)接收范圍內(nèi)的任何地方進(jìn)行攻擊，而不需要進(jìn)行物理接入，如在校園外的馬路上或?qū)γ娴母邩侵?。攻擊者可以監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，然后對(duì)截獲的數(shù)據(jù)包進(jìn)行分析和整理，以獲取有利信息。盡管現(xiàn)在網(wǎng)絡(luò)安全意識(shí)已經(jīng)加強(qiáng)，許多用戶的敏感信息都進(jìn)行了加密處理，但黑客往往會(huì)通過(guò)暴力破解捕獲的數(shù)據(jù)來(lái)獲取有用信息。截取無(wú)線信息攻擊如圖２ 所示。

２．２ 數(shù)據(jù)信息的非法截取

無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)利用無(wú)線電波輻射完成，相較于傳統(tǒng)有線網(wǎng)絡(luò)，其連接更為便捷。但由于無(wú)線網(wǎng)絡(luò)暴露在外，為了讓用戶發(fā)現(xiàn)網(wǎng)絡(luò)的存在，必須向客戶端發(fā)送帶有特定參數(shù)的信標(biāo)幀，這也給攻擊者提供了入侵所需的網(wǎng)絡(luò)信息。與有線網(wǎng)絡(luò)相比，攻擊者可以在無(wú)線網(wǎng)絡(luò)接收范圍內(nèi)的任何地方進(jìn)行攻擊，而不需要進(jìn)行物理接入，如在校園外的馬路上或?qū)γ娴母邩侵?。攻擊者可以監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，然后對(duì)截獲的數(shù)據(jù)包進(jìn)行分析和整理，以獲取有利信息。盡管現(xiàn)在網(wǎng)絡(luò)安全意識(shí)已經(jīng)加強(qiáng)，許多用戶的敏感信息都進(jìn)行了加密處理，但黑客往往會(huì)通過(guò)暴力破解捕獲的數(shù)據(jù)來(lái)獲取有用信息。截取無(wú)線信息攻擊如圖２ 所示。

２．４ 拒絕服務(wù)攻擊（ＤＯＳ）

由于無(wú)線網(wǎng)絡(luò)傳輸?shù)奶匦院酮?dú)有的擴(kuò)頻技術(shù)，使其容易受到黑客攻擊的威脅，其中拒絕服務(wù)攻擊（Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）最為常見(jiàn)。攻擊者通過(guò)發(fā)送大量的垃圾數(shù)據(jù)包來(lái)惡意占用主機(jī)或網(wǎng)絡(luò)資源，以致合法用戶無(wú)法正常使用網(wǎng)絡(luò)資源。攻擊成功的常用方法包括利用大量偽造的接入點(diǎn)，在相同的頻率下發(fā)送垃圾數(shù)據(jù)包，從而造成無(wú)線網(wǎng)絡(luò)內(nèi)出現(xiàn)沖突，或發(fā)送大量非法或合法身份驗(yàn)證請(qǐng)求。拒絕服務(wù)攻擊如圖４所示。

３ 科學(xué)應(yīng)對(duì)智慧校園建設(shè)中無(wú)線網(wǎng)絡(luò)威脅

３．１ 建立科學(xué)的無(wú)線網(wǎng)絡(luò)認(rèn)證機(jī)制

為了提高智慧校園網(wǎng)絡(luò)的安全性和可控性，需要對(duì)校內(nèi)師生和訪客接入無(wú)線網(wǎng)絡(luò)進(jìn)行嚴(yán)格的準(zhǔn)入控制策略，以實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)安全的精細(xì)化管理。智慧校園可以獨(dú)立部署一體化的身份認(rèn)證平臺(tái)，通過(guò)內(nèi)置無(wú)線認(rèn)證服務(wù)器和雙因素令牌認(rèn)證服務(wù)器，與行為管理設(shè)備對(duì)接，可以確保訪客和師生安全連接無(wú)線網(wǎng)絡(luò)，并通過(guò)實(shí)現(xiàn)上網(wǎng)行為實(shí)名審計(jì)來(lái)實(shí)現(xiàn)可追溯性。例如，通過(guò)“８０２．１ｘ＋ＡＤ＋手機(jī)令牌動(dòng)態(tài)密碼認(rèn)證”方式進(jìn)行認(rèn)證，通過(guò)８０２．１ｘ 協(xié)議保證隧道層加密，防止數(shù)據(jù)被竊聽(tīng)。同時(shí)，通過(guò)手機(jī)令牌動(dòng)態(tài)密碼方式保障賬號(hào)安全［２］ 。

校內(nèi)師生默認(rèn)通過(guò)“８０２．１ｘ＋ＡＤ”進(jìn)行認(rèn)證，若認(rèn)證不成功則轉(zhuǎn)三層Ｐｏｒｔａｌ，通過(guò)“ＡＤ＋雙因子”進(jìn)行認(rèn)證，認(rèn)證成功綁定ＭＡＣ，成功接入ＷＬＡＮ 網(wǎng)絡(luò)，下次認(rèn)證默認(rèn)通過(guò)“８０２．１ｘ＋ＡＤ”方式；認(rèn)證成功后再次連接無(wú)線網(wǎng)絡(luò)時(shí)無(wú)需輸入ＡＤ 賬號(hào)密碼（通過(guò)ＭＡＣ 無(wú)感知認(rèn)證）。

訪客可以通過(guò)Ｐｏｒｔａｌ 頁(yè)面選擇掃描認(rèn)證二維碼來(lái)獲得接入網(wǎng)絡(luò)的權(quán)限，系統(tǒng)會(huì)生成一個(gè)認(rèn)證二維碼，內(nèi)部教師可以使用移動(dòng)終端掃描訪客終端Ｗｅｂ 中的二維碼（前提是內(nèi)部教師的終端已經(jīng)連接到無(wú)線網(wǎng)絡(luò)）。掃描后，系統(tǒng)會(huì)在接待人員的終端頁(yè)面提示輸入授權(quán)信息，包括ＡＤ 賬戶和密碼。接待人員輸入正確的授權(quán)信息并點(diǎn)擊授權(quán)按鈕，若授權(quán)信息正確，則訪客終端會(huì)提示已被授權(quán)并接入網(wǎng)絡(luò)。若授權(quán)信息不正確或沒(méi)有接待人員進(jìn)行操作，則訪客終端將沒(méi)有任何系統(tǒng)響應(yīng)。此外，系統(tǒng)會(huì)提示授權(quán)的有效期限，在掃描認(rèn)證二維碼模式下，不會(huì)顯示其他認(rèn)證登錄方式，只會(huì)顯示認(rèn)證登錄界面。

３．２ ＳＳＩＤ 管理

ＳＳＩＤ 是無(wú)線局域網(wǎng)的標(biāo)識(shí)符，類(lèi)似于無(wú)線局域網(wǎng)的命名。通常情況下，無(wú)線路由器會(huì)廣播ＳＳＩＤ 以便其他人可以搜索并連接上網(wǎng)。若不希望讓別人知道無(wú)線網(wǎng)絡(luò)的存在，則可以禁用ＳＳＩＤ 廣播功能，這樣無(wú)線網(wǎng)絡(luò)仍然可以正常使用，但不會(huì)在其他人的無(wú)線網(wǎng)絡(luò)列表中顯示。雖然禁用ＳＳＩＤ 廣播可能會(huì)影響首次連接速度，但可以提高網(wǎng)絡(luò)的安全性。相較于隱藏ＳＳＩＤ，還可以使用中文命名無(wú)線網(wǎng)絡(luò)的ＳＳＩＤ，無(wú)線嗅探工具無(wú)法正確識(shí)別中文ＳＳＩＤ，從而無(wú)法獲取明文信息，有效地保護(hù)了無(wú)線網(wǎng)絡(luò)的安全性。

３．３ ＭＡＣ 地址雙重認(rèn)證

針對(duì)無(wú)線網(wǎng)絡(luò)的攻擊，ＭＡＣ 地址過(guò)濾是一種常用的防護(hù)方法。ＭＡＣ 地址是網(wǎng)絡(luò)中每臺(tái)設(shè)備的唯一標(biāo)識(shí)，需要統(tǒng)計(jì)內(nèi)網(wǎng)中所有用戶終端的ＭＡＣ 地址，連接網(wǎng)絡(luò)前在無(wú)線節(jié)點(diǎn)設(shè)備中導(dǎo)入統(tǒng)計(jì)終端的ＭＡＣ 地址，只有當(dāng)用戶的ＭＡＣ 地址和列表中的內(nèi)容完全一致時(shí)，無(wú)線節(jié)點(diǎn)才允許客戶端進(jìn)行通信。但是，這種防護(hù)方法并不安全，因?yàn)楝F(xiàn)在很多攻擊者可以偽造ＭＡＣ 地址信息，從而使得ＭＡＣ 地址過(guò)濾的防護(hù)并不可靠。因此，在實(shí)際應(yīng)用中，可以通過(guò)雙重認(rèn)證相互結(jié)合的方法來(lái)彌補(bǔ)這個(gè)漏洞［３］ 。具體而言，可以在計(jì)算機(jī)上綁定無(wú)線路由器或ＡＰ 的接入ＭＡＣ 地址信息，以此來(lái)防范ＭＡＣ 地址偽造攻擊。在開(kāi)啟ＭＡＣ 地址過(guò)濾的同時(shí)，雙向綁定的方法可以有效地提高網(wǎng)絡(luò)的安全性。

３．４ 部署網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)

為提升智慧校園的網(wǎng)絡(luò)服務(wù)質(zhì)量和整體性能，建議在無(wú)線網(wǎng)絡(luò)中部署流量感知系統(tǒng)，并與校園內(nèi)的行為管理ＩＤＳ 和防火墻系統(tǒng)聯(lián)動(dòng)配置，這樣可以實(shí)時(shí)監(jiān)控和分析校園內(nèi)無(wú)線訪問(wèn)的流量，及時(shí)確認(rèn)出現(xiàn)的異常訪問(wèn)行為，并定位跟蹤異常區(qū)域、應(yīng)用和服務(wù)器。通過(guò)這種方法，可以提高整個(gè)智慧校園應(yīng)用的性能，并改善網(wǎng)絡(luò)服務(wù)質(zhì)量。

３．５ 加強(qiáng)智慧校園管理和團(tuán)隊(duì)建設(shè)

在網(wǎng)絡(luò)安全領(lǐng)域中有一條常識(shí)：８０％的安全威脅來(lái)自網(wǎng)絡(luò)內(nèi)部，即使是擁有強(qiáng)大網(wǎng)絡(luò)安全設(shè)備和設(shè)施的網(wǎng)絡(luò)，若管理不規(guī)范、業(yè)務(wù)不熟練、內(nèi)部管理松懈，則它們也會(huì)變得一無(wú)是處。因此，在構(gòu)建智慧校園無(wú)線網(wǎng)絡(luò)安全時(shí)，必須先做好校園內(nèi)部的網(wǎng)絡(luò)管理工作，包括提高管理人員的業(yè)務(wù)水平，培養(yǎng)其敏感的網(wǎng)絡(luò)安全嗅覺(jué)和網(wǎng)絡(luò)安全管理思想，同時(shí)制定嚴(yán)格的網(wǎng)絡(luò)安全管理制度，并落實(shí)有效的網(wǎng)絡(luò)安全管理程序。此外，管理人員還需接受培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全團(tuán)隊(duì)建設(shè)，設(shè)置網(wǎng)絡(luò)安全專(zhuān)員，及時(shí)審查網(wǎng)絡(luò)中可能存在的安全問(wèn)題，并及時(shí)調(diào)整網(wǎng)絡(luò)設(shè)備安全配置，排除和糾正網(wǎng)絡(luò)安全隱患。最后，還需定期對(duì)校園內(nèi)的師生進(jìn)行網(wǎng)絡(luò)安全宣傳培訓(xùn)，以進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)防護(hù)，增強(qiáng)師生的網(wǎng)絡(luò)安全意識(shí)。

４ 結(jié)束語(yǔ)

隨著信息技術(shù)的高速發(fā)展，智慧校園建設(shè)變得更加豐富化和智能化，其中無(wú)線網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛。然而，由于無(wú)線網(wǎng)絡(luò)具有特定的安全風(fēng)險(xiǎn)，使得智慧校園的網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越嚴(yán)峻。除了面對(duì)有線網(wǎng)絡(luò)相同的威脅，還需要應(yīng)對(duì)無(wú)線網(wǎng)絡(luò)特有的安全問(wèn)題。因此，為了確保智慧校園的無(wú)線網(wǎng)絡(luò)平穩(wěn)有序地運(yùn)行，需要加強(qiáng)內(nèi)網(wǎng)安全管理，提高相關(guān)運(yùn)維人員的培訓(xùn)和安全團(tuán)隊(duì)的建設(shè)水平。

參考文獻(xiàn)：

［１］ 張彬．智慧校園下的無(wú)線網(wǎng)絡(luò)安全分析與防護(hù)［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２２（１０）：８２?８３．

［２］ 郭一縝．無(wú)線網(wǎng)絡(luò)安全與防范技術(shù)［Ｊ］．無(wú)線通信技術(shù)，２０２２，３１（２）：２７?３１．

［３］ 楊正．羊城創(chuàng)業(yè)產(chǎn)業(yè)園無(wú)線網(wǎng)絡(luò)安全及技術(shù)防范［Ｊ］．無(wú)線互聯(lián)科技，２０２２，１９（３）：８?１０．

作者簡(jiǎn)介：

朱建幫（１９９４—），本科，助理實(shí)驗(yàn)師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、虛擬化技術(shù)、信息安全。