摘要：高校無線校園網(wǎng)的普及使得高校數(shù)字化校園和信息化建設(shè)進(jìn)一步完善，隨之而來的無線校園網(wǎng)絡(luò)安全問題也令人擔(dān)憂。制定合理的無線校園網(wǎng)絡(luò)安全管理方案就迫在眉睫，文章主要通過無線校園網(wǎng)存在的安全問題，提出安全管理的三大方案。從訪問控制、數(shù)據(jù)加密、行為審計(jì)等幾個(gè)方面進(jìn)行了闡述，以期達(dá)到提升高校無線校園網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：無線校園網(wǎng) 網(wǎng)絡(luò)安全 訪問控制 數(shù)據(jù)加密 行為審計(jì)

無線局域網(wǎng)（Wireless Local Area Network，簡稱WLAN）是指以無線信道為傳輸媒介來實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，其傳輸媒介不再是傳統(tǒng)的電纜、光纜，而是利用無線電波、激光、紅外線等方式進(jìn)行傳輸，是將無線通信技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合的產(chǎn)物。隨著信息技術(shù)和無線網(wǎng)絡(luò)技術(shù)的發(fā)展，無線校園網(wǎng)已經(jīng)在各大高校投入建設(shè)，使得高校無線校園網(wǎng)成為校園網(wǎng)絡(luò)的主力軍和新生代。伴著無線校園網(wǎng)的使用，校園網(wǎng)的安全問題也隨之增多，不但有線校園網(wǎng)的安全問題在無線校園網(wǎng)中有所體現(xiàn)，還因?yàn)樾畔⑼ㄟ^無線電磁波進(jìn)行傳送，造成無線校園網(wǎng)容易遭受干擾和竊聽等安全問題。無線校園網(wǎng)絡(luò)安全問題也隨之被大家重視起來。

一、高校無線校園網(wǎng)存在的安全問題

（一）網(wǎng)絡(luò)使用管理

高校網(wǎng)絡(luò)資源的最大受益者就是學(xué)生，因?yàn)闊o線校園網(wǎng)使用便捷的優(yōu)點(diǎn)，學(xué)生可以通過手機(jī)、電腦等隨時(shí)隨地的進(jìn)行網(wǎng)絡(luò)連接，由此產(chǎn)生的問題也油然而生。例如，洛陽理工學(xué)院教室內(nèi)專設(shè)手機(jī)收納袋，欲戒除學(xué)生“手機(jī)癮”，防止學(xué)生上課不聽講低頭上網(wǎng)，變成“低頭一族”。在正常休息時(shí)段，有學(xué)生不顧疲倦依然利用網(wǎng)絡(luò)玩游戲、看電影等，不但本人不能休息還會(huì)影響其他同學(xué)的正常休息，影響第二天的學(xué)習(xí)、生活。另外，由于年輕人好奇心強(qiáng)，責(zé)任感較弱，容易通過校園網(wǎng)絡(luò)在BBS或者微信等平臺(tái)發(fā)表或者轉(zhuǎn)發(fā)不當(dāng)言論或者謠言。更有甚者經(jīng)不住誘惑瀏覽色情網(wǎng)站，被壞人利用，做出違法犯罪的事情，造成嚴(yán)重后果。

（二）用戶身份認(rèn)證

由于無線校園網(wǎng)開放性這一特點(diǎn)，登陸無線校園網(wǎng)的用戶身份就容易被非法的、未授權(quán)的用戶篡改或者盜用。此類非法入侵用戶通過獲取SSID等技術(shù)手段，偽裝成合法用戶進(jìn)入校園網(wǎng)。輕者盜用校園網(wǎng)絡(luò)資源，重者篡改學(xué)校各類數(shù)據(jù)信息，更有甚者會(huì)竊取考試試卷、科研成果、篡改學(xué)生成績等。25歲的普渡大學(xué)留學(xué)生孫超然被判處四年有期徒刑，罪名就是侵入教授的計(jì)算機(jī)篡改他和其他學(xué)生的成績，這類問題會(huì)給高校校園網(wǎng)帶來極大的安全隱患。

（三）密碼破譯

一般無線網(wǎng)絡(luò)使用無線加密協(xié)議WEP，WEP是有線等效保密算法，這是一種常見的安全對等加密技術(shù)。WEP使用一個(gè)共享的密鑰對數(shù)據(jù)進(jìn)行加密，主要用來防止非法用戶侵入或竊聽無線網(wǎng)絡(luò)，其密鑰長度最高為128位，當(dāng)輸入的密鑰和AP保存的密鑰一致時(shí)，允許用戶登陸網(wǎng)絡(luò)使用無線網(wǎng)絡(luò)資源。但是此類加密協(xié)議已經(jīng)可以通過一些非法的程序?qū)γ艽a進(jìn)行分析、破解。通過非法途徑可以獲得授權(quán)，從而使非法入侵者進(jìn)入校園網(wǎng)。因此，加密技術(shù)的換代、升級(jí)問題也顯得尤為重要和迫切。

（四）設(shè)備安全

設(shè)備方面主要是AP的問題，由于無線AP可能置于外部環(huán)境，有可能發(fā)生雨水浸透、雷電擊壞、盜損等情況。因此一些外部AP需要合理安放位置，防止人為破壞導(dǎo)致AP失聯(lián)，必要時(shí)可以加裝監(jiān)控設(shè)備或者報(bào)警裝置確保設(shè)備正常運(yùn)行。另外，一些不法分子還有可能增加一些偽基站接入無線校園網(wǎng)，從而竊取登陸者的各類信息，造成網(wǎng)絡(luò)安全問題。因此，無線網(wǎng)絡(luò)設(shè)備必須進(jìn)行統(tǒng)一管理，利用管理平臺(tái)進(jìn)行設(shè)備運(yùn)行狀態(tài)登記，并對網(wǎng)絡(luò)異常問題進(jìn)行及時(shí)發(fā)現(xiàn)、分析和解決，確保無線校園網(wǎng)絡(luò)設(shè)備安全。

（五）網(wǎng)絡(luò)攻擊

當(dāng)不法分子或者黑客通過無線校園網(wǎng)入侵進(jìn)入校園網(wǎng)后，就會(huì)對校內(nèi)網(wǎng)絡(luò)資源、各類服務(wù)器或者系統(tǒng)進(jìn)行破壞，甚至導(dǎo)致學(xué)校主頁無法訪問，服務(wù)器癱瘓，向校園網(wǎng)內(nèi)計(jì)算機(jī)傳送電腦病毒、木馬程序等，造成校內(nèi)大面積計(jì)算機(jī)癱瘓，導(dǎo)致出現(xiàn)合法用戶無法使用校內(nèi)網(wǎng)絡(luò)資源的嚴(yán)重安全問題。

二、高校無線校園網(wǎng)安全管理方案

對于高校無線校園網(wǎng)存在的問題，解決問題的方法就顯得尤為重要，一般都體現(xiàn)在訪問控制、數(shù)據(jù)加密、行為審計(jì)等幾個(gè)方面。

（一）訪問控制

1.服務(wù)集標(biāo)識(shí)符（SSID）匹配。當(dāng)用戶接入無線校園網(wǎng)時(shí)，無線接入端與無線接入點(diǎn)（AP）的SSID必須相同，才能與AP進(jìn)行連接。SSID技術(shù)可以為無線校園網(wǎng)劃分多個(gè)不同的子網(wǎng)，可以將各類用戶劃分管理，例如教職工、學(xué)生、臨時(shí)用戶的SSID均不同，這樣便于控制各類用戶訪問無線校園網(wǎng)絡(luò)資源的權(quán)限，禁止未被授權(quán)的用戶訪問權(quán)限以外的校內(nèi)資源。從而使校園網(wǎng)數(shù)據(jù)資源僅供有權(quán)用戶訪問，達(dá)到訪問限制的目的。

2.無線網(wǎng)卡物理地址（MAC）過濾。由于每一個(gè)無線網(wǎng)卡的物理地址都是全球唯一標(biāo)識(shí)，因此加強(qiáng)對物理地址的管理和篩選就能夠達(dá)到管理訪問無線校園網(wǎng)絡(luò)設(shè)備的目的。連接無線校園網(wǎng)時(shí)，如若設(shè)備的無線網(wǎng)卡物理地址在允許的MAC地址表單中，則允許登陸網(wǎng)絡(luò)，否則不允許登陸網(wǎng)絡(luò)。另外，可以將部分不合法用戶的物理地址添加至禁止的MAC地址表單中，達(dá)到訪問控制的效果。由于現(xiàn)有無線連接設(shè)備的增多，讓所有合法用戶的物理地址全部添加至允許的MAC地址表單的做法并不現(xiàn)實(shí)，該方法較適合在教室、會(huì)議室等設(shè)備相對固定的區(qū)域進(jìn)行合理的設(shè)置。

3.身份統(tǒng)一認(rèn)證。無線校園網(wǎng)的身份認(rèn)證采用IEEE802.1x的認(rèn)證技術(shù)來解決無線校園網(wǎng)中的安全性問題。IEEE802.1x協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。認(rèn)證系統(tǒng)和有線校園網(wǎng)的認(rèn)證系統(tǒng)捆綁，用戶既可以通過有線接入校園網(wǎng)亦可以通過無線接入校園網(wǎng)。身份認(rèn)證既可以是客戶端也可以是Web+Portal的方式。用戶使用客戶端登陸實(shí)名賬號(hào)和密碼，通過AP發(fā)送到Radius服務(wù)器上雙向認(rèn)證，完成用戶無線校園網(wǎng)的連接。IEEE802.1x身份認(rèn)證的主要優(yōu)點(diǎn)是采用了雙向的認(rèn)證過程，提高了無線校園網(wǎng)的安全性。使用Web+Portal方式進(jìn)行認(rèn)證可以很好地處理用戶終端的兼容問題。要注意，在有線和無線接入以及客戶端和Web+Portal接入方式的計(jì)費(fèi)時(shí)要結(jié)合起來，確保認(rèn)證一次，防止用戶在使用網(wǎng)絡(luò)時(shí)重復(fù)計(jì)費(fèi)的問題發(fā)生，增強(qiáng)校園網(wǎng)的利用率。

（二）數(shù)據(jù)加密

Wi-Fi網(wǎng)絡(luò)安全接入（WPA）是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案，是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于WPA的密鑰根據(jù)服務(wù)器自動(dòng)分發(fā)，因此該加密方式解決了WEP的缺點(diǎn)，提高了數(shù)據(jù)加密安全保護(hù)和訪問認(rèn)證控制，加強(qiáng)了無線網(wǎng)絡(luò)的管理。使得無線校園網(wǎng)絡(luò)更加安全不容易被非法入侵。此外，WPA技術(shù)是標(biāo)準(zhǔn)的網(wǎng)絡(luò)接入方案，在現(xiàn)有的無線校園網(wǎng)的硬件設(shè)備上升級(jí)簡便，兼容性也更強(qiáng)。

（三）行為審計(jì)

通過網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，添加有效的訪問控制策略，對接入無線校園網(wǎng)的行為進(jìn)行審計(jì)，形成統(tǒng)計(jì)、分析報(bào)表。對流量進(jìn)行分析和合理控制，設(shè)置訪問流量的控制策略。根據(jù)網(wǎng)絡(luò)使用的頻率規(guī)劃、升級(jí)無線校園網(wǎng)部署。對統(tǒng)計(jì)報(bào)表的數(shù)據(jù)進(jìn)行挖掘，分析網(wǎng)絡(luò)安全存在的問題，進(jìn)一步提升無線校園網(wǎng)的服務(wù)效率，確保無線校園網(wǎng)安全管理。

無線網(wǎng)絡(luò)技術(shù)的發(fā)展正推進(jìn)著無線校園網(wǎng)絡(luò)的建設(shè)，為了利用無線網(wǎng)絡(luò)技術(shù)達(dá)到用戶高效使用校園網(wǎng)的目的，無線校園網(wǎng)的安全問題不容忽視。積極探索無線校園網(wǎng)安全技術(shù)，提高無線校園網(wǎng)的使用效率，使數(shù)字化校園和信息化建設(shè)的腳步更快更穩(wěn)健的向前推進(jìn)。

參考文獻(xiàn)：

[1]厲延民.試論無線校園網(wǎng)的設(shè)計(jì)與實(shí)施.2011（11）：25.

[2]群諾.試論無線校園網(wǎng)設(shè)計(jì)方案——以西藏大學(xué)老校區(qū)為例[J].2013，（2）：58-63.

[3]梁競敏.無線網(wǎng)安全技術(shù)的研究[J].計(jì)算機(jī)與數(shù)字工程2008（6）：133-135.

作者簡介：

高竹（1982— ），女，寧夏固原人，助教，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

基金項(xiàng)目：寧夏師范學(xué)院科研項(xiàng)目（YB201444）

（責(zé)編 張景賢）