楊舒文

摘 要 近年來，網(wǎng)絡(luò)技術(shù)的發(fā)展給人們的生產(chǎn)、生活、工作、學(xué)習(xí)帶來了極大的便利，人們對(duì)網(wǎng)絡(luò)的需求越來越緊迫。隨著數(shù)字化校園建設(shè)的不斷深入，校園無線局域網(wǎng)的建設(shè)和應(yīng)用得到了快速發(fā)展，為教育行業(yè)的發(fā)展提供了技術(shù)保障。網(wǎng)絡(luò)給信息傳輸帶來便利的同時(shí)，還引發(fā)了一系列安全隱患，如何采取有效措施提高校園無線局域網(wǎng)的安全成為本文關(guān)注的焦點(diǎn)。

【關(guān)鍵詞】校園網(wǎng) 無線局域網(wǎng) 安全

無線通信和Internet技術(shù)的發(fā)展給人們生活帶來的影響是深刻而巨大的，越來越多的人希望在移動(dòng)過程中接入高速Internet；無線局域網(wǎng)具有靈活的移動(dòng)能力和較高的傳輸效率，因此成為無線通信的重要技術(shù)之一，并在多個(gè)領(lǐng)域得到了廣泛應(yīng)用。隨著無線局域網(wǎng)的不斷應(yīng)用，安全問題也逐漸突出，進(jìn)而發(fā)展成為社會(huì)關(guān)注的焦點(diǎn)。本文將以校園無線局域網(wǎng)為例，對(duì)其安全策略進(jìn)行探析。

1 校園無線局域網(wǎng)面臨的安全問題

1.1 無線局域網(wǎng)工作原理

傳統(tǒng)網(wǎng)絡(luò)傳輸是通過有線方式完成的，數(shù)據(jù)通過電纜傳輸?shù)筋A(yù)定位置，在傳輸過程中若物理鏈路遭到破壞，就會(huì)引起數(shù)據(jù)泄密；無線局域網(wǎng)是通過無線電波完成數(shù)據(jù)傳輸?shù)?，無線接入點(diǎn)（AP）在無線電波信號(hào)覆蓋范圍內(nèi)，都可成功接受信號(hào)，利用無線局域網(wǎng)發(fā)射的數(shù)據(jù)僅傳給制定目標(biāo)者接受是難以實(shí)現(xiàn)的；防火墻對(duì)無線電波的作用甚微，這就導(dǎo)致任何人在特定范圍內(nèi)都可截獲或者插入數(shù)據(jù)，給無線局域網(wǎng)使用者帶來較大的安全隱患。

1.2 安全隱患

以校園無線局域網(wǎng)為例，用戶在使用過程中可能遇到的安全隱患主要包括拒絕服務(wù)器攻擊、網(wǎng)絡(luò)竊聽、WEP破解、信息重放、MAC地址欺騙等，現(xiàn)對(duì)部分隱患進(jìn)行分析。

1.2.1 拒絕服務(wù)攻擊

對(duì)校園無線局域網(wǎng)用戶而言，其面臨的拒絕服務(wù)攻擊是十分特殊的，攻擊者發(fā)送與無線局域網(wǎng)同等頻率的干擾信號(hào)就可影響網(wǎng)絡(luò)的正常運(yùn)行，導(dǎo)致正常用戶無法使用網(wǎng)絡(luò)；攻擊者一般利用高功率的無線電收發(fā)器進(jìn)行信號(hào)干擾。

1.2.2 網(wǎng)絡(luò)竊聽

多數(shù)網(wǎng)絡(luò)通信以非加密格式進(jìn)行傳播的，這就增加了通信內(nèi)容被攻擊者監(jiān)視并破解的可能。攻擊者無需將竊聽或分析設(shè)備接入被竊聽網(wǎng)絡(luò)，就可獲得所需信息，這種被竊聽隱患成為威脅校園無線局域網(wǎng)的最大問題。

1.2.3 WEP破解

現(xiàn)代用戶對(duì)網(wǎng)絡(luò)的需求是極為迫切的，部分用戶為使用網(wǎng)絡(luò)傳輸信息會(huì)在網(wǎng)上下載一些非法程序，如卡皇蹭網(wǎng)卡、BT3解碼軟件等，利用該類程序非法捕捉AP信號(hào)覆蓋區(qū)內(nèi)的數(shù)據(jù)包，收集到足夠WEP弱密鑰加密包后，即可通過分析恢復(fù)WEP密鑰。

2 校園無線局域網(wǎng)安全策略

2.1 安全技術(shù)策略

校園無線局域網(wǎng)的使用給廣大師生的工作、學(xué)習(xí)和教學(xué)管理提供了極大的便利，為進(jìn)一步保障師生的利益，保障通信內(nèi)容的安全，應(yīng)采取信息過濾、用戶訪問控制、數(shù)據(jù)加密等安全技術(shù)。

（1）信息過濾是將未達(dá)到要求的信息屏蔽在網(wǎng)絡(luò)之外，一般應(yīng)用較為廣泛的有MAC地址過濾、協(xié)議端口過濾和SSID過濾。MAC地址過濾是指管理員要在無線接入點(diǎn)AP中設(shè)置一組允許訪問和禁止訪問的MAC地址表，根據(jù)列表確定用戶的訪問權(quán)限，確保訪問者的合法性；另一種可升級(jí)的過濾方案是利用RADIUS服務(wù)器實(shí)現(xiàn)MAC地址過濾。協(xié)議端口過濾是在較強(qiáng)的AP中設(shè)置過濾條件，實(shí)現(xiàn)數(shù)據(jù)包過濾。SSID過濾是指用戶的SSID需要與被訪問的AP相匹配才可順利進(jìn)行數(shù)據(jù)通信。

（2）用戶訪問控制，在IEEE 802.11標(biāo)準(zhǔn)中定義了開放式驗(yàn)證和共享密鑰驗(yàn)證兩種認(rèn)證機(jī)制，開放式驗(yàn)證是免去一切驗(yàn)證過程，任意無線客戶端具備正確的SSID均可與開放式驗(yàn)證的AP關(guān)聯(lián)；共享密鑰驗(yàn)證則需要雙方有相同的密鑰，兩個(gè)工作站均采取WEP機(jī)制，這極大的提高了信息傳輸?shù)陌踩?。?dāng)然，WEP安全機(jī)制仍存在一些不足，如缺乏使用者身份認(rèn)證機(jī)制和動(dòng)態(tài)數(shù)據(jù)加密密鑰配送機(jī)制等，這就促使802.1x協(xié)議生成，進(jìn)一步提高無線局域網(wǎng)的安全性。

（3）數(shù)據(jù)加密是通過有線等效加密算法進(jìn)行的，在兩臺(tái)設(shè)備間傳輸?shù)臄?shù)據(jù)進(jìn)行加密后，可有效阻止非法用戶竊聽或入侵網(wǎng)絡(luò)，保護(hù)用戶信息安全。

2.2 安全管理策略

校園無線局域網(wǎng)安全不僅需要專業(yè)的安全技術(shù)作為保障，更需要專業(yè)的安全管理。首先，要建立完善的安全管理制度，建立全面的、具有可執(zhí)行性的無線局域網(wǎng)絡(luò)安全管理制度，培養(yǎng)師生安全用網(wǎng)的意識(shí)；其次，建立網(wǎng)絡(luò)安全事件的響應(yīng)機(jī)制，當(dāng)無線局域網(wǎng)在使用過程中出現(xiàn)惡性安全事件時(shí)，能以標(biāo)準(zhǔn)化的流程對(duì)時(shí)間進(jìn)行緊急處理，確保網(wǎng)絡(luò)通暢，并使數(shù)據(jù)信息的損害降到最低；最后，完善網(wǎng)絡(luò)系統(tǒng)管理，做好數(shù)據(jù)信息的備份工作，規(guī)范無線網(wǎng)絡(luò)設(shè)備管理模式。

3 結(jié)語

無線局域網(wǎng)具有靈活的移動(dòng)能力和高效的傳輸能力，在校園網(wǎng)中得到了廣泛應(yīng)用。網(wǎng)絡(luò)技術(shù)的不斷應(yīng)用，也使人們更加關(guān)注數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性，為保障合法用戶的信息不被攻擊，應(yīng)從技術(shù)層面和管理層面加強(qiáng)安全保護(hù)，切實(shí)保障師生的合理利益。

參考文獻(xiàn)

[1]鄧體俊.論校園無線局域網(wǎng)通信安全策略[J].電腦知識(shí)與技術(shù)，2015，01：27-29.

[2]章瑋.無線校園網(wǎng)的安全架構(gòu)研究與設(shè)計(jì)[D].云南大學(xué)，2014.

作者單位

河北衡水中學(xué) 河北省蔚縣 075721