祁宏偉　白海艷

摘要： 現(xiàn)階段網(wǎng)絡(luò)已經(jīng)成為人們生產(chǎn)生活中不可或缺的重要構(gòu)成，特別是無(wú)線網(wǎng)絡(luò)出現(xiàn)后，網(wǎng)絡(luò)的覆蓋范圍和應(yīng)用頻率進(jìn)一步提升，高校作為知識(shí)型人才培養(yǎng)的主要基地，現(xiàn)階段對(duì)無(wú)線網(wǎng)絡(luò)的建設(shè)力度不斷加大，但大學(xué)生在享受無(wú)線網(wǎng)絡(luò)在信息查詢、數(shù)據(jù)傳輸、實(shí)時(shí)交流等方面提供的便利的同時(shí)，也遭受著黑客、病毒等帶來(lái)的安全威脅，所以高校校園無(wú)線網(wǎng)絡(luò)的安全威脅與防范技術(shù)受到社會(huì)各界的高度關(guān)注，筆者為對(duì)高校校園無(wú)線網(wǎng)絡(luò)建設(shè)產(chǎn)生更加全面的認(rèn)知，推動(dòng)高校校園無(wú)線網(wǎng)絡(luò)覆蓋范圍擴(kuò)大，結(jié)合此兩個(gè)方面展開(kāi)研究。

關(guān)鍵詞：高校校園無(wú)線網(wǎng)絡(luò) 安全威脅 防范技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）09-0210-01

無(wú)線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)整體發(fā)展滯后，雖然近年來(lái)無(wú)線網(wǎng)絡(luò)安全防范技術(shù)得到較大幅度的提升，但在實(shí)踐應(yīng)用中無(wú)線網(wǎng)絡(luò)用戶仍面臨著安全威脅，這在一定程度上限制了無(wú)線網(wǎng)絡(luò)的推廣和發(fā)展，針對(duì)高校校園無(wú)線網(wǎng)絡(luò)安全威脅和技術(shù)防范展開(kāi)研究，對(duì)建設(shè)現(xiàn)代校園具有積極的作用。

1 高校校園無(wú)線網(wǎng)絡(luò)的安全威脅

1.1 網(wǎng)絡(luò)資源全面暴露

現(xiàn)階段網(wǎng)絡(luò)入侵者利用無(wú)線網(wǎng)絡(luò)連接技術(shù)可以順利進(jìn)入校園無(wú)線網(wǎng)絡(luò)局域網(wǎng)，并在具備合法權(quán)限后進(jìn)行資源訪問(wèn)和信息共享，甚至可以對(duì)其他用戶的硬盤(pán)驅(qū)動(dòng)器、儲(chǔ)備信息等進(jìn)行操作，惡意入侵者甚至可以直接將木馬、病毒程序等接入校園無(wú)線網(wǎng)絡(luò)的其他用戶手機(jī)、計(jì)算機(jī)等，造成更加嚴(yán)重的安全威脅[1]。

1.2 敏感信息泄露

隨著網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大，學(xué)生可利用無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)購(gòu)物、支付、信息交流等行為，而入侵校園無(wú)線網(wǎng)絡(luò)的人員利用黑客工具可以輕易的對(duì)校園無(wú)線網(wǎng)絡(luò)其他用戶的WEB頁(yè)面實(shí)施復(fù)制重建，進(jìn)而結(jié)合URL實(shí)現(xiàn)網(wǎng)頁(yè)登錄賬號(hào)、密碼等敏感信息的截取，使學(xué)生的財(cái)產(chǎn)、信息等方面的安全受到嚴(yán)重的威脅。

1.3 被動(dòng)成為網(wǎng)絡(luò)跳板

網(wǎng)絡(luò)入侵者可利用校園無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)FTP服務(wù)的架設(shè)，利用校園網(wǎng)絡(luò)進(jìn)行非法行為或以校園網(wǎng)絡(luò)為終端進(jìn)一步對(duì)其他網(wǎng)絡(luò)發(fā)起攻擊，這種安全威脅在入侵者利益驅(qū)使下范圍不斷擴(kuò)大[2]。

2 針對(duì)高校校園無(wú)線網(wǎng)絡(luò)安全威脅的防范技術(shù)

2.1 對(duì)無(wú)線接入點(diǎn)SSID進(jìn)行重新設(shè)置

高校在進(jìn)行校園無(wú)線網(wǎng)絡(luò)建設(shè)的過(guò)程中通?？紤]到采購(gòu)和后期維護(hù)的便利性，控制成本，會(huì)選擇大批量進(jìn)購(gòu)相同型號(hào)的信息產(chǎn)品，其在接入點(diǎn)型號(hào)、性能等方面存在一致性，換言之高校通常存在不同部門(mén)無(wú)線AP的SSID相同的情況，在多部門(mén)同時(shí)應(yīng)用應(yīng)用無(wú)線IP時(shí)，相同的SSID使客戶端連接范圍以外IP的可能性加大，為惡意入侵者產(chǎn)生破壞行為提供了空間，所以高校在校園無(wú)線網(wǎng)絡(luò)建設(shè)后，應(yīng)有意識(shí)的對(duì)無(wú)線IP的SSID進(jìn)行重新設(shè)置，但需要注意的是為保證無(wú)線網(wǎng)絡(luò)安全和用戶信息安全，應(yīng)有意識(shí)的避免應(yīng)用用戶的敏感信息作為新設(shè)置的SSID。

2.2 注重對(duì)接入點(diǎn)防火墻的定期更新

計(jì)算機(jī)防火墻會(huì)結(jié)合已知的安全漏洞進(jìn)行不定期的更新，并將安全技術(shù)防范方面的最新可用技術(shù)在原防火墻中進(jìn)行合理的增添，所以定期對(duì)接入點(diǎn)防火墻更新對(duì)提升接入點(diǎn)的安全性具有積極的作用，雖然現(xiàn)階段部分防火墻在用戶友好設(shè)計(jì)方面存在一定的缺陷，但仍需要高校予以高度關(guān)注，主動(dòng)進(jìn)行下載、更新。

2.3 注重MAC地址過(guò)濾

MAC地址作為網(wǎng)絡(luò)設(shè)備制作商在生產(chǎn)時(shí)直接用二進(jìn)制的形式寫(xiě)入硬件內(nèi)部的地址信息，通常具有28位，用12個(gè)16進(jìn)制數(shù)間隔冒號(hào)表示，其前6位和后3位分別表示網(wǎng)絡(luò)設(shè)備制作商編號(hào)和網(wǎng)絡(luò)產(chǎn)品自身的系列號(hào)，所以在設(shè)備出廠后，其所具有的MAC地址具有唯一性，MAC地址過(guò)濾即將合法的MAC地址列入并輸入無(wú)線網(wǎng)絡(luò)中，當(dāng)?shù)顷懻叩腗AC地址與MAC地址列表相匹配，無(wú)線網(wǎng)絡(luò)才承認(rèn)登陸者為合法用戶，允許其進(jìn)行網(wǎng)絡(luò)操作。將此防范技術(shù)應(yīng)用于高校無(wú)線網(wǎng)絡(luò)中，用戶提出網(wǎng)絡(luò)訪問(wèn)申請(qǐng)后，可先對(duì)其身份進(jìn)行驗(yàn)證，進(jìn)而提供網(wǎng)絡(luò)服務(wù)，使校園無(wú)線網(wǎng)絡(luò)所承受的安全威脅大幅縮減[3]。

2.4 強(qiáng)化身份驗(yàn)證技術(shù)

雖然現(xiàn)階段PPPoE、WEB和IEEE802.1X均是較成熟的安全認(rèn)證技術(shù)，但WEB認(rèn)證方式和PPPoE認(rèn)證協(xié)議在高校無(wú)線網(wǎng)絡(luò)中的適用性較差，所以在高校無(wú)線網(wǎng)絡(luò)安全防護(hù)中應(yīng)有意識(shí)的應(yīng)用基于端口的訪問(wèn)控制協(xié)議IEEE802.1X，此項(xiàng)技術(shù)集合了802.1xRADIUS認(rèn)證和MAC地址認(rèn)證技術(shù)的優(yōu)點(diǎn)，非授權(quán)用戶的接入、訪問(wèn)等操作都可以得到有效的拒絕，此認(rèn)證技術(shù)的原理是，在申請(qǐng)者向認(rèn)證服務(wù)器進(jìn)行身份信息輸入后，由認(rèn)證服務(wù)器對(duì)申請(qǐng)者的身份進(jìn)行認(rèn)證，在認(rèn)證通過(guò)對(duì)密鑰加密并向申請(qǐng)者傳送后，申請(qǐng)者具有訪問(wèn)無(wú)線網(wǎng)絡(luò)的權(quán)利，現(xiàn)階段在高校建立IEEE802.1X訪問(wèn)控制協(xié)議，對(duì)提升無(wú)線網(wǎng)絡(luò)覆蓋的安全性具有重要的意義，具體建設(shè)方式要結(jié)合學(xué)校無(wú)線網(wǎng)絡(luò)的具體方式進(jìn)行。在建立無(wú)線用戶認(rèn)證和授權(quán)系統(tǒng)的過(guò)程中需要考慮校內(nèi)臨時(shí)連接無(wú)線網(wǎng)絡(luò)的特殊人群，如學(xué)生家長(zhǎng)、辦理校園業(yè)務(wù)的人員等，現(xiàn)階段臨時(shí)用戶認(rèn)證，通常采用DHCP+強(qiáng)制Portal認(rèn)證技術(shù)，以此保證校園無(wú)線網(wǎng)絡(luò)的整體功能不受影響。

2.5 注重網(wǎng)絡(luò)用戶隔離技術(shù)

將入侵者在一定網(wǎng)絡(luò)范圍內(nèi)隔離，也可以縮減校園無(wú)線網(wǎng)絡(luò)受到的安全威脅，現(xiàn)階段仝立勇具備VLAN功能的交換機(jī)實(shí)現(xiàn)，在其作用下，無(wú)線網(wǎng)絡(luò)整體會(huì)被劃分成在理論上相互獨(dú)立，但在物理表現(xiàn)上為統(tǒng)一整體的多個(gè)部分和層次，不但可以用于無(wú)線用戶隔離，還可以通過(guò)規(guī)則匹配和處理方法定義來(lái)過(guò)濾和轉(zhuǎn)發(fā)MAC數(shù)據(jù)包，實(shí)現(xiàn)防火墻的功能，結(jié)合用戶不同的權(quán)限，提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，使入侵者的操作權(quán)限受到限制。

3 結(jié)語(yǔ)

通過(guò)上述分析可以發(fā)現(xiàn)，現(xiàn)階段高校已經(jīng)認(rèn)識(shí)到校園無(wú)線網(wǎng)絡(luò)面臨著安全威脅，并有意識(shí)的通過(guò)落實(shí)防范技術(shù)，縮減安全威脅發(fā)生的概率，但在網(wǎng)絡(luò)、計(jì)算機(jī)發(fā)展的過(guò)程中，網(wǎng)絡(luò)安全威脅的形式和表現(xiàn)將不斷發(fā)生變化，所以高校針對(duì)防范技術(shù)的優(yōu)化要持續(xù)進(jìn)行。

參考文獻(xiàn)

[1]劉健.高校校園網(wǎng)絡(luò)存在的安全隱患及防范技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，07：29-30.

[2]卞揚(yáng).校園無(wú)線網(wǎng)絡(luò)安全威脅及其防范技術(shù)淺析[J].科技風(fēng)，2015，19：225.

[3]劉明輝.校園無(wú)線網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)和防范技術(shù)研究[J].長(zhǎng)春大學(xué)學(xué)報(bào)，2010，02：68-70.