【摘要】隨著信息技術(shù)的飛速發(fā)展以及職業(yè)學(xué)校信息化建設(shè)的不斷深入，構(gòu)建一個(gè)傳輸高速、部署靈活、安全性好的無線網(wǎng)絡(luò)環(huán)境，是當(dāng)前職業(yè)學(xué)校網(wǎng)絡(luò)建設(shè)中一項(xiàng)非常重要的任務(wù)。本文主要針對(duì)無線局域網(wǎng)的特點(diǎn)，重點(diǎn)分析其建設(shè)方案及安全問題，并提出相應(yīng)對(duì)策。

【關(guān)鍵詞】信息化數(shù)字校園智慧校園無線網(wǎng)絡(luò)安全

隨著信息技術(shù)的快速發(fā)展，數(shù)字校園乃至智慧校園是職業(yè)學(xué)校信息化建設(shè)的必然趨勢(shì)。

由于校園信息化建設(shè)與應(yīng)用牽扯的面寬、量大，涉及的部門眾多、人員復(fù)雜，包含了大量的網(wǎng)絡(luò)應(yīng)用、事務(wù)管理、周邊模塊等子系統(tǒng)，迫切需要一個(gè)部署簡(jiǎn)便、聯(lián)通快捷、便于擴(kuò)展的網(wǎng)絡(luò)平臺(tái)。盡管有線網(wǎng)絡(luò)以速度較快、傳輸穩(wěn)定、成本低廉等優(yōu)點(diǎn)始終在網(wǎng)絡(luò)建設(shè)中處于優(yōu)勢(shì)地位，但其在布設(shè)與維護(hù)過程中存在的工程量大、破壞性強(qiáng)、移動(dòng)困難、后期維護(hù)成本高、系統(tǒng)覆蓋面積小等缺陷也限制了其進(jìn)一步的發(fā)展。此外，隨著各種無線終端設(shè)備的日益普及，原有的校園有線網(wǎng)絡(luò)已經(jīng)難以滿足廣大師生隨時(shí)隨地網(wǎng)絡(luò)接入的需要，構(gòu)建穩(wěn)定、高效、安全的無線局域網(wǎng)逐漸成為職業(yè)學(xué)校信息化發(fā)展的必然趨勢(shì)。

無線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，它以電磁波作為傳輸媒介，依托802.11a、802.11b、802.11n等協(xié)議，實(shí)現(xiàn)數(shù)據(jù)傳輸功能。無線網(wǎng)絡(luò)的建成，使得校園網(wǎng)的覆蓋范圍得到拓展、部署方式更加靈活、設(shè)備維護(hù)更為便捷。目前，無線網(wǎng)絡(luò)已經(jīng)在職業(yè)學(xué)校網(wǎng)絡(luò)建設(shè)中得到了廣泛的推廣和應(yīng)用，有效提高了數(shù)據(jù)信息的綜合利用效率。但是，由于無線局域網(wǎng)的信息傳輸媒介是電磁波，這一傳輸?shù)奶厥庑跃蛯?dǎo)致了它比有線介質(zhì)（雙絞線、光纖）更容易受到干擾、竊取和破壞。因此，無線局域網(wǎng)的信息安全技術(shù)比有線介質(zhì)網(wǎng)絡(luò)顯得更為復(fù)雜，其面臨的安全威脅也更加多樣。

一、我校無線網(wǎng)絡(luò)建設(shè)情況簡(jiǎn)介

我校于2016年，實(shí)現(xiàn)全校無線網(wǎng)絡(luò)的全覆蓋，學(xué)生、老師和訪客可以更好地、隨時(shí)隨地地利用網(wǎng)的教學(xué)資源，實(shí)現(xiàn)教學(xué)資源共享、電子白板、示范課、教務(wù)管理、電子書包等應(yīng)用，真正實(shí)現(xiàn)隨時(shí)隨地利用網(wǎng)絡(luò)資源，深化教學(xué)應(yīng)用。

無錫機(jī)電高等職業(yè)技術(shù)學(xué)校無線校園網(wǎng)的解決方案架構(gòu)（見上圖）。無線網(wǎng)骨干核心無線控制器部署在無錫市電教館數(shù)據(jù)中心機(jī)房，全校部署無線AP共計(jì)300個(gè)，實(shí)現(xiàn)學(xué)校方便的無線接入。分布于校園內(nèi)的AP，由“無線控制器”進(jìn)行統(tǒng)一管理、統(tǒng)一配置、統(tǒng)一監(jiān)控，每個(gè)學(xué)校的AP實(shí)現(xiàn)“零配置”，從包裝盒內(nèi)拆封出來AP，接入學(xué)校任意交換端口，即可連入教育網(wǎng)，為師生提供無線的訪問服務(wù)。同時(shí)，實(shí)現(xiàn)校際間的賬號(hào)漫游。

我校的無線部署主要考慮三種方式，主要有教學(xué)樓、室外和實(shí)驗(yàn)室（電子書包）三個(gè)主要的無線覆蓋場(chǎng)景。

場(chǎng)景一：教學(xué)樓，辦公樓

場(chǎng)景特點(diǎn)：人數(shù)多，用戶密度高，對(duì)用戶性能要求高；障礙物多，走廊狹長(zhǎng)，需信號(hào)入室。它的便利性是終端種類多，移動(dòng)性強(qiáng)。

我們通過采用高性能的802.11n產(chǎn)品和會(huì)思考的的靈動(dòng)天線，靈動(dòng)天線徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點(diǎn)；快速、準(zhǔn)確的識(shí)別到用戶終端類型，如果是使用功率較低的手機(jī)、平板電腦等移動(dòng)終端時(shí)，X-sense能夠通過動(dòng)態(tài)信號(hào)補(bǔ)償技術(shù)進(jìn)行信號(hào)補(bǔ)償，解決信號(hào)入室問題。

場(chǎng)景二：室外

室外條件惡劣，夏天經(jīng)常雷擊、雨水、高溫；冬天，寒冷干燥；室外距離遠(yuǎn)，且信號(hào)長(zhǎng)，遠(yuǎn)距離覆蓋困難。室外用戶也較少，性能要求不是很高，并發(fā)數(shù)低

我們通過選用專用的室外大功率無線AP產(chǎn)品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號(hào)覆蓋品質(zhì)，同時(shí)設(shè)備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項(xiàng)指標(biāo)，無線室外覆蓋，建議部署在校內(nèi)的制高點(diǎn)上，同時(shí)采用全向或定向天線向進(jìn)行無線覆蓋。

場(chǎng)景三：實(shí)驗(yàn)室（電子書包）

實(shí)驗(yàn)室通常是一個(gè)班級(jí)的學(xué)生同時(shí)使用平板電腦進(jìn)行教學(xué)，數(shù)量在50臺(tái)左右。電子書包平板終端網(wǎng)卡性能不強(qiáng)，且多不支持5G頻段。

我們通過FRDM頻譜復(fù)用技術(shù)，AP可以自由切換射頻卡的工作頻段，實(shí)現(xiàn)單AP搭載雙2.4G射頻卡，雙5G射頻卡，2.4G+5G射頻卡的功能，良好適應(yīng)各類終端數(shù)量下的無線場(chǎng)景，真正發(fā)揮AP的接入性能。

二、校園無線局域網(wǎng)面臨的安全威脅

1.網(wǎng)絡(luò)竊聽

傳統(tǒng)有線網(wǎng)絡(luò)采用物理連接，數(shù)據(jù)在傳輸時(shí)已經(jīng)由傳輸介質(zhì)（如雙絞線、同軸 電纜、光纖等）提供了物理保護(hù)，數(shù)據(jù)具 有封閉性。而無線網(wǎng)絡(luò)通過無線電波傳送數(shù)據(jù)，只要是無線信號(hào)覆蓋范圍內(nèi)的任何無線終端設(shè)備都可以接受這些數(shù)據(jù)，因此，無線傳輸?shù)臄?shù)據(jù)很容易被他人竊取，一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文格式出現(xiàn)的，這就會(huì)使處于無線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解通信。如果這些數(shù)據(jù)未加密或被惡意破解，則會(huì)對(duì)個(gè)人用戶的隱私及整個(gè)無線網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)重威脅。

2.非法接入

有線網(wǎng)絡(luò)能明顯地分辨出計(jì)算機(jī)是否連接在網(wǎng)線上。而無線網(wǎng)絡(luò)則不同。無線局域網(wǎng)具有開放性，理論上只要是無線接入點(diǎn)（AP）覆蓋范圍內(nèi)的任何無線終端設(shè)備都可以通過AP接入網(wǎng)絡(luò)，而AP又無法像有線局域網(wǎng)那樣對(duì)接入設(shè)備數(shù)量與位置進(jìn) 行嚴(yán)格的限定和管理，所以如果無線局域網(wǎng)中沒有加入用戶認(rèn)證體系，那么未經(jīng)授權(quán)的用戶可以很輕松地通過AP接入網(wǎng)絡(luò)， 這種接入如果是惡意的，就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)重威脅。

3.病毒攻擊

無線網(wǎng)絡(luò)和有線局域網(wǎng)一樣，都會(huì)遭受病毒攻擊。不同的是無線網(wǎng)絡(luò)中的AP一般都沒有防病毒和防攻擊的功能。一旦黑客知道了某個(gè)AP的IP地址，并向其發(fā)起拒絕服務(wù)攻擊的話，該AP很快就會(huì)癱瘓。

三、應(yīng)對(duì)策略

1.物理地址綁定

每個(gè)無線客戶端網(wǎng)卡都有唯一的物理地址標(biāo)識(shí)，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。 物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作。這種方式的擴(kuò)展能力較低，只適合于小型網(wǎng)絡(luò)。此外，非法用戶利用網(wǎng)絡(luò)偵聽手段很 容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。對(duì)于這一問題，目前所用的解決方法是通過AC對(duì)用戶進(jìn)行綁定，采用VLAN+IP地址+MAC地址來唯一標(biāo)識(shí)一個(gè)用戶。

2.SSID訪問控制

服務(wù)集標(biāo)識(shí)符（SSID）是無線訪問點(diǎn)使用的識(shí)別字符串，客戶端利用它就能建立連接。該標(biāo)識(shí)符由設(shè)備制造商設(shè)定。 無線客戶端必須出示正確的SSID才能訪問無線接入點(diǎn)AP。利用SSID，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網(wǎng)提供一定的安全性。然而無線接入點(diǎn)AP周期向外廣播其SSID，使安全性一定程度下降。倘若黑客知道了這種口令短語，即使未經(jīng)授權(quán)，也很容易使用無線服務(wù)。對(duì)于部署的每個(gè)無線訪問點(diǎn)而言，要選擇獨(dú)一無二并且很難猜中的SSID。如果可能的話，禁止通過天線向外廣播該標(biāo)識(shí)符。這樣網(wǎng)絡(luò)仍可使用，但不會(huì)出現(xiàn)在可用網(wǎng)絡(luò)列表上。

3.802.1x擴(kuò)展認(rèn)證協(xié)議

IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理?；?02.1x認(rèn)證體系結(jié)構(gòu)，其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺(tái) RADIUS認(rèn)證服務(wù)器三方完成。IEEE802.1x 通過提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份 驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此條件下，作 為RADIUS客戶端配置的無線接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器。RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。 如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

4.加強(qiáng)無線局域網(wǎng)監(jiān)測(cè)與日常管理

雖然上述措施能夠有效加強(qiáng)校園無線網(wǎng)絡(luò)安全，但卻不能保證無線網(wǎng)絡(luò)不受到攻擊，因此一定要提高安全防范意識(shí)，加強(qiáng)無線網(wǎng)絡(luò)設(shè)備與用戶的管理，加強(qiáng)無線 網(wǎng)絡(luò)監(jiān)測(cè)，定期查看核心交換機(jī)及各認(rèn)證服務(wù)器的日志記錄，有條件的院校可以使用無線入侵監(jiān)測(cè)系統(tǒng)（WIDS）對(duì)入侵行為和惡意攻擊進(jìn)行早期預(yù)警。一旦發(fā)現(xiàn)異常情況，立即采取措施，對(duì)其使用的無線終端設(shè)備進(jìn)行屏蔽，并將其列為黑名單，從而確保整個(gè)校園無線網(wǎng)絡(luò)的安全。

校園無線局域網(wǎng)不受限于實(shí)體線路的便利性，使其具有廣泛的應(yīng)用需求。在使用該技術(shù)的時(shí)候，必須設(shè)計(jì)一個(gè)合理的、 安全強(qiáng)度足夠高的方案。保證網(wǎng)絡(luò)信息安全性是一項(xiàng)持續(xù)不斷的工作，需要跟蹤最新的安全技術(shù)，在原安全系統(tǒng)的基礎(chǔ)上不斷調(diào)整網(wǎng)絡(luò)安全策略，添加相應(yīng)的信息安全產(chǎn)品，才能給網(wǎng)絡(luò)信息安全提供強(qiáng)有力的保障。

參考文獻(xiàn)

[1] 鄧寧，鄧文達(dá) 《無線網(wǎng)絡(luò)技術(shù)在中等職業(yè)學(xué)校中的應(yīng)用初探》長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院軟件學(xué)院

[2] 王敬志，任開春，胡斌.基于BP神經(jīng)網(wǎng)絡(luò)整定的PID 控制[J].工業(yè)控制計(jì)算機(jī)，2011（3）：72-75.