朱建幫 何軍

摘 要 隨著信息技術(shù)的不斷發(fā)展 傳統(tǒng)校園網(wǎng)絡(luò)和無線網(wǎng)絡(luò)發(fā)展迅猛 為智慧校園無線網(wǎng)絡(luò)的建設(shè)提供了可能 對無線網(wǎng)絡(luò)特殊的部署方式和傳輸方式所存在的安全隱患進(jìn)行分析 指出無線網(wǎng)絡(luò)可能面臨的威脅 并列舉黑客常用的攻擊手段 從技術(shù)層面和管理層面提出相應(yīng)的防護(hù)措施 以確保校園擁有安全可靠的無線網(wǎng)絡(luò)環(huán)境 無線移動業(yè)務(wù)的建設(shè)變得更加便捷 使得無線網(wǎng)絡(luò)成為智慧校園建設(shè)中不可或缺的一部分 隨著無線網(wǎng)絡(luò)的發(fā)展 安全性問題不可避免地成了智慧校園建設(shè)中備受關(guān)注的重點(diǎn)之一 智慧校園的無線網(wǎng)絡(luò)安全高度依賴管理者的技術(shù)水平 通過提高技術(shù)水平可以建立穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境

關(guān)鍵詞 無線安全 安全 智慧校園

中圖法分類號tn915?? ?文獻(xiàn)標(biāo)識碼a

１ 引言

無線網(wǎng)絡(luò)所面臨的安全威脅主要分為２ 個部分，其中一種是主動攻擊，指未經(jīng)授權(quán)的實(shí)體接入網(wǎng)絡(luò)，并修改信息、數(shù)據(jù)或文件內(nèi)容的攻擊方式，主動攻擊的類型包括偽裝攻擊、重放攻擊、篡改消息和拒絕服務(wù)攻擊等［１］ 。另一種是被動攻擊，指未經(jīng)授權(quán)的實(shí)體僅訪問網(wǎng)絡(luò)而不修改其中內(nèi)容的攻擊方式，被動攻擊可能是簡單的竊聽或流量分析。其中，竊聽是指攻擊者監(jiān)視消息傳送并獲取其內(nèi)容，而流量分析是指攻擊者通過監(jiān)視消息的傳輸來分析通信方式，從而獲得大量有價值的信息以便進(jìn)一步對網(wǎng)絡(luò)實(shí)施攻擊。

２ 智慧校園建設(shè)中無線網(wǎng)絡(luò)存在的安全隱患

２．１ 非法ＡＰ

由于無線網(wǎng)絡(luò)的使用便利性，使智慧校園變得更加靈活，但也給網(wǎng)絡(luò)管理員和安全人員帶來了一定的工作難度。因?yàn)?，任何人都可以通過自己購買的接入點(diǎn)（ＡＰ），無需授權(quán)即可連接到網(wǎng)絡(luò)，許多部門也未經(jīng)學(xué)校信息中心授權(quán)自行建立了無線局域網(wǎng)，這些部門的安全防護(hù)意識不強(qiáng)，從而給黑客提供了可乘之機(jī)。黑客可以利用非法ＡＰ 接入網(wǎng)絡(luò)，從而帶來重大安全隱患。攻擊者可以在目標(biāo)主機(jī)和合法ＡＰ 之間建立偽造的非法ＡＰ，并通過偽造數(shù)據(jù)包、惡意攔截流量以及修改內(nèi)網(wǎng)用戶的數(shù)據(jù)包內(nèi)容，來獲取內(nèi)部用戶的敏感信息。偽造非法ＡＰ 攻擊如圖１ 所示。

２．２ 數(shù)據(jù)信息的非法截取

無線網(wǎng)絡(luò)傳輸數(shù)據(jù)利用無線電波輻射完成，相較于傳統(tǒng)有線網(wǎng)絡(luò)，其連接更為便捷。但由于無線網(wǎng)絡(luò)暴露在外，為了讓用戶發(fā)現(xiàn)網(wǎng)絡(luò)的存在，必須向客戶端發(fā)送帶有特定參數(shù)的信標(biāo)幀，這也給攻擊者提供了入侵所需的網(wǎng)絡(luò)信息。與有線網(wǎng)絡(luò)相比，攻擊者可以在無線網(wǎng)絡(luò)接收范圍內(nèi)的任何地方進(jìn)行攻擊，而不需要進(jìn)行物理接入，如在校園外的馬路上或?qū)γ娴母邩侵小９粽呖梢员O(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，然后對截獲的數(shù)據(jù)包進(jìn)行分析和整理，以獲取有利信息。盡管現(xiàn)在網(wǎng)絡(luò)安全意識已經(jīng)加強(qiáng)，許多用戶的敏感信息都進(jìn)行了加密處理，但黑客往往會通過暴力破解捕獲的數(shù)據(jù)來獲取有用信息。截取無線信息攻擊如圖２ 所示。

２．２ 數(shù)據(jù)信息的非法截取

無線網(wǎng)絡(luò)傳輸數(shù)據(jù)利用無線電波輻射完成，相較于傳統(tǒng)有線網(wǎng)絡(luò)，其連接更為便捷。但由于無線網(wǎng)絡(luò)暴露在外，為了讓用戶發(fā)現(xiàn)網(wǎng)絡(luò)的存在，必須向客戶端發(fā)送帶有特定參數(shù)的信標(biāo)幀，這也給攻擊者提供了入侵所需的網(wǎng)絡(luò)信息。與有線網(wǎng)絡(luò)相比，攻擊者可以在無線網(wǎng)絡(luò)接收范圍內(nèi)的任何地方進(jìn)行攻擊，而不需要進(jìn)行物理接入，如在校園外的馬路上或?qū)γ娴母邩侵小９粽呖梢员O(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，然后對截獲的數(shù)據(jù)包進(jìn)行分析和整理，以獲取有利信息。盡管現(xiàn)在網(wǎng)絡(luò)安全意識已經(jīng)加強(qiáng)，許多用戶的敏感信息都進(jìn)行了加密處理，但黑客往往會通過暴力破解捕獲的數(shù)據(jù)來獲取有用信息。截取無線信息攻擊如圖２ 所示。

２．４ 拒絕服務(wù)攻擊（ＤＯＳ）

由于無線網(wǎng)絡(luò)傳輸?shù)奶匦院酮?dú)有的擴(kuò)頻技術(shù)，使其容易受到黑客攻擊的威脅，其中拒絕服務(wù)攻擊（Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）最為常見。攻擊者通過發(fā)送大量的垃圾數(shù)據(jù)包來惡意占用主機(jī)或網(wǎng)絡(luò)資源，以致合法用戶無法正常使用網(wǎng)絡(luò)資源。攻擊成功的常用方法包括利用大量偽造的接入點(diǎn)，在相同的頻率下發(fā)送垃圾數(shù)據(jù)包，從而造成無線網(wǎng)絡(luò)內(nèi)出現(xiàn)沖突，或發(fā)送大量非法或合法身份驗(yàn)證請求。拒絕服務(wù)攻擊如圖４所示。

３ 科學(xué)應(yīng)對智慧校園建設(shè)中無線網(wǎng)絡(luò)威脅

３．１ 建立科學(xué)的無線網(wǎng)絡(luò)認(rèn)證機(jī)制

為了提高智慧校園網(wǎng)絡(luò)的安全性和可控性，需要對校內(nèi)師生和訪客接入無線網(wǎng)絡(luò)進(jìn)行嚴(yán)格的準(zhǔn)入控制策略，以實(shí)現(xiàn)對無線網(wǎng)絡(luò)安全的精細(xì)化管理。智慧校園可以獨(dú)立部署一體化的身份認(rèn)證平臺，通過內(nèi)置無線認(rèn)證服務(wù)器和雙因素令牌認(rèn)證服務(wù)器，與行為管理設(shè)備對接，可以確保訪客和師生安全連接無線網(wǎng)絡(luò)，并通過實(shí)現(xiàn)上網(wǎng)行為實(shí)名審計(jì)來實(shí)現(xiàn)可追溯性。例如，通過“８０２．１ｘ＋ＡＤ＋手機(jī)令牌動態(tài)密碼認(rèn)證”方式進(jìn)行認(rèn)證，通過８０２．１ｘ 協(xié)議保證隧道層加密，防止數(shù)據(jù)被竊聽。同時，通過手機(jī)令牌動態(tài)密碼方式保障賬號安全［２］ 。

校內(nèi)師生默認(rèn)通過“８０２．１ｘ＋ＡＤ”進(jìn)行認(rèn)證，若認(rèn)證不成功則轉(zhuǎn)三層Ｐｏｒｔａｌ，通過“ＡＤ＋雙因子”進(jìn)行認(rèn)證，認(rèn)證成功綁定ＭＡＣ，成功接入ＷＬＡＮ 網(wǎng)絡(luò)，下次認(rèn)證默認(rèn)通過“８０２．１ｘ＋ＡＤ”方式；認(rèn)證成功后再次連接無線網(wǎng)絡(luò)時無需輸入ＡＤ 賬號密碼（通過ＭＡＣ 無感知認(rèn)證）。

訪客可以通過Ｐｏｒｔａｌ 頁面選擇掃描認(rèn)證二維碼來獲得接入網(wǎng)絡(luò)的權(quán)限，系統(tǒng)會生成一個認(rèn)證二維碼，內(nèi)部教師可以使用移動終端掃描訪客終端Ｗｅｂ 中的二維碼（前提是內(nèi)部教師的終端已經(jīng)連接到無線網(wǎng)絡(luò)）。掃描后，系統(tǒng)會在接待人員的終端頁面提示輸入授權(quán)信息，包括ＡＤ 賬戶和密碼。接待人員輸入正確的授權(quán)信息并點(diǎn)擊授權(quán)按鈕，若授權(quán)信息正確，則訪客終端會提示已被授權(quán)并接入網(wǎng)絡(luò)。若授權(quán)信息不正確或沒有接待人員進(jìn)行操作，則訪客終端將沒有任何系統(tǒng)響應(yīng)。此外，系統(tǒng)會提示授權(quán)的有效期限，在掃描認(rèn)證二維碼模式下，不會顯示其他認(rèn)證登錄方式，只會顯示認(rèn)證登錄界面。

３．２ ＳＳＩＤ 管理

ＳＳＩＤ 是無線局域網(wǎng)的標(biāo)識符，類似于無線局域網(wǎng)的命名。通常情況下，無線路由器會廣播ＳＳＩＤ 以便其他人可以搜索并連接上網(wǎng)。若不希望讓別人知道無線網(wǎng)絡(luò)的存在，則可以禁用ＳＳＩＤ 廣播功能，這樣無線網(wǎng)絡(luò)仍然可以正常使用，但不會在其他人的無線網(wǎng)絡(luò)列表中顯示。雖然禁用ＳＳＩＤ 廣播可能會影響首次連接速度，但可以提高網(wǎng)絡(luò)的安全性。相較于隱藏ＳＳＩＤ，還可以使用中文命名無線網(wǎng)絡(luò)的ＳＳＩＤ，無線嗅探工具無法正確識別中文ＳＳＩＤ，從而無法獲取明文信息，有效地保護(hù)了無線網(wǎng)絡(luò)的安全性。

３．３ ＭＡＣ 地址雙重認(rèn)證

針對無線網(wǎng)絡(luò)的攻擊，ＭＡＣ 地址過濾是一種常用的防護(hù)方法。ＭＡＣ 地址是網(wǎng)絡(luò)中每臺設(shè)備的唯一標(biāo)識，需要統(tǒng)計(jì)內(nèi)網(wǎng)中所有用戶終端的ＭＡＣ 地址，連接網(wǎng)絡(luò)前在無線節(jié)點(diǎn)設(shè)備中導(dǎo)入統(tǒng)計(jì)終端的ＭＡＣ 地址，只有當(dāng)用戶的ＭＡＣ 地址和列表中的內(nèi)容完全一致時，無線節(jié)點(diǎn)才允許客戶端進(jìn)行通信。但是，這種防護(hù)方法并不安全，因?yàn)楝F(xiàn)在很多攻擊者可以偽造ＭＡＣ 地址信息，從而使得ＭＡＣ 地址過濾的防護(hù)并不可靠。因此，在實(shí)際應(yīng)用中，可以通過雙重認(rèn)證相互結(jié)合的方法來彌補(bǔ)這個漏洞［３］ 。具體而言，可以在計(jì)算機(jī)上綁定無線路由器或ＡＰ 的接入ＭＡＣ 地址信息，以此來防范ＭＡＣ 地址偽造攻擊。在開啟ＭＡＣ 地址過濾的同時，雙向綁定的方法可以有效地提高網(wǎng)絡(luò)的安全性。

３．４ 部署網(wǎng)絡(luò)威脅檢測系統(tǒng)

為提升智慧校園的網(wǎng)絡(luò)服務(wù)質(zhì)量和整體性能，建議在無線網(wǎng)絡(luò)中部署流量感知系統(tǒng)，并與校園內(nèi)的行為管理ＩＤＳ 和防火墻系統(tǒng)聯(lián)動配置，這樣可以實(shí)時監(jiān)控和分析校園內(nèi)無線訪問的流量，及時確認(rèn)出現(xiàn)的異常訪問行為，并定位跟蹤異常區(qū)域、應(yīng)用和服務(wù)器。通過這種方法，可以提高整個智慧校園應(yīng)用的性能，并改善網(wǎng)絡(luò)服務(wù)質(zhì)量。

３．５ 加強(qiáng)智慧校園管理和團(tuán)隊(duì)建設(shè)

在網(wǎng)絡(luò)安全領(lǐng)域中有一條常識：８０％的安全威脅來自網(wǎng)絡(luò)內(nèi)部，即使是擁有強(qiáng)大網(wǎng)絡(luò)安全設(shè)備和設(shè)施的網(wǎng)絡(luò)，若管理不規(guī)范、業(yè)務(wù)不熟練、內(nèi)部管理松懈，則它們也會變得一無是處。因此，在構(gòu)建智慧校園無線網(wǎng)絡(luò)安全時，必須先做好校園內(nèi)部的網(wǎng)絡(luò)管理工作，包括提高管理人員的業(yè)務(wù)水平，培養(yǎng)其敏感的網(wǎng)絡(luò)安全嗅覺和網(wǎng)絡(luò)安全管理思想，同時制定嚴(yán)格的網(wǎng)絡(luò)安全管理制度，并落實(shí)有效的網(wǎng)絡(luò)安全管理程序。此外，管理人員還需接受培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全團(tuán)隊(duì)建設(shè)，設(shè)置網(wǎng)絡(luò)安全專員，及時審查網(wǎng)絡(luò)中可能存在的安全問題，并及時調(diào)整網(wǎng)絡(luò)設(shè)備安全配置，排除和糾正網(wǎng)絡(luò)安全隱患。最后，還需定期對校園內(nèi)的師生進(jìn)行網(wǎng)絡(luò)安全宣傳培訓(xùn)，以進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)防護(hù)，增強(qiáng)師生的網(wǎng)絡(luò)安全意識。

４ 結(jié)束語

隨著信息技術(shù)的高速發(fā)展，智慧校園建設(shè)變得更加豐富化和智能化，其中無線網(wǎng)絡(luò)的應(yīng)用越來越廣泛。然而，由于無線網(wǎng)絡(luò)具有特定的安全風(fēng)險，使得智慧校園的網(wǎng)絡(luò)安全問題變得越來越嚴(yán)峻。除了面對有線網(wǎng)絡(luò)相同的威脅，還需要應(yīng)對無線網(wǎng)絡(luò)特有的安全問題。因此，為了確保智慧校園的無線網(wǎng)絡(luò)平穩(wěn)有序地運(yùn)行，需要加強(qiáng)內(nèi)網(wǎng)安全管理，提高相關(guān)運(yùn)維人員的培訓(xùn)和安全團(tuán)隊(duì)的建設(shè)水平。

參考文獻(xiàn)：

［１］ 張彬．智慧校園下的無線網(wǎng)絡(luò)安全分析與防護(hù)［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２０２２（１０）：８２?８３．

［２］ 郭一縝．無線網(wǎng)絡(luò)安全與防范技術(shù)［Ｊ］．無線通信技術(shù)，２０２２，３１（２）：２７?３１．

［３］ 楊正．羊城創(chuàng)業(yè)產(chǎn)業(yè)園無線網(wǎng)絡(luò)安全及技術(shù)防范［Ｊ］．無線互聯(lián)科技，２０２２，１９（３）：８?１０．

作者簡介：

朱建幫（１９９４—），本科，助理實(shí)驗(yàn)師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、虛擬化技術(shù)、信息安全。