摘要：本文主要針對校園無線網(wǎng)絡(luò)的發(fā)展，討論了校園無線網(wǎng)絡(luò)在應(yīng)用上存在的各種安全隱患，同時對解決無線網(wǎng)絡(luò)安全問題的傳統(tǒng)方法進(jìn)行歸納、總結(jié)，并提出了一個綜合性的校園無線網(wǎng)絡(luò)安全方案。

關(guān)鍵詞：無線網(wǎng)絡(luò)；安全隱患；防范；安全方案

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2012) 09-0000-02

隨著智能手機(jī)以及各種便攜式移動終端在校園內(nèi)的逐漸普及，傳統(tǒng)的有線校園網(wǎng)受布線以及空間的限制已經(jīng)無法完全滿足廣大師生的需求。因此，搭建成本更低、靈活性、移動性更好的無線網(wǎng)絡(luò)早已成為各大高校彌補(bǔ)有線網(wǎng)絡(luò)不足的重要措施。借助開放性的電磁波傳輸，無線網(wǎng)絡(luò)在信息傳遞的速度和質(zhì)量上給校園帶來了革命性的變化。但是，由于無線網(wǎng)絡(luò)固有的開放性，又大大增加了網(wǎng)絡(luò)管理人員管理無線網(wǎng)絡(luò)的難度和增大了外部設(shè)備對校園網(wǎng)絡(luò)的威脅。

一、校園無線網(wǎng)絡(luò)的安全隱患

由于無線網(wǎng)絡(luò)的信號難以控制，數(shù)據(jù)可能出現(xiàn)在預(yù)期之外的地方。這增加了網(wǎng)絡(luò)被入侵的機(jī)率。同時因?yàn)闊o線網(wǎng)絡(luò)依靠的是邏輯鏈路而不需要提供物理上的連接，所以任何在無線網(wǎng)絡(luò)廣播范圍內(nèi)并獲得網(wǎng)絡(luò)訪問權(quán)的人都可以監(jiān)聽網(wǎng)絡(luò)，并通過非法手段獲得一些敏感的數(shù)據(jù)及信息。

類似其他領(lǐng)域的無線網(wǎng)絡(luò)，校園無線網(wǎng)絡(luò)也存在著以下幾點(diǎn)安全隱患：

（一）不易管理

首先，由于無線網(wǎng)絡(luò)開發(fā)的特殊性，管理人員很難對無線網(wǎng)絡(luò)進(jìn)行管理。其次，由于無線網(wǎng)絡(luò)的便捷性，只要在無線廣播范圍內(nèi)，任何地點(diǎn)都具有接入方便的特點(diǎn)，所以，通過布置防火墻等硬件措施并不適合于無線校園網(wǎng)。再者，無線網(wǎng)絡(luò)協(xié)議一直以來都存在著缺憾。IEEE在發(fā)布802.11標(biāo)準(zhǔn)之后，雖然有針對性的提出了一些加密的方法來實(shí)現(xiàn)數(shù)據(jù)的保密性和完整性，但是WEP協(xié)議依舊存在著嚴(yán)重的缺陷，對于之后改進(jìn)的802.11i，雖然大幅度的改善了網(wǎng)絡(luò)的安全性，但是否還存在問題，任然需要時間來衡量。

（二）信息泄密

對于有線網(wǎng)絡(luò)，由于其物理空間的界定，在傳送數(shù)據(jù)包時，技術(shù)人員可以通過對物理網(wǎng)絡(luò)的處理以提高傳送的安全性。然而，由于無線網(wǎng)絡(luò)采用無線通信的方式，所以傳送的數(shù)據(jù)包更容易被截獲，截獲者甚至不需要將竊聽設(shè)備連入網(wǎng)絡(luò)便可進(jìn)行截獲，而任何截獲數(shù)據(jù)包的人都對其進(jìn)行破譯、分析，從而導(dǎo)致信息的泄密。

（三）網(wǎng)絡(luò)資源遭竊

網(wǎng)絡(luò)資源遭竊就是一般所說的“蹭網(wǎng)”，一旦發(fā)生蹭網(wǎng)行為，則大量的網(wǎng)絡(luò)帶寬將會喪失，資源減少，將會影響到網(wǎng)絡(luò)的性能及傳輸效率。

（四）存在地址欺騙的隱患

這是基于IEEE802.11協(xié)議所產(chǎn)生的問題，由于802.11協(xié)議對數(shù)據(jù)幀沒有認(rèn)證操作，網(wǎng)絡(luò)中站點(diǎn)的MAC地址容易丟失，所以攻擊者可以使用虛假地址的數(shù)據(jù)幀進(jìn)行ARP攻擊。更嚴(yán)重時，攻擊者可以冒充AP進(jìn)入網(wǎng)絡(luò)，獲得真實(shí)的認(rèn)證信息。

（五）其他安全隱患

無線網(wǎng)絡(luò)還存在著拒絕服務(wù)攻擊、Web攻擊、DNS欺騙、緩沖區(qū)攻擊等安全隱患。

校園無線網(wǎng)作為無線網(wǎng)絡(luò)具有以上的一些安全隱患，但同時校園無線網(wǎng)也存在著另外一些安全問題。

由于安全意識不強(qiáng)、校園無線網(wǎng)布置水平的參差不齊，校園無線網(wǎng)的安全性并不高。甚至，很多的無線接入點(diǎn)都沒有考慮到無線接入的安全問題。無線網(wǎng)絡(luò)接入的認(rèn)證存在缺陷，MAC地址的認(rèn)證、共享密鑰的認(rèn)證等基本認(rèn)證方法并沒有完全普及，只有少數(shù)高等院校配備了更高級的802.1x認(rèn)證協(xié)議。同時，相比大型無線網(wǎng)絡(luò)來說，一般校園無線網(wǎng)還需要一套更加統(tǒng)一、細(xì)致的安全體系！

二．無線網(wǎng)絡(luò)問題的傳統(tǒng)解決方法

一般來說，無線網(wǎng)絡(luò)安全問題的傳統(tǒng)解決方法有以下幾種，它們同時也適用于校園無線網(wǎng)絡(luò)。

（一）MAC地址過濾

由于MAC地址的唯一性，MAC地址過濾方法成為了解決無線網(wǎng)絡(luò)問題的常見方法。技術(shù)人員可以通過將合法的MAC地址下放到每一個AP中，或者存儲在無線控制器中以實(shí)現(xiàn)MAC地址過濾的功能。

（二）隱藏SSID并禁止廣播

SSID是指用來區(qū)分不同網(wǎng)絡(luò)的標(biāo)識符，是無線網(wǎng)絡(luò)用來進(jìn)行定位服務(wù)的一項(xiàng)功能。一臺計(jì)算機(jī)只能和一個SSID網(wǎng)絡(luò)連接并進(jìn)行通信。SSID設(shè)置在無線接入點(diǎn)AP上。通常來說，為了使接入的終端能獲知周圍的無線網(wǎng)絡(luò)，AP會廣播SSID。然而，這將大大降低無線網(wǎng)絡(luò)的安全性。為了提高網(wǎng)絡(luò)的安全性，AP最好不進(jìn)行廣播，并將SSID映射成一串無規(guī)律的長字符串。這樣，任何未被授權(quán)的移動終端即使通過自動掃描功能感知到無線網(wǎng)絡(luò)的存在也無法接入。

（三）使用VPN技術(shù)

VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)是目前最安全的解決方案。它可以通過隧道和加密技術(shù)提高信息的安全性。

（四）數(shù)據(jù)加密

對傳輸數(shù)據(jù)的加密是提高安全性的必要條件。這樣，即使在未授權(quán)的情況下，數(shù)據(jù)被截獲，也能使損失降低到最小。

（五）其他方法

其他方法如：禁止動態(tài)主機(jī)配置協(xié)議、使用802.1x控制網(wǎng)絡(luò)接入等都能起到很好的提高安全性的作用。

三、綜合性的校園無線網(wǎng)絡(luò)安全方案

校園無線網(wǎng)絡(luò)相比一般無線網(wǎng)絡(luò)來說，雖然具有一般性，但同時也有自己的特殊性。所以，要想提出一個綜合性的校園無線網(wǎng)絡(luò)安全方案，不但需要以上提到的各種無線網(wǎng)絡(luò)安全技術(shù)，還需要做到以下幾點(diǎn)：

（一）規(guī)劃優(yōu)先

在構(gòu)建校園無線網(wǎng)絡(luò)之前需要對設(shè)計(jì)方案及規(guī)劃進(jìn)行充分的考量，這包括網(wǎng)絡(luò)環(huán)境的設(shè)計(jì)、設(shè)備的購買、AP的布置、服務(wù)器的管理和技術(shù)人員的培訓(xùn)等。對于天線的選用需謹(jǐn)慎，桿狀全向天線覆蓋范圍過大，增大了入侵者入侵校園無線網(wǎng)的可能性。在不同的區(qū)域應(yīng)布置不同類型的天線。而對于AP來說，在配置時，應(yīng)在滿足要求的前提下，盡量使發(fā)射功率最低，以降低入侵的可能性。

另外，對技術(shù)人員的培訓(xùn)也是至關(guān)重要的，技術(shù)人員水平的參差不齊會導(dǎo)致校園無線網(wǎng)布置漏洞的出現(xiàn)。對軟、硬件技術(shù)人員應(yīng)該分開培訓(xùn)，使其懂得網(wǎng)絡(luò)的正常管理和故障維修。對工作人員來說，必須提高他們的安全意識和專業(yè)水平。

同時，在規(guī)劃校園無線網(wǎng)絡(luò)的時候，還要考慮到整個互聯(lián)網(wǎng)大環(huán)境的影響。在設(shè)計(jì)階段，可以借助建立小范圍模型的方法，模擬可能出現(xiàn)的各種問題，攻擊模型，觀察所規(guī)劃的網(wǎng)絡(luò)的表現(xiàn)，從而得出設(shè)計(jì)漏洞，進(jìn)行改進(jìn)。建模的方法能節(jié)約成本，使設(shè)計(jì)更加完善，提高安全性。

（二）提高校園無線網(wǎng)身份認(rèn)證的水平

由于校園無線網(wǎng)的特殊性，要想得到一套綜合的安全方案，需要在身份認(rèn)證時，對使用人群進(jìn)行分類，不同的人群使用不同的認(rèn)證方法。一般來說，可以分為以下幾類：1.固定使用群。一般是指校園內(nèi)的師生及一些固定的校內(nèi)工作人員。這類人群需要經(jīng)常性地接入校園無線網(wǎng)。對于這類人群，安全性要求較高，所以可以使用比較復(fù)雜，但是安全系數(shù)更高的802.1x進(jìn)行認(rèn)證。2.流動使用群。這類用戶通常是臨時的在校園內(nèi)生活，他們可能是交流訪問的學(xué)者或者是受邀而來的賓客，他們只需要在一個特定的時間段接入校園無線網(wǎng)，并非長久性的。所以，對于這類人群，安全性要求顯得并沒有那么高，可使用簡單的Portal認(rèn)證。

（三）更加統(tǒng)一的校園無線網(wǎng)標(biāo)準(zhǔn)的建立

為了更加方便、系統(tǒng)地管理校園無線網(wǎng)，需要建立更加健全、安全、完善的統(tǒng)一標(biāo)準(zhǔn)。這將避免由于各高校標(biāo)準(zhǔn)不一而帶來的漏洞問題。而且，各高校最好能共享無線網(wǎng)絡(luò)技術(shù)，定時進(jìn)行互相交流與學(xué)習(xí)，從而避免校園無線網(wǎng)絡(luò)技術(shù)的層次不齊所帶來的影響。同時，還需建立更加完善的法律法規(guī)，對構(gòu)成嚴(yán)重網(wǎng)絡(luò)損害的入侵者進(jìn)行相應(yīng)的懲罰，這樣才能達(dá)到事半功倍的效果。

四、結(jié)束語

無線網(wǎng)絡(luò)技術(shù)給校園帶來了便捷性，但同時也帶來了許多的安全隱患。構(gòu)建校園無線網(wǎng)絡(luò)不但需要安全技術(shù)的不斷改善、實(shí)現(xiàn)有線網(wǎng)和無線網(wǎng)的無縫連接，更需要一套更加綜合、更加完善的解決方案。只有這樣才能保證校園無線網(wǎng)絡(luò)的安全性，才能真正達(dá)到服務(wù)校園的目的！

參考文獻(xiàn)：

[1]鄭東興.淺談無線網(wǎng)絡(luò)安全防范措施分析及其在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].職業(yè)技術(shù)，2012，01

[2]張洪.淺談校園無線網(wǎng)絡(luò)的安全現(xiàn)狀與解決方案[J].職教研究，2011，02

[3]王雙劍，丁輝.無線網(wǎng)絡(luò)安全的機(jī)制及相關(guān)技術(shù)措施[J].科技傳播，2012，06

[4]陳亮.無線網(wǎng)絡(luò)安全防范措施探討.信息與電腦(理論版)[J].2011，03

[5]宋玲.淺議無線網(wǎng)絡(luò)的安全隱患與防范措施[J].科技信息，2012，10

[6]張麗.無線網(wǎng)絡(luò)安全的思考[J].硅谷，2012，01

[7]任偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全，2012，01

[8]呂明化.無線網(wǎng)絡(luò)在校園網(wǎng)中的應(yīng)用[J].魅力中國，2009，18

[9]張景文.校園無線網(wǎng)絡(luò)安全技術(shù)分析[J].電腦知識與技術(shù)，2010，12

[10]劉宏.無線網(wǎng)絡(luò)安全缺陷與應(yīng)對策略分析[J].信息與電腦(理論版)，2010，06

[11]蔡繼永.校園無線網(wǎng)絡(luò)的應(yīng)用[J].銅陵職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，03

[12]趙建超，尹新富.校園無線網(wǎng)絡(luò)安全綜合防御[J].制造業(yè)自動化，2011，03