摘要：高校無線校園網(wǎng)的普及使得高校數(shù)字化校園和信息化建設(shè)進一步完善，隨之而來的無線校園網(wǎng)絡(luò)安全問題也令人擔(dān)憂。制定合理的無線校園網(wǎng)絡(luò)安全管理方案就迫在眉睫，文章主要通過無線校園網(wǎng)存在的安全問題，提出安全管理的三大方案。從訪問控制、數(shù)據(jù)加密、行為審計等幾個方面進行了闡述，以期達到提升高校無線校園網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：無線校園網(wǎng) 網(wǎng)絡(luò)安全 訪問控制 數(shù)據(jù)加密 行為審計

無線局域網(wǎng)（Wireless Local Area Network，簡稱WLAN）是指以無線信道為傳輸媒介來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，其傳輸媒介不再是傳統(tǒng)的電纜、光纜，而是利用無線電波、激光、紅外線等方式進行傳輸，是將無線通信技術(shù)與計算機網(wǎng)絡(luò)技術(shù)結(jié)合的產(chǎn)物。隨著信息技術(shù)和無線網(wǎng)絡(luò)技術(shù)的發(fā)展，無線校園網(wǎng)已經(jīng)在各大高校投入建設(shè)，使得高校無線校園網(wǎng)成為校園網(wǎng)絡(luò)的主力軍和新生代。伴著無線校園網(wǎng)的使用，校園網(wǎng)的安全問題也隨之增多，不但有線校園網(wǎng)的安全問題在無線校園網(wǎng)中有所體現(xiàn)，還因為信息通過無線電磁波進行傳送，造成無線校園網(wǎng)容易遭受干擾和竊聽等安全問題。無線校園網(wǎng)絡(luò)安全問題也隨之被大家重視起來。

一、高校無線校園網(wǎng)存在的安全問題

（一）網(wǎng)絡(luò)使用管理

高校網(wǎng)絡(luò)資源的最大受益者就是學(xué)生，因為無線校園網(wǎng)使用便捷的優(yōu)點，學(xué)生可以通過手機、電腦等隨時隨地的進行網(wǎng)絡(luò)連接，由此產(chǎn)生的問題也油然而生。例如，洛陽理工學(xué)院教室內(nèi)專設(shè)手機收納袋，欲戒除學(xué)生“手機癮”，防止學(xué)生上課不聽講低頭上網(wǎng)，變成“低頭一族”。在正常休息時段，有學(xué)生不顧疲倦依然利用網(wǎng)絡(luò)玩游戲、看電影等，不但本人不能休息還會影響其他同學(xué)的正常休息，影響第二天的學(xué)習(xí)、生活。另外，由于年輕人好奇心強，責(zé)任感較弱，容易通過校園網(wǎng)絡(luò)在BBS或者微信等平臺發(fā)表或者轉(zhuǎn)發(fā)不當言論或者謠言。更有甚者經(jīng)不住誘惑瀏覽色情網(wǎng)站，被壞人利用，做出違法犯罪的事情，造成嚴重后果。

（二）用戶身份認證

由于無線校園網(wǎng)開放性這一特點，登陸無線校園網(wǎng)的用戶身份就容易被非法的、未授權(quán)的用戶篡改或者盜用。此類非法入侵用戶通過獲取SSID等技術(shù)手段，偽裝成合法用戶進入校園網(wǎng)。輕者盜用校園網(wǎng)絡(luò)資源，重者篡改學(xué)校各類數(shù)據(jù)信息，更有甚者會竊取考試試卷、科研成果、篡改學(xué)生成績等。25歲的普渡大學(xué)留學(xué)生孫超然被判處四年有期徒刑，罪名就是侵入教授的計算機篡改他和其他學(xué)生的成績，這類問題會給高校校園網(wǎng)帶來極大的安全隱患。

（三）密碼破譯

一般無線網(wǎng)絡(luò)使用無線加密協(xié)議WEP，WEP是有線等效保密算法，這是一種常見的安全對等加密技術(shù)。WEP使用一個共享的密鑰對數(shù)據(jù)進行加密，主要用來防止非法用戶侵入或竊聽無線網(wǎng)絡(luò)，其密鑰長度最高為128位，當輸入的密鑰和AP保存的密鑰一致時，允許用戶登陸網(wǎng)絡(luò)使用無線網(wǎng)絡(luò)資源。但是此類加密協(xié)議已經(jīng)可以通過一些非法的程序?qū)γ艽a進行分析、破解。通過非法途徑可以獲得授權(quán)，從而使非法入侵者進入校園網(wǎng)。因此，加密技術(shù)的換代、升級問題也顯得尤為重要和迫切。

（四）設(shè)備安全

設(shè)備方面主要是AP的問題，由于無線AP可能置于外部環(huán)境，有可能發(fā)生雨水浸透、雷電擊壞、盜損等情況。因此一些外部AP需要合理安放位置，防止人為破壞導(dǎo)致AP失聯(lián)，必要時可以加裝監(jiān)控設(shè)備或者報警裝置確保設(shè)備正常運行。另外，一些不法分子還有可能增加一些偽基站接入無線校園網(wǎng)，從而竊取登陸者的各類信息，造成網(wǎng)絡(luò)安全問題。因此，無線網(wǎng)絡(luò)設(shè)備必須進行統(tǒng)一管理，利用管理平臺進行設(shè)備運行狀態(tài)登記，并對網(wǎng)絡(luò)異常問題進行及時發(fā)現(xiàn)、分析和解決，確保無線校園網(wǎng)絡(luò)設(shè)備安全。

（五）網(wǎng)絡(luò)攻擊

當不法分子或者黑客通過無線校園網(wǎng)入侵進入校園網(wǎng)后，就會對校內(nèi)網(wǎng)絡(luò)資源、各類服務(wù)器或者系統(tǒng)進行破壞，甚至導(dǎo)致學(xué)校主頁無法訪問，服務(wù)器癱瘓，向校園網(wǎng)內(nèi)計算機傳送電腦病毒、木馬程序等，造成校內(nèi)大面積計算機癱瘓，導(dǎo)致出現(xiàn)合法用戶無法使用校內(nèi)網(wǎng)絡(luò)資源的嚴重安全問題。

二、高校無線校園網(wǎng)安全管理方案

對于高校無線校園網(wǎng)存在的問題，解決問題的方法就顯得尤為重要，一般都體現(xiàn)在訪問控制、數(shù)據(jù)加密、行為審計等幾個方面。

（一）訪問控制

1.服務(wù)集標識符（SSID）匹配。當用戶接入無線校園網(wǎng)時，無線接入端與無線接入點（AP）的SSID必須相同，才能與AP進行連接。SSID技術(shù)可以為無線校園網(wǎng)劃分多個不同的子網(wǎng)，可以將各類用戶劃分管理，例如教職工、學(xué)生、臨時用戶的SSID均不同，這樣便于控制各類用戶訪問無線校園網(wǎng)絡(luò)資源的權(quán)限，禁止未被授權(quán)的用戶訪問權(quán)限以外的校內(nèi)資源。從而使校園網(wǎng)數(shù)據(jù)資源僅供有權(quán)用戶訪問，達到訪問限制的目的。

2.無線網(wǎng)卡物理地址（MAC）過濾。由于每一個無線網(wǎng)卡的物理地址都是全球唯一標識，因此加強對物理地址的管理和篩選就能夠達到管理訪問無線校園網(wǎng)絡(luò)設(shè)備的目的。連接無線校園網(wǎng)時，如若設(shè)備的無線網(wǎng)卡物理地址在允許的MAC地址表單中，則允許登陸網(wǎng)絡(luò)，否則不允許登陸網(wǎng)絡(luò)。另外，可以將部分不合法用戶的物理地址添加至禁止的MAC地址表單中，達到訪問控制的效果。由于現(xiàn)有無線連接設(shè)備的增多，讓所有合法用戶的物理地址全部添加至允許的MAC地址表單的做法并不現(xiàn)實，該方法較適合在教室、會議室等設(shè)備相對固定的區(qū)域進行合理的設(shè)置。

3.身份統(tǒng)一認證。無線校園網(wǎng)的身份認證采用IEEE802.1x的認證技術(shù)來解決無線校園網(wǎng)中的安全性問題。IEEE802.1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：客戶端、認證系統(tǒng)和認證服務(wù)器。認證系統(tǒng)和有線校園網(wǎng)的認證系統(tǒng)捆綁，用戶既可以通過有線接入校園網(wǎng)亦可以通過無線接入校園網(wǎng)。身份認證既可以是客戶端也可以是Web+Portal的方式。用戶使用客戶端登陸實名賬號和密碼，通過AP發(fā)送到Radius服務(wù)器上雙向認證，完成用戶無線校園網(wǎng)的連接。IEEE802.1x身份認證的主要優(yōu)點是采用了雙向的認證過程，提高了無線校園網(wǎng)的安全性。使用Web+Portal方式進行認證可以很好地處理用戶終端的兼容問題。要注意，在有線和無線接入以及客戶端和Web+Portal接入方式的計費時要結(jié)合起來，確保認證一次，防止用戶在使用網(wǎng)絡(luò)時重復(fù)計費的問題發(fā)生，增強校園網(wǎng)的利用率。

（二）數(shù)據(jù)加密

Wi-Fi網(wǎng)絡(luò)安全接入（WPA）是一種基于標準的可互操作的WLAN安全性增強解決方案，是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于WPA的密鑰根據(jù)服務(wù)器自動分發(fā)，因此該加密方式解決了WEP的缺點，提高了數(shù)據(jù)加密安全保護和訪問認證控制，加強了無線網(wǎng)絡(luò)的管理。使得無線校園網(wǎng)絡(luò)更加安全不容易被非法入侵。此外，WPA技術(shù)是標準的網(wǎng)絡(luò)接入方案，在現(xiàn)有的無線校園網(wǎng)的硬件設(shè)備上升級簡便，兼容性也更強。

（三）行為審計

通過網(wǎng)絡(luò)安全審計系統(tǒng)，添加有效的訪問控制策略，對接入無線校園網(wǎng)的行為進行審計，形成統(tǒng)計、分析報表。對流量進行分析和合理控制，設(shè)置訪問流量的控制策略。根據(jù)網(wǎng)絡(luò)使用的頻率規(guī)劃、升級無線校園網(wǎng)部署。對統(tǒng)計報表的數(shù)據(jù)進行挖掘，分析網(wǎng)絡(luò)安全存在的問題，進一步提升無線校園網(wǎng)的服務(wù)效率，確保無線校園網(wǎng)安全管理。

無線網(wǎng)絡(luò)技術(shù)的發(fā)展正推進著無線校園網(wǎng)絡(luò)的建設(shè)，為了利用無線網(wǎng)絡(luò)技術(shù)達到用戶高效使用校園網(wǎng)的目的，無線校園網(wǎng)的安全問題不容忽視。積極探索無線校園網(wǎng)安全技術(shù)，提高無線校園網(wǎng)的使用效率，使數(shù)字化校園和信息化建設(shè)的腳步更快更穩(wěn)健的向前推進。

參考文獻：

[1]厲延民.試論無線校園網(wǎng)的設(shè)計與實施.2011（11）：25.

[2]群諾.試論無線校園網(wǎng)設(shè)計方案——以西藏大學(xué)老校區(qū)為例[J].2013，（2）：58-63.

[3]梁競敏.無線網(wǎng)安全技術(shù)的研究[J].計算機與數(shù)字工程2008（6）：133-135.

作者簡介：

高竹（1982— ），女，寧夏固原人，助教，碩士，研究方向：計算機網(wǎng)絡(luò)。

基金項目：寧夏師范學(xué)院科研項目（YB201444）

（責(zé)編 張景賢）