李敏

（青海交通職業(yè)技術(shù)學院 青海 西寧 810000）

校園網(wǎng)絡不僅能夠保障學校教學、科研、管理等各項工作的有序進行，還能促進學校間的交流溝通，豐富師生的生活[1]。隨著師生中移動終端的普遍使用，校園內(nèi)傳統(tǒng)的有線網(wǎng)絡已經(jīng)不能滿足師生的學習、工作、生活需求。校園無線網(wǎng)，能夠彌補有限網(wǎng)絡的不足，提高學校的信息化建設(shè)水平，為師生搭建起更加便捷的信息化平臺，加速建設(shè)校園無線網(wǎng)絡勢在必行[2-3]。

校園網(wǎng)關(guān)系著師生的工作、生活，必須高度重視校園網(wǎng)的安全性[4-5]。無線校園網(wǎng)在給我們帶來便捷的同時，由于其動態(tài)拓撲以及開放性等性質(zhì)，容易遭受到篡改、非法竊聽和接入等一系列網(wǎng)絡攻擊，加上用戶數(shù)量遠多于家用無線網(wǎng)絡，較難開展網(wǎng)絡安全的防范工作[6]。因此，在構(gòu)建無線校園網(wǎng)時，要充分考慮其安全性，綜合采取各種安全保障手段，搭建起一個安全的網(wǎng)絡環(huán)境。

1 校園無線網(wǎng)的安全威脅

校園無線網(wǎng)為成百上千的師生提供方便快捷的網(wǎng)絡接入，使得師生擺脫了有線電纜的束縛，能夠輕松的獲取新鮮資訊，隨時隨地的學習、工作，能夠極大的促進教育管理和科研水平。然而，也給校園網(wǎng)絡的安全性帶來了嚴峻的挑戰(zhàn)，威脅著校園網(wǎng)絡的正常運轉(zhuǎn)，其存在的安全威脅可以歸納為非法入侵、網(wǎng)絡監(jiān)聽、地址欺騙和會話攔截、拒絕服務、高級網(wǎng)絡入侵等方面。

1）非法入侵

為了方便師生接入，無線局域網(wǎng)能夠輕松的獲取到，這給非法用戶提供了可乘之機。他們不經(jīng)允許私自使用校園網(wǎng)的網(wǎng)絡資源，這一方面將使得寶貴的無線網(wǎng)絡資源變的更加擁擠，使得為師生提供的網(wǎng)絡服務質(zhì)量下降，另一方面還將增加校園網(wǎng)絡費用支出。

2）網(wǎng)絡監(jiān)聽和遠程控制

非法用戶通過入侵校園無線網(wǎng)，并利用一些監(jiān)聽、分析工具，對師生的數(shù)據(jù)進行竊聽、修改以及轉(zhuǎn)發(fā)等；或是利用木馬植入等手段實現(xiàn)遠程控制，竊取用戶控制權(quán)限和資料。這嚴重威脅著校園師生的網(wǎng)絡安全，可能導致師生資料的泄露、賬號和密碼被破解等不良后果。

3）網(wǎng)絡攻擊

入侵者利用偽造MAC地址等方式，造成網(wǎng)絡里產(chǎn)生出眾多的ARP通信量，這將導致網(wǎng)絡阻塞，使得網(wǎng)絡發(fā)生中斷。

4）高級入侵

入侵者一旦攻擊進入到無線網(wǎng)絡中，將會再進一步的通過無線網(wǎng)絡入侵到整個校園網(wǎng)。這時，整個校園網(wǎng)絡內(nèi)部所有的用戶、服務器、數(shù)據(jù)都暴露在入侵者面前，這將給校園網(wǎng)絡帶來無可想象的后果。

2 校園無線網(wǎng)絡的安全技術(shù)分析

在解決校園無線網(wǎng)絡安全性問題的過程中，主要采用過濾MAC地址、數(shù)據(jù)加密、隱藏及禁止廣播SSID等技術(shù)。

1）過濾 MAC地址

MAC地址是唯一的，因此常常采用過濾MAC地址的辦法來解決校園無線網(wǎng)絡的安全性問題。在實現(xiàn)過程中，把合法的MAC地址存放在無線控制器中或下發(fā)給所有的AP中，這樣，就能夠?qū)⒉缓戏ǖ腗AC地址過濾掉，以阻止無線網(wǎng)絡中一些非法入侵行為。

2）數(shù)據(jù)加密處理

通過對所傳輸?shù)臄?shù)據(jù)進行加密處理，能夠有效的提高數(shù)據(jù)的安全性。經(jīng)過加密后的數(shù)據(jù)即使被入侵用戶截獲、監(jiān)聽，也能夠保障數(shù)據(jù)的安全，降低損失。

3）隱藏及禁止廣播SSID

SSID作為網(wǎng)絡標識符，被設(shè)置在無線接入點AP上，用于區(qū)分網(wǎng)絡，實現(xiàn)無線網(wǎng)絡中的跟蹤定位功能。在使用無線網(wǎng)絡的過程中，一臺設(shè)備只允許與一個SSID網(wǎng)絡進行連接和通信。一般情況下，AP廣播SSID以使得接入的設(shè)備能夠感知到附近的無線網(wǎng)絡，這給無線網(wǎng)絡的安全性造成了巨大的威脅。為了保障無線網(wǎng)絡的安全，應該禁止AP的廣播，并用一長串不規(guī)則的字符串映射SSID，實現(xiàn)SSID的隱藏。通過隱藏SSID以及禁止AP廣播SSID，那些未經(jīng)許可的設(shè)備就算是能夠掃描到無線網(wǎng)絡，也不能接入到無線網(wǎng)絡中。

4）其他技術(shù)

除了以上介紹的3種主要的無線網(wǎng)絡安全保障技術(shù)外，一些其他的技術(shù)也常被用于提高校園無線網(wǎng)絡的安全性，如采用VPN技術(shù)、通過802.1x控制網(wǎng)絡進行接入以及停用動態(tài)主機配置協(xié)議等。

3 構(gòu)建完整的校園無線網(wǎng)絡安全解決方案

為了全面的保障校園無線網(wǎng)絡的安全，需要從無線網(wǎng)絡的管理、搭建等各方面入手。一方面要加強用戶的網(wǎng)絡安全意識，加強對接入設(shè)備的管理，并定期備份和維護服務器，制定網(wǎng)絡安全的相應響應機制，積極應對出現(xiàn)的安全意外，保障校園網(wǎng)絡的暢通。另一方面，在搭建校園無線網(wǎng)絡的過程中，在軟硬件方面采用各種無線網(wǎng)絡安全保障技術(shù)，提升校園網(wǎng)抵抗入侵的能力。

3.1 加強校園網(wǎng)絡的安全管理

完善網(wǎng)絡運行管理規(guī)范，建立網(wǎng)絡安全應急響應機制，一旦校園網(wǎng)絡遭到入侵，出現(xiàn)了安全問題，立即通過標準化的流程采用應急手段，對出現(xiàn)的安全問題進行補救，恢復校園網(wǎng)絡的暢通。

組織網(wǎng)絡管理員對校園網(wǎng)用戶進行網(wǎng)絡安全的培訓，提高用戶的網(wǎng)絡安全防范意識，幫助校園網(wǎng)用戶掌握一些無線網(wǎng)絡的安全策略，幫助用戶養(yǎng)成安全上網(wǎng)習慣，使用戶自覺安裝安全軟件，及時補好系統(tǒng)的安全漏洞。

增加無線入侵的監(jiān)測系統(tǒng)，加強對終端設(shè)備的監(jiān)管、分析，建立起網(wǎng)絡用戶數(shù)據(jù)庫，對系統(tǒng)的監(jiān)測日志進行嚴格管理，監(jiān)測非法的網(wǎng)絡入侵行為。及時解決監(jiān)測到的網(wǎng)絡安全問題，對于網(wǎng)絡入侵等異常情況進行報警。

3.2 硬件搭建過程中的安全策略

通過合理的采用無線網(wǎng)絡的硬件策略，對天線進行合理的布局、選取合適的AP發(fā)射的功率，能夠使無線網(wǎng)絡的安全性能得到明顯的提高。

在AP布局時，通過將天線布置在合適位置，并在無效區(qū)域方向添加反射板，能夠有效減弱無效區(qū)域的信號強度，這不僅能夠節(jié)約成本，提高信號有效區(qū)域的信號強度，還能消除無線網(wǎng)絡存在的一些安全隱患。

在搭建無線網(wǎng)絡的過程中，通過合理的選取AP的發(fā)射功率，在保證網(wǎng)絡覆蓋的前提下降低AP發(fā)射功率。這能夠減少AP間干擾的同時，還能降低網(wǎng)絡入侵的概率。

3.3 采用無線網(wǎng)絡安全技術(shù)

通過IP訪問的控制，阻止非授權(quán)的網(wǎng)絡接入，構(gòu)建起無線網(wǎng)絡安全的第一道防線。除了IP控制外，還能夠采取MAC地址的控制，這能夠更加有效的保障校園網(wǎng)絡安全，因為設(shè)備的MAC地址唯一，在出現(xiàn)安全問題時能夠相應的定位到設(shè)備用戶，聯(lián)系用戶解決問題。

采用802.1x進行用戶認證，不僅能夠方便用戶接入，保證用戶隨時能夠?qū)W(wǎng)絡進行訪問，還能保障用戶所訪問的數(shù)據(jù)的安全性。

在數(shù)據(jù)傳輸?shù)倪^程中，通過WEP、WPA（圖1）、VPN等加密技術(shù)，對無線數(shù)據(jù)進行加密處理，能夠為用戶的數(shù)據(jù)安全構(gòu)建起一道新的防線。

圖1 WPA數(shù)據(jù)幀加密處理過程Fig.1 Coding process of WPA data frame

此外，在搭配使用隱藏SSID技術(shù)，并限制SSID的廣播，進一步減少無線網(wǎng)絡被搜索到的可能性，從而提升校園無線網(wǎng)的安全性。

4 結(jié)束語

由于無線網(wǎng)絡接入的便捷性，能夠有利于師生隨時隨地的獲取信息資源，能夠極大提升學校的教育教學和管理水平，校園無線網(wǎng)絡的構(gòu)建成為必然趨勢。然而，無線網(wǎng)絡存在著諸多安全性問題。文中分析了校園無線網(wǎng)絡的安全隱患以及一些常用的無線網(wǎng)絡安全技術(shù)，提出了從管理、硬件和安全技術(shù)3個方面綜合保障校園無線網(wǎng)絡安全運行的解決方案，能夠有效改善校園的網(wǎng)絡運行環(huán)境。

[1]馬玲.淺談校園無線網(wǎng)絡安全防范[J].黑龍江科技信息，2009（34）:97-98.MA Ling.Discussion on security protection of campus wireless network[J].Heilongjiang Science and Technology Information，2009（34）:97-98.

[2]常偉鵬.校園無線網(wǎng)絡安全防護研究[J].網(wǎng)絡安全技術(shù)與應用，2012（7）:75-76.CHANG Wei-peng.Study on security protection of campus wireless network[J].Network Security Technology and Application，2012（7）:75-76.

[3]馬杰，董杰.校園無線網(wǎng)絡安全技術(shù)[J].電腦開發(fā)與應用，2012（6）:68-70.MA Jie，DONG Jie.Campus wireless network security technology[J].Computer Development and Applications，2012（6）:68-70.

[4]蘇俊杰.校園無線網(wǎng)絡安全問題初探[J].計算機光盤軟件與應用，2012（9）:56-57.SU Jun-jie.Exploration of campus wireless network secutity[J].Computer CD Software and Applications，2012（9）:56-57.

[5]李方軍，唐贊玉.校園無線網(wǎng)絡的構(gòu)建[J].軟件導刊，2012（11）:117-118.LI Fang-jun，TANG Zan-yu.Construction of campus wireless network[J].Software Guide，2012（11）:117-118.

[6]張景文.校園無線網(wǎng)絡安全技術(shù)分析 [J].電腦知識與技術(shù)，2010（12）:3104-3105.ZHANG Jing-wen.Analysis of campus wireless network security technology[J].Computer Knowledge and Technology，2010（12）:3104-3105.