楊豐瑞　劉孟娟

摘要：隨著WIFI技術(shù)在我國的的廣泛應(yīng)用和發(fā)展，用戶隱私泄露、密碼竊取和釣魚WIFI等安全問題日益凸顯。通過對(duì)家用WIFI、企業(yè)WIFI和商用WIFI三種不同應(yīng)用場景的研究，分析無線WIFI的安全現(xiàn)狀并提出相應(yīng)的防控措施，為政府制定無線WIFI網(wǎng)絡(luò)安全監(jiān)管策略提供參考。關(guān)鍵詞：無線WIFI；安全問題；防控措施

中圖分類號(hào)：TB

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：16723198（2015）05017403

1無線WIFI安全現(xiàn)狀及分析

2014年6月，央視《消費(fèi)主張》曝光人們?nèi)粘Ｊ褂玫臒o線網(wǎng)絡(luò)存在巨大的安全隱患，無線WIFI安全問題引起了極大關(guān)注。無線WIFI網(wǎng)絡(luò)是一種使用802.11系列標(biāo)準(zhǔn)協(xié)議，將個(gè)人電腦、手持設(shè)備等終端設(shè)備以無線方式接入網(wǎng)的絡(luò)技術(shù)。與傳統(tǒng)固網(wǎng)相比，無線WIFI網(wǎng)絡(luò)的無需布線、網(wǎng)絡(luò)組建簡單等優(yōu)勢極大地促進(jìn)了其推廣應(yīng)用；而其介質(zhì)特殊的穿透性和開放性，以及其安全機(jī)制本身固有的漏洞，使得無線WIFI網(wǎng)絡(luò)面臨著嚴(yán)重的安全威脅。

根據(jù)現(xiàn)有WIFI的應(yīng)用范圍，我們將其分為家庭、企業(yè)和商用三種不同的WIFI類型。而不同WIFI類型擁有與自身應(yīng)用場景相對(duì)應(yīng)的特點(diǎn)，所以其面對(duì)的安全威脅也不同。因此，我們將從家用WIFI、企業(yè)WIFI和商用WIFI三個(gè)方面分析其安全現(xiàn)狀。

1.1家用WIFI

伴隨著具備WIFI功能的設(shè)備不斷增多，再加上無線WIFI應(yīng)用起來的方便性，WIFI已悄然走入眾多的家庭用戶。美國市場調(diào)研公司Strategy Analytics早在2006年5月的調(diào)查報(bào)告《家庭網(wǎng)絡(luò)采用WIFI的情況》預(yù)測，中國將成為全球WIFI家用市場的主要增長動(dòng)力，并于2016年為WIFI貢獻(xiàn)1.1億個(gè)家庭網(wǎng)絡(luò)用戶。而無線路由器作為家用WIFI的一個(gè)無線AP，其安全性影響著家用WIFI網(wǎng)絡(luò)的安全。據(jù)我國360安全衛(wèi)士發(fā)布的《2013年第三季度家用無線路由器安全報(bào)告》顯示，國內(nèi)用戶修改或重新設(shè)定路由器管理帳號(hào)和密碼的比例還處在一個(gè)較低的水平，98.6%的家用無線路由器存在弱密碼風(fēng)險(xiǎn)。

家用WIFI面臨的安全威脅，主要來自家庭外部和家庭內(nèi)部兩個(gè)方面。家庭外部的安全威脅主要針對(duì)無線路由器，黑客通過CSRF漏洞攻擊能夠越過WIFI密碼的驗(yàn)證，直接入侵用戶路由器管理界面，對(duì)路由器DNS、管理密碼等設(shè)置進(jìn)行篡改，從而實(shí)現(xiàn)劫持網(wǎng)站、插入廣告、誘導(dǎo)用戶進(jìn)入釣魚網(wǎng)站以及屏蔽安全軟件的升級(jí)、云安全查詢等目的。同時(shí)，黑客CSRF攻擊手法已經(jīng)升級(jí)，可直接修改用戶路由器默認(rèn)的管理端口。而來自家庭內(nèi)部的安全，主要涉及WIFI密碼和路由器管理密碼問題。WIFI密碼結(jié)構(gòu)單一、破解難度系數(shù)低以及密碼更新周期長是導(dǎo)致WIFI密碼存在安全問題的主要原因。

1.2企業(yè)WIFI

隨著WIFI技術(shù)的廣泛應(yīng)用，越來越多的企業(yè)組建了基于WIFI接入的Intranet企業(yè)網(wǎng)，分享無線網(wǎng)絡(luò)給企業(yè)生產(chǎn)、管理及營銷帶來的極大便利。目前國內(nèi)使用WIFI的企業(yè)非常普遍，有的甚至已經(jīng)取消傳統(tǒng)有線網(wǎng)絡(luò)，完全依靠WIFI進(jìn)行辦公。然而，大部分企業(yè)缺乏有效的WIFI管理措施，尤其是2013年曝光的“棱鏡門計(jì)劃”披露了美國NSA竊聽企業(yè)高層的信息，無線WIFI安全問題更是引起了企業(yè)的廣泛關(guān)注。

來自企業(yè)WIFI的安全問題主要分為以下四方面：一是WIFI網(wǎng)絡(luò)信號(hào)容易被搜索發(fā)現(xiàn)，這為非法用戶接入WIFI網(wǎng)絡(luò)創(chuàng)造了基本條件，WIFI接入點(diǎn)設(shè)備的廣播信息中攜帶了許多可以用來推斷WEP密鑰的明文信息如WIFI網(wǎng)絡(luò)的名稱、SSID號(hào)等，這些信息為非法用戶入侵WIFI網(wǎng)絡(luò)創(chuàng)造了必要條件；二是非法用戶偽裝成合法的WIFI網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)地址，欺騙WIFI網(wǎng)絡(luò)的認(rèn)證機(jī)制入侵網(wǎng)絡(luò)，從而達(dá)到非法訪問網(wǎng)絡(luò)資源的目的；三是拒絕服務(wù)攻擊（DOS），該攻擊通過產(chǎn)生大量的數(shù)據(jù)包，耗盡網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)無法響應(yīng)合法用戶的請(qǐng)求，導(dǎo)致網(wǎng)絡(luò)癱瘓；四是通過客戶端接入非法AP來竊取客戶端的信息。當(dāng)攻擊者得知企業(yè)網(wǎng)絡(luò)的SSID，則可使客戶端錯(cuò)誤關(guān)聯(lián)到非法AP上，通過攻擊客戶端來竊取企業(yè)數(shù)據(jù)。

1.3商用WIFI

商用WIFI即商用寬帶無線網(wǎng)絡(luò)，常用于咖啡、餐廳等免費(fèi)為用戶提供寬帶無線網(wǎng)絡(luò)的公共場所。與家用和企業(yè)WIFI相比，商用WIFI起步相對(duì)較晚。但隨著移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，商用WIFI得到了咖啡廳、餐廳等商業(yè)場所的喜愛。不過其人流量大、需求多種多樣的特點(diǎn)也為其帶來安全隱患，可能引發(fā)嚴(yán)重后果。

商用WIFI安全問題主要體現(xiàn)在以下三方面。一是商用WIFI缺乏相應(yīng)的規(guī)范標(biāo)準(zhǔn)。當(dāng)前的公共場所無線網(wǎng)絡(luò)環(huán)境，我國除對(duì)經(jīng)營性場所類的網(wǎng)吧實(shí)行實(shí)名制外，其余公共場所無線網(wǎng)絡(luò)的管理措施還停留在備案制層面，所以亟待建立一個(gè)標(biāo)準(zhǔn)規(guī)范的服務(wù)保障體系。二是釣魚WIFI盛行。公安部第一研究所專家蘇智睿曾指出，無線WIFI將常規(guī)有線網(wǎng)絡(luò)中的物理線路變成邏輯上的虛擬鏈路（無線電波）來傳輸數(shù)據(jù)，這種安全性上的“先天缺陷”，促生了釣魚WIFI。惡意用戶通過開啟與商業(yè)WIFI熱點(diǎn)一致的SSID，騙取無線用戶接入，竊取用戶個(gè)人信息、網(wǎng)銀、支付寶密碼等，給商業(yè)WIFI帶來極大安全威脅。三是大功率無線網(wǎng)卡威脅商業(yè)WIFI安全?！按蠊β薀o線網(wǎng)卡”俗稱“蹭網(wǎng)卡”，通過破解密碼，強(qiáng)行共享他人無線網(wǎng)絡(luò)，增加了商業(yè)WIFI網(wǎng)絡(luò)負(fù)擔(dān)，拖慢網(wǎng)速，造成穩(wěn)定性差。更嚴(yán)重的是，通過截獲無線數(shù)據(jù)，還可以分析出商業(yè)WIFI用戶的網(wǎng)銀、郵件等重要數(shù)據(jù)，給商用WIFI用戶帶來直接的財(cái)產(chǎn)損失。

2無線WIFI安全對(duì)策建議

鑒于無線WIFI廣泛運(yùn)用，而其安全性可能引發(fā)的嚴(yán)重后果，因此，本文根據(jù)無線WIFI應(yīng)用范圍，針對(duì)家用、企業(yè)和商用三種WIFI不同特點(diǎn)給出了安全對(duì)策建議，從而在一定程度上保障無線WIFI的安全，保證無線WIFI消費(fèi)者合法利益。

2.1加強(qiáng)家用WIFI路由器密碼設(shè)置，提高用戶安全意識(shí)

第一，對(duì)于用戶來說，加強(qiáng)路由器密碼復(fù)雜程度，選擇WPA2加密認(rèn)證方式設(shè)置密碼，且密碼長度至少在10位以上，包含字母、數(shù)字和特殊符號(hào)。同時(shí)，將路由器管理的默認(rèn)IP地址修改為自己設(shè)定的特殊IP地址，降低CSRF等自動(dòng)攻擊的成功率。最后，開啟路由器MAC地址過濾功能，只允許已知的設(shè)備接入路由器。

第二，對(duì)路由器廠商來說，在路由器設(shè)計(jì)中增加密碼修改提醒或強(qiáng)制修改管理密碼。即對(duì)沒有修改過管理帳號(hào)和密碼的用戶，在其每次登錄路由器時(shí)，給予風(fēng)險(xiǎn)提示，甚至強(qiáng)制要求用戶設(shè)定新的管理帳號(hào)和密碼。

第三，加大WIFI安全宣傳力度，提高用戶安全意識(shí)。一方面，監(jiān)管機(jī)構(gòu)可對(duì)公共場所WIFI進(jìn)行安全性認(rèn)證，并進(jìn)行標(biāo)識(shí)。同時(shí)，要求無線WIFI網(wǎng)絡(luò)服務(wù)提供商提供該WIFI安全等級(jí)提示，從而用戶可以選擇性的連接，避免接入不安全WIFI網(wǎng)絡(luò)。另一方面，對(duì)WIFI用戶進(jìn)行WIFI安全使用宣傳。根據(jù)網(wǎng)絡(luò)安全技術(shù)和組網(wǎng)經(jīng)驗(yàn)，向無線WIFI用戶普及無線WIFI網(wǎng)絡(luò)安全知識(shí)。

2.2規(guī)范企業(yè)WIFI網(wǎng)絡(luò)建設(shè)，建立安全應(yīng)急機(jī)制

第一，規(guī)劃企業(yè)WIFI網(wǎng)絡(luò)設(shè)計(jì)，建立安全應(yīng)急機(jī)制。監(jiān)管部門應(yīng)要求企業(yè)規(guī)劃WIFI網(wǎng)絡(luò)設(shè)計(jì)，考慮網(wǎng)絡(luò)的整體安全，對(duì)網(wǎng)絡(luò)用途、密級(jí)進(jìn)行認(rèn)證。需將網(wǎng)絡(luò)安全納入網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)中，采取系統(tǒng)和整體策略來實(shí)現(xiàn)WIFI網(wǎng)絡(luò)的安全。其次，鼓勵(lì)企業(yè)建立安全應(yīng)急機(jī)制，當(dāng)非法用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，啟動(dòng)安全機(jī)制，自動(dòng)切斷其連接。最后，企業(yè)對(duì)員工實(shí)施安全密碼和身份驗(yàn)證管理。

第二，隱蔽SSID廣播信息。SSID（Service Set Identifier）服務(wù)集標(biāo)識(shí)用來標(biāo)識(shí)不同無線網(wǎng)絡(luò)的名稱，是網(wǎng)絡(luò)站點(diǎn)找到指定無線網(wǎng)絡(luò)的重要信息。通過關(guān)閉服務(wù)訪問點(diǎn)AP對(duì)外的SSID廣播信息，使非法用戶無法進(jìn)行入網(wǎng)連接，合法用戶則采用企業(yè)網(wǎng)管事先分配的網(wǎng)絡(luò)ID安全接入本無線網(wǎng)絡(luò)。

第三，過濾網(wǎng)絡(luò)接入站點(diǎn)的MAC地址與IP地址。無線接入站點(diǎn)的MAC地址是入網(wǎng)認(rèn)證的重要依據(jù)，在訪問接入點(diǎn)AP上設(shè)置MAC地址過濾策略可以有效防止非法用戶的入侵，這對(duì)企業(yè)中一般使用相對(duì)固定的網(wǎng)絡(luò)站點(diǎn)是非常有用的一種安全措施。

第四，入侵檢測與訪問控制。在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備，一旦在網(wǎng)絡(luò)中檢測到任何未授權(quán)的設(shè)備，如流氓接入點(diǎn)，就發(fā)出報(bào)警。同時(shí)，通過AAA服務(wù)器對(duì)連接到無線網(wǎng)絡(luò)用戶的訪問進(jìn)行控制，通過這一主動(dòng)防御措施，加強(qiáng)無線網(wǎng)絡(luò)的安全性。

第五，啟用WPA/WPA2加密功能。WPA/WPA2數(shù)據(jù)加密技術(shù)是IEEE 802.11n協(xié)議中最基本的無線網(wǎng)絡(luò)安全策略，是提高企業(yè)WIFI網(wǎng)絡(luò)信息安全的基本方法。具體如下：（1）在網(wǎng)絡(luò)傳輸?shù)拿繋瑪?shù)據(jù)中插入幀校驗(yàn)和來檢驗(yàn)數(shù)據(jù)的完整性，防止非法用戶在數(shù)據(jù)流中插入已知文本來試圖破解WPA/WPA2加密的密鑰；（2）確保每個(gè)無線站點(diǎn)和無線訪問接入點(diǎn)AP上都同時(shí)啟用WPA/WPA2功能；（3）不使用常見的WPA/WPA2密鑰，特別是缺省設(shè)置；（4）WPA/WPA2密鑰由用戶來設(shè)定并能夠經(jīng)常更改；（5）使用高的WPA2版本并不斷升級(jí)更新。

2.3規(guī)范商用WIFI建設(shè)，保障用戶信息安全

第一，完善商用WIFI規(guī)范標(biāo)準(zhǔn)，建立服務(wù)保障體系。公共商用場所的無線寬帶網(wǎng)絡(luò)作為工業(yè)和信息化部提出的“寬帶普及提速工程”的重要組成部分，其重要性不言而喻。鑒于商用WIFI在應(yīng)用方面的特點(diǎn)以及現(xiàn)行市場的不完善，政府、業(yè)務(wù)單位和服務(wù)商應(yīng)共同努力，促進(jìn)商用WIFI服務(wù)體系的建立。政府方面，從宏觀方面著手，加強(qiáng)對(duì)如何建設(shè)健康、安全的商用WIFI應(yīng)用生態(tài)環(huán)境的研究，保證公共商業(yè)場所寬帶無線上網(wǎng)服務(wù)的質(zhì)量、穩(wěn)定性和安全性，推動(dòng)中國商用WIFI應(yīng)用的創(chuàng)新和服務(wù)標(biāo)準(zhǔn)的規(guī)范。加強(qiáng)業(yè)務(wù)單位和服務(wù)商方兩者合作，解決好商用寬帶無線網(wǎng)絡(luò)的安全性、穩(wěn)定性、登陸速度等問題，破解公共無線網(wǎng)絡(luò)用戶體驗(yàn)和服務(wù)質(zhì)量差等困局，建設(shè)健全商用寬帶無線網(wǎng)絡(luò)的服務(wù)規(guī)范和服務(wù)標(biāo)準(zhǔn)。

第二，提高辨別意識(shí)，抵制釣魚WIFI陷阱。一方面，用戶應(yīng)加強(qiáng)終端設(shè)備設(shè)置，關(guān)閉自動(dòng)連接WIFI功能；同時(shí)，應(yīng)謹(jǐn)慎對(duì)待公共場合的WIFI無線網(wǎng)絡(luò)，盡量避免使用來源不明的免費(fèi)WIFI。另一方面，用戶應(yīng)及時(shí)更新、升級(jí)瀏覽器。瀏覽器作為最容易泄露用戶信息的軟件，用戶可通過從官方網(wǎng)站進(jìn)行下載和安裝瀏覽器、養(yǎng)成定時(shí)更新升級(jí)的良好習(xí)慣。

第三，從源頭著手，有效遏制大功率無線網(wǎng)卡流通渠道。大功率無線網(wǎng)卡主要針對(duì)本身沒有對(duì)無線路由器進(jìn)行加密的上網(wǎng)資源以及使用WEP簡單加密方式對(duì)無線路由器進(jìn)行加密的商用WIFI。雖然目前對(duì)此類行為沒有作出明確的法律規(guī)定，但是這無疑對(duì)合法擁有商用WIFI的用戶造成了安全威脅。所以，可以通過與相關(guān)無線網(wǎng)絡(luò)監(jiān)管部門合作，限制大功率無線網(wǎng)卡的生產(chǎn)制造，規(guī)范其正常用途。同時(shí)，從商用WIFI用戶自身來避免大功率無線網(wǎng)卡的安全威脅也是一種有效途徑。用戶通過隱藏?zé)o線路由器SSID5使無線路由器對(duì)其他設(shè)備不可見，再輔以WPA2對(duì)無線路由器進(jìn)行加密可以降低被搜索到的可能性。

3結(jié)語

本文創(chuàng)造性的從家用WIFI、企業(yè)WIFI和商用WIFI三個(gè)角度分析了其安全現(xiàn)狀，從而很好的解決了現(xiàn)有文章對(duì)WIFI安全問題一概而論的問題，使原本界限模糊的WIFI安全問題變得清晰、明朗。同時(shí)，針對(duì)性地對(duì)不同應(yīng)用場景的WIFI提出安全對(duì)策建議，對(duì)于家用WIFI，從路由器密碼設(shè)置和用戶安全意識(shí)著手，有效保護(hù)路由器安全；對(duì)于安全性高要求更高的企業(yè)WIFI，從專業(yè)技術(shù)和整體設(shè)計(jì)的角度出發(fā)，保障企業(yè)WIFI安全；而對(duì)于發(fā)展迅速的商業(yè)WIFI，除提高用戶辨別釣魚WIFI之外，政府部門的有效監(jiān)管才能從根本上保障無線WIFI消費(fèi)者的合法利益。

參考文獻(xiàn)

[1]牛鋼.WIFI技術(shù)在實(shí)際建設(shè)運(yùn)行中的應(yīng)用和研究[D].北京：北京郵電大學(xué)，2012.

[2]楊哲.城市無線網(wǎng)絡(luò)安全技術(shù)與威脅淺析[J].信息安全與技術(shù)，2011，（25）：2224.

[3]彭海深.基于WIFI的企業(yè)網(wǎng)信息安全研究[J].科技通報(bào)，2012，28（8）：145147.

[4]孫無極.WIFI接入對(duì)園區(qū)網(wǎng)絡(luò)構(gòu)成安全隱患極其對(duì)策[J].實(shí)踐與經(jīng)驗(yàn)，2010，（7）：116118.

[5]360互聯(lián)網(wǎng)安全中心.2013年第三季度家用無線路由器安全報(bào)告[R].北京：360互聯(lián)網(wǎng)安全中心，2013：25.

作者簡介：

徐向前（1982-），男，本科學(xué)歷，中鐵隧道股份有限公司市政一公司，總工程師，工程師，研究方向：地下工程施工技術(shù)管理。