◆王希軍

（許昌職業(yè)技術(shù)學(xué)院 河南 416000）

計算機(jī)無線網(wǎng)絡(luò)安全常見問題及對策淺析

◆王希軍

（許昌職業(yè)技術(shù)學(xué)院 河南 416000）

隨著 WIFI技術(shù)在我國的廣泛應(yīng)用和發(fā)展，用戶隱私泄露、密碼竊取和釣魚WIFI等安全問題日益凸顯。本文通過對家用 WIFI、企業(yè)WIFI和商用 WIFI三種不同應(yīng)用場景的研究，分析無線WIFI的安全現(xiàn)狀并提出相應(yīng)的防控措施，為政府制定無線 WIFI網(wǎng)絡(luò)安全監(jiān)管策略提供參考。

無線 WIFI；安全問題；防控措施

0 引言

WIFI是Wireless Fidelity的縮寫，專業(yè)術(shù)語為無線保真技術(shù)，俗稱無線寬帶〔同時，它也指IEEE 802.11b，無線網(wǎng)絡(luò)通信的一種工業(yè)標(biāo)準(zhǔn)，屬于一種短距離通信技術(shù)、它的工作頻段為2.4GHz，最高速率可達(dá)到11Mbps一言以蔽之，無線wifi技術(shù)就是能將PC，PAD，手機(jī)等終端以無線方式互相連接的技術(shù)，與有線連接的方式比較，無線連接的優(yōu)點在于，能夠靈活地構(gòu)建網(wǎng)絡(luò)和移動終端。

無線WIFI技術(shù)能得到廣泛的應(yīng)用，是因為該項技術(shù)有很多優(yōu)點：①WIFI的無線電波的覆蓋半徑可達(dá)300m，范圍很適合樓宇內(nèi)部使用；② WIFI網(wǎng)絡(luò)組建簡便，不同品牌的接入點（AP）和網(wǎng)絡(luò)接口之間基木可以互相兼容操作，還可以將已有的寬帶業(yè)務(wù)延伸到WLAN中，也可以將WLAN集成到已有的寬帶網(wǎng)絡(luò)中，合理利用資源；③WLAN使用的頻段是全球開放的，用戶無需任何許可就可以使用這個頻段上的各種服務(wù)。

即使無線WIFI集眾多優(yōu)點于一身，但它還是存在著一個重大的缺點，那就是它的安全機(jī)制存在著漏洞，使得用戶在使用WIFI網(wǎng)絡(luò)時而臨著嚴(yán)重的安全威脅。

1 無線WIFI安全現(xiàn)狀及分析

2014年6月，央視《消費主張》曝光人們?nèi)粘Ｊ褂玫臒o線網(wǎng)絡(luò)存在巨大的安全隱患，無線WIFI安全問題引起了極大關(guān)注。無線WIFI網(wǎng)絡(luò)是一種使用系列標(biāo)準(zhǔn)協(xié)議，將個人電腦、手持設(shè)備等終端設(shè)備以無線方式接入網(wǎng)絡(luò)。與傳統(tǒng)固網(wǎng)相比，無線WIFI網(wǎng)絡(luò)的無需布線、網(wǎng)絡(luò)組建簡單等優(yōu)勢極大地促進(jìn)了其推廣應(yīng)用，而其介質(zhì)特殊的穿透性和開放性以及其安全機(jī)制本身固有的漏洞使得無線WIFI網(wǎng)絡(luò)面臨著嚴(yán)重的安全威脅。根據(jù)現(xiàn)有WIFI的應(yīng)用范圍，我們將其分為家庭、企業(yè)和商用三種不同的WIFI類型，而不同WIFI類型擁有與自身應(yīng)用場景相對應(yīng)的特點，所以其面對的安全威脅也不同。因此我們將從家用WIFI、企業(yè)WIFI和商用WIFI三個方面分析其安全現(xiàn)狀。

1.1 家用WIFI

據(jù)我國360安全衛(wèi)士發(fā)布的《2013年第三季度家用無線路由器安全報告》顯示，國內(nèi)用戶修改或重新設(shè)定路由器管理賬號和密碼的比例還處在一個較低的水平，98.6%的家用無線路由器存在弱密碼風(fēng)險。

家用WIFI面臨的安全威脅，主要來自家庭外部和家庭內(nèi)部兩個方面。家庭外部的安全威脅、主要針對無線路由器，黑客通過CSRF漏洞攻擊能夠越過WIFI密碼的驗證，直接入侵用戶路由器管理界面，對路由器DVS、管理密碼等設(shè)置進(jìn)行篡改，從而實現(xiàn)劫持網(wǎng)站、插入廣告、誘導(dǎo)用戶進(jìn)入釣魚網(wǎng)站以及屏蔽安全軟件的升級、云安全查詢等目的。同時，黑客CSRF攻擊手法已經(jīng)升級，可直接修改用戶路由器默認(rèn)的管理端口。而來自家庭內(nèi)部的安全，主要涉及WIFI密碼和路由器管理密碼問題。WIFI密碼結(jié)構(gòu)單一、破解難度系數(shù)低以及密碼更新周期長是導(dǎo)致WIFI密碼存在安全問題的主要原因。

1.2 企業(yè)WIFI

目前國內(nèi)使用WIFI的企業(yè)非常普遍，有的甚至已經(jīng)取消傳統(tǒng)有線網(wǎng)絡(luò)，完全依靠WIFI進(jìn)行辦公。然而，大部分企業(yè)缺乏有效的WIFI管理措施，尤其是2013年曝光的“棱鏡門計劃”披露了美國竊聽企業(yè)高層的信息，無線WIFI安全問題更是引起了企業(yè)的廣泛關(guān)注。

來自企業(yè)WIFI的安全問題主要分為以下四方面：（1）WIFI網(wǎng)絡(luò)信號容易被搜索發(fā)現(xiàn)，這為非法用戶接入WIFI網(wǎng)絡(luò)創(chuàng)造了基本條件，WIFI接入點設(shè)備的廣播信息中攜帶了許多可以用來推斷WEP密鑰的明文信息，如WIFI網(wǎng)絡(luò)的名稱、SSID號等，這些信息為非法用戶入侵WIFI網(wǎng)絡(luò)創(chuàng)造了必要條件；（2）非法用戶偽裝成合法的WIFI網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)地址，欺騙WIFI網(wǎng)絡(luò)的認(rèn)證機(jī)制入侵網(wǎng)絡(luò)，從而達(dá)到非法訪問網(wǎng)絡(luò)資源的目的；（3）拒絕服務(wù)攻擊（DNS），該攻擊通過產(chǎn)生大量的數(shù)據(jù)包，耗盡網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)無法響應(yīng)合法用戶的請求，導(dǎo)致網(wǎng)絡(luò)癱瘓；（4）通過客戶端接入非法IP來竊取客戶端的信息。當(dāng)攻擊者得知企業(yè)網(wǎng)絡(luò)的SSID，則可使客戶端錯誤關(guān)聯(lián)到非法IP上，通過攻擊客戶端來竊取企業(yè)數(shù)據(jù)。

1.3 商用WIFI

商用WIFI即商用寬帶無線網(wǎng)絡(luò)，常用于咖啡、餐廳等免費為用戶提供寬帶無線網(wǎng)絡(luò)的公共場所。與家用和企業(yè)WIFI相比，商用WIFI起步相對較晚。但隨著移動互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，商用WIFI得到了咖啡廳、餐廳等商業(yè)場所的喜愛。不過其人流量大、需求多種多樣的特點也為其帶來安全隱患，可能引發(fā)嚴(yán)重后果。

商用WIFI安全問題主要體現(xiàn)在以下三方面。（1）商用WIFI缺乏相應(yīng)的規(guī)范標(biāo)準(zhǔn)。（2）釣魚WIFI盛行。公安部第一研究所專家蘇智睿曾指出，無線WIFI將常規(guī)有線網(wǎng)絡(luò)中的物理線路變成邏輯上的虛擬鏈路（無線電波）來傳輸數(shù)據(jù)，這種安全性上的“先天缺陷”，促生了釣魚WIFI。惡意用戶通過開啟與商業(yè)WIFI熱點一致的SSID，騙取無線用戶接入，竊取用戶個人信息、網(wǎng)銀、支付寶密碼等，給商業(yè)WIFI帶來極大安全威脅。（3）大功率無線網(wǎng)卡威脅商業(yè)WIFI安全?！按蠊β薀o線網(wǎng)卡”俗稱“蹭網(wǎng)卡”，通過破解密碼，強(qiáng)行共享他人無線網(wǎng)絡(luò)，增加了商業(yè)WIFI網(wǎng)絡(luò)負(fù)擔(dān)，拖慢網(wǎng)速，造成穩(wěn)定性差。更嚴(yán)重的是，通過截獲無線數(shù)據(jù)，還可以分析出商業(yè)WIFI用戶的網(wǎng)銀、郵件等重要數(shù)據(jù)，給商用WIFI用戶帶來直接的財產(chǎn)損失。

2 對策分析

2.1 家用WIFI提高密碼管理水平

國內(nèi)家用WIFI大多存在著密碼結(jié)構(gòu)單一、易破解以及密碼更新周期長等安全性問題、應(yīng)對這些問題的對策，要從路由器用戶及廠家下手。對家用路由器用戶而言，要有意識地設(shè)置復(fù)雜的密碼，采用字符數(shù)字字母交錯出現(xiàn)的結(jié)構(gòu)，并且能不定時更新密碼，同時，不妨開啟MAC地址過濾功能，不允許未知的設(shè)備接入網(wǎng)絡(luò)。對路由器廠家用戶，在路由器設(shè)計時，可以加入強(qiáng)制設(shè)置復(fù)雜性密碼及密碼修改提醒功能，為用戶多加一層安全屏障。

2.2 企業(yè)WIFI網(wǎng)絡(luò)規(guī)范建設(shè)，加強(qiáng)管理

為防止企業(yè)WIFI被非法占用，企業(yè)應(yīng)規(guī)范WIFI網(wǎng)絡(luò)的設(shè)計。首先，屏蔽SSID廣播信息，只有企業(yè)內(nèi)部的合法用戶通過實現(xiàn)分配的ID才能接入網(wǎng)絡(luò)；然后，過濾AP的MAC及IP地址，進(jìn)行入侵檢測和訪問控制，一旦出現(xiàn)非法連接的情況，立刻發(fā)出報警信號；最后，使用WPA/WPA2加密功能，保障企業(yè)的信息安全。

2.3 加強(qiáng)商用WIFI監(jiān)管

要想提高商用WIFI的安全性，最基本的是政府要完善相關(guān)的WIFI規(guī)范標(biāo)準(zhǔn)，促進(jìn)WIFI安全體系的建立、從WIFI用戶方面看，要提高辨別釣魚網(wǎng)站的能力、終端要安裝安全軟件，在進(jìn)入釣魚網(wǎng)站前可給出重要的安全提示。其實，最根本的是，用戶不要在公共場合隨意連接不明的WIFI，不要為了節(jié)省流量而泄露自己的信息。

3 結(jié)語

本文創(chuàng)造性地從家用WIFI、企業(yè)WIFI和商用WIFI三個角度分析了其安全現(xiàn)狀，從而很好地解決了現(xiàn)有文章對WIFI安全問題一概而論的問題，使原本界限模糊的WIFI安全問題變得清晰、明朗。同時，有針對性地對小同應(yīng)用場景的WIFI提出安全對策建議，對于家用WIFI，從路由器密碼設(shè)置和用戶安全意識著手，有效保護(hù)路由器安全；對于安全性高要求更高的企業(yè)WIFI，從專業(yè)技術(shù)和整體設(shè)計的角度出發(fā)，保障企業(yè)WIFI安全；而對于發(fā)展迅速的商業(yè)WIFI，除提高用戶辨別釣魚WIFI之外，政府部門的有效監(jiān)管才能從根本上保障無線WIFI消費者的合法利益。

[1]（美）匿名（Anonymous）等著，王東霞，李蔚虹等譯.最高安全機(jī)密[M].機(jī)械工業(yè)出版社，2014.

[2]高傳善，毛迪林，曹袖[編著].數(shù)據(jù)通信與計算機(jī)網(wǎng)絡(luò)[M].高等教育出版社，2014.

[3]湯嘉偉.政府計算機(jī)網(wǎng)絡(luò)安全解決方案[J].中共貴州省委黨校學(xué)報，2015.

[4]韓旭東，曹建海，張春業(yè).IEEE802.11g協(xié)議關(guān)鍵技術(shù)及性能分析[J].現(xiàn)代通信，2013.

圖3 數(shù)據(jù)庫健康狀態(tài)監(jiān)控軟件流程圖

（1）設(shè)置RAC數(shù)據(jù)庫健康狀態(tài)標(biāo)志為0x10，不健康標(biāo)志為0x00；

（2）設(shè)置單實例數(shù)據(jù)庫健康狀態(tài)標(biāo)志為0x01，不健康標(biāo)志為0x00；

（3）數(shù)據(jù)庫健康狀態(tài)監(jiān)控進(jìn)程捕獲數(shù)據(jù)庫健康狀態(tài)，根據(jù)捕獲到的狀態(tài)，設(shè)置DBMON狀態(tài)值，DBMON狀態(tài)值為獲取到的RAC數(shù)據(jù)庫健康狀態(tài)標(biāo)志值與單實例數(shù)據(jù)庫健康狀態(tài)標(biāo)志值之和；

表1 數(shù)據(jù)庫健康狀態(tài)

（4）當(dāng)DBMON狀態(tài)值為0x11或0x10時，則向客戶端發(fā)送RAC數(shù)據(jù)庫連接字信息，使客戶端程序通過RAC數(shù)據(jù)庫連接字與RAC數(shù)據(jù)庫建立連接，進(jìn)行數(shù)據(jù)庫讀寫訪問；與此同時，DBMON不間斷地探測數(shù)據(jù)庫健康狀態(tài)，及時獲取數(shù)據(jù)庫健康狀態(tài)；

（5）當(dāng)DBMON狀態(tài)值為0x01時，則向客戶端發(fā)送單實例數(shù)據(jù)庫連接字信息，使客戶端程序通過單實例數(shù)據(jù)庫連接字與單實例數(shù)據(jù)庫建立連接，進(jìn)行數(shù)據(jù)庫讀寫訪問；與此同時，DBMON不間斷地探測數(shù)據(jù)庫健康狀態(tài)，及時獲取數(shù)據(jù)庫健康狀態(tài)；

（6）當(dāng)DBMON狀態(tài)值為0x00時，則表明數(shù)據(jù)庫系統(tǒng)全面癱瘓，程序告警退出。

3 結(jié)束語

與現(xiàn)有技術(shù)相比，本方法優(yōu)勢在于：

（1）本方法將Oracle RAC集群技術(shù)引進(jìn)指揮信息系統(tǒng)，有效的解決了海量三維地理信息數(shù)據(jù)的存儲問題。

（2）本方法將Oracle RAC集群技術(shù)與高級復(fù)制技術(shù)相結(jié)合，使RAC數(shù)據(jù)庫和單實例數(shù)據(jù)庫互為備份，既避免了單純RAC環(huán)境下由于網(wǎng)絡(luò)存儲設(shè)備發(fā)生故障而導(dǎo)致的系統(tǒng)全面癱瘓的隱患，又解決了單實例數(shù)據(jù)庫的單點故障隱患。

（3）本方法中高級復(fù)制的使用，將原設(shè)計中三機(jī)高級復(fù)制降階為雙機(jī)高級復(fù)制，降低了高級復(fù)制的耦合性，有效降低了數(shù)據(jù)同步過程中出錯概率。

（4）本方法通過建立數(shù)據(jù)庫健康狀態(tài)捕獲機(jī)制，實現(xiàn)了RAC數(shù)據(jù)庫和單實例數(shù)據(jù)庫之間無縫切換，為客戶端訪問提供了更加穩(wěn)定高效的數(shù)據(jù)支撐。

參考文獻(xiàn)：

[1]張曉明.大話Oracle RAC集群高可用性備份與恢復(fù)[M].北京：人民郵電出版社.

[2]朱建紅，陳柯.數(shù)據(jù)服務(wù)多節(jié)點主備切換設(shè)計方法[J].指揮信息系統(tǒng)與技術(shù)，2012.

[3]唐志軍.基于Oracle的海量實時報文存儲訪問策略[M].指揮信息系統(tǒng)與技術(shù)，2011.