祁宏偉　白海艷

摘要： 現(xiàn)階段網(wǎng)絡已經(jīng)成為人們生產(chǎn)生活中不可或缺的重要構成，特別是無線網(wǎng)絡出現(xiàn)后，網(wǎng)絡的覆蓋范圍和應用頻率進一步提升，高校作為知識型人才培養(yǎng)的主要基地，現(xiàn)階段對無線網(wǎng)絡的建設力度不斷加大，但大學生在享受無線網(wǎng)絡在信息查詢、數(shù)據(jù)傳輸、實時交流等方面提供的便利的同時，也遭受著黑客、病毒等帶來的安全威脅，所以高校校園無線網(wǎng)絡的安全威脅與防范技術受到社會各界的高度關注，筆者為對高校校園無線網(wǎng)絡建設產(chǎn)生更加全面的認知，推動高校校園無線網(wǎng)絡覆蓋范圍擴大，結合此兩個方面展開研究。

關鍵詞：高校校園無線網(wǎng)絡 安全威脅 防范技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）09-0210-01

無線網(wǎng)絡相比有線網(wǎng)絡整體發(fā)展滯后，雖然近年來無線網(wǎng)絡安全防范技術得到較大幅度的提升，但在實踐應用中無線網(wǎng)絡用戶仍面臨著安全威脅，這在一定程度上限制了無線網(wǎng)絡的推廣和發(fā)展，針對高校校園無線網(wǎng)絡安全威脅和技術防范展開研究，對建設現(xiàn)代校園具有積極的作用。

1 高校校園無線網(wǎng)絡的安全威脅

1.1 網(wǎng)絡資源全面暴露

現(xiàn)階段網(wǎng)絡入侵者利用無線網(wǎng)絡連接技術可以順利進入校園無線網(wǎng)絡局域網(wǎng)，并在具備合法權限后進行資源訪問和信息共享，甚至可以對其他用戶的硬盤驅(qū)動器、儲備信息等進行操作，惡意入侵者甚至可以直接將木馬、病毒程序等接入校園無線網(wǎng)絡的其他用戶手機、計算機等，造成更加嚴重的安全威脅[1]。

1.2 敏感信息泄露

隨著網(wǎng)絡覆蓋范圍的擴大，學生可利用無線網(wǎng)絡實現(xiàn)購物、支付、信息交流等行為，而入侵校園無線網(wǎng)絡的人員利用黑客工具可以輕易的對校園無線網(wǎng)絡其他用戶的WEB頁面實施復制重建，進而結合URL實現(xiàn)網(wǎng)頁登錄賬號、密碼等敏感信息的截取，使學生的財產(chǎn)、信息等方面的安全受到嚴重的威脅。

1.3 被動成為網(wǎng)絡跳板

網(wǎng)絡入侵者可利用校園無線網(wǎng)絡實現(xiàn)FTP服務的架設，利用校園網(wǎng)絡進行非法行為或以校園網(wǎng)絡為終端進一步對其他網(wǎng)絡發(fā)起攻擊，這種安全威脅在入侵者利益驅(qū)使下范圍不斷擴大[2]。

2 針對高校校園無線網(wǎng)絡安全威脅的防范技術

2.1 對無線接入點SSID進行重新設置

高校在進行校園無線網(wǎng)絡建設的過程中通?？紤]到采購和后期維護的便利性，控制成本，會選擇大批量進購相同型號的信息產(chǎn)品，其在接入點型號、性能等方面存在一致性，換言之高校通常存在不同部門無線AP的SSID相同的情況，在多部門同時應用應用無線IP時，相同的SSID使客戶端連接范圍以外IP的可能性加大，為惡意入侵者產(chǎn)生破壞行為提供了空間，所以高校在校園無線網(wǎng)絡建設后，應有意識的對無線IP的SSID進行重新設置，但需要注意的是為保證無線網(wǎng)絡安全和用戶信息安全，應有意識的避免應用用戶的敏感信息作為新設置的SSID。

2.2 注重對接入點防火墻的定期更新

計算機防火墻會結合已知的安全漏洞進行不定期的更新，并將安全技術防范方面的最新可用技術在原防火墻中進行合理的增添，所以定期對接入點防火墻更新對提升接入點的安全性具有積極的作用，雖然現(xiàn)階段部分防火墻在用戶友好設計方面存在一定的缺陷，但仍需要高校予以高度關注，主動進行下載、更新。

2.3 注重MAC地址過濾

MAC地址作為網(wǎng)絡設備制作商在生產(chǎn)時直接用二進制的形式寫入硬件內(nèi)部的地址信息，通常具有28位，用12個16進制數(shù)間隔冒號表示，其前6位和后3位分別表示網(wǎng)絡設備制作商編號和網(wǎng)絡產(chǎn)品自身的系列號，所以在設備出廠后，其所具有的MAC地址具有唯一性，MAC地址過濾即將合法的MAC地址列入并輸入無線網(wǎng)絡中，當?shù)顷懻叩腗AC地址與MAC地址列表相匹配，無線網(wǎng)絡才承認登陸者為合法用戶，允許其進行網(wǎng)絡操作。將此防范技術應用于高校無線網(wǎng)絡中，用戶提出網(wǎng)絡訪問申請后，可先對其身份進行驗證，進而提供網(wǎng)絡服務，使校園無線網(wǎng)絡所承受的安全威脅大幅縮減[3]。

2.4 強化身份驗證技術

雖然現(xiàn)階段PPPoE、WEB和IEEE802.1X均是較成熟的安全認證技術，但WEB認證方式和PPPoE認證協(xié)議在高校無線網(wǎng)絡中的適用性較差，所以在高校無線網(wǎng)絡安全防護中應有意識的應用基于端口的訪問控制協(xié)議IEEE802.1X，此項技術集合了802.1xRADIUS認證和MAC地址認證技術的優(yōu)點，非授權用戶的接入、訪問等操作都可以得到有效的拒絕，此認證技術的原理是，在申請者向認證服務器進行身份信息輸入后，由認證服務器對申請者的身份進行認證，在認證通過對密鑰加密并向申請者傳送后，申請者具有訪問無線網(wǎng)絡的權利，現(xiàn)階段在高校建立IEEE802.1X訪問控制協(xié)議，對提升無線網(wǎng)絡覆蓋的安全性具有重要的意義，具體建設方式要結合學校無線網(wǎng)絡的具體方式進行。在建立無線用戶認證和授權系統(tǒng)的過程中需要考慮校內(nèi)臨時連接無線網(wǎng)絡的特殊人群，如學生家長、辦理校園業(yè)務的人員等，現(xiàn)階段臨時用戶認證，通常采用DHCP+強制Portal認證技術，以此保證校園無線網(wǎng)絡的整體功能不受影響。

2.5 注重網(wǎng)絡用戶隔離技術

將入侵者在一定網(wǎng)絡范圍內(nèi)隔離，也可以縮減校園無線網(wǎng)絡受到的安全威脅，現(xiàn)階段仝立勇具備VLAN功能的交換機實現(xiàn)，在其作用下，無線網(wǎng)絡整體會被劃分成在理論上相互獨立，但在物理表現(xiàn)上為統(tǒng)一整體的多個部分和層次，不但可以用于無線用戶隔離，還可以通過規(guī)則匹配和處理方法定義來過濾和轉發(fā)MAC數(shù)據(jù)包，實現(xiàn)防火墻的功能，結合用戶不同的權限，提供相應的網(wǎng)絡服務，使入侵者的操作權限受到限制。

3 結語

通過上述分析可以發(fā)現(xiàn)，現(xiàn)階段高校已經(jīng)認識到校園無線網(wǎng)絡面臨著安全威脅，并有意識的通過落實防范技術，縮減安全威脅發(fā)生的概率，但在網(wǎng)絡、計算機發(fā)展的過程中，網(wǎng)絡安全威脅的形式和表現(xiàn)將不斷發(fā)生變化，所以高校針對防范技術的優(yōu)化要持續(xù)進行。

參考文獻

[1]劉健.高校校園網(wǎng)絡存在的安全隱患及防范技術探討[J].網(wǎng)絡安全技術與應用，2015，07：29-30.

[2]卞揚.校園無線網(wǎng)絡安全威脅及其防范技術淺析[J].科技風，2015，19：225.

[3]劉明輝.校園無線網(wǎng)絡安全管理風險和防范技術研究[J].長春大學學報，2010，02：68-70.