高校無(wú)線校園網(wǎng)絡(luò)安全管理方案

摘要：高校無(wú)線校園網(wǎng)的普及使得高校數(shù)字化校園和信息化建設(shè)進(jìn)一步完善，隨之而來(lái)的無(wú)線校園網(wǎng)絡(luò)安全問(wèn)題也令人擔(dān)憂。制定合理的無(wú)線校園網(wǎng)絡(luò)安全管理方案就迫在眉睫，文章主要通過(guò)無(wú)線校園網(wǎng)存在的安全問(wèn)題，提出安全管理的三大方案。從訪問(wèn)控制、數(shù)據(jù)加密、行為審計(jì)等幾個(gè)方面進(jìn)行了闡述，以期達(dá)到提升高校無(wú)線校園網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：無(wú)線校園網(wǎng) 網(wǎng)絡(luò)安全 訪問(wèn)控制 數(shù)據(jù)加密 行為審計(jì)

無(wú)線局域網(wǎng)（Wireless Local Area Network，簡(jiǎn)稱(chēng)WLAN）是指以無(wú)線信道為傳輸媒介來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，其傳輸媒介不再是傳統(tǒng)的電纜、光纜，而是利用無(wú)線電波、激光、紅外線等方式進(jìn)行傳輸，是將無(wú)線通信技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合的產(chǎn)物。隨著信息技術(shù)和無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線校園網(wǎng)已經(jīng)在各大高校投入建設(shè)，使得高校無(wú)線校園網(wǎng)成為校園網(wǎng)絡(luò)的主力軍和新生代。伴著無(wú)線校園網(wǎng)的使用，校園網(wǎng)的安全問(wèn)題也隨之增多，不但有線校園網(wǎng)的安全問(wèn)題在無(wú)線校園網(wǎng)中有所體現(xiàn)，還因?yàn)樾畔⑼ㄟ^(guò)無(wú)線電磁波進(jìn)行傳送，造成無(wú)線校園網(wǎng)容易遭受干擾和竊聽(tīng)等安全問(wèn)題。無(wú)線校園網(wǎng)絡(luò)安全問(wèn)題也隨之被大家重視起來(lái)。

一、高校無(wú)線校園網(wǎng)存在的安全問(wèn)題

（一）網(wǎng)絡(luò)使用管理

高校網(wǎng)絡(luò)資源的最大受益者就是學(xué)生，因?yàn)闊o(wú)線校園網(wǎng)使用便捷的優(yōu)點(diǎn)，學(xué)生可以通過(guò)手機(jī)、電腦等隨時(shí)隨地的進(jìn)行網(wǎng)絡(luò)連接，由此產(chǎn)生的問(wèn)題也油然而生。例如，洛陽(yáng)理工學(xué)院教室內(nèi)專(zhuān)設(shè)手機(jī)收納袋，欲戒除學(xué)生“手機(jī)癮”，防止學(xué)生上課不聽(tīng)講低頭上網(wǎng)，變成“低頭一族”。在正常休息時(shí)段，有學(xué)生不顧疲倦依然利用網(wǎng)絡(luò)玩游戲、看電影等，不但本人不能休息還會(huì)影響其他同學(xué)的正常休息，影響第二天的學(xué)習(xí)、生活。另外，由于年輕人好奇心強(qiáng)，責(zé)任感較弱，容易通過(guò)校園網(wǎng)絡(luò)在BBS或者微信等平臺(tái)發(fā)表或者轉(zhuǎn)發(fā)不當(dāng)言論或者謠言。更有甚者經(jīng)不住誘惑瀏覽色情網(wǎng)站，被壞人利用，做出違法犯罪的事情，造成嚴(yán)重后果。

（二）用戶身份認(rèn)證

由于無(wú)線校園網(wǎng)開(kāi)放性這一特點(diǎn)，登陸無(wú)線校園網(wǎng)的用戶身份就容易被非法的、未授權(quán)的用戶篡改或者盜用。此類(lèi)非法入侵用戶通過(guò)獲取SSID等技術(shù)手段，偽裝成合法用戶進(jìn)入校園網(wǎng)。輕者盜用校園網(wǎng)絡(luò)資源，重者篡改學(xué)校各類(lèi)數(shù)據(jù)信息，更有甚者會(huì)竊取考試試卷、科研成果、篡改學(xué)生成績(jī)等。25歲的普渡大學(xué)留學(xué)生孫超然被判處四年有期徒刑，罪名就是侵入教授的計(jì)算機(jī)篡改他和其他學(xué)生的成績(jī)，這類(lèi)問(wèn)題會(huì)給高校校園網(wǎng)帶來(lái)極大的安全隱患。

（三）密碼破譯

一般無(wú)線網(wǎng)絡(luò)使用無(wú)線加密協(xié)議WEP，WEP是有線等效保密算法，這是一種常見(jiàn)的安全對(duì)等加密技術(shù)。WEP使用一個(gè)共享的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，主要用來(lái)防止非法用戶侵入或竊聽(tīng)無(wú)線網(wǎng)絡(luò)，其密鑰長(zhǎng)度最高為128位，當(dāng)輸入的密鑰和AP保存的密鑰一致時(shí)，允許用戶登陸網(wǎng)絡(luò)使用無(wú)線網(wǎng)絡(luò)資源。但是此類(lèi)加密協(xié)議已經(jīng)可以通過(guò)一些非法的程序?qū)γ艽a進(jìn)行分析、破解。通過(guò)非法途徑可以獲得授權(quán)，從而使非法入侵者進(jìn)入校園網(wǎng)。因此，加密技術(shù)的換代、升級(jí)問(wèn)題也顯得尤為重要和迫切。

（四）設(shè)備安全

設(shè)備方面主要是AP的問(wèn)題，由于無(wú)線AP可能置于外部環(huán)境，有可能發(fā)生雨水浸透、雷電擊壞、盜損等情況。因此一些外部AP需要合理安放位置，防止人為破壞導(dǎo)致AP失聯(lián)，必要時(shí)可以加裝監(jiān)控設(shè)備或者報(bào)警裝置確保設(shè)備正常運(yùn)行。另外，一些不法分子還有可能增加一些偽基站接入無(wú)線校園網(wǎng)，從而竊取登陸者的各類(lèi)信息，造成網(wǎng)絡(luò)安全問(wèn)題。因此，無(wú)線網(wǎng)絡(luò)設(shè)備必須進(jìn)行統(tǒng)一管理，利用管理平臺(tái)進(jìn)行設(shè)備運(yùn)行狀態(tài)登記，并對(duì)網(wǎng)絡(luò)異常問(wèn)題進(jìn)行及時(shí)發(fā)現(xiàn)、分析和解決，確保無(wú)線校園網(wǎng)絡(luò)設(shè)備安全。

（五）網(wǎng)絡(luò)攻擊

當(dāng)不法分子或者黑客通過(guò)無(wú)線校園網(wǎng)入侵進(jìn)入校園網(wǎng)后，就會(huì)對(duì)校內(nèi)網(wǎng)絡(luò)資源、各類(lèi)服務(wù)器或者系統(tǒng)進(jìn)行破壞，甚至導(dǎo)致學(xué)校主頁(yè)無(wú)法訪問(wèn)，服務(wù)器癱瘓，向校園網(wǎng)內(nèi)計(jì)算機(jī)傳送電腦病毒、木馬程序等，造成校內(nèi)大面積計(jì)算機(jī)癱瘓，導(dǎo)致出現(xiàn)合法用戶無(wú)法使用校內(nèi)網(wǎng)絡(luò)資源的嚴(yán)重安全問(wèn)題。

二、高校無(wú)線校園網(wǎng)安全管理方案

對(duì)于高校無(wú)線校園網(wǎng)存在的問(wèn)題，解決問(wèn)題的方法就顯得尤為重要，一般都體現(xiàn)在訪問(wèn)控制、數(shù)據(jù)加密、行為審計(jì)等幾個(gè)方面。

（一）訪問(wèn)控制

1.服務(wù)集標(biāo)識(shí)符（SSID）匹配。當(dāng)用戶接入無(wú)線校園網(wǎng)時(shí)，無(wú)線接入端與無(wú)線接入點(diǎn)（AP）的SSID必須相同，才能與AP進(jìn)行連接。SSID技術(shù)可以為無(wú)線校園網(wǎng)劃分多個(gè)不同的子網(wǎng)，可以將各類(lèi)用戶劃分管理，例如教職工、學(xué)生、臨時(shí)用戶的SSID均不同，這樣便于控制各類(lèi)用戶訪問(wèn)無(wú)線校園網(wǎng)絡(luò)資源的權(quán)限，禁止未被授權(quán)的用戶訪問(wèn)權(quán)限以外的校內(nèi)資源。從而使校園網(wǎng)數(shù)據(jù)資源僅供有權(quán)用戶訪問(wèn)，達(dá)到訪問(wèn)限制的目的。

2.無(wú)線網(wǎng)卡物理地址（MAC）過(guò)濾。由于每一個(gè)無(wú)線網(wǎng)卡的物理地址都是全球唯一標(biāo)識(shí)，因此加強(qiáng)對(duì)物理地址的管理和篩選就能夠達(dá)到管理訪問(wèn)無(wú)線校園網(wǎng)絡(luò)設(shè)備的目的。連接無(wú)線校園網(wǎng)時(shí)，如若設(shè)備的無(wú)線網(wǎng)卡物理地址在允許的MAC地址表單中，則允許登陸網(wǎng)絡(luò)，否則不允許登陸網(wǎng)絡(luò)。另外，可以將部分不合法用戶的物理地址添加至禁止的MAC地址表單中，達(dá)到訪問(wèn)控制的效果。由于現(xiàn)有無(wú)線連接設(shè)備的增多，讓所有合法用戶的物理地址全部添加至允許的MAC地址表單的做法并不現(xiàn)實(shí)，該方法較適合在教室、會(huì)議室等設(shè)備相對(duì)固定的區(qū)域進(jìn)行合理的設(shè)置。

3.身份統(tǒng)一認(rèn)證。無(wú)線校園網(wǎng)的身份認(rèn)證采用IEEE802.1x的認(rèn)證技術(shù)來(lái)解決無(wú)線校園網(wǎng)中的安全性問(wèn)題。IEEE802.1x協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。認(rèn)證系統(tǒng)和有線校園網(wǎng)的認(rèn)證系統(tǒng)捆綁，用戶既可以通過(guò)有線接入校園網(wǎng)亦可以通過(guò)無(wú)線接入校園網(wǎng)。身份認(rèn)證既可以是客戶端也可以是Web+Portal的方式。用戶使用客戶端登陸實(shí)名賬號(hào)和密碼，通過(guò)AP發(fā)送到Radius服務(wù)器上雙向認(rèn)證，完成用戶無(wú)線校園網(wǎng)的連接。IEEE802.1x身份認(rèn)證的主要優(yōu)點(diǎn)是采用了雙向的認(rèn)證過(guò)程，提高了無(wú)線校園網(wǎng)的安全性。使用Web+Portal方式進(jìn)行認(rèn)證可以很好地處理用戶終端的兼容問(wèn)題。要注意，在有線和無(wú)線接入以及客戶端和Web+Portal接入方式的計(jì)費(fèi)時(shí)要結(jié)合起來(lái)，確保認(rèn)證一次，防止用戶在使用網(wǎng)絡(luò)時(shí)重復(fù)計(jì)費(fèi)的問(wèn)題發(fā)生，增強(qiáng)校園網(wǎng)的利用率。

（二）數(shù)據(jù)加密

Wi-Fi網(wǎng)絡(luò)安全接入（WPA）是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案，是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于WPA的密鑰根據(jù)服務(wù)器自動(dòng)分發(fā)，因此該加密方式解決了WEP的缺點(diǎn)，提高了數(shù)據(jù)加密安全保護(hù)和訪問(wèn)認(rèn)證控制，加強(qiáng)了無(wú)線網(wǎng)絡(luò)的管理。使得無(wú)線校園網(wǎng)絡(luò)更加安全不容易被非法入侵。此外，WPA技術(shù)是標(biāo)準(zhǔn)的網(wǎng)絡(luò)接入方案，在現(xiàn)有的無(wú)線校園網(wǎng)的硬件設(shè)備上升級(jí)簡(jiǎn)便，兼容性也更強(qiáng)。

（三）行為審計(jì)

通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，添加有效的訪問(wèn)控制策略，對(duì)接入無(wú)線校園網(wǎng)的行為進(jìn)行審計(jì)，形成統(tǒng)計(jì)、分析報(bào)表。對(duì)流量進(jìn)行分析和合理控制，設(shè)置訪問(wèn)流量的控制策略。根據(jù)網(wǎng)絡(luò)使用的頻率規(guī)劃、升級(jí)無(wú)線校園網(wǎng)部署。對(duì)統(tǒng)計(jì)報(bào)表的數(shù)據(jù)進(jìn)行挖掘，分析網(wǎng)絡(luò)安全存在的問(wèn)題，進(jìn)一步提升無(wú)線校園網(wǎng)的服務(wù)效率，確保無(wú)線校園網(wǎng)安全管理。

無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展正推進(jìn)著無(wú)線校園網(wǎng)絡(luò)的建設(shè)，為了利用無(wú)線網(wǎng)絡(luò)技術(shù)達(dá)到用戶高效使用校園網(wǎng)的目的，無(wú)線校園網(wǎng)的安全問(wèn)題不容忽視。積極探索無(wú)線校園網(wǎng)安全技術(shù)，提高無(wú)線校園網(wǎng)的使用效率，使數(shù)字化校園和信息化建設(shè)的腳步更快更穩(wěn)健的向前推進(jìn)。

參考文獻(xiàn)：

[1]厲延民.試論無(wú)線校園網(wǎng)的設(shè)計(jì)與實(shí)施.2011（11）：25.

[2]群諾.試論無(wú)線校園網(wǎng)設(shè)計(jì)方案——以西藏大學(xué)老校區(qū)為例[J].2013，（2）：58-63.

[3]梁競(jìng)敏.無(wú)線網(wǎng)安全技術(shù)的研究[J].計(jì)算機(jī)與數(shù)字工程2008（6）：133-135.

作者簡(jiǎn)介：

高竹（1982— ），女，寧夏固原人，助教，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

基金項(xiàng)目：寧夏師范學(xué)院科研項(xiàng)目（YB201444）

（責(zé)編 張景賢）