高校無線校園網絡安全管理方案

摘要：高校無線校園網的普及使得高校數字化校園和信息化建設進一步完善，隨之而來的無線校園網絡安全問題也令人擔憂。制定合理的無線校園網絡安全管理方案就迫在眉睫，文章主要通過無線校園網存在的安全問題，提出安全管理的三大方案。從訪問控制、數據加密、行為審計等幾個方面進行了闡述，以期達到提升高校無線校園網絡安全的目的。

關鍵詞：無線校園網 網絡安全 訪問控制 數據加密 行為審計

無線局域網（Wireless Local Area Network，簡稱WLAN）是指以無線信道為傳輸媒介來實現網絡設備之間的通信，其傳輸媒介不再是傳統的電纜、光纜，而是利用無線電波、激光、紅外線等方式進行傳輸，是將無線通信技術與計算機網絡技術結合的產物。隨著信息技術和無線網絡技術的發展，無線校園網已經在各大高校投入建設，使得高校無線校園網成為校園網絡的主力軍和新生代。伴著無線校園網的使用，校園網的安全問題也隨之增多，不但有線校園網的安全問題在無線校園網中有所體現，還因為信息通過無線電磁波進行傳送，造成無線校園網容易遭受干擾和竊聽等安全問題。無線校園網絡安全問題也隨之被大家重視起來。

一、高校無線校園網存在的安全問題

（一）網絡使用管理

高校網絡資源的最大受益者就是學生，因為無線校園網使用便捷的優點，學生可以通過手機、電腦等隨時隨地的進行網絡連接，由此產生的問題也油然而生。例如，洛陽理工學院教室內專設手機收納袋，欲戒除學生“手機癮”，防止學生上課不聽講低頭上網，變成“低頭一族”。在正常休息時段，有學生不顧疲倦依然利用網絡玩游戲、看電影等，不但本人不能休息還會影響其他同學的正常休息，影響第二天的學習、生活。另外，由于年輕人好奇心強，責任感較弱，容易通過校園網絡在BBS或者微信等平臺發表或者轉發不當言論或者謠言。更有甚者經不住誘惑瀏覽色情網站，被壞人利用，做出違法犯罪的事情，造成嚴重后果。

（二）用戶身份認證

由于無線校園網開放性這一特點，登陸無線校園網的用戶身份就容易被非法的、未授權的用戶篡改或者盜用。此類非法入侵用戶通過獲取SSID等技術手段，偽裝成合法用戶進入校園網。輕者盜用校園網絡資源，重者篡改學校各類數據信息，更有甚者會竊取考試試卷、科研成果、篡改學生成績等。25歲的普渡大學留學生孫超然被判處四年有期徒刑，罪名就是侵入教授的計算機篡改他和其他學生的成績，這類問題會給高校校園網帶來極大的安全隱患。

（三）密碼破譯

一般無線網絡使用無線加密協議WEP，WEP是有線等效保密算法，這是一種常見的安全對等加密技術。WEP使用一個共享的密鑰對數據進行加密，主要用來防止非法用戶侵入或竊聽無線網絡，其密鑰長度最高為128位，當輸入的密鑰和AP保存的密鑰一致時，允許用戶登陸網絡使用無線網絡資源。但是此類加密協議已經可以通過一些非法的程序對密碼進行分析、破解。通過非法途徑可以獲得授權，從而使非法入侵者進入校園網。因此，加密技術的換代、升級問題也顯得尤為重要和迫切。

（四）設備安全

設備方面主要是AP的問題，由于無線AP可能置于外部環境，有可能發生雨水浸透、雷電擊壞、盜損等情況。因此一些外部AP需要合理安放位置，防止人為破壞導致AP失聯，必要時可以加裝監控設備或者報警裝置確保設備正常運行。另外，一些不法分子還有可能增加一些偽基站接入無線校園網，從而竊取登陸者的各類信息，造成網絡安全問題。因此，無線網絡設備必須進行統一管理，利用管理平臺進行設備運行狀態登記，并對網絡異常問題進行及時發現、分析和解決，確保無線校園網絡設備安全。

（五）網絡攻擊

當不法分子或者黑客通過無線校園網入侵進入校園網后，就會對校內網絡資源、各類服務器或者系統進行破壞，甚至導致學校主頁無法訪問，服務器癱瘓，向校園網內計算機傳送電腦病毒、木馬程序等，造成校內大面積計算機癱瘓，導致出現合法用戶無法使用校內網絡資源的嚴重安全問題。

二、高校無線校園網安全管理方案

對于高校無線校園網存在的問題，解決問題的方法就顯得尤為重要，一般都體現在訪問控制、數據加密、行為審計等幾個方面。

（一）訪問控制

1.服務集標識符（SSID）匹配。當用戶接入無線校園網時，無線接入端與無線接入點（AP）的SSID必須相同，才能與AP進行連接。SSID技術可以為無線校園網劃分多個不同的子網，可以將各類用戶劃分管理，例如教職工、學生、臨時用戶的SSID均不同，這樣便于控制各類用戶訪問無線校園網絡資源的權限，禁止未被授權的用戶訪問權限以外的校內資源。從而使校園網數據資源僅供有權用戶訪問，達到訪問限制的目的。

2.無線網卡物理地址（MAC）過濾。由于每一個無線網卡的物理地址都是全球唯一標識，因此加強對物理地址的管理和篩選就能夠達到管理訪問無線校園網絡設備的目的。連接無線校園網時，如若設備的無線網卡物理地址在允許的MAC地址表單中，則允許登陸網絡，否則不允許登陸網絡。另外，可以將部分不合法用戶的物理地址添加至禁止的MAC地址表單中，達到訪問控制的效果。由于現有無線連接設備的增多，讓所有合法用戶的物理地址全部添加至允許的MAC地址表單的做法并不現實，該方法較適合在教室、會議室等設備相對固定的區域進行合理的設置。

3.身份統一認證。無線校園網的身份認證采用IEEE802.1x的認證技術來解決無線校園網中的安全性問題。IEEE802.1x協議的體系結構包括三個重要的部分：客戶端、認證系統和認證服務器。認證系統和有線校園網的認證系統捆綁，用戶既可以通過有線接入校園網亦可以通過無線接入校園網。身份認證既可以是客戶端也可以是Web+Portal的方式。用戶使用客戶端登陸實名賬號和密碼，通過AP發送到Radius服務器上雙向認證，完成用戶無線校園網的連接。IEEE802.1x身份認證的主要優點是采用了雙向的認證過程，提高了無線校園網的安全性。使用Web+Portal方式進行認證可以很好地處理用戶終端的兼容問題。要注意，在有線和無線接入以及客戶端和Web+Portal接入方式的計費時要結合起來，確保認證一次，防止用戶在使用網絡時重復計費的問題發生，增強校園網的利用率。

（二）數據加密

Wi-Fi網絡安全接入（WPA）是一種基于標準的可互操作的WLAN安全性增強解決方案，是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于WPA的密鑰根據服務器自動分發，因此該加密方式解決了WEP的缺點，提高了數據加密安全保護和訪問認證控制，加強了無線網絡的管理。使得無線校園網絡更加安全不容易被非法入侵。此外，WPA技術是標準的網絡接入方案，在現有的無線校園網的硬件設備上升級簡便，兼容性也更強。

（三）行為審計

通過網絡安全審計系統，添加有效的訪問控制策略，對接入無線校園網的行為進行審計，形成統計、分析報表。對流量進行分析和合理控制，設置訪問流量的控制策略。根據網絡使用的頻率規劃、升級無線校園網部署。對統計報表的數據進行挖掘，分析網絡安全存在的問題，進一步提升無線校園網的服務效率，確保無線校園網安全管理。

無線網絡技術的發展正推進著無線校園網絡的建設，為了利用無線網絡技術達到用戶高效使用校園網的目的，無線校園網的安全問題不容忽視。積極探索無線校園網安全技術，提高無線校園網的使用效率，使數字化校園和信息化建設的腳步更快更穩健的向前推進。

參考文獻：

[1]厲延民.試論無線校園網的設計與實施.2011（11）：25.

[2]群諾.試論無線校園網設計方案——以西藏大學老校區為例[J].2013，（2）：58-63.

[3]梁競敏.無線網安全技術的研究[J].計算機與數字工程2008（6）：133-135.

作者簡介：

高竹（1982— ），女，寧夏固原人，助教，碩士，研究方向：計算機網絡。

基金項目：寧夏師范學院科研項目（YB201444）

（責編 張景賢）