校園無線網絡的安全問題及應對策略

祁宏偉　白海艷

摘要： 現階段網絡已經成為人們生產生活中不可或缺的重要構成，特別是無線網絡出現后，網絡的覆蓋范圍和應用頻率進一步提升，高校作為知識型人才培養的主要基地，現階段對無線網絡的建設力度不斷加大，但大學生在享受無線網絡在信息查詢、數據傳輸、實時交流等方面提供的便利的同時，也遭受著黑客、病毒等帶來的安全威脅，所以高校校園無線網絡的安全威脅與防范技術受到社會各界的高度關注，筆者為對高校校園無線網絡建設產生更加全面的認知，推動高校校園無線網絡覆蓋范圍擴大，結合此兩個方面展開研究。

關鍵詞：高校校園無線網絡 安全威脅 防范技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）09-0210-01

無線網絡相比有線網絡整體發展滯后，雖然近年來無線網絡安全防范技術得到較大幅度的提升，但在實踐應用中無線網絡用戶仍面臨著安全威脅，這在一定程度上限制了無線網絡的推廣和發展，針對高校校園無線網絡安全威脅和技術防范展開研究，對建設現代校園具有積極的作用。

1 高校校園無線網絡的安全威脅

1.1 網絡資源全面暴露

現階段網絡入侵者利用無線網絡連接技術可以順利進入校園無線網絡局域網，并在具備合法權限后進行資源訪問和信息共享，甚至可以對其他用戶的硬盤驅動器、儲備信息等進行操作，惡意入侵者甚至可以直接將木馬、病毒程序等接入校園無線網絡的其他用戶手機、計算機等，造成更加嚴重的安全威脅[1]。

1.2 敏感信息泄露

隨著網絡覆蓋范圍的擴大，學生可利用無線網絡實現購物、支付、信息交流等行為，而入侵校園無線網絡的人員利用黑客工具可以輕易的對校園無線網絡其他用戶的WEB頁面實施復制重建，進而結合URL實現網頁登錄賬號、密碼等敏感信息的截取，使學生的財產、信息等方面的安全受到嚴重的威脅。

1.3 被動成為網絡跳板

網絡入侵者可利用校園無線網絡實現FTP服務的架設，利用校園網絡進行非法行為或以校園網絡為終端進一步對其他網絡發起攻擊，這種安全威脅在入侵者利益驅使下范圍不斷擴大[2]。

2 針對高校校園無線網絡安全威脅的防范技術

2.1 對無線接入點SSID進行重新設置

高校在進行校園無線網絡建設的過程中通常考慮到采購和后期維護的便利性，控制成本，會選擇大批量進購相同型號的信息產品，其在接入點型號、性能等方面存在一致性，換言之高校通常存在不同部門無線AP的SSID相同的情況，在多部門同時應用應用無線IP時，相同的SSID使客戶端連接范圍以外IP的可能性加大，為惡意入侵者產生破壞行為提供了空間，所以高校在校園無線網絡建設后，應有意識的對無線IP的SSID進行重新設置，但需要注意的是為保證無線網絡安全和用戶信息安全，應有意識的避免應用用戶的敏感信息作為新設置的SSID。

2.2 注重對接入點防火墻的定期更新

計算機防火墻會結合已知的安全漏洞進行不定期的更新，并將安全技術防范方面的最新可用技術在原防火墻中進行合理的增添，所以定期對接入點防火墻更新對提升接入點的安全性具有積極的作用，雖然現階段部分防火墻在用戶友好設計方面存在一定的缺陷，但仍需要高校予以高度關注，主動進行下載、更新。

2.3 注重MAC地址過濾

MAC地址作為網絡設備制作商在生產時直接用二進制的形式寫入硬件內部的地址信息，通常具有28位，用12個16進制數間隔冒號表示，其前6位和后3位分別表示網絡設備制作商編號和網絡產品自身的系列號，所以在設備出廠后，其所具有的MAC地址具有唯一性，MAC地址過濾即將合法的MAC地址列入并輸入無線網絡中，當登陸者的MAC地址與MAC地址列表相匹配，無線網絡才承認登陸者為合法用戶，允許其進行網絡操作。將此防范技術應用于高校無線網絡中，用戶提出網絡訪問申請后，可先對其身份進行驗證，進而提供網絡服務，使校園無線網絡所承受的安全威脅大幅縮減[3]。

2.4 強化身份驗證技術

雖然現階段PPPoE、WEB和IEEE802.1X均是較成熟的安全認證技術，但WEB認證方式和PPPoE認證協議在高校無線網絡中的適用性較差，所以在高校無線網絡安全防護中應有意識的應用基于端口的訪問控制協議IEEE802.1X，此項技術集合了802.1xRADIUS認證和MAC地址認證技術的優點，非授權用戶的接入、訪問等操作都可以得到有效的拒絕，此認證技術的原理是，在申請者向認證服務器進行身份信息輸入后，由認證服務器對申請者的身份進行認證，在認證通過對密鑰加密并向申請者傳送后，申請者具有訪問無線網絡的權利，現階段在高校建立IEEE802.1X訪問控制協議，對提升無線網絡覆蓋的安全性具有重要的意義，具體建設方式要結合學校無線網絡的具體方式進行。在建立無線用戶認證和授權系統的過程中需要考慮校內臨時連接無線網絡的特殊人群，如學生家長、辦理校園業務的人員等，現階段臨時用戶認證，通常采用DHCP+強制Portal認證技術，以此保證校園無線網絡的整體功能不受影響。

2.5 注重網絡用戶隔離技術

將入侵者在一定網絡范圍內隔離，也可以縮減校園無線網絡受到的安全威脅，現階段仝立勇具備VLAN功能的交換機實現，在其作用下，無線網絡整體會被劃分成在理論上相互獨立，但在物理表現上為統一整體的多個部分和層次，不但可以用于無線用戶隔離，還可以通過規則匹配和處理方法定義來過濾和轉發MAC數據包，實現防火墻的功能，結合用戶不同的權限，提供相應的網絡服務，使入侵者的操作權限受到限制。

3 結語

通過上述分析可以發現，現階段高校已經認識到校園無線網絡面臨著安全威脅，并有意識的通過落實防范技術，縮減安全威脅發生的概率，但在網絡、計算機發展的過程中，網絡安全威脅的形式和表現將不斷發生變化，所以高校針對防范技術的優化要持續進行。

參考文獻

[1]劉健.高校校園網絡存在的安全隱患及防范技術探討[J].網絡安全技術與應用，2015，07：29-30.

[2]卞揚.校園無線網絡安全威脅及其防范技術淺析[J].科技風，2015，19：225.

[3]劉明輝.校園無線網絡安全管理風險和防范技術研究[J].長春大學學報，2010，02：68-70.