無線校園網(wǎng)絡安全策略規(guī)劃與設計

鐘文基

（廣西水利電力職業(yè)技術學院，廣西 南寧 530023）

隨著移動智能設備的普及和信息化教學的蓬勃發(fā)展，各大高校紛紛組建了高校無線校園網(wǎng)，逐步形成了以有線校園網(wǎng)為骨干，無線校園網(wǎng)為補充的信息化校園。無線網(wǎng)絡為師生信息化教學的開展提供了有利的支撐，有利于幕課、私播課的傳播，但其安全性也面臨著嚴峻的挑戰(zhàn)。

1 無線網(wǎng)絡安全面臨的問題

1.1 非法用戶侵入

傳統(tǒng)的有線校園網(wǎng)通過交換機端口綁定、上網(wǎng)撥號認證等方式，可對用戶的網(wǎng)絡接入進行身份認證、接入控制，但無線網(wǎng)絡信號覆蓋廣，接入門檻低，如果不對用戶網(wǎng)絡接入進行控制，非法分子利用無線校園網(wǎng)傳播病毒，發(fā)布反動言論，容易發(fā)生安全事故。

1.2 信息泄密

與傳統(tǒng)的有線網(wǎng)絡利用雙絞線、光纖等作為傳輸介質傳送信息不同，無線網(wǎng)絡利用無線電波進行信息的傳遞，在信號的傳輸過程中，容易受到干擾和泄密。黑客可在無線校園網(wǎng)覆蓋的地方，利用特定的設備和軟件就可竊聽到數(shù)據(jù)，導致信息泄密，嚴重威脅到用戶的數(shù)據(jù)安全。

1.3 拒絕服務攻擊

與傳統(tǒng)有線網(wǎng)絡用戶具備信息接入點才能連入網(wǎng)絡不同，黑客可在無線網(wǎng)絡覆蓋的區(qū)域，對無線AP進行拒絕服務攻擊，使得無線AP無法提供正常的服務，輕則導致網(wǎng)絡中斷，重則用戶信息泄露。

1.4 非法AP欺騙

黑客通過架設非法AP或者WiFi熱點，誘導校園網(wǎng)用戶接入，竊聽到用戶的數(shù)據(jù)信息，或跳轉到釣魚網(wǎng)站，誘使用戶輸入支付寶、網(wǎng)銀、郵箱等賬號密碼，獲取到敏感數(shù)據(jù)信息，危害師生財產(chǎn)安全。

1.5 遭受病毒攻擊

由于無線網(wǎng)絡的使用者水平參差不齊，容易感染病毒，如果某個同學的筆記本中了地址解析協(xié)議（Address Resolution Protocol，ARP）病毒，將會對無線網(wǎng)絡設備造成攻擊，導致網(wǎng)絡中斷。

1.6 用戶隨意架設無線路由器

部分校園網(wǎng)用戶為了方便自己，未經(jīng)許可自行架設無線路由器接入校園網(wǎng)，這些無線路由器安全級別設置較低，未設置密碼或僅設置弱口令、弱加密方式等，安全防范措施差，用戶可隨意接入，若被非法用戶利用，則會造成較大安全隱患[1]。

2 無線校園網(wǎng)安全防范措施

2.1 用戶接入認證

通過部署用戶接入認證方式，對用戶的網(wǎng)絡接入進行認證，認證方式包括802.1x認證、Portal認證、CA雙向證書認證，短信、微信認證等。對于校內師生員工等固定用戶，可通過802.1x方式、Portal認證、CA雙向證書認證等方式進行認證，以廣西水利電力職業(yè)技術學院為例，該校無線校園網(wǎng)采用的是802.1x認證，通過對用戶設備進行認證，認證過程進行隧道加密保護，避免認證信息泄露，也利于實現(xiàn)用戶快速漫游切換。對于短期使用網(wǎng)絡的來訪用戶，可通過短信認證、微信認證、二維碼審核認證等，既便利了臨時用戶的無線接入，也對用戶的訪問進行了身份授權和控制。

2.2 上網(wǎng)權限管理

根據(jù)用戶的身份、終端的種類、應用的類型、地理位置、時間段、第三方屬性等進行訪問規(guī)則設置，確保信息數(shù)據(jù)在授權范圍內能合法使用。例如，根據(jù)高校的管理要求，在學生宿舍區(qū)域夜間23：30—6：00斷網(wǎng)，避免學生通宵使用網(wǎng)絡打游戲，影響第二天學習；在圖書館的無線網(wǎng)絡中，能過濾游戲網(wǎng)站和游戲軟件的網(wǎng)絡接入，避免個別同學在圖書館沉迷游戲，耽誤學習。在廣西水利電力職業(yè)學院校園網(wǎng)中，設置了兩個服務集標識（Service Set Identifier，SSID）信號，分別是SDXY_Teacher和SDXY_Student，SDXY_Teacher主要分配給老師使用，接入后可以放到學院OA系統(tǒng)、教務系統(tǒng)、科研系統(tǒng)、學院幕課網(wǎng)站等業(yè)務系統(tǒng)，便于教師辦公；SDXY_Student主要分配給學生使用，接入后能訪問到教務系統(tǒng)、學院幕課平臺、超星學習通網(wǎng)站，便于信息化的教學[2]。

2.3 上網(wǎng)行為審計

通過應用識別技術，實現(xiàn)上網(wǎng)審計功能，對網(wǎng)頁、郵件、IM聊天、微博微信等內容進行審計，控制和管理用戶的互聯(lián)網(wǎng)訪問，防止惡意信息非法傳播。學院采用深信服上網(wǎng)行為審計管理產(chǎn)品，與傳統(tǒng)的普通報文檢測的識別方式不同，深信服上網(wǎng)行為審計主要采用深度包檢測（Deep Packet Inspection，DPI）與深度/動態(tài)流檢測技術（Deep/Dynamic Flow Inspection，DFI）相結合的數(shù)據(jù)分析技術。普通報文檢測識別通過IP包頭中的“五元組”，即源、目標地址，協(xié)議類型，源、目的端口號信息來確定前數(shù)據(jù)包的類別（見圖1）；而DPI，不僅分析IP包頭的五元組，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而且還增加了應用層分析，識別各種應用及其內容（見圖2）。

圖1 普通報文識別技術

圖2 DPI技術

DFI是一種較新的應用流量分析技術，與DPI進行應用層的載荷分析匹配不同，DFI是基于流量行為的應用識別技術。采用了以DPI分析技術為主，輔助于傳統(tǒng)普通報文分析和DFI技術來處理分析，既發(fā)揮了DPI在應用區(qū)分、識別精度、功能擴展等方面優(yōu)勢明顯，也拓展了DFI在新應用和加密協(xié)議的識別方面有一定的優(yōu)勢，更能精確實現(xiàn)上網(wǎng)行為的審計與管理。

2.4 防釣魚AP

部署安裝具有非法釣魚AP檢測與反制功能的無線設備，這些設備能嗅探出釣魚AP的無線信號，并能夠對其進行反制，防止用戶連接到釣魚AP中，泄露用戶密碼或支付寶、網(wǎng)銀密碼等敏感信息，保障用戶信息安全。

廣西水利電力職業(yè)技術學院在安全性要求較高的場所部署信銳反制AP，定時掃描無線環(huán)境中的無線信號，根據(jù)無線控制器下發(fā)的防釣魚策略識別出釣魚信號，并將掃描結果傳輸給后端無線控制器，控制器對前端反制AP下發(fā)并執(zhí)行反制命令；AP接收到命令，發(fā)射對應釣魚信號的無線解關聯(lián)數(shù)據(jù)幀給已鏈接該釣魚信號的終端設備，終端設備接收到解關聯(lián)數(shù)據(jù)幀后，通過打斷手機終端跟釣魚AP的關聯(lián)隧道，使手機終端雖然可以看到釣魚WiFi信號，卻始終無法與之關聯(lián)上網(wǎng)，保障客戶的安全上網(wǎng)[3]。

2.5 無線用戶隔離

采用無線用戶隔離功能，隔離同一AP下、不同AP間無線用戶間的數(shù)據(jù)通信，用戶只能與上行端口進行通信，不能互訪，防止數(shù)據(jù)竊聽。該措施非常適合會議室、教室、禮堂等公共場所的無線網(wǎng)絡，各個無線客戶端之間相互保持隔離，提供更加安全的接入，加強無線網(wǎng)絡的安全性。

2.6 數(shù)據(jù)加密

對校園網(wǎng)內重要的信息采用加密傳輸，加密后的數(shù)據(jù)在傳遞過程中倘若被截獲，黑客由于沒有密鑰，也無法識別出傳遞的具體內容，在一定程度上保障數(shù)據(jù)的安全。

2.7 部署無線入侵檢測防御設備

無線入侵檢測和防御設備能自動監(jiān)測出攻擊流量，對惡意的攻擊進行攔截，防止惡意攻擊對無線網(wǎng)絡造成破壞，最大限度地保護無線網(wǎng)絡[4]。

3 結語

無線校園網(wǎng)實現(xiàn)了師生員工的快速便捷接入校園網(wǎng)絡，便于信息化教學的開展，是高校校園網(wǎng)的重要組成部分。隨著計算機網(wǎng)絡技術和信息安全技術的發(fā)展，各種無線網(wǎng)絡安全問題總是會不斷出現(xiàn)，需要網(wǎng)絡管理部門提高認識，長期在無線網(wǎng)絡安全、接入認證、安全防范、運維管理等方面深入探索研究。