刍议智慧校园建设中的无线网络安全问题

【摘要】随着信息技术的飞速发展以及高校信息化建设的不断深入，构建一个传输高速、部署灵活、安全性好的无线网络环境，是当前高校网络建设中一项非常重要的任务。本文主要针对无线局域网的特点，重点分析其安全问题，并提出相应对策。

【关键词】智慧校园；无线网络安全

随着信息技术的快速发展，数字化校园乃至智慧校园是高校信息化建设的必然趋势。

由于校园信息化建设与应用牵扯的面宽、量大，涉及的部门众多、人员复杂，包含了大量的网络应用、事务管理、周边模块等子系统，迫切需要一个部署简便、联通快捷、便于扩展的网络平台。尽管有线网络以速度较快、传输稳定、成本低廉等优点始终在网络建设中处于优势地位，但其在布设与维护过程中存在的工程量大、破坏性强、移动困难、后期维护成本高、系统覆盖面积小等缺陷也限制了其进一步的发展。此外，随着各种无线终端设备的日益普及，原有的校园有线网络已经难以满足广大师生随时随地网络接入的需要，构建稳定、高效、安全的无线局域网逐渐成为高校信息化发展的必然趋势。

无线局域网是计算机网络与无线通信技术相结合的产物，它以电磁波作为传输媒介，依托802.11a、802.11b、802.11g等协议，实现数据传输功能。无线网络的建成，使得校园网的覆盖范围得到拓展、部署方式更加灵活、设备维护更为便捷。目前，无线网络已经在高校网络建设中得到了广泛的推广和应用，有效提高了数据信息的综合利用效率。但是，由于无线局域网的信息传输媒介是电磁波，这一传输的特殊性就导致了它比有线介质（双绞线、光纤）更容易受到干扰、窃取和破坏。因此，无线局域网的信息安全技术比有线介质网络显得更为复杂，其面临的安全威胁也更加多样。

一、校园无线局域网面临的安全威胁

1.网络窃听

传统有线网络采用物理连接，数据在传输时已经由传输介质（如双绞线、同轴电缆、光纤等）提供了物理保护，数据具有封闭性。而无线网络通过无线电波传送数据，只要是无线信号覆盖范围内的任何无线终端设备都可以接受这些数据，因此无线传输的数据很容易被他人窃取，一般说来，大多数网络通信都是以明文格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解通信。如果这些数据未加密或被恶意破解，则会对个人用户的隐私及整个无线网络的安全构成严重威胁。

2.非法接入

有线网络能明显地分辨出计算机是否连接在网线上。而无线网络则不同。无线局域网具有开放性，理论上只要是无线接入点（AP）覆盖范围内的任何无线终端设备都可以通过AP接入网络，而AP又无法像有线局域网那样对接入设备数量与位置进行严格的限定和管理，所以如果无线局域网中没有加入用户认证体系，那么未经授权的用户可以很轻松地通过AP接入网络，这种接入如果是恶意的，就会对整个网络的安全构成严重威胁。

3.病毒攻击

无线网络和有线局域网一样，都会遭受病毒攻击。不同的是无线网络中的AP一般都没有防病毒和防攻击的功能。一旦黑客知道了某个AP的IP地址，并向其发起拒绝服务攻击的话，该AP很快就会瘫痪。

二、应对策略

1.物理地址绑定

每个无线客户端网卡都有唯一的物理地址标识，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。

物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。这种方式的扩展能力较低，只适合于小型网络。此外，非法用户利用网络侦听手段很容易窃取合法的MAC地址，而且MAC地址并不难修改，因此非法用户完全可以盗用合法的MAC地址进行非法接入。对于这一问题，目前所用的解决方法是通过AC对用户进行绑定，采用VLAN+IP地址+MAC地址来唯一标识一个用户。

2.SSID访问控制

服务集标识符（SSID）是无线访问点使用的识别字符串，客户端利用它就能建立连接。该标识符由设备制造商设定。无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题，从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID，使安全性一定程度下降。倘若黑客知道了这种口令短语，即使未经授权，也很容易使用无线服务。对于部署的每个无线访问点而言，要选择独一无二并且很难猜中的SSID。如果可能的话，禁止通过天线向外广播该标识符。这样网络仍可使用，但不会出现在可用网络列表上。

3.802.1x扩展认证协议

IEEE802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此条件下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利用密钥进行通信。

4.加强无线局域网监测与日常管理

虽然上述措施能够有效加强校园无线网络安全，但却不能保证无线网络不受到攻击，因此一定要提高安全防范意识，加强无线网络设备与用户的管理，加强无线网络监测，定期查看核心交换机及各认证服务器的日志记录，有条件的院校可以使用无线入侵监测系统（WIDS）对入侵行为和恶意攻击进行早期预警。一旦发现异常情况，立即采取措施，对其使用的无线终端设备进行屏蔽，并将其列为黑名单，从而确保整个校园无线网络的安全。

校园无线局域网不受限于实体线路的便利性，使其具有广泛的应用需求。在使用该技术的时候，必须设计一个合理的、安全强度足够高的方案。保证网络信息安全性是一项持续不断的工作，需要跟踪最新的安全技术，在原安全系统的基础上不断调整网络安全策略，添加相应的信息安全产品，才能给网络信息安全提供强有力的保障。