構(gòu)建校園無線網(wǎng)絡(luò)面臨的安全問題及應(yīng)對(duì)策略,計(jì)算機(jī)信息安全論文內(nèi)容摘要：近年來，校園無線局域網(wǎng)的需求越來越多，它在為廣大師生的教學(xué)及生活提供了極大便利的同時(shí)，也帶來了非常多的安全隱患。基于此，文章對(duì)當(dāng)下校園無線網(wǎng)常見的安全問題進(jìn)行分析，并提出了有關(guān)解決方案，僅供參考。本文關(guān)鍵詞語：校園無線網(wǎng);安全威脅;加密認(rèn)證;伴隨著移動(dòng)互聯(lián)的飛速發(fā)展，筆記本電腦、平板電腦以及各式各樣的智能手機(jī)等移動(dòng)互聯(lián)設(shè)備的普及，同時(shí)各大企業(yè)加大力度研發(fā)的線上教學(xué)軟件廣泛應(yīng)用〔例如騰訊課堂、云班課以及慕課、微課等多種形式的線上教學(xué)軟件或者系統(tǒng)〕，使得高校師生對(duì)于校園內(nèi)的無線網(wǎng)絡(luò)的需求程度大幅度提高，原有有線網(wǎng)絡(luò)已經(jīng)無法知足現(xiàn)前階段各高校師生的教育教學(xué)。與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)具有可擴(kuò)展性強(qiáng)、使用便捷、移動(dòng)性高等優(yōu)勢(shì)使得無線網(wǎng)絡(luò)成為高校師生教育教學(xué)上必不可少的硬件資源。那么怎樣能夠在辦公樓、教學(xué)樓、實(shí)驗(yàn)室、學(xué)生宿舍以及學(xué)校的公共區(qū)域內(nèi)提供高速的、穩(wěn)定的無線網(wǎng)絡(luò)，不僅能夠知足學(xué)生的日常學(xué)習(xí)、生活的需要，同時(shí)還要知足計(jì)算機(jī)等工科院系的實(shí)驗(yàn)需求，正是當(dāng)下高校在構(gòu)建校園網(wǎng)絡(luò)的難點(diǎn)之一。1構(gòu)建校園無線網(wǎng)絡(luò)面臨的安全問題與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)〔WLAN〕不需要復(fù)雜的布線工程，同時(shí)無線網(wǎng)絡(luò)設(shè)備安裝愈加便捷；與此同時(shí)，由于無線網(wǎng)絡(luò)具有擴(kuò)展性強(qiáng)和移動(dòng)性強(qiáng)等特點(diǎn)，在施行網(wǎng)絡(luò)規(guī)劃布局時(shí)的合理性將更高層次，設(shè)備投入成本可以以降到最低并且能夠隨時(shí)擴(kuò)展。由于無線網(wǎng)絡(luò)是采取公用的無線信號(hào)方式來進(jìn)行信號(hào)傳播的，于是網(wǎng)絡(luò)用戶在使用無線網(wǎng)絡(luò)享受便捷服務(wù)的同時(shí)也面臨著非法竊聽和信息篡改等隱患與風(fēng)險(xiǎn)，并且需要防備的網(wǎng)絡(luò)安全問題還有來自各地的黑客對(duì)無線網(wǎng)絡(luò)服務(wù)器的攻擊。1.1非法竊聽黑客常用的攻擊技術(shù)手段非法竊聽，無論是在傳統(tǒng)的有線網(wǎng)絡(luò)中還是在無線網(wǎng)絡(luò)中都會(huì)遭遭到的攻擊手段，由于無線網(wǎng)絡(luò)開放的特點(diǎn)，使得非法竊聽在無線網(wǎng)絡(luò)攻擊頻率更為嚴(yán)重。在無線網(wǎng)絡(luò)的環(huán)境下，任意人員都能通過移動(dòng)設(shè)備連接無線AP所釋放的無線信號(hào)參加網(wǎng)絡(luò)中進(jìn)而竊聽到其他用戶的信息。而在校園無線網(wǎng)絡(luò)的環(huán)境下，違法者會(huì)使用inSSIDer等WLAN發(fā)現(xiàn)工具軟件在其所處的或者附近的無線網(wǎng)絡(luò)中發(fā)送空的探測(cè)請(qǐng)求幀，進(jìn)而獲取到含有WLAN信息，華而不實(shí)包括加密方式、SSID和信息等內(nèi)容。假如校園內(nèi)無線網(wǎng)絡(luò)信號(hào)所覆蓋的范圍內(nèi)，對(duì)數(shù)據(jù)包進(jìn)行了弱口令加密或者根本沒有對(duì)數(shù)據(jù)包進(jìn)行加密，則違法者就能夠采用監(jiān)聽形式盜取數(shù)據(jù)包，造成數(shù)據(jù)信息的外泄進(jìn)而對(duì)校園網(wǎng)絡(luò)造成安全隱患，與此同時(shí)，被竊聽的用戶并沒有辦法發(fā)覺自個(gè)能否被非法竊聽[1]。1.2WEP的缺陷由于在無線網(wǎng)絡(luò)的環(huán)境下非常容易被違法者進(jìn)行非法竊聽和非法入侵，所以需要對(duì)無線網(wǎng)絡(luò)內(nèi)輸送的數(shù)據(jù)和信息進(jìn)行加密處理。在早些年經(jīng)常采用WEP技術(shù)，就是希望能夠使無線網(wǎng)絡(luò)擁有與有線網(wǎng)絡(luò)同等級(jí)別的安全性，但是由于其本身加密缺陷導(dǎo)致采用WEP技術(shù)并不能夠到達(dá)期望的目的。WEP技術(shù)是通過RC4序列密碼算法對(duì)數(shù)據(jù)包進(jìn)行加密的，而該算法的密鑰是由分享密鑰和初始向量〔IV〕組成，華而不實(shí)初始向量〔IV〕起決定性作用，但是由于初始向量〔IV〕空間僅有24位并且能夠被重復(fù)使用，假如違法者在網(wǎng)絡(luò)環(huán)境中竊取到多個(gè)加密數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)攻擊即可恢復(fù)明文。于是當(dāng)攻擊者利用破解工具就能夠更多的收集數(shù)據(jù)信息并加以分析，就能夠從中得到密鑰并進(jìn)行破解[2]。當(dāng)前，互聯(lián)網(wǎng)上有很多工具都能夠通過探查WLAN內(nèi)的信息進(jìn)而輕松獲得破解密鑰[3]。1.3非法接入點(diǎn)何謂非法接入點(diǎn)？通俗的講就是沒有通過認(rèn)證而安裝在無線網(wǎng)絡(luò)環(huán)境內(nèi)的終端設(shè)備〔Rogue設(shè)備〕。Rogue設(shè)備的出現(xiàn)是由于校內(nèi)師生的網(wǎng)絡(luò)安全意識(shí)缺乏，經(jīng)常在工作、學(xué)習(xí)、生活的環(huán)境內(nèi)私自參與無線AP設(shè)備，而這些無線AP設(shè)備經(jīng)常都是開放的，華而不實(shí)任意一個(gè)非法的無線AP設(shè)備的接入點(diǎn)都會(huì)構(gòu)成安全漏洞，導(dǎo)致入侵者能夠輕松獲取SSID，并且完成與接入點(diǎn)的對(duì)接，對(duì)個(gè)人乃至學(xué)校的信息安全都會(huì)造成極大的安全隱患，更有甚者能夠在無線環(huán)境內(nèi)發(fā)放海量的數(shù)據(jù)包對(duì)服務(wù)器進(jìn)行攻擊，導(dǎo)致校園網(wǎng)絡(luò)癱瘓，到達(dá)其不可告人的目的。2校園無線網(wǎng)絡(luò)安全策略2.1使用WPA技術(shù)加密認(rèn)證WPA技術(shù)加密認(rèn)證技術(shù)是WEP技術(shù)的升級(jí)手段，WPA技術(shù)具有兩個(gè)執(zhí)行標(biāo)準(zhǔn)：即WPA以及WPA2。與WEP技術(shù)相比擬，WPA既繼承了WEP的理論基礎(chǔ)，同時(shí)在實(shí)現(xiàn)的經(jīng)過中優(yōu)化了原有的漏洞與缺乏，提高了認(rèn)證與加密的安全性。WPA標(biāo)準(zhǔn)的認(rèn)證密鑰只能夠在驗(yàn)證身份的經(jīng)過中使用，而用戶則是利用認(rèn)證過后的動(dòng)態(tài)密鑰對(duì)無線信號(hào)內(nèi)所傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密的，因各用戶所生成動(dòng)態(tài)密鑰的不同提高的無線網(wǎng)絡(luò)的安全性，并且能夠兼容新舊設(shè)備，節(jié)約成本。WPA2認(rèn)證技術(shù)是在WPA技術(shù)的基礎(chǔ)嵌入了AES加密技術(shù)，不僅繼承了WPA的所有優(yōu)點(diǎn)，同時(shí)提高了無線網(wǎng)絡(luò)的安全性。當(dāng)前市面上主流的無線網(wǎng)絡(luò)設(shè)備均兼容WPA2技術(shù)，并且能夠?qū)?種認(rèn)證技術(shù)同時(shí)配置于同一個(gè)SSID內(nèi)。于是各單位在設(shè)置二層網(wǎng)絡(luò)的安全設(shè)備上進(jìn)行加密，不僅能夠執(zhí)行WPA，同樣也能夠執(zhí)行WPA2。2.2無線AC結(jié)合WEB認(rèn)證方式方法WLAN能夠配置成為兩種形式，分為胖AP和瘦AP，也就是FAT-AP和FIT-AP。由于校園網(wǎng)絡(luò)的特殊性，通常設(shè)置成為胖AP形式。胖AP具有原理易懂、配置簡(jiǎn)單等優(yōu)點(diǎn)，且具有獨(dú)立系統(tǒng)。FAT-AP形式下能夠單獨(dú)完成無線網(wǎng)絡(luò)的接入以及數(shù)據(jù)的安全加密等多種任務(wù)。但是FAT-AP形式的缺點(diǎn)則是不能夠?qū)τ脩暨M(jìn)行集中管理與配置，所以在無線網(wǎng)絡(luò)遭遭到攻擊和干擾時(shí)不能夠被用戶所發(fā)現(xiàn)。為了能夠保障校園網(wǎng)絡(luò)的基本用網(wǎng)需求，同時(shí)也能夠提高網(wǎng)絡(luò)環(huán)境的安全性，學(xué)校管理部門會(huì)將FAT-AP的組網(wǎng)形式與無線網(wǎng)絡(luò)控制器〔AC〕相結(jié)合，兩者相輔相成，就能夠?qū)崿F(xiàn)對(duì)校園無線網(wǎng)絡(luò)用戶的統(tǒng)一調(diào)度、配置與管理。在FAT-AP的組網(wǎng)形式下，能夠高效、快速的對(duì)大量的無線AP設(shè)備進(jìn)行配置、詢查和管理，還能夠在AC上實(shí)現(xiàn)安全處理功能[3]。高校的校園網(wǎng)不單單是為了給學(xué)生提供一個(gè)舒適的生活環(huán)境，同時(shí)也是為了給教師和學(xué)生提供一個(gè)良好的教學(xué)資源。但是假如將校園網(wǎng)絡(luò)安全的保障僅僅使用WPA加密技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，假如由于學(xué)校師生的無心之失的情況下，將密鑰泄露給不法之人，那么違法者將能任意出入學(xué)校的校園網(wǎng)絡(luò)，侵占學(xué)校公共帶寬資源，入侵學(xué)校內(nèi)的各個(gè)業(yè)務(wù)系統(tǒng)，進(jìn)而導(dǎo)致學(xué)校師生無法享受學(xué)校給提供的便利條件，甚至還會(huì)帶來安全隱患。基于上述的原因，在校園網(wǎng)絡(luò)構(gòu)建的設(shè)計(jì)上，能夠?qū)eb認(rèn)證和AC以及FITAP三者結(jié)合起來。Web認(rèn)證施行簡(jiǎn)單便捷，管理員〔或管理系統(tǒng)〕能夠在任意一個(gè)閱讀器上對(duì)用戶的身份以及網(wǎng)絡(luò)權(quán)限進(jìn)行管理和限制。當(dāng)用戶沒有進(jìn)行認(rèn)證時(shí)，在訪問閱讀器的時(shí)候會(huì)被接入設(shè)備強(qiáng)行跳轉(zhuǎn)到Protal服務(wù)器的認(rèn)證界面，然后通過賬號(hào)和密碼來辨別用戶的身份和開放訪問權(quán)限，只要通過系統(tǒng)認(rèn)證即可訪問校園網(wǎng)絡(luò)進(jìn)行辦公和調(diào)用網(wǎng)絡(luò)資源。各高校都有自個(gè)的校園辦公系統(tǒng)供全校師生在校內(nèi)使用，各個(gè)學(xué)校有所不同，有的學(xué)校是近期開發(fā)設(shè)計(jì)的，有的學(xué)校是買的成品軟件系統(tǒng)。學(xué)校相關(guān)業(yè)務(wù)部門根據(jù)某種能夠關(guān)聯(lián)規(guī)則〔學(xué)生學(xué)號(hào)和教職工的工號(hào)〕來統(tǒng)一構(gòu)成用戶賬號(hào)，然后只要用戶在登錄系統(tǒng)進(jìn)行密碼驗(yàn)證即可進(jìn)行校內(nèi)辦公亦或者是訪問學(xué)校網(wǎng)絡(luò)教學(xué)資源。由于學(xué)校老師和學(xué)生的賬號(hào)都是與本人互相對(duì)應(yīng)的，并且只要本人把握密碼，大大增加了校園網(wǎng)絡(luò)辦公的安全性。2.3構(gòu)建入侵檢測(cè)系統(tǒng)想要在校園內(nèi)構(gòu)建無死角的無線網(wǎng)絡(luò)全覆蓋，就會(huì)在校園各處安裝大量的方樁、面板以及分體AP等各型號(hào)的無線設(shè)備。在這些設(shè)備中，會(huì)存在著非法無線設(shè)備的接入，非法入侵者能夠通過非法接入的終端在校園網(wǎng)絡(luò)環(huán)境內(nèi)發(fā)起攻擊。所以校園網(wǎng)絡(luò)中存在非法接入設(shè)備將對(duì)校園網(wǎng)絡(luò)安全存在很大的威脅。因而，在校園無線網(wǎng)絡(luò)系統(tǒng)內(nèi)構(gòu)建無線入侵檢測(cè)系統(tǒng)〔WIDS〕是特別必要的。WIDS能夠?qū)π@無線網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控并且能夠不影響用戶的網(wǎng)絡(luò)性能，能夠提早探知到校園網(wǎng)內(nèi)存在的非法攻擊非法入侵等行為，有效保衛(wèi)校園網(wǎng)絡(luò)和師生等用戶和設(shè)備被非法接入設(shè)備訪問，對(duì)各式各樣的非法攻擊提供實(shí)時(shí)防護(hù)防備。WIDS能集中配置和部署處于監(jiān)聽形式的無線AP設(shè)備，能夠捕獲無線信號(hào)信息和無線保溫并發(fā)送查看的請(qǐng)求消息，處理監(jiān)聽形式的無線AP設(shè)備就能夠反應(yīng)信息并且判定入侵設(shè)備型號(hào)[4]。2.4完善管理制度想要更好保衛(wèi)校園無線網(wǎng)絡(luò)的安全，各學(xué)校的網(wǎng)絡(luò)技術(shù)人員必需要進(jìn)行規(guī)范管理，對(duì)校園內(nèi)的無線網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控與定期維護(hù)，同時(shí)要做到定時(shí)查詢網(wǎng)絡(luò)安全設(shè)備的日志，以了解各功能安全設(shè)備的工作詳情。與此同時(shí)，各單位相關(guān)業(yè)務(wù)部門也要整理和完善相應(yīng)的規(guī)章管理制度，加大對(duì)全校師生網(wǎng)絡(luò)安全的宣傳力度。只要師生提高對(duì)網(wǎng)絡(luò)安全的重視，強(qiáng)化網(wǎng)絡(luò)安全重要性的意識(shí)，才能夠有效提高校園網(wǎng)絡(luò)的安全性。3結(jié)束語綜上所述，盡管各高校與時(shí)俱進(jìn)，紛紛構(gòu)建起具有本校特色的校園網(wǎng)絡(luò)，但是怎樣好做網(wǎng)絡(luò)的安全防備工作仍然是各高校網(wǎng)絡(luò)中心工作人員難題。無線網(wǎng)絡(luò)加密是整個(gè)防御工程的第一道防線，也是最主要的防線，無線網(wǎng)絡(luò)的加密手段與技術(shù)都是非常重要的，一般選用Portal強(qiáng)迫認(rèn)證能夠大大提高學(xué)校網(wǎng)絡(luò)的安全性。社會(huì)是不斷發(fā)展的，科技是不斷進(jìn)步的，無論是無線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)，都不能夠有絕對(duì)的把握與手段保證網(wǎng)絡(luò)的安全。對(duì)于全校師生要加大網(wǎng)絡(luò)安全的宣傳，只要師生提高對(duì)網(wǎng)絡(luò)安全的重視，強(qiáng)化網(wǎng)絡(luò)安全重要性的意識(shí)，了解最新的技術(shù)與動(dòng)態(tài)，并且建立相對(duì)完善的行為管理規(guī)章制度才能夠提升校園網(wǎng)絡(luò)的安全。以下為參考文獻(xiàn)[1]隋菱歌，邢敏，何波玲，等.以職業(yè)能力培養(yǎng)為主線推進(jìn)經(jīng)濟(jì)類高職院校計(jì)算機(jī)專業(yè)教學(xué)改革[J].長(zhǎng)春