智慧校园建设中无线网络安全问题探索

◆陶丽俊

（溧阳市天目湖中等专业学校 江苏 213300）

智慧校园建设中无线网络安全问题探索

◆陶丽俊

（溧阳市天目湖中等专业学校 江苏 213300）

随着信息技术的飞速发展以及中职校信息化建设的不断深入，构建一个传输高速、部署灵活、安全性好的无线网络环境，是当前中职校网络建设中一项非常重要的任务。本文就智慧校园建设中无线网络安全问题进行了简单的分析。

智慧校园；网络安全；无线网络

0 引言

无线网络（wirelessnetwork）是采用无线通信技术实现的网络。无线网络既包括远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术，无线网络与有线网络的用途类似，最大的不同在于无线网络以无线电作为传输媒介，而有线网络利用的是网线。

无线网络的优点有许多，具体来讲有以下几条：（1）实现了无缝漫游；无线网络用户在利用无线终端设备上网时，在无线信号覆盖范围内可自由移动使用，AP切换不会带来不良影响。（2）实现了无线桥接，无线网络与有线网络互通，节省布线成本。（3）POE供电需要设备支持，通过网线供电使无线网络实施更加简化。（4）方便管理、易扩展；通过设置设备自带软件，可以轻松接入网络，如有DHCP甚至无需设置，用户接入数量多或想增大无线信号覆盖范围时，只需增加AP，省去了传统网络设计布线的烦恼。（5）安全性高、移动性强，无线网络不在受线缆束缚，用户可以在无线信号覆盖范围内实现移动学习、办公，同时通过无线协议实现数据传输安全性需求。（6）高效率、低成本，无线网络使工作摆脱空间束缚，使工作更加方便快捷、效率更高，一个无线AP可同时接入数百个用户同时访问，投资和维护成本较有线信息点大大降低。

1 智慧校园建设中的无线网络安全问题分析

无线网络由于其传播具有开放性，因此容易受到安全攻击，过于繁杂的安全设置又会降低用户的使用体验，如何使安全防御即简单又有效，是当前业内研究的热点。校园无线网络在学生中的使用人数已经达到了95%以上，无线网络攻击手段不断变化，最主要的有以下几种：

1.1 内部外部人员的入侵

在有线网络中计算机需要连接在网线上才可上网，无线网络则不同，只要在无线接入点（The wireless access point）覆盖范围内，任何无线终端设备都可以通过热点接入无线网络，无法确定其具体位置，无线网络管理相对宽松，缺乏传输介质（如、光纤、双绞线、同轴电缆等）的物理保护，致使未经授权的用户也可轻易进入网络，因此存在很大的安全隐患，校园中的科研项目、师生论文等数据资料经常成为不法分子觊觎的对象，这些人利用无线AP开放性特点中存在的安全漏洞，通过会话欺骗、拦截等手段入侵网络系统，进而窃取重要资料，严重影响了校园网的用网安全。

1.2 网络窃听

无线网络可以通过无线电波将数据传输到任何无线信号覆盖的地方，在此范围内可通过无线终端设备接收数据，这些数据大多以明文格式传输，因此在给用户提供方便的同时也极易被人窃取，例如不法分子利用监视软件获取用户网址、聊天信息等，从这些数据信息中窥探用户隐私，从而谋取不正当利益。用户数据被恶意破解往往会导致隐私泄露，个人利益受到威胁，进而威胁整个无线网络的安全。

1.3 WEP加密攻击

WEP加密攻击大体分为以下几种：（1）不法分子在windows环境下直接破解还原无线网络WEP加密密钥，通过对收集到的数据包进行破解，从而窃取用户账户名称和密码。（2）通过对WEP安全协议的漏洞进行侦测，采取被动攻击或者主动攻击方式，对无线存取设备与用户间的通讯进行破解。（3）对WEP验证数据包进行复制并反复发送虚假数据包，进而获取反馈信息，从而缩短收集验证数据包的时间，提高破解速度。因此，WEP加密对于不法分子来说，无异于半开着的大门。

1.4 移动无线网络攻击

对无线网络的攻击，可以分为对移动终端的攻击和对移动核心网络的攻击，两种攻击方式相互支持，可提升攻击效果。其攻击方式：（1）利用伪基站；（2）利用通信协议漏洞。两种攻击都是以破坏用户通信为目的，利用木马对数据管理网络进行渗透，窃取用户信息，或对移动设备进行攻击，对无线网络的攻击与有线网络攻击目的相同，只是入口不同而已。

2 保障无线网络安全的应对策略分析

2.1 对入网用户进行筛查

从源头上防止不法分子的入侵无线网络智慧校园无线网络给师生带来方便快捷的使用体验的同时，也存在是很多安全隐患，给师生资料信息带来了威胁，降低威胁的最直接办法就是对入网用户进行资格验证，并将无线客户端的物理地址标识加入AP中的MAC地址列表，进行手工维护，实现对用户的物理地址过滤，因为这种方式需要手工维护，所以扩展能力不足，并不适用于大型网络，同时，不法分子通过盗用合法的MAC地址手段入侵，针对这一问题，目前采用VLAN+IP地址+MAC地址来唯一标识一个用户，防止不法分子鱼目混珠，非法入侵。

在此基础上，还可利用设备制造商设定的服务集标识符（SSID）对用户群体进行分组，客户端出示正确的服务集标识符才能接入无线网络，避免潜在的安全威胁，尽可能避免向外广播SSID，或者选择极难猜中的SSID，防止不法分子知道口令短语，进而入侵无线网络。

2.2 802．1x扩展认证协议

基于802．1x认证体系，是由客户端设备、接入设备、后台RADIUS认证服务器三方完成，采用标准安全协议提供集中的用户标识、身份验证、动态秘钥管理，从而降低无线网络安全风险。

作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利用密钥进行通信。

2.3 提高师生网络安全意识，加强无线网络监测与管理

上述几条措施可以在一定程度上防范不法分子的攻击，但却无法杜绝，因此校内师生应从自身出发，提高安全防范意识，加强无线网络设备的管理与监测，定期查看服务器日志，利用无钱入侵监测系统对不法分子的攻击行为提前预警，发现攻击行为果断采取措施，对异常终端设备进行屏蔽、拉黑，保证其他用户和整个校园无线网络的安全。校园无线网络摆脱了实体线路的束缚，具有广泛的应用需求，保障无线网络信息的安全性是一项长期的工作，需要根据互联网技术的发展，不断更新网络安全策略，更新安全设备，为无线网络用户提供安全的网络环境。

3 结束语

随着无线终端设备的日益普及，构建稳定、安全和高效的无线网络是智慧校园建设的必然趋势，由于无线网络的传输介质为电磁波，传输介质的特殊性决定了无线网络更易受到干扰、窃取和破坏，无线网络安全与否直接影响着智慧校园系统的可靠性与稳定性，随着校内师生对无线网络的要求越来越高，无线网络除了为校内师生提供方便快捷的上网体验，还要在安全性、私密性方面给予更多保障，这就要求我们面对当前不法分子各种各样的攻击手段，不断调整应对策略，为校内师生提供一个安全的网络环境。

[1]胡建龙．现代校园无线网络建设与管理[J]．中国教育信息化·高教职教，2015．

[2]肖伟．无线网络安全问题与解决策略研究[J]．网络安全技术与应用，2016．