校园无线网络的安全问题及应对策略

祁宏伟　白海艳

摘要： 现阶段网络已经成为人们生产生活中不可或缺的重要构成，特别是无线网络出现后，网络的覆盖范围和应用频率进一步提升，高校作为知识型人才培养的主要基地，现阶段对无线网络的建设力度不断加大，但大学生在享受无线网络在信息查询、数据传输、实时交流等方面提供的便利的同时，也遭受着黑客、病毒等带来的安全威胁，所以高校校园无线网络的安全威胁与防范技术受到社会各界的高度关注，笔者为对高校校园无线网络建设产生更加全面的认知，推动高校校园无线网络覆盖范围扩大，结合此两个方面展开研究。

关键词：高校校园无线网络 安全威胁 防范技术

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）09-0210-01

无线网络相比有线网络整体发展滞后，虽然近年来无线网络安全防范技术得到较大幅度的提升，但在实践应用中无线网络用户仍面临着安全威胁，这在一定程度上限制了无线网络的推广和发展，针对高校校园无线网络安全威胁和技术防范展开研究，对建设现代校园具有积极的作用。

1 高校校园无线网络的安全威胁

1.1 网络资源全面暴露

现阶段网络入侵者利用无线网络连接技术可以顺利进入校园无线网络局域网，并在具备合法权限后进行资源访问和信息共享，甚至可以对其他用户的硬盘驱动器、储备信息等进行操作，恶意入侵者甚至可以直接将木马、病毒程序等接入校园无线网络的其他用户手机、计算机等，造成更加严重的安全威胁[1]。

1.2 敏感信息泄露

随着网络覆盖范围的扩大，学生可利用无线网络实现购物、支付、信息交流等行为，而入侵校园无线网络的人员利用黑客工具可以轻易的对校园无线网络其他用户的WEB页面实施复制重建，进而结合URL实现网页登录账号、密码等敏感信息的截取，使学生的财产、信息等方面的安全受到严重的威胁。

1.3 被动成为网络跳板

网络入侵者可利用校园无线网络实现FTP服务的架设，利用校园网络进行非法行为或以校园网络为终端进一步对其他网络发起攻击，这种安全威胁在入侵者利益驱使下范围不断扩大[2]。

2 针对高校校园无线网络安全威胁的防范技术

2.1 对无线接入点SSID进行重新设置

高校在进行校园无线网络建设的过程中通常考虑到采购和后期维护的便利性，控制成本，会选择大批量进购相同型号的信息产品，其在接入点型号、性能等方面存在一致性，换言之高校通常存在不同部门无线AP的SSID相同的情况，在多部门同时应用应用无线IP时，相同的SSID使客户端连接范围以外IP的可能性加大，为恶意入侵者产生破坏行为提供了空间，所以高校在校园无线网络建设后，应有意识的对无线IP的SSID进行重新设置，但需要注意的是为保证无线网络安全和用户信息安全，应有意识的避免应用用户的敏感信息作为新设置的SSID。

2.2 注重对接入点防火墙的定期更新

计算机防火墙会结合已知的安全漏洞进行不定期的更新，并将安全技术防范方面的最新可用技术在原防火墙中进行合理的增添，所以定期对接入点防火墙更新对提升接入点的安全性具有积极的作用，虽然现阶段部分防火墙在用户友好设计方面存在一定的缺陷，但仍需要高校予以高度关注，主动进行下载、更新。

2.3 注重MAC地址过滤

MAC地址作为网络设备制作商在生产时直接用二进制的形式写入硬件内部的地址信息，通常具有28位，用12个16进制数间隔冒号表示，其前6位和后3位分别表示网络设备制作商编号和网络产品自身的系列号，所以在设备出厂后，其所具有的MAC地址具有唯一性，MAC地址过滤即将合法的MAC地址列入并输入无线网络中，当登陆者的MAC地址与MAC地址列表相匹配，无线网络才承认登陆者为合法用户，允许其进行网络操作。将此防范技术应用于高校无线网络中，用户提出网络访问申请后，可先对其身份进行验证，进而提供网络服务，使校园无线网络所承受的安全威胁大幅缩减[3]。

2.4 强化身份验证技术

虽然现阶段PPPoE、WEB和IEEE802.1X均是较成熟的安全认证技术，但WEB认证方式和PPPoE认证协议在高校无线网络中的适用性较差，所以在高校无线网络安全防护中应有意识的应用基于端口的访问控制协议IEEE802.1X，此项技术集合了802.1xRADIUS认证和MAC地址认证技术的优点，非授权用户的接入、访问等操作都可以得到有效的拒绝，此认证技术的原理是，在申请者向认证服务器进行身份信息输入后，由认证服务器对申请者的身份进行认证，在认证通过对密钥加密并向申请者传送后，申请者具有访问无线网络的权利，现阶段在高校建立IEEE802.1X访问控制协议，对提升无线网络覆盖的安全性具有重要的意义，具体建设方式要结合学校无线网络的具体方式进行。在建立无线用户认证和授权系统的过程中需要考虑校内临时连接无线网络的特殊人群，如学生家长、办理校园业务的人员等，现阶段临时用户认证，通常采用DHCP+强制Portal认证技术，以此保证校园无线网络的整体功能不受影响。

2.5 注重网络用户隔离技术

将入侵者在一定网络范围内隔离，也可以缩减校园无线网络受到的安全威胁，现阶段仝立勇具备VLAN功能的交换机实现，在其作用下，无线网络整体会被划分成在理论上相互独立，但在物理表现上为统一整体的多个部分和层次，不但可以用于无线用户隔离，还可以通过规则匹配和处理方法定义来过滤和转发MAC数据包，实现防火墙的功能，结合用户不同的权限，提供相应的网络服务，使入侵者的操作权限受到限制。

3 结语

通过上述分析可以发现，现阶段高校已经认识到校园无线网络面临着安全威胁，并有意识的通过落实防范技术，缩减安全威胁发生的概率，但在网络、计算机发展的过程中，网络安全威胁的形式和表现将不断发生变化，所以高校针对防范技术的优化要持续进行。

参考文献

[1]刘健.高校校园网络存在的安全隐患及防范技术探讨[J].网络安全技术与应用，2015，07：29-30.

[2]卞扬.校园无线网络安全威胁及其防范技术浅析[J].科技风，2015，19：225.

[3]刘明辉.校园无线网络安全管理风险和防范技术研究[J].长春大学学报，2010，02：68-70.