無線校園網(wǎng)絡(luò)安全策略規(guī)劃與設(shè)計

鐘文基

（廣西水利電力職業(yè)技術(shù)學(xué)院，廣西 南寧 530023）

隨著移動智能設(shè)備的普及和信息化教學(xué)的蓬勃發(fā)展，各大高校紛紛組建了高校無線校園網(wǎng)，逐步形成了以有線校園網(wǎng)為骨干，無線校園網(wǎng)為補充的信息化校園。無線網(wǎng)絡(luò)為師生信息化教學(xué)的開展提供了有利的支撐，有利于幕課、私播課的傳播，但其安全性也面臨著嚴(yán)峻的挑戰(zhàn)。

1 無線網(wǎng)絡(luò)安全面臨的問題

1.1 非法用戶侵入

傳統(tǒng)的有線校園網(wǎng)通過交換機端口綁定、上網(wǎng)撥號認(rèn)證等方式，可對用戶的網(wǎng)絡(luò)接入進行身份認(rèn)證、接入控制，但無線網(wǎng)絡(luò)信號覆蓋廣，接入門檻低，如果不對用戶網(wǎng)絡(luò)接入進行控制，非法分子利用無線校園網(wǎng)傳播病毒，發(fā)布反動言論，容易發(fā)生安全事故。

1.2 信息泄密

與傳統(tǒng)的有線網(wǎng)絡(luò)利用雙絞線、光纖等作為傳輸介質(zhì)傳送信息不同，無線網(wǎng)絡(luò)利用無線電波進行信息的傳遞，在信號的傳輸過程中，容易受到干擾和泄密。黑客可在無線校園網(wǎng)覆蓋的地方，利用特定的設(shè)備和軟件就可竊聽到數(shù)據(jù)，導(dǎo)致信息泄密，嚴(yán)重威脅到用戶的數(shù)據(jù)安全。

1.3 拒絕服務(wù)攻擊

與傳統(tǒng)有線網(wǎng)絡(luò)用戶具備信息接入點才能連入網(wǎng)絡(luò)不同，黑客可在無線網(wǎng)絡(luò)覆蓋的區(qū)域，對無線AP進行拒絕服務(wù)攻擊，使得無線AP無法提供正常的服務(wù)，輕則導(dǎo)致網(wǎng)絡(luò)中斷，重則用戶信息泄露。

1.4 非法AP欺騙

黑客通過架設(shè)非法AP或者WiFi熱點，誘導(dǎo)校園網(wǎng)用戶接入，竊聽到用戶的數(shù)據(jù)信息，或跳轉(zhuǎn)到釣魚網(wǎng)站，誘使用戶輸入支付寶、網(wǎng)銀、郵箱等賬號密碼，獲取到敏感數(shù)據(jù)信息，危害師生財產(chǎn)安全。

1.5 遭受病毒攻擊

由于無線網(wǎng)絡(luò)的使用者水平參差不齊，容易感染病毒，如果某個同學(xué)的筆記本中了地址解析協(xié)議（Address Resolution Protocol，ARP）病毒，將會對無線網(wǎng)絡(luò)設(shè)備造成攻擊，導(dǎo)致網(wǎng)絡(luò)中斷。

1.6 用戶隨意架設(shè)無線路由器

部分校園網(wǎng)用戶為了方便自己，未經(jīng)許可自行架設(shè)無線路由器接入校園網(wǎng)，這些無線路由器安全級別設(shè)置較低，未設(shè)置密碼或僅設(shè)置弱口令、弱加密方式等，安全防范措施差，用戶可隨意接入，若被非法用戶利用，則會造成較大安全隱患[1]。

2 無線校園網(wǎng)安全防范措施

2.1 用戶接入認(rèn)證

通過部署用戶接入認(rèn)證方式，對用戶的網(wǎng)絡(luò)接入進行認(rèn)證，認(rèn)證方式包括802.1x認(rèn)證、Portal認(rèn)證、CA雙向證書認(rèn)證，短信、微信認(rèn)證等。對于校內(nèi)師生員工等固定用戶，可通過802.1x方式、Portal認(rèn)證、CA雙向證書認(rèn)證等方式進行認(rèn)證，以廣西水利電力職業(yè)技術(shù)學(xué)院為例，該校無線校園網(wǎng)采用的是802.1x認(rèn)證，通過對用戶設(shè)備進行認(rèn)證，認(rèn)證過程進行隧道加密保護，避免認(rèn)證信息泄露，也利于實現(xiàn)用戶快速漫游切換。對于短期使用網(wǎng)絡(luò)的來訪用戶，可通過短信認(rèn)證、微信認(rèn)證、二維碼審核認(rèn)證等，既便利了臨時用戶的無線接入，也對用戶的訪問進行了身份授權(quán)和控制。

2.2 上網(wǎng)權(quán)限管理

根據(jù)用戶的身份、終端的種類、應(yīng)用的類型、地理位置、時間段、第三方屬性等進行訪問規(guī)則設(shè)置，確保信息數(shù)據(jù)在授權(quán)范圍內(nèi)能合法使用。例如，根據(jù)高校的管理要求，在學(xué)生宿舍區(qū)域夜間23：30—6：00斷網(wǎng)，避免學(xué)生通宵使用網(wǎng)絡(luò)打游戲，影響第二天學(xué)習(xí)；在圖書館的無線網(wǎng)絡(luò)中，能過濾游戲網(wǎng)站和游戲軟件的網(wǎng)絡(luò)接入，避免個別同學(xué)在圖書館沉迷游戲，耽誤學(xué)習(xí)。在廣西水利電力職業(yè)學(xué)院校園網(wǎng)中，設(shè)置了兩個服務(wù)集標(biāo)識（Service Set Identifier，SSID）信號，分別是SDXY_Teacher和SDXY_Student，SDXY_Teacher主要分配給老師使用，接入后可以放到學(xué)院OA系統(tǒng)、教務(wù)系統(tǒng)、科研系統(tǒng)、學(xué)院幕課網(wǎng)站等業(yè)務(wù)系統(tǒng)，便于教師辦公；SDXY_Student主要分配給學(xué)生使用，接入后能訪問到教務(wù)系統(tǒng)、學(xué)院幕課平臺、超星學(xué)習(xí)通網(wǎng)站，便于信息化的教學(xué)[2]。

2.3 上網(wǎng)行為審計

通過應(yīng)用識別技術(shù)，實現(xiàn)上網(wǎng)審計功能，對網(wǎng)頁、郵件、IM聊天、微博微信等內(nèi)容進行審計，控制和管理用戶的互聯(lián)網(wǎng)訪問，防止惡意信息非法傳播。學(xué)院采用深信服上網(wǎng)行為審計管理產(chǎn)品，與傳統(tǒng)的普通報文檢測的識別方式不同，深信服上網(wǎng)行為審計主要采用深度包檢測（Deep Packet Inspection，DPI）與深度/動態(tài)流檢測技術(shù)（Deep/Dynamic Flow Inspection，DFI）相結(jié)合的數(shù)據(jù)分析技術(shù)。普通報文檢測識別通過IP包頭中的“五元組”，即源、目標(biāo)地址，協(xié)議類型，源、目的端口號信息來確定前數(shù)據(jù)包的類別（見圖1）；而DPI，不僅分析IP包頭的五元組，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而且還增加了應(yīng)用層分析，識別各種應(yīng)用及其內(nèi)容（見圖2）。

圖1 普通報文識別技術(shù)

圖2 DPI技術(shù)

DFI是一種較新的應(yīng)用流量分析技術(shù)，與DPI進行應(yīng)用層的載荷分析匹配不同，DFI是基于流量行為的應(yīng)用識別技術(shù)。采用了以DPI分析技術(shù)為主，輔助于傳統(tǒng)普通報文分析和DFI技術(shù)來處理分析，既發(fā)揮了DPI在應(yīng)用區(qū)分、識別精度、功能擴展等方面優(yōu)勢明顯，也拓展了DFI在新應(yīng)用和加密協(xié)議的識別方面有一定的優(yōu)勢，更能精確實現(xiàn)上網(wǎng)行為的審計與管理。

2.4 防釣魚AP

部署安裝具有非法釣魚AP檢測與反制功能的無線設(shè)備，這些設(shè)備能嗅探出釣魚AP的無線信號，并能夠?qū)ζ溥M行反制，防止用戶連接到釣魚AP中，泄露用戶密碼或支付寶、網(wǎng)銀密碼等敏感信息，保障用戶信息安全。

廣西水利電力職業(yè)技術(shù)學(xué)院在安全性要求較高的場所部署信銳反制AP，定時掃描無線環(huán)境中的無線信號，根據(jù)無線控制器下發(fā)的防釣魚策略識別出釣魚信號，并將掃描結(jié)果傳輸給后端無線控制器，控制器對前端反制AP下發(fā)并執(zhí)行反制命令；AP接收到命令，發(fā)射對應(yīng)釣魚信號的無線解關(guān)聯(lián)數(shù)據(jù)幀給已鏈接該釣魚信號的終端設(shè)備，終端設(shè)備接收到解關(guān)聯(lián)數(shù)據(jù)幀后，通過打斷手機終端跟釣魚AP的關(guān)聯(lián)隧道，使手機終端雖然可以看到釣魚WiFi信號，卻始終無法與之關(guān)聯(lián)上網(wǎng)，保障客戶的安全上網(wǎng)[3]。

2.5 無線用戶隔離

采用無線用戶隔離功能，隔離同一AP下、不同AP間無線用戶間的數(shù)據(jù)通信，用戶只能與上行端口進行通信，不能互訪，防止數(shù)據(jù)竊聽。該措施非常適合會議室、教室、禮堂等公共場所的無線網(wǎng)絡(luò)，各個無線客戶端之間相互保持隔離，提供更加安全的接入，加強無線網(wǎng)絡(luò)的安全性。

2.6 數(shù)據(jù)加密

對校園網(wǎng)內(nèi)重要的信息采用加密傳輸，加密后的數(shù)據(jù)在傳遞過程中倘若被截獲，黑客由于沒有密鑰，也無法識別出傳遞的具體內(nèi)容，在一定程度上保障數(shù)據(jù)的安全。

2.7 部署無線入侵檢測防御設(shè)備

無線入侵檢測和防御設(shè)備能自動監(jiān)測出攻擊流量，對惡意的攻擊進行攔截，防止惡意攻擊對無線網(wǎng)絡(luò)造成破壞，最大限度地保護無線網(wǎng)絡(luò)[4]。

3 結(jié)語

無線校園網(wǎng)實現(xiàn)了師生員工的快速便捷接入校園網(wǎng)絡(luò)，便于信息化教學(xué)的開展，是高校校園網(wǎng)的重要組成部分。隨著計算機網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)的發(fā)展，各種無線網(wǎng)絡(luò)安全問題總是會不斷出現(xiàn)，需要網(wǎng)絡(luò)管理部門提高認(rèn)識，長期在無線網(wǎng)絡(luò)安全、接入認(rèn)證、安全防范、運維管理等方面深入探索研究。