摘要:现阶段网络已经成为人们生产生活中不可或缺的重要构成,特别是无线网络出现后,网络的覆盖范围和应用频率进一步提升,作为知识型人才培养的主要基地,现阶段对无线网络的建设力度不断加大,但大学生在享受无线网络在信息查询、数据传输、实时交流等方面提供的便利的同时,也遭受着黑客、病毒等带来的安全威胁,所以校园无线网络的安全威胁与防范技术受到社会各界的高度关注,笔者为对校园无线网络建设产生更加全面的认知,推动校园无线网络覆盖范围扩大,结合此两个方面展开研究。
关键词:校园无线网络;安全威胁;防范技术
引言
随着互联网、物联网、云计算等技术的快速发展,以及智能终端、网络社会、数字地球等信息体的普及和建设,全球数据量出现爆炸式增长,仅在 2011 年就达到 1.8 万亿 GB。IDC(Internet Data Center,互联网络数据中心)预计,到 2020 年全球数据量将增加50 倍。毋庸置疑,大数据时代已经到来。一方面,云计算为这些海量的、多样化的数据提供存储和运算平台,同时数据挖掘和人工智能从大数据中发现知识、规律和趋势,为决策提供信息参考。大数据的发展将进一步扩大信息的开放程度,随之而来的隐私数据或敏感信息的泄露事件时有发生。面对大数据发展的新特点、新挑战,如何保障数据安全是我们需要研究的课题。 一、无线网络的优点
①实现了无缝漫游。无线网络用户在利用无线终端设备上网时,在无线信号覆盖范围内可自由移动使用,AP切换不会造成不良影响。
②实现了无线桥接。无线网络与有线网络互通,节省布线成本。 ③POE供电需要设备支持,通过网线供电使无线网络实施更加简化。
④方便管理,易于扩展。通过设置设备自带软件,可以轻松接入网络,如果有DHCP或无需设置,用户接入数量多或想增大无线信号覆盖范围时,则只需增加AP,省去了传统网络设计、布线工作。
⑤安全性高、移动性强,无线网络不受线缆束缚,用户可以在无线信号覆盖范围内实现移动学习、办公,且通过无线协议可满足数据传输安全性需求。 ⑥高效率、低成本。无线网络打破了空间束缚,使工作更加方便、快捷,效率更高,一个无线AP可同时接入数百个用户同时访问,投资和维护成本比有线信息网络大大降低。
二、校园无线网络的安全威胁 1 内、外部人员的入侵
在有线网络中,计算机需要连接在网线上才可上网;无线网络则不同,只要在无线接入点(The wireless access point)覆盖范围内,任何无线终端设备都可以通过热点接入无线网络,无法确定其具体位置,且无线网络管理相对宽松,缺乏传输介质(光纤、双绞线、同轴电缆)的物理保护,导致未经授权的用户也可轻易进入网络,因此,存在很大的安全风险。比如,校园中的科研项目、师生论文等数据资料经常成为不法分子觊觎的对象,这些人利用无线AP开放性特点中存在的安全漏洞,通过会话欺骗、拦截等手段入侵网络系统,进而窃取重要资料,严重影响了校园网的用网安全。
2 网络窃听
无线网络可以通过无线电波将数据传输到任何无线信号覆盖的地方,在此范围内可通过无线终端设备接收数据。这些数据大多以明文格式传输,因此,在给用户提供方便的同时,也极易被他人窃取,比如不法分子利用监视软件获取用户网址、聊天信息等,从这些数据信息中窥探用户隐私,谋取不正当的利益。用户数据被恶意破解往往会导致隐私泄露,个人利益受到威胁,进而威胁整个无线网络的安全。
3 WEP加密攻击
WEP加密攻击大体分为以下3种:①不法分子在Windows环境下直接破解还原无线网络WEP加密密钥,通过对收集到的数据包进行破解,从而窃取用户的账户名称和密码;②通过对WEP安全协议的漏洞进行侦测,采取被动攻击或者主动攻击方式,对无线存取设备与用户间的通讯进行破解;③对WEP验证数据包进行复制,并反复发送虚假数据包,进而获取反馈信息,从而缩短收集验证数据包的时间,提高破解速度。
因此,WEP加密对于不法分子而言,无异于半开着的大门。 4 移动无线网络攻击
无线网络的攻击可以分为对移动终端的攻击和对移动核心网络的攻击,两种攻击方式相互支持,可提升攻击效果。其攻击方式包括利用伪基站攻击和利用通信协议漏洞攻击。这两种攻击都是以破坏用户通信为目的,利用木马对数据管理网络进行渗透,窃取用户信息,或对移动设备进行攻击,对无线网络的攻击与有线网络攻击目的相同,只是入口不同而已。 三、针对校园无线网络安全威胁的防范技术 1 对无线接入点SSID进行重新设置
在进行校园无线网络建设的过程中通常考虑到采购和后期维护的便利性,控制成本,会选择大批量进购相同型号的信息产品,其在接入点型号、性能等方面存在一致性,换言之通常存在不同部门无线AP的SSID相同的情况,在多部门同时应用应用无线IP时,相同的SSID使客户端连接范围以外IP的可能性加大,为恶意入侵者产生破坏行为提供了空间,所以在校园无线网络建设后,应有意识的对无线IP的SSID进行重新设置,但需要注意的是为保证无线网络安全和用户信息安全,应有意识的避免应用用户的敏感信息作为新设置的SSID。 2 注重对接入点防火墙的定期更新
计算机防火墙会结合已知的安全漏洞进行不定期的更新,并将安全技术防范方面的最新可用技术在原防火墙中进行合理的增添,所以定期对接入点防火墙更新对提升接入点的安全性具有积极的作用,虽然现阶段部分防火墙在用户友好设计方面存在一定的缺陷,但仍需要予以高度关注,主动进行下载、更新。 3 注重MAC地址过滤
MAC地址作为网络设备制作商在生产时直接用二进制的形式写入硬件内部的地址信息,通常具有28位,用12个16进制数间隔冒号表示,其前6位和后3位分别表示网络设备制作商编号和网络产品自身的系列号,所以在设备出厂后,其所具有的MAC地址具有唯一性,MAC地址过滤即将合法的MAC地址列入并输入无线网络中,当登陆者的MAC地址与MAC地址列表相匹配,无线网络才承认登陆者为合法用户,允许其进行网络操作。将此防范技术应用于无线网络中,用户提出网络访问申请后,可先对其身份进行验证,进而提供网络服务,使校园无线网络所承受的安全威胁大幅缩减。
4 强化身份验证技术
虽然现阶段PPPoE、WEB和IEEE801X均是较成熟的安全认证技术,但WEB认证方式和PPPoE认证协议在无线网络中的适用性较差,所以在无线网络安全防护中应有意识的应用基于端口的访问控制协议IEEE801X,此项技术集合了
801xRADIUS认证和MAC地址认证技术的优点,非授权用户的接入、访问等操作都可以得到有效的拒绝,此认证技术的原理是,在申请者向认证服务器进行身份信息输入后,由认证服务器对申请者的身份进行认证,在认证通过对密钥加密并向申请者传送后,申请者具有访问无线网络的权利,现阶段在建立IEEE801X访问控制协议,对提升无线网络覆盖的安全性具有重要的意义,具体建设方式要结合学校无线网络的具体方式进行。在建立无线用户认证和授权系统的过程中需要考虑校内临时连接无线网络的特殊人群,如学生家长、办理校园业务的人员等,现阶段临时用户认证,通常采用DHCP+强制Portal认证技术,以此保证校园无线网络的整体功能不受影响。 5 注重网络用户隔离技术
将入侵者在一定网络范围内隔离,也可以缩减校园无线网络受到的安全威胁,现阶段仝立勇具备VLAN功能的交换机实现,在其作用下,无线网络整体会被划分成在理论上相互独立,但在物理表现上为统一整体的多个部分和层次,不但可以用于无线用户隔离,还可以通过规则匹配和处理方法定义来过滤和转发MAC数据包,实现防火墙的功能,结合用户不同的权限,提供相应的网络服务,使入侵者的操作权限受到限制。 结束语
通过上述分析可以发现,现阶段已经认识到校园无线网络面临着安全威胁,并有意识的通过落实防范技术,缩减安全威胁发生的概率,但在网络、计算机发展的过程中,网络安全威胁的形式和表现将不断发生变化,所以针对防范技术的优化要持续进行。 参考文献:
[1]刘健. 高校校园网络存在的安全隐患及防范技术探讨[J].网络安全技术与应用,2015.
[2]卞扬.校园无线网络安全威胁及其防范技术浅析[J].科技风,2015.
[3]刘明辉.校园无线网络安全管理风险和防范技术研究[J].长春大学学报,2016.
因篇幅问题不能全部显示,请点此查看更多更全内容