高校无线校园网络安全管理方案
2014-11-07高竹
摘要:高校无线校园网的普及使得高校数字化校园和信息化建设进一步完善,随之而来的无线校园网络安全问题也令人担忧。制定合理的无线校园网络安全管理方案就迫在眉睫,文章主要通过无线校园网存在的安全问题,提出安全管理的三大方案。从访问控制、数据加密、行为审计等几个方面进行了阐述,以期达到提升高校无线校园网络安全的目的。
关键词:无线校园网 网络安全 访问控制 数据加密 行为审计
无线局域网(Wireless Local Area Network,简称WLAN)是指以无线信道为传输媒介来实现网络设备之间的通信,其传输媒介不再是传统的电缆、光缆,而是利用无线电波、激光、红外线等方式进行传输,是将无线通信技术与计算机网络技术结合的产物。随着信息技术和无线网络技术的发展,无线校园网已经在各大高校投入建设,使得高校无线校园网成为校园网络的主力军和新生代。伴着无线校园网的使用,校园网的安全问题也随之增多,不但有线校园网的安全问题在无线校园网中有所体现,还因为信息通过无线电磁波进行传送,造成无线校园网容易遭受干扰和窃听等安全问题。无线校园网络安全问题也随之被大家重视起来。
一、高校无线校园网存在的安全问题
(一)网络使用管理
高校网络资源的最大受益者就是学生,因为无线校园网使用便捷的优点,学生可以通过手机、电脑等随时随地的进行网络连接,由此产生的问题也油然而生。例如,洛阳理工学院教室内专设手机收纳袋,欲戒除学生“手机瘾”,防止学生上课不听讲低头上网,变成“低头一族”。在正常休息时段,有学生不顾疲倦依然利用网络玩游戏、看电影等,不但本人不能休息还会影响其他同学的正常休息,影响第二天的学习、生活。另外,由于年轻人好奇心强,责任感较弱,容易通过校园网络在BBS或者微信等平台发表或者转发不当言论或者谣言。更有甚者经不住诱惑浏览色情网站,被坏人利用,做出违法犯罪的事情,造成严重后果。
(二)用户身份认证
由于无线校园网开放性这一特点,登陆无线校园网的用户身份就容易被非法的、未授权的用户篡改或者盗用。此类非法入侵用户通过获取SSID等技术手段,伪装成合法用户进入校园网。轻者盗用校园网络资源,重者篡改学校各类数据信息,更有甚者会窃取考试试卷、科研成果、篡改学生成绩等。25岁的普渡大学留学生孙超然被判处四年有期徒刑,罪名就是侵入教授的计算机篡改他和其他学生的成绩,这类问题会给高校校园网带来极大的安全隐患。
(三)密码破译
一般无线网络使用无线加密协议WEP,WEP是有线等效保密算法,这是一种常见的安全对等加密技术。WEP使用一个共享的密钥对数据进行加密,主要用来防止非法用户侵入或窃听无线网络,其密钥长度最高为128位,当输入的密钥和AP保存的密钥一致时,允许用户登陆网络使用无线网络资源。但是此类加密协议已经可以通过一些非法的程序对密码进行分析、破解。通过非法途径可以获得授权,从而使非法入侵者进入校园网。因此,加密技术的换代、升级问题也显得尤为重要和迫切。
(四)设备安全
设备方面主要是AP的问题,由于无线AP可能置于外部环境,有可能发生雨水浸透、雷电击坏、盗损等情况。因此一些外部AP需要合理安放位置,防止人为破坏导致AP失联,必要时可以加装监控设备或者报警装置确保设备正常运行。另外,一些不法分子还有可能增加一些伪基站接入无线校园网,从而窃取登陆者的各类信息,造成网络安全问题。因此,无线网络设备必须进行统一管理,利用管理平台进行设备运行状态登记,并对网络异常问题进行及时发现、分析和解决,确保无线校园网络设备安全。
(五)网络攻击
当不法分子或者黑客通过无线校园网入侵进入校园网后,就会对校内网络资源、各类服务器或者系统进行破坏,甚至导致学校主页无法访问,服务器瘫痪,向校园网内计算机传送电脑病毒、木马程序等,造成校内大面积计算机瘫痪,导致出现合法用户无法使用校内网络资源的严重安全问题。
二、高校无线校园网安全管理方案
对于高校无线校园网存在的问题,解决问题的方法就显得尤为重要,一般都体现在访问控制、数据加密、行为审计等几个方面。
(一)访问控制
1.服务集标识符(SSID)匹配。当用户接入无线校园网时,无线接入端与无线接入点(AP)的SSID必须相同,才能与AP进行连接。SSID技术可以为无线校园网划分多个不同的子网,可以将各类用户划分管理,例如教职工、学生、临时用户的SSID均不同,这样便于控制各类用户访问无线校园网络资源的权限,禁止未被授权的用户访问权限以外的校内资源。从而使校园网数据资源仅供有权用户访问,达到访问限制的目的。
2.无线网卡物理地址(MAC)过滤。由于每一个无线网卡的物理地址都是全球唯一标识,因此加强对物理地址的管理和筛选就能够达到管理访问无线校园网络设备的目的。连接无线校园网时,如若设备的无线网卡物理地址在允许的MAC地址表单中,则允许登陆网络,否则不允许登陆网络。另外,可以将部分不合法用户的物理地址添加至禁止的MAC地址表单中,达到访问控制的效果。由于现有无线连接设备的增多,让所有合法用户的物理地址全部添加至允许的MAC地址表单的做法并不现实,该方法较适合在教室、会议室等设备相对固定的区域进行合理的设置。
3.身份统一认证。无线校园网的身份认证采用IEEE802.1x的认证技术来解决无线校园网中的安全性问题。IEEE802.1x协议的体系结构包括三个重要的部分:客户端、认证系统和认证服务器。认证系统和有线校园网的认证系统捆绑,用户既可以通过有线接入校园网亦可以通过无线接入校园网。身份认证既可以是客户端也可以是Web+Portal的方式。用户使用客户端登陆实名账号和密码,通过AP发送到Radius服务器上双向认证,完成用户无线校园网的连接。IEEE802.1x身份认证的主要优点是采用了双向的认证过程,提高了无线校园网的安全性。使用Web+Portal方式进行认证可以很好地处理用户终端的兼容问题。要注意,在有线和无线接入以及客户端和Web+Portal接入方式的计费时要结合起来,确保认证一次,防止用户在使用网络时重复计费的问题发生,增强校园网的利用率。
(二)数据加密
Wi-Fi网络安全接入(WPA)是一种基于标准的可互操作的WLAN安全性增强解决方案,是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于WPA的密钥根据服务器自动分发,因此该加密方式解决了WEP的缺点,提高了数据加密安全保护和访问认证控制,加强了无线网络的管理。使得无线校园网络更加安全不容易被非法入侵。此外,WPA技术是标准的网络接入方案,在现有的无线校园网的硬件设备上升级简便,兼容性也更强。
(三)行为审计
通过网络安全审计系统,添加有效的访问控制策略,对接入无线校园网的行为进行审计,形成统计、分析报表。对流量进行分析和合理控制,设置访问流量的控制策略。根据网络使用的频率规划、升级无线校园网部署。对统计报表的数据进行挖掘,分析网络安全存在的问题,进一步提升无线校园网的服务效率,确保无线校园网安全管理。
无线网络技术的发展正推进着无线校园网络的建设,为了利用无线网络技术达到用户高效使用校园网的目的,无线校园网的安全问题不容忽视。积极探索无线校园网安全技术,提高无线校园网的使用效率,使数字化校园和信息化建设的脚步更快更稳健的向前推进。
参考文献:
[1]厉延民.试论无线校园网的设计与实施.2011(11):25.
[2]群诺.试论无线校园网设计方案——以西藏大学老校区为例[J].2013,(2):58-63.
[3]梁竞敏.无线网安全技术的研究[J].计算机与数字工程2008(6):133-135.
作者简介:
高竹(1982— ),女,宁夏固原人,助教,硕士,研究方向:计算机网络。
基金项目:宁夏师范学院科研项目(YB201444)
(责编 张景贤)