大学WLAN组建及安全对策研讨.docx

1、摘要介绍了的发展与应用，分析了的安全隐患。针对高校的实际条件，提出一种结合物理防范、加密处理、访问 控制、入侵检测等多技术融合的安全策略。实践表明，该安全策略能增强高校的安全性能，效果良好。关键词高校安全多技术 1 的概述，无线局域网是指利用无线信号 进行近距离数字通信的一种局域组网技术 1 。能提供例如以太网和令牌网等传统技术的所有功能和优势， 而且 不受线缆限制，具有得天独厚的优势。传统局域网，或如蜘蛛网般线缆泛滥成灾， 极大影响美观和使用，或在墙壁、地上开凿布线区域，需要考虑的问题较多，工作繁琐。对于临时组网或不方便布线的应用场合，有线网显得捉襟见肘。而组网快捷、灵活、方便，只需要安装配

2、置，接入点即可上网。2高校的安全隐患具有有线网无法比拟的优势，产品和技术都比 较成熟，因此高校中的发展如火如荼。例如，办公室、学生宿舍、实验室等场所都纷纷建立了。 当然，并非完美，它给用户带来便利的同时，也存在巨大的安全 隐患。由于种种原因，造成一直饱受安全性不高的非议。据美国相关机构的调查显示， 无线网络的安全问题是用户考虑的 首要问题。在高校中，以办公室为例，最主要的安全隐患有如下几方面。第一，蹭网。有的用户为了达到不交网费就上网的目的， 通过直接登陆或破解 密码等方法，连接到免费上网，也就是俗称的蹭网。由于无线宽带的实际流量非常有限， 蹭网行为很容易影响合法用 户的正常使用。由于高校用户

3、的安全意识不高， 很多网络没有登陆密码， 或采用 默认密码， 或采用的加密算法薄弱， 使得非法用户通过功能强大的蹭 网卡和相应破解软件，很容易成功登陆到。第二，窃取文件。 办公室的网络中，往往有多台计算机、打印机、传真机共享。 非法用户连接到后， 就可以免费使用这些硬件资源， 并窃取如学 生信息、教师信息、考试试卷等文件，从而造成难以估计的严重后果。其实，即使是大企业，如果对把关不严，同样会酿成巨大灾难。 如美国黑客破解了零售业巨头公司的， 从中窃取了数百万个信用 卡号码、密码和至少 4500 万份客户记录，给该公司带来了灭顶之灾 2 。第三，攻击和投放病毒。非法用户登陆到高校后， 可以通过地

4、址解析、 拒绝服务等方式向 网络中的合法用户发起攻击，使得合法用户的正常上网出现困难。同时，非法用户还可以借助该窥探其他网络， 或以其为跳板向别 的网络发起攻击。另外，非法用户还可以向网络中投放木马、病毒，极大地威胁合 法计算机的安全第四，伪装。非法用户掌握某的信息后， 可以通过大功率加上信号放大器建立 一个冒牌的，诱导用户登陆，监控记录用户的输入情况，或者引导用 户登陆到钓鱼网站，从中窃取用户的秘密。这种方式也叫蜜罐攻击， 是黑客惯用的手法， 国内外无数用户的 信用卡、邮箱、股票、游戏等账号、密码就是这样被窃取的。3 多技术融合的高校安全策略通过前面的分析可知，是不可逆转 的发展潮流，也存在

5、巨大的安全隐患。那么，如何根据高校的实际条件， 设计符合需要的安全策略呢？ 笔者认为，的安全隐患来自多个方面，应该多管齐下，通过多种技术 融合，才能打造健康安全的。第一，物理防范。一般的室内传播距离是 100 米，并受到墙壁等因素的影响。如果安装在门口或者窗边， 那么黑客很容易通过高灵敏度天线从 路边、楼宇中检测到信号并发起攻击。因此，对的安装位置要特别注意。同时，不同的硬件设备能提供的功能并不一样， 用户应该多进行 比较，采用安全级别较高的产品， 而不应该为贪图便宜从网上购买只 具备基本通信功能的山寨产品。第二，加密处理。首先，用户必须增强意识，对设定比较复杂的密码，例如大小写 字母、数字、

6、特殊字符相结合的密码，并定期更新密码，而不应该使用空密码、默认密码、简单的密码其次，的连接也必须设置密码。如果密码比较复杂且位数较长， 那么黑客通过穷举法很可能需要 几十年甚至几百年的时间。实际上， 笔者进行调查表明， 高校用户大多觉得太麻烦而不愿意 设置，给入侵者留下可乘之机。再次，采用高级加密算法。常用的协议采用的是 4 流密码算法，其种子密钥由初始化向量和 原始密钥组成。假设采用相同的和，则对明文 1 和 2 加密后的数据流分别为1 = 1 4,禾口 2=2 4, 1 2=1 4,2 4, =1 2。也就是说，如果知道 1，则 2就可以完全获得。根据该思路设计出相应的攻击算法, 可以在对

7、 1 00万个数据包分 析即可破解 128的密钥 3 。当前,在浮点运算能力日益强大、云计算平台快速发展的今天, 黑客的计算能力和破解能力获得很大提升, 对加密算法提出了更高的 要求。例如,使用增强型的 2 对抵御黑客的进攻, 目前还是比较理想的。 第三,访问控制。首先,都有一个服务区标识符,通过可以识别不同的 4 。 为了对访问网络进行区别限制, 应该对设置不同的, 并要求用户计算机出示正确的才能访问同时禁止广播，避免黑客掌握其编码信息其次，对物理地址进行过滤。 由于每个网卡都有一个唯一的物理地址， 如果对访问网络的网卡 进行限制，就能有效避免非法用户的连接。此时，只需要启用的白名单规则， 并将合法用户的地址存入列表 即可。再次，禁用动态主机设置协议并启用过滤，这样，只有了解的设 置规则并且设置正确的特定计算机才能访问。第四，网络结构控制。为了进一步提高安全性， 在网络结构上， 可以对核心网和外围网 进行划分， 例如存储机密信息的关键计算机就应该放在核心网中， 并 加强访问限制。同时，对各计算机的共享等隐患进行严格审查。 如果有条件，还应该采用、防火墙的结构，这样能极大提高安全 性能 5 。第五，入侵检测。例如，不定期检测高校的， 如果发现可疑的就通过网络监测仪和 相关软件进行物理定位，端掉非法。再如，