职业院校无线网安全优化方案探究.docxVIP

? ? 职业院校无线网安全优化方案探究 ? ? 赵云鹤 摘 要：随着教育信息化的飞速发展，无线网络逐渐进入各大院校，部分职业院校也开启了智慧校园建设，无线网作为构建信息化校园的重要依托，其网络安全性能与师生的网络体验感密切相关，如果网络安全不能达标，会出现信息被盗取泄露甚至网络瘫痪等问题，因此在组建无线局域网过程中，安全的优化是重点内容，本文结合无线网的安全优化要求，以及面临的安全威胁，重点阐述了职业院校的无线网络安全优化的方案，旨在通过设计方案实现无线网的安全运行，保障在校师生的网络安全运行。 Key：无线网;安全;优化 无线局域网的信息传输媒介是电磁波，可在空中自由传播，只要在传输范围内，用户的数据可以被人格接收装置截取，可能会导致未经授权的用户数据遭到威胁，它相比有线介质来说，更容易遭到干扰、窃取以及破坏。同时由于职业院校开设计算机以及通信等专业课程，这些学生对网络的探索容易激发学生对无线网的好奇心，进而使校园无线网面临更多的安全技术的考验。下面将从安全的要求以及常见的安全威胁等方面阐述安全优化的方案。 一、安全优化的要求 对于职业院校这种大型网络，无线网的安全管控优化方面应做到以下几点： （一）认证方式的多样 随着网络的不断发展，一切破解软件，破解普通AP设置安全密码非常简单。所以连接到网络的认证方式也需具备多重认证方案，比如用户可以通过网页认证信息获取登录方式，也可以通过微信或者短信认证实现网络账号的授权，保障网络的安全运行。 （二）规范上网行为 无线网通过对用户上网行径管控，例如设置网络访问控制列表ACL，对上网人员进行访问记录登记，或者设置用户上网时长上网次数等方案实现对用户的网上行径管控，营造健康安全的网络氛围。 （三）主动推送资源 借助无线上网管控系统需实现针对不同用户，主动推送文字、图片、视频等信息，例如可以向学生推送一些有助于学习的课外辅导网站、视频等，向老师推送学校通知、教学计划，向来访家长推荐学院信息等等，为终端接入用户提供最好的上网体验。 二、无线局域网安全威胁 （一）网络窃听 无线网通过射频传播，缺乏如有线网一样的双绞线保护，只要有无线信号的覆盖就能接受该AP提供的网络支持，因此很容易被他人检测到信号，如不采用一定的安全措施很容易被他人利用或者攻击，如果校园内师生数据被盗取或者被恶意破坏，会对整个无线网构成严重威胁。 （二）非法接入 如果搭建的无线网没有设置用户接入验证，任何设备均可登录，则会加重AP负担，对有需求的用户会造成困扰，因此只有设置一个合理且安全的认证体系，通过认证的授权用户才能得到更好的网络体验。 （三）病毒攻击 病毒攻击的问题主要来自黑客带来的威胁，一旦黑客通过AP获得无线网的IP地址，向AP发起拒绝服务攻击，这台AP很容易瘫痪。这种攻击方式不以获取信息为目的，它的最终目标是终止服务器的服务，这种攻击方式隐蔽性好，实现容易，防范困难，是黑客的终极攻击方式，也是校园网的网络安全防范的重点内容。 三、安全优化方案 IEEE802.11协议主要定义了服务集标识符（SSID）保护安全、物理地址（MAC）过滤控制安全、有线对等保密机制（WEP）安全等几方面，但为了提高校园无线网的安全性，必须引入更安全的认证机制、加密机制以及控制机制，针对三种机制的优化方案如下： （一）认证机制方案 为保护无线网的入口安全，必须采用有效的认证解决方案，保障授权用户通过无线接入点访问网络资源。认证是验证用户身份与资格的过程，它采用多要素认证方式保障网络的安全性。 IEEE802.11-1999标准定义了两种认证机制，分别是开放系统认证和共享密钥认证。开放系统认证不对用户身份做任何验证，仅需交换两个认证帧[1]。而共享密钥认证要求用户设备必须支持有线等效加密，用户的设备与AP必须配置静态WEP密钥，它的认证过程中，采用共享密钥认证的无线接口之间需要交换质询与响应消息，通信双方共需要交换4个认证帧[2]。 MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，不需要安装任何客户软件。IEEE802.1X认证是基于端口网络接入控制的协议，定义了一种授权架构，端口可以是物理端口也可以是逻辑端口，主要由3部分组成：客户端、认证者以及认证服务器。此外认证机制中还包含PSK认证以及Portal认证，PSK认证即为共享密钥认证，它需要实现在无线客户端和设备端配置相同的预共享密钥，通过能否成功解密协商信息来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端与客户端的相互认证。Potral认证也称作为Web认证或DHCP+Web认证，使用标准的网页浏览器即可，不需要安装特殊的客户端软件，主动认证方式下，用户通过主动访问位于Potral服务器上的认证界面，输入账号以及密码，获取账