校园网络安全论文范文

引言：寻求写作上的突破？我们特意为您精选了4篇校园网络安全论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

国际标准化组织（ISO）将网络安全［2］定义为：为数据处理系统建立相应的安全保护措施，保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露，从而保证了网络服务不中断，使得系统可靠安全地运行．上述网络安全的定义包含两方面内容：物理安全和逻辑安全．其中物理安全是指在构建网络系统的时候，保证物理线路能够防雷、放火、防水、防盗等，能够保证物理线路连续的进行数据传输．而逻辑安全通常指的是传输在网络上数据的信息安全，即对网络上传输信息的保密性、可用性和完整性的保护．另一方面，网络安全性的涵义也可以理解成是信息安全的一种引申，即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护．概括的说，可以将网络安全定义为：为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施，从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性．

1．2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征．保密性：信息未经授权不泄露给任何用户，而且信息的特性也具有保密性，其它非授权用户、实体或过程无法利用其特征．可用性：用户经过授权后可按需使用，即授权用户当需要该信息时能否正常存取．网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等．可控性：对网络中传播的信息及其内容具有控制能力．可审查性：当网络中出现安全问题时可提供相应的依据与手段，便于追踪攻击源．完整性：用户未经授权不能随意改变数据的特性，即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性，保证了信息的完整性．

2校园网建设概述及其安全威胁

随着互联网的快速普及，校园网建设已经成为学校的基础建设之一，教育信息化、数字化已经成为教育发展的主方向，校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一，并发挥着越来越重要的作用［3］．另一方面，随着国家科教兴国战略的实施，政府加强了对学校的投资，由此也加强了学校对校园网的建设．中国教育和科研计算机网（CER－NET）的成立，标志着教育网的形成．CERNET主干网络传输速率已达到2．5Gpbs，总容量达40Gpbs，它吸引超过1000所高校的鼎力加盟，覆盖全国超过200个城市．目前，大部分学校都已建成校园网，实现了校园网的整体覆盖，包括办公楼、教学楼、宿舍楼等．校园网同时与Internet对接，实现了校园办公教学的信息化、自动化．如图1所示，为一个简单的校园网组网模型．随着CERNET的建设不断提高，校园网已经成为互联网的重要组成部分之一，是学校信息化、数字化建设的基础设施，同时担任着科研与教学的重要任务．然而，目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足，这些都极大阻碍了校园网的发展．因此合理地对校园网络升级，是目前学校校园网工程的首要目标之一［4］．同时，校园网作为学校数字化、信息化的基础设施，安全问题不容忽视．在互联网开放程度很高的今天，校园网往往最容易成为黑客攻击的目标．威胁校园网安全的因素有很多，但主要的安全威胁有以下几类．

2．1TCP／IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP／IP协议了，这几乎是所有校园网采用的网络传输协议．TCP／IP协议在设计之初，就没有考虑安全问题，它只考虑如何把信息互相传输，因此存在很大的安全威胁．虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全，但是由于TCP／IP协议的开放性和通用性几乎占用了整个市场，使得OSI七层协议无法推广．所以，目前网络黑客针对TCP／IP漏洞攻击有很多，例如：数据窃听、源地址欺骗、ARP欺骗等等．

（1）数据窃听（PacketSniff）．TCP／IP协议从设计之初，就采取的是数据包明码传输，这种传输模式使得数据包很容易被窃听、修改和伪造．黑客可以利用一系列工具获取网络中正在传输的数据包，窃取用户有利用价值的信息，如用户账户和密码等信息．同时，黑客也能修改和伪造数据包，让用户误入钓鱼网站或者窃取网上银行信息，给用户造成直接经济损失．特别是在校园网中，数据包流通比较集中，一旦获取了校园网服务器或管理员账号信息，将会给校园网络造成重大损失．

（2）源地址欺骗（SourceAddressSpoofing）．在网络安全中，一个比较重要的安全问题就是源地址欺骗．这里的源地址，能够是IP地址，也能是MAC地址．但是MAC地址随着路由转发，信息会发生变化，而且在实际的网络系统中，也有一定的限制，改造欺骗难度比较大，所以一般的源地址欺骗是指IP地址伪造欺骗．攻击者通常伪造被攻击的主机IP地址，骗取防火墙信任，从而对校园网内部发起攻击．

（3）源路由选择欺骗（SourceRoutingSpoo－fing）．在一个完整的IP数据包中，通常只包含源地址和目的地址，即路由器可以知道数据包从哪个主机发送出来，将要到达哪个主机．源路由是指数据包将会列出所要经过的路由，路由器将会根据这些指定的路由将数据包送达相应的主机，然后根据其反向路由进行应答，从而实现主机之间的通信．而源路由选择欺骗，则是攻击者通过伪造主机源路由，让数据包经过该主机必经路由，使受攻击主机出现错误判断，将某些被保护的数据提供给了攻击者．另一方面，由于路由器一般对接收到的路由信息是不经过检验的，这样就给攻击者提供便利，攻击者可以发送虚假数据包，改变某些重要数据包的传递路径，使得数据在传递到正常主机前，即可抓取分析，从而也达到攻击的目的．

（4）鉴别攻击（AuthenticationAttacks）．由于TCP／IP协议还无法证明网络身份的真实有效性，因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息，从而达到攻击目的．

（5）ARP欺骗（AddressResolutionProtocolSpoofing）．ARP即地址解析协议，作用是将网络中的IP地址转换成MAC物理地址的协议．因为在局域网中，尤其是在校园网中，使用最多的往往是MAC地址进行传输，而不是IP地址进行传输，所以ARP协议能够很快的让局域网中的两台主机进行通信．而黑客只需在局域网中进行网络监听，获取到一台主机A的节点信息（IP地址和MAC地址），就能伪造A的数据包，与B进行通信，获取有用信息．另一方面，黑客可以伪造一个不存在的MAC地址在局域网内传播，形成广播风暴，这样会造成网络不通，给局域网造成致命打击．

（6）DoS攻击（DenialofService）．DoS攻击，即拒绝服务攻击，攻击者的目的是让目标主机或网络无法提供正常服务．因为TCP协议采用三次握手建立一次连接，而任何一次握手失败，则会重新发送．攻击者正是利用这一个协议漏洞，采取不断建立连接，然后丢弃该连接数据包，使得服务器处于等待状态，如果攻击者一直持续连接和丢弃的过程，则服务器和网络所有的资源会被完全消耗，导致计算机或网络无法正常工作，从而达到攻击目的．

（7）DDoS攻击（DistributedDenialofServ－ice）．DDoS攻击，即分布式拒绝服务攻击，它是指攻击者借助一系列工具或手段，联合多个计算机组成攻击平台，对一个或数个目标发动DoS攻击．最基本的DoS是利用合法的服务请求，占用攻击目标主机大量服务资源，使得正常用户无法访问．然而DoS服务需要占用大量带宽，单个计算机攻击肯定无法达到攻击者想要的目标．因此网络黑客会抓取网络“肉鸡”，集合大量网络带宽，组成庞大的攻击平台，可以在瞬间让被攻击目标处于瘫痪状态．

（8）TCP序列号欺骗和攻击（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以伪造TCP序列号，形成一个TCP封包，对网络中可信节点进行攻击．而且最重要的是，黑客可能利用伪造的TCP封包发动SYN攻击，让服务器无法完成三次握手，造成服务器开放大量等待端口，影响正常网络访问，严重时，可直接造成服务器死机，如果该服务器是WEB服务器或者DNS服务器，那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络．

（9）ICMP攻击（InternetControlMessageProtocolAttacks）．ICMP协议是Internet控制报文协议，它属于TCP／IP协议下的一个子协议，用于在IP主机和路由器之间传递控制消息．其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息，它对数据传输有很重要的作用．而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定，发动“PingofDeath”攻击，当主机ICMP数据包尺寸超过64KB时，主机会发生内存分配错误，导致TCP／IP堆栈崩溃，使得目标主机死机．虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞，但是向目标主机发动持续、大规模的ICMP攻击，会消耗主机CPU、内存等资源，严重时也会导致目标主机瘫痪，无法提供正常服务．

2．2漏洞威胁

软件和操作系统是由程序员编写的，而在开发的过程中，多多少少会存在各种各样的漏洞问题，这些漏洞如果不能及时修复，将会对主机造成重大安全威胁．一旦该主机被攻破，同时也会给该主机处在的局域网中的其它机器造成威胁，情况严重时，甚至会造成整个网络瘫痪．近几年来，无论是Windows操作系统，还是Linux操作系统，的补丁数目一直持续增加．特别是Windows操作系统，在校园网内拥有的用户众多，如果没能及时修复各种漏洞，势必会影响整个校园网安全．

2．3病毒、木马威胁

近些年来，随着互联网的普及，网络上各种各样的开源软件繁多，有些开源软件打着免费的旗号，暗留后门或者对操作系统植入木马，稍不注意，就会对整个系统造成重大影响．同时，网络上黑客也会主动攻击，种植木马，抓取网络肉鸡，作为自己攻击的跳板，对互联网上其它的计算机造成严重威胁．

2．4初级黑客攻击

校园网因为自身局限性，其网络管理水平无法与企业相比，因此很容易受到网络上初级黑客的攻击，作为他们试手的目标．另外一方面，互联网出现的一系列黑客教程、黑客工具，这些教程和工具可以自由查阅和下载，加上很多黑客工具属于使用简单，这让许多初级黑客也能在一段时间内对网络造成严重的攻击．且根据心理学研究分析，很多普通攻击者往往有炫耀心理，即把校园网作为自己攻击的目标，以获取所谓的成功感，这让校园网增加更多的威胁．

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题．

3．1人为因素导致的网络安全问题

3．1．1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中，同时，校园网内服务器数量也是别的局域网不能比拟的．用户量加上数目可观、功能强大的服务器，这些条件也吸引着互联网上众多黑客的攻击，因此存在着很大的安全隐患．

3．1．2校园网用户安全意识低

根据调查研究发现，校园网的用户大部分都安全意识不强，用户计算机整体水平偏低，有一部分校园网用户基本上不安装杀毒软件，也没能及时给系统打补丁，系统处于“裸奔”状态．这对于当今如此开放的互联网，将直接为黑客提供攻击目标．而且校园网用户极少学习相应的安全防范知识，在下载和使用软件时，基本上不考虑其风险性，这些都将会给黑客制造攻击机会，影响整个校园网安全［5］．

3．1．3信息泄密

信息泄密是指将信息透漏给非授权用户，它在一定程度上破坏了计算机系统的保密性．目前，常见的信息泄密有：操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序．

3．1．4拒绝服务攻击（DoS）

攻击者使用一切办法让被攻击计算机停止提供服务，让合法的信息或资源访问被拒绝或者严重推迟．常见的DoS攻击有：SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等．

3．1．5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性，使得信息乱码．

3．1．6网络滥用

由于授权的用户因操作或行为不当，导致网络滥用，从而导致网络安全威胁，例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等．

3．2非人为因素导致的网络安全问题

网络安全除去人为因素外，很大一部分安全威胁来自安全工具和操作系统自身的局限性．其具体特征为：每一种安全工具（如：杀毒软件）都有其自身的应用范围和环境，同时安全工具受到人为因素、系统漏洞、程序BUG的影响，这些因素反而给攻击者带来了一定的便利．对于操作系统而言，没有绝对安全的操作系统，无论是微软的Windows系列操作系统，还是开源的Linux操作系统，都有存在后门或漏洞的可能．世界上没有绝对安全的操作系统，因此在搭建校园网时，要选择安全性尽可能高的操作系统，而且要随时提供校园网用户漏洞补丁下载，以及杀毒软件，保证用户系统安全性始终最高．由上所述，我们可以说网络安全问题绝大部分是由人为因素引起的．现在，国家也制定了相应的法律来保护网络安全，打击相应的网络犯罪活动．但是校园网作为一个庞大的用户群，如何防范这些网络犯罪活动显得尤为重要．我们不能等着整个网络被攻击导致瘫痪后再想着去防范，而是要在攻击之前做好准备工作，让校园网在安全中运行．

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行．

4．1应重视校园网网络的安全搭建

在校园网工程的建设中，网络系统的搭建是属于弱电工程，它的耐压值比较低．由此，在校园网工程的设计和建设中，一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题；考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离；考虑网络中物理电路的接地安全；考虑建设合理的防雷系统，保证建筑物、计算机以及其它物理设备的防雷［6］．

4．2应加强校园网网络的安全维护技术

从技术层面来说，网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成，单独的一个组件是无法保证当前网络信息安全的．最早的网络安全技术是采用边界阈值控制法，即通过对网络边界的数据包进行监测，符合规定的数据包可通过，不符合规定的数据包就抛弃，这种方式在一定程度上能阻止对网络的入侵和攻击，但是不能有效防止网络攻击．目前，应用比较广泛的网络安全基本技术有：防火墙技术、防病毒技术、数据加密技术等．防火墙［7］指的是一个由硬件和软件混合组成的设备，用于将内部网络和外部网络隔离起来，建立一层安全保护屏障，它是一种隔离控制技术．常见的防火墙有包过滤技术、技术、状态监测技术等．相对于防火墙来说，防病毒技术将是从计算机网络内部进行防控，主要预防病毒程序、后门程序、网络监听等．目前采取比较多的防病毒手段是对系统进行监听，阻止不合规定进程．而且防病毒技术永远是滞后性的，即防病毒工具一直在病毒出现后才能组织．现在的防病毒技术和云平台技术结合，已经对病毒起到了一定的控制作用．相对前面两种技术来说，数据加密技术就比较灵活了．可以将用户的信息经过加密后，再在网络上传输，及时数据被黑客截获，没有有效的密钥，数据对黑客来说也只是一堆无效数据而已．在开放的互联网平台，数据加密能够有效的保证了用户的隐私以及数据的安全［8］．

4．3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的．因此在校园网搭建过程中，关于对计算机系统管理员的培训及管理，是校园网网络安全中最重要的一部分．一个不合理的操作，很有可能让整个网络系统瘫痪，因此必须建立健全管理规范，明确管理员责任和权利．同时，要记录管理员操作信息，当发现不合规定的记录时，可以及时分析，如果发现黑客入侵，则及时采取必要措施杜绝黑客进一步入侵，必要时需向当地公安机关报案，减少学校损失．另外一方面，建立健全的管理制度以及严格的管理模式，可以保证校园网的正常、安全运行．总而言之，网络安全涉及的领域很多，是一个综合性的问题．只有合理的运用相关技术以及人员培训，才能尽最大可能的把安全威胁降到最低．

篇2

2校园网络安全总体设计思路

针对于校园网网络运行的基本需求，对于校园网络安全进行规划设计，并且在此基础上构建完善的校园安全体系结构，是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求，还要对于可能出现的安全问题进行预警，以保证设计体系的合理性和科学性。具体来讲，其主要设计到以下内容：其一，以独立的VLAN，MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理，可以保证数据传输的安全等级达到最佳水平；其二，以网络安全检测子系统的构建，并在校园网中WWW服务器和Email服务器进行应用，在此基础上对于网络传输内容进行监督和管理，并且形成相应的数据库，避免非法内容进入校园网；其三，针对于安全需求，设置相应的安全防火墙，以双机设备方式去运行，实现防火墙子系统的构建；其三，基于控制中西和探测引擎技术构建入侵检测子系统体系，对于入侵行为进行监督和管理，并且将其屏蔽在网络安全范围之外；其四，全面升级网络系统的防毒系统，实现对于客户端PC机器的安全控制，形成统一的防毒服务器；其五，建立有效的漏洞扫描系统，实现自动修复和检查漏洞，保证补丁工作的全面开展；其六，针对于校园内部的侵袭行为，可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高；其七，建立健全完善的校园网安全运行管理制度体系，为开展一切安全管理工作打下基础。

3整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容，一般情况下会将其归结为物理层，链路层，网络层，应用层等几个方面。

3.1物理层安全体系实现途径物理层的安全性能主要针对于线路的破坏，线路的窃听，物理通路的干扰等安全缺陷问题。对此，需要做好以下工作：其一，采用双网结构作为拓扑网络结构方式，内外网使用不同的服务器，实现不同信道的运行，使得信息处于不同的高度路上运转，不仅仅可以营造安全的运行状态，还可以使得系统运行压力降低；其二，以双网物理隔离的方式去实现内外网布线系统的构建，从根本上杜绝了黑客入侵的可能性，同时还合理设置，避免出现内外网同时使用的情况。

3.2链路层安全体系实现途径链路层安全体系构建是保证网络链路传送数据安全性为根本性目的，主要使用的技术手段有局域网和加密通讯手段。具体来讲，其一，在交换机配置端口安全选项中，尽量将CAM表进行淹没；其二，在中继端口实现VLANID的专业化设置，保证端口设置成为非中继模式；其三，进行MAC地址绑定设置，避免出现IP地址被盗用。

3.3网络层安全体系实现途径网络层安全体系构建，主要是保证网络时能给授予权限的客户使用，避免出现拦截或者监听的情况。为了实现这样的目标，应该从以下几个角度入手：其一，设置硬件防火墙，运行访问控制技术程序，一旦遇到安全问题，使得其处于隔离状态；其二，网络入侵检测系统IDS的使用，能够对于网络入侵行为进行监督，由此构建起来第二道安全闸门；其三，在路由交换设备上进行安全技术应用，如VPN技术，加密机制及时，审计和监控技术等，都是其重要内容。

3.4应用层安全体系的实现途径对于应用层来讲，其安全体系的构建需要做到以下几点：其一，建立网络病毒防火墙，避免内外病毒对于网络文件系统的破坏；其二，设置服务器，尽可能的保护自己的IP地址；其三，构建操作系统补丁自动分发系统，保证能够及时的进行安全漏洞的修复；其四，积极开展认证和授权管理工作，对于多重身份认证和用户角色授权进行审计，以保证系统的安全性。

篇3

1.2可控性可控性指的是，网络系统自身具备对于网络信息的传播和内容的审核具备控制和调整的能力，因为出于国家安全，社会公共管理秩序的需求，有必要对于网络上的信息进行控制和调整，以确保公民和国家的信息安全和保障。尤其是这对网络中实行的社会犯罪，情报收集，信息窃取等都需要对网络的信息进行严格的管理和控制。

2网络安全技术在校园网络中的运用

2.1防火墙技术所谓防火墙技术，指的就是校园网络针对网络所设置的权限和用户访问权限的所有的硬件和软件的总和，可以视为是内部网络和外部网络之间的保护性防御设置，其最为根本的功能就是，针对一些非法的访问和登陆进行有效的阻断和隔离，是校园网络安全性的基本保障措施和功能。其主要体现在，防火墙可以针对外网的一些具有不安全性的用户访问进行识别和拒绝隔断，同时采取调整防火墙的安全等级，还可以对一些具有危害性的信息和内容进行屏蔽和阻断，尤其是识别网络上安全性较低的网路时，能够主动提出警报，并组织用户访问这些危险性的网站，减少了病毒的传播和入侵。同时还可以对于外网访问校园网络的信息进行登记和备份，以便于针对访问信息的统计和监控。这样在日后的数据分析过程中，能够有效发现系统中存在的漏洞，尤其是发现用户的操作存在非法性，时，能够及时并主动对其进行提醒和警报。如果校园网络防火墙技术和NAT技术有效地结合起来，还能够对于校园网络的结构性进行隐蔽，大大增强了网络系统的安全性，并且这种结合能够非常有效地解决校园网络中，用户群较大，IP不足的问题，极大地提升了校园网络的使用效率和通畅性。

2.2VPN技术VPN技术的运用，能够在校内用户和校外网络连接的过程中，形成一道安全监测的通道，那些只有符合设定的目标用户，才能够通过通路进行顺利的访问和登陆，其余的非法登陆和连接都会被视为非法操作而进行阻断，这样能够大大提升校园网络的安全性，同时对校内用户的危险性操作也做出了控制和规范。该技术可以通过校内的验证码技术、登陆用户验证等技术来区分有资格的用户身份，将具备资格的用户和非法用户区分开来再连接到服务器，并采用信息加密技术，有效地保证了通过验证的用户信息的安全性和完整性，实现了校园网的密匙管理。

2.3发现入侵的检测技术该技术的运用，对于校园网络的安全性具有非常重大的意义，尤其是对于校园网路中的一些不规范，非法的操作行为进行检测，一旦发现之后及时发出网络警报，并对其危险的操作做出网络分析，检测出用户在未授权的情况下所进行的越权操作行为，并及时对其进行控制和终止。同时，对于系统中的漏洞进行进行的提醒和备注，以便于网络维护人员及时对网络漏洞进行修改，因此入侵的检测技术对于网络的安全性而言，具有非常主动的防御功能。它对于维护校园网络数据的稳定性和安全性，都具有非常重要的意义。

2.4控制访问技术该技术的运用，主要是针对采取非法性的操作和访问，一般而言，用户需要登录校园网，首先需要登录校园网的访问控制台，经过正确的口令登录和识别之后才能获得相应的访问权限和身份。一旦登录输入不正确或者不具备登录资格，将被拒绝访问，因此那些不具备资格的非法访问用户都不会获得相应的授权和进入访问入口。

2.5数据恢复和备份技术该技术的运用，一般是对校园网络信息安全性的事后保障和后期安全性保障，一旦发生了网络安全性事件，校园网络系统受到了入侵，信息受到了删除或者篡改，可以调用系统自卑的数据恢复功能来对数据进行数据的恢复，但是数据的恢复是基于数据被定期备份在数据库中的。因此，校园网络的管理员可以定期对校园网络中的信息数据进行备份，并在数据库中建立索引，一旦有需要恢复的时候，可以及时按照所需的索引来快速查找到所需要回复的信息内容。这种归档的数据处理模式能够保证校园网络的数据信息在一段的时间内的完整性和自我修复能力，是校园网络安全性的有效保障。

篇4

随着无线技术的不断成熟和普及，无线网络在全球范围内的应用已经成为一种趋势。在我国，越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用，对学校的教学模式、教学理念及教学管理产生了深远的影响，也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示，目前我国15．1％的高校建有无线校园网，同时有36．2％的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划，有专家表示，无线校园是未来校园信息化的发展方向。

一、何谓无线局域网

无线局域网（WirelessLocalAreaNetwork，缩写为“WLAN”）是高速发展的现代无线通信技术在计算机网络中的应用，是计算机网络与无线通信技术相结合的产物。不像传统以太网那样，基于802.1标准的无线网络在空气中传播射频信号，在信号范围内的无线客户端都可以接受到数据，为通信的移动化、个人化和多媒体应用提供了实现的手段。

二、传统有线网络面临的问题

随着校园网络规模不断扩大，网络应用不断增加，网络已经成为老师和学生获得信息的主要手段之一，校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户，越来越多的校园网络应用开始部署，网络变得前所未有的重要，细心观察不难发现传统有线网络容易出现以下问题：

（1）校内公共网络设施有限，而且使用频繁，人们为了上网不得不在这些地点之间奔波；

（2）计算机设备较多，其中，笔记本数目也在逐步增加。在这种情况下，全部用有线网连接终端设施，从布线到使用都会极不方便；

（3）有的教室主体结构是大开间布局，地面和墙壁已经施工完毕，若进行网络应用改造，埋设缆线工作量巨大，而且学生上课时的位置不是很固定，导致信息点的放置也不能确定，这样，构建一个有线局域网络就会面对各种不便；

（4）高校通常会有几个在地理分布上并不集中的分校区，用有线光缆连接校园网工程复杂、成本极高。而使用无线网络，无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。

三、无线网络的特点与优势

1、移动性强。无线网络摆脱了有线网络的束缚，能够使学习远离教室，可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动，持续连接，实现移动办公。

2、带宽很宽，适合进行大量双向和多向多媒体信息传输。

在速度方面，802.11b的传输速度可提供可达11Mbps数据速率，而标准802.11g无线网速提升五倍，其数据传输率将达到54Mbps，充分满足校园网用户对网速的要求．

3、有较高的安全性和较强的灵活性

由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术，使得其高度安全可靠；无线网络组网灵活、增加和减少移动主机相当容易。

4、维护成本低，无线网络尽管在搭建时投入成本高些，但后期维护方便，维护成本比有线网络低50％左右。

四、无线网络存在的安全问题

在无线网络的实际使用中，有可能遇到的威胁主要包括以下几个方面

1、信息重放

在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

2、WEP破解

现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，最快可以在两个小时内攻破WEP密钥。

3、网络窃听

一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。

4、MAC地址欺骗

通过网络窃听工具获取数据，从而进一步获得AP允许通信的静态地址池，这样不法之徒就能利用MAC地址伪装等手段合理接入网络。

5、拒绝服务

攻击者可能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

五、无线网络的安全防范措施

为了保护无线网路免于攻击入侵的威胁，用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善，实现最基本的安全目的。

1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况，并反映在学校的网络拓扑图里。

2、使用WEP,启用无线设备的安全能力。

保护无线网络安全的最基础手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍,有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。

3、变更SSID及禁止SSID广播。服务集标识符(SSID)是无线访问点使用的识别字符串，客户端利用它就能建立连接。该标识符由设备制造商设定，每种标识符使用默认短语，如101就是3Com设备的标识符。倘若黑客知道了这种口令短语，即使未经授权，也很容易使用无线服务。对于部署的每个无线访问点而言，要选择独一无二并且很难猜中的SSID。如果可能的话，禁止通过天线向外广播该标识符。这样网络仍可使用，但不会出现在可用网络列表上。

4、禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施，黑客不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用公司的访问点，他仍需要弄清楚IP地址。

5、禁用或改动SNMP设置。如果公司的访问点支持SNMP，要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施，黑客就能利用SNMP获得有关公司网络的重要信息。

6、使用访问列表。为了进一步保护无线网络，应使用访问列表，如果可能的话。不是所有的无线访问点都支持这项特性，但如果公司实施的网络支持，就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP)，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。

参考文献:

[1]张锦.无线局域网IEEE802.11.现代图书情报技术