◆高 萌
(國(guó)家圖書(shū)館 北京 100081)
信息技術(shù)的不斷發(fā)展為無(wú)線網(wǎng)絡(luò)的進(jìn)一步發(fā)展提供了有利的條件,在新技術(shù)、新應(yīng)用的帶動(dòng)下,無(wú)線網(wǎng)絡(luò)已深入到社會(huì)、生活的方方面面。在圖書(shū)館的網(wǎng)絡(luò)體系中,無(wú)線網(wǎng)絡(luò)也越來(lái)越受到讀者的喜愛(ài),它使上網(wǎng)和資源訪問(wèn)更加便捷高效,大幅地提升了讀者的使用體驗(yàn)和便利性,但在這個(gè)過(guò)程中,無(wú)線網(wǎng)絡(luò)的安全性也不容忽視,由于無(wú)線網(wǎng)絡(luò)安全機(jī)制的不健全,使得無(wú)線網(wǎng)絡(luò)存在著多方面不穩(wěn)定因素,也極大地降低了無(wú)線網(wǎng)絡(luò)的使用效率和質(zhì)量,因此,基于無(wú)線網(wǎng)絡(luò)的特性來(lái)進(jìn)行網(wǎng)絡(luò)安全構(gòu)建,就顯得非常有必要,這對(duì)于進(jìn)一步完善無(wú)線網(wǎng)絡(luò)體系、改善讀者的上網(wǎng)體驗(yàn)和提升讀者的滿意度有著積極的意義。
無(wú)線網(wǎng)絡(luò)是在有線網(wǎng)絡(luò)的基礎(chǔ)上逐步發(fā)展起來(lái)的,最初人們是通過(guò)物理連接的方式,使不同的線纜相互連通,以某種共同接受的協(xié)議相互之間實(shí)現(xiàn)自由的通信,隨著對(duì)網(wǎng)絡(luò)應(yīng)用要求的提升,人們又通過(guò)改進(jìn)物理連接的介質(zhì)來(lái)提高網(wǎng)絡(luò)使用速度和穩(wěn)定性,如光纖網(wǎng)絡(luò)等。在物理組網(wǎng)的過(guò)程中,人們逐漸發(fā)現(xiàn),這種方式極大地受到時(shí)間、空間以及材質(zhì)的限制,并且需要花費(fèi)的成本也相當(dāng)高,而通過(guò)組建無(wú)線網(wǎng)絡(luò)則能夠有效地規(guī)避這些不利因素。
無(wú)線網(wǎng)絡(luò)本質(zhì)也屬于一種局域網(wǎng)的范疇,它以無(wú)線電磁波的形式,由發(fā)射單元發(fā)出,接收單元接收信號(hào),并對(duì)信號(hào)進(jìn)行解析,從而實(shí)現(xiàn)網(wǎng)絡(luò)的連接, 因此無(wú)線網(wǎng)絡(luò)的建設(shè)不需要過(guò)多的硬件設(shè)備,當(dāng)前國(guó)際無(wú)線網(wǎng)絡(luò)大多是根據(jù) IEEE802.11的協(xié)議標(biāo)準(zhǔn),其射頻的電磁波波段是ISM頻段中的2.4GHz和5GHz。在上述協(xié)議標(biāo)準(zhǔn)之上,無(wú)線局域網(wǎng)的連接協(xié)議種類豐富,其中應(yīng)用最為廣泛的則是WiFi,即無(wú)線保真技術(shù),這種協(xié)議能夠滿足不同設(shè)備間的連接需求,從而消除了不同設(shè)備間差異因素的影響。
非法連接是一種網(wǎng)絡(luò)攻擊行為,是未經(jīng)許可通過(guò)物理連接的方式,來(lái)接入到如路由器、交線機(jī)或無(wú)線AP端口等網(wǎng)絡(luò)設(shè)備上,并通過(guò)接入的設(shè)備來(lái)訪問(wèn)網(wǎng)絡(luò)。這種物理性的非法連接,由于是將接入設(shè)備直接與網(wǎng)絡(luò)設(shè)備進(jìn)行連接,因此,不需要輸入網(wǎng)絡(luò)本身已設(shè)定的密碼,就可以直接進(jìn)行網(wǎng)絡(luò)的訪問(wèn)。
非法入侵通過(guò)無(wú)線網(wǎng)絡(luò)的方式來(lái)連接到網(wǎng)絡(luò)中,即不再通過(guò)物理線纜的方式來(lái)接入到網(wǎng)絡(luò)設(shè)備的端口上,入侵者只需要在無(wú)線網(wǎng)絡(luò)的覆蓋范圍內(nèi),通過(guò)相應(yīng)的探測(cè)和接收設(shè)備來(lái)接入到無(wú)線網(wǎng)絡(luò)對(duì)應(yīng)的信道,再通過(guò)信息技術(shù)對(duì)無(wú)線網(wǎng)絡(luò)的密碼進(jìn)行破解,從而獲得該無(wú)線網(wǎng)絡(luò)訪問(wèn)的密碼。
因?yàn)樵跓o(wú)線網(wǎng)絡(luò)的輻射范圍內(nèi),使用者只需要擁有WiFi的接收設(shè)備,就可以探測(cè)到該無(wú)線網(wǎng)絡(luò),進(jìn)而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn),這與有線網(wǎng)絡(luò)的連接有著本質(zhì)上的不同。有線網(wǎng)絡(luò)是需要設(shè)備通過(guò)與網(wǎng)絡(luò)端口相連接的方式,才能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn),也就是說(shuō),有線網(wǎng)絡(luò)的端口決定了接入和訪問(wèn)網(wǎng)絡(luò)的權(quán)限。
WEP是無(wú)線網(wǎng)絡(luò)安全中級(jí)別最低的安全保密協(xié)議,隨著網(wǎng)絡(luò)信息化技術(shù)的發(fā)展,WEP的加密協(xié)議無(wú)法滿足網(wǎng)絡(luò)安全的需要,攻擊者通過(guò)網(wǎng)絡(luò)攻擊軟件可以在很短的時(shí)間內(nèi)就獲得網(wǎng)絡(luò)的密碼。
無(wú)線局域網(wǎng)進(jìn)行信號(hào)的傳輸是基于一定的協(xié)議進(jìn)行的,因此,無(wú)論是發(fā)射設(shè)備還是接收設(shè)備都必須按照這個(gè)協(xié)議才能實(shí)現(xiàn)相互之間的信息連通,對(duì)于攻擊者來(lái)說(shuō),只需要在無(wú)線網(wǎng)絡(luò)的覆蓋范圍內(nèi),通過(guò)相應(yīng)的高增益天線的接收設(shè)備就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包進(jìn)行獲取,在進(jìn)行解析后,就可以獲知數(shù)據(jù)包的全部信息。
當(dāng)前進(jìn)行網(wǎng)絡(luò)欺騙攻擊,主要是通過(guò)地址協(xié)議ARP或者M(jìn)AC地址欺騙來(lái)實(shí)現(xiàn)的。前者是通過(guò)相應(yīng)的軟件來(lái)生成IP地址和MAC地址,從而形成數(shù)量龐大的ARP數(shù)據(jù)包,來(lái)實(shí)現(xiàn)接入網(wǎng)絡(luò)或使目標(biāo)網(wǎng)絡(luò)因數(shù)據(jù)包流量過(guò)大而產(chǎn)生堵車的現(xiàn)象;后者是攻擊者通過(guò)非法入侵無(wú)線網(wǎng)絡(luò)后,探測(cè)出無(wú)線網(wǎng)絡(luò)合法的MAC地址,并通過(guò)這個(gè)合法的MAC地址使自己成為無(wú)線網(wǎng)絡(luò)的合法用戶,進(jìn)而達(dá)到接入無(wú)網(wǎng)絡(luò),實(shí)現(xiàn)正常訪問(wèn)的目的。
用戶訪問(wèn)權(quán)限控制是通過(guò)設(shè)定一定的網(wǎng)絡(luò)訪問(wèn)規(guī)則來(lái)提高網(wǎng)絡(luò)整體的安全性,即對(duì)訪問(wèn)的用戶進(jìn)行相應(yīng)的設(shè)定,來(lái)防范無(wú)線網(wǎng)絡(luò)遭到攻擊。具體的方式是根據(jù)無(wú)線局域網(wǎng)的訪問(wèn)特性,實(shí)現(xiàn)MAC地址與IP地址的捆綁,對(duì)每一個(gè)用戶的網(wǎng)絡(luò)接入設(shè)備的獨(dú)有的MAC地址來(lái)設(shè)定與之對(duì)應(yīng)的IP地址,綁定后的地址即使攻擊者能夠通過(guò)入侵實(shí)現(xiàn)進(jìn)入無(wú)線網(wǎng)絡(luò),也無(wú)法獲取網(wǎng)絡(luò)中相關(guān)的信息或資源。
通過(guò)無(wú)線加密技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的傳輸進(jìn)行加密,從而實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全的提升,這是由于攻擊者能夠通過(guò)中間人或網(wǎng)絡(luò)嗅探等方式來(lái)獲取傳輸中的數(shù)據(jù)。隨著網(wǎng)絡(luò)信息技術(shù)的成熟發(fā)展,目前無(wú)線加密技術(shù)也得到了快速的發(fā)展,當(dāng)前通行的無(wú)線加密技術(shù)主要有WPA2-PSK、TKIP、CCMP等,此外,還可以借助3DES算法、VPN等進(jìn)一步提高無(wú)線網(wǎng)絡(luò)的安全性。
一方面,在硬件上可以通過(guò)更高級(jí)別的芯片來(lái)對(duì)路由器的安全進(jìn)行防護(hù),通過(guò)加密技術(shù)來(lái)增加安全等級(jí);另一方面,則可以在軟件上進(jìn)行全方位的保護(hù),如進(jìn)行防火墻保護(hù),從硬件和軟件兩方面來(lái)著手,可以更好地維護(hù)無(wú)線網(wǎng)絡(luò)的安全。可以通過(guò)內(nèi)外網(wǎng)的設(shè)置,來(lái)防止非法用戶的連接和訪問(wèn),也可以設(shè)置訪問(wèn)權(quán)限等,提前設(shè)定網(wǎng)絡(luò)使用規(guī)則,對(duì)數(shù)據(jù)進(jìn)行必要的過(guò)濾。
通過(guò)身份驗(yàn)證,可以很好地保護(hù)無(wú)線網(wǎng)絡(luò)安全,防止非法用戶連接訪問(wèn)。當(dāng)前,對(duì)于無(wú)線網(wǎng)絡(luò)的身份驗(yàn)證主要有IEEE802.1x和Portal兩種。前者的成本比較低,對(duì)設(shè)備的要求不高,很容易實(shí)現(xiàn),但其要求連接到該網(wǎng)絡(luò)的設(shè)備安裝客戶端認(rèn)證軟件,這對(duì)于網(wǎng)絡(luò)使用者來(lái)說(shuō)則相對(duì)麻煩;而后者不需要安裝客戶端認(rèn)證軟件,對(duì)于讀者而言在使用上會(huì)更加方便,但是對(duì)服務(wù)器設(shè)備的要求會(huì)很高,相對(duì)的成本也比較大。使用者可以根據(jù)實(shí)際情況和需求來(lái)進(jìn)行選擇。
SSID廣播可以讓無(wú)線客戶端快速搜索到無(wú)線信號(hào),但是也存在一定的安全隱患。為了更好地給予無(wú)線網(wǎng)絡(luò)以保護(hù),對(duì)于較為固定的無(wú)線網(wǎng)絡(luò)使用群體,可以根據(jù)實(shí)際情況隱藏部分SSID,這樣一來(lái),固有的設(shè)備可以自動(dòng)的搜索和連接,但是新增的無(wú)線客戶端則需要手動(dòng)的輸入SSID,這種方式可以在一定程度上減少非法入侵,讓無(wú)線網(wǎng)絡(luò)使用更加安全。
無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進(jìn)步改善了人們生活的方方面面,圖書(shū)館無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋,使讀者們更加便利快捷地查詢相關(guān)數(shù)字資源,受到了讀者們的好評(píng)。然而,也有不少圖書(shū)館只是覆蓋了無(wú)線網(wǎng)信號(hào),卻忽視了網(wǎng)絡(luò)安全建設(shè)問(wèn)題,導(dǎo)致無(wú)線網(wǎng)絡(luò)安全受到了威脅,讀者的個(gè)人信息存在泄露風(fēng)險(xiǎn)。所以,在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí),應(yīng)該要通過(guò)科技手段來(lái)提高網(wǎng)絡(luò)安全等級(jí),讓讀者和員工在使用無(wú)線網(wǎng)絡(luò)的同時(shí)得到必要的網(wǎng)絡(luò)安全保障。