郑州无线城区建设中的网络安全问题研究

摘要：找出郑州已建成的“无线城区”网络中可能存在的缺陷；分析这些缺陷形成的原因，确定哪些是由WiFi技术本身缺陷造成的，哪些是管理原因造成的；通过对这些网络安全问题的分析，提出针对性的解决办法，以点带面，为郑州其它地区的“无线城区”网络安全建设提供参考。

关键词关键词：无线城区；WiFi；网络安全

中图分类号：TP309 文献标识码：A 文章编号文章编号：16727800（2013）007015502

1 郑州“无线城区”建设现状及其模式分析

2009年郑州市政府与中国移动通信集团河南有限公司签订战略合作框架协议，未来5年，河南移动将投入超过90亿元，开展包括无线城市在内的通信基础设施建设。郑州移动“无线城市”建设的思路是：“政府主导，市场运营，资源共享，以点带面，逐步推进。”具体内容包含TD无线通信网络建设、无线电子政务建设、无线便民生活、无线旅游四大项目，努力将郑州建设成为一个网络无处不在、信息随心所取的“无线城市”，使郑州城市的整体信息化水平位于全国同等城市前列。

2012年郑州市正式启动“无线城区”试点建设，郑东新区、经开区、高新区作为首批3个试点城区将在2013年年底实现无线网络全覆盖，其中郑东新区“无线城区”建设分三期实施：一期工程将于2012年6月底完工，届时CBD商务内环实现无线网络全覆盖；经开区“无线城区”一期无线网络已试运行，投资客商可免费接入WiFi信号上网；金水区于8月份也宣布正式启动金水区区域内的无线应用建设，计划在2014年之前在该区内实现无线网络无缝覆盖及光网社区建设，届时区域居民通过手机、电脑可免费接入WiFi信号上网。

郑州市的“无线城区”建设的模式多为移动网络与WiFi融合的方式，中国移动作为全业务运营商，将综合WLAN的局部热点优势和移动网络的覆盖优势，做好两者的融合，拓展多元化接入手段，实现无线信号城市全方位立体覆盖，为客户提供随时随地的无线互联网接入服务，该模式的网络拓扑图如图1所示。

2 无线城区网络安全隐患

无线城区建设为广大市民提供了免费上网服务，带来了工作和生活上的便利，但是也包含着大量的安全隐患。

郑东新区、经开区和金水区在终端接入的技术上都采用了WiFi技术。WiFi技术的研究已经比较成熟，WiFi技术的优缺点及安全缺陷方面的研究也比较深入。WiFi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点，但其本身在安全性方面存在缺陷，故采用WiFi技术的无线城区也面临着不少安全威胁。

一是容易被入侵。无线城区的无线信号是广播的状态，即在特定范围内的用户都可以发现WiFi信号的存在，任何恶意的入侵者都可以通过无线设备和破解工具侦测AP并对无线网络发起攻击。WiFi在对网络访问的验证和数据传输方面也采用了加密方式，如WEP、WPA和WPA2协议等，但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵WiFi网络，一些无线网络分析仪可以轻松破解WiFi网络的认证密码。

二是数据在传输过程中很容易被截取。通过监听无线通信，从中还原出账号、密码及文件等敏感信息；当普通用户使用无线城区提供的免费WiFi服务时，其传输的数据有可能被入侵者截获，进而给普通用户造成损失。

三是有限带宽容易被恶意攻击占用和地址欺骗。入侵者在接入WiFi网络后发送大量的ping流量，或者向无线AP发送大量的服务请求，无线AP的消息均由入侵者接收，而真正的移动节点却被拒绝服务，严重的可能会造成网络瘫痪；入侵者同时发送广播流量，就会同时阻塞多个AP；攻击者在与无线网络相同的无线信道内发送信号，而被攻击的网络就会通过CSMA/CA机制进行自动使用，这样同样会影响无线网络的传输；恶意传输或下载较大的数据文件也会产生很大的网络流量。

四是伪造AP，无线网络钓鱼。入侵者可以自己购买AP并将AP的ID设置为正规的AP的来欺骗用户接入并窃取敏感资料。在郑州的各个无线城区覆盖范围内存在大量的政府机构及涉密机构，如果在这些机构附近设置欺骗AP，工作人员的移动终端设备就有可能有意或无意地接入到欺骗AP中，这样入侵者就很容易获取真实AP的口令甚至入侵到移动终端设备并获取其中的数据。

五是高级入侵。只要是入侵者采用合法或者非法手段接入无线城区，他就可以以此作为入侵其它系统的跳板，采用黑客手段攻击其它系统或网络，而其行踪则很难被追寻；或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤，攻击者不但能够获取无线账户及密码，也能够迫使一无所知的用户访问到虚假的钓鱼站点（如假冒的银行或支付网站），遭遇到更深层面的欺诈等。

在以上安全威胁中，危害最大的就是入侵者通过对无线网络的入侵造成的数据泄漏，特别是涉及企业安全和国家安全机密数据的泄漏，如单位的财务收支报表、工资报表、涉密资料、政府未出台的政策计划、正在研究的政务实施草案、政府部门领导名单、住址等。对于绝大部分政府机构、企业和涉密部门来说，利用各种手段入侵无线接入点，入侵者将可以轻松地绕过有线网络的防御系统直接突入内网。而这只是无线入侵的第一步，借无线网络访问内部网络获取涉密数据才是攻击者的根本目的。不规范的无线接入点就相当于在政府机构、企业和涉密部门从内向外地开放了一个 “窗口”。

正由于存在此类“窗口”，那些涉密的内部信息泄露成为可能。某些对敏感资料有着特殊要求的组织，如恐怖分子、商业间谍、黑社会及邪教团体等，从未停止过对一些涉密单位内部资料的渗透、窃取和截获，如果当前无线网络使用不当，则极有可能被这些组织及个人利用，造成严重的损失。

3 无线城区网络安全建议

郑州无线城区的建设是一项“惠民工程”，本意就是为了让人民群众享受“无线生活”，享受互联网带来的信息服务，及时了解政府信息，进而享受无线教育、无线医疗、无线交通等各种社会化的服务；同时也有利于促进城市应急通信能力，提高政府的服务和管理能力。面对无线城区所存在的网络安全隐患，必须从管理和技术两个方面采取措施来保障无线城区的网络安全。

3.1 管理方面

一是加强对移动运营商的监管和督促。郑州的无线城区多采用和移动合作建设的方式，在建设过程中郑州各城区作为监管方，无线城区的政府机构要监督建设方，在无线城区建设之初就要全面考虑所面临的无线网络安全隐患，采用安全可靠的设备，使用安全、主流的认证加密方式，在部署后设置合理的安全策略，督促建设方在运维过程中严格按照安全运维方案定期检查安全隐患。

二是定期进行无线网络安全培训，强化安全意识。在无线城区覆盖范围内的企事业单位如银行、政府机构特别是涉密部门，应该定期进行内部信息化安全特别是无线网络安全培训，培训内容应该包括无线网络本身的安全隐患，防范数据泄密的规范操作等。

三是建立无线安全检查制度，加强无线接入检查。除了移动建设方定期巡检无线安全隐患之外，建议各企事业机关、政府相关部门制定信息安全管理制度，定期对无线接入安全进行检查，及时清除非法设置的无线接入等安全隐患。

四是加强涉密单位无线接入管理。无线城区范围内的政府、企事业单位特别是涉密机构应严格遵守国家相关规定，加强宣传，减少办公场所无线终端（笔记本、手持终端、手机）的无线接入，严禁涉密设备接入到无线网络中。

3.2 技术方面

一是加强接入认证安全管理。入侵者非法接入无线城区是攻击的第一步，阻止入侵者进入网络就必须采用相对安全的加密方法和多种安全机制拒绝非法用户。郑州的无线城区从目前的规模和网络负载能力上决定了无线只能向部分用户开放，现有的无线城区的接入方式有802.1x/PSK/MAC/Portal多种认证方式，但主要采用Portal认证方式，加密方式也有WEP、WPA、WPA2和WAPI多种方式。

二是引入网络管理技术及机制，防范内部网络攻击。

采取禁Ping、智能带宽限速等技术措施减少入侵者对网络效率的影响；无线城区的网络管理系统应该能够设定网络带宽使用的策略，实时侦测过大、异常的网络流量，及时关闭接入者的网络，并根据需要设置黑名单；配备入侵防御系统、网络防病毒系统等，及时根据内部网络攻击的特征判断攻击的类别和危害程度，并采取断网、阻断数据等措施阻止内部网络攻击。

三是加强无线AP接入管理。从技术上来说，无线城区的建设者要考虑到伪造AP的安全威胁，要能通过对AP站点频繁的监测，及时发现伪造的AP站点；同时无线城区范围内的政府、企事业单位特别是涉密机构应严格遵守国家相关规定，制定严格的管理制度，加强宣传，严禁涉密设备接入到无线网络中。

4 结语

综上所述，郑州开启的“无线城区”建设将为郑州的生产、生活提供更多的便利，郑州“无线城区”试点建设中积累的成功经验和案例可以为郑州市其它城区后期的“无线城区”建设提供指导。如何在保障方便工作、生活的同时，提高无线网络应用的安全性，是郑州“无线城区”建设应该重点考虑的问题之一。

参考文献：

[1] 彭晓珊.浅析WiFi技术在我国无线城市建设中的地位与发展前景[J].汕头科技，2009（4）.

[2] 覃斌.有线网络基础上的WIFI技术在无线城市中的应用[J].科技资讯，2011（34）.

[3] 王黎明.关于国内无线城市建设中若干问题的思考和建议[J].数字通信世界，2011（7）.

[4] 维普.WiFi不可靠， 无线局域网七大安全困惑[J].计算机与网络，2010（7）.

[5] 维普.WiFi网络安全问题盘点[J].中国新通信，2010（12）.

[6] 鲁艳，毛旭.基于WiFi的无线网络安全方案对比分析[J].广东通信技术，2007（3）.

责任编辑（责任编辑：杜能钢）

推荐访问:郑州 安全问题 城区 研究 建设中