杨丰瑞　刘孟娟

摘要：随着WIFI技术在我国的的广泛应用和发展，用户隐私泄露、密码窃取和钓鱼WIFI等安全问题日益凸显。通过对家用WIFI、企业WIFI和商用WIFI三种不同应用场景的研究，分析无线WIFI的安全现状并提出相应的防控措施，为政府制定无线WIFI网络安全监管策略提供参考。关键词：无线WIFI；安全问题；防控措施

中图分类号：TB

文献标识码：A

文章编号：16723198（2015）05017403

1无线WIFI安全现状及分析

2014年6月，央视《消费主张》曝光人们日常使用的无线网络存在巨大的安全隐患，无线WIFI安全问题引起了极大关注。无线WIFI网络是一种使用802.11系列标准协议，将个人电脑、手持设备等终端设备以无线方式接入网的络技术。与传统固网相比，无线WIFI网络的无需布线、网络组建简单等优势极大地促进了其推广应用；而其介质特殊的穿透性和开放性，以及其安全机制本身固有的漏洞，使得无线WIFI网络面临着严重的安全威胁。

根据现有WIFI的应用范围，我们将其分为家庭、企业和商用三种不同的WIFI类型。而不同WIFI类型拥有与自身应用场景相对应的特点，所以其面对的安全威胁也不同。因此，我们将从家用WIFI、企业WIFI和商用WIFI三个方面分析其安全现状。

1.1家用WIFI

伴随着具备WIFI功能的设备不断增多，再加上无线WIFI应用起来的方便性，WIFI已悄然走入众多的家庭用户。美国市场调研公司Strategy Analytics早在2006年5月的调查报告《家庭网络采用WIFI的情况》预测，中国将成为全球WIFI家用市场的主要增长动力，并于2016年为WIFI贡献1.1亿个家庭网络用户。而无线路由器作为家用WIFI的一个无线AP，其安全性影响着家用WIFI网络的安全。据我国360安全卫士发布的《2013年第三季度家用无线路由器安全报告》显示，国内用户修改或重新设定路由器管理帐号和密码的比例还处在一个较低的水平，98.6%的家用无线路由器存在弱密码风险。

家用WIFI面临的安全威胁，主要来自家庭外部和家庭内部两个方面。家庭外部的安全威胁主要针对无线路由器，黑客通过CSRF漏洞攻击能够越过WIFI密码的验证，直接入侵用户路由器管理界面，对路由器DNS、管理密码等设置进行篡改，从而实现劫持网站、插入广告、诱导用户进入钓鱼网站以及屏蔽安全软件的升级、云安全查询等目的。同时，黑客CSRF攻击手法已经升级，可直接修改用户路由器默认的管理端口。而来自家庭内部的安全，主要涉及WIFI密码和路由器管理密码问题。WIFI密码结构单一、破解难度系数低以及密码更新周期长是导致WIFI密码存在安全问题的主要原因。

1.2企业WIFI

随着WIFI技术的广泛应用，越来越多的企业组建了基于WIFI接入的Intranet企业网，分享无线网络给企业生产、管理及营销带来的极大便利。目前国内使用WIFI的企业非常普遍，有的甚至已经取消传统有线网络，完全依靠WIFI进行办公。然而，大部分企业缺乏有效的WIFI管理措施，尤其是2013年曝光的“棱镜门计划”披露了美国NSA窃听企业高层的信息，无线WIFI安全问题更是引起了企业的广泛关注。

来自企业WIFI的安全问题主要分为以下四方面：一是WIFI网络信号容易被搜索发现，这为非法用户接入WIFI网络创造了基本条件，WIFI接入点设备的广播信息中携带了许多可以用来推断WEP密钥的明文信息如WIFI网络的名称、SSID号等，这些信息为非法用户入侵WIFI网络创造了必要条件；二是非法用户伪装成合法的WIFI网络用户或者网络地址，欺骗WIFI网络的认证机制入侵网络，从而达到非法访问网络资源的目的；三是拒绝服务攻击（DOS），该攻击通过产生大量的数据包，耗尽网络资源，使网络无法响应合法用户的请求，导致网络瘫痪；四是通过客户端接入非法AP来窃取客户端的信息。当攻击者得知企业网络的SSID，则可使客户端错误关联到非法AP上，通过攻击客户端来窃取企业数据。

1.3商用WIFI

商用WIFI即商用宽带无线网络，常用于咖啡、餐厅等免费为用户提供宽带无线网络的公共场所。与家用和企业WIFI相比，商用WIFI起步相对较晚。但随着移动互联网产业的发展，商用WIFI得到了咖啡厅、餐厅等商业场所的喜爱。不过其人流量大、需求多种多样的特点也为其带来安全隐患，可能引发严重后果。

商用WIFI安全问题主要体现在以下三方面。一是商用WIFI缺乏相应的规范标准。当前的公共场所无线网络环境，我国除对经营性场所类的网吧实行实名制外，其余公共场所无线网络的管理措施还停留在备案制层面，所以亟待建立一个标准规范的服务保障体系。二是钓鱼WIFI盛行。公安部第一研究所专家苏智睿曾指出，无线WIFI将常规有线网络中的物理线路变成逻辑上的虚拟链路（无线电波）来传输数据，这种安全性上的“先天缺陷”，促生了钓鱼WIFI。恶意用户通过开启与商业WIFI热点一致的SSID，骗取无线用户接入，窃取用户个人信息、网银、支付宝密码等，给商业WIFI带来极大安全威胁。三是大功率无线网卡威胁商业WIFI安全。“大功率无线网卡”俗称“蹭网卡”，通过破解密码，强行共享他人无线网络，增加了商业WIFI网络负担，拖慢网速，造成稳定性差。更严重的是，通过截获无线数据，还可以分析出商业WIFI用户的网银、邮件等重要数据，给商用WIFI用户带来直接的财产损失。

2无线WIFI安全对策建议

鉴于无线WIFI广泛运用，而其安全性可能引发的严重后果，因此，本文根据无线WIFI应用范围，针对家用、企业和商用三种WIFI不同特点给出了安全对策建议，从而在一定程度上保障无线WIFI的安全，保证无线WIFI消费者合法利益。

2.1加强家用WIFI路由器密码设置，提高用户安全意识

第一，对于用户来说，加强路由器密码复杂程度，选择WPA2加密认证方式设置密码，且密码长度至少在10位以上，包含字母、数字和特殊符号。同时，将路由器管理的默认IP地址修改为自己设定的特殊IP地址，降低CSRF等自动攻击的成功率。最后，开启路由器MAC地址过滤功能，只允许已知的设备接入路由器。

第二，对路由器厂商来说，在路由器设计中增加密码修改提醒或强制修改管理密码。即对没有修改过管理帐号和密码的用户，在其每次登录路由器时，给予风险提示，甚至强制要求用户设定新的管理帐号和密码。

第三，加大WIFI安全宣传力度，提高用户安全意识。一方面，监管机构可对公共场所WIFI进行安全性认证，并进行标识。同时，要求无线WIFI网络服务提供商提供该WIFI安全等级提示，从而用户可以选择性的连接，避免接入不安全WIFI网络。另一方面，对WIFI用户进行WIFI安全使用宣传。根据网络安全技术和组网经验，向无线WIFI用户普及无线WIFI网络安全知识。

2.2规范企业WIFI网络建设，建立安全应急机制

第一，规划企业WIFI网络设计，建立安全应急机制。监管部门应要求企业规划WIFI网络设计，考虑网络的整体安全，对网络用途、密级进行认证。需将网络安全纳入网络的规划设计中，采取系统和整体策略来实现WIFI网络的安全。其次，鼓励企业建立安全应急机制，当非法用户接入企业内部网络时，启动安全机制，自动切断其连接。最后，企业对员工实施安全密码和身份验证管理。

第二，隐蔽SSID广播信息。SSID（Service Set Identifier）服务集标识用来标识不同无线网络的名称，是网络站点找到指定无线网络的重要信息。通过关闭服务访问点AP对外的SSID广播信息，使非法用户无法进行入网连接，合法用户则采用企业网管事先分配的网络ID安全接入本无线网络。

第三，过滤网络接入站点的MAC地址与IP地址。无线接入站点的MAC地址是入网认证的重要依据，在访问接入点AP上设置MAC地址过滤策略可以有效防止非法用户的入侵，这对企业中一般使用相对固定的网络站点是非常有用的一种安全措施。

第四，入侵检测与访问控制。在无线网络中使用无线网络入侵检测设备，一旦在网络中检测到任何未授权的设备，如流氓接入点，就发出报警。同时，通过AAA服务器对连接到无线网络用户的访问进行控制，通过这一主动防御措施，加强无线网络的安全性。

第五，启用WPA/WPA2加密功能。WPA/WPA2数据加密技术是IEEE 802.11n协议中最基本的无线网络安全策略，是提高企业WIFI网络信息安全的基本方法。具体如下：（1）在网络传输的每帧数据中插入帧校验和来检验数据的完整性，防止非法用户在数据流中插入已知文本来试图破解WPA/WPA2加密的密钥；（2）确保每个无线站点和无线访问接入点AP上都同时启用WPA/WPA2功能；（3）不使用常见的WPA/WPA2密钥，特别是缺省设置；（4）WPA/WPA2密钥由用户来设定并能够经常更改；（5）使用高的WPA2版本并不断升级更新。

2.3规范商用WIFI建设，保障用户信息安全

第一，完善商用WIFI规范标准，建立服务保障体系。公共商用场所的无线宽带网络作为工业和信息化部提出的“宽带普及提速工程”的重要组成部分，其重要性不言而喻。鉴于商用WIFI在应用方面的特点以及现行市场的不完善，政府、业务单位和服务商应共同努力，促进商用WIFI服务体系的建立。政府方面，从宏观方面着手，加强对如何建设健康、安全的商用WIFI应用生态环境的研究，保证公共商业场所宽带无线上网服务的质量、稳定性和安全性，推动中国商用WIFI应用的创新和服务标准的规范。加强业务单位和服务商方两者合作，解决好商用宽带无线网络的安全性、稳定性、登陆速度等问题，破解公共无线网络用户体验和服务质量差等困局，建设健全商用宽带无线网络的服务规范和服务标准。

第二，提高辨别意识，抵制钓鱼WIFI陷阱。一方面，用户应加强终端设备设置，关闭自动连接WIFI功能；同时，应谨慎对待公共场合的WIFI无线网络，尽量避免使用来源不明的免费WIFI。另一方面，用户应及时更新、升级浏览器。浏览器作为最容易泄露用户信息的软件，用户可通过从官方网站进行下载和安装浏览器、养成定时更新升级的良好习惯。

第三，从源头着手，有效遏制大功率无线网卡流通渠道。大功率无线网卡主要针对本身没有对无线路由器进行加密的上网资源以及使用WEP简单加密方式对无线路由器进行加密的商用WIFI。虽然目前对此类行为没有作出明确的法律规定，但是这无疑对合法拥有商用WIFI的用户造成了安全威胁。所以，可以通过与相关无线网络监管部门合作，限制大功率无线网卡的生产制造，规范其正常用途。同时，从商用WIFI用户自身来避免大功率无线网卡的安全威胁也是一种有效途径。用户通过隐藏无线路由器SSID5使无线路由器对其他设备不可见，再辅以WPA2对无线路由器进行加密可以降低被搜索到的可能性。

3结语

本文创造性的从家用WIFI、企业WIFI和商用WIFI三个角度分析了其安全现状，从而很好的解决了现有文章对WIFI安全问题一概而论的问题，使原本界限模糊的WIFI安全问题变得清晰、明朗。同时，针对性地对不同应用场景的WIFI提出安全对策建议，对于家用WIFI，从路由器密码设置和用户安全意识着手，有效保护路由器安全；对于安全性高要求更高的企业WIFI，从专业技术和整体设计的角度出发，保障企业WIFI安全；而对于发展迅速的商业WIFI，除提高用户辨别钓鱼WIFI之外，政府部门的有效监管才能从根本上保障无线WIFI消费者的合法利益。

参考文献

[1]牛钢.WIFI技术在实际建设运行中的应用和研究[D].北京：北京邮电大学，2012.

[2]杨哲.城市无线网络安全技术与威胁浅析[J].信息安全与技术，2011，（25）：2224.

[3]彭海深.基于WIFI的企业网信息安全研究[J].科技通报，2012，28（8）：145147.

[4]孙无极.WIFI接入对园区网络构成安全隐患极其对策[J].实践与经验，2010，（7）：116118.

[5]360互联网安全中心.2013年第三季度家用无线路由器安全报告[R].北京：360互联网安全中心，2013：25.

作者简介：

徐向前（1982-），男，本科学历，中铁隧道股份有限公司市政一公司，总工程师，工程师，研究方向：地下工程施工技术管理。