如今，教育信息化已跨入移動互聯(lián)、云計算、大數(shù)據(jù)相融的“智慧教育”時代，網(wǎng)絡(luò)已經(jīng)成為了教育改革創(chuàng)新的利器。然而，黑客與惡意代碼的攻擊不會因為教育行業(yè)的特殊性而心生憐憫。

為了全面提升網(wǎng)絡(luò)安全管理的整體能力，緩解校園網(wǎng)管理員和信息技術(shù)教師的工作壓力，給師生提供一個健康向上的網(wǎng)絡(luò)環(huán)境，福建經(jīng)濟學校利用趨勢科技的應用安全網(wǎng)關(guān)Deep Edge構(gòu)建了互聯(lián)網(wǎng)“過濾網(wǎng)”，并采用服務(wù)器深度安全防護系統(tǒng)Deep Security，為虛擬化應用在教育領(lǐng)域搭建了“安全樣板”。

Web威脅：破壞校園網(wǎng)寧靜的罪魁禍首

作為國家級重點中等職業(yè)學校，我校已經(jīng)有近50年的歷史，龐大的師生隊伍由5045名全日制中職學生、1100多名成人高等教育學生，以及370名教職工隊伍構(gòu)成。為了幫助每個學生找到適合自己的教育，我校師生正尋找著變革的力量，并用信息技術(shù)促進著目標的達成。

為實現(xiàn)學校教育的跨越式發(fā)展，我校充分把握了教育信息化創(chuàng)新的歷史機遇，把加快學校網(wǎng)絡(luò)建設(shè)與應用發(fā)展作為突破口，以資源建設(shè)和信息技術(shù)與教學融合為中心，以機制建設(shè)和應用培訓為保障，讓信息化漸漸成為了最有力的教育工具。然而，在移動互聯(lián)網(wǎng)、虛擬化、云計算，以及數(shù)字校園和智慧課堂應用不斷融入，我校信息化進入“跨越式”發(fā)展階段之后，不可避免的遇到了各類網(wǎng)絡(luò)威脅的困擾。

過去幾年之中，蠕蟲病毒、釣魚網(wǎng)站、基于漏洞的攻擊代碼不斷地被發(fā)現(xiàn)，其增長率持續(xù)攀高，其中，Web威脅已經(jīng)成為學校網(wǎng)絡(luò)安全最難防范的敵人。為保障學校網(wǎng)絡(luò)和教育教學系統(tǒng)的可靠運行，我校信息中心在全網(wǎng)統(tǒng)一部署了邊界防火墻，并要求每個終端必須安全防病毒軟件，這使得我校具備了初步的網(wǎng)絡(luò)安全防范能力。但是隨著混合型威脅的出現(xiàn)，這些網(wǎng)絡(luò)層的安全防護并不能解決病毒入侵到終端的問題，以Web應用為寄居環(huán)境的新病毒還是不斷通過網(wǎng)絡(luò)瀏覽、下載、即時通訊、電子郵件等方式侵入網(wǎng)絡(luò)，嚴重影響了正常的教育教學秩序。

終端安全重在“入口”，安全能否簡單?

通過調(diào)查，我們發(fā)現(xiàn)，包括我校在內(nèi)的大部分教育行業(yè)用戶，都還在使用傳統(tǒng)的網(wǎng)絡(luò)安全體系，這主要是指：“防病毒系統(tǒng)+防火墻”的方案，但這根本無法抵御Web威脅進入網(wǎng)絡(luò)。另外，網(wǎng)絡(luò)威脅的變化也是“傳統(tǒng)安全設(shè)備+人工排查”永遠跟不上的。新的攻擊隨時可能發(fā)生，而這些威脅中的90%都來自于并不可信Internet。與此同時，由于缺乏專家級的網(wǎng)絡(luò)安全技能，信息中心工作人員的腦力和體力都會被大量的終端防毒工作蠶食殆盡，無力維新。

網(wǎng)絡(luò)安全人員對于安全漏洞、病毒的出現(xiàn)早已司空見慣，那么，是讓病毒進入到網(wǎng)絡(luò)之后再進行絞殺?還是將病毒斬殺在入口處，建造一個相對安全性更高、管理更簡單的內(nèi)網(wǎng)呢?

在重新思考這個問題之后，我校選擇了后者，這是因為將病毒斬殺在入口能在更大程度上降低病毒對網(wǎng)絡(luò)的破壞。可是，在隨后的采購階段，又一道難題擋住了項目進度。

市面上的安全產(chǎn)品很多，但卻各負其責，如果需要所有的防護功能，就需要購置多臺設(shè)備。雖然這是許多大企業(yè)構(gòu)建安全架構(gòu)的做法，但這種堆疊式的組網(wǎng)方式缺點也不少。首先，在實現(xiàn)防毒網(wǎng)關(guān)、防垃圾郵件，入侵檢測、Web應用防護等安全工作時，我們只能針對每個弱點，相對應的購買設(shè)備，中職學校難以承當過高的購買費和后期的服務(wù)費。其次，單獨運作的防火墻、垃圾郵件網(wǎng)關(guān)、防病毒網(wǎng)關(guān)、IPS、IDS等過濾和檢測產(chǎn)品，對系統(tǒng)管理員的管理工作和設(shè)備控制技能提出了很高的要求。如果某個中間環(huán)節(jié)的設(shè)備出現(xiàn)故障，或是安全策略不一致，就會將“木桶效應”理論中的短板帶到現(xiàn)實中。

帶著“安全可以更簡單”的思考，我們考察了市場上的多功能安全網(wǎng)關(guān)。其中，趨勢科技Deep Edge 應用安全網(wǎng)關(guān)進入了試用隊列，并最終以其同時加強與簡化網(wǎng)關(guān)安全的設(shè)計理念，成為了我校的網(wǎng)絡(luò)安全升級項目的重要產(chǎn)品。

云安全是實現(xiàn)簡單的重要條件

一次次的病毒感染事件正在發(fā)生，這讓我們意識到，網(wǎng)絡(luò)防御體系不但需要功能豐富的安全產(chǎn)品，更需要主動性的防毒架構(gòu)來承載。而趨勢科技利用了強大的云安全平臺，以及Web信譽評估技術(shù)，可以避免終端接觸到病毒源頭，這樣的防護設(shè)計思路才是我們想要的。同時，趨勢科技Smart Protection Network也是業(yè)內(nèi)第一個運用大數(shù)據(jù)分析來獲得威脅情報的網(wǎng)絡(luò)，這確保了我們采購的Deep Edge可以擁有最佳的防御狀態(tài)，遠離風險。

另外一點，依托云安全技術(shù)的Deep Edge，在產(chǎn)品上的融合特性可以讓學校用最高的性價比、最簡化的策略部署方案實現(xiàn)安全目標。如今，部署在校園網(wǎng)出口的Deep Edge可有效的過濾進出網(wǎng)絡(luò)的流量，預防入侵行為, 過濾網(wǎng)絡(luò)威脅, 查殺病毒。我校的管理員還啟用了產(chǎn)品自帶的VPN, 讓外出的教師、到實訓基地的學生也可以通過安全加密的管道存取校內(nèi)資源。

當安全可以簡單之后

Deep Edge還可以通過虛擬補丁技術(shù)對于學校依然存在的大量Windows XP系統(tǒng)提供防護，這被事實證明是一項非常實用的功能。從產(chǎn)品的試用期我們就感受到了這個功能的便利之處。當時微軟發(fā)布了一個安全公告：2963983，其指出當前所有主流版本的Internet Explorer瀏覽器(IE6~IE11)均存在0-day(零日攻擊)漏洞，這成為第一個會影響Windows XP系統(tǒng)，而不會被修補的漏洞。

當時，由于這個漏洞能導致內(nèi)存崩潰，使攻擊者能夠在當前用戶賬戶下執(zhí)行惡意代碼，所以會對運行在教務(wù)、總務(wù)、財產(chǎn)、財務(wù)等學校重要部門中的XP主機造成威脅。但在漏洞公告后的第二天，還在試用階段的Deep Edge就自動接收到了虛擬補丁更新。在無需手工維護大量終端的前提下，信息中心便利用這項技術(shù)屏蔽了可能來自于外網(wǎng)的入侵行為。而這也是讓我們第一次把“安全可以更簡單”的想法，落實到了實際工作場景中。

有了成功感，膽子就會更大。在信息中心準備大規(guī)模部署虛擬化技術(shù)之前，我們查閱了大量的虛擬化安全資料。最終，我們選擇了能夠最緊密整合“VMsafe”API和“VMware vShield Endpoint”API技術(shù)的趨勢科技Deep Security。“無代理”安全防護技術(shù)的引用，讓我校在虛擬機大規(guī)模部署之前，便避免了許多參考資料中提及的“防毒風暴”問題，同時也是我校實現(xiàn)更簡單、更智能、更主動的網(wǎng)絡(luò)安全防護的又一次實踐。