让安全更简单 还师生一个宁静的网络

如今，教育信息化已跨入移动互联、云计算、大数据相融的“智慧教育”时代，网络已经成为了教育改革创新的利器。然而，黑客与恶意代码的攻击不会因为教育行业的特殊性而心生怜悯。

为了全面提升网络安全管理的整体能力，缓解校园网管理员和信息技术教师的工作压力，给师生提供一个健康向上的网络环境，福建经济学校利用趋势科技的应用安全网关Deep Edge构建了互联网“过滤网”，并采用服务器深度安全防护系统Deep Security，为虚拟化应用在教育领域搭建了“安全样板”。

Web威胁：破坏校园网宁静的罪魁祸首

作为国家级重点中等职业学校，我校已经有近50年的历史，庞大的师生队伍由5045名全日制中职学生、1100多名成人高等教育学生，以及370名教职工队伍构成。为了帮助每个学生找到适合自己的教育，我校师生正寻找着变革的力量，并用信息技术促进着目标的达成。

为实现学校教育的跨越式发展，我校充分把握了教育信息化创新的历史机遇，把加快学校网络建设与应用发展作为突破口，以资源建设和信息技术与教学融合为中心，以机制建设和应用培训为保障，让信息化渐渐成为了最有力的教育工具。然而，在移动互联网、虚拟化、云计算，以及数字校园和智慧课堂应用不断融入，我校信息化进入“跨越式”发展阶段之后，不可避免的遇到了各类网络威胁的困扰。

过去几年之中，蠕虫病毒、钓鱼网站、基于漏洞的攻击代码不断地被发现，其增长率持续攀高，其中，Web威胁已经成为学校网络安全最难防范的敌人。为保障学校网络和教育教学系统的可靠运行，我校信息中心在全网统一部署了边界防火墙，并要求每个终端必须安全防病毒软件，这使得我校具备了初步的网络安全防范能力。但是随着混合型威胁的出现，这些网络层的安全防护并不能解决病毒入侵到终端的问题，以Web应用为寄居环境的新病毒还是不断通过网络浏览、下载、即时通讯、电子邮件等方式侵入网络，严重影响了正常的教育教学秩序。

终端安全重在“入口”，安全能否简单?

通过调查，我们发现，包括我校在内的大部分教育行业用户，都还在使用传统的网络安全体系，这主要是指：“防病毒系统+防火墙”的方案，但这根本无法抵御Web威胁进入网络。另外，网络威胁的变化也是“传统安全设备+人工排查”永远跟不上的。新的攻击随时可能发生，而这些威胁中的90%都来自于并不可信Internet。与此同时，由于缺乏专家级的网络安全技能，信息中心工作人员的脑力和体力都会被大量的终端防毒工作蚕食殆尽，无力维新。

网络安全人员对于安全漏洞、病毒的出现早已司空见惯，那么，是让病毒进入到网络之后再进行绞杀?还是将病毒斩杀在入口处，建造一个相对安全性更高、管理更简单的内网呢?

在重新思考这个问题之后，我校选择了后者，这是因为将病毒斩杀在入口能在更大程度上降低病毒对网络的破坏。可是，在随后的采购阶段，又一道难题挡住了项目进度。

市面上的安全产品很多，但却各负其责，如果需要所有的防护功能，就需要购置多台设备。虽然这是许多大企业构建安全架构的做法，但这种堆叠式的组网方式缺点也不少。首先，在实现防毒网关、防垃圾邮件，入侵检测、Web应用防护等安全工作时，我们只能针对每个弱点，相对应的购买设备，中职学校难以承当过高的购买费和后期的服务费。其次，单独运作的防火墙、垃圾邮件网关、防病毒网关、IPS、IDS等过滤和检测产品，对系统管理员的管理工作和设备控制技能提出了很高的要求。如果某个中间环节的设备出现故障，或是安全策略不一致，就会将“木桶效应”理论中的短板带到现实中。

带着“安全可以更简单”的思考，我们考察了市场上的多功能安全网关。其中，趋势科技Deep Edge 应用安全网关进入了试用队列，并最终以其同时加强与简化网关安全的设计理念，成为了我校的网络安全升级项目的重要产品。

云安全是实现简单的重要条件

一次次的病毒感染事件正在发生，这让我们意识到，网络防御体系不但需要功能丰富的安全产品，更需要主动性的防毒架构来承载。而趋势科技利用了强大的云安全平台，以及Web信誉评估技术，可以避免终端接触到病毒源头，这样的防护设计思路才是我们想要的。同时，趋势科技Smart Protection Network也是业内第一个运用大数据分析来获得威胁情报的网络，这确保了我们采购的Deep Edge可以拥有最佳的防御状态，远离风险。

另外一点，依托云安全技术的Deep Edge，在产品上的融合特性可以让学校用最高的性价比、最简化的策略部署方案实现安全目标。如今，部署在校园网出口的Deep Edge可有效的过滤进出网络的流量，预防入侵行为, 过滤网络威胁, 查杀病毒。我校的管理员还启用了产品自带的科学, 让外出的教师、到实训基地的学生也可以通过安全加密的管道存取校内资源。

当安全可以简单之后

Deep Edge还可以通过虚拟补丁技术对于学校依然存在的大量Windows XP系统提供防护，这被事实证明是一项非常实用的功能。从产品的试用期我们就感受到了这个功能的便利之处。当时微软发布了一个安全公告：2963983，其指出当前所有主流版本的Internet Explorer浏览器(IE6~IE11)均存在0-day(零日攻击)漏洞，这成为第一个会影响Windows XP系统，而不会被修补的漏洞。

当时，由于这个漏洞能导致内存崩溃，使攻击者能够在当前用户账户下执行恶意代码，所以会对运行在教务、总务、财产、财务等学校重要部门中的XP主机造成威胁。但在漏洞公告后的第二天，还在试用阶段的Deep Edge就自动接收到了虚拟补丁更新。在无需手工维护大量终端的前提下，信息中心便利用这项技术屏蔽了可能来自于外网的入侵行为。而这也是让我们第一次把“安全可以更简单”的想法，落实到了实际工作场景中。

有了成功感，胆子就会更大。在信息中心准备大规模部署虚拟化技术之前，我们查阅了大量的虚拟化安全资料。最终，我们选择了能够最紧密整合“VMsafe”API和“VMware vShield Endpoint”API技术的趋势科技Deep Security。“无代理”安全防护技术的引用，让我校在虚拟机大规模部署之前，便避免了许多参考资料中提及的“防毒风暴”问题，同时也是我校实现更简单、更智能、更主动的网络安全防护的又一次实践。