作者：福建經濟學校信息中心主任陳曉峰

如今，教育信息化已跨入移動互聯、云計算、大數據相融的“智慧教育”時代，網絡已經成為了教育改革創新的利器。然而，黑客與惡意代碼的攻擊不會因為教育行業的特殊性而心生憐憫。

為了全面提升網絡安全管理的整體能力，緩解校園網管理員和信息技術教師的工作壓力，給師生提供一個健康向上的網絡環境，福建經濟學校利用趨勢科技的應用安全網關DeepEdge構建了互聯網“過濾網”，并采用服務器深度安全防護系統Deep Security，為虛擬化應用在教育領域搭建了“安全樣板”。

Web威脅：破壞校園網寧靜的罪魁禍首

作為國家級重點中等職業學校，我校已經有近50年的歷史，龐大的師生隊伍由5045名全日制中職學生、1100多名成人高等教育學生，以及370名教職工隊伍構成。為了幫助每個學生找到適合自己的教育，我校師生正尋找著變革的力量，并用信息技術促進著目標的達成。

為實現學校教育的跨越式發展，我校充分把握了教育信息化創新的歷史機遇，把加快學校網絡建設與應用發展作為突破口，以資源建設和信息技術與教學融合為中心，以機制建設和應用培訓為保障，讓信息化漸漸成為了最有力的教育工具。然而，在移動互聯網、虛擬化、云計算，以及數字校園和智慧課堂應用不斷融入，我校信息化進入“跨越式”發展階段之后，不可避免的遇到了各類網絡威脅的困擾。

過去幾年之中，蠕蟲病毒、釣魚網站、基于漏洞的攻擊代碼不斷地被發現，其增長率持續攀高，其中，Web威脅已經成為學校網絡安全最難防范的敵人。為保障學校網絡和教育教學系統的可靠運行，我校信息中心在全網統一部署了邊界防火墻，并要求每個終端必須安全防病毒軟件，這使得我校具備了初步的網絡安全防范能力。但是隨著混合型威脅的出現，這些網絡層的安全防護并不能解決病毒入侵到終端的問題，以Web應用為寄居環境的新病毒還是不斷通過網絡瀏覽、下載、即時通訊、電子郵件等方式侵入網絡，嚴重影響了正常的教育教學秩序。

終端安全重在“入口”，安全能否簡單？

通過調查，我們發現，包括我校在內的大部分教育行業用戶，都還在使用傳統的網絡安全體系，這主要是指：“防病毒系統+防火墻”的方案，但這根本無法抵御Web威脅進入網絡。另外，網絡威脅的變化也是“傳統安全設備+人工排查”永遠跟不上的。新的攻擊隨時可能發生，而這些威脅中的90%都來自于并不可信Internet。與此同時，由于缺乏專家級的網絡安全技能，信息中心工作人員的腦力和體力都會被大量的終端防毒工作蠶食殆盡，無力維新。

網絡安全人員對于安全漏洞、病毒的出現早已司空見慣，那么，是讓病毒進入到網絡之后再進行絞殺？還是將病毒斬殺在入口處，建造一個相對安全性更高、管理更簡單的內網呢？

在重新思考這個問題之后，我校選擇了后者，這是因為將病毒斬殺在入口能在更大程度上降低病毒對網絡的破壞。可是，在隨后的采購階段，又一道難題擋住了項目進度。

市面上的安全產品很多，但卻各負其責，如果需要所有的防護功能，就需要購置多臺設備。雖然這是許多大企業構建安全架構的做法，但這種堆疊式的組網方式缺點也不少。首先，在實現防毒網關、防垃圾郵件，入侵檢測、Web應用防護等安全工作時，我們只能針對每個弱點，相對應的購買設備，中職學校難以承當過高的購買費和后期的服務費。其次，單獨運作的防火墻、垃圾郵件網關、防病毒網關、IPS、IDS等過濾和檢測產品，對系統管理員的管理工作和設備控制技能提出了很高的要求。如果某個中間環節的設備出現故障，或是安全策略不一致，就會將“木桶效應”理論中的短板帶到現實中。

帶著“安全可以更簡單”的思考，我們考察了市場上的多功能安全網關。其中，趨勢科技DeepEdge應用安全網關進入了試用隊列，并最終以其同時加強與簡化網關安全的設計理念，成為了我校的網絡安全升級項目的重要產品。

云安全是實現簡單的重要條件

一次次的病毒感染事件正在發生，這讓我們意識到，網絡防御體系不但需要功能豐富的安全產品，更需要主動性的防毒架構來承載。而趨勢科技利用了強大的云安全平臺，以及Web信譽評估技術，可以避免終端接觸到病毒源頭，這樣的防護設計思路才是我們想要的。同時，趨勢科技SmartProtectionNetwork也是業內第一個運用大數據分析來獲得威脅情報的網絡，這確保了我們采購的DeepEdge可以擁有最佳的防御狀態，遠離風險。

另外一點，依托云安全技術的DeepEdge，在產品上的融合特性可以讓學校用最高的性價比、最簡化的策略部署方案實現安全目標。如今，部署在校園網出口的DeepEdge 可有效的過濾進出網絡的流量，預防入侵行為, 過濾網絡威脅, 查殺病毒。我校的管理員還啟用了產品自帶的VPN, 讓外出的教師、到實訓基地的學生也可以通過安全加密的管道存取校內資源。

當安全可以簡單之后

DeepEdge還可以通過虛擬補丁技術對于學校依然存在的大量WindowsXP系統提供防護，這被事實證明是一項非常實用的功能。從產品的試用期我們就感受到了這個功能的便利之處。當時微軟發布了一個安全公告：2963983，其指出當前所有主流版本的InternetExplorer瀏覽器（IE6~IE11）均存在0-day（零日攻擊）漏洞，這成為第一個會影響Windows XP系統，而不會被修補的漏洞。

當時，由于這個漏洞能導致內存崩潰，使攻擊者能夠在當前用戶賬戶下執行惡意代碼，所以會對運行在教務、總務、財產、財務等學校重要部門中的XP主機造成威脅。但在漏洞公告后的第二天，還在試用階段的DeepEdge就自動接收到了虛擬補丁更新。在無需手工維護大量終端的前提下，信息中心便利用這項技術屏蔽了可能來自于外網的入侵行為。而這也是讓我們第一次把“安全可以更簡單”的想法，落實到了實際工作場景中。

有了成功感，膽子就會更大。在信息中心準備大規模部署虛擬化技術之前，我們查閱了大量的虛擬化安全資料。最終，我們選擇了能夠最緊密整合“VMsafe”API和“VMwarevShieldEndpoint”API技術的趨勢科技DeepSecurity。“無代理”安全防護技術的引用，讓我校在虛擬機大規模部署之前，便避免了許多參考資料中提及的“防毒風暴”問題，同時也是我校實現更簡單、更智能、更主動的網絡安全防護的又一次實踐。