提升网络自防御 让安全更简单

日期:2015-1-14作者:陈晓峰来源:趋势科技

如今,教育信息化已跨入移动互联、云计算、大数据相融的“智慧教育”时代,网络已经成为了教育改革创新的利器。然而,黑客与恶意代码的攻击不会因为教育行业的特殊性而心生怜悯。

为了全面提升网络安全管理的整体能力,缓解校园网管理员和信息技术教师的工作压力,给师生提供一个健康向上的网络环境,福建经济学校利用趋势科技的应用安全网关Deep Edge 构建了互联网“过滤网”,并采用服务器深度安全防护系统Deep Security,为虚拟化应用在教育领域搭建了“安全样板”。

Web威胁:破坏校园网宁静的罪魁祸首

作为国家级重点中等职业学校,我校已经有近50年的历史,庞大的师生队伍由5045名全日制中职学生、1100多名成人高等教育学生,以及370名教职工队伍构成。为了帮助每个学生找到适合自己的教育,我校师生正寻找着变革的力量,并用信息技术促进着目标的达成。

为实现学校教育的跨越式发展,我校充分把握了教育信息化创新的历史机遇,把加快学校网络建设与应用发展作为突破口,以资源建设和信息技术与教学融合为中心,以机制建设和应用培训为保障,让信息化渐渐成为了最有力的教育工具。然而,在移动互联网、虚拟化、云计算,以及数字校园和智慧课堂应用不断融入,我校信息化进入“跨越式”发展阶段之后,不可避免的遇到了各类网络威胁的困扰。

过去几年之中,蠕虫病毒、钓鱼网站、基于漏洞的攻击代码不断地被发现,其增长率持续攀高,其中,Web威胁已经成为学校网络安全最难防范的敌人。为保障学校网络和教育教学系统的可靠运行,我校信息中心在全网统一部署了边界防火墙,并要求每个终端必须安全防病毒软件,这使得我校具备了初步的网络安全防范能力。但是随着混合型威胁的出现,这些网络层的安全防护并不能解决病毒入侵到终端的问题,以Web应用为寄居环境的新病毒还是不断通过网络浏览、下载、即时通讯、电子邮件等方式侵入网络,严重影响了正常的教育教学秩序。

终端安全重在“入口” 安全能否简单?

通过调查,我们发现,包括我校在内的大部分教育行业用户,都还在使用传统的网络安全体系,这主要是指:“防病毒系统+防火墙”的方案,但这根本无法抵御Web威胁进入网络。另外,网络威胁的变化也是“传统安全设备+人工排查”永远跟不上的。新的攻击随时可能发生,而这些威胁中的90%都来自于并不可信Internet。与此同时,由于缺乏专家级的网络安全技能,信息中心工作人员的脑力和体力都会被大量的终端防毒工作蚕食殆尽,无力维新。

网络安全人员对于安全漏洞、病毒的出现早已司空见惯,那么,是让病毒进入到网络之后再进行绞杀?还是将病毒斩杀在入口处,建造一个相对安全性更高、管理更简单的内网呢?

在重新思考这个问题之后,我校选择了后者,这是因为将病毒斩杀在入口能在更大程度上降低病毒对网络的破坏。可是,在随后的采购阶段,又一道难题挡住了项目进度。

市面上的安全产品很多,但却各负其责,如果需要所有的防护功能,就需要购置多台设备。虽然这是许多大企业构建安全架构的做法,但这种堆叠式的组网方式缺点也不少。首先,在实现防毒网关、防垃圾邮件,入侵检测、Web应用防护等安全工作时,我们只能针对每个弱点,相对应的购买设备,中职学校难以承当过高的购买费和后期的服务费。其次,单独运作的防火墙、垃圾邮件网关、防病毒网关、IPS、IDS等过滤和检测产品,对系统管理员的管理工作和设备控制技能提出了很高的要求。如果某个中间环节的设备出现故障,或是安全策略不一致,就会将“木桶效应”理论中的短板带到现实中。

带着“安全可以更简单”的思考,我们考察了市场上的多功能安全网关。其中,趋势科技Deep Edge 应用安全网关进入了试用队列,并最终以其同时加强与简化网关安全的设计理念,成为了我校的网络安全升级项目的重要产品。

云安全是实现简单的重要条件

一次次的病毒感染事件正在发生,这让我们意识到,网络防御体系不但需要功能丰富的安全产品,更需要主动性的防毒架构来承载。而趋势科技利用了强大的云安全平台,以及Web信誉评估技术,可以避免终端接触到病毒源头,这样的防护设计思路才是我们想要的。同时,趋势科技Smart Protection Network也是业内第一个运用大数据分析来获得威胁情报的网络,这确保了我们采购的Deep Edge可以拥有最佳的防御状态,远离风险。

另外一点,依托云安全技术的Deep Edge,在产品上的融合特性可以让学校用最高的性价比、最简化的策略部署方案实现安全目标。如今,部署在校园网出口的 Deep Edge 可有效的过滤进出网络的流量,预防入侵行为, 过滤网络威胁, 查杀病毒。我校的管理员还启用了产品自带的VPN, 让外出的教师、到实训基地的学生也可以通过安全加密的管道存取校内资源。

当安全可以简单之后

Deep Edge还可以通过虚拟补丁技术对于学校依然存在的大量Windows XP系统提供防护,这被事实证明是一项非常实用的功能。从产品的试用期我们就感受到了这个功能的便利之处。当时微软发布了一个安全公告:2963983,其指出当前所有主流版本的Internet Explorer浏览器(IE6~IE11)均存在0-day(零日攻击)漏洞,这成为第一个会影响Windows XP系统,而不会被修补的漏洞。

当时,由于这个漏洞能导致内存崩溃,使攻击者能够在当前用户账户下执行恶意代码,所以会对运行在教务、总务、财产、财务等学校重要部门中的XP主机造成威胁。但在漏洞公告后的第二天,还在试用阶段的Deep Edge就自动接收到了虚拟补丁更新。在无需手工维护大量终端的前提下,信息中心便利用这项技术屏蔽了可能来自于外网的入侵行为。而这也是让我们第一次把“安全可以更简单”的想法,落实到了实际工作场景中。

有了成功感,胆子就会更大。在信息中心准备大规模部署虚拟化技术之前,我们查阅了大量的虚拟化安全资料。最终,我们选择了能够最紧密整合“VMsafe”API和“VMware vShield Endpoint”API技术的趋势科技Deep Security。“无代理”安全防护技术的引用,让我校在虚拟机大规模部署之前,便避免了许多参考资料中提及的“防毒风暴”问题, 同时也是我校实现更简单、更智能、更主动的网络安全防护的又一次实践。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

陈晓峰
陈晓峰

福建经济学校信息中心主任

Web应用安全/Web访问控制>更多

相关推荐

  • APT团伙是如何利用Windows热修复的?

    高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?

  • 如何检测flash堆喷射攻击?

    近来利用“use-after-free”IE零日漏洞的攻击似乎凸显了flash堆喷射(heap spray)检测的重要性。为什么攻击者利用这种技术?研究人员又应该如何检测堆喷射(heap spray)?

  • 趋势科技为中国移动手机动漫基地撑起互联网“保护伞”

    中国移动手机动漫基地应用了基于趋势科技Web信誉评估技术的安全网关——IWSA 10000,利用云安全技术成功防范了来自互联网的Web威胁。

  • 拒绝阿喀琉斯之踵系列之二:WAF挡住Web威胁

    Web服务器是必经的大门,Web开发的团队技术实力的参差不齐,并非都是“专业型”的高手,编程不规范、安全意识不强,导致为黑客大开方便之门。如何挡住Web威胁呢?

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心