案例研究：外研在线

“AWS与Fortinet的良好合作让我们可以轻松的在云上构建起一个经过加固的安全业务环境，它不仅能够应对常规攻击和威胁，还可以提供基于机器学习的能力帮助我们实现异常检测，显著减少误报，让我们可以更有效率的实现安全运营。”

董晋鹏 CTO 北京外研在线数字科技有限公司

北京外研在线数字科技有限公司依托北京外国语大学和外语教学与研究出版社，深度融合优质教学资源与尖端信息技术，打造外语教学在线平台，是外研社数字化转型载体，通过建立内容、软件、硬件和教育培训四轮驱动的商业生态，为高校提供科学、专业、全面的一站式教学支持服务。

北京外研在线数字科技有限公司（以下简称“外研在线”）通过集教、学、评、研、测为一体的线上共同校园“Unipus”，建设现代化高等外语智慧教育体系，以赋能教育为目标，探索线上线下混合式教育模式，通过教材、课程、平台、工具、培训、场景与云七个方面，形成层层递进的完整闭环，创设多方参与的外语教学新生态。外研在线基于对国内外外语教育的研究和优质学术资源，以“7U4i”产品体系为引导，将教材、数据、机器学习分析等结合、应用创新，实现精准化、个性化教学，切实赋能施教者、驱动学习者、提效管理者，构建趋于未来教育教学发展、服务国家未来人才培养的新时代高等外语教育。自成立以来，得益于国家教育信息化趋势、外研社品牌影响力和行业同仁的支持与帮助，已形成完整的产品生态，业务线从内容、软件延伸到硬件和教育培训，已覆盖全国超70%高校、服务1700余万用户。

由于外研在线的主要服务都是通过互联网对外部用户提供，来自互联网的各类安全威胁成为外研在线IT安全运营团队不得不面对的问题。包括教育教学、在线考试、资料分享等场景都有可能面对注入、篡改或挂马等风险，给业务造成极大的安全隐患。如果不能及时的发现和遏制针对核心业务系统的风险，不仅会导致外研在线企业形象的受损，也会产生用户信息泄露或其他的安全事故；此外，外研在线业务比较复杂，有很多复杂的表单提交，还有大视频流的传输，做一套试题，考试，在HTTP头还是内容都有很多需要识别的内容，如何把这些复杂元素结合业务场景准确识别出来是企业需要解决的问题。然而在安全防护方面，外研在线依然面临着严峻的挑战。传统的IPS类安全产品IPS只能防御网络和系统层面的已知漏洞，无法检测针对Web服务和应用的已知和零日攻击。外研在线业务所用到的现代化的Web应用通过API进行交互，为外语教学用户提供更丰富的用户体验，也会产生更多的潜在攻击入口。对于未知漏洞的利用导致检测难度逐渐加大，单靠特征和规则也无法全面满足Web防护需求，误报会导致带来更多的安全运维压力和工作负担。不仅如此，对于合规性要求的日益严格，也要求外研在线和业务系统需要符合包括满足中国网络安全等级保护2.0在内的相关安全评估标准。针对这些情况，外研在线希望借助云平台的能力构建安全的业务系统，并对核心应用进行安全防护。

要构建安全可靠的云上业务环境，外研在线就需要寻找一个可靠的云服务提供商并且采用可信赖的安全解决方案。通过对市场主流解决方案供应商的对比，外研在线选择了基于Amazon Web Services (AWS)部署业务平台，并在云上采用AWS合作伙伴Fortinet提供的一系列安全解决方案为业务提供保护：线上培训业务、官网、对学生和老师的前端是FortiWeb保护的；不同业务靠子域名区分，用了内容路由来针对性保护；使用了2台FortiGate-VM08 NGFW、4台FortiWeb-VM04；入站流量在ALB做了证书卸载，FortiWeb做的后端服务LB；灰度测试系统和生产系统的流量都引到了安全subnet进行处理和仿真测试。在外研在线看来，AWS与Fortinet结合的方案具有以下几方面的突出优势：

• 紧密的合作关系提供简易且快速的部署

AWS通过Marketplace为用户提供了一个数字化的目录，收录了来自独立软件供应商的数千种软件产品，可让外研在线轻松查找、测试、购买并部署来自于AWS合作伙伴的各类软件。通过这种方式，外研在线更加容易的在云上用更短的时间构建一个测试环境，用来评估AWS基础设施服务和Fortinet安全解决方案的能力与功能。IT团队只需数分钟就能够启动预配置的软件环境，在虚拟设备上获得与传统硬件安全设备相同的功能，并且云的成本更低，也无需企业有支付昂贵的前期成本。

• 在AWS上为工作负载提供专业安全保护

作为AWS的合作伙伴，Fortinet的安全解决方案能够与AWS云上基础架构充分整合，为AWS上的工作负载提供保护。
Fortinet的安全解决方案提供了包括下一代防火墙和Web应用防火墙（WAF）在内的全面且深入的安全防护。FortiGate下一代防火墙提供了包括入侵防御、防恶意软件、应用识别和控制等在内的领先的安全保护功能，集成了FortiGuard实验室威胁情报服务，以高性能、高威胁检测率为外研在线的云环境提供了全面的威胁防御。FortiGate所提供的网络和安全可视化界面大大降低了安全运维的复杂度。FortiWeb 的多层关联方法，结合 FortiGuard Labs 的 Web 应用安全服务，保护了外研在线的Web业务免遭 OWASP 十大安全攻击、最新应用程序漏洞、僵尸网络以及其他诸多威胁。

• 基于机器学习提供更好的威胁检测能力

AWS上的FortiWeb 基于人工智能的机器学习解决了正确的和错误的威胁检测误报，因此外研在线的IT安全运营团队无需繁琐地管理白名单和微调威胁检测策略。双层机器学习引擎具有接近100％的准确度，可以检测异常，然后判断它们是否真的是威胁，这一点与那些对所有异常都加以阻断而不考虑其意图的其它方法有所不同。与包括用户跟踪、设备指纹识别和威胁权衡等其他工具结合使用时，FortiWeb 几乎可以帮助外研在线消除所有误报场景。AWS上的FortiWeb通过机器学习标记异常后，外研在线的IT安全团队在采取进一步防御动作之前可以快速准确的确定威胁是否成立，确保关键应用程序和事务不会中断，而无需标记和阻止每个异常。除了极大降低误报外，FortiWeb机器学习引擎还能够显著减少漏报带来的风险。

通过在AWS上构建业务平台并采用AWS合作伙伴Fortinet提供的网络安全解决方案，外研在线在业务和安全方面取得了诸多收益，这些收益包括：

得益于Fortinet与AWS的良好合作关系，外研在线可以通过AWS Marketplace快速的获得包括FortGate下一代防火墙和FortiWeb Web应用防火墙在内的安全解决方案和相关许可证，并根据业务的需求灵活的选择Amazon Elastic Compute Cloud (Amazon EC2)实例的规格进行部署。与传统部署方法相比，通过AWS Marketplace和Amazon EC2方式只需几分钟就可以在AWS上完成Fortinet安全解决方案虚拟设备的部署，并且同时获得来自AWS与Fortinet的技术支持和服务，让外研在线能够以更具成本效益的方式构建安全的云上业务环境。

通过参考AWS安全责任共担模型以及来自于AWS技术团队和AWS合作伙伴Fortinet安全团队所提供的最佳实践建议，外研在线基于AWS所提供的安全基础设施与服务，整合Fortinet安全解决方案，以实现业务系统的安全为目标，加固业务系统以满足中国网络安全等级保护2.0的要求。“在等保评测的过程中，在合规性与技术层面上，AWS与合作伙伴Fortinet都提供了有价值的建议和参考，让我们可以顺利的通过等保三级的认证，以更加合规安全的方式在线开展业务。”外研在线 CTO 董晋鹏谈到。

在业务安全方面，通过使用FortiGate虚拟防火墙进行多重威胁安全管理和使用FortiWeb为Web应用提供防护，外研在线为AWS云环境中部署的业务应用构建起了多层次的防护体系，从而可以更加及时的应对安全威胁。“AWS上的Fortinet安全方案每天都能够帮助我们抵御数千次的安全威胁。从业务角度看，每一个误报都会让一个学生或老师打不开网站，FortiWeb 基于人工智能的机器学习的机制有效的避免了漏报或误报的产生，误报率在万分之一水平，让我们的IT运营团队可以更加专注于关键业务平台的安全工作上。” 外研在线 CTO 董晋鹏说，“我们也能够通过AWS上的Fortinet所生成详细的报告更全面的掌握威胁的细节并即时做出响应。”

外研在线面临典型的高新建、高并发、高吞吐的三高场景，对安全设备的压力是很大的，在这种情况下，能做到每天能检测到数千次攻击，万分之一误报率，为客户提供了极高的安全效能与很好的客户体验，实现了安全和体验的良好平衡。

展望未来，外研在线将基于现有业务系统在AWS上成功部署的经验，将更多的业务迁移至AWS云平台，并将继续与AWS合作伙伴Fortinet保持合作，基于Fortinet的安全解决方案为业务系统的安全提供长期的安全加固支持，让更多的用户可以在安全可靠的环境中获得高效的数字化外语教育服务。