用友软件是中国最大的独立软件供应商,其研发的ERP软件市场份额在本土软件厂商中排名首位。用友集团以软件产品为核心产品,因此研发部门对于网络信息安全有着严格的规定。用友软件公司的业务和研发生产需要一个高效和安全稳定运行的信息化网络系统,以实现客户端病毒库自动更新、系统及时分发补丁、集中统一用户安全策略,保证用户终端的安全、阻止威胁入侵网络,从而保证办公网络的安全运行。
基于软件产品对用友的重要战略意义,研发部门的保密工作非常重要,必须有一套完善的解决方案以保护用友研发的数据。经过详细考察,H3C公司的EAD解决方案的控制思路与用友不谋而合,从而促成了双方的合作。
案例规模
共12000个信息点
管理需求
- 信息安全
限制非法笔记本电脑或非授权用户接入网络。
对登录网络用户进行唯一性身份认证,实现一个用户帐号对应一台计算机,且与接入网络端口绑定,避免外来计算机随意接入研发网络,杜绝帐户盗用、PC机盗用。
员工终端受Windows域控制器统一管理,需要实现网络接入和Windows域的统一认证,即一次用户登录,同时完成域认证和网络认证。
- 威胁抵御
在用友办公和研发网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。
需要保证接入网络的用户终端没有感染病毒,且病毒库得到及时更新。
用户终端的操作系统,必须及时更新系统补丁。
规范接入网络的终端必须安装、运行或禁止安装、运行其中某些软件。
- 权限控制
员工需要分工明确,各负其职,按角色划分工作范围,不同的角色有不同的权利和责任。对于已经接入网络的用户,需要规范用户的网络行为,不同岗位的员工,其网络访问权限必须明确区分,严格控制。
解决方案实施
针对用友集团对于终端的安全需求,H3C采用EAD解决方案,提出了解决措施,其网络拓扑示意图所示:
应用效果
- 信息安全控制策略
为了严格控制用户的网络接入,使用接入层802.1X认证,同时由于用户终端均加入到Windows域中,采用H3C的802.1X与Windows域统一认证技术,实现网络接入和Windows域的统一登录,EAD安全策略服务器系统负责同步域控制器中的用户信息。
根据用友提出的安全需求,在用户接入安全策略方面,设置了用户认证绑定用户MAC、接入设备IP、端口等信息,并限制所有用户必须使用DHCP方式分配IP地址,有效防止了IP地址冲突。
- 威胁抵御管理
在网络中专门划分出隔离区域,防病毒软件服务器、DHCP服务器均放置在网络隔离区中。
用友使用趋势的Office Scan8网络版,由中心服务器负责防病毒客户端的版本升级和病毒库定义的定期更新。因此H3C iNode智能客户端在用户每次登录时,都强制检查防病毒软件的版本和病毒库版本,确保所有版本均符合策略服务器的要求。
系统补丁采用手工安装的方式,在EAD安全策略服务器中设置补丁安装的URL,当终端用户上网进行安全检测时,一旦发现补丁状况不符合要求,即进行隔离并给出下载地址,提示安装这些补丁才能够正常上网。
- 用户权限控制
员工认证通过后,根据用户身份,EAD方案授予用户不同的ACL访问权限。有效的防止越权访问资源的发生。通过基于身份的ACL访问规则控制,可以保证只有研发部门的员工允许访问关键服务器,禁止非法访问。
EAD安全策略服务器与智能客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,以上的禁止方式,可以进行灵活选择,满足不同组网需要。
用户评价
“用友公司局域网络上采用H3C S3600/3000系列接入交换机,配合EAD解决方案,实现了用友研发人员的安全接入控制,满足了用友对研发区域资源保护和研发人员使用网络的安全控制,确保了研发资源的安全。
该方案的使用是用友软件公司的试点工程,它的成功实施为用友在整个研发体系中推广终端控制解决方案起了良好的示范作用,不仅加强了对网络终端的集中管理,更能提高其主动防御能力,可大幅度提高网络整体安全性能。”
