你的位置:首頁 > 案例中心 > 成功案例

用友軟件終端準入控制解決方案

2014/12/23 9:22:15      點擊:

  用友軟件是中國最大的獨立軟件供應商,其研發的ERP軟件市場份額在本土軟件廠商中排名首位。用友集團以軟件產品為核心產品,因此研發部門對于網絡信息安全有著嚴格的規定。用友軟件公司的業務和研發生產需要一個高效和安全穩定運行的信息化網絡系統,以實現客戶端病毒庫自動更新、系統及時分發補丁、集中統一用戶安全策略,保證用戶終端的安全、阻止威脅入侵網絡,從而保證辦公網絡的安全運行。

基于軟件產品對用友的重要戰略意義,研發部門的保密工作非常重要,必須有一套完善的解決方案以保護用友研發的數據。經過詳細考察,H3C公司的EAD解決方案的控制思路與用友不謀而合,從而促成了雙方的合作。

案例規模

12000個信息點

管理需求

    信息安全

  • 限制非法筆記本電腦或非授權用戶接入網絡。
  • 對登錄網絡用戶進行唯一性身份認證,實現一個用戶帳號對應一臺計算機,且與接入網絡端口綁定,避免外來計算機隨意接入研發網絡,杜絕帳戶盜用、PC機盜用。
  • 員工終端受Windows域控制器統一管理,需要實現網絡接入和Windows域的統一認證,即一次用戶登錄,同時完成域認證和網絡認證。

    威脅抵御

在用友辦公和研發網絡中,任何一臺終端的安全狀態(主要是指終端的防病毒能力、補丁級別和系統安全設置),都將直接影響到整個網絡的安全。

  • 需要保證接入網絡的用戶終端沒有感染病毒,且病毒庫得到及時更新。
  • 用戶終端的操作系統,必須及時更新系統補丁。
  • 規范接入網絡的終端必須安裝、運行或禁止安裝、運行其中某些軟件。

    權限控制

  • 員工需要分工明確,各負其職,按角色劃分工作范圍,不同的角色有不同的權利和責任。對于已經接入網絡的用戶,需要規范用戶的網絡行為,不同崗位的員工,其網絡訪問權限必須明確區分,嚴格控制。

解決方案實施

針對用友集團對于終端的安全需求,H3C采用EAD解決方案,提出了解決措施,其網絡拓撲示意圖所示:

應用效果

  • 信息安全控制策略

為了嚴格控制用戶的網絡接入,使用接入層802.1X認證,同時由于用戶終端均加入到Windows域中,采用H3C的802.1X與Windows域統一認證技術,實現網絡接入和Windows域的統一登錄,EAD安全策略服務器系統負責同步域控制器中的用戶信息。

根據用友提出的安全需求,在用戶接入安全策略方面,設置了用戶認證綁定用戶MAC、接入設備IP、端口等信息,并限制所有用戶必須使用DHCP方式分配IP地址,有效防止了IP地址沖突。

  • 威脅抵御管理

在網絡中專門劃分出隔離區域,防病毒軟件服務器、DHCP服務器均放置在網絡隔離區中。

用友使用趨勢的Office Scan8網絡版,由中心服務器負責防病毒客戶端的版本升級和病毒庫定義的定期更新。因此H3C iNode智能客戶端在用戶每次登錄時,都強制檢查防病毒軟件的版本和病毒庫版本,確保所有版本均符合策略服務器的要求。

系統補丁采用手工安裝的方式,在EAD安全策略服務器中設置補丁安裝的URL,當終端用戶上網進行安全檢測時,一旦發現補丁狀況不符合要求,即進行隔離并給出下載地址,提示安裝這些補丁才能夠正常上網。

  • 用戶權限控制

員工認證通過后,根據用戶身份,EAD方案授予用戶不同的ACL訪問權限。有效的防止越權訪問資源的發生。通過基于身份的ACL訪問規則控制,可以保證只有研發部門的員工允許訪問關鍵服務器,禁止非法訪問。

EAD安全策略服務器與智能客戶端配合可以對各種外聯或代理進行禁止。無論用戶采用何種方式,包括IE代理、雙網卡以及內網用戶通過Modem上網等都可以進行控制,以上的禁止方式,可以進行靈活選擇,滿足不同組網需要。

用戶評價

“用友公司局域網絡上采用H3C S3600/3000系列接入交換機,配合EAD解決方案,實現了用友研發人員的安全接入控制,滿足了用友對研發區域資源保護和研發人員使用網絡的安全控制,確保了研發資源的安全。

該方案的使用是用友軟件公司的試點工程,它的成功實施為用友在整個研發體系中推廣終端控制解決方案起了良好的示范作用,不僅加強了對網絡終端的集中管理,更能提高其主動防御能力,可大幅度提高網絡整體安全性能。”

美少女梦工厂攻略