用友軟件是中國最大的獨立軟件供應(yīng)商，其研發(fā)的ERP軟件市場份額在本土軟件廠商中排名首位。用友集團以軟件產(chǎn)品為核心產(chǎn)品，因此研發(fā)部門對于網(wǎng)絡(luò)信息安全有著嚴格的規(guī)定。用友軟件公司的業(yè)務(wù)和研發(fā)生產(chǎn)需要一個高效和安全穩(wěn)定運行的信息化網(wǎng)絡(luò)系統(tǒng)，以實現(xiàn)客戶端病毒庫自動更新、系統(tǒng)及時分發(fā)補丁、集中統(tǒng)一用戶安全策略，保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，從而保證辦公網(wǎng)絡(luò)的安全運行。

　　基于軟件產(chǎn)品對用友的重要戰(zhàn)略意義，研發(fā)部門的保密工作非常重要，必須有一套完善的解決方案以保護用友研發(fā)的數(shù)據(jù)。經(jīng)過詳細考察，H3C公司的EAD解決方案的控制思路與用友不謀而合，從而促成了雙方的合作。

　　案例規(guī)模

　　共12000個信息點

　　管理需求

• 信息安全

　　限制非法筆記本電腦或非授權(quán)用戶接入網(wǎng)絡(luò)。

　　對登錄網(wǎng)絡(luò)用戶進行唯一性身份認證，實現(xiàn)一個用戶帳號對應(yīng)一臺計算機，且與接入網(wǎng)絡(luò)端口綁定，避免外來計算機隨意接入研發(fā)網(wǎng)絡(luò)，杜絕帳戶盜用、PC機盜用。

　　員工終端受Windows域控制器統(tǒng)一管理，需要實現(xiàn)網(wǎng)絡(luò)接入和Windows域的統(tǒng)一認證，即一次用戶登錄，同時完成域認證和網(wǎng)絡(luò)認證。

• 威脅抵御

　　在用友辦公和研發(fā)網(wǎng)絡(luò)中，任何一臺終端的安全狀態(tài)（主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設(shè)置），都將直接影響到整個網(wǎng)絡(luò)的安全。

　　需要保證接入網(wǎng)絡(luò)的用戶終端沒有感染病毒，且病毒庫得到及時更新。
　　用戶終端的操作系統(tǒng)，必須及時更新系統(tǒng)補丁。
　　規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運行或禁止安裝、運行其中某些軟件。

• 權(quán)限控制

　　員工需要分工明確，各負其職，按角色劃分工作范圍，不同的角色有不同的權(quán)利和責(zé)任。對于已經(jīng)接入網(wǎng)絡(luò)的用戶，需要規(guī)范用戶的網(wǎng)絡(luò)行為，不同崗位的員工，其網(wǎng)絡(luò)訪問權(quán)限必須明確區(qū)分，嚴格控制。

　　解決方案實施

　　針對用友集團對于終端的安全需求，H3C采用EAD解決方案，提出了解決措施，其網(wǎng)絡(luò)拓撲示意圖所示：

　　應(yīng)用效果

• 信息安全控制策略

　　為了嚴格控制用戶的網(wǎng)絡(luò)接入，使用接入層802.1X認證，同時由于用戶終端均加入到Windows域中，采用H3C的802.1X與Windows域統(tǒng)一認證技術(shù)，實現(xiàn)網(wǎng)絡(luò)接入和Windows域的統(tǒng)一登錄，EAD安全策略服務(wù)器系統(tǒng)負責(zé)同步域控制器中的用戶信息。

　　根據(jù)用友提出的安全需求，在用戶接入安全策略方面，設(shè)置了用戶認證綁定用戶MAC、接入設(shè)備IP、端口等信息，并限制所有用戶必須使用DHCP方式分配IP地址，有效防止了IP地址沖突。

• 威脅抵御管理

　　在網(wǎng)絡(luò)中專門劃分出隔離區(qū)域，防病毒軟件服務(wù)器、DHCP服務(wù)器均放置在網(wǎng)絡(luò)隔離區(qū)中。

　　用友使用趨勢的Office Scan8網(wǎng)絡(luò)版，由中心服務(wù)器負責(zé)防病毒客戶端的版本升級和病毒庫定義的定期更新。因此H3C iNode智能客戶端在用戶每次登錄時，都強制檢查防病毒軟件的版本和病毒庫版本，確保所有版本均符合策略服務(wù)器的要求。

　　系統(tǒng)補丁采用手工安裝的方式，在EAD安全策略服務(wù)器中設(shè)置補丁安裝的URL，當(dāng)終端用戶上網(wǎng)進行安全檢測時，一旦發(fā)現(xiàn)補丁狀況不符合要求，即進行隔離并給出下載地址，提示安裝這些補丁才能夠正常上網(wǎng)。

• 用戶權(quán)限控制

　　員工認證通過后，根據(jù)用戶身份，EAD方案授予用戶不同的ACL訪問權(quán)限。有效的防止越權(quán)訪問資源的發(fā)生。通過基于身份的ACL訪問規(guī)則控制，可以保證只有研發(fā)部門的員工允許訪問關(guān)鍵服務(wù)器，禁止非法訪問。

　　EAD安全策略服務(wù)器與智能客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進行控制，以上的禁止方式，可以進行靈活選擇，滿足不同組網(wǎng)需要。

　　用戶評價

　　“用友公司局域網(wǎng)絡(luò)上采用H3C S3600/3000系列接入交換機，配合EAD解決方案，實現(xiàn)了用友研發(fā)人員的安全接入控制，滿足了用友對研發(fā)區(qū)域資源保護和研發(fā)人員使用網(wǎng)絡(luò)的安全控制，確保了研發(fā)資源的安全。

　　該方案的使用是用友軟件公司的試點工程，它的成功實施為用友在整個研發(fā)體系中推廣終端控制解決方案起了良好的示范作用，不僅加強了對網(wǎng)絡(luò)終端的集中管理，更能提高其主動防御能力，可大幅度提高網(wǎng)絡(luò)整體安全性能。”