一、客户介绍

齐鲁制药，是中国大型综合性现代制药企业，中国医药工业百强企业，专业从事治疗肿瘤、心脑血管、抗感染、精神系统、神经系统、眼科疾病的制剂及其原料药的研制、生产与销售。齐鲁制药销售总公司是齐鲁制药集团下设分公司之一，全权负责齐鲁制药集团生产的所有人用制剂产品在国内市场的营销工作，销售网络遍布全国。

二、项目背景

随着互联网的飞速发展，云计算、大数据等新技术的广泛使用，制药企业作为高合规性的特殊行业，也在积极利用信息化和自动化手段提升企业生产安全基线。在本案例中，齐鲁制药销售总公司为便于移动化办公，并对桌面系统统一管理，防止数据泄露，采用Citrix桌面虚拟化（即云桌面）进行办公，员工在内外网环境下借助Citrix Netscaler 云桌面访问企业内部资源，极大提高了销售人员在外出差时的办公效率与安全。但企业面临的问题是：登录Citrix云桌面时仅有静态密码验证，弱口令削弱了员工账号安全。

企业使用Citrix Netscaler云桌面的问题分析：

• 当员工采用域账号密码登录时，密码设置过于简单易被破解，引起信息泄露；
• 要求员工定期修改密码导致密码混淆或过于复杂而忘记密码，增加了IT运维人员的工作量，也容易引发员工不满。

三、项目目标

1. 提升Citrix Netscaler用户登录安全，消除弱身份鉴别带来的潜在信息泄露风险；
2. 符合国家安全密码国产化要求；
3. 实现登录信息的实时监控及审计，明细职责，降低非法访问的安全风险；
4. 双机热备，不影响企业业务系统正常运行；
5. 实现业务系统登录的统一管理及运维，降低管理成本。

四、宁盾解决方案

宁盾双因素认证在Citrix Netscaler云桌面原有静态密码认证基础上增加二次身份认证，通过提供OTP（One Time Password，一次性密码）进行验证，实现双因素身份认证，提升账号安全性，实现用户登录认证审计。

齐鲁制药销售总公司一期、二期约4000人均采用了宁盾手机APP令牌形式的动态密码。手机APP令牌是基于时间的动态密码，每60秒随机生成一个独一无二的动态码，宁盾双因素认证服务器能够验证这个动态码是否有效。除此之外，宁盾双因素认证还有短信令牌、邮件令牌、企业微信/飞书/钉钉H5令牌等多种形式。

宁盾双因素认证服务器负责动态密码生成及验证，同时无缝支持AD/LDAP/ACS等账号源，接管Citrix Netscaler账号的静态密码认证工作。通过在Citrix Netscaler配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。员工打开Citrix Netscaler云桌面进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

五、认证流程

Citrix Netscaler与宁盾双因素认证流程（多步认证）

1. 用户在Receiver提供的登录界面上输入用户名和密码，Netscaler通过Radius协议将账号和加密后的口令提交给DKEY AM进行认证。
2. 静态密码认证通过，DKEY AM通过Radius协议通知Netscaler弹出二级认证窗口。用户输入宁盾动态密码（令牌产生/短信接收方式）并提交至DKEY AM进行鉴权。鉴权通过，Citrix Netscaler双因素认证成功。

实现效果如下：

AD域账号+静态密码+动态密码=成功登录

AD域账号+静态密码认证：

弹出动态密码输入框，输入动态密码进行认证：

认证成功，登录进界面：

详细登录日志：

六、客户收益

• 账号双重保护：宁盾双因素认证在Citrix Netscaler原有账号密码认证基础之上增加一层动态密码认证，以此提升Citrix Netscaler用户登录认证安全，消除弱身份鉴别可能引发的信息泄漏隐患；
• 实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足等保合规要求；
• 简化管理：减少Citrix Netscaler静态密码定期强制更改给用户及IT运维人员带来的繁琐，同时节约Citrix Netscaler账号管理成本；
• 安全可靠：宁盾双因素认证令牌采用国密SM3算法，拥有国密、商密资质，符合国产安全密码要求；
• 双机热备部署。若动态令牌出现问题，可通过策略临时关闭动态密码认证，保证员工可以通过AD域账号密码进行认证。若认证系统出现问题，因业务端radius认证具有BYPASS功能，当第三方认证服务器失去连接后，自动走本地账号校验。保障业务系统不受影响。