加強身份鑒别，甯盾雙因素認證提升步長制藥遠端辦公賬号安全

客戶介紹

步長制藥成立于2001年，2016年上市，是一家以專利中成藥為核心，緻力于中藥現代化的中藥專利處方藥龍頭企業，中國制藥企業十佳品牌。經過多年發展，步長制藥在心腦血管、婦科用藥、糖尿病及惡性良性腫瘤領域、兒科、泌尿消化等方面均有産品覆寫，在市場上形成核心競争力。

步長制藥擁有員工萬餘人，在山東、陝西、河北設有生産基地，同時在北京、上海、廣東設有分公司，分支機構遍布中國主要省份。2018年9月，步長正式從營銷型驅動向産品驅動、向科技型公司轉型；由中成藥向生物藥、化藥、醫療器械、網際網路醫藥等全産業轉型；由中國本土化向全球化轉型，穩步實作生物制藥戰略規劃。

背景與挑戰

網際網路的快速發展和資訊技術的日益蝶變，使得工作模式更加多元化。分支結構逐年增多，遠端辦公成為企業剛需。步長制藥作為科技企業，遠端辦公已在企業内部得到普及，作為遠端辦公常用技術——VPN幾乎是步長制藥員工必備的辦公應用。步長制藥采用華為USG系列防火牆，配置VPN幫助員工擺脫了辦公的時間和空間的束縛，快速通路總部内網資源。但另一方面又容易導緻資訊洩露問題，為企業數字資産帶來安全隐患和管理挑戰。

• 弱密碼存在安全隐患

員工使用AD域賬号密碼登入VPN時一直都是采用單一靜态密碼來驗證賬号，不少員工的密碼設定得過于簡單，甚至是使用初始密碼。這些弱密碼一旦被不法分子破解，将威脅企業内部海量的資訊資料安全。

• 賬号管理成本高

為防止VPN賬号資訊洩露，步長制藥有時會強制要求員工定期修改登入密碼，但這樣做又給員工及IT運維人員帶來許多麻煩。另外，企業内部員工流動性大，如果沒有及時當機VPN賬号，離職員工仍然有合法通路權限，是以額外增加了IT部門的賬号回收管理成本。

為實作對VPN賬号的集中管控，確定員工遠端辦公安全通路，加強身份認證，降低IT運維管理成本，步長制藥IT管理部門向外尋求解決方案。

解決方案

甯盾了解到步長制藥的需求後，提供了雙因素認證方案，通過建構使用者統一身份管理體系，幫助企業加強員工身份鑒别，實作統一的身份識别與通路控制管理，保障遠端辦公賬号密碼安全。

甯盾雙因素認證是一套軟體系統，部署在企業伺服器上，提供動态密碼生成、認證和審計功能，将動态密碼與原有賬号密碼認證結合，實作雙因子認證保障。在該項目中，甯盾為步長制藥華為USG系列防火牆提供手機APP令牌認證方式，對接企業AD使用者源，滿足企業通過VPN遠端辦公場景需求。

認證流程：

（示意圖）

甯盾雙因素認證伺服器由認證伺服器及動态令牌兩部分組成。認證伺服器與動态令牌之間通過“令牌種子”進行關聯，“令牌種子”與時鐘通過國家密碼雜湊算法（SM3）生成“動态密碼”。當使用者登入認證時，輸入賬号和動态令牌密碼并将其送出至認證伺服器，認證伺服器将其與伺服器内動态密碼對比，通過驗證後使用者方才完成登入。

方案優勢

• 業界領先的異構能力。甯盾雙因素認證産品相容不同廠商、不同類型、不同配置的裝置，應用于移動辦公入口安全（VPN、虛拟桌面）、業務系統賬号安全（office365、outlook）、網絡接入賬号安全、資料中心基礎設施賬号安全等四大核心場景；
• 與業務無縫銜接。5種令牌派發激活方式（手動綁定；郵件、短信批量派發；自主掃碼；自服務平台掃碼）；分鐘級上線，根據業務需求逐漸推進；
• 支援多種使用者源。支援本地使用者源及外部使用者源。如企業沒有身份目錄設施，可在甯盾平台内建立和管理使用者；若企業采用的是AD、LDAP、OPENDJ、企業微信、飛書、釘釘等使用者源，則甯盾支援通過相應協定讀取資料。滿足不同類型企業的靈活需求。

客戶收益

• 雙重認證，保障企業賬号安全。步長制藥員工原有的靜态密碼隻能對VPN使用者身份的真實性進行低級别認證，甯盾雙因素認證在靜态密碼之上增加一層動态密碼認證，對身份進行二次鑒别，以此提升VPN使用者登入認證安全，解決弱身份鑒别可能引發的資訊洩漏隐患，提升企業賬号安全。
• 集中審計，實名追溯。甯盾雙因素認證系統能夠詳盡記錄使用者登入日志，發生安全事件時可及時定位到個人，做到使用者認證可審計，滿足了藥企的等保要求。
• 簡化管理，優化體驗。甯盾雙因素認證系統減少了VPN靜态密碼定期強制更改的麻煩，節約了企業賬号管理成本；同時也簡化了移動安全接入程式，優化使用者體驗，滿足使用者對易用性的訴求，讓移動辦公更安全、更便捷。