21世纪初，某人力资源科技公司试水HR SaaS赛道，以大客户为目标客群，持续深耕，稳扎稳打，如今已是一家专门为中大型企业提供一体化HR SaaS及人才管理产品/解决方案的头部企业。其产品覆盖了从员工招募、入职、管理到离职的全生命周期，让企业实现了人才数字化管理，人力资源管理效率和人才管理能力得以快速提升。

历经二十余年发展，该公司业务辐射全国，分支机构多达20家，员工总数超2500人。

VPN、堡垒机需满足安全和审计双重要求

该公司业务遍布全国，各地员工必须借助VPN才能访问公司内部应用资源，VPN通过加密办公时发送和接收的数据来保障信息安全，防止黑客入侵企业数据或通信。“由于传统静态密码因其弱密码问题具有很大的安全隐患，”该企业的安全部门负责人说，“为了保护企业网络更安全，公司需要对VPN进行身份认证加固。”

除此之外，堡垒机内部保存着企业所有的设备资产和权限关系，是企业内部信息安全的重要一环。因此，除了VPN外，该公司对堡垒机也有加强登录账号密码安全认证及登录审计的要求。

针对堡垒机这块，公司起初选择了开源的Google身份验证器Google Authenticator进行双因子认证，在静态账号密码的基础上增加一层动态口令（OTP）防护，提升账号登录安全。“虽然通过谷歌令牌暂时解决了双因子认证的问题，”安全负责人继续说道，“但令牌是开源的，没有厂商维护，出了问题都需要自己处理。另外，随着业务不断扩大，总有些应用谷歌令牌无法兼容。”

近三年该公司收入同比增速超20%，正在筹备上市。公司不断发展的同时也面临着密码合规性的问题，该公司每天需要处理上亿条数据，对安全审计的要求可谓是重中之重。而谷歌令牌作为开源的令牌，无法满足国家等保相关的要求。

一次契机，和宁盾的缘分就此开始

“为了解决这一问题，我一直关注着优秀的解决方案。”安全负责人说：“一次偶然的机会，在云安全联盟CSA看到宁盾获奖解决方案《宁盾人+端一体化身份方案助力金融企业数字化转型》，因此和宁盾结缘。”

该企业和宁盾同为CSA云安全联盟的成员，CSA云安全联盟入会门槛较高，目前，微软、Workday、SAP、Salesforece、华为、奇虎360、阿里云等国内外知名企业都是 CSA 的合作伙伴，而该企业和宁盾同在CSA专家组。在一次CSA颁奖典礼上，客户的安全负责人初步了解到宁盾双因子认证解决方案。他说：“选择合作厂商时，我还是比较谨慎的。经过安全圈多方打听，宁盾十多年来专注于双因子认证领域，产品功能完善，持有国密证书，在行业内的口碑还是不错的，这也是我选择宁盾的重要原因。”

宁盾双因子认证是面向企业全场景的强身份认证产品，满足VPN、堡垒机、Citrix、VMWare View、华为桌面云、OutLook、Oracle数据库、服务器及云服务器等多应用场景登录时的账号安全，支持与微软AD、TDS、OpenLDAP、OpenDJ等多账号源对接。

● 平均无故障时间达到99.9%以上

作为国内领先的HR SaaS及人才管理平台，该公司对SLA服务级别协议有着极高的要求，以确保系统的稳定和可控性。安全负责人说：“我们系统的平均无故障时间（MTBF）可以达到99.9%，所以我们对于合作伙伴的要求是，一定要高于此基准。”

对此，宁盾给客户提供了本地部署的解决方案，每次升级、部署的次数和时间完全由客户自行控制。比如，客户每年护网前升级漏洞补丁，1次半小时左右，全年更新1-2次的话总时长不超过2个小时，远高于99.9%的标准，而且客户可以在业务少的晚间进行更新，灵活性非常高。

●首年低成本，快速上线

在收费模式方面，安全负责人提出：“我们自己就是SaaS订阅模式收费，从财务模型的角度，对于软件我们不倾向于买固定资产。”

这和宁盾的理念一拍即合，区别于传统本地部署软件一次性高收费的模式，宁盾提供按年付费这种灵活的订阅收费模式。对于想要订阅模式的客户，可以首年付较少的金额，快速体验产品。后期通过对宁盾优质的客户服务、不断优化的产品能力的满意程度，再选择是否续费。

●从谷歌令牌到宁盾令牌，平滑过渡

由于客户的堡垒机目前仍在使用谷歌令牌，针对这种现象，基于现有业务，宁盾提供谷歌令牌系统维护接管方案和一次性替代两种解决方案。

方案一：基于现有业务，宁盾为客户提供双因子平滑过渡解决方案，接管谷歌令牌认证服务

需要继续使用第三方认证服务的客户，宁盾可为其提供双因子认证第三方令牌接管服务。通过在原认证系统中嵌入式对接宁盾系统，将企业业务导入宁盾系统，实现账号源、第三方认证系统、宁盾和客户业务场景的一体化对接，负责认证信息的传递和审计。整个过程中，用户处于无感知状态。

新用户、令牌出现故障或服务到期时，可通过绑定宁盾双因子令牌的形式对原动态令牌进行替换，同时宁盾认证服务器取代第三方认证服务器为用户动态口令进行校验和审计。实现第三方双因子认证业务到宁盾双因子认证业务的平滑过渡。采用宁盾双因子认证平滑过渡方案，可减小企业动态口令账号加固整改力度。

方案二：需要一次性替代方案的客户，宁盾提供双因子认证一次性部署方案

通过部署宁盾双因子认证服务器取代原认证服务器，与企业业务系统及账号源服务器对接，并根据员工账号绑定宁盾令牌。实现动态密码登录加固，保障企业账号身份安全。

“由于谷歌令牌主要用于堡垒机，使用的人比较少，”安全负责人反馈道，“而VPN需要针对全公司2500员工新加双因子，综合考虑所有员工的体验后，最终选择一次性替代方案。”

 

员工满意和企业安全，两不误！

现在，宁盾双因子认证产品已经在该公司全面使用，无论是VPN、堡垒机还是应用系统都得到了加固。

●快速部署上线

为了能尽快给客户替换原有的谷歌令牌，满足企业安全和合规的要求。宁盾技术人员专程赶赴客户总部现场完成思科VPN和堡垒机的双因子认证测试和部署。员工手机上安装宁盾令牌APP，可以生成一个随着时间变化的一次性密码，用于帐户验证。员工只有先后正确输入静态密码和动态密码，才能接入公司内网。

“我们通过邮件的形式给每位员工派发宁盾令牌，并告知员工如何激活令牌、如何用令牌登录思科VPN。现在，我们公司2500名员工已经很平滑的切换到使用双因子登录VPN了。”安全负责人说道。

●满足合规性要求

宁盾令牌提供手机APP令牌、短信令牌、邮件令牌、H5令牌、硬件令牌等多种令牌形式，出于等保要求和便捷性考虑，客户选择了手机APP令牌。

“宁盾双因子认证令牌采用国密SM3算法，拥有国密资质，满足等保合规要求。”安全负责人道。

另外，宁盾双因子认证的登录日志可详细记录用户的登录行为及操作行为，一旦发生泄露事件，可快速定位。

“我们将宁盾双因子认证产品用于公司各个业务场景，”安全负责人补充道，“现在，员工登录VPN或堡垒机时都必须使用宁盾令牌进行双重身份验证。”

●产品具有可拓展性

除了针对VPN、堡垒机进行双因子认证加固，安全负责人还提出：“目前公司用的是自己搭建的NPS，针对访客入网没做管理，后期想实现访客的上网管理和审计。”

宁盾有线无线认证通过802.1X认证或Portal上网认证方式对员工、访客、外包等不同角色提供接入网络的身份认证，确保企业办公网络接入的安全。目前，客户正在测试短信、员工协助扫码、邮件自服务等方案。

“宁盾可能具有的每一个功能，我们都在使用或考虑使用，”安全负责人总结道。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）