摘要：

结合宁盾国密OTP动态令牌为天融信堡垒机登录开启双因子身份认证机制，能有效增强运维人员的账号安全，满足等保合规要求。

天融信运维安全审计系统（简称“堡垒机”）是面向政府、企事业单位等组织机构推出的兼具运维管理和合规审计的解决方案。天融信堡垒机集账号管理、授权管理、认证管理和综合审计等功能于一体，监控和记录运维人员（包括外包人员）对网络内的服务器、虚拟机、网络设备、安全设备、数据库等设备的操作行为，形成事前防范、事中控制、事后追溯的安全机制，避免误操作和非授权操作带来的隐患。

但在登录堡垒机时，仅需使用用户名和密码进行认证，有可能因弱口令（弱密码）问题引发攻击事件。因此，为了加固堡垒机登录账号安全，满足等保合规要求，企业通常会采用RADIUS认证开启国密OTP动态令牌二次身份验证，以实现双因子身份认证。

在堡垒机登录环节开启国密OTP动态令牌二次认证，双重保障账号安全性，还能防止账号共用、密码共享、密码泄露等问题，一旦发生安全事件，也能及时定位追责，降低影响及安全威胁。

国密OTP动态令牌是指采用国密算法，获得国家密码管理局颁发的《商用密码产品认证证书》的双因素认证产品。在等保2.0中要求组织机构应采用有国密资质的产品/技术来加强重要系统、设备登录时的身份鉴别和访问管理。

天融信堡垒机启用国密OTP动态令牌流程

为堡垒机配置RADIUS认证相关参数，如宁盾双因子身份认证服务器地址、端口后，在宁盾DKEY AM 平台为指定组/部门/人员开启动态密码认证，派发令牌。运维人员在登录堡垒机时就需要凭借用户名和静态密码、动态令牌中的随机6位数密码进行身份验证，校验成功后才能成功登录。

方案价值：

• 账号双重保护：宁盾国密OTP动态令牌在堡垒机原有账号密码认证基础之上增加一层动态口令认证，以此提升堡垒机用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；
• 多种认证方式：手机令牌、邮件令牌、短信令牌、硬件令牌、H5令牌等多种动态密码形式各有优势，客户可根据需求自由选择，也可以多种组合；
• 与现有系统无缝集成：可与AD、LDAP等标准账号源结合，同时也支持与企业微信、飞书、钉钉等账号源集成，提供堡垒机的双因素认证服务；
• 审计日志便于实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；
• 设备兼容性强：支持几乎所有主流品牌堡垒机，包括天融信、绿盟、启明星辰、安恒、江南科友、齐治科技、帕拉迪、思福迪等。