一、两因素认证概述

两因素认证（2FA, Two-Factor Authentication）是一种增强身份验证安全性的机制，其核心思想在于：系统在判断用户合法性时，除了简单地验证“知道因素”（如用户名/密码），还要结合至少一种“持有因素”（如手机动态令牌、硬件密钥）或“生物因素”（如指纹、人脸识别）。典型的两因素认证流程包括：

1. 第一步密码验证：用户输入账号与密码，完成“第一道门”身份核验；

2. 第二步令牌验证：系统向用户发送一次性验证码（SMS、Email、TOTP 应用），或要求用户在硬件安全令牌上按键生成临时密码；

3. 双重校验通过后，方允许登录或执行敏感操作。

相比单纯依赖密码的方式，2FA 可以有效防范密码被泄露后蒙受的风险，阻断黑客利用窃取凭证进行的未授权访问。

二、311 型平台软件架构与身份管理

311 型的控制与监控主要依托其内置的 iCAN 触摸屏界面及可选的远程 Thermo Connect 云平台。两套系统在用户管理与权限控制方面各有侧重：

1. iCAN 本地用户管理

• 支持三级账号角色：管理员（Admin）、操作员（Operator）、访客（Guest）；

• 管理员可在“系统设置 → 用户管理”中新增、修改或删除本地账号；

• 密码策略最低长度 8 位，需包含大小写字母与数字，支持定期强制更换。

2. Thermo Connect 云端账号体系

• 基于 Thermo Connect 平台账号，用户通过 Email 注册并设置密码；

• 平台支持组织（Organization）及项目（Project）双层角色与权限分配，可细化到应用 API、报表导出等操作；

• 用户数据与设备关联需在平台中进行授权绑定，方可访问特定培养箱的实时与历史数据。

这两种身份管理体系在安全策略上与实验室现有 IT 基础设施（如 LDAP、Active Directory）可以通过 API 或单点登录（SSO）进行一定程度的整合，以满足大型机构的统一运维需求。

三、311 型对两因素认证的支持情况

截至目前，311 型在以下两个层面对两因素认证进行了不同程度的支持：

1. Thermo Connect 云平台的 2FA 支持

• 云平台账户登录目前已支持基于 TOTP（Time-Based One-Time Password）的二次验证，用户在“账户设置 → 安全”中可开启 2FA，绑定 Google Authenticator、Authy 等标准OTP 应用；

• 平台亦提供通过 Email 或 SMS 接收一次性验证码的选项，满足无法使用 OTP 应用的场景；

• 开启后，用户登录时除输入密码外，还需填写最新的六位数动态验证码，才能完成登录。

2. iCAN 本地界面的 2FA

• 机载 iCAN 系统目前尚不支持直接在屏幕上进行两因素验证；

• 但在最新版本固件中，可通过与内网的 LDAP/AD 集成，在登录时将密码验证交给企业身份管理系统，由其强制执行 2FA；

• 另一种方案是：iCAN 配置为仅允许使用“单点登录”账号，此账号在企业 SSO 平台上启用了 2FA，从而间接保证本地访问的双因素安全。

综上，Thermo Fisher 在云端平台已原生支持两因素验证；而本地 iCAN 界面则需借助企业级身份管理或待后续固件更新，才可实现全面的 2FA。

四、本地集成两因素认证的实施方法

对于对本地访问安全性要求极高的实验室，可通过以下几种方式为 iCAN 引入 2FA 能力：

1. LDAP/AD 单点登录（SSO）集成

• 在实验室的 Active Directory 中配置 ADFS（Active Directory Federation Services），开放 SAML 2.0 或 OAuth 2.0 接口；

• iCAN 固件更新至支持 LDAP/AD SSO 的版本后，在“用户管理”中输入 AD 服务器地址、证书与域名，即可将登录请求委托给 AD；

• AD 端配置多因素策略（如必须使用 MFA Server、Azure MFA 等），即可实现本地登录也需通过 2FA。

2. 外部 RADIUS 验证服务

• 部署支持 MFA 的 RADIUS 服务器，如 FreeRADIUS 加 Google Authenticator 模块；

• 在 iCAN 的网络配置中，填入 RADIUS 主机、共享密钥及端口，让 iCAN 在本地登录时通过 RADIUS 进行双因素校验；

• 优点在于无需更改 iCAN 固件，仅需企业网络中部署 RADIUS 服务即可。

3. VPN 强制双重认证

• 将培养箱网络隔离至专用 VLAN，只允许经过支持 2FA 的企业 VPN 客户端访问；

• 用户在外部操作 iCAN 界面或远程桌面前，必须先通过 VPN 的两因素身份验证；

• 虽然侧重于网络层，但可有效防止未授权终端直接接入培养箱后台。

五、云平台 2FA 的配置与使用

启用 Thermo Connect 云端 2FA 的步骤如下：

1. 登录 Thermo Connect Web 端，进入“我的账户 → 安全设置”；

2. 在“双因素验证”模块，点击“绑定应用”，扫描弹出的二维码（Google Authenticator、Authy 等 OTP）；

3. 在 OTP 应用中生成并输入首个验证码，以完成绑定；

4. 此后，每次登录或敏感操作（设备新增、报表下载）时，系统将提示输入动态验证码；

5. 可在“安全设置”中选择“备用邮箱”或“手机短信”作为第二验证方式，并生成一组紧急备用码，用于 OTP 设备丢失时登录。

该功能上线已超过半年，已通过多家医药行业客户的安全合规测试，可满足 ISO 27001、HIPAA 等对 MFA 的要求。

六、安全最佳实践与运维建议

1. 账号生命周期管理

• 定期审查用户列表，及时禁用或删除不再使用的账号；

• 管理员账号建议固定人数，并采用硬件安全密钥（如 YubiKey）绑定；

• 开启密码强度检测与过期策略，避免弱口令与长期不改。

2. 多因素策略落地

• 云端强制 2FA 新建与管理账号；

• 本地接入实验室统一身份管理系统，须确保 AD/LDAP 平台本身也开启 MFA；

• 对关键运维操作（固件升级、模式配置）可设置二次确认或时间锁，进一步提高安全性。

3. 日志审计与告警

• 在 Thermo Connect 平台开启登录与操作审计日志，定期导出并分析异常登录事件；

• 本地 iCAN 可配置 Syslog 推送至 SIEM，实时监控多次登录失败、账号锁定等安全指标。

4. 培训与合规检查

• 对实验室人员开展账户使用与信息安全培训，强调双因素认证的重要性；

• 将 2FA 纳入内部 IT 安全审查与外部合规评估（如 CSA、审计公司）范围，确保持续有效。

七、未来展望

Thermo Fisher 已在云平台层面完成 MFA 建设，后续固件更新将逐步在本机 iCAN 上增加对 RADIUS、SAML 等协议的原生支持，使 311 型培养箱在本地登录时也可自主完成双因素校验。此外，结合生物特征（如指纹、人脸）与硬件密钥（如 USB 安全令牌）的三因素认证（3FA）方案，也在内部研发路线图中，以应对更高风险场景。

八、总结

综上所述，Thermo Fisher 311 型 CO₂ 培养箱在云端 Thermo Connect 平台已全面支持两因素认证，满足现代 IT 与合规对 MFA 的要求；而在本地 iCAN 界面上，则可通过与企业身份管理系统或 RADIUS 服务的集成，间接实现双因素安全登录。结合账号生命周期管理、审计日志及安全培训等最佳实践，实验室可以在保护关键细胞培养数据与设备控制的同时，最大限度降低未授权访问风险，为科研与生产环节的安全运行提供有力保障。