第七屆互聯網安全大會（簡稱“ISC”）于8月19日-20日在北京雁棲湖國際會展中心舉行。ISC是亞太地區規格最高、規模最大、影響力最深遠的安全峰會。經過六年的發展，已成為世界級網絡安全技術引領平臺和全球性網絡安全發展趨勢風向標。本屆大會將迎來全面升級，以“應對網絡戰、共建大生態、同筑大安全”的全新主題，深度探討網絡安全現狀及未來發展之路。玉符科技作為企業身份管理云服務商先驅，是互聯網安全大會的重要參與者。在大會當中，玉符科技向各界企業政府代表展示了玉符自主研發的IDaaS在IAM領域采用的安全方案。

玉符IDaaS平臺可以幫助企業更好地應對云時代下復雜、繁瑣的身份認證和權限管理，幫助企業IT降低成本、提升運維效率、增強業務協同性，進而提升企業身份的整體安全級別。主要面向的業務場景包括：目錄集成/多源管理、統一認證及單點登錄、自動入離職管理、安全審計等各類復雜需求。

眾所周知，隨著企業應用增多，尤其是移動端設備的普及，給企業辦公帶來便利的同時，也帶來了安全隱患：一、多套應用產生多套用戶名密碼，會產生密碼管理的難題。密碼由員工自行設計，企業IT管理員無從得知也無法進行強密碼管理；二、多套應用產生多個登錄入口——PC系統、web入口、移動端登錄，不同應用設計安全水平不一，如web登錄現在有很多應用依然沿用http協議，會帶來潛在安全隱患。三、企業用戶普遍安全意識薄弱，很多人會選擇瀏覽器或應用系統自帶的記憶密碼功能，但這其實屬于密碼代填，傳輸過程中一旦被截取，明文密碼暴露無遺，風險性很高。某些企業自身實現單點登錄時也往往采用這種方式。

單點登錄作為玉符IDaaS平臺的主要實現功能，有哪些值得被企業采用的密碼保護方案細節？本次大會且聽玉符一一道來：一、單點登錄過程無密：玉符鼓勵客戶使用標準協議，因為在標準協議中（如OIDC/OAuth/SAML 2.0/CAS/WS-Federation），不需傳輸密碼或機要信息，只需要協議的報文中傳輸相應標識。二、單點登錄過程中信息傳輸安全：傳輸過程中采用https方式，傳輸通道安全。標準協議中報文采用RSA方式，無法破解，避免報文被篡改。三、秘鑰輪換：玉符可以和對應應用之間定期進行密鑰輪換，極大地降低秘鑰被攻破的可能。四、令牌失效機制：玉符頒發的令牌只有非常短的有效期，超出有效期的令牌不會被系統接受。當一個令牌失效后，用戶必須重新認證登錄。如被黑客從設備中截獲，非實時的令牌也無法使用。四、可審計可追溯：玉符詳細記錄每一次用戶行為，基于人工智能分析引擎和深度算法學習，進行應用監控和行為分析。非法或惡意操作會被系統偵測并做出報警。

不僅如此，快捷也是玉符單點登錄方案成為了大會中吸引各位專家的亮點之一：玉符IDaaS平臺預集成了大量企業應用，大部分企業常用應用在應用商店進行簡單配置即可開通；若商店沒有相關應用，管理員也可以自行嘗試配置，以CAS協議為例，根據玉符的指導說明，用戶只需15分鐘即可完成配置測試。此外，如果客戶采用的應用不遵循單點登錄標準協議，玉符提供了SDK、STS等靈活實現工具，可以幫助非標應用快速實現單點登錄功能。