放心联系:Google Meet 如何确保视频会议安全无虞
Karthik Lakshminarayanan
Director of Product Management, G Suite Security & Controls
Smita Hashim
Director of Product Management, Google Meet, Voice & Calendar
在世界各地,众多企业、学校和用户都依靠 G Suite 来保持联系和完成工作。Google 在设计、开发和运行我们的产品时,均以安全可靠为基本原则,旨在防范攻击并提供确保用户安全的保护措施。。G Suite 和 Google Meet 也不例外。
默认情况下,Google Meet 的安全控制功能处于启用状态,因此在大多数情况下,系统会采用适当的保护措施,无需单位和用户操心。本文将简要概括 Google Meet 为您提供的主要安全防护功能。
可打击滥用行为和拦截黑客攻击的主动防护机制
Google Meet 采取了一系列反滥用行为防护机制来确保会议的安全,其中包括针对网络会议和拨入会议的反黑客攻击措施。
Google Meet 采用的会议代码由 10 个字符组成,而每个字符可以有 25 个不同的值,让人难以用编程方式暴力破解会议 ID(也就是说,心怀不轨之人难以猜出会议 ID,不经授权难以加入会议)。我们禁止外部参与者提前 15 分钟以上加入会议,这样,即使有人企图暴力破解会议代码,他们也没有足够的时间来完成。外部人员要想加入会议,必须在相应日历活动的邀请名单上,或者受到域内参与者邀请。否则,他们必须请求加入会议,并由会议举办单位内的成员接受他们的请求,这样才能加入。
此外,我们还推出了多项功能来帮助学校确保会议安全和改进师生的远程教学体验。这些功能包括:
●只有会议创建者和日历所有者可以将其他参与者设为静音或移除。这样可以确保参会的学生无法将教师移除或设为静音。
●只有会议创建者和日历所有者可以批准外部人员加入会议的请求。也就是说,学生无法在视频会议中允许外部人员加入,而且外部人员在教师加入后才能加入。
●对于设有别名的会议,当最后一位参与者退出后,任何参与者都将无法重新加入该会议。也就是说,对于设有别名的会议,如果教师是最后一个退出会议的人,学生就无法在没有教师参会的情况下加入会议。
为管理员和最终用户设计的安全部署和访问权限控制功能
为了限制受攻击面和免于频繁推送安全补丁程序,Google Meet 可以完全在浏览器中运行。也就是说,如果您使用 Chrome、Firefox、Safari 或 Microsoft Edge,则无需安装任何插件或软件。如果您使用的是移动设备,我们建议您安装 Google Meet 应用。
为确保只有获得授权的用户才能管理和访问 Meet 服务,我们支持采用多种安全又方便的两步验证方法对帐号进行验证。其中包括硬件安全密钥和手机内置安全密钥以及 Google 提示。此外,Google Meet 用户还可以为自己的帐号注册高级保护计划 (APP)。这项计划专为那些有着最高风险的帐号设计,提供我们最强的保护力度来防范网上诱骗和帐号盗用。
针对 G Suite 企业版和 G Suite 教育版客户,我们提供 Access Transparency 功能。每当 Google 访问存储在云端硬盘中的 Google Meet 录制内容时,此功能都会记录相应访问事件以及访问原因(例如支持团队应您的要求执行的操作)。客户还可以使用数据区域功能,将 Google Meet 录制内容中的精选数据/政策覆盖范围内的数据存储在特定区域(即美国或欧洲)。
安全、合规且可靠的会议基础架构
在 Google Meet 中,无论是使用网络浏览器、Android 版和 iOS 版 Meet 应用,还是在会议室中使用 Google 会议室设备参加视频会议,在客户与 Google 之间均默认以加密形式传输所有数据。Meet 符合互联网工程任务组 (IETF) 发布的《数据包传输层安全协议》(DTLS) 和《安全实时传输协议》(SRTP) 安全标准。对于每一位用户和每一场会议,Meet 都会生成一个专属的加密密钥。此密钥仅在会议期间存续,绝不会存储在磁盘中,并且在会议设置过程中以加密安全的 RPC(远程过程调用)进行传输。
安全保护是 Google 所有业务中不可或缺的一部分。我们的专职安全和隐私安全专业团队为我们的软件工程和运营提供支持,从而确保我们在开发和运行服务的过程中始终充分考虑安全性。所有的 Google Cloud 和 G Suite 客户都将从这些功能中受益,具体包括:
●设计安全的基础架构:Google Meet 借助 Google Cloud 的深度防御机制来确保安全性,包括 Google 用于保护信息安全和保障隐私权的内置防护功能和全球专用网络。
●合规认证:我们的 Google Cloud 产品(包括 Google Meet)会定期接受安全性、隐私性和合规控制方面的独立审核,包括验证我们的产品是否符合 SOC、ISO/IEC 27001/17/18、HITRUST 和 FedRAMP 等标准。此外,我们还能满足您在合规方面的需求,例如帮助您遵从一般数据保护条例 (GDPR) 和健康保险流通与责任法案 (HIPAA) 以及针对教育领域的儿童在线隐私保护法 (COPPA) 和家庭教育权和隐私权法案 (FERPA)。
●事件管理:我们按照严格的流程来管理数据和安全性事件。对于所有可能影响客户数据的事件,这套流程在行动、上报、缓解影响、解决问题和通知方面都有相关规定。
●可靠性:Google 的网络经过专门设计,可以从容应对高峰期使用量和未来的增长需求。此外,我们网络的适应性极强,能够处理 Google Meet 上日益增多的活动量。
●公开透明:Google Cloud 对如何处理客户数据有明确的承诺:我们会根据客户的指示处理其数据;绝不会将客户数据用于广告目的;并且会公布 Google 数据中心(兼具可用性高、恢复能力强和安全可靠的特点)的所在地。
在新冠肺炎 (COVID-19) 疫情期间及以后,我们会持续保护 Google Meet 用户及其数据的安全,不断推出创新功能,确保我们的工具既实用又安全。
