安全連線:Google Meet 如何確保視訊會議安全無虞
Karthik Lakshminarayanan
Director of Product Management, G Suite Security & Controls
Smita Hashim
Director of Product Management, Google Meet, Voice & Calendar
G Suite 可協助世界各地的企業、學校和使用者保持聯繫及完成工作。為了遏止攻擊行為,並提供必要防護措施確保您的安全,Google 透過安全的基礎架構設計、打造及運行各項產品,包括 G Suite 和 Google Meet。
Google Meet 的安全性控制功能預設為開啟,因此機構和使用者在大多數情況下完全不必執行任何操作,系統就會開啟適當的安全防護措施。本文將概略介紹 Google Meet 為您提供的主要安全防護功能。
藉由主動防護機制杜絕濫用情形及防範駭客攻擊
為確保您的會議安全無虞,Google Meet 採用一系列防濫用保護機制,包括適用於網路會議和撥入通話的反駭客入侵措施。
Google Meet 的每組會議代碼都包含 10 個字元,並且是由 25 種字元排列組合而成,讓人難以透過程式暴力破解會議 ID (亦即不肖之徒試圖猜出會議 ID,並在未獲授權的情況下嘗試加入會議)。我們禁止外部參與者在會議開始前 15 分鐘加入會議,以縮短可能遭受暴力攻擊的時間。外部參與者必須是日曆活動的邀請對象,或者受到網域內的參與者邀請,才能直接加入會議。如果不符合上述條件,外部參與者則須傳送參加會議要求,並經過主辦機構的成員同意才能加入。
此外,我們也推出多項功能來協助學校確保會議安全,並改善老師和學生的遠距教學體驗。相關功能包括:
●只有會議建立者和日曆擁有者才能將其他參與者設為靜音或移除。這可以確保參與會議的學生無法對老師使用這兩項功能。
●只有會議建立者和日曆擁有者才能核准外部參與者加入會議的要求。這樣一來,學生就無法將外部參與者加入視訊會議中,且外部參與者必須在老師參與會議後才能加入。
●最後一位參與者離開會議後,參與者無法重新加入設有暱稱的會議。也就是說,如果老師是設有暱稱的會議中最後離開的參與者,學生就不能再加入老師缺席的會議。
管理員和使用者能夠安全地控管部署作業和存取權
Google Meet 的所有功能都可以在瀏覽器中使用,因此不易遭受攻擊,也不必經常推送安全性修補程式。如果您在電腦上使用 Chrome、Firefox、Safari 或 Microsoft Edge,就不須安裝任何外掛程式或軟體。如果您使用行動裝置,則建議您安裝 Google Meet 應用程式。
為確保只有授權使用者能管理及存取 Meet 服務,我們支援多種既安全又便利的帳戶兩步驟驗證選項,包括硬體安全金鑰、手機內建安全金鑰以及 Google 提示。此外,Google Meet 使用者也能為帳戶註冊 Google 進階保護計畫 (APP);這項計畫是專為風險最高的帳戶所設計,可提供我們最強大的網路詐騙和帳戶盜用防護機制。
針對 G Suite Enterprise 和 G Suite 教育版客戶,我們提供了資料存取透明化控管機制;每當 Google 存取雲端硬碟中儲存的 Google Meet 錄製內容時,這項功能就會記錄該活動和存取原因 (例如您可能會要求支援團隊執行某些操作)。客戶也可以利用資料地區 (data regions) 功能,將 Google Meet 錄製內容的指定資料/涵蓋資料存放在特定地區 (例如美國或歐洲)。
安全可靠且符合規範的會議基礎架構
無論使用者透過網路瀏覽器、Android 和 iOS 應用程式或 Google 會議室硬體設備進行視訊會議,Google Meet 依預設都會加密用戶端和 Google 之間所有傳輸中的會議資料。Meet 符合資料包傳輸層安全標準 (DTLS) 和安全即時傳輸通訊協定 (SRTP) 的 IETF 安全性標準。Meet 會為個別使用者和會議產生專屬加密金鑰;這類金鑰只在會議期間有效,絕對不會儲存到磁碟,而且在設定會議的過程中是透過加密的安全 RPC (遠端程序呼叫) 進行傳輸。
安全性是所有 Google 營運業務的關鍵。Google 團隊由全職的安全性與隱私權專家組成,可針對軟體工程和營運作業提供支援,確保我們打造及執行各項服務的方式隨時都能兼顧安全性。所有 Google Cloud 和 G Suite 客戶皆可享有下列功能帶來的優勢:
●融入安全性考量的基礎架構設計:Google Meet 充分運用 Google Cloud 的深入防禦機制確保安全性,這些機制採用 Google 用來保護個人資訊和隱私的內建防護功能和全球專用網路。
●法規遵循認證:我們的 Google Cloud 產品 (含 Google Meet) 定期接受安全性、隱私權和法規遵循管理的獨立驗證審查,包括 服務組織控制 (SOC)、ISO/IEC 27001/17/18、網際威信 (HITRUST) 和 聯邦風險與授權管理計畫 (FedRAMP) 等標準的驗證審查。此外,這些產品也符合各項法律規範,例如《歐盟一般資料保護規範 GDPR》和《美國聯邦健康保險流通與責任法案 (HIPAA)》,以及教育相關規範,如《兒童線上隱私權保護條款 (COPPA)》和《家庭教育權利與隱私法 (FERPA)》。
●事件管理:我們依循嚴謹的流程管理資料和安全性事件;針對所有可能影響客戶資料的事件,這套流程在行動、呈報、降低影響、解決問題及通知方面都有明確的規定。
●穩定可靠:Google 的網路是為了滿足尖峰需求與未來成長而設計,不僅具備修復能力,也能因應 Google Meet 中增加的活動數量。
●公開透明:Google Cloud 致力於保護客戶資料:我們遵循客戶指示處理資料,絕不基於廣告目的使用客戶資料,以及公布 Google 資料中心 (兼具高可用性、靈活和安全的特性) 的所在地點。
無論是在 COVID-19 發生期間或往後的日子裡,我們都將持續保障 Google Meet 使用者和其資料的安全,並且不斷推出創新功能,致力打造既實用又安全的工具。
