安全連線：Google Meet 如何保護視訊會議安全性

許多全球各地的企業與學校皆採用 G Suite 保持聯繫、完成工作。Google 產品的設計、建構與運作皆以安全為基礎，目標是阻擋攻擊和維護安全。G Suite 與Google Meet 亦不例外。

Google Meet 的安全管制是預設為開啟，因此在多數情況下，組織和用戶不需進行額外的動作，就已具備適當防護措施。以下為 Google Meet 保護用戶的功能重點。


防止濫用與劫持的積極防護措施
Google Meet 採取各種防止濫用的防護措施，以確保用戶遠距會議的安全性，保護視訊會議與線上通話不受劫持。

Google Meet 的會議密碼為10 個字元長、並由 25 個字元所組成，這使得駭客難以用程式暴力破解（意即試圖破解會議密碼，以參與未獲授權會議的個別惡意攻擊）。我們在會議開始前 15 分鐘即提前限制外部訪客的加入，縮短可能發動暴力破解攻擊的時間。外部訪客需經由日曆的會議邀請或網域內成員邀請才能加入會議。否則，便需要提出加入請求，由主辦會議單位的成員核准。

此外，我們推出了幾項功能，以期協助學校確保會議安全、改善師生的遠距學習體驗，包括：

• 只有會議建立者和日曆擁有者有權限禁止其他參與者發言（靜音）或移除參與者，這能確保講師不被學員靜音或移除。
• 只有會議建立者和日曆擁有者有權限核准外部訪客的加入會議請求。如此，學員便無法將外部訪客加入視訊會議中，而且外部訪客也不能先於講師加入會議。
• 最後一位參與者離開後，會議參與者無法重新加入設有別名／暱稱的會議 (nicknamed meetings)。這表示，若講師為最後一個離開別名會議的使用者，學員將無法於講師離開後再次加入。

管理員與終端使用者的安全部署與存取控制

為了限制攻擊層面，並減低頻繁推出修補程式的需求，Google Meet 完全在瀏覽器中運行。這表示用戶若使用 Chrome、Firefox、Safari 或 Microsoft Edge，則無須安裝任何外掛程式或軟體。我們建議手機使用者安裝 Google Meet 應用程式。

為確保只有獲授權的使用者可管理、存取 Meet 服務，Google 提供多種安全且便利的兩步驟帳戶驗證功能，包括以硬體與手機內建的安全金鑰和 Google 提示。此外，Google Meet 使用者可將帳戶加入 Google 的進階保護計畫 (Advanced Protection Program, APP)，這是專為高風險層級帳戶所設計，針對釣魚詐騙和帳戶劫持提供最完善的保護。

我們為 G Suite 企業版與 G Suite 教育版用戶提供資料存取透明化控管機制，該機制能記錄所有存取儲存於雲端硬碟的 Google Meet 會議錄製內容的 Google 帳號以及存取原因（例如：用戶提出支援團隊服務要求）。使用者亦可使用資料地區 (data regions) 功能，將所選／包含特定資料的 Google Meet 會議錄製內容儲存於特定地區（例如美國或歐洲）。


安全無虞、遵循法規且可靠的會議基礎建設

Google Meet 預設所有客戶與 Google 之間的資料傳輸，不管是在網路瀏覽器、Android 與 iOS 應用程式、或是 Google 會議室硬體設備中的視訊會議內容皆經過 加密 。Google Meet 遵循網際網路工程任務小組 (IETF) 針對資料封包傳輸層安全 ( DTLS ) 與安全實時傳輸協議 (SRTP) 的安全性規範。Google Meet 為每位使用者、每個會議各產生一個專屬加密金鑰，僅限會議期間使用，金鑰不儲存至硬碟，且只能在建立會議時以加密且安全的遠端程序呼叫 (RPC) 服務傳輸。

安全是 Google 所有營運中不可或缺的關鍵。Google 團隊由全職安全與隱私權專業人員組成，支援著軟體工程和營運團隊，確保不論在建立或是營運我們的服務時，安全性一直都是首要考量。所有 Google 雲端硬碟與 G Suite 用戶皆能從中受惠，包括：

• 融入安全性考量的基礎架構：Google Meet 可受惠於 Google 雲端硬碟的深度防禦安全措施，利用 Google 的內建防護與全球私有網路，保護使用者資訊並確保隱私權。
• 法令遵循認證：包含 Google Meet 在內的 Google 雲端硬碟產品定期接受獨立認證，包括服務組織控制 (SOC)、ISO/IEC 27001/17/18、網際威信 (HITRUST) 與聯邦風險與授權管理計畫 (FedRAMP) 等認證，確保其安全性、隱私與法令遵循控制等符合規範。Google 亦支援用戶須遵循的法規規範，如歐盟一般資料保護規範 GDPR 和美國聯邦健康保險法案 (HIPAA)，以及教育相關規範，如兒童線上隱私權保護條款 (COPPA) 與家庭教育權利與隱私法 (FERPA)。
• 事故管理：我們使用嚴謹流程管理資料與安全事故，註明動作、升級、緩解與解決措施，並於任何可能事故影響客戶資料時通知客戶。
• 可靠性：Google 網路的建構方式足以因應尖峰需求與未來成長。我們的網路極富韌性，建構方式足以因應 Google Meet 活動增加的情形。
• 透明度：Google 雲端硬碟致力於保護客戶資料：我們遵循客戶指示處理資料，絕不將客戶資料用於廣告用途，並公布 Google 資料中心位置，且資料中心服務隨手可得、具備復原力及安全性。

COVID-19 疫情期間與任何時刻，我們都致力於保護 Google Meet 用戶安全與資料安全，持續創新、開發新功能，使我們的工具更為實用、安全並受到保障。