安全連線:Google Meet 如何保護視訊會議安全性
許多全球各地的企業與學校皆採用 G Suite 保持聯繫、完成工作。Google 產品的設計、建構與運作皆以安全為基礎,目標是阻擋攻擊和維護安全。G Suite 與Google Meet 亦不例外。
Google Meet 的安全管制是預設為開啟,因此在多數情況下,組織和用戶不需進行額外的動作,就已具備適當防護措施。以下為 Google Meet 保護用戶的功能重點。
防止濫用與劫持的積極防護措施
Google Meet 採取各種防止濫用的防護措施,以確保用戶遠距會議的安全性,保護視訊會議與線上通話不受劫持。
Google Meet 的會議密碼為10 個字元長、並由 25 個字元所組成,這使得駭客難以用程式暴力破解(意即試圖破解會議密碼,以參與未獲授權會議的個別惡意攻擊)。我們在會議開始前 15 分鐘即提前限制外部訪客的加入,縮短可能發動暴力破解攻擊的時間。外部訪客需經由日曆的會議邀請或網域內成員邀請才能加入會議。否則,便需要提出加入請求,由主辦會議單位的成員核准。
此外,我們推出了幾項功能,以期協助學校確保會議安全、改善師生的遠距學習體驗,包括:
- 只有會議建立者和日曆擁有者有權限禁止其他參與者發言(靜音)或移除參與者,這能確保講師不被學員靜音或移除。
- 只有會議建立者和日曆擁有者有權限核准外部訪客的加入會議請求。如此,學員便無法將外部訪客加入視訊會議中,而且外部訪客也不能先於講師加入會議。
- 最後一位參與者離開後,會議參與者無法重新加入設有別名/暱稱的會議 (nicknamed meetings)。這表示,若講師為最後一個離開別名會議的使用者,學員將無法於講師離開後再次加入。
某位使用者想要加入這場會議
Dan Smith
拒絕加入 | 接受
圖:要求與批准加入會議
管理員與終端使用者的安全部署與存取控制
為了限制攻擊層面,並減低頻繁推出修補程式的需求,Google Meet 完全在瀏覽器中運行。這表示用戶若使用 Chrome、Firefox、Safari 或 Microsoft Edge,則無須安裝任何外掛程式或軟體。我們建議手機使用者安裝 Google Meet 應用程式。
為確保只有獲授權的使用者可管理、存取 Meet 服務,Google 提供多種安全且便利的兩步驟帳戶驗證功能,包括以硬體與手機內建的安全金鑰和 Google 提示。此外,Google Meet 使用者可將帳戶加入 Google 的進階保護計畫 (Advanced Protection Program, APP),這是專為高風險層級帳戶所設計,針對釣魚詐騙和帳戶劫持提供最完善的保護。
我們為 G Suite 企業版與 G Suite 教育版用戶提供資料存取透明化控管機制,該機制能記錄所有存取儲存於雲端硬碟的 Google Meet 會議錄製內容的 Google 帳號以及存取原因(例如:用戶提出支援團隊服務要求)。使用者亦可使用資料地區 (data regions) 功能,將所選/包含特定資料的 Google Meet 會議錄製內容儲存於特定地區(例如美國或歐洲)。
安全無虞、遵循法規且可靠的會議基礎建設
Google Meet 預設所有客戶與 Google 之間的資料傳輸,不管是在網路瀏覽器、Android 與 iOS 應用程式、或是 Google 會議室硬體設備中的視訊會議內容皆經過 加密 。Google Meet 遵循網際網路工程任務小組 (IETF) 針對資料封包傳輸層安全 ( DTLS ) 與安全實時傳輸協議 (SRTP) 的安全性規範。Google Meet 為每位使用者、每個會議各產生一個專屬加密金鑰,僅限會議期間使用,金鑰不儲存至硬碟,且只能在建立會議時以加密且安全的遠端程序呼叫 (RPC) 服務傳輸。
安全是 Google 所有營運中不可或缺的關鍵。Google 團隊由全職安全與隱私權專業人員組成,支援著軟體工程和營運團隊,確保不論在建立或是營運我們的服務時,安全性一直都是首要考量。所有 Google 雲端硬碟與 G Suite 用戶皆能從中受惠,包括:
- 融入安全性考量的基礎架構:Google Meet 可受惠於 Google 雲端硬碟的深度防禦安全措施,利用 Google 的內建防護與全球私有網路,保護使用者資訊並確保隱私權。
- 法令遵循認證:包含 Google Meet 在內的 Google 雲端硬碟產品定期接受獨立認證,包括服務組織控制 (SOC)、ISO/IEC 27001/17/18、網際威信 (HITRUST) 與聯邦風險與授權管理計畫 (FedRAMP) 等認證,確保其安全性、隱私與法令遵循控制等符合規範。Google 亦支援用戶須遵循的法規規範,如歐盟一般資料保護規範 GDPR 和美國聯邦健康保險法案 (HIPAA),以及教育相關規範,如兒童線上隱私權保護條款 (COPPA) 與家庭教育權利與隱私法 (FERPA)。
- 事故管理:我們使用嚴謹流程管理資料與安全事故,註明動作、升級、緩解與解決措施,並於任何可能事故影響客戶資料時通知客戶。
- 可靠性:Google 網路的建構方式足以因應尖峰需求與未來成長。我們的網路極富韌性,建構方式足以因應 Google Meet 活動增加的情形。
- 透明度:Google 雲端硬碟致力於保護客戶資料:我們遵循客戶指示處理資料,絕不將客戶資料用於廣告用途,並公布 Google 資料中心位置,且資料中心服務隨手可得、具備復原力及安全性。
COVID-19 疫情期間與任何時刻,我們都致力於保護 Google Meet 用戶安全與資料安全,持續創新、開發新功能,使我們的工具更為實用、安全並受到保障。