跳至主要內容

引言

視像會議逐漸成為有效的通訊方式,可方便遙距工作,以及讓位處不同地點的用戶進行實時通訊。

潛在風險潛在風險

隨着視像會議日益普及,針對視像會議方案及用戶的網絡攻擊也愈來愈多。因此,在進行視像會議前必須評估有關風險,並確保會議在安全的方式下進行。以下是一些潛在風險:
「Meeting bombing」攻擊 title= 「Meeting bombing」攻擊 – 有未獲邀請人士可能通過發現或猜測會議編號加入視像會議,干擾會議或分享不當內容。
惡意連結或釣魚網站攻擊 惡意連結或釣魚網站攻擊 – 如攻擊者進入了會議室,可能會誘使與會者點擊惡意連結。另外,亦可能有偽冒電郵或網站仿冒視像會議邀請,惡意盜取用戶憑證或傳送惡意軟件。
與第三方分享資料 與第三方分享資料 – 小心視像會議方案或平台可能與第三方分享資料,並留意他們的資料使用政策。
惡意軟件或零日攻擊 惡意軟件或零日攻擊 – 視像會議方案可能存在漏洞,可被攻擊者利用。

保安措施保安措施

在主持視像會議或使用視像會議方案時,可參考以下一些保安措施/良好做法,以減低風險和避免私隱外泄:

一般保安措施
  1. 細閱視像會議應用軟件或服務供應商的私隱資料政策,以了解他們如何儲存、分享和使用你的個人資料。
  2. 留意視像會議方案的保安消息,並適時採取相應的保安措施。
  3. 應採用端對端加密及網絡安全措施,以保護在視像會議期間傳輸的敏感資料。
  4. 為所有與視像會議相關的硬件/軟件項目(包括視像會議應用軟件、操作系統、瀏覽器及抗惡意程式碼軟件)安裝最新的更新及修補程式。

會議主持人
  1. 只跟預定的與會者分享會議編號,並盡可能使用一次性的會議編號。
  2. 設定嚴謹的會議密碼,以防未獲邀請的第三方加入會議。
  3. 限制從與會者收集個人資料,以減低資料外泄的風險。
  4. 採用雙重認證及嚴謹而獨特的密碼,以保護會議主持人的帳戶。
  5. 通過可用的保安功能控制會議的註冊或登入,例如事先註冊或等候室功能。
  6. 追蹤和核實參與會議的人士,並確認所有與會者的身分。
  7. 不要預設讓與會者分享屏幕,只容許指定與會者在合適情況下分享,並只分享所需的應用軟件而非整個桌面。

與會者
  1. 如收到加入視像會議的連結,應確保連結來自可信任的來源,並且不要開啓來歷不明的連結及附件。
  2. 如視像會議在公共雲端平台或不可信賴的網絡上進行,避免分享或討論敏感資料。
  3. 避免在視像會議期間進行敏感活動(如檢查電郵),以免意外地與他人分享屏幕。
  4. 如非必要,應限制或停用檔案傳送,以免分享了惡意檔案,並且不要開啓任何由不明與會者分享的可疑連結或檔案。
  5. 由於視像會議的錄影可能會儲存於視像會議服務供應商的公共雲端平台,因此應避免錄影涉及敏感資料的視像會議。
  6. 視像會議應在個別與會者的指定私人地點進行,任何可見的敏感資料亦應從攝錄畫面中移走。
  7. 在視像會議期間應關掉沒有使用的攝錄機及麥克風。

其他資料其他資料

有關安全使用視像會議的其他參考資料

  1. 香港電腦保安事故協調中心 - HKCERT 建議10招保障 Zoom 網上會議安全
  2. 「網絡安全運動」網站 - ZOOM 應用程式保安設定及使用建議
  3. Australian Cyber Security Centre - Web Conferencing Security (只有英文版)
  4. Palo Alto Networks - Best Practices for Video Conferencing Security (只有英文版)
  5. Federal Bureau of Investigation (FBI) of the United States - FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic (只有英文版)
  6. Federal Trade Commission (FTC) of the United States - Video conferencing: 10 privacy tips for your business (只有英文版)
  7. National Cyber Security Centre (NCSC) of the United Kingdom - Video conferencing services: security guidance for organisations (只有英文版)

免責聲明:用戶亦應留意網絡安全資訊站中的重要事項。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。  

回頁頂