CTI論壇（ctiforum.com）（編譯/老秦）： 由于冠狀病毒大流行，人們急于遠(yuǎn)程辦公，導(dǎo)致快速采用基于視頻的會議服務(wù)，而通常情況下，組織沒有時間進行必要的盡職調(diào)查以評估安全性和合規(guī)性。

 

　　最近，Zoom Meetings出現(xiàn)了一些與安全相關(guān)的問題，導(dǎo)致Zoom創(chuàng)始人Eric Yuan撰寫了一篇博客文章，指出他已經(jīng)實施了為期90天的功能開發(fā)凍結(jié)期限，以集中精力解決安全問題。您可以想象，當(dāng)Zoom的競爭對手試圖在市場上脫穎而出時，已經(jīng)利用這些問題來加強自己對安全的承諾。

　　最近，Zoom的加密模型受到攻擊，突顯了Zoom獨有的問題。與Cisco和Symphony一樣，Zoom為其消息傳遞應(yīng)用程序提供了端到端加密。但是，Zoom沒有為會議提供端到端加密。而是，如此處所述，它會加密在Zoom客戶端或Zoom Room終結(jié)點到Zoom的服務(wù)器之間傳輸?shù)恼Z音和視頻數(shù)據(jù)上，但是一旦數(shù)據(jù)到達服務(wù)器，Zoom必須解密該數(shù)據(jù)以支持錄制，轉(zhuǎn)錄以及其他各種功能。

　　在這方面，Zoom并不孤單。會議供應(yīng)商提供高級功能，例如轉(zhuǎn)錄和記錄；利用新興的AI功能（例如面部識別）；或支持第三方集成，他們必須能夠解密視頻和音頻數(shù)據(jù)以對其進行分析。會議應(yīng)用程序之間的通用加密模型是靜態(tài)數(shù)據(jù)（在提供商的服務(wù)器上）和動態(tài)數(shù)據(jù)（例如，端點到服務(wù)器）。

　　思科是值得一提的例外，它確實為Webex Meetings提供了端到端加密選項。但是，正如Cisco所指出的那樣，使用此選項將禁用其Web應(yīng)用程序，錄制功能，與會人員在主持人到達之前加入會議的能力以及視頻端點的使用。另一個供應(yīng)商Wire提供視頻會議和消息傳遞的端到端加密，但是每個呼叫最多可以有10個參與者。

　　大多數(shù)視頻會議供應(yīng)商都沒有端到端加密，也沒有客戶能夠按照自己的服務(wù)標(biāo)準(zhǔn)來管理自己的加密密鑰的事實，這意味著政府實體可以獲得授權(quán)書并進行會議。包括思科，谷歌和微軟在內(nèi)的大多數(shù)云提供商都發(fā)布了透明度報告，其中列出了政府對數(shù)據(jù)的請求。Yuan的博客文章指出，Zoom很快也會采取同樣的措施，以解決有關(guān)政府可能要求訪問的會議數(shù)據(jù)的擔(dān)憂。

　　更重要的是，有關(guān)端到端加密的爭論提出了一個問題，即企業(yè)是否真正需要它來滿足其安全性和合規(guī)性需求。顯然，組織的獨特需求將推動需求。那些在受監(jiān)管行業(yè)中進行活動，召開會議以共享個人身份信息（例如，遠(yuǎn)程醫(yī)療）或參與國家安全的組織，將比對有內(nèi)部會議討論即將進行的研究項目的分析公司說，對安全有更嚴(yán)格的要求。

　　對于真正無法承擔(dān)會議供應(yīng)商或第三方實體風(fēng)險的組織，獲得訪問會議數(shù)據(jù)的權(quán)限，思科，Compunetix和Pexip等供應(yīng)商提供的本地會議平臺選項就足夠了。使用這些類型的平臺意味著公司正在其數(shù)據(jù)中心或它控制的公共云服務(wù)內(nèi)購買，部署和管理自己的會議基礎(chǔ)架構(gòu)。 Nemertes最近發(fā)布的成本效益分析：工作場所協(xié)作和聯(lián)絡(luò)中心對500多個組織的研究表明，約有12.5％的人運行自己的本地會議平臺。

　　對于負(fù)責(zé)信息安全和/或協(xié)作的人員來說，值得花一些時間來了解使用中的供應(yīng)商的安全功能，以及可能要評估以供將來使用的供應(yīng)商。首先記錄您自己對信息保護和隱私的要求，并對云提供商是否可以滿足您的需求進行全面評估，或者是否需要考慮內(nèi)部部署選項。

　　作者：歐文·拉扎（Irwin Lazar）

　　原文網(wǎng)址：https://www.nojitter.com/security/do-you-need-end-end-video-meeting-encryption%20