本文件的目標使用者為負責保護關鍵基礎設施網路安全的管理人員以及關鍵基礎設施員工，旨在幫助他們釐清相關的網路安全和物理問題。

視訊會議快速普及

在美國，公司和政府機構在工作場所上越來越多地採用靈活方式，如遠端辦公。視訊會議軟體的可用性越來越好，協作軟體等產品中加入視訊會議功能，這些資訊科技上的進步使得遠端辦公成為可能。遠端工作時，使用者多半需要使用視訊會議軟體等協作方案。在享受遠端訪問產品所帶來的好處（如便利性、可用性、速度和穩定性）時，需要考慮此類產品的網路安全要求及風險點，這一點至關重要。

本指導性建議支援在使用、普及視訊會議軟體及相關協作工具時納入網路安全考慮因素，還對個人使用這些工具主持和參加會議提出了建議。當今，組織越來越頻繁地透過此類平臺傳播敏感的討論內容，因而這些建議顯得尤為重要。

作為遠端工作安全保障的權威機構，網路安全與基礎設施安全域性（CISA）建立了視訊會議產品線，後續會進一步完善，考慮釋出與安全使用線上協作工具和視訊會議方案相關的其他產品，以進一步支援網路安全管理人員在以遠端辦公為主的這段時間內的工作。如有意見和建議，請傳送郵件至cyberliance@cisa.dhs.gov。

潛在威脅向量

從國家支援的駭客組織到內部人員再到犯罪組織的各類網路攻擊者，都在想方設法獲取與研發、關鍵基礎設施和個人身份相關的資訊。此外，一些攻擊者還試圖破壞美國機構的運作，利用各種系統實現政治動機。他們使用的手段包括：

· 積極利用客戶端軟體中未修補的漏洞，入侵組織網路，進行網路漏洞利用和網路攻擊；

· 利用通訊工具：

     · 拖垮服務，迫使使用者下線；

     · 竊聽會議或電話會議；

· 劫持視訊會議，插入色情圖片、仇恨圖片或威脅性語言；

· 攻陷遠端桌面應用程式（用於遠端工作解決方案，實現遠端桌面共享，以便進行協作和演示）後，滲透到其他共享應用程式；以及

· 利用社會工程誘騙個人洩露資訊（例如會議連結）或從使用同一結構的其他連結（例如“公司名稱_年_月_日”）猜測會議連結，非法進入敏感會議。

有些視訊會議產品可能會在無意中將資訊洩露給惡意網路攻擊者。例如，某些產品會向第三方或目標使用者共享或出售客戶資訊，將產品使用與個人社交媒體賬號捆綁，因而無意中將員工和組織資訊暴露給了目標接收方以外的其他人。

企業安全實踐建議

1. 評估本組織需求，選擇適合內部使用的產品。還要考慮組織與外部實體協作的任務需要。調查供應鏈問題（例如供應商信譽、資料中心位置等）以及目標服務是否滿足本組織的其他安全、法律和隱私要求。

2. 制定本組織虛擬會議政策，若已有相關政策，則重新發布。持續更新相關指導性政策，針對虛擬會議政策編寫易於理解的簡明綱要。

3. 應儘量減少企業內部使用的協作工具數量，縮小攻擊面，降低總體漏洞數量。製作表格，列舉組織允許使用的協作和視訊會議工具。及時檢查並更新安全設定。掃描未經企業授權使用的協作工具和相關客戶端，一經發現，立即刪除。針對全組織，集中管理授權使用的客戶端和配置設定。及時更新客戶端軟體，解除安裝所有過期版本，確保使用最新版本。

4. 禁止終端使用者安裝客戶端軟體（包括取消本地管理許可權）。若外部實體發起會議時使用的協作工具不在本組織批准的產品列表中，使用者應使用Web瀏覽器加入會議，而不是安裝客戶端軟體。

5. 防止具有管理許可權的使用者在以管理員許可權登入系統後使用協作工具。管理員不應在其管理的系統上執行非特權操作（例如使用電子郵件、瀏覽網路、執行辦公自動化任務、進行娛樂等）。

6. 禁止使用允許遠端訪問和遠端管理的協作工具和功能。遠端訪問其實並非協作工具的主要用途，但有些廠商在宣傳時會將遠端訪問軟體稱為協作工具，而有些協作工具亦具有遠端訪問和遠端管理功能。

7. 向員工明確傳達組織在協作工具（包括資料共享或參與度/注意力跟蹤功能）使用方面的隱私和文件儲存要求。

8. 確保組織的遠端辦公政策或指南滿足物理和資訊保安要求，要求使用者更新遠端辦公協議。考慮是否需要根據大規模遠端辦公的各種不同情況調整組織的IT優先事項。

終端使用者最佳實踐

1. 工作中僅使用組織批准的軟體和工具，包括使用公司提供或批准的視訊會議和協作工具來主持/發起和安排會議。

2. 針對目標參會人和會議內容，量身定製安全防範措施。不要將會議“公開”，除非會議對外開放。對於大範圍會議，確保能將所有參會者靜音，並能夠控制參會者共享螢幕。

3. 開會前—尤其是大會前—要預先制定計劃，詳細說明：

1）會議中斷時提前終止會議的條件；

2） 誰有權做出此決定；以及

3） 如何終止會議。

4. 個人會議要使用會議密碼以及等候室等功能來控制人員加入會議。為進一步增強安全，使用隨機生成的一次性會議碼和強密碼。切勿在不受限制的公開社交媒體帖子上共享電話會議連結。儘可能禁止參會者在主持人之前加入會議，並在參會者進入會議時自動靜音。

5. 將會議連結直接發給參會者，共享密碼另發。儘可能要求提供唯一的參會憑據，監控加入會議的參會者，並在所有成員加入後鎖定會議。所使用的視訊會議軟體應允許在會議過程中移除參會人。

6. 管理螢幕共享、錄製和檔案共享選項。視具體情況（例如，需要與廣大參會者或公眾共享錄音、使用公司發放的裝置或個人裝置）將錄製檔案儲存在本地或雲上，儲存時更改預設檔名。務必諮詢本組織的法律顧問，瞭解有關錄製視訊會議和透過會議共享材料的適用法律。就錄製會話、錄屏和截圖設定參會要求。

7. 在向視訊會議和協作平臺傳送資料（透過螢幕共享或上傳）之前須考慮資料的敏感性。共享螢幕時，確保只顯示需要共享的資訊；關閉或最小化所有其他視窗。如果需要在公開會議中顯示本組織內網中的內容，顯示時須隱藏位址列。要有基本的判斷力，電話中不會討論的內容不得出現在視訊會議中。進行敏感討論時，使用所有可用的安全措施（如等候室和強密碼），確認所有參會者確需瞭解相關內容且知曉會話安全要求。不宜透過影片電話會議軟體討論的資訊包括：國家安全資訊、敏感執法資訊、關鍵基礎設施系統的運營或漏洞、連續經營計劃、個人識別資訊、高階研發專案和私有商業資訊。

8. 若第三方使用非本組織批准的協作工具發起會議，使用Web瀏覽器加入會議而不是安裝軟體。不要使用工作郵件地址註冊非授權/免費工具。

9. 透過Web瀏覽器登入到協作工具時，注意準確輸入網站的域名。警惕陌生地址傳送的連結，切勿單擊來源可疑的會議連結。透過電子郵件傳送的會議連結要驗證是否真實有效。

10. 確保視聽環境安全，不洩露任何非必要資訊，例如，確認牆上的白板等物品不包含敏感資訊或個人資訊，或保證敏感對話不被室友或家人聽到。使用協作工具中的背景替換或模糊選項（若有）。

11. 挪移、靜音或禁用虛擬助理和家庭安全攝像頭，避免無意中錄製敏感資訊。在工作場所或公共區域不要討論敏感話題，避免隔牆有耳。考慮使用耳機。

12. 檢查並更新家庭網路，更改寬頻路由器和Wi-Fi網路的預設設定並使用複雜密碼，僅與信任的人共享此資訊。為自家的Wi-Fi網路模糊命名，避免洩露本人資訊或裝置製造商。更新路由器軟體，確保Wi-Fi使用最新協議（如WPA2或WPA3）加密，禁用WEP和WPA等過時協議。

事件上報

欲上報網路安全事件，請聯絡CISA，具體可致電1-888-282-0870或訪問www.cisa.gov。