在“護網(wǎng)2025”行動中，企業(yè)需將視頻會議安全作為網(wǎng)絡(luò)安全防護的重點環(huán)節(jié)，嚴防會議內(nèi)容泄露、數(shù)據(jù)竊取或惡意入侵。

　　案例深度分析：某上市公司重大并購信息泄露事件

　　事件背景

　　2023年9月，國內(nèi)某擬上市公司A在籌備并購B公司期間，通過某國際視頻會議平臺召開多次高管會議。10月初，公司股價突然異常波動，經(jīng)調(diào)查發(fā)現(xiàn)并購關(guān)鍵信息已被泄露。

　　攻擊過程復(fù)盤

　　初始入侵(2023.8)

　　攻擊者通過LinkedIn偽裝成行業(yè)分析師，向A公司投資部員工發(fā)送"行業(yè)報告"

　　員工點擊郵件中的偽裝鏈接，導(dǎo)致辦公電腦被植入鍵盤記錄器

　　權(quán)限提升(2023.9)

　　攻擊者獲取到該員工的視頻會議平臺賬號(未啟用MFA)

　　通過該賬號查看歷史會議記錄，發(fā)現(xiàn)定期召開的"并購項目組會議"

　　會議滲透(2023.9-10)

　　利用獲取的常規(guī)會議鏈接格式，暴力猜測重要會議ID

　　成功進入9月25日的關(guān)鍵決策會議(會議未設(shè)密碼和等候室)

　　全程錄音并獲取共享屏幕中的財務(wù)模型文件

　　信息變現(xiàn)

　　通過暗網(wǎng)出售內(nèi)幕信息

　　導(dǎo)致公司股價在公告前異常波動20%

　　漏洞分析

　　基于以上案例教訓(xùn)，接下來小貝從技術(shù)措施、管理規(guī)范和人員意識三個層面，為企業(yè)提供具體實施方案：

　　一、技術(shù)防護：筑牢安全防線

　　強化身份認證

　　多因素認證(MFA)：登錄會議系統(tǒng)需結(jié)合密碼+動態(tài)令牌/短信驗證碼。

　　單點登錄(SSO)：集成企業(yè)統(tǒng)一身份認證系統(tǒng)，避免賬號分散管理。

　　實名制參會：強制綁定企業(yè)郵箱或工號，禁止匿名參會。

　　端到端加密(E2EE)

　　選擇支持E2EE的視頻會議平臺(如部分國產(chǎn)加密方案)，確保音視頻、聊天、文件傳輸全程加密。

　　禁用非加密傳輸協(xié)議(如HTTP)，強制使用TLS 1.2+或?qū)Ｓ肰PN通道。

　　權(quán)限精細化控制

　　角色分離：主持人、發(fā)言人、普通參會者權(quán)限分層(如限制錄屏、文件分享)。

　　動態(tài)權(quán)限：敏感操作(如共享屏幕)需主持人二次授權(quán)。

　　終端安全加固

　　企業(yè)設(shè)備安裝EDR(終端檢測響應(yīng))軟件，檢測惡意軟件竊聽。

　　攝像頭/麥克風(fēng)硬件開關(guān)：物理遮擋或禁用非會議期間權(quán)限。

　　二、管理規(guī)范：建立安全流程

　　1.會議全生命周期管控

　　會前：

　　會議鏈接設(shè)置“密碼+等候室”，禁止公開分享。

　　重要會議使用“白名單”機制，僅允許受邀者加入。

　　會中：

　　安排專人監(jiān)控參會名單，踢出異常賬號。

　　關(guān)閉非必要功能(如自動轉(zhuǎn)錄、匿名聊天)。

　　會后：

　　自動清理云錄制文件，本地存儲需加密并限制訪問權(quán)限。

　　2. 日志審計與溯源記錄

　　會議ID、參會人員、登錄IP、操作行為(如文件下載)，留存至少6個月。

　　定期分析日志，排查異常訪問(如境外IP、非工作時間登錄)。

　　案例：2023年某能源企業(yè)發(fā)現(xiàn)深夜有境外IP多次嘗試登錄會議系統(tǒng)，經(jīng)溯源發(fā)現(xiàn)是APT組織攻擊，及時阻斷避免了數(shù)據(jù)泄露。 供應(yīng)商安全評估選擇通過等保2.0三級或ISO27001認證的國內(nèi)視頻會議平臺。簽訂保密協(xié)議，明確數(shù)據(jù)存儲位置(如要求境內(nèi)服務(wù)器)。

　　三、人員意識：杜絕人為漏洞

　　針對性培訓(xùn)

　　模擬釣魚攻擊：偽造會議鏈接測試員工警惕性。

　　強調(diào)“三不原則”：不點擊陌生鏈接、不截屏敏感內(nèi)容、不泄露會議信息。

　　高風(fēng)險場景演練

　　突發(fā)“會議轟炸”(如惡意刷屏)：培訓(xùn)主持人快速關(guān)閉共享、暫停會議。

　　信息泄露應(yīng)急響應(yīng)：立即終止會議、上報IT部門、啟動溯源。

　　建立舉報機制

　　鼓勵員工報告可疑行為(如未知參會者、異常彈窗)。

　　四、典型風(fēng)險與應(yīng)對示例

　　企業(yè)需構(gòu)建 “技術(shù)防泄露+管理控流程+人員守底線” 的三層防御體系：

　　技術(shù)：加密通信、權(quán)限最小化、終端加固。

　　管理：會議閉環(huán)管控、日志審計、供應(yīng)商合規(guī)。

　　人員：常態(tài)化培訓(xùn)、實戰(zhàn)演練、問責(zé)機制。

　　通過以上措施，企業(yè)可在“護網(wǎng)2025”中嚴守視頻會議“安全門”，將信息泄露風(fēng)險降至最低。

　　貝為科技成立于2013年，公司定位于卓越IT服務(wù)提供商，專注于信息安全、基礎(chǔ)架構(gòu)、弱電集成等方面業(yè)務(wù) ，提供一站式解決方案。