某知名大型企业举办了一次全公司范围的在线年会。因为人数众多,年会采用线上视频会议的方式进行,几千名员工同时在线上观看。会议进行到某个环节,CEO进入了休息间歇。他以为自己在视频会议软件上已经成功关闭了麦克风,于是转身和坐在旁边的一位副总说起了话。这位CEO谈话的内容涉及对董事会个别成员的不同意见和评价,措辞比较直接,带有一定的批评和不满情绪。他之所以敢在这个时候说这种话,是因为他确信自己的麦克风已经被切断了,只有旁边的人能听到。但他没有注意到的是,视频会议软件的界面显示他的麦克风图标并没有变成静音状态。有些视频会议软件在麦克风开启的时候麦克风图标会显示为正常状态,在静音状态会有静音标识或者红色斜线,但如果用户在操作的时候只是点了软件窗口的关闭按钮而不是专门去点麦克风的静音按钮,麦克风可能仍然是开着的。更典型的一种情况是用户在操作的时候不小心点错了位置,以为点了静音但实际上点击的是其他功能。这位CEO说的话一句不落地被线上几千名员工听到了。消息立刻在公司内部炸开了锅,员工们在私下的聊天群里疯狂讨论。公司的人力资源和公关团队在发现问题之后紧急处理,但是CEO的那段话已经被不少员工私下录了音。后续公司内部的管理层关系和员工士气都受到了明显的影响,董事会层面也面临了不小的信任危机。
从技术原理上来分析,这件事情涉及视频会议系统中麦克风权限管理的一些关键细节。现代的视频会议软件通常提供了多种音频控制方式,包括系统级的麦克风开关、软件内的静音按钮以及硬件级的麦克风物理开关。每一种控制方式的效果和优先级是不一样的。系统级的麦克风开关是在操作系统层面设置的,一旦关闭,所有软件都无法使用麦克风。软件内的静音按钮只是在软件层面把音频流的发送暂停了,麦克风硬件本身仍然在工作,操作系统仍然可以采集到音频数据,只是软件没有把这些数据发送出去。硬件级的物理开关是最彻底的,直接从物理层面断开了麦克风的电源,没有任何软件可以在这种状态下获取到声音。这三种方式的差别很大,但很多非技术背景的普通用户并不了解。而且视频会议软件在静音状态下的界面反馈也不是百分之百可靠。有些软件设计得比较友好,会在用户尝试说话时弹出提示说你已静音、对方听不到你的声音,但并不是所有软件都有这个功能。即使有这个功能,如果用户虽然在说话但是并没有注意到那个小提示条,照样会出问题。还有一个很容易被忽视的细节是,部分视频会议软件在窗口获得焦点或者会议重新连接的时候,会自动恢复麦克风的非静音状态。如果一个用户之前手动设置了静音,但是在休息期间不小心关掉了会议窗口、又重新打开了,或者网络状况不好导致会议重新连接了,麦克风可能会自动恢复到开启模式。这位CEO遇到的很可能是这种情况之一。更值得警惕的是,现代视频会议软件中还有一个叫做房间系统的概念,就是在会议室里用一个专门的硬件终端连接视频会议,这个终端的麦克风拾音范围可以覆盖整个房间。如果CEO所在的房间有这种设备,那即使他在自己的电脑上点了静音,房间终端的麦克风照样会把整个房间的声音全部收进去。
这个案例值得在所有企业中进行广泛的安全教育。第一,使用视频会议软件参与任何涉及敏感话题的讨论之前,必须养成熟练操作麦克风控制功能的习惯。不要依赖软件界面上的一个小图标来确认自己的声音传不出去,最安全的方法是在物理层面断开麦克风。很多高端的视频会议耳机和一体机都配有物理静音按键,按下之后有一个红色指示灯亮起,这时候不管软件怎么设置,麦克风确实不会传输声音。第二,企业应该为高频使用视频会议的管理层人员提供培训,让他们了解不同软件在不同操作系统上的麦克风权限管理方式,特别是要知道静音按钮和关闭窗口之间的区别。第三,在企业内部的大型在线会议中,会议主持方应该建立明确的技术管理流程。比如在会议开始前指定专人管理所有参会者的麦克风权限,在非发言时段把非必要人员的麦克风全部静音并锁定,不允许自行取消静音。第四,企业内部应该建立一项通用安全规则,就是不管在什么情况下、不管你觉得麦克风已经关了,只要你在参与一个在线会议,默认麦克风是开启的,用这个假设来管住自己的嘴。第五,在讨论高度敏感话题时,建议使用独立的安全会议室配合物理设备进行线下交流,而不是依赖视频会议软件。视频会议软件在带来便利的同时也带来了不可见的泄密风险,使用者的安全意识必须跟上技术发展的步伐,否则便利就会变成灾难。案例来自企密安官网。
