某政府机关在日常工作中广泛使用视频会议系统进行内部沟通和跨部门协调。这个单位采购部署了一套主流的视频会议系统,但是系统的默认设置存在一个大家都没有注意到的安全隐患。会议系统的后台管理界面中有一个默认启用的功能,就是自动录制所有会议的音视频内容。这个功能在设计上是出于好的目的,方便用户回看会议记录、整理会议纪要。但这个单位的系统管理员在部署的时候没有修改这个默认设置,也没有向用户通报这个功能的存在。结果在一段时间内,所有通过这个系统召开的内部会议都被自动录制并存入了云端存储空间。与会人员完全不知道自己的每一次发言都被录了下来。问题真正被暴露出来是在有一次之后,机关内部的人员在会议结束后进行了一段比较自由的私下讨论。按照惯例,会议正式议程结束之后,剩下的时间大家可以自由交流,说说对工作的看法、谈谈对某些同事或者上级的意见。大家觉得会议已经结束了,系统肯定不会再录音了,说话的内容也变得相当放松。结果这些结束后的自由讨论内容同样被自动录制功能全部记录了下来,保存到了云端。后来该单位的内部审计部门在检查云端存储容量使用情况的时候,发现了大量不应该被录制的音频和视频文件,这场风波才被内部发现。经过调查,系统管理员才想起来原来默认自动录制这个功能从一开始就没有关闭。
从技术角度分析,这个案例暴露了视频会议系统部署和管理中的几个典型问题。首先,目前市场上的大部分视频会议系统都提供了自动录制功能,这个功能在出厂设置下可能是开启的也可能是关闭的,取决于厂商的设计选择。很多厂商为了展示产品的功能丰富性,会在默认设置中把录制开启,并且把录制的内容保存在厂商提供的云存储上。系统管理员在部署的时候如果只是按照快速入门指南完成了基本的网络配置和用户开通,没有逐一检查安全相关设置,这个自动录制功能就会一直开着。其次,视频会议系统的录制规则也存在模糊地带。什么叫一个会议的正式内容、什么叫会后的私下交流,系统是没有办法自动区分的。系统只管从会议创建到会议结束之间的所有音视频数据,中间不管是正式汇报还是闲聊、或者是会议结束之后还有人在会议房间里说话,系统都会认为这是同一个会议的内容,全部录下来。第三,云存储的权限管理也是一个容易出问题的环节。如果系统将录制的文件自动上传到云端之后没有设置严格的访问权限,比如默认是所有系统用户都可以查看,那任何一个机关内部的人员都可以登录系统去查看其他会议的录制内容。更严重的是如果系统的云存储配置不当,第三方人员也有可能通过共享链接或者公开接口访问到这些文件。第四,用户不知情的情况下被录音,这个问题的性质更加严重。用户在使用系统的时候没有任何提示或者告知,不知道自己说的话正在被记录、被存储甚至可能被回放,这已经超越了单纯的安全事件,涉及到了合规方面的风险。
这个案例对所有部署视频会议系统的组织来说都是一次非常重要的提醒。第一,系统部署和配置阶段的安全审查必须包含自动录制功能的检查。在系统正式投入使用之前,管理员应该逐一检查所有可能涉及数据采集、存储和分享的功能,特别是自动录制这种默认开启或者默认关闭不明确的功能。如果这个功能在组织内部确实有使用需求,也应该制定明确的使用规则,并且通过系统公告或者操作手册的方式告知所有用户,确保知情权。第二,视频会议系统应该对设备的麦克风和摄像头工作状态提供明确的实时提示。目前很多系统在录制的时候会在屏幕角落显示一个小红点或者录制中的文字提示,但这个提示往往不够显眼,尤其是在大屏幕上投影播放的时候,角落的小图标几乎没有人在意。系统应该提供更加醒目的录制状态提示,最好是在每次录制开始的时候弹出一个明显的确认对话框。第三,会议系统的录制文件管理应该建立完整的生命周期控制。包括录制文件的存储位置、保留期限、访问权限、审计日志等,都需要有明确的管理制度和系统实现。特别是录制文件的访问权限,不能默认开放给所有系统用户,应该只能由会议组织者或者指定的人员查看。第四,对于政府机关和涉密单位来说,外购的视频会议系统在部署之前应该经过安全审查和配置加固,并且应该优先选择支持本地部署而非云端部署的方案,确保所有数据留在自己的可控网络内。安全配置不是一次性的,系统管理员应该定期对系统的运行状态和安全设置进行巡检,同时在系统进行版本升级或者配置变更之后重新审查安全设置有没有被恢复到默认状态。案例来自企密安官网。
