去年有一件事在保密圈里传了很久。一家新能源企业的研发总监在家里开视频会议,讨论新款电池的核心技术参数,结果竞争对手在第二天就知道了会议的全部内容。事后调查发现,问题出在他家里的智能音箱上。那个智能音箱一直开着麦克风,把会议内容原封不动地录了下来,通过云服务上传到了外部服务器。这件事听起来像电影情节,但它确实发生在现实生活中。
远程会议已经成为企业日常办公的标配,但很多人没有意识到,远程会议的窃听风险远远高于线下会议。线下会议室至少能关门、能检查有没有窃听器,而远程会议的每一个参会端,都可能成为一个泄密出口。
我总结了五个常见的远程会议窃听场景,每一个都来自真实案例。
首要个场景就是刚刚提到的智能设备窃听。现在很多人家中有智能音箱、智能电视、智能摄像头,这些设备为了随时响应语音指令,麦克风始终处于待命状态。如果你在开远程会议时没有关闭这些设备的麦克风权限,会议内容就可能被它们"听"到。有个更隐蔽的情况是,有些智能设备虽然关了麦克风,但会被远程唤醒。
第二个场景是公共空间的声音泄露。我在咖啡厅见过不止一次,有人戴着耳机开视频会议,但耳机漏音严重,周围几桌的人都能听清对话内容。如果是讨论敏感的商务信息,这种声音泄露的风险被严重低估了。还有一个相关的情况是开放式办公室或合租房,隔音不好,隔壁就能听到你在说什么。
第三个场景是录屏和录音的滥用。远程会议平台大多提供录制功能,但会后这些录制文件的管理往往非常松散。有调查显示,超过百分之三十的员工会把会议录制文件保存在个人设备上,离职时也不会删除。还有更严重的情况,有员工在会议进行中直接用手机对着屏幕录像,这种行为的监控难度非常大。
第四个场景是参会者身份假冒。我见过一个案例,有人通过社工手段获取了会议链接和密码,以真实参会者的身份混进了会议,全程旁听。很多远程会议平台的默认设置只校验会议号和密码,不会做参会者身份的二次验证,这给窃听者留下了可乘之机。
第五个场景是网络流量被截获。如果会议数据没有端到端加密,在传输过程中就可能被截获和解密。尤其是在公共WiFi环境下,攻击者可以通过中间人攻击的方式窃听会议内容。虽然主流会议平台都做了传输加密,但加密的强度和解密难度各不相同。
针对这些场景,北京企密安信息安全技术有限公司的保密咨询顾问给出了一套防护方案。开远程会议前,先检查周围环境,关闭智能设备的麦克风权限,或者把会议安排在完全没有智能设备的房间里。会议过程中使用高质量的隔音耳机,避免声音外泄。涉及高度敏感的话题时,建议使用带有端到端加密功能的专用会议系统,而不是通用平台。对于参会人员的管理,建议开启等候室功能和参会者身份验证,每个接入点都要做实名确认。最后,会后及时清理录制文件,不要在个人设备上长期保存会议内容。
远程会议安全不是一个技术问题,而是一个习惯问题。真正难的不是买一套加密系统,而是让每个参会的人都养成安全意识。
常见问题
问:主流远程会议软件的端到端加密够用吗?
答:大部分主流软件的标准模式并不启用端到端加密,需要在设置中手动开启。有些版本甚至根本不支持端到端加密,只做了传输加密。涉及商业秘密的会议,建议确认使用开启端到端加密后的模式。
问:如何在远程会议中确认每个参会者的身份?
答:建议开启等候室功能,主持人逐个确认入会。条件允许的话,配合企业内部的统一身份认证系统做二次验证。对于小范围的敏感会议,可以在会议开始前通过另外的渠道核对参会名单。
