90 天安全计划进度报告:5 月 20 日

90 天安全计划进度报告:5 月 20 日

随着我们旨在提高平台安全性和隐私性的 90 天计划的持续实施,本周“对话袁征”网络研讨会重点讨论了会议安全、Zoom Phone FedRAMP 授权和 Zoom 漏洞报告奖励计划。

Zoom 首席执行官袁征与 Zoom 首席产品官 Oded Gal、Zoom 副法律总顾问兼首席合规和道德官 Lynn Haaland 以及 Luta Security 创始人兼首席执行官 Katie Moussouris 共同主持了会议。Zoom 首席技术官 Brendan Ittelson 以及 Zoom 隐私和加密顾问 Lea Kissner(前 Google 全球隐私技术负责人)参与了问答环节。

上周更新及未来几周的计划:

 

本周会议要点

Zoom Phone FedRAMP 授权已获批

我们于今日宣布,Zoom Phone 已获得美国FedRAMP 的授权批准。 这意味着美国联邦政府机构和承包商从现在起可以将 Zoom Phone 作为授权的 Zoom 政府解决方案产品使用。Zoom 政府解决方案为美国政府机构提供了全面的 Zoom UCaaS 平台,包括 Zoom Meetings 和 Zoom Chat、Zoom Video Webinars、会议室解决方案以及现在的 Zoom Phone。

会议安全

Lynn Haaland 介绍了 Zoom 最近几个月为防止会议受到不良干扰所采取的措施。其中包括:新增适合特定用户的密码和等候室等默认安全设置,在安全图标中显示会议中安全控件,新增举报机制,与执法及其他在线平台密切合作,以及对用户进行安全最佳实践方面的教育。

另外 Lynn 还强调了以下确保 Zoom 会议安全的技巧:

  • 不要公开共享您的会议 ID 和/或密码。
  • 确保开启 Zoom 默认安全功能,包括等候室、密码和限制屏幕共享。
  • 了解主持人隐私和安全功能,例如禁用视频、参会者静音、移除参会者和锁定会议。
  • 使用会议注册。

Lynn 说明,Zoom Meetings 不适用于在互联网上发布邀请的大型或公开活动。对此我们强烈建议您使用 Zoom Video Webinars,以增强对参会者和体验的控制。请访问我们的支持页面详细了解会议与网络研讨会的差异

Zoom 漏洞报告奖励计划

Luta Security 创始人和首席执行官以及 Zoom 安全顾问 Katie Moussouris 介绍了 Zoom 漏洞报告奖励计划的运行机制,该计划采用依赖于所有各方(包括安全研究人员)的众包模式来发现和报告漏洞。她还指出,Zoom 曾向用户广泛征求意见,来优化漏洞报告奖励计划。

Zoom 5.0 注意事项

Zoom 5.0 于 4 月 27 日发布,我们计划在 2020 年 5 月 30 日对整个系统内的账户全面启用 AES 256 位 GCM 加密。自此日起,仅 5.0 或更高版本的 Zoom 客户端(包括 Zoom Rooms)可加入 Zoom 会议。建议所有尚未更新的用户立即更新至 Zoom 5.0 或更高版本。Zoom 管理员请访问我们的 IT 管理员页面管理此项更新。用户可通过 zoom.us/testgcm 预览 GCM 体验。

端对端加密设计文件将于周五发布

本周五,我们将在 GitHub 上发布针对端对端加密产品的详细加密设计草案。我们还会与加密专家、客户、宣传团队和其他人员开展讨论会,以征求反馈,评估最终设计。

问答

在本周的网络研讨会中,我们在线解答了观众的以下问题:

如何报告安全漏洞

请访问 zoom.us/security 或发送电子邮件至 security@zoom.us。

如果使用 Chromebook如何下载 Zoom 5.0 客户端

Chromebook 用户可以从 Google 应用商店下载 Zoom Chromebook 应用或使用 Zoom 网页版客户端(将始终保持最新版本)。

用户向 Zoom 举报时是否会通知账户管理员?

当主持人或联席主持人利用举报用户功能举报参会者时,系统会将举报发送至 Zoom 信任和安全团队。但是,未来我们计划在某些情况下某些账户的用户被举报时通知其账户管理员。

主持人以外人员是否可以录制会议?

主持人可以授权其他参会者录制,但任何人未经主持人同意都将无法进行 Zoom 录制。

您是否能够详细介绍一下 5 22 日发布的端对端加密设计草案?

我们将在 5 月 22 日发布的草案中分享构建加密视频服务的计划和设计。此草案不会包含任何实际代码。我们希望在开发端对端加密产品前收集反馈并进行评估。

是否有任何允许与等候室中用户私聊来帮助确认身份的计划?

Oded 表示,这是反馈最多的增强功能之一,目前正在计划中。

为何移除了全部解除静音的功能,是否计划恢复该功能?

我们从用户界面中移除“全部解除静音”的功能是因为,主持人可以在未经参会者同意的情况下将参会者解除静音。未来我们会恢复此功能。但是,主持人将需要参与者的同意才能在会议中将其解除静音。

感谢您的支持

感谢您参加本周会议,并向所有给我们提出问题的人表示感谢!感谢您的一路相伴和支持,让我们携手将 Zoom 打造为全球最安全的企业通信平台。

如果您错过本周会议,可以观看此处的录制视频:

如需向 Zoom 提供反馈或提出问题,请发送电子邮件至 answers@zoom.us。欢迎注册参加下周的“对话袁征”网络研讨会。

下载本博客的 PDF 文件

记得分享本博文