วิธีการทำงานของการรักษาความปลอดภัยการประชุมผ่านเว็บ

Oct 03 2007

การรักษาความปลอดภัยเครือข่ายสำหรับการประชุมทางเว็บจะช่วยปกป้องคุณและธุรกิจของคุณ เรียนรู้ว่าความปลอดภัยของเครือข่ายมีความสำคัญเพียงใดในบทความนี้

ความปลอดภัยเป็นสิ่งสำคัญสำหรับการประชุมทางเว็บเช่นงานแถลงข่าวนี้

เสรีภาพมักก่อให้เกิดความเสี่ยง และการประชุมผ่านเว็บก็ไม่มีข้อยกเว้น ในขณะที่การประชุมเสมือนช่วยปลดปล่อยบริษัทจากความยุ่งยากทางการเงินและด้านลอจิสติกส์ของการประชุมแบบเห็นหน้ากัน พวกเขายังใส่ข้อมูลบริษัทที่เป็นความลับในสภาพแวดล้อมที่เสี่ยงต่อคู่แข่งและแฮกเกอร์

ความลับทางการค้า ประวัติพนักงาน ความรู้เกี่ยวกับผลิตภัณฑ์ และการคาดการณ์รายได้เป็นข้อมูลบางส่วนที่แชร์กันโดยทั่วไประหว่างการประชุมทางเว็บ [แหล่งที่มา: Cisco ] การแบ่งปันข้อมูลนี้ทางออนไลน์ทำให้เสี่ยงต่อการถูกโจรกรรม

และปัญหาด้านความปลอดภัยก็จะเกิดขึ้น ตัวอย่างเช่น ในเดือนตุลาคม พ.ศ. 2549 ซอฟต์แวร์การประชุมทางเว็บของ Adobe Connect ได้ประกาศว่าตรวจพบการละเมิดความปลอดภัยที่อาจนำไปสู่การเข้าถึงข้อมูลโดยบุคคลที่สามที่ไม่ต้องการ [ที่มา: บล็อกการประชุมทางเว็บ ]

อย่างไรก็ตาม มีหลายวิธีที่บริษัทสามารถปกป้องข้อมูลได้ในขณะที่เพลิดเพลินกับอิสระและลดต้นทุนจากการประชุมผ่านเว็บ

บางบริษัทพบว่าการเปลี่ยนไปใช้การประชุมทางเว็บทำให้เกิดผลตอบแทนจากการลงทุน (ROI)เป็นจำนวนมาก Fieldglass บริษัทเว็บในชิคาโกคาดการณ์ว่าการใช้การประชุมทางเว็บช่วยประหยัดเงินได้มากกว่า 1.9 ล้านเหรียญต่อปี [ที่มา: ข่าวสื่อสาร ]

ในบทความนี้ เราจะเรียนรู้ว่าการรักษาความปลอดภัยการประชุมผ่านเว็บทำงานอย่างไร สำรวจสถาปัตยกรรมของการรักษาความปลอดภัยการประชุมผ่านเว็บ และให้คำแนะนำสำหรับการจัดการประชุมทางเว็บที่ปลอดภัย สุดท้าย เราจะพิจารณาบทบาทของโฮสต์ในการควบคุมการประชุมทางเว็บ

สารบัญ

ความปลอดภัยเครือข่ายสำหรับการประชุมทางเว็บ
เคล็ดลับความปลอดภัยการประชุมผ่านเว็บ
การตรวจสอบบุคคลที่สามสำหรับการประชุมผ่านเว็บ
การจัดการประชุมทางเว็บ -- ตัวเลือกกฎระเบียบ

ความปลอดภัยเครือข่ายสำหรับการประชุมทางเว็บ

ข้อมูลที่เป็นความลับจำเป็นต้องได้รับการเข้ารหัสเพื่อป้องกันไม่ให้ถูกคนผิด

ระหว่างการประชุมทางเว็บ ข้อมูลจะถูกเก็บไว้ชั่วคราวบนอินเทอร์เน็ตเซิร์ฟเวอร์ที่ใช้ร่วมกัน ความเสี่ยงหลักของการประชุมผ่านเว็บคือความเป็นไปได้ที่ข้อมูลนี้จะรั่วไหลออกไปนอกขอบเขตของการประชุมและเข้าถึงได้โดยบุคคลที่ไม่เป็นมิตร

นั่นคือเหตุผลที่มาตรการต่างๆ เช่น การเข้ารหัส Secure Socket Layer (SSL) การไหลของข้อมูลที่ไม่ต่อเนื่อง และการควบคุมการบุกรุก มีความสำคัญต่อการปกป้องข้อมูลที่ส่งระหว่างการประชุมทางเว็บ การใช้วิธีการสามง่ามนี้ช่วยลดโอกาสที่ข้อมูลจะรั่วไหลได้อย่างมาก

ประการแรก ข้อมูลนั้นถูกเข้ารหัสด้วยเทคโนโลยี SSL เพื่อให้แน่ใจว่าจะไม่มีใครสามารถอ่านได้นอกจากผู้รับที่ตั้งใจไว้หากตกไปอยู่ในมือของผู้ไม่ประสงค์ดี

เพื่อป้องกันไม่ให้ตกไปอยู่ในมือคนผิดตั้งแต่แรก ข้อมูลที่เข้ารหัสสามารถวางในสถานะการโยกย้าย คง ที่ หรือสลับจากคอมพิวเตอร์ของผู้จัดการประชุมไปยังคอมพิวเตอร์ของผู้เข้าร่วมประชุม แทนที่จะเก็บไว้ในเซิร์ฟเวอร์เดียวอย่างต่อเนื่อง การถ่ายโอนข้อมูลแบบไม่ต่อเนื่องนี้คล้ายกับเครือข่ายโทรศัพท์ โดยที่ข้อมูลมาจากเครือข่ายแต่ไม่คงอยู่ที่นั่น [แหล่งที่มา: WebEx ]

สุดท้าย การควบคุมการบุกรุกทำงานเหมือนกับเจ้าหน้าที่รักษาความปลอดภัยที่มีไฟค้นหา ซึ่งจะสแกนเครือข่ายอย่างต่อเนื่องเพื่อหาผู้ใช้ที่ไม่ได้รับอนุญาต และปฏิเสธการเข้าถึงผู้ใช้เหล่านี้โดยการปิดพอร์ตการถ่ายโอน

ปัจจุบันมีบริษัทมากกว่าหนึ่งโหลให้บริการโฮสต์การประชุมทางเว็บ แม้ว่าแต่ละบริษัทจะมีสถาปัตยกรรมความปลอดภัยเวอร์ชันของตัวเอง แต่ก็มีความคล้ายคลึงกันมากกว่าที่ต่างกัน

เป็นมาตรฐานในอุตสาหกรรมการประชุมผ่านเว็บเพื่อดูสถาปัตยกรรมความปลอดภัยเป็นสแต็กที่มีการควบคุมของผู้ใช้ที่ด้านบนและการจัดเก็บข้อมูลที่ด้านล่าง โดยมีการควบคุมการประชุมอยู่ตรงกลาง นี่คือวิธีที่ WebEx ผู้ให้บริการชั้นนำด้านบริการการประชุมผ่านเว็บ จำลองสถาปัตยกรรมความปลอดภัย:

ความปลอดภัยของเว็บไซต์
ความปลอดภัยในการประชุม
ความปลอดภัยของเครือข่าย
ความปลอดภัยทางกายภาพ
การตรวจสอบบุคคลที่สาม

[ที่มา: WebEx ]

Live Meeting ของ Microsoft แสดงให้เห็นถึงรูปแบบการรักษาความปลอดภัยในฐานะอาคารที่มีเสาหลักแนวตั้งสามแห่งที่มีมูลค่าเท่ากัน:

การควบคุมการเข้าถึง
การจัดเก็บเนื้อหา
การส่งข้อมูล

Next, we'll give you some tips on ensuring security during Web conferences.

Web Conferencing Security Tips

Web conferences require increased security and protection of data.

Protecting your confidential data during a Web conference requires vigilance on multiple fronts before, during and after the meeting. A research report on Web conferences in 2003 identified three overarching goals in assuring Web conferencing security:

Take ownership
Comply with standards
Secure the environment

[source: Cisco]

Here are some more specific tips on how to hold a secure Web conference. They fall under three categories:

Entrance Requirements
Information Access
Data Protection and Storage

Entrance Requirements

Before your conference begins, you need to make sure that only the people you want to attend are able to attend. It's important not to publish meeting titles or otherwise publicize your conference, so as not to tip off hostile parties that the conference is happening. Here are some other tips on entrance requirements:

Send e-mail invitations over a secure e-mail server to make sure they're not intercepted. Secure invitations are your first line of defense against unwanted intrusions
Maintain a strict policy regarding passwords for entrance into the conference. Most Web conferencing services allow you to require two separate passwords for especially confidential meetings.
Limit password authentication attempts to stymie would-be hackers.
Authenticate both voice and Web access to the meeting.

Information Access

Not all the information presented during your conference needs to be made available at all times, nor to all parties. Before the conference begins, your company should agree what information is confidential and what information isn't. Here are tips on handling information access:

Assign different participants different access levels based on their need-to-know status, agreed on before the meeting.
Don't make all the information available at once; release access to information at different points in the meeting.
Don't pass information via an instant-messenger service.
Don't allow video recording of the conference.

Data Protection and Storage

ข้อมูลของคุณเป็นส่วนสำคัญของ บริษัท และจำเป็นต้องได้รับการปกป้องในทุกขั้นตอนของกระบวนการประชุมทางเว็บ หากคุณกำลังใช้บริการโฮสติ้งภายนอก ตรวจสอบให้แน่ใจว่านโยบายความปลอดภัยของผู้ขายนั้นสอดคล้องกับความต้องการของบริษัทของคุณ

การจัดการประชุมบนเซิร์ฟเวอร์ของคุณเองนั้นเหมาะสมที่สุด แต่ก็ไม่สามารถทำได้เสมอไป เนื่องจากจำนวนผู้ขายที่เสนอบริการการประชุมผ่านเว็บเพิ่มขึ้น พวกเขาจึงเริ่มให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก ต่อไปนี้เป็นวิธีปกป้องข้อมูลของคุณ:

ปฏิบัติตามมาตรฐานองค์กรสำหรับการประชุมผ่านเว็บ เมื่อเวลาผ่านไป การปฏิบัติตามข้อกำหนดดังกล่าวจะช่วยเพิ่มความปลอดภัยในการประชุม ดูที่XCONสำหรับมาตรฐานเหล่านี้
ใช้การเข้ารหัสระดับสูงสุดเท่าที่เป็นไปได้สำหรับข้อมูลของคุณ
หากคุณกำลังใช้บริการของบุคคลที่สามเป็นโฮสต์ หลีกเลี่ยงการวางข้อมูลที่เป็นความลับบนเซิร์ฟเวอร์ของพวกเขา
หากคุณต้องใส่ข้อมูลที่เป็นความลับบนเซิร์ฟเวอร์ของบุคคลที่สาม ให้ลบทิ้งทันทีหลังการประชุม

[ที่มา: ซิสโก้ ]

ไปที่หน้าถัดไปเพื่อเรียนรู้เกี่ยวกับการตรวจสอบบุคคลที่สาม

การตรวจสอบบุคคลที่สามสำหรับการประชุมผ่านเว็บ

ผู้ตรวจสอบบุคคลที่สามมีหน้าที่รับรองความปลอดภัยสำหรับการประชุมทางเว็บ

บริษัทต้องการทราบโดยไม่ต้องสงสัยเลยว่าข้อมูลที่อาจอยู่บนเซิร์ฟเวอร์ของผู้ขายชั่วคราวในระหว่างการประชุมทางเว็บนั้นไม่ได้ถูกเข้าถึงโดยบุคคลที่ไม่ต้องการ

บริการโฮสต์การประชุมทางเว็บให้คำมั่นสัญญามากมายเกี่ยวกับความปลอดภัย แต่เพื่อให้มั่นใจว่าข้อมูลของคุณได้รับการจัดการอย่างเหมาะสม สิ่งสำคัญคือต้องรู้ว่าบริการดังกล่าวอยู่ภายใต้การกำกับดูแลของหน่วยงานตรวจสอบบุคคลที่สาม ผู้ตรวจสอบบัญชีบุคคลที่สามคือนักบัญชีที่ผ่านการรับรองซึ่งได้รับการว่าจ้างจากผู้ขายให้เข้าร่วมรายการตรวจสอบและพิจารณาอย่างเป็นกลางว่าผู้ขายปฏิบัติตามคำมั่นสัญญาด้านความปลอดภัยของตนเป็นอย่างดี ผู้ตรวจสอบจะทบทวนขั้นตอนของบริการโฮสติ้งเป็นประจำทุกปี และมอบตรารับรองหากเป็นไปตามมาตรฐานความปลอดภัย

Ernst & Young ซึ่งให้การรับรอง WebTrust และ SAS-70 Type I & II ทำให้บริษัทต่างๆ ได้รับมาตรฐานความปลอดภัยดังต่อไปนี้

ประการแรก บริษัทต้องระบุและจัดทำเอกสารมาตรการรักษาความปลอดภัยเฉพาะ นอกจากนี้ยังต้องอธิบายว่าอนุญาตให้เข้าถึงผู้ใช้ที่ได้รับอนุญาตได้อย่างไร อนุญาตให้เข้าถึงประเภทใด และใครอนุญาตการเข้าถึงนั้น ต่อไปนี้เป็นส่วนอื่นๆ ที่ Ernst & Young ตรวจสอบในกระบวนการตรวจสอบความปลอดภัย:

ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
ขั้นตอนการเพิ่มผู้ใช้ใหม่ ปรับเปลี่ยนระดับการเข้าถึงของผู้ใช้ที่มีอยู่ และลบผู้ใช้ที่ไม่ต้องการการเข้าถึงอีกต่อไป
การกำหนดความรับผิดชอบและความรับผิดชอบต่อความปลอดภัยของระบบ
การกำหนดความรับผิดชอบและความรับผิดชอบต่อการเปลี่ยนแปลงระบบและการบำรุงรักษา
การทดสอบ ประเมิน และอนุญาตส่วนประกอบของระบบก่อนนำไปใช้งาน
การจัดการกับวิธีการแก้ไขข้อร้องเรียนและคำขอที่เกี่ยวข้องกับปัญหาด้านความปลอดภัย
ขั้นตอนในการจัดการกับการละเมิดความปลอดภัยและเหตุการณ์อื่น ๆ
จัดให้มีการจัดสรรการฝึกอบรมและทรัพยากรอื่นๆ เพื่อสนับสนุนนโยบายการรักษาความปลอดภัยของระบบ
ข้อกำหนดสำหรับการจัดการข้อยกเว้นและสถานการณ์ที่ไม่ได้ระบุไว้โดยเฉพาะในนโยบายความปลอดภัยของระบบ
ข้อกำหนดสำหรับการระบุและสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้อง ข้อผูกพันที่กำหนดไว้ ข้อตกลงระดับการให้บริการ และสัญญาอื่นๆ

[ที่มา: WebTrust ]

ในหน้าถัดไป คุณจะได้เรียนรู้เพิ่มเติมเกี่ยวกับการโฮสต์การประชุมทางเว็บ

การจัดการประชุมทางเว็บ -- ตัวเลือกกฎระเบียบ

ด้วยมาตรการรักษาความปลอดภัยที่เหมาะสม การประชุมทางเว็บอาจมีความเสี่ยง

กุญแจสำคัญในการจัดการประชุมทางเว็บที่ปลอดภัยคือการถ่วงดุลการเปิดกว้างของแพลตฟอร์มการประชุมทางเว็บโดยยืนยันการควบคุมกระบวนการและผู้เข้าร่วมประชุมให้ได้มากที่สุด ในฐานะเจ้าภาพ คุณมีอำนาจมากมายเหนือการประชุมและวิธีแชร์ข้อมูล บริการการประชุมผ่านเว็บช่วยให้โฮสต์ควบคุมการประชุมได้อย่างมีนัยสำคัญ ในฐานะเจ้าภาพ คุณสามารถควบคุมการประชุมโดย:

รวบรวมข้อมูลการลงทะเบียน
การพิจารณาว่าใครได้รับอนุญาตให้เข้าสู่การประชุม
ตัดสินใจว่าจะให้ข้อมูลใดแก่ผู้เข้าร่วมรายใด
การตั้งค่าข้อกำหนดรหัสผ่าน
ขับไล่ผู้เข้าร่วมที่ไม่ต้องการ
สิ้นสุดการประชุมเมื่อใดก็ได้
สิ้นสุดเซสชันการแชร์แอปพลิเคชันเมื่อใดก็ได้
คัดกรองผู้เข้าใหม่
ล็อคการประชุมผู้เข้าร่วมใหม่
ติดตามข้อมูลผู้เข้าร่วมประชุม
การตรวจสอบการละเมิดความปลอดภัย
การบันทึกและการลบเนื้อหา
การลบข้อมูลเมื่อสิ้นสุดการประชุม

การทำความเข้าใจความเสี่ยงที่เกี่ยวข้องกับการประชุมทางเว็บเป็นขั้นตอนแรกในการสร้างสภาพแวดล้อมการประชุมทางเว็บที่ปลอดภัย ด้วยการเข้ารหัสข้อมูล ทำให้มั่นใจว่าข้อมูลจะไม่ถูกจัดเก็บอย่างต่อเนื่องและติดตามกิจกรรมของผู้เข้าร่วมประชุม คุณสามารถลดความเป็นไปได้ที่จะถูกละเมิดความปลอดภัยได้อย่างมาก

แม้ว่าคุณจะใช้บริการการประชุมทางเว็บภายนอกที่มีการรับรองจากบุคคลที่สาม คุณไม่ควรถือว่านี่หมายความว่าการประชุมของคุณปลอดภัย คุณยังต้องสร้างโปรโตคอลที่ระมัดระวังเป็นโฮสต์ เช่น รหัสผ่าน คุณควรกำหนดด้วยว่าใครได้รับอนุญาตให้เข้าถึงข้อมูลและกำหนดขั้นตอนในการจัดการข้อมูลหลังการประชุม

การประชุมผ่านเว็บยังค่อนข้างใหม่ และผู้ขายยังคงแก้ไขปัญหาด้านความปลอดภัยอย่างต่อเนื่อง ในขณะนี้ หลายบริษัทพบว่าประโยชน์ของการประชุมเสมือน -- ลดต้นทุนการเดินทาง ความสามารถในการแบ่งปันข้อมูล -- มีมากกว่าความเสี่ยงปานกลางของการโจรกรรมข้อมูล ตราบใดที่บริษัทระมัดระวังเรื่องการรักษาความปลอดภัยและใช้ผู้ขายที่มีมาตรการรักษาความปลอดภัยที่เข้มงวด การประชุมทางเว็บควรถูกมองว่าเป็นทางเลือกที่ทำงานได้แทนการประชุมแบบเห็นหน้ากันแบบเดิมๆ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยการประชุมผ่านเว็บและหัวข้อที่เกี่ยวข้อง โปรดดูที่ลิงก์ในหน้าถัดไป