Zoom 如何帮助您在网络空间中保持安全

网络犯罪分子每年都在变得更加狡猾，他们部署多层次、复杂的攻击，在人们最脆弱的时候对其进行攻击。现在，黑客和骗子通过精心设计的骗局渗透到受害者中，目的是让人们措手不及，并利用他们的善心。虽然仍强烈建议使用专用网络、唯一密码和锁定设备等最佳做法，但您还必须选择部署强大有效措施以帮助确保数据安全的工具和软件提供商。 

如果员工在不知情的情况下下载了恶意软件或意外将私人数据暴露给错误的受众，工作场所也同样容易受到数据泄露的影响。因此，考虑到这一点，这里有一些提示，可帮助您在使用 Zoom 时保持在线安全，并深入了解我们为保护客户和员工数据而部署的安全计划。 

无论您是首次下载 Zoom Workplace 应用程序，还是更新到最新版本，都要确保您是从信誉良好的来源访问的，例如 Zoom Web 门户、应用程序本身，或者从 Apple App Store 等官方市场下载。

如果您收到一封电子邮件，鼓励您下载意想不到的最新版本的 Zoom Workplace，请仔细检查发件人域名（电子邮件将回复给谁），并将鼠标悬停在下载链接上（不要点击）以确保它是一个合法链接。如果不是指向实际的 Zoom 域名，例如 (zoom.com、zoom.us)，你要避免点击任何链接。    

下面是两封看似合法、实则虚假的电子邮件。

一旦知道您是从真实来源下载 Zoom Workplace，请务必保持应用程序更新，以访问最新功能、修复任何错误并体验最佳音频和视频质量。 

您可以采取一些步骤来保持虚拟活动的私密性并防止不速之客参加您的会议或网络研讨会。首先，避免在每次新会议中使用您的个人会议号 (PMI)。如果外部人员可以从旧会议访问您的 PMI，他们可能会破坏您的下一次会议。保留 PMI，只在与认识的人举行内部会议时使用。 

会议开始后，我们建议启用等候室，这样您就可以批准任何尝试进入的人，并阻止其他人进入。只允许已登录的用户加入，并在会议开始后锁定会议。您还可以在观众登录时要求输入会议密码、禁用视频以及将音频静音，以避免不必要或不适当的对话。我们还建议将屏幕共享和注释功能仅限于主持人或特定观众，因此请务必禁用“共享屏幕”选项，这也会关闭任何注释功能。

要了解有关如何在 Zoom 上保持安全的更多信息，请访问我们的安全中心。

现在，大多数人都已经意识到创建在应用程序和设备之间不会重复的复杂密码的重要性。但为了增加一层额外的保护，我们提供单点登录 (SSO) 和双重身份验证集成，使访问 Zoom Workplace 应用程序变得无缝、安全且简单。 

我们的 SSO 功能允许您使用与组织身份提供商相同的凭证，这样您就不必保留单独的用户名和密码。双重身份验证将您的安全性扩展为两步登录流程，除了主要的 Zoom 登录之外，还需要提交从移动应用程序或短信生成的一次性代码。

随着混合和远程办公模式的兴起，屏幕共享与远程控制访问已成为必不可少的协作工具，因此了解何时使用相应功能至关重要。屏幕共享允许演示者展示幻灯片、演示文稿和培训材料等视觉内容，并为主持人和参会者提供共享屏幕注释功能。远程控制访问允许一名参会者在获得权限的情况下控制他人的屏幕，通常可用于 IT 支持、软件安装或协作文档编辑。

这两种功能都有重要的安全考量。屏幕共享的风险包括敏感信息意外泄露，以及权限设置不当可能导致的会议中断。远程控制访问的风险更为严重，因其赋予外部用户对电脑功能（如鼠标键盘控制）的完全访问权限，若授权给不可信方则可能引发恶意活动。

虽然无人会故意向攻击者开放访问权限，但随着恶意行为者手段升级，您可能会无意间向错误对象授予访问权。为了安全地使用这些功能，以下是部分最佳实践建议：

• 仅限主持人和指定参会者（例如联席主持人或嘉宾）共享屏幕。默认情况下，您可以在设置中对此进行限制，或根据需要利用会议内功能调整此权限。
• 共享屏幕时，请确保关闭敏感文档和选项卡。尽可能只共享特定的应用程序或选项卡。

在授予电脑远程访问权限时，请遵循以下步骤以防范恶意活动：

• 请勿响应未经请求的联系：您应主动向可信来源发起支持请求，而非相反。切勿点击陌生人或非自主联系人发来的链接或接受其请求。
• 验证、验证、验证：如果有人声称来自正规组织，请独立核验其身份。通过该机构官方网站（而非对方提供的联系方式）查询其官方联系信息并与之直接联系。
• 务必警惕紧急情况：诈骗分子常制造恐慌，迫使您做出仓促决定。请保持冷静、详加询问，切勿受他人施压。
• 了解远程控制的含义：授予远程控制访问权限，意味着您必须同意让他人控制您的电脑。在授予权限前请仔细斟酌，因为不法分子可能会在执行此步骤时冒充他人获取权限以访问您的设备。

Zoom 的多种内置控件旨在帮助您安全地实践远程访问，包括以下功能：

• 查看参会者名单：当您主持的 Zoom 会议参会者众多或存在未登录 Zoom 账户的观众时，请在会前仔细核查参会者名单，以识别可能申请远程控制权限的人员。
• 撤销访问权限：如果您怀疑某人存在恶意行为，请立即撤销其远程控制访问权限。您可以通过 Zoom 会议控件执行此操作，点击“远程控制”图标并选择“停止远程控制”即可。
• 锁定会议：如果您正在主持会议，请将其锁定以防新参会者加入。
• 禁用参会者的远程控制功能：主持人可默认禁用全体参会者的远程控制功能（无需此功能时）。会议访客则可在账户设置中选择“阻止外部用户控制我的屏幕”。

交互对象身份难辨，因此我们开发了额外功能，以提升通信时的信任度并确保双方安全交互。

• 域名关联功能（适用于 Zoom 商业版许可证级别及更高级别的付费账户）可验证您的域名并将其显示在 Zoom 个人资料卡上，以便他人在 Team Chat 对话、会议和网络研讨会中查看。符合条件的账户所有者和管理员可在账户层级启用此功能，从而让 Zoom 平台上所有内外部交互对象都能识别其组织身份，确保沟通安心无忧。这有助于识别您自己组织内的用户，并确认外部参会者是否来自经过验证的域名。
• Zoom 的 Okta 端到端加密身份验证允许组织使用 Okta 的身份管理平台来验证参会者的身份。此功能适用于付费账户，通过确认加入 E2EE 会议的个人用户身份是否属实来降低安全风险。当某人加入会议时，可显示徽章以表明其身份经过验证。将鼠标悬停在徽章上以查看其详细信息，例如电子邮件地址和与其 Okta 账户关联的企业域名。了解更多关于 Okta 身份验证的信息。

这些功能协同运作，大幅增加了不法分子在 Zoom Team Chat、会议和网络研讨会中冒充合法用户或组织的难度。

利用我们的可选端到端加密 (E2EE) 功能（目前适用于 Zoom Meetings 和 Zoom Phone），只有参会者的设备知道加密密钥。启用此功能可增加一层额外的保护，帮助您在各种 Zoom 解决方案之间轻松通信，尽管某些 Zoom 功能会受到限制。 

点击此处，了解有关 Zoom Workplace 平台加密的更多信息。

此外，我们全新的后量子端到端加密 (E2EE) 功能可帮助保护您当前和未来的数据安全。这一高级加密层旨在保护您当前的 Zoom Meetings、Zoom Phone 和 Zoom Rooms 数据，并使其免受只有量子计算机才能产生的前所未有的潜在威胁。

网络安全不仅限于我们的 IT 或安全团队。我们希望所有 Zoom 员工都具有网络意识，我们制定了许多举措并提供资源，教育员工如何防范网络威胁。

我们的安全意识和培训计划超越了基础知识的范畴，专门设计用于为员工创造难忘的体验，以便全年强化重要的技能和知识。其中一些活动包括：

• 每月开展网络安全意识活动，并就相关和及时的主题进行交流
• 年度信息安全学习，主题包括网络钓鱼、事件响应、政策、威胁/攻击等 
• 为特定员工提供基于角色的学习，如拥有特定权限、编写或编辑代码权限的员工
• 持续的网络钓鱼模拟，提供即时用户反馈、知识强化和内置游戏化功能
• 针对各种主题、认证和合规性要求的微型培训 
• 安全意识大使计划由跨职能团队成员组成，他们讨论当前的安全问题、提供反馈、分发信息、提供详细的消息并反馈给自己的团队和部门

除了内部员工安全计划，我们还在更大的社区内监督各种举措，以帮助我们降低风险、促进创新并继续改进我们的服务，例如：

• 漏洞报告奖励计划：我们与安全研究人员合作（并支付报酬！），以发现并正确报告 Zoom 中的潜在漏洞，这样我们就能在问题公开之前对其进行修复。
• 威胁情报：我们寻找意外发布在公共场所的 Zoom Meetings，然后通知客户如何保护自己免受 Zoom 轰炸。
• 漏洞管理：我们不断扫描我们的系统，通过快速响应更新使其保持最新状态。
• HackerOne 赞助：我们赞助并参与了 HackerOne 活动，这些活动为我们提供了与来自全球各地的优秀道德黑客合作的机会，共同提高我们平台的安全性。 

要获得众多认证和证明，我们必须持续致力于确保我们的产品和服务符合严格的安全和隐私标准。我们很荣幸，我们的产品得到了世界上许多最著名组织的认可，并在以下领域获得认证： 

• 隐私与云计算 
• 数据隐私框架
• 安全和合规控制
• 世界多国政府制定的安全标准
• PCI 合规性

查看 Zoom 证明、认证和标准的完整列表。

俗话说，熟能生巧。有鉴于此，我们不断改进我们的安全措施和产品创新，使我们的员工和客户能够更自由地沟通和协作。通过为我们的员工和客户提供持续的资源和教育，我们可以预见一个网络攻击更少、在线环境更安全的未来。 

在我们的信任中心及时了解我们所有的安全和隐私新闻。