WebE 解決方案安全性概述

簡介通過實時協(xié)作來連接全球員工和虛擬團隊的做法在尋求競爭優(yōu)勢的組織中蔚然成風。全球已有很多并且越來越多的商業(yè)和政府機構依賴CiscoWebEx的軟件服務化(SaaS)解決方案來簡化銷售、營銷、培訓、項目管理和支持的業(yè)務流程。Cisco將安全性視為設計、部署和維護WebEx網絡、平臺和應用程序的頭等大事。所以，您可以立即放心地您將WebEx的解決方案融入到現(xiàn)有的業(yè)務流程中，甚至是在那些對安全性有著最苛刻要求的環(huán)境中。了解WebEx應用程序的安全功能和底層通信基礎結構(CiscoWebExCollaborationCloud)對于您做出購買決定意義重大。了解以下各項的詳細安全信息：WebExCollaborationCloud基礎結構?安全的WebEx會議體驗?會議站點配置?會議安排的安全選項?開始和加入WebEx會議?加密技術?傳輸層安全性?防火墻兼容性?會議后數據存儲?單點登錄?第三方鑒定：經由獨立審計驗證CiscoWebEx的安全性“CiscoWebEx會議"和“CiscoWebEx會議會話”這兩個術語是指在所有CiscoWebEx產品中使用的集成音頻會議、VoIP，以及單點和多點視頻會議。CiscoWebEx的產品包括：CiscoWebExMeetingCenterCiscoWebExTrainingCenterCiscoWebExEventCenterCiscoWebExSupportCenter(包括CiscoWebExRemoteSupport和CiscoWebExRemoteAccess)除非特別指出，此文檔中描述的安全功能同等適用于上述提到的所有WebEx應用程序和服務。CiscoWebEx 會議角色WebEx會議中4個關鍵的角色是主持人、候補主持人、發(fā)言人和與會者。主持人主持人安排并開始WebEx會議。主持人控制會議體驗，并且作為初始發(fā)言人，還可以將發(fā)言人特權授予與會者。主持人可以啟動音頻會議部分，還可以鎖定會議和驅逐與會者。候補主持人由主持人指定候補主持人。候補主持人可以代替主持人開始一個已安排的WebEx會議。候補主持人擁有和主持人一樣的特權，在主持人不在時可以控制整個會議。發(fā)言人發(fā)言人可共享演示、特定應用程序或整個桌面。發(fā)言人可控制注釋工具，并可授予和撤銷單個與會者對共享的應用程序和桌面的遠程控制權。與會者與會者的權限最小，通常只是查看會話內容。WebExCollaborationCloud 基礎結構WebExCollaborationCloud是專為實時網絡通信構建的通信基礎結構。其數據中心被戰(zhàn)略性地布置在互聯(lián)網各大主要接入點附近，流量通過專用的高帶寬光纖路由全球傳輸。交換體系結構WebEx部署了獨特的全球分布式高速會議交換機專用網絡。由發(fā)言人計算機傳送至與會者計算機的會話數據通過WebExCollaborationCloud進行交換，不會永久保存。WebExCollaborationCloud實現(xiàn)了一個具有獨特安全性、極高擴展性及高可用性的會議基礎結構，且不受自建服務器解決方案的物理限制。數據中心WebEx會議會話使用部署在全球各個數據中心的交換設備。CiscoWebEx擁有并運作在WebExCollaborationCloud中使用的所有基礎結構。目前這個網絡包含了加利福尼亞州（加州圣何塞和山景城）、科羅拉多州、弗吉尼亞州、英國、澳大利亞，日本和印度的數據中心。CiscoWebEx人員24x7全天候工作，為用戶提供所需的后勤安全、運作和變更管理方面的支持。數據中心的安全人員CiscoWebEx建立了專屬的安全部門，由CiscoWebExTechnologyGroup的CIO和Cisco的CSO直接領導。這個團隊為WebEx的產品、服務以及業(yè)務運營推薦并實施安全步驟。團隊成員已通過的認證有：GIAC認證鑒識分析師、CISSP、GIAC認證入侵分析師、ISSMP和CISM。WebExTechnologyGroup不斷從領先的服務商和行業(yè)專家處接受有關企業(yè)安全性的全面培訓，以保持其在安全創(chuàng)新方面的領先地位并達到安全認證的標準。安全的CiscoWebEx會議體驗會議站點配置“WebEx站點管理〃模塊為定制的WebEx站點管理并執(zhí)行安全策略。該級別上的設定項決定了主持人和發(fā)言人在安排會議方面的特權。例如，您可以通過自定義會話配置針對每個站點或用戶禁用發(fā)言人共享應用程序或傳輸文件的功能，從而符合業(yè)務目標和安全要求?！癢ebEx站點管理〃模塊管理以下安全功能：賬戶管理?當登錄失敗的次數達到設定值后鎖定賬戶。?在指定的時間間隔后自動解鎖先前鎖定的賬戶。?當賬戶無活動的時間達到指定的長度之后自動停用賬戶。特定的用戶賬戶管理操作?要求用戶在下一次登錄時更改密碼。?鎖定和解鎖賬戶。?激活和停用賬戶。創(chuàng)建賬戶?新建賬戶要求郵件確認。?新建賬戶請求需要安全文本。?允許自行注冊（申請）新賬戶。?配置自行注冊新賬戶的規(guī)則。賬戶密碼?執(zhí)行嚴格的賬戶密碼標準。?配置臨時密碼的有效天數。?要求主持人以固定的時間間隔（可配置）更改賬戶密碼。?要求所有主持人在下一次登錄時更改賬戶密碼。嚴格的賬戶密碼標準?最短長度。?字母大小寫混合。?最少數字個數。?最少字母個數。?最少特殊字符數。?不允許某個字符重復3次或以上。?不允許重新使用最近幾次用過的密碼。?不允許使用動態(tài)文字（站點名稱、主持人姓名、用戶名）。?不允許使用定制的列表中的密碼（如：password）。?更改密碼的最短時間間隔。嚴格的會議密碼標準?要求每個會議都設密碼。?最短長度。?字母大小寫混合。?最少數字個數。?最少字母個數。?最少特殊字符數。?不允許某個字符重復3次或以上。?不允許使用動態(tài)文字（站點名稱、主持人姓名、用戶名）。?不允許使用列表（可定制）中的密碼（如：password）。個人會議室（可通過個性化的鏈接地址和密碼訪問）可以幫助主持人羅列出已安排的會議和正在進行的會議、開始和加入會議，以及和與會者共享文件?？梢允褂?'站點管理〃為個人會議室設置安全功能。?更改個人會議室鏈接地址。?配置個人會議室中文件的共享選項。?配置個人會議室中文件的密碼要求其他可通過“WebEx站點管理〃啟用的安全功能：?允許任何主持人或與會者存儲其姓名和郵件地址，以便加入后續(xù)會議。?允許主持人將錄制文件重新分配給其他主持人。?受限的網站訪問-站點管理員可以要求對所有來訪的主持人和與會者進行身份驗證。要獲得站點上的會議訪問權必須通過身份驗證，甚至訪問任何站點信息（如公開的會議）也必須通過身份驗證。?要求對CiscoWebExRemoteAccess使用嚴格的密碼?要求不公開所有的會議。您可以向您的WebExCustomerSuccess代表咨詢其他的配置。?要求批準''忘記密碼？〃請求。?要求站點管理員重設賬戶密碼，而不是代表用戶重新輸入密碼。?使用單向散列的方式來存儲密碼。會議安排的安全選項給予每個主持人指定會議訪問安全性的能力，設定范圍由站點管理級別上配置的參數決定（無法改寫）。?將會議安排為不公開，這樣它不會顯示在可見的日歷上。?允許與會者在主持人加入之前加入會議。?允許與會者在主持人加入之前加入音頻。?在會議中顯示電話會議的信息。?如果只有一個與會者，在指定時間后自動結束會議。?在會議郵件中包括主持人密鑰。?要求與會者加入會議時輸入郵件地址。公開或不公開會議主持人可以選擇在定制的WebEx站點的公開會議日歷上列出會議。他們也可以將該會議安排為不公開會議，這樣該會議就不會出現(xiàn)在會議日歷上。如果是不公開會議，主持人就必須告知與會者該會議的存在。?？刹扇∫韵路绞剑和ㄟ^郵件邀請來發(fā)送鏈接；要求與會者在'加入會議〃頁上輸入提供的會議號。內部或外部會議主持人可以將與會者限制為在定制的WebEx站點上擁有賬戶的用戶，此條件可通過用戶是否可以在站點上登錄并加入會議來驗證。會議密碼主持人可以設定會議密碼，并可選擇是否將密碼包含在會議邀請郵件中。注冊?通過注冊功能來限制會議訪問。主持人生成一個''訪問控制列表〃，該列表只允許那些已經注冊并明確被主持人批準的受邀者加入會議。?通過選擇不發(fā)送會議邀請郵件，更好地控制對會議訪問信息的分發(fā)。?在WBS27版本的WebExTrainingCenter和WebExEventCenter中可通過阻止重復使用注冊標識來保障會議安全。任何試圖重復使用已使用的注冊標識的與會者將被阻止加入會議。此外，主持人可以通過限制訪問和驅逐參加者來維護會議安全。通過任意組合這些會議安排選項優(yōu)化WebEx會議，為您的安全策略提供支持。開始和加入WebEx會議在主持人的用戶標識和密碼通過定制WebEx站點的驗證后，WebEx會議開始。主持人擁有會議的初始控制權，也是初始發(fā)言人。主持人可以對任何與會者授予或撤銷主持人或發(fā)言人權限、驅逐選定的與會者或者在任何時間終止會話。主持人可以指定一個候補主持人來開始和控制會議，以防自己不能出席會議或者失去與會議的連接。這樣可避免將主持人角色分配給意想不到的或未經授權的與會者，從而使會議更加安全。您可以配置定制的WebEx站點，以允許與會者在主持人之前加入會議（包括音頻會議），并將提前加入者可用的功能限制為聊天和音頻。當與會者第一次加入WebEx會議時，WebEx應用程序會自動下載一組完整的文件到與會者的計算機中。VeriSign為這些下載文件頒發(fā)數字簽名的安全證書，從而使與會者知道這些文件來自WebEx。在以后的會議中，WebEx應用程序只下載包含更改或更新的文件。與會者可以使用其計算機操作系統(tǒng)提供的卸載功能輕松移除所有WebEx文件。WebExCollaborationCloud保護每一個會議會話以及在其中共享的動態(tài)數據。加密技術CiscoWebEx會議是為安全地向CiscoWebEx會議會話中的每一個與會者傳送實時多媒體內容而設計的。當發(fā)言人共享文件或演示時，將使用Cisco專有的技術UCF（UniversalCommunicationsFormat）進行編碼并優(yōu)化共享的數據。CiscoWebEx 會議提供以下加密機制：1） 使用128位安全套接字層版本3（SSLv3）將數據從客戶端傳輸到WebExCollaborationCloud。2） 文檔和演示在傳輸前使用256位高級加密標準（AES）進行端到端加密。3） 端到端（E2E）加密是WBS26和更高版本的WebExMeetingCenter中提供的一個選項。此方式使用AES加密標準在主持人的計算機中隨機生成一個256位密鑰，并利用基于公鑰的機制將該密鑰分發(fā)給與會者，從而對會議參加者之間傳輸的所有會議內容實現(xiàn)端到端機密。4） 基于公鑰基礎結構（PKI）的端到端加密是WBS27和更高版本的WebExMeetingCenter中提供的一個選項，它采用256位AES加密標準。這個機制要求與會者擁有X.509證書來開始或加入會議。站點管理員和主持人可以使用''會議類型〃選項來選擇E2E或PKI。E2E和PKI解決方案比單獨使用AES提供更強的安全性（雖然E2E和PKI也使用AES進行有效負載加密），因為密鑰只有會議主持人和與會者知道。每個CiscoWebEx會議連接必須通過正確的身份驗證，之后才能與WebExCollaborationCloud建立連接并加入CiscoWebEx會議?？蛻舳松矸蒡炞C過程使用唯一的每客戶、每會話cookie來確認每個嘗試加入CiscoWebEx會議的與會者的身份。每個CiscoWebEx會議包含一組唯一的由WebExCollaborationCloud生成的會話參數。每個進行身份驗證的與會者必須同時擁有會話參數和唯一會話cookie的訪問權才能成功地加入CiscoWebEx會議。傳輸層安全性除了應用層防護之外，所有的會議數據均使用128位SSLv3進行傳輸。SSL使用防火墻443端口（HTTPS流量）而不是防火墻80端口（標準HTTPInternet流量）來穿越防火墻，從而在不影響WebEx流量的前提下限制80端口的訪問。WebEx會議的與會者使用位于應用層/表示層/會話層的邏輯連接與WebExCollaborationCloud建立連接。在與會者的計算機之間沒有對等連接。防火墻兼容性WebEx會議應用程序與WebExCollaborationCloud使用HTTPS（443端口）進行通信，以建立一個可靠、安全的連接，所以您的計算機無需為啟用CiscoWebEx會議進行特別的配置。會議后數據存儲會議結束后，會話信息不會保留在WebExCollaborationCloud或與會者的計算機上。Cisco只保留兩種類型的會議信息：?事件詳細記錄（EDR）：Cisco使用EDR來計費和生成報告。您可以通過使用主持人標識登錄定制的WebEx站點來復查事件的詳細信息。一旦通過身份驗證，您還可以從WebEx站點下載這些數據或者通過WebExAPI訪問數據。?基于網絡的錄制文件（NBR）:如果主持人選擇錄制WebEx會議會話，那么錄制文件將被存儲在WebExCollaborationCloud中，您可以從定制的站點上的''我的錄制文件”區(qū)域訪問這些錄制文件。單點登錄Cisco支持使用SAML1.1、SAML2.0和WS-Fed1.0協(xié)議進行聯(lián)合身份驗證，從而實現(xiàn)用戶的單點登錄。使用聯(lián)合驗證需要您將一個公鑰X.509證書上傳至您的定制站點。然后生成包含用戶屬性的SAML聲明，并用匹配的私鑰對SAML聲明進行數字簽名。WebEx通過比對預載的公鑰證書驗證SAML聲明，然后對用戶進行身份驗證。第三方鑒定：經由獨立審計驗證CiscoWebEx 的安全性除了嚴格的內部規(guī)程之外，WebEx安全辦公室還邀請多家獨立的第三方來對其內部策略、流程和應用程序進行嚴格審計。這些審計都是為驗證商業(yè)和政府應用程序的關鍵任務安全需求而設計的。審計方包括：對窮盡式網絡路由和應用程序進行審計的InformationSecurityPartnersLLC(iSECPartners)和對SAS-70TypeII認證(包括對ISO17799實施的控制)進行審計的PriceWaterhouseCoopers。iSEC網絡路由iSECPartners完成了一系列測試來確認WebEx會議的與會者與WebExCollaborationCloud之間的路由。這些測試包括對WebEx生產服務器的跟蹤，以及對路由器、防火墻和負載平衡器等多種網絡設備配置的路由確認跟蹤。測試結果表明，位于美國的WebEx站點的通信內容不會傳送到美國之外。如需獲取更多信息，可向WebEx安全辦公室索取這份報告的副本。iSEC源代碼審査iSECPartners持續(xù)進行深入的代碼滲透測試和服務評估。在這些過程中，iSECPartners可接觸到WebEx服務器、源代碼和工程技術人員。與黑盒測試不同，這種高度的接觸使得iSECPartners能夠：?找出關鍵的應用程序和/或服務漏洞并提出解決方案。?為體系結構方面的改進指出大體的區(qū)域。?找出編碼錯誤，并對編碼方式的改進提供指導。?直接與WebEx工程技術人員合作，說明發(fā)現(xiàn)的問題，對修正工作提供指導。如需獲取更多信息，可向WebEx安全辦公室索取這份報告的副本。SAS-70TypeIIPriceWaterhouseCoopersLLP根據AICPA建立的標準每年進行一次SAS-70TypeII審計。對WebEx內控機制的審計是基于ISO-17799標準。這項廣受推崇并得到公認的審計證明WebEx服務在處理客戶數據方面所實施的控制目標和控制活動(通常包括對信息技術和安全相關流程的控制)已經過深入的審核。如需獲取其它有關SAS-70標準