dynaConnect 为了确保云端会议的数据安全性和隐私权,在各级别皆有相应的信息加密、防护措施:
系统全局级别: 安全规范及漏洞扫描
- 通讯协议: 采用Https/ SSL / TLS 1.2 加密通信
- 攻击模拟: 通过 OWASP Zed Attack Proxy (ZAP) 动态测试
- 代码安全及漏洞分析: 通过HP Fortify Static Code Analyzer (SCA) 静态测试
应用程序级别: 应用程序安全设计
客户端/网页端、后台管理:
- 加强对不同级别用户的权限管控、角色管理
- 会议权限管控.及操作记录
- 通过授权服务器,加强对中心服务器.媒体服务器的安全管控。
- 密码加强管控: 所有密码8~64位,以 ( Salt/种子) 的 Hash 形式保存,每个用户 Salt 不一样, 为 20 个以上随机字符。散列函数,使用日本“电子政务采购参考密码沟单 ( CRYPTREC 密码列表 ) ”中电子政务推荐密码列表中列出的哈希函数
通讯安全加强(会议及白板程控)
- 对 “跨站请求伪造” XSS/CSRF 的安全加强
- 重要信息通过 Email 确认,如密码修改等
- 对 SQL 注入,操作系统注人等进行加强管控
- 对所有的访问日志进行记录,可以方便安全回溯分析
- 采用 WebRTC 技术,加密在建立和维护连接的所有部分被强制执行
- 由安全实时传输通讯协议 (SRTP) ,使用密钥资料生成高级加密标准 (AES) 为会议内容(视讯、声音、文件分享)进行加密和解密。
- 会议加密遵循数据报传输层安全标准 (DTLS),使用完美的前向保密 ( PFS ) 密码来安全地交换关键数据。
会议操作级别: 会议操作安全设计
- 客户端多次登录错误后(密码错误、遨请码错误、组织机构代码错误等)使用数字验证码校验,在登入失败的次数达到设定次数后锁定账户。
- 客户端加入会议,实现服务器鉴权.防止黑客通过恶意代码加入会议
- 会议邀请码设定长度为 11 个字符,并且是由 10 种字符排列组合而成,让有心人士短时间内难以透过暴力方式破解邀请码,亦可设定外部与会者须传送参加会议请求,并经过会议成员同意才能加入会议。
- 会议主办人可以轻松根据会议性质,制定不同的安全策略,如:会议等待室、加入会议控制与审核、发言审核、打开麦克风 / 摄影机权限、翻页权限、批注权限、保存权限等等
- 对用户数据(如: 白板中的图片内容)进行加密
- 笔迹传输,实现加密、授权和身份验证
- 白板功能可开启水印设定,将白板资料在预览及下载时,都显示该会议成员的名称水印,可防止机密文件外泄,提升成员对文件的安全意识,并可追溯散布源头的使用者账号。