《自动应答有风险  视频会议需谨慎（一）》介绍了视频会议的安全现状，本文将继续介绍视频会议安全和最佳实践。

　　视频会议安全：评估工具

　　现在有一些特殊的视频会议安全评估工具，比如Rapid 7公司设计的渗透测试应用程序Metasploit。这家位于波士顿的公司最近对视频会议系统执行了一次高调渗透测试。这个应用程序有可用于扫描和发现视频会议系统漏洞的工具。CEO Mike Tuchen指出，Rapid 7的最新研究发现，自动应答是一个安全漏洞，它可能使入侵者有机会进入连接互联网的系统。

　　另一方面，Weinstein认为每个组织都应该先考虑在会议室启用自动应答的风险，再决定是否禁用这个特性。自动应答是一种选择，就像IT团队需要采取措施保证网络安全和个人计算机一样，他们还需要保证视频会议设备的安全性。Lazar说，如果自动应答成为问题，那么使用企业SBC与SIP的解决方案可以保证呼叫是来自于可靠的呼叫者。

　　虽然Rapid 7的首席安全官H.D. Moore也认同使用IP连接的系统应该配置SBC与SIP进行访问控制，但是他同样建议公司应该完全禁用自动应答这个特性。Moore使用Metasploit的快速端口扫描工具查找通过IP连接的、视频会议系统的安全漏洞，他发现有5,000个不带保护措施的视频会议系统自动应答了他的呼叫。所以他可以轻易控制视频摄像头、偷偷参加会议。

　　Lazar认为，如果系统连接带有正确配置会话边界控制器的SIP中继，那么Rapid 7端口扫描试验会大不一样。但是，许多网络管理员可能还未认识到SIP对于视频与语音的作用。SBC可以防止自动应答漏洞，但是控制器昂贵，而且还必须配置才能使用SIP，保证视频会议设备的安全。

　　视频会议安全最佳实践

　　1. 使用带SIP的会议边界控制器保护IP视频设备。

　　2. 对用户进行培训，使他们了解视频会议系统是否受到攻击。Rapid 7的Tuchen说：“如果看到摄像机开始转动，那么肯定有人在操纵。如果控制台或摄像机指示灯闪动，这表示系统在呼叫之前已经在运行。”

　　3. 在视频会议呼叫建立时，将系统呼叫设置为默认的静音模式。如果有黑客发起呼叫，那么除非会议室有人打开通话音量，否则他或她不会听到会议声音。

　　4. 注意，视频会议设备的自动应答特性可能会允许访客悄悄进入会议室。

　　5. 如果关闭自动应答特性，那么必须安排人手（IT管理员或指派用户）手工激活系统。这样虽会有一些麻烦，但是能够保证不会有人无声无息，无影无踪地进入会议。