隐私、安全和可扩展性
如何确保视频通话咨询的安全性和私密性
隐私、安全和可扩展性是视频通话的基石。本文档阐述了如何确保视频通话咨询的规模化安全性和私密性。
视频通话基于四个重要概念:
- 隐私- 根据 1988 年联邦隐私法和澳大利亚隐私原则,定义正确收集、使用、披露和存储个人信息的义务。
- 安全性——视频通话不会被未经授权的访问和使用,并且数据可靠、准确且可用。
- 数据主权——根据澳大利亚隐私法规的要求,患者信息不得转移到海外
- 可扩展性——视频通话作为一项国家级功能,在架构上具有可扩展性,无需设置传统的视频会议基础设施即可处理大量视频咨询。
这四个概念是视频通话设计的基础。其网络架构涵盖设计保证流程,确保新特性和功能持续满足所需标准。
概括
视频通话基于 Web 实时通信 (WebRTC) 技术构建。WebRTC 的内置安全性采用完全加密的连接。
视频通话被设计为一个整体的远程医疗生态系统,由服务器和应用程序组成,通过 WebRTC 技术运行。
healthdirect 视频通话遵循适用的澳大利亚政府信息安全手册 (ISM)基本八项基本原则和《健康保险流通与责任法案》( HIPAA ) 的网络安全准则,并通过不留下任何数字足迹来保护隐私。该视频通话平台也已通过 ISO 27001 认证。
其他视频咨询平台将通话详细信息(包括通话记录)存储在视频服务提供商可访问的中央服务器(通常在澳大利亚境外)中,这可能会使临床医生在未经患者知情同意的情况下面临违反隐私法的风险。
我们已采取额外的安全措施,使基于 WebRTC 的系统真正安全和私密:
- 虚拟房间、同伴和会话为用户提供了一个安全的交流环境。
- 视频通话默认不存储个人身份信息或受保护的健康信息。
- 最先进的网络安全可防止窃听和中间人攻击。
- 负载测试和代码审查提供了高水平的应用程序安全性。
在本页面中,我们将解释采取哪些步骤来确保视频咨询的安全性、可靠性、私密性和可扩展性。
健康级隐私、安全和数据保护是视频通话设计的基础
呼叫安全
WebRTC 视频通话媒体流量在 Web 浏览器之间采用 AES 128 位或 AES 256 位加密进行保护。这是基于 WebRTC 的服务(例如视频通话)的标准。然而,这种安全性仅适用于点对点通话,而不适用于系统基础设施。任何 WebRTC 视频通话中的多个基础设施元素都可能受到攻击,而视频通话技术已经开发出来以抑制这些攻击媒介。
例如,标准的 WebRTC 通话加密无法阻止攻击者在通话两端冒充用户。加密也无法防止信令、应用程序或中继 (TURN) 服务器被劫持。
视频通话已采取关键的隐私和安全措施,以防止:
- 他人冒充他人非法进入网上诊所咨询患者。
- 有人非法拦截以获取对视频通话信令或 TURN 服务器的未经授权的访问。
- 第三方通过访问患者设备或监控服务器上的通话记录来观察通话历史。
- 视频通话的隐私和安全模型确保:
- 只有诊所授权的服务提供者和管理人员才能为患者提供服务,
- 每次患者咨询都可以在私人的一次性视频会议中进行,
- 一次性视频会议与持久视频室有所不同(后者可用于诊所内部用途),
- 在视频通话或视频室中交换的患者数据在咨询结束后不会保留,或者如果诊所决定存储这些数据,则以加密方式存储,解密密钥只有诊所才能使用,
- 信令和中继服务器仅处理加密媒体流量,
- 遵循最先进的安全设置和程序,以便服务器基础设施不会被黑客入侵以冒充临床医生或观察咨询,并且
- 对所有软件补丁进行同行代码审查,以最大限度地提高应用程序的安全性。
数据安全
所有数据(不仅仅是实时视频通话)都是加密的。
视频通话将服务提供商信息和密码安全地存储在 Amazon RDS(关系数据库服务)上。密码使用 TLS( 传输层安全性)传输,绝不会以纯文本形式存储。视频通话仅将经过哈希和加盐处理的密码哈希值存储在 RDS 中,符合当前用户身份验证和授权的行业标准。
视频通话不会存储任何可识别个人身份或受保护的健康信息。
网络安全
所有音频和视频数据以及实时视频通话期间交换的所有其他数据都经过加密。
视频通话的所有连接以及其 WebRTC 实现均采用先进的安全机制。浏览器与应用服务器、信令服务器或 STUN/TURN 之间的连接均采用 TLS 加密和身份验证,并采用强大的加密技术和适当的证书检查。STUN/TURN 协商的 TLS 保护可确保视频通话通信不会发生重新路由。
通过让信令服务器促进浏览器到浏览器通信的加密设置,WebRTC 通信的安全性得到增强:浏览器为每个数据通道安全地建立共享密钥。
应用程序安全
作为一个分布式系统,视频通话生态系统的所有组件都经过强化,可以抵御攻击。
- 协议模糊测试- 由于信令服务器使用自定义协议传输消息,因此对其进行了协议模糊测试,以确保不存在导致不可预测或不良行为的代码路径。视频通话的浏览器实现也进行了相同的协议模糊测试。
- 渗透测试(pen-testing) ——应用服务器和通话监控系统已进行渗透测试,以防御入侵。渗透测试会定期进行。
- 浏览器安全——WebRTC 点对点连接浏览器。协议模糊测试用于测试视频通话浏览器的实现情况。
- 监控安全——通信仅单向进行:从浏览器到通话监控器。浏览器仅向通话监控器发送信息;浏览器无法从通话监控器提取或接收任何信息。通话监控器已进行渗透测试和模糊测试,以抵御常见威胁。
隐私
视频通话符合澳大利亚政府的隐私政策。
视频通话基础设施和服务符合1988 年联邦隐私法案、与数据主权相关的澳大利亚隐私原则(第 8 节)以及(在可行的情况下)澳大利亚政府信息安全手册 (ISM) 的准则。
视频通话连接是点对点的(浏览器到浏览器,无需经过中央视频基础设施)。参与者在实际通话中共享的数据仅以解密形式提供给通话的参与端点。所有其他转发通话的中介只能看到加密数据。这适用于音频和视频数据,以及会话中交换的所有信息,例如聊天消息和文档。默认情况下,视频通话不会存储任何通话共享数据。
患者通过值得信赖的服务提供商网站进入候诊区,并在自己的私人视频通话室等候。例如,如果服务提供商因与另一位患者的会诊超时而迟到,患者之间就不会互相撞见。视频通话创建的通话室会在会诊结束后被删除。
任何获得授权的服务提供商或诊所管理员均可接诊患者。授权由平台中唯一的登录名和指定的角色定义。诊所管理员负责将此类访问权限分配给其员工。
默认情况下,视频通话不会保留可识别的患者信息。患者不会在平台上留下任何数字足迹。
数据主权
如果澳大利亚的数据或数据管理转移到海外,它将不再受澳大利亚境内的控制,而是受外国法律或外国公司惯例的约束。外国公司访问和控制澳大利亚的数据,不承认澳大利亚人现有的隐私和数据充分保护的权利。
因此,有关澳大利亚公民的敏感数据必须存储在经澳大利亚信号局(ASD) 认证的云端,以保证外国实体无法访问这些信息。
视频通话采用严格的方式托管在 AWS(亚马逊网络服务)云中,该云已通过 ASD 的 IRAP(信息安全注册评估师计划)认证,这保证了 AWS 已实施 ISM(澳大利亚政府信息安全手册)所要求的适用控制。
Video Call 可以确认,对于澳大利亚用户来说:
- 个人健康数据仅在澳大利亚法律管辖范围内使用,
- 所有数据存储仅限于陆上数据中心,并且
- 安全协议和系统均在澳大利亚境内并符合 ASD 要求。
可扩展性
点对点通话直接在浏览器之间以及医疗服务提供商与其客户之间进行。这避免了中间视频服务器,并允许无限数量的并行通话。
有时,点对点通话会被企业防火墙卡住。为此,我们会部署中继服务器 (STUN/TURN),将音频、视频和数据流转发到企业边界外的接收者。虽然中继服务器在达到饱和之前可以承受相当大的负载,但以可扩展的方式部署它们至关重要。视频通话已部署在 AWS 云上,因此中继服务器会受到监控,如果发现负载过高,则会生成额外的中继服务器,以透明的方式接管额外的中继工作。这称为“负载均衡”。
信令服务器参与视频通话的设置,因此我们特别注重部署可扩展的信令基础设施。视频通话信令服务器已进行负载测试,能够支持数十万个并行通话。此外,我们还在不同的AWS地点部署了信令服务器网络,通过选择最近的信令服务器提供通话信令,从而降低视频通话端点与信令服务器之间的延迟。
Web 应用程序从应用服务器分发到 Web 浏览器中。随着大量用户开始使用视频通话,Web 应用服务器也可能变得非常繁忙。视频通话已为应用服务器实现了负载均衡。
视频通话的设计充分考虑了可扩展性。所有数据库和服务器基础设施均采用无状态微服务架构设计,每个组件均具备容错能力,并能够独立进行水平扩展,以适应任何时间点每个服务的负载。
为您的组织提供支持
基于 WebRTC - WebRTC组件由开源项目在 Chrome、Firefox 和 Safari 中实现,并受到众多 Web 和电信行业安全专家的指导和审查。
专为医疗保健而设计——视频通话环境会定期针对医疗保健进行审查和优化。视频通话对其他通信服务中存在的漏洞的暴露程度较低。
完全通过网页访问 - 视频通话功能已更新,兼容最新版本的 Chrome、Firefox 和 Safari(Microsoft Edge 正在迁移至 Blink 引擎,计划支持)。这些浏览器会定期运行安全更新,因此无需等待视频通话更新。
浏览器限制应用程序 - 视频通话在网络浏览器中安全运行,通过网络浏览器中实施的标准安全措施限制其影响计算机桌面环境或正在使用的移动设备的能力。
网络安全 - 视频通话只需访问台式机、笔记本电脑或移动设备上的几个标准 HTTPS 和安全媒体端口。资源中心的“网络基础知识”页面详细介绍了这些端口。
Web 代理服务 - 视频通话的 Web 流量使用现有的 Web 代理服务和安全策略。
通话质量配置文件 - 通过设置视频通话质量配置文件,临床医生可以降低网络链路的媒体需求以保持在特定限制范围内。
无障碍访问 - 视频通话致力于为所有用户提供通用访问权限,以便所有服务提供商及其患者都能获得最佳体验。为了方便盲人和视障用户,该网页应用程序支持屏幕阅读器访问,并可使用缩放工具。视频通话还支持三方和四方通话,因此手语翻译人员可以加入实时视频会话,并使用 ASLAN 手语为听障用户提供支持。