隐私、安全和可扩展性是视频通话的基础。本文档介绍了如何大规模确保视频通话咨询的安全性和私密性。

视频通话基于四个重要概念：

• 隐私- 根据 1988 年联邦隐私法案和澳大利亚隐私原则，定义正确收集、使用、披露和存储个人信息的义务。
• 安全性——视频通话不会受到未经授权的访问和使用，并且数据可靠、准确且可供使用。
• 数据主权——根据澳大利亚隐私法规的要求，患者信息不得转移到海外
• 可扩展性——视频通话作为一项国家级功能，在架构上具有可扩展性，可以处理大量视频咨询，而无需设置传统的视频会议基础设施。

这四个概念是视频通话设计的基础。其网络架构由设计保证流程覆盖，以确保新特性和功能继续满足所需的标准。

概括

视频通话基于 Web 实时通信 (WebRTC) 技术。WebRTC 的内置安全性使用完全加密的连接。

视频通话被设计为一个整体的远程医疗生态系统，由服务器和应用程序组成，通过 WebRTC 技术运行。

healthdirect 视频通话遵循适用的澳大利亚政府信息安全手册 (ISM)基本八项基本原则和健康保险流通与责任法案 ( HIPAA ) 的网络安全准则，并通过不留下数字足迹来保护隐私。视频通话平台还通过了ISO 27001 认证。

其他视频咨询平台将通话详细信息（包括通话记录）存储在视频服务提供商可访问的中央服务器（通常在澳大利亚境外）中，并且可能会在未经患者知情同意的情况下使临床医生面临违反隐私法的风险。

我们已采用额外的安全措施来使基于 WebRTC 的系统真正安全和私密：

• 虚拟房间、同伴和会话为用户的交流提供了一个安全的环境。
• 视频通话默认不存储个人身份信息或受保护的健康信息。
• 最先进的网络安全可防止窃听和中间人攻击。
• 负载测试和代码审查提供了高水平的应用程序安全性。

在本页面中，我们将解释采取哪些步骤来确保视频咨询的安全性、保密性和可扩展性。

健康级隐私、安全和数据保护是视频通话设计的基础

呼叫安全

WebRTC 视频通话媒体流量在 Web 浏览器之间通过 AES 128 位或 AES 256 位加密进行保护。这是基于 WebRTC 的服务（例如视频通话）的标准。但是，这种安全性仅适用于点对点通话，而不适用于系统基础设施。任何 WebRTC 视频通话中的多个基础设施元素都可能受到攻击，而视频通话已经开发出来以抑制这些攻击媒介。

例如，标准 WebRTC 通话加密无法阻止攻击者在通话两端冒充用户。加密也无法防止信令、应用程序或中继 (TURN) 服务器被劫持。

视频通话已采用关键的隐私和安全措施，以防止：

• 有人冒充他人，非法进入网上诊所咨询患者。
• 有人非法拦截以获取对视频通话信令或 TURN 服务器的未经授权的访问。
• 第三方通过访问患者设备或监控服务器上的通话记录来观察通话历史。
• 视频通话的隐私和安全模型确保：
• 只有诊所授权的服务提供者和管理人员才能为患者提供服务，
• 每位患者都可以在一次私人视频会议中进行咨询，
• 一次性视频会议与持久视频室有所区别（后者可用于诊所内部目的），
• 在视频通话或视频室中交换的患者数据在咨询结束后不会保留，或者如果诊所决定存储这些数据，则以加密方式存储，解密密钥只有诊所才能使用，
• 信令和中继服务器仅处理加密媒体流量，
• 遵循最先进的安全设置和程序，以便服务器基础设施不会被黑客入侵以冒充临床医生或观察咨询，并且
• 对所有软件补丁进行同行代码审查，以最大程度地提高应用程序的安全性。

数据安全

所有数据（不仅仅是实时视频通话）都是加密的。

Video Call 将服务提供商信息和密码安全地存储在 Amazon RDS（关系数据库服务）上。密码使用 TLS（ 传输层安全性）传输，绝不会以纯文本形式存储。Video Call 仅在 RDS 中存储哈希和加盐密码哈希，符合当前用户身份验证和授权的行业标准。

视频通话不会存储任何可识别个人身份的信息或受保护的健康信息。

网络安全

所有音频和视频数据以及实时视频通话期间交换的所有其他数据都经过加密。

视频通话对所有连接以及 WebRTC 实现都采用最先进的安全机制。浏览器与应用服务器、信令服务器或 STUN/TURN 之间的连接均采用 TLS 加密和身份验证，并采用强加密和适当的证书检查。STUN/TURN 协商的 TLS 保护可确保视频通话通信不会发生重新路由。

通过让信令服务器促进浏览器到浏览器通信的加密设置，WebRTC 通信的安全性得到增强：浏览器为每个数据通道安全地建立一个共享密钥。

应用程序安全

作为一个分布式系统，视频通话生态系统的所有组件都经过了强化，以抵御攻击。

• 协议模糊测试- 由于信令服务器使用自定义协议传输消息，因此需要使用协议模糊测试器来确保不存在导致不可预测或不良行为的代码路径。视频通话的浏览器实现也经过了相同的协议模糊测试。
• 渗透测试（pen-testing） - 应用程序服务器和呼叫监控系统已经过渗透测试，以防止入侵。渗透测试定期进行。
• 浏览器安全– WebRTC 点对点连接浏览器。协议模糊测试用于测试视频通话浏览器实现。
• 监控安全– 通信只在一个方向上进行；从浏览器到呼叫监视器。浏览器只向呼叫监视器发送信息；浏览器无法从呼叫监视器提取或接收任何信息。呼叫监视器已经过渗透测试和模糊测试，可抵御常见威胁。

隐私

视频通话符合澳大利亚政府的隐私政策。

视频通话基础设施和服务符合1988 年联邦隐私法案、有关数据主权的澳大利亚隐私原则（第 8 节）以及（在切实可行的情况下）澳大利亚政府信息安全手册 (ISM)的准则。 

视频通话连接是点对点的（浏览器到浏览器，无需经过中央视频基础设施）。参与者之间在实际通话中共享的数据仅以解密形式提供给通话的参与端点。转发通话的所有其他中介只能看到加密数据。这适用于音频和视频数据，以及会话中交换的所有信息，例如聊天消息和文档。默认情况下，视频通话不会存储通话中的任何共享数据。

患者通过值得信赖的服务提供商网站进入等候区，并在自己的私人视频室中等候。例如，如果服务提供商因为与另一位患者的会诊超时而迟到，患者之间就不会碰面。会诊结束后，视频通话创建的房间将被删除。

任何获得授权进入诊所的服务提供商或诊所管理员都可以接诊患者。授权由平台中唯一的登录名和指定的角色定义。诊所管理员负责将此类访问权限分配给其员工。

默认情况下，视频通话不会保留可识别的患者信息。患者不会在平台上留下数字足迹。

数据主权

如果澳大利亚数据或数据管理转移到海外，则不再受澳大利亚控制，而是受外国法律或外国公司惯例的约束。外国公司访问和控制澳大利亚数据不承认澳大利亚人现有的隐私和数据得到充分保护的权利。

因此，有关澳大利亚公民的敏感数据必须存储在经澳大利亚信号局(ASD) 认证的云端，以确保外国实体无法访问这些信息。

视频通话采用严格的方式托管在 AWS（亚马逊网络服务）云中，该云已通过 ASD 的 IRAP（信息安全注册评估师计划）认证，这确保 AWS 已实施 ISM（澳大利亚政府信息安全手册）所要求的适用控制。

Video Call 可以确认，对于澳大利亚用户来说：

• 个人健康数据仅在澳大利亚法律管辖范围内使用，
• 所有数据存储都仅限于陆上数据中心，并且
• 安全协议和系统保持在澳大利亚并符合 ASD 要求。

可扩展性

点对点呼叫直接在浏览器之间以及医疗服务提供者和其客户之间进行。这样可以避免中间视频服务器，并允许无限数量的并行呼叫。

有时，点对点呼叫会被困在公司防火墙后面。为此，需要设置中继服务器 (STUN/TURN) 来将音频、视频和数据流转发给公司边界外的接收者。虽然中继服务器在饱和之前可以处理大量负载，但以可扩展的方式部署它们非常重要。视频呼叫已部署在 AWS 云上，因此中继服务器受到监控，如果发现更高的负载，则会生成额外的中继服务器，以透明的方式接管额外的中继工作。这称为“负载平衡”。

信令服务器参与视频通话的设置，因此我们特别关注部署可扩展的信令基础设施。视频通话信令服务器已进行负载测试，它们能够支持数十万个并行通话。此外，我们还在不同的 AWS 位置部署了信令服务器网络，通过选择最近的信令服务器提供通话信令，降低视频通话端点与信令服务器之间的延迟。

Web 应用程序从应用服务器分发到 Web 浏览器中。随着大量用户开始使用 Video Call，Web 应用服务器也可能变得非常繁忙。Video Call 已为应用服务器实现了负载平衡。

视频通话的设计可扩展。所有数据库和服务器基础架构均采用无状态微服务架构设计，允许每个组件具有容错能力，并且能够单独水平扩展以匹配任何给定时间点上每个服务的负载。

为您的组织提供支持

基于 WebRTC - WebRTC组件由开源项目在 Chrome、Firefox 和 Safari 中实现，并受到众多 Web 和电信行业安全专家的指导和审查。

专为医疗保健而设计 - 视频通话环境会定期针对医疗保健进行审查和优化。视频通话对其他通信服务中存在的漏洞的暴露程度有限。

完全通过网络访问 - 视频通话已更新，可与最新版本的 Chrome、Firefox 和 Safari 配合使用（计划在 Microsoft Edge 转向 Blink 引擎后支持该功能）。这些浏览器会定期运行安全更新，因此无需等待视频通话更新。

浏览器限制应用程序 - 视频通话在网络浏览器中安全运行，限制其通过网络浏览器中实施的标准安全措施影响计算机桌面环境或正在使用的移动设备的能力。

网络安全 - 视频通话仅需要从您的台式机、笔记本电脑或移动设备访问几个标准 HTTPS 和安全媒体端口。这些内容在资源中心的网络基础知识页面中有详细介绍。

Web 代理服务 - 视频通话的网络流量使用现有的 Web 代理服务和安全策略。

通话质量配置文件 - 通过设置视频通话质量配置文件，临床医生可以降低网络链路上的媒体需求以保持在特定限制范围内。

可访问性 - 视频通话致力于为所有用户提供普遍的访问权限，以便所有服务提供商及其患者都能获得最佳体验。为了支持盲人和视力受损的用户，Web 应用程序可使用屏幕阅读器，并且可以使用缩放工具。视频通话还可用于三方和四方通话，因此手语翻译可以加入实时视频会话并使用 ASLAN 手语为聋哑用户提供支持。