隐私、安全和可扩展性是视频通话的基础。本文档解释了如何大规模确保视频通话咨询的安全性和私密性。
视频通话基于 4 个重要概念:
- 隐私- 根据 1988 年联邦隐私法和澳大利亚隐私原则,定义正确收集、使用、披露和存储个人信息的义务。
- 安全性 - 视频通话不会受到未经授权的访问和使用,并且数据可靠、准确且可供使用。
- 数据主权- 根据澳大利亚隐私法规的要求,患者信息不得转移到海外
- 可扩展性——视频通话作为一种国家能力在架构上是可扩展的,可以处理大量的视频咨询,而不需要传统的视频会议基础设施设置。
这四个概念是视频通话设计的基础。其网络架构由设计保证流程覆盖,确保新特性和功能继续满足所需标准。
概括
视频通话基于 Web 实时通信 (WebRTC) 技术。 WebRTC 的内置安全性使用完全加密的连接。
Video Call 被设计成一个整体的远程医疗生态系统,由服务器和应用程序组成,通过 WebRTC 技术运行。
healthdirect 视频通话遵循适用的澳大利亚政府信息安全手册 (ISM)基本八项基线和健康保险流通与责任法案 ( HIPAA ) 的网络安全指南,并通过不留下数字足迹来保护隐私。
其他视频咨询平台将通话的详细信息(包括通话录音)存储在视频服务提供商可访问的中央服务器(通常在澳大利亚境外)中,并且可能会使临床医生在未经患者知情同意的情况下面临违反隐私法的风险。
已经应用了额外的安全措施,以使基于 WebRTC 的系统真正安全和私密:
- 虚拟房间、对等点和会话为用户通信提供了一个安全的环境。
- 默认情况下,视频通话不会存储个人身份信息或受保护的健康信息。
- 最先进的网络安全可防止窃听和中间人攻击。
- 负载测试和代码审查提供了高级别的应用程序安全性。
在此页面上,我们解释了为确保视频咨询安全、可靠、私密和可扩展而采取的步骤。
健康级隐私、安全和数据保护是视频通话设计的基础
呼叫安全
WebRTC 视频通话媒体流量在 Web 浏览器之间使用 AES 128 位或 AES 256 位加密进行保护。这是基于 WebRTC 的服务(例如视频通话)的标准。但是,这种安全性仅适用于对等调用,而不适用于系统基础架构。任何 WebRTC 视频通话中的几个基础设施元素都可能受到攻击,并且已经开发了视频通话来抑制这些攻击媒介。
例如,标准的 WebRTC 呼叫加密无法阻止攻击者在呼叫的任一端冒充用户。加密也不能防止信令、应用程序或中继 (TURN) 服务器被劫持。
视频通话应用了关键的隐私和安全措施,以防止:
- 冒充他人非法进入在线诊所咨询患者。
- 有人非法拦截以获得对视频通话信号或 TURN 服务器的未经授权的访问。
- 第三方访问患者设备或监控服务器上的通话记录的通话记录观察。
视频通话的隐私和安全模型确保:
- 只有诊所的授权服务提供者和管理人员才能为患者提供服务,
- 每次患者咨询都可以在一次私人视频会议中进行,
- 一次性视频会议与持续视频会议室(后者可用于诊所内部目的)不同,
- 在视频通话期间或在视频室中交换的患者数据不会持续到咨询结束后,或者如果诊所决定存储它,则以加密方式存储,只有诊所可以使用解密密钥,
- 信令和中继服务器只处理加密的媒体流量,
- 遵循最先进的安全设置和程序,以便服务器基础设施不会被黑客入侵以冒充临床医生或观察咨询,以及
- 对所有软件补丁进行同行代码审查,以最大限度地提高应用程序安全性。
数据安全
所有数据 - 不仅仅是实时视频通话 - 都是加密的。
Video Call 将服务提供商信息和密码安全地存储在 Amazon RDS(关系数据库服务)上。密码使用 TLS( 传输层安全性)传输,永远不会以纯文本形式存储。 Video Call 仅在 RDS 中存储散列和加盐的密码散列,符合当前用户身份验证和授权的行业标准。
视频通话不会存储任何个人身份或受保护的健康信息。
网络安全
在实时视频通话期间交换的所有音频和视频数据以及所有其他数据都经过加密。
视频通话对所有连接及其 WebRTC 实施使用最先进的安全机制。浏览器和应用程序服务器、信令服务器或 STUN/TURN 之间的连接都经过 TLS 加密和身份验证,具有强大的加密技术和适当的证书检查。 STUN/TURN 协商的 TLS 保护确保不会发生视频通话通信的重新路由。
通过让信令服务器促进浏览器到浏览器通信的加密设置,WebRTC 通信的安全性得到了增强:浏览器为每个数据通道安全地建立了一个共享密钥。
应用安全
作为一个分布式系统,视频通话生态系统的所有组件都针对攻击进行了加固。
- 协议模糊测试——由于信令服务器使用自定义协议来传输消息,它已经过协议模糊测试,以确保没有导致不可预测或不希望的行为的代码路径。 Video Call 的浏览器实现也经过了相同的协议模糊测试。
- 渗透测试(pen-testing) ——应用服务器和呼叫监控系统已经过渗透测试以防御入侵。渗透测试定期进行。
- 浏览器安全性——WebRTC 点对点连接浏览器。协议模糊测试用于测试视频通话浏览器的实现。
- 监控安全——通信只在一个方向进行;从浏览器到呼叫监视器。浏览器只向呼叫监视器发送信息;浏览器无法从呼叫监视器中提取或接收任何信息。呼叫监视器已经过渗透测试和模糊测试,可以抵御常见威胁。
隐私
视频通话符合澳大利亚政府的隐私政策。
视频通话基础设施和服务符合1988 年英联邦隐私法、与数据主权相关的澳大利亚隐私原则(第 8 节)以及澳大利亚政府信息安全手册 (ISM)在可行的情况下的指导方针。
视频通话连接是点对点的(浏览器到浏览器,无需遍历中央视频基础设施)。在参与者之间的实际通话中共享的数据只能以解密的形式提供给通话的参与端点。转发呼叫的所有其他中介只能看到加密数据。这适用于音频和视频数据,以及会话中交换的所有信息,例如聊天消息和文档。默认情况下,视频通话不会存储通话中的任何共享数据。
患者通过值得信赖的服务提供商网站进入等候区,并在自己的私人视频室等候。例如,如果服务提供者因为与另一位患者的会诊时间过长而迟到了,那么患者就不会互相碰面。视频通话创建的房间在协商后被删除。
任何有权访问诊所的服务提供者或诊所管理员都可以看到患者。授权由平台中的唯一登录名和分配的角色定义。诊所管理员负责将此类访问权限分配给其员工。
默认情况下,视频通话不保留可识别的患者信息。患者不会在平台上留下数字足迹。
数据主权
如果澳大利亚的数据或数据管理转移到海外,则它不再受澳大利亚境内的控制,并受外国法律或外国公司惯例的约束。外国公司对澳大利亚数据的访问和控制不承认澳大利亚人对其隐私和数据进行充分保护的现有权利。
因此,有关澳大利亚公民的敏感数据必须存储在 ASD(澳大利亚信号局)认证的云中,以保证外国实体无法访问信息。
Video Call 采用严格的方法仅在 AWS(亚马逊网络服务)云中托管,该云已通过 ASD 的 IRAP(信息安全注册评估师计划)的认证,可确保 AWS 已实施 ISM 要求的适用控制(澳大利亚政府信息安全手册)。
视频通话可以确认澳大利亚用户:
- 个人健康数据仅在澳大利亚法律管辖范围内使用,
- 所有数据存储仅限于陆上数据中心,以及
- 安全协议和系统保存在澳大利亚并符合 ASD 要求。
可扩展性
- 点对点呼叫直接从浏览器到浏览器,以及医疗服务提供者和他们的客户之间进行。这避免了中间视频服务器并允许无限数量的并行调用。
- 有时,点对点呼叫会卡在公司防火墙后面。为此,中继服务器 (STUN/TURN) 用于将音频、视频和数据流转发给公司边界外的接收者。虽然中继服务器可以在饱和之前处理大量负载,但以可扩展的方式部署它们很重要。视频通话已部署在 AWS 云上,因此中继服务器受到监控,如果发现更高的负载,则会生成额外的中继服务器,这些服务器将透明地接管额外的中继工作。这称为“负载平衡”。
- 信令服务器参与建立视频呼叫,因此特别注意部署可扩展的信令基础设施。已经在视频呼叫信令服务器上进行了负载测试,它们已经能够支持数十万个并行呼叫。此外,信号服务器网络已部署在不同的 AWS 位置,通过选择最近的信号服务器来提供呼叫信号,以降低视频呼叫端点与信号服务器之间的延迟。
- Web 应用程序从应用程序服务器分发到 Web 浏览器中。随着大量用户开始使用视频通话,Web 应用服务器也可能变得非常繁忙。 Video Call 为应用服务器实现了负载均衡。
视频通话旨在扩展。所有数据库和服务器基础架构均使用无状态微服务架构设计,允许每个组件具有容错能力,并且能够单独水平扩展以匹配每个服务在任何给定时间点的负载。
为您的组织提供支持
- 基于WebRTC - 在许多 Web 和电信行业安全专家的指导和审查下, WebRTC组件在开源项目的 Chrome、Firefox 和 Safari 中实现。
- 专为医疗保健而设计- 视频通话环境会定期针对医疗保健进行审查和优化。在视频通话中,对其他通信服务中存在的漏洞的暴露是有限的。
- 完全通过网络访问- 视频通话已更新,可与最新版本的 Chrome、Firefox 和 Safari 一起使用(计划支持 Microsoft Edge,因为它移至 Blink 引擎)。这些浏览器会定期运行安全更新,因此无需等待视频通话更新。
- 受限于浏览器的应用程序- 视频通话在 Web 浏览器中安全运行,通过在 Web 浏览器中实施的标准安全措施限制了其影响计算机桌面环境或正在使用的移动设备的能力。
- 网络安全- 视频通话只需从您的台式机、笔记本电脑或移动设备访问几个标准 HTTPS 和安全媒体端口。这些在资源中心的“网络基础”页面中有详细说明。
- Web 代理服务- 视频通话的 Web 流量使用现有的 Web 代理服务和安全策略。
- 通话质量配置文件- 通过设置视频通话质量配置文件,临床医生可以降低媒体对网络链接的需求,以保持在特定限制内。
- 可访问性- Video Call 致力于为所有用户提供普遍访问权限,以便所有服务提供商及其患者都能获得最佳体验。为了支持盲人和视力受损的用户,屏幕阅读器可以访问 Web 应用程序,并且可以使用缩放工具。视频通话也可用于三向和四向通话,因此手语翻译可以加入实时视频会话并使用 ASLAN 手语支持聋人用户。