Eric Pan eric.pan@agfa.com Agfa HealthCare DICOM标准安全性规定 Eric Pan eric.pan@agfa.com Agfa HealthCare
DICOM标准安全性规定 在网络传输过程中的安全性 媒体(Media)上的数据安全性 计算机活动的安全性
网络传输中的安全性 利用加密手段,防范网络上未经授权的截听者。 DICOM 传输 DICOM 指定采用TLS来对传输数据进行加密。 HTTS是在TLS基础上运行的HTTP,是最常见的保护Web浏览器上数据传输的方法。 针对网络上未经授权的数据截取,以TLS为基础的DICOM 同样具有很强的安全保护能力。 利用加密手段,防范网络上未经授权的截听者。
网络传输中的安全性 AE-1 AE-3 AE-5 AE-7 准确辨认另一端的系统 DICOM 传输 TLS节点身份认证采用公开的证书技术来标识两侧端点。 这样AE-1 可以确知另一端点是AE-3,而非AE-7或其它什么系统。 同样,AE-3 亦确知另一端点是AE-1,而非AE-5或其它什么系统。 DICOM没有说明如何实现这一身份认证,可能采用的方法包括: - 确保只有医院内的设备才能连接。 - 确保采集到的影像只送往该去的设备。 AE-5 AE-7 准确辨认另一端的系统
网络传输中的安全性 TLS加密技术使得公共Internet连接更加安全 节点身份认证在应用上可以高度个性化 这一点需要跟系统安全人员解释清楚。 以TLS为基础的DICOM 传输跟HTTPS类似,应该得到允许 。 节点身份认证在应用上可以高度个性化 既可以每次连接都详细校验身份,也可以只要确认该连接都是机构内部网络上的连接。 DICOM 广泛地支持一系列身份认证和访问控制方法。 DICOM没有明确任何特别的原则。
媒体上的数据安全性 DICOM媒体(Media)安全性规定适用于所有DICOM专用介质。如: 媒体的安全性有助于实现: CD-ROM Email USB设备 媒体的安全性有助于实现: DICOM SOP Instances(服务对象对实例)的选择性加密 DICOM SOP Instances(服务对象对实例)的选择性数字签名 媒体文件系统无需加密,这样媒体即使不用特定的操作系统,也能够被处理与拷贝。 SOP Instance内容可以加密,以便防范未经授权的数据失密。 SOP Instance内容可以加上签名,以便证明数据完整性、进行校验,等等。
媒体上的数据安全性 top 目录结构和文件名不用加密 dir file1 一些属性不用加密 一些属性不用加密 一些属性不用加上签名 0008,0005 0008,0012 一些属性不用加密 0010,0010 一些属性不用加上签名 一些属性不用加上签名 7FE0,0010
媒体上的数据安全性 选择性加密 DICOM定义了一套加密方法,可以加密所有的服务对象对实例(SOP Instance)、选定的属性,甚至某一单个属性。 安全性概要用于描述被保护的属性,DICOM只定义一个安全性概要来对所有的服务对象对实例进行加密。 若需要选择性加密,可采用一些地方性的概要,如: 只对患者姓名加密,不加密设备或影像。 只加密报告内容,不对患者身份加密。
媒体上的数据安全性 选择性签名 DICOM定义了一套签名方法,可以对所有的服务对象对实例(SOP Instance)、选定的属性,甚至某一单个属性签名。 安全性概要用于描述被签名的属性。 若需要选择性签名,可采用一些地方性的概要,如: 只对报告内容签名,不对患者身份签名。 只对影像或设备描述签名(--这是确保设备生成完整而有效的数据拷贝的合理方法)。 By signing only the image and equipment description the patient name and other demographic information can be changed without invalidating the equipment signature.
计算机活动的安全性 DICOM并未明确计算机访问控制,或其它计算机安全措施。 这些问题应通过地方性规范来约束。 这些问题常跟特定的应用环境密切相关。 这些问题常跟特定的运作方式密切相关。 DICOM确实希望审计追踪(audit trails)和活动监控(activity monitoring)可以成为本地安全系统的一部分。 DICOM 定义了标准化的接口,以便向集中式审计仓库报告用户及计算机的活动。
计算机活动的安全性 M1 M2 M3 M4 M5 M6 审计仓库可用于记录和监视整个网络。 11:01 M1 吴医生浏览患者常先生的CT检查 11:03 M4 吴医生浏览患者周先生的MR检查 11:04 M1 吴医生创建患者常先生的报告 11:06 M3 登录认证失败 11:07 M1 吴医生浏览患者郑先生的CT检查 11:07 M4 王医生退出系统 审计日志消息使得审计仓库可同步记录所有不同系统上的所有活动。 实际日志内容被编码成结构化XML消息。 Audit Repository 审计仓库可用于记录和监视整个网络。 安全检测机制负责的事情可以象标记一次登录失败那么简单,亦可以象图像识别那么复杂。DICOM支持这些机制,不过不具体指定实施哪种机制。
设置网络安全机制 证书管理 大多数设备支持以下几种证书 证书管理参考文献 证书用于识别不同的系统(或许还有应用实体[Application Entities]) 证书可以自己生成、由机构签署,或由国际公认的权威机构签署。 大多数设备支持以下几种证书 每个系统个别生成的证书 (自己生成或其它) 机构管理当局签发的证书,由上述管理当局签发的证书具有公认的权威性 证书管理参考文献 安全概要委员会(SPC) 的文章:“管理证书(Managing Certificates)”对此有更详细的阐述
设置网络安全机制 防火墙规则 审计方法 需要将防火墙设置成可允许以TLS为基础的DICOM数据传输 (包括传入与传出) 采用不同的端口可使同一系统既充当HTTPS服务器,又成为以TLS为基础的DICOM系统 审计方法 DICOM没有对如何分析DICOM审计日志提出特定的要求 审计日志主要用于监视各种未经授权的活动,其它针对特定系统的专门日志则提供具有法律效力的细节