DICOM标准安全性规定-nemadicom.PPT

DICOM标准安全性规定 Eric Pan eric.pan@ Agfa HealthCare DICOM标准安全性规定 在网络传输过程中的安全性 存储介质上的数据安全性 计算机活动的安全性 网络传输中的安全性 网络传输中的安全性 网络传输中的安全性 TLS加密技术使得公共Internet连接更加安全 这一点需要跟系统安全人员解释清楚。 以TLS为基础的DICOM 传输跟HTTPS类似，应该得到允许 。 节点身份认证在应用上可以高度个性化 既可以每次连接都详细校验身份，也可以只要确认该连接都是机构内部网络上的连接。 DICOM 广泛地支持一系列身份认证和访问控制方法。 DICOM没有明确任何特别的原则。 存储介质上的数据安全性 DICOM介质安全性规定适用于所有DICOM专用介质。如： CD-ROM Email USB设备 存储介质的安全性有助于实现： DICOM SOP Instances(服务对象对实例)的选择性加密 DICOM SOP Instances(服务对象对实例)的选择性数字签名 存储介质文件系统无需加密，这样存储介质即使不用特定的操作系统，也能够被处理与拷贝。 SOP Instance内容可以加密，以便防范未经授权的数据失密。 SOP Instance内容可以加上签名，以便证明数据完整性、进行校验，等等。 存储介质上的数据安全性 存储介质上的数据安全性 选择性加密 DICOM定义了一套加密方法，可以加密所有的SOP Instance、选定的属性，甚至某一单个属性。 安全性规范用于描述被保护的属性，DICOM只定义一个安全性规范来对所有SOP Instance进行加密。 若需要选择性加密，可采用一些地方性的规范，如： 只对患者姓名加密，不加密设备或影像。 只加密报告内容，不对患者身份加密。 存储介质上的数据安全性 选择性签名 DICOM定义了一套签名方法，可以对所有的SOP Instance、选定的属性，甚至某一单个属性签名。 安全性规范用于描述被签名的属性。 若需要选择性签名，可采用一些地方性的规范，如： 只对报告内容签名，不对患者身份签名。 只对影像或设备描述签名(－－这是确保设备生成完整而有效的数据拷贝的合理方法)。 计算机活动的安全性 DICOM并未明确计算机访问控制，或其它计算机安全措施。 这些问题应通过地方性规范来约束。 这些问题常跟特定的应用环境密切相关。 这些问题常跟特定的运作方式密切相关。 DICOM确实希望审计追踪(audit trails)和活动监控(activity monitoring)可以成为本地安全系统的一部分。 DICOM 定义了标准化的接口，以便向集中式审计仓库报告用户及计算机的活动。 计算机活动的安全性 设置网络安全机制 证书管理 证书用于识别不同的系统(或许还有应用实体[Application Entities]) 证书可以自己生成、由机构签署，或由国际公认的权威机构签署。 大多数设备支持以下几种证书 每个系统个别生成的证书 (自己生成或其它) 机构管理当局签发的证书，由上述管理当局签发的证书具有公认的权威性 证书管理参考文献 SPC发表的文章：“管理证书(Managing Certificates)”对此有更详细的阐述 设置网络安全机制 防火墙规则 需要将防火墙设置成可允许以TLS为基础的DICOM数据传输 (包括传入与传出) 以TLS为基础的DICOM传输的默认端口跟HTTPS端口一致，但前者经常发生变动 采用不同的端口可使同一系统既充当HTTPS服务器，又成为以TLS为基础的DICOM系统 审计方法 DICOM没有对如何分析DICOM审计日志提出特定的要求 审计日志主要用于监视各种未经授权的活动，其它针对特定系统的专门日志则提供具有法律效力细节 * * DICOM INTERNATIONALCONFERENCE SEMINARApril 8-10, 2008 Chengdu, China TLS 可用于防范未经授权的数据截取 DICOM 传输 DICOM 指定采用TLS来对传输数据进行加密。 HTTS是在TLS基础上运行的HTTP，是最常见的保护Web浏览器上数据传输的方法。 针对网络上未经授权的数据截取，以TLS为基础的DICOM 同样具有很强的安全保护能力。 利用加密手段，防范网络上未经授权的截听者。 AE-1 AE-5 AE-7 AE-3 DICOM 传输 准确辨认另一端的系统 TLS节点身份认证采用公开的证书技术来标识两侧端点。 这样AE-1 可以确知另一端点是AE-3，而非AE-7或其它什么系统。 同样，AE-3 亦确知另一端点是AE-1，而非AE-5或其它什么系统。 DICOM没有说明如何实现这一身份认证，可