ASTM E2086-00
INTERNET和INTRANET醫療保健安全的標準指南
Standard Guide for Internet and Intranet Healthcare Security
2009-01
- 標準號
- ASTM E2086-00
- 發布
- 2000年
- 發布單位
- 美國材料與試驗協會
- 當前最新
- ASTM E2086-00
- 適用范圍
- 本指南推薦了保護使用 IPS 傳輸的醫療保健信息的安全機制。 IPS 由多個協議層組成。能夠提供端到端安全性的最低層是互聯網協議(IP)。 IP 可以在多種子網技術上運行,例如以太網、X.25、ATM,甚至異步撥號線路。雖然可以直接通過這些技術提供安全服務,但此類方法僅保護單個子網,因此不會進一步討論。多種協議可以在IP之上運行。其中包括提供可靠、有序數據傳輸(會話)的傳輸控制協議(TCP)和提供無序數據傳輸(數據報)的用戶數據報協議(UDP)。該層的其他協議包括網絡本身使用的各種路由和配置協議。應用程序協議通常使用 TCP 或 UDP。已經為文件傳輸(FTP)、電子郵件(SMTP)和萬維網(HTTP)等應用定義了多種標準應用協議。某些應用程序有自己的安全要求,由應用程序的結構或其協議決定。本指南的其余部分的結構如下:第 5 節討論安全威脅以及可用于防范這些威脅的對策。第 6 節簡要概述了密碼學,因為大多數網絡安全機制都依賴于它的使用。第 7 節區分網絡安全和應用程序安全,并討論每個安全級別何時可能有用。其余部分建議滿足網絡和應用程序安全需求的特定安全協議和機制。
1.1 本指南涵蓋可用于保護使用 Internet 協議套件 (IPS) 通過網絡傳輸的醫療保健信息的機制。這包括實際的互聯網本身,以及由實現這些協議的現成組件構建的企業內部網。組織的安全策略將根據風險分析確定何時使用這些機制。
1.2 互聯網工程任務組 (IETF) 正在定義與 IPS 一起使用的安全標準。本指南涵蓋了相關標準,并在需要時建議與標準一起使用的特定選項(例如加密轉換)。此處引用的大多數標準都是作為征求意見 (RFC) 形式提出的標準問題。有些還處于草案階段,但足夠穩定(并且實施得足夠廣泛),因此建議此時使用。