确保HIPAA符合远程医疗视频流的2种方法

新冠肺炎虽然给人们带来了挑战，但也给人们带来了加快扩大远程医疗应用的动力。

新冠肺炎疫情已经加快了业界为扩大远程医疗的应用而正在进行的努力。为了避免通过亲临就诊而传播冠状病毒的风险，医生和患者转而进行虚拟就诊是确保医生和患者健康的一种安全又便捷的方法。

但是，远程医疗在新冠肺炎疫情后的生活中将很可能继续成为一项重要的卫生保健服务。强制采用虚拟医生就诊的方式已显示出电子就诊对于常规体检多么有用。实际上，美国医学协会（American Medical Association）最近进行的一项研究得出的结论是，24%的医疗诊所就诊和门诊数量可以通过虚拟方式实现，另外9%可以“近乎虚拟地”实现。

患者和不堪重负的家人们都已经意识到不必去医生办公室的便利。此外，远程医疗有助于将医疗保健扩展到离最近办公点不远的农村地区，同时为长期保健设施的居民提供更好的保健医疗服务。这些好处可帮助医生和患者以及整个医疗机构。

人们对扩大远程医疗服务的兴趣越来越大，57%的医疗服务提供者认为远程医疗比新冠状病毒之前更受欢迎。据WebMD报道，《华尔街日报》最近报道，全球市场预计将从今年的254亿美元增长到2025年的556亿美元。这种增长无疑是一个重要的市场指标。

远程医疗的一个重要部分是确保所有敏感的医疗信息的安全。这些安全和隐私问题是创建HIPAA隐私规则的原因。隐私权规则为保护“个人可识别的健康信息”设定了国家标准，其中包括有关患者心理或身体健康，医疗或付款记录的信息。

随着医疗服务提供商持续将其记录保存模式和患者消息传递模式转换为在线的方式，HIPAA的合规性也扩展到了数字领域。实际上，您的远程医疗应用程序和网络不仅必须满足HIPAA要求，而且还必须满足更严格的州隐私法。这样无疑有助于确保机密数据安全的两个关键方面可以涉及到数据的托管位置和传输方式。

注意：以下突出显示的功能仅涉及可以使用Red5 Pro配置的技术安全措施。在确保您的远程医疗应用程序和网络符合HIPAA要求时，它们不能替代尽职调查。

通过加密提高数据安全性

创建安全系统的一个关键方面是加密。对于基于浏览器的应用程序，WebRTC是流媒体协议的最佳选择，因为它提供小于500毫秒的时延，这有利于促进顺畅、来回的对话。此外，出于安全原因，WebRTC流始终被加密。

加密是一种对数据进行置乱的方法，以便只有授权方才能理解信息。从技术上讲，它是将明文转换成密文的过程。简单地说，加密获取可读数据并对其进行修改，使其看起来是随机的。这就需要使用两个加密密钥;一个公共的，一个私人的。这些密钥是加密消息的发送方和接收方都可以破译的一组数学值。加密需要是随机的(防止未经授权的用户访问数据)，也需要是可预测的(以便授权的接收者能够正确使用信息)。

在WebRTC中，加密过程在浏览器中执行，不需要其他的配置。此外，WebRTC不需要任何插件，因为它消除了对第三方软件的担心以及诸如数据跟踪或病毒之类的潜在副作用，因此进一步提高了安全性。通常，插件连接可能会被利用，并带来潜在的安全风险。

WebRTC安全性支持AES（高级加密标准）保护，也称为银行级保护。正是因为这样，WebRTC消除了使用第三方或利用一个DIY平台来管理与认证设备和授权用户有关的所有功能的风险。相反，WebRTC使用视频传输协议SRTP（安全实时协议）通过WebRTC专门用于视频，音频和数据的三个通道来发送和接收加密内容。

SRTP用于加密和解密内容的密钥的交换是通过IETF的TLS(传输层安全)协议的一个版本来管理的，被称为DTLS(数据报传输层安全)，它与UDP(用户数据报协议)连接一起使用，这是由WebRTC使用的超低延迟包传输协议。或者，您也可以为这个进程使用TCP。这个密钥交换会随着WebRTC流的实例化而自动发生。

此外，无论您的主机服务商是谁，都将复制相同的WebRTC安全体系结构。支持跨云解决方案的能力提高了灵活性。由于WebRTC安全实现是标准的，因此它还可以在不同区域中建立相同的安全功能。关于WebRTC安全特性的更多细节可以在Red5 Pro博客上找到。

考虑自托管您的远程医疗应用程序

确保完全数据安全的最佳方法是将远程医疗应用托管在自己的服务器上。完全控制后端基础架构，还可以使您完全自定义远程医疗应用程序上的安全性，例如自定义身份验证，AI处理，带水印的视频图像处理。最重要的是，它可以防止其他提供程序者访问您的流；安全是重中之重。在编写远程医疗应用程序的后端代码时，灵活性和可扩展性与安全性紧密相关。

自托管的流式基础结构可防止您被平台即服务（PaaS）托管提供者打包。PaaS供应商可能不支持您要集成到您的应用程序中的所有API包——以及您希望集成到应用程序中的相关特性。此外，基于WebRTC的可扩展应用程序将通过服务器运行，这意味着流也在服务器端被解密。在这种情况下，您所依赖的PaaS提供商可以访问您通过它传输的所有视频。

您可能想要自己管理服务的另一个原因是，您可能需要会话的记录，以便患者以后进行检查，或医务人员出于合规性原因进行检查。该记录本质上是医疗记录的一部分。您将不希望第三方供应商可以访问此数据。

虽然可以说自托管是确保数据安全性的最强选择，但应注意的是，基于云的托管提供商（例如Google Cloud和AWS）也提供符合HIPAA的平台。这样的话使用起来会更方便一些，但是会在某种程度上限制自定义选项。在这种情况下，托管不可知的解决方案将提供您所需的灵活性和基本特性集。

无论是自托管还是使用特定的云平台，保护敏感数据的安全都是必不可少的。患者想知道他们的个人信息是安全的，更不用说不提供有效的安全所涉及的法律问题了。

新冠肺炎疫情可能迫使远程医疗得到广泛的采用，以维持一定程度的基本医疗；但是，应该存在的还是会继续存在的。在后疫情时代的世界中，远程医疗服务对医生，患者和医疗组织的好处仍然是宝贵的。因此，继续扩大远程医疗的可用性非常重要。其中很大一部分是确保敏感数据的安全，这也就意味着要建立更安全的基础架构。

责任编辑：lq