Použití kryptografických metod v medicínských aplikacích

Podobné dokumenty
Řešení počítačové sítě na škole

K čemu slouží počítačové sítě

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Základní deska (motherboard, mainboard)

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Zavádění efektivních metod výuky s využitím digitálních medicínských obrazových informací na středních zdravotnických školách

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Úvod - Podniková informační bezpečnost PS1-2

Programové vybavení OKsmart pro využití čipových karet

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

počet studentů 400 počet tříd 16 počet učitelů 34

X.25 Frame Relay. Frame Relay

ARCHIVACE A SDÍLENÍ ZDRAVOTNICKÉ DOKUMENTACE V SOULADU S LEGISLATIVOU

Číslo projektu: CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím ICT. Zdeněk Dostál Ročník: 1. Hardware.

Základní škola T. G. Masaryka Ivančice. Na Brněnce 1, okres Brno-venkov, příspěvková organizace. Na Brněnce 1, Ivančice, ICT PLÁN ŠKOLY

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Představení Kerio Control

SSL Secure Sockets Layer

VirtualizaceKlatovské nemocnice a.s.

Konsolidace PACS a e-health v souladu s legislativou ve FNB

Váš klíč k elektronické bezpečnosti. Vaše spolehlivé řešení pro autentizaci

PŘÍPADOVÁ STUDIE ŘEŠENÍ BEZPEČNOSTI FIREMNÍ INTERNETOVÉ KOMUNIKACE POUŽITÉ ŘEŠENÍ: DELL SOFTWARE A SLUŽBY IT AWACS. Petra, marketing, DNS

Koncept centrálního monitoringu a IP správy sítě

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Testovací protokol USB token etoken PRO 32K

Integrace datových služeb vědecko-výukové skupiny

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

Informatika teorie. Vladimír Hradecký

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Příloha č. 1 zadávací dokumentace - Specifikace předmětu plnění veřejné zakázky

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

Aktivní prvky: síťové karty

Počítačové sítě. IKT pro PD1

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

Úvod do počítačových sítí

Robert Hernady, Regional Solution Architect, Microsoft

MATURITNÍ OTÁZKY ELEKTROTECHNIKA - POČÍTAČOVÉ SYSTÉMY 2003/2004 TECHNICKÉ VYBAVENÍ POČÍTAČŮ

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury

Veřejná zakázka malého rozsahu na dodávky s názvem ICT technika pro moderní školu

Technické podmínky pro uživatele služeb přímého bankovnictví

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky

TECHNICKÉ PODMÍNKY. MS Internet Explorer 8.0 MS Internet Explorer 9.0

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

AGP - Accelerated Graphics Port

KAPITOLA 1 - ZÁKLADNÍ POJMY INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

Zabezpečení v síti IP

verze GORDIC spol. s r. o.

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Informační a komunikační technologie. 1.7 Počítačové sítě

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Aktivní prvky: brány a směrovače. směrovače

Osobní počítač. Zpracoval: ict Aktualizace:

Routování směrovač. směrovač

Název a označení sady: Člověk, společnost a IT technologie; VY_3.2_INOVACE_Ict

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Extrémně silné zabezpečení mobilního přístupu do sítě.

Přehled služeb a parametrů aplikace Eltrans 2000

Identifikátor materiálu: ICT-1-08

SODATSW Case Study 2009 Nasazení řešení Datový trezor ve společnosti CETELEM, a.s.

ICT plán školy. školní rok 2013/2014. Veřejně správní akademie vyšší odborná škola, s.r.o. Filipínského 1, Brno IZO:

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

CZ.1.07/1.5.00/

Informační a komunikační technologie. 3. Počítačové sítě

Co se realizovalo v přecházejícím roce:

Předmět: informační a komunikační technologie

Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

Název školy: Základní škola a Mateřská škola Žalany

Systém Přenos verze 3.0

ZŠ Ostrava, Gen. Píky 13A, příspěvková organizace. ICT plán školy. pro období školního roku 2018/2019 a 2019/2020

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Budování sítě v datových centrech

Technická specifikace

Technická specifikace HW pro rok 2012

Budování sítě v datových centrech

Wonderware hardware. Seznam produktů

ICT plán školy 2017/2018

Flow Monitoring & NBA. Pavel Minařík

SODATSW Case Study 2009 Nasazení řešení Datový trezor ve společnosti Synthesia, a.s.

Výzvy IOP č. (04), 06, 08, 09

Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina

Použití programu WinProxy

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

ICT plán školy 2016/2017

Komunikační napojení účastníků na centrální depozitář cenných papírů

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo didaktického materiálu EU-OVK-VZ-III/2-ZÁ-319. Počítačové sítě

Software SMART Bridgit

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba a TF OnLine

CZ.1.07/1.5.00/

Shrnutí Obecné Operační systém Microsoft Windows 7 Ultimate Centrální procesor

Bezdrátový router 150 Mbit/s Wireless N

Gymnázium Vysoké Mýto nám. Vaňorného 163, Vysoké Mýto

TECHNICKÉ PODMÍNKY. Tyto podmínky stanoví technické požadavky pro poskytování vybraných Bankovních služeb. Vaše případné dotazy rádi zodpovíme.

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Vzdálená správa v cloudu až pro 250 počítačů

Transkript:

Použití kryptografických metod v medicínských aplikacích Ing. Vladimír Schindler Vysoké učení technické v Brně, Fakulta elektrotechniky a komunikačních technologií Ústav telekomunikací, Purkyňova 118, 612 00 Brno, Česká republika e-mail: xschin02@stud.feec.vutbr.cz Tento článek je zaměřen na použití kryptografických metod v medicínských aplikacích, a to zejména při přenosech dat a jejich archivaci. Zabezpečená komunikace mezi zdroji medicínských dat a jejich úložištěm je jednou z hlavních priorit při návrhu architektury, její realizaci a následném provozu systému MeDiMed, který je projektem Ústavu výpočetní techniky Masarykovy univerzity. 1 Úvod Informační systém MeDiMed představuje řadu koordinovaných aktivit a projektů směřujících k vybudování specializované digitální knihovny. Jeho podstatou je získávání medicínských obrazových informací z nemocničních modalit (diagnostických zařízení) a jejich zpřístupnění prostřednictvím počítačové sítě. Mezi nejpoužívanější modality patří magnetická rezonance, digitální mamograf, ultrazvuk, magnetická rezonance, počítačový tomograf a další. Cílem je využít možnost současných ICT technologií a lékařské informatiky jak pro zvýšení kvality medicínské a obecné lékařské péče, tak i zlepšení podmínek pro medicínský výzkum a výuku studentů [2]. V současné době je do projektu MeDiMed zapojeno dvanáct zdravotnických zařízení, která jsou umístěna na území České republiky, převážně však v Jihomoravském kraji. Dlouhodobý archiv v současnosti obsahuje již více než 150 000 obrazových studií (vyšetření) - každá z nich je tvořena až desítkami snímků. 2 Informační systém MeDiMed 2.1 Architektura sítě Srdcem informačního systému MeDiMed je střežený počítačový sál na Ústavu výpočetní techniky Masarykovy univerzity (). Zde se nachází většina technologie potřebná pro provoz celé infrastruktury. Na diskových polích tu jsou bezpečně uloženy medicínské informace jednak jako záloha pro zdravotnická zařízení tak i jako jediné úložiště dat pro některá pracoviště. O zabezpečené spojení mezi lékařskými pracovišti a centrálním úložištěm se starají Cisco firewally řady PIX (). Ty jsou umístěny mezi přepínače (), jenž směrují jednotlivé požadavky ze vzdálených počítačů na daná disková pole. Monitorovací a managementové systémy kontrolují stav jak aktivních prvků tak celé sítě a přidělují práva uživatelům. Jestliže se na síti objeví nějaká anomálie, rozesílají správcům sítě e-maily nebo SMS zprávy. Pokud by došlo k živelní události, poruše nebo výpadku systému v této lokalitě, je celý systém zálohován ve střežené místnosti Centrální počítačové studovny Masarykovy univerzity (CPS MU). Spojení mezi centrálním úložištěm a lékařskými pracovišti probíhá většinou po vyhrazených optických vláknech nebo bezdrátových spojích. Pokud není možná ani jedna z předešlých variant přenosu dat, probíhá zabezpečený provoz 23-1

v nezabezpečeném internetu pomocí routerů () využívajících technologii IPSec. Zjednodušené schéma sítě MeDiMed je uvedeno na obr. 1. CPS MU ZÁLOŽNÍ SERVERY DISKOVÁ POLE SERVERY DISKOVÁ POLE MANAGEMENT MONITORING Nemocnice Znojmo Nemocnice TGM Hodonín Nemocnice s poliklinikou Uherské Hradiště FN u sv. Anny v Brně FN Brno - Bohunice Masarykův onkologický ústav Úrazová nemocnice v Brně Obr. 1: Zjednodušené schéma sítě MeDiMed CPS MU - Centrální počítačová studovna, Masarykova univerzita - Ústav výpočetní techniky, Masarykova univerzita - Cisco PIX Firewall 525, resp. 515E - Router - Switche Cisco Catalyst 23-2

3 Současný stav technického řešení zabezpečení přenosu dat v systému MeDiMed Pro zabezpečení datového přenosu mezi datovým centrem a zdravotnickým zařízením je na obou stranách nainstalováno šifrovací zařízení Cisco PIX Firewall, které je dostatečně výkonné pro přenos velkých objemů dat. Aby si čtenář udělal představu o portfoliu technologie Cisto PIX Firewall, věnuje se tomuto tématu kapitola 3.1. Veškerá data jsou před vstupem na nezabezpečené médium zašifrována a po příjmu na druhé straně spoje opět rozšifrována. Pokud komunikace neprobíhá přes vyhrazené médium (např. optické vlákno, bezdrátový spoj), jsou mezi oba firewally vloženy ještě routery, které zabezpečují dostatečnou šířku pásma pro výměnu informací. K šifrování je použito standardního algoritmu 3DES s délkou klíče 168 bitů. V současné době je tímto způsobem již rutinně provozován spoj například do nemocnice v Kyjově s přenosovou rychlostí 100 Mb/s. Pro šifrování přenosu je vyžíváno zařízení Cisco PIX Firewall 525(obr. 3) na a Cisco PIX Firewall 515E (obr. 2) ve vzdálené nemocnici. Jedná se o poměrně robustní firewally, které podporují všechny běžné protokoly pro šifrování přenosu. Z těchto protokolů byl jako nejvhodnější vybrán protokol IPSec. Pro vlastní šifrování přenášených dat se v současnosti používá algoritmus 3DES, v budoucnu se plánuje přechod na AES. Integrita přenášených dat je dále zabezpečena pomocí SHA-1 haše. Pro výměnu klíčů pro 3DES se používá algoritmus Diffie-Hellman s modulem 1024 bitů [3]. Systém MeDiMed také umožňuje vzdálený přístup do datového centra pro vybrané lékaře i z lokalit mimo nemocniční síť. Zabezpečení komunikace je opět vyřešeno protokolem IPSec mezi zařízením Cisco PIX Firewall v datovém centru a klientským programem Cisco Secure Access instalovaným přímo v pracovní stanici specialisty s medicínským softwarem. Pracovní stanice je zabezpečena pomocí USB klíče etoken PRO (obr. 4). Ten umožňuje bezpečně autentizovat a autorizovat uživatele [4]. Obr. 2: Cisco PIX 515E Obr. 3: Cisco PIX 525 Obr. 4: etoken PRO 32k 23-3

3.1 Technologie Cisco PIX Firewall Jak již bylo uvedeno výše, zabezpečenou komunikaci mezi centrálním úložištěm a zdravotnickými zařízeními řídí technologie Cisco PIX Firewall, která je specializovaným hardwarovým a softwarovým firewallem zajišťujícím vysokou úroveň bezpečnosti s menšími dopady na výkonnost sítě než jaké vykazují jiné firewally. Využívá technologie paketového filtru, proxy filtru i stavového paketového filtru. Kompletní přehled produktů řady Cisco PIX Firewall včetně jejich parametrů je uveden v tab. I. Mezi hlavní výhody a funkce firewallů řady PIX patří: Bezpečný, zapouzdřený systém pracující v reálném čase, který na rozdíl od typických proxy filtrů, jenž s každým datovým paketem provádějí obsáhlé zpracování, obsahuje dobře chráněné proprietární operační prostředí. Tím pádem v něm nejsou žádná zranitelná místa známá z jiných operačních systémů. Adaptivní bezpečnostní algoritmus ASA, který provádí stavové filtrování paketů, jenž představuje bezpečnou metodu analýzy datových paket, při níž se velké množství informací o paketech zapisuje do zvláštní tabulky. Za zavedený paket se dá považovat jen takový paket, jehož informace se shodují s informacemi zapsanými v tabulce. Průřezová proxy autentizace, která je uživatelsky orientovanou metodou autentizací příchozích i ochozích spojení, jenž má oproti proxy filtru nižší režii při zpracování a tím pádem běží rychleji. Stavové převzetí služeb/horká záloha, díky níž je možné konfigurovat dvě jednotky Cisco PIX Firewall a vytvořit tak plně redundantní topologii [1]. Model 501 506E 515E 525 535 Použití Malé firmy a domácnosti Vzdálená pracoviště a firemní pobočky Sítě malých až středních podniků Střední a velké podniky Velké podniky a poskytovatelé služeb (ISP) CPU AMD SC520 133 MHz Celeron 300 MHz Celeron 433 MHz Intel PIII 600 MHz Intel PIII 1 GHz RAM 16 MB 32 MB až 64 MB až 256 MB až 1GB FLASH 8 MB 8 MB 16 MB 16 MB 16 MB Integrované 1 2 2 2 0 porty 10/100 Sloty PCI 0 0 2 3 9 Ethernet porty 1 2 6 8 10 Failover Ne ne ano ano ano Propustnost (clear text) Propustnost 3DES 60 Mb/s 100 Mb/s 188 Mb/s 330 Mb/s 1,7 Gb/s 3 Mb/s 17 Mb/s až 140 Mb/s až 155 Mb/s až 440 Mb/s Tab. I: Parametry jednotlivých modelů firewallů řady PIX 23-4

3.2 USB klíč etoken PRO Požadavky uživatelů na vzdálený přístup k medicínským datům přes nezabezpečený internet vedly k potřebě technického vybavení umožňujícího bezpečnou autentifikaci a autorizaci. Nejlevnější a nejdostupnější možností bylo pořízení USB klíče etoken PRO společnosti Aladdin. Uživateli, který chce pracovat s medicínskými daty, stačí, když zasune USB klíč do USB portu svého počítače a spustí aplikaci Cisco Secure Access. Program na základě privátního klíče uloženého v USB tokenu sestaví IPSec spojení mezi klientem a datovým centrem a lékaři je tak umožněn přístup k uloženým datům. Mezi hlavní funkce USB klíče etoken PRO patří: Certifikáty a standardy PKCS#11 v2.01, CAPI (Microsoft Crypto API), PC/SC, SSL v3, X.509 v3, Siemens/Infineon APDU commands, IPSec/IKE. Podpora systémů Windows 95/98/98SE/Me/2000/XP, Windows NT4.0 SP4 a novější. Šifrovací algoritmy RSA 1024-bitů, DES, 3DES (Triple DES), SHA1, MD5. Vnitřní paměť pro klíče o velikosti 16kB, 32kB nebo 64kB. Uchování dat v paměti až 10 let. Až pětisettisícnásobný přepis paměti [5]. 4 Závěr Projekt MeDiMed představuje stále se rozvíjející systém, který umožňuje dlouhodobou archivaci a komunikaci v oblasti zpracování medicínských obrazových dat a zároveň podporuje vzdělávání budoucích lékařů. Od svého zrodu prošel několika modernizacemi a to jak v oblasti zvyšování kapacity diskového prostoru, která se v dnešní době počítá v desítkách terabytů, tak v oblasti zabezpečení ukládaných dat a jejich bezpečnému přenosu mezi centrálním úložištěm a zdravotnickými zařízeními. V dnešní době, kdy se výpočetní výkon neustále zvyšuje, je třeba současně stupňovat míru zabezpečení těchto citlivých dat proti jejich zcizení. 5 Literatura [1] CHAPMAN, David W.; FOX, Andy. Zabezpečení sítí pomocí Cisco PIX Firewall. Computer Press 2004, 343 stran, ISBN 80-7226-963-1 [2] BARTOŠEK, Miroslav. Dílčí zpráva o řešení výzkumného záměru za rok 2002 [online]. 2002, poslední revize 7. 1. 2003 [cit. 2007-05-26]. Dostupné z: <http://www.ics.muni.cz/toutf8.cs/research/vz_zprava2002.html>. [3] BARTOŠEK, Miroslav. Dílčí zpráva o řešení výzkumného záměru za rok 2003 [online]. 2002, poslední revize 7. 1. 2003 [cit. 2007-05-26]. Dostupné z: <http://www.ics.muni.cz/toutf8.cs/research/vz_zprava2003.html>. [4] BARTOŠEK, Miroslav. Dílčí zpráva o řešení výzkumného záměru za rok 2004 [online]. 2005, poslední revize 8. 2. 2005 [cit. 2007-05-26]. Dostupné z: <http://www.ics.muni.cz/toutf8.cs/research/vz_zprava2004.html>. [5] - etoken PRO - Portable USB Token With Advanced Smart Card Technology [online]. 2007, [cit. 2007-05-27]. Dostupné z: <http://www.aladdin.com/etoken/pro/usb.asp>. 23-5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář