智慧醫(yī)院新業(yè)務形態(tài)下的數據接口安全管控研究

文 | 佛山市第一人民醫(yī)院 林曉怡 黃健

智慧醫(yī)院是將智能化技術、大數據技術、物理網技術等應用到醫(yī)療衛(wèi)生服務領域所產生的智能化醫(yī)院，能夠對醫(yī)院內部的各個業(yè)務系統進行整合優(yōu)化，借助相應的信息集成平臺，促進醫(yī)院醫(yī)療衛(wèi)生服務水平的提高，實現管理的精細化，為患者提供專業(yè)、安全的醫(yī)療服務場所。互聯互通是智慧醫(yī)院的基石，醫(yī)療數據是智慧醫(yī)院的核心，數據安全是智慧醫(yī)院的關鍵。智慧醫(yī)院服務過程中產生的數據是關鍵的生產要素，其安全程度直接制約著智慧服務的開展甚至醫(yī)院的正常經營。智慧醫(yī)院將傳統醫(yī)療服務互聯網化，擴大了數據暴露面，醫(yī)院網絡安全邊界變得模糊并趨于消失，應用系統不可避免的存在大量風險及漏洞，醫(yī)院必須及時采取有效的措施保障信息安全，提升信息化管理水平，保障智慧醫(yī)院服務的開展。

一、智慧醫(yī)院面臨的數據安全風險

（一）新技術加劇網絡安全挑戰(zhàn)

智慧醫(yī)院“以患者為中心、以服務為根本、以管理為支撐”的核心理念，將不斷引入大數據、物聯網、人工智能、區(qū)塊鏈、5G等新技術，實現更智能化、更全面的互聯互通，數據跨系統跨平臺流動將更充分。新技術暢通了數據流通渠道的同時，APT、魚叉攻擊、水坑攻擊等新型威脅隨之而至。新型威脅更有針對性和隱蔽性，智慧醫(yī)療面臨的安全挑戰(zhàn)也越來越嚴峻。

（二）新業(yè)務形態(tài)帶來數據傳輸安全風險

智慧醫(yī)院包括面向醫(yī)療人員的“智慧醫(yī)療”，面向醫(yī)院的“智慧管理”，以及面向患者的“智慧服務”。智慧醫(yī)院的上線伴隨移動App、前后端分離等技術的大量應用，醫(yī)院紛紛將系統、資產和能力打包成互聯網服務,從而讓系統之間形成更強的連接和互動關系,釋放原有資產的價值。而這個智慧服務轉型過程，應用系統間的API接口的數量將與日俱增。API在提升業(yè)務服務效能的同時，也增加了風險敞口，特別是數據安全問題。隨著《數據安全法》和《個人信息保護法》的實施，醫(yī)院數據更面臨政策法規(guī)遵從方面的風險。

（三）醫(yī)療服務互聯網化導致數據暴露面難管控

隨著敏捷開發(fā)、DevOps、AJAX等技術的興起，大量新應用快速上線使用，系統之間頻繁的數據交互，而常見的應用框架都是富客戶端模式，服務器端更像是數據源，客戶端通過在請求中攜帶參數從服務器的響應中接收原始數據，由客戶端進行一定的數據處理。這就導致應用系統端需要暴露大量的服務接口。Gartner預測，到2024年API安全問題引起的數據泄露風險將翻倍。海外安全機構salt發(fā)布的《2021 年 API 安全狀況報告》顯示，91%受訪者在2020年都在其所開發(fā)的 API 中遭遇了安全事件，這些事實足以讓醫(yī)院信息化管理者和安全人員敲響警鐘。

（四）缺乏API接口全生命周期管理

醫(yī)院所開展的信息安全管理工作任務量較多，對于一家普通規(guī)模的三甲醫(yī)院而言，至少包含多張信息化網絡，不少于50個信息系統，醫(yī)療健康數據、臨床數據、科研數據量以TB為單位，導致信息安全管理的困難程度直線提升。應用接口由于隱蔽性強，醫(yī)院缺乏統一有效的接口安全管理要求，面臨諸如敏感數據接口分布不清、API接口多且亂、接口訪問關系混亂、新接口上線無管控等各類數據資產管理類問題。從風險脆弱性角度，醫(yī)療的系統建設大部分依賴于外采，僅僅依靠傳統的滲透測試等網絡風險掃描監(jiān)測系統，難以發(fā)現系統存在的API接口數據安全風險脆弱性。

二、智慧醫(yī)院API接口安全管控措施探索

三分技術、七分管理。有效的接口數據安全保障體系，需要技術與管理相結合，通過技術手段對醫(yī)院內網數據中心及互聯網出口流量進行實時監(jiān)控，自動發(fā)現系統中各類API接口及調用情況，及時發(fā)現接口調用過程中存在的非授權訪問、水平越權、敏感數據泄漏等風險，追蹤數據竊取攻擊鏈路，快速定位數據泄露源；同時，醫(yī)院需要建立相應的API接口安全管控措施，定期理清各應用系統之間接口關聯關系，關停不必要或閑置的API接口，驗證實時監(jiān)控發(fā)現的接口安全風險，落實接口安全風險整改，形成接口安全風險的閉環(huán)管理,以“螺旋迭代”的威脅響應模式不斷提升智慧醫(yī)院數據安全管理水平。

（一）建立有效的接口風險實時監(jiān)控能力

由于數據交互的特性，無法通過人工對接口數據傳輸進行檢測，必須依靠有效的技術手段持續(xù)進行分析，市面上包括接口安全管理網關和接口流量安全監(jiān)控兩種技術手段。由于接口安全管理網關作為接口數據傳輸中介，需要應用接口改造，對醫(yī)院應用多樣化環(huán)境適用性不強?？赏ㄟ^流量探針的方式將數據中心與客戶端之間、DMZ區(qū)與互聯網出口之間、DMZ區(qū)與數據中心之間的實時傳輸流量進行采集，統一交付接口風險實時監(jiān)測系統進行自動化分析接口安全風險。以旁路鏡像模式部署的優(yōu)勢在于不影響業(yè)務，不需要業(yè)務進行改造，業(yè)務零打擾，數據更安全。接口流量安全監(jiān)控技術原理見下圖1所示。

圖1 接口流量監(jiān)控技術原理圖

通過接口流量安全監(jiān)控，可對智慧醫(yī)院各應用接口安全帶來以下效益：

1.敏感接口梳理

通過自動化接口發(fā)現技術，將網絡流量中大量的URL進行聚合歸類，然后提取參數配置，還原接口的技術設計形式；按照接口資源類型展示各類接口。同時通過敏感數據識別引擎識別接口返回內容中包含的敏感數據類型并對接口進行打標。針對流量訪問來源，自動識別訪問域及訪問對象。針對流量的目的地址，自動識別區(qū)分接口使用范圍：內部使用接口/外部使用接口；區(qū)分使用對象：人使用/機器調用；區(qū)分接口功能：登陸接口/文件下載接口/命令使用接口。同時，識別接口中所有的個人信息數據，并進行敏感數據內容全記錄。

2.敏感接口訪問記錄

通過網絡流量實時還原，自動解析接口訪問事件。支持結構化數據識別能力，例如：JSON、JSONP、XML、Email等結構數據。同時支持非結構化數據識別，例如：HTML、日志等。支持文件數據識別，例如：WORD、PDF、TXT、EXCEL等各文本類數據識別。通過應用層賬號關聯分析技術，從網絡流量中還原真實的接口訪問身份賬號并記錄，解析模式采用登錄關聯解析加事件解析模式，大大保障了賬號解析的成功。記錄下操作時間、應用系統、操作接口、請求方法、操作用戶、操作IP、操作內容、終端信息、敏感數據標簽，完整記錄醫(yī)療服務接口訪問記錄，為后續(xù)數據流轉及泄露溯源提供基礎。

3.接口弱點發(fā)現

針對流量中活躍接口進行數據資產弱點檢查，對接口資產進行自動打標分類，對不同類型的接口資產進行分類自查。實現多種接口弱點自動識別，包括空口令接口、弱口令接口、權限控制不嚴、患者敏感數據明文傳輸類等安全風險。

4.數據風險預警

對數據訪問行為建立基線，包括用戶基線、系統基線、接口基線。對用戶劃群，IP劃段，系統分類，使用聚群分析，歷史行為對比分析，發(fā)現共用賬戶、非常用地登錄、大規(guī)模數據異常流動、非業(yè)務時間傳輸數據等風險，提升風險報告準確度，并對已報告出來的風險行為自動進行場景關聯分析，減少醫(yī)院接口安全運營監(jiān)控負擔，提高風險識別效率。

5.泄露事件回溯

應具備數據泄露溯源能力，將所有訪問過泄露內容的記錄都提取出來，然后做集中度分析，進而一步步聚焦嫌疑人和泄露路徑。

（二）構建接口安全運營管控體系

要想保證移動醫(yī)療醫(yī)院信息網絡數據的安全性，醫(yī)院就要建立網絡信息數據安全的日常管控工作以及制定相關工作的規(guī)范化操作流程。針對數據接口安全管理，應建立針對數據接口全生命周期安全的管理規(guī)范，明確數據安全責任人和職責，針對智慧醫(yī)院業(yè)務特性制定接口安全開發(fā)規(guī)范，定期開展接口安全開發(fā)培訓、接口上線審批及安全測試、驗證接口訪問控制策略、接口調用實時安全監(jiān)測、接口停用下線管理等接口全生命周期各個關鍵節(jié)點進行管控，形成技術與管理相結合的接口安全管理體系，實現事前監(jiān)控預警、事中監(jiān)督處置、事后追溯審計的API接口全生命周期管理。

1.定期API接口資產及關聯關系梳理

醫(yī)院應定期開展業(yè)務應用API接口梳理工作。理清API資產臺賬，有效識別所有的API以及訪問關聯關系。基于業(yè)務活動范圍、數據敏感度等安全屬性，對API進行自動化的梳理和分類，并逐個與應用系統管理員及開發(fā)商進行確認。從而甄別接口數據暴露面，形成數據暴露面清單，方便對接口數據安全進行持續(xù)管理。

2.API接口安全風險整改

在完成第一階段的API資產梳理之后，第二階段主要的目標是針對各個API接口存在的數據安全風險脆弱性，進行評估監(jiān)測，覆蓋數據權限類、數據暴露類、安全規(guī)范類、口令認證類、高危接口類等弱點維度。針對真實存在的API接口安全風險，與應用開發(fā)商共同制定有效的整改方案，落實整改措施，消除API接口安全風險。

3.定期API接口安全合規(guī)性評估

醫(yī)院應每季度依據《網絡安全法》《數據安全法》《個人信息保護法》《信息安全技術 健康醫(yī)療數據安全指南》GB_T 39725-2020、醫(yī)院智慧服務分級評估標準體系等法規(guī)和行業(yè)標準，對API接口安全情況進行專項合規(guī)評估，通過訪談、檢查、驗證等方式，對照政策法規(guī)要求逐項進行合規(guī)性檢查，形成接口數據安全評估報告，不斷完善醫(yī)院接口安全長效管控措施。

三、總結

智慧醫(yī)院帶來大量新技術的應用，個人健康、生理信息數據越來越多的在各種場景中被使用、傳輸、交換，此時數據不再只是靜態(tài)的業(yè)務載體，而是更多在各個系統中流動并發(fā)揮更大的價值。而醫(yī)院傳統信息安全的隔離式的防護手段已經無法對流動中的數據進行有效的保護。醫(yī)院亟需尋求一套適應新需求、新業(yè)務場景、新挑戰(zhàn)的應用接口數據安全保護體系。實現事前接口梳理、事中監(jiān)測告警、事后分析追溯，加強醫(yī)院互聯網出口應用數據接口安全管控能力，更好落實《數據安全法》的相關要求。以達到保護數據安全的目標，更好推動智慧醫(yī)院的應用。