文 | 佛山市第一人民医院 林晓怡 黄健

智慧医院是将智能化技术、大数据技术、物理网技术等应用到医疗卫生服务领域所产生的智能化医院，能够对医院内部的各个业务系统进行整合优化，借助相应的信息集成平台，促进医院医疗卫生服务水平的提高，实现管理的精细化，为患者提供专业、安全的医疗服务场所。互联互通是智慧医院的基石，医疗数据是智慧医院的核心，数据安全是智慧医院的关键。智慧医院服务过程中产生的数据是关键的生产要素，其安全程度直接制约着智慧服务的开展甚至医院的正常经营。智慧医院将传统医疗服务互联网化，扩大了数据暴露面，医院网络安全边界变得模糊并趋于消失，应用系统不可避免的存在大量风险及漏洞，医院必须及时采取有效的措施保障信息安全，提升信息化管理水平，保障智慧医院服务的开展。

一、智慧医院面临的数据安全风险

（一）新技术加剧网络安全挑战

智慧医院“以患者为中心、以服务为根本、以管理为支撑”的核心理念，将不断引入大数据、物联网、人工智能、区块链、5G等新技术，实现更智能化、更全面的互联互通，数据跨系统跨平台流动将更充分。新技术畅通了数据流通渠道的同时，APT、鱼叉攻击、水坑攻击等新型威胁随之而至。新型威胁更有针对性和隐蔽性，智慧医疗面临的安全挑战也越来越严峻。

（二）新业务形态带来数据传输安全风险

智慧医院包括面向医疗人员的“智慧医疗”，面向医院的“智慧管理”，以及面向患者的“智慧服务”。智慧医院的上线伴随移动App、前后端分离等技术的大量应用，医院纷纷将系统、资产和能力打包成互联网服务,从而让系统之间形成更强的连接和互动关系,释放原有资产的价值。而这个智慧服务转型过程，应用系统间的API接口的数量将与日俱增。API在提升业务服务效能的同时，也增加了风险敞口，特别是数据安全问题。随着《数据安全法》和《个人信息保护法》的实施，医院数据更面临政策法规遵从方面的风险。

（三）医疗服务互联网化导致数据暴露面难管控

随着敏捷开发、DevOps、AJAX等技术的兴起，大量新应用快速上线使用，系统之间频繁的数据交互，而常见的应用框架都是富客户端模式，服务器端更像是数据源，客户端通过在请求中携带参数从服务器的响应中接收原始数据，由客户端进行一定的数据处理。这就导致应用系统端需要暴露大量的服务接口。Gartner预测，到2024年API安全问题引起的数据泄露风险将翻倍。海外安全机构salt发布的《2021 年 API 安全状况报告》显示，91%受访者在2020年都在其所开发的 API 中遭遇了安全事件，这些事实足以让医院信息化管理者和安全人员敲响警钟。

（四）缺乏API接口全生命周期管理

医院所开展的信息安全管理工作任务量较多，对于一家普通规模的三甲医院而言，至少包含多张信息化网络，不少于50个信息系统，医疗健康数据、临床数据、科研数据量以TB为单位，导致信息安全管理的困难程度直线提升。应用接口由于隐蔽性强，医院缺乏统一有效的接口安全管理要求，面临诸如敏感数据接口分布不清、API接口多且乱、接口访问关系混乱、新接口上线无管控等各类数据资产管理类问题。从风险脆弱性角度，医疗的系统建设大部分依赖于外采，仅仅依靠传统的渗透测试等网络风险扫描监测系统，难以发现系统存在的API接口数据安全风险脆弱性。

二、智慧医院API接口安全管控措施探索

三分技术、七分管理。有效的接口数据安全保障体系，需要技术与管理相结合，通过技术手段对医院内网数据中心及互联网出口流量进行实时监控，自动发现系统中各类API接口及调用情况，及时发现接口调用过程中存在的非授权访问、水平越权、敏感数据泄漏等风险，追踪数据窃取攻击链路，快速定位数据泄露源；同时，医院需要建立相应的API接口安全管控措施，定期理清各应用系统之间接口关联关系，关停不必要或闲置的API接口，验证实时监控发现的接口安全风险，落实接口安全风险整改，形成接口安全风险的闭环管理,以“螺旋迭代”的威胁响应模式不断提升智慧医院数据安全管理水平。

（一）建立有效的接口风险实时监控能力

由于数据交互的特性，无法通过人工对接口数据传输进行检测，必须依靠有效的技术手段持续进行分析，市面上包括接口安全管理网关和接口流量安全监控两种技术手段。由于接口安全管理网关作为接口数据传输中介，需要应用接口改造，对医院应用多样化环境适用性不强。可通过流量探针的方式将数据中心与客户端之间、DMZ区与互联网出口之间、DMZ区与数据中心之间的实时传输流量进行采集，统一交付接口风险实时监测系统进行自动化分析接口安全风险。以旁路镜像模式部署的优势在于不影响业务，不需要业务进行改造，业务零打扰，数据更安全。接口流量安全监控技术原理见下图1所示。

图1 接口流量监控技术原理图

通过接口流量安全监控，可对智慧医院各应用接口安全带来以下效益：

1.敏感接口梳理

通过自动化接口发现技术，将网络流量中大量的URL进行聚合归类，然后提取参数配置，还原接口的技术设计形式；按照接口资源类型展示各类接口。同时通过敏感数据识别引擎识别接口返回内容中包含的敏感数据类型并对接口进行打标。针对流量访问来源，自动识别访问域及访问对象。针对流量的目的地址，自动识别区分接口使用范围：内部使用接口/外部使用接口；区分使用对象：人使用/机器调用；区分接口功能：登陆接口/文件下载接口/命令使用接口。同时，识别接口中所有的个人信息数据，并进行敏感数据内容全记录。

2.敏感接口访问记录

通过网络流量实时还原，自动解析接口访问事件。支持结构化数据识别能力，例如：JSON、JSONP、XML、Email等结构数据。同时支持非结构化数据识别，例如：HTML、日志等。支持文件数据识别，例如：WORD、PDF、TXT、EXCEL等各文本类数据识别。通过应用层账号关联分析技术，从网络流量中还原真实的接口访问身份账号并记录，解析模式采用登录关联解析加事件解析模式，大大保障了账号解析的成功。记录下操作时间、应用系统、操作接口、请求方法、操作用户、操作IP、操作内容、终端信息、敏感数据标签，完整记录医疗服务接口访问记录，为后续数据流转及泄露溯源提供基础。

3.接口弱点发现

针对流量中活跃接口进行数据资产弱点检查，对接口资产进行自动打标分类，对不同类型的接口资产进行分类自查。实现多种接口弱点自动识别，包括空口令接口、弱口令接口、权限控制不严、患者敏感数据明文传输类等安全风险。

4.数据风险预警

对数据访问行为建立基线，包括用户基线、系统基线、接口基线。对用户划群，IP划段，系统分类，使用聚群分析，历史行为对比分析，发现共用账户、非常用地登录、大规模数据异常流动、非业务时间传输数据等风险，提升风险报告准确度，并对已报告出来的风险行为自动进行场景关联分析，减少医院接口安全运营监控负担，提高风险识别效率。

5.泄露事件回溯

应具备数据泄露溯源能力，将所有访问过泄露内容的记录都提取出来，然后做集中度分析，进而一步步聚焦嫌疑人和泄露路径。

（二）构建接口安全运营管控体系

要想保证移动医疗医院信息网络数据的安全性，医院就要建立网络信息数据安全的日常管控工作以及制定相关工作的规范化操作流程。针对数据接口安全管理，应建立针对数据接口全生命周期安全的管理规范，明确数据安全责任人和职责，针对智慧医院业务特性制定接口安全开发规范，定期开展接口安全开发培训、接口上线审批及安全测试、验证接口访问控制策略、接口调用实时安全监测、接口停用下线管理等接口全生命周期各个关键节点进行管控，形成技术与管理相结合的接口安全管理体系，实现事前监控预警、事中监督处置、事后追溯审计的API接口全生命周期管理。

1.定期API接口资产及关联关系梳理

医院应定期开展业务应用API接口梳理工作。理清API资产台账，有效识别所有的API以及访问关联关系。基于业务活动范围、数据敏感度等安全属性，对API进行自动化的梳理和分类，并逐个与应用系统管理员及开发商进行确认。从而甄别接口数据暴露面，形成数据暴露面清单，方便对接口数据安全进行持续管理。

2.API接口安全风险整改

在完成第一阶段的API资产梳理之后，第二阶段主要的目标是针对各个API接口存在的数据安全风险脆弱性，进行评估监测，覆盖数据权限类、数据暴露类、安全规范类、口令认证类、高危接口类等弱点维度。针对真实存在的API接口安全风险，与应用开发商共同制定有效的整改方案，落实整改措施，消除API接口安全风险。

3.定期API接口安全合规性评估

医院应每季度依据《网络安全法》《数据安全法》《个人信息保护法》《信息安全技术 健康医疗数据安全指南》GB_T 39725-2020、医院智慧服务分级评估标准体系等法规和行业标准，对API接口安全情况进行专项合规评估，通过访谈、检查、验证等方式，对照政策法规要求逐项进行合规性检查，形成接口数据安全评估报告，不断完善医院接口安全长效管控措施。

三、总结

智慧医院带来大量新技术的应用，个人健康、生理信息数据越来越多的在各种场景中被使用、传输、交换，此时数据不再只是静态的业务载体，而是更多在各个系统中流动并发挥更大的价值。而医院传统信息安全的隔离式的防护手段已经无法对流动中的数据进行有效的保护。医院亟需寻求一套适应新需求、新业务场景、新挑战的应用接口数据安全保护体系。实现事前接口梳理、事中监测告警、事后分析追溯，加强医院互联网出口应用数据接口安全管控能力，更好落实《数据安全法》的相关要求。以达到保护数据安全的目标，更好推动智慧医院的应用。