首 頁張雷:智慧醫(yī)院數(shù)據(jù)接口安全治理的思考
一 背景
近年來,數(shù)據(jù)安全成為國家社會發(fā)展面臨的重要議題,在十四五規(guī)劃下,《數(shù)據(jù)安全法》《個人信息保護法》《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》等法律法規(guī)也陸續(xù)出臺,從國家層面制度法規(guī)明確提出了衛(wèi)生健康主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。完善醫(yī)療衛(wèi)生行業(yè)相關(guān)數(shù)據(jù)安全指標(biāo)體系和評價機制,加強人員培訓(xùn)、新技術(shù)適配與管理制度落地,確保所涉及的各類醫(yī)療健康數(shù)據(jù)遵循法律規(guī)定,符合數(shù)據(jù)全生命周期安全管理要求,讓醫(yī)療健康數(shù)據(jù)全流程可感知、可管控、可溯源已是迫在眉睫。
隨著智慧醫(yī)療快速發(fā)展,網(wǎng)上掛號、在線問診、電子病歷、AI影像等移動醫(yī)療為我們帶來了諸多便利,沉淀了大量敏感數(shù)據(jù)的同時,也加劇了醫(yī)療數(shù)據(jù)泄漏風(fēng)險。尤其是新冠疫情暴發(fā)以來,國家對全面健康醫(yī)療的重視,進一步促進了新業(yè)態(tài)的發(fā)展,醫(yī)療數(shù)據(jù)逐步實現(xiàn)互聯(lián)互通,數(shù)據(jù)的流動性也得到了空前的提高,同時醫(yī)療機構(gòu)也在面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。
二 安全現(xiàn)狀
1.勒索病毒攻擊日漸頻繁
據(jù)了解,自2016年勒索病毒開始在全球蔓延,到2017年WannaCry勒索事件,勒索病毒逐漸成為全球范圍內(nèi)主流的網(wǎng)絡(luò)安全威脅。2021年5月,根據(jù)對全球30個國家/地區(qū)中型組織中的328名醫(yī)療機構(gòu)的信息化部門負責(zé)人的調(diào)查結(jié)果顯示,2020年約有34%的醫(yī)療機構(gòu)受到勒索軟件的攻擊。醫(yī)療數(shù)據(jù)中的患者信息高度個人化且敏感,具有很高的商業(yè)價值,這對黑客具有相當(dāng)大的吸引力,黑客往往通過加密或泄漏這些數(shù)據(jù)來向醫(yī)療機構(gòu)及患者個人進行雙重勒索。隨著醫(yī)療行業(yè)數(shù)字化程度不斷在提高,醫(yī)療行業(yè)數(shù)據(jù)安全防護能力卻普遍不足,導(dǎo)致醫(yī)療行業(yè)成為受勒索病毒威脅最為嚴(yán)重的行業(yè)之一。
2.個人信息泄漏頻發(fā)不止
在個人信息安全方面,中國信息通信研究院發(fā)布的《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險研究報告》顯示,受調(diào)查的醫(yī)療單位中近三成存在數(shù)據(jù)資產(chǎn)泄漏風(fēng)險,有7080家單位使用存在公開漏洞的低版本組件服務(wù),占全部觀測對象的44.39%。由此可以看出目前不少醫(yī)療機構(gòu)的數(shù)據(jù)安全意識和保護措施還很薄弱,由于智慧醫(yī)院醫(yī)院及互聯(lián)互通的普及促使醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)走向公共互聯(lián)網(wǎng),越來越多的醫(yī)療機構(gòu)通過移動終端或互聯(lián)網(wǎng)提供醫(yī)療健康服務(wù),但移動應(yīng)用和業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全保障機制不足,導(dǎo)致醫(yī)療機構(gòu)的應(yīng)用數(shù)據(jù)易受到黑客攻擊,從而引發(fā)醫(yī)療數(shù)據(jù)泄漏的安全事件頻發(fā)不止。
三 醫(yī)療數(shù)據(jù)安全治理痛點
信息化建設(shè)推進過程需要高度重視數(shù)據(jù)安全的建設(shè),按數(shù)據(jù)能力成熟度模型進行建設(shè),同時在數(shù)據(jù)安全生命周期各階段也需采取相應(yīng)措施。
1.數(shù)據(jù)接口資產(chǎn)理不清
在數(shù)據(jù)安全治理實踐中首先面對的就是要知道治理對象“是誰”“有多少”的問題,由于醫(yī)療機構(gòu)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)接口資產(chǎn)的數(shù)量多而且增長快,導(dǎo)致很多醫(yī)院都不清楚自己擁有多少個數(shù)據(jù)接口,以及數(shù)據(jù)接口處于什么樣的狀態(tài)。在數(shù)據(jù)治理初期遇到業(yè)務(wù)系統(tǒng)歸屬部門多,與外部對接錯綜復(fù)雜,導(dǎo)致數(shù)據(jù)接口資產(chǎn)梳理極其困難的問題。在大量的數(shù)據(jù)接口未梳理的情況下,數(shù)據(jù)接口資產(chǎn)不清,安全責(zé)任就無法劃分實施,也就不能有效的對數(shù)據(jù)接口資產(chǎn)的生命安全周期進行管理。
2.數(shù)據(jù)接口安全業(yè)務(wù)狀況不明確
智慧醫(yī)院必然擁有著數(shù)量眾多的在線業(yè)務(wù)系統(tǒng),而在實際的業(yè)務(wù)系統(tǒng)中,數(shù)據(jù)接口是獲得各種高價值服務(wù)和敏感數(shù)據(jù)的重要途徑。有些數(shù)據(jù)接口的流量雖然很低,卻是業(yè)務(wù)的核心部分,并且這些類型的數(shù)據(jù)接口很可能攜帶著敏感數(shù)據(jù),但是相關(guān)從業(yè)人員卻不能及時有效的監(jiān)測數(shù)據(jù)傳輸過程中的安全風(fēng)險,不清楚業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口是否應(yīng)該攜帶這些敏感數(shù)據(jù),其數(shù)據(jù)處理方式是否合法以及涉敏數(shù)據(jù)是否被惡意使用。
3.數(shù)據(jù)接口安全暴露面廣,被攻擊風(fēng)險大
隨著醫(yī)療行業(yè)云化的不斷推進,醫(yī)療機構(gòu)數(shù)據(jù)接口需要整合大量系統(tǒng)來實現(xiàn)業(yè)務(wù)彼此之間的交互,越來越多的個人數(shù)據(jù)以及敏感數(shù)據(jù)將存儲在云上、使用在云上,根據(jù)智慧醫(yī)院建設(shè)標(biāo)準(zhǔn),需要實現(xiàn)互聯(lián)互通,這也意味著更多的數(shù)據(jù)接口將暴露到互聯(lián)網(wǎng)中,相對于傳統(tǒng)數(shù)據(jù)中心的單點調(diào)用,東西向和南北向都可能成為數(shù)據(jù)接口的攻擊面。另外,研發(fā)人員常常會因為測試需要、啟用第三方開發(fā)人員訪問以及為合作伙伴演示等不經(jīng)意原因向外部公開數(shù)據(jù)接口,其中不安全的數(shù)據(jù)接口會持續(xù)擴大應(yīng)用程序攻擊面,讓黑客更容易進行偵察、收集配置信息以及策劃網(wǎng)絡(luò)攻擊。
4.傳統(tǒng)安全防御部分失效
回過頭來我們再看傳統(tǒng)意義上安全工具,如傳統(tǒng)防火墻以及Web應(yīng)用防火墻 (WAF)缺乏針對數(shù)據(jù)接口脆弱性的有效治理方法,目前均不能對業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口風(fēng)險進行準(zhǔn)確感知和防御。傳統(tǒng)安全防御工具實現(xiàn)方式是基于已知特征和規(guī)則進行風(fēng)險審計,在這種技術(shù)路徑下的缺陷在于行為特征規(guī)則越復(fù)雜,規(guī)則的可依賴性就越低。由于業(yè)務(wù)的不確定性和持續(xù)迭代特點,會讓行為特征本身的可依賴性降低,這使得無法直接判定風(fēng)險,且會產(chǎn)生較高的誤判率。
四 解決思路
面對數(shù)據(jù)安全治理痛點及挑戰(zhàn),需分別從管理制度和技術(shù)防護兩個層面進行治理。在技術(shù)防護層面,結(jié)合實際情況與業(yè)務(wù)流程、合規(guī)要求,可通過旁路獲取解析醫(yī)院網(wǎng)絡(luò)出入口動態(tài)鏡像流量,在不影響業(yè)務(wù)的前提下,無侵入地對網(wǎng)絡(luò)會話進行實時的管控。通過對內(nèi)部數(shù)據(jù)進行自定義分類分級,劃分出“醫(yī)患敏感信息”等數(shù)據(jù)類型,有效檢測數(shù)據(jù)傳輸過程中的安全風(fēng)險,識別敏感數(shù)據(jù)類型,監(jiān)控并審計相關(guān)數(shù)據(jù)使用情況,并展示醫(yī)院相關(guān)數(shù)據(jù)接口信息,以“一個中心、四個引擎”的工作模式實現(xiàn)數(shù)據(jù)資產(chǎn)可視化、威脅事件監(jiān)測、數(shù)據(jù)安全漏洞評估、敏感數(shù)據(jù)發(fā)現(xiàn)等引擎。在管理制度層面,建立數(shù)據(jù)安全治理專業(yè)團隊,常態(tài)化開展健康醫(yī)療數(shù)據(jù)安全攻防演練、應(yīng)急演練。提升數(shù)據(jù)安全管理、技術(shù)、合規(guī)能力,加強醫(yī)護數(shù)據(jù)安全意識,實現(xiàn)健康醫(yī)療數(shù)據(jù)安全運營的可視、可控、可持續(xù)。
1.數(shù)據(jù)資產(chǎn)梳理
醫(yī)院信息系統(tǒng)中數(shù)據(jù)量巨大,數(shù)據(jù)關(guān)系復(fù)雜,需要與眾多機構(gòu)進行數(shù)據(jù)交換,跨科室業(yè)務(wù)數(shù)據(jù)對接共享,跨單位數(shù)據(jù)對接共享以及開放給互聯(lián)網(wǎng)平臺等。只有掌握系統(tǒng)中數(shù)據(jù)的具體情況、流轉(zhuǎn)狀態(tài),才能為數(shù)據(jù)安全治理打下基礎(chǔ)。
在數(shù)據(jù)接口安全治理過程中通過實現(xiàn)自動化識別、自定義數(shù)據(jù)標(biāo)簽、手工注冊等多種方式導(dǎo)入本院的現(xiàn)有業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口,最終形成醫(yī)院統(tǒng)一數(shù)據(jù)接口資產(chǎn)圖譜。對數(shù)據(jù)資產(chǎn)進行細致的梳理,使得我們能夠清晰地掌握數(shù)據(jù)資產(chǎn)存儲在哪里,敏感數(shù)據(jù)分布在哪里,有哪些類型的數(shù)據(jù),這些數(shù)據(jù)哪些人有權(quán)限可操作。只有清楚的知道數(shù)據(jù)的使用情況和分布情況,才能知道需要實現(xiàn)怎樣的管控措施。
圖1 業(yè)務(wù)系統(tǒng)信息(應(yīng)用總數(shù),活躍應(yīng)用數(shù),應(yīng)用被訪問熱度TOP10等)
圖2 信息系統(tǒng)敏感數(shù)據(jù)接口信息(敏感數(shù)據(jù)接口總數(shù)、占比信息,數(shù)據(jù)接口訪問熱度TOP10等)
2.數(shù)據(jù)分類分級
在數(shù)據(jù)資產(chǎn)梳理的基礎(chǔ)上還需要對醫(yī)院信息系統(tǒng)中的數(shù)據(jù)進行合理的分類分級,在數(shù)據(jù)接口安全治理實踐過程中利用數(shù)據(jù)識別探測引擎,構(gòu)造了醫(yī)療行業(yè)數(shù)據(jù)分類分級規(guī)范以及目錄,完成了例如:個人健康醫(yī)療數(shù)據(jù)、支付及醫(yī)保數(shù)據(jù)等數(shù)據(jù)的分類,包括診斷結(jié)果、用藥信息、醫(yī)生用藥選擇、用戶支付記錄等信息,滿足安全合規(guī)要求,通過該實踐完成了對數(shù)據(jù)的分類分級指導(dǎo),實現(xiàn)對不同類型和不同級別的數(shù)據(jù)的針對性管控措施。
圖3:數(shù)據(jù)接口中數(shù)據(jù)分類分級情況(數(shù)據(jù)接口中包含的敏感信息數(shù)量、敏感等級占比信息,敏感信息TOP10,敏感信息所在數(shù)據(jù)接口詳情等)
3.數(shù)據(jù)安全評估
建立安全特征庫與業(yè)務(wù)規(guī)則庫,對應(yīng)用接口進行安全態(tài)勢監(jiān)測,同時對在線業(yè)務(wù)與即將上線業(yè)務(wù)進行風(fēng)險評估。基于網(wǎng)絡(luò)資產(chǎn)指紋在自身的設(shè)備漏洞庫中尋找相匹配的漏洞。除了第一時間補充互聯(lián)網(wǎng)上爆發(fā)的漏洞信息外,還包含了大量醫(yī)院內(nèi)部安全人員發(fā)現(xiàn)的漏洞信息,例如大量的主機漏洞、網(wǎng)站漏洞、組件漏洞、組件、其他漏洞等各類型的漏洞,包括文件讀取、信息泄漏、遠程代碼執(zhí)行、緩沖區(qū)溢出等。在授權(quán)的情況下對目標(biāo)網(wǎng)站的應(yīng)用和框架進行檢測分析,確認目標(biāo)組件后,以組件為依據(jù),從安全能力庫中尋找與該組件相匹配的PoC(漏洞驗證程序)并對目標(biāo)應(yīng)用進行無感知的威脅檢測。
圖4 安全評估任務(wù)掃描狀況
4.數(shù)據(jù)安全防護
目前數(shù)據(jù)安全防御性產(chǎn)品,多數(shù)采用串聯(lián)式部署,且存在一定的誤報率,這對智慧醫(yī)院追求時效性安全性帶來一定障礙,在數(shù)據(jù)防護方面可考慮采取以下措施:
(1)實時監(jiān)測流量中的威脅攻擊;(2)用旁路流量分析技術(shù),不影響正常業(yè)務(wù)運行;(3)對敏感數(shù)據(jù)訪問行為管控,防止非授權(quán)人員的數(shù)據(jù)濫用行為。
圖5:在實時流量中的威脅攻擊的捕獲情況(威脅攻擊的等級占比信息、威脅攻擊趨勢信息、威脅攻擊詳情等)
五 總結(jié)
通過對數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)接口資產(chǎn)的梳理,規(guī)范了管理,實現(xiàn)了對業(yè)務(wù)層的資產(chǎn)信息進行精準(zhǔn)識別和動態(tài)感知,讓資產(chǎn)清晰可見。基于醫(yī)院動態(tài)流量進行分析,實現(xiàn)了對醫(yī)院全域內(nèi)業(yè)務(wù)系統(tǒng)審計日志展示、威脅行為告警,確保醫(yī)療數(shù)據(jù)的安全傳輸,降低信息化數(shù)據(jù)安全風(fēng)險,有效保障智慧醫(yī)院信息安全一體化建設(shè),顯著提高了醫(yī)院數(shù)據(jù)接口安全治理效率,滿足智慧醫(yī)院信息化的長遠發(fā)展要求。
在數(shù)據(jù)治理落地實踐過程中,遇到的問題具有一定的特性,大部分具有共性,因此具有一定的推廣示范的價值;此實踐思路可以幫助類似的醫(yī)療機構(gòu)從業(yè)務(wù)層面對應(yīng)用系統(tǒng)以及數(shù)據(jù)接口進行精準(zhǔn)識別和動態(tài)感知,實現(xiàn)數(shù)據(jù)資產(chǎn)清晰可見;從數(shù)據(jù)傳輸層面實現(xiàn)數(shù)據(jù)的自定義分類分級,監(jiān)控并識別數(shù)據(jù)傳輸過程中的敏感數(shù)據(jù),實現(xiàn)數(shù)據(jù)的安全治理;及時發(fā)現(xiàn)各種威脅事件,并能夠提供深入詳細的入侵分析和響應(yīng)手段,從而讓醫(yī)療機構(gòu)精準(zhǔn)有效地解決數(shù)據(jù)接口問題。通過安全評估引擎分析潛在安全漏洞,提前發(fā)現(xiàn)隱患。
數(shù)據(jù)治理是有效管理數(shù)據(jù)的重要舉措,是實現(xiàn)數(shù)字化轉(zhuǎn)型的必經(jīng)之路,對提升醫(yī)療行業(yè)業(yè)務(wù)運營效率和數(shù)字化轉(zhuǎn)型具有重要意義,此次實踐有助于醫(yī)療行業(yè)把控數(shù)據(jù)接口資產(chǎn)態(tài)勢,提高數(shù)據(jù)傳輸管理效率。持續(xù)性風(fēng)險監(jiān)控,實現(xiàn)醫(yī)院數(shù)據(jù)傳輸風(fēng)險可視化,對數(shù)據(jù)進行深度分析,通過對入侵時間快速定位取證,有效解決傳統(tǒng)防御手段的被動處境。醫(yī)院應(yīng)建立持續(xù)的數(shù)據(jù)安全監(jiān)測體系,讓醫(yī)院時刻掌控當(dāng)前數(shù)據(jù)安全風(fēng)險態(tài)勢,第一時間響應(yīng)和解決數(shù)據(jù)安全高危風(fēng)險行為,為數(shù)據(jù)流動保駕護航。
作者簡介
張雷,CHIMA常委,河北醫(yī)科大學(xué)第一醫(yī)院元氏院區(qū)院長。
