一 背景

　　近幾年來，國家衛(wèi)生健康委相繼發(fā)布了互聯(lián)網(wǎng)醫(yī)院、智慧服務(wù)的政策文件和建設(shè)標(biāo)準(zhǔn)，旨在利用信息技術(shù)持續(xù)優(yōu)化醫(yī)療服務(wù)流程、改善就醫(yī)體驗(yàn)，眾多醫(yī)院都實(shí)現(xiàn)了互聯(lián)網(wǎng)便民業(yè)務(wù)的部署，如預(yù)約掛號、患者查詢、網(wǎng)上問診、互聯(lián)網(wǎng)醫(yī)院平臺等業(yè)務(wù)快速普及和“互聯(lián)網(wǎng)+醫(yī)療”技術(shù)的快速發(fā)展，將院內(nèi)業(yè)務(wù)延伸到了線上。伴隨著業(yè)務(wù)系統(tǒng)在外網(wǎng)的暴露面擴(kuò)大，信息系統(tǒng)也面臨著越來越嚴(yán)重的網(wǎng)絡(luò)安全威脅：惡意掃描、網(wǎng)絡(luò)攻擊、數(shù)據(jù)盜竊、勒索病毒等現(xiàn)象越發(fā)嚴(yán)重。同時，APP的技術(shù)發(fā)展和API業(yè)務(wù)的廣泛使用，互聯(lián)網(wǎng)端風(fēng)險和管控鏈條在加速擴(kuò)大，自動化、智能化、擬人化的自動化威脅已經(jīng)非常普遍，使得醫(yī)療行業(yè)需要一個更加主動、高效、融合、智能的安全解決思路。

　　二 安全管理痛點(diǎn)

　　醫(yī)院信息安全人員日常工作中，安全痛點(diǎn)總結(jié)為以下幾點(diǎn)：

　　1.安全漏洞問題

　　一般系統(tǒng)無高危風(fēng)險，是可以通過等級保護(hù)測評的，但還存在新通報的安全漏洞和0day漏洞等問題，以及無法完成整改的系統(tǒng)。這就存在補(bǔ)丁打不完的情況，僅是做到了相對安全，仍存在漏洞被探測利用的隱患。

　　2.攻擊事件的處理

　　日常運(yùn)營中，運(yùn)維人員需要登錄態(tài)勢感知、防火墻、WAF等設(shè)備讀取設(shè)備日志，分析研判安全事件。在大量報警信息中區(qū)分哪些是有效攻擊并及時處理，這要求相關(guān)人員具備一定的知識儲備和運(yùn)維經(jīng)驗(yàn)，當(dāng)前醫(yī)院信息部門具備這方面能力的人比較少。

　　3.醫(yī)療數(shù)據(jù)被違規(guī)爬取

　　醫(yī)院各個系統(tǒng)間通過API接口實(shí)現(xiàn)數(shù)據(jù)的交互和調(diào)用，各個開發(fā)商開發(fā)能力不盡相同，通過開源代碼實(shí)現(xiàn)快速開發(fā)、業(yè)務(wù)部門上線緊迫等情況，存在API缺乏鑒權(quán)機(jī)制、存在安全漏洞等種種問題。傳統(tǒng)安全設(shè)備無法檢查和校驗(yàn)API接口調(diào)用中的請求和數(shù)據(jù)，無法阻斷攻擊行為和非法的數(shù)據(jù)請求行為，已經(jīng)發(fā)生多次攻擊者利用API缺陷發(fā)起攻擊，導(dǎo)致數(shù)據(jù)被大量爬取的案例。

　　4.攻防演練缺乏思路

　　各單位組織的攻防演練，由于缺乏知識儲備和運(yùn)維經(jīng)驗(yàn)，缺少應(yīng)對新型攻擊方式的安全防護(hù)武器，運(yùn)維人員不知道如何防守，常常在演練過程中顧此失彼，缺少思路。

　　5.員工缺乏網(wǎng)絡(luò)安全意識

　　員工缺乏網(wǎng)絡(luò)安全意識是一個普遍存在的問題，這給醫(yī)院的網(wǎng)絡(luò)安全帶來了一定的風(fēng)險和挑戰(zhàn)。許多員工沒有接受過系統(tǒng)的網(wǎng)絡(luò)安全培訓(xùn)和教育，對網(wǎng)絡(luò)安全的重要性和風(fēng)險不夠了解。員工對社交、釣魚攻擊等常見的網(wǎng)絡(luò)攻擊手段缺乏警覺性，容易受騙并泄露敏感信息。一些員工可能存在使用弱密碼、隨意點(diǎn)擊鏈接、打開未知附件等不良習(xí)慣和疏忽大意的行為，增加了安全風(fēng)險。

　　6.供應(yīng)鏈安全

　　供應(yīng)鏈中的任何一個環(huán)節(jié)都可能成為黑客的目標(biāo)，攻擊者可能通過滲透供應(yīng)鏈中的弱點(diǎn)來獲取對系統(tǒng)的訪問權(quán)限或篡改數(shù)據(jù)，而且供應(yīng)鏈中可能需要共享敏感數(shù)據(jù)，如患者記錄、醫(yī)療報告等。不當(dāng)?shù)臄?shù)據(jù)共享可能導(dǎo)致數(shù)據(jù)泄露或?yàn)E用，對患者隱私構(gòu)成威脅。并且，醫(yī)院可能會與多個第三方合作，如云服務(wù)提供商、IT服務(wù)供應(yīng)商等。這些第三方可能存在安全漏洞或不良行為，對供應(yīng)鏈安全構(gòu)成潛在威脅。

　　三 應(yīng)對思路

　　根據(jù)當(dāng)前的醫(yī)療信息安全現(xiàn)狀，我們可以采取兩個舉措來解決：一方面，需要加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范上標(biāo)準(zhǔn)化、制度化工作;另一方面，也需要利用“動態(tài)防止、積極防止、縱深防止、準(zhǔn)確防止、全面防止”的基本原則，提高防治力度。

　　1.網(wǎng)絡(luò)安全管理規(guī)范標(biāo)準(zhǔn)化

　　要求醫(yī)院采用國際或國家標(biāo)準(zhǔn)，如數(shù)據(jù)加密標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全實(shí)踐，以確保數(shù)據(jù)在存儲、傳輸過程中的安全。制度化則要求醫(yī)院根據(jù)這些技術(shù)標(biāo)準(zhǔn)制定相應(yīng)的內(nèi)部政策和操作流程，如數(shù)據(jù)存取策略和設(shè)備維護(hù)程序，并確保它們被正確執(zhí)行。

　　2.操作流程標(biāo)準(zhǔn)化

　　確保醫(yī)療服務(wù)的每一個步驟都遵循既定的安全流程，比如患者信息的存取和醫(yī)療設(shè)備的網(wǎng)絡(luò)連接。建立持續(xù)的合規(guī)審查機(jī)制，比如通過定期的內(nèi)部審計和安全檢查，確保醫(yī)療過程中的每一個步驟都按照既定的安全流程進(jìn)行，包括患者身份確認(rèn)、醫(yī)療操作規(guī)范、藥物管理和手術(shù)安全等方面的標(biāo)準(zhǔn)化管理，減少疏漏和錯誤的發(fā)生。

　　3.制度標(biāo)準(zhǔn)化

　　涉及制定適宜的網(wǎng)絡(luò)使用和數(shù)據(jù)保護(hù)政策，要加強(qiáng)人員培訓(xùn)確保相關(guān)制度的貫徹與落實(shí)。包括對新入職人員的安全指導(dǎo)以及對現(xiàn)有員工的持續(xù)安全意識培養(yǎng)，同時加強(qiáng)醫(yī)療信息安全的法律法規(guī)建設(shè)和執(zhí)行的監(jiān)督力度。明確醫(yī)院和相關(guān)人員的責(zé)任和義務(wù)，加大對違法行為的打擊力度，建立醫(yī)療信息安全監(jiān)管和執(zhí)法機(jī)制。

　　技術(shù)層面是通過推進(jìn)信息化建設(shè)，提高網(wǎng)絡(luò)安全的技術(shù)手段和管理水平。包括加強(qiáng)信息系統(tǒng)的安全防護(hù)能力和醫(yī)療信息系統(tǒng)的安全設(shè)置，例如訪問控制、權(quán)限管理、漏洞修補(bǔ)和補(bǔ)丁更新等，確保只有授權(quán)人員可以訪問和操作系統(tǒng)，及時修補(bǔ)系統(tǒng)漏洞，防止未經(jīng)授權(quán)的訪問和惡意攻擊，建立醫(yī)療信息系統(tǒng)的邊界防護(hù)，包括網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)等，阻止惡意攻擊和非法入侵，保護(hù)醫(yī)療信息系統(tǒng)的安全。

　　同時，醫(yī)院也要制定內(nèi)部的安全管理制度，明確員工的安全責(zé)任和義務(wù)，加強(qiáng)對員工的安全培訓(xùn)和監(jiān)督，嚴(yán)禁未經(jīng)授權(quán)的數(shù)據(jù)訪問和操作，防止內(nèi)部人員造成的安全漏洞。

　　保持良好的合規(guī)性對于醫(yī)院來說至關(guān)重要，因此必須嚴(yán)格執(zhí)行《個人信息保護(hù)法》《數(shù)據(jù)安全法》以及其他有關(guān)的法律條款。而制度化則要求將這些法規(guī)要求融入日常工作流程，建立起監(jiān)管機(jī)制以確保所有操作都完全合規(guī)。

　　審計和檢查的標(biāo)準(zhǔn)化包括制定一個基于行業(yè)標(biāo)準(zhǔn)的安全評估流程。采取制度化的方式，確保整個機(jī)構(gòu)的網(wǎng)絡(luò)安全檢查流程得到統(tǒng)一執(zhí)行，并且建立定期的自我檢查、抽查和測試機(jī)制，以確保網(wǎng)絡(luò)安全的有效性。

　　最終，通過標(biāo)準(zhǔn)化和制度化的有機(jī)結(jié)合，醫(yī)院能夠建立起一套完善的網(wǎng)絡(luò)安全管理體系。標(biāo)準(zhǔn)化為醫(yī)療安全提供了一套明確的技術(shù)和管理框架，而制度化則確保這套框架在組織中得到有效實(shí)施和持續(xù)的維護(hù)。這樣，不僅能保證醫(yī)療數(shù)據(jù)的安全性和醫(yī)療服務(wù)的連續(xù)性，還能提高對抗網(wǎng)絡(luò)安全威脅的能力，同時滿足合規(guī)的要求，確保醫(yī)院能在保障患者安全的同時，也保護(hù)機(jī)構(gòu)自身免受網(wǎng)絡(luò)安全事件的影響。

　　四 防護(hù)能力建設(shè)

　　WAAP是Web應(yīng)用程序和API保護(hù)的縮寫，這是一種旨在保護(hù)Web應(yīng)用程序和API免受各種日益復(fù)雜的網(wǎng)絡(luò)攻擊的安全技術(shù)。

　　WAAP是WAF的改良版，它為Web、移動客戶端、API等各種業(yè)務(wù)應(yīng)用提供了強(qiáng)大、可持續(xù)、實(shí)時的安全防御功能，可以有效地抵御"安全孤島"等技術(shù)挑戰(zhàn)，并且根據(jù)當(dāng)前的網(wǎng)絡(luò)及應(yīng)用環(huán)境，實(shí)現(xiàn)對數(shù)據(jù)實(shí)時、持久的安全管理。適用于防御例如SQL注入、跨站腳本攻擊、跨站請求偽造、撞庫、爬蟲、DDoS攻擊、API接口濫用等安全攻擊。隨著科技的發(fā)展，互聯(lián)網(wǎng)醫(yī)院正在大力推進(jìn)移動客戶端的發(fā)展，以便更好地與外界進(jìn)行交流。通過調(diào)用API接口，可以輕松獲取用戶信息、敏感數(shù)據(jù)，并且能夠快速完成業(yè)務(wù)。因此，除了Web防護(hù)之外，我們還需要加強(qiáng)對移動客戶端的保護(hù)，確保醫(yī)療業(yè)務(wù)的持續(xù)性和數(shù)據(jù)安全。

　　經(jīng)過一段時間此類產(chǎn)品和技術(shù)的測試，在醫(yī)院安全運(yùn)營的場景中，WAAP可以解決的問題如下：

　　1.漏洞隱藏及漏洞掃描屏蔽

　　通過人機(jī)識別技術(shù)，主動屏蔽各類自動化工具掃描及漏洞探測行為，并通過代碼動態(tài)封裝技術(shù)干擾人工分析，提高攻擊者攻擊難度，提升漏洞窗口期的安全防護(hù)能力，可以達(dá)到無規(guī)則防0day的能力，減少因應(yīng)用漏洞問題面臨的各種攻擊行為及監(jiān)管機(jī)構(gòu)通報整改壓力。

　　2.黑灰產(chǎn)業(yè)務(wù)攻擊防護(hù)

　　通過系統(tǒng)的動態(tài)驗(yàn)證/動態(tài)令牌等人機(jī)識別技術(shù)，有效區(qū)分正常業(yè)務(wù)訪問及惡意業(yè)務(wù)訪問操作。如利用各種自動化工具/腳本發(fā)起的各類批量業(yè)務(wù)訪問操作行為，包括撞庫、模擬登錄、用戶信息及網(wǎng)站數(shù)據(jù)爬取、業(yè)務(wù)數(shù)據(jù)篡改等黑灰產(chǎn)攻擊行為。

　　在使用WAAP之后，可以通過評估系統(tǒng)的運(yùn)行狀態(tài)、瀏覽器指紋、操作習(xí)慣等因素，來判斷ACK服務(wù)器上發(fā)出的請求是否屬于外部插件。同時系統(tǒng)將為合法訪問應(yīng)用系統(tǒng)的終端分配一個一次性有效的訪問令牌，外掛工具直接進(jìn)行系統(tǒng)查詢無法獲取有效的訪問令牌。因此，經(jīng)過系統(tǒng)防護(hù)進(jìn)行保護(hù)的應(yīng)用系統(tǒng)無法通過外掛工具進(jìn)行訪問，防止敏感數(shù)據(jù)泄漏的攻擊行為。

　　針對上文所述的攻擊行為，當(dāng)攻擊者通過工具進(jìn)行登陸時就會被系統(tǒng)識別并成功攔截，攻擊者根本沒有機(jī)會實(shí)現(xiàn)后續(xù)的數(shù)據(jù)爬取操作。

　　3.自動化攻擊的防護(hù)

　　針對攻防演練活動中體現(xiàn)的攻擊活動24小時無休、0day頻發(fā)、自動化攻擊工具泛濫造成的“攻易守難”，通過人機(jī)識別、動態(tài)防護(hù)等主動防護(hù)技術(shù)，在無需規(guī)則更新及匹配的情況下可以有效識別和防止各類自動化工具攻擊行為，提升響應(yīng)防護(hù)效率，實(shí)現(xiàn)由人防到技防的轉(zhuǎn)變。

　　在實(shí)戰(zhàn)攻防對抗中，攻擊方通常分為三個階段發(fā)起攻擊：

　　第一階段：采取全面的自動化攻擊策略，以收集有效信息為核心，重點(diǎn)對目標(biāo)進(jìn)行資產(chǎn)檢測，并利用多種工具實(shí)施大規(guī)模的攻擊，例如弱口令嗅探、路徑遍尋、批量POC等。

　　第二階段：攻擊者將采用多種手段，以多源低頻、有針對性的方式突破目標(biāo)。對目標(biāo)系統(tǒng)進(jìn)行人工分析，并采取精準(zhǔn)打擊，從而有效地突破現(xiàn)有的安全措施。

　　第三階段：橫向移動、核心滲透。攻方重點(diǎn)在權(quán)限提升，或以內(nèi)網(wǎng)機(jī)器為跳板做橫向移動攻擊，通過加密連接工具做隱秘通信，以及對靶標(biāo)進(jìn)行其他滲透行為。

　　針對所體現(xiàn)的攻擊特點(diǎn)，WAAP系統(tǒng)可以做出有效應(yīng)對。

　　4.API全方位管控

　　通過API資產(chǎn)的有效管理，包括敏感數(shù)據(jù)的審查、訪問行為的監(jiān)督，以及API安全基線的構(gòu)建，以確保接口的安全性，避免API濫用、異常訪問、數(shù)據(jù)異常調(diào)用、敏感數(shù)據(jù)傳輸、惡意掃描、注入攻擊等情況的發(fā)生。

　　總之，醫(yī)療信息工作者在信息安全方面肩負(fù)著重大責(zé)任。隨著醫(yī)療行業(yè)的數(shù)字化轉(zhuǎn)型以及互聯(lián)網(wǎng)醫(yī)院的深入應(yīng)用，醫(yī)療信息系統(tǒng)和數(shù)據(jù)的安全性問題日益凸顯。保護(hù)患者的隱私和醫(yī)療數(shù)據(jù)的安全，不僅關(guān)乎醫(yī)院的聲譽(yù)，更涉及到法律合規(guī)和患者的信任。應(yīng)該時刻繃緊信息安全這根弦，不斷改進(jìn)和完善管理制度，從開發(fā)階段到系統(tǒng)上線，應(yīng)始終貫徹安全管理制度和規(guī)范標(biāo)準(zhǔn)，實(shí)現(xiàn)安全前移，幫助組織識別、減少和防范軟件中存在的安全風(fēng)險。醫(yī)院應(yīng)緊跟技術(shù)發(fā)展步伐，及時了解信息安全動向，掌握技術(shù)發(fā)展趨勢，將技術(shù)手段靈活運(yùn)用到實(shí)際的工作之中，確保系統(tǒng)安全穩(wěn)定運(yùn)行，為患者和醫(yī)院提供可靠的服務(wù)。

　　作者簡介

　　張雷，CHIMA常委，河北醫(yī)科大學(xué)第一醫(yī)院西南院區(qū)院長。