张雷:智慧医院数据接口安全治理的思考

发布时间:2022-10-25
浏览次数:

一 背景

  近年来,数据安全成为国家社会发展面临的重要议题,在十四五规划下,《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》等法律法规也陆续出台,从国家层面制度法规明确提出了卫生健康主管部门承担本行业、本领域数据安全监管职责。完善医疗卫生行业相关数据安全指标体系和评价机制,加强人员培训、新技术适配与管理制度落地,确保所涉及的各类医疗健康数据遵循法律规定,符合数据全生命周期安全管理要求,让医疗健康数据全流程可感知、可管控、可溯源已是迫在眉睫。

  随着智慧医疗快速发展,网上挂号、在线问诊、电子病历、AI影像等移动医疗为我们带来了诸多便利,沉淀了大量敏感数据的同时,也加剧了医疗数据泄漏风险。尤其是新冠疫情暴发以来,国家对全面健康医疗的重视,进一步促进了新业态的发展,医疗数据逐步实现互联互通,数据的流动性也得到了空前的提高,同时医疗机构也在面临着严峻的网络安全挑战。

二 安全现状

  1.勒索病毒攻击日渐频繁

  据了解,自2016年勒索病毒开始在全球蔓延,到2017年WannaCry勒索事件,勒索病毒逐渐成为全球范围内主流的网络安全威胁。2021年5月,根据对全球30个国家/地区中型组织中的328名医疗机构的信息化部门负责人的调查结果显示,2020年约有34%的医疗机构受到勒索软件的攻击。医疗数据中的患者信息高度个人化且敏感,具有很高的商业价值,这对黑客具有相当大的吸引力,黑客往往通过加密或泄漏这些数据来向医疗机构及患者个人进行双重勒索。随着医疗行业数字化程度不断在提高,医疗行业数据安全防护能力却普遍不足,导致医疗行业成为受勒索病毒威胁最为严重的行业之一。

  2.个人信息泄漏频发不止

  在个人信息安全方面,中国信息通信研究院发布的《2020数字医疗:疫情防控期间网络安全风险研究报告》显示,受调查的医疗单位中近三成存在数据资产泄漏风险,有7080家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的44.39%。由此可以看出目前不少医疗机构的数据安全意识和保护措施还很薄弱,由于智慧医院医院及互联互通的普及促使医院内网数据走向公共互联网,越来越多的医疗机构通过移动终端或互联网提供医疗健康服务,但移动应用和业务系统数据安全保障机制不足,导致医疗机构的应用数据易受到黑客攻击,从而引发医疗数据泄漏的安全事件频发不止。

三 医疗数据安全治理痛点

  信息化建设推进过程需要高度重视数据安全的建设,按数据能力成熟度模型进行建设,同时在数据安全生命周期各阶段也需采取相应措施。

  1.数据接口资产理不清

  在数据安全治理实践中首先面对的就是要知道治理对象“是谁”“有多少”的问题,由于医疗机构业务系统及数据接口资产的数量多而且增长快,导致很多医院都不清楚自己拥有多少个数据接口,以及数据接口处于什么样的状态。在数据治理初期遇到业务系统归属部门多,与外部对接错综复杂,导致数据接口资产梳理极其困难的问题。在大量的数据接口未梳理的情况下,数据接口资产不清,安全责任就无法划分实施,也就不能有效的对数据接口资产的生命安全周期进行管理。

  2.数据接口安全业务状况不明确

  智慧医院必然拥有着数量众多的在线业务系统,而在实际的业务系统中,数据接口是获得各种高价值服务和敏感数据的重要途径。有些数据接口的流量虽然很低,却是业务的核心部分,并且这些类型的数据接口很可能携带着敏感数据,但是相关从业人员却不能及时有效的监测数据传输过程中的安全风险,不清楚业务系统数据接口是否应该携带这些敏感数据,其数据处理方式是否合法以及涉敏数据是否被恶意使用。

  3.数据接口安全暴露面广,被攻击风险大

  随着医疗行业云化的不断推进,医疗机构数据接口需要整合大量系统来实现业务彼此之间的交互,越来越多的个人数据以及敏感数据将存储在云上、使用在云上,根据智慧医院建设标准,需要实现互联互通,这也意味着更多的数据接口将暴露到互联网中,相对于传统数据中心的单点调用,东西向和南北向都可能成为数据接口的攻击面。另外,研发人员常常会因为测试需要、启用第三方开发人员访问以及为合作伙伴演示等不经意原因向外部公开数据接口,其中不安全的数据接口会持续扩大应用程序攻击面,让黑客更容易进行侦察、收集配置信息以及策划网络攻击。

  4.传统安全防御部分失效

  回过头来我们再看传统意义上安全工具,如传统防火墙以及Web应用防火墙 (WAF)缺乏针对数据接口脆弱性的有效治理方法,目前均不能对业务系统数据接口风险进行准确感知和防御。传统安全防御工具实现方式是基于已知特征和规则进行风险审计,在这种技术路径下的缺陷在于行为特征规则越复杂,规则的可依赖性就越低。由于业务的不确定性和持续迭代特点,会让行为特征本身的可依赖性降低,这使得无法直接判定风险,且会产生较高的误判率。

四 解决思路

  面对数据安全治理痛点及挑战,需分别从管理制度和技术防护两个层面进行治理。在技术防护层面,结合实际情况与业务流程、合规要求,可通过旁路获取解析医院网络出入口动态镜像流量,在不影响业务的前提下,无侵入地对网络会话进行实时的管控。通过对内部数据进行自定义分类分级,划分出“医患敏感信息”等数据类型,有效检测数据传输过程中的安全风险,识别敏感数据类型,监控并审计相关数据使用情况,并展示医院相关数据接口信息,以“一个中心、四个引擎”的工作模式实现数据资产可视化、威胁事件监测、数据安全漏洞评估、敏感数据发现等引擎。在管理制度层面,建立数据安全治理专业团队,常态化开展健康医疗数据安全攻防演练、应急演练。提升数据安全管理、技术、合规能力,加强医护数据安全意识,实现健康医疗数据安全运营的可视、可控、可持续。

  1.数据资产梳理

  医院信息系统中数据量巨大,数据关系复杂,需要与众多机构进行数据交换,跨科室业务数据对接共享,跨单位数据对接共享以及开放给互联网平台等。只有掌握系统中数据的具体情况、流转状态,才能为数据安全治理打下基础。

  在数据接口安全治理过程中通过实现自动化识别、自定义数据标签、手工注册等多种方式导入本院的现有业务系统数据接口,最终形成医院统一数据接口资产图谱。对数据资产进行细致的梳理,使得我们能够清晰地掌握数据资产存储在哪里,敏感数据分布在哪里,有哪些类型的数据,这些数据哪些人有权限可操作。只有清楚的知道数据的使用情况和分布情况,才能知道需要实现怎样的管控措施。

微信图片_20221025105808.jpg

图1 业务系统信息(应用总数,活跃应用数,应用被访问热度TOP10等)

微信图片_20221025105812.jpg

图2 信息系统敏感数据接口信息(敏感数据接口总数、占比信息,数据接口访问热度TOP10等)

  2.数据分类分级

  在数据资产梳理的基础上还需要对医院信息系统中的数据进行合理的分类分级,在数据接口安全治理实践过程中利用数据识别探测引擎,构造了医疗行业数据分类分级规范以及目录,完成了例如:个人健康医疗数据、支付及医保数据等数据的分类,包括诊断结果、用药信息、医生用药选择、用户支付记录等信息,满足安全合规要求,通过该实践完成了对数据的分类分级指导,实现对不同类型和不同级别的数据的针对性管控措施。

微信图片_20221025105814.jpg

图3:数据接口中数据分类分级情况(数据接口中包含的敏感信息数量、敏感等级占比信息,敏感信息TOP10,敏感信息所在数据接口详情等)

  3.数据安全评估

  建立安全特征库与业务规则库,对应用接口进行安全态势监测,同时对在线业务与即将上线业务进行风险评估。基于网络资产指纹在自身的设备漏洞库中寻找相匹配的漏洞。除了第一时间补充互联网上爆发的漏洞信息外,还包含了大量医院内部安全人员发现的漏洞信息,例如大量的主机漏洞、网站漏洞、组件漏洞、组件、其他漏洞等各类型的漏洞,包括文件读取、信息泄漏、远程代码执行、缓冲区溢出等。在授权的情况下对目标网站的应用和框架进行检测分析,确认目标组件后,以组件为依据,从安全能力库中寻找与该组件相匹配的PoC(漏洞验证程序)并对目标应用进行无感知的威胁检测。

微信图片_20221025105820.jpg

图4 安全评估任务扫描状况

  4.数据安全防护

  目前数据安全防御性产品,多数采用串联式部署,且存在一定的误报率,这对智慧医院追求时效性安全性带来一定障碍,在数据防护方面可考虑采取以下措施:

  (1)实时监测流量中的威胁攻击;(2)用旁路流量分析技术,不影响正常业务运行;(3)对敏感数据访问行为管控,防止非授权人员的数据滥用行为。

微信图片_20221025105823.jpg

图5:在实时流量中的威胁攻击的捕获情况(威胁攻击的等级占比信息、威胁攻击趋势信息、威胁攻击详情等)

五 总结

  通过对数据资产以及数据接口资产的梳理,规范了管理,实现了对业务层的资产信息进行精准识别和动态感知,让资产清晰可见。基于医院动态流量进行分析,实现了对医院全域内业务系统审计日志展示、威胁行为告警,确保医疗数据的安全传输,降低信息化数据安全风险,有效保障智慧医院信息安全一体化建设,显著提高了医院数据接口安全治理效率,满足智慧医院信息化的长远发展要求。

  在数据治理落地实践过程中,遇到的问题具有一定的特性,大部分具有共性,因此具有一定的推广示范的价值;此实践思路可以帮助类似的医疗机构从业务层面对应用系统以及数据接口进行精准识别和动态感知,实现数据资产清晰可见;从数据传输层面实现数据的自定义分类分级,监控并识别数据传输过程中的敏感数据,实现数据的安全治理;及时发现各种威胁事件,并能够提供深入详细的入侵分析和响应手段,从而让医疗机构精准有效地解决数据接口问题。通过安全评估引擎分析潜在安全漏洞,提前发现隐患。

  数据治理是有效管理数据的重要举措,是实现数字化转型的必经之路,对提升医疗行业业务运营效率和数字化转型具有重要意义,此次实践有助于医疗行业把控数据接口资产态势,提高数据传输管理效率。持续性风险监控,实现医院数据传输风险可视化,对数据进行深度分析,通过对入侵时间快速定位取证,有效解决传统防御手段的被动处境。医院应建立持续的数据安全监测体系,让医院时刻掌控当前数据安全风险态势,第一时间响应和解决数据安全高危风险行为,为数据流动保驾护航。

  作者简介

  张雷,CHIMA常委,河北医科大学第一医院元氏院区院长。