张雷：医院如何降低互联网应用安全风险

　　一 背景

　　近几年来，国家卫生健康委相继发布了互联网医院、智慧服务的政策文件和建设标准，旨在利用信息技术持续优化医疗服务流程、改善就医体验，众多医院都实现了互联网便民业务的部署，如预约挂号、患者查询、网上问诊、互联网医院平台等业务快速普及和“互联网+医疗”技术的快速发展，将院内业务延伸到了线上。伴随着业务系统在外网的暴露面扩大，信息系统也面临着越来越严重的网络安全威胁：恶意扫描、网络攻击、数据盗窃、勒索病毒等现象越发严重。同时，APP的技术发展和API业务的广泛使用，互联网端风险和管控链条在加速扩大，自动化、智能化、拟人化的自动化威胁已经非常普遍，使得医疗行业需要一个更加主动、高效、融合、智能的安全解决思路。

　　二 安全管理痛点

　　医院信息安全人员日常工作中，安全痛点总结为以下几点：

　　1.安全漏洞问题

　　一般系统无高危风险，是可以通过等级保护测评的，但还存在新通报的安全漏洞和0day漏洞等问题，以及无法完成整改的系统。这就存在补丁打不完的情况，仅是做到了相对安全，仍存在漏洞被探测利用的隐患。

　　2.攻击事件的处理

　　日常运营中，运维人员需要登录态势感知、防火墙、WAF等设备读取设备日志，分析研判安全事件。在大量报警信息中区分哪些是有效攻击并及时处理，这要求相关人员具备一定的知识储备和运维经验，当前医院信息部门具备这方面能力的人比较少。

　　3.医疗数据被违规爬取

　　医院各个系统间通过API接口实现数据的交互和调用，各个开发商开发能力不尽相同，通过开源代码实现快速开发、业务部门上线紧迫等情况，存在API缺乏鉴权机制、存在安全漏洞等种种问题。传统安全设备无法检查和校验API接口调用中的请求和数据，无法阻断攻击行为和非法的数据请求行为，已经发生多次攻击者利用API缺陷发起攻击，导致数据被大量爬取的案例。

　　4.攻防演练缺乏思路

　　各单位组织的攻防演练，由于缺乏知识储备和运维经验，缺少应对新型攻击方式的安全防护武器，运维人员不知道如何防守，常常在演练过程中顾此失彼，缺少思路。

　　5.员工缺乏网络安全意识

　　员工缺乏网络安全意识是一个普遍存在的问题，这给医院的网络安全带来了一定的风险和挑战。许多员工没有接受过系统的网络安全培训和教育，对网络安全的重要性和风险不够了解。员工对社交、钓鱼攻击等常见的网络攻击手段缺乏警觉性，容易受骗并泄露敏感信息。一些员工可能存在使用弱密码、随意点击链接、打开未知附件等不良习惯和疏忽大意的行为，增加了安全风险。

　　6.供应链安全

　　供应链中的任何一个环节都可能成为黑客的目标，攻击者可能通过渗透供应链中的弱点来获取对系统的访问权限或篡改数据，而且供应链中可能需要共享敏感数据，如患者记录、医疗报告等。不当的数据共享可能导致数据泄露或滥用，对患者隐私构成威胁。并且，医院可能会与多个第三方合作，如云服务提供商、IT服务供应商等。这些第三方可能存在安全漏洞或不良行为，对供应链安全构成潜在威胁。

　　三 应对思路

　　根据当前的医疗信息安全现状，我们可以采取两个举措来解决：一方面，需要加强网络安全管理规范上标准化、制度化工作;另一方面，也需要利用“动态防止、积极防止、纵深防止、准确防止、全面防止”的基本原则，提高防治力度。

　　1.网络安全管理规范标准化

　　要求医院采用国际或国家标准，如数据加密标准和网络安全实践，以确保数据在存储、传输过程中的安全。制度化则要求医院根据这些技术标准制定相应的内部政策和操作流程，如数据存取策略和设备维护程序，并确保它们被正确执行。

　　2.操作流程标准化

　　确保医疗服务的每一个步骤都遵循既定的安全流程，比如患者信息的存取和医疗设备的网络连接。建立持续的合规审查机制，比如通过定期的内部审计和安全检查，确保医疗过程中的每一个步骤都按照既定的安全流程进行，包括患者身份确认、医疗操作规范、药物管理和手术安全等方面的标准化管理，减少疏漏和错误的发生。

　　3.制度标准化

　　涉及制定适宜的网络使用和数据保护政策，要加强人员培训确保相关制度的贯彻与落实。包括对新入职人员的安全指导以及对现有员工的持续安全意识培养，同时加强医疗信息安全的法律法规建设和执行的监督力度。明确医院和相关人员的责任和义务，加大对违法行为的打击力度，建立医疗信息安全监管和执法机制。

　　技术层面是通过推进信息化建设，提高网络安全的技术手段和管理水平。包括加强信息系统的安全防护能力和医疗信息系统的安全设置，例如访问控制、权限管理、漏洞修补和补丁更新等，确保只有授权人员可以访问和操作系统，及时修补系统漏洞，防止未经授权的访问和恶意攻击，建立医疗信息系统的边界防护，包括网络防火墙、入侵检测系统和入侵防御系统等，阻止恶意攻击和非法入侵，保护医疗信息系统的安全。

　　同时，医院也要制定内部的安全管理制度，明确员工的安全责任和义务，加强对员工的安全培训和监督，严禁未经授权的数据访问和操作，防止内部人员造成的安全漏洞。

　　保持良好的合规性对于医院来说至关重要，因此必须严格执行《个人信息保护法》《数据安全法》以及其他有关的法律条款。而制度化则要求将这些法规要求融入日常工作流程，建立起监管机制以确保所有操作都完全合规。

　　审计和检查的标准化包括制定一个基于行业标准的安全评估流程。采取制度化的方式，确保整个机构的网络安全检查流程得到统一执行，并且建立定期的自我检查、抽查和测试机制，以确保网络安全的有效性。

　　最终，通过标准化和制度化的有机结合，医院能够建立起一套完善的网络安全管理体系。标准化为医疗安全提供了一套明确的技术和管理框架，而制度化则确保这套框架在组织中得到有效实施和持续的维护。这样，不仅能保证医疗数据的安全性和医疗服务的连续性，还能提高对抗网络安全威胁的能力，同时满足合规的要求，确保医院能在保障患者安全的同时，也保护机构自身免受网络安全事件的影响。

　　四 防护能力建设

　　WAAP是Web应用程序和API保护的缩写，这是一种旨在保护Web应用程序和API免受各种日益复杂的网络攻击的安全技术。

　　WAAP是WAF的改良版，它为Web、移动客户端、API等各种业务应用提供了强大、可持续、实时的安全防御功能，可以有效地抵御"安全孤岛"等技术挑战，并且根据当前的网络及应用环境，实现对数据实时、持久的安全管理。适用于防御例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等安全攻击。随着科技的发展，互联网医院正在大力推进移动客户端的发展，以便更好地与外界进行交流。通过调用API接口，可以轻松获取用户信息、敏感数据，并且能够快速完成业务。因此，除了Web防护之外，我们还需要加强对移动客户端的保护，确保医疗业务的持续性和数据安全。

　　经过一段时间此类产品和技术的测试，在医院安全运营的场景中，WAAP可以解决的问题如下：

　　1.漏洞隐藏及漏洞扫描屏蔽

　　通过人机识别技术，主动屏蔽各类自动化工具扫描及漏洞探测行为，并通过代码动态封装技术干扰人工分析，提高攻击者攻击难度，提升漏洞窗口期的安全防护能力，可以达到无规则防0day的能力，减少因应用漏洞问题面临的各种攻击行为及监管机构通报整改压力。

　　2.黑灰产业务攻击防护

　　通过系统的动态验证/动态令牌等人机识别技术，有效区分正常业务访问及恶意业务访问操作。如利用各种自动化工具/脚本发起的各类批量业务访问操作行为，包括撞库、模拟登录、用户信息及网站数据爬取、业务数据篡改等黑灰产攻击行为。

　　在使用WAAP之后，可以通过评估系统的运行状态、浏览器指纹、操作习惯等因素，来判断ACK服务器上发出的请求是否属于外部插件。同时系统将为合法访问应用系统的终端分配一个一次性有效的访问令牌，外挂工具直接进行系统查询无法获取有效的访问令牌。因此，经过系统防护进行保护的应用系统无法通过外挂工具进行访问，防止敏感数据泄漏的攻击行为。

　　针对上文所述的攻击行为，当攻击者通过工具进行登陆时就会被系统识别并成功拦截，攻击者根本没有机会实现后续的数据爬取操作。

　　3.自动化攻击的防护

　　针对攻防演练活动中体现的攻击活动24小时无休、0day频发、自动化攻击工具泛滥造成的“攻易守难”，通过人机识别、动态防护等主动防护技术，在无需规则更新及匹配的情况下可以有效识别和防止各类自动化工具攻击行为，提升响应防护效率，实现由人防到技防的转变。

　　在实战攻防对抗中，攻击方通常分为三个阶段发起攻击：

　　第一阶段：采取全面的自动化攻击策略，以收集有效信息为核心，重点对目标进行资产检测，并利用多种工具实施大规模的攻击，例如弱口令嗅探、路径遍寻、批量POC等。

　　第二阶段：攻击者将采用多种手段，以多源低频、有针对性的方式突破目标。对目标系统进行人工分析，并采取精准打击，从而有效地突破现有的安全措施。

　　第三阶段：横向移动、核心渗透。攻方重点在权限提升，或以内网机器为跳板做横向移动攻击，通过加密连接工具做隐秘通信，以及对靶标进行其他渗透行为。

　　针对所体现的攻击特点，WAAP系统可以做出有效应对。

　　4.API全方位管控

　　通过API资产的有效管理，包括敏感数据的审查、访问行为的监督，以及API安全基线的构建，以确保接口的安全性，避免API滥用、异常访问、数据异常调用、敏感数据传输、恶意扫描、注入攻击等情况的发生。

　　总之，医疗信息工作者在信息安全方面肩负着重大责任。随着医疗行业的数字化转型以及互联网医院的深入应用，医疗信息系统和数据的安全性问题日益凸显。保护患者的隐私和医疗数据的安全，不仅关乎医院的声誉，更涉及到法律合规和患者的信任。应该时刻绷紧信息安全这根弦，不断改进和完善管理制度，从开发阶段到系统上线，应始终贯彻安全管理制度和规范标准，实现安全前移，帮助组织识别、减少和防范软件中存在的安全风险。医院应紧跟技术发展步伐，及时了解信息安全动向，掌握技术发展趋势，将技术手段灵活运用到实际的工作之中，确保系统安全稳定运行，为患者和医院提供可靠的服务。

　　作者简介

　　张雷，CHIMA常委，河北医科大学第一医院西南院区院长。