一 背景

　　近幾年來，國家衛生健康委相繼發布了互聯網醫院、智慧服務的政策文件和建設標準，旨在利用信息技術持續優化醫療服務流程、改善就醫體驗，眾多醫院都實現了互聯網便民業務的部署，如預約掛號、患者查詢、網上問診、互聯網醫院平臺等業務快速普及和“互聯網+醫療”技術的快速發展，將院內業務延伸到了線上。伴隨著業務系統在外網的暴露面擴大，信息系統也面臨著越來越嚴重的網絡安全威脅：惡意掃描、網絡攻擊、數據盜竊、勒索病毒等現象越發嚴重。同時，APP的技術發展和API業務的廣泛使用，互聯網端風險和管控鏈條在加速擴大，自動化、智能化、擬人化的自動化威脅已經非常普遍，使得醫療行業需要一個更加主動、高效、融合、智能的安全解決思路。

　　二 安全管理痛點

　　醫院信息安全人員日常工作中，安全痛點總結為以下幾點：

　　1.安全漏洞問題

　　一般系統無高危風險，是可以通過等級保護測評的，但還存在新通報的安全漏洞和0day漏洞等問題，以及無法完成整改的系統。這就存在補丁打不完的情況，僅是做到了相對安全，仍存在漏洞被探測利用的隱患。

　　2.攻擊事件的處理

　　日常運營中，運維人員需要登錄態勢感知、防火墻、WAF等設備讀取設備日志，分析研判安全事件。在大量報警信息中區分哪些是有效攻擊并及時處理，這要求相關人員具備一定的知識儲備和運維經驗，當前醫院信息部門具備這方面能力的人比較少。

　　3.醫療數據被違規爬取

　　醫院各個系統間通過API接口實現數據的交互和調用，各個開發商開發能力不盡相同，通過開源代碼實現快速開發、業務部門上線緊迫等情況，存在API缺乏鑒權機制、存在安全漏洞等種種問題。傳統安全設備無法檢查和校驗API接口調用中的請求和數據，無法阻斷攻擊行為和非法的數據請求行為，已經發生多次攻擊者利用API缺陷發起攻擊，導致數據被大量爬取的案例。

　　4.攻防演練缺乏思路

　　各單位組織的攻防演練，由于缺乏知識儲備和運維經驗，缺少應對新型攻擊方式的安全防護武器，運維人員不知道如何防守，常常在演練過程中顧此失彼，缺少思路。

　　5.員工缺乏網絡安全意識

　　員工缺乏網絡安全意識是一個普遍存在的問題，這給醫院的網絡安全帶來了一定的風險和挑戰。許多員工沒有接受過系統的網絡安全培訓和教育，對網絡安全的重要性和風險不夠了解。員工對社交、釣魚攻擊等常見的網絡攻擊手段缺乏警覺性，容易受騙并泄露敏感信息。一些員工可能存在使用弱密碼、隨意點擊鏈接、打開未知附件等不良習慣和疏忽大意的行為，增加了安全風險。

　　6.供應鏈安全

　　供應鏈中的任何一個環節都可能成為黑客的目標，攻擊者可能通過滲透供應鏈中的弱點來獲取對系統的訪問權限或篡改數據，而且供應鏈中可能需要共享敏感數據，如患者記錄、醫療報告等。不當的數據共享可能導致數據泄露或濫用，對患者隱私構成威脅。并且，醫院可能會與多個第三方合作，如云服務提供商、IT服務供應商等。這些第三方可能存在安全漏洞或不良行為，對供應鏈安全構成潛在威脅。

　　三 應對思路

　　根據當前的醫療信息安全現狀，我們可以采取兩個舉措來解決：一方面，需要加強網絡安全管理規范上標準化、制度化工作;另一方面，也需要利用“動態防止、積極防止、縱深防止、準確防止、全面防止”的基本原則，提高防治力度。

　　1.網絡安全管理規范標準化

　　要求醫院采用國際或國家標準，如數據加密標準和網絡安全實踐，以確保數據在存儲、傳輸過程中的安全。制度化則要求醫院根據這些技術標準制定相應的內部政策和操作流程，如數據存取策略和設備維護程序，并確保它們被正確執行。

　　2.操作流程標準化

　　確保醫療服務的每一個步驟都遵循既定的安全流程，比如患者信息的存取和醫療設備的網絡連接。建立持續的合規審查機制，比如通過定期的內部審計和安全檢查，確保醫療過程中的每一個步驟都按照既定的安全流程進行，包括患者身份確認、醫療操作規范、藥物管理和手術安全等方面的標準化管理，減少疏漏和錯誤的發生。

　　3.制度標準化

　　涉及制定適宜的網絡使用和數據保護政策，要加強人員培訓確保相關制度的貫徹與落實。包括對新入職人員的安全指導以及對現有員工的持續安全意識培養，同時加強醫療信息安全的法律法規建設和執行的監督力度。明確醫院和相關人員的責任和義務，加大對違法行為的打擊力度，建立醫療信息安全監管和執法機制。

　　技術層面是通過推進信息化建設，提高網絡安全的技術手段和管理水平。包括加強信息系統的安全防護能力和醫療信息系統的安全設置，例如訪問控制、權限管理、漏洞修補和補丁更新等，確保只有授權人員可以訪問和操作系統，及時修補系統漏洞，防止未經授權的訪問和惡意攻擊，建立醫療信息系統的邊界防護，包括網絡防火墻、入侵檢測系統和入侵防御系統等，阻止惡意攻擊和非法入侵，保護醫療信息系統的安全。

　　同時，醫院也要制定內部的安全管理制度，明確員工的安全責任和義務，加強對員工的安全培訓和監督，嚴禁未經授權的數據訪問和操作，防止內部人員造成的安全漏洞。

　　保持良好的合規性對于醫院來說至關重要，因此必須嚴格執行《個人信息保護法》《數據安全法》以及其他有關的法律條款。而制度化則要求將這些法規要求融入日常工作流程，建立起監管機制以確保所有操作都完全合規。

　　審計和檢查的標準化包括制定一個基于行業標準的安全評估流程。采取制度化的方式，確保整個機構的網絡安全檢查流程得到統一執行，并且建立定期的自我檢查、抽查和測試機制，以確保網絡安全的有效性。

　　最終，通過標準化和制度化的有機結合，醫院能夠建立起一套完善的網絡安全管理體系。標準化為醫療安全提供了一套明確的技術和管理框架，而制度化則確保這套框架在組織中得到有效實施和持續的維護。這樣，不僅能保證醫療數據的安全性和醫療服務的連續性，還能提高對抗網絡安全威脅的能力，同時滿足合規的要求，確保醫院能在保障患者安全的同時，也保護機構自身免受網絡安全事件的影響。

　　四 防護能力建設

　　WAAP是Web應用程序和API保護的縮寫，這是一種旨在保護Web應用程序和API免受各種日益復雜的網絡攻擊的安全技術。

　　WAAP是WAF的改良版，它為Web、移動客戶端、API等各種業務應用提供了強大、可持續、實時的安全防御功能，可以有效地抵御"安全孤島"等技術挑戰，并且根據當前的網絡及應用環境，實現對數據實時、持久的安全管理。適用于防御例如SQL注入、跨站腳本攻擊、跨站請求偽造、撞庫、爬蟲、DDoS攻擊、API接口濫用等安全攻擊。隨著科技的發展，互聯網醫院正在大力推進移動客戶端的發展，以便更好地與外界進行交流。通過調用API接口，可以輕松獲取用戶信息、敏感數據，并且能夠快速完成業務。因此，除了Web防護之外，我們還需要加強對移動客戶端的保護，確保醫療業務的持續性和數據安全。

　　經過一段時間此類產品和技術的測試，在醫院安全運營的場景中，WAAP可以解決的問題如下：

　　1.漏洞隱藏及漏洞掃描屏蔽

　　通過人機識別技術，主動屏蔽各類自動化工具掃描及漏洞探測行為，并通過代碼動態封裝技術干擾人工分析，提高攻擊者攻擊難度，提升漏洞窗口期的安全防護能力，可以達到無規則防0day的能力，減少因應用漏洞問題面臨的各種攻擊行為及監管機構通報整改壓力。

　　2.黑灰產業務攻擊防護

　　通過系統的動態驗證/動態令牌等人機識別技術，有效區分正常業務訪問及惡意業務訪問操作。如利用各種自動化工具/腳本發起的各類批量業務訪問操作行為，包括撞庫、模擬登錄、用戶信息及網站數據爬取、業務數據篡改等黑灰產攻擊行為。

　　在使用WAAP之后，可以通過評估系統的運行狀態、瀏覽器指紋、操作習慣等因素，來判斷ACK服務器上發出的請求是否屬于外部插件。同時系統將為合法訪問應用系統的終端分配一個一次性有效的訪問令牌，外掛工具直接進行系統查詢無法獲取有效的訪問令牌。因此，經過系統防護進行保護的應用系統無法通過外掛工具進行訪問，防止敏感數據泄漏的攻擊行為。

　　針對上文所述的攻擊行為，當攻擊者通過工具進行登陸時就會被系統識別并成功攔截，攻擊者根本沒有機會實現后續的數據爬取操作。

　　3.自動化攻擊的防護

　　針對攻防演練活動中體現的攻擊活動24小時無休、0day頻發、自動化攻擊工具泛濫造成的“攻易守難”，通過人機識別、動態防護等主動防護技術，在無需規則更新及匹配的情況下可以有效識別和防止各類自動化工具攻擊行為，提升響應防護效率，實現由人防到技防的轉變。

　　在實戰攻防對抗中，攻擊方通常分為三個階段發起攻擊：

　　第一階段：采取全面的自動化攻擊策略，以收集有效信息為核心，重點對目標進行資產檢測，并利用多種工具實施大規模的攻擊，例如弱口令嗅探、路徑遍尋、批量POC等。

　　第二階段：攻擊者將采用多種手段，以多源低頻、有針對性的方式突破目標。對目標系統進行人工分析，并采取精準打擊，從而有效地突破現有的安全措施。

　　第三階段：橫向移動、核心滲透。攻方重點在權限提升，或以內網機器為跳板做橫向移動攻擊，通過加密連接工具做隱秘通信，以及對靶標進行其他滲透行為。

　　針對所體現的攻擊特點，WAAP系統可以做出有效應對。

　　4.API全方位管控

　　通過API資產的有效管理，包括敏感數據的審查、訪問行為的監督，以及API安全基線的構建，以確保接口的安全性，避免API濫用、異常訪問、數據異常調用、敏感數據傳輸、惡意掃描、注入攻擊等情況的發生。

　　總之，醫療信息工作者在信息安全方面肩負著重大責任。隨著醫療行業的數字化轉型以及互聯網醫院的深入應用，醫療信息系統和數據的安全性問題日益凸顯。保護患者的隱私和醫療數據的安全，不僅關乎醫院的聲譽，更涉及到法律合規和患者的信任。應該時刻繃緊信息安全這根弦，不斷改進和完善管理制度，從開發階段到系統上線，應始終貫徹安全管理制度和規范標準，實現安全前移，幫助組織識別、減少和防范軟件中存在的安全風險。醫院應緊跟技術發展步伐，及時了解信息安全動向，掌握技術發展趨勢，將技術手段靈活運用到實際的工作之中，確保系統安全穩定運行，為患者和醫院提供可靠的服務。

　　作者簡介

　　張雷，CHIMA常委，河北醫科大學第一醫院西南院區院長。