DOI:10.3969/j.issn.1673-6036.2025.07.013
中图分类号:R-05
基于智能化监测平台的医疗数据交互风险治理研究
王利平, 熊尚华, 黄玉清, 周宸棋, 金珊
| 【作者机构】 | 金华市中心医院 |
| 【分 类 号】 | R-05 |
| 【基 金】 | 浙江省医药卫生科技计划项目(项目编号:2023KY1281)。 |
全文
文内图表
参考文献
出版信息
基于智能化监测平台的医疗数据交互风险治理研究
1 引言
数字中国战略驱动下,数据要素安全治理范式正经历结构性变革。医疗数据作为新型生产要素核心载体,在催生新质生产力的同时,其安全治理问题已成为掣肘健康中国战略实施的瓶颈[1]。在此背景下,2021年《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》协同实施,构建了涵盖数据全生命周期的治理框架:前者通过分类分级管理与风险监测预警筑牢安全基线,后者以最小必要原则和知情同意规则强化个人敏感信息保护。在医疗健康领域,《医疗卫生机构网络安全管理办法》针对行业特性细化规定,强调“加强传输接口安全控制,确保传输安全,防止数据窃取”。
应用程序编程接口(application programming interface,API)具备可重用、可定制、可扩展特性,已成为医院信息系统间主要数据交互方式[2]。互联互通建设中,海量医疗数据通过API交互,推动临床诊疗、医院运营及医学研究等多维数据价值的指数级释放[3-4]。医院数字化应用上线提升了医疗服务质量和效率[5],但也带来严峻的数据安全挑战,API成为灰黑产首要攻击目标[6]。尽管各大医疗卫生机构已具备较完善的网络安全防护体系,但在医疗业务数据交互安全保障方面仍存在不足[7-9],如API交互链路可视化存在监测盲区,难以深度审计数据类型、敏感级别及传输规模。2023年开放式Web应用程序安全项目(open web application security project,OWASP)发布的API安全风险报告显示,攻击者可通过未授权访问、参数注入等手段窃取敏感数据或发起服务阻断攻击[10]。医院应针对API风险进行全生命周期跟踪处理,防范Web攻击、数据泄漏、账号权限滥用等风险,保障数据安全[11]。本研究基于“智能化数据交互风险监测平台”(以下简称“平台”),构建覆盖“画像建模分析-安全漏洞评估-多维度风险识别与智能监测-数据溯源”的多层次API安全防护框架。通过引入动态风险评估模型与交互式搜索技术,实现医疗数据交互路径可视化映射及威胁实时响应,为医疗行业API安全防护体系技术优化提供实证参考。
2 系统设计
2.1 架构设计
采用分层架构设计,主要包括数据采集处理层、数据存储层、数据分析层、场景应用层、数据展示层,见图1。数据采集处理层对原始流量数据进行识别、提取和规范化处理,采用对业务系统零打扰的旁路流量分析模式,通过自研中间件分发处理数据;数据存储层将系统模型配置与API数据分别存储在不同的数据库中,以加快数据处理查询速度;数据分析层服务于上层场景应用,通过数据识别、API上下文关联、多维风险监测等智能模型分析数据;场景应用层是平台识别API数据、弱点、风险及提供溯源能力的核心功能层,支持50多类数据标签、50多个弱点场景和30多个异常行为场景识别;数据展示层涵盖API态势、数据交互态势、脆弱性态势、风险态势、威胁IP态势等,实现对API安全态势的全面感知。
图1 智能化数据交互风险监测平台架构
2.2 功能设计
2.2.1 API内外网全面监测体系 采用镜像流量采集技术,在不中断业务系统运行前提下实现网络数据全量捕获。覆盖医院内网、隔离区(demilitarized zone,DMZ)、专网。基于数据平面开发套件技术构建高性能流量分析引擎。API内外网双向监测体系核心功能包括:利用深度包检测技术动态梳理API数据暴露面,构建含接口地址、传输协议、数据字段的资产清单;基于漏洞特征库匹配,精准识别开放API的身份鉴权缺陷、内外网敏感数据暴露等安全隐患;依托威胁情报驱动的行为分析模型,实时预警非法API调用、数据爬取等网络攻击行为。最终形成“资产可视-漏洞闭环-攻击溯源”纵深防御链条,有效提升医疗数据交互场景主动防御能力。
2.2.2 API数据交互安全全生命周期保障体系 依托平台监测能力,形成“风险监测-分析定级-协同处置-效果核验”完整处置链条,见图2。通过“平台智能监测+人工专业研判”协同防御模式,建立3级联动闭环处置机制,主要环节如下:一是平台实时分析系统业务流量,精准捕获数据交互风险;二是运营团队基于威胁评估矩阵对平台告警进行风险评级,确认存在安全漏洞的API并生成处置工单;三是开发运维团队依据安全基线标准修复漏洞,并将整改结果反馈给运营端复测验证。
图2 数据交互安全保障体系
3 系统实现
3.1 覆盖全局的API画像建模分析
采用旁路采集技术非侵入式获取医院API通信流量,在确保业务连续性前提下建立实时监控体系,其核心逻辑是构建多维API行为画像。首先解析API所属系统、格式、标签、请求方法等基础属性,分析终端类型、访问域、部署域等特征,量化数据交互风险,通过累计访问次数、单次最大返回数据量等动态指标评估数据暴露面,结合敏感等级、风险等级、弱点数量等安全维度建立威胁模型。其次跟踪API生命周期,形成覆盖协议层、应用层、数据层的三维观测矩阵。最后对海量患者诊疗数据与个人信息进行结构化解析,将离散API交互行为映射为医院资产台账,实现“流量捕获-特征解构-风险评估-资产沉淀”闭环治理路径。
3.2 API安全漏洞评估
引入OWASP 2023版10大漏洞分类,通过内置规则对API进行安全评估,提供详细API路径、样例、数据流向域、漏洞描述、整改建议,并评估潜在影响,在漏洞被利用前及时修复,防范数据泄漏。覆盖的常见API漏洞包括参数可遍历、明文密码透出、登录密码弱、返回数据量可修改等。
3.3 多维度风险识别与智能监测
基于异常度、偏离度及贡献度等多维指标监测API异常行为,融合随机森林、极限梯度提升等算法量化风险等级,自动学习数据风险特征,结合动态阈值识别风险事件,构建动态API风险评估模型。首先构建正常业务基线,识别异常操作链(如调用频次超均值行为)。其次基于医生、患者、第三方机构等用户角色建立细粒度行为画像。最后基于API上下文参数特征优化模型,动态调整监测策略。覆盖的医疗数据交互风险包括3类:数据泄漏类(异常请求参数、敏感数据查询、IP访问频率异常等),Web攻击类(渗透尝试、路径试探等),账号安全类(同一IP关联多账号、账号批量下载患者信息等)。
3.4 数据溯源
运用交互式搜索技术关联分析API访问信息,快速还原数据链路并定位溯源。通过数据留痕记录API交互详情,发现风险时以患者诊疗数据为线索,结合访问特征(如账号、接口等)进行统计分析,建立快速响应、攻击链重构、电子证据固定的完整溯源能力。
4 应用及效果
平台建设前医院业务系统存在API资产不清、漏洞无法评估、风险无法监测、数据暴露无法追溯等问题,监测效率、覆盖面、准确率均有不足。平台建设后,实现了API可视、可管、可控,标志着医疗数据交互风险监测实现从无到有的突破。截至2025年3月,平台已运营4个月,监测流量平均为283 Mbps、峰值达885 Mbps,整改高中危API漏洞236个,API漏洞误报率14.5%,人工运营API风险事件328起,经确认未发生真实数据泄漏。
4.1 可视:API资产台账
平台监测应用35个、API 2 155个,日均API请求超200万次。通过持续监测分析API数据交互,发现业务场景中的数据暴露情况和潜在安全风险。例如,171个涉及身份证的API中,有4个单次可获取超3 000条数据。
4.2 可管:API漏洞评估整改
依据OWASP 2023版10大漏洞分类,识别漏洞项456个,见表1。
表1 API漏洞监测结果
ID分类级别数量(高/中/低)(个)类别总数(个)类别占比(%)API1:2023损坏的对象级别鉴权(broken object level authorization)33/121/8423852.19API2:2023身份认证缺陷(broken authentication)38/53/4513629.82API3:2023损坏的对象属性级别鉴权(broken object property level authorization)0/8/384610.08API4:2023未受限的资源消耗(unrestricted resource consumption)1/0/010.22API5:2023损坏的功能级别鉴权(broken function level authorization)0/1/010.22API6:2023未受限的敏感业务流访问(unrestricted access to sensitive business flows)0/0/000API7:2023服务端请求伪造(server side request forgery)0/0/000API8:2023安全配置错误(security misconfiguration)0/1/13143.07API9:2023资源管理失当(improper inventory management)0/0/000API10:2023不安全的API使用(unsafe sonsumption of APIs)0/20/0204.40
其中细分小类含11个未鉴权API、32个参数可遍历API、14个泄漏明文密码API、37个可修改返回数据API。例如,某未鉴权接口在互联网上被访问后,可修改手术时间并获取医院所有孕产妇的姓名、身份证号、手术名称等信息。通过对接口添加鉴权认证、对隐私数据脱敏处理,有效防范了数据泄漏风险。
4.3 可控:API风险监测
平台常态化监测全面覆盖接口、IP、账号的异常风险。监测发现高危风险行为:某账号在凌晨1点至6点每10分钟访问一次电子病历系统,每次获取约4 700条患者信息。经安全运营人员溯源查证,该职工无主观恶意,实为系统页面定时刷新API所致。确认风险后,运营人员协同系统开发人员修改API,调整接口鉴权过期时间并限制单次返回数据量,规避了大量敏感数据泄漏的风险。
5 结语
医疗机构可通过API构建标准化通道,实现院内私有网络与开放网络间数据的可控、合规交互。本研究根据医疗业务场景需求,建立59类敏感数据自动化标识体系,监测覆盖OWASP公布的10类安全漏洞风险。通过专项整改,采取鉴权加固、优化数据脱敏策略等措施,极大提升医院医疗数据交互监测水平和安全保障能力。未来将进一步从API治理、数据分类分级、数据脱敏等方面开展研究实践,在保障数据安全的前提下,构建“以数据为中心、以接口为最小治理单元”的精细化治理模式。
作者贡献:王利平负责研究设计、论文撰写;熊尚华、黄玉清负责论文修订;周宸棋负责现状调研;金珊负责相关政策梳理。
利益声明:所有作者均声明不存在利益冲突。
1 “十四五”数字经济发展规划[EB/OL].[2024-12-12]. https://www.gov.cn/gongbao/content/2022/content_5671108.htm.
2 汤其宇,陈昌杰,王士勇.医院网络环境中API接口的安全性问题与对策探讨[J].中国数字医学,2024,19(6):115-120.
3 金山.面向医疗大数据的网络数据安全存储检索系统的设计及实验分析[J].科学技术创新,2023(8):96-99.
4 高竞,李碧辉.互联互通背景下对医疗数据安全保护的思考[J].中国信息安全,2022(7):52-54.
5 胡晓兰,贾丹,吴玮,等.医院自助医疗系统在提高门诊服务质量与就诊体验中的效果评价[J].中国医学装备,2020,17(10):139-142.
6 网宿安全2022年Web安全观察报告:API成头号攻击目标,DDoS、Bot攻击倍增[J].中国信息安全,2023(7):108.
7 孟晓阳,杨巍,张楠,等.医院近源网络攻击风险分析及对策建议[J].医学信息学杂志,2024,45(9):87-90.
8 郑攀,刘华,琚文胜,等.我国医院数据安全现状调查分析[J].医学信息学杂志,2024,45(5):71-75.
9 郑攀,陈臣,马扬,等.医疗卫生机构数据安全管理建设[J].中国数字医学,2023,18(1):7-11.
10 OWASP.OWASP top 10 API security risks-2023[EB/OL].[2024-10-18].https://owasp.org/API-Security/editions/2023/en/0x11-t10.
11 孙保峰,葛晓伟,杨扬,等.某三级甲等公立医院API接口安全监测实践与思考[J].中国数字医学,2024,19(7):115-120.
Study on Risk Governance of Medical Data Interaction Based on the Intelligent Monitoring Platform
X