天融信首发API安全运营管控方案,“互联网+”拓宽诊疗“大动脉”
相对于传统的医疗机构,互联网医院在线上问诊、处方流转、医患互动等方面具有更加灵活、便捷的特点。然而随着数字经济发展的进一步深入,互联网医院在给人们带来便利的同时,渐渐出现海量医疗数据频繁外泄的事件。医疗行业网络安全形势日渐严峻,引起人们的广泛关注。
2018年,国家卫生健康委员会、国家中医药管理局发布的《互联网医院管理办法(试行)》明确指出,“互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护”。各医院为贯彻以上要求,必须在内网与互联网相连接后,才能实现医院内部的“存储病案首页数据”与国家卫健委医管司的“医院质量监测系统”接口对接工作,实现数据互通。就目前安全措施而言,医疗机构多数采用网闸的解决方案。
伴随着互联网医院建设的不断深入,医院核心业务系统(HIS、LIS、PACS、EMR等)与互联网医院平台的数据交换变得更加频繁,在医院核心业务系统之间,大量使用API接口进行数据交换。诊疗业务、便民服务、机构管理、医保支付等数据,都需要互联互通。在城市医联体、紧密型县域医共体等新型医疗机构集群的区域协同要求下,互联网医院广泛采用的移动APP、微信小程序等便民服务都离不开API功能调用。API作为互联网医院“数据中台”和“业务中台”的关键技术,其安全性至关重要。
为保障互联网诊疗业务的安全性,天融信提出API安全运营管控方案,该方案针对互联网医院业务API接口安全问题提供安全运营管控办法,优化业务流程,简化医院安全管理工作,提升患者线上就医满意度,保障互联网医院信息安全和业务顺畅流转。
“零死角”API暴露面梳理
医院IT资产精细化管理需要全面梳理业务API接口间调用。运维人员采用API流量可视化分析工具,输出互联网医院API接口调用总体概况,为拆分高峰API接口功能和关闭低价值接口提供业务优化指导依据,优化系统调用,减少API接口安全风险暴露面。
“零信任”API身份可信授权
医疗机构应根据业务需要,对不同业务开放特定权限的API接口。天融信采用数据安全治理“六步法”,对重要医疗数据及涉及个人隐私信息数据分类分级,制定API接口数据传输管控策略,针对某些患者的临床信息如心理疾病、HIV信息等数据传输,加强对等通信节点的身份验证。在接口通信过程中不断校验感知用户身份、运行环境、权限变化等信息,可随时触发通信授权规则。
“零代码”国密应用改造
医院核心业务系统普遍根据等保三级要求建设,随着《中华人民共和国密码法》的发布,国家对医疗行业商用密码应用有明确要求:等保三级系统必须根据商用密码应用安全性评估三级要求进行相应改造。天融信API安全运营管控方案基于API接口代理方式,实现国产商用密码应用网络通信层面“零代码”合规建设。
“零距离”API可视安全管理
方案针对API交互数据中深度分析和感知API调用的内容及行为,对API服务端开展安全防护,感知和识别常见的API攻击行为,包括SQL注入、跨站攻击、网络爬虫、重放攻击以及异常和无效的访问请求等,并对存在这些安全攻击行为的API请求进行拦截或阻断会话。除此之外,API网关能够利用黑白名单机制进一步控制API使用者的后续权限。
1、摸清家底,为系统间数据安全流动提供管控措施,阻止横向越权访问。面向互联网诊疗业务流程,绘制信息系统API接口调用底图。2、优化管理,收敛系统间模块通信权限,建立可即时干预的诊疗服务可信通信模型,加强应用层接口管理安全细粒度,从攻防实践角度弥补传统安全设备防控盲区。3、密码合规,实现国产商用密码应用网络通信层面“零代码”合规建设。4、安全可控,API交互数据深度分析和感知,基于内容和行为预警风险。
IDC发布的《IDC Perspective:中国API安全市场洞察,2022》报告中,凭借深厚的技术能力与实践积累,天融信API安全产品和解决方案入编此报告,并成为IDC推荐厂商。IDC认为,API作为数据流转和使用的重要通道,承载着十分重要的责任。
随着互联网医院、云上医院等新型医疗机构服务模式不断涌现,在新兴信息技术为患者就医带来便利的同时,信息安全问题不容忽视。天融信通过对互联网医院建设模式的全面、深入分析,提供面向不同级别医疗机构的医院API安全运营管控方案,持续护航医疗行业数字化转型。
相关阅读
1、API安全再发力!天融信列入IDC中国API安全市场报告推荐厂商
2、智慧医疗体系建设提速,天融信方案升级筑牢医院内控安全基底