1.智慧医院的起步与发展

2009年美国医疗健康论坛上“智慧医院”的概念被首次提出，2019年国家卫健委首次明确了智慧医院的定义，同时得益于移动互联网技术的快速发展，我国智慧医院建设也是在这一年迎来了爆发期。一般认为我国智慧医院的建设元年可以上溯至2011年，这一年我国开启了电子病历系统功能应用水平分级评价工作。相对于西方国家，我国智慧医院建设起步较晚，但是市场规模更大，我国已成为仅次于美国和日本的第三大智慧医疗市场。2023年我国智慧医院市场规模58.45亿元，2024年行业市场规模预计将增至102.48亿元。

新冠肺炎疫情改变了我们很多的生活方式，影响了包括医疗体系在内的政府多项施政决策。国家卫生健康委办公厅2020年提出建立医疗、服务、管理“三位一体”的智慧医院系统，为患者提供更高质量、更高效率、更加安全、更加体贴的医疗服务。

2.智慧医院的重要支撑--API

智慧医院建设的关键要素是实现医疗数据的流动与共享，API接口的使用在医院跨网、跨机构间的业务协同和数据共享中发挥着高效的支撑作用。

1. 医院内部医疗系统之间的数据流动与共享，如HIS、LIS、EMRS等。

2. 医疗数据对患者之间的流动与共享，如信息发布、预约挂号、报告查询等。

3. 医疗机构之间的数据流动与共享，如跨机构的病历信息交换。

4. 医疗机构与监管单位之间的数据流动与共享

5. 医疗机构与科研机构之间的数据流动与共享。

其中医疗数据对患者之间的流动与共享涉及到的环境更为负责，终端人员、设备更加的不可控，使得API面临的攻击风险与医疗数据外泄风险更大。

3.医疗数据流动中的风险

OWASP强调了API安全中的几个关键思路，包括：不应信任第三方和内部服务；云环境、容器和 Kubernetes 应纳入API安全领域（就概括的层面而言），而且对于URL传递(SSRF)的高风险有所影响。

1. API自身存在漏洞导致数据被非法获取。部分医疗软件在开放过程中未严格执行相关代码安全规范，以实现业务逻辑为第一要务，忽略了代码本身的安全性。

2. 作为医疗数据流动与共享的重要桥梁，API成为外部网络攻击的重要目标。

3. 合作第三方非法在程序开发或运维过程中非法留存接口数据，API请求参数易被非法篡改。

4. 医疗数据在传输至前端时，未执行数据脱敏及数据过滤，如被接收方终端缓存，也可能导致患者敏感数据暴露。

5. API缺乏有效的返回数据筛选机制，可能由于返回数据类型过多、数据量过大等因素形成安全隐患。

6. 超频次或大流量对医疗数据执行操作时，可能严重影响业务的正常输出，甚至敏感数据外泄。  

4.医疗数据流动安全解决之路

本次方案资产发现梳理、主体身份认证、访问权限控制、涉敏数据管控、风险监测研判、攻击安全防护及行为操作审计等多维度构建有机的API安全整体方案。

1. 建立API资产清单及生命周期监测机制

全面梳理面向医务人员、患者、第三方机构、各医疗系统等场景下的API，建立完整API资产清单，及时了解API开放数量、API的活跃状况、僵尸API、影子API等安全风险信息。

2. 完善API身份认证机制

身份认证是确认用户、应用、账户、设备等多维度身份主体的过程，其主要目的在于确保仅合法主体得以访问API资源。通过采用先进的身份验证机制和技术，确保每个针对API的访问请求都源自合法且授权的主体，从而有效防止非法入侵和权限滥用；同时结合精细化的权限管理策略，针对不同的用户角色和应用场景分配适宜的操作权限，既能保障API的安全性，也能保证各医疗系统服务的可用性和稳定性。

3. 精细化API调用及使用权限控制

针对于主体的环境和行为进行权限调整，当主体所在的环境指标不合规时系统也会降低主体的权限。不同客户群体定制差异化的API访问规则，如权限划分、调用频率限制等，从而增强了整体策略配置的便捷性和精确性，确保API服务在复杂多变的环境中安全稳定运行。

4. 敏感数据的外泄拦截

识别API传输中的敏感数据，并针对敏感数据执行替换、擦除、阻断等动作，防止敏感数据泄露风险。根据用户、通道策略等条件，配置数据脱敏策略，实现应用前端展示的敏感数据动态（静态）脱敏，满足敏感数据动态脱敏、人员权限精细化控制等需求。确保在不影响正常业务流程的前提下，对涉及隐私、重要或敏感信息的数据进行实时处理。

5. API自身漏洞风险的检测阻断

全面覆盖API可能遇到的各类安全威胁，特别是针对OWASP发布的Top10Web应用安全风险清单。实时发现并应对API存在的各种安全隐患，确保API服务在抵御常见攻击手段的同时，始终保持较高的安全性水平，为万柏林中心医院提供稳定可靠的服务环境。

6. 异常流量的检测与拦截

完善API接口的访问流量监控机制，可以有效地防止恶意攻击者对API接口进行过多的访问。另外，流量管控还可以防止应用程序被拒绝服务攻击（DDoS）。过滤恶意请求，并防止攻击者对API接口进行注入攻击、XSS攻击等等。

我国整体医疗水平相对薄弱、医疗资源分布不均，智慧医院、区域医联体、医共体的智慧化建设可有效缓解我国所面临的医疗困境。自2011年电子病历分级评价起步，我国智慧医院建设已走过了13个年头，尤其是后疫情时代，“三位一体”的智慧医院系统建设更加迫切。作为国内领先的数据安全厂商，欧美av 持续关注智慧医院建设所需要的安全能力支撑，持续输出安全能力更强、稳定性更加可靠、业务贴合度更好的数据安全解决方案。