信息化觀察網(wǎng)

本文來自微信公眾號(hào)“twt企業(yè)IT社區(qū)”，作者/Yilanzhu，某醫(yī)院系統(tǒng)架構(gòu)設(shè)計(jì)師、信息系統(tǒng)項(xiàng)目管理師，作為核心人員，全程參與醫(yī)院系統(tǒng)設(shè)計(jì)、管理開發(fā)、項(xiàng)目協(xié)調(diào)。

一、API接口安全需求分析

(一)現(xiàn)狀

在醫(yī)院PC網(wǎng)絡(luò)和移動(dòng)互聯(lián)網(wǎng)絡(luò)上大量使用API接口，就會(huì)將醫(yī)院內(nèi)部業(yè)務(wù)系統(tǒng)和數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，建設(shè)互聯(lián)網(wǎng)醫(yī)院的過程中所提供的對(duì)外API接口，成為網(wǎng)絡(luò)攻擊者從外部攻擊醫(yī)院內(nèi)部網(wǎng)絡(luò)的通道，對(duì)內(nèi)部系統(tǒng)和數(shù)據(jù)造成了很大的安全風(fēng)險(xiǎn)。

目前，醫(yī)院一般通過Web網(wǎng)站、微信公眾號(hào)、微信小程序、支付寶等方式開展互聯(lián)網(wǎng)+醫(yī)療服務(wù)，通常在醫(yī)院外網(wǎng)區(qū)部署Web應(yīng)用服務(wù)器提供基本的信息發(fā)布、預(yù)約掛號(hào)等服務(wù)。為了與內(nèi)網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)交互，一般醫(yī)院機(jī)構(gòu)會(huì)部署代理服務(wù)器，將內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用發(fā)布的API接口代理給外部用戶或外部系統(tǒng)訪問。

根據(jù)等保2.0基本要求和擴(kuò)展要求，醫(yī)院也會(huì)在外網(wǎng)區(qū)出口處部署下一代防火墻、WEB防火墻(WAF)等安全防護(hù)設(shè)備，在內(nèi)外網(wǎng)之間部署網(wǎng)閘等安全隔離設(shè)備，在應(yīng)用服務(wù)器上部署安全加固系統(tǒng)，構(gòu)成從安全區(qū)域邊界到安全計(jì)算環(huán)境的縱深防御體系。

（二）存在的問題

1、網(wǎng)絡(luò)邊界安全設(shè)備的不足

由于API接口調(diào)用與Web應(yīng)用訪問在方式上有很大差異，內(nèi)外網(wǎng)應(yīng)用系統(tǒng)的API接口連接會(huì)話對(duì)網(wǎng)絡(luò)邊界安全設(shè)備來說是一個(gè)封閉的管道。無法檢查、無法防護(hù)、無法監(jiān)測(cè)、無法審計(jì)，而目前的NGFW、WAF和隔離網(wǎng)閘等網(wǎng)絡(luò)邊界設(shè)備無法對(duì)API接口進(jìn)行有效的管控和安全保護(hù)。

因?yàn)檫@些網(wǎng)絡(luò)邊界安全設(shè)備對(duì)API接口的管控能力不足，使得安全管理人員無法方便地獲得對(duì)外發(fā)布的API接口清單，無法清楚地掌握所有對(duì)外開的接口，不能檢查是否存在不必要的對(duì)外接口，也就無法對(duì)本院對(duì)外發(fā)布的API接口進(jìn)行有效管控。

因?yàn)檫@些網(wǎng)絡(luò)邊界安全設(shè)備對(duì)API接口的安全防護(hù)能力不足，邊界安全設(shè)備檢查和校驗(yàn)API接口調(diào)用中的請(qǐng)求和數(shù)據(jù)，無法阻斷包含攻擊行為的API接口調(diào)用，使得內(nèi)部API接口直面網(wǎng)絡(luò)攻擊。失去了網(wǎng)絡(luò)邊界安全設(shè)備的保護(hù)，只能依賴發(fā)布該接口的內(nèi)部系統(tǒng)自身的安全性來抵御攻擊。

2、API接口自身安全問題

（1）功能開發(fā)，一些軟件開發(fā)人員為了減少工作量，未對(duì)API接口進(jìn)行安全功能開發(fā)，導(dǎo)致API接口缺少認(rèn)證、授權(quán)和訪問控制等基本安全功能，只要知道API接口的訪問點(diǎn)就可以調(diào)用該接口。

（2）訪問控制能力不足。一些系統(tǒng)對(duì)API接口調(diào)用缺乏細(xì)度的訪問控制功能，導(dǎo)致普通用戶可以訪問管理員功能，或一個(gè)用戶可以訪間其他用戶的數(shù)據(jù)，造成越權(quán)訪問。

（3）存在編碼漏洞。由于安全知識(shí)不足，一般情況下，軟件開發(fā)人員未進(jìn)行安全編碼，使得API接口程序存在編碼缺陷，導(dǎo)致接口存在溢出、注入等各種安全漏洞，這些漏洞若被外部攻擊者利用。內(nèi)部系統(tǒng)就會(huì)遭到外部攻擊。

（4）缺乏速率限制。很多API接口缺乏調(diào)用速率限制，若在短時(shí)間內(nèi)大量外部用戶使用接口提供服務(wù)，或外部攻擊者發(fā)起大量的連接請(qǐng)求，會(huì)直接影響發(fā)布該接口的內(nèi)部系統(tǒng)的正常運(yùn)行，進(jìn)而影響醫(yī)院正常的業(yè)務(wù)開展。

（5）配置失誤。由于內(nèi)部API接口對(duì)外意外暴露，或內(nèi)部API接口功能對(duì)外過度暴露，導(dǎo)致內(nèi)部系統(tǒng)對(duì)外暴露了更多的攻擊面，而很多意外暴露的測(cè)試接口和舊版本接口存在安全漏洞，會(huì)帶來直接的安全問題。

（6）開發(fā)者后門。懷有惡意的軟件開發(fā)人員留有后門，在API接口對(duì)外發(fā)布后，攻擊者就可以利用后門，從外部進(jìn)入內(nèi)部系統(tǒng)。

3、對(duì)API接口安全的管控問題

由于現(xiàn)有網(wǎng)絡(luò)邊界安全設(shè)備對(duì)API接口的管控能力不足，安全管理人員只能從發(fā)布接口的應(yīng)用系統(tǒng)中查看對(duì)外發(fā)布的API接口，當(dāng)存在多個(gè)對(duì)外發(fā)布接口的應(yīng)用系統(tǒng)時(shí)，無法對(duì)所有對(duì)外發(fā)布的接口進(jìn)行集中管控，從而帶來以下安全隱患。

（1）底數(shù)不清，安全管理人員無法方便地獲得對(duì)外發(fā)布的API接口清單，無法清楚地掌握所有對(duì)外開放的接口，無法檢查是否存在不必要的對(duì)外接口。

（2）風(fēng)險(xiǎn)不明。由于難以獲得API接口清單，安全管理人員無法對(duì)所有接口存在的安全漏洞進(jìn)行檢查，致使API接口“帶病”運(yùn)行。

（3）接口意外暴露。一些API接口在升級(jí)后老版本接口未下線，一些開發(fā)測(cè)試接口在完成測(cè)試后忘記關(guān)閉，都會(huì)帶來API接口對(duì)外服務(wù)意外暴露。

（4）功能過度暴露。當(dāng)一個(gè)API接口中包含多個(gè)功能，而需對(duì)外開放的只是其中幾個(gè)功能。這時(shí)，若無有效的邊界安全控制措施，接口中所有功能都會(huì)對(duì)外暴露，造成對(duì)外API接口功能過度暴露。

（5）監(jiān)測(cè)能力不足。安全管理人員不能對(duì)所有API接口進(jìn)行集中監(jiān)測(cè)、分析與審計(jì)。無法做到對(duì)攻擊行為的早期發(fā)現(xiàn)和主動(dòng)響應(yīng)，導(dǎo)致一些安全事件是在系統(tǒng)被攻破并造成了損害后才發(fā)現(xiàn)的。

（6）外置能力不足。當(dāng)發(fā)現(xiàn)API接口中存在安全漏洞時(shí)，只能通過修改相關(guān)API接口程序代碼來修復(fù)漏洞，而當(dāng)發(fā)現(xiàn)存在漏洞的接口受到攻擊時(shí)，安全管理人員并無手段在API接口代碼修改期間對(duì)存在漏洞的接口進(jìn)行即時(shí)的安全保護(hù)。

二、合規(guī)性問題

在等保2.0定義的第三級(jí)安全要求，8.1.3.2訪問控制(c)要求:對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

日前的GFW和隔離網(wǎng)閘只能實(shí)現(xiàn)基于應(yīng)用端口訪問控制，WAF只能實(shí)現(xiàn)Web應(yīng)用的訪問控制，均無法實(shí)現(xiàn)對(duì)API接口的基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問制。故采用NGFW、WAF和隔離網(wǎng)閘的解決方案作為安全邊界防護(hù)措施來保護(hù)AP落口的安全，無法達(dá)到等保2.0的防護(hù)要求，從而無法滿足醫(yī)院互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全合規(guī)性要求。

三、解決API接口安全管控的思路

為了保障醫(yī)院內(nèi)部核心系統(tǒng)和內(nèi)部敏感數(shù)據(jù)的安全，一種思路是對(duì)所有業(yè)務(wù)應(yīng)用系統(tǒng)可能存在的安全進(jìn)行修補(bǔ)，但這種解決方案將耗費(fèi)大量的時(shí)間，另一種思路是依靠修復(fù)業(yè)務(wù)系統(tǒng)自身的“免疫力”，但又能對(duì)所有對(duì)外發(fā)布的API接口集中式邊界防護(hù)和集約化安全管控。

將醫(yī)院內(nèi)外網(wǎng)邊界隔離措施從隔離網(wǎng)閘升級(jí)到具有增強(qiáng)API安全防護(hù)和管控實(shí)踐中，是現(xiàn)階段相對(duì)可行的解決方法。

這個(gè)內(nèi)外網(wǎng)數(shù)據(jù)安全交換系統(tǒng)，可定義為“API接口安全管控系統(tǒng)”，該系統(tǒng)保證醫(yī)院內(nèi)外網(wǎng)強(qiáng)隔離的前提下，對(duì)連通內(nèi)外網(wǎng)的API接口實(shí)施有效的管控和防護(hù)，從而保障醫(yī)院內(nèi)部系統(tǒng)的正常運(yùn)行，保護(hù)醫(yī)院及患者個(gè)人敏感數(shù)據(jù)的安全，為醫(yī)院跨網(wǎng)、跨機(jī)構(gòu)的業(yè)務(wù)協(xié)同和數(shù)據(jù)共享交換提供“底線”安全保護(hù)和依法合規(guī)的保證。

架構(gòu)圖如圖所示：