网络数据安全风险评估丨(3)复旦大学附属中山医院：《数据安全风险评估中的数据资产管理与技术验证实践经验》|数据安全|网络数据安全|上海市_新浪科技

一、引言

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规，推动建立我市网络数据安全风险评估机制，提升全市数据安全防护能力和水平，2023年8月至12月，市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组，组织开展了网络数据安全风险评估试点工作，遴选出一批试点优秀单位和试点优秀案例。

今天分享复旦大学附属中山医院试点工作经验，供大家学习参考。

二、试点优秀单位工作经验

数据安全风险评估中的数据资产管理与技术验证实践经验

（一）院内试点业务场景概述

复旦大学附属中山医院（以下简称“中山医院”）成立于1937年，是国家卫生健康委员会委属事业单位，同时是复旦大学附属的三级甲等综合性教学医院。在医学中心、医学科创中心等建设任务的引领下，中山医院不仅积极响应国家战略，还通过大数据和人工智能战略，构建了基于混合云的现代信息基础设施，实施了大数据平台建设和数据治理。

在本次风险评估试点工作中，挑选了两个不同的医疗典型场景作为评估对象，一个是“上海中山医院APP”，另一个是“科研专病库”。上述两个场景是医院中极具代表性的面向不同使用角色、不同使用场景、开放程度截然不同的典型代表场景。

上海中山医院APP

“上海中山医院APP”是中山医院面向患者提供的在线预约挂号、查询、复诊等场景下的对外服务的应用，属于患者在线查询数据和移动应用调用数据的典型代表场景。

科研专病库

“科研专病库”是院内利用现有的大数据平台上搭建的专病库数据平台，面向内部医生提供对特定的病例分析、专项病研究结果，属于临床研究、医生调用数据的典型代表场景。

通过对这两个场景开展风险评估试点工作，可以帮助院内团队沉淀并提取同类型场景的数据安全评估经验，为后续开展其他系统的数据安全检查工作提供技术支撑和实践经验。同时通过对试点工作中发现的安全问题进行安全加固的专项课题研讨，有助于切实提升这两个场景的数据安全能力水平，实现以评促建的建设模式。

（二）试点工作内容概述

本次试点工作中，调研团队主要采取问卷调研+技术验证的两个方式来进行现有数据安全措施情况的摸底。

在问卷调研方面，主要参考依据为《TC260-PG-20231A 网络安全标准实践指南——网络数据安全风险评估实施指引》，项目团队通过专题研讨的方式，对指南问题调研项进行了详细的梳理和问题初筛，将明显不适用项，如：云数据安全、数据公开等问题项等进行剔除，进一步精简评估问题项。通过前期细致的解读和理解，将整个问题项缩减了近3/4，每个场景中基本可能只需要在详细调研100+项问题即可以快速判断是否存在高危风险问题。

在技术工具验证方面，院内充分意识到了数据安全风险评估工作，需要在传统网络安全检测工具（漏扫、渗透等）的基础之上，有效利用数据安全检测的技术手段，规避仅通过调研问卷，依旧会存在主观意识、评估结果不可保障、过度依赖人员能力等问题。这次工作中，多方调研并实际采用了数据安全的专项技术工具，比如：数据跨平台过程交互管理检测系统、数据资产自动化梳理平台等。通过实际测试验证，有效证明合理利用好这些数据安全技术检测平台，可以节省大量人工验证的成本，提升检测评估的效率和准确性。

比如，在数据资产梳理和分类分级打标这部分工作中，前期在保障不影响业务的情况下，引入数据资产自动化梳理平台，通过平台自动化的完成数据打标签工作，然后再对打标的结果进行人工二次的复核，“科研专病库”和“上海中山医院APP”共计近3万多个字段，整体梳理完毕的时间耗时不到1天，大幅度提高了效率。此外，因为“上海中山医院APP”会涉及到大量的API接口调用HIS数据的场景，API接口的安全性和通过API接口流转数据的记录的全面有效性非常关键。试点工作小组通过数据跨平台过程交互管理检测系统对该场景下的API接口安全的专项验证有效的获取了当前应用开放接口、数据调用规模、调用方式等一系列的安全监测。因为这次的典型业务场景中，均会涉及到三方应用开发商，所以试点工作团队利用检测系统内置的数据权限脚本，进行了权限技术探查工作，通过技术探测的结果，发现不同应用开发商对于本身的数据安全管理权限存在明显的差异，这对于后续指导进行供应商安全管理提供支撑依据。

（三）试点优秀经验说明

1、数据资产管理平台：数据资产梳理和分类分级

在进行数据安全风险评估的过程中，通过引入数据资产管理平台，有效地对“上海中山医院APP”和“科研专病库”两个业务系统进行了数据识别和分级打标的工作。引入的数据资产管理平台不仅降低了根据院内实际的数据安全分级诉求的人工梳理成本，提高了自动化程度和处理效率，而且输出了详尽的数据分类分级报告。这些报告为后续的数据安全评估工作和重要数据的定期梳理上报工作提供了坚实的技术支撑，帮助全面认识和评估系统内包含的数据类型，包括哪些数据属于敏感数据，并实现了敏感数据的自动识别与分级。

此外，团队通过深入学习和解读数据分类分级政策法规和标准规范，不仅沉淀了行业知识和标准，形成了完善的分类分级方法论，还转化为中山医院匹配院内业务的系统发现模版和智能化识别数据的打标模型。一方面，能够更针对性地发现目标数据，通过快速落地和反复迭代完成数据分类分级工作，另一方面，结合数据流动使用场景，推动规划建立了一套常态化的分类分级流程和机制，真正做到既能满足合规诉求又能保障自身数据价值的未来需求。

在本次风险评估试点工作中，平台基于医疗行业分类分级模版，生成了丰富多维的可视化资产数据，包括业务类型数、数据库、数据表、字段等，强化了资产分类分级数据的可视化。这让院内可以更直观地了解数据资产对应的业务类型、分类结果、字段分级、敏感指数等，为数据安全合规提供了基础支撑，并加强了对重要数据和个人信息合规性的可视化图表分析，如图所示。

图1 数据资产梳理可视化示意图

2、数据跨平台过程交互管理检测系统：API安全监测、数据权限检查

由于本次挑选的“上海中山医院APP”内部数据流通主要是通过API的方式调用。因此，通过引入技术手段对数据通过API方式进行交互和数据取数用数行为是验证调研结果准确性的重要环节。本次引入的数据跨平台过程交互管理检测系统，具备对于API接口本身的安全检测能力、API调取数据的可视能力，并且内置了多种数据权限的探测脚本，可以直观展示当前的用户权限情况。

试点心得

（1）选择专业的API数据流转监测工具：选择专业的API数据流转监测工具至关重要。这样的工具通常能够自动化地发现并测试API端点，包括但不限于检查身份验证、授权检查、数据加密、以及针对常见漏洞的测试。

（2）定制化检测策略：根据不同的应用场景和API特性，定制化检测策略。例如，对于敏感数据交换较多的API，增加数据加密和权限验证的检测力度；对于公开API，重点检测防止SQL注入、跨站脚本（XSS）等常见的网络攻击。

（3）持续监控与评估：API接口的传输信息、传参在业务使用过程中经常容易有变更或失活。因此对数据调用的API接口进行实时、持续地监控和评估尤为重要。通过自动化工具实现对API获取数据的接口的持续监控，确保任何变更都能即时被检测和评估，以保障API安全性。

（4）整合到CI/CD流程：将API安全检测整合到持续集成/持续部署（CI/CD）流程中，确保在软件开发生命周期的每个阶段都能进行安全检测，及时发现并修复安全漏洞。

3、数据权限探查的应用经验

数据权限控制是数据安全的另一个关键环节，确保只有授权用户才能访问特定的数据。数据跨平台过程交互管理检测系统里内置的权限探查脚本可以帮助审查和管理数据库和文件系统的权限设置。

试点心得

（1）自动化权限审查：引入系统后，通过内置的探测脚本，可以自动化地审查数据库和文件系统的权限配置。这包括检查哪些用户或角色具有对特定数据的访问权限，是否存在过度授权的情况。

（2）精细化权限管理：通过系统的帮助，实施了更加精细化的权限管理策略。例如，根据最小权限原则，确保用户仅能访问其执行职责所必需的数据，避免不必要的数据访问风险。

（3）定期权限审计：定期使用系统的数据权限脚本进行权限审计，检查和纠正权限配置的偏差。这帮助及时发现和解决潜在的数据访问安全问题。

（4）整合到数据安全架构中：将系统探测出的数据权限结果与数据安全架构和策略相整合，确保数据访问控制的策略得到有效执行，并与组织的数据安全需求保持一致。