本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

欢迎各位添加微信号：asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

1 背景

随着《数据安全法》和《个人信息保护法》在2021年的相继出台并施行，整个社会对个人信息保护与数据安全的重视程度达到了前所未有的高度。好大夫在线收录了国内正规医院的88多万名医生信息（其中24万名医生实名注册），已向全国7600万患者提供了线上医疗服务，累积了大量的健康信息、病情描述和病历处方等医疗健康数据（这些数据类型在GB/T 35273-2020《信息安全技术个人信息安全规范》被举例判定为个人敏感信息）。持续为用户提供安全、稳定的医疗服务，保护医生和患者的隐私，是好大夫在线运行和发展的基础，也是公司自成立以来就最为重视的事情之一。

合作方数据安全管理属于互联网企业数据安全的一项工作要点，是否需要投入资源做好本项工作取决于与合作方开展业务所涉及的数据类型和数据，另外企业所处行业监管合规要求也是很重要的参考要点。企业发生的数据泄露事件中，有相当一部分是通过合作方途径泄露的（笔者本人就经历过几次某头部电商企业订单数据泄露，黑灰产人员实施准实时诈骗电话的经历）。

好大夫在线经过多年的业务积累，拥有优质的医疗资源，与合作伙伴开展的业务合作内容主要包含：免费义诊、问诊咨询、处方购药等服务，为合作伙伴赋能医疗服务能力。在合作业务场景中涉及到患者身份信息、病情描述、处方等个人敏感数据，因此，好大夫在线需要对合作方业务场景开展数据安全管理。

2 合作方数据安全闭环管理

对合作方数据安全进行有效的闭环管理，需要参考一个完整的生命周期模型，这样做会对领域问题拆解更详细，实施安全措施更完整。我们参考了《数据安全能力成熟度模型(DSMM)》中6个数据处理阶段的数据生命周期，虽然与合作方对接数据场景同样涉及数据采集、传输、存储等过程，但与合作方对接数据更多属于数据交换过程领域，因而按照数据生命周期进行合作方数据安全闭环管理脱离业务场景不甚合适。在实际与合作方业务开展过程中会涉及服务端系统开发、API接口开发、联调测试、交互运行等环节，我们建议采用软件安全开发全生命周期模型（SDL）对合作方对接数据场景进行闭环管理。        

好大夫合作方数据安全闭环管理分为合作方信息管理、合作方安全评估与设计、合作方API接口安全测试、合作方数据安全监控分析4个阶段。这4个阶段分别对应安全开发生命周期模型中的需求、设计、测试、运行。因合作方安全管理开发阶段安全措施等同于好大夫SDL架构体系中关于开发过程的安全措施（见：解构开源IAST 打造好大夫安全灰盒利器），无特殊之处故不在此赘述。在4个阶段实施过程中我们更加关注数据流出方案的安全管控，以下是对上述4个阶段进行详细阐述。

2.1 合作方信息管理

好大夫在线制定的《合作方安全管理规范》明确了相关部门职责，并按照管理规范对合作方信息进行管理，合作方信息管理是做好合作方数据安全闭环管理的基础，后续过程的管理和技术措施高度依赖这些基础数据。

2.1.1 合作方安全管理规范

《合作方安全管理规范》明确在合作业务开展过程中业务部门、法务部、安全部的职责。业务部门负责接入合作方生命周期管理，包含合作方审核、开通、登记等。法务部通过商务合同和安全保密协议，明确合作方数据安全责任、义务落实要求。安全部负责接入合作方技术对接过程安全评估、安全测试、安全验收及后续安全监控工作。

2.1.2 合作方数据信息管理

在资产管理平台上合作方信息管理模块对合作方基本信息、API接口对接信息、交互敏感数据情况进行梳理记录。数据字段信息应与数据分类分级资产清单进行关联，之后便于安全监控与审计告警规则的制定。安全部门通过项目需求安全评估得知合作方信息的新增及更新需求，并与业务方确认合作业务场景进而维护合作方清单信息。

• 合作方基本信息：合作方名称、合作业务描述、合作期限、对接负责人等信息。

• API接口信息：合作方域名、对接内部接口信息、关联业务系统名称等信息。

• 敏感数据信息：传输对接的数据字段（库-表-字段）、数据字段流向情况。

2.2 合作方安全评估设计

合作方安全评估设计阶段按照数据安全合规评估规范的要求，对合作方数据对接进行安全合规评估，针对安全风险点进行实施安全措施及接口安全设计。

2.2.1 数据安全合规评估规范

针对业务项目中的数据安全及合规需求，我们制定了《数据安全合规评估规范》，包含数据生命周期安全措施、数据安全场景、数据影响范围、数据使用必要性等评估要点。该规范指导安全人员对业务项目中设计数据安全及个人信息保护方面做出安全性评估，输出安全风险点。规范中针对第三方对接数据的场景要重点进行安全合规评估，应包含：合作方通用安全情况、合作方数据安全情况、数据对接场景、数据范围及量级、敏感数据流向、合作方数据安全调研等。

2.2.2 合作方安全评估过程

安全管理平台-[项目安全管理模块]，对接了新增各类项目。安全人员对项目需求及详细设计方案进行安全评估，如识别到该项目涉及第三方数据对接场景，会在安全评估系统中做标记，并与业务方开展以下几方面的评估验证工作：

1. 合作方通用安全评估：对合作方基本安全建设能力进行评估，评估问题主要包括公司安全组织角色与职责建设、安全资质及认证情况、安全流程与制度情况、及其他信息安全技术与管理建设情况。

2. 合作方数据安全评估：对合作方数据对接安全情况进行调研评估，针对“我方API接口供合作方调用”和“服务端调用合作方API接口”两种合作方式，分别有不同的评估问题。主要评估重点为数据使用方是否合法使用数据、是否有完善制度流程确保数据安全、是否有应急处置方案等。

3. API接口安全评估：对于“我方API接口供合作方调用”的接口由我们安全部门进行安全评估，对于“服务端调用合作方API接口”的合作方接口，要求合作方进行自评估并反馈安全部门提供的评估表。主要评估要点为接口传输是否加密，接口中涉及敏感数据是否加密等。对合作方API接口按照安全设计规范给出评估结论，保障方案的安全性。

2.2.3 合作方API接口安全设计

应充分考虑向合作方提供访问的API接口的安全性设计，制定《OPEN API接口安全设计规范》，包含：传输加密、身份认证、访问控制及日志记录等7方面内容。负责API接口开发的技术人员，需要按照安全设计规范进行安全编码，并实现相关安全功能。向服务合作方提供完整规范的API技术对接文档，要求合作方按照安全规范的要求接入服务。以下为《OPEN API接口安全设计规范》内容：

2.3 合作方API接口安全测试

向合作方提供访问的API接口，开发上线前要进行充分的安全验证测试。在业务项目中，测试人员需要按照评估阶段输出的API接口风险点，进行测试用例编写，以保障尽早发现安全漏洞并及时修复漏洞，避免上线后产生更大的安全风险。

2.3.1 API接口测试用例

好大夫在线安全与测试人员参考接口安全设计规范及《OWASP API安全Top 10》编写OPEN API安全测试用例。覆盖身份验证、水平越权、数据保护、过载保护等方面。OPEN API接口安全测试推荐使用POSTMAN等工具进行测试，也可以对接测试团队自动化接口测试平台开展API接口测试，以下为接口安全测试用例举例：

2.3.2 API接口半自动化测试

安全团队开发了半自动化接口安全测试工具，通过替换payload及返回包状态长度比对，可以对接口未授权、水平越权及XSS进行半自动化测试。安全管理平台的越权检测模块接收并展示可能存在水平越权漏洞的接口，需要安全人员进一步验证确认。

安全管理平台的XSS检测模块接收并展示存在XSS漏洞的URL，XSS漏洞检测工具无误报只会存在漏报，所以只需要安全人员与业务人员确认出现问题的接口即可。

经过安全人员与业务部门测试同学在项目中对API接口的安全验证测试，发现水平越权问题是我司最常见的接口安全漏洞之一，需要在安全评估阶段尽早提出该风险点，在编码阶段杜绝水平越权漏洞的产生，同时保证识别出安全风险点经过充分的安全验证测试。

2.4 合作方数据安全监控分析

合作方业务对接系统上线后，要对API接口访问行为进行监控并记录日志，通过API网关、日志系统对接口访问日志进行记录和统计分析，及时发现数据接口异常访问行为。对敏感数据的使用情况和传输情况进行统计分析，形成敏感数据的外部数据地图和监控大盘，掌握各类敏感数据的分布和流向，可以确保在发生信息泄漏等紧急情况时能迅速定位问题点，及时应急响应处置。

2.4.1 合作方数据安全地图

建立数据安全地图全面掌握合作方数据安全情况，由敏感数据分类分级指标和合作方数据安全指标组成，合作方数据安全指标包含合作方总数、涉及数据传输的合作方数量、敏感字段外流数量、涉及合作方对接的业务系统及接口实时访问量等。如当传输给合作方有数据字段变动时，可实时在监控大盘上体现，了解掌握近期合作方敏感数据的变动情况。展示合作方、敏感字段、敏感数据级别情况，完整描绘敏感数据在业务合作场景中流转和分布，有效提高了数据安全管理能力及应急响应溯源能力。

 

 

2.4.2 合作方API接口拆分

为了能够有效地对 API 接口访问流量进行审计监控，实时监控数据访问请求量，加强API接口监控和告警能力建设。针对“我方API供合作方调用”的API接口在API网关上进行接口拆分并做单独标记，以便进行重点审计监控，对API接口设置针对性告警策略。

 

2.4.3 合作方数据审计监控

合作方数据监控大盘对合作方访问我方API接口实时访问量监控，当出现访问量异常时，可第一时间发现并响应，避免更大影响。合作方接口的IP访问量及具体接口的请求量进行TOP监控统计，若某IP访问量或某接口请求量激增，可第一时间感知。

API接口访问流量对接了日志系统，可直接根据单独安全标记的关键字在对应的日志类型中进行日志搜索，筛选出所有第三方接口进行分析审计，日志系统支持自定义仪表盘，建立访问趋势图。

 

2.4.4 合作方数据风险告警

向合作方提供访问的API接口访问虽然有身份认证和访问控制等安全措施，但由于合作方内部安全不可控，通常认为其不可信。所以要对合作方访问我方API行为做监控告警，好大夫在线监控告警系统支持对接口访问日志做定制化告警规则，安全部门和业务方可根据正常业务访问需求制定访问量阈值、IP白名单标注。当触发规则时系统发起告警，以短信或电话形式通知负责人，第一时间掌控数据风险。

 

3 持续精进

目前好大夫在线已初步建立了数据安全体系，在合作方安全管理方面做了基于软件安全开发全生命周期模型的闭环管理，但还有很多工作需要完善，后续会在以下几方面做一些尝试。

3.1 接口自动化安全测试

每次向合作方提供访问的API接口变动，需要人工进行安全漏洞测试验证，人工成本较高。为了提升接口安全漏洞的挖掘效率，可以在业务开发过程中的接口测试环节，通过自动化接口测试用例进行覆盖。接口自动化安全测试用例能够覆盖payload相对固定或返回状态可预测的安全漏洞验证，比如：XSS漏洞、未授权访问漏洞、水平越权漏洞等安全问题。这部分对组织内测试人员和安全人员配合程度和工程能力有一定要求。安全人员可以结合IAST敏感数据检测规则，自动化验证数据是否加密，也可以基于此进行敏感数据暴露面分析的探索。

3.2 完善数据安全告警

有效地对API生命周期进行监控，对旧版本及失活API接口及时处理。API接口通过提前预设告警规则、防御规则，记录非法操作、异常攻击，对攻击行为进行自动化识别，发现数据访问异常，提高API接口服务的安全性。

3.3 敏感数据调用量监控

对API接口访问进行细粒度监控，能够自动化识别到字段级别的数据传输，并对传输情况进行统计分析。后续随着数据加密管理系统上线后，能够对高敏感级别数据解密情况进行统计，着重分析高敏感级别数据调用量及使用情况，对高敏感级别数据实施配合管理。

4 结束语

合作方数据安全管理虽然只是数据安全领域中的一环，但做好这一环工作与数据安全其他环节关联密切，与其他团队技术基础能力息息相关。如：合作方信息管理部分依赖于资产管理、数据分类分级，合作方安全评估设计与API接口安全测试依赖于SDL应用安全流程的是否健全，合作方数据安全监控分析依赖于企业日志平台、监控平台等基础能力建设。我们认为，数据安全工作是最能体现企业内部各团队协作默契程度的工作。好大夫在线在建设数据安全能力的过程中，得到了系统架构、运维、测试及业务开发线等各团队同事的大力支持，大家在沟通合作过程中，都非常认同公司持续投入资源来保障用户数据安全的决心。这种观念和意识，也是好大夫在线安全团队努力做好数据安全工作的基础和动力，再次感谢各位同事的辛苦付出！

 

------- END -------

【作者简介】

• 冯志宇：好大夫在线安全工程师，主要负责好大夫数据安全建设。
  
  
  

原文始发于微信公众号（安世加）：技术干货 | 好大夫合作方数据安全闭环管理实践