公司如何使用它来升
Posted: Sat Jan 04, 2025 4:21 am
随着健康级别七(HL7®)快速医疗保健互操作性资源(FHIR®)应用程序编程接口(API)现已在美国广泛使用,医疗 IT 开发人员和应用程序开发人员在实施利用 FHIR API 的应用程序和工具时,应随时了解 API 安全工作并践行良好的 API 安全卫生习惯。
2022 年 12 月 31 日,医疗 IT 社区迈过了一个重要的里程碑,超过 95%的认证医疗 IT 开发人员在合规期限内更新并向其客户提供新技术。这包括通过 FHIR API 实现信息访问的要求。
ONC 认证计划支持客户端身份验证
2023 年 3 月,来自世界各地的 API 安全专家齐聚一堂,参加 2023 年APIsecure大会,为期两天,全面介绍了现代黑客攻击和 API 防御。网络安全专家、研究人员和高级 API 领导者介绍了其他行业的经验教训和策略,这些经验教训和策略可以应用于医疗保健 API 安全。
APIsecure 会议的一大亮点是有关非对称(公钥)身份验证的演示,以及一家大型级其身份验证方法。演示者分享了其公司从对称身份验证切换到非对称身份验证的经验,并引用了一篇博客文章来解释这 石油制造商电子邮件列表 种方法的好处。对称身份验证可能更具风险,因为它涉及使用必须由两方(即客户端和服务器)知道的一个秘密。非对称身份验证通过定义两个密钥来降低风险:一个可以安全地与任何人共享的公钥和一个由客户端保密的私钥。非对称身份验证背后的数学原理允许客户端和服务器仅使用它们之间共享的公钥进行身份验证。
这种非对称身份验证方法可作为一项可选功能使用,医疗 IT 开发人员可以(但不是必须)支持 ONC 认证计划中的认证。医疗 IT 开发人员在实施ONC 2022 年标准推进流程 (SVAP)公告中包含的更新后的SMART 应用程序启动框架实施指南 (IG) 时,可以包含此功能。ONC 还提议在最近的HTI-1 拟议规则中要求此更新后的 IG 进行认证。此示例演示了 ONC 如何使医疗 IT 开发人员能够实施 FHIR 标准社区建立的升级功能,以进一步实现安全、可互操作的健康数据交换。
最大的 API 安全威胁:对象级授权 (BOLA) 失效
保护现代 API 意味着要正确掌握基础知识。会议期间强调的一个持续存在的安全漏洞是破坏对象级别授权 (BOLA)。BOLA 目前位居最新的OWASP API 安全十大排行榜(2023 年)之首。正如 2021 年白皮书所报告的那样,这是整个科技行业 API 面临的一个问题,FHIR API 也不例外。
根据该论文,FHIR API 中的许多 BOLA 漏洞都是由于授权和身份验证技术实施不当而产生的。测试是一种重要的实践,可以在错误成为实际生产 API 中的漏洞之前识别和修复错误。ONC 认证计划将 BOLA 测试作为 FHIR API 认证流程的一部分,以满足 § 170.315(g)(10)“患者和人口服务的标准化 API”认证标准。例如,“受限访问应用程序”测试通过尝试访问未经授权的 FHIR 资源并在检测到不适当的访问控制时向测试人员发出警报来探测 FHIR API 中潜在的 BOLA 漏洞。
我们进行了类似测试,以确保经过认证的 FHIR API 具有强大的安全性,包括安全标准的进步,并且能够抵御潜在的恶意使用。FHIR API 开发人员在保持严格的安全态势的同时,还要掌握最新的安全技术,这一点也很重要。
介入
2022 年 12 月 31 日,医疗 IT 社区迈过了一个重要的里程碑,超过 95%的认证医疗 IT 开发人员在合规期限内更新并向其客户提供新技术。这包括通过 FHIR API 实现信息访问的要求。
ONC 认证计划支持客户端身份验证
2023 年 3 月,来自世界各地的 API 安全专家齐聚一堂,参加 2023 年APIsecure大会,为期两天,全面介绍了现代黑客攻击和 API 防御。网络安全专家、研究人员和高级 API 领导者介绍了其他行业的经验教训和策略,这些经验教训和策略可以应用于医疗保健 API 安全。
APIsecure 会议的一大亮点是有关非对称(公钥)身份验证的演示,以及一家大型级其身份验证方法。演示者分享了其公司从对称身份验证切换到非对称身份验证的经验,并引用了一篇博客文章来解释这 石油制造商电子邮件列表 种方法的好处。对称身份验证可能更具风险,因为它涉及使用必须由两方(即客户端和服务器)知道的一个秘密。非对称身份验证通过定义两个密钥来降低风险:一个可以安全地与任何人共享的公钥和一个由客户端保密的私钥。非对称身份验证背后的数学原理允许客户端和服务器仅使用它们之间共享的公钥进行身份验证。
这种非对称身份验证方法可作为一项可选功能使用,医疗 IT 开发人员可以(但不是必须)支持 ONC 认证计划中的认证。医疗 IT 开发人员在实施ONC 2022 年标准推进流程 (SVAP)公告中包含的更新后的SMART 应用程序启动框架实施指南 (IG) 时,可以包含此功能。ONC 还提议在最近的HTI-1 拟议规则中要求此更新后的 IG 进行认证。此示例演示了 ONC 如何使医疗 IT 开发人员能够实施 FHIR 标准社区建立的升级功能,以进一步实现安全、可互操作的健康数据交换。
最大的 API 安全威胁:对象级授权 (BOLA) 失效
保护现代 API 意味着要正确掌握基础知识。会议期间强调的一个持续存在的安全漏洞是破坏对象级别授权 (BOLA)。BOLA 目前位居最新的OWASP API 安全十大排行榜(2023 年)之首。正如 2021 年白皮书所报告的那样,这是整个科技行业 API 面临的一个问题,FHIR API 也不例外。
根据该论文,FHIR API 中的许多 BOLA 漏洞都是由于授权和身份验证技术实施不当而产生的。测试是一种重要的实践,可以在错误成为实际生产 API 中的漏洞之前识别和修复错误。ONC 认证计划将 BOLA 测试作为 FHIR API 认证流程的一部分,以满足 § 170.315(g)(10)“患者和人口服务的标准化 API”认证标准。例如,“受限访问应用程序”测试通过尝试访问未经授权的 FHIR 资源并在检测到不适当的访问控制时向测试人员发出警报来探测 FHIR API 中潜在的 BOLA 漏洞。
我们进行了类似测试,以确保经过认证的 FHIR API 具有强大的安全性,包括安全标准的进步,并且能够抵御潜在的恶意使用。FHIR API 开发人员在保持严格的安全态势的同时,还要掌握最新的安全技术,这一点也很重要。
介入