医疗系统需要与外部系统（如医保结算系统、公共卫生平台）对接，请描述如何确保接口安全，防止数据泄露或攻击（如认证、加密、防火墙）。

1) 【一句话结论】

医疗系统与外部系统对接时，需通过“身份认证-数据加密-网络防火墙”三层防护体系，从身份、传输、网络层面全面防范数据泄露与攻击，确保接口安全。

2) 【原理/概念讲解】

老师口吻解释核心概念：

• 身份认证（Authentication）：确保请求方身份真实。类比“医院门禁系统”，外部系统调用接口需提供有效凭证（如API密钥、OAuth令牌），验证身份后才能访问资源。
• 数据加密（Encryption）：保护数据传输过程中的机密性。类比“快递密码锁”，数据在传输前加密，接收方用密钥解密，防止中间人窃听。
• 防火墙（Firewall）：网络边界的安全屏障。类比“城市围墙”，限制外部非法访问，只允许授权流量通过（如只开放HTTPS 443端口）。

3) 【对比与适用场景】

安全措施	定义	特性	使用场景	注意点
认证（如OAuth 2.0）	授权用户/系统访问资源的流程	基于令牌（如JWT），动态生成，有效期控制	公共平台对接（医保、公共卫生平台）	令牌需签名验证，避免泄露
加密（如TLS 1.3）	传输层加密协议	传输加密，支持前向保密	所有外部接口	确保客户端支持，证书链合法
防火墙（网络/应用）	网络设备或软件，过滤流量	网络防火墙控制IP端口，应用防火墙检查请求参数	隔离内部系统，限制外部访问	规则需细粒度，定期审计

4) 【示例】

伪代码示例（调用医保结算系统接口，请求头含认证令牌，数据用TLS加密）：

GET /api/payments/submit HTTP/1.1
Host: medicare.gov
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ... (JWT令牌)
Content-Type: application/json

响应头含加密支付结果，客户端用私钥解密。

5) 【面试口播版答案】

“面试官您好，医疗系统与外部系统对接时，确保接口安全需从身份认证、数据加密、网络隔离三方面构建防护体系。首先，身份认证采用OAuth 2.0或API密钥，通过动态生成的JWT令牌验证调用方身份，令牌含有效期和签名，防止伪造。其次，数据传输强制使用TLS 1.3协议，确保数据加密传输，避免中间人窃听。再者，部署网络防火墙（限制外部IP访问）和应用防火墙（检查请求参数），只开放必要端口（如443），过滤恶意请求。通过这三层措施，从身份、传输、网络层面全面防范数据泄露与攻击，保障医疗数据安全。”

6) 【追问清单】

• 问题：认证令牌泄露后如何快速恢复？
  回答要点：设置令牌有效期（如15分钟），泄露后立即撤销令牌，通知调用方重新申请，并记录异常日志。
• 问题：为什么用TLS 1.3而非旧版？
  回答要点：TLS 1.3支持前向保密，避免密钥泄露导致历史数据被解密，且性能更高，符合现代安全标准。
• 问题：防火墙规则如何避免误封合法请求？
  回答要点：采用白名单策略，只允许授权IP/端口访问，定期测试合法请求连通性，设置告警机制检测异常流量。
• 问题：跨系统时间同步对加密的影响？
  回答要点：使用NTP服务器同步时间，确保加密协议时间戳有效，避免因时间偏差导致证书验证失败。

7) 【常见坑/雷区】

• 单一措施：仅强调加密，忽略认证与防火墙，导致身份伪造或网络攻击。
• 认证方式不当：用明文API密钥，易泄露。
• 加密强度不足：用旧版TLS或弱算法（如DES），被破解。
• 防火墙规则宽泛：开放所有端口，导致安全风险。
• 令牌管理缺失：令牌有效期设置过长，或未及时撤销泄露令牌。