医疗行业如何防范弱口令攻击?这份弱口令治理方案请收好

随着5G、云计算、物联网等新兴技术与传统医疗系统的不断深化融合,我国医疗信息化程度越来越高,逐步向数字化、智慧化医疗演进,蓬勃发展的信息化也使医疗行业面临的安全风险逐渐增多。数据泄露、勒索病毒等问题频发,加之《等保》、《关基保护要求》、《数据安全法》、《个人信息保护法》等政策法规的推动,医疗行业客户对网络安全愈发重视。

4ac8d95356c5b90a7945b71d184182d8.jpeg

来源:奇安信《2022医疗卫生行业网络安全分析报告》

《2022医疗卫生行业网络安全分析报告》显示,弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。弱口令攻击由于其简便以及攻击成功率高,成为攻击者最为热衷使用的方式之一。弱口令的出现,使得医疗信息系统的安全性大大降低,进而导致患者的个人信息、病历记录等重要资料受到极大威胁。为了保障患者的个人信息安全,满足等保合规要求,医疗机构必须采取切实可行的措施,加强弱口令治理。

弱口令是指容易被猜解或破解的简单密码,如“password”、“123456”、“888888”等。医疗行业中常见的弱口令问题包括但不限于以下几个方面:

  1. 人员安全意识薄弱,对密码安全不够重视;
  2. 图方便,依赖弱口令,如出生日期、手机号码、工号等,容易被猜测或破解;
  3. 医疗设备和信息系统默认口令过于简单,并且没有及时更换;
  4. 缺乏密码策略和密码规范,使得用户可以使用弱密码。

提高医疗行业网络安全建设水平,提升信息系统访问安全系数,宁盾弱口令治理方案建议从以下几点进行:


加强安全意识培训和宣传

医疗机构、制药企业应该加强员工的安全意识培训,提高他们对弱口令和网络安全的认知。定期组织网络安全宣传活动,向员工普及密码安全知识,并提供相关安全操作指南。


强制开启密码复杂度验证

医疗机构、制药企业应该制定密码策略和密码规范,明确规定密码的最低要求和使用规则。建立强制口令规定,要求所有用户在使用信息系统时,必须采用符合规定的强口令,密码复杂度不低于8位,包含大小写字母、数字和特殊字符,并定期更换密码。这样可以大大提高密码的强度,降低被泄露或破解的风险。


使用多因素认证技术

为了加强身份验证的安全性,医疗机构、制药企业可以引入 MFA 多因素认证机制,例如结合口令和动态令牌(即 OTP 动态口令)、推送认证等方式进行二次身份认证。这样即使密码被猜测或泄露,黑客也无法轻易获取用户的身份认证信息。

为了满足等保合规要求,推荐使用基于国密算法的动态令牌来加强身份鉴别,并且在以下四种场景中均可以通过 MFA 多因素认证动态令牌来提升安全:

  • 移动办公接入:用户通过VPN、虚拟桌面、云桌面接入内网时;
  • 信息系统访问:用户登录邮箱、HIS、HCRM、EMR、缴费系统、研发应用时;
  • 内网接入:用户连接企业有线、无线网络时;
  • 数据中心基础设施登录:运维人员登录服务器、路由器、交换机、数据库、堡垒机等网络设备时。

459dd0bf634e516ed8ffd2ab5a504ffc.jpeg

宁盾多因素认证动态令牌形式

根据医疗机构、制药企业不同场景,动态令牌也有相应的载体形式。例如:

  • 在实验室场景,用户不方便携带手机时,可使用便携的硬件令牌
  • 在使用了企微、飞书、钉钉任意一款办公应用时,可使用嵌入在应用工作台的H5令牌,用户无需再下载手机APP用以生成动态口令;
  • 在无限制性要求时,手机APP令牌、短信令牌、邮件令牌、微信小程序令牌、推送认证(无密码认证)等都是企业主体常用的动态令牌形式。


定期漏洞扫描和安全评估

除以上 3 点之外,医疗机构和制药企业还应该定期进行漏洞扫描和安全评估,发现弱口令问题及时修复。通过对系统和设备的安全性检查,及时发现潜在的安全漏洞,加强对弱口令的治理。

尽管弱口令问题占比攀升,但做好弱口令治理就能明显降低被攻击的风险,是网络安全建设中投入少、见效快的模块之一。因此,医疗卫生、制药企业客户更应该建立健全强口令制度规范,设置应急预案,丰富身份鉴别技术手段,加强刚性设置,从根源上消除弱口令问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/82538.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JavaScript |(四)正则表达式 | 尚硅谷JavaScript基础实战

学习来源:尚硅谷JavaScript基础&实战丨JS入门到精通全套完整版 系列笔记: JavaScript |(一)JavaScript简介及基本语法JavaScript |(二)JavaScript自定义对象及函数JavaScript |(三&#xff…

hcip——期中小试

要求: 1、该拓扑为公司网络,其中包括公司总部、公司分部以及公司骨干网,不包含运营商公网部分。 2 、设备名称均使用拓扑上名称改名,并且区分大小写。 3 、整张拓扑均使用私网地址进行配置。 4 、整张网络中,运行 O…

21、springboot的宽松绑定及属性处理类的构造注入

springboot的宽松绑定及属性处理类的构造注入 ★ 如何使用属性处理类所读取的属性 属性处理类最终变成了Spring容器中的一个Bean组件,因此接下来Spring即可将该Bean组件注入任意其他组件。 这种做法的好处是:可以将大量的配置信息封装一个对象——所以…

Spring boot 集成 Skywalking 配置 || Skywalking 打不开【已解决】

一、Skywalking官网 Apache SkyWalking 1.下载Skywalking APM (如果下载最新的,双击打开闪退,选老点的版本) 2. 下载 Skywalking Agents 如果下载太慢,建议复制下载链接,然后用下载器下载,比…

时间复杂度空间复杂度相关练习题

1.消失的数字 【题目】:题目链接 思路1:排序——》qsort快排——》时间复杂度O(n*log2n) 不符合要求 思路2:(0123...n)-(a[0]a[1][2]...a[n-2]) ——》 时间复杂度O(N)空间复杂度…

软件验收测试包括几种类型?验收测试报告有什么好处?

在软件开发中,验收测试是软件项目在开发完成后进行的最后一项测试工作。它是确认软件是否满足预期要求,并准备将软件交付用户的核心环节,它可以确保软件的质量和功能符合用户的需求和期望。 一、软件验收测试的类型 软件验收测试可以分为多…

Java版企业电子招标采购系统源码Spring Cloud + Spring Boot +二次开发+ MybatisPlus + Redis tbms

​ 功能描述 1、门户管理:所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含:招标公告、非招标公告、系统通知、政策法规。 2、立项管理:企业用户可对需要采购的项目进行立项申请,并提交审批,查…

20230809在WIN10下使用python3批量将TXT文件转换为SRT文件

20230809在WIN10下使用python3批量将TXT文件转换为SRT文件 2023/8/9 17:30 由于喜欢看纪录片等外文视频,通过剪映/PR2023/AUTOSUB识别字幕之后,可以通过google翻译识别为简体中文的DOCX文档。 DOCX文档转换为TXT文档之后,还需要转换为SRT文档…

​三江学院图书馆藏八一新书《乡村振兴战略下传统村落文化旅游设计》

​三江学院图书馆藏八一新书《乡村振兴战略下传统村落文化旅游设计》

实战:Prometheus+Grafana监控Linux服务器及Springboot项目

文章目录 前言知识积累什么是Prometheus什么是Grafana怎样完成数据采集和监控 环境搭建docker与docker-compose安装docker-compose编写 监控配置grafana配置prometheus数据源grafana配置dashboardLinux Host Metrics监控Spring Boot 监控 写在最后 前言 相信大家都知道一个项目…

Visual Studio在Debug模式下,MFC工程中包含Eigen库时的定义冲突的问题

Visual Studio在Debug模式下,MFC工程中包含Eigen库时的定义冲突的问题 报错信息 Eigen\src\Core\PlainObjectBase.h(143,5): error C2061: 语法错误: 标识符“THIS_FILE” Eigen\src\Core\PlainObjectBase.h(143,1): error C2333: “Eigen::PlainObjectBase::opera…

全网最牛,接口自动化测试实现详细总结,23年测试进阶之路...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 为什么要做接口自…

SpringBoot 依赖管理

Spring Boot 依赖管理 1. 父项目做依赖管理 无需关注版本号&#xff0c;自动版本仲裁机制 <!-- 依赖管理 --> <parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version&g…

金融科技与现代开源技术结合的进展超前到你无法想象!

想要了解最新的金融科技进展吗&#xff1f; 渴望与其他技术爱好者交流&#xff0c;并扩展您在金融科技行业中的人脉关系吗&#xff1f; 那么请参加我们即将举行的 Meetup&#xff0c;本次活动由 Apache DolphinScheduler 社区和 OceanBase 技术社区共同举办&#xff0c;聚焦金…

智慧城市美术效果Unity实现笔记流程

智慧城市美术效果Unity实现笔记流程&#xff1a; 参考 对标 效果图&#xff1a; 写实类-参考图&#xff1a; (以上均为网络搜索效果,有落叶大师&#xff0c;以及其他优秀开发者效果图参考) 未来类-参考图&#xff1a; 如上图所示,智慧城市基本分为 这两个大类&#xff0c;偏写…

安卓:MMKV——键值存储库

目录 一、MMKV介绍 1.特点和优势&#xff1a; 2.使用指南&#xff1a; 3.依赖包&#xff1a; 二、MMKV的常用方法 1、初始化和获取实例&#xff1a; 2、存储数据&#xff1a; 3、读取数据 4、删除数据 5、其他操作&#xff1a; 三、MMKV的使用例子 MainActivity&#xff…

自然语言处理学习笔记(六)————字典树

目录 1.字典树 &#xff08;1&#xff09;为什么引入字典树 &#xff08;2&#xff09;字典树定义 &#xff08;3&#xff09;字典树的节点实现 &#xff08;4&#xff09;字典树的增删改查 DFA&#xff08;确定有穷自动机&#xff09; &#xff08;5&#xff09;优化 1.…

pytest自动化测试框架之标记用例(指定执行、跳过用例、预期失败)

pytest中提供的mark模块&#xff0c;可以实现很多功能&#xff0c;如&#xff1a; 标记用例&#xff0c;即打标签skip、skipif标记跳过&#xff0c;skip跳过当前用例&#xff0c;skipif符合情况则跳过当前用例xfail标记为预期失败 标记用例 有时候我们可能并不需要执行项目中…

ffmpeg.c源码与函数关系分析

介绍 FFmpeg 是一个可以处理音视频的软件&#xff0c;功能非常强大&#xff0c;主要包括&#xff0c;编解码转换&#xff0c;封装格式转换&#xff0c;滤镜特效。FFmpeg支持各种网络协议&#xff0c;支持 RTMP &#xff0c;RTSP&#xff0c;HLS 等高层协议的推拉流&#xff0c…

leetcode26-删除有序数组中的重复项

双指针—快慢指针 慢指针 slow 走在后面&#xff0c;快指针 fast 走在前面探路&#xff0c;找到一个不重复的元素的时候就让slow前进一步并赋值给它。 流程&#xff1a; 代码 class Solution { public:int removeDuplicates(vector<int>& nums) {int slow 0, fas…