随着5G、云计算、物联网等新兴技术与传统医疗系统的不断深化融合,我国医疗信息化程度越来越高,逐步向数字化、智慧化医疗演进,蓬勃发展的信息化也使医疗行业面临的安全风险逐渐增多。数据泄露、勒索病毒等问题频发,加之《等保》、《关基保护要求》、《数据安全法》、《个人信息保护法》等政策法规的推动,医疗行业客户对网络安全愈发重视。
来源:奇安信《2022医疗卫生行业网络安全分析报告》
《2022医疗卫生行业网络安全分析报告》显示,弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。弱口令攻击由于其简便以及攻击成功率高,成为攻击者最为热衷使用的方式之一。弱口令的出现,使得医疗信息系统的安全性大大降低,进而导致患者的个人信息、病历记录等重要资料受到极大威胁。为了保障患者的个人信息安全,满足等保合规要求,医疗机构必须采取切实可行的措施,加强弱口令治理。
弱口令是指容易被猜解或破解的简单密码,如“password”、“123456”、“888888”等。医疗行业中常见的弱口令问题包括但不限于以下几个方面:
- 人员安全意识薄弱,对密码安全不够重视;
- 图方便,依赖弱口令,如出生日期、手机号码、工号等,容易被猜测或破解;
- 医疗设备和信息系统默认口令过于简单,并且没有及时更换;
- 缺乏密码策略和密码规范,使得用户可以使用弱密码。
提高医疗行业网络安全建设水平,提升信息系统访问安全系数,宁盾弱口令治理方案建议从以下几点进行:
加强安全意识培训和宣传
医疗机构、制药企业应该加强员工的安全意识培训,提高他们对弱口令和网络安全的认知。定期组织网络安全宣传活动,向员工普及密码安全知识,并提供相关安全操作指南。
强制开启密码复杂度验证
医疗机构、制药企业应该制定密码策略和密码规范,明确规定密码的最低要求和使用规则。建立强制口令规定,要求所有用户在使用信息系统时,必须采用符合规定的强口令,密码复杂度不低于8位,包含大小写字母、数字和特殊字符,并定期更换密码。这样可以大大提高密码的强度,降低被泄露或破解的风险。
使用多因素认证技术
为了加强身份验证的安全性,医疗机构、制药企业可以引入 MFA 多因素认证机制,例如结合口令和动态令牌(即 OTP 动态口令)、推送认证等方式进行二次身份认证。这样即使密码被猜测或泄露,黑客也无法轻易获取用户的身份认证信息。
为了满足等保合规要求,推荐使用基于国密算法的动态令牌来加强身份鉴别,并且在以下四种场景中均可以通过 MFA 多因素认证动态令牌来提升安全:
- 移动办公接入:用户通过VPN、虚拟桌面、云桌面接入内网时;
- 信息系统访问:用户登录邮箱、HIS、HCRM、EMR、缴费系统、研发应用时;
- 内网接入:用户连接企业有线、无线网络时;
- 数据中心基础设施登录:运维人员登录服务器、路由器、交换机、数据库、堡垒机等网络设备时。
宁盾多因素认证动态令牌形式
根据医疗机构、制药企业不同场景,动态令牌也有相应的载体形式。例如:
- 在实验室场景,用户不方便携带手机时,可使用便携的硬件令牌;
- 在使用了企微、飞书、钉钉任意一款办公应用时,可使用嵌入在应用工作台的H5令牌,用户无需再下载手机APP用以生成动态口令;
- 在无限制性要求时,手机APP令牌、短信令牌、邮件令牌、微信小程序令牌、推送认证(无密码认证)等都是企业主体常用的动态令牌形式。
定期漏洞扫描和安全评估
除以上 3 点之外,医疗机构和制药企业还应该定期进行漏洞扫描和安全评估,发现弱口令问题及时修复。通过对系统和设备的安全性检查,及时发现潜在的安全漏洞,加强对弱口令的治理。
尽管弱口令问题占比攀升,但做好弱口令治理就能明显降低被攻击的风险,是网络安全建设中投入少、见效快的模块之一。因此,医疗卫生、制药企业客户更应该建立健全强口令制度规范,设置应急预案,丰富身份鉴别技术手段,加强刚性设置,从根源上消除弱口令问题。
