医疗行业如何防范弱口令攻击?这份弱口令治理方案请收好

随着5G、云计算、物联网等新兴技术与传统医疗系统的不断深化融合,我国医疗信息化程度越来越高,逐步向数字化、智慧化医疗演进,蓬勃发展的信息化也使医疗行业面临的安全风险逐渐增多。数据泄露、勒索病毒等问题频发,加之《等保》、《关基保护要求》、《数据安全法》、《个人信息保护法》等政策法规的推动,医疗行业客户对网络安全愈发重视。

4ac8d95356c5b90a7945b71d184182d8.jpeg

来源:奇安信《2022医疗卫生行业网络安全分析报告》

《2022医疗卫生行业网络安全分析报告》显示,弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。弱口令攻击由于其简便以及攻击成功率高,成为攻击者最为热衷使用的方式之一。弱口令的出现,使得医疗信息系统的安全性大大降低,进而导致患者的个人信息、病历记录等重要资料受到极大威胁。为了保障患者的个人信息安全,满足等保合规要求,医疗机构必须采取切实可行的措施,加强弱口令治理。

弱口令是指容易被猜解或破解的简单密码,如“password”、“123456”、“888888”等。医疗行业中常见的弱口令问题包括但不限于以下几个方面:

  1. 人员安全意识薄弱,对密码安全不够重视;
  2. 图方便,依赖弱口令,如出生日期、手机号码、工号等,容易被猜测或破解;
  3. 医疗设备和信息系统默认口令过于简单,并且没有及时更换;
  4. 缺乏密码策略和密码规范,使得用户可以使用弱密码。

提高医疗行业网络安全建设水平,提升信息系统访问安全系数,宁盾弱口令治理方案建议从以下几点进行:


加强安全意识培训和宣传

医疗机构、制药企业应该加强员工的安全意识培训,提高他们对弱口令和网络安全的认知。定期组织网络安全宣传活动,向员工普及密码安全知识,并提供相关安全操作指南。


强制开启密码复杂度验证

医疗机构、制药企业应该制定密码策略和密码规范,明确规定密码的最低要求和使用规则。建立强制口令规定,要求所有用户在使用信息系统时,必须采用符合规定的强口令,密码复杂度不低于8位,包含大小写字母、数字和特殊字符,并定期更换密码。这样可以大大提高密码的强度,降低被泄露或破解的风险。


使用多因素认证技术

为了加强身份验证的安全性,医疗机构、制药企业可以引入 MFA 多因素认证机制,例如结合口令和动态令牌(即 OTP 动态口令)、推送认证等方式进行二次身份认证。这样即使密码被猜测或泄露,黑客也无法轻易获取用户的身份认证信息。

为了满足等保合规要求,推荐使用基于国密算法的动态令牌来加强身份鉴别,并且在以下四种场景中均可以通过 MFA 多因素认证动态令牌来提升安全:

  • 移动办公接入:用户通过VPN、虚拟桌面、云桌面接入内网时;
  • 信息系统访问:用户登录邮箱、HIS、HCRM、EMR、缴费系统、研发应用时;
  • 内网接入:用户连接企业有线、无线网络时;
  • 数据中心基础设施登录:运维人员登录服务器、路由器、交换机、数据库、堡垒机等网络设备时。

459dd0bf634e516ed8ffd2ab5a504ffc.jpeg

宁盾多因素认证动态令牌形式

根据医疗机构、制药企业不同场景,动态令牌也有相应的载体形式。例如:

  • 在实验室场景,用户不方便携带手机时,可使用便携的硬件令牌
  • 在使用了企微、飞书、钉钉任意一款办公应用时,可使用嵌入在应用工作台的H5令牌,用户无需再下载手机APP用以生成动态口令;
  • 在无限制性要求时,手机APP令牌、短信令牌、邮件令牌、微信小程序令牌、推送认证(无密码认证)等都是企业主体常用的动态令牌形式。


定期漏洞扫描和安全评估

除以上 3 点之外,医疗机构和制药企业还应该定期进行漏洞扫描和安全评估,发现弱口令问题及时修复。通过对系统和设备的安全性检查,及时发现潜在的安全漏洞,加强对弱口令的治理。

尽管弱口令问题占比攀升,但做好弱口令治理就能明显降低被攻击的风险,是网络安全建设中投入少、见效快的模块之一。因此,医疗卫生、制药企业客户更应该建立健全强口令制度规范,设置应急预案,丰富身份鉴别技术手段,加强刚性设置,从根源上消除弱口令问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/29531.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信开发之朋友圈自动点赞的技术实现

简要描述: 朋友圈点赞 请求URL: http://域名地址/snsPraise 请求方式: POST 请求头Headers: Content-Type:application/jsonAuthorization:login接口返回 参数: 参数名必选类型说明wId…

摄像机终端IP地址白名单配置流程

海康摄像头配置白名单流程 1.登录海康摄像机前端 2.进入配置-系统-安全管理-IP地址过滤 3.IP地址过滤方式选择“允许” 4.点击添加按钮输入对应的IP地址或者IP网段 5.最后勾选启用IP地址过滤,然后保存 大华摄像头配置白名单流程 1.登录大华摄像机前端 2.进入设…

使用MethodInterceptor和ResponseBodyAdvice做分页处理

目录 一、需求 二、代码实现 父pom文件 pom文件 配置文件 手动注册SqlSessionFactory(MyBatisConfig ) 对象 实体类Users 抽象类AbstractQuery 查询参数类UsersQuery 三层架构 UsersController UsersServiceImpl UsersMapper UsersMapper.…

苹果电脑图像元数据编辑器:MetaImage for Mac

MetaImage for Mac是一款功能强大的照片元数据编辑器,它可以帮助用户编辑并管理照片的元数据信息,包括基本信息和扩展信息。用户可以根据需要进行批量处理,方便快捷地管理大量照片。 MetaImage for Mac还提供了多种导入和导出格式&#xff0…

12v转5v降压模块

问:什么是12V转5V降压模块?它的功能是什么? 答:12V转5V降压模块是一种电子设备,用于将输入电压为12V的直流电转换为输出电压为5V的直流电。它的主要功能是为电子设备提供所需的适当电压,以便它们能够正常运…

mysql进阶篇(二)

前言 「作者主页」:雪碧有白泡泡 「个人网站」:雪碧的个人网站 「推荐专栏」: ★java一站式服务 ★ ★ React从入门到精通★ ★前端炫酷代码分享 ★ ★ 从0到英雄,vue成神之路★ ★ uniapp-从构建到提升★ ★ 从0到英雄&#xff…

GCC编译过程:预处理->编译->汇编->链接

目录 引言 概括介绍 一、预处理 二、编译 三、汇编 四、链接 总结 引言 当使用集成开发环境(IDE)进行C语言编程时,点击"编译"按钮后,整个C程序从源代码到可执行文件的生成过程会自动完成。IDE会在后台为我们执行C…

QT QLCDNumber 使用详解

本文详细的介绍了QLCDNumber控件的各种操作,例如:新建界面、源文件、设置显示位数、设置进制、设置外观、设置小数点、设置溢出、显示事件、其它文章等等操作。 实际开发中,一个界面上可能包含十几个控件,手动调整它们的位置既费时…

Activity启动过程详解(Android 12源码分析)

Activity的启动方式 启动一个Activity,通常有两种情况,一种是在应用内部启动Activity,另一种是Launcher启动 1、应用内启动 通过startActivity来启动Activity 启动流程: 一、Activity启动的发起 二、Activity的管理——ATMS 三、…

怎么在JMeter中的实现关联

我们一直用的phpwind这个系统做为演示系统, 如果没有配置好的同学, 请快速配置之后接着往下看哦. phpwind发贴时由于随着登陆用户的改变, verifycode是动态变化的, 因此需要用到关联. LoadRunner的关联函数是reg_save_param, Jmeter的关联则是利用后置处理器来完成. 在需要查…

字节编码学习

字节编码学习 文章目录 字节编码学习01_字节与ASCII码表02_每个国家都有独特的码表03_国际化UTF-804_编码本和解码本不一致,乱码 01_字节与ASCII码表 public class Demo01 {public static void main(String[] args) {// 计算机的底层全部都是字节 ---- ----// 一个…

1.利用matlab建立符号表达式(matlab程序)

1.简述 、 1. 使用sym命令创建符号变量和表达式 语法: sym(‘变量’,参数) %把变量定义为符号对象 说明:参数用来设置限定符号变量的数学特性,可以选择为’positive’、’real’和’unreal’, ’positive’ 表示为“正、实”符…

C++的auto究竟是何方神圣

C的auto究竟是何方神圣 前言🙌auto(C 11) 的使用细则auto是什么? auto声明的变量是在什么时期被编译器推导出来呢?为什么使用auto进行定义变量时,必须进行初始化? auto 的使用场景auto与指针和引…

软件安全测试包含哪些内容和方法?安全测试报告的必要性

软件安全测试是一种通过模拟真实攻击的方式,对软件系统进行全面的安全性评估和测试,以发现潜在的安全漏洞和弱点,是确保软件系统安全性的重要措施。在进行软件安全测试时,我们需要了解测试的内容和方法,以及为什么进行…

FastAPI 构建 API 高性能的 web 框架(一)

如果要部署一些大模型一般langchainfastapi,或者fastchat, 先大概了解一下fastapi,本篇主要就是贴几个实际例子。 官方文档地址: https://fastapi.tiangolo.com/zh/ 1 案例1:复旦MOSS大模型fastapi接口服务 来源:大语言模型工程…

C语言学习笔记 vscode使用外部console-11

前言 在默认情况下,我们运行C语言程序都是在vscode终端的,在小程序运行时这个是没有问题的,但是当程序变得复杂它就不好用了,这时我们可以将这个终端设置为外部console,这样方便处理更多、更复杂的程序。 步骤 1.点击…

PCB电路板设计基础入门学习笔记

文章目录: 一:Arduino线路板绘制(原理图库、PCB库、原理图、PCB图绘制) 1.原理图库绘制Schematic Library(有现成库,没有就自己画)[SCH Library] 方法一:自己依次画 ATMEGA328P-…

HTTP——十一、Web的攻击技术

HTTP 一、针对Web的攻击技术1、HTTP 不具备必要的安全功能2、在客户端即可篡改请求3、针对Web应用的攻击模式 二、因输出值转义不完全引发的安全漏洞1、跨站脚本攻击2、SQL 注入攻击3、OS命令注入攻击4、HTTP首部注入攻击5、邮件首部注入攻击6、目录遍历攻击7、远程文件包含漏洞…

【cluster_block_exception】写操作elasticsearch索引报错

【cluster_block_exception】操作elasticsearch索引b报错 背景导致原因:解决方法: 背景 今天线上elk的数据太多,服务器的空间不足了。所以打算删除一些没用用的数据。我是用下面的request: POST /{index_name}/_delete_by_query…

Promise详细版

promise基础原理到难点分析 常见的Promise的方法解读 扩展async和await深入分析 逐步分析Promise底层逻辑代码 一、Promise基础 1.什么是promise 为了解决回调地狱: //2.设置点击事件btn.onclick function() {//3.创建ajax实例化对象let xhr new XMLHttpRe…