医疗行业如何防范弱口令攻击？这份弱口令治理方案请收好

随着5G、云计算、物联网等新兴技术与传统医疗系统的不断深化融合，我国医疗信息化程度越来越高，逐步向数字化、智慧化医疗演进，蓬勃发展的信息化也使医疗行业面临的安全风险逐渐增多。数据泄露、勒索病毒等问题频发，加之《等保》、《关基保护要求》、《数据安全法》、《个人信息保护法》等政策法规的推动，医疗行业客户对网络安全愈发重视。

来源：奇安信《2022医疗卫生行业网络安全分析报告》

《2022医疗卫生行业网络安全分析报告》显示，弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。弱口令攻击由于其简便以及攻击成功率高，成为攻击者最为热衷使用的方式之一。弱口令的出现，使得医疗信息系统的安全性大大降低，进而导致患者的个人信息、病历记录等重要资料受到极大威胁。为了保障患者的个人信息安全，满足等保合规要求，医疗机构必须采取切实可行的措施，加强弱口令治理。

弱口令是指容易被猜解或破解的简单密码，如“password”、“123456”、“888888”等。医疗行业中常见的弱口令问题包括但不限于以下几个方面：

1. 人员安全意识薄弱，对密码安全不够重视；
2. 图方便，依赖弱口令，如出生日期、手机号码、工号等，容易被猜测或破解；
3. 医疗设备和信息系统默认口令过于简单，并且没有及时更换；
4. 缺乏密码策略和密码规范，使得用户可以使用弱密码。

提高医疗行业网络安全建设水平，提升信息系统访问安全系数，宁盾弱口令治理方案建议从以下几点进行：

加强安全意识培训和宣传

医疗机构、制药企业应该加强员工的安全意识培训，提高他们对弱口令和网络安全的认知。定期组织网络安全宣传活动，向员工普及密码安全知识，并提供相关安全操作指南。

强制开启密码复杂度验证

医疗机构、制药企业应该制定密码策略和密码规范，明确规定密码的最低要求和使用规则。建立强制口令规定，要求所有用户在使用信息系统时，必须采用符合规定的强口令，密码复杂度不低于8位，包含大小写字母、数字和特殊字符，并定期更换密码。这样可以大大提高密码的强度，降低被泄露或破解的风险。

使用多因素认证技术

为了加强身份验证的安全性，医疗机构、制药企业可以引入 MFA 多因素认证机制，例如结合口令和动态令牌（即 OTP 动态口令）、推送认证等方式进行二次身份认证。这样即使密码被猜测或泄露，黑客也无法轻易获取用户的身份认证信息。

为了满足等保合规要求，推荐使用基于国密算法的动态令牌来加强身份鉴别，并且在以下四种场景中均可以通过 MFA 多因素认证动态令牌来提升安全：

• 移动办公接入：用户通过VPN、虚拟桌面、云桌面接入内网时；
• 信息系统访问：用户登录邮箱、HIS、HCRM、EMR、缴费系统、研发应用时；
• 内网接入：用户连接企业有线、无线网络时；
• 数据中心基础设施登录：运维人员登录服务器、路由器、交换机、数据库、堡垒机等网络设备时。

宁盾多因素认证动态令牌形式

根据医疗机构、制药企业不同场景，动态令牌也有相应的载体形式。例如：

• 在实验室场景，用户不方便携带手机时，可使用便携的硬件令牌；
• 在使用了企微、飞书、钉钉任意一款办公应用时，可使用嵌入在应用工作台的H5令牌，用户无需再下载手机APP用以生成动态口令；
• 在无限制性要求时，手机APP令牌、短信令牌、邮件令牌、微信小程序令牌、推送认证（无密码认证）等都是企业主体常用的动态令牌形式。

定期漏洞扫描和安全评估

除以上 3 点之外，医疗机构和制药企业还应该定期进行漏洞扫描和安全评估，发现弱口令问题及时修复。通过对系统和设备的安全性检查，及时发现潜在的安全漏洞，加强对弱口令的治理。

尽管弱口令问题占比攀升，但做好弱口令治理就能明显降低被攻击的风险，是网络安全建设中投入少、见效快的模块之一。因此，医疗卫生、制药企业客户更应该建立健全强口令制度规范，设置应急预案，丰富身份鉴别技术手段，加强刚性设置，从根源上消除弱口令问题。