NIST和HIPAA：有密码连接吗？

在处理用户数据时，我们必须围绕法规遵从性设计密码策略。这些政策在内部和外部都有定义。

虽然公司坚持自己的密码标准，但像HIPAA和NIST这样的外部力量有很大的影响力。影响取决于行业和个人独特的基础设施。IT部门如何保持对NIST和HIPAA的合规性？

在本文中，我们将讨论每种合规性度量及其重要性。

什么是NIST合规性？

NIST合规性由美国国家标准与技术研究所（National Institute of Standards and Technology）定义，旨在加强联邦系统抵御网络攻击的能力。虽然该机构不受监管，但它是隶属于美国商务部，对政府机构及其承包商有很大影响力。

例如，NIST指南帮助机构满足《联邦信息安全管理法》（FISMA）的要求。NIST在制定符合FISMA的联邦信息处理标准（FIP）方面发挥了重要作用。如果没有NIST网络安全框架，这一切都不可能实现。

该框架概述了数据处理器应遵循的步骤和最佳实践。

控制措施涉及以下方面：

• 基于身份验证的本地工作站、数据库、网站和web服务访问
• 审核与个人身份验证（PIV）凭据、第三方凭据或管理操作相关的密码更改、登录失败和访问失败事件
• 组（共享权限）帐户和个人帐户
• 密码、访问令牌、生物识别和多因素身份验证（MFA）
• 加密和密码散列
• 最小密码长度、复杂性和验证时间

值得注意的是，符合NIST标准的管理员可能会定义必要的密码策略，以强制执行最小长度和泄露密码过滤要求。密码策略还可以包括阻止公共字符替换和其他可预测的密码构造模式，例如仅通过在末尾添加数字或符号来更改密码。

NIST鼓励消除密码过期和复杂性—；但这需要与该组织的监管义务相权衡；例如，PCI-DSS和HITRUS-CFS需要这些。

NIST网络安全框架合规性是实现强大安全性的绝佳垫脚石。然而，该机构警告说，NIST的指导方针并没有创造出不可穿透的系统。没有一个框架是完美的。

什么是HIPAA合规性？

个人健康信息属于高灵敏度保护伞。这些记录是机密的，包含私人信息，因此数据库和数据仓库必须采用强有力的保护措施。还有一种观点认为，密码政策的存在是为了保护患者的尊严。

医患保密和医患关系对于维护整个医疗领域的隐私至关重要。然而，许多患者甚至对医疗保健提供者的印象都不好。2016年，Black Book披露87%的患者从“值得信赖的”提供者那里隐瞒了一定程度的健康信息。

你可能会明白这是怎么回事。个人医疗数据是所以个人信任是在一个人的核心圈子之外来之不易的。在我们的数字时代，远程访问和电子记录共享司空见惯，这种现象进一步加剧。

其他一些值得关注的领域：

• 患者财务信息
• 患者门户访问
• 作为在线个人资料的一部分提交的个人信息

通过密码遵从性进行保护

如今收集的信息如此之多，以至于患者自己发现很难进行筛选。精通技术的提供商被委托保护这些数据并使其可访问给正确的人这就是《健康保险可携带性和责任法案》（HIPAA）的用武之地。

首先，HIPAA概述了组织必须满足的三类标准：

1. 技术标准– 其中描述了保护和维护存储个人电子健康信息的基础设施所需的保障措施
2. 物理标准– 其中描述了砖混房屋内外必须如何保护
3. 行政标准– 其中描述了员工在维护个人健康信息安全方面的必要控制和维护工作

我们自然专注于技术和管理标准—；第一类涉及存储高度敏感数据的在线系统或数据库。管理标准要求员工在指令密码管理和访问授权方面发挥作用。这在密码策略中是什么样子的？

请注意，HIPAA和NIST指南并不相互排斥。遵循这些规则将使您符合HIPAA和NIST：

• 强制要求密码长度为8个以上字符（某些数据最多64个字符）
• 不要给用户密码提示
• 鼓励创建值得记忆的密码，而不是需要记录的晦涩密码
• 根据被禁止的密码列表或泄露密码字典检查密码

这些指导方针至关重要。此外，HIPAA确实根据实体监控关键数据提供了一些回旋空间。因为提供者可以是微观的和庞大的（医疗系统、保险提供者），所以需要独特的密码策略。

更好地遵守NIST和HIPAA规范

在制定符合要求的密码策略时，外部工具可以提供大量帮助。我们推荐两种工具：密码审计员和Specops密码策略。这些操作自动化了对持续密码安全至关重要的多个过程。

Password Auditor是一个免费工具，提供三个主要好处：密码报告、Active Directory帐户审核和标准遵从性。Auditor会扫描您的环境，以确保通用和细粒度的密码策略能够提高密码的安全性。信息丰富的报告突出了弱点和问题账户—；简化补救措施。这些报告甚至将你的政策与NIST推动的政策进行了比较。

密码审核员还将向您展示您的系统抵御攻击的能力。您还可以查看域及其各自的帐户。如果与我们的违规密码列表中的密码匹配，则会识别易受攻击的密码。

同时，密码策略以更大的粒度提供了类似的好处。主要可以完成以下任务：阻止弱密码、创建符合要求的密码策略和目标密码熵。这个工具可以让你带上自己的密码字典，并包含20亿个被破解密码的Specops列表。

斯派克斯负责起重—；自动接受密码（甚至短语），同时拒绝不符合要求的密码。强制执行您自己的密码长度、复杂性和字符要求。最后，法规遵从性工具将向您展示现有政策与行业法规遵从性政策的比较。密码策略提供模板和分析，以保护公司持有的数据免受流行的网络攻击方法的攻击。

NIST和HIPAA的合规性取决于严格的密码政策。谢天谢地，合规过程不必复杂。