二零零七年八月六日
密码是……生物识别技术
玛丽·安妮·盖茨
郑重声明
第十九卷第十六卷第14页
越来越多的医疗保健组织将生物识别技术作为一种增强安全性和改善患者安全的手段。
“这是一个可怕的想法,但是你的信息系统的安全性取决于你最不负责的用户。
密码是为了保护计算机网络系统免受未经授权的使用,但它们也可能提供一种虚假的安全感。安全问题的出现是因为人们忘记或共享密码,或者把密码写下来并存储在电脑上或电脑附近。有些人使用明显的、容易猜到的密码,从而允许未经授权访问整个计算机网络系统。如果被要求,五分之四的员工会把自己的密码透露给公司里的人
除了安全问题,维护一个基于密码的系统可能代价高昂。例如,Gartner Group的报告如下:
•40%的求助电话是关于忘记密码的。
•每年,企业在每个用户身上花费高达150美元来维护密码的安全。
•高达15%的年度IT预算用于信息安全
尽管有防火墙、加密和其他保护措施,但许多致力于创建安全信息系统的IT专业人员还是功亏一篑,因为当授权用户共享其密码时,网络很容易遭到破坏。
目前针对密码困境的解决方案只会加剧这个问题。规则要求更长的字母和数字组合字符串、频繁的密码更改和多个密码,这使得遵守安全性更具挑战性,因为新的要求很难遵循。使密码更安全的尝试包括:
•要求其长度为指定数量的字符,并包含字母、数字和符号的组合;
•每季度、每月、每周或更频繁地更改它们;
•访问由单独密码控制的每个应用程序;和
•必须背诵
“密码不是绝对的。国际生物识别集团的高级顾问维克多·李说:“手指在笔记本电脑或其他外围设备上滑动就可以代替几个密码。”
生物识别解决方案
解决密码问题并维护授权人员对私人或敏感信息的适当访问级别是推动生物识别技术进入医疗保健领域的推动力。生物计量学是一门涉及生物特征统计分析的科学,它以独特的、可测量的人类特征为中心,这些特征能够自动识别或验证身份
例如,生物识别技术利用个人指纹的独特特征来进入计算机网络。已开发的各种生物识别技术包括指纹、虹膜识别、视网膜扫描、手部几何、面部识别、声音识别和手写/签名动态
此外,HIPAA法规要求患者保密,这推动了生物识别技术,确保只有授权人员才能访问患者信息。仅这一点就足以让许多医疗机构将生物识别技术视为一种通过使信息网络系统更加安全来确保患者隐私的方法。
为生物识别技术辩护
消除最终用户生成的密码作为网络信息系统安全的主要来源,并在获得安全信息之前建立唯一的生物识别标识符,从而使个人用户承担起维护安全网络的责任。此外,使用诸如指纹之类的生物特征不会轻易丢失、遗忘或共享。
设计良好的生物识别解决方案为医疗保健组织提供了至少四个优势它使他们能够保护患者的机密性、消除密码、降低It支持成本、减少欺诈、支持HIPAA合规性并保护投资。beplay最新备用网站更具体地说,该技术可以做到以下几点:
•通过准确的身份验证保护患者记录信息。选定的生物特征可以确保只有那些被允许查看患者记录的个人才能访问它们。利用单点登录将为临床医生和管理人员节省大量时间。
•消除了密码维护的成本。据Gartner集团估计,仅密码维护一项,每年每个用户就需要花费150至200美元。使用生物识别技术代替密码提供安全性,消除了密码维护成本。中央管理确保立即实现对个人、状态、策略和其他项的更改。
•减少欺诈行为。这可以在医院业务应用程序和工作流领域(如保险验证系统)中完成。它使工作人员能够积极准确地识别病人,并确定他们是否有适当的保险。一个好的生物识别解决方案可以整合到智能卡或中央存储库中,以最大限度地方便和安全。
•可以被视为一个长期的答案。设计良好的解决方案可以最大限度地提高当前的生物识别投资,并实现对未来成本的管理。潜在的机会包括安全视频会议、远程医疗和家庭健康。随着新的生物识别技术的出现,它们可以被整合到设施的当前环境中,而无需消除或替换初始投资。
捕捉高质量图像
生物识别技术依赖于捕捉可区分的特征和系统的用户友好性
这个过程分为四个步骤,首先在“注册过程”中捕获指定生物特征的各种特征。第二阶段“提取”生物特征的某些独特特征,并将信息转换为算法或数学代码,然后作为模板存储。当用户试图访问受限制的网络信息或进入受限制的区域时,阶段3开始。最后阶段通过将信息与模板进行比较来匹配用户的生物特征。
“能够捕获数据的两种最突出的传感器是光学传感器和硅传感器,”Bioscrypt公司营销副总裁马修·博加特(Matthew Bogart)说。
光学传感器是由玻璃制成的。将指纹放在传感器上后,光学技术将其转换为类似图片的图像进行匹配验证。另一方面,硅传感器发出一个小电荷,并观察手指表面下皮肤的皮下层,博加特说。
生长因子
许多医疗保健行业人士表示,新兴的生物识别技术正变得越来越普遍。一位技术专家称,目前有4.5万到5万名护理人员使用指纹技术与此同时,另一位行业专家表示,医疗保健领域的生物识别技术占其业务的30%
指纹授权使用
2000年11月,西田纳西州医疗保健系统的医院和医疗机构开始引入指纹认证。
对员工来说,使用指纹授权的反应似乎不是什么问题。
信息系统执行董事杰夫•弗里林(Jeff Frieling)表示:“公司做出了一项战略决策,让员工负起责任。”“如果他们要在这里工作,就必须(使用指纹授权)。”
当临床医生想要访问计算机网络时,他们必须输入自己的用户名,并将手指放在指纹识别器上。成功的匹配允许访问授权文件。弗里林说,员工只能在“需要知道的基础上”访问文件。
弗里林说,目前有2000到3000名员工——从护士到呼吸治疗师——必须通过指纹授权才能访问该系统,以查看临床医疗记录。“基本上,任何需要查看病人病历的人”都可以进入,他说。
通过访问系统时创建的内部审计跟踪,生物识别技术的采用增加了问责制。
弗里林说:“它(该系统)给人们一个信息,即他们要对自己看到的东西负责。”
弗里林表示,潜在的缺点包括每次需要小心地将手指放在阅读器上的相同位置以获得网络访问。
“这不仅仅是在读者面前挥动手指那么简单。如果你行动缓慢且有条不紊,那就很容易了。如果你又快又马虎,那就更难了。”
另一个潜在的、更严重的缺点是,用户仍然要记得亲自签名。弗里林说,在没有明显活动的10分钟后,就会自动关机。根据弗里林的说法,在这10分钟的窗口中,如果有人离开了计算机并且没有注销,那么未经授权的用户就有可能进入前一个用户可以访问的任何应用程序。
他说,更快的自动签收可能会给医生带来不便,因为他们在签收时可能正在看电脑屏幕上的东西或打电话。他补充说,屏幕突然关闭不会受到欢迎。
弗里林说,尽管存在缺陷,但生物识别技术有很多应用。他说:“随着用户需求的增长,我们需要扩展这项技术。”
易于使用
据DigitalPersona专家介绍,指纹认证可以适应任何规模的操作,设置也不复杂。如果用户需要更改,可以通过消除活动目录中的用户身份锁盒来删除所有应用程序的特定标识。
生物识别错误率
与其他技术一样,生物识别技术可能也确实会出现故障。当合法用户被拒绝并且不允许访问网络系统或受限制的区域时,就会发生错误。相反,当未经授权的用户访问安全的网络系统或受限制的区域时,也会发生错误。
用于描述指纹认证系统的一些基本错误率是错误接受或拒绝以及未能注册系统
错误接受率(FAR)表示出现错误匹配以及未授权用户被授予访问权限的概率。错误拒绝率表示错误地拒绝授权用户访问的概率。注册失败率表示在初始系统注册期间拒绝特定手指或拇指的概率。
一般来说,使用生物指纹认证遇到的错误数量取决于系统安全设置的级别例如,一个系统可能具有较低的安全性设置和较高的FAR,而另一个系统可能具有较高的安全性设置和较低的FAR。
成本和投资回报
医疗机构的主要目标是继续寻找在降低成本的同时提高安全性的方法。要确定改变用户访问信息系统网络的方式所需要的成本,就需要密切关注无数的日常操作。
例如,当多个用户共享同一台工作空间PC时,使用密码登录和注销需要花费时间。它延误了获得医院医疗记录的时间,最终延误了获得医疗护理的时间。
另一个涉及的成本是找回被遗忘的密码。呼叫服务台的电话中有25%到50%是要求重置密码的,每次重置密码的费用为20到38美元。在许多情况下,重置密码的实际成本超过了支持成本
生物识别技术的未来
最近,新任命的Bioscrypt首席执行官罗伯特·道格拉斯的评论表明,生物识别技术将适应时代。他说:“对进入企业和网络的用户进行生物识别认证肯定在路线图上,在未来一到三年内,在移动设备上使用生物识别技术作为认证变得非常普遍,我一点也不会感到惊讶。
道格拉斯继续说道:“我们正在研究的未来技术包括笔记本电脑、钥匙扣甚至移动设备上的指纹技术。”“也许有一天,当我对我使用的黑莓手机进行身份验证时,我就可以直接通过黑莓手机或你使用的任何移动设备访问企业的位置。
使用指纹生物识别技术的网络认证也在增长。道格拉斯说:“逻辑接入市场增长非常迅速,但目前这个市场规模较小。“物理门禁市场的增长速度较慢,但今天它是一个大得多的市场。从我们所处的位置来看,两者对我们来说都是相当重要的。
道格拉斯并不是唯一一个对生物识别技术的未来持乐观态度的人。在最近的评论中医疗保健IT新闻,望远镜咨询集团的创始人格雷格·马尔卡里预测,生物识别技术在许多领域都有一个美好的未来。
他说:“医疗机构关注的是患者安全、隐私和降低成本。“HIPAA合beplay最新备用网站规、安全问题、[联合委员会]审计要求以及推动电子医疗记录都是激励因素。更重要的是,在国家安全、边境巡逻和交通等其他市场的更大渗透推动了价格的下降,使医疗保健更容易负担得起。”
玛丽·安妮·盖茨是芝加哥地区的一位医学作家。
参考文献
1.解决网络安全的最薄弱环节:密码。2007年5月。可用在这里.
2.“解决医疗安全最薄弱的环节:密码。”DigitalPersona。2002年2月。可用在这里.
3.“解决医疗安全最薄弱的环节:密码。”DigitalPersona。2002年2月。可用在这里.
4.“解决医疗安全最薄弱的环节:密码。”DigitalPersona。2002年2月。可用在这里.
5.生物识别技术在医疗保健-介绍>Politec公司。可用在这里.
6.生物识别技术在医疗保健-介绍>Politec公司。可用在这里.
7.生物识别技术在医疗保健-介绍>Politec公司。可用在这里.
8.生物识别技术在医疗保健-介绍>Politec公司。可用在这里.
9.安德鲁斯J. "生物识别技术在医疗保健领域留下印记。"医疗保健IT新闻。2006年5月1日可用在这里.
10.安德鲁斯J. "生物识别技术在医疗保健领域留下印记。"医疗保健IT新闻。2006年5月1日可用在这里.
11.Fidelica Microsystems, Inc. <解读指纹认证性能-技术白皮书>。2001年12月18日。可用在这里.
12.解决网络安全的最薄弱环节:密码。2007年5月。可用在这里.
13.科尔·g,《与Bioscrypt新CEO谈生物识别技术》Securityinfowatch.com。2007年6月8日。可用在这里.
