問題的提出
2021年����,《國務院辦公廳關(guān)于推動公立醫(yī)院高質(zhì)量發(fā)展的意見》明確提出“強化信息化支撐作用”。隨后���,國家衛(wèi)生健康委開展“公立醫(yī)院高質(zhì)量發(fā)展促進行動(2021-2025年)”并進一步明確“將信息化作為醫(yī)院基本建設的優(yōu)先領域”����。在此背景下����,全國智慧醫(yī)院建設進一步提速����。
作為智慧醫(yī)院的數(shù)字化底座��,醫(yī)院網(wǎng)絡的重要性不言而喻���,越來越多的醫(yī)院開始考慮進行下一代網(wǎng)絡建設�,圍繞傳統(tǒng)以太網(wǎng)絡�、無源光網(wǎng)絡����、以太全光網(wǎng)絡等網(wǎng)絡規(guī)劃方案的討論也越來越熱烈。然而�����,有一個問題一直困擾著眾多醫(yī)院信息化工作者——醫(yī)院必須建設物理隔離的網(wǎng)絡嗎��?為了回答這個問題����,筆者搜集了一些資料�����,不妨一起來探討一下���。
何為物理隔離
(一)物理隔離的定義
物理隔離是指采用物理方法將內(nèi)網(wǎng)與外網(wǎng)隔離從而避免入侵或信息泄露的風險的技術(shù)手段。
(二)物理隔離的意義
物理隔離主要用來解決網(wǎng)絡安全問題的��,尤其是在那些需要保證安全的保密網(wǎng)����,專網(wǎng)和特種網(wǎng)絡與互聯(lián)網(wǎng)進行連接時,為了防止來自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡的保密性����、安全性、完整性����、防抵賴和高可用性,幾乎全部要求采用物理隔離技術(shù)�����。
(三)物理隔離的功能
1.阻斷網(wǎng)絡的直接連接����,即沒有兩個網(wǎng)絡同時連在隔離設備上�。
2.阻斷網(wǎng)絡的互聯(lián)網(wǎng)邏輯連接�����,即TCP/IP的協(xié)議必須被剝離��,將原始數(shù)據(jù)通過P2P的非TCP/IP連接協(xié)議透過隔離設備傳遞��。
3.隔離設備的傳輸機制具有不可編程的特性�����,因此不具有感染的特性�。
4.任何數(shù)據(jù)都是通過兩級移動代理的方式來完成交互���,兩級移動代理之間是物理隔離的��。
5.隔離設備具有審查的功能����。
6.隔離設備傳輸?shù)脑紨?shù)據(jù)�,不具有攻擊或?qū)W(wǎng)絡安全有害的特性��。
(四)物理隔離的保密技術(shù)要求
1.在物理傳導上使內(nèi)外網(wǎng)隔離����,確保外部網(wǎng)絡不能通過網(wǎng)絡連接而入侵內(nèi)部網(wǎng)絡���,同時防止內(nèi)部網(wǎng)絡的信息通過網(wǎng)絡連接泄露到外部網(wǎng)絡��。
2.計算機屏幕上應有當前處于內(nèi)網(wǎng)還是外網(wǎng)的明顯標識�����。
3.內(nèi)外網(wǎng)絡的接口處應有明確的標識���。
4.內(nèi)外網(wǎng)絡切換時應重新啟動計算機,以清除內(nèi)存�、處理器等暫存部件殘余信息,防止秘密信息串到外網(wǎng)上����。
5.移動存儲介質(zhì)未從計算機取出時,不能進行內(nèi)外網(wǎng)絡切換����。
6.防止內(nèi)部網(wǎng)絡信息通過電磁輻射泄露到外部網(wǎng)絡上����。
醫(yī)院網(wǎng)絡規(guī)劃的依據(jù)和遵循
(一)《民用建筑電氣設計標準》(GB51348-2019)
醫(yī)院建筑是典型的民用建筑��,應該符合《民用建筑電氣設計標準》����,該標準與網(wǎng)絡規(guī)劃相關(guān)的要求有——
局域網(wǎng)的拓撲結(jié)構(gòu),應符合下列規(guī)定:
1.局域網(wǎng)宜采用星形拓撲結(jié)構(gòu)�;
2.在有高可靠性要求的網(wǎng)段應采用雙鏈路環(huán)網(wǎng)或網(wǎng)狀結(jié)構(gòu)冗余鏈路等混合結(jié)構(gòu)。
根據(jù)網(wǎng)絡應用需求�,一個建筑物內(nèi)可設計一個或多個局域網(wǎng);多個建筑物也可邏輯劃分為一個局域網(wǎng)����。
每個局域網(wǎng)宜按核心層、 匯聚層和接入層三層結(jié)構(gòu)設計���。結(jié)構(gòu)層數(shù)可依據(jù)用戶需求、 物理條件及經(jīng)濟條件情況相應減少��, 宜按核心層和接入層的兩層結(jié)構(gòu)設計����。
網(wǎng)絡核心層設計應具有高可靠性和高可擴展性�����。帶寬及性能宜適度超前�, 網(wǎng)絡的安全控制設備和全網(wǎng)管理策略應在核心層設置��。
核心層設備應具有數(shù)據(jù)交換��、 網(wǎng)絡調(diào)度����、 協(xié)議轉(zhuǎn)換和設備監(jiān)控等功能, 并應具有為匯聚層����、 接入層提供優(yōu)化的網(wǎng)絡數(shù)據(jù)傳輸能力。
根據(jù)需要�����,網(wǎng)絡的核心層應設置1臺及以上的高性能交換機��。當核心層采用多臺交換機時�����, 宜將多臺交換機組合成一個邏輯核心單元。
邏輯核心單元宜以協(xié)同工作方式組成高性能核心���, 也可以以物理設備的主從后備工作模式組成冗余式核心單元�。
匯聚層應具有網(wǎng)絡延展和網(wǎng)絡邏輯劃分功能��。并應具有地址匯聚�、廣播域/多目傳輸域設置、 VLAN路由設置����、 介質(zhì)轉(zhuǎn)換和安全控制等功能。
接入層應為網(wǎng)絡終端提供訪問途徑����, 應具有網(wǎng)絡帶寬共享、 交換帶寬�、 MAC地址過濾、 網(wǎng)段劃分等功能����。
接入層設備應滿足網(wǎng)絡終端多樣性的要求。宜采用能提供接高密度接入端口和支持VLAN技術(shù)的有線網(wǎng)絡交換設備�,以及無線接入點(無線AP)。
有線接入層設備之間����,宜采用堆疊技術(shù)連接,也可以采用級聯(lián)技術(shù)連接�。
該標準是針對所有民用建筑的國家標準,并未涉及醫(yī)院網(wǎng)絡是否需要物理隔離的內(nèi)容�,但是標準中的相關(guān)要求醫(yī)院網(wǎng)絡規(guī)劃設計者應該遵循。
(二)《綜合醫(yī)院建筑設計規(guī)范》(GB51039-2014)
《綜合醫(yī)院建筑設計規(guī)范》中與網(wǎng)絡規(guī)劃相關(guān)的要求有——
應根據(jù)信息重要級別及安全程度��,分別設置供醫(yī)院內(nèi)部使用的專用網(wǎng)和公用信息傳輸?shù)幕ヂ?lián)網(wǎng)�。
應采用以太網(wǎng)交換技術(shù)和相應的網(wǎng)絡結(jié)構(gòu)。
應配置核心交換機和接入交換機�����?����?筛鶕?jù)信息點分布和規(guī)模����,增設匯聚層交換機。
醫(yī)院內(nèi)部使用的專用網(wǎng)宜采用網(wǎng)絡的冗余配置�。
該規(guī)范明確要求“應根據(jù)信息重要級別及安全程度����,分別設置供醫(yī)院內(nèi)部使用的專用網(wǎng)和公用信息傳輸?shù)幕ヂ?lián)網(wǎng)”�����,但是并未規(guī)定二者的隔離方式�����。
(三)《醫(yī)療建筑電氣設計規(guī)范》(JGJ312-2013)
《醫(yī)療建筑電氣設計規(guī)范》是經(jīng)國家住房和城鄉(xiāng)建設部批準的行業(yè)標準����,其中與網(wǎng)絡規(guī)劃相關(guān)的要求有——
一級及以上醫(yī)院應設置計算機網(wǎng)絡系統(tǒng),并應符合下列規(guī)定:
1.計算機網(wǎng)絡設備應設置在專用的設備間內(nèi)�,并應滿足設備工作環(huán)境要求;
2.醫(yī)療建筑的計算機網(wǎng)絡系統(tǒng)宜設置內(nèi)網(wǎng)和外網(wǎng)���,并宜分別設置交換機和服務器�����;
3.三級醫(yī)院核心交換機應采用1+1冗余設置�,二級及以下醫(yī)院核心交換機宜采用1+1冗余設置��。
該規(guī)范明確要求“醫(yī)療建筑的計算機網(wǎng)絡系統(tǒng)宜設置內(nèi)網(wǎng)和外網(wǎng),并宜分別設置交換機和服務器”���。可以理解為內(nèi)外網(wǎng)之間好進行物理隔離����。因為該規(guī)范僅為行業(yè)標準且在條文中使用了“宜”字,并未要求內(nèi)外網(wǎng)之間必須進行物理隔離����。
(四)保密相關(guān)的規(guī)定
中共中央保密委員會《關(guān)于嚴禁用涉密計算機上國際互聯(lián)網(wǎng)的通知》強調(diào)——
涉密計算機信息系統(tǒng)必須同互聯(lián)網(wǎng)實行物理隔離,嚴禁使用處理國家秘密信息的計算機上互聯(lián)網(wǎng)�, 違者嚴肅查處。
國家保密局《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)保密管理規(guī)定》第六條要求——
涉及國家秘密的計算機信息系統(tǒng)���,不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接��,必須實行物理隔離���。
國家保密局《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》第十六條要求——
涉密系統(tǒng)不得直接或間接與國際聯(lián)網(wǎng)�����,必須實行物理隔離。
根據(jù)中共中央保密委員會和國家保密局的要求�,我們可以得出結(jié)論:涉密計算機信息系統(tǒng)(或網(wǎng)絡)必須實行物理隔離。
(五)《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)
近年來��,醫(yī)院對網(wǎng)絡安全工作越來越重視���,醫(yī)院核心信息系統(tǒng)每年進行等級保護測評成為常態(tài)��,以第三級保護為例���,其中與網(wǎng)絡規(guī)劃相關(guān)的要求有——
應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要;
應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要�;
應劃分不同的網(wǎng)絡區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址����;
應避免將重要網(wǎng)絡區(qū)域部署在邊界處,重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段����;
應提供通信線路���、關(guān)鍵網(wǎng)絡設備和關(guān)鍵計算設備的硬件冗余�����,保證系統(tǒng)的可用性���;
應限制無線網(wǎng)絡的使用��,保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)部網(wǎng)絡;
應保證有線網(wǎng)絡與無線網(wǎng)絡邊界之間的訪問和數(shù)據(jù)流通過無線接入網(wǎng)關(guān)設備����;
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域����,區(qū)域間應采用單向的技術(shù)隔離手段;
工業(yè)控制系統(tǒng)內(nèi)部應根據(jù)業(yè)務特點劃分為不同的安全域���,安全域之間應采用技術(shù)隔離手段;
涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)���,應使用獨立的網(wǎng)絡設備組網(wǎng)��,在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離�����。
三級等保測評明確要求“重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段”�、“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域����,區(qū)域間應采用單向的技術(shù)隔離手段”、“涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)��,應使用獨立的網(wǎng)絡設備組網(wǎng)�,在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離”;同樣�,在二級等保測評要求中也有類似的表述?��?梢?�,重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域并未要求必須進行物理隔離���,但是涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),必須獨立組網(wǎng)并與其他數(shù)據(jù)網(wǎng)進行物理隔離。
(六)《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡安全保護基本要求(報批稿)》
該要求與網(wǎng)絡規(guī)劃相關(guān)的內(nèi)容有——
互聯(lián)安全部分運營者應:
1.建立或完善不同等級系統(tǒng)����、不同業(yè)務系統(tǒng)、不同區(qū)域之間的安全互聯(lián)策略����;
2.保持相同的用戶其用戶身份、安全標記����、訪問控制策略等在不同等級系統(tǒng)、不同業(yè)務系統(tǒng)�����、不同區(qū)域中的一致性�。例如�����,可以使用統(tǒng)一身份與授權(quán)管理系統(tǒng)/平臺����;
3.對不同局域網(wǎng)之間遠程通信時采取安全防護措施,例如在通信前基于密碼技術(shù)對通信的雙方進行驗證或認證����。
邊界防護部分運營者應:
1.對不同網(wǎng)絡安全等級系統(tǒng)��、不同業(yè)務系統(tǒng)��、不同區(qū)域之間的互操作�、數(shù)據(jù)交換和信息流向進行嚴格控制��。例如:采取措施限制數(shù)據(jù)從高網(wǎng)絡安全等級系統(tǒng)流向低網(wǎng)絡安全等級系統(tǒng)���;
2.應對未授權(quán)設備進行動態(tài)檢測及管控����,只允許通過運營者自身授權(quán)和安全評估的軟硬件運行���。
安全審計部分運營者應:
加強網(wǎng)絡審計措施�,監(jiān)測�����、記錄系統(tǒng)運行狀態(tài)����、日常操作��、故障維護�����、遠程運維等����,留存相關(guān)日志數(shù)據(jù)不少于12個月���。
該國標報批稿對關(guān)鍵信息基礎設施網(wǎng)絡安全保護提出了更高的要求��,但是并未要求必須進行物理隔離�����。關(guān)鍵信息基礎設施相關(guān)的國家標準將會陸續(xù)發(fā)布,建議持續(xù)關(guān)注���。
(七)《三級醫(yī)院評審標準》(2020年版)
2020年版的三級醫(yī)院評審標準并未涉及網(wǎng)絡規(guī)劃的具體內(nèi)容�,主要強調(diào)了醫(yī)院要實施國家信息安全等級保護制度����,實行信息系統(tǒng)按等級保護分級管理�����,保障網(wǎng)絡信息安全�����,保護患者隱私����。推動系統(tǒng)運行維護的規(guī)范化管理��,落實突發(fā)事件響應機制��,保證業(yè)務的連續(xù)性��。
(八)《全國醫(yī)院信息化建設標準與規(guī)范(試行)》
該標準與規(guī)范要求醫(yī)院“參照執(zhí)行”��,且僅對醫(yī)院采用的網(wǎng)絡設備及網(wǎng)閘的功能�、性能提出要求,未對醫(yī)院網(wǎng)絡規(guī)劃做出明確規(guī)定����。
(九)《醫(yī)院信息互聯(lián)互通標準化成熟度測評方案》
醫(yī)院信息互聯(lián)互通標準化成熟度測評指標體系中的“4.1.3 網(wǎng)絡設備”����、“4.2.1 網(wǎng)絡帶寬情況”��、“4.2.2 接入域建設”���、“4.2.3 網(wǎng)絡安全”等條款涉及網(wǎng)絡規(guī)劃����,相關(guān)要求有——
醫(yī)院數(shù)據(jù)中心的網(wǎng)絡設備包括三層交換機�、二層交換機、VPN 網(wǎng)關(guān)����、路由器、防火墻�、IDS/IPS 、其它設備中的五種及以上(三級要求)���;
網(wǎng)絡設備應支持設備級的冗余備份����,支持鏈路級的冗余備份(三級要求)����;
網(wǎng)絡設備支持標準的 SNMP 協(xié)議并具有可管理性(四級乙等要求);
醫(yī)院數(shù)據(jù)中心的無線網(wǎng)絡設備包括�����、無線網(wǎng)絡控制器�����、無線終端設備 ���、無線認證和安全保障機制�、其他設備中的兩種及以上(四級甲等要求)�����;
無線網(wǎng)絡具有物聯(lián)網(wǎng)與 5G 部署接入能力(五級甲等要求)��;
醫(yī)院網(wǎng)絡在物理上采用有線接入域(三級要求)�;
醫(yī)院網(wǎng)絡在物理上采用無線接入域,能夠保證隨時隨地的無線業(yè)務終端的接入���,實現(xiàn)核心臨床醫(yī)療業(yè)務環(huán)境的全覆蓋四級甲等要求)����、醫(yī)療業(yè)務和管理業(yè)務環(huán)境的全覆蓋(五級乙等要求)、多種類型的無線接入院區(qū)全覆蓋(五級甲等要求)�����;
內(nèi)�����、外網(wǎng)之間采用網(wǎng)絡安全設備進行隔離(三級要求)���;
終端與服務器不處于相同的廣播域(三級要求)����;
重要網(wǎng)段和其它網(wǎng)段之間有隔離措施(三級要求)�。
該測評指標體系中雖然要求內(nèi)、外網(wǎng)之間采用網(wǎng)絡安全設備進行隔離���,但是并未要求必須進行物理隔離�����。
(十)《電子病歷系統(tǒng)應用水平分級評價標準(試行)》
電子病歷系統(tǒng)應用水平分級評分標準中“電子病歷基礎-基礎設施與安全管控”條款涉及網(wǎng)絡規(guī)劃���,相關(guān)要求有——
具有部門級的局域網(wǎng)(二級要求);
有放置服務器的專用房間��、醫(yī)院內(nèi)部有局域網(wǎng)�,部門間網(wǎng)絡互相聯(lián)通(三級要求);
具備獨立的信息機房����、局域網(wǎng)全院聯(lián)通、服務器部署在獨立的安全保護區(qū)域(四級要求)��;
根據(jù)不同業(yè)務劃分獨立的網(wǎng)絡區(qū)域(五級要求)��;
全院重點區(qū)域應覆蓋無線局域網(wǎng)��、部分醫(yī)療設備接入院內(nèi)局域網(wǎng)(五級要求)����;
關(guān)鍵網(wǎng)絡設備、網(wǎng)絡鏈路采用冗余設計(六級要求)��;
支持智能醫(yī)療儀器等物聯(lián)網(wǎng)設備安全地接入院內(nèi)局域網(wǎng)(六級要求)��;
具備防止非授權(quán)客戶端隨意接入網(wǎng)絡的能力�,并且可有效控制內(nèi)網(wǎng)客戶端非法外聯(lián)(六級要求)����;
醫(yī)院核心機房符合《數(shù)據(jù)中心設計規(guī)范》GB50174-2017中B級機房要求�����,院內(nèi)局域網(wǎng)布線符合《綜合布線系統(tǒng)工程設計規(guī)范》GB50311的有關(guān)規(guī)定(七級要求)���;
實現(xiàn)院內(nèi)局域網(wǎng)與區(qū)域健康網(wǎng)絡的連接并有安全防護(八級要求)����;
與互聯(lián)網(wǎng)環(huán)境的系統(tǒng)傳輸數(shù)據(jù)時有安全傳輸通道(八級要求)�;
涉及互聯(lián)網(wǎng)業(yè)務的信息系統(tǒng),數(shù)據(jù)庫服務器不可直接暴露在互聯(lián)網(wǎng)環(huán)境中(八級要求)�����。
該評分標準要求醫(yī)院根據(jù)不同業(yè)務劃分獨立的網(wǎng)絡區(qū)域�����,但是并未要求必須進行物理隔離��。
(十一)《醫(yī)院智慧服務分級評估標準體系(試行)》
醫(yī)院智慧服務分級評估具體要求中的“基礎與安全”條款與網(wǎng)絡規(guī)劃相關(guān)的要求有——
院內(nèi)網(wǎng)絡聯(lián)通,服務器部署于獨立的安全域���,具備網(wǎng)絡防控能力(一級要求)����;
院內(nèi)網(wǎng)絡聯(lián)通(二級要求)�;
數(shù)據(jù)庫放置于獨立的安全域���,不直接暴露在互聯(lián)網(wǎng)環(huán)境(三級要求)����。
該評估具體要求中強調(diào)了獨立的安全域����,但是并未要求必須進行物理隔離。
(十二)《醫(yī)院智慧管理分級評估標準體系(試行)》
醫(yī)院智慧管理分級評估具體要求“基礎與安全”中與網(wǎng)絡規(guī)劃相關(guān)的要求有——
醫(yī)院內(nèi)部有局域網(wǎng)����,部門間網(wǎng)絡互相聯(lián)通(一級要求);
具有獨立的信息機房�����,主要服務器、存儲等設備集中部署在信息機房(二級要求)��;
重要管理信息系統(tǒng)的關(guān)鍵網(wǎng)絡設備���、網(wǎng)絡鏈路采用冗余設計(三級要求)��;
實現(xiàn)實名制上網(wǎng)管理�����、能夠?qū)徲嬁蛻舳说纳暇W(wǎng)行為(三級要求)���。
該評估具體要求中并未要求必須進行物理隔離。
總結(jié)與建議
(一)總結(jié)
縱覽上述依據(jù)和遵循����,“醫(yī)院必須建設物理隔離的網(wǎng)絡嗎”這個問題的答案似乎已經(jīng)明確了:
醫(yī)院建有涉及國家秘密的計算機信息系統(tǒng)(或網(wǎng)絡)的,必須建設物理隔離的網(wǎng)絡�;
醫(yī)院建有涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)且相關(guān)系統(tǒng)需要通過二級、三級等保的�,必須建設物理隔離的網(wǎng)絡;
醫(yī)院建有關(guān)鍵信息基礎設施的�����,應遵循正式發(fā)布的關(guān)鍵信息基礎設施網(wǎng)絡安全保護系列國標要求;
其他情況醫(yī)院是否建設物理隔離的網(wǎng)絡可以自主決定����。
(二)個人建議
針對醫(yī)院設備網(wǎng)、視頻監(jiān)控網(wǎng)���、電子政務網(wǎng)以及各類專網(wǎng),建議根據(jù)網(wǎng)絡實際管理模式考慮是否進行物理隔離�,如某醫(yī)院視頻監(jiān)控網(wǎng)由保衛(wèi)部門自行管理���,可以考慮進行物理隔離的獨立組網(wǎng)�����。
醫(yī)院內(nèi)網(wǎng)�、外網(wǎng)通常又可劃分為數(shù)據(jù)中心網(wǎng)��、園區(qū)網(wǎng)�����,部分醫(yī)院還建有獨立的核心網(wǎng)�。建議對數(shù)據(jù)中心網(wǎng)進行內(nèi)外網(wǎng)的物理隔離,核心網(wǎng)的內(nèi)外網(wǎng)根據(jù)醫(yī)院實際需要決定隔離方式,園區(qū)網(wǎng)則無需過分強調(diào)物理隔離���。
