您所在的位置:首页 > i医疗 > 行业动态 >  王磊:医院必须建设物理隔离的网络吗?
王磊:医院必须建设物理隔离的网络吗?
  • 2022-06-14 09:56
  • 作者:王磊
  • 来源:CHIMA

问题的提出

2021年,《国务院办公厅关于推动公立医院高质量发展的意见》明确提出“强化信息化支撑作用”。随后,国家卫生健康委开展“公立医院高质量发展促进行动(2021-2025年)”并进一步明确“将信息化作为医院基本建设的优先领域”。在此背景下,全国智慧医院建设进一步提速。

作为智慧医院的数字化底座,医院网络的重要性不言而喻,越来越多的医院开始考虑进行下一代网络建设,围绕传统以太网络、无源光网络、以太全光网络等网络规划方案的讨论也越来越热烈。然而,有一个问题一直困扰着众多医院信息化工作者——医院必须建设物理隔离的网络吗?为了回答这个问题,笔者搜集了一些资料,不妨一起来探讨一下。

何为物理隔离

(一)物理隔离的定义

物理隔离是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。

(二)物理隔离的意义

物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。

(三)物理隔离的功能

1.阻断网络的直接连接,即没有两个网络同时连在隔离设备上。

2.阻断网络的互联网逻辑连接,即TCP/IP的协议必须被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递。

3.隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性。

4.任何数据都是通过两级移动代理的方式来完成交互,两级移动代理之间是物理隔离的。

5.隔离设备具有审查的功能。

6.隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。

(四)物理隔离的保密技术要求

1.在物理传导上使内外网隔离,确保外部网络不能通过网络连接而入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。

2.计算机屏幕上应有当前处于内网还是外网的明显标识。

3.内外网络的接口处应有明确的标识。

4.内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。

5.移动存储介质未从计算机取出时,不能进行内外网络切换。

6.防止内部网络信息通过电磁辐射泄露到外部网络上。

医院网络规划的依据和遵循

(一)《民用建筑电气设计标准》(GB51348-2019)

医院建筑是典型的民用建筑,应该符合《民用建筑电气设计标准》,该标准与网络规划相关的要求有——

局域网的拓扑结构,应符合下列规定:

1.局域网宜采用星形拓扑结构;

2.在有高可靠性要求的网段应采用双链路环网或网状结构冗余链路等混合结构。

根据网络应用需求,一个建筑物内可设计一个或多个局域网;多个建筑物也可逻辑划分为一个局域网。

每个局域网宜按核心层、 汇聚层和接入层三层结构设计。结构层数可依据用户需求、 物理条件及经济条件情况相应减少, 宜按核心层和接入层的两层结构设计。

网络核心层设计应具有高可靠性和高可扩展性。带宽及性能宜适度超前, 网络的安全控制设备和全网管理策略应在核心层设置。

核心层设备应具有数据交换、 网络调度、 协议转换和设备监控等功能, 并应具有为汇聚层、 接入层提供优化的网络数据传输能力。

根据需要,网络的核心层应设置1台及以上的高性能交换机。当核心层采用多台交换机时, 宜将多台交换机组合成一个逻辑核心单元。

逻辑核心单元宜以协同工作方式组成高性能核心, 也可以以物理设备的主从后备工作模式组成冗余式核心单元。

汇聚层应具有网络延展和网络逻辑划分功能。并应具有地址汇聚、广播域/多目传输域设置、 VLAN路由设置、 介质转换和安全控制等功能。

接入层应为网络终端提供访问途径, 应具有网络带宽共享、 交换带宽、 MAC地址过滤、 网段划分等功能。

接入层设备应满足网络终端多样性的要求。宜采用能提供接高密度接入端口和支持VLAN技术的有线网络交换设备,以及无线接入点(无线AP)。

有线接入层设备之间,宜采用堆叠技术连接,也可以采用级联技术连接。

该标准是针对所有民用建筑的国家标准,并未涉及医院网络是否需要物理隔离的内容,但是标准中的相关要求医院网络规划设计者应该遵循。

(二)《综合医院建筑设计规范》(GB51039-2014)

《综合医院建筑设计规范》中与网络规划相关的要求有——

应根据信息重要级别及安全程度,分别设置供医院内部使用的专用网和公用信息传输的互联网。

应采用以太网交换技术和相应的网络结构。

应配置核心交换机和接入交换机。可根据信息点分布和规模,增设汇聚层交换机。

医院内部使用的专用网宜采用网络的冗余配置。

该规范明确要求“应根据信息重要级别及安全程度,分别设置供医院内部使用的专用网和公用信息传输的互联网”,但是并未规定二者的隔离方式。

(三)《医疗建筑电气设计规范》(JGJ312-2013)

《医疗建筑电气设计规范》是经国家住房和城乡建设部批准的行业标准,其中与网络规划相关的要求有——

一级及以上医院应设置计算机网络系统,并应符合下列规定:

1.计算机网络设备应设置在专用的设备间内,并应满足设备工作环境要求;

2.医疗建筑的计算机网络系统宜设置内网和外网,并宜分别设置交换机和服务器;

3.三级医院核心交换机应采用1+1冗余设置,二级及以下医院核心交换机宜采用1+1冗余设置。

该规范明确要求“医疗建筑的计算机网络系统宜设置内网和外网,并宜分别设置交换机和服务器”。可以理解为内外网之间最好进行物理隔离。因为该规范仅为行业标准且在条文中使用了“宜”字,并未要求内外网之间必须进行物理隔离。

(四)保密相关的规定

中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》强调——

涉密计算机信息系统必须同互联网实行物理隔离,严禁使用处理国家秘密信息的计算机上互联网, 违者严肃查处。

国家保密局《计算机信息网络国际联网保密管理规定》第六条要求——

涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。

国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》第十六条要求——

涉密系统不得直接或间接与国际联网,必须实行物理隔离。 

根据中共中央保密委员会和国家保密局的要求,我们可以得出结论:涉密计算机信息系统(或网络)必须实行物理隔离。

(五)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

近年来,医院对网络安全工作越来越重视,医院核心信息系统每年进行等级保护测评成为常态,以第三级保护为例,其中与网络规划相关的要求有——

应保证网络设备的业务处理能力满足业务高峰期需要;

应保证网络各个部分的带宽满足业务高峰期需要;

应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;

应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;

应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;

应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络;

应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备;

工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;

工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;

涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

三级等保测评明确要求“重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”、“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”、“涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离”;同样,在二级等保测评要求中也有类似的表述。可见,重要网络区域与其他网络区域并未要求必须进行物理隔离,但是涉及实时控制和数据传输的工业控制系统,必须独立组网并与其他数据网进行物理隔离。

(六)《信息安全技术 关键信息基础设施网络安全保护基本要求(报批稿)》

该要求与网络规划相关的内容有——

互联安全部分运营者应:

1.建立或完善不同等级系统、不同业务系统、不同区域之间的安全互联策略;

2.保持相同的用户其用户身份、安全标记、访问控制策略等在不同等级系统、不同业务系统、不同区域中的一致性。例如,可以使用统一身份与授权管理系统/平台;

3.对不同局域网之间远程通信时采取安全防护措施,例如在通信前基于密码技术对通信的双方进行验证或认证。

边界防护部分运营者应:

1.对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流向进行严格控制。例如:采取措施限制数据从高网络安全等级系统流向低网络安全等级系统;

2.应对未授权设备进行动态检测及管控,只允许通过运营者自身授权和安全评估的软硬件运行。

安全审计部分运营者应:

加强网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月。

该国标报批稿对关键信息基础设施网络安全保护提出了更高的要求,但是并未要求必须进行物理隔离。关键信息基础设施相关的国家标准将会陆续发布,建议持续关注。

(七)《三级医院评审标准》(2020年版)

2020年版的三级医院评审标准并未涉及网络规划的具体内容,主要强调了医院要实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。

(八)《全国医院信息化建设标准与规范(试行)》

该标准与规范要求医院“参照执行”,且仅对医院采用的网络设备及网闸的功能、性能提出要求,未对医院网络规划做出明确规定。

(九)《医院信息互联互通标准化成熟度测评方案》

医院信息互联互通标准化成熟度测评指标体系中的“4.1.3 网络设备”、“4.2.1 网络带宽情况”、“4.2.2 接入域建设”、“4.2.3 网络安全”等条款涉及网络规划,相关要求有——

医院数据中心的网络设备包括三层交换机、二层交换机、VPN 网关、路由器、防火墙、IDS/IPS 、其它设备中的五种及以上(三级要求);

网络设备应支持设备级的冗余备份,支持链路级的冗余备份(三级要求);

网络设备支持标准的 SNMP 协议并具有可管理性(四级乙等要求);

医院数据中心的无线网络设备包括、无线网络控制器、无线终端设备 、无线认证和安全保障机制、其他设备中的两种及以上(四级甲等要求);

无线网络具有物联网与 5G 部署接入能力(五级甲等要求);

医院网络在物理上采用有线接入域(三级要求);

医院网络在物理上采用无线接入域,能够保证随时随地的无线业务终端的接入,实现核心临床医疗业务环境的全覆盖四级甲等要求)、医疗业务和管理业务环境的全覆盖(五级乙等要求)、多种类型的无线接入院区全覆盖(五级甲等要求);

内、外网之间采用网络安全设备进行隔离(三级要求);

终端与服务器不处于相同的广播域(三级要求);

重要网段和其它网段之间有隔离措施(三级要求)。

该测评指标体系中虽然要求内、外网之间采用网络安全设备进行隔离,但是并未要求必须进行物理隔离。

(十)《电子病历系统应用水平分级评价标准(试行)》

电子病历系统应用水平分级评分标准中“电子病历基础-基础设施与安全管控”条款涉及网络规划,相关要求有——

具有部门级的局域网(二级要求);

有放置服务器的专用房间、医院内部有局域网,部门间网络互相联通(三级要求);

具备独立的信息机房、局域网全院联通、服务器部署在独立的安全保护区域(四级要求);

根据不同业务划分独立的网络区域(五级要求);

全院重点区域应覆盖无线局域网、部分医疗设备接入院内局域网(五级要求);

关键网络设备、网络链路采用冗余设计(六级要求);

支持智能医疗仪器等物联网设备安全地接入院内局域网(六级要求);

具备防止非授权客户端随意接入网络的能力,并且可有效控制内网客户端非法外联(六级要求);

医院核心机房符合《数据中心设计规范》GB50174-2017中B级机房要求,院内局域网布线符合《综合布线系统工程设计规范》GB50311的有关规定(七级要求);

实现院内局域网与区域健康网络的连接并有安全防护(八级要求);

与互联网环境的系统传输数据时有安全传输通道(八级要求);

涉及互联网业务的信息系统,数据库服务器不可直接暴露在互联网环境中(八级要求)。

该评分标准要求医院根据不同业务划分独立的网络区域,但是并未要求必须进行物理隔离。

(十一)《医院智慧服务分级评估标准体系(试行)》

医院智慧服务分级评估具体要求中的“基础与安全”条款与网络规划相关的要求有——

院内网络联通,服务器部署于独立的安全域,具备网络防控能力(一级要求);

院内网络联通(二级要求);

数据库放置于独立的安全域,不直接暴露在互联网环境(三级要求)。

该评估具体要求中强调了独立的安全域,但是并未要求必须进行物理隔离。

(十二)《医院智慧管理分级评估标准体系(试行)》

医院智慧管理分级评估具体要求“基础与安全”中与网络规划相关的要求有——

医院内部有局域网,部门间网络互相联通(一级要求);

具有独立的信息机房,主要服务器、存储等设备集中部署在信息机房(二级要求);

重要管理信息系统的关键网络设备、网络链路采用冗余设计(三级要求);

实现实名制上网管理、能够审计客户端的上网行为(三级要求)。

该评估具体要求中并未要求必须进行物理隔离。

总结与建议

(一)总结

纵览上述依据和遵循,“医院必须建设物理隔离的网络吗”这个问题的答案似乎已经明确了:

医院建有涉及国家秘密的计算机信息系统(或网络)的,必须建设物理隔离的网络;

医院建有涉及实时控制和数据传输的工业控制系统且相关系统需要通过二级、三级等保的,必须建设物理隔离的网络;

医院建有关键信息基础设施的,应遵循正式发布的关键信息基础设施网络安全保护系列国标要求;

其他情况医院是否建设物理隔离的网络可以自主决定。

(二)个人建议

针对医院设备网、视频监控网、电子政务网以及各类专网,建议根据网络实际管理模式考虑是否进行物理隔离,如某医院视频监控网由保卫部门自行管理,可以考虑进行物理隔离的独立组网。

医院内网、外网通常又可划分为数据中心网、园区网,部分医院还建有独立的核心网。建议对数据中心网进行内外网的物理隔离,核心网的内外网根据医院实际需要决定隔离方式,园区网则无需过分强调物理隔离。

作者简介 PROFILE

王磊

山东大学齐鲁医院党委宣传统战部副部长

王磊,CHIMA委员,山东大学齐鲁医院党委宣传统战部副部长,绿色全光网络技术联盟高级专家,信息系统项目管理师,信息安全工程师,数据库工程师,数据中心规划设计工程师,(ISC)?注册信息系统安全专家,BSI信息安全管理体系(ISO 27001) 内审员。兼任山东省健康管理协会医院信息化分会副主任委员,中国人体健康科技促进会医院信息化管理专业委员会常务委员,山东电子学会人工智能与网络安全专业技术委员会常务委员,山东省研究型医院协会信息化与互联网医疗分会常务委员,山东省医学会互联网+医疗健康分会第一届委员会青年学组副组长。

转载请注明出处:HC3i数字医疗
【责任编辑:Rainbow TEL:(010)68476606】

标签:网络建设  
  • 分享到: