首 页王磊:医院必须建设物理隔离的网络吗?(下)
写在前面的话
本文是笔者个人不成熟的一点见解,受限于学识、能力,内容难免错漏,观点难免偏颇,欢迎读者朋友们批评指正。
(五)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
近年来,医院对网络安全工作越来越重视,医院核心信息系统每年进行等级保护测评成为常态,以第三级保护为例,其中与网络规划相关的要求有——
应保证网络设备的业务处理能力满足业务高峰期需要;
应保证网络各个部分的带宽满足业务高峰期需要;
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络;
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备;
工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。
三级等保测评明确要求“重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”、“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”、“涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离”;同样,在二级等保测评要求中也有类似的表述。可见,重要网络区域与其他网络区域并未要求必须进行物理隔离,但是涉及实时控制和数据传输的工业控制系统,必须独立组网并与其他数据网进行物理隔离。
(六)《信息安全技术 关键信息基础设施网络安全保护基本要求(报批稿)》
该要求与网络规划相关的内容有——
互联安全部分运营者应:
1.建立或完善不同等级系统、不同业务系统、不同区域之间的安全互联策略;
2.保持相同的用户其用户身份、安全标记、访问控制策略等在不同等级系统、不同业务系统、不同区域中的一致性。例如,可以使用统一身份与授权管理系统/平台;
3.对不同局域网之间远程通信时采取安全防护措施,例如在通信前基于密码技术对通信的双方进行验证或认证。
边界防护部分运营者应:
1.对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流向进行严格控制。例如:采取措施限制数据从高网络安全等级系统流向低网络安全等级系统;
2.应对未授权设备进行动态检测及管控,只允许通过运营者自身授权和安全评估的软硬件运行。
安全审计部分运营者应:
加强网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月。
该国标报批稿对关键信息基础设施网络安全保护提出了更高的要求,但是并未要求必须进行物理隔离。关键信息基础设施相关的国家标准将会陆续发布,建议持续关注。
(七)《三级医院评审标准》(2020年版)
2020年版的三级医院评审标准并未涉及网络规划的具体内容,主要强调了医院要实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。
(八)《全国医院信息化建设标准与规范(试行)》
该标准与规范要求医院“参照执行”,且仅对医院采用的网络设备及网闸的功能、性能提出要求,未对医院网络规划做出明确规定。
(九)《医院信息互联互通标准化成熟度测评方案》
医院信息互联互通标准化成熟度测评指标体系中的“4.1.3 网络设备”、“4.2.1 网络带宽情况”、“4.2.2 接入域建设”、“4.2.3 网络安全”等条款涉及网络规划,相关要求有——
医院数据中心的网络设备包括三层交换机、二层交换机、VPN 网关、路由器、防火墙、IDS/IPS 、其它设备中的五种及以上(三级要求);
网络设备应支持设备级的冗余备份,支持链路级的冗余备份(三级要求);
网络设备支持标准的 SNMP 协议并具有可管理性(四级乙等要求);
医院数据中心的无线网络设备包括、无线网络控制器、无线终端设备 、无线认证和安全保障机制、其他设备中的两种及以上(四级甲等要求);
无线网络具有物联网与 5G 部署接入能力(五级甲等要求);
医院网络在物理上采用有线接入域(三级要求);
医院网络在物理上采用无线接入域,能够保证随时随地的无线业务终端的接入,实现核心临床医疗业务环境的全覆盖四级甲等要求)、医疗业务和管理业务环境的全覆盖(五级乙等要求)、多种类型的无线接入院区全覆盖(五级甲等要求);
内、外网之间采用网络安全设备进行隔离(三级要求);
终端与服务器不处于相同的广播域(三级要求);
重要网段和其它网段之间有隔离措施(三级要求)。
该测评指标体系中虽然要求内、外网之间采用网络安全设备进行隔离,但是并未要求必须进行物理隔离。
(十)《电子病历系统应用水平分级评价标准(试行)》
电子病历系统应用水平分级评分标准中“电子病历基础-基础设施与安全管控”条款涉及网络规划,相关要求有——
具有部门级的局域网(二级要求);
有放置服务器的专用房间、医院内部有局域网,部门间网络互相联通(三级要求);
具备独立的信息机房、局域网全院联通、服务器部署在独立的安全保护区域(四级要求);
根据不同业务划分独立的网络区域(五级要求);
全院重点区域应覆盖无线局域网、部分医疗设备接入院内局域网(五级要求);
关键网络设备、网络链路采用冗余设计(六级要求);
支持智能医疗仪器等物联网设备安全地接入院内局域网(六级要求);
具备防止非授权客户端随意接入网络的能力,并且可有效控制内网客户端非法外联(六级要求);
医院核心机房符合《数据中心设计规范》GB50174-2017中B级机房要求,院内局域网布线符合《综合布线系统工程设计规范》GB50311的有关规定(七级要求);
实现院内局域网与区域健康网络的连接并有安全防护(八级要求);
与互联网环境的系统传输数据时有安全传输通道(八级要求);
涉及互联网业务的信息系统,数据库服务器不可直接暴露在互联网环境中(八级要求)。
该评分标准要求医院根据不同业务划分独立的网络区域,但是并未要求必须进行物理隔离。
(十一)《医院智慧服务分级评估标准体系(试行)》
医院智慧服务分级评估具体要求中的“基础与安全”条款与网络规划相关的要求有——
院内网络联通,服务器部署于独立的安全域,具备网络防控能力(一级要求);
院内网络联通(二级要求);
数据库放置于独立的安全域,不直接暴露在互联网环境(三级要求)。
该评估具体要求中强调了独立的安全域,但是并未要求必须进行物理隔离。
(十二)《医院智慧管理分级评估标准体系(试行)》
医院智慧管理分级评估具体要求“基础与安全”中与网络规划相关的要求有——
医院内部有局域网,部门间网络互相联通(一级要求);
具有独立的信息机房,主要服务器、存储等设备集中部署在信息机房(二级要求);
重要管理信息系统的关键网络设备、网络链路采用冗余设计(三级要求);
实现实名制上网管理、能够审计客户端的上网行为(三级要求)。
该评估具体要求中并未要求必须进行物理隔离。
四总结与建议
(一)总结
纵览上述依据和遵循,“医院必须建设物理隔离的网络吗”这个问题的答案似乎已经明确了:
医院建有涉及国家秘密的计算机信息系统(或网络)的,必须建设物理隔离的网络;
医院建有涉及实时控制和数据传输的工业控制系统且相关系统需要通过二级、三级等保的,必须建设物理隔离的网络;
医院建有关键信息基础设施的,应遵循正式发布的关键信息基础设施网络安全保护系列国标要求;
其他情况医院是否建设物理隔离的网络可以自主决定。
(二)个人建议
针对医院设备网、视频监控网、电子政务网以及各类专网,建议根据网络实际管理模式考虑是否进行物理隔离,如某医院视频监控网由保卫部门自行管理,可以考虑进行物理隔离的独立组网。
医院内网、外网通常又可划分为数据中心网、园区网,部分医院还建有独立的核心网。建议对数据中心网进行内外网的物理隔离,核心网的内外网根据医院实际需要决定隔离方式,园区网则无需过分强调物理隔离。
作者简介
王磊,CHIMA委员,山东大学齐鲁医院党委宣传统战部副部长,绿色全光网络技术联盟高级专家,信息系统项目管理师,信息安全工程师,数据库工程师,数据中心规划设计工程师,(ISC)²注册信息系统安全专家,BSI信息安全管理体系(ISO 27001) 内审员。兼任山东省健康管理协会医院信息化分会副主任委员,中国人体健康科技促进会医院信息化管理专业委员会常务委员,山东电子学会人工智能与网络安全专业技术委员会常务委员,山东省研究型医院协会信息化与互联网医疗分会常务委员,山东省医学会互联网+医疗健康分会第一届委员会青年学组副组长。
