首 頁王磊:醫院必須建設物理隔離的網絡嗎?(下)
寫在前面的話
本文是筆者個人不成熟的一點見解,受限于學識、能力,內容難免錯漏,觀點難免偏頗,歡迎讀者朋友們批評指正。
(五)《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)
近年來,醫院對網絡安全工作越來越重視,醫院核心信息系統每年進行等級保護測評成為常態,以第三級保護為例,其中與網絡規劃相關的要求有——
應保證網絡設備的業務處理能力滿足業務高峰期需要;
應保證網絡各個部分的帶寬滿足業務高峰期需要;
應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;
應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段;
應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余,保證系統的可用性;
應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡;
應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備;
工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用單向的技術隔離手段;
工業控制系統內部應根據業務特點劃分為不同的安全域,安全域之間應采用技術隔離手段;
涉及實時控制和數據傳輸的工業控制系統,應使用獨立的網絡設備組網,在物理層面上實現與其他數據網及外部公共信息網的安全隔離。
三級等保測評明確要求“重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段”、“工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用單向的技術隔離手段”、“涉及實時控制和數據傳輸的工業控制系統,應使用獨立的網絡設備組網,在物理層面上實現與其他數據網及外部公共信息網的安全隔離”;同樣,在二級等保測評要求中也有類似的表述。可見,重要網絡區域與其他網絡區域并未要求必須進行物理隔離,但是涉及實時控制和數據傳輸的工業控制系統,必須獨立組網并與其他數據網進行物理隔離。
(六)《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求(報批稿)》
該要求與網絡規劃相關的內容有——
互聯安全部分運營者應:
1.建立或完善不同等級系統、不同業務系統、不同區域之間的安全互聯策略;
2.保持相同的用戶其用戶身份、安全標記、訪問控制策略等在不同等級系統、不同業務系統、不同區域中的一致性。例如,可以使用統一身份與授權管理系統/平臺;
3.對不同局域網之間遠程通信時采取安全防護措施,例如在通信前基于密碼技術對通信的雙方進行驗證或認證。
邊界防護部分運營者應:
1.對不同網絡安全等級系統、不同業務系統、不同區域之間的互操作、數據交換和信息流向進行嚴格控制。例如:采取措施限制數據從高網絡安全等級系統流向低網絡安全等級系統;
2.應對未授權設備進行動態檢測及管控,只允許通過運營者自身授權和安全評估的軟硬件運行。
安全審計部分運營者應:
加強網絡審計措施,監測、記錄系統運行狀態、日常操作、故障維護、遠程運維等,留存相關日志數據不少于12個月。
該國標報批稿對關鍵信息基礎設施網絡安全保護提出了更高的要求,但是并未要求必須進行物理隔離。關鍵信息基礎設施相關的國家標準將會陸續發布,建議持續關注。
(七)《三級醫院評審標準》(2020年版)
2020年版的三級醫院評審標準并未涉及網絡規劃的具體內容,主要強調了醫院要實施國家信息安全等級保護制度,實行信息系統按等級保護分級管理,保障網絡信息安全,保護患者隱私。推動系統運行維護的規范化管理,落實突發事件響應機制,保證業務的連續性。
(八)《全國醫院信息化建設標準與規范(試行)》
該標準與規范要求醫院“參照執行”,且僅對醫院采用的網絡設備及網閘的功能、性能提出要求,未對醫院網絡規劃做出明確規定。
(九)《醫院信息互聯互通標準化成熟度測評方案》
醫院信息互聯互通標準化成熟度測評指標體系中的“4.1.3 網絡設備”、“4.2.1 網絡帶寬情況”、“4.2.2 接入域建設”、“4.2.3 網絡安全”等條款涉及網絡規劃,相關要求有——
醫院數據中心的網絡設備包括三層交換機、二層交換機、VPN 網關、路由器、防火墻、IDS/IPS 、其它設備中的五種及以上(三級要求);
網絡設備應支持設備級的冗余備份,支持鏈路級的冗余備份(三級要求);
網絡設備支持標準的 SNMP 協議并具有可管理性(四級乙等要求);
醫院數據中心的無線網絡設備包括、無線網絡控制器、無線終端設備 、無線認證和安全保障機制、其他設備中的兩種及以上(四級甲等要求);
無線網絡具有物聯網與 5G 部署接入能力(五級甲等要求);
醫院網絡在物理上采用有線接入域(三級要求);
醫院網絡在物理上采用無線接入域,能夠保證隨時隨地的無線業務終端的接入,實現核心臨床醫療業務環境的全覆蓋四級甲等要求)、醫療業務和管理業務環境的全覆蓋(五級乙等要求)、多種類型的無線接入院區全覆蓋(五級甲等要求);
內、外網之間采用網絡安全設備進行隔離(三級要求);
終端與服務器不處于相同的廣播域(三級要求);
重要網段和其它網段之間有隔離措施(三級要求)。
該測評指標體系中雖然要求內、外網之間采用網絡安全設備進行隔離,但是并未要求必須進行物理隔離。
(十)《電子病歷系統應用水平分級評價標準(試行)》
電子病歷系統應用水平分級評分標準中“電子病歷基礎-基礎設施與安全管控”條款涉及網絡規劃,相關要求有——
具有部門級的局域網(二級要求);
有放置服務器的專用房間、醫院內部有局域網,部門間網絡互相聯通(三級要求);
具備獨立的信息機房、局域網全院聯通、服務器部署在獨立的安全保護區域(四級要求);
根據不同業務劃分獨立的網絡區域(五級要求);
全院重點區域應覆蓋無線局域網、部分醫療設備接入院內局域網(五級要求);
關鍵網絡設備、網絡鏈路采用冗余設計(六級要求);
支持智能醫療儀器等物聯網設備安全地接入院內局域網(六級要求);
具備防止非授權客戶端隨意接入網絡的能力,并且可有效控制內網客戶端非法外聯(六級要求);
醫院核心機房符合《數據中心設計規范》GB50174-2017中B級機房要求,院內局域網布線符合《綜合布線系統工程設計規范》GB50311的有關規定(七級要求);
實現院內局域網與區域健康網絡的連接并有安全防護(八級要求);
與互聯網環境的系統傳輸數據時有安全傳輸通道(八級要求);
涉及互聯網業務的信息系統,數據庫服務器不可直接暴露在互聯網環境中(八級要求)。
該評分標準要求醫院根據不同業務劃分獨立的網絡區域,但是并未要求必須進行物理隔離。
(十一)《醫院智慧服務分級評估標準體系(試行)》
醫院智慧服務分級評估具體要求中的“基礎與安全”條款與網絡規劃相關的要求有——
院內網絡聯通,服務器部署于獨立的安全域,具備網絡防控能力(一級要求);
院內網絡聯通(二級要求);
數據庫放置于獨立的安全域,不直接暴露在互聯網環境(三級要求)。
該評估具體要求中強調了獨立的安全域,但是并未要求必須進行物理隔離。
(十二)《醫院智慧管理分級評估標準體系(試行)》
醫院智慧管理分級評估具體要求“基礎與安全”中與網絡規劃相關的要求有——
醫院內部有局域網,部門間網絡互相聯通(一級要求);
具有獨立的信息機房,主要服務器、存儲等設備集中部署在信息機房(二級要求);
重要管理信息系統的關鍵網絡設備、網絡鏈路采用冗余設計(三級要求);
實現實名制上網管理、能夠審計客戶端的上網行為(三級要求)。
該評估具體要求中并未要求必須進行物理隔離。
四總結與建議
(一)總結
縱覽上述依據和遵循,“醫院必須建設物理隔離的網絡嗎”這個問題的答案似乎已經明確了:
醫院建有涉及國家秘密的計算機信息系統(或網絡)的,必須建設物理隔離的網絡;
醫院建有涉及實時控制和數據傳輸的工業控制系統且相關系統需要通過二級、三級等保的,必須建設物理隔離的網絡;
醫院建有關鍵信息基礎設施的,應遵循正式發布的關鍵信息基礎設施網絡安全保護系列國標要求;
其他情況醫院是否建設物理隔離的網絡可以自主決定。
(二)個人建議
針對醫院設備網、視頻監控網、電子政務網以及各類專網,建議根據網絡實際管理模式考慮是否進行物理隔離,如某醫院視頻監控網由保衛部門自行管理,可以考慮進行物理隔離的獨立組網。
醫院內網、外網通常又可劃分為數據中心網、園區網,部分醫院還建有獨立的核心網。建議對數據中心網進行內外網的物理隔離,核心網的內外網根據醫院實際需要決定隔離方式,園區網則無需過分強調物理隔離。
作者簡介
王磊,CHIMA委員,山東大學齊魯醫院黨委宣傳統戰部副部長,綠色全光網絡技術聯盟高級專家,信息系統項目管理師,信息安全工程師,數據庫工程師,數據中心規劃設計工程師,(ISC)2注冊信息系統安全專家,BSI信息安全管理體系(ISO 27001) 內審員。兼任山東省健康管理協會醫院信息化分會副主任委員,中國人體健康科技促進會醫院信息化管理專業委員會常務委員,山東電子學會人工智能與網絡安全專業技術委員會常務委員,山東省研究型醫院協會信息化與互聯網醫療分會常務委員,山東省醫學會互聯網+醫療健康分會第一屆委員會青年學組副組長。
