寫(xiě)在前面的話(huà)

　　本文是筆者個(gè)人不成熟的一點(diǎn)見(jiàn)解，受限于學(xué)識(shí)、能力，內(nèi)容難免錯(cuò)漏，觀點(diǎn)難免偏頗，歡迎讀者朋友們批評(píng)指正。

　　相關(guān)鏈接：王磊：醫(yī)院必須建設(shè)物理隔離的網(wǎng)絡(luò)嗎?(上)

　　(五)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)

　　近年來(lái)，醫(yī)院對(duì)網(wǎng)絡(luò)安全工作越來(lái)越重視，醫(yī)院核心信息系統(tǒng)每年進(jìn)行等級(jí)保護(hù)測(cè)評(píng)成為常態(tài)，以第三級(jí)保護(hù)為例，其中與網(wǎng)絡(luò)規(guī)劃相關(guān)的要求有——

　　應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿(mǎn)足業(yè)務(wù)高峰期需要;

　　應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要;

　　應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;

　　應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段;

　　應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性;

　　應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò);

　　應(yīng)保證有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間的訪問(wèn)和數(shù)據(jù)流通過(guò)無(wú)線接入網(wǎng)關(guān)設(shè)備;

　　工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段;

　　工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段;

　　涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

　　三級(jí)等保測(cè)評(píng)明確要求“重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段”、“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段”、“涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離”;同樣，在二級(jí)等保測(cè)評(píng)要求中也有類(lèi)似的表述。可見(jiàn)，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域并未要求必須進(jìn)行物理隔離，但是涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，必須獨(dú)立組網(wǎng)并與其他數(shù)據(jù)網(wǎng)進(jìn)行物理隔離。

　　(六)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求(報(bào)批稿)》

　　該要求與網(wǎng)絡(luò)規(guī)劃相關(guān)的內(nèi)容有——

　　互聯(lián)安全部分運(yùn)營(yíng)者應(yīng)：

　　1.建立或完善不同等級(jí)系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域之間的安全互聯(lián)策略;

　　2.保持相同的用戶(hù)其用戶(hù)身份、安全標(biāo)記、訪問(wèn)控制策略等在不同等級(jí)系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域中的一致性。例如，可以使用統(tǒng)一身份與授權(quán)管理系統(tǒng)/平臺(tái);

　　3.對(duì)不同局域網(wǎng)之間遠(yuǎn)程通信時(shí)采取安全防護(hù)措施，例如在通信前基于密碼技術(shù)對(duì)通信的雙方進(jìn)行驗(yàn)證或認(rèn)證。

　　邊界防護(hù)部分運(yùn)營(yíng)者應(yīng)：

　　1.對(duì)不同網(wǎng)絡(luò)安全等級(jí)系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域之間的互操作、數(shù)據(jù)交換和信息流向進(jìn)行嚴(yán)格控制。例如：采取措施限制數(shù)據(jù)從高網(wǎng)絡(luò)安全等級(jí)系統(tǒng)流向低網(wǎng)絡(luò)安全等級(jí)系統(tǒng);

　　2.應(yīng)對(duì)未授權(quán)設(shè)備進(jìn)行動(dòng)態(tài)檢測(cè)及管控，只允許通過(guò)運(yùn)營(yíng)者自身授權(quán)和安全評(píng)估的軟硬件運(yùn)行。

　　安全審計(jì)部分運(yùn)營(yíng)者應(yīng)：

　　加強(qiáng)網(wǎng)絡(luò)審計(jì)措施，監(jiān)測(cè)、記錄系統(tǒng)運(yùn)行狀態(tài)、日常操作、故障維護(hù)、遠(yuǎn)程運(yùn)維等，留存相關(guān)日志數(shù)據(jù)不少于12個(gè)月。

　　該國(guó)標(biāo)報(bào)批稿對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)提出了更高的要求，但是并未要求必須進(jìn)行物理隔離。關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的國(guó)家標(biāo)準(zhǔn)將會(huì)陸續(xù)發(fā)布，建議持續(xù)關(guān)注。

　　(七)《三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)》(2020年版)

　　2020年版的三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)并未涉及網(wǎng)絡(luò)規(guī)劃的具體內(nèi)容，主要強(qiáng)調(diào)了醫(yī)院要實(shí)施國(guó)家信息安全等級(jí)保護(hù)制度，實(shí)行信息系統(tǒng)按等級(jí)保護(hù)分級(jí)管理，保障網(wǎng)絡(luò)信息安全，保護(hù)患者隱私。推動(dòng)系統(tǒng)運(yùn)行維護(hù)的規(guī)范化管理，落實(shí)突發(fā)事件響應(yīng)機(jī)制，保證業(yè)務(wù)的連續(xù)性。

　　(八)《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》

　　該標(biāo)準(zhǔn)與規(guī)范要求醫(yī)院“參照?qǐng)?zhí)行”，且僅對(duì)醫(yī)院采用的網(wǎng)絡(luò)設(shè)備及網(wǎng)閘的功能、性能提出要求，未對(duì)醫(yī)院網(wǎng)絡(luò)規(guī)劃做出明確規(guī)定。

　　(九)《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)方案》

　　醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)指標(biāo)體系中的“4.1.3 網(wǎng)絡(luò)設(shè)備”、“4.2.1 網(wǎng)絡(luò)帶寬情況”、“4.2.2 接入域建設(shè)”、“4.2.3 網(wǎng)絡(luò)安全”等條款涉及網(wǎng)絡(luò)規(guī)劃，相關(guān)要求有——

　　醫(yī)院數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備包括三層交換機(jī)、二層交換機(jī)、VPN 網(wǎng)關(guān)、路由器、防火墻、IDS/IPS 、其它設(shè)備中的五種及以上(三級(jí)要求);

　　網(wǎng)絡(luò)設(shè)備應(yīng)支持設(shè)備級(jí)的冗余備份，支持鏈路級(jí)的冗余備份(三級(jí)要求);

　　網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的 SNMP 協(xié)議并具有可管理性(四級(jí)乙等要求);

　　醫(yī)院數(shù)據(jù)中心的無(wú)線網(wǎng)絡(luò)設(shè)備包括、無(wú)線網(wǎng)絡(luò)控制器、無(wú)線終端設(shè)備 、無(wú)線認(rèn)證和安全保障機(jī)制、其他設(shè)備中的兩種及以上(四級(jí)甲等要求);

　　無(wú)線網(wǎng)絡(luò)具有物聯(lián)網(wǎng)與 5G 部署接入能力(五級(jí)甲等要求);

　　醫(yī)院網(wǎng)絡(luò)在物理上采用有線接入域(三級(jí)要求);

　　醫(yī)院網(wǎng)絡(luò)在物理上采用無(wú)線接入域，能夠保證隨時(shí)隨地的無(wú)線業(yè)務(wù)終端的接入，實(shí)現(xiàn)核心臨床醫(yī)療業(yè)務(wù)環(huán)境的全覆蓋四級(jí)甲等要求)、醫(yī)療業(yè)務(wù)和管理業(yè)務(wù)環(huán)境的全覆蓋(五級(jí)乙等要求)、多種類(lèi)型的無(wú)線接入院區(qū)全覆蓋(五級(jí)甲等要求);

　　內(nèi)、外網(wǎng)之間采用網(wǎng)絡(luò)安全設(shè)備進(jìn)行隔離(三級(jí)要求);

　　終端與服務(wù)器不處于相同的廣播域(三級(jí)要求);

　　重要網(wǎng)段和其它網(wǎng)段之間有隔離措施(三級(jí)要求)。

　　該測(cè)評(píng)指標(biāo)體系中雖然要求內(nèi)、外網(wǎng)之間采用網(wǎng)絡(luò)安全設(shè)備進(jìn)行隔離，但是并未要求必須進(jìn)行物理隔離。

　　(十)《電子病歷系統(tǒng)應(yīng)用水平分級(jí)評(píng)價(jià)標(biāo)準(zhǔn)(試行)》

　　電子病歷系統(tǒng)應(yīng)用水平分級(jí)評(píng)分標(biāo)準(zhǔn)中“電子病歷基礎(chǔ)-基礎(chǔ)設(shè)施與安全管控”條款涉及網(wǎng)絡(luò)規(guī)劃，相關(guān)要求有——

　　具有部門(mén)級(jí)的局域網(wǎng)(二級(jí)要求);

　　有放置服務(wù)器的專(zhuān)用房間、醫(yī)院內(nèi)部有局域網(wǎng)，部門(mén)間網(wǎng)絡(luò)互相聯(lián)通(三級(jí)要求);

　　具備獨(dú)立的信息機(jī)房、局域網(wǎng)全院聯(lián)通、服務(wù)器部署在獨(dú)立的安全保護(hù)區(qū)域(四級(jí)要求);

　　根據(jù)不同業(yè)務(wù)劃分獨(dú)立的網(wǎng)絡(luò)區(qū)域(五級(jí)要求);

　　全院重點(diǎn)區(qū)域應(yīng)覆蓋無(wú)線局域網(wǎng)、部分醫(yī)療設(shè)備接入院內(nèi)局域網(wǎng)(五級(jí)要求);

　　關(guān)鍵網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路采用冗余設(shè)計(jì)(六級(jí)要求);

　　支持智能醫(yī)療儀器等物聯(lián)網(wǎng)設(shè)備安全地接入院內(nèi)局域網(wǎng)(六級(jí)要求);

　　具備防止非授權(quán)客戶(hù)端隨意接入網(wǎng)絡(luò)的能力，并且可有效控制內(nèi)網(wǎng)客戶(hù)端非法外聯(lián)(六級(jí)要求);

　　醫(yī)院核心機(jī)房符合《數(shù)據(jù)中心設(shè)計(jì)規(guī)范》GB50174-2017中B級(jí)機(jī)房要求，院內(nèi)局域網(wǎng)布線符合《綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》GB50311的有關(guān)規(guī)定(七級(jí)要求);

　　實(shí)現(xiàn)院內(nèi)局域網(wǎng)與區(qū)域健康網(wǎng)絡(luò)的連接并有安全防護(hù)(八級(jí)要求);

　　與互聯(lián)網(wǎng)環(huán)境的系統(tǒng)傳輸數(shù)據(jù)時(shí)有安全傳輸通道(八級(jí)要求);

　　涉及互聯(lián)網(wǎng)業(yè)務(wù)的信息系統(tǒng)，數(shù)據(jù)庫(kù)服務(wù)器不可直接暴露在互聯(lián)網(wǎng)環(huán)境中(八級(jí)要求)。

　　該評(píng)分標(biāo)準(zhǔn)要求醫(yī)院根據(jù)不同業(yè)務(wù)劃分獨(dú)立的網(wǎng)絡(luò)區(qū)域，但是并未要求必須進(jìn)行物理隔離。

　　(十一)《醫(yī)院智慧服務(wù)分級(jí)評(píng)估標(biāo)準(zhǔn)體系(試行)》

　　醫(yī)院智慧服務(wù)分級(jí)評(píng)估具體要求中的“基礎(chǔ)與安全”條款與網(wǎng)絡(luò)規(guī)劃相關(guān)的要求有——

　　院內(nèi)網(wǎng)絡(luò)聯(lián)通，服務(wù)器部署于獨(dú)立的安全域，具備網(wǎng)絡(luò)防控能力(一級(jí)要求);

　　院內(nèi)網(wǎng)絡(luò)聯(lián)通(二級(jí)要求);

　　數(shù)據(jù)庫(kù)放置于獨(dú)立的安全域，不直接暴露在互聯(lián)網(wǎng)環(huán)境(三級(jí)要求)。

　　該評(píng)估具體要求中強(qiáng)調(diào)了獨(dú)立的安全域，但是并未要求必須進(jìn)行物理隔離。

　　(十二)《醫(yī)院智慧管理分級(jí)評(píng)估標(biāo)準(zhǔn)體系(試行)》

　　醫(yī)院智慧管理分級(jí)評(píng)估具體要求“基礎(chǔ)與安全”中與網(wǎng)絡(luò)規(guī)劃相關(guān)的要求有——

　　醫(yī)院內(nèi)部有局域網(wǎng)，部門(mén)間網(wǎng)絡(luò)互相聯(lián)通(一級(jí)要求);

　　具有獨(dú)立的信息機(jī)房，主要服務(wù)器、存儲(chǔ)等設(shè)備集中部署在信息機(jī)房(二級(jí)要求);

　　重要管理信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路采用冗余設(shè)計(jì)(三級(jí)要求);

　　實(shí)現(xiàn)實(shí)名制上網(wǎng)管理、能夠?qū)徲?jì)客戶(hù)端的上網(wǎng)行為(三級(jí)要求)。

　　該評(píng)估具體要求中并未要求必須進(jìn)行物理隔離。

四總結(jié)與建議

　　(一)總結(jié)

　　縱覽上述依據(jù)和遵循，“醫(yī)院必須建設(shè)物理隔離的網(wǎng)絡(luò)嗎”這個(gè)問(wèn)題的答案似乎已經(jīng)明確了：

　　醫(yī)院建有涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(或網(wǎng)絡(luò))的，必須建設(shè)物理隔離的網(wǎng)絡(luò);

　　醫(yī)院建有涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)且相關(guān)系統(tǒng)需要通過(guò)二級(jí)、三級(jí)等保的，必須建設(shè)物理隔離的網(wǎng)絡(luò);

　　醫(yī)院建有關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)遵循正式發(fā)布的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)系列國(guó)標(biāo)要求;

　　其他情況醫(yī)院是否建設(shè)物理隔離的網(wǎng)絡(luò)可以自主決定。

　　(二)個(gè)人建議

　　針對(duì)醫(yī)院設(shè)備網(wǎng)、視頻監(jiān)控網(wǎng)、電子政務(wù)網(wǎng)以及各類(lèi)專(zhuān)網(wǎng)，建議根據(jù)網(wǎng)絡(luò)實(shí)際管理模式考慮是否進(jìn)行物理隔離，如某醫(yī)院視頻監(jiān)控網(wǎng)由保衛(wèi)部門(mén)自行管理，可以考慮進(jìn)行物理隔離的獨(dú)立組網(wǎng)。

　　醫(yī)院內(nèi)網(wǎng)、外網(wǎng)通常又可劃分為數(shù)據(jù)中心網(wǎng)、園區(qū)網(wǎng)，部分醫(yī)院還建有獨(dú)立的核心網(wǎng)。建議對(duì)數(shù)據(jù)中心網(wǎng)進(jìn)行內(nèi)外網(wǎng)的物理隔離，核心網(wǎng)的內(nèi)外網(wǎng)根據(jù)醫(yī)院實(shí)際需要決定隔離方式，園區(qū)網(wǎng)則無(wú)需過(guò)分強(qiáng)調(diào)物理隔離。

　　作者簡(jiǎn)介

　　王磊，CHIMA委員，山東大學(xué)齊魯醫(yī)院黨委宣傳統(tǒng)戰(zhàn)部副部長(zhǎng)，綠色全光網(wǎng)絡(luò)技術(shù)聯(lián)盟高級(jí)專(zhuān)家，信息系統(tǒng)項(xiàng)目管理師，信息安全工程師，數(shù)據(jù)庫(kù)工程師，數(shù)據(jù)中心規(guī)劃設(shè)計(jì)工程師，(ISC)2注冊(cè)信息系統(tǒng)安全專(zhuān)家，BSI信息安全管理體系(ISO 27001) 內(nèi)審員。兼任山東省健康管理協(xié)會(huì)醫(yī)院信息化分會(huì)副主任委員，中國(guó)人體健康科技促進(jìn)會(huì)醫(yī)院信息化管理專(zhuān)業(yè)委員會(huì)常務(wù)委員，山東電子學(xué)會(huì)人工智能與網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)委員會(huì)常務(wù)委員，山東省研究型醫(yī)院協(xié)會(huì)信息化與互聯(lián)網(wǎng)醫(yī)療分會(huì)常務(wù)委員，山東省醫(yī)學(xué)會(huì)互聯(lián)網(wǎng)+醫(yī)療健康分會(huì)第一屆委員會(huì)青年學(xué)組副組長(zhǎng)。