王磊：医院必须建设物理隔离的网络吗？（上）

一、问题的提出

　　2021年，《国务院办公厅关于推动公立医院高质量发展的意见》明确提出“强化信息化支撑作用”。随后，国家卫生健康委开展“公立医院高质量发展促进行动(2021-2025年)”并进一步明确“将信息化作为医院基本建设的优先领域”。在此背景下，全国智慧医院建设进一步提速。

　　作为智慧医院的数字化底座，医院网络的重要性不言而喻，越来越多的医院开始考虑进行下一代网络建设，围绕传统以太网络、无源光网络、以太全光网络等网络规划方案的讨论也越来越热烈。然而，有一个问题一直困扰着众多医院信息化工作者——医院必须建设物理隔离的网络吗?为了回答这个问题，笔者搜集了一些资料，不妨一起来探讨一下。

二、何为物理隔离

　　(一)物理隔离的定义

　　物理隔离是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。

　　(二)物理隔离的意义

　　物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

　　(三)物理隔离的功能

　　1.阻断网络的直接连接，即没有两个网络同时连在隔离设备上。

　　2.阻断网络的互联网逻辑连接，即TCP/IP的协议必须被剥离，将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递。

　　3.隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性。

　　4.任何数据都是通过两级移动代理的方式来完成交互，两级移动代理之间是物理隔离的。

　　5.隔离设备具有审查的功能。

　　6.隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性。

　　(四)物理隔离的保密技术要求

　　1.在物理传导上使内外网隔离，确保外部网络不能通过网络连接而入侵内部网络，同时防止内部网络的信息通过网络连接泄露到外部网络。

　　2.计算机屏幕上应有当前处于内网还是外网的明显标识。

　　3.内外网络的接口处应有明确的标识。

　　4.内外网络切换时应重新启动计算机，以清除内存、处理器等暂存部件残余信息，防止秘密信息串到外网上。

　　5.移动存储介质未从计算机取出时，不能进行内外网络切换。

　　6.防止内部网络信息通过电磁辐射泄露到外部网络上。

三、医院网络规划的依据和遵循

　　(一)《民用建筑电气设计标准》(GB51348-2019)

　　医院建筑是典型的民用建筑，应该符合《民用建筑电气设计标准》，该标准与网络规划相关的要求有——

　　局域网的拓扑结构，应符合下列规定：

　　1.局域网宜采用星形拓扑结构;

　　2.在有高可靠性要求的网段应采用双链路环网或网状结构冗余链路等混合结构。

　　根据网络应用需求，一个建筑物内可设计一个或多个局域网;多个建筑物也可逻辑划分为一个局域网。

　　每个局域网宜按核心层、 汇聚层和接入层三层结构设计。结构层数可依据用户需求、 物理条件及经济条件情况相应减少， 宜按核心层和接入层的两层结构设计。

　　网络核心层设计应具有高可靠性和高可扩展性。带宽及性能宜适度超前， 网络的安全控制设备和全网管理策略应在核心层设置。

　　核心层设备应具有数据交换、 网络调度、 协议转换和设备监控等功能， 并应具有为汇聚层、 接入层提供优化的网络数据传输能力。

　　根据需要，网络的核心层应设置1台及以上的高性能交换机。当核心层采用多台交换机时， 宜将多台交换机组合成一个逻辑核心单元。

　　逻辑核心单元宜以协同工作方式组成高性能核心， 也可以以物理设备的主从后备工作模式组成冗余式核心单元。

　　汇聚层应具有网络延展和网络逻辑划分功能。并应具有地址汇聚、广播域/多目传输域设置、 VLAN路由设置、 介质转换和安全控制等功能。

　　接入层应为网络终端提供访问途径， 应具有网络带宽共享、 交换带宽、 MAC地址过滤、 网段划分等功能。

　　接入层设备应满足网络终端多样性的要求。宜采用能提供接高密度接入端口和支持VLAN技术的有线网络交换设备，以及无线接入点(无线AP)。

　　有线接入层设备之间，宜采用堆叠技术连接，也可以采用级联技术连接。

　　该标准是针对所有民用建筑的国家标准，并未涉及医院网络是否需要物理隔离的内容，但是标准中的相关要求医院网络规划设计者应该遵循。

　　(二)《综合医院建筑设计规范》(GB51039-2014)

　　《综合医院建筑设计规范》中与网络规划相关的要求有——

　　应根据信息重要级别及安全程度，分别设置供医院内部使用的专用网和公用信息传输的互联网。

　　应采用以太网交换技术和相应的网络结构。

　　应配置核心交换机和接入交换机。可根据信息点分布和规模，增设汇聚层交换机。

　　医院内部使用的专用网宜采用网络的冗余配置。

　　该规范明确要求“应根据信息重要级别及安全程度，分别设置供医院内部使用的专用网和公用信息传输的互联网”，但是并未规定二者的隔离方式。

　　(三)《医疗建筑电气设计规范》(JGJ312-2013)

　　《医疗建筑电气设计规范》是经国家住房和城乡建设部批准的行业标准，其中与网络规划相关的要求有——

　　一级及以上医院应设置计算机网络系统，并应符合下列规定：

　　1.计算机网络设备应设置在专用的设备间内，并应满足设备工作环境要求;

　　2.医疗建筑的计算机网络系统宜设置内网和外网，并宜分别设置交换机和服务器;

　　3.三级医院核心交换机应采用1+1冗余设置，二级及以下医院核心交换机宜采用1+1冗余设置。

　　该规范明确要求“医疗建筑的计算机网络系统宜设置内网和外网，并宜分别设置交换机和服务器”。可以理解为内外网之间最好进行物理隔离。因为该规范仅为行业标准且在条文中使用了“宜”字，并未要求内外网之间必须进行物理隔离。

　　(四)保密相关的规定

　　中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》强调——

　　涉密计算机信息系统必须同互联网实行物理隔离，严禁使用处理国家秘密信息的计算机上互联网， 违者严肃查处。

　　国家保密局《计算机信息网络国际联网保密管理规定》第六条要求——

　　涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。

　　国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》第十六条要求——

　　涉密系统不得直接或间接与国际联网，必须实行物理隔离。

　　根据中共中央保密委员会和国家保密局的要求，我们可以得出结论：涉密计算机信息系统(或网络)必须实行物理隔离。

　　未完待续

　　作者简介

　　王磊，CHIMA委员，山东大学齐鲁医院党委宣传统战部副部长，绿色全光网络技术联盟高级专家，信息系统项目管理师，信息安全工程师，数据库工程师，数据中心规划设计工程师，(ISC)²注册信息系统安全专家，BSI信息安全管理体系(ISO 27001) 内审员。兼任山东省健康管理协会医院信息化分会副主任委员，中国人体健康科技促进会医院信息化管理专业委员会常务委员，山东电子学会人工智能与网络安全专业技术委员会常务委员，山东省研究型医院协会信息化与互联网医疗分会常务委员，山东省医学会互联网+医疗健康分会第一届委员会青年学组副组长。