В медицинских организациях Санкт-Петербурга и Ленинградской области одним из ключевых интернет-провайдеров является «Смольный» (официальное наименование — СПб ГУП «Смольный»). Компания предоставляет услуги связи для государственных нужд, в том числе для учреждений здравоохранения, что накладывает особые требования к настройке сетевого оборудования.
Одной из главных задач, стоящих перед IT-службой ЛПУ, является разделение интернет-трафика на два сегмента:
- Открытый сегмент — доступ сотрудников и пациентов в публичный интернет (сайты, электронная почта, мессенджеры, справочные системы).
- Закрытый сегмент (защищённый/контур) — доступ к медицинским информационным системам (МИС), лабораторным системам (ЛИС), архивам PACS, серверам с персональными данными и иным внутренним ресурсам, которые не должны быть доступны из публичной сети.
В статье детально разберём, как настроить интернет-канал через провайдера «Смольный», организовать надёжное разделение трафика, обеспечив при этом соответствие требованиям законодательства о защите персональных данных и отраслевых стандартов.
1. Особенности провайдера «Смольный» для медицинских организаций
СПб ГУП «Смольный» — оператор связи, предоставляющий услуги для государственных нужд Санкт-Петербурга. Для медицинских учреждений доступны следующие сервисы:
- Выделенный канал в интернет с фиксированным IP-адресом (обычно статический).
- Защищённый канал для обмена данными между подразделениями одной сети.
- Доступ к городским информационным системам (ЕМИАС, РНИС, лабораторные системы и т.д.)
- Региональная сеть передачи данных (РСПД) — защищённая сеть для обмена медицинской информацией между ЛПУ Санкт-Петербурга.
Важная особенность: в отличие от коммерческих провайдеров, «Смольный» часто требует настройки оборудования по строго определённым параметрам (VLAN, маршрутизация, подсети, фильтрация трафика), которые выдаются при подключении в виде технического задания. Нарушение этих настроек может привести к блокировке доступа к городским медицинским системам.
Типовые параметры от «Смольного» (могут варьироваться в зависимости от контракта):
Параметр Значение (пример) IP-адрес шлюза провайдера 10.10.128.1 Маска подсети для маршрутизатора 255.255.255.248 Выделенный IP-адрес маршрутизатора 10.10.128.2 DNS-серверы 10.10.10.10, 10.10.10.11 Агрегирующий VLAN (при необходимости) 777 Медицинский сегмент (закрытая подсеть) 172.20.x.x или 10.x.x.x Открытый сегмент (NAT-пул) 85.x.x.x (публичные адреса)
2. Основные термины и принципы
Открытый сегмент (Open Segment) — часть сети учреждения, из которой разрешён прямой доступ в интернет (через NAT). Используется для:
- Рабочих станций сотрудников, которым нужен интернет для работы (почта, справочно-правовые системы, мессенджеры по согласованию).
- Гостевого Wi-Fi для пациентов и посетителей.
- Обновления антивирусов, операционных систем, справочных баз.
- Доступа к публичным облачным сервисам.
Закрытый сегмент (Closed Segment) — часть сети, изолированная от интернета (или с ограниченным доступом). Используется для:
- Медицинских информационных систем (сервера САМСОН, Ариадна, Медиалог, БАРС).
- Серверов с персональными данными пациентов (ФИО, СНИЛС, полис, диагнозы).
- Лабораторного оборудования (анализаторы, центрифуги, передающие результаты).
- PACS-архивов и медицинских изображений.
- Административных серверов (DHCP, AD, файловые хранилища).
Нормативное требование: доступ из открытого сегмента в закрытый должен быть строго регламентирован (обычно через контролируемые шлюзы, с фиксацией соединений, по протоколам с шифрованием) или полностью запрещён. Обратный доступ (из закрытого в открытый) часто осуществляется через прокси-сервер с логированием и контент-фильтрацией.
3. Необходимое оборудование и логическая схема сети
Для реализации разделения потребуется:
| Оборудование | Роль | Рекомендации |
|---|---|---|
| Маршрутизатор / Пограничный шлюз | Подключение к провайдеру «Смольный», фаервол, NAT | MikroTik (CCR/4011), Juniper SRX, Keenetic (для малых ЛПУ), либо сервер на Linux (FRR + iptables) |
| L3-коммутатор / Ядро сети | Маршрутизация между сегментами, межсетевое экранирование, VLAN | Eltex, D-Link, Huawei, Cisco (с поддержкой ACL) |
| Точки доступа Wi-Fi | Открытый сегмент для пациентов, защищённый для сотрудников | Рекомендуется изолировать Wi-Fi от проводной сети через отдельный VLAN |
| Прокси-сервер (опционально) | Фильтрация трафика из закрытого сегмента в интернет | Squid на Linux, NGFW вендорские решения |
Типовая архитектура:
[Провайдер «Смольный»]
│
▼ (оптоволокно / Ethernet)
[Пограничный маршрутизатор]
│
├─── VLAN 100 (Открытый сегмент) ─── Интернет (NAT)
│ │
│ ├── Рабочие станции
│ └── Гостевой Wi-Fi
│
└─── VLAN 200 (Закрытый сегмент) ─── Экранирование (Allow only Intra)
│
├── МИС-серверы
├── PACS / ЛИС
└── Административные серверы4. Пошаговая настройка (на примере маршрутизатора MikroTik + ELTEX L3)
Данная конфигурация — типовая; точные параметры (IP-адреса, VLAN ID) узнавайте в своём договоре с «Смольным».
4.1. Настройка интерфейса к провайдеру «Смольный»
На пограничном маршрутизаторе создайте интерфейс, подключённый к порту провайдера.
Пример для MikroTik (Winbox / CLI):
# Указать интерфейс провайдера (например, ether1)
/interface set ether1 name=to_smolny
# Назначить IP-адрес шлюза от провайдера
/ip address add address=10.10.128.2/29 interface=to_smolny
# Добавить маршрут по умолчанию через шлюз провайдера
/ip route add gateway=10.10.128.1
# Назначить DNS-серверы от провайдера
/ip dns set servers=10.10.10.10,10.10.10.11Проверка соединения:
/ping 8.8.8.84.2. Создание VLAN для разделения сегментов
На маршрутизаторе создайте VLAN-интерфейсы:
/interface vlan add name=vlan_open vlan-id=100 interface=to_lan (внутренний порт)
/interface vlan add name=vlan_closed vlan-id=200 interface=to_lanНа L3-коммутаторе (например, Eltex) создайте аналогичные VLAN и назначьте порты:
# Eltex CLI
vlan 100
name OPEN
exit
vlan 200
name CLOSED
exit
# Порты для рабочих станций открытого сегмента
interface gi 1/0/1-24
switchport mode access
switchport access vlan 100
exit
# Порты для серверов закрытого сегмента
interface gi 1/0/25-48
switchport mode access
switchport access vlan 200
exit
# Транковый порт на маршрутизатор
interface gi 1/0/47
switchport mode trunk
switchport trunk allowed vlan 100,200
exit4.3. Назначение IP-подсетей для сегментов
| Сегмент | VLAN | IP-сеть | Шлюз на маршрутизаторе | Назначение |
|---|---|---|---|---|
| Открытый | 100 | 172.16.0.0/24 | 172.16.0.1 | Рабочие станции, Wi-Fi для пациентов |
| Закрытый | 200 | 10.1.0.0/16 | 10.1.0.1 | МИС, серверы, лабораторное оборудование |
| Управление | 99 | 192.168.0.0/28 | — | Только для админов (опционально) |
На маршрутизаторе MikroTik:
/ip address add address=172.16.0.1/24 interface=vlan_open
/ip address add address=10.1.0.1/16 interface=vlan_closedНастроите DHCP для открытого сегмента (для закрытого — обычно статические адреса или выделенный DHCP-сервер внутри сети):
/ip pool add name=pool_open ranges=172.16.0.10-172.16.0.250
/ip dhcp-server add name=dhcp_open interface=vlan_open address-pool=pool_open
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1 dns-server=8.8.8.8,1.1.1.14.4. Настройка межсетевого экрана (фаервола)
Главные правила:
- Из закрытого сегмента в открытый — разрешён доступ только через прокси (или запрещён полностью, если не требуется).
- Из открытого сегмента в закрытый — запрещён (кроме, возможно, RDP-подключений по белым спискам и через шлюз с двухфакторной аутентификацией).
- Доступ в интернет из открытого сегмента — NAT, контент-фильтрация (например, блокировка порно, онлайн-игр).
- Доступ в интернет из закрытого сегмента — либо запрещён, либо разрешён только ограниченному кругу серверов через прокси с логированием.
Пример правил на MikroTik:
# 1. Разрешить уже установленные соединения (stateful)
/ip firewall filter add chain=forward connection-state=established,related action=accept
# 2. Запретить доступ из открытого VLAN в закрытый
/ip firewall filter add chain=forward src-address=172.16.0.0/24 dst-address=10.1.0.0/16 action=drop
# 3. Запретить доступ из закрытого в интернет (если требуется полная изоляция)
/ip firewall filter add chain=forward src-address=10.1.0.0/16 dst-address=!10.0.0.0/8,!172.16.0.0/12,!192.168.0.0/16 action=drop
# 4. NAT для открытого сегмента (выход в интернет через IP провайдера)
/ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=masquerade4.5. Настройка проводного и гостевого Wi-Fi для открытого сегмента
Для Wi-Fi для пациентов используйте отдельный VLAN (например, VLAN 101) с изоляцией клиентов друг от друга (AP isolation) и ограничением скорости.
Настройка на точке доступа (упрощённо):
- SSID:
Polyclinic_GuestилиPatient_WiFi - Шифрование: WPA2/WPA3-Enterprise или с авторизацией через портал.
- VLAN ID: 101 (транслируется до маршрутизатора).
- Правила файервола: доступ только в интернет, доступ в закрытый сегмент — запрещён.
4.6. Обеспечение доступа из закрытого сегмента к внешним медицинским ресурсам
Часто медицинским информационным системам требуется доступ к внешним подсистемам:
- ЕМИАС (облачная или централизованная версия)
- Обновлениям антивирусных баз Kaspersky, Dr.Web
- Справочно-правовым системам («КонсультантПлюс», «Гарант»)
- Облачным архивам (например, PACS в облаке)
Рекомендованный способ — установка прокси-сервера с аутентификацией и фильтрацией в «демилитаризованной зоне» (DMZ).
Пример на Squid:
# Установка Squid
sudo apt install squid
# Настройка /etc/squid/squid.conf
acl medical_servers dstdomain .emias.spb.ru .kaspersky.ru .consultant.ru
acl closed_net src 10.1.0.0/16
http_access allow closed_net medical_servers
http_access deny closed_net # остальной интернет для закрытого сегмента запрещёнНа маршрутизаторе для трафика закрытого сегмента добавьте правило перенаправления на прокси:
/ip firewall nat add chain=dstnat src-address=10.1.0.0/16 protocol=tcp dst-port=80,443 action=redirect to-ports=31285. Обеспечение соответствия требованиям законодательства
Медицинские организации, работающие с персональными данными (в том числе специальными категориями — о здоровье), обязаны выполнять требования:
- 152-ФЗ «О персональных данных» (особенно Приказ ФСТЭК № 21 — для ГИСПДн 1–3 уровня защищённости).
- Приказ Минздрава № 83н — правила ведения медицинской документации в электронном виде.
- Методические рекомендации ФСТЭК России по защите информации в медицинских информационных системах.
Основные меры при настройке закрытого сегмента:
| Мера | Реализация |
|---|---|
| Изоляция от интернета | Закрытый сегмент не имеет прямого NAT в интернет. При необходимости выхода — через прокси с логированием и контент-фильтрацией. |
| Контроль соединений между сегментами | Межсетевой экран на маршрутизаторе или отдельном межсетевом экране (например, UserGate, Ideco). Все кросс-сегментные соединения регистрируются. |
| Антивирусная защита | В закрытом сегменте обязательно централизованное антивирусное решение (Kaspersky, Dr.Web) с регулярным обновлением баз (через прокси или зеркало). |
| Шифрование каналов | Для удалённого доступа к закрытому сегменту используется VPN (см. нашу статью о WireGuard) или сертифицированные СКЗИ. |
| Разграничение доступа сотрудников | Использование Active Directory, разграничение прав на доступ к ресурсам закрытого сегмента. |
6. Рекомендации по мониторингу и обслуживанию
- Мониторинг загрузки канала — сервисы от «Смольного» предоставляют статистику, но лучше организовать собственный сбор через SNMP (Zabbix, PRTG).
- Журналирование событий файервола — настройте отправку логов на Syslog-сервер (например, Graylog или ELK).
- Регулярное тестирование резервного канала — если «Смольный» даёт выделенную резервную линию, периодически переключайте трафик на неё для проверки.
- План действий при аварии — перезагрузка оборудования, связь с технической поддержкой провайдера (телефон + контракт), ручное переключение маршрутов.
7. Частые ошибки при настройке и пути их решения
| Ошибка | Последствия | Решение |
|---|---|---|
| Неправильный шлюз от «Смольного» | Отсутствие интернета во всех сегментах | Проверить договор, выполнить ping до шлюза из маршрутизатора |
| Отсутствие маршрутов обратного трафика | Серверы закрытого сегмента видят пользователей, но пользователи не могут получить ответ | Проверить шлюз по умолчанию на серверах закрытой сети (должен смотреть на маршрутизатор — 10.1.0.1) |
| Отсутствие NAT для открытого сегмента | В открытом сегменте есть интернет по IP, но без преобразования адресов | Добавить правило masquerade или статический NAT |
| Не настроен DNS для закрытого сегмента | Серверы не резолвят имена (обновления ЕМИАС, антивирусов) | Указать корректные DNS-серверы (от «Смольного» или резолверы, доступные внутри) |
| Случайное попадание закрытого сегмента в общий NAT | Серверы МИС становятся потенциально доступны из интернета | Проверить srcnat на предмет исключения подсети закрытого сегмента |
Настройка интернета в медицинском учреждении с провайдером «Смольный» требует тщательного проектирования и строгого разделения на открытый и закрытый сегменты. Ключевые выводы:
- Закрытый сегмент — это сердце цифровой клиники, его изоляция и контролируемый доступ обеспечивают безопасность персональных данных пациентов и непрерывность работы МИС.
- Открытый сегмент — рабочие станции и гостевой Wi-Fi, должен быть настроен с минимумом прав доступа к внутренним ресурсам.
- Регламент и документация — все настройки (особенно межсетевые экраны и списки доступа) должны быть задокументированы и подписаны ответственным за информационную безопасность.
Следуя приведённым рекомендациям и реальным параметрам от «Смольного» (которые уникальны для каждого ЛПУ), вы сможете построить устойчивую, защищённую и гибкую сеть, соответствующую отраслевым и законодательным требованиям.