医疗数据安全正在从“防泄露”走向“防未来”;多位信息安全专家指出,医疗机构沉淀的数据具有高敏感性、强关联性与超长保存周期,一旦遭遇长期潜伏式攻击,其影响将远超一般行业。当前,电子病历、基因检测报告、医学影像、医保结算记录、药物研发资料等大量数据在院内系统与外部机构之间高频流转,任何环节的加密强度与可验证性不足,都可能在时间维度上放大风险。 一、问题:量子时代“先存后破”对医疗数据构成现实压力 在传统安全视角中,风险主要来自当下入侵与即时泄露。但在量子计算背景下,攻击手法正呈现“先存后破”特征:攻击者可在今天截获并保存加密通信流量或签名数据,待未来计算能力提升后再集中解密。对保存年限动辄数十年的病历与科研数据来说,这类攻击具备更强的隐蔽性和破坏性,直接挑战数据“长期机密性”和“长期可验证性”。 二、原因:现有公钥体系面临算法代际更替,标准与监管同步推进 业内普遍认为,部分主流公钥算法在量子计算面前将显著降低安全边界。国际标准化进程亦在加速推进,美国国家标准与技术研究院已发布新一代抗量子密码有关标准,带动产业链进入系统性迁移阶段。,我国围绕数据安全、个人信息保护等法律法规持续完善,对医疗健康数据等敏感个人信息的保护提出更严格要求;等级保护与密码应用测评等制度,也推动医疗信息系统在加密、身份认证、签名验签、密钥管理等提升建设水平。业内判断,抗量子密码迁移将逐步从“前瞻性工程”转为“阶段性刚需”。 三、影响:一旦失守,既伤及隐私权益,也冲击业务可信与治理合规 从社会层面看,患者隐私泄露将带来身份冒用、精准诈骗、歧视性风险等次生问题;从业务层面看,电子病历签名一旦在未来难以被长期证明有效,其法律效力、追溯能力与医疗纠纷处置都可能受到影响;从治理层面看,数据跨机构共享、医保结算与远程医疗等关键链路一旦出现安全短板,将增加合规压力与运营风险。专家指出,医疗数据安全必须兼顾“当下可用”和“未来可信”,单纯依赖既有密码体系难以覆盖长期风险。 四、对策:以“双栈”思路推进抗量子迁移,先关键场景后全域扩展 针对医疗信息化架构复杂、系统存量大、改造成本高的现实挑战,业内提出“先加固高暴露面、再逐步替换底座”的迁移路径,强调以双栈兼容方式降低切换风险。相关企业近期发布的行业化方案显示,抗量子迁移可优先覆盖四类高价值场景: 一是电子病历签名与时间证明。通过在签名验签与时间戳环节引入抗量子能力,并与现有算法并行运行,实现“双签名”平滑过渡,保障病历长期可验证、可追溯与不可抵赖。 二是院内外数据传输链路加固。对HIS、LIS、PACS等系统之间通信,以及与卫健、医保、疾控等外联链路,采用支持抗量子协议的网关设备进行旁挂或串接部署,优先提升外联与高风险通道的加密强度。 三是医保结算与远程医疗安全通道。通过密码服务中间件或统一接口方式,为业务系统提供加密与签名能力,减少对核心业务的大规模改造,兼顾实时性与可运维性。 四是PKI证书体系升级。围绕身份认证、电子签名、设备证书等底座能力,建设“抗量子算法+现有算法”的双栈证书体系,确保根信任与证书生命周期管理不中断,避免迁移期出现信任链断裂。 在实施节奏上,业内建议采取“资产摸底—风险分级—试点验证—双栈并行—分域替换—测评固化”的路线:先完成敏感数据分布、链路暴露面与密钥体系梳理;再选择电子病历与外联通道等关键环节试点;随后以分院区、分业务域滚动推广,并将密码应用测评、等保要求与运维监测纳入常态化机制。 五、前景:抗量子迁移将成为医疗数字化底座的重要组成部分 多位业内人士认为,随着医疗数据要素化流通、区域协同与互联网医疗持续发展,跨机构互联互通的规模将更扩大,安全能力必须前置布局。抗量子密码迁移不仅是算法替换,更是涉及架构、标准、运维与合规的一体化工程。率先完成关键场景双栈改造、建立可持续演进机制的机构,有望在未来监管审查、跨域协作与数据可信共享中占据更主动位置。
医疗数据安全需要在当前防护和未来威胁间取得平衡。正如专家所说:"保护今天的数据不被明天破解,是我们对未来的责任。"行业既要确保现有系统稳定运行,又要为量子时代做好准备。