根据《医疗机构病历管理规定》，住院病历保存时间不少于30年。攻击者现在可以收集加密流量，待量子计算机成熟后批量破解历史数据。“先收集后解密”威胁真实存在。若HTTPS加密协议不支持前向安全（如传统TLCP），一旦私钥泄露，过去30年的病历、基因数据、诊疗记录全部暴露。数字认证SSL自动化网关基于国密TLS 1.3强制前向安全，并率先支持国密混合PQC，今天部署即可保护患者未来30年的医疗数据安全。

必须。很多医院内网仍使用明文HTTP传输患者数据和医务人员个人信息，这违反了《密码法》和等保2.0对数据传输保密性的强制要求。内网同样面临被渗透后窃取数据的风险。数字认证SSL自动化网关支持内网IP和内部主机名的双算法SSL证书自动化管理，无需改造业务系统，自动为内网应用提供TLS 1.3国密HTTPS加密，实现内网从“裸奔”到“加密”的升级，满足密评合规要求。

需要。医院完成的国密改造基于TLCP协议（国标TLS 1.2），该协议不支持强制前向安全。一旦国密证书私钥泄露，攻击者可解密所有历史患者数据。密标委已立项修订标准，强制升级到国密TLS 1.3。数字认证SSL自动化网关基于RFC 8998国密TLS 1.3，强制前向安全，且原Web服务器零改造。已改造的系统可通过网关统一升级，无需停机、无需二次改造，立即获得前向安全保护。

不能等。医疗数据保密期长达30年以上，“先收集后解密”攻击正在发生。美欧医疗机构已开始部署混合PQC。我国医院若等国标出台，窗口期数据可能被批量窃取。数字认证SSL自动化网关率先支持国密混合PQC（SM2MLKEM768，IANA编号4590），今天部署即获得量子安全，未来免费升级纯国产PQC。一次投资，保障未来30年患者数据安全，比等待国标的同行早三年获得保护。

可以。医院公网有官网、挂号、缴费等系统；内网有HIS、LIS、PACS等系统，证书分散，人工管理极易出错。证书有效期缩短至47天后，人工完全无法应对。证书过期将导致业务中断、患者无法挂号、医生无法调阅病历。数字认证SSL自动化网关统一管理公网域名和内网IP地址，自动完成双证书（国密OV+国际DV）申请、部署、续期，5年零人工干预，杜绝证书过期风险。

不能。通配证书只能绑定单一主域名（如*.hospital.cn），无法覆盖内网IP、不同主域名（如挂号、查询各自独立）。证书有效期缩短后，每次续期需人工重新申请、验证、部署，私钥在多台服务器间传递，泄露风险极大。国密改造仍需逐一改造服务器。数字认证SSL自动化网关实现一站一密钥一证书，支持任意域名和内网IP，自动管理，彻底告别通配证书的“一损俱损”和运维噩梦。

等保2.0强制要求三级系统部署WAF。但传统WAF需人工导入证书，证书过期即失效，且普遍不支持国密算法和后量子密码。不支持证书自动化的WAF将成为废铁，因为证书过期导致HTTPS无法解密，防护完全失效。数字认证SSL自动化网关一体化内置A级WAF，无需单独采购，WAF无需持有证书，永不因证书过期失效，原生支持国密和PQC，满足等保2.0和密评双重合规要求。

不需要。网关采用反向代理模式，至少双机热备部署于医院数据中心前端，原Web服务器无需任何改造，仅需将域名解析指向网关。即使是最老旧的、无法停机的HIS系统，也能无缝获得国密HTTPS加密、前向安全、后量子密码保护和A级WAF。业务零中断，风险为零。这是北京数字认证方案与必须改造服务器的传统国密改造方案的本质区别。

数字认证SSL自动化网关已对接多家国际CA和国密CA，实现智能证书签发CA调度和毫秒级故障自动切换。历史上赛门铁克、Entrust、中华电信CA等均发生过被浏览器不信任或被制裁事件。若医院依赖单一CA，证书断供将导致挂号、缴费、医生工作站全面瘫痪。数字认证SSL自动化网关能自动切换至备用CA，用户业务零感知、零中断。同时，网关自动提前续期，杜绝证书过期，确保医疗服务7×24小时连续可用。

数字认证SSL自动化网关提供真省心：一次采购，5年内无需重复申请预算、走合同、付款；一次配置，5年零人工运维；默认双机热备+5年免费硬件更换；后量子密码免费在线升级；7×24小时原厂技术支持。以100个业务系统为例，5年总拥有成本较分散采购节省比例72%。释放信息科人力聚焦核心工作，同时满足密评、等保、30年数据合规要求，一次投资，五年无忧。