系统零改造，如何实现医疗敏感数据的“全密态”与高效查询？

来源：HIT专家网 作者：济南市儿童医院 曲元一

作为数据密集型行业，医疗行业面临着前所未有的数据安全挑战与业务效率需求的双重压力。在《中华人民共和国密码法》《商用密码管理条例》及《信息安全技术 信息系统密码应用基本要求》等法律法规的严格监管下，医疗行业的数据保护工作被提升到了前所未有的高度。

特别是《卫生健康行业医疗机构场景密码应用与安全性评估实施指南》2023版要求：“可部署符合 GM/T 0028《密码模块安全技术要求》的密码服务管理平台、GM/T 0030《服务器密码机技术规范》的服务器密码机，调用数据加解密服务，基于SM4的对称密码技术，对患者个人隐私信息(身份证号、住址、电话、联系人)等重要数据进行加密保护，确保数据库里的患者个人敏感信息内容不被非法泄露，实现重要数据的存储机密性保护”，还要求业务数据需要采用SM4进行加密传输，后端需要对数据进行SM4加密存储，密码算法由具有商用密码产品认证证书的密码机或密码卡提供等。

如何在不改造现有医院业务系统的基础上，遵循上述《指南》要求，实现高效的数据加密与查询，成为摆在医疗机构面前的一道难题。

数据库常见加密方式及特点分析

目前数据库加密的手段大多基于“静态加密”思路，主要聚焦在数据存储层面的防护，如磁盘加密、文件加密、整库加密等方式，虽然可在一定程度上阻止数据在静态存储过程中被非法获取，但难以满足高并发、高实时性场景下对加密数据的查询、分析和使用需求。这种“明文可用、密文不可用”的加密模式，造成数据在实际业务处理过程中的“解密—处理—再加密”环节频繁发生，增加了密钥暴露风险，削弱了整体数据安全保障能力。

以下是几种常见数据库加密方式与特点分析。

1.磁盘级加密

就如给数据库文件所在磁盘套了一个“密码锁”，通过专业工具对硬盘加密，数据库读写数据时自动解密。当硬盘被偷或拔走时，没有密码就无法看到里面的数据，从而实现物理防盗。但如果将数据库文件拷贝走，则可以将数据库文件在其他机器上恢复查看。

2.数据库文件加密

就像给数据库文件穿了一件“隐形防护衣”，系统在底层自动把文件加密存到硬盘里，数据库要用时再解开，全程“无感操作”。但如果通过非正常途径进入电脑系统（如病毒、黑客），或者获取到了数据库账号权限，就能直接看到数据库里的所有数据。因此这种加密方式在第三方或信息科数据库运维人员持有账号的情况下形同虚设。

3.TDE透明数据加密

有些非信创数据库自身提供了加密机制，在数据库内核实现了存储的加密，TDE就是一种数据库级别的加密方法，用于保护整个数据库文件。这意味着整个数据库的所有数据（包括表空间文件、控制文件、日志文件等）都被加密。

数据库在存数据时自动加密，读数据时自动解密，这种加解密方式可以让业务系统免于改造，无感使用，能防止硬盘被偷、文件被复制时的数据泄露。但它只能给整个库、整张表加密，没法单独给某一列数据上锁（比如身份证号）。在拥有合法用户的账号密码（比如通过SQL注入、钓鱼骗到密码）进入数据库时，或者通过抓包，仍可以获得数据库明文信息。

由于需要加密和解密整个数据库文件，TDE可能对数据库性能产生一定影响。尤其是在高负载环境下，例如在患者就诊刷卡、医生书写病历调取信息、住院医嘱调取患者列表等时，需要对患者重要隐私信息进行高频解密操作，对数据库整体运行效率影响较大。目前主流数据库TDE不支持国密算法，且不是符合信创的数据库产品。

4.数据库透明加密网关

这种方式通过在数据库前端部署数据库加密网关程序，截获数据库访问命令，由前置网关获得业务系统的数据查询请求后，网关代替业务系统对数据进行加解密操作，将密文写入数据库，明文发给业务系统使用，实现在不改造业务系统情况下的对数据库的透明加密和解密。

这种方式可以控制数据库账号的权限，网关内嵌加密卡，但是多数网关针对数据库的加解密操作仍然是基于数据库本身的TDE功能来做的，网关产品本身不能针对数据库的内容进行操作。同时在高负载情况下，在加解密过程中会增加处理时间，可能影响数据的执行效率，尤其对于区间查询、模糊查询等高频操作，需要将数据整体解密后，再进行查询，效率瓶颈尤为突出。

5.内容加密

《卫生健康行业医疗机构场景密码应用与安全性评估实施指南》（以下简称《指南》）要求将患者个人隐私信息如身份证号、住址、电话、联系人等重要数据进行加密保护，并且要求业务数据需要采用SM4进行加密传输，后端需要对数据进行SM4加密存储。密码算法由具有商用密码产品认证证书的密码机或密码卡提供。《指南》的设计如图1所示。

这无疑是最符合要求的加密技术方法。不过，如果只对部分重要信息的某些字段加密使用这种方法，就要求医院业务系统进行大量改造。

以建档时插入患者信息为例，要求业务系统将用户端获取的明文发给密码设备进行加密，然后获取密文后存入数据库中，而查询时需反向操作。删除和更新操作也要经过同样的流程，这对业务系统的改造提出了严格要求。此外，在需要模糊查询或区间查询时，因为数据库中的内容无法直接查询，只能将全量的加密列解密后再进行查询，会极大占用数据库和密码机的资源，影响业务系统的效率。

密态计算数据库的解决方案

如何在现有业务系统免改造的情况下，实现《指南》中建议的数据加解密与查询方式，同时满足集成精准查询、模糊查询和区间（大于小于）查询等需求？笔者联合山东区块链研究院和瀚高数据库，共同构建“全密态数据库+智慧医疗”融合新范式，同时提升数据处理效率与隐私安全水平。

全密态技术是一种创新的数据加密与处理技术，依托具备完全自主知识产权的信创全密态数据库平台（软著登记号：2024SR1228445），在医院业务场景中采用SM4国密算法及保序加密技术，构建“可计算的密文数据模型”，实现敏感数据在数据库层面加解密、数据库内密态存储、密态条件下的高效查询与计算，真正做到数据的“全密态”。

引入全密态技术后，医院原有的业务系统与流程不必发生改变，由数据库调用密码机（卡）完成数据的加解密操作，业务系统只需要连接加密网关，两者之间的数据用明文传输，业务系统无需调用加密机进行加解密操作，也无需针对数据库操作，查询运算均在数据库层面完成。

以一个查询包含加密字段的语句为例（图2），当业务系统需要查询一条记录中包含部分密文字段数据时，只需将请求告诉密码网关，网关再传递给数据库，由数据库解析查询语句中相关加密列的数据，然后使用加密网关中的密码卡进行解密，再将解密后的明文内容整合成查询语句的完整内容，从网关直接返给业务系统，从而实现无需对现有业务系统进行大规模改造即可实现数据加密存储、查询，简化了部署流程。

在日常业务中，除精准查询某一条记录以外，还会针对数据进行模糊查询和区间查询，全密态数据库设计了保序密文和哈希密码来解决这些问题。如需要在大量数据中查询姓名包含“张三”这两个汉字的数据时，传统的模糊查询方式须先将全量的姓名字段内容进行解密，然后在解密的明文数据中查找包含“张三”二字的信息，这样大大地增加了加密机和数据库的资源消耗。

如图3所示，密态数据库先在数据库服务器的加密区，用山东区块链研发的哈希密文和保序密文进行存储，同步在数据库加密列中存储国标的SM4加密密文。当业务系统需要模糊查询时，密态数据库先在加密区查找符合条件的记录，例如在加密区查到了50条姓名中含有“张三”的记录，则会在数据库表中返回这50条SM4加密的信息，让密码机进行解密，再将解密后的明文返给业务系统，相较于原来的方式，运行效率得到极大提升。

区间查询，如针对手机号和身份证号这类整数型字符，则用保序密文进行类似操作。所有加解密操作都在密码机（卡）中运算，符合密评存储加密的要求。

在具体医院业务中，患者的姓名、身份证号、电话号码、住址等信息均以密文形式存储，结合不可见列与系统唯一标识进行索引匹配。在场景应用中，则打通互联网诊疗、支付、随访、公共卫生等数据链路，实现密态条件下的数据挖掘和流程优化，在保障数据可用性的同时，全面提升医疗信息系统的安全等级。

为了验证不同方案在等值查询、范围查询及模糊查询三个核心场景下的执行效率，我们基于内存占用与时间效率两方面进行了测试比较。表1为不同方案对100万条数据的执行测试结果，可见密态计算方案在等值查询、范围查询及模糊查询三个核心场景下，其执行时间均达到与明文查询相近的执行效率。数据证实，该方案在保障数据安全性的前提下，实现了计算性能与存储开销的显著优化，其时间效率接近甚至媲美明文计算方案，为密态数据库的实际应用提供了重要技术支撑。

表1 不同方案的执行效率测试比较（数据量为100万条）

在医疗场景中的落地应用

密态计算方案适用加密网关这种一机加多数据库的模式，也适用于一卡一机的数据库加密一体机方式。

目前，笔者所在医院落地部署了跨域主索引信息，完成真实业务环境下的验证，运行稳定、成效明显。该场景是密态数据库技术在医疗信息领域的深度融合实践，证明了全密态技术能有效帮助医疗机构破解数据安全与业务效率的双重难题，可全面提升患者隐私保护、敏感数据安全管理等方面的能力，为信创生态在医院系统中的推广提供了样板。

作为典型案例，该成果已被山东省卫生健康委纳入“2025年度智慧医院数字安全建设推荐方案库”，并入选“济南市2025年度重点信创应用培育清单”；作为创新案例，多次在省、市优秀项目评选中多次获奖，如获得2024年度“山东省信息产业协会科技创新奖”、2025年度第七届全省卫生健康行业网络安全技能大赛－网络安全和信息技术应用创新解决方案赛道一等奖、2025年度第七届智慧医疗创新大赛全国总决赛医疗新创赛道三等奖。笔者也因此项目获得2024年山东省电子信息行业优秀科技工作者称号。

密态计算方案聚焦医疗数据安全与隐私保护痛点，形成了“国产全密态数据库+国密算法+医疗业务系统”的可复制解决方案，具备较强的推广适配能力，并以标准化、模块化设计为基础，支持与院内各主要业务系统快速对接，可在无需大幅改造原有系统的前提下实现平滑接入，降低了信创改造门槛，便于在其他医疗机构中迅速部署落地。

【作者简介】

曲元一，济南市儿童医院信息中心主任，高级工程师。

【责任编辑：陈曦 版式：明超】