（来源：中国医药报）

转自：中国医药报

□ 沈林 尹良

10月14日，美国微软公司终止对 Windows 10操作系统的支持（即停止维护服务，以下简称停服）。这意味着之后使用Windows 10操作系统的用户将无法获得官方的安全补丁、功能更新和技术支持。作为计算机系统的基石，操作系统负责管理计算机的硬件与软件资源，也是所有应用软件运行的共同基础，是连接用户与计算机硬件不可或缺的桥梁。

Windows 10操作系统自2015年发布至今已有十年，其间不少基于该操作系统平台的医疗器械获批上市。由于部分医疗器械是软硬件深度集成，依赖 Windows 10运行应用软件和数据的存储，Windows 10停服，会对这类医疗器械产生合规、网络安全、运营可用性等多方面影响。不同国家和地区对医疗器械网络安全、数据保护和合规的要求各有不同，医疗器械企业需要结合地域政策和法规要求制定有效的应对方案。

产品安全面临潜在风险

医学影像设备、监护仪、临床检验设备、手术辅助治疗设备等医疗器械中一般会包含操作系统，医疗机构的电子病历系统、影像管理系统、临床信息系统等信息应用系统也需要在操作系统上运行。由于医疗器械特殊的使用环境和特定的临床用途，操作系统停服会对这些设备和应用系统造成各种潜在影响，并带来新的挑战。

网络攻击威胁增加

当操作系统不再获得安全更新，新发现的安全漏洞将不会被补丁封堵。这些漏洞可能会被攻击者利用，成为入侵系统的入口。医疗器械通常具有一体化连接、远程访问、网络通信等功能，并且涉及敏感的患者数据，暴露面较大，所以安全风险更高。如果构成医疗器械系统的工作站、影像重建服务器、数据库客户端等系统是在Windows 10上运行，那么在停服后，攻击者可能会通过安全漏洞攻破防线，横向渗透整个系统网络，影响系统的稳定运行，导致系统中断、数据错误、设备故障等问题，从而对正常诊疗工作产生影响。

可能触发合规风险

目前，全球主要国家和地区医疗器械监管部门均出台了网络安全、医疗数据保护等相关法规，如美国的《健康保险携带与责任法案》（HIPAA）、欧盟的《通用数据保护条例》（GDPR）等。如果医疗器械使用不再受支持、存在已知漏洞的操作系统，则可能被视为无法满足“合理的安全防护”要求，从而引发合规风险。同时，已取得监管机构审批上市的医疗器械，其产品技术资料、风险分析报告、验证/确认测试等都是基于特定操作系统版本、硬件平台和应用软件版本，如果后期更新操作系统，如从 Windows 10 升级到Windows 11 或其他系统，可能需要进行重新验证并重新提交审批申请。

面临兼容性问题

微软终止对Windows 10系统的支持后，医疗器械制造商可能也会停止对 Windows 10系统适配性的支持。这意味着应用软件的兼容性退化，那些在Windows 10中运行的医疗器械应用软件，将无法获得新的优化、安全修复或功能增强，软件的使用将受到影响。此外，基于Windows 10设计的设备固件、驱动或外围部件（如USB接口、加密模块、网络卡、图像加速硬件等）可能与 Windows 11存在兼容性问题，将原有系统向 Windows 11 迁移时，这些固件、驱动或外围部件可能出现功能丧失或性能下降等问题。

可用性和稳定性风险加大

部分医疗器械在医疗机构中的使用周期可达 10 年甚至更长。在医疗环境中，这些设备需要有较高的可用性、实时性和稳定性。老旧设备的硬件性能如果不足以支撑 Windows 11或更高系统的资源需求，会出现性能瓶颈或者无法稳定运行的情况。如果在操作系统升级或迁移过程中没有充分测试和制定回滚策略，医疗器械可能会出现兼容性故障、驱动冲突、重启崩溃、服务中断等问题，最终影响临床流程，降低医疗服务和诊断效率，甚至对患者健康安全构成威胁。例如，某些医学影像处理、手术机器人控制系统、病理分析设备、高速信号采集设备等，对实时性、低延迟、硬件性能有严格要求，升级操作系统时的中断、资源调度差异、驱动层差异等都有可能影响这些设备的性能表现，产生信号延迟、图像抖动等问题。

全生命周期成本上涨

应对操作系统停服，不仅需要进行软件升级，制造商与医疗机构还将面临一系列衍生成本。包括新操作系统版本的采购与授权费用，为满足新系统性能要求而产生的硬件升级或设备更换成本，以及复杂的软件兼容性验证、系统稳定性测试、性能确认和向监管机构重新注册申报所产生的大量人力、物力和时间成本等。

网络安全监管要求严格

很多国家和地区的医疗器械标准、注册认证和信息安全规范等法规，对医疗器械系统的安全性提出了要求。

中国

近年来，我国药监部门对医疗器械软件和网络安全监管力度不断加大。2015年，原国家食品药品监督管理总局发布《医疗器械软件注册技术审查指导原则》，用于指导制造商提交医疗器械软件注册申报资料，同时规范医疗器械软件的技术审评要求。2017年，原国家食品药品监督管理总局发布《医疗器械网络安全注册技术审查指导原则》，对《医疗器械软件注册技术审查指导原则》进行补充，完善了医疗器械软件和网络安全监管要求。随着技术发展和监管实践的积累，在这两份指导原则的基础上，2022年国家药监局医疗器械技术审评中心发布了《医疗器械网络安全注册审查指导原则(2022年修订版)》（以下简称《指导原则》）。根据《指导原则》，预期运行的系统软件、支持软件、通用中间件的兼容性版本更新、补丁更新都属于医疗器械软件更新，作为系统软件的操作系统更新视情况可能需要提交变更注册。

此外，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对于医疗机构设备的数据处理、安全保护、个人信息保护也有严格约束。

美国

美国食品药品管理局（FDA）是较早对医疗器械网络安全提出监管要求，并发布明确指导文件的监管机构。近年来，随着技术的发展，FDA也在不断强化对于医疗器械网络安全的要求。2023年，美国将《联邦食品、药物与化妆品法案》（FD&C Act）通过修正案纳入“Ensuring Cybersecurity of Devices（确保设备网络安全）”条款；今年6月，FDA发布《医疗器械中的网络安全：质量体系考量和上市前提交内容》指南，强调网络安全在设计、验证、软件零部件清单（SBOM）、补丁机制、漏洞响应、生命周期管理等方面的要求。在美国市场，医疗器械若存在重大网络安全隐患或被发现漏洞未及时修复，FDA可能采取召回、发布安全警示、要求整改等措施。

此外，在医疗健康信息领域，美国《健康保险携带与责任法案》（HIPAA）对患者的隐私和数据安全也有严格的约束，使用不安全系统可能在数据泄露方面承担法律责任。

欧盟

欧盟在医疗器械（包含医疗软件）和联网设备安全监管方面有较为先进、严格的制度，近年来对网络安全和软件安全的关注也显著加强。2017年，欧盟新《医疗器械法规》（MDR）和《体外诊断器械法规》（IVDR）要求医疗设备在设计、性能、安全和风险控制等方面满足“安全性与性能”的基本要求。MDR在医疗器械通用安全与性能要求中，描述了含网络端口或软件类医疗器械的软件在系统安全性、防篡改、可靠性等方面的要求。在欧盟，如果医疗设备涉及处理个人健康数据，则需要遵守《通用数据保护条例》（GDPR）中对于数据保护、隐私设计、安全存储和传输等方面的要求；医疗设备中如果有与数字元素相关的部分，需要遵守《网络和信息系统安全指令》第二版（NIS2）、《网络韧性法案》（CRA）等法规的要求。

此外，欧盟还在逐步推广关于医疗设备网络安全的标准和指南。例如，推荐IEC 81001-5-1（《健康软件和健康IT系统的安全性、有效性和网络安全-第5-1部分：安全性-产品生命周期中的活动》）作为产品的开发和安全框架等。

全生命周期加强防护

要应对Windows 10停服挑战，企业可以在新产品开发阶段优先选用获得长期安全支持的操作系统（如Windows 11或其后续版本），从源头上规避操作系统停服带来的潜在风险。对于已上市或无法立即完成系统升级的现有设备，可以通过部署多层次的技术防护作为补偿措施，包括利用网络边界隔离、虚拟补丁、入侵检测系统、严格的访问控制与通信加密等手段，共同构建深度防御体系，以弥补操作系统层面留下的安全缺口。同时，企业应主动与当地监管部门保持沟通，提前报备操作系统迁移路径与安全应对方案，确保合规性以及后续的流程顺畅。此外，企业还应在上述主要应对框架下，结合不同国家和地区监管部门的不同要求，进行差异化应对。

中国

考虑到我国市场的实际情况和监管要求，医疗器械在注册时要兼顾未来软件更新的支持，也就是在初期注册或变更过程中，就应考虑未来操作系统迁移和安全维护的方案，并在注册资料中预留操作系统升级路径和补丁策略说明。在新产品设计中，企业应尽量采用 Windows 11 或更先进的操作系统平台。对于已发布的基于Windows 10设计的产品，应尽早推出支持新版操作系统的升级版本，即便底层操作系统的补丁支持降低，也可通过边界隔离、网络防护、入侵检测、虚拟补丁、沙箱、中间件安全层等手段加强系统安全，对关键接口和连接通道进行加密、限权、访问控制。对风险较高、关键性强或已接近生命周期末端的设备，应马上安排迁移或替换，并利用ESU（扩展安全更新）机制或类似过渡机制作为短期缓冲。企业在开展操作系统平台变更、升级路径与安全策略时，应主动与药品监管部门沟通，确保方案可被监管部门接受、变更流程合理。

美国

根据美国对于网络安全的要求，医疗器械企业在新设备开发之初，就应考虑操作系统平台向下及向上兼容、补丁策略、系统抽象层等。对于Windows 10停服，医疗器械制造商要设计中间补丁、虚拟补丁、软件层隔离机制，保证在发现漏洞时可迅速响应，同时提供升级路径。例如，对已经部署的设备，要规划其对Windows 11或其他操作系统的升级选项，并确保新设备和后续型号支持新版系统。制造商需要积极监控、及时发现安全事件，将安全漏洞和事件及时报告给FDA、美国网络安全与基础设施安全局和用户，并基于实际情况启动补丁、召回和安全通报机制。考虑到后续风险，制造商需要将“医疗产品”的关键系统或设备与网络分段隔离，采用最小化外部暴露接口、严格访问权限、加密通信、入侵检测和行为监控等方式，将风险降到最低。对于风险较高、使用年限较长或即将到期的设备，采用优先规划替换或升级的处理原则，避免因为大规模同时迁移带来风险和成本的负担。

欧盟

欧盟有相对成熟的医疗器械网络安全管理法规和指令。为应对Windows 10停服，建议制造商在开发新设备时优先选择未来可获得长期安全支持的平台（如Windows 11/受支持的嵌入式OS/Linux/其他实时系统）。在安全设计与风险控制部分，要充分考虑产品与欧盟相关标准的符合性，推荐采用IEC 81001-5-1等标准作为参考或基础，在设计开发阶段就充分考虑网络安全、可靠性、冗余、防篡改、更新机制、入侵检测、隔离机制等。由于越来越多的医疗器械可能被欧盟相关标准视为带数字元素的医疗产品，医疗器械企业合规团队需要关注CRA中对于通报义务、漏洞修复义务、责任追溯、产品生命周期安全更新承诺等方面的要求。对不能获得官方更新的底层操作系统，制造商需要通过中间层、虚拟补丁、监控/防护层、隔离层等方式完善安全机制，以确保能迅速应对新漏洞。对于MDR认证下的CE技术文档，制造商应提供安全设计文档、风险评估、漏洞管理计划、补丁策略、安全更新能力、生命周期管理计划等相关资料，并向监管机构提供足够的证据以证明设备具备可持续安全性。需要注意的是，如果带数字元素的医疗产品涉及个人健康数据处理，应确保其符合GDPR的要求，在设计开发时就要充分考虑利用加密、访问控制、最小权限原则、日志审计、脱敏、隐私设计等要素，以确保该产品在使用时能够严格保护数据安全和隐私信息。

总的来看，无论在哪个市场，微软停止技术支持对基于 Windows 10 运行的医疗器械都是一个重大挑战，医疗器械企业、医疗机构等相关方不能仅把它当作常规的软件升级，而是需要重视操作系统生命周期管理、网络安全策略、升级路径设计和安全运维，以确保产品安全合规。

[作者单位：沈林，易倍极医学信息科技（上海）有限公司；尹良，洲通健康科技（上海）有限公司]