清晨五点五十，天还没亮透，普通监护病房的走廊已经有了消毒水的新味道。

林昼坐在长椅上，背靠墙，眼睛却没有合上。他的手机屏幕停在第三方平台那份补充材料上――“版本快照链”“不可变更”“哈希证明”。这几个词像一排钢钉，把昨夜的“补录轨迹”钉得更深：补录单据可以后写，审批可以一分钟点过，甚至可以用律师函把人逼回沉默，但平台那条版本链不会跟着他们的叙事走。

不可变更，意味着你只能解释，不能改写。

解释就会逼出禁区：禁变窗口。

对医疗关键系统而，禁变窗口不是“建议”，是底线。任何重大变更、任何紧急策略、任何跨区回退优先级提升，都应该在禁变窗口外完成，并且必须以可审计的方式提前告知、确认、记录。否则所谓的“连续性保障”，就是把风险搬到人命旁边。

补录轨迹暴露之后，监管自然会问：你们有没有禁变窗口？如果有，为什么在转运关键期还做策略调整？如果没有，为什么医疗场景没有底线？

禁变窗口一旦被写进整改清单，就会触碰到他们的利益：禁变意味着不能随时调优、不能用“紧急”绕流程、不能把跨区回退当作万能兜底。禁变意味着要提前规划，要承担“可能投递不够快”的代价。规划比临时开关难，代价也比临时开关大。

所以，他们会抵抗。

而抵抗往往从“定义”开始：他们会说我们也有禁变，只是禁变的范围很窄、窗口很短、例外很多。窗口越短、例外越多，禁变就形同虚设。

林昼知道，今天要守住的不是某个节点，而是“窗口”的边界。

---

上午八点二十，父亲的状态明显更稳，医生说可以转入普通病房观察。护士把转床手续递过来时，父亲抬眼看林昼，嘴唇动了动，像想说话。林昼俯身靠近，父亲轻声吐出一句：“你别把自己弄成仇人。”

林昼愣了一下。

父亲这句话比“别惹事”更深。仇人不是对方的身份，是你被迫承担的角色。一旦你被塑造成“闹事者”，你说的每一句话都会被怀疑动机，你拿出的每一份证据都会被说成“选择性”，你走的每一步都会被贴上情绪。

林昼点头：“我不做仇人。我只做记录。”

父亲看着他，眼神里有担心，也有一点隐隐的松动。他终于没再说什么，闭上眼，像把那份担心暂时交给了时间。

林昼签完转科单，陪父亲到普通病房安顿好，才赶去行政楼。今天监管要召开“整改框架会”，禁变窗口与告知闭环会被摆到桌面上。

---

上午十点，整改框架会在监管线上会议室召开。

参会人员比前几次多：监管、原医院主管院长、原医院信息科负责人、原医院采购处、接收医院法务与信息安全负责人、供应商合规负责人、供应商技术负责人、以及第三方平台协查联系人。

监管开场就把“补录轨迹核验结论”作为前置事实：紧急策略存在、probewindow缩短与override启用存在、申请单补录存在、执行系统与变更系统关联缺口存在、告知内容不充分且缺乏确认闭环存在。

然后监管抛出一张整改框架清单，第一条就是：**建立医疗关键期禁变窗口制度，并确保对外供应商服务链路适配。**

监管说：“我们不讨论你们是否故意。我们讨论：此类事件如何避免再次发生。禁变窗口是底线。请原医院提出你们的关键期定义与禁变窗口建议；请供应商提出如何在禁变窗口内确保服务连续性且不使用跨区回退优先级提升；请第三方说明平台可提供的地理围栏与策略锁定机制。”

原医院主管院长先发，语气极其谨慎：“医院有转运、手术、重大抢救等关键期，但禁变窗口会影响运维效率。我们建议由供应商负责其系统的安全更新，医院只要求结果。”

监管直接回应：“医院是数据控制者与关键系统使用方，你们必须有窗口定义与决策权。你们不能把禁变权交给供应商。供应商负责执行，但窗口由医院制定，且必须书面化。”

这句话很重：窗口决策权不能外包。

供应商合规负责人立刻表示：“我们支持禁变窗口，但医疗场景存在不可预见的紧急情况，完全禁变可能影响服务可靠性。我们建议采用‘禁变+例外审批’机制。”

监管问：“例外可以，但必须具备三要素：事前最小必要告知、事中可追溯审批、事后不可补录。补录必须有轨迹，且不能晚于规定时限。你们能做到吗？”

供应商合规负责人说：“我们可以整改流程。”

监管追问：“具体怎么改？请用可执行条款描述，不要用承诺。”

第三方平台协查联系人适时补充：“平台支持地理围栏、支持禁用跨区回退、支持将策略配置锁定为只读，并可以提供变更前后版本链哈希证明。若租户需要，在特定时间段可启用‘策略冻结’功能。”

“策略冻结”。

这是一个非常关键的能力。它意味着供应商不能再在关键期用“紧急保障”随意开关。冻结一旦启用，任何变更都会被拒绝或必须走高级审批。对监管来说，这是“技术手段固化制度”的最佳证据。制度写在纸上容易绕，制度写进系统里很难绕。

林昼在隔壁听法务转述时，立刻抓住这个点，让法务在纪要里标红：“策略冻结+地理围栏+版本链哈希证明”――这些是整改的技术抓手，必须写进整改方案，不然供应商会把整改写成口号。

---

会议进入最关键部分：禁变窗口的时间范围怎么定。

原医院信息科负责人提出：“重大手术、转运、icu关键操作期间禁变，原则上从关键操作前两小时到后四小时。”

供应商技术负责人立刻反驳：“这样窗口太长，会影响日常证书更新与补丁部署。”

监管问：“你们为何必须在关键期更新证书？证书更新是否可以提前规划？如果不能规划，说明你们证书管理机制存在问题。”

供应商技术负责人说：“证书存在有效期，我们必须在到期前更新。”

监管追问：“你们在1935-1945窗口更新证书，是否因为证书临近到期？请提供证书有效期与更新计划。若证书并非临近到期，则你们选择在关键期更新属于风险决策。”

供应商沉默。

沉默意味着他们要么没准备证书计划，要么证书并非临近到期。两种都不好。

原医院主管院长试图缓和：“医院不关心证书细节，我们只要系统稳定。”

监管看着他：“医院不关心细节不代表可以忽视。关键系统稳定依赖这些细节。你们必须把供应商的变更纳入医院的禁变窗口审批。否则你们没有控制权。”

一时间，会议室里只剩键盘声。禁变窗口不仅是技术问题，更是权力问题：谁能说“现在不能动”。以前是供应商说了算，他们只要用“紧急”就能动；现在监管要求医院说了算，并且要求系统冻结支持医院决策。供应商当然不愿意，因为这会让他们失去便利，也会让他们的“紧急”失去随意性。

林昼知道，真正的博弈从这里开始。

---

中午十二点，监管给出一个“临时禁变窗口标准（试行）”的框架，要求三方在七日内确认并落地：

1）医院关键期（转运手术icu重大操作）前2小时至后6小时，供应商不得实施任何影响链路策略、证书、回滚规则的变更；

2）如确需紧急变更，必须由医院信息安全负责人主管院长签署“例外批准”，并由监管可查；

3）紧急变更不得启用跨区回退优先级提升（apac_priority_boost），不得关闭地理围栏；如必须跨区，需单独出具跨境评估与审批；

4）重大变更通知必须提前≥24小时，且必须形成确认闭环（医院确认收到并理解风险点）；