近些年来,人们都或多或少接到过推销,乃至诈骗电话,在嫌弃或愤怒之余也会困惑,电话另一头是如何得到自己的隐私信息?在互联网上,也常见有报道称各类企业都会因各种意外导致用户信息泄露,使得业务和客户财产双双受损。
数据安全形势不容乐观
随着更多人直观体验到了随时可能会发生在身边的数据泄露带来的风险,全社会对数据安全的认知快速提升,清晰意识到数据安全关乎全社会以及每个人的利益,也是数据时代企业健康发展的必要保障,目前全球多个国家纷纷出台相关法规,对数据予以高度重视和日益严格的保护。
那么,我们面临的数据安全形势究竟怎么样呢?
权威调研表明,现状并不乐观。据全球安全行业领先基准报告之一的《2022年数据泄露成本报告》[1],对550家全球不同行业和地域的组织调研显示,在2021年3月至2022年3月期间,83%受访组织已不是第一次发生数据泄露事件,数据泄露的平均成本创下435万美元的历史新高,比2021年增长了2.6%,自2020年以来增长了12.7%。
面对数据日益成为一种关键生产要素的现状及其面临的严峻安全挑战,加强数据资产的安全保护,成为促进社会经济发展和增加人们福祉的当务之急。企业与机构需要采取主动的保护措施,促进数据开发利用与保障数据安全“并重”,对数据依法进行合理有效地开发利用,有效释放和发挥其潜在价值。
尤其是数据敏感度更高的医疗健康行业和金融保险行业等,对数据安全性的要求也更高,更需依靠创新技术,构建高安全的数据防护策略。这一策略意味着要对各种状态的数据提供更周全的防护,无论它们是处于存储、传输的状态下,还是在对它们进行处理和运算时,事实上,最后一个环节,曾经是数据安全防护的一大薄弱环节,或者说短板。
为了补上这个短板,一些在数据安全领域处于领先地位的企业,如Swiss Re、AOK等公司,也开始导入基于硬件的可信执行环境(Trusted Execution Environment, TEE)类技术,例如英特尔® 软件防护扩展(Intel® Software Guard Extensions,英特尔® SGX)技术,为求在尽量降低对数据处理性能影响的同时,来为这些数据提供更为可靠的防护,从而既满足了业务发展进程中对数据安全的高需求,同时也加速了其业务或服务的数字化进程。
助力Swiss Re:打破数据收集壁垒
Swiss Re是全球知名的再保险、保险和其他保险型风险转移方式提供商,在为世界各地的保险客户提供更多可执行的数据洞察的同时,为了提高自己的专有风险模型和工具的效率,还利用机器学习模型不断探求新的数据源。
但是在业务不断发展的过程中,Swiss Re碰到了棘手的数据安全相关问题。这是由于它需要从供应链数据聚合平台收集有关海运数据的连续数据集,但数据隐私和竞争问题使获取这些数据遭遇了重重阻碍。从保险公司的角度来看,海运数据至关重要,因为任何时间点的港口货物总价值只能计算到某一点。这给Swiss Re带来了不少困难,因为用不完整的数据来构建计算模型会增加高估或低估价值的风险。
为了化解利用关键数据源进行分析,同时确保数据得到保护的矛盾,Swiss Re引入了基于英特尔® SGX及其他英特尔® 安全技术打造的Decentriq平台,该平台是首批实现机密计算的SaaS解决方案之一,可对应用和数据(不论其处于静态、传输中还是使用中)进行加密。
SGX的优势在于,其能够通过基于硬件的内存加密,将内存中的特定应用代码和数据隔离开来;在应用中,该技术允许为用户级代码分配专用内存区域(又称“飞地”),这种“飞地”可如铜墙铁壁般,对需要保护的数据、运算等提供更严密的保护,以免其受到拥有更高权限的进程影响。此外,它还能够帮助抵御基于软件的攻击,即便操作系统、驱动程序、BIOS和虚拟机管理程序遭到破坏,也依然能对其区域内的数据和应用代码实施保护。
在SGX的支持下,Swiss Re可有效应对其企业内外均要围绕敏感数据展开协作的场景和问题,并经过海上保险数据的应用试点计划,通过合成的办法生成更多数据,验证了在对数据集执行机密计算操作时数据规模的可扩展性和安全性,也优化了可保性、公平定价和高效理赔流程。
基于这一成功实践,Swiss Re表示,基于英特尔® SGX的机密计算解决方案可以解决数据保护与利用的多种问题,能够在不同用例中实现企业级扩展,并给与积极评价:
-性能提升:解决方案与Swiss Re使用的典型数据集结合使用时,没有出现性能降级,如采用第三代英特尔® 至强® 可扩展处理器,系统性能预计将再提升一个数量级;
-加速上市:Swiss Re有信心基于机密计算方案的成功经验快速部署新用例,缩短上市时间并使开发和运行成本保持在合理水平;
-安全性:经安全顾问公司进行安全审计,未发现任何重大问题。
护航AOK ePA 构建医保信息安全区
AOK是德国规模最大的医疗保险公司之一,为符合法律所要求的电子病历(ePA)数据隐私和数据安全始终不受损害,并保证患者的信息自决权等符合当地《一般数据保护条例》(GDPR)与《患者数据保护法案》(PDSG)中的规定与要求,AOK选择引入英特尔® SGX技术,来构建基于硬件的可信执行环境(Trusted Execution Environment, TEE),以满足ePA对数据完整性和保密性的严苛要求。
在AOK ePA项目中,SGX的主要任务就是保护ePA文件系统。该文件系统将授权、文档管理和访问网关结合在一起,确保只有经过身份验证的授权用户才能与ePA交互,有助于防止个人和机构使用错误的患者数据进行分析和评估。
AOK选中SGX的原因,也是因为它能够为处于处理或计算中的数据提供更好的保护。ePA的“文档管理”组件在安全方面的要求确实非常严苛,也采用了加密形式来存储患者的数据和文档,但这些数据在处理时的安全要求却很难满足,因为它们在处理和应用状态时下必须是以纯文本数据的形态而存在的,而TEE类的技术正是为此而生,它可以将处于使用状态下的数据保护起来,防止其他进程或系统组件对其进行干扰、访问和攻击。
SGX对ePA的数据处理或访问环节提供保护的具体流程可以这样解析:其文件系统是使用加密的存储介质构建而成,一旦患者同意对其数据进行处理,使可以在SGX生成的“飞地”中打开和解密数据,而只有获得批准的应用,才能访问这些文档和数据。处理完成后,飞地会关闭,记录也会再以加密形式存储。在这一过程中,操作系统等其他系统组件与飞地进行通信也会受到SGX硬件保护功能的严格限制,必须通过其内核驱动程序。所谓批准的应用,其代码不经SGX内核驱动程序也不能进行系统调用,而且要在“飞地”中运行,它们也必须通过开发人员密钥进行签名和验证。
同样,在项目实施过程中,ePA应用开发等人员需要接受专门培训,才能在与其他网络区域严格分离的高安全环境中使用SGX进行应用开发、分析、测试、更新等操作,这种做法从全流程角度提升了安全水平,有效保障了ePA项目在整体安全性方面方向正确,实现预期。而如今第三代英特尔® 至强® 可扩展处理器全面内置了SGX技术,也让其可以更好地兼顾了数据处理性能,这使得ePA在同时面对常见的5000-10000个并发连接访问时,只要相对少量的服务器和机架就可以承担这一负荷。
数据时代快速到来,人们在享受着数字科技带来的同时,也面临着日益严峻的安全问题,尤其是移动环境和云服务对硬件和平台安全机制的需要更加迫切, 使得构建基于硬件的可信执行环境必不可少。英特尔® SGX以基于硬件安全防护机制为强化的保障,不依赖于固件和软件的安全状态,而是通过指令集扩展与访问控制机制,可实现不同程序间的隔离运行,能更好地保护用户关键代码和数据的机密性与完整性不受恶意侵犯和破坏。此外,SGX可保障运行时的可信执行环境,使得恶意代码无法访问与篡改其他程序运行时的保护内容,进一步增强了系统的安全性。
在2021年发布的面向单双路的第三代英特尔® 至强® 可扩展处理器,不但对英特尔® SGX技术实现了全系列产品线的内置,还对其进行了强化,即扩展了飞地的容量上限,最多可在一台双路服务器上实现1TB的“飞地”设置(单颗处理器最高支持512GB),以方便用户将更大体量的数据和应用代码置于其保护范围内,从而帮助机密计算、多方安全计算和联邦学习等应用在强化安全的前提下尽可能提升自身的运行效率。
有鉴于SGX上述优势,在实际应用当中,不仅已有诸如Swiss Re 、AOK等海外企业基于其硬件安全机制,在提升数据安全防护水平的基础上实现了业务创新和数字化转型,也有很多中国本地的企业,特别是医疗、金融等行业用户已经或正在基于其增强型安全和已验证功能的组合,积极打造适用于自身业务的可信执行环境,从而更好保障数据资产安全和增值,并加快业务数智化转型。
参考白皮书:https://www.intel.cn/content/www/cn/zh/customer-spotlight/cases/security-processor-level-sgx-electronic-patient.html
架构师成长计划课程链接:https://bizwebcast.intel.cn/eventstart.aspx?eid=315&tc=u6s8lwaepl&frm=wechatkol
[1]《2022年数据泄露成本报告》,如欲了解详情请访问: