全文共1709字,阅读大约需4分钟。
前言介绍
2023年4月23日,由中国科学院微生物研究所、中国科学院计算机网络信息中心、中国生物工程学会、绿盟科技等单位联合主办的“生物领域数据安全管理与跨领域互联互通实践研讨会”在北京成功举行,会上国内首个国家微生物科学数据隐私计算平台正式发布。
国家微生物科学数据隐私计算平台通过前沿密码学、隐私计算、区块链等数据安全技术,保障包括计算分析服务提供方在内的各方,对数据可用不可见。平台中进行互联互通的相关数据受到符合国家密码标准的数字签名技术保护,平台使用区块链技术完成全流程监控,通过哈希、签名等密码学技术对关键流程进行了各方不可否认的存证,并提供科学数据链颁发的全网唯一的区块链证书以确保数据权益。
需求分析
目前全球生物安全局势严峻,我国生物安全也面临着巨大的威胁。生物安全大数据是国家生物安全体系建设的基础支撑,同时重大传染病防控是生物安全管理的重中之重。但是目前国内普遍存在:缺乏统一互联互通和数据安全保障、依赖国际数据库与软件等问题。
病原全覆盖的国家病原微生物数据库可以助力重大传染病快速检测、实时监测、防控预测和预警,因此中科院微生物所牵头建设了“国家微生物科学数据中心”,为疾控、海关、卫健委等机构提供了一个覆盖更全、分析能力更强的平台。但疾控、海关、卫健委等机构提供的分析输入数据非常重要且敏感(如重要高致病性病原菌、新冠、流感等病毒数据),国家微生物科学数据中心需要一个安全机制来保护疾控、海关、卫健委上传的输入数据,和国家微生物科学数据中心的数据样本库数据及分析程序,最终实现双方的数据可用不可见。
案例能力介绍
该平台采用了机密计算技术。机密计算是一种CPU安全技术,在该过程中,会创建一个独立于不可信操作系统而存在的可信的、隔离的、独立的执行环境,为不可信环境中的隐私数据和敏感计算提供了一个安全而机密的空间(即,可信执行环境TEE)。在处理过程中我们将敏感数据隔离加密在受保护的安全内存中,机密计算环境中的数据只允许内部访问,对主机操作系统或者管理员都是不可见和不可知的(内存加密),即使在宿主机上dump内存也只能获取到加密信息,因此可以保护疾控、海关、卫健委上传的输入数据,和国家微生物科学数据中心的数据样本库数据及分析程序,最终实现双方的数据可用不可见。在本案例中采用了海光CPU,海光密码技术以CPU内置密码协处理器和密码指令集为基础,支持国密SM2/SM3/SM4算法和真随机数生成。
案例创新点
该案例创新点主要可以归纳为4个:
1、该平台用到的隐私计算TEE和区块链方案可以实现纵深防御方案,令攻击者“进不来、看不懂、改不了、拿不走、跑不掉”。“进不来”指的是全密态存储,管办分离,操作员需要临时凭证进行访问(“金库”访问模式);“看不懂”指的是存储加密、内存加密,数据存储和计算都处于加密状态;“拿不走”指的是磁盘分区加密、虚拟机镜像全盘加密,即使恶意人员拷走了硬盘文件,镜像文件,也无法解密获取原始明文数据或文件内容;“改不了”指的是仅审计员有权限查看/操作日志记录系统,区块链保证上链记录不可篡改;“跑不掉”指的是日志审计确保数据保险箱内所有操作都记录在案,方便追溯。
2、该平台用到的隐私计算技术采用了虚拟机级别的TEE方案,并在技术架构上做了创新的标准容器接口,因此支持Docker/Kata等容器运行模式,用户原有程序可直接容器化导入,迁移和使用成本为零,基于此实现了安全与业务解耦,无须知道密码学知识即可安全计算。
3、该平台是目前我国科学数据领域,首个利用区块链和隐私计算技术,实现对具有数据风险保护要求的科学数据实现“可用不可见”的应用实践,为解决数据安全、数据确权等长期困扰数据流通利用的难题提供了解决方案,具有重要的示范意义。
4、目前全球生物安全局势严峻,我国生物安全也面临着巨大的威胁。重大传染病防控是生物安全管理中的重中之重,国家微生物科学数据隐私计算平台利用区块链和隐私计算的技术保障了数据的安全可信流转,助力了科学数据更好地支撑国家重大传染病防控,也是国家生物安全大数据体系建设的重要环节。
转载声明
本文转载自中国信通院公众号“数据安全共同体计划”。经协商绿盟科技官方公众账号已获得该文章转载资格,特此声明。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...