需求分析
目前全球生物安全局勢嚴峻,我國生物安全也面臨著巨大的威脅。生物安全大數(shù)據(jù)是國家生物安全體系建設的基礎支撐,同時重大傳染病防控是生物安全管理的重中之重。但是目前國內(nèi)普遍存在:缺乏統(tǒng)一互聯(lián)互通和數(shù)據(jù)安全保障、依賴國際數(shù)據(jù)庫與軟件等問題。
病原全覆蓋的國家病原微生物數(shù)據(jù)庫可以助力重大傳染病快速檢測、實時監(jiān)測、防控預測和預警,因此中科院微生物所牽頭建設了“國家微生物科學數(shù)據(jù)中心”,為疾控、海關、衛(wèi)健委等機構提供了一個覆蓋更全、分析能力更強的平臺。與此同時,國家微生物科學數(shù)據(jù)中心需要一個安全機制來保護疾控、海關、衛(wèi)健委上傳的輸入數(shù)據(jù)和國家微生物科學數(shù)據(jù)中心的數(shù)據(jù)樣本庫數(shù)據(jù)及分析程序,最終實現(xiàn)雙方的數(shù)據(jù)可用不可見。
解決方案
為了實現(xiàn)雙方的數(shù)據(jù)可用不可見,本案例采用了機密計算技術,機密計算是一種CPU安全技術,在該過程中,會創(chuàng)建一個獨立于不可信操作系統(tǒng)而存在的可信的、隔離的、獨立的執(zhí)行環(huán)境, 為不可信環(huán)境中的隱私數(shù)據(jù)和敏感計算提供了一個安全而機密的空間(即,可信執(zhí)行環(huán)境TEE)。
在處理過程中我們將敏感數(shù)據(jù)隔離加密在受保護的安全內(nèi)存中,機密計算環(huán)境中的數(shù)據(jù)只允許內(nèi)部訪問,對主機操作系統(tǒng)或者管理員都是不可見和不可知的(內(nèi)存加密),即使在宿主機上dump內(nèi)存也只能獲取到加密信息,因此可以保護疾控、海關、衛(wèi)健委上傳的輸入數(shù)據(jù),和國家微生物科學數(shù)據(jù)中心的數(shù)據(jù)樣本庫數(shù)據(jù)及分析程序,最終實現(xiàn)雙方的數(shù)據(jù)可用不可見。
圖1 解決方案示意圖
方案優(yōu)勢
該平臺用到的機密計算技術采用到了虛擬機級別的TEE方案,并在技術架構上做了創(chuàng)新的標準容器接口,因此支持Docker/Kata等容器運行模式,用戶原有程序可直接容器化導入,遷移和使用成本為零。
同時,該平臺是目前我國科學數(shù)據(jù)領域首個利用隱私計算技術,實現(xiàn)對具有數(shù)據(jù)風險保護要求的科學數(shù)據(jù)實現(xiàn)“可用不可見”的應用實踐,為解決數(shù)據(jù)安全、數(shù)據(jù)確權等長期困擾數(shù)據(jù)流通利用的難題提供了解決方案,具有重要的示范意義。
目前,全球生物安全局勢嚴峻,我國生物安全也面臨著巨大的威脅,重大傳染病防控是生物安全管理中的重中之重,國家微生物科學數(shù)據(jù)中心利用綠盟數(shù)據(jù)保險箱保障了數(shù)據(jù)的安全可信流轉,助力了科學數(shù)據(jù)更好地支撐國家重大傳染病防控。
(責任編輯:華康)