聚焦技术“硬”实力，全方位呵护数据安全.docxVIP

聚焦技术“硬”实力，全方位呵护数据安全 数据时代，伴随互联网应用的快速普及，全社会对数据 平安的关注度持续提升，数据平安不仅关乎每个人的切身利 益，也成为企业健康开展的必要保障。然而，全球平安行业 领先基准报告之一的《2022年数据泄露本钱报告》显示，从 2021年3月至2022年3月，有83%的受访组织表示已不是 第一次发生数据泄露事件，数据泄露的平均损失创下435万 美元的历史新高，比2021年增长了 2.6%,比2020年增长了 12. 7%o面对上述挑战，企业急需采取更为主动的平安防护措 施，对数据依法进行合理有效的开发利用，力求在“平安”与 “开展”并重的同时，进一步释放数据的潜在价值。 以数据敏感度较高的金融行业为例，金融机构对数据安 全性的要求更高，也更需要依靠创新技术来构建高平安的数 据防护策略，包括为处于存储、传输、处理、运算等状态下 的数据提供全方位防护。为实现这一目标，诸多业界领先企 业开始导入基于硬件的可信执行环境(Trusted Execution Environment, TEE)类技术，例如英特尔? 软件防护扩展 (Intel@ Software Guard Extensions,英特尔? SGX)技术，以期在尽可能不影响数据处理性能的前提下，为这些数 据提供更为可靠的平安防护，进而加速推动企业数字化转型。 Swiss Re：打通数据收集壁垒 作为全球知名的再保险、保险和其他保险型风险转移方 式提供商，Swiss Re为持续提高专有风险模型和工具的执行 效率，在为世界各地的保险机构提供更多可执行数据洞察的 同时，不断利用机器学习模型探求新的数据源。在此过程中, Swiss Re需要从供应链数据聚合平台收集有关海运数据的 连续数据集，但数据隐私和竞争问题导致获取这些数据遭遇 了重重阻碍。从保险公司的角度来看，海运数据至关重要, 因为任何时间点的港口货物总价值只能计算到某一点，但如 果Swiss Re使用不完整的数据来构建计算模型，会增加高 估或低估价值的风险。针对上述难题，Swiss Re选择引入英 特尔? SGX配合其他英特尔?平安技术打造了 Decentriq平 台，该平台是实现机密计算的SaaS解决方案之一，可对应用 和数据（无论其处于静态、传输还是使用状态）进行加密。 具体而言，英特尔? SGX的优势在于能够基于硬件内存 加密，将内存中的特定应用代码和数据隔离。在实际应用中， 该技术允许为用户级代码分配专用内存区域（又称“飞地”）, 并基于“飞地”为需要保护的数据和运算提供更为严密的平安 保护，以免其受到拥有更高权限的进程影响。此外，该技术 还能够帮助抵御基于软件的攻击，即便操作系统、驱动程序、 BIOS和虚拟机管理程序遭到破坏，英特尔? SGX也依然能对 其区域内的数据和应用代码实施保护。 最终，在英特尔? SGX的支持下，Swiss Re有效解决了 敏感数据应用问题，并结合海上保险数据的应用试点计划， 通过合成方法生成更多数据，有效验证了在对数据集执行机 密计算操作时数据规模的可扩展性和平安性，也优化了可保 性、公平定价和高效理赔流程。 结合上述实践，Swiss Re采用基于英特尔? SGX的机密 计算解决方案，成功解决了数据保护与应用方面的多种问题, 并在不同用例中实现了企业级扩展：一是在性能提升方面， 将解决方案与Swiss Re的典型数据集结合，并没有出现性 能降级，且如果采用第三代英特尔?至强?可扩展处理器， 系统性能预计将再提升一个数量级；二是在加速上市方面， Swiss Re基于机密计算方案的成功经验，有信心快速部署新 用例，从而大幅缩短其上市时间，并使开发和运行本钱保持 在合理水平；三是在平安性方面，经平安顾问公司进行平安 审计，未发现任何重大问题。 AOK ePA：加固数据平安防护 AOK是德国规模最大的医疗保险公司之一，其业务包括 保护符合法律所要求的电子病历（ePA）数据隐私和数据平安 始终不受损害，以及保证患者的信息自决权等符合当地法律 法规要求。针对上述目标，AOK选择引入英特尔? SGX技术 来构建基于硬件的可信执行环境，以满足ePA对数据完整性 和保密性的严苛要求。具体而言，英特尔?SGX的主要任务 是保护ePA文件系统（该系统通常将授权、文档管理和访问 网关结合在一起），确保只有经过身份验证的授权用户才能 与ePA进行交互，以防止个人和机构使用错误的患者数据进 行分析和评估。 与此同时，ePA的“文档管理”组件在平安方面的要求也 非常严苛，采用了加密形式来存储患者数据和文档，但是, 上述举措却很难满足这些数据在处理时的平安要求（该状态 下要求数据必须以纯文本数据的形态存在）。对此，TEE类技 术可以将处于使用状态下的数据保护起来，防止其他进程或 系统组件对