处理器级别的出色安全防护
保护高度敏感的数据安全需要采用创新型解决方案。英特尔® 软件防护扩展(英特尔® SGX)能够满足超高的安全要求,同时对用户完全透明。德国 AOK 公司的电子病历 (ePA) 实施就是一个典型案例,充分展示了该方法的优势。
近些年来,对个人数据保护的要求不断加强,特别是《一般数据保护条例》(GDPR) 和《患者数据保护法案》(PDSG) 中的相关规定。对于医疗信息而言尤其如此,因为此类数据特别敏感——收集、存储和处理这类数据需要符合最高级别的安全防范措施。医生的诊所或医院等受控环境通常会合理地规范经营,能够遵守这些特殊要求。但是,当涉及受保人和其他服务提供商时,情况则会变得更加复杂。这正是德国法定医疗保险公司 AOK – Die Gesundheitskasse 在实施电子病历 (ePA) 时遇到的挑战。项目实施过程中,参与者除了高度关注易用性,也尤其重视数据安全。2020 年底,其 ePA 1.0 版通过 Gematik 批准,并自 2021 年 1 月 1 日起正式投入使用。
ePA 的概念
自 2021 年 1 月 1 日起,如果受保人要求,法定医疗保险公司必须为每个受保人提供电子患者档案。PDSG 指出,ePA 必须根据德国《社会法典》第五编第 291a 条之规定,始终确保数据隐私和数据安全不受损害,并保护患者的信息自决权。虽然大部分德国人赞同使用电子病历,但 2019 年 4 月,一项名为 “数字医疗系统” 的研究显示,三分之二的受访者担心数据窃取和滥用的问题。对于在背后构建 “电子病历” 系统的众多合作伙伴而言,这些要求构成了重大挑战,因为会有超过 7,000 万人使用该系统。
德国的电子病历允数量众多的各方访问其中信息,但他们对信息有不同程度的访问权限。这些访问权限不是固定的,会根据期限或受保人授权与否而改变。因此,ePA 的 “文档管理” 组件在安全方面的要求尤为严苛。尽管患者数据和文档只能以加密形式存储,但数据处理的安全要求更难满足,因为处理应用必须能够访问纯文本数据。因此,ePA 的安全概念需要 “可信执行环境” (TEE),这是一个受到特别保护的高安全性虚拟区域,特别要防止进程和其他系统组件访问。
合作伙伴和英特尔® SGX 技术助力 AOK
德国的所有法定医疗保险公司都要符合 ePA 要求和一般法律框架。然而,由于提供商众多,只能允许他们采用各自的实施时间表和概念。只要满足功能和安全要求,提供所有指定接口并遵守框架时间表,每个医疗保险公司可以独立决定实施概念和时间表。作为一个由 11 个区域医疗保险公司组成的社区,AOK 选择了英特尔® SGX 技术来实施 TEE,从而满足严苛的 ePA 完整性和保密性要求。对于技术项目规划、服务管理和运维,AOK 选择了其长期合作伙伴 ITSG,并委托 x-tention 团队开发 ePA 文件系统。TEE 的开发是与数字化服务提供商 ATOS 合作进行的,基于英特尔® 服务器处理器中集成的英特尔® SGX 架构。最后,Gematik 委托 Arvato 来运营信息远程处理系统基础设施。此外,Gematik 还负责根据德国联邦信息安全局 (BSI) 的意见,提供整个解决方案的安全规范。
AOK - 医疗基金 130 多年来,AOK 一直是德国规模最大的医疗保险公司之一。AOK 在德国各地设立了超过 1,218 个分支机构,约有 61,500 名员工,保证提供全面高效的服务。按受保人计算,AOK 享有约 37% 的市场份额,在德国法定医疗保险公司中规模处于前列。 |
英特尔® SGX:出色的安全性
全新第三代英特尔® 至强® 处理器采用英特尔® SGX 技术。英特尔® SGX 作为先进的安全机制,可与现有基础设施一同使用,更好地保护敏感型工作负载或服务。通过使用英特尔® SGX,应用可以把代码和数据隔离在 “安全飞地” 中加以保护。至强® 处理器在高达 TB 级的内存空间中管理这些飞地。经过配置后,同一系统,甚至同一 CPU 内核上运行的其他进程将无法访问该飞地中的数据和代码,即便是具有 “根” 访问权限的进程也是如此。此外,英特尔® SGX 还解决了可信远程计算的一个基本问题:如果数据所有者想要通过某个进程来处理数据,但不能或者不想直接控制该进程,就只能信任并依赖该进程的所有者。而在英特尔® SGX 中,远程认证服务器会使用哈希值来验证飞地中的代码与开发人员发布的原始代码是否匹配,并且能够检测并阻止在飞地中植入操纵代码的企图。
图 1. 英特尔® SGX 通过将敏感数据隔离在容量高达 1 TB 的飞地中,帮助保护敏感数据。
ePA 的核心:文档管理
完整的电子病历包含许多组件。它们负责将患者连接到系统,将诊所和医院的环境关联进系统,并处理病历的归档和存档。在 AOK 的 ePA 实施中,英特尔® SGX 的主要任务就是保护 ePA 文件系统。该文件系统将授权、文档管理和访问网关结合在一起,确保只有经过身份验证的授权用户才能与 ePA 交互。这也有助于防止服务提供商或医疗保险提供商等连接到 ePA 的个人和机构使用错误的患者数据进行分析和评估。
AOK 的项目经理预计,ePA 应用将需处理 5,000 至 10,000 个并发连接访问,这意味着将有这么多的飞地同时处于活跃状态。借助先进的服务器技术,只需相对少量的服务器和机架就可以承担这一负荷。ePA 文件系统使用加密的存储介质构建而成。一旦患者同意对其数据进行处理,便可以在英特尔® 至强® 处理器上的英特尔® SGX 飞地中打开和解密该数据。打开后,获得批准的应用(在本例中即 "AOK Mein Leben" 应用)便可访问文档。处理完成后,飞地关闭,记录以加密形式存储。
实际医疗记录还包含各类元数据,比如对受保人文件帐户的访问日志、受保人所有访问授权的政策文档等等。操作系统通过内核驱动程序与飞地进行通信,并受到英特尔® SGX 硬件保护功能的严格限制。飞地中执行的代码同样如此。例如,该代码不可以进行系统调用;此操作必须由通过内核驱动程序连接到飞地的应用其余部分完成。为了能够执行英特尔® SGX 命令并在飞地中运行,代码必须通过开发人员密钥进行签名和验证。
以安全开发方法为基础
ePA 应用开发人员、x-tention 团队和 ATOS 均采用基于最佳实践的安全编程流程。这些流程涵盖多个领域:最重要的是,开发人员需要接受专门培训,才能在高度安全的环境中使用英特尔® SGX。开发环境与其他网络区域严格分离,只能由经过特殊授权的人员使用。此外,整个过程受到极其严格的质量保证流程的约束。例如,开发出来的程序代码经过静态分析,其接口需接受内部和外部渗透测试。所使用的库要接受持续的定期检查,以确认是否存在恶意软件以及是否采用了安全编程技术。除了定期更新周期,还需制定事件响应计划,以便通过应急补丁来解决关键漏洞。即使软件模块持续开发和部署(持续集成/持续部署,CI/CD)所依据的机制也会以半自动化方式实施,从而在推出这些软件模块之前进行额外检查。
使用英特尔® 技术可以进一步提升安全性。英特尔会对其处理器进行全面测试,并迅速响应发现的漏洞。通过英特尔® SGX 技术,ePA 项目在整体安全性方面走向了正确方向。
选择 HPE Moonshot 和英特尔® 至强® 处理器,获得集中的处理器能力
对安全性和可用性有着超高要求的应用需要同样安全的操作环境。为此,该复杂应用结构的运营商 ITSG 很早就通过所需的公开招标流程,让 Hewlett Packard Enterprise (HPE) 参与进来,为 ePA 文档管理系统提供高度自动化、安全、高效且灵活的运营。HPE 贡献了一项关键技术,帮助 AOK 实施 ePA:ITSG 选择了采用 Moonshot 外形规格的 HPE m750 服务器机箱。HPE Moonshot 解决方案与刀片服务器相似,包含一个中央机箱,通过底板提供电源和网络连接。但是,Moonshot 计算模块的外形要小得多,使每个机箱可容纳多达 45 个 ProLiant 计算模块,包括冗余网络交换机。HPE 表示,Moonshot 每服务器用户数量可增加多达 32%,且每用户所需的功耗降低 25%。超高的组装密度带来的可扩展性可满足德国 AOK 所有成员企业的预期 ePA 增长。在数据中心的空间要求、能耗和基础设施运营方面,AOK 创造了良好条件,且已经考虑到了未来增长的需要。
结论
新推出的电子病历倍受期待。人们希望它能够带来更便捷、更灵活的医疗服务,帮助避免不必要的检查,并为患者提供医疗信息的绝对控制权和透明度。此外,2022 年起,所有法定医疗保险基金都必须支持 ePA,实现 ePA 在保险公司之间无缝迁移,且不丢失数据。得益于英特尔® SGX 技术所保障的处理器级别、值得信赖且高度安全的计算环境,围绕该技术,同时通过由各大能力出众且经验丰富的服务提供商和制造商组成的联盟,AOK 成功实施了其版本的 ePA。