近年来,我国高度重视金融数据安全保护,持续出台并完善相关法律制度。2020年9月23日,《中国银保监会监管数据安全管理办法(试行)》发布,对金融数据的安全管理纳入范围;2025年5月1日,央行发布《中国人民银行业务领域数据安全管理办法》,旨在为相关数据处理者依法依规开展业务领域数据处理活动、完善数据合规管理制度提供实践指引。
银行在推进终端国产化过程中,面临着严峻的数据保护与运营管理挑战:终端设备存储了海量工作数据及客户信息,如何防范设备丢失、被盗时的数据泄露,如何抵御非法入侵者从底层窃取敏感信息,以及如何阻止内部人员通过物理拆卸存储介质造成的泄密,都是亟待解决的问题。而传统纯软件磁盘加密方案存在显著局限 —— 既难以切实保障密钥安全,部署过程又较为复杂,还会影响用户使用体验。
为应对国产化终端的数据安全问题,招商银行采用基于海光CPU可信密码模块的磁盘加密管控整体方案,利用海光CPU内置可信密码模块TCM与UOS磁盘分区加密能力,在系统底部设备驱动层自动对访问磁盘分区数据进行加密,一次性保护分区上所有数据。方案架构如下:
相较于其他终端磁盘加密方案,该方案的安全性更为突出:其密钥被安全存储在终端本地CPU的可信密码模块内,并与操作系统的可信验证深度绑定,能够有效抵御更复杂的攻击手段。同时,密钥通过域管平台实现集中化管理,便于规模化应用与部署。此外,该方案对终端的改造过程对用户完全无感,且支持国密指令集,可显著提升磁盘加解密效率,从而为用户带来更优的使用体验。
招商银行已完成超过数万台终端设备的改造。针对存量设备,无需返厂,也不用额外添加硬件,仅通过升级BIOS支持海光可信能力,就能实现相应的磁盘加密方案;至于新采购的终端,可在出厂时完成配置,这大大降低了方案的推广难度。
