顺德农商银行加密存储应用实践

根据《金融数据安全数据生命周期安全规范》，金融企业要求4级及以上数据应使用密码算法加密存储，顺德农商银行采用华为OceanStor 5500K存储产品，实现了存盘数据的SM4透明加密。国际密码算法被广泛内置在芯片、系统内核等基础部件中，大幅提升了性能和安全性，相比之下，国产商用密码算法的生态支持不足一直是其推广落地的痛点，存储加密改造不得不寻求外置式（如外接加密机）或“套壳式”（如应用层软件加密）等规避方案，本案例在国内率先落地了内置加密存储方案，有效解决了上述痛点。

顺德农商银行通过引入华为OceanStor5500K智能存储和密钥管理服务器，实现了对存储数据的透明SM4加密。其中，SM4加密能力由存储控制器内置的自研芯片加密引擎提供，性能损失极小。整套方案不影响存储原有的双活、远程复制等增值特性，支持秒级数据销毁，对应用透明，业务无感知，避免了大量现网应用的改造成本。

案例成效

该项目是数据安全法颁布后国内首个加密存储方案落地案例，起到了良好的应用示范作用。与传统外置加密方案相比，该方案真正实现了业务零改造、性能无损失，且方案中所使用的存储和密钥管理服务器均经过商用密码检测中心认证，对应用合规和密评形成了有力的支撑。

存储内置加密技术，为金融系统提供安全数据底座

金融行业存在高等级数据加密存储的监管要求，数据加密存储可以有效防止物理攻击（如硬盘失窃）和内部人员泄密。数据加密存储可以由应用软件、数据库或外接加密机完成，也可以下沉到存储设备中进行，上述方案中，存储设备内加密是覆盖率最高、扩展性最强、性能损失最小的一种，但要求存储产品有内置加密能力，如支持商密的芯片。

存储设备由控制器和硬盘框组成，控制器拥有自己的CPU和内存，是数据进出存储设备的中转枢纽，写入的数据要经过控制器才能到达硬盘框，反之，读出的数据由控制器返回给主机侧。设备中的数据加密方式包括阵列加密与SSD盘加密，其中，数据经控制器加密后落盘的方案被称为阵列加密；而数据到达硬盘后由硬盘加密存储的方案则是SSD盘加密。阵列加密可以由软件完成，但性能开销较大，如果控制器CPU拥有商密加速引擎，就能极大降低加密造成的读写性能损失；SSD盘加密方案需要采用自加密硬盘（即SED盘），SED盘内置了加密引擎，硬件成本比普通SSD盘高，但加密性能比阵列方案更高。上述两种方案都需配套密钥管理系统，存储系统可以依托TEE等硬件信任根来保护加密根密钥，未来也可以通过安全启动技术，构造全流程可信的数据存储。存储系统作为承载金融业务数据的底层基础设施，可以通过灵活运用加密技术为各类业务提供数据保护，实现商用密码与金融业务的融合创新。