炼石中标某股份制银行国密项目，免改造加密保护数据

近日，炼石成功中标某股份制银行国密项目。针对该项目中某股份制银行系统“数据体量庞大、业务实时高频、内外部交互复杂、强监管合规”等特点，炼石基于免改造技术引擎平台，为海量个人隐私信息与重要数据资产提供全生命周期保护，实现核心业务系统国密合规升级，获得客户高度认可。

安全筑基

数据安全构建金融风险新防线

数据要素驱动金融数字化转型，安全风险伴随而生。在数字化转型的浪潮中，金融业正以前所未有的速度革新服务模式。银行业作为金融体系的中流砥柱，天然具备数据密集属性，从支付结算、信贷风控到财富管理、跨境汇兑，每笔业务背后都涉及海量数据的实时流转。随着《金融科技发展规划》、《关于银行业保险业数字化转型的指导意见》等政策落地，数据正成为驱动业务创新、风险防控与客户服务的战略资源。然而，金融数据具有高度敏感性，涵盖客户身份、账户资产、交易轨迹等核心信息，一旦泄露或遭篡改，将引发系统性金融风险，重创社会公众信任。与此同时，区块链、人工智能等新兴技术在金融科技领域的快速应用，以及内嵌新兴技术的创新应用场景，使得数据安全风险的识别难度显著增大，对银行数据保护提出了更高要求。

银行业数据攻击事件层出不穷，安全建设迫在眉睫。银行数据具有数据体量庞大、业务实时高频、内外部交互复杂、强监管合规等特征，使其面临更复杂的安全风险与合规挑战。安全风险方面，由于银行承载着万亿级客户资产与高敏金融数据，银行极易受到恶意软件、黑客攻击等安全威胁，以及内部风险、第三方服务安全隐患等，急需构建覆盖全生命周期的密码安全一体化实战防护体系。合规要求方面，《密码法》《数据安全法》《个人信息保护法》《银行保险机构数据安全管理办法》《中国银保监会监管数据安全管理办法（试行）》《促进和规范金融业数据跨境流动合规指南》等政策相继实施，以及行业监管持续收紧，特别是数据跨境流动合规的进一步规范，银行作为关键信息基础设施运营者，需承担更高的安全保护义务，采取技术措施保障数据全生命周期安全，确保其业务系统具备防范攻击、应对安全事件的能力。

实证成果

某股份制银行国密改造实践

1、案例背景

伴随银行业数字化转型的深入，数据安全已成为关乎生存与发展的核心议题。然而，兼顾业务发展与安全防护绝非易事，是金融机构面临的重大挑战。在实际调研中，炼石发现某股份制银行面临以下改造困境：

一是业务连续性与安全加固的平衡难题。银行核心系统需支撑每秒数万笔交易的高并发场景，待保护的数据量达到亿级，开发改造应用叠加数据安全，周期长、难度大、风险高，并且任何加密改造引发的性能损耗或服务中断都可能引发系统性风险。

二是异构环境下的统一防护壁垒。银行存在大型机、分布式云平台、微服务架构并存的技术生态，信息系统环境复杂、涉及字段类型多、数据库种类多，跨平台数据流转需兼顾多样协议适配与安全策略协同。

三是银行总部与分支机构的异地分布特性。银行普遍采用总行、分行、支行和网点等多级架构，且常分布在不同的省市区，这种异地分布式系统架构给敏感数据的集中式保护带来挑战，亟需一种高效、可靠且易于部署的技术方案。

四是合规监管与实战防护的双重压力。除应对外部攻击、内部越权、第三方泄露等实战威胁，构建覆盖数据全生命周期的动态防护体系，银行还需满足密评、等保、金融行业数据安全分类分级等要求。

2、解决方案

炼石围绕某股份制银行核心业务应用，提供基于免改造的密码与数据安全保护建设，通过打造免改造技术引擎平台，将安全能力系统融入银行业务系统和应用服务内部。针对银行数据在不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖客户信息管理、账户管理、交易结算、风险管理等广泛应用，纵向叠加识别、加密、脱敏、访问控制、审计追溯等多阶安全能力，面向运维侧防范内部DBA、外包、黑客拖库攻击，面向用户侧防范业务人员越权访问及风险操作，并实现集中式管控、分布式保护、分阶段上线，增强银行安全保障能力。

创新免改造技术投送多重安全能力。方案基于切面安全的免改造技术，不改变已有云服务或物理部署架构，面向应用系统以配置方式部署，可对上百个应用服务节点中的数十个字段进行策略设置，实现敏感数据以密文形式存储于数据库或文件系统，完成字段级、文件级细粒度加密，保护结构化和非结构化数据安全。适应大多数应用架构，如Java、C、C++等主流开发语言，兼容主流的关系型和非关系型数据库，满足信息系统多、环境复杂的银行数据安全需求，这种模式对业务系统连续运行无影响，也不会因实施加密而带来业务风险，解决传统外挂式密码产品改造应用成本高、落地难等痛点。针对不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖广泛应用，纵向叠加数据识别、加密脱敏、检测响应、审计追溯多阶安全能力，易部署易扩展，实现安全与业务有机融合。

一站式密改方案支撑银行合规升级。面向银行密评合规要求，炼石推出“一站式密改敏捷交付方案”以及“70+分”套餐，实现应用系统免改造接入即可实现合规升级。密改方案包括国密VPN网关、密码认证网关、应用加密网关和服务器密码机等产品。其中，国密VPN网关产品主要解决网络和通信安全测评项；密码认证网关产品主要解决应用和数据安全测评项；应用加密网关产品主要解决应用和数据安全测评项、设备和计算安全测评项；服务器密码机主要提供基础加解密算力与密管能力，支撑重要网络与信息系统“三同步、一评估”建设。

高性能国密保障数据传输存储安全。方案支持SM系列商用密码算法，针对手机号、证件号、邮箱等字段实现保留格式加密，可灵活运用SM4的多种算法模式。凭借具有PCT国际专利保护的高性能国密技术，在单CPU上SM4加解密速度突破140Gbps，确保对用户使用体验无影响。同时，方案支持多并发、多线程数据加密，适用于单表数亿条级别的数据加密以及历史数据全量加密分批操作，实现系统影响最小化。基于高性能国密及信源加密技术，可将安全能力投送到收集、传输、存储、使用等真实的数据处理流程中，支持从应用侧将数据加密后以密文形式存储，以及数据从用户侧、应用服务到数据库之间以密文形式安全流转，安全性高、合规性好，保障重要数据存储和传输的机密性和完整性。

引入“集中式管控、分布式保护”体系。方案通过银行管理用户本级统一配置安全策略，在各分支多个应用节点分别部署数据加解密平台，实现敏感数据的分布式加解密和脱敏，支撑总行、分行、支行和网点等多级架构在“省、市、区”多级联动协同。方案全面覆盖服务器、云端、桌面端、移动端、物联网端等多种场景，支持“两地三中心”高可靠性部署。此外，在元数据管理系统中，支持系统管理员、策略管理员和运维管理员之间的权力和责任分离机制，“三权分立”减少滥用权限或疏漏导致的潜在风险。

3、建设成效

本项目采用免改造技术，实现了银行系统安全可控、高效兼容、成本集约的国密改造升级，一次部署即满足多重合规要求，全面适配银行复杂应用场景。项目已成功覆盖数十个应用系统、数百个节点及数十亿条数据，构建了事前、事中、事后全流程安全防控体系，显著提升了网络、平台与数据的联动防御能力。通过对核心业务系统全面应用国密算法，建立了覆盖数据全生命周期的安全防护机制，有效防范内部越权、外部攻击及第三方泄露等风险。项目完全符合 GB/T 39786-2021 第三级密码应用标准，为银行数据安全和合规建设提供了强有力的支撑。

▌本文来源：炼石网络CipherGateway微信公众号（ID:CipherGateway)