智能时代的数据基座：烟台银行构建“可信数据存储安全体系”的实践与展望

推荐语

烟台银行分享如何构建智能时代的数据安全基座，为金融AI应用提供可信数据保障。

核心内容：
1. 智能时代银行数据安全面临的新挑战与变革压力
2. 烟台银行"三层递进、持续自愈"数据存储安全体系建设实践
3. 数据安全基座对银行未来AI业务发展的战略意义

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

在人工智能浪潮席卷全球的今天，烟台银行正站在一个全新的历史节点。数据，已从支撑业务的“资源”，彻底转变为驱动创新的“核心生产要素”和创造价值的“资产”。未来烟台银行的竞争力，将取决于其能否安全、高效地将数据资产转化为智能风控、智能投顾、精准营销等AI应用的“血液”与“弹药”。这要求我们的数据基础设施不仅满足传统意义上的“稳定”与“可靠”，更需具备支撑AI业务所必需的高可靠、高可用、高弹性特质。

在此背景下，我行深刻认识到，传统的以网络边界防护和静态灾备为核心的数据安全模式，正面临根本性挑战。一方面，数据流动速度与价值密度激增，使得攻击面无限扩大，静态防护体系难以应对；另一方面，日趋严格的《数据安全法》、《个人信息保护法》及金融行业监管新规，设定了明确的合规底线。更为关键的是，若无法确保数据在全生命周期内的机密性、完整性与可用性，所有基于数据的AI智能体都将成为“无源之水”，甚至可能因“数据中毒”而引发战略风险。

因此，我们启动的数据存储安全体系建设，其核心目标远不止于达成合规。它是一次旨在构筑未来核心竞争力的战略投资，是为全行“智能数据基座”打造的安全内核。

一、新挑战：为何智能时代的银行需要重构数据安全基座

驱动我们进行这次系统性重构的，是来自四个维度的深刻变革压力，这与twt社区业界同仁所共识的趋势高度契合：

1、传统安全边界失效：根据社区同行共识，在可信AI背景下，银行信贷系统、手机银行、核心总账系统等敏感数据入湖是必然趋势。数据的多副本流通、跨域共享与云化部署，使得基于“城堡与护城河”的静态边界防护模型逐渐失灵。威胁更多来自于对数据本身的直接攻击（如勒索软件、内部窃取），必须将安全能力下沉并内嵌至数据存储与访问的每一个环节。

数据来源：https://www.talkwithtrend.com/Poll/476183

2、数据成为核心资产与风险焦点：数据是银行最宝贵的数字资产，也因此成为内外部攻击的高价值目标。一次大规模的数据泄露或篡改，所造成的经济损失与声誉风险可能是毁灭性的。保护数据资产，就是保护银行的资产负债表与客户信任。

3、AI应用对高质量可信数据的绝对依赖：智能风控模型的决策准确性、智能投顾策略的有效性，完全依赖于其训练与推理所用数据的质量、一致性与真实性。不安全的存储环境可能导致数据在源头被污染或破坏，进而引发“垃圾进，垃圾出”的连锁反应，使AI应用失效甚至作出错误决策。安全的数据基座，是AI智能体可靠运行的先决条件。

4、监管合规的刚性要求与驱动：国家与金融监管机构已构建起严密的数据安全法治框架。我们的体系正是对监管要求的积极回应，特别是对twt社区《银行业IT趋势项目热力图》中“基石域/治理与安全 -> 基础安全与合规”集群下“商用密码改造”、“数据安全分级分类”等核心项目的具体实践与落地。合规是底线，超越合规构建主动防御能力才是目标。

二、新架构：烟台银行“三层递进、持续自愈”的数据存储安全体系

基于以上挑战，我们规划并正在构建一个逻辑上层层递进、能力上持续进化的数据存储安全立体防护体系。该体系旨在为从生产核心到备份容灾，再到未来智能联动的全场景提供保护。

2.1 技术路线评估与选择

1.为何选择存储层推进国密改造？—— 烟台银行的现实诉求

作为区域性商业银行，烟台银行承载着海量个人储蓄、企业信贷、跨境结算等核心业务，数据安全直接关系到客户资产安全与金融稳定。在《网络安全法》《密码法》等法规强制要求下，金融行业需完成从国际算法（如 AES、RSA）向国密算法（SM4、SM2）的迁移，而存储层作为数据最终落地的核心环节，成为国密改造的关键切入点。从企业视角看，存储层改造的核心诉求集中在三点：一是数据全生命周期安全，确保交易记录、客户隐私等敏感数据在存储阶段不被泄露、篡改；二是业务无感知适配，避免改造对柜台业务、手机银行、ATM 交易等现有服务造成中断；三是合规成本平衡，在满足监管要求的同时，控制改造对硬件、运维的额外投入。

与此同时，敏感数据全链路加密是可信AI落地的应用高质量敏感数据的必要手段。过去银行敏感数据普遍采用应用层加密。在可信AI驱动下，敏感数据入湖并在湖内进行跨系统流通，传统仅在传输环节的加密已无法满足“数据可用不可见”的安全需求。敏感数据加密需要覆盖全链路。存储环节是数据的“终点”与“起点”： 几乎所有数据最终都需落盘存储，且从存储中读出。在此环节实施加密，能从根本上确保数据在静态时就是安全的。

社区同行共识：随着金融企业向复合型数据中心演进，基于存储的全链路加密是否应作为数据安全治理的战略起点之一？（单选）

数据来源：https://www.talkwithtrend.com/Poll/476179

基于如上几点，我们选择了基于存储层推进国密改造。

2.适用场景锁定 —— 聚焦银行核心存储场景

结合烟台银行的业务实际，基于存储层的国密改造主要适用于三类核心场景：

• 核心业务系统存储：包括个人存款系统、企业信贷管理系统的数据库存储（如 MySQL、Oracle 数据文件），这类数据具有高敏感性、高访问频率特征，需通过存储加密实现 “数据静止加密”，且需支持毫秒级解密响应，不影响交易吞吐量；

  
  

• 备份数据存储：银行每日产生的增量备份、异地灾备数据，通过存储层加密可避免备份介质丢失、被盗导致的数据泄露，尤其适配磁带库、分布式备份存储等场景；

  
  

• 非结构化数据存储：如客户身份证扫描件、合同电子版、审计报告等文件存储，这类数据分散在文件服务器、对象存储中，通过存储层透明加密可简化加密管理，无需改造上层业务系统。

  
  

不适配场景需明确排除：一是高频实时交易的内存数据（存储层加密无法覆盖内存态）；二是跨银行互联互通的传输数据（需依赖传输层国密改造，如 SSL/TLS 协议替换）。

2.2 具体架构方案

■ 层次一（生产保障层）：基于国密算法与存储双活的核心数据保护

本层聚焦于保障在线生产系统的数据安全，是体系的基石。我们以重要生产系统为试点，采用“全闪存升级+存储级双活+外置KMS国密（SM4）加密”的方案。该方案的核心价值在于：

无缝合规：实现对海量结构化与非结构化数据的透明、无损加密，确保所有落盘数据符合国家密码应用要求，为通过金融密评打下基础。

业务无感：加密在存储层完成，无需改造上层应用，降低了实施复杂性与风险，可快速实现全面覆盖。

高可用保障：存储双活架构确保了硬件故障或站点级灾难下的业务连续性与数据安全，满足了核心业务对高可用的要求。

■ 层次二（容灾与隔离层）：构建基于Air-Gap技术的防勒索数据保险库

备份数据不应成为攻击者的“人质”。在异地灾备中心实现安全隔离区，具备数据防勒索体系能力。通过Air-Gap功能构建生产到灾备的隔离能力，实现数据安全防护体系能力升级。核心能力如下：

安全隔离：隔离域和生产环境仅做必要的复制连接，且仅当复制时候连接才会建立，复制完成后，该连接自动断开，硬件底层的AIR GAP复制暴露面更小，安全性更高。

数据安全检测：对被攻击数据文件进行安全检测，对异常的访问与数据变化进行告警与处置。

存储数据防篡改：具备安全快照和WORM只读保护能力。

数据加密：具备保障数据机密性和完整性能力。

■ 层次三：展望未来

展望未来，我行将持续“加码”创新，深化金融科技与实体经济的融合，加强数据安全方案建设，以更强劲的转型动能加速数字化升级，不断提升金融服务的精准度与普惠性，在为广大客户创造更高价值的同时，为金融行业的高质量发展注入源源不断的“数智”力量。

三、新价值：从“成本中心”到“业务使能器”的实践成效

这套体系的建设，正在将数据安全从传统的“后台成本中心”，转变为驱动业务发展的“战略使能器”：

为业务连续性提供终极兜底：通过生产层高可用与隔离层防勒索能力的结合，我们为极端故障和恶性攻击场景提供了可靠的“最后一道防线”，确保银行核心服务永不中断，筑牢了客户信任的根基。

为AI业务规模化部署注入“安全燃料”：体系确保了用于训练和服务AI模型的数据源是加密的、完整的、未被篡改的。这为全行未来大规模部署各类业务智能体提供了可信、高质量的数据基座，让创新团队能够安心、放心地挖掘数据价值。

为数据驱动型创新提速：一个可知、可控、可信的安全环境，降低了业务部门在探索新数据应用时的合规与安全顾虑。安全不再仅是“刹车片”，更成为了保障创新高速平稳运行的“安全带”和“导航仪”。

四、新共识：我们的思考

通过本次实践，我们深刻体会到，面向智能时代的数据安全建设，必须实现三个根本性转变：从“边界防护”转向“数据核心防护”，从“静态合规”转向“持续主动防御”，从“IT项目”转向“业务战略支撑”。

数据安全建设道阻且长，且无一家银行能独自应对所有挑战。我们希望与更多同行伙伴，围绕“智能数据基座的安全架构”、“AI时代的数据分级分类与动态授权”等议题，展开更深入的交流与合作。让我们共同携手，定义标准，分享经验，为中国银行业的智能化、安全化转型贡献智慧和力量，让数据资产在安全的前提下，真正释放其驱动未来的巨大能量。