金融業(yè)可信執(zhí)行環(huán)境技術(shù)應(yīng)用管理辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)可信執(zhí)行環(huán)境（TrustedExecutionEnvironment,TEE）技術(shù)的應(yīng)用與管理，保障金融業(yè)務(wù)數(shù)據(jù)安全與系統(tǒng)穩(wěn)定運(yùn)行，防范技術(shù)風(fēng)險(xiǎn)，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》（JR/T0197-2020）等法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的銀行業(yè)金融機(jī)構(gòu)、證券期貨業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)、非銀行支付機(jī)構(gòu)以及其他從事金融業(yè)務(wù)的機(jī)構(gòu)（以下統(tǒng)稱(chēng)“金融機(jī)構(gòu)”）。金融機(jī)構(gòu)在開(kāi)展客戶身份識(shí)別、支付結(jié)算、交易撮合、資產(chǎn)托管、數(shù)據(jù)存證、智能合約等業(yè)務(wù)時(shí)，使用TEE技術(shù)保護(hù)敏感數(shù)據(jù)或關(guān)鍵業(yè)務(wù)邏輯的，均須遵守本辦法。第三條定義與術(shù)語(yǔ)可信執(zhí)行環(huán)境（TEE）：一種基于硬件隔離或軟件加固技術(shù)構(gòu)建的安全執(zhí)行區(qū)域，能夠在不可信的操作系統(tǒng)環(huán)境中，為安全敏感代碼和數(shù)據(jù)提供隔離、加密、完整性保護(hù)及防篡改能力。典型技術(shù)包括IntelSGX、AMDSEV、ARMTrustZone、RISC-VTrustedExecutionEnvironment等?？尚艖?yīng)用（TrustedApplication,TA）：運(yùn)行于TEE內(nèi)部的應(yīng)用程序，負(fù)責(zé)處理核心敏感邏輯，如密鑰生成、數(shù)字簽名、隱私計(jì)算等。遠(yuǎn)程證明（RemoteAttestation）：TEE向外部實(shí)體證明其自身身份、運(yùn)行環(huán)境完整性及加載代碼真實(shí)性的過(guò)程，是建立信任的關(guān)鍵機(jī)制。敏感數(shù)據(jù)：金融機(jī)構(gòu)在業(yè)務(wù)活動(dòng)中收集、存儲(chǔ)、處理的，一旦泄露、篡改或?yàn)E用可能危害金融安全、客戶權(quán)益或機(jī)構(gòu)聲譽(yù)的數(shù)據(jù)，包括但不限于客戶身份信息、賬戶密碼、交易憑證、資產(chǎn)信息、風(fēng)控模型參數(shù)等。第四條基本原則金融機(jī)構(gòu)應(yīng)用TEE技術(shù)應(yīng)遵循以下原則：安全優(yōu)先原則：將數(shù)據(jù)安全與業(yè)務(wù)連續(xù)性置于首位，TEE技術(shù)選型與部署需滿足金融級(jí)安全要求。合規(guī)性原則：符合國(guó)家網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等法律法規(guī)及金融監(jiān)管要求。最小權(quán)限原則：TEE內(nèi)運(yùn)行的可信應(yīng)用僅獲取完成其功能所必需的最小權(quán)限，敏感數(shù)據(jù)僅在必要范圍內(nèi)暴露?？蓪徲?jì)原則：TEE的關(guān)鍵操作（如密鑰使用、數(shù)據(jù)訪問(wèn)）應(yīng)具備完整的日志記錄與審計(jì)能力。動(dòng)態(tài)防御原則：關(guān)注TEE技術(shù)本身的安全漏洞與威脅演進(jìn)，建立持續(xù)的安全評(píng)估與漏洞修復(fù)機(jī)制。第二章技術(shù)選型與部署要求第五條技術(shù)選型評(píng)估金融機(jī)構(gòu)在選擇TEE技術(shù)方案時(shí)，應(yīng)從以下維度進(jìn)行全面評(píng)估：評(píng)估維度關(guān)鍵考量因素安全能力隔離強(qiáng)度、加密算法安全性、防側(cè)信道攻擊能力、遠(yuǎn)程證明機(jī)制的健壯性。成熟度與生態(tài)技術(shù)標(biāo)準(zhǔn)的成熟度、社區(qū)支持度、硬件廠商的持續(xù)投入、是否存在已知高危漏洞。性能與兼容性對(duì)業(yè)務(wù)性能的影響（如延遲、吞吐量）、與現(xiàn)有IT架構(gòu)（操作系統(tǒng)、虛擬化平臺(tái)、云環(huán)境）的兼容性。供應(yīng)鏈安全硬件/固件的供應(yīng)鏈透明度、是否存在后門(mén)風(fēng)險(xiǎn)、廠商的安全更新機(jī)制。成本效益硬件采購(gòu)成本、開(kāi)發(fā)與維護(hù)成本、與傳統(tǒng)安全方案（如HSM）的成本對(duì)比。第六條部署架構(gòu)要求物理隔離與邏輯隔離結(jié)合：TEE應(yīng)作為縱深防御體系的一部分，與傳統(tǒng)防火墻、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、終端安全管理系統(tǒng)等協(xié)同工作，而非單一依賴(lài)。關(guān)鍵組件冗余：對(duì)于承載核心業(yè)務(wù)的TEE節(jié)點(diǎn)，應(yīng)考慮部署冗余架構(gòu)，避免單點(diǎn)故障。網(wǎng)絡(luò)邊界防護(hù)：TEE節(jié)點(diǎn)應(yīng)部署在安全域內(nèi)，通過(guò)嚴(yán)格的訪問(wèn)控制策略限制外部網(wǎng)絡(luò)直接訪問(wèn)TEE接口，必要時(shí)可通過(guò)安全網(wǎng)關(guān)進(jìn)行流量過(guò)濾與審計(jì)。云環(huán)境適配：在云環(huán)境中部署TEE時(shí)，應(yīng)選擇支持TEE技術(shù)的合規(guī)云服務(wù)商，并明確云服務(wù)商與金融機(jī)構(gòu)在安全責(zé)任上的邊界。第七條可信應(yīng)用（TA）開(kāi)發(fā)規(guī)范安全開(kāi)發(fā)生命周期（SDL）：可信應(yīng)用的開(kāi)發(fā)應(yīng)遵循嚴(yán)格的安全開(kāi)發(fā)生命周期，包括安全需求分析、威脅建模、代碼審計(jì)、模糊測(cè)試、滲透測(cè)試等環(huán)節(jié)。代碼最小化：可信應(yīng)用的代碼量應(yīng)盡可能精簡(jiǎn)，減少攻擊面。僅將核心敏感邏輯（如密鑰管理、隱私計(jì)算核心算子）放入TEE，非敏感邏輯應(yīng)在REE（RichExecutionEnvironment，富執(zhí)行環(huán)境，即普通操作系統(tǒng)）中處理。內(nèi)存安全：采用內(nèi)存安全的編程語(yǔ)言（如Rust）或?qū)/C++代碼進(jìn)行嚴(yán)格的內(nèi)存安全檢查，防范緩沖區(qū)溢出等常見(jiàn)漏洞。密鑰管理：TEE內(nèi)生成的密鑰應(yīng)受到硬件保護(hù)，避免明文導(dǎo)出。密鑰的使用需通過(guò)安全的調(diào)用接口，并記錄日志。第三章安全管理與運(yùn)營(yíng)第八條遠(yuǎn)程證明與身份管理遠(yuǎn)程證明機(jī)制：金融機(jī)構(gòu)應(yīng)建立基于TEE遠(yuǎn)程證明的信任體系。對(duì)于對(duì)外提供服務(wù)的TEE節(jié)點(diǎn)（如面向客戶或合作方），必須啟用遠(yuǎn)程證明，確保服務(wù)請(qǐng)求方能夠驗(yàn)證TEE環(huán)境的真實(shí)性與完整性。根信任錨點(diǎn)：遠(yuǎn)程證明的根信任錨點(diǎn)（RootofTrust,RoT）應(yīng)妥善保管，可考慮采用硬件安全模塊（HSM）或?qū)Ｓ玫目尚牌脚_(tái)模塊（TPM）進(jìn)行保護(hù)。身份標(biāo)識(shí)：為每個(gè)TEE實(shí)例分配唯一的身份標(biāo)識(shí)，并與機(jī)構(gòu)的統(tǒng)一身份管理系統(tǒng)集成。第九條密鑰與證書(shū)管理密鑰生成與存儲(chǔ)：TEE內(nèi)的關(guān)鍵密鑰（如簽名密鑰、加密密鑰）應(yīng)在TEE內(nèi)部生成，并存儲(chǔ)于TEE提供的安全存儲(chǔ)區(qū)域（如IntelSGX的EPC內(nèi)存加密區(qū)），禁止在REE中以明文形式處理。密鑰生命周期管理：建立完善的密鑰生命周期管理流程，包括密鑰生成、分發(fā)、激活、輪換、吊銷(xiāo)與銷(xiāo)毀。密鑰輪換周期應(yīng)根據(jù)密鑰用途和安全風(fēng)險(xiǎn)評(píng)估結(jié)果確定。證書(shū)體系：遠(yuǎn)程證明過(guò)程中使用的證書(shū)應(yīng)符合國(guó)家密碼管理相關(guān)規(guī)定，可采用國(guó)密算法（如SM2/SM3/SM4）。證書(shū)鏈應(yīng)清晰，根證書(shū)應(yīng)由權(quán)威CA或機(jī)構(gòu)自建的可信CA簽發(fā)。第十條數(shù)據(jù)安全管理數(shù)據(jù)分類(lèi)分級(jí)：依據(jù)《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》（JR/T0197-2020）對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，明確需要TEE保護(hù)的敏感數(shù)據(jù)范圍。數(shù)據(jù)流轉(zhuǎn)控制：敏感數(shù)據(jù)進(jìn)入TEE前，應(yīng)進(jìn)行必要的脫敏或加密處理（如僅將哈希值或加密后的數(shù)據(jù)傳入）。TEE內(nèi)處理后的數(shù)據(jù)，如需輸出到REE，應(yīng)根據(jù)其敏感程度決定是否加密及加密強(qiáng)度。嚴(yán)格限制敏感數(shù)據(jù)在TEE與REE之間的不必要流轉(zhuǎn)。數(shù)據(jù)銷(xiāo)毀：TEE內(nèi)存儲(chǔ)的敏感數(shù)據(jù)在使用完畢或達(dá)到生命周期后，應(yīng)采用安全擦除方式徹底銷(xiāo)毀，防止數(shù)據(jù)殘留。第十一條日志與審計(jì)日志記錄：TEE應(yīng)記錄所有與安全相關(guān)的關(guān)鍵操作日志，包括但不限于：TEE實(shí)例的啟動(dòng)、關(guān)閉、狀態(tài)變更?？尚艖?yīng)用的加載、卸載、異常退出。密鑰的創(chuàng)建、使用、輪換、銷(xiāo)毀。敏感數(shù)據(jù)的訪問(wèn)、修改、導(dǎo)出。遠(yuǎn)程證明請(qǐng)求與響應(yīng)。日志存儲(chǔ)與保護(hù)：TEE產(chǎn)生的日志應(yīng)實(shí)時(shí)、完整地傳輸至獨(dú)立于TEE的安全日志服務(wù)器，日志數(shù)據(jù)應(yīng)加密存儲(chǔ)，并設(shè)置嚴(yán)格的訪問(wèn)權(quán)限，確保日志本身的完整性與不可篡改性。審計(jì)機(jī)制：定期對(duì)TEE日志進(jìn)行安全審計(jì)，檢查是否存在異常操作或安全事件。審計(jì)結(jié)果應(yīng)形成報(bào)告，并作為安全評(píng)估的重要依據(jù)。第十二條漏洞管理與應(yīng)急響應(yīng)漏洞監(jiān)測(cè)：建立TEE技術(shù)相關(guān)的漏洞監(jiān)測(cè)機(jī)制，密切關(guān)注硬件廠商、安全研究機(jī)構(gòu)發(fā)布的安全公告，及時(shí)獲取SGX、TrustZone等技術(shù)的最新漏洞信息。漏洞評(píng)估與修復(fù)：對(duì)于發(fā)現(xiàn)的TEE漏洞，應(yīng)組織專(zhuān)業(yè)團(tuán)隊(duì)進(jìn)行影響評(píng)估。對(duì)于高危漏洞，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)流程，采取臨時(shí)緩解措施（如關(guān)閉相關(guān)功能、限制訪問(wèn)），并積極配合廠商進(jìn)行補(bǔ)丁更新。應(yīng)急響應(yīng)預(yù)案：制定針對(duì)TEE安全事件的專(zhuān)項(xiàng)應(yīng)急響應(yīng)預(yù)案，明確事件分級(jí)、報(bào)告流程、處置步驟、溝通機(jī)制及責(zé)任分工。定期組織應(yīng)急演練，提升應(yīng)對(duì)TEE相關(guān)安全事件的能力。第三章業(yè)務(wù)場(chǎng)景與實(shí)施規(guī)范第十三條典型業(yè)務(wù)場(chǎng)景應(yīng)用規(guī)范金融機(jī)構(gòu)可在以下典型業(yè)務(wù)場(chǎng)景中應(yīng)用TEE技術(shù)，并需遵守相應(yīng)實(shí)施規(guī)范：1.客戶身份認(rèn)證與電子簽名應(yīng)用目標(biāo)：保護(hù)客戶身份信息（如人臉特征、指紋模板）和簽名私鑰，防止身份冒用與簽名偽造。實(shí)施規(guī)范：客戶生物特征模板應(yīng)在TEE內(nèi)進(jìn)行提取、加密存儲(chǔ)與比對(duì)，原始圖像數(shù)據(jù)僅在必要時(shí)短暫存在。電子簽名私鑰應(yīng)在TEE內(nèi)生成并存儲(chǔ)，簽名操作必須在TEE內(nèi)完成，私鑰永不導(dǎo)出。簽名結(jié)果應(yīng)附帶TEE的簽名證明，確保簽名行為的不可否認(rèn)性。2.支付交易安全防護(hù)應(yīng)用目標(biāo)：保障支付指令的完整性、支付密碼的安全性，防范交易劫持與欺詐。實(shí)施規(guī)范：支付敏感信息（如CVV碼、動(dòng)態(tài)口令種子）應(yīng)在TEE內(nèi)處理，避免在REE中暴露。支付指令的生成與驗(yàn)證邏輯應(yīng)部署在TEE中，確保交易指令未被篡改。對(duì)于移動(dòng)支付終端，可利用ARMTrustZone技術(shù)構(gòu)建安全支付環(huán)境。3.隱私計(jì)算與數(shù)據(jù)共享應(yīng)用目標(biāo)：在保護(hù)數(shù)據(jù)隱私的前提下，實(shí)現(xiàn)多方數(shù)據(jù)的聯(lián)合計(jì)算與價(jià)值挖掘，如聯(lián)合風(fēng)控、精準(zhǔn)營(yíng)銷(xiāo)。實(shí)施規(guī)范：參與方的數(shù)據(jù)在本地加密后，通過(guò)TEE進(jìn)行安全計(jì)算（如安全多方計(jì)算、聯(lián)邦學(xué)習(xí)的部分環(huán)節(jié)），原始數(shù)據(jù)不離開(kāi)本地TEE。確保TEE之間的通信鏈路安全，可采用TLS/DTLS協(xié)議加密。計(jì)算結(jié)果的輸出應(yīng)經(jīng)過(guò)脫敏處理，避免泄露原始數(shù)據(jù)信息。4.智能合約與區(qū)塊鏈安全應(yīng)用目標(biāo)：為區(qū)塊鏈節(jié)點(diǎn)的智能合約執(zhí)行提供更高級(jí)別的安全隔離，防止合約漏洞被利用攻擊鏈上資產(chǎn)。實(shí)施規(guī)范：將核心智能合約邏輯或關(guān)鍵數(shù)據(jù)（如合約賬戶私鑰）部署在TEE中運(yùn)行。利用TEE的遠(yuǎn)程證明機(jī)制，向鏈上其他節(jié)點(diǎn)證明合約執(zhí)行環(huán)境的安全性。智能合約的升級(jí)與補(bǔ)丁操作需在TEE的嚴(yán)格控制下進(jìn)行。5.風(fēng)控模型與策略保護(hù)應(yīng)用目標(biāo)：保護(hù)金融機(jī)構(gòu)核心的風(fēng)控模型算法、參數(shù)及策略邏輯，防止模型泄露與逆向工程。實(shí)施規(guī)范：風(fēng)控模型的訓(xùn)練與推理過(guò)程可在TEE中進(jìn)行，模型參數(shù)以加密形式存儲(chǔ)于TEE。外部系統(tǒng)僅能通過(guò)TEE提供的安全接口調(diào)用風(fēng)控服務(wù)，無(wú)法直接訪問(wèn)模型內(nèi)部邏輯。第十四條外包開(kāi)發(fā)與供應(yīng)鏈安全供應(yīng)商評(píng)估：如委托外部廠商開(kāi)發(fā)TEE可信應(yīng)用或提供TEE解決方案，應(yīng)對(duì)供應(yīng)商的資質(zhì)、安全能力、過(guò)往業(yè)績(jī)進(jìn)行嚴(yán)格評(píng)估。優(yōu)先選擇具備金融行業(yè)安全服務(wù)經(jīng)驗(yàn)、通過(guò)ISO27001等安全認(rèn)證的供應(yīng)商。安全開(kāi)發(fā)生命周期（SDL）審計(jì)：要求供應(yīng)商遵循安全開(kāi)發(fā)生命周期流程，并對(duì)外包開(kāi)發(fā)過(guò)程進(jìn)行審計(jì)。代碼審計(jì)與漏洞掃描：對(duì)第三方提供的TEE可信應(yīng)用代碼進(jìn)行獨(dú)立的安全審計(jì)與漏洞掃描，必要時(shí)進(jìn)行滲透測(cè)試。供應(yīng)鏈透明度：要求供應(yīng)商提供TEE解決方案的供應(yīng)鏈信息，包括使用的開(kāi)源組件、第三方庫(kù)及其版本，以便跟蹤潛在的供應(yīng)鏈攻擊風(fēng)險(xiǎn)。第四章合規(guī)與風(fēng)險(xiǎn)管理第十五條合規(guī)性審查金融機(jī)構(gòu)在應(yīng)用TEE技術(shù)前，應(yīng)進(jìn)行合規(guī)性審查，確保符合以下要求：符合《網(wǎng)絡(luò)安全法》中關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的要求（如適用）。符合《數(shù)據(jù)安全法》中關(guān)于數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置的要求。符合《個(gè)人信息保護(hù)法》中關(guān)于個(gè)人信息處理的“告知-同意”原則、最小必要原則、安全保障義務(wù)及個(gè)人信息跨境提供的規(guī)定。符合中國(guó)人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)等金融監(jiān)管機(jī)構(gòu)發(fā)布的關(guān)于金融科技、網(wǎng)絡(luò)安全、數(shù)據(jù)治理的相關(guān)指引與規(guī)范。第十六條風(fēng)險(xiǎn)評(píng)估與備案安全風(fēng)險(xiǎn)評(píng)估：在TEE技術(shù)正式上線前，應(yīng)委托具備資質(zhì)的第三方安全評(píng)估機(jī)構(gòu)或內(nèi)部專(zhuān)業(yè)團(tuán)隊(duì)進(jìn)行全面的安全風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容應(yīng)包括技術(shù)架構(gòu)風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)等。監(jiān)管溝通與備案：對(duì)于涉及客戶資金安全、系統(tǒng)穩(wěn)定性或業(yè)務(wù)模式創(chuàng)新的TEE應(yīng)用，金融機(jī)構(gòu)應(yīng)提前與相關(guān)監(jiān)管部門(mén)進(jìn)行溝通，并根據(jù)監(jiān)管要求履行必要的備案或?qū)徟绦?。第十七條內(nèi)部管理與人員要求組織架構(gòu)與職責(zé)：明確TEE技術(shù)應(yīng)用的管理部門(mén)與責(zé)任人，通?？捎尚畔⒖萍疾块T(mén)、安全管理部門(mén)、業(yè)務(wù)部門(mén)共同組成專(zhuān)項(xiàng)工作組，負(fù)責(zé)技術(shù)選型、部署實(shí)施、安全運(yùn)營(yíng)與合規(guī)管理。人員培訓(xùn)：定期對(duì)參與TEE系統(tǒng)開(kāi)發(fā)、運(yùn)維、管理的人員進(jìn)行安全培訓(xùn)，內(nèi)容包括TEE技術(shù)原理、安全操作規(guī)范、應(yīng)急響應(yīng)流程及相關(guān)法律法規(guī)要求。權(quán)限管理：對(duì)TEE系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格管控，遵循最小權(quán)限原則，實(shí)施雙人復(fù)核、權(quán)限分離等控制措施。關(guān)鍵操作（如密鑰恢復(fù)、系統(tǒng)配置變更）應(yīng)設(shè)置多級(jí)審批流程。第十八條定期安全評(píng)估與持續(xù)改進(jìn)定期評(píng)估：至少每年對(duì)TEE系統(tǒng)進(jìn)行一次全面的安全評(píng)估，評(píng)估內(nèi)容包括技術(shù)架構(gòu)的安全性、控制措施的有效性、合規(guī)性遵守情況等。持續(xù)改進(jìn)：根據(jù)安全評(píng)估結(jié)果、新出現(xiàn)的安全威脅及監(jiān)管要求的變化，及時(shí)調(diào)整TEE安全策略，優(yōu)化技術(shù)架構(gòu)，修補(bǔ)安全漏洞，持續(xù)提升TEE系統(tǒng)的安全防護(hù)能力。第五章監(jiān)督與問(wèn)責(zé)第十九條內(nèi)部監(jiān)督檢查金融機(jī)構(gòu)內(nèi)部審計(jì)部門(mén)或合規(guī)部門(mén)應(yīng)定期對(duì)TEE技術(shù)應(yīng)用與管理情況進(jìn)行監(jiān)督檢查，檢查內(nèi)容包括：TEE安全管理制度的制定與執(zhí)行情況。TEE系統(tǒng)的安全配置與運(yùn)行狀態(tài)。日志記錄與審計(jì)機(jī)制的有效性。應(yīng)急響應(yīng)預(yù)案的制定與演練情況。員工安全培訓(xùn)與考核情況。第二十條違規(guī)處理對(duì)于違反本辦法規(guī)定，導(dǎo)致TEE系統(tǒng)存在重大安全隱患或發(fā)生安全