文章总结: GA/T2380-2026将等保中数据安全从散装要求独立成域,新增安全数据处理域,包含数据溯源、识别、标记、脱敏四项新能力。三级系统按数据级别分档,有八个硬杠要求,如门禁生物特征加密、境内流量不得路由境外、数据接口全生命周期管理等。数据分类分级是前提,未做分类分级则无法确定适用要求。文章提供了自查清单,建议企业对照整改。 综合评分: 85 文章分类: 技术标准,数据安全,安全建设,解决方案
GA/T 2380-2026:等保里的数据安全就不再是”顺便看看”
原创
iconic iconic
老登的安全观
2026年7月13日 09:30 广东
在小说阅读器读本章
去阅读
佛系随性笔记,记录最好的自己!
个人水平比较有限,每篇都尽量以白话+图文的方式去说明。
“
数据安全 在等保里,从 散装配件 变成了独立成域——你过不过,这块单独算。
公安部发了一份新标准,编号 GA/T 2380-2026 ,报批稿阶段,全名叫《信息安全技术 网络安全等级保护数据安全基本要求》。名字长,但意思很简单: 数据安全在等保里,从散装配件变成了独立成域。
这意味着什么?意味着以后做等保测评,数据安全不再是“顺便看看”,而是 单独一块考核 。你过不过,这块单独算。
📌 本文看点
01
独立成域
02
四大新能力
03
八条硬杠
01
STANDALONE
从散装到独立成域
等保2.0( GB/T 22239-2019 )里数据安全的要求是散装的。身份鉴别里有一条关于数据工具的,访问控制里有一条关于数据导入导出的,审计里有一条关于数据传输的,东一条西一条,像超市里 散装的花生米 ,你得一颗一颗挑。
现在这个新标准,把数据安全 独立成域 了。有自己的体系结构:
安全物理环境、安全通信网络、安全区域边界、安全计算环境、 安全数据处理 (全新域,等保2.0里没有的)、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
其中“安全数据处理”是 从零到一的 ,不是增量升级。里面四个子项: 数据溯源、数据识别、数据标记、数据脱敏 ,原来等保里统统没有。这四项后面单独说。
起草单位名单里有你认识的名字:公安部第三研究所、阿里巴巴、蚂蚁集团、美创科技、奇安信、天融信,等等,还有一个你可能不太熟悉的, 安徽问天量子 。量子加密也进来了。
02
CLASSIFICATION
数据级别不同,要求天差地别
这个标准最狠的设计: 同一个等保等级里,按数据级别分档。
三级系统,分成“一般数据处理系统”和“重要数据处理系统”。四级系统,再加一档“核心数据处理系统”。
举个例子。同样是三级系统:
一般数据处理系统,身份鉴别用口令就行,访问控制粒度到用户级或进程级就行,水印只要能追溯就行。
重要数据处理系统,身份鉴别必须 口令+密码技术组合 ,访问控制要对查询、修改、删除、导出、共享、交换、备份、恢复全做控制,水印还必须 健壮性和安全性 ,不能被篡改或去除。
同一个等保等级, 数据级别不同,要求差了一大截。
💡 这里有个前提问题:你连自己哪些系统处理重要数据都不知道,你就不知道该按哪套要求来做等保。
这个标准直接引用了 GB/T 43697-2024 《数据安全技术 数据分类分级规则》,一般数据、重要数据、核心数据的定义全来自这个标准。所以没做数据分类分级的企业,第一步就卡住了:你不知道自己的数据属于哪个级别,你就不知道自己的系统是“一般数据处理系统”还是“重要数据处理系统”,你就不知道该满足哪套要求。
「数据分类分级,是这一切的前提。没做分类分级,后面全白搭。」
03
NEW CAPABILITIES
四项新能力,你大概率没准备
“安全数据处理”这个新域下面,四个子项全是等保2.0里没有的:
- 数据溯源
三级系统要求: 水印技术实现展示环节可追溯 ,数据标记和数据血缘分析实现导入/收集数据的源头溯源,水印+签名技术实现导出/共享环节可追溯,水印要具备隐藏性。重要数据处理系统,水印还要具备健壮性和安全性。
翻译: 你展示给别人的数据,别人截图出去你要能查到是谁截的。 你从外面拿进来的数据,你要能查到是从哪来的。你给别人共享的数据,别人再转出去你要能查到是从你这出去的。
数据血缘是个新概念,标准里的定义是“数据在产生、处理到消亡的流转过程中建构的一种类似于人类社会血缘的关系”。说白了就是 数据从哪来、经过什么加工、变成了什么,全要有记录。
- 数据识别
三级系统要求: 宜 在网络边界处识别出流出数据中的结构化重要数据和敏感数据(推荐性要求,不是强制), 应 在数据存储中识别出结构化重要数据和敏感数据(强制性要求)。四级系统还要识别非结构化数据,还要用自动化工具。
翻译: 你的重要数据和敏感数据往外流的时候,边界要能拦住。 你的数据库里哪些是重要数据和敏感数据,工具要能扫出来。
!踩坑提示 🕳
大多数企业现在根本没有这种识别能力。数据往外走,走了就走了,没人拦也没人知道走了什么。
- 数据标记
三级系统要求:对结构化数据的元数据、数据类别级别、数据源等进行标记, 标记不能被非授权修改。 重要数据处理系统,还要对重要数据做标记。四级系统,非结构化数据也要标记。
翻译: 每一条数据都要有标签,标明这是什么级别的数据、从哪来的。 这个标签不能被随便改。
- 数据脱敏
三级系统要求:根据法律法规和数据使用目的,采用相应的脱敏技术、规则和策略。静态脱敏和动态脱敏,开发测试、数据分析、数据应用、数据交换都要覆盖。 静态脱敏后的数据要与原始数据分开存储 ,放在不同的数据库里。
翻译:不是脱敏就完事了,你要 有策略、有规则,不同场景不同脱敏方式 ,而且脱敏后的数据不能跟原始数据搁一块。
💡 这四项里,数据溯源和数据识别是大坑。水印技术、数据血缘分析、边界数据识别,大多数企业连概念都没听说过,更别说落地。
04
HARD REQUIREMENTS
三级系统的八个硬杠
三级系统是最常见的等保级别,所以这部分重点说。
硬杠一:门禁指纹和人脸数据要加密
三级系统的物理环境新增了要求:电子门禁系统的鉴别数据和 指纹信息、人脸信息、声纹信息、虹膜信息、指静脉信息 等生物特征信息,要 用密码技术保护保密性。
翻译:你公司门禁里存的员工指纹和人脸数据,现在要加密存储了。很多人压根没想过 门禁数据也是“数据安全”的管辖范围。
硬杠二:境内流量不能被路由到境外
三级重要数据系统:“应采取必要的技术或管理措施,保证境内用户访问境内网络的, 其流量不会被路由至境外。 “
翻译:如果你用了境外云服务,你的重要数据系统的流量被路由到了境外节点, 等保过不了。 这一条很多用AWS、Azure海外节点的企业会踩坑。
硬杠三:一次审批只针对一次数据输出
三级重要数据系统的审批规则:“ 一次授权与审批应仅针对一次数据输出 ,数据若需输出给其他接收方应发起新的授权与审批流程。“
翻译:你要把重要数据给3个合作伙伴,就要3次审批。不能一个项目授权一次就完事了。大多数企业现在的审批流程是“一个合同一次授权”,在 新标准下这不合格。
硬杠四:个人信息几个新细节
三级系统新增了几条很具体的要求:
个人信息保存期限不能超过主体授权时间。法律另有规定的除外。账户注销后必须删除或匿名化个人信息。法律另有规定的除外。 可用于恢复识别个人的信息与去标识化后的个人信息分开存储。个人生物识别信息与个人身份信息分开存储。
!踩坑提示 🕳
最后两条是实操硬杠。很多APP把人脸和身份证信息放同一个表里,现在不行了,必须分开存。去标识化后的数据也不能跟能恢复识别的钥匙放一块。
硬杠五:存储空间释放前要擦干净
三级重要数据系统:“存有重要数据和敏感数据的存储空间被释放或重新分配前 得到完全清除。 “
翻译:不是删个数据库记录就完事了, 底层存储块也要擦干净。 对于用共享存储和云磁盘的企业,这是个新要求。你格式化硬盘不够,底层空间分配给别人之前得确保敏感数据痕迹被清掉。
硬杠六:数据接口全生命周期管理
三级系统要求制定数据接口的全生命周期管理制度:申请→审批→开放→变更→注销, 全部要管控和定期审计。 还要制定安全控制策略,包括身份鉴别、访问控制、授权策略、安全协议、接口名称、接口参数。
翻译:大多数企业现在连 API接口清单都没有 ,更别说全生命周期管理了。你的系统对外的每一个接口,从申请到注销,全要有记录、有审批、有审计。
硬杠七:安全事件上报有硬门槛
三级重要数据系统安全事件处置:“发生重要数据或者 十万人以上 个人信息泄露、毁损、丢失等数据安全事件时,应按规定上报。涉嫌犯罪的,按规定向公安机关报案。“
翻译:十万人是个门槛。个人信息泄露不到十万,不强制上报。但 重要数据泄露不管量多少,都要上报。 而且涉嫌犯罪的必须报案,不是“内部处理”就行。
硬杠八:数据销毁分级差异
三级一般数据系统:重复清除+覆盖就行。三级重要数据系统:重复清除+覆盖+ 消磁+粉碎 组合。
翻译:处理一般数据的硬盘,格式化几遍差不多。处理重要数据的硬盘报废,光格式化不够,得 消磁加物理粉碎。 这两者的销毁成本差了一个量级。
另外还有几个三级重要数据的额外要求:
• 每年一次数据安全评估 ,报告留存不少于3年
• 关键岗位人员背景审查 ,审查通过才能录用
• 数据跨境传输识别、监测和管控
• 批量查询、批量修改、批量导出等高风险操作建立 多层级审批
05
LEVEL FOUR
四级系统再加码
四级系统在三级的基础上又叠加了一档:核心数据处理系统。简要提几个关键差异:
抗抵赖
四级重要数据和核心数据处理系统,“在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据”。翻译: 出了事要能证明数据是你发的、也证明对方收到了 ,双方都不能赖账。
关键岗位多人管理
四级要求“数据安全关键事务岗位应配备多人共同管理”。翻译:特权账户和关键数据交换岗位, 不能一个人说了算,得两人以上。
离岗审计
四级在人员离岗时,不只是收回权限和签保密承诺,还要“ 对在职期间数据处理活动进行内部审计 “。翻译:离职前先查一遍你在职期间对数据干了什么,有没有违规操作。
年度培训20小时
四级重要数据和核心数据处理相关技术和管理人员, 每年安全培训不少于20小时。 三级没有这个硬性时长要求。
数据销毁终极版
四级重要数据和核心数据系统,销毁方法要“重复清除、覆盖与消磁、粉碎等相结合,防止数据被复原、重关联或非授权使用和泄露”。翻译: 物理粉碎是底线。
∞
CHECKLIST
自查清单
如果你的系统是三级或四级,对照这几条自查:
1
数据分类分级做了没?没做的话,你连自己该满足哪套要求都不知道。
2
数据溯源能力有没有?水印、数据血缘,你哪个能落地?
3
数据识别工具有没有?边界能识别流出数据吗?存储能识别重要/敏感数据吗?
4
数据标记做了没?每条数据有没有级别标签?
5
数据脱敏是静态还是动态?脱敏后数据跟原始数据分开存了没?
6
门禁系统的指纹、人脸数据加密了没?
7
数据接口有没有全生命周期管理?从申请到注销全有记录吗?
8
重要数据的审批是“一次授权一次输出”还是“一个项目一次授权”?
9
个人生物识别信息跟身份信息分开存了没?
10
年度数据安全评估做了没?报告留了没?
11
关键岗位背景审查做了没?
12
存储空间释放前擦干净了没?
13
重要数据销毁是格式化还是消磁+粉碎?
一条一条对着查。 哪条没做,哪条就是等保测评的扣分点。
一句话总结:等保里数据安全从“顺便看看”变成“单独一块”,而且你的数据级别越高,这块的考核越严。数据分类分级是前提,没做分类分级,后面全白搭。
END
如果您觉得今天这篇有收获,欢迎 点赞、在看、转发 三连,我们下篇见。
深圳
注释:如有失误,望批评指正!
后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。
后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007、008、009”有相关资料可供下载!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老登的安全观 iconic iconic《GA/T 2380-2026:等保里的数据安全就不再是”顺便看看”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论