GA/T2380-2026:等保里的数据安全就不再是”顺便看看”

admin 2026-07-16 04:54:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: GA/T2380-2026将等保中数据安全从散装要求独立成域,新增安全数据处理域,包含数据溯源、识别、标记、脱敏四项新能力。三级系统按数据级别分档,有八个硬杠要求,如门禁生物特征加密、境内流量不得路由境外、数据接口全生命周期管理等。数据分类分级是前提,未做分类分级则无法确定适用要求。文章提供了自查清单,建议企业对照整改。 综合评分: 85 文章分类: 技术标准,数据安全,安全建设,解决方案


cover_image

GA/T 2380-2026:等保里的数据安全就不再是”顺便看看”

原创

iconic iconic

老登的安全观

2026年7月13日 09:30 广东

在小说阅读器读本章

去阅读

佛系随性笔记,记录最好的自己!

个人水平比较有限,每篇都尽量以白话+图文的方式去说明。

数据安全 在等保里,从 散装配件 变成了独立成域——你过不过,这块单独算。

公安部发了一份新标准,编号 GA/T 2380-2026 ,报批稿阶段,全名叫《信息安全技术 网络安全等级保护数据安全基本要求》。名字长,但意思很简单: 数据安全在等保里,从散装配件变成了独立成域。

这意味着什么?意味着以后做等保测评,数据安全不再是“顺便看看”,而是 单独一块考核 。你过不过,这块单独算。

📌 本文看点

01

独立成域

02

四大新能力

03

八条硬杠

01

STANDALONE

从散装到独立成域

等保2.0( GB/T 22239-2019 )里数据安全的要求是散装的。身份鉴别里有一条关于数据工具的,访问控制里有一条关于数据导入导出的,审计里有一条关于数据传输的,东一条西一条,像超市里 散装的花生米 ,你得一颗一颗挑。

现在这个新标准,把数据安全 独立成域 了。有自己的体系结构:

安全物理环境、安全通信网络、安全区域边界、安全计算环境、 安全数据处理 (全新域,等保2.0里没有的)、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

其中“安全数据处理”是 从零到一的 ,不是增量升级。里面四个子项: 数据溯源、数据识别、数据标记、数据脱敏 ,原来等保里统统没有。这四项后面单独说。

起草单位名单里有你认识的名字:公安部第三研究所、阿里巴巴、蚂蚁集团、美创科技、奇安信、天融信,等等,还有一个你可能不太熟悉的, 安徽问天量子 。量子加密也进来了。

02

CLASSIFICATION

数据级别不同,要求天差地别

这个标准最狠的设计: 同一个等保等级里,按数据级别分档。

三级系统,分成“一般数据处理系统”和“重要数据处理系统”。四级系统,再加一档“核心数据处理系统”。

举个例子。同样是三级系统:

一般数据处理系统,身份鉴别用口令就行,访问控制粒度到用户级或进程级就行,水印只要能追溯就行。

重要数据处理系统,身份鉴别必须 口令+密码技术组合 ,访问控制要对查询、修改、删除、导出、共享、交换、备份、恢复全做控制,水印还必须 健壮性和安全性 ,不能被篡改或去除。

同一个等保等级, 数据级别不同,要求差了一大截。

💡 这里有个前提问题:你连自己哪些系统处理重要数据都不知道,你就不知道该按哪套要求来做等保。

这个标准直接引用了 GB/T 43697-2024 《数据安全技术 数据分类分级规则》,一般数据、重要数据、核心数据的定义全来自这个标准。所以没做数据分类分级的企业,第一步就卡住了:你不知道自己的数据属于哪个级别,你就不知道自己的系统是“一般数据处理系统”还是“重要数据处理系统”,你就不知道该满足哪套要求。

「数据分类分级,是这一切的前提。没做分类分级,后面全白搭。」

03

NEW CAPABILITIES

四项新能力,你大概率没准备

“安全数据处理”这个新域下面,四个子项全是等保2.0里没有的:

  1. 数据溯源

三级系统要求: 水印技术实现展示环节可追溯 ,数据标记和数据血缘分析实现导入/收集数据的源头溯源,水印+签名技术实现导出/共享环节可追溯,水印要具备隐藏性。重要数据处理系统,水印还要具备健壮性和安全性。

翻译: 你展示给别人的数据,别人截图出去你要能查到是谁截的。 你从外面拿进来的数据,你要能查到是从哪来的。你给别人共享的数据,别人再转出去你要能查到是从你这出去的。

数据血缘是个新概念,标准里的定义是“数据在产生、处理到消亡的流转过程中建构的一种类似于人类社会血缘的关系”。说白了就是 数据从哪来、经过什么加工、变成了什么,全要有记录。

  1. 数据识别

三级系统要求:  在网络边界处识别出流出数据中的结构化重要数据和敏感数据(推荐性要求,不是强制),  在数据存储中识别出结构化重要数据和敏感数据(强制性要求)。四级系统还要识别非结构化数据,还要用自动化工具。

翻译: 你的重要数据和敏感数据往外流的时候,边界要能拦住。 你的数据库里哪些是重要数据和敏感数据,工具要能扫出来。

!踩坑提示 🕳

大多数企业现在根本没有这种识别能力。数据往外走,走了就走了,没人拦也没人知道走了什么。

  1. 数据标记

三级系统要求:对结构化数据的元数据、数据类别级别、数据源等进行标记, 标记不能被非授权修改。 重要数据处理系统,还要对重要数据做标记。四级系统,非结构化数据也要标记。

翻译: 每一条数据都要有标签,标明这是什么级别的数据、从哪来的。 这个标签不能被随便改。

  1. 数据脱敏

三级系统要求:根据法律法规和数据使用目的,采用相应的脱敏技术、规则和策略。静态脱敏和动态脱敏,开发测试、数据分析、数据应用、数据交换都要覆盖。 静态脱敏后的数据要与原始数据分开存储 ,放在不同的数据库里。

翻译:不是脱敏就完事了,你要 有策略、有规则,不同场景不同脱敏方式 ,而且脱敏后的数据不能跟原始数据搁一块。

💡 这四项里,数据溯源和数据识别是大坑。水印技术、数据血缘分析、边界数据识别,大多数企业连概念都没听说过,更别说落地。

04

HARD REQUIREMENTS

三级系统的八个硬杠

三级系统是最常见的等保级别,所以这部分重点说。

硬杠一:门禁指纹和人脸数据要加密

三级系统的物理环境新增了要求:电子门禁系统的鉴别数据和 指纹信息、人脸信息、声纹信息、虹膜信息、指静脉信息 等生物特征信息,要 用密码技术保护保密性。

翻译:你公司门禁里存的员工指纹和人脸数据,现在要加密存储了。很多人压根没想过 门禁数据也是“数据安全”的管辖范围。

硬杠二:境内流量不能被路由到境外

三级重要数据系统:“应采取必要的技术或管理措施,保证境内用户访问境内网络的, 其流量不会被路由至境外。 “

翻译:如果你用了境外云服务,你的重要数据系统的流量被路由到了境外节点, 等保过不了。 这一条很多用AWS、Azure海外节点的企业会踩坑。

硬杠三:一次审批只针对一次数据输出

三级重要数据系统的审批规则:“ 一次授权与审批应仅针对一次数据输出 ,数据若需输出给其他接收方应发起新的授权与审批流程。“

翻译:你要把重要数据给3个合作伙伴,就要3次审批。不能一个项目授权一次就完事了。大多数企业现在的审批流程是“一个合同一次授权”,在 新标准下这不合格。

硬杠四:个人信息几个新细节

三级系统新增了几条很具体的要求:

个人信息保存期限不能超过主体授权时间。法律另有规定的除外。账户注销后必须删除或匿名化个人信息。法律另有规定的除外。 可用于恢复识别个人的信息与去标识化后的个人信息分开存储。个人生物识别信息与个人身份信息分开存储。

!踩坑提示 🕳

最后两条是实操硬杠。很多APP把人脸和身份证信息放同一个表里,现在不行了,必须分开存。去标识化后的数据也不能跟能恢复识别的钥匙放一块。

硬杠五:存储空间释放前要擦干净

三级重要数据系统:“存有重要数据和敏感数据的存储空间被释放或重新分配前 得到完全清除。 “

翻译:不是删个数据库记录就完事了, 底层存储块也要擦干净。 对于用共享存储和云磁盘的企业,这是个新要求。你格式化硬盘不够,底层空间分配给别人之前得确保敏感数据痕迹被清掉。

硬杠六:数据接口全生命周期管理

三级系统要求制定数据接口的全生命周期管理制度:申请→审批→开放→变更→注销, 全部要管控和定期审计。 还要制定安全控制策略,包括身份鉴别、访问控制、授权策略、安全协议、接口名称、接口参数。

翻译:大多数企业现在连 API接口清单都没有 ,更别说全生命周期管理了。你的系统对外的每一个接口,从申请到注销,全要有记录、有审批、有审计。

硬杠七:安全事件上报有硬门槛

三级重要数据系统安全事件处置:“发生重要数据或者 十万人以上 个人信息泄露、毁损、丢失等数据安全事件时,应按规定上报。涉嫌犯罪的,按规定向公安机关报案。“

翻译:十万人是个门槛。个人信息泄露不到十万,不强制上报。但 重要数据泄露不管量多少,都要上报。 而且涉嫌犯罪的必须报案,不是“内部处理”就行。

硬杠八:数据销毁分级差异

三级一般数据系统:重复清除+覆盖就行。三级重要数据系统:重复清除+覆盖+ 消磁+粉碎 组合。

翻译:处理一般数据的硬盘,格式化几遍差不多。处理重要数据的硬盘报废,光格式化不够,得 消磁加物理粉碎。 这两者的销毁成本差了一个量级。

另外还有几个三级重要数据的额外要求:

• 每年一次数据安全评估 ,报告留存不少于3年

• 关键岗位人员背景审查 ,审查通过才能录用

• 数据跨境传输识别、监测和管控

• 批量查询、批量修改、批量导出等高风险操作建立 多层级审批

05

LEVEL FOUR

四级系统再加码

四级系统在三级的基础上又叠加了一档:核心数据处理系统。简要提几个关键差异:

抗抵赖

四级重要数据和核心数据处理系统,“在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据”。翻译: 出了事要能证明数据是你发的、也证明对方收到了 ,双方都不能赖账。

关键岗位多人管理

四级要求“数据安全关键事务岗位应配备多人共同管理”。翻译:特权账户和关键数据交换岗位, 不能一个人说了算,得两人以上。

离岗审计

四级在人员离岗时,不只是收回权限和签保密承诺,还要“ 对在职期间数据处理活动进行内部审计 “。翻译:离职前先查一遍你在职期间对数据干了什么,有没有违规操作。

年度培训20小时

四级重要数据和核心数据处理相关技术和管理人员, 每年安全培训不少于20小时。 三级没有这个硬性时长要求。

数据销毁终极版

四级重要数据和核心数据系统,销毁方法要“重复清除、覆盖与消磁、粉碎等相结合,防止数据被复原、重关联或非授权使用和泄露”。翻译: 物理粉碎是底线。

CHECKLIST

自查清单

如果你的系统是三级或四级,对照这几条自查:

1

数据分类分级做了没?没做的话,你连自己该满足哪套要求都不知道。

2

数据溯源能力有没有?水印、数据血缘,你哪个能落地?

3

数据识别工具有没有?边界能识别流出数据吗?存储能识别重要/敏感数据吗?

4

数据标记做了没?每条数据有没有级别标签?

5

数据脱敏是静态还是动态?脱敏后数据跟原始数据分开存了没?

6

门禁系统的指纹、人脸数据加密了没?

7

数据接口有没有全生命周期管理?从申请到注销全有记录吗?

8

重要数据的审批是“一次授权一次输出”还是“一个项目一次授权”?

9

个人生物识别信息跟身份信息分开存了没?

10

年度数据安全评估做了没?报告留了没?

11

关键岗位背景审查做了没?

12

存储空间释放前擦干净了没?

13

重要数据销毁是格式化还是消磁+粉碎?

一条一条对着查。 哪条没做,哪条就是等保测评的扣分点。

一句话总结:等保里数据安全从“顺便看看”变成“单独一块”,而且你的数据级别越高,这块的考核越严。数据分类分级是前提,没做分类分级,后面全白搭。

END

如果您觉得今天这篇有收获,欢迎 点赞、在看、转发 三连,我们下篇见。

深圳

注释:如有失误,望批评指正!

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007、008、009”有相关资料可供下载!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:老登的安全观 iconic iconic《GA/T 2380-2026:等保里的数据安全就不再是”顺便看看”》

评论:0   参与:  0