GA/T 1390.7-2025 信息安全技术 网络安全等级保护基本要求 第7部分：大数据系统安全扩展要求

ICS35.030

CCSL80

中华人民共和国公共安全行业标准

GA/T1390.7—2025

信息安全技术网络安全等级保护

基本要求第7部分：大数据系统安全

扩展要求

Informationsecuritytechnology—Baselineforclassifiedprotectionof

cybersecurity—Part7：Extendedrequirementsforbigdatasystemsecurity

2025-10-13发布2026-02-01实施

中华人民共和国公安部发布

GA/T1390.7—2025

目次

前言……………………………Ⅲ

引言……………………………Ⅳ

1范围…………………………1

2规范性引用文件……………1

3术语和定义…………………1

4大数据系统保护对象………………………2

5第一级安全扩展要求………………………3

6第二级安全扩展要求………………………3

6.1安全物理环境…………………………3

6.2安全通信网络…………………………3

6.3安全计算环境…………………………3

6.4安全管理中心…………………………4

6.5安全管理制度…………………………4

6.6安全管理机构…………………………4

6.7安全建设管理…………………………5

6.8安全运维管理…………………………5

7第三级安全扩展要求………………………5

7.1安全物理环境…………………………5

7.2安全通信网络…………………………5

7.3安全计算环境…………………………5

7.4安全管理中心…………………………7

7.5安全管理制度…………………………8

7.6安全管理机构…………………………8

7.7安全建设管理…………………………8

7.8安全运维管理…………………………8

8第四级安全扩展要求………………………9

8.1安全物理环境…………………………9

8.2安全通信网络…………………………9

8.3安全计算环境…………………………9

8.4安全管理中心………………………11

8.5安全管理制度………………………12

8.6安全管理机构………………………12

Ⅰ

GA/T1390.7—2025

8.7安全建设管理………………………12

8.8安全运维管理………………………12

9第五级安全扩展要求……………………13

附录A（资料性）大数据系统保护对象与安全要求对应…………………14

参考文献………………………17

Ⅱ

GA/T1390.7—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是GA/T1390《信息安全技术网络安全等级保护基本要求》的第7部分。GA/T1390已经

发布了以下部分：

——第2部分：云计算安全扩展要求；

——第3部分：移动互联安全扩展要求；

——第5部分：工业控制系统安全扩展要求；

——第6部分：边缘计算安全扩展要求；

——第7部分：大数据系统安全扩展要求；

——第8部分：IPv6网络安全扩展要求；

——第9部分：区块链安全扩展要求。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由公安部网络安全保卫局提出。

本文件由公安部信息系统安全标准化技术委员会归口。

本文件起草单位：公安部第三研究所、公安部网络安全保卫局、公安部第一研究所、深圳市腾讯计算

机系统有限公司、国家信息中心、华为云计算技术有限公司、北京天融信网络安全技术有限公司。

本文件主要起草人：袁静、苏艳芳、江雷、任娟娟、康磊、刘卜瑜、李克鹏、章恒、耿涛、王龑、陈文生、

王永霞、陈永刚、何应钦、梁亚楠。

Ⅲ

GA/T1390.7—2025

引言

GA/T1390《信息安全技术网络安全等级保护基本要求》旨在提出不同网络安全保护等级的基线

安全要求，指导等级保护对象的安全建设和监督管理。GA/T1390拟由以下部分组成。

——第1部分：安全通用要求。旨在提出适用于所有网络安全等级保护对象的安全基线要求。

——第2部分：云计算安全扩展要求。旨在提出适用于云计算平台/系统的安全扩展要求。

——第3部分：移动互联安全扩展要求。旨在提出适用于采用移动互联技术的等级保护对象的安全

扩展要求。

——第4部分：物联网安全扩展要求。旨在提出适用于物联网的安全扩展要求。

——第5部分：工业控制系统安全扩展要求。旨在提出适用于工业控制系统的安全扩展要求。

——第6部分：边缘计算安全扩展要求。旨在提出适用于采用边缘计算技术的等级保护对象的安全

扩展要求。

——第7部分：大数据系统安全扩展要求。旨在提出适用于采用大数据技术的等级保护对象的安全

扩展要求。

——第8部分：IPv6网络安全扩展要求。旨在提出适用于IPv6等级保护对象的安全扩展要求。

——第9部分：区块链安全扩展要求。旨在提出适用于区块链等级保护对象的安全扩展要求。

——第10部分：生成式人工智能安全扩展要求。旨在提出适用于生成式人工智能等级保护对象的

安全扩展要求。

——第11部分：低空智联网安全扩展要求。旨在提出适用于低空智联网等级保护对象的安全扩展

要求。

——第12部分：智能车联网安全扩展要求。旨在提出适用于智能车联网等级保护对象的安全扩展

要求。

Ⅳ

GA/T1390.7—2025

信息安全技术网络安全等级保护

基本要求第7部分：大数据系统安全

扩展要求

1范围

本文件规定了大数据系统等级保护对象的网络安全等级保护第一级到第四级的安全扩展要求。

本文件适用于大数据系统等级保护对象的安全建设和监督管理。

注：第五级大数据系统等级保护对象不在本文件中进行描述。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

3术语和定义

GB/T22239—2019界定的以及下列术语和定义适用于本文件。

3.1

大数据bigdata

具有体量巨大、来源多样、生成极快且多变等特征并且难以用传统数据体系结构有效处理的包含大

量数据集的数据。

[来源：GB/T35295—2017，2.1.1，有修改]

3.2

数据生存周期datalifecycle

将原始数据转化为可用于行动的知识的一组过程。

注：数据生存周期一般包括收集、数据传输、数据存储、数据使用、数据加工（如计算、分析、可视化等）、数据提供、数据

公开等，直至数据销毁。

[来源：GB/T35295—2017，2.1.2，有修改]

3.3

大数据系统bigdatasystem

实现大数据参考体系结构的全部或部分功能的系统。

[来源：GB/T35295—2017，2.1.14]

3.4

大数据平台bigdataplatform

采用分布式存储和计算技术，提供大数据处理功能，支持大数据应用安全高效运行的软硬件集合，包

括监视数据输入/输出、控制数据处理活动等软硬件基础设施及其所控制的数据资产。

1

GA/T1390.7—2025

注：平台指由一组子系统和技术形成的软硬件设施组成，通过一些接口和使用工具提供一组一致的功能，任何由它所

支持的应用都可以使用平台的功能而不必关心其实现细节。

[来源：GB/T35274—2023，3.11]

3.5

数据资源dataresource

存储大数据的软硬件集合。

3.6

大数据处理节点bigdataprocessingnode

在大数据处理架构中负责接收、存储、处理和分析数据的计算单元或服务器。

注：这些节点通常组成一个集群，通过分布式计算和存储技术协同工作，以处理海量数据。

3.7

客户customer

为使用大数据系统服务与大数据系统服务商建立业务关系的参与方。

3.8

去标识化de⁃identification

通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的

过程。

注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的

标识。

[来源：GB/T35273—2020，3.15]

4大数据系统保护对象

大数据系统等级保护对象由数据资源、大数据平台、大数据应用构成，如图1所示。

图1大数据系统等级保护对象的构成

a）数据资源一般存储在大数据平台，由大数据应用调用。

b）大数据应用是指基于大数据平台，采用大数据分析和挖掘技术对数据执行处理过程的业务应用

系统。

c）大数据平台为大数据应用和数据资源提供资源和服务的支撑集成环境，包括基础设施层、数据

平台层和计算分析层以及管理平台等部分或者全部的功能。基础设施层提供物理或虚拟的计

2

GA/T1390.7—2025

算、网络和存储能力；数据平台层提供结构化和非结构化数据的逻辑存储能力；计算分析层提供

大量、高速、多样和多变数据的分析计算能力；管理平台提供大数据平台的辅助服务能力。大数

据平台可以为多个大数据应用及数据资源提供服务。

数据资源、大数据应用、大数据平台可能由不同运营者承担安全责任，从定级对象的责任主体角度出

发，三者可独立或组合作为定级对象，例如大数据平台、大数据应用、数据资源、数据资源与大数据应用、

数据资源与大数据平台或大数据平台与大数据应用等均可作为定级对象。不同类型大数据系统保护对

象与要求项的对应关系见附录A。

5第一级安全扩展要求

无。

6第二级安全扩展要求

6.1安全物理环境

承载大数据存储、处理和分析的设备机房应位于中国境内。

6.2安全通信网络

大数据平台不应承载高于其安全保护等级的大数据应用和数据资源。

6.3安全计算环境

6.3.1身份鉴别

身份鉴别应满足以下要求：

a）大数据系统提供的外部调用接口对调用主体进行身份鉴别；

b）建立分布式计算节点间安全连接策略和互操作规范，采用节点认证等技术机制对大数据处理节

点接入身份的真实性进行确认。

6.3.2访问控制

访问控制应满足以下要求：

a

）大数据平台或第三方在客户授权下才能对其数据资源进行访问、使用和管理；

b）采取技术手段对数据收集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用进

行限制；

c）识别重要接口，采用最小权限原则分配重要接口的操作权限；

d）最小化数据使用、加工、导出、共享、交换的数据集。

6.3.3安全审计

安全审计应满足以下要求：

a）大数据系统对其提供的重要接口的调用情况以及各类重要账号的操作情况进行审计；

b）大数据系统服务商对客户数据的操作能被客户审计。

6.3.4数据完整性

数据在存储过程中的完整性保护应满足数据提供方对数据的安全保护要求。

3

GA/T1390.7—2025

6.3.5数据保密性

数据保密性应满足以下要求：

a）大数据平台提供数据脱敏和个人信息去标识化的工具或服务组件技术；

b）依据安全策略对数据进行脱敏和个人信息去标识化处理；

c）数据在存储过程中的保密性保护满足数据提供方对数据的安全保护要求。

6.3.6数据备份

备份数据应依据数据安全保护策略，采取与其数据类别和级别相匹配的安全防护措施。

6.3.7剩余信息保护

剩余信息保护应满足以下要求：

a）大数据平台提供主动迁移功能，数据整体迁移的过程中杜绝数据残留；

b）存有敏感个人信息的存储空间被释放或重新分配前得到完全清除；

c）大数据平台能够根据与客户约定的数据销毁要求和方式实施数据销毁。

6.3.8个人信息保护

个人信息保护应满足以下要求：