北海网上数据中心(北海网上数据中心公司)

为深入贯彻落实国家大数据战略，推动全国网络安全等级保护测评机构更好地服务和融入国家发展战略，《信息安全技术网络安全等级保护大数据基本要求》（T/ISEAA002-2021）团体标准于2021年4月29日正式发布，并于2021年5月30日起正式实施。该标准填补了网络安全等级保护中关于大数据安全保护的空白。

该标准基于GB/T2239-2019《信息安全技术网络安全等级保护基本要求》中对大数据安全的要求，对大数据资源及大数据应用、大数据平台方面的安全保护要求进行细化和扩展，指导全生命周期的数据安全保护，指导分等级的非涉密大数据等级保护对象的安全建设、安全运维和测试评估，为网络安全等级保护制度在大数据领域的推广和落实奠定基础，并为信息安全监管职能部门、测评服务机构、主管部门及运营使用者对大数据的安全保护、等级测评、监督检查等提供参考依据。

根据GB/T22240-2020给出的定级对象基本特征和GB/T 35589-2017给出的大数据参考架构，大数据相关等级保护对象可抽象为大数据资源、大数据应用、大数据平台3类组件，如图1所示

大数据资源：具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。

大数据应用是基于大数据平台对数据的处理过程，通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节，上述各个环节均需要对数据进行保护，通常需考虑的安全控制措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分级分类销毁机制等。

大数据管理平台提供了资源和服务器的支撑集成环境，包括基础设施层、数据平台层、计算分析层及大数据管理平台等部分或者全部功能。基础设施层提供了虚拟或虚拟的计算、网络和存储能力；数据平台提供结构化和非结构化数据的物理存储、逻辑存储能力；计算分析层提供处理大量、高速、多样和多变数据的分析计算能力。大数据平台可以为多个大数据应用及大数据资源提供服务。

上述组件可能由不同运营者单独承担安全责任，从定级对象的责任主体角度出发，这些组件可独立或组合额作为定级对象，例如大数据平台、大数据应用、大数据资源、大数据资源与大数据应用、大数据资源与大数据平台或者大数据平台与大数据应用等均可作为定级对象。上述定级对象均可成为“大数据系统”。

大数据系统建设注意事项：

1、等保二级大数据系统等保建设需注意：

应保证承载大数据存储、处理和分析的设备机房位于中国境内；

应保证大数据平台不承载高于其安全保护等级的大数据应用；

大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别，应能对不同客户的大数据应用实施标识和鉴别；

对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理。

2、等保三级大数据系统等保建设需注意：

应保证承载大数据存储、处理和分析的设备机房位于中国境内；

应保证大数据平台不承载高于其安全保护等级的大数据应用，同时应保证大数据平台的管理流量与系统业务流量分离；

大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别，应能对不同客户的大数据应用实施标识和鉴别；

对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理；

大数据平台应提供静态脱敏和去标识化的工具或服务组件技术；

大数据平台应提供设置数据安全标记功能，基于安全标记的授权和访问控制措施，满足细粒度授权访问控制管理能力要求；

大数据平台应在数据采集、存储、处理、分析等各个环节，支持对数据进行分类分级处置，并保证安全保护策略保持一致；

涉及重要数据接口、重要服务接口的调用，应实施访问控制，包括但不限千数据处理、使用、分析、导出、共享、交换等相关操作；

应在数据清洗和转换过程中对重要数据进行保护，以保证重要数据清洗和转换后的一致性，避免数据失真，并在产生问题时能有效还原和恢复；

应跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程，溯源数据满足合规审计要求；

大数据平台应保证不同客户大数据应用的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中分析的能力；

应在数据分类分级的基础上，划分重要数字资产范削，明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程。