ICS35.020

CCSL70

DB61

陜西省地方標(biāo)準(zhǔn)

DB61/T2036—2025

大數(shù)據(jù)平臺(tái)安全保障規(guī)范

BigDataPlatformSecurityGuaranteeSpecification

2025-04-18發(fā)布2025-05-17實(shí)施

陜西省市場(chǎng)監(jiān)督管理局發(fā)布

DB61/T2036—2025

目??次

前??言...............................................................................................................................................................Ⅱ

1范圍...................................................................................................................................................................1

2規(guī)范性引用文件...............................................................................................................................................1

3術(shù)語(yǔ)和定義.......................................................................................................................................................1

4安全保障框架...................................................................................................................................................1

5安全管理...........................................................................................................................................................2

5.1機(jī)構(gòu).......................................................................................................................................................2

5.2人員.......................................................................................................................................................2

5.3安全策略...............................................................................................................................................2

5.4資產(chǎn)管理...............................................................................................................................................2

5.5風(fēng)險(xiǎn)管理...............................................................................................................................................3

5.6業(yè)務(wù)連續(xù)性管理...................................................................................................................................3

6安全技術(shù).........................................................................................................................................................3

6.1通用要求...............................................................................................................................................3

6.2數(shù)據(jù)處理要求.......................................................................................................................................5

7安全運(yùn)行.........................................................................................................................................................5

7.1安全監(jiān)測(cè)...............................................................................................................................................5

7.2風(fēng)險(xiǎn)識(shí)別...............................................................................................................................................5

7.3應(yīng)急處置...............................................................................................................................................6

8有效性評(píng)價(jià).....................................................................................................................................................6

參考文獻(xiàn)...........................................................................................................................................................7

I

DB61/T2036—2025

前??言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由陜西省工業(yè)和信息化廳提出并歸口。

本文件起草單位：陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、陜西正觀政務(wù)信息技術(shù)研究院有限公司、陜西

中認(rèn)信安技術(shù)服務(wù)有限公司。

本文件主要起草人：楊向東、李嚴(yán)、馬卓元、靳倩、趙首花、閆育蕓、楊睿超、姚雨秋、張賞雪、

亓澤瑜、孫蕊剛、馮燕飛、胡吉祥、牛創(chuàng)軍、王玉婷。

本文件首次發(fā)布。

本文件由陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心負(fù)責(zé)解釋。

聯(lián)系信息如下：

單位：陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心

電話/p>

地址：陜西省西安市高新區(qū)茶張路1號(hào)省信息化中心19層

郵編：710065

Ⅱ

DB61/T2036—2025

大數(shù)據(jù)平臺(tái)安全保障規(guī)范

1范圍

本文件描述了大數(shù)據(jù)平臺(tái)安全保障框架，規(guī)定了大數(shù)據(jù)平臺(tái)安全管理、安全技術(shù)、安全運(yùn)行和有效

性評(píng)價(jià)的要求。

本文件適用于大數(shù)據(jù)平臺(tái)安全保障。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T35274信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語(yǔ)

3術(shù)語(yǔ)和定義

GB/T25069和GB/T35295界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

大數(shù)據(jù)平臺(tái)BigDataPlatform

采用分布式存儲(chǔ)和計(jì)算技術(shù)，提供大數(shù)據(jù)處理功能，支持大數(shù)據(jù)應(yīng)用安全高效運(yùn)行的軟硬件集合，

包括監(jiān)視數(shù)據(jù)輸入/輸出、控制數(shù)據(jù)處理活動(dòng)等軟硬件基礎(chǔ)設(shè)施及其所控制的數(shù)據(jù)資產(chǎn)。

注：平臺(tái)指由一組子系統(tǒng)和技術(shù)形成的軟硬件設(shè)施組成，通過(guò)一些接口和使用工具提供一組一致的功能，任何由它

所支持的應(yīng)用都可以使用平臺(tái)的功能而不必關(guān)心其實(shí)現(xiàn)細(xì)節(jié)。

［來(lái)源：GB/T35274-2023，3.11］

4安全保障框架

安全保障框架由安全管理、安全技術(shù)、安全運(yùn)行組成，如圖1所示：

——安全管理包括機(jī)構(gòu)、人員、安全策略、資產(chǎn)管理、風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性管理。

——安全技術(shù)包括通用要求、數(shù)據(jù)處理要求。

——安全運(yùn)行包括安全監(jiān)測(cè)、風(fēng)險(xiǎn)識(shí)別、應(yīng)急處置。

1

DB61/T2036—2025

圖1大數(shù)據(jù)平臺(tái)安全保障框架

5安全管理

5.1機(jī)構(gòu)

5.1.1應(yīng)建立大數(shù)據(jù)平臺(tái)安全保障領(lǐng)導(dǎo)機(jī)構(gòu)，明確決策層、管理層、執(zhí)行層的職責(zé)劃分。

5.1.2應(yīng)明確大數(shù)據(jù)平臺(tái)安全責(zé)任與任務(wù)分配，由管理層制定，決策層批準(zhǔn)，發(fā)布、傳達(dá)至內(nèi)部、外

部相關(guān)方。

5.1.3應(yīng)明確大數(shù)據(jù)平臺(tái)安全責(zé)任人，并將責(zé)任人的信息報(bào)備至行業(yè)主管部門，落實(shí)安全管理責(zé)任。

5.2人員

5.2.1平臺(tái)管理崗位人員應(yīng)熟悉相關(guān)法律法規(guī)、政策文件及平臺(tái)基本架構(gòu)和運(yùn)行方式，通過(guò)專業(yè)培訓(xùn)

或考核，簽署安全責(zé)任協(xié)議和保密協(xié)議。

5.2.2人員離職后應(yīng)及時(shí)撤銷訪問(wèn)權(quán)限，包括但不限于大數(shù)據(jù)平臺(tái)管理賬戶、身份認(rèn)證信息、設(shè)備訪

問(wèn)權(quán)限。

5.3安全策略

5.3.1安全策略應(yīng)由管理層負(fù)責(zé)制定，內(nèi)容應(yīng)覆蓋對(duì)大數(shù)據(jù)平臺(tái)的管理、技術(shù)和運(yùn)行層面的要求。

5.3.2應(yīng)建立重要數(shù)據(jù)監(jiān)測(cè)、自動(dòng)化監(jiān)控和應(yīng)急處置機(jī)制，配備數(shù)據(jù)防泄漏和監(jiān)測(cè)工具。

5.3.3安全策略的制定應(yīng)符合法律法規(guī)和標(biāo)準(zhǔn)要求。

5.4資產(chǎn)管理

2

DB61/T2036—2025

5.4.1應(yīng)根據(jù)重要程度對(duì)資產(chǎn)實(shí)施分類管理，并進(jìn)行標(biāo)識(shí)，編制資產(chǎn)清單，明確其歸屬、責(zé)任、分類

和位置。

5.4.2應(yīng)對(duì)重要介質(zhì)進(jìn)行分類標(biāo)識(shí)和管理，對(duì)查閱、拷貝、傳輸?shù)炔僮鬟M(jìn)行審批。

5.4.3應(yīng)建立設(shè)備管理制度，對(duì)設(shè)備的選型、采購(gòu)、領(lǐng)用、維護(hù)、報(bào)廢等流程進(jìn)行審批，并明確責(zé)任

人。

5.5風(fēng)險(xiǎn)管理

5.5.1應(yīng)建立大數(shù)據(jù)平臺(tái)的核心資產(chǎn)分類評(píng)估制度，識(shí)別系統(tǒng)威脅和脆弱性，分析不可接受風(fēng)險(xiǎn)類別，

提出風(fēng)險(xiǎn)防控措施。

5.5.2應(yīng)建立完整的大數(shù)據(jù)平臺(tái)應(yīng)急預(yù)案，包括應(yīng)急組織、職責(zé)分工、安全事件分類、監(jiān)測(cè)預(yù)警、處

置流程和保障措施。

5.5.3應(yīng)結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果和平臺(tái)安全需求，整合控制措施，形成系統(tǒng)化的風(fēng)險(xiǎn)防控體系。

5.5.4應(yīng)建立自動(dòng)化監(jiān)控和應(yīng)急處置機(jī)制，監(jiān)測(cè)數(shù)據(jù)處理活動(dòng)及操作接口，及時(shí)發(fā)現(xiàn)異常并進(jìn)行響應(yīng)。

5.5.5應(yīng)針對(duì)重要數(shù)據(jù)和個(gè)人信息建立監(jiān)測(cè)機(jī)制，部署數(shù)據(jù)防泄漏工具，監(jiān)控異常的數(shù)據(jù)交換和共享

行為。

5.5.6委托第三方開展風(fēng)險(xiǎn)評(píng)估，應(yīng)對(duì)委托對(duì)象的資質(zhì)進(jìn)行審核，并簽署委托協(xié)議和保密協(xié)議。

5.6業(yè)務(wù)連續(xù)性管理

5.6.1應(yīng)建立應(yīng)急響應(yīng)機(jī)制，定期進(jìn)行服務(wù)中斷應(yīng)急演練。

5.6.2應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行恢復(fù)性測(cè)試。

5.6.3應(yīng)設(shè)計(jì)冗余存儲(chǔ)與計(jì)算架構(gòu)。

6安全技術(shù)

6.1通用要求

6.1.1物理環(huán)境

6.1.1.1大數(shù)據(jù)平臺(tái)應(yīng)設(shè)置在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，并符合機(jī)房場(chǎng)地安全選址要求。

6.1.1.2出入口應(yīng)配備具有電子門禁管理與記錄功能的設(shè)備。

6.1.1.3應(yīng)具備關(guān)鍵設(shè)備的物理安全保護(hù)功能，支持對(duì)關(guān)鍵設(shè)備進(jìn)行固定，標(biāo)明不可移除的標(biāo)識(shí)，并

確保設(shè)備及機(jī)柜安全接地。

6.1.1.4應(yīng)具備電力冗余與過(guò)壓保護(hù)功能，支持提供冗余電力線路、備用電力和過(guò)壓保護(hù)裝置。

6.1.1.5應(yīng)具備火災(zāi)報(bào)警與溫濕度調(diào)節(jié)功能，支持配備火災(zāi)自動(dòng)報(bào)警和滅火系統(tǒng)，并安裝溫濕度調(diào)節(jié)

設(shè)施。

6.1.1.6應(yīng)具備環(huán)境安全防護(hù)功能，支持采取防水、防潮及防靜電措施，包括防靜電地板、濕度控制

以及水敏感報(bào)警設(shè)備等。

6.1.1.7大數(shù)據(jù)平臺(tái)機(jī)房應(yīng)具有異地災(zāi)備功能，災(zāi)備中心與主數(shù)據(jù)中心不小于300公里。

6.1.2邊界防護(hù)

6.1.2.1應(yīng)具備網(wǎng)絡(luò)攻擊檢測(cè)與防護(hù)功能，支持在大數(shù)據(jù)平臺(tái)與外網(wǎng)邊界部署網(wǎng)絡(luò)攻擊檢測(cè)與防護(hù)設(shè)

備。

3

DB61/T2036—2025

6.1.2.2應(yīng)具備邊界訪問(wèn)與數(shù)據(jù)流控制功能，支持跨越邊界的訪問(wèn)和數(shù)據(jù)流必須通過(guò)受控接口進(jìn)行通

信。

6.1.2.3應(yīng)具備非授權(quán)設(shè)備連接檢測(cè)與限制功能，支持對(duì)非授權(quán)設(shè)備連接內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行實(shí)時(shí)檢

測(cè)并限制。

6.1.3身份鑒別

6.1.3.1應(yīng)具備用戶身份標(biāo)識(shí)與鑒別功能，支持對(duì)登錄用戶進(jìn)行唯一性身份標(biāo)識(shí)和鑒別，確保鑒別信

息復(fù)雜度并定期更換。

6.1.3.2應(yīng)具備登錄失敗處理功能，支持配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和登錄連接超時(shí)自

動(dòng)退出等措施。

6.1.3.3應(yīng)具備遠(yuǎn)程管理安全防護(hù)功能，支持采取措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽。

6.1.3.4應(yīng)具備多因素身份鑒別功能，支持采用口令、密碼技術(shù)、生物技術(shù)等兩種及以上組合的鑒別

技術(shù)，且其中一種鑒別技術(shù)應(yīng)使用密碼技術(shù)實(shí)現(xiàn)。

6.1.4訪問(wèn)控制

6.1.4.1應(yīng)具備訪問(wèn)控制策略配置功能，支持由授權(quán)主體規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則。

6.1.4.2應(yīng)具備用戶標(biāo)識(shí)與權(quán)限管理功能，支持對(duì)不同用戶實(shí)施標(biāo)識(shí)和鑒別，分配賬戶和權(quán)限，確保

最小權(quán)限和權(quán)限分離。

6.1.4.3應(yīng)具備訪問(wèn)控制規(guī)則優(yōu)化功能，支持刪除無(wú)效或冗余的規(guī)則，優(yōu)化訪問(wèn)控制列表。

6.1.4.4應(yīng)具備賬戶安全管理功能，支持重命名或刪除默認(rèn)賬戶，修改默認(rèn)密碼，刪除或停用無(wú)效賬

戶。

6.1.5病毒防護(hù)

6.1.5.1應(yīng)具備攻擊檢測(cè)與防護(hù)功能，支持在大數(shù)據(jù)平臺(tái)的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施網(wǎng)絡(luò)攻擊檢測(cè)與防護(hù)措

施。

6.1.5.2應(yīng)具備安全防護(hù)及漏洞管理功能，支持在服務(wù)器、終端部署病毒防護(hù)軟件，及時(shí)檢測(cè)并修補(bǔ)

已知漏洞。

6.1.6數(shù)據(jù)備份恢復(fù)

6.1.6.1應(yīng)具備數(shù)據(jù)備份與恢復(fù)功能，支持手動(dòng)和自動(dòng)執(zhí)行。

6.1.6.2應(yīng)具備數(shù)據(jù)本地和異地實(shí)時(shí)備份功能，保證重要數(shù)據(jù)的機(jī)密性、完整性和可用性。

6.1.7數(shù)據(jù)接口安全

6.1.7.1應(yīng)具備數(shù)據(jù)接口訪問(wèn)控制功能，支持對(duì)數(shù)據(jù)處理、使用、分析、導(dǎo)出、共享、交換等操作進(jìn)

行控制。

6.1.7.2應(yīng)具備數(shù)據(jù)安全接口安全保障功能，支持對(duì)不可控網(wǎng)絡(luò)中數(shù)據(jù)接口采用安全通道、加密傳輸

等安全措施。

6.1.7.3應(yīng)具備數(shù)據(jù)接口訪問(wèn)審計(jì)功能，支持對(duì)數(shù)據(jù)接口訪問(wèn)進(jìn)行審計(jì)。

6.1.8安全審計(jì)

6.1.8.1應(yīng)具備安全審計(jì)與事件記錄功能，支持啟用安全審計(jì)功能，跟蹤和記錄數(shù)據(jù)采集、處理、分

析等過(guò)程和安全事件。

6.1.8.2應(yīng)具備審計(jì)記錄備份功能，支持定期備份審計(jì)記錄。

4

DB61/T2036—2025

6.1.8.3應(yīng)具備審計(jì)記錄保護(hù)功能，支持防止未授權(quán)的查閱、修改或刪除審計(jì)記錄。

6.2數(shù)據(jù)處理要求

6.2.1數(shù)據(jù)采集

6.2.1.1應(yīng)具備數(shù)據(jù)采集策略管理功能，配置采集原則、流程、方法和外部數(shù)據(jù)源合法性驗(yàn)證機(jī)制。

6.2.1.2應(yīng)具備采集范圍動(dòng)態(tài)管控功能，支持采集頻度閾值設(shè)置與采集風(fēng)險(xiǎn)評(píng)估能力。

6.2.1.3應(yīng)具備敏感數(shù)據(jù)識(shí)別與訪問(wèn)控制功能，支持對(duì)數(shù)據(jù)的實(shí)時(shí)標(biāo)記與權(quán)限管控。

6.2.1.4應(yīng)具備自動(dòng)化采集范圍管理功能，支持智能判定自動(dòng)化采集的適用場(chǎng)景與邊界控制。

6.2.2數(shù)據(jù)存儲(chǔ)

6.2.2.1應(yīng)具備存儲(chǔ)資產(chǎn)標(biāo)識(shí)管理功能，支持?jǐn)?shù)據(jù)標(biāo)注與存儲(chǔ)內(nèi)容可視化呈現(xiàn)。

6.2.2.2應(yīng)具備數(shù)據(jù)存儲(chǔ)加密功能，支持國(guó)密算法套件與完整性、保密性校驗(yàn)機(jī)制。

6.2.2.3應(yīng)具備數(shù)據(jù)存儲(chǔ)邏輯隔離功能，支持多租戶架構(gòu)的數(shù)據(jù)分區(qū)存儲(chǔ)與訪問(wèn)控制策略管理。

6.2.2.4應(yīng)具備存儲(chǔ)訪問(wèn)審計(jì)功能，支持訪問(wèn)日志記錄、異常行為檢測(cè)與審計(jì)報(bào)告生成。

6.2.2.5應(yīng)具備存儲(chǔ)合規(guī)檢查功能，支持隨機(jī)抽樣檢測(cè)與存儲(chǔ)策略匹配度驗(yàn)證。

6.2.3數(shù)據(jù)使用

6.2.3.1應(yīng)具備數(shù)據(jù)使用評(píng)估與審計(jì)功能，支持對(duì)敏感數(shù)據(jù)操作的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估與預(yù)警。

6.2.3.2應(yīng)具備動(dòng)態(tài)訪問(wèn)控制功能，支持基于數(shù)據(jù)分類分級(jí)的權(quán)限動(dòng)態(tài)調(diào)整與越權(quán)操作阻斷。

6.2.3.3應(yīng)具備完整的數(shù)據(jù)操作審計(jì)功能，支持操作日志采集、行為畫像生成與責(zé)任定位。

6.2.4數(shù)據(jù)傳輸

6.2.4.1應(yīng)具備傳輸策略動(dòng)態(tài)管理功能，支持安全策略配置與變更。

6.2.4.2應(yīng)具備端到端加密傳輸功能，支持國(guó)密算法套件與完整性校驗(yàn)機(jī)制。

6.2.4.3應(yīng)具備傳輸安全審計(jì)功能，支持通道安全檢測(cè)、密鑰生命周期管理與密碼配置合規(guī)審查。

6.2.5數(shù)據(jù)銷毀

6.2.5.1應(yīng)具備數(shù)據(jù)銷毀策略配置功能，支持基于數(shù)據(jù)分類分級(jí)的自動(dòng)化銷毀方案。

6.2.5.2應(yīng)具備銷毀流程管控功能，支持多級(jí)審批與銷毀過(guò)程審計(jì)。

6.2.5.3應(yīng)具備銷毀不可逆驗(yàn)證功能，支持敏感數(shù)據(jù)清除證明與檢測(cè)。

6.2.5.4應(yīng)具備多數(shù)據(jù)副本銷毀功能，支持全副本追蹤與批量清除。

7安全運(yùn)行

7.1安全監(jiān)測(cè)

7.1.1應(yīng)依據(jù)數(shù)據(jù)安全基線或閾值制定監(jiān)測(cè)規(guī)則，實(shí)時(shí)告警數(shù)據(jù)處理活動(dòng)中的異常行為，并展示相關(guān)

風(fēng)險(xiǎn)和威脅信息。

7.1.2應(yīng)對(duì)數(shù)據(jù)處理過(guò)程和存儲(chǔ)數(shù)據(jù)的使用與訪問(wèn)進(jìn)行審計(jì)，審計(jì)記錄留存應(yīng)大于6個(gè)月。

7.1.3監(jiān)測(cè)異常的數(shù)據(jù)交換、數(shù)據(jù)共享、數(shù)據(jù)處理和對(duì)接口的操作，并即時(shí)響應(yīng)。

7.2風(fēng)險(xiǎn)識(shí)別

5

DB61/T2036—2025

7.2.1應(yīng)構(gòu)建數(shù)據(jù)資產(chǎn)識(shí)別能力，分類和標(biāo)記數(shù)據(jù)源信息，更新數(shù)據(jù)資產(chǎn)目錄。

7.2.2應(yīng)對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行威脅與脆弱性分析，評(píng)估服務(wù)的安全影響，形成風(fēng)險(xiǎn)分析報(bào)告，并進(jìn)行整

改。

7.2.3應(yīng)建立數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)庫(kù)，分析大數(shù)據(jù)平臺(tái)運(yùn)營(yíng)日志，定期開展安全隱患排查。

7.2.4應(yīng)定期開展大數(shù)據(jù)平臺(tái)風(fēng)險(xiǎn)識(shí)別、分析，保存分析報(bào)告及應(yīng)對(duì)情況記錄。

7.3應(yīng)急處置

7.3.1應(yīng)按照應(yīng)急演練計(jì)劃，定期開展演練，保存記錄和總結(jié)報(bào)告。在大數(shù)據(jù)平臺(tái)或外部環(huán)境發(fā)生重

大變化時(shí)，應(yīng)及時(shí)更新應(yīng)急預(yù)案并保留審核發(fā)布記錄。

7.3.2應(yīng)與主管部門、第三方安全機(jī)構(gòu)和相關(guān)職能部門建立有效的應(yīng)急處理、協(xié)調(diào)和溝通渠道。

7.3.3根據(jù)安全事件處置操作規(guī)程，發(fā)生數(shù)據(jù)泄露、篡改、破壞、勒索等安全事件時(shí)，應(yīng)按照規(guī)程明

確的事件分類、啟動(dòng)條件、資源需求及響應(yīng)措施進(jìn)行處置。

7.3.4應(yīng)明確大數(shù)據(jù)平臺(tái)故障恢復(fù)目標(biāo)，