GA/T 2380-2026正式施行在即，数据分级、微隔离、特权审计、数据流向管控、备份加密——这五个方向，私有云平台值得逐一对照自查。

一、新标准把数据安全单独拎了出来

GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》将于2026年6月1日正式施行。它在GB/T 22239-2019等级保护基本要求的基础上，新增"安全数据处理"等数据安全专项要求，首次将数据安全作为独立体系纳入等保框架——标志着等保从"以系统安全为核心"进入"系统安全与数据安全并重"的阶段。

相比此前以系统安全为核心的等保要求，新标准在四个方向提出了明确的数据安全要求：

数据分类分级落地：分级结果需要从制度文档落到存储层——数据的物理存放位置、访问策略、加密强度与安全级别对应起来，停留在文档层面已不足以应对数据安全测评。

访问控制收紧：持续验证、最小权限的访问控制思路成为重点，东西向流量的微隔离能力是数据中心内部防护的薄弱环节。现实中不少平台南北向防护完备，内部各业务系统之间却缺乏横向隔离，一旦单点被攻破，攻击者可在内网自由横移。

审计可追溯：特权账号（root、admin、DBA等)的操作需要全程留存，且审计数据须与业务数据隔离存放、满足监管要求的留存周期，避免被审计方自行删改。

数据流向管控：对数据流向（尤其是出境方向）的识别与管控，需要在网络层具备技术手段，仅凭应用层的合规声明或合同约束不再足够。

二、数据分级须落到存储层

容易被误解的一点：数据分类分级光有一份Excel表格不够，得在基础设施层落地为技术机制。

落地方向通常包括：

• 不同安全级别的数据存放在隔离的存储池或卷组中

• 高级别数据的存储卷启用静态加密，密钥由独立的密钥管理服务托管

• 访问策略与数据级别绑定，不易被手动配置绕过

自查要点：当前私有云平台是否支持在存储卷级别绑定加密与访问策略？密钥是由独立服务管理，还是由存储系统自身持有？

在这一方向上，私有云平台应能提供存储卷加密、密钥与数据分离托管、分级标签与访问控制联动的能力。具体到产品落地，建议结合自身平台的存储与密钥管理方案，与厂商确认密钥托管和分级标签的实现方式。

三、微隔离：东西向流量管控

传统防火墙主要管控南北向流量，对数据中心内部的东西向流量管控能力有限。数据安全要求下，微隔离——即对虚拟机之间、容器之间的流量做细粒度控制——成为内部防护的重点。

这类问题的隐患在于：平台南北向防护即便完备，内部各业务系统之间若缺乏横向隔离，一旦某个节点被攻破，攻击者就可能在内网自由横移。

自查要点：

• 虚拟机之间是否有独立的安全组策略，而非共享同一网络平面？

• 是否支持在不重建网络的情况下，对已有虚拟机追加微隔离策略？

• 策略变更是否有审计记录？

ZStack Cloud的安全组支持虚拟机级别的入站/出站规则，东西向流量可通过分布式虚拟防火墙进行控制，策略变更全程记录在操作审计日志中。

四、特权账号审计，操作可追溯

特权账号的管控，往往是落地难度较高的一项。

需要关注的要点：

• 特权账号的登录会话应有完整的操作记录，关键场景下需要操作录像而非仅文本日志

• 审计数据应存放在与被审计系统隔离的存储中

• 留存周期应满足监管要求，且不得由被审计方的管理员自行删改

目前不少私有云平台只记录文本操作日志，在数据安全测评对"可追溯"的要求下，关键系统通常还需要会话级的录屏能力。

自查要点：

• 当前是否有堡垒机或特权访问管理（PAM）系统？

• 审计数据存放在哪里？是否与被审计的业务系统隔离？

• 留存周期是否满足要求，是否存在自动清理策略提前删除的情况？

ZStack Cloud支持与主流堡垒机产品对接，特权账号的SSH/RDP会话可通过堡垒机录屏，录像文件写入独立的对象存储桶，访问权限与业务系统管理员账号隔离。

五、数据流向管控落到网络层

对数据流向（尤其是出境方向）的管控，需要在网络层具备技术手段，应用层的合规声明或合同约束已不足以应对。

对私有云平台的实际要求：

• 能够基于目的地IP段对出站流量做识别和管控

• 管控动作在网络层完成，不依赖应用程序自行判断

• 阻断行为有日志记录，可供审计

自查要点：

• 当前网络策略是否支持按目的地IP段配置出站规则？

• 若某虚拟机被植入恶意程序并尝试向外部回传数据，网络层能否拦截？

ZStack Cloud的网络服务支持配置出站ACL规则，可按目的地IP段对出站流量进行管控，阻断行为记录在安全审计日志中。如需按地理位置识别境外目的地，建议结合外部IP地理库或专用安全设备实现。

六、备份数据独立加密

备份数据的要求容易被忽视：备份数据应独立加密，加密密钥不与生产数据共用同一套密钥体系。

背后的逻辑很直接——生产环境密钥一旦泄露，攻击者不应能顺带解开备份数据。两套密钥相互独立，才能保证备份在生产环境失陷时仍然安全。

自查要点：

• 备份数据是否加密？

• 备份密钥与生产密钥是否共用同一套密钥体系？

• 备份存储是否与生产存储隔离？

在这一方向上，私有云平台应支持为备份单独配置加密密钥、与生产密钥分开托管，备份数据写入独立存储。具体实现建议与厂商确认密钥隔离的方式。

七、ZStack Cloud在数据安全方向的能力支撑

云轴科技ZStack Cloud在政务、医疗、金融等行业有大量等保三级场景的落地案例，针对上述五个方向提供对应的产品能力：

上表列出的是产品方向上的能力支撑，具体到某个项目的合规落地，建议结合实际等保测评要求与厂商做方案级确认。6月1日之前，各私有云平台管理员不妨对照这五个方向先做一轮自查，审计数据的存放位置和留存周期通常是最容易被忽略的环节。