《自然资源网络安全保护技术规范》

《自然资源网络安全保护技术规范》

编制说明

一、工作简况

（一）任务来源

为贯彻落实《国家标准化发展纲要》要求，强化《自然资源标准

体系》实施，有序组织自然资源标准制修订工作，充分发挥标准化在

全面履行自然资源部职责中的引领和支撑作用，《自然资源网络安全

保护技术规范》标准是根据自然资源部办公厅2023年7月发布的经

自然资源标准化工作管理委员会审议通过的《2023年度自然资源标

准制修订工作计划》制定的，标准计划号为“202331007”。

本标准由全国地理信息标准化技术委员会信息化分技术委员会

（TC230/SC1）归口管理。

（二）制定背景

自然资源是生存之基、发展之要、民生之本、生态之依。自然资

源关键信息基础设施安全保护关系国家安全及公共利益。当前全球网

络安全局势面临严峻挑战，日益突出的安全威胁向国家重要领域传导

渗透，近年来针对自然资源行业的网络攻击事件频发。例如，境外组

织机构利用地理信息系统软件预置“后门”自动连接境外服务器，对

重要敏感数据搜集外传。

自然资源信息化领域广泛，涵盖土地、地址、矿产、海洋、测绘

地理信息等方面建立的网络基础设施、应用系统及数据库等。自然资

源系统内各单位网络安全管理和技术防护能力参差不齐，个别信息化

应用系统的网络安全防护力量较为薄弱，有待提高。

为了加强自然资源信息化、数字化建设，自然资源部先后于2019

3

年发布《自然资源部信息化建设总体方案》、2024年发布《自然资

源数字化整体能力提升总体方案》，明确提出构建“全方位网络安全

保障体系”和“制度标准规范体系”两个体系，以保障自然资源数字

化能力整体提升。

本标准作为自然资源行业第一个网络安全保护技术规范，将有力

推进自然资源数字化能力一体化建设进度，为全方位网络安全保障体

系建设提供标准支撑，切实加强自然资源网络安全保护能力，保障自

然资源业务连续性运行，及其重要数据不受破坏，实现自然资源行业

全面识别、智能监控、实时预警、精准处置、情报共享的网络安全建

设目标。

本标准给出了自然资源网络安全保护框架及安全要求，包括安全

管理要求、安全技术要求、安全运营要求。适用于自然资源部，62

家部直属单位、派出机构（以下简称各单位），31个省级自然资源

主管部门和新疆生产建设兵团自然资源局可参照执行。

（三）起草单位

本标准起草单位包括自然资源部信息中心、重庆市规划和自然资

源信息中心、深信服科技股份有限公司、杭州安恒信息技术股份有限

公司、绿盟科技集团股份有限公司、中国地质调查局、国家基础地理

信息中心、国家海洋信息中心、自然资源部国土卫星遥感应用中心、

国家卫星海洋应用中心。

（四）起草过程

1.起草阶段。

2022年7月，成立编制工作组，启动标准编制工作，开始撰写

标准草案。

2022年8-11月。组织多次编制工作组会议，先后完成3个版本

4

标准草案的修改讨论，形成《自然资源网络安全保护技术规范（草

案）》。

2022年12月，在自然资源标准制修订管理系统，填写标准项目

建议书，申请立项。

2023年2月，在全国地理信息标准化技术委员会信息化分技术

委员会（TC230/SC1）进行立项汇报，通过立项评审。

2023年7月，自然资源部办公厅发布《关于印发2023年度自然

资源标准制修订工作计划的通知》（自然资办发〔2023〕30号），

标准获得自然资源标准化工作管理委员会审议通过。

2023年8月，组织编制工作组启动草案修订工作。

2023年12月，编制工作组召开本标准项目工作会议，对标准草

案的框架、思路和内容进行讨论，形成了标准的基本架构，并进行详

细分工。

2024年1月-4月，编制工作组召开多次会议进行讨论，参考国

家、行业相关标准，结合《自然资源数字化整体能力提升总体方案》，

明确了安全技术要求、安全管理要求、安全运营要求、监督考核要求

等内容。

2024年5月-6月，编制工作组召开多次会议，对各章节内容进

行梳理，确定然资源网络安全保护框架，明确保护对象、适用范围、

术语、应用文件等相关内容。

2024年7月-8月，各参编单位组织各单位内部参编专家小范围

进行讨论，并根据反馈内容，编制工作组多次组织会议进行讨论修订。

2024年9月底，编制工作组完成标准草案修订工作，形成《自

然资源网络安全保护技术规范（征求意见稿）》。

2024年10月，编写工作组于部机关开展了该标准的研讨会，参

5

加研讨的专家分别来自地调局、海洋卫星中心、国土卫星中心、地信

中心、海洋信息中心、部信息中心等。编制工作组汇报了编制背景及

主要内容等，经过专家质询研讨提出27条意见，收集并采纳相关意

见20条，编写工作组根据专家反馈的意见和相关研究的结果，经过

反复讨论，修改完善《自然资源网络安全保护技术规范（征求意见

稿）》。

2.征求意见阶段。

3.送审阶段。

4.报批阶段。

二、标准编制原则、主要内容及其确定依据

（一）标准编制原则

《自然资源网络安全保护技术规范》的编制，有助于强化自然资

源领域的网络安全防护能力，保障自然资源信息化、数字化建设的顺

利推进。在编制过程中，遵循了一系列科学、合理且符合自然资源行

业特点的原则，以确保标准的适用性、先进性和可操作性。以下是对

这些编制原则的详细阐述。

1.科学性与合理性原则

本标准的编制过程严格遵循科学方法论，从理论研究到实践操

作，每一步都力求科学严谨。深入分析了自然资源行业的特点和网络

安全面临的威胁，参考了国内先进的网络安全理论和技术，结合自然

资源行业的实际工作需求，制定了一套科学、系统的网络安全保护技

术规范。

6

在编制过程中，充分考虑了标准的合理性和实用性。标准的条款

和要求既不过于苛刻，增加不必要的实施难度，也不过于宽松，导致

安全防护效果不佳。力求在保障网络安全的同时，兼顾工作效率和成

本效益，使标准能够在实际工作中得到有效执行。

2.行业特色与针对性原则

自然资源行业具有独特的业务特点和信息安全需求。本标准在编

制过程中，充分考虑了自然资源行业的特殊性，如地理信息数据的敏

感性、业务系统的复杂性等。针对这些特点，制定了针对性的网络安

全保护措施，确保标准能够切实满足自然资源行业的实际需求。

标准的编制具有明确的针对性。针对自然资源行业面临的主要网

络安全威胁，如勒索病毒攻击、数据泄露等，提出了具体的防护措施

和应急响应要求。同时，还针对自然资源信息化建设中存在的薄弱环

节，如部分信息化应用系统的安全防护力量薄弱等，提出了加强安全

管理和技术防护的要求。

3.全面性与系统性原则

本标准涵盖了自然资源网络安全的各个方面，包括安全管理要

求、安全技术要求、安全运营要求等。在安全管理方面，提出了安全

管理制度、安全管理机构、安全管理人员等方面的要求；在安全技术

方面，涵盖了物理安全、通信安全、主机安全、应用安全、数据安全

等多个领域；在安全运营方面，涉及了资产识别与更新、安全检测与

加固、安全监测与预警等多个环节。通过全面的防护措施，确保自然

资源网络系统的安全性。

标准的编制注重系统性。构建了一个完整的网络安全保护框架，

将各个安全要素有机结合起来，形成一个相互支撑、协同工作的安全

体系。同时，还注重标准内部各章节之间的逻辑性和关联性，确保标

7

准内容的连贯性和一致性。

4.前瞻性与可操作性原则

在编制过程中，充分考虑了网络安全技术的发展趋势和未来可能

面临的安全威胁。参考了国内最新的网络安全研究成果和实践经验，

结合自然资源行业的发展趋势，制定了一些具有前瞻性的网络安全保

护措施。这些措施不仅能够应对当前的安全威胁，还能够为未来的网

络安全防护提供指导和支持。

标准的编制注重可操作性。力求使标准的条款和要求明确具体、

易于理解和执行。在编写过程中，采用了简洁明了的语言和直观的图

表形式，方便读者理解和掌握标准内容。

5.规范性与指导性原则

本标准的编制遵循了国家关于标准化工作的相关法律法规和标

准制定程序，参考了《中华人民共和国网络安全法》《中华人民共和

国数据安全法》《中华人民共和国密码法》《关键信息基础设施安全

保护条例》等相关法律法规，以及《信息安全技术网络安全等级保

护基本要求》《信息安全技术关键信息基础设施安全保护要求》等

相关国家标准，确保标准内容的合法性和合规性。

标准具有明确的指导性。不仅为自然资源行业提供了全面的网络

安全保护框架和要求，还为各单位开展网络安全建设和运营工作提供

了具体的指导和建议。通过标准的实施，可以有效提升自然资源行业

的网络安全防护能力，推动自然资源行业信息化、数字化建设的健康

发展。

6.协同与整合原则

本标准的编制注重协同性。充分考虑了自然资源行业内各单位之

间的协同合作，提出了加强网络安全信息共享、协同处置安全事件等

8

要求。通过协同合作，可以形成合力，共同应对网络安全威胁，提升

整体安全防护能力。

在编制过程中，注重对现有安全资源的整合和利用。鼓励各单位

在现有的安全设施和管理体系基础上，按照本标准的要求进行完善和

提升。同时，还注重标准与其他相关标准和规范之间的衔接和协调，

确保标准的实施能够与现有的管理体系和流程相融合。

（二）标准特点和必要性

随着《中华人民共和国网络安全法》《中华人民共和国数据安全

法》以及《关键信息基础设施安全保护条例》等一系列国家法律法规

的出台，网络安全与数据安全的重要性日益凸显。在自然资源行业，

随着信息化和数字化的深入发展，针对该行业的网络攻击事件频发，

严重威胁到自然资源的保护、管理和利用。为此，立足于国家相关标

准之上，结合《自然资源数字化治理能力提升总体方案》，针对自然

资源“一张网”、“一张图”、一平台、四大数字化主题应用场景，

编写《自然资源网络安全保护技术规范》（以下简称“本标准”）显

得尤为必要。

1.本标准的特点

（1）合规性基础之上的行业特色

本标准在编写过程中，严格遵循了国家相关法律法规及标准的要

求，如《中华人民共和国网络安全法》、《中华人民共和国数据安全

法》《信息安全技术网络安全等级保护基本要求》《信息安全技术关

键信息基础设施安全保护要求》等。同时，结合自然资源行业的实际

需求和特点，对各项安全要求进行了细化和补充，确保了标准的合规

性和行业适用性。

例如，在数据安全管理方面，本标准不仅涵盖了数据收集、存储、

9

使用、加工、传输、提供、公开和销毁等全生命周期的安全要求，还

特别强调了自然资源数据的分类分级管理，要求各单位参照部制定的

数据收集标准完成数据收集工作，并根据数据安全级别采取相应的安

全措施。这些要求充分体现了自然资源行业在数据安全管理方面的独

特性和重要性。

（2）系统性的安全保护框架

本标准从“安全管理、安全技术、安全运营”三个维度出发，构

建了一个全面、系统的自然资源网络安全保护框架。这一框架不仅覆

盖了物理安全、通信安全、主机安全、应用安全、数据安全、终端安

全等传统安全领域，还针对云计算安全、物联网安全、供应链安全等

新技术、新业态提出了相应的安全要求。

通过这一系统性的安全保护框架，本标准为自然资源行业提供了

一个全方位、多层次的网络安全防护体系。各单位可以参照这一框架，

结合自身的实际情况，规划设计符合行业特点的网络安全体系，从而

有效提升整个行业的网络安全防护能力。

（3）前瞻性的安全防护理念

在编写过程中，本标准充分考虑了未来自然资源信息化的发展趋

势和网络安全威胁的变化。通过引入高级可持续威胁（APT）防范、

物联网安全、供应链安全等前沿技术和理念，本标准为自然资源行业

提供了前瞻性的安全防护指导。

例如，在主机安全方面，本标准要求各单位采取技术手段提高对

APT等网络攻击行为的入侵防范能力；在物联网安全方面，本标准对

感知终端、感知层网关、感知层接入以及IoT数据传输等关键环节提

出了安全要求；在供应链安全方面，本标准要求各单位开展常态化供

应链安全自查工作，并及时整改发现的安全隐患。这些要求有助于提

10

升自然资源行业对未来网络安全威胁的应对能力。

（4）实际性的操作指导

本标准不仅提出了安全保护框架和要求，还提供了具体的操作指

导和实施建议。例如，在安全管理方面，本标准规定了安全管理制度

的制定、发布、评审和修订流程；在安全技术方面，本标准给出了物

理安全、通信安全、主机安全等各领域的具体安全控制措施；在安全

运营方面，本标准明确了资产识别与更新、安全检测与加固、安全监

测与预警等活动的具体流程和要求。

这些操作指导和实施建议有助于各单位更好地理解和执行本标

准的要求，从而确保网络安全保护工作的有效实施。

2.编写的必要性

（1）满足国家法律法规的要求

随着国家网络安全和数据安全法律法规的不断完善，对各行各业

的网络安全工作提出了更高的要求。在自然资源行业，编写本标准是

落实国家法律法规要求、提升行业网络安全防护能力的必要举措。通

过制定和实施本标准，可以确保自然资源行业的网络安全工作符合国

家法律法规的要求，避免因违法违规行为带来的法律风险和损失。

（2）应对日益严峻的网络安全威胁

近年来，针对自然资源行业的网络攻击事件频发，给自然资源的

保护、管理和利用带来了严重威胁。这些攻击事件不仅可能导致重要

数据的泄露和篡改，还可能破坏自然资源管理系统的正常运行。因此，

编写本标准是应对日益严峻的网络安全威胁、保障自然资源行业安全

的迫切需要。通过提供全面、系统的网络安全保护指导和实施建议，

本标准有助于提升自然资源行业的网络安全防护能力，有效抵御各类

网络攻击和威胁。

11

（3）推动自然资源行业的数字化治理能力提升

随着信息化的深入发展，自然资源行业正加速向数字化、智能化

转型。在这一过程中，网络安全是保障数字化治理能力提升的重要基

础。编写本标准有助于规范自然资源行业的网络安全保护工作，提升

行业整体的网络安全防护水平，为数字化治理能力的提升提供有力支

撑。

（4）促进自然资源信息的共享和利用

自然资源信息是国家的重要战略资源，对于促进经济社会发展、

保障国家安全具有重要意义。然而，由于网络安全问题的存在，自然

资源信息的共享和利用受到了一定程度的制约。编写本标准有助于加

强自然资源行业的网络安全保护工作，提升行业整体的网络安全防护

能力，从而为自然资源信息的共享和利用提供更加安全、可靠的环境。

通过实施本标准，可以促进自然资源信息的有效共享和利用，推动相

关行业的协同发展和创新。

（三）主要内容及其确定依据

本标准的编制过程中，主要参考了《中华人民共和国网络安全法》

《中华人民共和国数据安全法》《中华人民共和国密码法》《关键信

息基础设施安全保护条例》《信息安全技术网络安全等级保护基本

要求》《信息安全技术关键信息基础设施安全保护要求》《自然资

源领域数据安全管理办法》相关国家标准和行业规范。

本标准保护对象是指由计算机或者其他信息终端及相关设备组

成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处

理的自然资源应用系统，包括但不限于支撑底线守护、格局优化、绿

色低碳、权益维护等多维数字化应用场景的自然资源云、自然资源“一

张网”、国土空间基础信息平台等。

12

针对以上保护对象本标准提出了自然资源网络安全保护框架及

安全要求：

1.前言

前言章节概述了《自然资源网络安全技术规范》的制定背景、目

的和意义。随着国家网络安全法律法规的不断完善，自然资源部门作

为重要政府部门，面临着日益复杂的网络安全威胁。由于部属单位众

多且网络安全建设水平不一，加之自然资源行业频繁遭受网络攻击，

缺乏统一的网络安全规范性文件，行业整体安全防护存在短板。基于

国家网络安全相关标准，结合自然资源行业的特点和数字化治理能力

提升的发展规划，本技术规范旨在构建系统化、标准化的网络安全防

护体系，为自然资源部门及其直属单位和派出机构提供全面的网络安

全建设和运营指导，以提升行业整体的网络安全管理和防御水平，确

保自然资源信息的安全与稳定。

2.引言

引言章节，详细阐述了《自然资源网络安全技术规范》的制定背

景、依据及重要性。随着《中华人民共和国网络安全法》等一系列网

络安全法律法规的出台，网络安全工作得到了明确的要求和指导。自

然资源部门作为承担“两统一”职责的重要政府部门，其网络安全建

设尤为重要。然而，由于部属单位及派出机构众多，且各单位网络安

全建设水平参差不齐，加之近年来针对自然资源行业的网络攻击事件

频发，行业整体网络安全防护存在明显短板。因此，基于国家网络安

全相关标准，结合《自然资源数字化治理能力提升总体方案》及行业

特色，制定本技术规范，旨在通过构建系统化、标准化的网络安全防

13

护体系，有效衔接等级保护、关键信息基础设施保护、数据安全保护

等标准规范，为自然资源部门提供科学、规范、全面的网络安全建设

指导，切实提升行业网络安全管理和防御水平，保障自然资源信息的

安全与稳定。

3.范围

范围章节，明确了《自然资源网络安全技术规范》的适用范围和

主要内容。本技术规范规定了自然资源网络安全保护框架及安全要

求，包括安全管理要求、安全技术要求、安全运营要求，适用于自然

资源部及其62家直属单位和派出机构，同时建议31个省级自然资源

主管部门和新疆生产建设兵团自然资源局参照执行。技术规范涵盖了

自然资源“一张网”、自然资源云、国土空间基础信息平台以及底线

守护、格局优化、绿色低碳、权益维护等应用场景的网络安全保护，

为自然资源行业的网络安全建设提供了全面的指导和规范。

4.规范性引用文件

规范性引用文件章节，列出了制定《自然资源网络安全技术规范》

时所参考的一系列标准和文件，这些标准和文件是构成本技术规范不

可或缺的重要条款。具体包括GB/T22239—2019《信息安全技术网

络安全等级保护基本要求》、GB/T39204—2022《信息安全技术关

键信息基础设施安全保护要求》等网络安全相关国家标准，以及GW

0015—2022《政务外网终端一机两用安全管控技术指南》等特定领域

的技术指南，还引用了《自然资源数字化治理能力提升总体方案》、

《自然资源领域数据安全管理办法》等自然资源部门的政策文件，确

保了技术规范的制定具有充分的依据和权威性。

5.术语和定义

14

术语和定义章节，对《自然资源网络安全技术规范》中涉及的关

键术语进行了明确和统一的定义，以确保技术规范的准确性和可理解

性。该章节定义了自然资源“一张网”、自然资源云、自然资源数据、

应用系统、主机、终端、高级可持续威胁（APT）、物联网（IoT）等

核心术语，并解释了这些术语在自然资源网络安全领域中的具体含义

和应用场景。通过明确这些术语，技术规范为自然资源行业的网络安

全建设和管理工作提供了清晰的概念框架，有助于各方在理解和执行

技术规范时保持一致性，提升行业整体的网络安全防护能力。

6.缩略语

缩略语章节，为《自然资源网络安全技术规范》提供了一套简洁

明了的术语缩写，便于文档的阅读和理解。该章节列出了如APT（高

级可持续威胁）、IoT（物联网）等关键术语的缩略形式，并明确了

它们在自然资源网络安全领域中的具体含义。这些缩略语的引入，不

仅减少了文档中的冗长表述，提高了阅读效率，还确保了术语使用的

一致性和规范性，有助于技术规范的广泛传播和应用。通过采用统一

的缩略语体系，技术规范更加简洁、专业，便于行业内外的沟通与协

作。

7.概述

概述章节，全面介绍了《自然资源网络安全技术规范》的核心内

容和框架。该章节首先明确了网络安全保护的对象，包括自然资源“一

张网”、自然资源云、国土空间基础信息平台及四大数字化主题应用

场景等。随后，提出了网络安全保护应遵循的合规性、系统性、前瞻

性和实际性四大基本原则。在网络安全保护框架部分，从安全管理、

安全技术和安全运营三个维度构建了动态防御体系，详细阐述了各维

度下的具体要求和措施。安全管理涉及制度、机构、人员、建设管理、

15

监督考核等方面；安全技术涵盖物理安全、通信安全、主机安全、应

用安全、数据安全、终端安全以及云计算安全、物联网安全、供应链

安全等新兴领域；安全运营则包括资产识别与更新、安全检测与加固、

安全监测与预警、事件处置与应急、安全攻防演练等关键环节。通过

这一全面而系统的框架，技术规范旨在为自然资源行业提供科学、规

范、有效的网络安全保护指导。

8.网络安全保护框架

网络安全保护框架章节，详细构建了自然资源网络安全保护的三

维体系，包括安全管理、安全技术和安全运营三个核心维度。安全管

理维度聚焦于制度、机构、人员、建设管理及监督考核等方面，确保

网络安全工作的规范化和制度化；安全技术维度则涵盖物理、通信、

主机、应用、数据、终端以及云计算、物联网、供应链等多个安全领

域，为自然资源网络安全提供全方位的技术保障；安全运营维度通过

资产识别与更新、安全检测与加固、安全监测与预警、事件处置与应

急、安全攻防演练等关键环节，实现网络安全的动态防御和持续优化。

这一框架全面而系统地指导。

9.安全管理要求

安全管理要求是《自然资源网络安全保护技术规范》中的核心章

节之一，为自然资源行业提供了全面的安全管理框架和指导原则，在

通过系统性和前瞻性的安全管理措施，确保网络数据的安全性和合规

性。本章详细规定了安全管理制度、安全管理机构、安全管理人员、

安全建设管理以及安全监督考核等方面的要求，涵盖了从顶层策略制

定到底层操作执行的全方位安全管理内容。

（1）安全管理制度

安全管理制度是安全管理要求的基石，确保了安全管理的规范性

16

和有效性。本章节要求制定网络安全工作的总体方针、目标、范围、

原则和安全框架，为各单位提供了明确的安全管理方向。各单位需参

照总体方针，结合实际情况制定详细的安全策略，包括但不限于安全

互联策略、安全设计策略、身份管理策略、入侵防范策略等。这些策

略的制定为具体的安全管理工作提供了指导和依据。

为确保安全管理制度的有效执行，本章节还要求建立全面的安全

管理制度体系，包括风险管理制度、网络安全考核及监督问责制度、

网络安全教育培训制度等。这些制度覆盖了安全管理的各个方面，从

风险评估到安全培训，形成了一个闭环的管理流程。同时，还要求对

安全管理制度进行定期评审和修订，以确保其适应不断变化的安全威

胁和技术发展。

（2）安全管理机构

安全管理机构是实施安全管理要求的主体，其设置和人员配备直

接影响到安全管理的效果。本章节要求各单位成立网络安全工作委员

会或领导小组，并设立专门的网络安全管理机构，明确各岗位的职责

和权限。通过合理的岗位设置和人员配备，确保安全管理工作的顺利

开展。

本章节还对关键岗位人员提出了具体的要求，包括进行安全背景

审查和安全技能考核，确保上岗人员具备相应的安全管理能力。同时，

要求各单位定期对关键岗位人员进行安全培训，提高其安全意识和技

能水平。

（3）安全管理人员

安全管理人员是安全管理工作的直接执行者，其素质和能力对安

全管理效果具有决定性影响。本章节对安全管理人员的管理提出了具

体要求，包括人员管理和安全培训两个方面。

17

（4）人员管理

要求各单位指定或明确授权专门的部门或人员负责人员录用过

程，对录用人员进行全面的身份、安全背景和专业资格审查。同时，

要求与所有被录用人员签署保密协议，明确其安全职责和权益。此外，

还要求对外部人员进行严格的访问控制，确保其访问行为符合安全管

理要求。

（5）安全培训

本章节要求各单位至少每年开展一次安全意识教育和培训工作，

涵盖网络安全、数据安全、供应链安全等多个方面。通过培训提高安

全管理人员的安全意识和技能水平，确保其能够胜任安全管理工作。

（6）安全建设管理

安全建设管理是确保网络安全防护措施得到有效实施的关键环

节。本章节从定级和备案、等级测评、密码管理以及供应链管理四个

方面提出了具体要求。

在定级和备案方面，要求各单位以书面形式说明保护对象的安全

保护等级及确定等级的方法和理由，并经过相关部门的论证和审定后

进行备案。这一要求确保了安全保护等级的合理性和规范性。

在等级测评方面，要求各单位定期进行等级测评，及时发现并整

改不符合相应等级保护标准要求的问题。同时，在发生重大变更或级

别发生变化时也要进行等级测评，确保安全防护措施的有效性。

在密码管理方面，要求各单位遵循《中华人民共和国密码法》及

相关国家标准和行业标准，确保商用密码保障系统的正确有效运行。

这一要求对于保护敏感数据和关键业务系统的安全具有重要意义。

在供应链管理方面，要求各单位确保产品、服务供应商的选择符

合国家的有关规定，并建立和维护合格供应方目录。同时，要求与选

18

定的服务供应商签订相关协议，明确网络安全相关义务，并定期监督、

评审和审核服务供应商提供的服务。这些措施有助于降低供应链安全

风险，确保网络安全防护措施的有效实施。

（7）安全监督考核

安全监督考核是确保安全管理要求得到有效执行的重要手段。本

章节从安全管理考核、安全建设考核、安全运维考核、数据保护考核、

监测预警考核、应急处置考核以及供应链安全考核七个方面提出了具

体要求。

在安全管理考核方面，要求考核各单位是否建立网络安全管理机

构、是否制定网络安全管理制度等文件、是否开展网络安全培训工作

等。这些考核内容有助于确保各单位在安全管理方面做到组织健全、

制度完善、培训到位。

在安全建设考核方面，要求考核各单位安全保护等级第二级及以

上系统是否提供备案材料、等级测评结果等；采购云计算服务的单位

是否提供云计算服务通过安全评估结果等。这些考核内容有助于确保

各单位在安全建设方面做到合规有效。

在安全运维考核方面，要求考核各单位是否制定运行维护年度计

划和运维操作规程、是否能提供网络拓扑图等必要的资料和技术支持

等。这些考核内容有助于确保各单位在安全运维方面做到规范有序。

在数据保护考核方面，要求考核各单位是否制定数据安全管理制

度、是否具备数据安全审计和溯源能力等。这些考核内容有助于确保

各单位在数据保护方面做到严密有效。

在监测预警考核方面，要求考核各单位是否建立网络安全信息通

报机制、是否能提供风险漏洞和网络安全事件处置反馈等。这些考核

内容有助于确保各单位在监测预警方面做到及时准确。

19

在应急处置考核方面，要求考核各单位是否制定应急预案或实施

细则、是否能提供应急演练文档资料或记录等。这些考核内容有助于

确保各单位在应急处置方面做到迅速有效。

在供应链安全考核方面，要求考核各单位是否形成本单位供应链

考核制度、是否开展常态化供应链考核工作等。这些考核内容有助于

确保各单位在供应链安全管理方面做到全面深入。

10.安全技术要求

安全技术要求章节详细阐述了自然资源网络安全保护中的各项

技术措施，涵盖了物理安全、通信安全、主机安全、应用安全、数据

安全、终端安全、云计算安全、物联网安全和供应链安全等多个方面。

这些技术要求确保了自然资源信息在收集、存储、传输、处理和使用

过程中的完整性、保密性和可用性，从而保障自然资源网络系统的稳

定运行和数据安全。

（1）物理安全

物理安全是网络安全的基础，涉及对机房、设施、设备等物理环

境的保护。具体要求包括选择具有防震、防风和防雨能力的建筑作为

机房场地，配置电子门禁系统以控制、鉴别和记录进入机房的人员，

对设备和主要部件进行固定并设置明显标识，采取防雷击、防火、防

水、防潮、防静电等防护措施，以及配置稳压器和过电压防护设备，

提供短期备用电力供应，并设置冗余或并行的电力电缆线路为计算机

系统供电。

（2）通信安全

通信安全关注网络传输过程中的数据保护。要求包括保障通信线

路“一主双备”的保护，对网络关键节点和重要设施实施“双节点”

冗余备份，确保网络设备的业务处理能力和带宽满足业务高峰期需

20

要，避免将重要网络区域部署在边界处，并采取可靠的技术隔离手段。

此外，还应采用校验技术或密码技术保证通信过程中数据的完整性、

保密性，完善网络之间的安全互联策略，采取访问控制和入侵防范措

施，并进行安全审计。

（3）主机安全

主机安全涉及对服务器等主机的保护。要求包括对用户进行身份

标识和鉴别，采取登录失败处理措施，遵循最小安装原则，仅安装必

要的组件和应用程序，并关闭不需要的系统服务、默认共享和高危端

口。同时，应能检测主机漏洞并及时修补，采取技术手段检测并阻断

入侵行为，启用安全审计功能，记录并保护审计记录。

（4）应用安全

应用安全关注应用系统本身的安全性。要求包括在用户登录时进

行身份标识与鉴别，分配专属账户和权限，实现细粒度的访问控制，

采用密码技术保障数据接口的安全，启用安全审计功能，并按照国家

相关标准和规范进行安全编程。

（5）数据安全

数据安全是自然资源网络安全的核心。要求包括制定数据收集标

准，明确数据存储安全策略和操作规程，采取访问控制、数据防泄露、

操作审计等措施确保数据使用与加工的安全，采用校验技术或密码技

术保证数据传输的完整性、保密性，对数据提供和共享过程进行身份

验证、权限控制、日志审计等安全防护，建立数据公开监督机制，并

建立不可逆数据删除机制。

（6）终端安全

终端安全涉及对办公终端、运维终端等设备的保护。要求包括采

用免受恶意代码攻击的技术措施，进行身份鉴别和访问控制，关闭不

21

需要的系统服务、默认共享和高危端口，采取主动防护技术手段，支

持密码技术保证数据传输的保密性，并启用安全审计功能。

（7）云计算安全

云计算安全关注自然资源云的安全保护。要求包括保证云不承载

高于其安全保护等级的业务应用系统，实现虚拟网络之间的隔离，提

供通信传输、边界防护、入侵防范等安全机制，允许设置虚拟机之间、

容器之间的访问控制策略，对云管理平台实现细粒度的访问控制，建

立双向身份验证机制，提供镜像和快照完整性校验功能，支持云主机

部署密钥管理解决方案，并对远程管理时执行的特权命令进行审计。

（8）物联网安全

物联网安全涉及对感知终端、感知层网关、感知层接入和数据传

输的保护。要求包括感知终端接入网络中具有唯一网络身份标识，感

知层网关能够控制接入数量和进行认证，接入系统具备隔离防护功能

和密钥管理功能，数据传输过程中保障数据的新鲜性、准确性，并建

立数据安全传输策略和控制措施。

（9）供应链安全

供应链安全关注软件开发、风险评估和安全检查等环节。要求包

括将开发环境与实际运行环境物理分开，对软件进行安全性测试和恶

意代码检测，掌握软件相关技术资料，每年开展供应链风险评估工作，

使用自动化工具进行风险评估，制定供应链检查方案，并开展常态化

供应链安全自查工作。

11.安全运营要求

安全运营要求是自然资源网络安全保护技术规范中的重要组成

部分，涵盖了资产识别与更新、安全检测与加固、安全监测与预警、

事件处置与应急以及安全攻防演练等多个关键环节。这些要求通过系

22

统性的运营活动，确保自然资源网络系统的持续安全稳定运行，有效

应对各类网络安全威胁和挑战。

（1）资产识别与更新

资产识别与更新是安全运营的基础。要求通过人工梳理和自动化

技术，对域名、IP、端口、中间件、数据库、应用系统等各类资产进

行全面识别，并对资产信息进行分类管理。同时，资产信息需要定期

更新，以确保其准确性和完整性。在资产发生改建、扩建、所有人变

更等较大变化时，应重新识别资产信息并更新管理。此外，根据安全

检测、监测预警、响应处置中发现的安全隐患或安全事件，以及安全

威胁和风险的变化情况，必要时也需要重新开展资产信息更新工作。

（2）安全检测与加固

安全检测与加固是提升系统安全性的关键手段。要求自行或委托

网络安全服务机构，通过渗透测试、风险评估等安全服务，对可能存

在的安全风险进行定期检测。在安全检测工作中，需要提供必要的资

料和技术支持，针对发现的安全隐患和风险建立清单，并留存安全检

测结果。同时，应制定详细的安全加固方案，在非生产环境中进行测

试验证，确保加固后系统的功能完整性、性能表现以及安全漏洞得到

修复。加固工作完成后，还需要对系统进行再次验证，并将加固报告

上报至相关部门。

（3）安全监测与预警

安全监测与预警是及时发现并应对网络安全事件的重要途径。要

求全面收集网络安全日志，构建违规操作模型、攻击入侵模型、异常

行为模型等，强化监测预警能力。通过采用自动化机制，对关键业务

所涉及系统的监测信息进行整合分析，及时关联资产、脆弱性、威胁

等，分析网络安全风险。同时，需要对网络安全共享信息、威胁情报、

23

报警信息等进行综合分析、研判，发现网络安全事件。对于可能造成

较大影响的安全事件，应及时向相关单位发起预警通告，并采取相关

措施进行响应，当安全隐患得以控制或消除时，执行预警解除流程。

（4）事件处置与应急

事件处置与应急是应对网络安全事件的关键环节。要求当发生有

可能危害关键业务的安全事件时，应及时报告并组织研判，形成事件

报告。按照事件处置流程和应急预案进行事件处理，恢复关键业务和

信息系统。同时，需要及时将安全事件及处置情况通报给可能受影响

的相关单位和人员，向供应链涉及的、与事件相关的其他组织提供安

全事件信息，并按照政策规定报告相关部门。事件处置完成后，还应

及时将安全事件及其处置结果上报至相关部门。

（5）安全攻防演练

安全攻防演练是提升安全运营能力和应急响应水平的有效方式。

要求围绕关键业务的可持续运行制定演练方案，包括演练目标、范围、

时间、人员等。在不适合开展实网攻防演练的场景下，应采取沙盘推

演的方式进行攻防演练。通过攻防演练，可以及时发现并修复系统中

的安全漏洞和弱点，提升系统的安全防护能力。同时，攻防演练结束

后应形成总结报告，针对发现的安全问题和风险开展安全整改工作，

支撑安全防护体系的持续优化。

12.附录A（资料性）安全运营流程示例

附录A（资料性）安全运营流程示例章节，提供了一个系统化、

全面化的自然资源网络安全运营流程示例，该流程覆盖了资产识别与

更新、安全检测与加固、安全监测与预警、事件处置与应急以及安全

攻防演练等关键环节。通过建立完整的资产台账并定期更新，为安全

检测提供准确的数据基础；通过全面检测信息系统漏洞并制定加固方

24

案，提升系统防护能力；通过构建安全监测体系，实时监测并预警潜

在威胁，提高响应速度；通过制定应急预案并定期组织演练，确保安

全事件得到迅速有效处理；最后，通过常态化组织攻防演练，模拟真

实攻击场景，持续优化提升安全防护能力。整个流程强调各环节协同

操作和数据共享，确保安全运营工作的持续改进和优化，为自然资源

行业提供了一套科学、规范、高效的安全运营指导方案。

13.参考文献

参考文献章节，列出了制定《自然资源网络安全技术规范》时所

参考的一系列国家标准和信息安全技术文件，包括信息安全技术的术

语、风险评估规范、信息系统灾难恢复规范、网络安全等级保护相关

指南和要求、网络安全监测与预警指南、应急演练指南、密码应用基

本要求、个人信息安全规范、数据安全能力成熟度模型、物联网安全

相关要求、云计算安全运营中心能力要求等。这些参考文献为技术规

范的制定提供了权威的技术依据和标准支持，确保了规范的科学性、

规范性和实用性。

三、预期的经济效益、社会效益和生态效益

本标准作为自然资源行业网络安全建设基础性文件，在经济效

益、社会效益和生态效益方面都具有显著的作用。通过本标准指导加

强网络安全保障体系建设，可以节省重复建设资金、避免经济损失、

提升安全保护水平、保障国家安全和经济社会稳定、提升生态治理能

力并促进生态平衡和生态系统良性循环。这些效益的实现有助于推动

自然资源行业的可持续发展和生态文明建设。

（一）经济效益

在自然资源系统全方位网络安全保障体系的统一集约化建设过

25

程中，本标准能够避免各单位在网络安全方面的重复投入，节省大量

系统建设资金，符合《自然资源数字化整体能力提升总体方案》中提

出的优化资源配置、提高管理效率的要求。

本标准中提出的相关要求，能够有效防范网络攻击和数据泄露等

风险，避免因这些事件造成的巨大经济损失。自然资源数据的保密性、

完整性和可用性得到保障，有助于维护自然资源行业的正常运营和持

续发展。

（二）社会效益

本标准的编制，明确了网络安全管理、安全技术和安全运营的要

求，为自然资源系统网络安全防御体系的落地提供了有力支撑。这有

助于指导各单位开展网络安全建设与运营工作，提高我国自然资源系

统的安全保护水平。通过实施这些标准和规范，可以增强公众对自然

资源系统网络安全性的信任，提升行业形象和社会认可度。

自然资源是国家安全和经济社会发展的重要基础。网络安全保障

体系的建立，能够确保自然资源数据的准确性和可靠性，为政府决策

和公众服务提供有力支持。在国家政策的指导下，加强自然资源行业

的网络安全建设，有助于维护国家安全和经济社会稳定，促进可持续

发展。

（三）生态效益

自然资源信息化、数字化系统的安全保护，是提升自然资源系统

生态治理能力的重要保障。通过确保这些系统的稳定性和安全性，可

以更加准确地监测和评估生态环境状况，为生态保护和修复提供科学

依据。根据《自然资源数字化整体能力提升总体方案》的要求，加强

自然资源信息化和数字化建设，有助于推动生态文明建设，实现人与

自然的和谐共生。

26

网络安全保障体系的建立，可以确保自然资源数据的及时传输和

共享，有助于及时发现和解决生态环境问题。通过加强监测和预警机

制，可以更有效地应对生态环境风险，促进生态平衡和生态系统的良

性循环。同时，网络安全建设还可以推动自然资源行业的绿色发展，

促进节能减排和资源循环利用，为生态文明建设贡献力量。

四、与国际、国外同类标准技术内容的对比情况，或者

与测试的国外样品、样机的有关数据对比情况

在全球化和信息化的背景下，网络安全已经成为各国共同关注的

焦点。为了应对日益严峻的网络安全威胁，国际和国外在网络安全领

域已经制定了一系列标准和技术规范。对比《自然资源网络安全保护

技术规范》与国际、国外同类标准的技术内容，分析其在安全管理、

安全技术、安全运营等方面的异同，以明确本标准的特色和优势。

（一）国际网络安全标准概述

国际网络安全标准主要由国际标准化组织（ISO）和国际电工委

员会（IEC）共同制定，形成了一套完善的信息安全管理体系（ISMS）

标准族，即ISO/IEC27000标准族。此外，美国国家标准与技术研究

院（NIST）也发布了《网络安全框架》，为全球网络安全提供了重要

的指导。

1.ISO/IEC27000标准族

ISO/IEC27000标准族是一组信息安全管理体系（ISMS）标准的

总称，涵盖了信息安全管理的各个方面。该标准族的核心目标是帮助

组织建立、实施、维护和持续改进其ISMS，以应对各种网络安全威

胁。

ISO/IEC27001：作为ISMS的核心标准，ISO/IEC27001规定了

机构应如何建立、实施、维护和持续改进其ISMS。它提供了信息安

27

全管理的总体框架和要求，包括信息安全政策、风险评估、控制措施、

合规性、内部审核和管理评审等方面。

ISO/IEC27002：包含一系列的控制目标和建议性控制措施，提

供了关于网络安全的最佳实践准则。该标准用于帮助机构设计和实现

ISO/IEC27001中的要求，机构可以根据自身的需要和情况选择性地

采用其中的建议。

ISO/IEC27003：提供了实施ISO/IEC27001的指南，包括规划、

执行和持续改进ISMS的步骤和方法。它帮助组织理解并实施ISMS的

关键要素，确保信息安全管理的有效性和效率。

ISO/IEC27004：提供了评估和度量ISMS的方法、指标等，用于

帮助机构量化其ISMS的效能和成熟度。通过该标准提供的量化方法，

机构可以评估和持续改进其ISMS，确保其满足业务需求并适应不断

变化的安全威胁。

ISO/IEC27005：提供了网络安全风险评估的指南，帮助机构识

别、评估和管理网络安全风险。该标准提供了风险评估的流程、方法

和工具，确保组织能够全面、系统地识别潜在的安全威胁，并制定相

应的应对措施。

2.NIST网络安全框架

NIST网络安全框架是美国国家标准与技术研究院于2014年发布

的，旨在帮助机构建立和维护有效的信息安全管理系统。该框架于

2024年推出了2.0版本，进一步增强了其适用性和灵活性。NIST网

络安全框架的核心功能包括识别、保护、检测、响应、恢复和治理六

个方面，为组织提供了一个全面的网络安全管理框架。

（二）国内外标准技术内容对比

《自然资源网络安全保护技术规范》在编制过程中充分借鉴了国

28

际和国外网络安全标准的先进经验和技术要求，根据自然资源行业的

特点和实际需求进行了定制化和创新。以下将从安全管理、安全技术

和安全运营三个方面对国内外标准进行对比分析。

1.安全管理要求对比

在安全管理要求方面，《自然资源网络安全保护技术规范》与国

际和国外标准存在共性和差异。共性方面，本标准同样强调了安全管

理制度、安全管理机构、安全管理人员的重要性，要求组织建立全面

的安全管理体系，确保网络数据的安全性和合规性。

差异方面，本标准针对自然资源行业的特殊性，提出了更为具体

和细化的安全管理要求。例如，在安全管理制度方面，本标准要求制

定安全策略，包括但不限于安全互联策略、安全设计策略、身份管理

策略、入侵防范策略等，以适应自然资源行业复杂多变的安全环境。

本标准还强调了安全监督考核的重要性，从多个维度对安全管理效果

进行评估和考核，确保安全管理制度的有效执行。

2.安全技术要求对比

在安全技术要求方面，《自然资源网络安全保护技术规范》与国

际和国外标准在物理安全、通信安全、主机安全、应用安全、数据安

全等方面存在共性要求，但同样根据自然资源行业的实际需求进行了

定制化和创新。

共性方面，本标准同样要求采取一系列技术措施确保网络系统的

安全稳定运行和数据安全。例如，在物理安全方面，要求选择具有防

震、防风和防雨能力的建筑作为机房场地，配置电子门禁系统等；在

通信安全方面，对网络关键节点和重要设施实施“双节点”冗余备份

等。

差异方面，本标准针对自然资源行业的特点，提出了一些独特的

29

安全技术要求。例如，在数据安全方面，本标准要求制定数据收集标

准，明确数据存储安全策略和操作规程，并采取访问控制、数据防泄

露、操作审计等措施确保数据使用与加工的安全。此外，本标准还强

调了云计算安全、物联网安全和供应链安全等新兴领域的安全技术要

求，以适应自然资源行业信息化、数字化的发展趋势。

3.安全运营要求对比

在安全运营要求方面，《自然资源网络安全保护技术规范》与国

际和国外标准在资产识别与更新、安全检测与加固、安全监测与预警、

事件处置与应急等方面存在共性要求，但同样结合自然资源行业的实

际情况进行了创新和完善。

共性方面，本标准同样要求通过系统性的运营活动确保网络系统

的持续安全稳定运行。例如，在资产识别与更新方面，要求通过人工

梳理和自动化技术全面识别各类资产，并定期更新资产信息；在安全

检测与加固方面，要求定期检测可能存在的安全风险，并制定安全加

固方案等。

差异方面，本标准针对自然资源行业的特殊性，提出了一些独特

的安全运营要求。例如，在安全监测与预警方面，本标准要求构建违

规操作模型、攻击入侵模型、异常行为模型等，强化监测预警能力；

在事件处置与应急方面，要求按照事件处置流程和应急预案进行事件

处理，并及时通报各单位和人员等。本标准还强调了安全攻防演练的

重要性，要求围绕关键业务的可持续运行制定演练方案，提升安全运

营能力和应急响应水平。

（三）本标准特色与优势

通过与国际和国外同类标准的对比分析可以看出，《自然资源网

络安全保护技术规范》在借鉴国际先进经验和技术要求的基础上，结

30

合自然资源行业的实际情况进行了定制化和创新，形成了具有自身特

色的网络安全保护技术规范。

针对性强：本标准针对自然资源行业的特殊性，提出了一系列具

体和细化的安全管理、安全技术和安全运营要求，确保网络数据的安

全性和合规性。

创新性强：本标准在借鉴国际先进经验的基础上，结合自然资源

行业的实际需求进行了创新和完善，形成了一些独特的安全技术要求

和管理措施。

实用性强：本标准注重实用性和可操作性，为自然资源行业提供

了可借鉴、可推广的网络安全保护技术规范，有助于提升整个行业的

网络安全防护能力。

兼容性好：本标准与现行法律、法规以及国家标准不存在冲突与

矛盾，与其他标准属于配套衔接关系，具有良好的兼容性和可扩展性。

五、以国际标准为基础的起草情况，以及是否合规引用

或者采用国际国外标准，并说明未采用国际标准的原因

无。

六、与有关法律、行政法规及相关标准的关系

法律法规方面，《中华人民共和国网络安全法》第十五条提出“国

务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组

织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全

的国家标准、行业标准。”“有关行业组织建立健全本行业的网络安

全保护规范和协作机制”。《中华人民共和国数据安全法》第六条提

出“自然资源、卫生健康、教育、科技等主管部门承担本行业、本领

域数据安全监管职责。”《关键信息基础设施安全保护条例》指出“保

护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安

31

全监测预警制度”，“建立健全本行业本领域的网络安全事件应急预

案”，“定期组织开展本行业、本领域关键信息基础设施网络安全检

查检测”等。自然资源部信息中心按照国家有关法律法规规定开展本

行业网络安全保护技术规范标准的编制工作。

国家标准方面，《信息安全技术网络安全等级保护基本要求》

在我国推行网络安全等级保护制度的过程中起到非常重要作用，被广

泛用于各行业或领域，指导用户开展网络安全等级保护的建设整改、

等级测评等工作；《信息安全技术关键信息基础设施安全保护要求》

提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、

主动防御、事件处置等方面的安全控制措施，适用于指导运营者对关

键信息基础设施进行全周期安全保护。

本标准充分借鉴和参考上述标准，根据自然资源具体特点展开本

行业第一个网