《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》

編制說明

一、工作簡況

（一）任務(wù)來源

為貫徹落實(shí)《國家標(biāo)準(zhǔn)化發(fā)展綱要》要求，強(qiáng)化《自然資源標(biāo)準(zhǔn)

體系》實(shí)施，有序組織自然資源標(biāo)準(zhǔn)制修訂工作，充分發(fā)揮標(biāo)準(zhǔn)化在

全面履行自然資源部職責(zé)中的引領(lǐng)和支撐作用，《自然資源網(wǎng)絡(luò)安全

保護(hù)技術(shù)規(guī)范》標(biāo)準(zhǔn)是根據(jù)自然資源部辦公廳2023年7月發(fā)布的經(jīng)

自然資源標(biāo)準(zhǔn)化工作管理委員會(huì)審議通過的《2023年度自然資源標(biāo)

準(zhǔn)制修訂工作計(jì)劃》制定的，標(biāo)準(zhǔn)計(jì)劃號(hào)為“202331007”。

本標(biāo)準(zhǔn)由全國地理信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息化分技術(shù)委員會(huì)

（TC230/SC1）歸口管理。

（二）制定背景

自然資源是生存之基、發(fā)展之要、民生之本、生態(tài)之依。自然資

源關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)關(guān)系國家安全及公共利益。當(dāng)前全球網(wǎng)

絡(luò)安全局勢面臨嚴(yán)峻挑戰(zhàn)，日益突出的安全威脅向國家重要領(lǐng)域傳導(dǎo)

滲透，近年來針對(duì)自然資源行業(yè)的網(wǎng)絡(luò)攻擊事件頻發(fā)。例如，境外組

織機(jī)構(gòu)利用地理信息系統(tǒng)軟件預(yù)置“后門”自動(dòng)連接境外服務(wù)器，對(duì)

重要敏感數(shù)據(jù)搜集外傳。

自然資源信息化領(lǐng)域廣泛，涵蓋土地、地址、礦產(chǎn)、海洋、測繪

地理信息等方面建立的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)及數(shù)據(jù)庫等。自然資

源系統(tǒng)內(nèi)各單位網(wǎng)絡(luò)安全管理和技術(shù)防護(hù)能力參差不齊，個(gè)別信息化

應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)力量較為薄弱，有待提高。

為了加強(qiáng)自然資源信息化、數(shù)字化建設(shè)，自然資源部先后于2019

3

年發(fā)布《自然資源部信息化建設(shè)總體方案》、2024年發(fā)布《自然資

源數(shù)字化整體能力提升總體方案》，明確提出構(gòu)建“全方位網(wǎng)絡(luò)安全

保障體系”和“制度標(biāo)準(zhǔn)規(guī)范體系”兩個(gè)體系，以保障自然資源數(shù)字

化能力整體提升。

本標(biāo)準(zhǔn)作為自然資源行業(yè)第一個(gè)網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范，將有力

推進(jìn)自然資源數(shù)字化能力一體化建設(shè)進(jìn)度，為全方位網(wǎng)絡(luò)安全保障體

系建設(shè)提供標(biāo)準(zhǔn)支撐，切實(shí)加強(qiáng)自然資源網(wǎng)絡(luò)安全保護(hù)能力，保障自

然資源業(yè)務(wù)連續(xù)性運(yùn)行，及其重要數(shù)據(jù)不受破壞，實(shí)現(xiàn)自然資源行業(yè)

全面識(shí)別、智能監(jiān)控、實(shí)時(shí)預(yù)警、精準(zhǔn)處置、情報(bào)共享的網(wǎng)絡(luò)安全建

設(shè)目標(biāo)。

本標(biāo)準(zhǔn)給出了自然資源網(wǎng)絡(luò)安全保護(hù)框架及安全要求，包括安全

管理要求、安全技術(shù)要求、安全運(yùn)營要求。適用于自然資源部，62

家部直屬單位、派出機(jī)構(gòu)（以下簡稱各單位），31個(gè)省級(jí)自然資源

主管部門和新疆生產(chǎn)建設(shè)兵團(tuán)自然資源局可參照?qǐng)?zhí)行。

（三）起草單位

本標(biāo)準(zhǔn)起草單位包括自然資源部信息中心、重慶市規(guī)劃和自然資

源信息中心、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限

公司、綠盟科技集團(tuán)股份有限公司、中國地質(zhì)調(diào)查局、國家基礎(chǔ)地理

信息中心、國家海洋信息中心、自然資源部國土衛(wèi)星遙感應(yīng)用中心、

國家衛(wèi)星海洋應(yīng)用中心。

（四）起草過程

1.起草階段。

2022年7月，成立編制工作組，啟動(dòng)標(biāo)準(zhǔn)編制工作，開始撰寫

標(biāo)準(zhǔn)草案。

2022年8-11月。組織多次編制工作組會(huì)議，先后完成3個(gè)版本

4

標(biāo)準(zhǔn)草案的修改討論，形成《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范（草

案）》。

2022年12月，在自然資源標(biāo)準(zhǔn)制修訂管理系統(tǒng)，填寫標(biāo)準(zhǔn)項(xiàng)目

建議書，申請(qǐng)立項(xiàng)。

2023年2月，在全國地理信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息化分技術(shù)

委員會(huì)（TC230/SC1）進(jìn)行立項(xiàng)匯報(bào)，通過立項(xiàng)評(píng)審。

2023年7月，自然資源部辦公廳發(fā)布《關(guān)于印發(fā)2023年度自然

資源標(biāo)準(zhǔn)制修訂工作計(jì)劃的通知》（自然資辦發(fā)〔2023〕30號(hào)），

標(biāo)準(zhǔn)獲得自然資源標(biāo)準(zhǔn)化工作管理委員會(huì)審議通過。

2023年8月，組織編制工作組啟動(dòng)草案修訂工作。

2023年12月，編制工作組召開本標(biāo)準(zhǔn)項(xiàng)目工作會(huì)議，對(duì)標(biāo)準(zhǔn)草

案的框架、思路和內(nèi)容進(jìn)行討論，形成了標(biāo)準(zhǔn)的基本架構(gòu)，并進(jìn)行詳

細(xì)分工。

2024年1月-4月，編制工作組召開多次會(huì)議進(jìn)行討論，參考國

家、行業(yè)相關(guān)標(biāo)準(zhǔn)，結(jié)合《自然資源數(shù)字化整體能力提升總體方案》，

明確了安全技術(shù)要求、安全管理要求、安全運(yùn)營要求、監(jiān)督考核要求

等內(nèi)容。

2024年5月-6月，編制工作組召開多次會(huì)議，對(duì)各章節(jié)內(nèi)容進(jìn)

行梳理，確定然資源網(wǎng)絡(luò)安全保護(hù)框架，明確保護(hù)對(duì)象、適用范圍、

術(shù)語、應(yīng)用文件等相關(guān)內(nèi)容。

2024年7月-8月，各參編單位組織各單位內(nèi)部參編專家小范圍

進(jìn)行討論，并根據(jù)反饋內(nèi)容，編制工作組多次組織會(huì)議進(jìn)行討論修訂。

2024年9月底，編制工作組完成標(biāo)準(zhǔn)草案修訂工作，形成《自

然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范（征求意見稿）》。

2024年10月，編寫工作組于部機(jī)關(guān)開展了該標(biāo)準(zhǔn)的研討會(huì)，參

5

加研討的專家分別來自地調(diào)局、海洋衛(wèi)星中心、國土衛(wèi)星中心、地信

中心、海洋信息中心、部信息中心等。編制工作組匯報(bào)了編制背景及

主要內(nèi)容等，經(jīng)過專家質(zhì)詢研討提出27條意見，收集并采納相關(guān)意

見20條，編寫工作組根據(jù)專家反饋的意見和相關(guān)研究的結(jié)果，經(jīng)過

反復(fù)討論，修改完善《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范（征求意見

稿）》。

2.征求意見階段。

3.送審階段。

4.報(bào)批階段。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

（一）標(biāo)準(zhǔn)編制原則

《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》的編制，有助于強(qiáng)化自然資

源領(lǐng)域的網(wǎng)絡(luò)安全防護(hù)能力，保障自然資源信息化、數(shù)字化建設(shè)的順

利推進(jìn)。在編制過程中，遵循了一系列科學(xué)、合理且符合自然資源行

業(yè)特點(diǎn)的原則，以確保標(biāo)準(zhǔn)的適用性、先進(jìn)性和可操作性。以下是對(duì)

這些編制原則的詳細(xì)闡述。

1.科學(xué)性與合理性原則

本標(biāo)準(zhǔn)的編制過程嚴(yán)格遵循科學(xué)方法論，從理論研究到實(shí)踐操

作，每一步都力求科學(xué)嚴(yán)謹(jǐn)。深入分析了自然資源行業(yè)的特點(diǎn)和網(wǎng)絡(luò)

安全面臨的威脅，參考了國內(nèi)先進(jìn)的網(wǎng)絡(luò)安全理論和技術(shù)，結(jié)合自然

資源行業(yè)的實(shí)際工作需求，制定了一套科學(xué)、系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)技

術(shù)規(guī)范。

6

在編制過程中，充分考慮了標(biāo)準(zhǔn)的合理性和實(shí)用性。標(biāo)準(zhǔn)的條款

和要求既不過于苛刻，增加不必要的實(shí)施難度，也不過于寬松，導(dǎo)致

安全防護(hù)效果不佳。力求在保障網(wǎng)絡(luò)安全的同時(shí)，兼顧工作效率和成

本效益，使標(biāo)準(zhǔn)能夠在實(shí)際工作中得到有效執(zhí)行。

2.行業(yè)特色與針對(duì)性原則

自然資源行業(yè)具有獨(dú)特的業(yè)務(wù)特點(diǎn)和信息安全需求。本標(biāo)準(zhǔn)在編

制過程中，充分考慮了自然資源行業(yè)的特殊性，如地理信息數(shù)據(jù)的敏

感性、業(yè)務(wù)系統(tǒng)的復(fù)雜性等。針對(duì)這些特點(diǎn)，制定了針對(duì)性的網(wǎng)絡(luò)安

全保護(hù)措施，確保標(biāo)準(zhǔn)能夠切實(shí)滿足自然資源行業(yè)的實(shí)際需求。

標(biāo)準(zhǔn)的編制具有明確的針對(duì)性。針對(duì)自然資源行業(yè)面臨的主要網(wǎng)

絡(luò)安全威脅，如勒索病毒攻擊、數(shù)據(jù)泄露等，提出了具體的防護(hù)措施

和應(yīng)急響應(yīng)要求。同時(shí)，還針對(duì)自然資源信息化建設(shè)中存在的薄弱環(huán)

節(jié)，如部分信息化應(yīng)用系統(tǒng)的安全防護(hù)力量薄弱等，提出了加強(qiáng)安全

管理和技術(shù)防護(hù)的要求。

3.全面性與系統(tǒng)性原則

本標(biāo)準(zhǔn)涵蓋了自然資源網(wǎng)絡(luò)安全的各個(gè)方面，包括安全管理要

求、安全技術(shù)要求、安全運(yùn)營要求等。在安全管理方面，提出了安全

管理制度、安全管理機(jī)構(gòu)、安全管理人員等方面的要求；在安全技術(shù)

方面，涵蓋了物理安全、通信安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全

等多個(gè)領(lǐng)域；在安全運(yùn)營方面，涉及了資產(chǎn)識(shí)別與更新、安全檢測與

加固、安全監(jiān)測與預(yù)警等多個(gè)環(huán)節(jié)。通過全面的防護(hù)措施，確保自然

資源網(wǎng)絡(luò)系統(tǒng)的安全性。

標(biāo)準(zhǔn)的編制注重系統(tǒng)性。構(gòu)建了一個(gè)完整的網(wǎng)絡(luò)安全保護(hù)框架，

將各個(gè)安全要素有機(jī)結(jié)合起來，形成一個(gè)相互支撐、協(xié)同工作的安全

體系。同時(shí)，還注重標(biāo)準(zhǔn)內(nèi)部各章節(jié)之間的邏輯性和關(guān)聯(lián)性，確保標(biāo)

7

準(zhǔn)內(nèi)容的連貫性和一致性。

4.前瞻性與可操作性原則

在編制過程中，充分考慮了網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢和未來可能

面臨的安全威脅。參考了國內(nèi)最新的網(wǎng)絡(luò)安全研究成果和實(shí)踐經(jīng)驗(yàn)，

結(jié)合自然資源行業(yè)的發(fā)展趨勢，制定了一些具有前瞻性的網(wǎng)絡(luò)安全保

護(hù)措施。這些措施不僅能夠應(yīng)對(duì)當(dāng)前的安全威脅，還能夠?yàn)槲磥淼木W(wǎng)

絡(luò)安全防護(hù)提供指導(dǎo)和支持。

標(biāo)準(zhǔn)的編制注重可操作性。力求使標(biāo)準(zhǔn)的條款和要求明確具體、

易于理解和執(zhí)行。在編寫過程中，采用了簡潔明了的語言和直觀的圖

表形式，方便讀者理解和掌握標(biāo)準(zhǔn)內(nèi)容。

5.規(guī)范性與指導(dǎo)性原則

本標(biāo)準(zhǔn)的編制遵循了國家關(guān)于標(biāo)準(zhǔn)化工作的相關(guān)法律法規(guī)和標(biāo)

準(zhǔn)制定程序，參考了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和

國數(shù)據(jù)安全法》《中華人民共和國密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全

保護(hù)條例》等相關(guān)法律法規(guī)，以及《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保

護(hù)基本要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》等

相關(guān)國家標(biāo)準(zhǔn)，確保標(biāo)準(zhǔn)內(nèi)容的合法性和合規(guī)性。

標(biāo)準(zhǔn)具有明確的指導(dǎo)性。不僅為自然資源行業(yè)提供了全面的網(wǎng)絡(luò)

安全保護(hù)框架和要求，還為各單位開展網(wǎng)絡(luò)安全建設(shè)和運(yùn)營工作提供

了具體的指導(dǎo)和建議。通過標(biāo)準(zhǔn)的實(shí)施，可以有效提升自然資源行業(yè)

的網(wǎng)絡(luò)安全防護(hù)能力，推動(dòng)自然資源行業(yè)信息化、數(shù)字化建設(shè)的健康

發(fā)展。

6.協(xié)同與整合原則

本標(biāo)準(zhǔn)的編制注重協(xié)同性。充分考慮了自然資源行業(yè)內(nèi)各單位之

間的協(xié)同合作，提出了加強(qiáng)網(wǎng)絡(luò)安全信息共享、協(xié)同處置安全事件等

8

要求。通過協(xié)同合作，可以形成合力，共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，提升

整體安全防護(hù)能力。

在編制過程中，注重對(duì)現(xiàn)有安全資源的整合和利用。鼓勵(lì)各單位

在現(xiàn)有的安全設(shè)施和管理體系基礎(chǔ)上，按照本標(biāo)準(zhǔn)的要求進(jìn)行完善和

提升。同時(shí)，還注重標(biāo)準(zhǔn)與其他相關(guān)標(biāo)準(zhǔn)和規(guī)范之間的銜接和協(xié)調(diào)，

確保標(biāo)準(zhǔn)的實(shí)施能夠與現(xiàn)有的管理體系和流程相融合。

（二）標(biāo)準(zhǔn)特點(diǎn)和必要性

隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全

法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列國家法律法規(guī)

的出臺(tái)，網(wǎng)絡(luò)安全與數(shù)據(jù)安全的重要性日益凸顯。在自然資源行業(yè)，

隨著信息化和數(shù)字化的深入發(fā)展，針對(duì)該行業(yè)的網(wǎng)絡(luò)攻擊事件頻發(fā)，

嚴(yán)重威脅到自然資源的保護(hù)、管理和利用。為此，立足于國家相關(guān)標(biāo)

準(zhǔn)之上，結(jié)合《自然資源數(shù)字化治理能力提升總體方案》，針對(duì)自然

資源“一張網(wǎng)”、“一張圖”、一平臺(tái)、四大數(shù)字化主題應(yīng)用場景，

編寫《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》（以下簡稱“本標(biāo)準(zhǔn)”）顯

得尤為必要。

1.本標(biāo)準(zhǔn)的特點(diǎn)

（1）合規(guī)性基礎(chǔ)之上的行業(yè)特色

本標(biāo)準(zhǔn)在編寫過程中，嚴(yán)格遵循了國家相關(guān)法律法規(guī)及標(biāo)準(zhǔn)的要

求，如《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全

法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)關(guān)

鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》等。同時(shí)，結(jié)合自然資源行業(yè)的實(shí)際

需求和特點(diǎn)，對(duì)各項(xiàng)安全要求進(jìn)行了細(xì)化和補(bǔ)充，確保了標(biāo)準(zhǔn)的合規(guī)

性和行業(yè)適用性。

例如，在數(shù)據(jù)安全管理方面，本標(biāo)準(zhǔn)不僅涵蓋了數(shù)據(jù)收集、存儲(chǔ)、

9

使用、加工、傳輸、提供、公開和銷毀等全生命周期的安全要求，還

特別強(qiáng)調(diào)了自然資源數(shù)據(jù)的分類分級(jí)管理，要求各單位參照部制定的

數(shù)據(jù)收集標(biāo)準(zhǔn)完成數(shù)據(jù)收集工作，并根據(jù)數(shù)據(jù)安全級(jí)別采取相應(yīng)的安

全措施。這些要求充分體現(xiàn)了自然資源行業(yè)在數(shù)據(jù)安全管理方面的獨(dú)

特性和重要性。

（2）系統(tǒng)性的安全保護(hù)框架

本標(biāo)準(zhǔn)從“安全管理、安全技術(shù)、安全運(yùn)營”三個(gè)維度出發(fā)，構(gòu)

建了一個(gè)全面、系統(tǒng)的自然資源網(wǎng)絡(luò)安全保護(hù)框架。這一框架不僅覆

蓋了物理安全、通信安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、終端安

全等傳統(tǒng)安全領(lǐng)域，還針對(duì)云計(jì)算安全、物聯(lián)網(wǎng)安全、供應(yīng)鏈安全等

新技術(shù)、新業(yè)態(tài)提出了相應(yīng)的安全要求。

通過這一系統(tǒng)性的安全保護(hù)框架，本標(biāo)準(zhǔn)為自然資源行業(yè)提供了

一個(gè)全方位、多層次的網(wǎng)絡(luò)安全防護(hù)體系。各單位可以參照這一框架，

結(jié)合自身的實(shí)際情況，規(guī)劃設(shè)計(jì)符合行業(yè)特點(diǎn)的網(wǎng)絡(luò)安全體系，從而

有效提升整個(gè)行業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。

（3）前瞻性的安全防護(hù)理念

在編寫過程中，本標(biāo)準(zhǔn)充分考慮了未來自然資源信息化的發(fā)展趨

勢和網(wǎng)絡(luò)安全威脅的變化。通過引入高級(jí)可持續(xù)威脅（APT）防范、

物聯(lián)網(wǎng)安全、供應(yīng)鏈安全等前沿技術(shù)和理念，本標(biāo)準(zhǔn)為自然資源行業(yè)

提供了前瞻性的安全防護(hù)指導(dǎo)。

例如，在主機(jī)安全方面，本標(biāo)準(zhǔn)要求各單位采取技術(shù)手段提高對(duì)

APT等網(wǎng)絡(luò)攻擊行為的入侵防范能力；在物聯(lián)網(wǎng)安全方面，本標(biāo)準(zhǔn)對(duì)

感知終端、感知層網(wǎng)關(guān)、感知層接入以及IoT數(shù)據(jù)傳輸?shù)汝P(guān)鍵環(huán)節(jié)提

出了安全要求；在供應(yīng)鏈安全方面，本標(biāo)準(zhǔn)要求各單位開展常態(tài)化供

應(yīng)鏈安全自查工作，并及時(shí)整改發(fā)現(xiàn)的安全隱患。這些要求有助于提

10

升自然資源行業(yè)對(duì)未來網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)能力。

（4）實(shí)際性的操作指導(dǎo)

本標(biāo)準(zhǔn)不僅提出了安全保護(hù)框架和要求，還提供了具體的操作指

導(dǎo)和實(shí)施建議。例如，在安全管理方面，本標(biāo)準(zhǔn)規(guī)定了安全管理制度

的制定、發(fā)布、評(píng)審和修訂流程；在安全技術(shù)方面，本標(biāo)準(zhǔn)給出了物

理安全、通信安全、主機(jī)安全等各領(lǐng)域的具體安全控制措施；在安全

運(yùn)營方面，本標(biāo)準(zhǔn)明確了資產(chǎn)識(shí)別與更新、安全檢測與加固、安全監(jiān)

測與預(yù)警等活動(dòng)的具體流程和要求。

這些操作指導(dǎo)和實(shí)施建議有助于各單位更好地理解和執(zhí)行本標(biāo)

準(zhǔn)的要求，從而確保網(wǎng)絡(luò)安全保護(hù)工作的有效實(shí)施。

2.編寫的必要性

（1）滿足國家法律法規(guī)的要求

隨著國家網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律法規(guī)的不斷完善，對(duì)各行各業(yè)

的網(wǎng)絡(luò)安全工作提出了更高的要求。在自然資源行業(yè)，編寫本標(biāo)準(zhǔn)是

落實(shí)國家法律法規(guī)要求、提升行業(yè)網(wǎng)絡(luò)安全防護(hù)能力的必要舉措。通

過制定和實(shí)施本標(biāo)準(zhǔn)，可以確保自然資源行業(yè)的網(wǎng)絡(luò)安全工作符合國

家法律法規(guī)的要求，避免因違法違規(guī)行為帶來的法律風(fēng)險(xiǎn)和損失。

（2）應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅

近年來，針對(duì)自然資源行業(yè)的網(wǎng)絡(luò)攻擊事件頻發(fā)，給自然資源的

保護(hù)、管理和利用帶來了嚴(yán)重威脅。這些攻擊事件不僅可能導(dǎo)致重要

數(shù)據(jù)的泄露和篡改，還可能破壞自然資源管理系統(tǒng)的正常運(yùn)行。因此，

編寫本標(biāo)準(zhǔn)是應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅、保障自然資源行業(yè)安全

的迫切需要。通過提供全面、系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)指導(dǎo)和實(shí)施建議，

本標(biāo)準(zhǔn)有助于提升自然資源行業(yè)的網(wǎng)絡(luò)安全防護(hù)能力，有效抵御各類

網(wǎng)絡(luò)攻擊和威脅。

11

（3）推動(dòng)自然資源行業(yè)的數(shù)字化治理能力提升

隨著信息化的深入發(fā)展，自然資源行業(yè)正加速向數(shù)字化、智能化

轉(zhuǎn)型。在這一過程中，網(wǎng)絡(luò)安全是保障數(shù)字化治理能力提升的重要基

礎(chǔ)。編寫本標(biāo)準(zhǔn)有助于規(guī)范自然資源行業(yè)的網(wǎng)絡(luò)安全保護(hù)工作，提升

行業(yè)整體的網(wǎng)絡(luò)安全防護(hù)水平，為數(shù)字化治理能力的提升提供有力支

撐。

（4）促進(jìn)自然資源信息的共享和利用

自然資源信息是國家的重要戰(zhàn)略資源，對(duì)于促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、

保障國家安全具有重要意義。然而，由于網(wǎng)絡(luò)安全問題的存在，自然

資源信息的共享和利用受到了一定程度的制約。編寫本標(biāo)準(zhǔn)有助于加

強(qiáng)自然資源行業(yè)的網(wǎng)絡(luò)安全保護(hù)工作，提升行業(yè)整體的網(wǎng)絡(luò)安全防護(hù)

能力，從而為自然資源信息的共享和利用提供更加安全、可靠的環(huán)境。

通過實(shí)施本標(biāo)準(zhǔn)，可以促進(jìn)自然資源信息的有效共享和利用，推動(dòng)相

關(guān)行業(yè)的協(xié)同發(fā)展和創(chuàng)新。

（三）主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)的編制過程中，主要參考了《中華人民共和國網(wǎng)絡(luò)安全法》

《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》《關(guān)鍵信

息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本

要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》《自然資

源領(lǐng)域數(shù)據(jù)安全管理辦法》相關(guān)國家標(biāo)準(zhǔn)和行業(yè)規(guī)范。

本標(biāo)準(zhǔn)保護(hù)對(duì)象是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組

成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處

理的自然資源應(yīng)用系統(tǒng)，包括但不限于支撐底線守護(hù)、格局優(yōu)化、綠

色低碳、權(quán)益維護(hù)等多維數(shù)字化應(yīng)用場景的自然資源云、自然資源“一

張網(wǎng)”、國土空間基礎(chǔ)信息平臺(tái)等。

12

針對(duì)以上保護(hù)對(duì)象本標(biāo)準(zhǔn)提出了自然資源網(wǎng)絡(luò)安全保護(hù)框架及

安全要求：

1.前言

前言章節(jié)概述了《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》的制定背景、目

的和意義。隨著國家網(wǎng)絡(luò)安全法律法規(guī)的不斷完善，自然資源部門作

為重要政府部門，面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。由于部屬單位眾

多且網(wǎng)絡(luò)安全建設(shè)水平不一，加之自然資源行業(yè)頻繁遭受網(wǎng)絡(luò)攻擊，

缺乏統(tǒng)一的網(wǎng)絡(luò)安全規(guī)范性文件，行業(yè)整體安全防護(hù)存在短板?；?/p>

國家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，結(jié)合自然資源行業(yè)的特點(diǎn)和數(shù)字化治理能力

提升的發(fā)展規(guī)劃，本技術(shù)規(guī)范旨在構(gòu)建系統(tǒng)化、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全防

護(hù)體系，為自然資源部門及其直屬單位和派出機(jī)構(gòu)提供全面的網(wǎng)絡(luò)安

全建設(shè)和運(yùn)營指導(dǎo)，以提升行業(yè)整體的網(wǎng)絡(luò)安全管理和防御水平，確

保自然資源信息的安全與穩(wěn)定。

2.引言

引言章節(jié)，詳細(xì)闡述了《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》的制定背

景、依據(jù)及重要性。隨著《中華人民共和國網(wǎng)絡(luò)安全法》等一系列網(wǎng)

絡(luò)安全法律法規(guī)的出臺(tái)，網(wǎng)絡(luò)安全工作得到了明確的要求和指導(dǎo)。自

然資源部門作為承擔(dān)“兩統(tǒng)一”職責(zé)的重要政府部門，其網(wǎng)絡(luò)安全建

設(shè)尤為重要。然而，由于部屬單位及派出機(jī)構(gòu)眾多，且各單位網(wǎng)絡(luò)安

全建設(shè)水平參差不齊，加之近年來針對(duì)自然資源行業(yè)的網(wǎng)絡(luò)攻擊事件

頻發(fā)，行業(yè)整體網(wǎng)絡(luò)安全防護(hù)存在明顯短板。因此，基于國家網(wǎng)絡(luò)安

全相關(guān)標(biāo)準(zhǔn)，結(jié)合《自然資源數(shù)字化治理能力提升總體方案》及行業(yè)

特色，制定本技術(shù)規(guī)范，旨在通過構(gòu)建系統(tǒng)化、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全防

13

護(hù)體系，有效銜接等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)安全保護(hù)

等標(biāo)準(zhǔn)規(guī)范，為自然資源部門提供科學(xué)、規(guī)范、全面的網(wǎng)絡(luò)安全建設(shè)

指導(dǎo)，切實(shí)提升行業(yè)網(wǎng)絡(luò)安全管理和防御水平，保障自然資源信息的

安全與穩(wěn)定。

3.范圍

范圍章節(jié)，明確了《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》的適用范圍和

主要內(nèi)容。本技術(shù)規(guī)范規(guī)定了自然資源網(wǎng)絡(luò)安全保護(hù)框架及安全要

求，包括安全管理要求、安全技術(shù)要求、安全運(yùn)營要求，適用于自然

資源部及其62家直屬單位和派出機(jī)構(gòu)，同時(shí)建議31個(gè)省級(jí)自然資源

主管部門和新疆生產(chǎn)建設(shè)兵團(tuán)自然資源局參照?qǐng)?zhí)行。技術(shù)規(guī)范涵蓋了

自然資源“一張網(wǎng)”、自然資源云、國土空間基礎(chǔ)信息平臺(tái)以及底線

守護(hù)、格局優(yōu)化、綠色低碳、權(quán)益維護(hù)等應(yīng)用場景的網(wǎng)絡(luò)安全保護(hù)，

為自然資源行業(yè)的網(wǎng)絡(luò)安全建設(shè)提供了全面的指導(dǎo)和規(guī)范。

4.規(guī)范性引用文件

規(guī)范性引用文件章節(jié)，列出了制定《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》

時(shí)所參考的一系列標(biāo)準(zhǔn)和文件，這些標(biāo)準(zhǔn)和文件是構(gòu)成本技術(shù)規(guī)范不

可或缺的重要條款。具體包括GB/T22239—2019《信息安全技術(shù)網(wǎng)

絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T39204—2022《信息安全技術(shù)關(guān)

鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》等網(wǎng)絡(luò)安全相關(guān)國家標(biāo)準(zhǔn)，以及GW

0015—2022《政務(wù)外網(wǎng)終端一機(jī)兩用安全管控技術(shù)指南》等特定領(lǐng)域

的技術(shù)指南，還引用了《自然資源數(shù)字化治理能力提升總體方案》、

《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》等自然資源部門的政策文件，確

保了技術(shù)規(guī)范的制定具有充分的依據(jù)和權(quán)威性。

5.術(shù)語和定義

14

術(shù)語和定義章節(jié)，對(duì)《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》中涉及的關(guān)

鍵術(shù)語進(jìn)行了明確和統(tǒng)一的定義，以確保技術(shù)規(guī)范的準(zhǔn)確性和可理解

性。該章節(jié)定義了自然資源“一張網(wǎng)”、自然資源云、自然資源數(shù)據(jù)、

應(yīng)用系統(tǒng)、主機(jī)、終端、高級(jí)可持續(xù)威脅（APT）、物聯(lián)網(wǎng)（IoT）等

核心術(shù)語，并解釋了這些術(shù)語在自然資源網(wǎng)絡(luò)安全領(lǐng)域中的具體含義

和應(yīng)用場景。通過明確這些術(shù)語，技術(shù)規(guī)范為自然資源行業(yè)的網(wǎng)絡(luò)安

全建設(shè)和管理工作提供了清晰的概念框架，有助于各方在理解和執(zhí)行

技術(shù)規(guī)范時(shí)保持一致性，提升行業(yè)整體的網(wǎng)絡(luò)安全防護(hù)能力。

6.縮略語

縮略語章節(jié)，為《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》提供了一套簡潔

明了的術(shù)語縮寫，便于文檔的閱讀和理解。該章節(jié)列出了如APT（高

級(jí)可持續(xù)威脅）、IoT（物聯(lián)網(wǎng)）等關(guān)鍵術(shù)語的縮略形式，并明確了

它們?cè)谧匀毁Y源網(wǎng)絡(luò)安全領(lǐng)域中的具體含義。這些縮略語的引入，不

僅減少了文檔中的冗長表述，提高了閱讀效率，還確保了術(shù)語使用的

一致性和規(guī)范性，有助于技術(shù)規(guī)范的廣泛傳播和應(yīng)用。通過采用統(tǒng)一

的縮略語體系，技術(shù)規(guī)范更加簡潔、專業(yè)，便于行業(yè)內(nèi)外的溝通與協(xié)

作。

7.概述

概述章節(jié)，全面介紹了《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》的核心內(nèi)

容和框架。該章節(jié)首先明確了網(wǎng)絡(luò)安全保護(hù)的對(duì)象，包括自然資源“一

張網(wǎng)”、自然資源云、國土空間基礎(chǔ)信息平臺(tái)及四大數(shù)字化主題應(yīng)用

場景等。隨后，提出了網(wǎng)絡(luò)安全保護(hù)應(yīng)遵循的合規(guī)性、系統(tǒng)性、前瞻

性和實(shí)際性四大基本原則。在網(wǎng)絡(luò)安全保護(hù)框架部分，從安全管理、

安全技術(shù)和安全運(yùn)營三個(gè)維度構(gòu)建了動(dòng)態(tài)防御體系，詳細(xì)闡述了各維

度下的具體要求和措施。安全管理涉及制度、機(jī)構(gòu)、人員、建設(shè)管理、

15

監(jiān)督考核等方面；安全技術(shù)涵蓋物理安全、通信安全、主機(jī)安全、應(yīng)

用安全、數(shù)據(jù)安全、終端安全以及云計(jì)算安全、物聯(lián)網(wǎng)安全、供應(yīng)鏈

安全等新興領(lǐng)域；安全運(yùn)營則包括資產(chǎn)識(shí)別與更新、安全檢測與加固、

安全監(jiān)測與預(yù)警、事件處置與應(yīng)急、安全攻防演練等關(guān)鍵環(huán)節(jié)。通過

這一全面而系統(tǒng)的框架，技術(shù)規(guī)范旨在為自然資源行業(yè)提供科學(xué)、規(guī)

范、有效的網(wǎng)絡(luò)安全保護(hù)指導(dǎo)。

8.網(wǎng)絡(luò)安全保護(hù)框架

網(wǎng)絡(luò)安全保護(hù)框架章節(jié)，詳細(xì)構(gòu)建了自然資源網(wǎng)絡(luò)安全保護(hù)的三

維體系，包括安全管理、安全技術(shù)和安全運(yùn)營三個(gè)核心維度。安全管

理維度聚焦于制度、機(jī)構(gòu)、人員、建設(shè)管理及監(jiān)督考核等方面，確保

網(wǎng)絡(luò)安全工作的規(guī)范化和制度化；安全技術(shù)維度則涵蓋物理、通信、

主機(jī)、應(yīng)用、數(shù)據(jù)、終端以及云計(jì)算、物聯(lián)網(wǎng)、供應(yīng)鏈等多個(gè)安全領(lǐng)

域，為自然資源網(wǎng)絡(luò)安全提供全方位的技術(shù)保障；安全運(yùn)營維度通過

資產(chǎn)識(shí)別與更新、安全檢測與加固、安全監(jiān)測與預(yù)警、事件處置與應(yīng)

急、安全攻防演練等關(guān)鍵環(huán)節(jié)，實(shí)現(xiàn)網(wǎng)絡(luò)安全的動(dòng)態(tài)防御和持續(xù)優(yōu)化。

這一框架全面而系統(tǒng)地指導(dǎo)。

9.安全管理要求

安全管理要求是《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》中的核心章

節(jié)之一，為自然資源行業(yè)提供了全面的安全管理框架和指導(dǎo)原則，在

通過系統(tǒng)性和前瞻性的安全管理措施，確保網(wǎng)絡(luò)數(shù)據(jù)的安全性和合規(guī)

性。本章詳細(xì)規(guī)定了安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、

安全建設(shè)管理以及安全監(jiān)督考核等方面的要求，涵蓋了從頂層策略制

定到底層操作執(zhí)行的全方位安全管理內(nèi)容。

（1）安全管理制度

安全管理制度是安全管理要求的基石，確保了安全管理的規(guī)范性

16

和有效性。本章節(jié)要求制定網(wǎng)絡(luò)安全工作的總體方針、目標(biāo)、范圍、

原則和安全框架，為各單位提供了明確的安全管理方向。各單位需參

照總體方針，結(jié)合實(shí)際情況制定詳細(xì)的安全策略，包括但不限于安全

互聯(lián)策略、安全設(shè)計(jì)策略、身份管理策略、入侵防范策略等。這些策

略的制定為具體的安全管理工作提供了指導(dǎo)和依據(jù)。

為確保安全管理制度的有效執(zhí)行，本章節(jié)還要求建立全面的安全

管理制度體系，包括風(fēng)險(xiǎn)管理制度、網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)制度、

網(wǎng)絡(luò)安全教育培訓(xùn)制度等。這些制度覆蓋了安全管理的各個(gè)方面，從

風(fēng)險(xiǎn)評(píng)估到安全培訓(xùn)，形成了一個(gè)閉環(huán)的管理流程。同時(shí)，還要求對(duì)

安全管理制度進(jìn)行定期評(píng)審和修訂，以確保其適應(yīng)不斷變化的安全威

脅和技術(shù)發(fā)展。

（2）安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)是實(shí)施安全管理要求的主體，其設(shè)置和人員配備直

接影響到安全管理的效果。本章節(jié)要求各單位成立網(wǎng)絡(luò)安全工作委員

會(huì)或領(lǐng)導(dǎo)小組，并設(shè)立專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確各崗位的職責(zé)

和權(quán)限。通過合理的崗位設(shè)置和人員配備，確保安全管理工作的順利

開展。

本章節(jié)還對(duì)關(guān)鍵崗位人員提出了具體的要求，包括進(jìn)行安全背景

審查和安全技能考核，確保上崗人員具備相應(yīng)的安全管理能力。同時(shí)，

要求各單位定期對(duì)關(guān)鍵崗位人員進(jìn)行安全培訓(xùn)，提高其安全意識(shí)和技

能水平。

（3）安全管理人員

安全管理人員是安全管理工作的直接執(zhí)行者，其素質(zhì)和能力對(duì)安

全管理效果具有決定性影響。本章節(jié)對(duì)安全管理人員的管理提出了具

體要求，包括人員管理和安全培訓(xùn)兩個(gè)方面。

17

（4）人員管理

要求各單位指定或明確授權(quán)專門的部門或人員負(fù)責(zé)人員錄用過

程，對(duì)錄用人員進(jìn)行全面的身份、安全背景和專業(yè)資格審查。同時(shí)，

要求與所有被錄用人員簽署保密協(xié)議，明確其安全職責(zé)和權(quán)益。此外，

還要求對(duì)外部人員進(jìn)行嚴(yán)格的訪問控制，確保其訪問行為符合安全管

理要求。

（5）安全培訓(xùn)

本章節(jié)要求各單位至少每年開展一次安全意識(shí)教育和培訓(xùn)工作，

涵蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、供應(yīng)鏈安全等多個(gè)方面。通過培訓(xùn)提高安

全管理人員的安全意識(shí)和技能水平，確保其能夠勝任安全管理工作。

（6）安全建設(shè)管理

安全建設(shè)管理是確保網(wǎng)絡(luò)安全防護(hù)措施得到有效實(shí)施的關(guān)鍵環(huán)

節(jié)。本章節(jié)從定級(jí)和備案、等級(jí)測評(píng)、密碼管理以及供應(yīng)鏈管理四個(gè)

方面提出了具體要求。

在定級(jí)和備案方面，要求各單位以書面形式說明保護(hù)對(duì)象的安全

保護(hù)等級(jí)及確定等級(jí)的方法和理由，并經(jīng)過相關(guān)部門的論證和審定后

進(jìn)行備案。這一要求確保了安全保護(hù)等級(jí)的合理性和規(guī)范性。

在等級(jí)測評(píng)方面，要求各單位定期進(jìn)行等級(jí)測評(píng)，及時(shí)發(fā)現(xiàn)并整

改不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的問題。同時(shí)，在發(fā)生重大變更或級(jí)

別發(fā)生變化時(shí)也要進(jìn)行等級(jí)測評(píng)，確保安全防護(hù)措施的有效性。

在密碼管理方面，要求各單位遵循《中華人民共和國密碼法》及

相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，確保商用密碼保障系統(tǒng)的正確有效運(yùn)行。

這一要求對(duì)于保護(hù)敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)的安全具有重要意義。

在供應(yīng)鏈管理方面，要求各單位確保產(chǎn)品、服務(wù)供應(yīng)商的選擇符

合國家的有關(guān)規(guī)定，并建立和維護(hù)合格供應(yīng)方目錄。同時(shí)，要求與選

18

定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確網(wǎng)絡(luò)安全相關(guān)義務(wù)，并定期監(jiān)督、

評(píng)審和審核服務(wù)供應(yīng)商提供的服務(wù)。這些措施有助于降低供應(yīng)鏈安全

風(fēng)險(xiǎn)，確保網(wǎng)絡(luò)安全防護(hù)措施的有效實(shí)施。

（7）安全監(jiān)督考核

安全監(jiān)督考核是確保安全管理要求得到有效執(zhí)行的重要手段。本

章節(jié)從安全管理考核、安全建設(shè)考核、安全運(yùn)維考核、數(shù)據(jù)保護(hù)考核、

監(jiān)測預(yù)警考核、應(yīng)急處置考核以及供應(yīng)鏈安全考核七個(gè)方面提出了具

體要求。

在安全管理考核方面，要求考核各單位是否建立網(wǎng)絡(luò)安全管理機(jī)

構(gòu)、是否制定網(wǎng)絡(luò)安全管理制度等文件、是否開展網(wǎng)絡(luò)安全培訓(xùn)工作

等。這些考核內(nèi)容有助于確保各單位在安全管理方面做到組織健全、

制度完善、培訓(xùn)到位。

在安全建設(shè)考核方面，要求考核各單位安全保護(hù)等級(jí)第二級(jí)及以

上系統(tǒng)是否提供備案材料、等級(jí)測評(píng)結(jié)果等；采購云計(jì)算服務(wù)的單位

是否提供云計(jì)算服務(wù)通過安全評(píng)估結(jié)果等。這些考核內(nèi)容有助于確保

各單位在安全建設(shè)方面做到合規(guī)有效。

在安全運(yùn)維考核方面，要求考核各單位是否制定運(yùn)行維護(hù)年度計(jì)

劃和運(yùn)維操作規(guī)程、是否能提供網(wǎng)絡(luò)拓?fù)鋱D等必要的資料和技術(shù)支持

等。這些考核內(nèi)容有助于確保各單位在安全運(yùn)維方面做到規(guī)范有序。

在數(shù)據(jù)保護(hù)考核方面，要求考核各單位是否制定數(shù)據(jù)安全管理制

度、是否具備數(shù)據(jù)安全審計(jì)和溯源能力等。這些考核內(nèi)容有助于確保

各單位在數(shù)據(jù)保護(hù)方面做到嚴(yán)密有效。

在監(jiān)測預(yù)警考核方面，要求考核各單位是否建立網(wǎng)絡(luò)安全信息通

報(bào)機(jī)制、是否能提供風(fēng)險(xiǎn)漏洞和網(wǎng)絡(luò)安全事件處置反饋等。這些考核

內(nèi)容有助于確保各單位在監(jiān)測預(yù)警方面做到及時(shí)準(zhǔn)確。

19

在應(yīng)急處置考核方面，要求考核各單位是否制定應(yīng)急預(yù)案或?qū)嵤?/p>

細(xì)則、是否能提供應(yīng)急演練文檔資料或記錄等。這些考核內(nèi)容有助于

確保各單位在應(yīng)急處置方面做到迅速有效。

在供應(yīng)鏈安全考核方面，要求考核各單位是否形成本單位供應(yīng)鏈

考核制度、是否開展常態(tài)化供應(yīng)鏈考核工作等。這些考核內(nèi)容有助于

確保各單位在供應(yīng)鏈安全管理方面做到全面深入。

10.安全技術(shù)要求

安全技術(shù)要求章節(jié)詳細(xì)闡述了自然資源網(wǎng)絡(luò)安全保護(hù)中的各項(xiàng)

技術(shù)措施，涵蓋了物理安全、通信安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)

安全、終端安全、云計(jì)算安全、物聯(lián)網(wǎng)安全和供應(yīng)鏈安全等多個(gè)方面。

這些技術(shù)要求確保了自然資源信息在收集、存儲(chǔ)、傳輸、處理和使用

過程中的完整性、保密性和可用性，從而保障自然資源網(wǎng)絡(luò)系統(tǒng)的穩(wěn)

定運(yùn)行和數(shù)據(jù)安全。

（1）物理安全

物理安全是網(wǎng)絡(luò)安全的基礎(chǔ)，涉及對(duì)機(jī)房、設(shè)施、設(shè)備等物理環(huán)

境的保護(hù)。具體要求包括選擇具有防震、防風(fēng)和防雨能力的建筑作為

機(jī)房場地，配置電子門禁系統(tǒng)以控制、鑒別和記錄進(jìn)入機(jī)房的人員，

對(duì)設(shè)備和主要部件進(jìn)行固定并設(shè)置明顯標(biāo)識(shí)，采取防雷擊、防火、防

水、防潮、防靜電等防護(hù)措施，以及配置穩(wěn)壓器和過電壓防護(hù)設(shè)備，

提供短期備用電力供應(yīng)，并設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)

系統(tǒng)供電。

（2）通信安全

通信安全關(guān)注網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)保護(hù)。要求包括保障通信線

路“一主雙備”的保護(hù)，對(duì)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)和重要設(shè)施實(shí)施“雙節(jié)點(diǎn)”

冗余備份，確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和帶寬滿足業(yè)務(wù)高峰期需

20

要，避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，并采取可靠的技術(shù)隔離手段。

此外，還應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性、

保密性，完善網(wǎng)絡(luò)之間的安全互聯(lián)策略，采取訪問控制和入侵防范措

施，并進(jìn)行安全審計(jì)。

（3）主機(jī)安全

主機(jī)安全涉及對(duì)服務(wù)器等主機(jī)的保護(hù)。要求包括對(duì)用戶進(jìn)行身份

標(biāo)識(shí)和鑒別，采取登錄失敗處理措施，遵循最小安裝原則，僅安裝必

要的組件和應(yīng)用程序，并關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端

口。同時(shí)，應(yīng)能檢測主機(jī)漏洞并及時(shí)修補(bǔ)，采取技術(shù)手段檢測并阻斷

入侵行為，啟用安全審計(jì)功能，記錄并保護(hù)審計(jì)記錄。

（4）應(yīng)用安全

應(yīng)用安全關(guān)注應(yīng)用系統(tǒng)本身的安全性。要求包括在用戶登錄時(shí)進(jìn)

行身份標(biāo)識(shí)與鑒別，分配專屬賬戶和權(quán)限，實(shí)現(xiàn)細(xì)粒度的訪問控制，

采用密碼技術(shù)保障數(shù)據(jù)接口的安全，啟用安全審計(jì)功能，并按照國家

相關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行安全編程。

（5）數(shù)據(jù)安全

數(shù)據(jù)安全是自然資源網(wǎng)絡(luò)安全的核心。要求包括制定數(shù)據(jù)收集標(biāo)

準(zhǔn)，明確數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程，采取訪問控制、數(shù)據(jù)防泄露、

操作審計(jì)等措施確保數(shù)據(jù)使用與加工的安全，采用校驗(yàn)技術(shù)或密碼技

術(shù)保證數(shù)據(jù)傳輸?shù)耐暾?、保密性，?duì)數(shù)據(jù)提供和共享過程進(jìn)行身份

驗(yàn)證、權(quán)限控制、日志審計(jì)等安全防護(hù)，建立數(shù)據(jù)公開監(jiān)督機(jī)制，并

建立不可逆數(shù)據(jù)刪除機(jī)制。

（6）終端安全

終端安全涉及對(duì)辦公終端、運(yùn)維終端等設(shè)備的保護(hù)。要求包括采

用免受惡意代碼攻擊的技術(shù)措施，進(jìn)行身份鑒別和訪問控制，關(guān)閉不

21

需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口，采取主動(dòng)防護(hù)技術(shù)手段，支

持密碼技術(shù)保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，并啟用安全審?jì)功能。

（7）云計(jì)算安全

云計(jì)算安全關(guān)注自然資源云的安全保護(hù)。要求包括保證云不承載

高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)之間的隔離，提

供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制，允許設(shè)置虛擬機(jī)之間、

容器之間的訪問控制策略，對(duì)云管理平臺(tái)實(shí)現(xiàn)細(xì)粒度的訪問控制，建

立雙向身份驗(yàn)證機(jī)制，提供鏡像和快照完整性校驗(yàn)功能，支持云主機(jī)

部署密鑰管理解決方案，并對(duì)遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)。

（8）物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)安全涉及對(duì)感知終端、感知層網(wǎng)關(guān)、感知層接入和數(shù)據(jù)傳

輸?shù)谋Ｗo(hù)。要求包括感知終端接入網(wǎng)絡(luò)中具有唯一網(wǎng)絡(luò)身份標(biāo)識(shí)，感

知層網(wǎng)關(guān)能夠控制接入數(shù)量和進(jìn)行認(rèn)證，接入系統(tǒng)具備隔離防護(hù)功能

和密鑰管理功能，數(shù)據(jù)傳輸過程中保障數(shù)據(jù)的新鮮性、準(zhǔn)確性，并建

立數(shù)據(jù)安全傳輸策略和控制措施。

（9）供應(yīng)鏈安全

供應(yīng)鏈安全關(guān)注軟件開發(fā)、風(fēng)險(xiǎn)評(píng)估和安全檢查等環(huán)節(jié)。要求包

括將開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，對(duì)軟件進(jìn)行安全性測試和惡

意代碼檢測，掌握軟件相關(guān)技術(shù)資料，每年開展供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估工作，

使用自動(dòng)化工具進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定供應(yīng)鏈檢查方案，并開展常態(tài)化

供應(yīng)鏈安全自查工作。

11.安全運(yùn)營要求

安全運(yùn)營要求是自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范中的重要組成

部分，涵蓋了資產(chǎn)識(shí)別與更新、安全檢測與加固、安全監(jiān)測與預(yù)警、

事件處置與應(yīng)急以及安全攻防演練等多個(gè)關(guān)鍵環(huán)節(jié)。這些要求通過系

22

統(tǒng)性的運(yùn)營活動(dòng)，確保自然資源網(wǎng)絡(luò)系統(tǒng)的持續(xù)安全穩(wěn)定運(yùn)行，有效

應(yīng)對(duì)各類網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。

（1）資產(chǎn)識(shí)別與更新

資產(chǎn)識(shí)別與更新是安全運(yùn)營的基礎(chǔ)。要求通過人工梳理和自動(dòng)化

技術(shù)，對(duì)域名、IP、端口、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等各類資產(chǎn)進(jìn)

行全面識(shí)別，并對(duì)資產(chǎn)信息進(jìn)行分類管理。同時(shí)，資產(chǎn)信息需要定期

更新，以確保其準(zhǔn)確性和完整性。在資產(chǎn)發(fā)生改建、擴(kuò)建、所有人變

更等較大變化時(shí)，應(yīng)重新識(shí)別資產(chǎn)信息并更新管理。此外，根據(jù)安全

檢測、監(jiān)測預(yù)警、響應(yīng)處置中發(fā)現(xiàn)的安全隱患或安全事件，以及安全

威脅和風(fēng)險(xiǎn)的變化情況，必要時(shí)也需要重新開展資產(chǎn)信息更新工作。

（2）安全檢測與加固

安全檢測與加固是提升系統(tǒng)安全性的關(guān)鍵手段。要求自行或委托

網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，通過滲透測試、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)，對(duì)可能存

在的安全風(fēng)險(xiǎn)進(jìn)行定期檢測。在安全檢測工作中，需要提供必要的資

料和技術(shù)支持，針對(duì)發(fā)現(xiàn)的安全隱患和風(fēng)險(xiǎn)建立清單，并留存安全檢

測結(jié)果。同時(shí)，應(yīng)制定詳細(xì)的安全加固方案，在非生產(chǎn)環(huán)境中進(jìn)行測

試驗(yàn)證，確保加固后系統(tǒng)的功能完整性、性能表現(xiàn)以及安全漏洞得到

修復(fù)。加固工作完成后，還需要對(duì)系統(tǒng)進(jìn)行再次驗(yàn)證，并將加固報(bào)告

上報(bào)至相關(guān)部門。

（3）安全監(jiān)測與預(yù)警

安全監(jiān)測與預(yù)警是及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)網(wǎng)絡(luò)安全事件的重要途徑。要

求全面收集網(wǎng)絡(luò)安全日志，構(gòu)建違規(guī)操作模型、攻擊入侵模型、異常

行為模型等，強(qiáng)化監(jiān)測預(yù)警能力。通過采用自動(dòng)化機(jī)制，對(duì)關(guān)鍵業(yè)務(wù)

所涉及系統(tǒng)的監(jiān)測信息進(jìn)行整合分析，及時(shí)關(guān)聯(lián)資產(chǎn)、脆弱性、威脅

等，分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí)，需要對(duì)網(wǎng)絡(luò)安全共享信息、威脅情報(bào)、

23

報(bào)警信息等進(jìn)行綜合分析、研判，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。對(duì)于可能造成

較大影響的安全事件，應(yīng)及時(shí)向相關(guān)單位發(fā)起預(yù)警通告，并采取相關(guān)

措施進(jìn)行響應(yīng)，當(dāng)安全隱患得以控制或消除時(shí)，執(zhí)行預(yù)警解除流程。

（4）事件處置與應(yīng)急

事件處置與應(yīng)急是應(yīng)對(duì)網(wǎng)絡(luò)安全事件的關(guān)鍵環(huán)節(jié)。要求當(dāng)發(fā)生有

可能危害關(guān)鍵業(yè)務(wù)的安全事件時(shí)，應(yīng)及時(shí)報(bào)告并組織研判，形成事件

報(bào)告。按照事件處置流程和應(yīng)急預(yù)案進(jìn)行事件處理，恢復(fù)關(guān)鍵業(yè)務(wù)和

信息系統(tǒng)。同時(shí)，需要及時(shí)將安全事件及處置情況通報(bào)給可能受影響

的相關(guān)單位和人員，向供應(yīng)鏈涉及的、與事件相關(guān)的其他組織提供安

全事件信息，并按照政策規(guī)定報(bào)告相關(guān)部門。事件處置完成后，還應(yīng)

及時(shí)將安全事件及其處置結(jié)果上報(bào)至相關(guān)部門。

（5）安全攻防演練

安全攻防演練是提升安全運(yùn)營能力和應(yīng)急響應(yīng)水平的有效方式。

要求圍繞關(guān)鍵業(yè)務(wù)的可持續(xù)運(yùn)行制定演練方案，包括演練目標(biāo)、范圍、

時(shí)間、人員等。在不適合開展實(shí)網(wǎng)攻防演練的場景下，應(yīng)采取沙盤推

演的方式進(jìn)行攻防演練。通過攻防演練，可以及時(shí)發(fā)現(xiàn)并修復(fù)系統(tǒng)中

的安全漏洞和弱點(diǎn)，提升系統(tǒng)的安全防護(hù)能力。同時(shí)，攻防演練結(jié)束

后應(yīng)形成總結(jié)報(bào)告，針對(duì)發(fā)現(xiàn)的安全問題和風(fēng)險(xiǎn)開展安全整改工作，

支撐安全防護(hù)體系的持續(xù)優(yōu)化。

12.附錄A（資料性）安全運(yùn)營流程示例

附錄A（資料性）安全運(yùn)營流程示例章節(jié)，提供了一個(gè)系統(tǒng)化、

全面化的自然資源網(wǎng)絡(luò)安全運(yùn)營流程示例，該流程覆蓋了資產(chǎn)識(shí)別與

更新、安全檢測與加固、安全監(jiān)測與預(yù)警、事件處置與應(yīng)急以及安全

攻防演練等關(guān)鍵環(huán)節(jié)。通過建立完整的資產(chǎn)臺(tái)賬并定期更新，為安全

檢測提供準(zhǔn)確的數(shù)據(jù)基礎(chǔ)；通過全面檢測信息系統(tǒng)漏洞并制定加固方

24

案，提升系統(tǒng)防護(hù)能力；通過構(gòu)建安全監(jiān)測體系，實(shí)時(shí)監(jiān)測并預(yù)警潛

在威脅，提高響應(yīng)速度；通過制定應(yīng)急預(yù)案并定期組織演練，確保安

全事件得到迅速有效處理；最后，通過常態(tài)化組織攻防演練，模擬真

實(shí)攻擊場景，持續(xù)優(yōu)化提升安全防護(hù)能力。整個(gè)流程強(qiáng)調(diào)各環(huán)節(jié)協(xié)同

操作和數(shù)據(jù)共享，確保安全運(yùn)營工作的持續(xù)改進(jìn)和優(yōu)化，為自然資源

行業(yè)提供了一套科學(xué)、規(guī)范、高效的安全運(yùn)營指導(dǎo)方案。

13.參考文獻(xiàn)

參考文獻(xiàn)章節(jié)，列出了制定《自然資源網(wǎng)絡(luò)安全技術(shù)規(guī)范》時(shí)所

參考的一系列國家標(biāo)準(zhǔn)和信息安全技術(shù)文件，包括信息安全技術(shù)的術(shù)

語、風(fēng)險(xiǎn)評(píng)估規(guī)范、信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范、網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)

指南和要求、網(wǎng)絡(luò)安全監(jiān)測與預(yù)警指南、應(yīng)急演練指南、密碼應(yīng)用基

本要求、個(gè)人信息安全規(guī)范、數(shù)據(jù)安全能力成熟度模型、物聯(lián)網(wǎng)安全

相關(guān)要求、云計(jì)算安全運(yùn)營中心能力要求等。這些參考文獻(xiàn)為技術(shù)規(guī)

范的制定提供了權(quán)威的技術(shù)依據(jù)和標(biāo)準(zhǔn)支持，確保了規(guī)范的科學(xué)性、

規(guī)范性和實(shí)用性。

三、預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益

本標(biāo)準(zhǔn)作為自然資源行業(yè)網(wǎng)絡(luò)安全建設(shè)基礎(chǔ)性文件，在經(jīng)濟(jì)效

益、社會(huì)效益和生態(tài)效益方面都具有顯著的作用。通過本標(biāo)準(zhǔn)指導(dǎo)加

強(qiáng)網(wǎng)絡(luò)安全保障體系建設(shè)，可以節(jié)省重復(fù)建設(shè)資金、避免經(jīng)濟(jì)損失、

提升安全保護(hù)水平、保障國家安全和經(jīng)濟(jì)社會(huì)穩(wěn)定、提升生態(tài)治理能

力并促進(jìn)生態(tài)平衡和生態(tài)系統(tǒng)良性循環(huán)。這些效益的實(shí)現(xiàn)有助于推動(dòng)

自然資源行業(yè)的可持續(xù)發(fā)展和生態(tài)文明建設(shè)。

（一）經(jīng)濟(jì)效益

在自然資源系統(tǒng)全方位網(wǎng)絡(luò)安全保障體系的統(tǒng)一集約化建設(shè)過

25

程中，本標(biāo)準(zhǔn)能夠避免各單位在網(wǎng)絡(luò)安全方面的重復(fù)投入，節(jié)省大量

系統(tǒng)建設(shè)資金，符合《自然資源數(shù)字化整體能力提升總體方案》中提

出的優(yōu)化資源配置、提高管理效率的要求。

本標(biāo)準(zhǔn)中提出的相關(guān)要求，能夠有效防范網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等

風(fēng)險(xiǎn)，避免因這些事件造成的巨大經(jīng)濟(jì)損失。自然資源數(shù)據(jù)的保密性、

完整性和可用性得到保障，有助于維護(hù)自然資源行業(yè)的正常運(yùn)營和持

續(xù)發(fā)展。

（二）社會(huì)效益

本標(biāo)準(zhǔn)的編制，明確了網(wǎng)絡(luò)安全管理、安全技術(shù)和安全運(yùn)營的要

求，為自然資源系統(tǒng)網(wǎng)絡(luò)安全防御體系的落地提供了有力支撐。這有

助于指導(dǎo)各單位開展網(wǎng)絡(luò)安全建設(shè)與運(yùn)營工作，提高我國自然資源系

統(tǒng)的安全保護(hù)水平。通過實(shí)施這些標(biāo)準(zhǔn)和規(guī)范，可以增強(qiáng)公眾對(duì)自然

資源系統(tǒng)網(wǎng)絡(luò)安全性的信任，提升行業(yè)形象和社會(huì)認(rèn)可度。

自然資源是國家安全和經(jīng)濟(jì)社會(huì)發(fā)展的重要基礎(chǔ)。網(wǎng)絡(luò)安全保障

體系的建立，能夠確保自然資源數(shù)據(jù)的準(zhǔn)確性和可靠性，為政府決策

和公眾服務(wù)提供有力支持。在國家政策的指導(dǎo)下，加強(qiáng)自然資源行業(yè)

的網(wǎng)絡(luò)安全建設(shè)，有助于維護(hù)國家安全和經(jīng)濟(jì)社會(huì)穩(wěn)定，促進(jìn)可持續(xù)

發(fā)展。

（三）生態(tài)效益

自然資源信息化、數(shù)字化系統(tǒng)的安全保護(hù)，是提升自然資源系統(tǒng)

生態(tài)治理能力的重要保障。通過確保這些系統(tǒng)的穩(wěn)定性和安全性，可

以更加準(zhǔn)確地監(jiān)測和評(píng)估生態(tài)環(huán)境狀況，為生態(tài)保護(hù)和修復(fù)提供科學(xué)

依據(jù)。根據(jù)《自然資源數(shù)字化整體能力提升總體方案》的要求，加強(qiáng)

自然資源信息化和數(shù)字化建設(shè)，有助于推動(dòng)生態(tài)文明建設(shè)，實(shí)現(xiàn)人與

自然的和諧共生。

26

網(wǎng)絡(luò)安全保障體系的建立，可以確保自然資源數(shù)據(jù)的及時(shí)傳輸和

共享，有助于及時(shí)發(fā)現(xiàn)和解決生態(tài)環(huán)境問題。通過加強(qiáng)監(jiān)測和預(yù)警機(jī)

制，可以更有效地應(yīng)對(duì)生態(tài)環(huán)境風(fēng)險(xiǎn)，促進(jìn)生態(tài)平衡和生態(tài)系統(tǒng)的良

性循環(huán)。同時(shí)，網(wǎng)絡(luò)安全建設(shè)還可以推動(dòng)自然資源行業(yè)的綠色發(fā)展，

促進(jìn)節(jié)能減排和資源循環(huán)利用，為生態(tài)文明建設(shè)貢獻(xiàn)力量。

四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者

與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

在全球化和信息化的背景下，網(wǎng)絡(luò)安全已經(jīng)成為各國共同關(guān)注的

焦點(diǎn)。為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，國際和國外在網(wǎng)絡(luò)安全領(lǐng)

域已經(jīng)制定了一系列標(biāo)準(zhǔn)和技術(shù)規(guī)范。對(duì)比《自然資源網(wǎng)絡(luò)安全保護(hù)

技術(shù)規(guī)范》與國際、國外同類標(biāo)準(zhǔn)的技術(shù)內(nèi)容，分析其在安全管理、

安全技術(shù)、安全運(yùn)營等方面的異同，以明確本標(biāo)準(zhǔn)的特色和優(yōu)勢。

（一）國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)概述

國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要由國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委

員會(huì)（IEC）共同制定，形成了一套完善的信息安全管理體系（ISMS）

標(biāo)準(zhǔn)族，即ISO/IEC27000標(biāo)準(zhǔn)族。此外，美國國家標(biāo)準(zhǔn)與技術(shù)研究

院（NIST）也發(fā)布了《網(wǎng)絡(luò)安全框架》，為全球網(wǎng)絡(luò)安全提供了重要

的指導(dǎo)。

1.ISO/IEC27000標(biāo)準(zhǔn)族

ISO/IEC27000標(biāo)準(zhǔn)族是一組信息安全管理體系（ISMS）標(biāo)準(zhǔn)的

總稱，涵蓋了信息安全管理的各個(gè)方面。該標(biāo)準(zhǔn)族的核心目標(biāo)是幫助

組織建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)其ISMS，以應(yīng)對(duì)各種網(wǎng)絡(luò)安全威

脅。

ISO/IEC27001：作為ISMS的核心標(biāo)準(zhǔn)，ISO/IEC27001規(guī)定了

機(jī)構(gòu)應(yīng)如何建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)其ISMS。它提供了信息安

27

全管理的總體框架和要求，包括信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制措施、

合規(guī)性、內(nèi)部審核和管理評(píng)審等方面。

ISO/IEC27002：包含一系列的控制目標(biāo)和建議性控制措施，提

供了關(guān)于網(wǎng)絡(luò)安全的最佳實(shí)踐準(zhǔn)則。該標(biāo)準(zhǔn)用于幫助機(jī)構(gòu)設(shè)計(jì)和實(shí)現(xiàn)

ISO/IEC27001中的要求，機(jī)構(gòu)可以根據(jù)自身的需要和情況選擇性地

采用其中的建議。

ISO/IEC27003：提供了實(shí)施ISO/IEC27001的指南，包括規(guī)劃、

執(zhí)行和持續(xù)改進(jìn)ISMS的步驟和方法。它幫助組織理解并實(shí)施ISMS的

關(guān)鍵要素，確保信息安全管理的有效性和效率。

ISO/IEC27004：提供了評(píng)估和度量ISMS的方法、指標(biāo)等，用于

幫助機(jī)構(gòu)量化其ISMS的效能和成熟度。通過該標(biāo)準(zhǔn)提供的量化方法，

機(jī)構(gòu)可以評(píng)估和持續(xù)改進(jìn)其ISMS，確保其滿足業(yè)務(wù)需求并適應(yīng)不斷

變化的安全威脅。

ISO/IEC27005：提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的指南，幫助機(jī)構(gòu)識(shí)

別、評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)評(píng)估的流程、方法

和工具，確保組織能夠全面、系統(tǒng)地識(shí)別潛在的安全威脅，并制定相

應(yīng)的應(yīng)對(duì)措施。

2.NIST網(wǎng)絡(luò)安全框架

NIST網(wǎng)絡(luò)安全框架是美國國家標(biāo)準(zhǔn)與技術(shù)研究院于2014年發(fā)布

的，旨在幫助機(jī)構(gòu)建立和維護(hù)有效的信息安全管理系統(tǒng)。該框架于

2024年推出了2.0版本，進(jìn)一步增強(qiáng)了其適用性和靈活性。NIST網(wǎng)

絡(luò)安全框架的核心功能包括識(shí)別、保護(hù)、檢測、響應(yīng)、恢復(fù)和治理六

個(gè)方面，為組織提供了一個(gè)全面的網(wǎng)絡(luò)安全管理框架。

（二）國內(nèi)外標(biāo)準(zhǔn)技術(shù)內(nèi)容對(duì)比

《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》在編制過程中充分借鑒了國

28

際和國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的先進(jìn)經(jīng)驗(yàn)和技術(shù)要求，根據(jù)自然資源行業(yè)的

特點(diǎn)和實(shí)際需求進(jìn)行了定制化和創(chuàng)新。以下將從安全管理、安全技術(shù)

和安全運(yùn)營三個(gè)方面對(duì)國內(nèi)外標(biāo)準(zhǔn)進(jìn)行對(duì)比分析。

1.安全管理要求對(duì)比

在安全管理要求方面，《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》與國

際和國外標(biāo)準(zhǔn)存在共性和差異。共性方面，本標(biāo)準(zhǔn)同樣強(qiáng)調(diào)了安全管

理制度、安全管理機(jī)構(gòu)、安全管理人員的重要性，要求組織建立全面

的安全管理體系，確保網(wǎng)絡(luò)數(shù)據(jù)的安全性和合規(guī)性。

差異方面，本標(biāo)準(zhǔn)針對(duì)自然資源行業(yè)的特殊性，提出了更為具體

和細(xì)化的安全管理要求。例如，在安全管理制度方面，本標(biāo)準(zhǔn)要求制

定安全策略，包括但不限于安全互聯(lián)策略、安全設(shè)計(jì)策略、身份管理

策略、入侵防范策略等，以適應(yīng)自然資源行業(yè)復(fù)雜多變的安全環(huán)境。

本標(biāo)準(zhǔn)還強(qiáng)調(diào)了安全監(jiān)督考核的重要性，從多個(gè)維度對(duì)安全管理效果

進(jìn)行評(píng)估和考核，確保安全管理制度的有效執(zhí)行。

2.安全技術(shù)要求對(duì)比

在安全技術(shù)要求方面，《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》與國

際和國外標(biāo)準(zhǔn)在物理安全、通信安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安

全等方面存在共性要求，但同樣根據(jù)自然資源行業(yè)的實(shí)際需求進(jìn)行了

定制化和創(chuàng)新。

共性方面，本標(biāo)準(zhǔn)同樣要求采取一系列技術(shù)措施確保網(wǎng)絡(luò)系統(tǒng)的

安全穩(wěn)定運(yùn)行和數(shù)據(jù)安全。例如，在物理安全方面，要求選擇具有防

震、防風(fēng)和防雨能力的建筑作為機(jī)房場地，配置電子門禁系統(tǒng)等；在

通信安全方面，對(duì)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)和重要設(shè)施實(shí)施“雙節(jié)點(diǎn)”冗余備份

等。

差異方面，本標(biāo)準(zhǔn)針對(duì)自然資源行業(yè)的特點(diǎn)，提出了一些獨(dú)特的

29

安全技術(shù)要求。例如，在數(shù)據(jù)安全方面，本標(biāo)準(zhǔn)要求制定數(shù)據(jù)收集標(biāo)

準(zhǔn)，明確數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程，并采取訪問控制、數(shù)據(jù)防泄

露、操作審計(jì)等措施確保數(shù)據(jù)使用與加工的安全。此外，本標(biāo)準(zhǔn)還強(qiáng)

調(diào)了云計(jì)算安全、物聯(lián)網(wǎng)安全和供應(yīng)鏈安全等新興領(lǐng)域的安全技術(shù)要

求，以適應(yīng)自然資源行業(yè)信息化、數(shù)字化的發(fā)展趨勢。

3.安全運(yùn)營要求對(duì)比

在安全運(yùn)營要求方面，《自然資源網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范》與國

際和國外標(biāo)準(zhǔn)在資產(chǎn)識(shí)別與更新、安全檢測與加固、安全監(jiān)測與預(yù)警、

事件處置與應(yīng)急等方面存在共性要求，但同樣結(jié)合自然資源行業(yè)的實(shí)

際情況進(jìn)行了創(chuàng)新和完善。

共性方面，本標(biāo)準(zhǔn)同樣要求通過系統(tǒng)性的運(yùn)營活動(dòng)確保網(wǎng)絡(luò)系統(tǒng)

的持續(xù)安全穩(wěn)定運(yùn)行。例如，在資產(chǎn)識(shí)別與更新方面，要求通過人工

梳理和自動(dòng)化技術(shù)全面識(shí)別各類資產(chǎn)，并定期更新資產(chǎn)信息；在安全

檢測與加固方面，要求定期檢測可能存在的安全風(fēng)險(xiǎn)，并制定安全加

固方案等。

差異方面，本標(biāo)準(zhǔn)針對(duì)自然資源行業(yè)的特殊性，提出了一些獨(dú)特

的安全運(yùn)營要求。例如，在安全監(jiān)測與預(yù)警方面，本標(biāo)準(zhǔn)要求構(gòu)建違

規(guī)操作模型、攻擊入侵模型、異常行為模型等，強(qiáng)化監(jiān)測預(yù)警能力；

在事件處置與應(yīng)急方面，要求按照事件處置流程和應(yīng)急預(yù)案進(jìn)行事件

處理，并及時(shí)通報(bào)各單位和人員等。本標(biāo)準(zhǔn)還強(qiáng)調(diào)了安全攻防演練的

重要性，要求圍繞關(guān)鍵業(yè)務(wù)的可持續(xù)運(yùn)行制定演練方案，提升安全運(yùn)

營能力和應(yīng)急響應(yīng)水平。

（三）本標(biāo)準(zhǔn)特色與優(yōu)勢

通過與國際和國外同類標(biāo)準(zhǔn)的對(duì)比分析可以看出，《自然資源網(wǎng)

絡(luò)安全保護(hù)技術(shù)規(guī)范》在借鑒國際先進(jìn)經(jīng)驗(yàn)和技術(shù)要求的基礎(chǔ)上，結(jié)

30

合自然資源行業(yè)的實(shí)際情況進(jìn)行了定制化和創(chuàng)新，形成了具有自身特

色的網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范。

針對(duì)性強(qiáng)：本標(biāo)準(zhǔn)針對(duì)自然資源行業(yè)的特殊性，提出了一系列具

體和細(xì)化的安全管理、安全技術(shù)和安全運(yùn)營要求，確保網(wǎng)絡(luò)數(shù)據(jù)的安

全性和合規(guī)性。

創(chuàng)新性強(qiáng)：本標(biāo)準(zhǔn)在借鑒國際先進(jìn)經(jīng)驗(yàn)的基礎(chǔ)上，結(jié)合自然資源

行業(yè)的實(shí)際需求進(jìn)行了創(chuàng)新和完善，形成了一些獨(dú)特的安全技術(shù)要求

和管理措施。

實(shí)用性強(qiáng)：本標(biāo)準(zhǔn)注重實(shí)用性和可操作性，為自然資源行業(yè)提供

了可借鑒、可推廣的網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范，有助于提升整個(gè)行業(yè)的

網(wǎng)絡(luò)安全防護(hù)能力。

兼容性好：本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)不存在沖突與

矛盾，與其他標(biāo)準(zhǔn)屬于配套銜接關(guān)系，具有良好的兼容性和可擴(kuò)展性。

五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用

或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因

無。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

法律法規(guī)方面，《中華人民共和國網(wǎng)絡(luò)安全法》第十五條提出“國

務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé)，組

織制定并適時(shí)修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全

的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)?！薄坝嘘P(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安

全保護(hù)規(guī)范和協(xié)作機(jī)制”?！吨腥A人民共和國數(shù)據(jù)安全法》第六條提

出“自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)

域數(shù)據(jù)安全監(jiān)管職責(zé)?！薄蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》指出“保

護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安

31

全監(jiān)測預(yù)警制度”，“建立健全本行業(yè)本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)

案”，“定期組織開展本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢

查檢測”等。自然資源部信息中心按照國家有關(guān)法律法規(guī)規(guī)定開展本

行業(yè)網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范標(biāo)準(zhǔn)的編制工作。

國家標(biāo)準(zhǔn)方面，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

在我國推行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的過程中起到非常重要作用，被廣

泛用于各行業(yè)或領(lǐng)域，指導(dǎo)用戶開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)整改、

等級(jí)測評(píng)等工作；《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》

提出了關(guān)鍵信息基礎(chǔ)設(shè)施分析識(shí)別、安全防護(hù)、檢測評(píng)估、監(jiān)測預(yù)警、

主動(dòng)防御、事件處置等方面的安全控制措施，適用于指導(dǎo)運(yùn)營者對(duì)關(guān)

鍵信息基礎(chǔ)設(shè)施進(jìn)行全周期安全保護(hù)。

本標(biāo)準(zhǔn)充分借鑒和參考上述標(biāo)準(zhǔn)，根據(jù)自然資源具體特點(diǎn)展開本

行業(yè)第一個(gè)網(wǎng)