建議收藏！邊緣網(wǎng)絡(luò)安全的關(guān)鍵標(biāo)準(zhǔn)與合規(guī)要求

隨著物聯(lián)網(wǎng)（IoT）、工業(yè)互聯(lián)網(wǎng)、智能制造及5G/6G網(wǎng)絡(luò)的快速發(fā)展，邊緣網(wǎng)絡(luò)作為數(shù)據(jù)生成、傳輸和處理的重要環(huán)節(jié)，其安全性日益受到關(guān)注。邊緣網(wǎng)絡(luò)因其節(jié)點(diǎn)分布廣泛、資源受限、設(shè)備異構(gòu)及跨域交互頻繁的特性，面臨傳統(tǒng)網(wǎng)絡(luò)難以應(yīng)對(duì)的安全挑戰(zhàn)。為保障邊緣計(jì)算環(huán)境的安全性，國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)化組織都提出一系列安全標(biāo)準(zhǔn)和合規(guī)性要求，以規(guī)范設(shè)備管理、數(shù)據(jù)保護(hù)、身份認(rèn)證和風(fēng)險(xiǎn)防控等關(guān)鍵環(huán)節(jié)。

但邊緣網(wǎng)絡(luò)應(yīng)用場(chǎng)景橫跨多行業(yè)、覆蓋范圍廣泛，單一標(biāo)準(zhǔn)難以適配所有場(chǎng)景。目前該領(lǐng)域全球普遍采用“國(guó)際通用標(biāo)準(zhǔn)+國(guó)家標(biāo)準(zhǔn)+行業(yè)標(biāo)準(zhǔn)”三級(jí)協(xié)同規(guī)范體系，對(duì)行業(yè)進(jìn)行規(guī)范。國(guó)際通用標(biāo)準(zhǔn)通常由各國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)共同參與制定，屬于行業(yè)共識(shí)性標(biāo)準(zhǔn)，以自愿采用為主；國(guó)家標(biāo)準(zhǔn)側(cè)重頂層框架與通用合規(guī)要求，為行業(yè)實(shí)踐劃定底線；行業(yè)標(biāo)準(zhǔn)則聚焦具體落地場(chǎng)景提供實(shí)施細(xì)則，相比前兩類標(biāo)準(zhǔn)更具針對(duì)性和執(zhí)行力。

安全牛在最新發(fā)布的報(bào)告中，從國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及國(guó)家標(biāo)準(zhǔn)三方面對(duì)其進(jìn)行了具體分析。

【掃碼獲取完整報(bào)告】

一、國(guó)際標(biāo)準(zhǔn)

邊緣網(wǎng)絡(luò)安全領(lǐng)域，國(guó)際上有影響力的標(biāo)準(zhǔn)有：信息安全管理體系ISO/IEC27001、歐盟MEC安全標(biāo)準(zhǔn)、美國(guó)NIST SP800。

• ISO/IEC 27001信息安全管理體系（ISMS）

ISO/IEC 27001是國(guó)際公認(rèn)的信息安全管理體系標(biāo)準(zhǔn)，采用PDCA循環(huán)（Plan-Do-Check-Act） 方法論，形成持續(xù)改進(jìn)的信息安全管理體系。其核心原則是保護(hù)信息的機(jī)密性、完整性和可用性（CIA三原則），同時(shí)滿足法律法規(guī)和合同的合規(guī)要求。適用于各種規(guī)模的組織，包括邊緣計(jì)算環(huán)境中的企業(yè)和運(yùn)營(yíng)商。

ISO/IEC 27001為邊緣網(wǎng)絡(luò)提供了系統(tǒng)化的信息安全管理框架，涵蓋安全架構(gòu)、核心原則和具體控制措施。通過風(fēng)險(xiǎn)管理、分層控制和持續(xù)改進(jìn)，企業(yè)能夠在分布式、異構(gòu)和多租戶的邊緣網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)信息安全和合規(guī)保障。

• 歐盟MEC安全標(biāo)準(zhǔn)

ETSI MEC（Multi-access Edge Computing）是由歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）制定的專注于移動(dòng)與多接入邊緣計(jì)算（MEC）架構(gòu)標(biāo)準(zhǔn)，其目標(biāo)是在移動(dòng)網(wǎng)絡(luò)和固定網(wǎng)絡(luò)的邊緣提供低延遲、高帶寬和上下文感知的計(jì)算服務(wù)。

隨著邊緣計(jì)算節(jié)點(diǎn)逐漸成為關(guān)鍵基礎(chǔ)設(shè)施，ETSI MEC標(biāo)準(zhǔn)中明確了安全和隱私保護(hù)要求，以確保邊緣服務(wù)和數(shù)據(jù)的可信性與可用性。其核心原則包括：最小權(quán)限原則、分層防護(hù)、可信執(zhí)行環(huán)境、端到端安全。

• 美國(guó)NIST SP 800系列

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布的SP 800系列標(biāo)準(zhǔn)是信息安全領(lǐng)域的重要指導(dǎo)文檔，涵蓋風(fēng)險(xiǎn)管理、信息系統(tǒng)安全控制、網(wǎng)絡(luò)防護(hù)、密碼學(xué)、事件響應(yīng)等多個(gè)方面。

其安全架構(gòu)核心在于風(fēng)險(xiǎn)管理和控制措施的系統(tǒng)化實(shí)施，特別適用于分布式、異構(gòu)的邊緣網(wǎng)絡(luò)環(huán)境。該系列主要由風(fēng)險(xiǎn)管理框架（RMF, NIST SP 800-37）、安全控制體系（SP 800-53）、容器與應(yīng)用安全參考（SP 800-190）等標(biāo)準(zhǔn)組成。其在邊緣網(wǎng)絡(luò)安全中強(qiáng)調(diào)的核心原則，包括：風(fēng)險(xiǎn)驅(qū)動(dòng)、最小權(quán)限原則、端到端防護(hù)、可擴(kuò)展性與適應(yīng)性。

二、行業(yè)標(biāo)準(zhǔn)

從行業(yè)來看，行業(yè)標(biāo)準(zhǔn)主要涵蓋邊緣計(jì)算、物聯(lián)網(wǎng)、5G/6G移動(dòng)通信、智能制造和車聯(lián)網(wǎng)等應(yīng)用場(chǎng)景。它們通常由國(guó)際標(biāo)準(zhǔn)化組織、行業(yè)聯(lián)盟或運(yùn)營(yíng)商協(xié)會(huì)發(fā)布，旨在規(guī)范邊緣節(jié)點(diǎn)安全、數(shù)據(jù)保護(hù)、身份認(rèn)證、網(wǎng)絡(luò)通信和運(yùn)維管理。

• 工業(yè)互聯(lián)網(wǎng)與邊緣計(jì)算標(biāo)準(zhǔn)

工業(yè)互聯(lián)網(wǎng)領(lǐng)域，主要參考標(biāo)準(zhǔn)是IIC安全框架和IEC62443系列。

IIC（Industrial Internet Consortium，工業(yè)互聯(lián)網(wǎng)聯(lián)盟）是工業(yè)互聯(lián)網(wǎng)領(lǐng)域具有全球影響力的國(guó)際會(huì)員組織。工業(yè)互聯(lián)網(wǎng)安全框架（Industrial Internet Security Framework，IISF）是該組織提出的應(yīng)對(duì)工業(yè)控制系統(tǒng)（ICS/OT）網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的跨行業(yè)基礎(chǔ)性安全指南，核心是為工業(yè)互聯(lián)網(wǎng)（IIoT）系統(tǒng)構(gòu)建“可信、安全、 resilient”的運(yùn)行環(huán)境。其安全框架采用分層架構(gòu)+生命周期管理的理念，覆蓋從設(shè)備層、網(wǎng)絡(luò)層、應(yīng)用層到管理層的全生命周期安全，通過分層防護(hù)、最小權(quán)限、設(shè)備可信性、風(fēng)險(xiǎn)驅(qū)動(dòng)和持續(xù)監(jiān)控等核心原則，實(shí)現(xiàn)邊緣網(wǎng)絡(luò)的安全防護(hù)與合規(guī)管理，為工業(yè)互聯(lián)網(wǎng)和智能制造提供可靠保障。適用于智能制造、工業(yè)控制系統(tǒng)（ICS）、能源系統(tǒng)及車聯(lián)網(wǎng)等場(chǎng)景。

IEC 62443是由國(guó)際電工委員會(huì)（IEC）發(fā)布的工業(yè)控制系統(tǒng)（ICS）和工業(yè)自動(dòng)化系統(tǒng)（IAS）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)系列，旨在為工業(yè)網(wǎng)絡(luò)和邊緣計(jì)算環(huán)境提供系統(tǒng)化、可量化的安全管理和防護(hù)措施。標(biāo)準(zhǔn)通過分層防護(hù)、安全分區(qū)、生命周期管理和風(fēng)險(xiǎn)驅(qū)動(dòng)原則，結(jié)合訪問控制、網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)保護(hù)、事件響應(yīng)和供應(yīng)鏈安全的具體要求，企業(yè)能夠?qū)崿F(xiàn)工業(yè)邊緣節(jié)點(diǎn)的安全保障和合規(guī)運(yùn)營(yíng)。廣泛適用于智能制造、工業(yè)物聯(lián)網(wǎng)（IIoT）、邊緣計(jì)算節(jié)點(diǎn)、SCADA系統(tǒng)及工廠自動(dòng)化控制環(huán)境。

• 通信與網(wǎng)絡(luò)邊緣標(biāo)準(zhǔn)（5G安全規(guī)范）

3GPP TS 33系列是第三代合作伙伴計(jì)劃（3rd Generation Partnership Project, 3GPP）發(fā)布的移動(dòng)通信系統(tǒng)安全技術(shù)規(guī)范，覆蓋從LTE、5G到即將演進(jìn)的6G網(wǎng)絡(luò)安全。通過定義端到端加密、身份保護(hù)、網(wǎng)絡(luò)切片隔離與邊緣節(jié)點(diǎn)信任機(jī)制，為5G與MEC架構(gòu)下的邊緣網(wǎng)絡(luò)提供系統(tǒng)化安全保障。

其中，TS 33.501是5G系統(tǒng)安全的核心標(biāo)準(zhǔn)文件，定義了5G系統(tǒng)的總體安全架構(gòu)、關(guān)鍵安全功能、加密與認(rèn)證機(jī)制，以及多接入邊緣計(jì)算（MEC）環(huán)境下的安全增強(qiáng)要求。

• 智能制造與車聯(lián)網(wǎng)標(biāo)準(zhǔn)

智能制造與車聯(lián)網(wǎng)領(lǐng)域的重要參考標(biāo)準(zhǔn)，分別是ISO 27019 、ISO/SAE 21434。

ISO/IEC 27019:2017《信息安全管理在能源系統(tǒng)中的應(yīng)用Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry》是針對(duì)能源公用事業(yè)行業(yè)（如發(fā)電、輸電、配電及智能電網(wǎng)）的信息安全管理國(guó)際標(biāo)準(zhǔn)，屬于ISO/IEC 27000系列（ISMS）的行業(yè)擴(kuò)展標(biāo)準(zhǔn)。

ISO/IEC 27019是能源行業(yè)中最具代表性的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)，結(jié)合工業(yè)控制系統(tǒng)（ICS）與操作技術(shù)（OT）特性，定義了能源系統(tǒng)的安全控制要求與實(shí)施指南，實(shí)現(xiàn)了從IT安全到OT控制、再到邊緣節(jié)點(diǎn)的全面覆蓋。適用于發(fā)電廠、輸電系統(tǒng)、配電網(wǎng)、智能變電站、儲(chǔ)能設(shè)施，以及能源邊緣節(jié)點(diǎn)（Energy Edge）。在智能電網(wǎng)+邊緣計(jì)算場(chǎng)景中，ISO/IEC 27019與ETSI MEC、IEC 62443等標(biāo)準(zhǔn)形成互補(bǔ)，共同構(gòu)建“能量邊緣安全協(xié)同體系”。

ISO/SAE 21434:2021《道路車輛–網(wǎng)絡(luò)安全工程Road Vehicles–Cybersecurity Engineering》是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）與美國(guó)汽車工程師學(xué)會(huì)（SAE）聯(lián)合發(fā)布的汽車網(wǎng)絡(luò)安全國(guó)際標(biāo)準(zhǔn)，用于指導(dǎo)從車輛設(shè)計(jì)、開發(fā)、生產(chǎn)到運(yùn)營(yíng)維護(hù)全過程的網(wǎng)絡(luò)安全活動(dòng)。該標(biāo)準(zhǔn)是UN R155（聯(lián)合國(guó)車輛網(wǎng)絡(luò)安全法規(guī)）的技術(shù)支撐文件，旨在為汽車制造商（OEM）、供應(yīng)商（Tier1/Tier2）和數(shù)字服務(wù)提供商提供統(tǒng)一的安全工程框架。

在智能網(wǎng)聯(lián)汽車（CAV, Connected and Autonomous Vehicles）與邊緣計(jì)算環(huán)境（V2X Edge, RSU, MEC）中，ISO/SAE 21434為汽車與車聯(lián)網(wǎng)安全提供了全生命周期、風(fēng)險(xiǎn)驅(qū)動(dòng)、標(biāo)準(zhǔn)化工程體系，是“車輛–邊緣節(jié)點(diǎn)–云平臺(tái)”協(xié)同安全體系的重要基礎(chǔ)標(biāo)準(zhǔn)。

ISO/SAE 21434在車聯(lián)網(wǎng)邊緣計(jì)算架構(gòu)中具有以下重要作用：

場(chǎng)景

應(yīng)用說明

路側(cè)邊緣節(jié)點(diǎn)（RSU/MEC）安全

邊緣節(jié)點(diǎn)需執(zhí)行認(rèn)證、訪問控制與本地威脅檢測(cè)；與車輛通信使用加密信道。

V2X 安全通信

結(jié)合IEEE 1609.2 標(biāo)準(zhǔn)實(shí)現(xiàn)加密簽名與消息完整性驗(yàn)證。

OTA 與遠(yuǎn)程維護(hù)

邊緣計(jì)算平臺(tái)提供簽名驗(yàn)證、增量更新與日志審計(jì)。

車-云-邊協(xié)同安全

統(tǒng)一安全策略、跨域身份認(rèn)證、分布式事件響應(yīng)機(jī)制。

隱私與合規(guī)

車端及邊緣節(jié)點(diǎn)數(shù)據(jù)處理須符合GDPR/PIPL 隱私要求。

三、中國(guó)國(guó)家標(biāo)準(zhǔn)

中國(guó)的“三法”——《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)安全法》——共同構(gòu)成了邊緣計(jì)算數(shù)據(jù)安全的監(jiān)管框架。這些法律對(duì)數(shù)據(jù)分類分級(jí)保護(hù)、重要數(shù)據(jù)的本地化存儲(chǔ)以及跨境數(shù)據(jù)傳輸?shù)陌踩u(píng)估提出了明確要求。根據(jù)規(guī)定，處理海量個(gè)人信息或敏感個(gè)人信息的組織在向境外傳輸數(shù)據(jù)時(shí)，可能需要通過政府主導(dǎo)的安全評(píng)估。對(duì)于工業(yè)互聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域，重要數(shù)據(jù)的本地化和加密保護(hù)被視為保障國(guó)家安全、國(guó)計(jì)民生的關(guān)鍵。

• 信息安全技術(shù)國(guó)家標(biāo)準(zhǔn)（如GB/T 35273-2020 個(gè)人信息安全規(guī)范）

GB/T 35273-2020《信息安全技術(shù)——個(gè)人信息安全規(guī)范》，該標(biāo)準(zhǔn)由國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2020年修訂發(fā)布。該標(biāo)準(zhǔn)以“個(gè)人信息全生命周期管理”為核心，建立了一個(gè)由管理層、技術(shù)層、運(yùn)營(yíng)層組成的安全保護(hù)架構(gòu)，并明確提出“收集→存儲(chǔ)→使用→共享→轉(zhuǎn)讓→公開披露→刪除”等個(gè)人信息處理活動(dòng)中應(yīng)遵循的原則和安全要求，各階段均需執(zhí)行差異化安全控制，確保合規(guī)與可追溯。

GB/T 35273-2020作為中國(guó)個(gè)人信息安全保護(hù)的基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，不僅是《個(gè)人信息保護(hù)法》（PIPL）的技術(shù)支撐文件，也是企業(yè)建設(shè)隱私保護(hù)、數(shù)據(jù)合規(guī)與安全治理體系的重要依據(jù)。

在邊緣計(jì)算、智能網(wǎng)聯(lián)與能源物聯(lián)網(wǎng)場(chǎng)景中，其核心價(jià)值體現(xiàn)在：

• 將個(gè)人信息保護(hù)理念嵌入數(shù)據(jù)全生命周期；

• 推動(dòng)邊緣計(jì)算與云協(xié)同的隱私保護(hù)架構(gòu)建設(shè)；

• 形成與國(guó)際標(biāo)準(zhǔn)（ISO/IEC 29100、GDPR、NIST Privacy Framework）接軌的本地化合規(guī)框架；

• 為人工智能、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域提供技術(shù)與政策雙重支撐。

應(yīng)用場(chǎng)景

安全實(shí)踐

智慧城市/視頻邊緣分析

采用本地化數(shù)據(jù)處理與人臉匿名化機(jī)制，減少敏感數(shù)據(jù)傳輸

車聯(lián)網(wǎng)（V2X）

車輛與邊緣節(jié)點(diǎn)數(shù)據(jù)交互需獲得用戶授權(quán)，并進(jìn)行脫敏處理

工業(yè)邊緣節(jié)點(diǎn)

邊緣側(cè)實(shí)現(xiàn)數(shù)據(jù)最小化與訪問控制，保障生產(chǎn)數(shù)據(jù)隱私

醫(yī)療健康邊緣平臺(tái)

采用本地AI推理與隱私計(jì)算，防止患者信息外泄

• 網(wǎng)絡(luò)安全等級(jí)保護(hù)（等保2.0, GB/T 22239-2019）

在我國(guó)，網(wǎng)絡(luò)安全采用等級(jí)保護(hù)制度。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0（簡(jiǎn)稱“等保2.0”）是我國(guó)網(wǎng)絡(luò)安全治理的基礎(chǔ)性制度和標(biāo)準(zhǔn)框架，與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》共同構(gòu)成國(guó)家網(wǎng)絡(luò)安全的法律與技術(shù)底座。等保2.0采用縱深防御、多層分域的安全架構(gòu)體系，以“安全管理體系+技術(shù)防護(hù)體系+運(yùn)行維護(hù)體系”為核心框架。

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》是“等保2.0”的核心標(biāo)準(zhǔn)，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)與公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合發(fā)布，自2019年12月1日正式實(shí)施，替代原2008版標(biāo)準(zhǔn)。

在邊緣計(jì)算與新型數(shù)字基礎(chǔ)設(shè)施中具有以下戰(zhàn)略意義：

• 建立了統(tǒng)一的安全等級(jí)劃分與測(cè)評(píng)體系；

• 強(qiáng)化了從物理到數(shù)據(jù)的縱深防御與全生命周期安全管理；

• 推動(dòng)了云-邊-端一體化安全能力建設(shè)與運(yùn)營(yíng)中心協(xié)同；

• 為政府、金融、能源、交通、制造等關(guān)鍵行業(yè)的數(shù)字化轉(zhuǎn)型提供合規(guī)與安全雙重保障。

邊緣計(jì)算、智能制造、車聯(lián)網(wǎng)等分布式環(huán)境中，邊緣網(wǎng)絡(luò)（Edge/MEC）平臺(tái)一般要求達(dá)到三級(jí)及以上防護(hù)等級(jí)。“等保2.0”的落地需考慮以下重點(diǎn)。

控制維度

實(shí)施措施

多域安全架構(gòu)

在云－邊-端之間建立安全域邊界與可信通信通道

身份與訪問控制

MEC節(jié)點(diǎn)、終端設(shè)備及應(yīng)用服務(wù)采用統(tǒng)一身份認(rèn)證（IAM）與密鑰管理

安全日志與態(tài)勢(shì)感知

邊緣節(jié)點(diǎn)日志與中央SOC同步，實(shí)現(xiàn)分布式監(jiān)測(cè)與事件追蹤

數(shù)據(jù)安全與隱私保護(hù)

采用數(shù)據(jù)最小化、脫敏與加密策略，結(jié)合GB/T 35273 規(guī)范

合規(guī)審計(jì)與等級(jí)測(cè)評(píng)

定期開展等保測(cè)評(píng)與漏洞掃描，建立持續(xù)改進(jìn)機(jī)制

• 《邊緣計(jì)算安全技術(shù)規(guī)范》GB/T 39460-2020

GB/T 39460-2020《信息安全技術(shù) 邊緣計(jì)算安全技術(shù)規(guī)范》由國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布，于2021年4月1日正式實(shí)施，是我國(guó)首部系統(tǒng)化指導(dǎo)邊緣計(jì)算環(huán)境安全防護(hù)的國(guó)家標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）組織制定，旨在為邊緣計(jì)算（如工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)與智能交通系統(tǒng)、智慧城市與公共服務(wù)、移動(dòng)通信與MEC架構(gòu)、能源與電力系統(tǒng)等）系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維提供安全技術(shù)要求與參考框架，保障數(shù)據(jù)、計(jì)算、傳輸及服務(wù) 在靠近數(shù)據(jù)源的分布式架構(gòu)下的安全可信運(yùn)行。

標(biāo)準(zhǔn)適用于邊緣計(jì)算的系統(tǒng)設(shè)計(jì)方、運(yùn)營(yíng)維護(hù)方、服務(wù)提供商及安全評(píng)測(cè)機(jī)構(gòu)，可作為等保2.0、ISO/IEC 27001、IEC 62443等體系的技術(shù)支撐標(biāo)準(zhǔn)。

GB/T 39460-2020構(gòu)建了“多層分域、縱深防御、協(xié)同可信”的邊緣計(jì)算安全架構(gòu)，涵蓋設(shè)備層、網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層四個(gè)安全防護(hù)層面。

層級(jí)

主要對(duì)象

安全防護(hù)重點(diǎn)

設(shè)備層

邊緣節(jié)點(diǎn)、傳感器、終端設(shè)備

硬件可信、身份認(rèn)證、安全啟動(dòng)、防篡改

網(wǎng)絡(luò)層

接入網(wǎng)、傳輸網(wǎng)、MEC連接

網(wǎng)絡(luò)隔離、加密傳輸、零信任訪問控制

平臺(tái)層

邊緣計(jì)算管理平臺(tái)、虛擬化環(huán)境

虛擬化安全、資源隔離、安全容器管理

應(yīng)用層

邊緣服務(wù)、AI推理、業(yè)務(wù)邏輯

接口安全、數(shù)據(jù)保護(hù)、訪問控制與審計(jì)

標(biāo)準(zhǔn)明確了邊緣計(jì)算安全的六項(xiàng)原則：可信與可驗(yàn)證、分域隔離、最小化與精細(xì)化、協(xié)助防御、隱私保護(hù)、全生命周期管理。提出了：身份與訪問控制、通信與網(wǎng)絡(luò)安全、數(shù)據(jù)安全與隱私保護(hù)、虛擬化與平臺(tái)安全、安全管理與監(jiān)控五大安全控制域。重點(diǎn)關(guān)注邊緣節(jié)點(diǎn)的安全可信、隔離與管控能力。

• 《邊緣計(jì)算安全技術(shù)要求》GB/T 42564-2023

GB/T 42564-2023《信息安全技術(shù) 邊緣計(jì)算安全技術(shù)要求》由國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布，2023年12月1日正式實(shí)施。

該標(biāo)準(zhǔn)延續(xù)了GB/T 39460-2020的設(shè)計(jì)理念，針對(duì)邊緣計(jì)算在5G、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)與智能交通路側(cè)單元（RSU）、分布式能源與智慧電網(wǎng)、AI邊緣推理與隱私計(jì)算等新型基礎(chǔ)設(shè)施中的快速部署，提出了可操作、可測(cè)評(píng)、可驗(yàn)證的安全控制要求體系，重點(diǎn)解決分布式計(jì)算環(huán)境下的身份可信、數(shù)據(jù)安全、網(wǎng)絡(luò)防護(hù)、平臺(tái)隔離、隱私保護(hù)等問題。

相比GB/T 39460-2020，GB/T 42564-2023將GB/T 39460-2020的四層架構(gòu)擴(kuò)展為五層，增加了“安全管理與運(yùn)維層”。在控制項(xiàng)上引入了零信任、隱私計(jì)算、供應(yīng)鏈安全、持續(xù)運(yùn)營(yíng)等新型安全機(jī)制，覆蓋更完整的邊緣安全生命周期。GB/T 42564-2023標(biāo)準(zhǔn)的發(fā)布，標(biāo)志著中國(guó)邊緣安全標(biāo)準(zhǔn)體系已從框架構(gòu)建階段進(jìn)入到可執(zhí)行落地階段。

四、總結(jié)：邊緣網(wǎng)絡(luò)訪問的安全合規(guī)性要求

當(dāng)前，邊緣網(wǎng)絡(luò)面臨終端接入多元、網(wǎng)絡(luò)邊界模糊、跨域數(shù)據(jù)流轉(zhuǎn)頻繁等特性，對(duì)安全合規(guī)提出了更高要求。尤其是數(shù)據(jù)安全與隱私保護(hù)、訪問控制與身份認(rèn)證、網(wǎng)絡(luò)與通信安全、運(yùn)維與審計(jì)合規(guī)，已成為邊緣網(wǎng)絡(luò)合規(guī)建設(shè)的核心發(fā)力點(diǎn)。

以下基于相關(guān)標(biāo)準(zhǔn)要求，從上述四個(gè)維度拆解合規(guī)的具體要求項(xiàng)，希望可以為企業(yè)搭建合規(guī)、安全、可控的邊緣網(wǎng)絡(luò)訪問體系提供實(shí)踐參考。

安全類別

具體要求項(xiàng)

詳細(xì)說明

數(shù)據(jù)安全與隱私合規(guī)

數(shù)據(jù)分類與分級(jí)管理

依據(jù)敏感性對(duì)數(shù)據(jù)進(jìn)行分類，區(qū)分公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)及敏感數(shù)據(jù)。

隱私保護(hù)

遵循《個(gè)人信息保護(hù)法（PIPL）》和 GDPR 要求，實(shí)現(xiàn)數(shù)據(jù)最小化、匿名化和可追蹤管理。

跨域數(shù)據(jù)傳輸合規(guī)

確保邊緣節(jié)點(diǎn)與云端及其他網(wǎng)絡(luò)域的數(shù)據(jù)傳輸符合加密和訪問控制要求。

訪問控制與身份認(rèn)證

多因素身份認(rèn)證

對(duì)邊緣節(jié)點(diǎn)管理平臺(tái)及關(guān)鍵操作實(shí)施強(qiáng)認(rèn)證機(jī)制。

最小權(quán)限原則

邊緣節(jié)點(diǎn)與用戶僅擁有執(zhí)行任務(wù)所需的最少權(quán)限，防止橫向滲透。

動(dòng)態(tài)訪問控制

針對(duì)不同網(wǎng)絡(luò)環(huán)境和節(jié)點(diǎn)狀態(tài)，動(dòng)態(tài)調(diào)整訪問策略，實(shí)現(xiàn)自適應(yīng)防護(hù)。

網(wǎng)絡(luò)與通信安全

端到端加密

保證數(shù)據(jù)在邊緣節(jié)點(diǎn)、網(wǎng)關(guān)及云端傳輸過程中的機(jī)密性。

安全隔離機(jī)制

虛擬化容器、虛擬網(wǎng)絡(luò)和分區(qū)隔離減少潛在攻擊面。

入侵檢測(cè)與防護(hù)

部署邊緣入侵檢測(cè)系統(tǒng)（EIDS）和異常行為監(jiān)測(cè)，提高威脅響應(yīng)能力。

運(yùn)維與審計(jì)合規(guī)

安全補(bǔ)丁管理

及時(shí)更新邊緣設(shè)備和節(jié)點(diǎn)的操作系統(tǒng)、固件及應(yīng)用程序。

審計(jì)日志與可追溯性

記錄節(jié)點(diǎn)操作、數(shù)據(jù)訪問和系統(tǒng)事件，支持安全事件分析和合規(guī)檢查。

事件響應(yīng)與恢復(fù)

建立邊緣網(wǎng)絡(luò)安全事件響應(yīng)機(jī)制和災(zāi)備恢復(fù)方案，確保業(yè)務(wù)連續(xù)性。