隨著物聯(lián)網(wǎng)（IoT）、工業(yè)互聯(lián)網(wǎng)、智能制造及5G/6G網(wǎng)絡(luò)的快速發(fā)展，邊緣網(wǎng)絡(luò)作為數(shù)據(jù)生成、傳輸和處理的重要環(huán)節(jié)，其安全性日益受到關(guān)注。邊緣網(wǎng)絡(luò)因其節(jié)點分布廣泛、資源受限、設(shè)備異構(gòu)及跨域交互頻繁的特性，面臨傳統(tǒng)網(wǎng)絡(luò)難以應(yīng)對的安全挑戰(zhàn)。為保障邊緣計算環(huán)境的安全性，國際和國內(nèi)標準化組織都提出一系列安全標準和合規(guī)性要求，以規(guī)范設(shè)備管理、數(shù)據(jù)保護、身份認證和風(fēng)險防控等關(guān)鍵環(huán)節(jié)。

但邊緣網(wǎng)絡(luò)應(yīng)用場景橫跨多行業(yè)、覆蓋范圍廣泛，單一標準難以適配所有場景。目前該領(lǐng)域全球普遍采用“國際通用標準+國家標準+行業(yè)標準”三級協(xié)同規(guī)范體系，對行業(yè)進行規(guī)范。國際通用標準通常由各國家標準機構(gòu)共同參與制定，屬于行業(yè)共識性標準，以自愿采用為主；國家標準側(cè)重頂層框架與通用合規(guī)要求，為行業(yè)實踐劃定底線；行業(yè)標準則聚焦具體落地場景提供實施細則，相比前兩類標準更具針對性和執(zhí)行力。

安全牛在最新發(fā)布的報告中，從國際標準、行業(yè)標準及國家標準三方面對其進行了具體分析。

【掃碼獲取完整報告】

一、國際標準

邊緣網(wǎng)絡(luò)安全領(lǐng)域，國際上有影響力的標準有：信息安全管理體系ISO/IEC27001、歐盟MEC安全標準、美國NIST SP800。

• ISO/IEC 27001信息安全管理體系（ISMS）

ISO/IEC 27001是國際公認的信息安全管理體系標準，采用PDCA循環(huán)（Plan-Do-Check-Act） 方法論，形成持續(xù)改進的信息安全管理體系。其核心原則是保護信息的機密性、完整性和可用性（CIA三原則），同時滿足法律法規(guī)和合同的合規(guī)要求。適用于各種規(guī)模的組織，包括邊緣計算環(huán)境中的企業(yè)和運營商。

ISO/IEC 27001為邊緣網(wǎng)絡(luò)提供了系統(tǒng)化的信息安全管理框架，涵蓋安全架構(gòu)、核心原則和具體控制措施。通過風(fēng)險管理、分層控制和持續(xù)改進，企業(yè)能夠在分布式、異構(gòu)和多租戶的邊緣網(wǎng)絡(luò)環(huán)境中，實現(xiàn)信息安全和合規(guī)保障。

• 歐盟MEC安全標準

ETSI MEC（Multi-access Edge Computing）是由歐洲電信標準化協(xié)會（ETSI）制定的專注于移動與多接入邊緣計算（MEC）架構(gòu)標準，其目標是在移動網(wǎng)絡(luò)和固定網(wǎng)絡(luò)的邊緣提供低延遲、高帶寬和上下文感知的計算服務(wù)。

隨著邊緣計算節(jié)點逐漸成為關(guān)鍵基礎(chǔ)設(shè)施，ETSI MEC標準中明確了安全和隱私保護要求，以確保邊緣服務(wù)和數(shù)據(jù)的可信性與可用性。其核心原則包括：最小權(quán)限原則、分層防護、可信執(zhí)行環(huán)境、端到端安全。

• 美國NIST SP 800系列

美國國家標準與技術(shù)研究院NIST發(fā)布的SP 800系列標準是信息安全領(lǐng)域的重要指導(dǎo)文檔，涵蓋風(fēng)險管理、信息系統(tǒng)安全控制、網(wǎng)絡(luò)防護、密碼學(xué)、事件響應(yīng)等多個方面。

其安全架構(gòu)核心在于風(fēng)險管理和控制措施的系統(tǒng)化實施，特別適用于分布式、異構(gòu)的邊緣網(wǎng)絡(luò)環(huán)境。該系列主要由風(fēng)險管理框架（RMF, NIST SP 800-37）、安全控制體系（SP 800-53）、容器與應(yīng)用安全參考（SP 800-190）等標準組成。其在邊緣網(wǎng)絡(luò)安全中強調(diào)的核心原則，包括：風(fēng)險驅(qū)動、最小權(quán)限原則、端到端防護、可擴展性與適應(yīng)性。

二、行業(yè)標準

從行業(yè)來看，行業(yè)標準主要涵蓋邊緣計算、物聯(lián)網(wǎng)、5G/6G移動通信、智能制造和車聯(lián)網(wǎng)等應(yīng)用場景。它們通常由國際標準化組織、行業(yè)聯(lián)盟或運營商協(xié)會發(fā)布，旨在規(guī)范邊緣節(jié)點安全、數(shù)據(jù)保護、身份認證、網(wǎng)絡(luò)通信和運維管理。

• 工業(yè)互聯(lián)網(wǎng)與邊緣計算標準

工業(yè)互聯(lián)網(wǎng)領(lǐng)域，主要參考標準是IIC安全框架和IEC62443系列。

IIC（Industrial Internet Consortium，工業(yè)互聯(lián)網(wǎng)聯(lián)盟）是工業(yè)互聯(lián)網(wǎng)領(lǐng)域具有全球影響力的國際會員組織。工業(yè)互聯(lián)網(wǎng)安全框架（Industrial Internet Security Framework，IISF）是該組織提出的應(yīng)對工業(yè)控制系統(tǒng)（ICS/OT）網(wǎng)絡(luò)攻擊風(fēng)險的跨行業(yè)基礎(chǔ)性安全指南，核心是為工業(yè)互聯(lián)網(wǎng)（IIoT）系統(tǒng)構(gòu)建“可信、安全、 resilient”的運行環(huán)境。其安全框架采用分層架構(gòu)+生命周期管理的理念，覆蓋從設(shè)備層、網(wǎng)絡(luò)層、應(yīng)用層到管理層的全生命周期安全，通過分層防護、最小權(quán)限、設(shè)備可信性、風(fēng)險驅(qū)動和持續(xù)監(jiān)控等核心原則，實現(xiàn)邊緣網(wǎng)絡(luò)的安全防護與合規(guī)管理，為工業(yè)互聯(lián)網(wǎng)和智能制造提供可靠保障。適用于智能制造、工業(yè)控制系統(tǒng)（ICS）、能源系統(tǒng)及車聯(lián)網(wǎng)等場景。

IEC 62443是由國際電工委員會（IEC）發(fā)布的工業(yè)控制系統(tǒng)（ICS）和工業(yè)自動化系統(tǒng)（IAS）網(wǎng)絡(luò)安全標準系列，旨在為工業(yè)網(wǎng)絡(luò)和邊緣計算環(huán)境提供系統(tǒng)化、可量化的安全管理和防護措施。標準通過分層防護、安全分區(qū)、生命周期管理和風(fēng)險驅(qū)動原則，結(jié)合訪問控制、網(wǎng)絡(luò)防護、數(shù)據(jù)保護、事件響應(yīng)和供應(yīng)鏈安全的具體要求，企業(yè)能夠?qū)崿F(xiàn)工業(yè)邊緣節(jié)點的安全保障和合規(guī)運營。廣泛適用于智能制造、工業(yè)物聯(lián)網(wǎng)（IIoT）、邊緣計算節(jié)點、SCADA系統(tǒng)及工廠自動化控制環(huán)境。

• 通信與網(wǎng)絡(luò)邊緣標準（5G安全規(guī)范）

3GPP TS 33系列是第三代合作伙伴計劃（3rd Generation Partnership Project, 3GPP）發(fā)布的移動通信系統(tǒng)安全技術(shù)規(guī)范，覆蓋從LTE、5G到即將演進的6G網(wǎng)絡(luò)安全。通過定義端到端加密、身份保護、網(wǎng)絡(luò)切片隔離與邊緣節(jié)點信任機制，為5G與MEC架構(gòu)下的邊緣網(wǎng)絡(luò)提供系統(tǒng)化安全保障。

其中，TS 33.501是5G系統(tǒng)安全的核心標準文件，定義了5G系統(tǒng)的總體安全架構(gòu)、關(guān)鍵安全功能、加密與認證機制，以及多接入邊緣計算（MEC）環(huán)境下的安全增強要求。

• 智能制造與車聯(lián)網(wǎng)標準

智能制造與車聯(lián)網(wǎng)領(lǐng)域的重要參考標準，分別是ISO 27019 、ISO/SAE 21434。

ISO/IEC 27019:2017《信息安全管理在能源系統(tǒng)中的應(yīng)用Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry》是針對能源公用事業(yè)行業(yè)（如發(fā)電、輸電、配電及智能電網(wǎng)）的信息安全管理國際標準，屬于ISO/IEC 27000系列（ISMS）的行業(yè)擴展標準。

ISO/IEC 27019是能源行業(yè)中最具代表性的網(wǎng)絡(luò)安全管理標準，結(jié)合工業(yè)控制系統(tǒng)（ICS）與操作技術(shù)（OT）特性，定義了能源系統(tǒng)的安全控制要求與實施指南，實現(xiàn)了從IT安全到OT控制、再到邊緣節(jié)點的全面覆蓋。適用于發(fā)電廠、輸電系統(tǒng)、配電網(wǎng)、智能變電站、儲能設(shè)施，以及能源邊緣節(jié)點（Energy Edge）。在智能電網(wǎng)+邊緣計算場景中，ISO/IEC 27019與ETSI MEC、IEC 62443等標準形成互補，共同構(gòu)建“能量邊緣安全協(xié)同體系”。

ISO/SAE 21434:2021《道路車輛–網(wǎng)絡(luò)安全工程Road Vehicles–Cybersecurity Engineering》是由國際標準化組織（ISO）與美國汽車工程師學(xué)會（SAE）聯(lián)合發(fā)布的汽車網(wǎng)絡(luò)安全國際標準，用于指導(dǎo)從車輛設(shè)計、開發(fā)、生產(chǎn)到運營維護全過程的網(wǎng)絡(luò)安全活動。該標準是UN R155（聯(lián)合國車輛網(wǎng)絡(luò)安全法規(guī)）的技術(shù)支撐文件，旨在為汽車制造商（OEM）、供應(yīng)商（Tier1/Tier2）和數(shù)字服務(wù)提供商提供統(tǒng)一的安全工程框架。

在智能網(wǎng)聯(lián)汽車（CAV, Connected and Autonomous Vehicles）與邊緣計算環(huán)境（V2X Edge, RSU, MEC）中，ISO/SAE 21434為汽車與車聯(lián)網(wǎng)安全提供了全生命周期、風(fēng)險驅(qū)動、標準化工程體系，是“車輛–邊緣節(jié)點–云平臺”協(xié)同安全體系的重要基礎(chǔ)標準。

ISO/SAE 21434在車聯(lián)網(wǎng)邊緣計算架構(gòu)中具有以下重要作用：

場景

應(yīng)用說明

路側(cè)邊緣節(jié)點（RSU/MEC）安全

邊緣節(jié)點需執(zhí)行認證、訪問控制與本地威脅檢測；與車輛通信使用加密信道。

V2X 安全通信

結(jié)合IEEE 1609.2 標準實現(xiàn)加密簽名與消息完整性驗證。

OTA 與遠程維護

邊緣計算平臺提供簽名驗證、增量更新與日志審計。

車-云-邊協(xié)同安全

統(tǒng)一安全策略、跨域身份認證、分布式事件響應(yīng)機制。

隱私與合規(guī)

車端及邊緣節(jié)點數(shù)據(jù)處理須符合GDPR/PIPL 隱私要求。

三、中國國家標準

中國的“三法”——《數(shù)據(jù)安全法》《個人信息保護法》和《網(wǎng)絡(luò)安全法》——共同構(gòu)成了邊緣計算數(shù)據(jù)安全的監(jiān)管框架。這些法律對數(shù)據(jù)分類分級保護、重要數(shù)據(jù)的本地化存儲以及跨境數(shù)據(jù)傳輸?shù)陌踩u估提出了明確要求。根據(jù)規(guī)定，處理海量個人信息或敏感個人信息的組織在向境外傳輸數(shù)據(jù)時，可能需要通過政府主導(dǎo)的安全評估。對于工業(yè)互聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域，重要數(shù)據(jù)的本地化和加密保護被視為保障國家安全、國計民生的關(guān)鍵。

• 信息安全技術(shù)國家標準（如GB/T 35273-2020 個人信息安全規(guī)范）

GB/T 35273-2020《信息安全技術(shù)——個人信息安全規(guī)范》，該標準由國家市場監(jiān)督管理總局、國家標準化管理委員會于2020年修訂發(fā)布。該標準以“個人信息全生命周期管理”為核心，建立了一個由管理層、技術(shù)層、運營層組成的安全保護架構(gòu)，并明確提出“收集→存儲→使用→共享→轉(zhuǎn)讓→公開披露→刪除”等個人信息處理活動中應(yīng)遵循的原則和安全要求，各階段均需執(zhí)行差異化安全控制，確保合規(guī)與可追溯。

GB/T 35273-2020作為中國個人信息安全保護的基礎(chǔ)技術(shù)標準，不僅是《個人信息保護法》（PIPL）的技術(shù)支撐文件，也是企業(yè)建設(shè)隱私保護、數(shù)據(jù)合規(guī)與安全治理體系的重要依據(jù)。

在邊緣計算、智能網(wǎng)聯(lián)與能源物聯(lián)網(wǎng)場景中，其核心價值體現(xiàn)在：

• 將個人信息保護理念嵌入數(shù)據(jù)全生命周期；

• 推動邊緣計算與云協(xié)同的隱私保護架構(gòu)建設(shè)；

• 形成與國際標準（ISO/IEC 29100、GDPR、NIST Privacy Framework）接軌的本地化合規(guī)框架；

• 為人工智能、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域提供技術(shù)與政策雙重支撐。

應(yīng)用場景

安全實踐

智慧城市/視頻邊緣分析

采用本地化數(shù)據(jù)處理與人臉匿名化機制，減少敏感數(shù)據(jù)傳輸

車聯(lián)網(wǎng)（V2X）

車輛與邊緣節(jié)點數(shù)據(jù)交互需獲得用戶授權(quán)，并進行脫敏處理

工業(yè)邊緣節(jié)點

邊緣側(cè)實現(xiàn)數(shù)據(jù)最小化與訪問控制，保障生產(chǎn)數(shù)據(jù)隱私

醫(yī)療健康邊緣平臺

采用本地AI推理與隱私計算，防止患者信息外泄

• 網(wǎng)絡(luò)安全等級保護（等保2.0, GB/T 22239-2019）

在我國，網(wǎng)絡(luò)安全采用等級保護制度。網(wǎng)絡(luò)安全等級保護制度2.0（簡稱“等保2.0”）是我國網(wǎng)絡(luò)安全治理的基礎(chǔ)性制度和標準框架，與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》共同構(gòu)成國家網(wǎng)絡(luò)安全的法律與技術(shù)底座。等保2.0采用縱深防御、多層分域的安全架構(gòu)體系，以“安全管理體系+技術(shù)防護體系+運行維護體系”為核心框架。

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》是“等保2.0”的核心標準，由國家標準化管理委員會與公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合發(fā)布，自2019年12月1日正式實施，替代原2008版標準。

在邊緣計算與新型數(shù)字基礎(chǔ)設(shè)施中具有以下戰(zhàn)略意義：

• 建立了統(tǒng)一的安全等級劃分與測評體系；

• 強化了從物理到數(shù)據(jù)的縱深防御與全生命周期安全管理；

• 推動了云-邊-端一體化安全能力建設(shè)與運營中心協(xié)同；

• 為政府、金融、能源、交通、制造等關(guān)鍵行業(yè)的數(shù)字化轉(zhuǎn)型提供合規(guī)與安全雙重保障。

邊緣計算、智能制造、車聯(lián)網(wǎng)等分布式環(huán)境中，邊緣網(wǎng)絡(luò)（Edge/MEC）平臺一般要求達到三級及以上防護等級。“等保2.0”的落地需考慮以下重點。

控制維度

實施措施

多域安全架構(gòu)

在云－邊-端之間建立安全域邊界與可信通信通道

身份與訪問控制

MEC節(jié)點、終端設(shè)備及應(yīng)用服務(wù)采用統(tǒng)一身份認證（IAM）與密鑰管理

安全日志與態(tài)勢感知

邊緣節(jié)點日志與中央SOC同步，實現(xiàn)分布式監(jiān)測與事件追蹤

數(shù)據(jù)安全與隱私保護

采用數(shù)據(jù)最小化、脫敏與加密策略，結(jié)合GB/T 35273 規(guī)范

合規(guī)審計與等級測評

定期開展等保測評與漏洞掃描，建立持續(xù)改進機制

• 《邊緣計算安全技術(shù)規(guī)范》GB/T 39460-2020

GB/T 39460-2020《信息安全技術(shù) 邊緣計算安全技術(shù)規(guī)范》由國家市場監(jiān)督管理總局和國家標準化管理委員會發(fā)布，于2021年4月1日正式實施，是我國首部系統(tǒng)化指導(dǎo)邊緣計算環(huán)境安全防護的國家標準。該標準由全國信息安全標準化技術(shù)委員會（TC260）組織制定，旨在為邊緣計算（如工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)與智能交通系統(tǒng)、智慧城市與公共服務(wù)、移動通信與MEC架構(gòu)、能源與電力系統(tǒng)等）系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)、運維提供安全技術(shù)要求與參考框架，保障數(shù)據(jù)、計算、傳輸及服務(wù) 在靠近數(shù)據(jù)源的分布式架構(gòu)下的安全可信運行。

標準適用于邊緣計算的系統(tǒng)設(shè)計方、運營維護方、服務(wù)提供商及安全評測機構(gòu)，可作為等保2.0、ISO/IEC 27001、IEC 62443等體系的技術(shù)支撐標準。

GB/T 39460-2020構(gòu)建了“多層分域、縱深防御、協(xié)同可信”的邊緣計算安全架構(gòu)，涵蓋設(shè)備層、網(wǎng)絡(luò)層、平臺層、應(yīng)用層四個安全防護層面。

層級

主要對象

安全防護重點

設(shè)備層

邊緣節(jié)點、傳感器、終端設(shè)備

硬件可信、身份認證、安全啟動、防篡改

網(wǎng)絡(luò)層

接入網(wǎng)、傳輸網(wǎng)、MEC連接

網(wǎng)絡(luò)隔離、加密傳輸、零信任訪問控制

平臺層

邊緣計算管理平臺、虛擬化環(huán)境

虛擬化安全、資源隔離、安全容器管理

應(yīng)用層

邊緣服務(wù)、AI推理、業(yè)務(wù)邏輯

接口安全、數(shù)據(jù)保護、訪問控制與審計

標準明確了邊緣計算安全的六項原則：可信與可驗證、分域隔離、最小化與精細化、協(xié)助防御、隱私保護、全生命周期管理。提出了：身份與訪問控制、通信與網(wǎng)絡(luò)安全、數(shù)據(jù)安全與隱私保護、虛擬化與平臺安全、安全管理與監(jiān)控五大安全控制域。重點關(guān)注邊緣節(jié)點的安全可信、隔離與管控能力。

• 《邊緣計算安全技術(shù)要求》GB/T 42564-2023

GB/T 42564-2023《信息安全技術(shù) 邊緣計算安全技術(shù)要求》由國家市場監(jiān)督管理總局和國家標準化管理委員會發(fā)布，2023年12月1日正式實施。

該標準延續(xù)了GB/T 39460-2020的設(shè)計理念，針對邊緣計算在5G、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)與智能交通路側(cè)單元（RSU）、分布式能源與智慧電網(wǎng)、AI邊緣推理與隱私計算等新型基礎(chǔ)設(shè)施中的快速部署，提出了可操作、可測評、可驗證的安全控制要求體系，重點解決分布式計算環(huán)境下的身份可信、數(shù)據(jù)安全、網(wǎng)絡(luò)防護、平臺隔離、隱私保護等問題。

相比GB/T 39460-2020，GB/T 42564-2023將GB/T 39460-2020的四層架構(gòu)擴展為五層，增加了“安全管理與運維層”。在控制項上引入了零信任、隱私計算、供應(yīng)鏈安全、持續(xù)運營等新型安全機制，覆蓋更完整的邊緣安全生命周期。GB/T 42564-2023標準的發(fā)布，標志著中國邊緣安全標準體系已從框架構(gòu)建階段進入到可執(zhí)行落地階段。

四、總結(jié)：邊緣網(wǎng)絡(luò)訪問的安全合規(guī)性要求

當前，邊緣網(wǎng)絡(luò)面臨終端接入多元、網(wǎng)絡(luò)邊界模糊、跨域數(shù)據(jù)流轉(zhuǎn)頻繁等特性，對安全合規(guī)提出了更高要求。尤其是數(shù)據(jù)安全與隱私保護、訪問控制與身份認證、網(wǎng)絡(luò)與通信安全、運維與審計合規(guī)，已成為邊緣網(wǎng)絡(luò)合規(guī)建設(shè)的核心發(fā)力點。

以下基于相關(guān)標準要求，從上述四個維度拆解合規(guī)的具體要求項，希望可以為企業(yè)搭建合規(guī)、安全、可控的邊緣網(wǎng)絡(luò)訪問體系提供實踐參考。

安全類別

具體要求項

詳細說明

數(shù)據(jù)安全與隱私合規(guī)

數(shù)據(jù)分類與分級管理

依據(jù)敏感性對數(shù)據(jù)進行分類，區(qū)分公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)及敏感數(shù)據(jù)。

隱私保護

遵循《個人信息保護法（PIPL）》和 GDPR 要求，實現(xiàn)數(shù)據(jù)最小化、匿名化和可追蹤管理。

跨域數(shù)據(jù)傳輸合規(guī)

確保邊緣節(jié)點與云端及其他網(wǎng)絡(luò)域的數(shù)據(jù)傳輸符合加密和訪問控制要求。

訪問控制與身份認證

多因素身份認證

對邊緣節(jié)點管理平臺及關(guān)鍵操作實施強認證機制。

最小權(quán)限原則

邊緣節(jié)點與用戶僅擁有執(zhí)行任務(wù)所需的最少權(quán)限，防止橫向滲透。

動態(tài)訪問控制

針對不同網(wǎng)絡(luò)環(huán)境和節(jié)點狀態(tài)，動態(tài)調(diào)整訪問策略，實現(xiàn)自適應(yīng)防護。

網(wǎng)絡(luò)與通信安全

端到端加密

保證數(shù)據(jù)在邊緣節(jié)點、網(wǎng)關(guān)及云端傳輸過程中的機密性。

安全隔離機制

虛擬化容器、虛擬網(wǎng)絡(luò)和分區(qū)隔離減少潛在攻擊面。

入侵檢測與防護

部署邊緣入侵檢測系統(tǒng)（EIDS）和異常行為監(jiān)測，提高威脅響應(yīng)能力。

運維與審計合規(guī)

安全補丁管理

及時更新邊緣設(shè)備和節(jié)點的操作系統(tǒng)、固件及應(yīng)用程序。

審計日志與可追溯性

記錄節(jié)點操作、數(shù)據(jù)訪問和系統(tǒng)事件，支持安全事件分析和合規(guī)檢查。

事件響應(yīng)與恢復(fù)

建立邊緣網(wǎng)絡(luò)安全事件響應(yīng)機制和災(zāi)備恢復(fù)方案，確保業(yè)務(wù)連續(xù)性。