为了保护关键基础设施,加强信息安全,提高运营弹性并满足法规合规性,公用事业公司必须提高其网络安全水平,以遵守“北美电力可靠性公司”(NERC)的合规性。为了在公用事业公司推广和实施安全标准,一个自愿组织“北美电力可靠性公司”(NERC)于1968年6月1日成立。
NERC及其资产配置
NERC关键基础设施保护标准,即NERC CIP,是一个监管机构,确保关键基础设施的适当安全控制和严格的标准,以保护有益的电气化(BES)及其用户和客户,CIP标准提供了一个网络安全框架,以识别和保护可能影响北美BES高效可靠电力供应的关键资产。
NERC可靠性标准可以监测和保护以下公用事业生态系统
大型电气系统 |
至关重要的资产 |
网络资产 |
一代植物 传输站 输电线路 输电塔 |
一代植物 传输站 控制中心 |
监控和数据采集系统(SCADA) 能源管理系统(EMS)分布式控制系统(DCS) |
NERC现行标准及其含义
2003年,美国和加拿大的电网发生了最大规模的东北停电。停电影响了约5000万人,NERC派出技术团队调查停电情况,结果制定了更严格的关键基础设施保护(CIP)标准,以保护北美电网的公用事业系统。
NERC CIP v6是政策指南的最新版本,必须保护关键网络资产,而NERC CIP V5是在CIP 2的基础上设计的,具有很强的安全性,以提高大容量电气系统的可靠性。
CIP第五版标准
物联网、人工智能和RPA等先进技术增加了系统中的大量数据,也增加了暴露网络风险的机会。引入CIP V5以降低网络风险。CIP V5侧重于监控组网和第三方远程接入的访问控制。下面是CIP V5安全标准的适用性。
标准 |
类别 |
目的 |
影响程度 |
cip - 002 - 5 |
BES3网络系统分类 |
识别影响大容量电力系统的所有BES网络系统的过程 系统 |
高、中、低 |
cip - 003 - 5 |
安全管理控制 |
文件化的网络安全政策 |
高、中 |
cip - 004 - 5 |
人事及培训 |
网络安全政策培训内容;物理和电子访问控制,BES网络系统信息及其处理 存储 |
|
cip - 005 - 5 |
电子安全周界 |
策略外部可路由连接, |
高、中 |
cip - 006 - 5 |
BES网络系统的物理安全 |
用于物理安全计划的策略,其中包括适用的指定要求 |
高、中 |
cip - 007 - 5 |
系统安全管理 |
通过指定技术、操作、 程序要求 |
高、中 |
cip - 008 - 5 |
事件报告和响应计划 |
可报告的网络安全事件计划 |
高、中 |
cip - 009 - 5 |
BES网络系统恢复计划 |
用于保护数据并为需要执行BES网络系统恢复的事件的调查提供数据的控制程序 计划 |
高、中 |
CIP第六版标准
恶意软件威胁在供应链中日益增加,2015年7月,FERC发布了拟议规则制定通知(NOPR),修改和更新CIP Version 5标准,涉及低影响BES网络资产、可移动设备、瞬态网络资产和通信网络。提议的V5修改被视为CIP V64..
修改清单
标准 |
类别 |
目的 |
cip - 003 - 6 |
安全管理控制 |
保护BES网络系统 |
cip - 004 - 6 |
人事及培训 |
培训,保护BES网络系统的安全意识 |
cip - 006 - 6 |
BES网络系统的物理安全 |
BES网络系统物理接入管理 |
cip - 007 - 6 |
系统安全管理 |
保护BES网络系统的技术、操作和程序要求 |
cip - 009 - 6 |
BES网络系统恢复计划 |
BES网络系统可靠性功能恢复计划 |
cip - 010 - 2 |
配置变更管理和漏洞评估 |
要求和管理瞬态资产和可移动媒体,保护和检测未经授权的更改 |
cip - 011 - 2 |
信息保护 |
防止未经授权访问BES网络系统 |
除了修改之外,下面是NERC提出的新条款
- 瞬态网络资产和可移动媒体
- 修订的BES网络资产(BCA)
- 受保护网络资产(PCA)
- 可移动媒体
- 瞬态网络资产
- 低影响BES网络系统电子接入点(LEAP)
- 低影响外部路由连接(LERC)
将CIP V5转换为CIP V6的挑战
- 高基础设施成本-为了升级到CIP V6并保持资产评级,公用事业服务提供商必须升级以推进技术、平台和现场设备。
- 对范围扩大的潜在预算影响。
- 从CIP V5到CIP V6的升级要求公用事业包括变更管理过程——人员、过程和技术。
- 针对多技术IT环境在内部部署和云基础设施上实施安全策略
- 简化分散的身份和访问管理智能电网,动态负载控制(DLC)系统。监控和数据采集(SCADA),工业控制系统(ICS);先进的计量基础设施,传输评估和其他运行公用事业业务的关键应用。
- 投资以满足公用事业基准的安全成熟度曲线。
- 开发和实施瞬态资产和可移动媒体的方法,保护和检测未经授权的更改
- 公用事业服务提供商面临着在规定期限内纳入广泛的NERC CIP范围的困难,并冒着产生高昂基础设施和服务成本的风险。
结论
NERC CIP的目的是标准化公用事业的强制性安全,并将网络安全基线化,并促进行业人员的系统和安全意识教育和培训。NERC投资于更新NERC CIP标准,以纳入政策弱点、优势、风险和业务对行业和人力的影响。在过去十年中,我们看到越来越多的公用事业公司将自动NERC合规性纳入其业务战略,以使其组织符合法规合规性并防范网络威胁。
来源
- https://www.energy.gov/oe/services/electricity-policy-coordination-and-implementation/august-2003-blackout.
- https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-005-5.pdf.
- https://www.nerc.com/pa/Stand/Project%20201602%20Modifications%20to%20CIP%20Standards%20DL/CIP-002-7_Technical_Rationale_01222021.pdf
- https://www.nerc.com/pa/Stand/CIP0066RD/CIP_Implementation_Plan_CLEAN_FERC_03112015.pdf.
- https://www.nerc.com/FilingsOrders/us/FERCOrdersRules/Order_Version5_CIP_RM13-5_20131122.pdf.
- https://www.nerc.com/pa/CI/Pages/Transition-Program.aspx.
- https://www.nerc.com/FilingsOrders/us/NERC%20Filings%20to%20FERC%20DL/Petition%20-%20CIP%20V5%20Directives.pdf
- https://www.tripwire.com/state-of-security/regulatory-compliance/nerc-cip/hello-there-nerc-cipv6/
讨论
还没有讨论。下面开始讨论吧。
发布——建立一个追随者
能源中心万博mantex app电力行业网络基于一个核心理念——电力行业专业人士通过相互分享和学习来相互帮助,推动行业发展。
如果你有经验或见解要分享,或者从会议或研讨会上学到了一些东西,你在能源中心的同行和同事都想听。万博mantex app分享你喜欢的文章或你认为有用的行业资源的链接也很容易。
登录参与