保护关键基础设施，信息安全，运营弹性和法规遵从性

先进的技术使电力基础设施能够通过提高传输能力、连通性、传感和自愈能力转变为智能公用事业。在过去的十年中，公用事业行业经历了大规模的转型，融合了信息技术(IT)和运营技术(OT)、传统发电资产、数字可再生能源和配电系统。虽然这种集成电网连接的趋势推动了该行业朝着更高效率、减排和可持续发电的方向发展，但也使该行业容易受到安全和网络威胁的影响。

为了保护关键基础设施，加强信息安全，提高运营弹性并满足法规合规性，公用事业公司必须提高其网络安全水平，以遵守“北美电力可靠性公司”(NERC)的合规性。为了在公用事业公司推广和实施安全标准，一个自愿组织“北美电力可靠性公司”(NERC)于1968年6月1日成立。

NERC及其资产配置

NERC关键基础设施保护标准，即NERC CIP，是一个监管机构，确保关键基础设施的适当安全控制和严格的标准，以保护有益的电气化(BES)及其用户和客户，CIP标准提供了一个网络安全框架，以识别和保护可能影响北美BES高效可靠电力供应的关键资产。

NERC可靠性标准可以监测和保护以下公用事业生态系统

大型电气系统	至关重要的资产	网络资产
一代植物 传输站 输电线路 输电塔	一代植物 传输站 控制中心	监控和数据采集系统(SCADA) 能源管理系统(EMS)分布式控制系统(DCS)

NERC现行标准及其含义

2003年，美国和加拿大的电网发生了最大规模的东北停电。停电影响了约5000万人，NERC派出技术团队调查停电情况，结果制定了更严格的关键基础设施保护(CIP)标准，以保护北美电网的公用事业系统。

NERC CIP v6是政策指南的最新版本，必须保护关键网络资产，而NERC CIP V5是在CIP 2的基础上设计的，具有很强的安全性，以提高大容量电气系统的可靠性。

CIP第五版标准

物联网、人工智能和RPA等先进技术增加了系统中的大量数据，也增加了暴露网络风险的机会。引入CIP V5以降低网络风险。CIP V5侧重于监控组网和第三方远程接入的访问控制。下面是CIP V5安全标准的适用性。

标准	类别	目的	影响程度
cip - 002 - 5	BES3网络系统分类	识别影响大容量电力系统的所有BES网络系统的过程 系统	高、中、低
cip - 003 - 5	安全管理控制	文件化的网络安全政策	高、中
cip - 004 - 5	人事及培训	网络安全政策培训内容;物理和电子访问控制，BES网络系统信息及其处理 存储
cip - 005 - 5	电子安全周界	策略外部可路由连接，	高、中
cip - 006 - 5	BES网络系统的物理安全	用于物理安全计划的策略，其中包括适用的指定要求	高、中
cip - 007 - 5	系统安全管理	通过指定技术、操作、 程序要求	高、中
cip - 008 - 5	事件报告和响应计划	可报告的网络安全事件计划	高、中
cip - 009 - 5	BES网络系统恢复计划	用于保护数据并为需要执行BES网络系统恢复的事件的调查提供数据的控制程序 计划	高、中

CIP第六版标准

恶意软件威胁在供应链中日益增加，2015年7月，FERC发布了拟议规则制定通知(NOPR)，修改和更新CIP Version 5标准，涉及低影响BES网络资产、可移动设备、瞬态网络资产和通信网络。提议的V5修改被视为CIP V64..

修改清单

标准	类别	目的
cip - 003 - 6	安全管理控制	保护BES网络系统
cip - 004 - 6	人事及培训	培训，保护BES网络系统的安全意识
cip - 006 - 6	BES网络系统的物理安全	BES网络系统物理接入管理
cip - 007 - 6	系统安全管理	保护BES网络系统的技术、操作和程序要求
cip - 009 - 6	BES网络系统恢复计划	BES网络系统可靠性功能恢复计划
cip - 010 - 2	配置变更管理和漏洞评估	要求和管理瞬态资产和可移动媒体，保护和检测未经授权的更改
cip - 011 - 2	信息保护	防止未经授权访问BES网络系统

除了修改之外，下面是NERC提出的新条款

• 瞬态网络资产和可移动媒体
• 修订的BES网络资产(BCA)
• 受保护网络资产(PCA)
• 可移动媒体
• 瞬态网络资产
• 低影响BES网络系统电子接入点(LEAP)
• 低影响外部路由连接(LERC)

将CIP V5转换为CIP V6的挑战

• 高基础设施成本-为了升级到CIP V6并保持资产评级，公用事业服务提供商必须升级以推进技术、平台和现场设备。
• 对范围扩大的潜在预算影响。
• 从CIP V5到CIP V6的升级要求公用事业包括变更管理过程——人员、过程和技术。
• 针对多技术IT环境在内部部署和云基础设施上实施安全策略
• 简化分散的身份和访问管理智能电网，动态负载控制(DLC)系统。监控和数据采集(SCADA)，工业控制系统(ICS);先进的计量基础设施，传输评估和其他运行公用事业业务的关键应用。
• 投资以满足公用事业基准的安全成熟度曲线。
• 开发和实施瞬态资产和可移动媒体的方法，保护和检测未经授权的更改
• 公用事业服务提供商面临着在规定期限内纳入广泛的NERC CIP范围的困难，并冒着产生高昂基础设施和服务成本的风险。

结论

NERC CIP的目的是标准化公用事业的强制性安全，并将网络安全基线化，并促进行业人员的系统和安全意识教育和培训。NERC投资于更新NERC CIP标准，以纳入政策弱点、优势、风险和业务对行业和人力的影响。在过去十年中，我们看到越来越多的公用事业公司将自动NERC合规性纳入其业务战略，以使其组织符合法规合规性并防范网络威胁。

来源

1. https://www.energy.gov/oe/services/electricity-policy-coordination-and-implementation/august-2003-blackout．
2. https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-005-5.pdf．
3. https://www.nerc.com/pa/Stand/Project%20201602%20Modifications%20to%20CIP%20Standards%20DL/CIP-002-7_Technical_Rationale_01222021.pdf
4. https://www.nerc.com/pa/Stand/CIP0066RD/CIP_Implementation_Plan_CLEAN_FERC_03112015.pdf．
5. https://www.nerc.com/FilingsOrders/us/FERCOrdersRules/Order_Version5_CIP_RM13-5_20131122.pdf．
6. https://www.nerc.com/pa/CI/Pages/Transition-Program.aspx．
7. https://www.nerc.com/FilingsOrders/us/NERC%20Filings%20to%20FERC%20DL/Petition%20-%20CIP%20V5%20Directives.pdf
8. https://www.tripwire.com/state-of-security/regulatory-compliance/nerc-cip/hello-there-nerc-cipv6/