上周,我问电力公司,遵守NERC CIP标准是否实际上保证了IT安全。
在没有任何对NERC或他们的CIP标准的不敬之意的情况下,我继续我善意的提问,尤其是在一位尊敬的同事打电话给我讨论我的文章之后。这里。
NERC CIP的范围不包括当地的配电公司,最不发达国家是那些把电力(或天然气工业的等额电)“最后一英里”送到客户的公司。NERC CIP要求电力传输和发电设施遵守规定。然而,最不发达国家以及输电和发电设施都有可能造成网络连锁故障。
在不夸大情况下,任何系统中的单个节点故障都有可能潜在地导致连续故障波及到与其相连的其他网络。这一概念同样适用于各种类型的网络,包括电子、电信,当然特别适用于Internet。这一概念在本文中有详细的描述,并附有插图复杂网络中的级联故障模型。
这里的关键点是,即使是一个小的配电网络也能引起大规模的连锁反应。为了保持准确,控制软件在电网中的作用对电网的稳定性至关重要。MIT发表的文章"关键能源网络的三个R:可靠性、鲁棒性和弹性说明SCADA和控制软件如何和为什么在网络稳定中发挥关键作用。鉴于最不发达国家有可能成为一连串网络故障的煽动者,因此,我建议NERC CIP应同样适用于所有最不发达国家。
由于NERC CIP标准的不断发展而获得学分
NERC的三个新的CIP标准让我印象深刻:
•CIP 001-1 -破坏报告于2009年被NERC采用。该标准增加了识别和报告异常或可疑事件和活动的主动元素,并向现有标准008-1事件报告和响应计划添加了实时响应。这对于在恶意活动造成破坏和停机之前阻止它非常重要。
•CIP 010 -1网络系统分类是等待。这对于那些负责SCADA安全的人来说很重要,但是他们可能很难向高级执行人员证明安全预算的成本合理性。我相信这个元素有助于创建成本合理性业务案例的人,从而增加了他们业务案例的范围。
•网络系统保护是等待。这个标准是对关键网络资产的现有005-1电子安全边界和006-1物理安全的一个极好的深入研究,对于那些创造成本合理性的案例来说,再次成为一个有价值的工具。它规定列入拟议的安全预算的适当范围。虽然这些标准是NERC CIP的极好补充,但它们仍然没有规定最不发达国家必须遵守。有一个安全的星期。罗恩通过CISSPhttp://www.ere-security.ca/