联邦能源监管委员会(" FERC ")发布最终规则(第887号订单，指示北美电力可靠性公司(“NERC”)制定新的或修改的可靠性标准，要求在关键基础设施保护(“CIP”)网络环境中进行内部网络安全监控(“INSM”)。本命令可能适用于开发、实施或维护与批量电气系统(“BES”)相关的操作技术的硬件或软件的实体。

即将出台的标准将只适用于某些高和中等影响的BES网络系统。最终规则还要求NERC进行可行性研究，以在所有其他类型的BES网络系统中实施类似的标准。NERC必须在最终规则生效之日起15个月内提出新的或修改的标准，最终规则生效之日是联邦公报公布之日后60天。

背景

根据FERC的新闻稿，涉及SolarWinds Orion软件的2020年全球供应链攻击展示了攻击者如何“绕过传统上用于识别恶意活动的所有基于网络边界的安全控制，并危及公共和私人组织的网络”。因此，FERC确定当前CIP可靠性标准的重点是防止未经授权的电子安全边界访问，因此CIP网络环境容易受到绕过基于边界的安全控制的攻击。新的或修订的可靠性标准(“INSM标准”)旨在通过要求责任实体在某些BES网络系统中使用INSM来解决这一差距。INSM是网络安全监控的一个子集，它能够持续可见所谓“信任区域”中的网络设备之间的通信，该术语通常描述离散和安全的计算环境。就规则而言，信任区域是任何与cip联网的环境。除了持续可见性外，INSM还有助于检测恶意和异常网络活动，以识别和防止正在进行的攻击。FERC提供的支持INSM的工具示例包括反恶意软件、入侵检测系统、入侵防御系统和防火墙。

新的或修改的可靠性标准

INSM标准将适用于所有具有外部可路由连接的高影响BES网络系统和中等影响BES网络系统，其定义为从相关电子安全边界外部访问BES网络系统的能力。FERC拒绝为即将到来的标准设定实施时间表，而是指示NERC在提交提案时建议实施期限。因此，责任实体实施INSM的最后期限可能在未来几年。

根据该规则，INSM标准必须:

• (1)解决责任实体在其cip网络环境中制定其网络流量基线的需求;

• (2)解决责任实体监控和检测cip网络环境中未经授权的活动、连接、设备和软件的需求;而且

• (3)要求负责实体通过以下方式高度可靠地识别异常活动:
  • (a)记录网络流量;
  • (b)保存收集到的关于网络流量的日志和其他数据;而且
  • (c)采取措施，尽量减少攻击者从受损设备中删除其战术、技术和程序证据的可能性。

可行性研究

在最终规则生效后的12个月内，NERC还必须提交一份报告，研究在没有外部路由连接的中等影响的BES网络系统和所有不受INSM标准约束的低影响的BES网络系统中实施INSM的可行性。

FERC强调，委托进行的可行性研究应包括确定:

(1)不受INSM标准约束的低和中等影响的BES网络系统对大容量电力系统的可靠性和安全性构成的持续风险;而且

(2)将INSM扩展到其他BES网络系统所涉及的潜在技术或其他挑战，以及可能的替代缓解措施，以应对所带来的风险。