联邦能源监管委员会(" FERC ")发布最终规则(第887号订单,指示北美电力可靠性公司(“NERC”)制定新的或修改的可靠性标准,要求在关键基础设施保护(“CIP”)网络环境中进行内部网络安全监控(“INSM”)。本命令可能适用于开发、实施或维护与批量电气系统(“BES”)相关的操作技术的硬件或软件的实体。
即将出台的标准将只适用于某些高和中等影响的BES网络系统。最终规则还要求NERC进行可行性研究,以在所有其他类型的BES网络系统中实施类似的标准。NERC必须在最终规则生效之日起15个月内提出新的或修改的标准,最终规则生效之日是联邦公报公布之日后60天。
背景
根据FERC的新闻稿,涉及SolarWinds Orion软件的2020年全球供应链攻击展示了攻击者如何“绕过传统上用于识别恶意活动的所有基于网络边界的安全控制,并危及公共和私人组织的网络”。因此,FERC确定当前CIP可靠性标准的重点是防止未经授权的电子安全边界访问,因此CIP网络环境容易受到绕过基于边界的安全控制的攻击。新的或修订的可靠性标准(“INSM标准”)旨在通过要求责任实体在某些BES网络系统中使用INSM来解决这一差距。INSM是网络安全监控的一个子集,它能够持续可见所谓“信任区域”中的网络设备之间的通信,该术语通常描述离散和安全的计算环境。就规则而言,信任区域是任何与cip联网的环境。除了持续可见性外,INSM还有助于检测恶意和异常网络活动,以识别和防止正在进行的攻击。FERC提供的支持INSM的工具示例包括反恶意软件、入侵检测系统、入侵防御系统和防火墙。
新的或修改的可靠性标准
INSM标准将适用于所有具有外部可路由连接的高影响BES网络系统和中等影响BES网络系统,其定义为从相关电子安全边界外部访问BES网络系统的能力。FERC拒绝为即将到来的标准设定实施时间表,而是指示NERC在提交提案时建议实施期限。因此,责任实体实施INSM的最后期限可能在未来几年。
根据该规则,INSM标准必须:
- (1)解决责任实体在其cip网络环境中制定其网络流量基线的需求;
- (2)解决责任实体监控和检测cip网络环境中未经授权的活动、连接、设备和软件的需求;而且
- (3)要求负责实体通过以下方式高度可靠地识别异常活动:
- (a)记录网络流量;
- (b)保存收集到的关于网络流量的日志和其他数据;而且
- (c)采取措施,尽量减少攻击者从受损设备中删除其战术、技术和程序证据的可能性。
可行性研究
在最终规则生效后的12个月内,NERC还必须提交一份报告,研究在没有外部路由连接的中等影响的BES网络系统和所有不受INSM标准约束的低影响的BES网络系统中实施INSM的可行性。
FERC强调,委托进行的可行性研究应包括确定:
(1)不受INSM标准约束的低和中等影响的BES网络系统对大容量电力系统的可靠性和安全性构成的持续风险;而且
(2)将INSM扩展到其他BES网络系统所涉及的潜在技术或其他挑战,以及可能的替代缓解措施,以应对所带来的风险。