满足CIP标准并不等于绝对安全

文章重点

CIP标准的解析：CIP旨在保障北美电力系统的安全，但合规并不意味著安全无虞。合规的流程重于技术：CIP合规大多依赖政策和流程，而非技术的提升。风险认知：被忽视的弱点可能在CIP合规中留下漏洞，企业需重视安全文化的培养。

来源：Edbrown05

shadowrock小火箭

在2013年，美国联邦能源管制委员会FERC批准了对关键基础设施保护CIP可靠性标准的更改与补充，这也被称为CIP v5，目的是确保操作大型电力系统的资产安全。

CIP是北美电力可靠性公司NERC14项强制标准之一，这些标准受到美国当局的执行。CIP受到广泛关注，因为它专注于被认为对电力基础设施至关重要的资产的实体安全和网络安全。目前CIP中，有11项可靠性标准在CIP v5下接受执行，未来还计划推出更多标准。

合规于CIP更涉及政策和流程，而非技术。帮助负责实体实现CIP合规的公司不为大众所熟知。由于能源行业的网络安全需求仍较新，市场上竞争不激烈。

在这个领域中的大部分顾问公司几乎很少离开关键基础设施范畴，这些公司专精于此，拥有丰富的制度知识和先前经验。一些知名的商业供应商也在此领域内运作，但大多数仅销售满足CIP部分要求的产品。

通过与多位专家及了解CIP的相关人士洽谈，以及研读所有NERC文件，有一点变得非常清晰：CIP并不是关于技术控制。如果将技术措施纳入考量，例如IP摄像头或防火墙，相关控制的有效性并不会得到重视。

CIP依据范围的严重性进行评分：高、中和低。与任何其他法规事务一样，范围最终决定了合规与否。

如预期般，需遵循CIP的实体将竭尽所能减小总范围，以便轻松获得合规。一位专家在私下评论时提到，他见过某资产所有者拒绝实施网络安全监控，因为这样会增加他们的合规范围。

另一个例子是：一间电力供应商通过将其设施内的建筑视为独立资产来应对其严重性评级。他们的设施总发电量超过3000兆瓦，因此被标注为高影响。然而，因该公司拥有两栋建筑，各自的涡轮发电机约发挥1500兆瓦，因此得以将其范围降低为中等影响。两座建筑同处于同一地产内，且皆由同一控制室掌控，这些事实并不影响其范围评估。

这一现象并不意外。为了达到合规而降低范围的做法相当普遍。然而，当某些部分被排除在范围外时，增加一种或多种攻击的风险是存在的。然则，遵循CIP的做法是否会令整体安全目标受到损害？其实未必。

“那些必须遵循CIP的设施的安全计划之所以有效，是因