作者:辣媽誌編輯部 Jessica Wu
在當今複雜的網路威脅環境下,電力公司面臨著前所未有的挑戰。根據外媒報導,要確保數百萬用戶的供電安全,關鍵在於全面掌握電網資產的狀況。
資產管理在這個過程中扮演著核心角色,它能讓電力公司清楚了解營運技術(OT)環境中的每一個設備、系統和連接。若缺乏準確的資產可見性,組織可能面臨安全盲點、稽核失敗,甚至可能遭受處罰。
了解資產管理對NERC CIP合規的重要性,企業可以同時增強安全態勢和法規準備。專家指出,OT資產管理是合規的基礎,如果這個基礎不穩固,其他一切都會崩塌。
識別關鍵資產
在處理NERC CIP合規時,首要任務是識別每一個大型電力系統的網路資產。專家表示,在營運技術網路中,一般的IT網路掃描工具幾乎派不上用場。
電力公司需要能夠理解工業協定,並了解控制系統獨特特徵的專門工具。專業的OT資產管理工具可以發現躲在網路角落的可程式邏輯控制器(PLC)和人機界面(HMI),這些是傳統發現工具完全無法察覺的。
為了符合NERC CIP規範,電力公司需要掌握這些設備的配置、軟體版本、網路關係和安全狀態等詳細資訊。這就像是一項偵探工作。
風險評估:關鍵所在
一旦OT資產管理系統繪製出整個環境的圖像,下一步就是確定哪些資產若發生故障可能會導致電網癱瘓。這種基於風險的方法決定了系統在CIP-002下的高、中、低影響分類。
專家強調,成功的工業網路安全計劃會利用全面的資產資料來做出這些決策。系統依賴性、故障模式、恢復時間等因素都很重要。而且這不是一次性的工作,風險環境在不斷變化。