多年来, 北美电力可靠性公司(NERC) 的CIP合规工作主要侧重于边界安全防护。CIP-006规范了物理访问,CIP-007限制了端口和服务,而CIP-005则定义了ESP(电子安全边界)。其基本假设是:只要控制了跨越边界的内容,就能控制风险。
CIP-015-1 驳回了这一假设,该提案自 2025 年 9 月起生效。随着 2028 年 9 月首个主要合规截止日期的临近,“我们已阅读该标准”与“我们已具备可运行的架构”之间的差距开始变得至关重要。
理解 CIP-015-1 的要求
美国联邦能源监管委员会(FERC)于2025年6月26日通过第907号命令,批准将NERC CIP-015-1 作为内部网络安全监控(INSM)标准。该标准于2025年9月2日正式生效。 对于高影响级大电网(BES)网络系统以及在控制中心具备外部可路由连接(ERC)的中等影响级大电网网络系统,合规截止日期为2028年9月2日。所有其他适用の中等影响级系统必须在2030年9月2日前达到合规要求。
这一核心要求在运营层面具有重要意义:
- 电力公司必须监控其ESP内部的流量,而不仅仅是进出边界的流量。
- R1 要求各实体基于风险考量收集网络数据源,检测异常活动,评估所检测到的异常情况,并将相关数据保留足够长的时间以支持调查工作。
- R2 和 R3 涉及对保留数据的保护及访问控制。
监管机构已开始着眼未来,NERC已接到指示,须在2026年9月前扩展该标准,将其覆盖范围扩大至ESP(电力系统保护)范围之外的EACMS(电子门禁与监控系统)和PACS(物理门禁控制系统),这些系统已被纳入未来的CIP-015-2标准。该截止日期如今仅剩数月之遥。
为什么实施时间比预期更长
在OT环境中部署INSM与在企业数据中心部署SIEM(安全信息和事件管理)系统有所不同。监控必须采用被动方式,因为在运行中的ICS环境中无法进行主动扫描。 该环境通常使用多种协议,包括 Modbus、DNP3、IEC 61850、PROFINET 和 EtherNet/IP,此外还有标准的 IP 流量。资产清单往往不完整,这意味着在进行任何检测之前,INSM 项目通常需从资产发现开始。 此外,要将监控数据从 OT 区域传输到 IT 侧的存储系统,同时不引入新的安全风险,需要有意的架构规划,而不仅仅是配置。
一个在纸面上看似简短的OT项目,一旦考虑到部署、变更管理和文档编制等因素,很容易耗时18个月甚至更久。对于项目范围涵盖2028年资产的电力公司而言,进行长期规划的窗口期正在逐渐缩小。
OPSWAT 如何OPSWAT 符合 CIP-015-1 标准
OPSWATOT 安全产品组合完全符合 CIP-015-1 标准的要求。
OT 资产发现、盘点和Patch Management
MetaDefender Security™ 支持 R1.1 至 R1.3 标准,通过 SPAN/TAP 架构实现被动、无代理的网络监控,无需流量注入,且不干扰控制回路。
通过对数百种OT和IT协议进行深度数据包检测,可实现R1所需的资产发现、流量基线建立和异常检测。这使安全团队能够识别出传统IT安全工具常会忽略的行为异常,例如意外的Modbus命令、未经授权的工程工作站连接以及未知设备。
新一代数据二极管和安全网关解决方案
MetaDefender 提供了 应对 R2 数据传输挑战所需的解决方案。其单向安全网关仅将 INSM 遥测数据从 OT 区域单向传输至 IT 侧的分析平台和 SIEM 平台,该传输由硬件强制执行,且不设回传路径。电力公司无需开通可能带来新风险的双向通道,即可满足数据传输要求。
准确来说,MetaDefenderNetWall 安全NetWall 数据,而 R2 和 R3 的数据保留及访问控制义务则由接收系统承担。完整的合规架构是:OT Security 和检测,NetWall 安全NetWall 而 IT 侧的 SIEM 则负责数据保留和访问控制。
为艾默生DeltaV和Ovation客户提供便捷支持
对于运行艾默生DeltaV™或Ovation™自动化平台的电力公司而言,合规路径更为直接。这些平台已部署于数百家发电、供水及污水处理设施中,符合CIP-015-1标准中BES资产所有者的范围要求。 OPSWAT 艾默生于2026年4月宣布达成全球分销协议,使OPSWAT网络安全产品组合可通过艾默生的电力与水务网络安全套件提供。
现有的 DeltaV 联盟已将MetaDefender 和Unidirectional Security Gateway DeltaV 平台。 此次集成提供了可移除介质控制功能和单向数据导出架构,分别符合 CIP-003-9 和 CIP-015-1 R2 标准的要求。
根据新协议OPSWAT将Central Management MetaDefender My Central Management ,OPSWAT运营技术(OT)补丁管理服务扩展至艾默生(Emerson)的Ovation平台,覆盖全球800多个站点。对于DeltaV和Ovation的客户,可通过与艾默生的现有合作关系获得专为工业控制(CIP)设计的架构。
全面了解 NERC CIP 合规要求
CIP 015-1 标准并非孤立存在。在 2026 年 4 月 1 日生效的 CIP-003-9 与 CIP-015-1 的交汇处,正是OPSWAT产品组合发挥独特效力的领域。 CIP-003-9 的监管要求还涵盖了低影响 BES 网络系统中的可移除介质和临时网络资产。
在运营技术(OT)环境中,可移动存储介质和临时网络资产常被用于对物理隔离系统的补丁安装和固件更新。OPSWAT 可帮助在可移动存储介质和供应商笔记本电脑接触控制系统资产之前对其进行扫描和清理。 随着 CIP-003-9 的生效,如果您的项目依赖于政策而非技术控制措施,那么在下一轮审计中,这一漏洞将可能成为被审查的对象。
为确保未来合规所需采取的措施
对于2028年资产纳入监管范围的电力公司,目前应优先采取以下三项措施:
- 完成资产清点:MetaDefender OT Security 进行的被动发现,为 R1 检测OT Security 所需的基础数据。
- 在选择工具之前,请先设计数据流:确定 INSM 遥测数据需要传输到何处,并利用单向网关技术规划 OT 到 IT 的路径。
- 关于 CIP-015-2 范围的说明:当前做出的架构决策应能兼容 EACMS 和 PACS 的监控功能,以便在后续扩展时无需进行全面重构。
那些正迅速采取行动落实 CIP-015-1 合规措施的电力公司,正是那些从探索阶段直接转向建设阶段的企业。标准明确,期限已定,未来几个季度内做出的架构决策将决定哪些项目能顺利合规,哪些项目则会举步维艰。
OPSWATNetWall、Drive、Endpoint、My OPSWAT Central Management 以及Kiosk 正是专为这种环境Kiosk 。
如需进一步了解OPSWAT 如何帮助您满足即将生效的NERC CIP监管要求,请立即联系专家。
