多年來, 北美電力可靠性公司(NERC) 的 CIP 合規工作,長期以來高度聚焦於邊界防護。CIP-006 規範實體存取,CIP-007 鎖定埠口與服務,而 CIP-005 則定義了 ESP(電子安全邊界)。其根本假設在於:只要能控制跨越邊界的內容,就能掌控風險。
CIP-015-1 駁回了該假設,並自 2025 年 9 月起生效。隨著 2028 年 9 月的首個主要合規截止日期臨近,「我們已閱讀標準」與「我們已建立可運作的架構」之間的差距,正逐漸變得至關重要。
了解 CIP-015-1 的要求
美國聯邦能源監管委員會(FERC)於2025年6月26日透過第907號命令,批准將NERC CIP-015-1 作為內部網路安全監控(INSM)標準,並於2025年9月2日正式生效。 對於高影響級別的BES(大電網)網路系統,以及在控制中心具備ERC(外部可路由連接)功能的中等影響級別BES網路系統,合規截止日期為2028年9月2日。所有其他適用的中等影響級別系統必須於2030年9月2日前達成合規。
這項核心要求在運作上至關重要:
- 電力公司必須監控其 ESP 內的流量,而不僅是進出邊界的流量。
- R1 要求各實體基於風險評估原則收集網路數據源,偵測異常活動,評估所偵測到的異常情況,並將相關數據保留足夠長的時間以利調查。
- R2 和 R3 涵蓋對保留資料的保護及存取控制。
監管機構已著眼於未來,並指示北美電力可靠性協會(NERC)須於 2026 年 9 月前擴大該標準的適用範圍,以涵蓋電力系統外圍(ESP)的電子門禁控制與監控系統(EACMS)及實體門禁控制系統(PACS),這些系統已納入未來的 CIP-015-2 標準。該截止期限如今僅剩數月之遙。
為何實施過程比預期耗時更久
在 OT 環境中部署 INSM,與在企業資料中心部署 SIEM(安全資訊與事件管理)系統並不相同。監控必須採取被動方式,因為在實際運作中的 ICS 環境中,主動掃描並非可行選項。 該環境中通常會使用多種通訊協定,包括 Modbus、DNP3、IEC 61850、PROFINET 及 EtherNet/IP,同時也包含標準的 IP 流量。由於資產清單往往不完整,這意味著 INSM 專案通常必須先進行資產發現,才能展開偵測工作。 此外,若要在不引入新安全風險的情況下,將監控資料從 OT 區域傳輸至 IT 端的儲存系統,則需要有意的架構規劃,而不僅僅是配置。
在紙面上看似簡短的 OT 專案,一旦將部署、變更管理及文件編製等因素納入考量,往往輕易就會耗時 18 個月甚至更久。對於專案範圍涵蓋 2028 年資產的電力公司而言,進行長期規劃的窗口正逐漸關閉。
OPSWAT 如何OPSWAT 符合 CIP-015-1 規範
OPSWATOT 安全產品組合完全符合 CIP-015-1 的要求。
OT 資產發現、清點與Patch Management
MetaDefender Security™ 適用於 R1.1 至 R1.3 版本,透過 SPAN/TAP 架構進行被動式、無代理的網路監控,無需注入流量,亦不會干擾控制迴路。
透過對數百種 OT 和 IT 協定進行深度封包檢測,可實現 R1 所需的資產發現、流量基準建立及異常偵測功能。這使資安團隊能夠識別出傳統 IT 資安工具常會忽略的行為異常,例如意外的 Modbus 指令、未經授權的工程工作站連線,以及未知裝置。
新世代單向閘道器與安全閘道解決方案
MetaDefender 提供了應 對 R2 數據傳輸挑戰所需的解決方案。其單向安全閘道僅將 INSM 遙測數據從 OT 區域單向傳輸至 IT 端的分析與 SIEM 平台,此傳輸由硬體強制執行,且無回傳路徑。電力公司無需開啟可能造成新風險的雙向通道,即可滿足數據傳輸要求。
確切地說,MetaMetaDefender NetWall 安全NetWall ,而 R2 和 R3 的資料保留與存取控制義務則由接收端系統負責履行。完整的合規架構包含:OT Security 偵測、NetWall ,以及 IT 端的 SIEM 負責資料保留與存取控制。
為 Emerson DeltaV 和 Ovation 客戶提供簡便的技術支援
對於採用艾默生 (Emerson) DeltaV™ 或 Ovation™ 自動化平台的電力公司而言,符合規範的途徑更加直接。這些平台已部署於數百家發電、供水及污水處理設施中,符合 CIP-015-1 規範範圍內的 BES 資產所有者要求。 OPSWAT 2026 年 4 月宣布達成全球經銷協議,使OPSWAT網路安全產品組合能透過艾默生的電力與水務網路安全套件提供給客戶。
現有的 DeltaV Alliance 已MetaDefender Unidirectional Security Gateway DeltaV 平台的MetaDefender 及Unidirectional Security Gateway 。 此整合方案提供可移除媒體控制功能及單向資料匯出架構,分別符合 CIP-003-9 及 CIP-015-1 R2 的規範要求。
根據這項新協議OPSWAT Central Management MetaDefender 和My Central Management OPSWATOT 修補程式管理服務擴展至艾默生 (Emerson) 遍布全球 800 多個據點的 Ovation 平台。對於 DeltaV 和 Ovation 的客戶,可透過現有的艾默生合作關係,取得專為 CIP 標準打造的架構。
全面理解 NERC CIP 合規要求
CIP 015-1 標準並非孤立存在。在 2026 年 4 月 1 日生效的 CIP-003-9 與 CIP-015-1 的交匯處,正是OPSWAT產品組合發揮特別顯著效用的領域。 CIP-003-9 的法規要求亦涵蓋低影響級 BES 網路系統中的可移除媒體及暫存網路資產。
在 OT 環境中,可移除式媒體與臨時性網路資產常被用於對物理隔離系統進行修補程式安裝及韌體更新。OPSWAT 可協助在可移除式媒體及廠商筆電接觸控制系統資產之前,對其進行掃描與清理。 隨著 CIP-003-9 正式生效,若您的計畫依賴政策而非技術控制措施,此項缺口將在下一輪稽核中成為審查重點。
為確保未來符合規定應採取的措施
對於2028年資產納入評估範圍的電力公司而言,現階段應優先採取以下三項行動:
- 完成資產清點:MetaDefender OT Security 進行的被動式偵測OT Security R1 偵測所依賴的基準。
- 在選擇工具之前,請先規劃您的資料流:確定 INSM 遙測資料需傳送至何處,並利用單向閘道技術架構 OT 至 IT 的傳輸路徑。
- 關於 CIP-015-2 範圍的說明:今日所做的架構決策應能容納 EACMS 與 PACS 的監控功能,以便在擴建計畫推進時,無需進行全面重新設計。
那些正迅速採取行動以落實 CIP-015-1 合規措施的電力公司,正是那些從探索階段直接轉向建設階段的企業。標準明確、期限已定,未來幾季所做的架構決策,將決定哪些計畫能符合規範,哪些則會陷入困境。
OPSWATNetWall、Drive、Endpoint、My OPSWAT Central Management 以及Kiosk 正是專為此類環境Kiosk 。
若想進一步了解OPSWAT 如何協助您符合即將生效的 NERC CIP 法規要求,OPSWAT 立即聯繫專家。
