「NERC CIPC 電力部門安全準則」報告
這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
「63 號總統決策令 63 (PDD-63)」(保護美國重要基礎設施)將電力正式識別為重要基礎設施。對於保護重要基礎設施的重大任務,PDD-63 需要一個在個別基礎設施部門內,與政府協同作業的架構。「美國能源部」是能源部門的領導機構,已指定「北美電力可靠度委員會 (NREC)」為「電力部門」的「部門協調員」。NERC 已發出安全準則來協助業界公司評估本身之風險與漏洞揭露以及已知的威脅。犯罪者包括可能採取本質上為虛擬或實體行動的內部和外部人士。虛擬 - 存取控制
對於支援及維護電力基礎設施之電子資訊系統與服務的保護而言,有效的存取控制非常重要。支援「電力基礎設施」之資訊系統或服務的任何擁有者或管理者,都應該備妥原則與程序文件,以便管理這類資訊系統與服務之邏輯與實體存取權的授權、鑑別和監視。這份說明文件應該清楚定義角色與責任、授權建立程序,以及您選取的鑑別與監視方法。這個準則適用於支援電力基礎設施之資訊系統或服務的任何擁有者或管理者。
虛擬 -- 侵入偵測
實作及維護成功的虛擬侵入偵測程式,需要具主導性的持續努力。隨著技術的改變,網路攻擊所用的工具也日新月異。對 IT 組織而言,與技術的變更保持同步,以瞭解新的攻擊方法與工具,當出現攻擊時,也必須跟上攻擊的發展,這一點至關重要。先期的偵測不可或缺,應該考慮每週 7 天、每天 24 小時的人員配置。起始聯繫呼叫器、電子郵件或語音傳訊系統之警示的自動化監視警告,也應列入考量。這個準則適用於支援電力基礎設施之資訊系統或服務的任何擁有者或管理者。
虛擬 -- 維護遠端存取安全
「電子控制與保護系統 (ECPS)」控制產生、傳輸及配送電力的系統。基於商業原因,必須備妥方法,供使用者遠端存取 ECPS。遠端存取這些系統,可能需要特殊安全考量。未獲授權遠端存取 ECPS,可能造成電力服務中斷、損壞電網元素,或危害生命及財產。ECPS 供應商及其他支援人員,為了支援目的,日漸利用 pcAnywhere、telnet 和 FTP 等遠端存取工具,直接透過網際網路進入內部控制網路。因此,維護遠端存取 ECPS 的安全性,非常重要。使用者的鑑別是安全原則的重要元素。這個準則適用於支援「重要電力基礎設施」之 ECPS 或服務的任何擁有者、管理者或維護者。