電力公司認識到眾多的、想象不到的、威脅安全的事情能影響網絡的可靠性、事故后的恢復和營業的不間斷性。這一認識因聯邦能源管理委員會(FERC)和北美電力可靠性理事會(NERC)頒布了適用于大宗電力市場參與者的最低安全保障標準而得到提高。

    在結構和運行上，一個區域電網是一個多要素實體，任何組成部分包括發電、輸電或配電的故障都可以影響到整個電網的可靠性，以及它所能服務的用戶和公眾。認識到這一互相依存關系，FERC和NERC上一個夏季對美國大宗電力市場的所有參與者提出了"日常最低安全必要條件"。

    提出標準的目的是保證市場所有參與者--包括發電廠和售電商、可靠性監督機構、獨立的系統運行單位和區域性輸電組織--至少有一個能使電網從可能嚴重干擾運行的任何意外或蓄意的行為所造成的影響隔離開的基本安全方案。按FERC和NERC規定，一個基本安全方案包括下列幾方面：管理、計劃、預防、操作、對發生事情的反應和營業的不間斷性。

    然而，輸電部門的業主和供電單位自然而然要承擔起保持可靠電力服務的最大責任。如果這些標準成為規章，輸配電(T&D)公司有責任阻止對3種相互依賴的網絡安全的潛在影響：

    (1) 實體的。T&D網絡聯接到別種網絡上(通信網絡、油氣管線和水/廢水系統)。

    (2) 電腦化的。T&D網絡已嵌入電子基礎結構。

    (3) 地理的。很多T&D網絡與油氣管線合用走廊或使用鐵路的用地。在某些情況下，因為它們受到地方政府機關的管轄，它們的運行受到影響。

    總的說來，所提出的安全標準要求更大范圍使用電子系統來支持網絡安全。它們也把網絡使用的電腦化資源，如區域數據中心的實體保護作為目標。

    Meta集團股份有限公司的電子信息對策部門預測在2003年電力公司將在安全改進方面加倍他們的投資，使其接近于別的安全意識強的企業如零售業和金融部門那樣的水平。對于未來的很多年，電力公司還必須每年投資更多來不斷計劃和執行更好的安全手續和政策，并遵守變化著的強制性安全保障標準。

    在這些倡議中，手續常常受到最少的注意。在電腦化安全空間內，很多從業人員知道如何去安裝一個防火墻，另外一些人知道如何寫一份安全政策，但這兩組人通常不互相交流。安全手續使電力公司把政策、標準和準則能聯系起來，因此，制定一個安全方案是必不可少的。靈活性是關鍵，因為業務的需求，管理部門(FERC/NERC)的周圍情況和技術在不斷變化，如同雇員的技能與用戶及供電者潛在風險相互影響數目一樣。

    作為對比，政策是任何安全方案的基礎。它們一般是由電力公司的董事會、執行委員會或分配此次任務的另一個委員會來制定和貫徹。一個良好的安全政策詳細說明了為保護公司實體和電腦化資產所要采取的步驟。它也為實施安全保障、改進責任分配并要求對它們符合聯邦的、州的和市的標準和準則的實際程度作定期檢測(按照FERC/NERC建議，至少每年一次)。

    安全標準和準則最好是分別提出。標準既作為管理的基準又作為確定安全意識和控制水平的基準使用，還作為資產保護所希望達到水平的必要條件。標準隨著單位的規模、復雜程度、出售物品和管理部門的周圍情況而變化。一般需要幾個標準。對于使用申請服務提供者樣式的電力公司，所需要的信息標準必須強調為保護IT機構的基礎設施各個組成部分不受內部和外部威脅所需要的措施，也需要專門用于總體安全方案中數據安全部分授權裝置的技術標準。

    安全準則的目標是使公司的生產經營與安全方案取得一致或將安全要素放入生產經營中提供信息。在油氣輸送和分配部門中，最慣用的安全準則是使用風險管理原則(特別是后果減輕)來提出和管理安全問題。部門規定要求管線運行人員確定適當的偵察和制止手段，并制定出行動計劃、詳細說明響應不同威脅程度的臨時性行動。換言之，運行人員系統地評估了安全風險，將研究結果作成文件，并且貫徹執行適當的風險控制。

    因為人的因素遍及所有四種安全倡議即手續、政策、標準和準則，安全方案沒有企業安全文化的支持很難奏效。必須使IT全體工作人員和最終用戶都了解安全的重要性并照辦。明確責任是一種辦法。事實上，所提出的FERC/NERC標準要求每一個大宗市場參與者指定一個官員負責制定和管理其安全方案。如果所提出的標準成為法規，那位官員必須每一年度證明公司是否已照他或她提出的每一方面辦到了。

    在很多電力公司，單位文化很可能必須改變以適應這個要求。Meta集團的研究表明40%的美國電力公司規定他們的IT機構對電腦化安全負全責。Meta集團相信在未來2年內這個百分比將降到低于20%，因為很多公司建立了安全部門來滿足由此所提出的要求并賦予他們對實體安全以及電腦化安全的職責。

    建議的安全標準要求些什么？

    2002年7月，FERC提出了最低安全標準，它要求美國大宗電力市場的參與者們照辦。這些標準是從流行的企業標準和作法及從NERC安全保障準則衍生出來的一組措施。

    建議的全文能在http://www.ferc.gov/DRAFTFERCNOPRStandardsdv5.pdf找到。建議打算在2004年1月生效，或以其現行形式，或者基于現在收到的企業參加者的評論意見所作的修改。

    建議的安全標準也包括在由FERC在2002-07-31出版的SMDNOPR中。關于這個建議和對它的評論意見，可查閱http//www.ferc.gov/Electric/rto/Mrkt-Strct-comments/nopr/Web-NOPR.pdf(在SMD NOPR的附錄G中)。

    雖然建議的嚴格詞句仍然在商榷中，但它的有關遵守義務的章節不大可能改變。如通常所知道的，美國大宗電力市場的每一個參與者應向FERC申報一份由公司一個官員簽字的年度自檢證書、或者指出全面遵守了規則或者指出任何未能遵守的領域。不能遵守將導致失去直接進入電力市場的特權，在建議規定的條件中，第一份證書要在2004-01-31報出，以后則在每年1月31日前報出證書。

    必須證明是遵守了還是未遵守的具體安全項目包括：

    (1) 管理部門對網絡市場系統安全的職責分工；

    (2) 公司的安全邊界的界定和文件的提供；

    (3) 證實已經擬定公司安全方案及支持政策；

    (4) 每年至少一次審查安全政策和安全標準、程序；

    (5) 資產分類體系的界定和貫徹；

    (6) 證實進入緊要基礎設施的人員接受了安全培訓并且公司全部人員一年至少接受一次安全意識的培訓；

    (7) 證實重要資產的管理人員和操作人員在過去5年里已進行了背景審查；

    (8) 對于批準的人員貫徹出入控制程序；

    (9) 在安全邊界線內未經批準的人員要一直有人陪同；

    (10) 已經擬定、貫徹了電腦化和實體安全程序，并監控其是否得到遵守；

    (11) 開發和試驗緊要系統安全條件的文件已經擬定；

    (12) 軟件開發系統與業務系統不作關聯；

    (13) 已經擬定和貫徹了事故響應計劃；

    (14) 已經貫徹執行了電業部門信息共享和分析中心(ES-ISAC)報告和報警程序；

    (15) 已經制定和試驗了業務不間斷計劃。

(本編譯自Energy Business & Technology May 2003)