网络安全服务
网络安全服务
针对关键能源基础设施的网络攻击的频率和复杂性正在逐渐上升。网络外围保护措施不足以保护控制信号和敏感数据。施恩禧深知有效的安全工程需要多学科的风险管理应用程序,以确保在整个系统生命周期内保持弹性。能源系统是多供应商系统,需要与多个利益相关者密切协调,以确保安全态势得到正确设计、实施和维护。施恩禧在我们的产品中设计有网络安全,以实现弹性和深度防御。
施恩禧还提供强大的网络安全服务套件,以引导网络和系统安全的全面集成。通过将网络安全服务与我们的电力系统解决方案和工程服务相结合,施恩禧为我们的客户提供了巨大价值,并且我们还提供独立的网络安全咨询和服务。这为那些没有完整网络安全人员的客户提供所需的支持以满足合规性,并确保他们的系统和网络环境保持安全。
凭借在美国国防部(DoD)网络安全咨询和服务方面的丰富经验,我们的团队能够为我们的联邦、商业和公用事业客户提供各种网络安全和网络服务。该团队持有国防部批准的网络安全认证(例如,CISSP、Security+CE、GICSP、GPEN)。详细了解施恩禧的国防部网络安全体验…
网络安全评估
施恩禧网络安全服务随时准备利用我们强大的联邦和国防部网络经验,来满足我们的公用事业和商业客户的需求。施恩禧提供量身定制的网络安全评估服务,以提高能源系统安全性并管理风险。施恩禧网络安全评估利用各种框架和标准,如NERC-CIP、NIST IR 7628和NIST 800-53。
具体评估活动包括但不限于:
- 硬件和软件库存
- 威胁评估
- 系统和网络漏洞评估和扫描
- NERC CIP 合规性
- NIST 网络安全或风险管理框架合规性
- 将调查结果和缓解建议归档
- (未来)国防部网络安全成熟度模型认证(CMMC)审核支持
联邦风险管理框架评估
联邦风险管理框架评估
联邦信息系统(包括能源基础设施)必须根据风险管理框架(RMF)以及相关政策和指导进行设计、保护和监控。施恩禧深知国防部(DoD)能源系统和设施相关控制系统(FRCS)所有者,在网络安全实施和获得运营授权(ATO)方面面临的挑战。
施恩禧通过专注于缓解客户(系统所有者)的痛点,降低成本并确保实施可行且及时的措施以保护 ATO,以采取解决 RMF 规划和执行问题的方法。施恩禧网络安全服务将根据我们在美国陆军、海军、空军和海军陆战队微电网RMF规划和执行方面的深厚实践经验,指导系统所有者完成RMF流程。
施恩禧团队在实施RMF安全控制过程中创造了最大价值。我们不仅在强化施恩禧能源系统组件方面拥有丰富经验,还可在能源系统或网络中或连接到该系统或网络的任何第三方供应商设备上应用网络安全和风险管理。安全控制实施包括组织安全策略和程序规划。我们在每个RMF步骤中为系统所有者提供全面支持,包括:
- RMF步骤0:通过识别将在国防部存储库中担任关键RMF角色和系统注册的人员并让他们投入工作,施恩禧将提前做好准备。
- RMF步骤1:施恩禧提供系统的建议安全分类,并提供操作概念(CONOPS)说明、处理的信息类型以及机密性、完整性和可用性的影响级别。我们还开发附带的工件,例如初步的硬件/软件列表、网络边界和数据流图。
- RMF步骤2:施恩禧根据已批准的安全分类制定系统安全计划(SSP),并使用适用的覆盖和继承或不适用的控制调整安全控制基线。
- RMF步骤3:施恩禧通过实施安全要求(包括实际配置和安全策略以及工件开发),为系统所有者的自我评估提供全面支持。
- RMF步骤4:施恩禧完全参与第三方验证团队的现场访问,为系统验证提供实践支持。施恩禧的网络安全服务团队将在控制和方案审批流程中推进RMF方案,包括扫描/修复/扫描活动和工件完成情况。
- RMF步骤5 & 6:通过持续的方案返工以及完成培训和系统切换,施恩禧团队继续提供全力支持以获得授权。施恩禧的RMF方案不会以ATO结尾。持续的RMF维护和持续系统监控对于微电网的安全性和弹性至关重要,并且它们被编入与系统所有者一起和为系统所有者制定的政策和程序中。此支持的完整服务产品根据(单独)合同提供。
了解有关施恩禧的联邦和国防部RMF体验的更多信息
施恩禧和IPERC历史
施恩禧收购了专为能源、可靠性和安全性(SPIDERS)智能电力基础设施演示和其他国防部项目2015而设计的微电网控制提供商和网络安全领导企业IPERC,为施恩禧团队带来了最先进的GridMaster®微电网控制系统和RMF专业知识。我们的团队帮助政府客户获得了首个微电网控制系统ATO,首先是美国海军陆战队的夏威夷史密斯营地的海军设施工程司令部(NAVFAC),继而在美国陆军的科罗拉多卡森堡市政工程部门提供服务。
施恩禧精通工业控制系统(例如微电网控制系统和能源管理控制系统)的RMF相关标准和指南,包括国防部服务特定流程和格式,包括但不限于:
- 统一设施标准(UFC)4-010-06,设施相关控制系统的网络安全、变更1,2017年1月18日
- 统一设施指导规范(UFGS) 25 05 11,与设施相关的控制系统网络安全,2017年11月1日
- 国防部说明8500.01,网络安全,2014年3月14日
- 国防部说明8510.01,适用于国防部信息技术(IT)的风险管理框架(RMF),变更2,2017年7月28日
- 国家标准技术局(NIST)特别出版物(SP)800-82,工业控制系统(ICS)安全指南,修订版2,2015年5月
- NIST SP 800-53,修订版5,信息系统和组织的安全和隐私控制
- NIST SP 800‐60,信息安全,修订版1,第I卷与第II卷,信息安全,
2008年8月
- NIST SP 800‐171,修订版1,保护非联邦系统和组织中的受控未分类信息,2016年12月,2018年6月7日更新
- NAVFAC Echelon II RMF工厂相关控制系统(FRCS)业务规则,版本1.0,2019年10月4日
- 美国空军土木工程中心(AFCEC)的FRCS供应商网络安全要求指南,2020年8月25日更新
- 美国陆军物资司令部(AMC)网络安全分部(CSD)RMF标准操作程序(SOP)
- DFARS条款252.204‐7012,保护未分类的受控技术信息
安全网络设计和配置
我们的团队在面向联邦、商业和公用事业客户的全面网络和安全设计和配置方面拥有深厚的专业知识。从概念网络设计到最终调试,施恩禧的专家团队可以评估现有系统或新结构的网络安全和网络架构。施恩禧可以担任客户操作员和安全人员的顾问和/或执行联网设备的实践配置,以确保能源系统保持安全并满足适用的安全要求。
施恩禧的安全配置服务包括实施和归档完整的安全基线、漏洞和合规性扫描、缓解调查结果并重新扫描。正确安装、强化和测试网络和设备至关重要,必须由技术精湛的安全分析师执行。我们可以提供此安全的网络设计和配置全套服务,以满足客户在不断变化的网络安全环境中的需求。
