امن سازی و مقاوم سازی زیر ساخت
شرح خدمت
امروزه با حضور تجهیزات و سیستمهای کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیقتری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستمهای هیدرولیک و نیوماتیک قدیمی،به PLC ها و سیستمهای DCS و SCADA مجهز شدهاند؛ از طرفی هم اکنون با توسعه شبکههای کامپیوتری، تجهیزات و شبکههای فیلدباس در جهان به سرعت در حال تحول میباشند و بسیاری از فرآیندهای صنعتی توسط این سیستمها که دارای مزایای بسیار زیادی نسبت به سایر روشها بوده کنترل و نظارت میشوند. PLCها، تجهیزات RTUها و سیستمهای SCADA به طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هستهای و غیره مورد استفاده قرار میگیرند. پیشرفتهای روزافزون در شبکههای صنعتی و تجهیزات مورد استفاده در آنها نه تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته است. علی رغم پیشرفتهای بسیار زیادی که در ساختار و عملکرد سیستمهای کنترل صنعتی و SCADA وجود داشته، این سیستمها از دیدگاه سایبری دارای ضعفهای بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیبپذیریهای موجود در بخشهای مختلف تجهیزات RTU و سیستمهای SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساختهای حیاتی کشورها، آسیبرساندن و یا ایجاد اختلال در فرآیند کاری آنها باشند. از آنجا که بروز هرگونه نارسایی در بخشهای مذکور ممکن است اثرات مخرب و جبرانناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیبپذیریها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستمها بیش از پیش احساس میشود. در همین راستا و به منظور امنسازی سیستم اندازهگیری و SCADA لازم است یک طرح مناسب امنیت سایبری (OT-CCMS) مطابق با استانداردهای مطرح بینالمللی از جمله IEC62443، NIST SP 800-82 تدوین و اجرا گردد. در ادامه شرح خدمات این طرح امنیتی تشریح میگردد.
الزام امنیت
امروزه با حضور تجهیزات و سیستمهای کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستمهای هیدرولیک و نیوماتیک قدیمی،به PLC ها و سیستمهای DCS و SCADA مجهز شده اند؛ از طرفی هماکنون با توسعه شبکه های کامپیوتری، تجهیزات و شبکههای فیلدباس در جهان به سرعت در حال تحول می باشند و بسیاری از فرآیندهای صنعتی توسط این سیستمها که دارای مزایای بسیار زیادی نسبت به سایر روشها بوده کنترل و نظارت میشوند. PLCها، تجهیزات RTUها و سیستمهای SCADA به طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هسته ای و غیره مورد استفاده قرار میگیرند. پیشرفت های روزافزون در شبکههای صنعتی و تجهیزات مورد استفاده در آنها نه تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته است. علیرقم پیشرفتهای بسیار زیادی که در ساختار و عملکرد سیستمهای کنترل صنعتی و SCADA وجود داشته، این سیستمها از دیدگاه سایبری دارای ضعفهای بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند.
آسیب پذیری های موجود در بخشهای مختلف تجهیزات RTU و سیستمهای SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساختهای حیاتی کشورها، آسیب رساندن و یا ایجاد اختلال در فرآیند کاری آنها باشند. از آنجا که بروز هرگونه نارسایی در بخشهای مذکور ممکن است اثرات مخرب و جبران ناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیبپذیریها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستمها بیش از پیش احساس میشود. در همین راستا و به منظور امنسازی سیستم اندازهگیری و SCADA یک طرح مناسب امنیت سایبری (OT-CCMS) مطابق با استانداردهای مطرح بینالمللی از جمله IEC62443، NIST SP 800-82 تدوین و اجرا گردد. در ادامه شرح خدمات این طرح امنیتی تشریح میگردد.
اهداف سازمان
اهم اهداف سازمان از استقرار OT-CSMS به شرح ذیل است:
- حرکت به سمت استقرار سیستم مدیریت امنیت سایبری صنعتی، به عنوان یک مزیت رقابتی
- برآورده سازي الزامات استانداردهاي امنيتي در استقرار نظام مدیریت امنیت سایبری صنعتی
- ايجاد تشکيلات سازماندهي امنيت اطلاعات صنعتی
- شناسايي، ارزيابي و مستندسازي وضعيت موجود امنيت صنعتی در سازمان
- شناسايي و طبقه بندي دارايي هاي سایبری صنعتی شركت و ارزشگذاري آنها
- شناسایی ضعفها و آسیبپذیریهای سایبری حوزه صنعتی و ارائه راهکارهای برطرف نمودن آنها
- آموزشهاي لازم به کارکنان در حوزه سيستم مدیریت امنیت سایبری صنعتی در سطوح مختلف
- امن سازي سيستم هاي صنعتی و فرآيندهاي مربوط به آن
- ايجاد راهکارهاي الزامي کارکنان و مديران نسبت به رعايت مسائل امنيتي
- جلوگیری از حملات و دسترسی های غیر مجاز علیه سرمایه های سایبری صنعتی سازمان
- ارتقاء سطح امنيت منابع طبقهبندي شده صنعتی متناسب با حساسيت آنها
- کاهش وقفه در تداوم کسب و کار سازمان
شرح خدمات
پروژه طراحی و پیاده سازی سیستم مدیریت امنیت سایبری صنعتی مبتنی بر استانداردهای IEC 62443 و NIST SP 800-82 می باشد که بر اساس فازهای تعریف شده در جدول ذیل و شرح خدمات بیان شده در ادامه انجام می پذیرد.
- شناسایی و طبقهبندی سیستمها و دارائیهای سایبری صنعتی
- ارزیابی امنیتی و شناسایی ضعفها و آسیبپذیریهای سایبری صنعتی
- ارائه سند راهکارهای امنیتی متناسب با آسیبپذیریهای شناسایی شده
- بررسی و انتخاب نرمافزارها و سختافزارهای امنیتی (MTO)
- راهاندازی و اجرای Clean Room
- بروزرسانی و مدیریت وصلههای امنیتی
- اجرای تنظیمات و پیکربندیهای امنیتی
- برگزاری دوره آموزشی
شناسایی و طبقهبندی سیستمها و دارائیهای سایبری صنعتی
فعالیتهای اصلی در این فاز در راستای شناخت کلیه بخشهای صنعتی سازمان میباشد. بر اساس استانداردهای مطرح بینالمللی و همچنین الزامات سازمانهای بالادستی، وجود یک پایگاه اطلاعاتی از کلیه دارائیها و سرمایههای سایبری برای هر زیرساخت صنعتی به منظور آگاهی از وضعیت موجود لازم و ضروری است. به طور کلی اقداماتی که در این فاز انجام میشود عبارتند از :
- دریافت As-Built مدارک
- بررسی کلیه مدارک طراحی
- دستهبندی دارائیهای سایبری
- ایجاد بانک اطلاعاتی
ارزیابی امنیتی جهت شناسایی ضعفها و آسیبپذیریهای سایبری صنعتی
فعالیتهای اصلی در این فاز در راستای شناسایی ضعفها، آسیبپذیریها و راههای نفوذ به بخشهای مختلف شرکت / سازمان کارفرما میباشد. ارزیابی امنیتی بر اساس اقدامات ذیل صورت میپذیرد:
- ارزیابی امنیتی CPU ها
- ارزیابی امنیتی CP ها
- ارزیابی امنیتی RTU ها
- ارزیابی امنیتی سوئیچهای شبکههای صنعتی
- ارزیابی امنیتی ایستگاههای کاری OWS
- ارزیابی امنیتی ایستگاههای کاری EWS و لپتاپها
- ارزیابی امنیتی ایستگاههای کاری متفرقه صنعتی
- تدوین سند گزارش ارزیابی امنیتی
ارائه سند راهکارهای امنیتی متناسب با آسیبپذیریهای شناسایی شده
در اين فاز پیمانکار ميبايست بر اساس سند گزارش آسیبپذیری حاصل از بند 3-2 راهکارهای برطرف نمودن آسیبپذیریها و ارتقا سطح امنیت سایبری بخش SCADA و مانیتورینگ را در قالب یک سند تدوین و ارائه نماید. اقدامات لازم در این فاز عبارتند از :
- بررسی راهکارهای برطرف نمودن آسیبپذیریهای شناسایی شده
- تدوین سند راهکارهای امنسازی
بررسی و انتخاب نرمافزارها و سختافزارهای امنیتی (MTO)
در اين فاز که یکی از مهمترین و اصلیترین فازهای امنیت سایبری سیستم مانیتورینگ شرکت ……. بوده لازم است متناسب با معماری، ساختار و وضعیت موجود بخش SCADA، ابزارهای نرمافزاری و سختافزاری امنیتی انتخاب و خریداری شود. مراحلی که در این فاز مد نظر قرار میگیرد عبارتند از :
- بررسی مدرک System Architecture و پایگاه داده دارائیهای سایبری صنعتی
- انتخاب سختافزارها و نرمافزارهای امنیتی
- مشخص نمودن تعداد سختافزارها و نرمافزارهای امنیتی
- تدوین و ارائه لیست متریال مورد نیاز (MTO)
راهاندازی و اجرای Clean Room
در این فاز به منظور نظارت و کنترل امنیت سایبری کلیه لپتاپها و مدیاهای خارجی که توسط پرسنل کارفرما و پیمانکاران جابجا شده و در سازمان استفاده میگردد سیستمهای پاک جانمایی، نصب و پیکربندی میشوند.
بروزرسانی و مدیریت وصلههای امنیتی
در این فاز لازم است با توجه به آسیبپذیریهای شناسایی شده و در راستای ارتقا سطح امنیت سایبری بخش مانیتورینگ و SCADA، وصلههای امنیتی تهیه و اعمال شود.
اعمال وصلههای امنیتی معمولاً برای بخشهای ذیل صورت میپذیرد که عبارتند از :
- اعمال وصلههای امنیتی CPU ها
- اعمال وصلههای امنیتی CP ها
- اعمال وصلههای امنیتی RTU ها
- اعمال وصلههای امنیتی سیستمعاملها و نرمافزارها
- اعمال وصلههای امنیتی سوئیچها و کلیه تجهیزات شبکهای و ارتباطی
اجرای تنظیمات و پیکربندیهای امنیتی
در این فاز در راستای پیادهسازی استانداردها و الزامات امنیت سایبری صنعتی و ارتقا سطح امنیت بخش مانیتورینگ و SCADA، کلیه تنظیمات و پیکربندیهای امنیتی که در گذشته بر روی تجهیزات و بخشهای مختلف شرکت / سازمان انجام نشده لازم است پیادهسازی و اجرا شود.
اقدامات لازم در این فاز عبارتند از :
- اجرای تنظیمات و پیکربندیهای امنیتی CPU ها
- اجرای تنظیمات و پیکربندیهای امنیتی CP ها
- اجرای تنظیمات و پیکربندیهای امنیتی RTU ها
- اجرای تنظیمات و پیکربندیهای امنیتی ایستگاههای کاری
- اجرای تنظیمات و پیکربندیهای امنیتی تجهیزات شبکه و مخابراتی