امن سازی و مقاوم سازی زیر ساخت

شرح خدمت

امروزه با حضور تجهیزات و سیستم‎های کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق­تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستم‎های هیدرولیک و نیوماتیک قدیمی،به PLC ها و سیستم‎های DCS و SCADA مجهز شده­اند؛ از طرفی هم­ اکنون با توسعه شبکه­های کامپیوتری، تجهیزات و شبکه‎های فیلدباس در جهان به سرعت در حال تحول می­باشند و بسیاری از فرآیندهای صنعتی توسط این سیستم‎ها که دارای مزایای بسیار زیادی نسبت به سایر روش­ها بوده کنترل و نظارت می­شوند. PLCها، تجهیزات RTUها و سیستم‎های SCADA   به‌ طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هسته­ای و غیره مورد استفاده قرار می­­گیرند. پیشرفت­های روزافزون در شبکه‎های صنعتی و تجهیزات مورد استفاده در آنها نه ­تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته­ است. علی ­رغم پیشرفت­های بسیار زیادی که در ساختار و عملکرد سیستم‎های کنترل صنعتی و SCADA وجود داشته، این سیستم‎ها از دیدگاه سایبری دارای ضعف­های بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیب­پذیری­های موجود در بخش­های مختلف تجهیزات RTU و سیستم‎های SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساخت‌های حیاتی کشورها، آسیب­رساندن و یا ایجاد اختلال در فرآیند کاری آن­ها باشند. از آنجا که بروز هرگونه نارسایی در بخش­های مذکور ممکن است اثرات مخرب و جبران­ناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیب‎پذیری­ها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستم‎ها بیش از پیش احساس می­شود. در همین راستا و به منظور امن‎سازی سیستم اندازه‎گیری و SCADA لازم است یک طرح مناسب امنیت سایبری (OT-CCMS) مطابق با استانداردهای مطرح بین‎المللی از جمله IEC62443، NIST SP 800-82 تدوین و اجرا گردد. در ادامه شرح خدمات این طرح امنیتی تشریح می‎گردد.

الزام امنیت

امروزه با حضور تجهیزات و سیستم‎های کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق ­تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستم‎های هیدرولیک و نیوماتیک قدیمی،به PLC ها و سیستم‎های DCS و SCADA مجهز شده ­اند؛ از طرفی هم­اکنون با توسعه شبکه­ های کامپیوتری، تجهیزات و شبکه‎های فیلدباس در جهان به سرعت در حال تحول می­ باشند و بسیاری از فرآیندهای صنعتی توسط این سیستم‎ها که دارای مزایای بسیار زیادی نسبت به سایر روش­ها بوده کنترل و نظارت می­شوند. PLCها، تجهیزات RTUها و سیستم‎های SCADA   به‌ طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هسته­ ای و غیره مورد استفاده قرار می­­گیرند. پیشرفت­ های روزافزون در شبکه‎های صنعتی و تجهیزات مورد استفاده در آنها نه ­تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته­ است. علی­رقم پیشرفت­های بسیار زیادی که در ساختار و عملکرد سیستم‎های کنترل صنعتی و SCADA وجود داشته، این سیستم‎ها از دیدگاه سایبری دارای ضعف­های بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند.

آسیب­ پذیری­ های موجود در بخش­های مختلف تجهیزات RTU و سیستم‎های SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساخت‌های حیاتی کشورها، آسیب ­رساندن و یا ایجاد اختلال در فرآیند کاری آن­ها باشند. از آنجا که بروز هرگونه نارسایی در بخش­های مذکور ممکن است اثرات مخرب و جبران­ ناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیب‎پذیری­ها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستم‎ها بیش از پیش احساس می­شود. در همین راستا و به منظور امن‎سازی سیستم اندازه‎گیری و SCADA یک طرح مناسب امنیت سایبری (OT-CCMS) مطابق با استانداردهای مطرح بین‎المللی از جمله IEC62443، NIST SP 800-82 تدوین و اجرا گردد. در ادامه شرح خدمات این طرح امنیتی تشریح می‎گردد.

اهداف سازمان

اهم اهداف سازمان از استقرار OT-CSMS به شرح ذیل است:

  • حرکت به سمت استقرار سیستم مدیریت امنیت سایبری صنعتی، به عنوان یک مزیت رقابتی
  • برآورده ­سازي الزامات استانداردهاي امنيتي در استقرار نظام مدیریت امنیت سایبری صنعتی
  • ايجاد تشکيلات سازماندهي امنيت اطلاعات صنعتی
  • شناسايي، ارزيابي و مستندسازي وضعيت موجود امنيت صنعتی در سازمان
  • شناسايي و طبقه ­بندي دارايي ­هاي سایبری صنعتی شركت و ارزش­گذاري آنها
  • شناسایی ضعف‎ها و آسیب‎پذیری‎های سایبری حوزه صنعتی و ارائه راهکارهای برطرف نمودن آنها
  • آموزش­هاي لازم به کارکنان در حوزه سيستم مدیریت امنیت سایبری صنعتی در سطوح مختلف
  • امن­ سازي سيستم ­هاي صنعتی و فرآيندهاي مربوط به آن
  • ايجاد راهکارهاي الزامي کارکنان و مديران نسبت به رعايت مسائل امنيتي
  • جلوگیری از حملات و دسترسی­ های غیر مجاز علیه سرمایه­ های سایبری صنعتی سازمان
  • ارتقاء سطح امنيت منابع طبقه‎بندي شده صنعتی متناسب با حساسيت آنها
  • کاهش وقفه در تداوم کسب و کار سازمان

شرح خدمات

پروژه طراحی و پیاده سازی سیستم مدیریت امنیت سایبری صنعتی مبتنی بر استانداردهای IEC 62443 و NIST SP 800-82 می باشد که بر اساس فازهای تعریف شده در جدول ذیل و شرح خدمات بیان شده در ادامه انجام می­ پذیرد.

  1. شناسایی و طبقه‎بندی سیستم‎ها و دارائی‎های سایبری صنعتی
  2. ارزیابی امنیتی و شناسایی ضعف‎ها و آسیب‎پذیری‎های سایبری صنعتی
  3. ارائه سند راهکارهای امنیتی متناسب با آسیب‎پذیری‎های شناسایی شده
  4. بررسی و انتخاب نرم‎افزارها و سخت‎افزارهای امنیتی (MTO)
  5. راه‎اندازی و اجرای Clean Room
  6. بروزرسانی و مدیریت وصله‎های امنیتی
  7. اجرای تنظیمات و پیکربندی‎های امنیتی
  8. برگزاری دوره‎ آموزشی  

شناسایی و طبقه‎بندی سیستم‎ها و دارائی‎های سایبری صنعتی

فعالیت­های اصلی در این فاز در راستای شناخت کلیه بخش‎های صنعتی سازمان می‎باشد. بر اساس استانداردهای مطرح بین‎المللی و همچنین الزامات سازمان‎های بالادستی، وجود یک پایگاه اطلاعاتی از کلیه دارائی‎ها و سرمایه‎های سایبری برای هر زیرساخت صنعتی به منظور آگاهی از وضعیت موجود لازم و ضروری است. به طور کلی اقداماتی که در این فاز انجام می‎شود عبارتند از :

  • دریافت As-Built مدارک
  • بررسی کلیه مدارک طراحی
  • دسته‎بندی دارائی‎های سایبری
  • ایجاد بانک اطلاعاتی

ارزیابی امنیتی جهت شناسایی ضعف‎ها و آسیب‎پذیری‎های سایبری صنعتی

فعالیت­های اصلی در این فاز در راستای شناسایی ضعف‎ها، آسیب‎پذیری‎ها و راه‎های نفوذ به بخش‎‎های مختلف شرکت / سازمان کارفرما می‎باشد. ارزیابی امنیتی بر اساس اقدامات ذیل صورت می‎پذیرد:

  • ارزیابی امنیتی CPU ها
  • ارزیابی امنیتی CP ها
  • ارزیابی امنیتی RTU ها
  • ارزیابی امنیتی سوئیچ‎های شبکه‎های صنعتی
  • ارزیابی امنیتی ایستگاه‎های کاری OWS
  • ارزیابی امنیتی ایستگاه‎های کاری EWS و لپ‎تاپ‎ها
  • ارزیابی امنیتی ایستگاه‎های کاری متفرقه صنعتی
  • تدوین سند گزارش ارزیابی امنیتی

ارائه سند راهکارهای امنیتی متناسب با آسیب‎پذیری‎های شناسایی شده

در اين فاز پیمانکار مي­بايست بر اساس سند گزارش آسیب‎پذیری حاصل از بند 3-2 راهکارهای برطرف نمودن آسیب‎پذیری‎ها و ارتقا سطح امنیت سایبری بخش SCADA و مانیتورینگ را در قالب یک سند تدوین و ارائه نماید. اقدامات لازم در این فاز عبارتند از :

  • بررسی راهکارهای برطرف نمودن آسیب‎پذیری‎های شناسایی شده
  • تدوین سند راهکارهای امن‎سازی

بررسی و انتخاب نرم‎افزارها و سخت‎افزارهای امنیتی (MTO)

در اين فاز که یکی از مهم‎ترین و اصلی‎ترین فازهای امنیت سایبری سیستم مانیتورینگ شرکت  ……. بوده لازم است متناسب با معماری، ساختار و وضعیت موجود بخش SCADA، ابزارهای نرم‎افزاری و سخت‎افزاری امنیتی انتخاب و خریداری شود. مراحلی که در این فاز مد نظر قرار می‎گیرد عبارتند از :

  • بررسی مدرک System Architecture و پایگاه داده دارائی‎های سایبری صنعتی
  • انتخاب سخت‎افزارها و نرم‎افزارهای امنیتی
  • مشخص نمودن تعداد سخت‎افزارها و نرم‎افزارهای امنیتی
  • تدوین و ارائه لیست متریال مورد نیاز (MTO)

راه‎اندازی و اجرای Clean Room

 در این فاز به منظور نظارت و کنترل امنیت سایبری کلیه لپ‎تاپ‎ها و مدیاهای خارجی که توسط پرسنل کارفرما و پیمانکاران جابجا شده و در سازمان استفاده می‎گردد سیستم‎های پاک جانمایی، نصب و پیکربندی می‎شوند.

بروزرسانی و مدیریت وصله‎های امنیتی

در این فاز لازم است با توجه به آسیب‎پذیری‎های شناسایی شده و در راستای ارتقا سطح امنیت سایبری بخش مانیتورینگ و SCADA، وصله‎های امنیتی تهیه و اعمال شود.

اعمال وصله‎های امنیتی معمولاً برای بخش‎های ذیل صورت می‎پذیرد که عبارتند از :

  • اعمال وصله‎های امنیتی CPU ها
  • اعمال وصله‎های امنیتی CP ها
  • اعمال وصله‎های امنیتی RTU ها
  • اعمال وصله‎های امنیتی سیستم‎عامل‎ها و نرم‎افزارها
  • اعمال وصله‎های امنیتی سوئیچ‎ها و کلیه تجهیزات شبکه‎ای و ارتباطی

اجرای تنظیمات و پیکربندی‎های امنیتی

در این فاز در راستای پیاده‎سازی استانداردها و الزامات امنیت سایبری صنعتی و ارتقا سطح امنیت بخش مانیتورینگ و SCADA، کلیه تنظیمات و پیکربندی‎های امنیتی که در گذشته بر روی تجهیزات و بخش‎های مختلف شرکت / سازمان  انجام نشده لازم است پیاده‎سازی و اجرا شود.

اقدامات لازم در این فاز عبارتند از :

  • اجرای تنظیمات و پیکربندی‎های امنیتی CPU ها
  • اجرای تنظیمات و پیکربندی‎های امنیتی CP ها
  • اجرای تنظیمات و پیکربندی‎های امنیتی RTU ها
  • اجرای تنظیمات و پیکربندی‎های امنیتی ایستگاه‎های کاری
  • اجرای تنظیمات و پیکربندی‎های امنیتی تجهیزات شبکه و مخابراتی