امنیت شبکههای اتوماسیون صنعتی
امروزه با استفاده روزافزون از تجهیزات صنعتی و بهویژه بهرهمندی از اینترنت صنعتی اشیاء و یا شبکههای صنعتی که جهت […]
امروزه با استفاده روزافزون از تجهیزات صنعتی و بهویژه بهرهمندی از اینترنت صنعتی اشیاء و یا شبکههای صنعتی که جهت اتصال دستگاهها و سیستمهای صنعتی در یک پروژه مورد استفاده قرار میگیرند، امنیت شبکههای اتوماسیون صنعتی (IACS) به یکی از مهمترین و حساسترین جنبههای فناوریهای صنعتی مدرن، تبدیل شده است.
راهکارهای امنیت شبکههای صنعتی
حفظ امنیت شبکههای اتوماسیون صنعتی با بهکارگیری مجموعهای از سیاستها، فناوریها و تدابیر فنی انجام میشود. جهت محافظت از زیرساختها، تجهیزات، دادهها و فرآیندهای صنعتی در برابر تهدیدات سایبری و یا خطاهای انسانی و حفظ یکپارچگی و محرمانگی اطلاعت پروژه میتوان از روشهای متفاوتی استفاده نمود. از مهمترین استانداردهای جهانی که شامل الزامات جهت طراحی، توسعه، نصب و نگهداری سیستمهای صنعتی، تعریف شده است میتوان به استاندارد IEC 62443 اشاره نمود. همچنین میتوان از NIST SP 800-82 که راهنمای امنیت سیستمهای صنعتی است اسفاده نمود. در ادامه به بررسی اصول برقراری امنیت در اجرا پروژههای اتوماسیون صنعتی میپردازیم.
|
تجهیز / پروتکل |
خطرات امنیتی |
توصیه امنیتی |
|
PLC |
کنترل فرآیند فیزیکی |
رمزگذاری دستورات محدود کردن دسترسی |
|
SCADA |
نظارت و کنترل از راه دور |
جداسازی از اینترنت ثبت رخدادها |
|
Modbus |
متنباز بدون رمزنگاری |
استفاده از نسخههای امن محدود کردن دسترسی |
|
OPC DA/UA |
انتقال داده بین تجهیزات |
ترجیحاً استفاده از OPC UA با TLS |
تفکیک شبکه
در صورت استفاده از یک شبکه جهت ارتباط تجهیزات و حمله سایبری به یکی از تجهیزات سیستم، احتمال آلوده شدن تمامی بخشهای پروژه به شدت بالا میرود. در نتیجه با تقسیم شبکه به بخشهای مجزا جهت جلوگیری از گسترش تهدیدات از اولین راهحلهای حفظ امنیت سیستم صنعتی میباشد. در ادامه روشهای تفکیک شبکه صنعتی را معرفی میکنیم.
- استفاده از VLAN جهت جداسازی شبکه اداری (IT) و شبکه صنعتی(OT)
- پیادهسازی تکنولوژی DMZ (Demilitarized Zone) برای اینترنت و تجهیزات صنعتی
- بهرهمندی از فایروالهای بین بخشی جهت جداسازی شبکه در بین تجهیزات صنعتی
کنترل دسترسی کاربران
محدودسازی و جلوگیری از دسترسی افراد غیرمجاز به بخشهای حیاتی و کنترل دسترسی افراد یک سیستم، بخش زیادی از احتمالات آلودهسازی سیستم را کاهش میدهد. از جمله اقدامات کنترل دسترسی افراد، میتوان به موارد زیر اشاره نمود.
- بهرهگیری از روش کنترل دسترسی مبتنی بر نقش (RBAC) که امکان دسترسی افراد به بخشهای مختلف یک دستگاه را مشخص میکند، مانند امکان دسترسی به مانتوریگ، جدا از برنامهنویسی PLC باشد.
- استفاده از احراز هویت چندمرحلهای (MFA) در کنسولهای مدیریتی و سیستم انجام شود.
- پیادهسازی امکان تعریف و ثبت ورود و خروج کاربران به شبکه صنعتی را در سیستم انجام شود.
بروزرسانی شبکههای صنعتی
سیستم عاملهای صنعتی، فریمور PLCها و نرمافزارهای SCADA همواره در حال بروزرسانی هستند و شرکتهای سازنده آنها به شناسایی بدافزارها و نقاط آسیبپذیر محصولات خود میپردازند. درنتیجه بررسی دورهای آپدیتها و اجرا تستپچها در محیط آزمایشی سیستمها تاثیر بسزایی در حفظ امنیت پروژه صنعتی دارد.
مانتورینگ و تشخیص نفوذ
سیستمهای صنعتی به دلیل عملکرد مداوم و شبانهروزی تجهیزات، در صورت حمله سایبری و آلودهسازی فرآیندها و تاخیر در شناسایی آن، منجر به خسارات فاجعهبار و جبرانناپذیر میشوند.
- استفاده از نرمافزار SIEM که مدیریت اطلاعات و رویدادهای امنیتی رو برعهده دارد.
- پیادهسازی IDS/IPS خاص برای پروتکلهای صنعتی
- ثبت رخدادها و هشدارها در زمان واقعی
استفاده از فایروال صنعتی
بهرهمندی از فایروال در پروتکلهای صنعتی، سبب جلوگیری از ترافیک ناخواسته و یا نفوذ سایبری به شبکه صنعتی میشود. با ایجاد لایههای کاربردی با پشتیبانی از پروتکلهای صنعتی مانند مدباس، میتوان از آسیبهای احتمالی جلوگیری کرد. همچنین با تعریف قوانین دسترسی بر اساس آدرس IP هر دستگاه میتوان به حفظ امنیت شبکه کمک کنیم.
بهرهمندی از پروتکلهای امن
از موثرترین راهکارهای حفط امنیت شبکه، استفاده از پروتکلهای ارتباطی همراه با رمزگذاری و اعتبارسنجی میباشد. در پروتکلهایی مانند Modbus TCP یا OPC DA که فاقد امکان رمزگذاری هستند به راحتی امکان شنود و تغییر تنظیمات را به دیگران میدهند. در نتیجه استفاده از OPC UA با رمزنگاری TLS و احراز هویت و همچنین حذف یا محدود کردن دسترسی به پروتکلهای قدیمی میتواند در حفظ امنیت شبکه بسیار موثر باشد.
تهدیدهای امنیتی رایج در شبکههای اتوماسیون صنعتی
حفظ شبکه صنعتی در برابر تهدیدات امنیتی مانند نفوذ فیزیکی، نفوذ از طریق USB و نفوذ داخلی بسیار مهم است. پیشگیری و حل نکردن این نوع اقدامات میتواند منجر به تخریب تجهیزات صنعتی، خسارت جانی و مالی، فاش اطلاعات محرمانه و غیره شود. از جمله تهدیدات رایج در برابر شبکه صنعتی میتوان به موارد زیر اشاره نمود.
- بدافزارها: بعضی از ویروسها جهت خرابکاری و ایجاد اشکال در تجهیزات صنعتی طراحی میشوند و میتوانند باعث تخریب تجیهیزات سختافزاری، توقف خط تولید و یا ایرادات پنهانی شوند.
- حملات هدفمند (APT): گروهی از افراد با هدف جاسوسی صنعتی و سرقت دادهها میتوانند به مدت طولانی در سیستم نفوذ کرده و بدون شناسایی به سرقت اطلاعات و تغییر مخفیانه فرآیندهای یک سیستم صنعتی بپردازند.
- حملات DoS/DDoS: افراد نفوذی، با ارسال درخواستهای فراوان میتوانند سیستمهایی مانند SCADA و OPC را از کار بیاندازند و باعث توقف تولید و یا مدیریت سیستم شوند.
- حملات زنجیره تامین: هکرها به نرمافزارها و تجهیزات صنعتی قبل از ارسال به کارخانه نفوذ کرده و میتوانند آلودگی گسترده پنهانی را از ابتدای فرآیندها به تجهیزات وارد کنند.
نتیجهگیری
امنیت شبکههای اتوماسیون صنعتی یک موضوع چندلایه و حیاتی است که به فناوری، سیاستها، مدیریت و فرهنگ سازمانی بستگی دارد. رعایت این اصول از خرابی تجهیزات، توقف تولید، آسیب به زیرساختها و حتی خسارات جانی جلوگیری میکند.
راههای ارتباطی نیک صنعت
- شماره تماس: 87700210-021 (30 خط)
- واحد فروش: 09197872783
- واحد آموزش: 09197872786
- واحد تعمیرات: 09197872789
- واحد پروژه: 09197872784
- ایمیل: info@nicsanat.com
نظرات کاربران