info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

امن‌سازی اتوماسیون صنعتی

 

پس از انتشار گسترده بدافزار استاکس‌نت و آلوده‌سازی تعداد زیادی از رایانه‌ها در سراسر ایران و جهان، مسائل مرتبط با امنیت اطلاعات در حوزه صنایع اهمیتی دو چندان یافته است. مطالعه بیشتر رفتار و خصوصیات بدافزار استاکس‌نت و شناخت قابلیت‌های تخریبی آن (که می‌توانند نمود فیزیکی و خارجی داشته‌باشند) نشان داده است که جدی نگرفتن مبحث امنیت اطلاعات در حوزه صنعت می‌تواند صدمات جبران‌‎ناپذیری به این بدنه وارد آورد. مرکز تخصصی آپا دانشگاه صنعتی اصفهان یکی از مراکز فعال و پیش‌رو در زمینه امنیت شبکه‌های اتوماسیون صنعتی است. عمده‌ترین خدماتی که مرکز تخصصی آپا در این حوزه انجام می‌دهد عبارتند از:

خدمات مشاوره در طراحی و پیاده‌سازی امن
حوزه‌ی امنیت سیستم‌های کنترل صنعتی به دلیل ماهیت میان رشته‌ای خود موجب شده تا کمتر کسی آن‌گونه‌که باید به آن بپردازد. از این رو بسیاری از متخصصان سیستم‌های کنترل صنعتی در زمان طراحی، پیاده‌سازی و استقرار شبکه‌های صنعتی، نکات و دغدغه‌های امنیتی را نادیده می‌گیرند. مرکز تخصصی آپا دانشگاه صنعتی اصفهان با تربیت نیرو‌های کارآمد در این حوزه، رصد آخرین رخداد‌های امنیتی و انجام فعالیت‌های تحقیقاتی، شناخت کاملی از روش‌های توسعه و پیاده‌سازی امن به‌دست آورده است.
به‌طور کلی خدمات مشاوره‌ای که این مرکز می‌تواند در اختیار مخاطبان خود قرار دهد به شرح زیر است که پس از ارائه هر خدمت گواهینامه مربوطه برای مخاطب صادر می‌گردد:

  • مشاوره معماری و ساختار: انتخاب معماری غلط در پیاده‌سازی و در نظر نگرفتن نیازمندی‌های امنیتی در آن، از جمله متداول‌ترین عوامل حملات سایبری در زیر‌ساخت‌های صنعتی است. مرکز تخصصی آپا دانشگاه صنعتی با بررسی انواع معماری‌های موجود و استخراج روش‌های امن سازی می‌تواند مشاوره‌های لازم را در فاز طراحی و انتخاب معماری قرار دهد.
  • مشاوره تجهیزات و زیرساخت: بسیاری از شرکت‌های توسعه دهنده هنگام استفاده از تجهیزات و پروتکل‌های ارتباطی به دلیل آنچه ملاحظات کارایی عنوان می‌شود مسائل امنیتی آن را در نظر نمی‌گیرند. همچنین هنگام ضرورت استفاده از یک پروتکل یا تجهیز خاص، روش‌های استفاده امن را درنظر نمی‌گیرند. مرکز تخصصی آپا با شناخت کامل مسائل امنیتی در تجهیزات و پروتکل‌های ارتباطی راهنمایی‌های لازم را جهت انجام پیاده‌سازی و یا توسعه امن ارایه خواهد داد.
  • مشاوره پیکربندی امن: از جمله مشکلات موجود در حوزه‌ی امنیت سیستم‌های اتوماسیون صنعتی این است که ماه‌ها و گاهی تا سال‌ها پیکربندی قرار گرفته بر روی شبکه مورد تغییر و بازبینی قرار نمی‌گیرد. لذا یک پیکربندی دارای مشکلات امنیتی می‌تواند به طور مداوم و مستمر منجر به انجام حملات سایبری گردد. این مرکز می‌‌تواند مشاوره‌های لازم را در انجام پیکربندی امن ارایه نماید.
  • تعریف قوانین: وجود قوانین و سیاست‌های استفاده و دسترسی کاربران از جمله مهمترین راه‌کارهای جلوگیری از رخداد حملات سایبری در سیستم‌های کنترل صنعتی است. مرکز تخصصی آپا استاندارد‌های تعریف و اعمال این قوانین و سیاست‌ها را مورد بررسی قرار داده و می‌تواند خدمات مشاوره‌ای در این حوزه به مخاطبان خود ارائه کند.
  • چگونگی به‌کارگیری ابزارهای تشخیص ناهنجاری و مقابله با نفوذ: ابزارهای مختلفی در حوزه امنیت سیستم‌های کنترل صنعتی موجود است که می‌تواند به منظور تشخیص نفوذ، گزارش‌گیری و مقابله با نفوذ مورد استفاده قرار گیرد. مرکز تخصصی آپا می‌تواند مشاوره‌ی لازم به منظور روش انتخاب و چگونگی بکار گیری این ابزارها ارائه نماید.

خدمات مشاوره نگهداری و پشتیبانی امن
امنیت در سیستم‌های کنترل صنعتی نه تنها در زمان طراحی و پیاده‌سازی، بلکه در زمان پشتیبانی و نگهداری سامانه نیز باید ادامه یابد. به‌طور معمول شرکت‌های سرویس‌دهنده در این حوزه، پشتیبانی از سامانه نصب شده را تنها محدود به رفع خرابی و یا اشکالات سیستم می‌دانند در حالی که پشتیبانی امنیتی مهمترین بخش پس از اتمام پیاده‌سازی و در زمان پشتیبانی به حساب می‌آید. مرکز تخصصی آپا دانشگاه صنعتی اصفهان به منظور پوشش نیازهای حوزه‌ی نگهداری و پشتیبانی، خدمات زیر را ارائه می‌دهد.

  • ارزیابی امنیتی: بسیاری از سامانه‌های نصب شده ممکن است دارای آسیب‌پذیری‌هایی باشند که مهاجمین می‌توانند توسط آن‌ها به شبکه نفوذ کرده، اطلاعات را به سرقت برده و یا اختلال ایجاد کنند. آسیب‌پذیری‌ها ممکن است در معماری، تجهیزات، پیکربندی و یا موارد دیگر باشد. به همین منظور تیم فنی مرکز آپا دانشگاه صنعتی می‌تواند با حضور در سطوح مختلف مجموعه، ارزیابی امنیتی را انجام داده و آسیب‌پذیری‌هایی که ممکن است منجر به حادثه شوند را شناسایی کند.
  • ممیزی امنیتی: مرکز تخصصی آپا با بهره‌گیری از استانداردهای امنیتی جهانی سرفصل‌های ممیزی امنیتی را در سیستم‌های کنترل صنعتی تهیه کرده و بر مبنای آن نیازمندی‌های امنیتی را بررسی می‌کند.
  • ارزیابی تهدید: هرکدام از ابزارهای درحال استفاده در یک سیستم کنترل صنعتی دارای یک ارزش مشخص نسبت به نوع کارکرد، محدوده، وابستگی و موارد دیگر است که می‌تواند سطح تهدید آن را تعیین کند. همچنین با توجه به شرایط هر مجموعه می‌توان تهدیدات پیش رو را پیش‌بینی کرده و راه‌کار های حفاظتی را در مقابل آن‌ها اتخاذ کرد. مرکز تخصصی آپا با بهره‌گیری از استانداردهای موجود جهانی می‌تواند این خدمت را به مخاطبان خود ارائه نماید.
  • بررسی سیاست‌ها و قوانین: سیاست‌ها و قوانین موجود در هر ساختار ممکن است دارای نواقصی باشد که بهره‌برداری از آن‌ها منجر به بروز حادثه در ساختارها گردد. مرکز تخصصی آپا بازبینی این قوانین را به منظور تدوین سیاست‌های جامع امنیتی انجام می‌دهد.
  • بررسی ناهنجاری: وجود ناهنجاری در سیستم‌های کنترل صنعتی ممکن است ناشی از حملات سایبری باشد. مرکز تخصصی آپا دانشگاه صنعتی با دریافت این گزارش‌ها و تحلیل آن می‌تواند وجود حمله و نوع آن را به همراه راه‌های تشخیص و مقابله با آن ارائه کند.

خدمات آموزشی
به‌طور معمول اپراتورها و کارشناسانی که با سامانه‌های کنترل صنعتی تعامل دارند اطلاعات لازم امنیتی را جهت پیشگیری، تشخیص و مقابله با حوادث سایبری ندارند. از طرفی در شرکت‌هایی که در زمینه‌ی طراحی و پیاده‌سازی شبکه‌های اتوماسیون صنعتی فعالیت دارند دانش کافی در زمینه‌ی امن‌سازی این سامانه‌ها وجود ندارد. مرکز تخصصی آپا با در اختیار داشتن دانش و تجربه‌ی مناسب در زمینه‌ی امن‌سازی و رسیدگی به حوادث شبکه‌های اتوماسیون صنعتی، برای انتقال دانش به مخاطبان پتانسیل بالایی دارد. این مرکز می‌تواند خدمات آموزشی، منابع و آموزش‌های لازم را به‌صورت حضوری و غیرحضوری در اختیار کارشناسان و اپراتورهای فعال قرار دهد تا بتوانند اقدامات لازم را به منظور امن‌سازی سامانه‌های موجود، طراحی و پیاده‌سازی سامانه‌های آتی و مقابله با بروز یک حمله سایبری انجام داده و در صورت بروز حمله سریعا آن را تشخیص دهند.